▶ 보안 관련 정보 및 팁

윈도우용 보안 제품들의 취약점 보고서 (by Matousec)

물여우 2010. 5. 11. 23:58
반응형
보안 제품 사전 방역 성능 테스트로 유명한 Matousec에서 윈도우용 보안 제품들의 취약점 존재 여부를 테스트하여 결과를 발표하였습니다. 


전문적인 이야기가 많이 나옵니다. 저도 세부적인 내용은 이해 못하기 때문에 결과만 간단하게만 설명하면, 보안 제품들은 보통 실시간 감시나 자기 보호 기능의 동작을 위해 SSDT(System Service Descriptor Table) 후킹 또는 그와 유사한 기술들을 이용하는데, 이러한 커널 모드에서 행해지는 훅(Hook)을 통한 일반적인 감시 방법에는 취약점이 존재한다고 합니다. 

※ 자세한 내용은 출처 링크를 참고 바랍니다.

이번 테스트를 위해 자체적으로 제작된 KHOBE(Kernel HOok Bypassing Engine)엔진을 이용하여 취약점 코드 작성하였다고 합니다. 이번 테스트 결과는 XP SP3와 Vista SP1 환경에서 유효하다고 합니다.


총 35가지의 제품이 테스트에 사용되었으며 결과는 아래와 같습니다. 

테스트 결과 - 모두 취약점 존재


국내 제품들은 테스트에 포함되지 못했지만, 취약점이 존재한다 보면 될 듯 합니다.



개인적으로 이번 테스트에 대한 보안 업체의 반응이 궁금해졌는데, 핀란드의 유명 보안 업체인 에프시큐어의 경우 테스트 결과의 유효성에 대해 인정은 하지만, 실제 환경에서 이런 취약점이 유효하지는 않을 것이라 밝히고 있습니다. 


요약을 해보면 Matousec의 테스트는 에프시큐어 제품에서 시스템을 감시하는 일부 기능에 대해서만 적용된 것이며, 이런 취약점을 이용하려는 악성코드가 존재해도 다양한 레이어(Layer)별 진단 기능을 통해 악성코드를 차단할 수 있기 때문이라고 합니다.


영국의 유명 보안 업체 소포스의 경우는 Matousec의 테스트 결과에 대해 다소 강하게 반박했는데 전문은 아래와 같습니다.


요약하면 에프시큐어가 언급한 내용처럼 다양한 진단 기능을 통해 악성코드를 사전에 차단할 수 있으며 여러 기술적인 문제로 실제 환경에서는 의미가 없는 테스트라고 언급하고 있습니다. 

기술적인 부분은 논외로 쳐도, 보안 업체에서 대응하기 전에 먼저 이루어지는 제로데이 공격이나 사용자의 관리 실수 등 다양한 이유로 악성 코드 감염이 이루어질 수 있다는 점에서 "악성코드를 사전에 차단하기 때문에 문제없다" 라는 발언은 다소 문제가 있는 것이 아닌가 생각됩니다. 




개별적인 제품들의 취약점은 이곳 저곳에서 공개되고 있지만 Matousec의 보고서처럼 모든 제품에서 일괄적으로 나타나는 취약점을 밝힌 경우는 개인적으로는 처음 본 것 같습니다.

실제 환경에서 공격이 성공되는 모습을 담지는 않았으나, 이번 보고서의 내용은 실제로 사용 가능한, 보안 제품도 기술적으로 취약한 부분이 존재한다는 점을 보여주었기에 일종의 "개념 증명"적인 테스트로 볼 수 있습니다. 이 취약점이 실제 환경에서 얼마나 위협적인지는 정확하게 알 수 없지만 모든 보안 제품들이 악성코드가 진단을 우회하거나, 보안 제품에 대한 공격이 가능하도록 하는 취약점을 갖고 있다는 점을 밝혔다는 점에서 의미가 크다 생각됩니다.   

우리(일반 사용자)가 시스템 보호를 위해 믿고 사용하는 방패가 의외로 치명적인 빈틈이 있다는 점이 다소 당황스럽지만, 현실적으로 완벽한 것은 있을 수 없으며 보안에 관해서도 마찬가지라는 점을 생각할 때 필요 이상으로 두려워할 필요는 없다고 봅니다. 다만, 보안 제품 제품이 가진 빈틈을 메꿔줄 개인 보안 관리의 철저함이 더욱 더 요구된다 할 수 있겠습니다.


- 이상입니다.
반응형