2020년 첫 패치 튜즈데이 진행한 MS, NSA와의 공조 눈에 띄어

NSA가 발견한 취약점...암호화 기술과 관련된 것으로 ‘신뢰’ 자체를 훼손
취약점 꽁꽁 감추던 NSA가 MS와 협조를 하다니...NSA의 점진적 변화 예상되기도

[보안뉴스 문가용 기자] 마이크로소프트가 2020년의 첫 번째 ‘패치 튜즈데이’를 진행했다. 총 49개의 CVE를 다뤘는데, 이 중에는 NSA에서 발견한 취약점인 CVE-2020-0601도 포함되어 있다.

[이미지 = iclickart]

CVE-2020-0601은 윈도우에 있는 암호화 기능과 관련된 것으로, 윈도우 10, 윈도우 서버 2016, 윈도우 서버 2019에서 발견된다. MS는 ‘중요 취약점’으로 분류했으며, ‘익스플로잇 가능성이 높다’고 평가했다. 하지만 아직까지 이 취약점이 실제 해킹 공격에 사용된 사례는 나타나지 않았다.

문제는 윈도우 크립토API(Windows CryptoAPI, Crypt32.dll)가 타원 곡선 암호(Elliptic Curve Cryptography, ECC) 인증서를 인증하는 과정에서 발생한다. 이를 성공적으로 익스플로잇 하면 공격자는 스푸핑 된 코드 서명 인증서를 사용해 악성 실행파일을 서명할 수 있게 되고, 이는 사용자는 물론 백신 소프트웨어도 속인다고 한다.

거기까지 공격이 성공하게 되면 크립토API에 대한 의존도가 높은 브라우저들은 사용자에게 그 어떤 경고도 보여주지 않게 되고, 따라서 공격자가 자유롭게 접근해 데이터를 조작하거나 주입할 수 있게 된다. 뿐만 아니라 중간자 공격과 크리덴셜 데이터에 대한 복호화도 진행할 수 있게 된다.

이는 곧 연결 신뢰도가 크게 깎여나갈 수 있다는 뜻으로, HTTPS를 활용한 연결, 서명된 파일과 이메일 통신, 서명된 실행 코드 등과 같은 연결이 전부 포함된다. 공격자는 웹 인증서들을 침해함으로써 트래픽을 염탐하거나, 디지털 서명된 이메일을 훔쳐볼 수 있게 된다. 인증 서명을 활용하는 앱의 경우도 안전하지 않다. 서명이 되어 안전하게 보이는 악성 앱을 공격자가 설치할 수 있기 때문이다.

NSA는 이 취약점을 원격에서 익스플로잇 하게 해주는 해킹 도구가 조만간 등장할 것으로 예상하고 있다. 보안 업체 버투(Virtu)의 CTO인 윌 애컬리(Will Ackerly) 역시 “꽤나 심각한 문제로 발전할 가능성이 높다”는 의견이다. “연결성의 신뢰 그 자체를 훼손하는 공격이기 때문”이라고 보안 업체 디지털 셰도우즈(Digital Shadows)의 디렉터인 리차드 골드(Richard Gold)도 거든다. “패치가 되지 않은 시스템에서 제공하는 것이라면, 암호화 기술조차 믿을 수 없다는 뜻이 되거든요.”

마이크로소프트는 공식적으로 CVE-2020-0601 취약점의 발견자가 NSA라고 밝혔다. 그 동안 NSA가 취약점을 발견하면 누구와도 공유하지 않고 혼자서만 보관해왔다는 걸 생각해보면 꽤나 큰 변화다. NSA의 사이버 보안 국장인 앤 뉴버거(Anne Neuberger)는 “취약점에 대한 NSA의 접근법이 달라졌다고 봐도 무방하다”고 말했다. “그 동안 NSA는 취약점 발견자로서 이름을 올리는 걸 꺼려해 왔거든요. 그 기조를 바꾼다는 게 쉬운 결정은 아니었습니다.”

NSA는 정부 기관이 사용하기로 결정된 소프트웨어에 대해서는 특히나 면밀하게 검사하는 것으로 알려졌다. 이번 취약점도 그런 과정 중에 발견된 것으로 알려져 있다. 다만 NSA의 발견 시점과 MS의 패치 시점 사이에 얼마나 긴 시간이 흘렀는지는 아무도 모른다.

뉴버거는 “취약점 발견은 NSA 내에서 주기적으로 이뤄진다”고 설명한다. “다만 발견한 취약점을 알리는 절차에 있어서 여러 가지를 실험적으로 진행하고 있습니다. 현재는 VEP(Vulnerabilities Equities Process)라고 알려진 ‘취약점 해소 과정’ 절차를 활용하고 있습니다. 연방 정부가 사용하는 방법으로, 취약점을 개별적으로 평가해 공개를 할 건지, 비공개로 놔둘 것인지를 결정하는 겁니다.”

버투의 애컬리는 NSA 출신으로, “과거 내가 몸담고 있던 때를 생각하면 대단히 큰 변화”라고 설명한다. “또한 이를 시발점으로 해 점진적인 변화가 있을 것으로 예상합니다.” 그러나 뉴버거는 “앞으로 NSA가 더 많은 취약점을 공개할 거라는 뜻은 아니”라고 덧붙였다. “그럴 수도 있고 아닐 수도 있습니다. 취약점의 성격과 영향력에 따라 건별로 판단할 것이기 때문에, 큰 흐름이 어떨 것이라고 쉽게 예단할 수는 없습니다.”

한편 오늘 발표된 또 다른 취약점으로는 윈도우 RDP 기능과 관련된 것들이 다수 존재한다.
1) CVE-2020-0609 : 윈도우 RDP 게이트웨이 서버에서 발견된 원격 코드 실행 취약점.
2) CVE-2020-0610 : 윈도우 RDP 게이트웨이 서버에서 발견된 원격 코드 실행 취약점.
둘 다 치명적인 위험도를 가진 것으로 분석됐으며, 사용자의 그 어떤 개입도 필요로 하지 않는다.
3) CVE-2020-0611 : 원격 데스크톱 클라이언트에서 발견된 원격 코드 실행 취약점. 공격자가 서버에 대한 통제권을 가져오는 것부터 성공한 후에 악용이 가능하다.

3줄 요약
1. 오늘 MS의 2020년 첫 패치 튜즈데이 진행됨.
2. NSA가 발견해 보고한 취약점이 여러 가지 측면에서 눈에 띔.
3. 윈도우 RDP 기능과 관련된 패치도 포함되어 있으니 참고하면 안전할 것.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)