2023년, 공격자들은 피해자의 시스템 내에서 자신들의 권한을 높이기 위해 다양한 수단을 활용했다. 그러면서 커널에 대한 접근도 적극 모색됐는데, 그 중 CLFS 드라이버에서 나온 제로데이가 꽤나 유용했다고 한다.

[보안뉴스 문가용 기자] 지난 1년 반 동안 공격자들은 커널 층위의 윈도 드라이버에서 최소 다섯 개의 취약점들을 발견해 공략했다. 이 중 네 가지는 제로데이 취약점이었다. 보안 업체 카스퍼스키(Kaspersky)에서 최근 자사 블로그를 통하여 커널 층위에서 발견된 이 다섯 가지 취약점들을 정리해 발표했다. 단순 소프트웨어 취약점이 아니라 현대 윈도 OS의 로그 파일 시스템인 CLFS의 구조적 결함까지 지적됐다.

​

[이미지 = gettyimagesbank]

CLFS는 고성능, 다목적 로깅 시스템으로 사용자 모드 혹은 커널 모드 소프트웨어 클라이언트들에 장착이 가능하다. 커널에 접근이 가능하기 때문에 해커들이 이 CLFS에 접근하는 데 성공하게 된다면 저층위의 시스템 권한을 악용할 수 있게 된다. 또한 ‘고성능’을 추구하느라 몇 가지 보안 구멍들이 생기는 것이 간과되었는데, 최근 들어 공격자들이 이 지점을 파고들고 있다.

보안 업체 카스퍼스키의 글로벌 연구 및 분석 팀의 보리스 라린(Boris Larin)은 “커널 드라이버들로 파일을 처리할 때 매우 조심해야 한다”며 “커널 드라이버에서 발견된 취약점을 해커들이 익스플로잇 할 경우 큰 사건으로 이어질 수 있기 때문”이라고 강조한다. “그럼에도 현재 상태의 CLFS에서는 구조상 CLFS 파일들을 안전하게 확인하는 과정을 도입하는 게 불가능에 가깝기 때문에 아쉽습니다. 지금 발견된 취약점들과 비슷한 취약점들이 앞으로도 꾸준히 나올 수 있다는 소리입니다.”

현재 윈도 CLFS가 가진 문제

win32k 층위에서 제로데이 취약점이 나오는 것 자체가 호들갑 떨 정도로 놀랍고 공포스러운 일은 아니라고 라린은 먼저 짚는다. “커널 층위에서는 이따금씩 취약점들이 발견되곤 합니다. 다만 이렇게나 많은 CLFS 드라이버 익스플로잇들이 짧은 시간 동안 실제 해킹 공격에 한꺼번에 활용된 적은 한 번도 없었습니다. 한 해에 이렇게 많은 커널 취약점을 공격자와 보안 업계 모두에서 발견했다니, 이건 CLFS 자체에 뭔가 문제가 있다고밖에 볼 수 없는 현상입니다.”

그렇다고 올해 CLFS 드라이버들에 심각한 변경이 있었던 것도 아니다. “공격자들이 현존하는 CLFS 시스템에서 심각한 문제가 있음을 올해 인지한 것으로 보입니다. 그 동안 계속해서 존재해 왔던 문제를 이제야 파악하기 시작한 것이죠. 그리고 그 뿌리에는 ‘성능 vs. 보안’이라는 오래된 균형의 난제가 존재하지요.”

라린은 “현재의 CLFS는 너무나 성능과 속도에만 치우쳐져 있는 듯이 보인다”는 의견이다. “커널 구조들의 덤프가 하나의 파일 안에 전부 작성되어 있는 것보다, 알맞은 파일 포맷만 사용되도록 구조를 변경하면 위험성이 어느 정도 줄어들 수 있습니다만, 지금의 CLFS보다 사용하기 불편하겠지요. 지금 커널 구조들과 포인터들에서 일어나는 모든 변경들은 디스크에서부터 읽어 들인 블록들에 저장됩니다. 그리고 저장된 내용들은 다시 디스크로 옮겨가는데, 이 때 조금 더 철저한 점검 기능이 도입되어야 합니다. 그러면 속도가 느려지긴 하겠지만요.”

라린은 CLFS를 처음 설계할 때부터 성능과 속도가 키워드였을 거라고 보고 있다. 그러면서 CLFS가 실제 구현될 때까지 개발자들은 성능과 속도를 위주로 중요한 선택들을 했을 것이고, 이것들이 쌓이고 쌓이면서 적잖은 취약점이 되었다는 게 그의 추론이다. “지금 윈도 CLFS에는 익스플로잇이 쉽고 위험도가 높은 취약점이 꽤나 많습니다. 2023년 한 해에만 CVE-2023-24521, CVE-2022-37969, CVE-2023-23376, CVE-2023-28252가 발견되고 또 실제 공격에 활용됐습니다. 전부 7.8점짜리 위험도를 가진 ‘고위험군’ 취약점들이었죠.”

그 다음 다섯 번째로 발견된 취약점이 하나 더 있는데, 위 네 개가 전부 제로데이 상태로 발견된 것과 달리 실제 익스플로잇 행위가 발견되기 하루 전에 패치가 되어 다행히 제로데이라는 타이틀을 갖게 되는 상황은 모면할 수 있었다. “이 모든 취약점들을 많은 사이버 공격 단체들이 인지하고 있고 익스플로잇까지 하고 있습니다. 노코야와(Nokoyawa)라는 랜섬웨어 공격 단체가 대표적입니다.”

이 문제들을 해결하려면 근본적으로 CLFS의 구조 자체가 개선되어야 한다는 게 라린의 설명이다. “하지만 디자인을 변경한다 하더라도 해커들은 계속해서 CLFS를 칠 것이고, 그러므로 CLFS는 거의 항상 위험에 시달릴 것입니다. CLFS 자체가 커널 층위에서 기능을 발휘한다는 사실 자체는 바꿀 수 없기 때문입니다. 그러므로 CLFS를 사용하는 모든 기업과 기관들은 CLFS가 위험하다는 걸 인지하고 보안 기본 수칙을 항상 철저히 지키도록 해야 합니다. 펌웨어를 항상 업데이트 하고, 보안 제품을 설치해 엔드포인트와 네트워크를 보호하고, 서버에 대한 접근 권한을 철저히 관리하는 등 조직 차원에서의 전체적인 체질 개선과 강화가 필요합니다.”

3줄 요약

1. 랜섬웨어 공격자들, 올해 윈도 CLFS 시스템 적극 공략.

2. CLFS는 커널 층위의 시스템이라 공격자들이 많이 노릴 수밖에 없음.

3. 올해 CLFS에서 다섯 개 취약점이 실제 해커들의 손에 공략됐는데, 이는 기록적인 수.

[국제부 문가용 기자(globoan@boannews.com)]​ 

[출처 : 보안뉴스(https://m.boannews.com/html/detail.html?mtype=6&tab_type=1&idx=125175)]