마이크로소프트는 2020년 1월 패치튜스데이를 통해 윈도우 운영체제에서 발견된 광범위한 암호화 취약점을 패치했다.
NSA 사이버 보안 국장인 앤 노이베르거(Anne Neuberger)은 언론을 통해 이 버그는 미국 국토 안보부(NSA)에서 발견한 것이라고 말했다.
발표된 보안 권고에 따르면 "Windows CryptoAPI (Crypt32.dll)가 ECC(Elliptic Curve Cryptography) 인증서의 유효성을 검사하는 방식에 스푸핑 취약점이 존재한다. CVE-2020-0601이 할당된 이 취약점은 암호화 작업을 처리하는 윈도우 운영 체제의 핵심 구성 요소인 Windows CryptoAPI에 영향을 준다.
마이크로소프트는 공격자가 이 버그를 악용하여 악의적인 실행 파일에 서명하여 파일이 신뢰할 수 있고 합법적인 소스에 있는 것으로 보이게 할 수 있다고 설명한다. 그러나 가짜 파일 서명 외에도 이 버그는 암호화된 통신에 사용되는 디지털 인증서 위조에도 사용될 수 있다. 마이크로소프트는 취약점 악용에 성공하면 침입자가 중간자 공격을 수행하고 영향받는 소프트웨어와의 사용자 연결 기밀 정보를 해독할 수 있다고 설명했다.
이 취약점은 윈도우 10, 서버 2019, 서버 2016 버전에 영향을 미친다.
마이크로소프트와 NSA는 오늘 패치 이전에 이 버그를 악용한 공격이 발견되지는 않았다고 밝혔다.
CVE-2020-0601 취약점은 마이크로소프트가 NSA에게 크레딧을 준 첫번째 취약점이다. 다른 사이버 보안 기관들은 이전에 마이크로소프트에 주요 취약점을 보고한 적이 있다. 예를 들어 영국 국립 사이버 보안 센터는 2019년 5월 악명 높았던 BlueeKeep 버그를 보고한 적이 있다.
노이베르거는 이번 보고가 NSA가 취약점을 비축하고 그것을 공격 툴과 작전을 위해 사용하는 대신 버그를 보고한 전례 없는 경우라고 말했다. 그는 NSA가 이 버그를 보고한 것은 사이버 보안 기관의 기존 접근 방식에서 변화한 것으로 다른 버그들에 대한 보고도 뒤따를 것이다고 덧붙였다.
NSA는 버그를 마이크로소프트에 보고하는 것 외에도 패치 튜스데이의 패치 이전에 중요한 인프라 운영자에게 사전 통지를 보내어 패치가 임박했음을 알렸다. 이 기관은 완화 방법과 공격 탐지 방법을 포함한 자체 보안 권고를 발표했으며 패치 튜스데이의 보안 업데이트를 신속하게 설치하도록 촉구했다.
국토 안보부의 사이버 보안 및 인프라 보안 기관(DHS CISA)은 오늘 미국 민간 부문과 정부 기관에 최신 윈도우 운영체제 패치를 설치해야 할 필요를 알리는 긴급 지침을 발표할 예정이다.
[2020 대한민국 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최 안내]
-주최: 데일리시큐
-후원: 정부 유관기관
-참관객: 공공•금융•기업CISO, CSO, CPO 및 정보보안 담당자 및 보안연구가 등 300명
-일시: 2020년 2월 5일 수요일
-장소: 한국과학기술회관 지하1층 대회의실
-참관비용: 11만원(VAT 포함)
-교육이수: 7시간 정보보호 교육 이수 가능(정부/공공/일반기업 보안실무자)
-사전등록: 클릭
★정보보안 대표 미디어 데일리시큐!★