​비주얼 스튜디오라는 사용자 많은 프로그램에서 취약점이 발견됐다. 익스플로잇을 성공시키기가 쉽다고 하긴 어렵지만 기술적으로는 간단하여 주의가 요구된다. 게다가 개발자들이 주요 표적이 될 수 있어 더 위험할 수 있다.

[보안뉴스 문가용 기자] 마이크로소프트 비주얼 스튜디오 설치파일에서 발견된 취약점에 대한 경고가 나오고 있다. 이 취약점을 익스플로잇 하는 데 성공한다면 공격자들은 애플리케이션 개발자들을 속여 악성 엑스텐션을 설치하도록 유도하고, 결국 개발자들이 멀웨어를 개발해 퍼트리는 것과 마찬가지의 효과를 만들어낼 수 있게 된다. 또한 개발자 환경에 드나들어 각종 요소들을 통제하고, 지적재산을 훔칠 수도 있다고 한다.

​

[이미지 = gettyimagesbank]

문제의 취약점은 CVE-2023-28299이며, 일종의 ‘스푸핑 취약점’으로 분류됐다. MS가 이 취약점에 대한 패치를 배포하기 시작한 건 지난 4월의 일이다. 당시 MS는 해당 취약점이 중위험군에 속한다고 평가하며 실제 익스플로잇에 활용될 가능성은 낮다고 주장했었다. 하지만 이 취약점을 제일 처음 발견한 보안 업체 바로니스(Varonis)의 연구원들의 생각은 조금 다르다.

“CVE-2023-28299는 좀 더 면밀히 지켜봐야 할 취약점입니다. 익스플로잇 자체가 쉽고 시장 점유율 26%를 기록하고 있는 제품에 존재하기 때문입니다. 공격자는 이 취약점을 통해 유명 퍼블리셔를 사칭할 수 있게 되며, 유명한 이름을 등에 업고 의심을 덜 받은 채 악성 엑스텐션을 유포할 수도 있습니다. 그리고 이를 통해 민감한 정보를 훔치고 코드를 변경하거나 시스템에 대한 완전 장악도 가능하게 됩니다.”

CVE-2023-28299는 비주얼 스튜디오(Visual Studio)의 여러 버전에 영향을 준다. 개발자 환경에 통합된 버전들인 비주얼 스튜디오 2017부터 비주얼 스튜디오 2022까지 전부 취약하다고 볼 수 있다. 원래 사용자들은 ‘제품 이름’ 란에 정보를 기입할 수 없도록 비주얼 스튜디오 내에 보안 장치가 있는데, 이 취약점을 익스플로잇 하면 이 제한 사항을 극복할 수 있게 된다.

바로니스에 의하면 공격자들이 비주얼 스튜디오 엑스텐션(Visual Studio Extension, VSIX) 패키지를 열고, extension.vsixmanifest라는 파일 내 태그에 문자 몇 개 추가하는 것만으로 공격 준비가 완료된다고 한다. 물론 실제 공격에 성공하려면 알아두어야 할 세부적인 내용이 더 있긴 하지만 보안상의 문제로 상세히 공개하지는 않고 있다. “문자를 충분히 추가하면 비주얼 스튜디오 설치파일에 있는 모든 텍스트가 밑으로 밀려 내려가게 하고, 그렇게 함으로써 엑스텐션에 디지털 서명이 없다는 사실을 감출 수 있게 됩니다.”

악의적으로 꾸며진 엑스텐션을 개발자들에게 전달하는 방법에는 여러 가지가 있다. 하지만 대부분은 피싱이나 소셜엔지니어링 기법을 활용한다. 개발자들도 결국 사용자이기 때문에 사이버 공격으로부터 완전히 면역이지는 않다.

비밀번호 관리 소프트웨어 개발사인 라스트패스(LastPass)의 경우에도 최근 개발자 환경에 침투한 공격자들로 인해 큰 피해를 입었다. 해당 사건에서 공격자들은 한 개발자의 컴퓨터에 설치된 미디어 플레이어 애플리케이션의 취약점을 통해 침투했었다. 그리고 거기서부터 개발자 환경 깊숙한 곳에까지 들어갈 수 있었다. “그 외에도 공격자들은 실제 비주얼 스튜디오 엑스텐션과 거의 똑같은 이름을 한 패키지를 만들어 유포할 수도 있습니다.”

비주얼 스튜디오의 취약점이 MS가 생각했던 것보다 중대한 문제로 이어질 수 있는 건 “개발자가 표적이 될 수 있기 때문”이라고 바로니스는 강조한다. “개발자들은 보안에 그리 민감한 부류들이 아닙니다. 오히려 업무 상의 경험 때문에 오히려 보안에 반감을 가지고 있을 확률도 존재하죠. 게다가 개발자들은 핵심 업무를 주로 맡고 있기도 합니다. 회사의 지적재산을 가장 많이 다루기도 하지요. 공격자들이 노리기에 안성맞춤인 사람들입니다. 실제로 요즘 개발자 노리는 게 해커들 사이에서 유행하고 있기도 하지요.”

한 가지 다행인 건 이번 비주얼 스튜디오의 취약점을 익스플로잇 하려면 피해자가 반드시 직접 엑스텐션을 설치하는 시도를 해야 한다는 것이다. 공격자 편에서 피해자를 설득하거나 속이는 단계를 성공시켜야만 한다는 뜻이 된다. 그래서 이 취약점이 ‘초고위험도’로 분류되지는 않았다. 바로니스도 “모든 비주얼 스튜디오 사용자나 사용 기업이 위험하다고 말하기는 애매하다”는 입장이다.

“다만 저희 바로니스는 이 취약점이 적극적으로 익스플로잇 되기 시작할 경우, 상당히 큰 사건으로 번질 가능성이 높다고 보고 있습니다. 그렇기에 이번에 자사 블로그를 통해 취약점 관련 내용을 발표한 것이고요. 모두가 위험한 건 아니지만, 한 번 걸리면 꽤나 큰 손해를 입을 수 있는 종류의 취약점이라고 이해하여 조치를 취하는 것이 좋습니다.”

3줄 요약

1. 비주얼 스튜디오에서 악성 엑스텐션을 유포할 수 있게 해주는 취약점 발견됨.

2. 개발사인 MS는 크게 위험한 취약점은 아니라고 보고 있지만, 이 말만 전적으로 믿어서는 곤란.

3. 비주얼 스튜디오 사용하는 사람이라면 패치를 설치하는 게 안전.

[국제부 문가용 기자(globoan@boannews.com)]​ 

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=118978&page=1&mkind=1&kind=1)]