오픈소스 크로스 플랫폼 FTP 소프트웨어인 FileZilla 3.6.0.1(최신버전)에 DLL Hijacking 취약점이 발견됐다. 응용 프로그램에서 필요한 동적라이브러리를 로드할 때, 동적 라이브러리의 경로가 정확하게 명시되어 있지 않아 자동 호출 메커니즘에 의해 발생하는 취약점이다.
 
해당 취약점을 최초 발견해 취약점 보고서를 발표한 NSHC(허영일 대표) Red Alert팀은 “현재 패치되지 않은 취약점이기 때문에 FileZilla 사용시 각별한 주의가 요구된다”고 사용자 주의를 당부했다.
 
Red Alert팀은 “DLL(동적 연결 라이브러리)은 여러 함수의 공유 라이브러리로 사용되는 실행 파일로 동적 링크를 사용해 프로세스에서 해당 프로세스의 실행 코드에 포함되지 않는 함수를 호출해 사용할 수 있다”며 “DLL을 이용해 개발자는 효율적인 응용 프로그램 개발을 할 수 있지만 많은 프로그램이 DLL을 이용한 공격에 취약하기 때문에 보안가이드라인을 준수한 프로그래밍을 하지 않는 다면 공격자의 타깃이 될 수 있다”고 설명했다.
 
또 “DLL Hijacking 취약점은 윈도우 기반의 응용 프로그램이 DLL 파일을 로드하는 과정에서 DLL 파일의 경로가 정의되지 않아 발생하는 취약점”이라며 “안전한 프로그램을 개발하기 위해서는 로드하고자 하는 DLL파일의 전체 경로가 정의되어야 한다. 만약 DLL 경로가 지정되지 않으면 자동으로 DLL 파일이 탐색되게 되는데 이러한 메커니즘을 악용해 공격자는 해당 취약점을 이용한 공격을 수행할 수 있다”고 경고했다.
 
더불어 “DLL 파일 호출 시 최우선 순위는 응용 프로그램이 로드되는 디렉토리며 공격자는 응용 프로그램이 DLL파일을 로드하는 과정중 해당 디렉토리 내 존재하지 않아 다른 디렉토리에서 DLL 파일을 검색하는 특정 DLL파일을 찾아 특수하게 제작한 악성 DLL파일이 대신 호출될 수 있도록 할 수 있다. 이와 같은 취약성을 이용해 공격자는 공격 타깃 시스템의 최고 관리자 권한 탈취 및 임의의 코드를 실행할 수 있게 된다”고 밝혔다.
 
한편 대응방안에 대해 Red Alert팀은 “응용 프로그램 개발시 DLL파일을 로드할 때 로드하는 파일이름이 아닌 파일의 전체 경로를 사용하도록 해 예방해야 한다. 또 WebDAV 공유에서 DLL파일을 로드할 수 없도록 설정해야 하며 해당 취약점이 보안된 최신 버전의 응용 프로그램으로 업데이트해야 예방할 수 있다”고 전했다.
 
보다 자세한 사항은 Red Alert팀 페이스북 페이지에서 보고서를 다운로드할 수 있다.
-Red Alert팀: www.facebook.com/minkwon.gil#!/R3d4l3rt.Notice
 
데일리시큐 길민권 기자 mkgil@dailysecu.com