폰투온 대회에서 발견된 크롬 제로데이 취약점, 트위터 통해 공개

지난 주 폰투온 대회에서 발견된 크롬 제로데이 취약점이 트위터에서 공개됐다. 이례적인 일이다. 폰투온은 패치가 나올 때까지 대회 중 나온 취약점을 공개하지 못하도록 하기 때문이다. 그나마 완전한 익스플로잇은 아니어서 다행이다.

[보안뉴스 문가용 기자] 한 보안 전문가가 정상적으로 작동하는 익스플로잇 코드 하나를 트위터에 올렸다. 구글 크롬 브라우저에서 발견된 제로데이 취약점에 대한 것으로, 원격 코드 실행을 가능하게 해준다. 크로미움 기반의 다른 브라우저들에서도 작동할 것으로 예상된다.

[이미지 = utoimage]

문제의 보안 전문가는 라지바단 아가르왈(Rajvardhan Agarwal)이라는 인물로, 자신의 트위터 계정에 익스플로잇이 저장되어 있는 깃허브 링크(https://github.com/r4j0x00/exploits/tree/master/chrome-0day)를 공개했다. 이는 지난 주 폰투온(Pwn2Own) 해킹 대회에서 발굴된 것이었다.

폰투온 대회에서 발견된 취약점은, 해당 소프트웨어 제조사에 먼저 알려지기 전에는 공개되지 않는 것을 규칙으로 한다. 즉 패치가 나와야만 취약점이 공개되는 게 일반적인 건데, 아가르왈이라는 인물이 이를 어긴 것이다. 구글은 빠른 시간 안에 패치를 발표할 예정이긴 했지만, 이 제로데이가 포함되어 있을지는 아직 확실하지 않은 상황이다.

이 제로데이 취약점을 폰투온 대회에서 제일 먼저 발견한 건 데이터플로 시큐리티(Dataflow Security)의 브루노 케이스(Bruno Keith)와 니클라스 봄스타크(Niklas Baumstark)라는 전문가들이다. 이들은 크롬과 에지 모두에서(둘 다 크로미움을 기반으로 하고 있다) 해당 취약점을 익스플로잇 하는 데 성공해 10만 달러의 상금을 차지한 바 있다.

이번에 트위터와 깃허브를 통해 공개된 건 개념증명용 HTML 파일로, 크로미움 기반 브라우저로 로딩할 수 있다. 하지만 아직 공격에 있는 그대로 사용될 수 있을 정도로 완전한 형태는 아니다. 브라우저 샌드박스를 탈출해야만 OS에 접근해 원격 코드 실행 공격을 할 수 있게 된다고 한다.

그래서 보안 업체 레코디드 퓨처(Recorded Future)에 의하면 “아직 무기화 된 코드라고 볼수 없다”고 평가했다. 그럼에도 어느 정도 실력을 갖춘 해커라면 이번에 공개된 익스플로잇 코드만 가지고도 충분히 공격을 수행할 수 있다고 아가르왈은 반박했다.

보안 및 IT 블로그인 톰스가이드(Toms Guide)는 크롬과 에지 브라우저를 사용하는 사람들이라면 “아지 겁낼 필요가 없다”고 밝혔다. PC 버전과 모바일 버전 모두 마찬가지다. 이번에 공개된 코드로 익스플로잇 해 봤자 샌드박스 탈출이 되지 않기 때문이라고 썼다. 다만 공격자가 명령행을 통해 샌드박스 비활성화 기능을 실행시킬 수 있게 된다면 문제가 달라진다고 덧붙였다.

그러므로 톰스가이드는 “각 OS별로 최신 백신을 마련해 설치해야 한다”고 강조했다. 멀웨어 등을 통한 샌드박스 탈출 시도를 처음부터 차단하라는 것이다. 또한 구글 역시 조만간 패치를 개발해 배포할 것으로 예상된다.

이 사건에 놀랐는지 봄스타크는 트위터를 통해 “우리가 찾아낸 취약점이 이런 식으로 뉴스거리가 될 줄은 전혀 예상치 못했다”고 밝혔다.

3줄 요약
1. 한 보안 전문가, 폰투온 대회에서 발견된 크로미움 제로데이 취약점 공개.
2. 다행히 완전히 무기화 되지는 않은 듯. 샌드박스 탈출은 어려움.
3. 최신 백신 설치 및 업데이트를 통해 샌드박스 탈출 시도 차단하면 제로데이 공격 방어 가능.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)