세계적인 인기 누리는 압축 툴 ‘윈라’에서 심각한 취약점 발견

ACE 아카이브 압축 해제 시 사용하는 unacev2.dll에 위치한 취약점
unacev2.dll에 대한 소스코드 파일 없어...윈라 새 버전에서 호환성 삭제

[보안뉴스 문가용 기자] 전 세계적으로 높은 인기를 구가하고 있는 데이터 압축 툴인 윈라(WinRAR)에서 심각한 취약점이 발견됐다. 익스플로잇 할 경우, 특수하게 조작된 ACE 아카이브를 통해 임의의 코드를 실행할 수 있게 된다고 한다. 이 때문에 위험에 처한 사용자가 무려 5억 명이다.

[이미지 = iclickart]

이를 발견하고 실험을 통해 확인한 건 보안 업체 체크포인트(Check Point)로, WinAFL이라는 퍼저를 사용해 연구를 실시했다고 한다. “퍼징 실험을 진행하면서 윈라가 ACE 아카이브의 압축을 해제할 때 사용하는 unacev2.dll 라이브러리에서 보안 버그를 발견할 수 있었습니다.”

체크포인트가 지목한 라이브러리에서 발견된 취약점은 CVE-2018-20250으로 악성 행위자들이 시스템 내 임의의 폴더로 파일이 저장되도록 ACE 아카이브를 만들 수 있게 해준다고 한다. 즉 압축이 풀리는 장소를 공격자가 조정할 수 있다는 것이다.

체크포인트의 전문가들은 발견한 취약점을 익스플로잇 하는 실험을 진행했다. “윈라를 사용해 압축을 풀면, 사용자가 파일이 저장될 폴더를 지정할 수 있습니다. 하지만 이 취약점을 익스플로잇 하면 사용자가 지정한 폴더에 파일을 저장함과 동시에 공격자가 원하는 위치에 악성 파일을 저장하는 것도 가능합니다.”

그러면서 “예를 들어 공격자가 윈도우 시작 프로그램 폴더에 멀웨어를 심는 데 성공하면 윈도우가 부팅 될 때마다 멀웨어가 발동되도록 할 수도 있다”고 설명을 추가했다.

체크포인트는 충분한 실험을 거친 후 그 결과를 윈라의 개발사인 라랩(RARLab)에 알렸다. 라랩 측은 보고를 받은 후 “사용자를 보호할 수 있는 최고의 방법은 ACE 아카이브에 대한 호환성을 제거하는 것”이라고 결정을 내렸다. 이는 윈라 5.70 베타 1 버전부터 적용되어 배포되기 시작했다.

라랩은 “unacev2.dll 라이브러리는 2005년부터 업데이트 된 적이 없었다”며 “그래서 소스코드를 찾을 수가 없다”고 위와 같은 조치를 취한 이유를 설명했다.

그 외에도 체크포인트는 퍼징 실험을 통해 다른 취약점들도 윈라에서 찾아낼 수 있었다. 이 취약점들은 CVE-2018-20251, CVE-2018-20252, CVE-2018-20253으로, 체크포인트는 기술 세부 사항과 익스플로잇 영상을 자사 연구 블로그에 함께 공개하기도 했다.

윈라는 오래전부터 많은 컴퓨터 사용자들이 애용해온 압축 툴이라, 공격자들에게 있어 매력적인 표적이 될 수 있다. 지난 3년 동안 윈라에서 취약점이 발견된 사례는 한 번도 없었다. 하지만 2014년 윈라의 취약점이 실제 사이버 정찰 공격에 활용된 사례가 있다.

윈라에서 발견된 취약점들은 다른 소프트웨어 취약점들과 비교해 높은 가치를 가지고 있는 편이다. 익스플로잇 및 제로데이 취약점을 구매하는 보안 업체 제로디움(Zerodium)은 윈라 원격 코드 실행 취약점을 찾아내는 자에게 8만 달러를 지급한다고 광고하기도 했었다. 작년에는 윈라 취약점을 10만 달러에 사들이기도 했다.

3줄 요약
1. 압축 툴 윈라에 퍼징 테스트를 실시했더니 심각한 취약점들 다수 나옴.
2. 그 중 하나는 ACE 파일 통해 임의의 코드를 실행할 수 있게 해주는 것.
3. 윈라 개발사는 문제가 된 라이브러리의 소스코드 찾을 수 없어 아예 호환되지 않도록 조치를 취함.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)