마이크로소프트의 ASLR, 새 시스템서 작동 안 한다

비스타 때부터 등장한 보안 기능, 윈도우 8 이후부터 제대로 작동 안 해
아직 완벽한 패치 없어...레지스트리 편집하는 방법으로 임시 보호 가능

[보안뉴스 문가용 기자] 마이크로소프트 윈도우 최신 버전들이 특정 공격에 취약하다는 사실이 공개됐다. ASLR에서 발견된 취약점 때문인데, 특히 마이크로소프트의 EMET 혹은 WDEG를 통해 시스템 전체적으로 ASLR이 활성화된 윈도우 8, 윈도우 8.1, 윈도우 10이 취약하다고 한다. EMET는 ‘강화된 완화 경험 툴킷(Enhanced MItigation Experience Toolkit)’의 약자이고, WDEG는 ‘윈도우 디펜더 익스플로잇 가드(Windows Defender Exploit Guard)‘를 뜻한다.

[이미지 = iclickart]

카네기멜론대학의 취약점 분석가인 윌 도르만(Will Dormann)이 발견한 이 ASLR 내 취약점은 “ASLR의 보호 기능 자체를 전부 무력화시킨다”고 한다. ASLR은 윈도우 비스타와 함께 등장한 것으로 코드 재사용 공격을 막는 역할을 해왔다. 실행 가능한 모듈들을 무작위 주소에 로딩시킴으로써 예상 가능한 메모리 영역에서 코드가 실행되는 걸 방지하는 기능을 실시했던 것이다. 메모리 커럽션 취약점들을 익스플로잇 할 수 없도록 하는 방어 장치였던 것.

그것이 윈도우 8 이후부터는 시스템 전체적으로 필수 적용되기 시작했다. 관리자 계정으로 로그인하면 애플리케이션의 위치를 무작위로 설정할 수 있다. ASLR이 무력화된다는 건 공격자들이 메모리 커럽션 취약점을 쉽게 익스플로잇할 수 있게 된다는 걸 의미한다.

한편 EMET은 마이크로소프트가 ASLR에 의해 보호받지 못하는 애플리케이션들을 보호하기 위해 배포한 무료 툴이라고 볼 수 있다. 마이크로소프트는 얼마 전의 윈도우 10 가을 크리에이터스 업데이트를 통해 EMET의 주요 기능들을 WDEG로 옮긴 바 있다. WDEG는 시스템 전체적으로 ASLR을 활성화시키는 옵션을 가지고 있다.

이런 가운데 도르만은 윈도우 8, 8.1, 10에서 ASLR을 활성화 시켜봤자 사실 아무런 기능을 발휘하지 못한다(즉, 메모리 영역을 무작위로 설정하지 않는다)는 사실을 발견한 것이다. “이는 다양한 공격 가능성을 열어두는 것과 다름없습니다.”

그러므로 ASLR에 의해 시스템이 보호받고 있다고 믿고 있다면 다시 한 번 생각해봐야 한다고 도르만은 권고한다. “ASLR을 믿고 스피어피싱 메일도 과감히 열 수 있었다면, 이제는 그러지 말아야 합니다. ASLR이 제대로 작동하지 않으니 원격의 공격자가 시스템 통제권을 완전히 가져갈 수 있게 되거든요.”

하지만 마이크로소프트는 이 취약점이 ‘오류’는 아니라고 발표했다. 익스플로잇 가드와 EMET를 사용할 때의 설정문제가 있을 수는 있다며 “ASLR은 최초 설계 그대로 작동을 함으로써 고객들을 보호하고 있다”고 설명을 곁들였다. 아직 카네기멜론대학이나 마이크로소프트 모두 ‘완벽한 해결책’을 발견해내지는 못했다.

다만 레지스트리에 다음과 같은 값을 입력하면 윈도우 8, 8.1, 10 시스템에 ASLR을 적용시킬 수 있게 된다고 보안 매체 시큐리티위크는 보도했다.
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel]

"MitigationOptions"=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00

하지만 레지스트리를 위에 나온 것처럼 편집했을 때 일부 AMD/ATI 비디오카드에서 문제가 발생할 수도 있다고 한다.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)