제로데이 취약점 업데이트 무시, 라자루스 등 관리자-커널 경계 우회
사전 ‘알람’ 불구 방치, 라자루스 악성 코드 ‘FudModule’ 여유있게 주입
“은밀하고 효과적인 개념 증명(PoC) 개발 시간 벌어준 셈” 비판 쇄도
[애플경제 전윤미 기자] 마이크로소프트가 최근 ‘라자루스’ 등에 의한 윈도우 해킹을 받기까지 보안을 무척 허술했던 것으로 밝혀졌다. 사전에 윈도우의 심각한 취약점을 인지했음에도 불구하고 6개월 동안 패치되지 않은 채로 방치한 탓이 크다는 지적이다.
보안매체 ‘사이버레디’와 IT프로포탈 등에 의하면 MS는 ‘Windows AppLocker’의 경우 공격자가 몇 달 동안 관리자-커널 경계를 우회할 수 있도록 허용할 수 있음에도 불구하고, 이에 영향을 끼치는 제로데이 취약점을 업데이트하지 못했다. 못한 건지, 안한 건지는 일단 두고 볼 일이다. 문제는 “해당 결함이 활발하게 악용되고 있다는 알림을 받았음에도 불구하고 방치했다”는 것이다.
보안업계, ‘취약점 악용 방치’ 맹비난
또 보안 전문기관 ‘Avast’이 공개한 보고서에 따르면 ‘CVE-2024-21338’ 취약점의 세부 정보와 함께 이를 악용한 라자루스 그룹의 활동 수법과 경로가 적나라하게 알려져있다.
특히 MS는 이 결함을 6개월 동안 패치하지 않은 상태로 둠으로써 라자루스 그룹이 대상 시스템에 ‘FudModule’이란 악성 코드를 주입할 수 있게 했다. 즉, 악성 코드를 여유있게 심어둘 만큼, 은밀하고 효과적인 개념 증명(PoC)을 개발할 수 있는 시간을 허락한 셈이란 지적이다.
특히 ‘Avast’에 따르면 또 취약점 ‘CVE-2024-21338’은 (미국) 국가 취약점 DB 기준으로 CVSS 7.8에 달할 만큼 위험성이 크다. 그럼에도 불구하고, 라자루스가 이를 악용한 루트킷 공격을 실행하는 데 악용될 수 있는 ‘Windows 커널 권한 상승’을 허용한채 내버려 둔 것을 밝혀졌다.
지난 2월에 발표된 보안 업데이트에서 MS 스스로도 결함의 세부 사항을 설명하면서 “이 취약점을 성공적으로 악용할 경우 공격자가 시스템 권한을 얻을 수 있다”고 뒤늦게 경고하기도 했다.
보안업계로부터 해커 방지 엑세스 익스플로잇 받고도 ‘늑장’
‘Avast’도 지난해 8월에 “만약에 공격자가 제대로 악용할 경우 이 결함은 잠재적 위협 행위자에게 상당한 액세스를 허용한다”면서 “그런 엑세스를 허용하는 맞춤형 개념증명(PoC) 익스플로잇을 개발, 마이크로소프트에 제공했다”고 밝혔다. 라자루스 공격에 앞서 이미 수 개월 전에 MS측에 자세한 사전 대비책을 제공한 셈이다.
이에 따르면 제공된 내용에는 위협 행위자들이 이 결함을 적극적으로 악용하고 있음을 보여주는 정보가 포함되어 있다. 그래서 “MS가 사전에 라자루스의 공격을
예방하기 위한 대책을 마련하는데 왜 그렇게 오랜 시간이 걸렸는지”에 대한 의문이 제기되고 있다.
이 취약점에 대한 패치는 2024년 2월 보안 업데이트에 출시되었다. 그러나 위협 행위자가 적극적으로 악용하는 결함에 대한 정보는 포함되지 않았다.
문제의 결함을 통해 라자루스 그룹은 커널 읽기/쓰기 기본 요소를 설정함으로서 데이터 전용 ‘FudModule’ 루트킷을 반복해서 직접적인 커널 개체 조작을 수행할 수 있었던 것이다.
‘Avast’는 또 “본사 팀이 업데이트된 루트킷 변종을 완전히 새롭게 엔지니어링한 후 더 나은 기능과 스텔스 속성, 완전히 새로운 4가지 루트킷 기술을 만들어 이전 버전에서 발견된 문제점들을 개선할 수 있었다”고 밝혔다.
새 버전의 향상된 기능 중 하나는 PPL(Protected Process Light) 프로세스를 일시 중단하기 위해 새로운 핸들 테이블 항목 조작 기술을 사용한다는 점이다. PPL은 Microsoft Defender, CrowdStrike Falcon 및 HitmanPro와 같은 인기 있는 바이러스 백신 소프트웨어에 연결된 프로세스다.
보안전문가들 “라자루스 수법과 기술에 경악”
MS는 앞서 지난 1월 “‘Midnight Blizzard’ 해커 그룹이 사이버 공격을 통해 소스 코드와 내부 시스템에 접근했다”고 밝혔다. 라자루스 그룹은 이전에 커널 수준 권한 상승을 위해 BYOVD(Bring Your Own Weakable Driver) 기술을 사용하는 것으로 알려져 있었다. 하지만, 이 경우 대상 시스템에 이미 설치된 제로데이 취약점을 악용한 수법이다.
전문가들은 라자루스 그룹이야말로 가장 악랄하면서도 기술 수준이 높고, 경험이 풍부한 해킹 집단 중 하나라는데 의견을 같이 한다. 그래서 “이 그룹의 전술이 잘 알려져 있음에도 불구하고 여전히 보안 전문가들로선 매번 깜짝 놀랄 만한 수법을 구사한다”는 것이다.
특히 ‘FudModule’ 루트킷은 라자루스가 보유하고 있는 가장 복잡하면서도 최첨단의 침투 도구 중 하나로 꼽힌다. 그러나 MS의 이번 사례를 반면교사로 삼아 이를 무력화하는 패치로 인해 이들은 어려움에 처했다. 그래서 “종전의 BYOVD 공격 방법으로 돌아가거나 악용하기 쉬운 새로운 제로데이 익스플로잇을 호시탐탐 노릴 것”이란 전망이다.