2023-02-03 02:15 (금)
[시큐인사이드 2013] 금융권서 사용중인 액티브X 취약점 발견!
상태바
[시큐인사이드 2013] 금융권서 사용중인 액티브X 취약점 발견!
  • 길민권
  • 승인 2013.07.04 04:07
이 기사를 공유합니다

안상환 “웹해킹 보다는 시스템 해킹 더 위험해…더 많은 전문가 필요”
코스콤이 주최하고 고려대학교 정보보호대학원과 해커그룹 HARU가 주관한 시큐인사이드(SECUINSIDE) 2013이 7월 3일 여의도 콘래드 호텔에서 1,000여명의 국내외 보안전문가와 해커들이 참여한 가운데 성황리에 개최됐다.
 
이날 발표에서 NSHC RedAlert팀 소속 안상환 연구원(사진)은 ‘소프트웨어에서 취약점을 찾는 방법’이란 주제로 발표를 진행했다.
 
발표후 데일리시큐와 가진 인터뷰에서 안 연구원은 “취약점을 찾는 방법론은 소스코드 오디팅, 퍼징, 리버스엔지니어링 등 다양하다. 이를 통해 소스코드를 획득하면 취약점을 찾을 확률이 높아지고 만약 소스코드를 확보하지 못했더라도 바이너리만으로도 소스코드를 뽑아낼 수 있다”며 “최근 디컴파일 도구들이 발전해서 소스코드 확보하는 것이 쉬워졌다”고 밝혔다.
 
또 “소스코드가 없을 때 바이너리 리버싱을 활용해 찾아 내는 방법도 있고 퍼징을 이용해 취약점을 찾는 방법도 있다”며 “해커들 공격이 웹해킹만으로 이루어지는 것이 아니라 소프트웨어나 하드웨어 취약점을 이용한 공격들이 많이 증가하고 있어 기업들도 이에 대한 대응을 해야 한다”고 강조했다.
 
특히 그는 이번 발표에서 “모 은행이나 금융권 그리고 기업체에서 사용하고 있는 액티브엑스 취약점을 발견했으며 이를 이용해 임의의 코드 실행이 가능한 상황”이라고 밝히고 “아직 패치가 되지 않아 정확히 공개할 수는 없지만 위험한 상황이다. 금융기관이나 기업에서 사용하는 소프트웨어나 하드웨어 장비들에 대한 보안성 점검을 하지 않으면 이들이 공격도구로 사용될 수 있다”고 경고했다.
 
그는 “이번에 찾은 액티브엑스 취약점은 고도의 기술을 이용해 찾은 것도 아니다. 해당 액티브엑스에 퍼징을 실시했고 거기서 취약점을 찾아냈다. 사전준비 작업을 제외하면 취약점을 찾는데 몇시간도 걸리지 않았다”며 “공격자라면 해당 취약점을 이용해 내부 직원들이 악의적 페이지에 접근하도록 유도해 악성링크 삽입이나 악성코드를 감염시켜 권한을 획득할 수 있다. 바로 APT 공격의 시작점이 되는 것이다. 일단 공격자가 내부망에 들어가면 여러가지 다양한 공격을 할 수 있어 심각한 피해를 유발할 수 있다”고 밝혔다.


<소프트웨어에서 취약점 찾는 방법에 대해 발표하는 안상환 연구원>
 
대응 방안에 대해 그가 밝힌 방안은 “보통 웹해킹에 대해서는 점검도 많이 하고 전문가도 많다. 하지만 기업에서 사용하고 있는 소프트웨어나 하드웨어에 대한 취약점은 간과하고 있다”며 “최근 해킹 공격들은 웹해킹보다는 SW나 HW의 취약점을 이용한 공격들이 많다. 이러한 시스템 해킹에 대한 대비를 하지 않으면 향후 다양한 공격들에 시달릴 것”이라고 주의를 당부했다.
 
또한 시스템 해킹에 대한 전문가들도 많이 나와야 한다는 것도 강조했다. 즉 웹해킹 관련 전문가들은 널렸지만 시스템 해킹에 대해서는 학원에서도 학교에서도 알려주지 않는 상황이다. 안 연구원도 독학으로 시스템 해킹 공부를 계속 해 왔다고 한다.
 
그는 “학원에서 배울 때는 웹해킹이 전부인 줄 알았다. 하지만 더욱 치명적인 공격을 위해서는 시스템 해킹이 필요하다. 최근 해커들도 시스템 해킹에 주력하고 있다는 것을 알아야 한다”며 “최근 대형 사고들도 시스템 해킹을 통해 이루어졌다고 생각한다. 시스템 해킹에 대한 전문가들이 많이 배출 돼 기업에 배치되어야 최신 해킹공격에 대비할 수 있을 것”이라고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com