세계적인 인기 누리는 압축 툴 ‘윈라’에서 심각한 취약점 발견

ACE 아카이브 압축 해제 시 사용하는 unacev2.dll에 위치한 취약점

unacev2.dll에 대한 소스코드 파일 없어...윈라 새 버전에서 호환성 삭제

[보안뉴스 문가용 기자] 전 세계적으로 높은 인기를 구가하고 있는 데이터 압축 툴인 윈라(WinRAR)에서 심각한 취약점이 발견됐다. 익스플로잇 할 경우, 특수하게 조작된 ACE 아카이브를 통해 임의의 코드를 실행할 수 있게 된다고 한다. 이 때문에 위험에 처한 사용자가 무려 5억 명이다.

이를 발견하고 실험을 통해 확인한 건 보안 업체 체크포인트(Check Point)로, WinAFL이라는 퍼저를 사용해 연구를 실시했다고 한다. “퍼징 실험을 진행하면서 윈라가 ACE 아카이브의 압축을 해제할 때 사용하는 unacev2.dll 라이브러리에서 보안 버그를 발견할 수 있었습니다.”

체크포인트가 지목한 라이브러리에서 발견된 취약점은 CVE-2018-20250으로 악성 행위자들이 시스템 내 임의의 폴더로 파일이 저장되도록 ACE 아카이브를 만들 수 있게 해준다고 한다. 즉 압축이 풀리는 장소를 공격자가 조정할 수 있다는 것이다.

체크포인트의 전문가들은 발견한 취약점을 익스플로잇 하는 실험을 진행했다. “윈라를 사용해 압축을 풀면, 사용자가 파일이 저장될 폴더를 지정할 수 있습니다. 하지만 이 취약점을 익스플로잇 하면 사용자가 지정한 폴더에 파일을 저장함과 동시에 공격자가 원하는 위치에 악성 파일을 저장하는 것도 가능합니다.”

그러면서 “예를 들어 공격자가 윈도우 시작 프로그램 폴더에 멀웨어를 심는 데 성공하면 윈도우가 부팅 될 때마다 멀웨어가 발동되도록 할 수도 있다”고 설명을 추가했다.

체크포인트는 충분한 실험을 거친 후 그 결과를 윈라의 개발사인 라랩(RARLab)에 알렸다. 라랩 측은 보고를 받은 후 “사용자를 보호할 수 있는 최고의 방법은 ACE 아카이브에 대한 호환성을 제거하는 것”이라고 결정을 내렸다. 이는 윈라 5.70 베타 1 버전부터 적용되어 배포되기 시작했다.

라랩은 “unacev2.dll 라이브러리는 2005년부터 업데이트 된 적이 없었다”며 “그래서 소스코드를 찾을 수가 없다”고 위와 같은 조치를 취한 이유를 설명했다.

​

맥OS 모하비에서 심각한 브라우저 프라이버시 침해 오류 발견

사파리 앱이 설치된 폴더, 원래는 다른 앱으로부터 접근 불가능

하지만 설계 오류 익스플로잇 해서 접근 가능...브라우징 히스토리 열람

[보안뉴스 문가용 기자] 애플의 맥OS에서 설계 결함이 발견됐다. 이를 악용할 경우 악성 애플리케이션을 통해 사파리 웹 브라우저의 브라우징 히스토리 정보를 훔치는 게 가능하다고 한다. 이 결함은 맥OS 모하비(Mojave)라는 이름으로 나오는 모든 버전의 OS에 존재한다. 최신 버전인 10.14.3도 포함된다고, 맥 및 iOS 개발자인 제프 존슨(Jeff Johnson)은 공개했다.

이 취약점의 근원은 특정 폴더들에서 앱에 대한 허용 대화창이 생성되지 않는다는 것에 있다. 즉 특정 앱에서 기능상의 이유로 사용자의 동의를 구하지 않고 뭔가를 수행한다는 것으로, 이런 폴더들은 대게 다른 앱에서의 접근이 금지되어 있다. 하지만 /Library/Safari 폴더와 같은 경우, 다른 앱을 통해 폴더 안으로 접근하는 게 가능하다고 한다.

존슨에 따르면 이 폴더 내에는 사용자의 웹 브라우징 히스토리 전체가 저장된다고 한다. 뿐만 아니라 사용자가 웹에서 읽었던 것의 목록, 원격 알림, 템플릿 아이콘 등까지도 열람이 가능하다. “모하비에서 사파리 폴더에 걸려 있는 보안 장치를 피해가는 법을 발견했습니다. 시스템이나 사용자의 허용을 구하지 않고도 사파리 폴더를 들여다보는 게 가능합니다.”

그는 블로그를 통해 이 같은 사실을 공개하며 “사용자의 확인을 구하는 창이 존재하지 않기 때문에 접근이 가능하다”고 설명했다. “즉, 누군가 악의적으로 이 폴더에 접근해 멀웨어를 심어 사용자의 웹 활동을 모니터링 할 수 있게 되는 겁니다. 아무도 몰래, 조용히 말이죠. 멀웨어만 하나 맥 모하비 시스템에 심으면 끝납니다.”

