2024-03-29 22:20 (금)
패키지 소프트웨어의 보안 취약점 및 대응 방안
상태바
패키지 소프트웨어의 보안 취약점 및 대응 방안
  • 길민권
  • 승인 2013.10.28 16:16
이 기사를 공유합니다

제조사, 시큐어코딩 준수 및 취약점 안전하게 제거됐는지 컨설팅 필요
이용기관, PC 포함 사내 시스템 최신 업데이트 현황 주기적 관리 필요
최근 소프트웨어 보안품질에 대한 중요성이 커지면서 국가적으로 안전한 프로그래밍을 위한 정책이 추진되고 있다. 이러한 정책이 활성화되면 소프트웨어를 이용하는 기관·기업·개인이 더욱 안전하게 소프트웨어를 사용할 수 있다.
 
◇패키지 소프트웨어와 보안성=소프트웨어는 그 종류가 매우 다양하지만 크게 SI 프로젝트를 통해 구현되는 것과 패키지로 구현된 것으로 나눌 수 있다. 전자의 경우 소스 코드를 보유하고 있어 개발 단계에서부터 ‘안전한 코드화’를 시킬 수 있다. 후자의 경우 패키지 소프트웨어가 가져야 하는 ‘보안성 인증 제도’ 등을 통해 보안을 검증 받는 방법이 있다.
 
회사에서나 개인적으로 사용하는 패키지 소프트웨어는 운영체제와 같은 시스템 소프트웨어, 인터넷 웹 서핑을 위한 브라우저, 문서 생산성을 위한 워드, 한글, 파워포인트, 엑셀 등이 있다. 또한 디자인을 위해 사용하는 포토샵과 일러스트, 동영상을 보기 위한 동영상 플레이어 등이 있다.
 
브라우저에서 기본적으로 제공하지 않는 기능을 사용하기 위해 설치하는 플러그인 패키지 소프트웨어도 패키지 소프트웨어로 분류할 수 있다. 여기에 해당하는 소프트웨어로는 ‘공인인증 모듈’, ‘키보드 보안’, ‘온라인 백신’, ‘PDF reader’, ‘Flash’, ‘Java’ 등이 대표적이다. 온라인 결재를 위해 설치되는 결재 모듈, 게임 서비스 이용 시 설치되는 게임 관리 모듈 등도 일반 이용자들이 많이 이용하고 있는 소프트웨어다. 이러한 소프트웨어들은 Massive Distribution의 특징을 가지고 있다. 즉, 특정 회사나 개인만 이용하는 것이 아닌 보편적 설치·이용의 특징을 가지고 있다는 것이다.
 
일반적으로 패키지 소프트웨어 기업들은 자사 소프트웨어의 취약점 해결에 많은 공을 들이고 있다. 취약점을 전문적으로 연구하는 개인이나 기업으로부터 새롭게 발견된 취약점을 구입하고 적극적으로 보안 패치를 진행 하고 있다.
 
보안패치는 1)취약점 발견, 2)보안패치 적용, 3)보안패치 릴리즈의 순서로 진행이 되는데 이 3가지 모두 중요한 과정으로 어느 하나가 소홀해 진다면 해당 취약점은 이용자 단말의 권한을 빼앗거나 악성코드를 몰래 침투시키는 데 악용된다.
 
패키지 소프트웨어를 개발하여 제공·판매하는 기업은 제품 출시 이후 발견되는 취약점에 대해 보다 능동적으로 찾아내고 해결하는 활동을 게을리하지 않고 있으며 지속적인 패치 활동을 적극적으로 하고 있다. 다만, 사용자가 배포되는 보안 패치를 적용하지 않는다면 취약점은 그대로 존재하게 된다. 따라서 기업의 패치 노력만큼이나 개인의 보안 패치 업데이트 실행이 반드시 수반되어야 안전한 소프트웨어 사용이 가능해진다.
 
◇주먹구구식 패치로 인해 패치 관리 미흡=국내 패키지 소프트웨어의 취약점들은 KISA의 ‘S/W 신규 보안 취약점 신고 포상제' 이후 국내 화이트 햇 해커들에 의해 활발하게 신고되고 있고 벤더사의 발 빠른 대처로 미래에 발생 가능한 위협을 적절히 예방하고 있다. 하지만 외산 소프트웨어에 비해 소스코드 오디팅(감사)의 중요성에 대한 인식이 상당히 부족하기 때문에 패치된 이후에도 조금만 우회하면 재공격이 가능하기도 하다. 또한 몇 번의 패치 후 이전에 패치된 취약점이 다시 발생하는 등 주먹구구식 패치로 인해 패치 관리가 미흡한 게 아니냐는 비판을 받기도 했다.
 
