모든 버전의 윈도 운영체제(OS) 커널 안에서 사용자 모르게 해커에게 악성 행위를 허용하는 보안 버그가 발견됐다는 주장이 제기됐다. 그러나 마이크로소프트(MS) 측은 해당 버그가 보안에 영향을 주지 않는다는 입장이다.
지난 8일 미국 지디넷은 엔사일로(enSilo) 보안연구원의 분석을 인용해 10여년 된 윈도 커널 버그가 해커에게 보안 우회 통로를 열어 준다고 보도했다. [☞원문링크]
엔사일로 보안연구원 옴리 미스가브(Omri Misgav)가 소개한 버그는 PsSetLoadImageNotifyRoutine(이하 '통지 루틴')같은 로레벨 인터페이스에 작용한다. 이 인터페이스는 어떤 모듈이 윈도 커널에 올려질 때 그걸 알리는 역할을 한다. 버그는 공격자가 올려진 모듈의 이름을 위조할 수 있게 만든다. 이는 외부 보안 제품의 오작동을 야기할 수 있다. 악성 행위를 발생시켜도 아무런 경고를 못 하게 만들 수 있다는 얘기다.
미스가브는 해당 버그를 소개한 블로그 포스팅에 이 버그가 커널 내 "프로그래밍 오류"로 보인다고 지적했다. [☞원문링크]
모든 윈도 버전이 이 버그에 영향을 받는다.
통지 루틴 인터페이스는 지난 1999년 출시된 '윈도2000' OS부터 소개됐다. 보안 제품이 제 기능을 하도록 필요한 정보를 주는 역할이었다. 이를테면 어떤 모듈이 프로세스에 올라갈 때와 메모리에 모듈의 주소가 있을 때, 보안제품이 모듈을 추적할 수 있게 했다.
하지만 보안연구원은 버그 때문에 윈도가 항상 올바른 결과를 반환하지는 않는다는 점을 발견했다. 이는 안티맬웨어 보안제품이 악성행위를 알아차리지 못하는 결과를 초래한다는 지적이다.
미스가브는 "이 통지 루틴이 제공하는 정보에 의존하는 어떤 보안 벤더든 모듈이 올라갈 때 잘못된 정보를 들여다보는 헛수고를 할 가능성이 있다"고 말했다. 엔사일로 측에서 특정 보안 제품을 테스트한 건 아니라고 덧붙였다.
엔사일로 측은 이처럼 모듈 관련 정보가 잘못된 경로로 작용할 수 있다는 점을 마이크로소프트(MS)가 제공하는 문서에 전혀 언급하지 않고 있음을 비판했다.
미스가브는 누군가 일련의 단순한 파일 작업만 수행함으로써 이 버그를 재현할 수 있다고 설명했다. 그는 "이 작업이 한 번 수행되면 통지 루틴이 잘못된 경로를 받게 된다"고 말했다. 하지만 그에 따르면 MS 측은 "이걸 보안 문제라 여기지 않는다"고 한다.
관련기사
- 윈도10 소스코드·내부빌드 일부 유출2017.09.11
- MS, 러시아 해커그룹에 악용된 윈도 취약점 패치2017.09.11
- 윈도10 속 우분투 배시, 어떻게 실행되나2017.09.11
- MS, 통합윈도 박차…커널까지 '버전10'2017.09.11
MS 측은 "우리 엔지니어가 해당 정보를 검토했고 이는 보안 위협을 야기하지 않는다고 결론내렸다"며 "우리는 보안 업데이트를 통해 그 문제를 해결할 계획이 없다"고 답했다.
이에 미스가브는 MS의 답변에 대해 "이 버그가 왜 아직까지 남아 있는지 알려 주지 않았다"고 지적했다.