다행히 이러한 오류를 가지고 있는 건 맥 모하비뿐이라고 한다. “그렇다고 해서 맥OS 하이 시에라나 그 이전 버전들이 안전한 건 아닙니다. 오히려 그 버전들에는 프라이버시 보호 장치가 아무 것도 없다고 말할 수도 있습니다.”

그는 모하비와 그 이전 버전들에 대해 다음과 같은 비유를 들어 설명한다. “제가 모하비에서 발견한 사파리 폴더 접근 방법은, 자물쇠를 여는 것과 마찬가지입니다. 그렇다 하더라도 자물쇠가 잠겨 있는 게, 그렇지 않은 것보다 낫죠. 하이 시에라와 그 이전 버전들은 그냥 열려 있어요. 모하비는 허술하나마 잠겨 있고, 그 전의 OS들은 아예 잠금 장치가 없다는 겁니다.”

그러니 설계 오류가 있는 건 모하비뿐이라고 해도, 그가 발견한 방법을 가지고 Library/Safari 폴더에 접근이 가능한 건 하이 시에라와 그 이전 버전들도 마찬가지라는 것이다. “하이 시에라야 오래된 버전이고 점점 모하비로 대체되고 있기 때문에 그렇다 쳐도, 최신 버전인 모하비에서도 이런 문제가 있다는 건 심각한 문제입니다.”

존슨은 이 사실을 애플 측에 알렸다. 물론 세부적인 기술 내용도 함께였다. 애플은 이에 취약한 부분이 있음을 인정했다고 한다. 하지만 존슨은 이것이 소프트웨어 취약점이 아니라 설계의 결함이므로 해결책이 금방 나올 것 같지는 않다고 설명했다. 이 사실이 애플에 보고된 건 지난 주인데, 아직도 패치나 픽스가 나오지 않은 상태다.

​ 

참조사이트  
     

 http://www.dailysecu.com

 http://www.boannews.com

 http://www.boan.com

 http://www.dt.co.kr/

 http://www.datanet.co.kr/

 http://www.itdaily.kr

 [패치 및 업데이트]

알집(ALZip) 보안 업데이트 권고

□ 개요

 o 이스트소프트社의 알집에서 ACE 압축 포맷 취약점(CVE-2018-20250)을 해결한 업데이트 발표 [1]

 o 영향 받는 버전을 사용 중인 이용자는 해결 방안에 따라 최신 버전으로 업데이트 권고

□ 설명

 o ACE 압축 포맷을 위해 사용하는 동적 라이브러리의 설계가 미흡하여 임의 폴더에 악성파일을 저장할 수 있는 취약점(CVE-2018-20250)

  ※ unacev2.dll : ACE 저장 형식을 사용하기 위해 사용되는 동적 라이브러리

□ 영향 받는 제품

 o 알집

  - 10.86 이하 버전

□ 해결 방안

 o 제조사 홈페이지 또는 알집 업데이트 알림창을 참고하여 취약점이 해결된 버전(10.87) 버전으로 업데이트 수행 [1]

□ 기타 문의사항

 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]

[1] https://www.altools.co.kr/Support/Notice_Contents.aspx?idx=1712&page=1&t=2

 [최신 바이러스 정보]

Unwanted/Win32.NSSM
최초 발견일: 2019-03-06
종    류: 트로이목마
형    태: 실행파일
감염/설치경로: 파일실행, 메일, 다운로드
설   명: Unwanted/Win32.NSSM는 코인 마이너류 악성코드가 윈도우 서비스를 등록할 목적으로 이용할 수 있는 정상 프로그램을 실행시켜 채굴행위를 하는 악성코드이다.

Adware/Win32.Esprot

최초 발견일: 2019-03-06
종    류: 스파이웨어(애드웨어)
형    태: 실행파일
감염/설치경로: 파일실행, 메일, 다운로드
설   명 : Adware/Win32.Esprot는 다른 프로그램과 함께 번들로 설치되어 사용자가 원하지 않는 광고를 보여주거나 강제로 특정 웹사이트에 리디렉션 할 수 있는 악성코드이다.

Trojan/Win32.Generic.C3065288
최초 발견일: 2019-03-06
종    류: 트로이목마
형    태: 실행파일
감염/설치경로: 파일실행, 메일, 다운로드
설   명: Trojan/Win32.Generic.C3065288는 감염된 시스템의 보안상태를 취약하게 만들어 악의적인 행위를 수행하는 악성코드이다.

Trojan/Win32.Dapta.C3065498
최초 발견일: 2019-03-06
종    류: 트로이목마
형    태: 실행파일
감염/설치경로: 파일실행, 메일, 다운로드
설   명:  Trojan/Win32.Dapta.C3065498는 악성 DLL파일을 드랍하며 특정 네트워크와 통신하여 정보유출 및 악성파일 다운로드 등의 행위를 할 수 있다.

