2021-08-03 20:10 (화)
공격자, 윈도우10 실행하는 로그인 시스템 취약점 악용…주의
상태바
공격자, 윈도우10 실행하는 로그인 시스템 취약점 악용…주의
  • hsk 기자
  • 승인 2021.07.20 12:53
이 기사를 공유합니다

윈도우 10 Hello 얼굴인증 프로세스 우회 방법 공개돼

사이버아크 랩스(CyberArk Labs) 보안연구원들이 윈도우 Hello 얼굴 인증 프로세스에 영향을 미치는 CVE-2021-34466 취약점을 발견했다.

공격자는 윈도우10을 실행하는 로그인 시스템에 취약점을 악용할 수 있다. 마이크로소프트는 이미 7월 패치 튜스데이를 통해 취약점을 수정했다.

시큐리티어페어스 보도에 따르면, 윈도우 Hello는 사용자가 지문, 홍채 스캔 또는 얼굴로 기기 잠금을 해제할 수 있는 윈도우10 보안 기능이다. 해당 기능은 IR(적외선) 카메라를 사용하여 사용자 얼굴을 스캔하며, 카메라에는 RGB 및 적외선을 관리하는 두 개의 개별 센서가 있다.

연구원들은 적외선 카메라 프레임만 인증 과정에서 처리된다는 사실을 발견했다. 유효한 단일 적외선 프레임을 사용하여 인증 우회가 가능하다는 것이다.

전문가들은 “이 USB 장치는 로그인 단계를 우회하기 위해 피해자의 정품 IR 프레임만 보내면 되지만, RGB 프레임에는 무엇이든 포함될 수 있다. 또한 더 진행된 연구를 통해 타깃의 프레임이 많이 필요하지도 않다는 것을 알아냈다.”고 말했다.

또한 “하나의 적외선 프레임과 완전한 검은색 프레임만 있으면 된다. 버퍼에 유효한 적외선 프레임 하나만 보내려고 했을 때, 윈도우 Hello는 우리 입력을 유효한 것으로 받아들이지 않았지만 블랙 프레임과 유효한 적외선 프레임을 모두 보냈을 때에는 성공했다”고 설명했다.

사이버아크 연구원들은 해당 결함의 악용이 어렵다고 지적했다. 기기에 물리적으로 접근 가능한 공격자는 사용자의 좋은 적외선 이미지가 필요하기 때문이다.

따라서 카메라를 들고 사람 옆을 지나가거나, 적외선 카메라를 사람이 통과할 장소에 설치해 이미지를 얻어야 한다. 그런 다음, 스푸핑된 이미지를 삽입하는데 사용할 맞춤형 USB 장치를 시스템에 연결해야 한다.

마이크로소프트는 지난 7월 13일, 해당 이슈를 완화하는 보안 업데이트를 발표하며 “윈도우의 향상된 로그인 보안을 사용하는 사용자는 해당 공격으로부터 보호된다. 향상된 로그인 보안은 장치 제조 업체가 시스템에 미리 설치한 특수 하드웨어, 드라이버 및 펌웨어가 필요한 윈도우의 새로운 보안 기능이다”라고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★