2024-09-13 09:55 (금)
[긴급] “업데이트된 윈도우 시스템 보안 무너뜨릴 수 있는 2개 제로데이 취약점 공개...다운그레이드 공격 위험성”
상태바
[긴급] “업데이트된 윈도우 시스템 보안 무너뜨릴 수 있는 2개 제로데이 취약점 공개...다운그레이드 공격 위험성”
  • 길민권 기자
  • 승인 2024.08.11 14:14
이 기사를 공유합니다

사용자가 알지 못하는 사이에 시스템이 예전의 취약한 상태로 되돌아가게 만드는 치명적 문제 발생

2024년 8월 라스베이거스 블랙햇(Black Hat) 컨퍼런스에서 세이프브리치(SafeBreach) 연구원 알론 레비에브(Alon Leviev)가 완전히 업데이트된 윈도우 시스템의 보안을 무너뜨릴 수 있는 제로데이 취약점을 공개했다. 레비에브는 복잡한 다운그레이드 공격을 통해 윈도우 10, 11, 그리고 윈도우 서버 시스템이 이전의 취약한 상태로 되돌아갈 수 있음을 시연했다. 이로 인해 보안 패치가 완료된 시스템조차 공격자에게 쉽게 노출될 수 있는 상황이 되었다.

레비에브는 윈도우 업데이트 프로세스에 주목했다. 이 프로세스는 수백만 대의 기기를 안전하게 유지하는 데 중요한 역할을 한다. 그러나 그는 두 개의 제로데이 취약점(CVE-2024-38202, CVE-2024-21302)을 발견해 시스템의 핵심 구성 요소를 이전 버전으로 되돌릴 수 있음을 알아냈다. 이 취약점을 통해 공격자는 NT 커널, 동적 링크 라이브러리(DLL), 심지어 가상화 기반 보안(VBS) 기능까지 다운그레이드할 수 있었다​.

이 공격은 ‘윈도우 다운데이트(Windows Downdate)’라는 이름이 붙었으며, 전통적인 보안 메커니즘으로는 탐지할 수 없다. 레비에브는 윈도우 업데이트의 액션 리스트를 조작함으로써 시스템의 구성 요소를 다운그레이드할 수 있었고, 시스템은 여전히 완전하게 업데이트된 상태로 보고되었다. 이는 사용자가 알지 못하는 사이에 시스템이 예전의 취약한 상태로 되돌아가게 만드는 치명적인 문제를 일으켰다​.

특히, 레비에브는 물리적 접근 없이 VBS의 UEFI 잠금을 우회하는 데 성공했다. 이는 윈도우 시스템의 보안 기능인 Credential Guard와 Hypervisor-Protected Code Integrity(HVCI)를 무력화시켜 시스템을 과거의 특권 상승 취약점에 노출시켰다​.

VBS는 Virtualization-Based Security의 약자로, 마이크로소프트가 윈도우 운영 체제에서 제공하는 보안 기능 중 하나다. VBS는 하드웨어 가상화 기술을 활용해 운영 체제의 보안 기능을 강화한다.

또 UEFI는 Unified Extensible Firmware Interface의 약자로, UEFI는 운영 체제가 시작되기 전에 시스템을 검사하고, 보안 부팅(Secure Boot) 기능을 통해 허가되지 않은 소프트웨어가 시스템을 부팅하지 못하도록 막을 수 있다. 이 기능은 루트킷 같은 악성코드가 부팅 과정에서 시스템을 감염시키는 것을 방지하는 데 중요한 역할을 한다.

이번 발견은 매우 광범위한 영향을 미칠 것으로 보인다. 레비에브가 지적한 바와 같이, 이 다운그레이드 공격은 ‘완전 패치된’ 시스템이라는 개념을 무의미하게 만든다. 겉으로는 안전하고 최신 상태인 시스템이 실제로는 과거의 취약한 소프트웨어 상태로 되돌아가 있을 수 있다. 이는 소프트웨어 업데이트에 대한 신뢰를 크게 저하시킬 수 있는 문제다​.

더 나아가, 유사한 다운그레이드 공격이 윈도우에만 국한되지 않을 가능성도 있다. 레비에브는 다른 운영 체제도 유사한 구조적 결함이 있을 경우 이러한 취약점에 노출될 수 있다고 경고했다.

마이크로소프트는 2024년 2월에 이 취약점에 대해 통보받았으며, 문제의 심각성을 인정하고 있다. 그러나 이 문제를 해결하기 위한 포괄적인 패치는 아직 개발 중이다. 특히 많은 수의 구형 시스템 파일을 차단해야 하는 복잡성 때문에 철저한 테스트가 필요하다고 한다​.

그동안 마이크로소프트는 임시 대응책을 포함한 권고 사항을 발행하여 취약점 악용의 위험을 줄이기 위한 조치를 취하고 있다. 그러나 이러한 임시 조치만으로는 완벽한 방어가 불가능하며, 사이버 보안 커뮤니티는 잠재적인 악용 시도를 주시해야 한다​고 전문가들은 경고하고 있다.

사이버 보안 전문가들은 레비에브의 발견이 의미하는 바가 매우 크다고 평가하며, 보다 탄력적인 업데이트 프로세스와 강력한 보안 아키텍처의 필요성을 강조하고 있다. 일부 전문가들은 다운그레이드 공격에 대응하기 위해 보다 역동적이고 덜 중앙화된 업데이트 메커니즘으로의 전환을 제안하고 있다.

이번 발견은 업계 전반에 경각심을 불러일으키는 사건으로 기록될 것이다. 개발자와 보안 전문가들은 오래된 기능과 프로세스 조차도 공격 벡터가 될 수 있음을 인식하고, 지속적인 보안 메커니즘 검토와 테스트를 통해 진화하는 위협에 대응해야 한다고 전문가들은 우려하고 있다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★