지난 11월 9일부터 10일 양일간 열린 국제 해킹 보안 컨퍼런스 POC2017 버그바운티 대회인 제로페스트(Zer0Fest)에서 국내 대부분의 공공기관이 사용하고 있고 기업, 개인 등도 대표적으로 사용하고 있는 안랩 안티바이러스 V3와 한컴 오피스 등에서 원격코드 실행과 시스템 권한 장악이 가능한 심각한 취약점이 발표됐다. 안랩 V3는 해당 취약점에 대해 29일 저녁 8시 50분경 대응을 완료했고 한컴 취약점은 KISA에 전달돼 대응 중이다.

POC 운영진은 29일 강남역에 위치한 하임시큐리티(대표 송하임)에서 기자간담회를 열고 제로페스트 결과 발표 및 안랩 V3 제로데이 취약점을 시연하는 자리를 마련했다. 이 자리에는 POC측과 안랩 V3개발자 7명, V3 취약점을 찾은 박서빈 연구원 등이 참석했다.

◇안랩 V3 버퍼오버플로우 취약점 찾은 박서빈 연구원…버그바운티 상금 1만달러 획득

기자간담회를 시작하기 전, V3 최신 버전을 대상으로 하임시큐리티 박서빈 연구원(21)이 찾은 취약점이 V3 이용자 PC(개인용, 기업용 모두 포함)를 장악하고 권한을 탈취해 다양한 해킹공격이 가능한지 현장에서 안랩 관계자들에게 보여주는 시간을 가졌다. 그 결과 안랩 V3개발자들도 제로데이 취약점이 맞다는 것에 수긍하고 버그바운티 비용 1만달러를 박서빈 연구원에게 지급하는 것으로 결정했다. 안랩은 현장에서 취약점을 최종 확인하고 신속한 대응에 돌입해 29일 저녁 8시 50분에 패치를 공개했다. V3라이트와 기업용 V3를 사용하는 이용자 및 기업은 최신 버전으로 업데이트됐는지 반드시 확인해야 한다.

박서빈 연구원은 “제로페스트 버그바운티 대회 참가를 위해 안랩 V3를 대상으로 2주 정도 연구해 취약점을 찾게 됐다”며 “V3에서 버퍼오버플로우 취약점이 발견됐다. 이 취약점을 활용하면 해커는 원격에서 V3 이용자 PC를 대상으로 권한을 획득할 수 있고 윈도우 최고 시스템 권한까지 탈취할 수 있게 된다. 이렇게 되면 원격에서 사용자 PC의 웹캠 조작 및 모든 정보를 빼내 올 수 있으며 다양한 해킹작업이 가능하게 된다. 안랩 V3 특정 모듈에서 발생하는 취약점으로 개인용, 기업용 모두에서 발생한다”고 설명했다.

박 연구원은 고등학교 시절부터 해킹에 관심이 있어 공부를 시작했고 국내에서 많이 사용하는 소프트웨어의 취약점을 찾아 KISA에 다수 제보하고 해킹대회에도 참가한 경력이 있다. 현재 취약점 진단 업무를 전문으로 하고 있는 하임시큐리티에 근무중이다.

한편 안랩 측 관계자는 “안랩도 취약점을 제보 받는데 긍정적 입장이다. 취약점을 제보받는 공식 루트가 없었는데 향후 KISA와 협의해 버그바운티 프로그램에 참가하기로 내부 협의를 마쳤다”고 밝혔다.

◇국내 대부분 공공기관이 사용하는 한컴 오피스 제로데이 취약점도 발견

다음, 국내 공공기관들이 의무적으로 사용하고 있는 한글과컴퓨터사의 한컴오피스는 그동안 북한 해커들의 국내 정부기관을 타깃으로 APT 공격에 주로 악용돼 왔던 제품이다. 이번에 공개된 제로데이 취약점은 해외 해커에 의해 발견됐다. 다행히 해당 해커가 제로페스트에 참가해 최초 공개하면서 블랙마켓으로 한컴오피스 제로데이 취약점이 넘어가지 않아 천만다행이다.

