보안 취약점과 CVE 코드

취약점(vulnerability)

이번 포스팅은 취약점에 대해 하겠습니다. 취약점이란 국어사전에서 찾아보면 무르고 약한 점이라고 설명되어 있습니다. 컴퓨터 관련 뉴스를 보면 취약점에 대해 말하는 것을 볼 수 있습니다.

컴퓨터에서의 취약점이란 보안상의 문제점을 안고 있는 컴퓨터 시스템의 약점을 말합니다. 컴퓨터에서의 무르고 약한 부분을 말하는 것입니다. 컴퓨터 사회가 갖는 취약성에는 외적 요인과 내적 요인의 두 가지가 있습니다.

외적 요인이란 컴퓨터에 대한 범죄 행위나 자연 재해와 같이 컴퓨터 그 자체에 외부로부터 가해지는 것에 대한 취약성입니다. 컴퓨터에 관련된 범죄나 컴퓨터의 고장에 의한 사회의 혼란 등이 컴퓨터 사회의 취약성으로 눈을 돌리게 하는 요인이 되고 있습니다.

내적 요인이란 컴퓨터 스스로가 만든 취약성입니다. 예를 들면 데이터의 집중이나 컴퓨터 센터의 지리적 집중 등이 취약성을 만드는 내적 요인이 될 수가 있습니다.

 

보안의 취약점

보안의 취약점이란 공격자가 시스템의 정보 보증을 낮추는데 사용되는 약점입니다. 취약점은 세 요소의 교집합입니다. 시스템 민감성 또는 결함, 공격자가 결함에 대한 접근 그리고 공격자가 결함에 대한 익스플로잇 가능성을 말합니다. 취약점을 익스플로잇하기 위해서, 공격자는 반드시 시스템의 약점에 접속할 수 있는 적어도 하나의 툴이나 기법을 가져야 합니다. 이 경우에, 취약점은 또한 공격 영역이라고도 불립니다.

 

제로 데이 공격(0-day attack)

제로 데이 공격(또는 제로 데이 위협, Zero-Day Attack)은 컴퓨터 소프트웨어의 취약점을 이용해 공격하는 기술적 위협입니다. 해당 취약점에 대한 패치가 나오지 않은 시점에서 이루어지는 공격을 말하는데 이러한 패치가 나오지 않은 상태에서 공격한다면 막을 수 있는 방법이 없습니다. 이러한 시점에서 만들어진 취약점 공격(익스플로잇)을 제로 데이 취약점 공격이라고도 합니다.

제로 데이 공격 대상물이 되는 프로그램은 공식적으로 패치가 배포되기 전에 시작됩니다. 이런 프로그램들은 보통 대중들에게 공개되기 전 공격자들에게로 배포됩니다. 단어의 어원은 공격이 감행되는 시점에서 유래한 것입니다. 제로 데이 공격 대상물은 대중과 프로그램 배포자들이 잘 모르고 있는 것이 특징입니다.

 

CVE (Common Vulnerabilities and Exposures)

CVE란 Common Vulnerabilities and Exposures의 약자입니다. 이것을 해석한다면 컴퓨터 보안 취약점에 대한 데이터베이스의 일반적인 취약점 및 노출입니다. CVE는 취약점이라고 생각하면 됩니다. 하루에도 수 십개씩 취약점이 발견되고 있습니다. 이러한 취약점의 발견은 따로 모아두어 관리를 해야할 것입니다. 너무 많아서 관리하기 힘들기 때문입니다.

또한 패치가 나오지 않은 취약점들도 해당 취약점을 가진 회사에게 알려주어 취약점에 대한 패치가 이루어져야 합니다. 이러한 것을 데이터베이스로 관리하고 있는 것이 CVE입니다. CVE코드는 년도로 구분할 수 있고 CVE-년도-번호 순으로 작성합니다. 따라서 CVE-2017-001이면 2017년에 발견된 001이라는 숫자코드를 가진 취약점이라고 보시면 됩니다. 따라서 CVE코드를 구분할 때는 저런 방식으로 구분하면 될 것 같습니다.

최신 취약점

가장 최신의 뉴스에 보면 파워포인트만 열어도 악성코드에 감염된다는 뉴스가 있습니다. 이것도 파워포인트의 취약점을 이용한 것입니다. 어떤 방식으로 감염이 되는 것인지 설명하도록 하겠습니다.

마이크로소프트(MS)의 파워포인트 파일만 열어도 악성코드에 감염되는 해킹 공격이 8월 들어 국내서 발견되었다고 합니다. 별다른 행위 없이 파일만 다운로드 받아도 감염되는 데다, 국내외 주요 보안업체의 바이러스 탐지프로그램도 교묘하게 피하고 있어 주의가 요구됩니다.

국내에서 MS 오피스의 원격코드 실행 취약점(CVE-2017-0199)을 활용한 해킹 피해 사례가 확인되었습니다. 이러한 원격코드 실행 취약점은 실행만 하더라도 해커들이 원하는 동작을 실행할 수 있기 때문에 조심해야 합니다.

해커는 온라인으로 구매한 상품의 배송정보가 들어가 있는 것으로 위장한 악성 파워포인트 첨부파일을 이메일을 통해 무작위로 전송했다고 합니다. 이후 피해자들이 해당 파워포인트 파일을 다운로드하면, MS의 보안기능을 우회하는 'CVE-2017-0199' 취약점을 활용해 이용자 PC에 잠입하며 PC를 조종할 수 있습니다.

자동 업데이트를 하지 않거나, 구 버전의 MS오피스를 사용한다면 단순 다운로드만으로도 감염될 수 있습니다. 국내 업무용 소프트웨어(SW) 시장에서 MS오피스가 차지하는 점유율이 70%에 달하는 만큼, 업데이트에 소홀한 중소기업을 중심으로 피해가 더 커질 수 있습니다.

특히 'CVE-2017-0199' 취약점 외에도 MS오피스를 겨냥한 해킹 공격이 잇따르고 있어, 보안업계에선 MS오피스를 수시로 업데이트해야 한다고 조언합니다.

실제 올해 전세계 MS오피스 사용국가의 취약점을 파고드는 해킹 피해사례가 수십여건 발견되었습니다. 지난 5월 전세계를 랜섬웨어 광풍에 몰아넣었던 '워너크라이' 역시 MS오피스의 보안취약점을 파고들어 확대되었습니다.

예방방법

이러한 취약점에 당하지 않기 위해서는 이메일로 오는 첨부파일을 무심코 열면 안된다는 것입니다. 열기만 해도 바로 감염이 진행되기 때문에 첨부파일을 열면 안됩니다. 이번에 활용된 것은 파워포인트 파일이지만 이전에는 엑셀, 워드, PDF등 많은 파일들이 이용되었습니다.

그러한 파일들도 전부 취약점을 가지고 있고 취약점을 이용한 공격을 해커들이 좋아하는 공격이기 때문입니다. 따라서 이러한 취약점에 당하지 않기 위해서 업데이트를 꾸준히 하여 최신버전을 유지하는 것이 중요하고 첨부파일을 조심히 다뤄야 하겠습니다.