'창과 방패의 무한 대결' 윈도우 10 해킹 더 어려워졌다

윈도우는 가장 인기 있는 공격 표적이다. 앞으로도 전 세계 보안 연구자와 해커는 마이크로소프트의 방어를 뚫기 위해 계속해서 이 플랫폼을 두드릴 것이다.



보안에 대한 기준은 과거보다 높아지는 가운데, 마이크로소프트는 이런 공격을 막을 수 있는 다양한 조치를 운영체제에 추가해 왔다. 올해 블랙햇 컨퍼런스에서 해커들이 세련된 공격 기법으로 무장하고 나왔지만, 윈도우에 침투하는 것이 힘들어졌다는 평가가 일반적이었다. 운영체제 취약점을 통해 윈도우에 침투하는 것이 수년 전보다 훨씬 어려워졌다는 것이다.

내장된 안티 악성코드 툴을 사용하라
마이크로소프트는 메모리에서 악성 스크립트를 잡아낼 수 있는 AMSI(antimalware scan interface) 툴을 개발해왔다. 노소시큐어(NoSoSecure)의 침투 테스터이자 어소시에이트 컨설턴트인 니칼 미탈은 블랙햇 강연에서 "모든 애플리케이션이 이를 사용할 수 있고 모든 등록 안티악성코드 엔진도 AMSI에 입력된 콘텐츠를 활용할 수 있다. 윈도우 디펜더(Windows Defender)와 AVG가 현재 AMSI를 사용하고 있으며 더 폭넓게 활용돼야 한다. AMSI는 윈도우의 스크립트-기반 공격 방어 측면에서 상당한 진전이다"라고 말했다.

사이버 범죄자는 점점 스크립트-기반 공격에 집중하고 있다. 특히 캠페인의 일부로 파워셸(PowerShell)을 사용한다. 기업이 이런 파워셸을 활용한 공격을 발견하기는 매우 힘든데, 이들을 정상적인 작업과 구별하기가 쉽지 않기 때문이다. 또한 파워셸 스크립트는 시스템이나 네트워크의 모든 측면에 접근할 수 있어 복구하기도 어렵다. 사실상 모든 윈도우 시스템에 파워셸이 사전탑재 되어 있어 스크립트-기반 공격은 점점 더 확산하고 있다.

범죄자가 파워셸을 사용하기 시작했고 메모리에 스크립트를 올리고 있지만, 방어자는 이를 잡아내는 데는 상당한 시간이 걸리는 것이 현실이다. 미탈은 "어느 누구도 몇 년 전까지 파워셸을 신경쓰지 않았다. 우리가 만든 스크립트도 전혀 탐지되지 않았다. 지난 3년 사이 안티바이러스 업체가 하나둘씩 대응 기능을 지원하고 있다"라고 말했다.

특히 디스크상에 저장된 스크립트를 감지하는 건 쉽지만 메모리에 저장된 스크립트를 실행 중단하는 건 쉽지 않다. 미탈은 "AMSI는 호스트 단계에서 스크립트를 잡아내는데, 이는 디스크나 메모리에 저장돼 있거나 인터랙티브 하게 실행되더라도 인풋 방식은 상관없다. 어떤 의미에서 윈도우 보안 측면에서 '게임 체인저(game changer)'라고 할 수 있다"라고 말했다.

하지만 AMSI는 다른 보안 방법과 함께 사용해야 하고 AMSI 단독으로는 효과가 없다. 로그 생성없이 스크립트-기반 공격을 하는 것은 매우 어려우므로, 윈도우 운영자는 지속해서 파워셸 로그를 모니터링할 필요가 있다.

AMSI는 완벽하지 않다. 난독화된 스크립트 혹은 WMI 네임스페이스, 레지스트리 키, 이벤트 로그 같은 흔치 않은 곳에서 로딩되는 스크립트를 탐지하는 데는 큰 도움이 되지 않는다. 파워쉘을 활용하지 않고 실행된 파워셸 스크립트 역시 AMSI로는 잡아내기 힘들다. 스크립트의 서명을 변경하거나 파워셸 버전 2를 사용하거나 혹은 AMSI를 비활성화하는 등 AMSI를 우회할 방법도 있다. 그러나 미탈은 AMSI를 '윈도우 운영의 미래'로 평가한다.


액티브 디렉토리를 보호하라
액티브 디렉토리(Active Directory, AD)는 윈도우 운영의 주춧돌이자 기업이 계속 작업부하를 클라우드로 이전해감에 따라 더 중요해지고 있다. 이제 AD의 역할은 온-프레미스 기업 네트워크에서 인증과 관리를 처리하는 데 그치지 않는다. 마이크로소프트 애저에서 인증을 식별하는 데도 도움이 된다.

마이크로소프트 액티브 디렉토리 공인 마스터이자 보안 업체 트리마크(Trimarc)의 창립자 션 메트카프는 "윈도우 운영자, 보안 종사자, 공격자 모두 액티브 디렉토리에 각기 다른 관점을 가지고 있다"고 말했다.

먼저 운영자는 업타임과 쿼리에 대한 AD 응답을 최적화하는 데 집중한다. 보안 종사자는 도메인 운영자(Domain Admin) 그룹 멤버십을 모니터링하고 소프트웨어 업데이트에 치중하고, 공격자는 약점을 찾기 위해 기업의 보안 현황을 살핀다. 메트카프는 "어느 그룹도 완전히 파악하고 있지는 않다"고 말했다.