POC 측은 “한컴 오피스의 경우 외국 해커가 참가했으나 국내에 국한된 보안 문제라 비공개로 점검이 이루어졌다. 한컴 오피스 취약점은 KISA를 통해 보안 취약점 관련 신고가 이루어졌으며, 취약점 분석 후 패치가 이루어질 예정”이라며 “한컴 오피스의 경우 북한 등 악의적인 해커들이 APT 공격에 자주 사용하고 있는 주요 타깃이다. 이번 경우 외국 해커가 제로데이 취약점을 찾아 Zer0Fest에 참가했으며, 이는 외국 해커들도 우리나라 공공기관에서 많이 사용하고 있는 한컴 오피스의 취약점을 연구하고 있음을 의미한다. 만약 이 제로데이 취약점이 블랙마켓에서 음성적으로 거래됐다면 우리나라 공공기관을 대상으로 한 APT 공격에 사용될 가능성이 컸을 것이다”라고 밝혔다.

◇국내, 기업과 해커가 상생할 수 있는 버그바운티 프로그램 활성화 필요해

더불어 POC 측은 국내 버그 바운티에 대한 정부와 기업의 인식 변화 및 적극적인 활성화도 촉구했다.

버그 바운티(Bug bounty) 대회란 보안전문가인 해커가 특정 소프트웨어나 애플리케이션에 존재하는 알려지지 않은 보안 취약점(0-day)을 찾아 악의적인 목적으로 사용되기 전, 벤더에게 취약점 정보를 제공해 주고 벤더는 합리적인 금전적 보상과 명예를 해당 해커에게 제공하는 형식의 대회를 말한다. 이 대회를 통해 제로데이 취약점이 악의적인 목적으로 사용되거나 블랙마켓에 판매되지 않도록 사전에 벤더사에 보안 취약점 정보를 제공함으로써 사용자를 보호할 수 있는 기업과 해커의 상생 프로그램이라고 할 수 있다.

POC 관계자는 “해외 글로벌 기업들은 버그 바운티 프로그램 운영 기업들이 늘어나고 있지만 국내는 삼성전자를 비롯한 일부 기업들과 KISA가 버그 바운티 프로그램을 운영하고 있다. 하지만 해커에게 합리적인 보상과 명예를 제공하고 있지 않아 아직 활성화되지 않고 있다. 버그 바운티 프로그램의 비활성화는 자칫 보안 위협으로 이어질 수 있어 국내에도 버그 바운티 프로그램의 활성화가 필요하다”며 “최고의 보안이 적용된 프로그램이나 시스템에도 보안 취약점이 존재할 수 있다. 기업에서는 뛰어난 화이트 해커들이 취약점을 찾아 제보하고 이를 패치하는 버그 바운티 프로그램을 적극적으로 운영하는 것이 현명한 선택일 것”이라고 강조했다.

한편 지난 Zer0Fest2017에서는 안랩 V3와 한컴 오피스 이외에도 이유찬(한양대), 이형섭씨가 macOS high Sierra 취약점을 찾아 현장에서 데모와 함께 취약점을 입증한 바 있다. 이 취약점은 애플사에 전달됐다.

마지막으로 POC 운영진은 “올해 4월에 있었던 Zer0Con(제로콘)에서 국내 대부분의 가정과 기업에서 많이 사용하고 있는 네트워크 장비들의 보안 취약점들이 발표되었다. 이에 대해 서비스 제공사인 KT와 LG U+의 대처가 늦어 현재까지 해결이 안되고 있다. 해당 취약점을 찾은 외국 해커는 오랜 기간 동안 패치가 되지 않은 것을 지적하며 지난 9월 경 관련 취약점의 상세 정보를 인터넷에 공개해 버렸다”며 “이 네트워크 장비에 대한 패치와 업체의 적절한 조치가 완전히 이루어졌는지 정부 차원의 추가 확인이 필요하다”고 덧붙였다. 이 취약점에 대한 보다 상세한 내용은 아래 데일리시큐 링크를 참고하면 된다.

-www.dailysecu.com/?mod=news&act=articleView&idxno=19246&sc_code=&page=&total=

★정보보안 대표 미디어 데일리시큐!★