Trojan/Win32.XPack.C3061959
최초 발견일: 2019-03-06
종    류: 트로이목마
형    태: 실행파일
감염/설치경로: 파일실행, 메일, 다운로드
설   명: Trojan/Win32.XPack.C3061959는 Microsoft Word로 위장하여 PC의 파일들을 암호화하는 GANDCRAB V5.2 랜섬웨어이다.

http://www.viruschaser.com 

  http://www.viruslist.com

  http://alyac.altools.co.kr/

  http://www.ahnlab.com/

 ​

​

[보안TIP]

기업보안을 위한 CEO의 자가 점검 리스트 10가지

[보안뉴스= 신현구 중부대 교수] 한 기업의 경영을 책임진 최고경영자(CEO)를 비롯한 핵심임원은 경영에 대한 막중한 책임과 의무를 지고 회사를 위한 고뇌와 노력을 아끼지 않을 것이다. 경쟁사를 앞지르는 획기적인 신제품 개발을 통해 고객을 확보하고, 시장을 확대함으로써 기업 이익이 늘어나 임직원과 나눌 수 있기를 바라는 건 CEO가 가장 희망하는 일일 것이다.

그러나 실제로 신제품 개발은 어렵고 설령 성공리에 신제품을 개발한다 해도 소비자에게 그 가치를 인정받기까지는 여러 측면에서 녹록치 않은 게 현실이다. 또한, CEO라면 그 과정에서 불가피하게 핵심 개발 정보나 경영 정보들이 유출되지나 않을까 전전긍긍해 본 경험도 있고, 이런 손실은 생각보다 아주 쉽게 발생할 수 있다는 불안감도 가져봤을 것이다. 기술이나 경영 전략 등이 획기적 일수록 그 위험 정도는 정비례해서 더 크게 느껴질 것이다.

이런 걱정이 전혀 없더라도 연일 보도되는 기술 유출 사건사고나 산업스파이 소식, 정보 유출, 해킹, 경쟁사의 공정하지 못한 스카우트 등의 단어는 낯설지 않다. 이런 뉴스는 남의 일만이 아니라는 불안한 마음을 한두 번쯤은 갖게 된다. 그럼에도 보안을 강화해야겠다는 데까지는 생각이 미치지 못하는 경우가 많다.

기술유출 수사관의 말을 들어보면 고급 기술 정보 등은 이미 회사에 근무하는 핵심기술자 또는 임원 자택의 정보기기 안에 가득 차 있는 것이 현실이다. 심지어는 실시간으로 경쟁사에 근무하는 선후배나 지인을 통해 자연스럽게 고급 정보가 흘러 들어가기도 한다는 것이다. 이런 허술한 기업보안 환경의 배경에는 다음과 같은 CEO의 태도가 크게 작용하므로 CEO부터 자가 점검이 필요하다.

첫째, 나는 CEO이고 오너이기 때문에 회사규정을 지키지 않아도 된다.

둘째, 우리 직원들은 모두 다 가족 같아서 정보를 유출하거나 배반하지 않을 것이다.

셋째, 보안 시스템 구축은 괜히 앞서갈 필요없이 법적으로 의무화되거나 경쟁사가 먼저 도입한 이후에 도입하면 된다.

넷째, 매출과 개발 상황은 일일 관리하면서 핵심 인력관리와 보안에는 무관심하다.

다섯째, 창업 이래 우리 회사는 한 번도 기술이 유출된 적이 없다.

여섯째, 보안 부서나 보안 업무는 아무나 해도 무방하다고 생각하면서 보안사고가 발생하면 책임 추궁에는 엄격하다.

일곱째, 보안관리가 중요한 건 알지만, 많은 예산을 투입해야 해서 우리 회사 규모로는 할 수 없다.

여덟째, 외부자에 의한 도난·분실은 걱정하면서 내부자에 의한 고급정보 유출은 무관심하다.

아홉째, 고가의 보안장비만 도입하면 완벽한 보안이 될 수 있다.

열째, 보안부서의 예산은 ‘투자’가 아니라 ‘비용’이라고 생각한다.

‘CEO의 마인드가 곧 기업의 보안 수준’이라는 말이 있다. CEO가 보안에 관심이 있으면 앞서 말한 10가지 태도는 걱정하지 않아도 된다. CEO가 앞장서서 규정을 준수하고 솔선수범하며 보안조직에 힘을 실어 주고 정부부처나 관계기관 등의 도움을 받는 데 관심을 갖는다면 저렴한 비용으로도 보안체계 구축이 가능하다. 여기에 임직원이 뜻을 함께 한다면 자연스레 보안에 적극적인 분위기가 조성된다. 보안은 값비싼 보안 솔루션 도입보다 임직원의 의식과 적극적인 이행이 무엇보다 중요하다.

.http://www.krcert.or.kr/data/secNoticeList.do

http://www.microsoft.com/korea/security/default.mspx

http://www.adobe.com/kr/downloads/updates/