최근 이글루시큐리티에서 KISA에 제보한 ‘한글 2010 소프트웨어의 차트 취약점’을 살펴보면 제조사에서는 취약점이 공격되지 않도록 신속히 패치를 적용하였으나 패치 적용 시에 에러 핸들링 등에 각별히 유의하고 취약점 발생의 원인을 근본적으로 제거하였는지는 의문이다.
 
◇패키지 S/W의 보안 위협과 대응 방안=패키지 S/W의 보안 위협에 대해 좀 더 살펴보면 국내 유명 동영상 플레이어들의 경우 파일 포맷(AVI, MKV, MP4, ASX 등)을 조작하여 토렌트 또는 P2P 사이트를 통해 배포될 경우 불특정 다수를 공격할 수 있을 뿐만 아니라 봇넷 등에 활용될 수 있으므로, 패키지 소프트웨어 개인 이용자들은 각별히 유의해야 된다.

또한 한글 같은 워드프로세서의 경우 한글 문서 내의 이미지 사이즈를 비정상적으로 조작해 오버플로우, 확장 문자열 포인터 조작, 차트 오프셋 조작 등 다양한 취약점이 발생 가능하고 해커들은 이를 APT 공격에 활용할 수 있다.

그 외 금융권에서 많이 사용하고 있는 브라우저 추가모듈은, 그 이용자 수 때문에 강한 파급력을 가질 수 있는데 이러한 추가 모듈의 취약점을 이용하면 해커는 금융 사이트의 패스워드 탈취, 공인인증서 유출, 파밍 등의 기능을 갖는 악성코드를 삽입할 수 있다.

이러한 위협에 대해 대비하기 위해 패키지 소프트웨어 제조사들은 시큐어코딩을 준수해서 개발하는 등 개발 단계에서부터 안전한 프로그램을 만들기 위해 노력을 해야 한다. 사전에 보안 취약점이 생기지 않도록 하는 것이 사후에 업데이트 하는 것보다 더욱 경제적이기 때문이다. 또한 개발 단계에서 발견되지 않은 취약점은 버그바운티 프로그램을 통해 취약점을 배포 사후에 찾아내고 이를 제거하기 위한 노력을 기울여야 할 것이다.
 
최근 소프트웨어의 취약점을 전문적으로 찾아내거나, 이러한 취약점을 제거하도록 돕는 전문 인력들이 증가하고 있는 것은 반가운 일이다. 또한 패치 적용 시 해당 패치가 일회성으로 이루어지지 않도록 취약점의 내용을 정확하게 이해하고 업데이트하는 것이 매우 중요한데 이를 위해 패치된 소프트웨어는 취약점 전문가에 의해 해당 보안 취약점이 안전하게 제거되었는지 컨설팅을 받아야 할 것이다.
 
개인 사용자가 업데이트를 기피하는 경우가 있는데 소프트웨어 업데이트 시 제조사에서 사업 목적 상, 개인이 꺼려하는 키워드 검색 광고, 끼워팔기 등으로 업데이트에 대한 불신을 갖기 때문이다. 따라서, 소프트웨어 제조사들은 보안 업데이트가 다른 기능 때문에 개인 사용자로 하여금 업데이트를 기피할 여지가 있는지 세밀하게 살펴야 한다.

패키지 소프트웨어 이용 기업/기관은 도입된 패키지 소프트웨어가 항상 최신의 상태를 유지하도록 관리하여야 한다. 업데이트 관리 소프트웨어를 이용하여 관리하는 것이 편리하지만 보안관리 관점에서 단순 솔루션에만 의지하지 말고 PC를 포함한 사내 시스템의 최신 업데이트 현황을 주기적으로 파악하는 등 관리/감독을 철저하게 이행해야 할 것이다.

패키지 소프트웨어를 이용하는 일반 이용자의 경우 1)윈도우에서 제공하는 자동 업데이트 기능 활성화, 2)인터넷 뱅킹 등 온라인 서비스에서 제공하는 보안 업데이트 설치·이용, 3)일상적으로 이용하는 동영상 재생기, 플래시 플레이어 등의 보안 업데이트 설치·이용, 4) 패키지 소프트웨어 업데이트 시 보안 업데이트 우선 설치 등을 유의해야 할 것이다.
 
[글. 이글루시큐리티 선행기술연구소 김동우 소장]

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★