메트카프는 "그동안 모든 인증된 사용자가 AD내 거의 대부분의 대상과 속성에 접근할 수 있었다. 표준 이용자 계정이 전체 AD 도메인에 침투할 수 있는데 이는 도메인-링크된 그룹 정책 대상과 조직적 유닛에 대한 권한 수정이 잘못 부여되기 때문이다"라고 말했다.

따라서 맞춤 조직구성단위(Organizational Unit, OU) 허용을 통해 한 사람이 사용자와 그룹을 높아진 권리 없이도 수정할 수 있고, 아니면 SID 히스토리, AD 이용자 계정 대상 속성을 거쳐 높아진 권한을 얻을 수 있었다.

만약 액티브 디렉토리가 보호되지 않으면 침투 확률이 더욱 올라간다. 메트카프는 "기업이 이런 실수를 피하려면 가장 중요한 것이 운영자 계정 보호와 핵심 자원 분리이다. 꾸준한 소프트웨어 업데이트로 권한-상승 보안 취약점을 패치하고, 공격자가 네트워크 내에서 평행으로 이동하는 것을 제한하기 위해 망분리를 하는 것이 좋다"고 말했다.

또한 보안 종사자는 AD에 대한 운영 권한, 가상 도메인 컨트롤러를 호스팅하는 가상 환경에 대한 운영권을 누가 가지고 있는지, 그리고 누가 도메인 컨트롤러에 로그인할 수 있는지 점검해야 한다. 액티브 디렉토리 도메인, AdminSDHolder 대상, 부적절한 맞춤 권한에 대한 GPO(group policy objects)를 스캔하고 도메인 운영자(AD 운영자)가 민감한 계정을 가진 워크스테이션 같이 신뢰되지 않는 시스템에 절대 로그인하지 못하도록 해야 한다.

메트카프는 "서비스 계정 권한 역시 제한돼야 한다. AD 보안 권한을 얻으면 많은 일반적인 공격이 최소화되거나 효과가 줄어든다"고 덧붙였다.

공격 억제를 위한 가상화
마이크로소프트는 하이퍼바이저에 내장된 보안 기능인 가상화 기반의 보안(virtualization-based security, VBS)을 윈도우 10에 도입했다. 브로미움(Bromium)의 최고 보안 아키텍트 라팔 우추크는 "VBS의 공격 측면은 다른 가상화 이행과 다르다"고 말했다.

예를 들어 하이퍼-V는 루트 파티션에 제어권이 있고 추가 설정을 통해 보안 서비스를 제공한다. VBS가 활성화되면 하이퍼-V는 높은 신뢰 수준의 특수 가상머신(VM)을 생성해 보안 명령을 수행한다. 다른 VM과 달리 이 VM은 루트 파티션으로부터 보호된다.

윈도우 10은 이용자-모드 바이너리와 스크립트의 코드 무결성을 강제할 수 있고, VBS는 커널-모드 코드를 처리한다. VBS는 서명이 없는 코드가 커널 컨텍스트 내에서 허용되지 않도록 설계됐는데 커널이 침투돼도 마찬가지다. 특수 VM에서 실행되는 신뢰할 수 있는 코드는 루트 파티션의 EPT(extenede page tables)에 실행 권한이 서명된 코드가 저장된 페이지에 부여한다. 이 페이지는 쓰기와 실행을 동시에 처리할 수 없으므로, 결국 악성코드는 이런 방식으로 커널 모드에 들어갈 수 없다.

우추크는 "VBS는 시스템의 보안을 향상시킨다. 해커가 이를 우회하는 취약점을 찾으려면 상당한 시간과 노력이 필요할 것이다"라고 말했다. 반면 일반적이지 않는 독특한 공격에 대해서는 여전히 취약점을 갖고 있다고 그는 덧붙였다.

윈도우 10, 보안 기준이 더 높아졌다
사이버 범죄자, 연구원, 뭘 할 수 있는지 알고 싶은 해커를 포함한 침투자는 거대한 윈도우 생태계에 모두 들어와 있다. 침투자가 윈도우 보안을 우회하기 위한 방법을 알아낼 때마다 마이크로소프트는 이 보안 구멍을 메운다. 또한 해킹을 더 어렵게 하기 위해 혁신적인 기술을 추가해 침투자의 작업을 방해한다.

윈도우 10은 이런 신기능 덕분에 역대 가장 안전한 윈도우가 될 전망이다.범죄자는 언제나 존재했고, 머리아픈 악성코드는 줄어들 기미가 보이지 않지만 운영체제 자체의 보안이 강력한 것은 충분히 의미가 있다. 특히 최근 공격 대부분이 패치되지 않은 소프트웨어와 소셜 엔지니어링, 잘못된 설정 때문이라는 것을 고려하면 더 그렇다.

어떤 소프트웨어 애플리케이션도 버그가 완전히 없을 수는 없지만 내장된 방어 기술이 공격을 더 효과적으로 막을 수 있다면 이는 방어자의 승리다. 지난 수년 간 마이크로소프트는 운영체제에 대한 공격을 막기 위해 많은 작업을 했고 윈도우 10에는 이런 노력이 집대성돼 있다.

마이크로소프트가 윈도우 10 1주년 업데이트(Anniversary Update)에서 격리(isolation) 기술을 강화한 것을 고려하면 최신 윈도우 시스템에 성공적으로 침투하기는 더 어려워진 것으로 보인다. editor@itworld.co.kr