한국 해커, 중국 해커에게 한수 뒤졌다

글자 작게 글자 크게 인쇄하기
POC2010 컨퍼런스에서 MJ0011이 국내 안랩, 하우리, 잉카인터넷, 이스트소프트 등 4개사의 제로데이 취약성을 지적, 시연했다
<POC2010 컨퍼런스에서 MJ0011이 국내 안랩, 하우리, 잉카인터넷, 이스트소프트 등 4개사의 제로데이 취약성을 지적, 시연했다 >

 중국 해커가 안철수연구소·하우리·이스트소프트·잉카인터넷 등 주요 PC 프로그램 백신 제품의 ‘제로데이(SW의 해킹 위협 요인 발견 후 이를 예방하는 보안 패치가 나오기 전 시간대)’ 취약점을 한발 앞서 발견하고 이를 대외에 공개했다. 이들 4개사엔 ‘화이트해커’가 많았지만, 백신 프로그램의 해킹 가능성을 알지 못했다.

 15일 서울 양재동 교육문화회관에서 열린 ‘제5회 국제 해킹 콘퍼런스(POC2010)’에서 중국 백신업체인 ‘360안전센터’의 한 해커(ID:MJ0011)는 국내 4개 대표 백신업체 제품의 최신 보안 취약점을 이용해 내부 관리자 권한을 해킹하는 장면을 시연했다.

 이 중국인 해커가 시연한 4개사 백신 제품의 제로데이 취약점을 악용하면 도서관·의료기관·금융기관·일반 기업 등 한 건물 안에서 일반인이 게스트 권한으로 접속, 관리자 권한을 취득한 후 PC·서버에 저장한 정보를 엿볼 수 있다.

 그는 특히 타 SW 제품과 달리 백신 제품은 모든 시스템에 기본적으로 설치·운영하고 있기 때문에 백신의 취약성을 이용해 관리자 권한을 습득할 수 있다는 것은 기업 등의 내부정보 보호 차원에서 매우 심각한 일이라고 지적했다.

 해킹 시연에 따르면 잉카인터넷의 엔프로텍트는 ‘커널 모드 제로데이’ 취약점(TkRgAc2k.sys)을 갖고 있으며 9월 7일 발견됐다. 이스트소프트 제품에선 ‘알약 커널 모드 제로데이’ 취약성(AYDrvNT)이 9월 5일 발견됐으며 알약 안티바이러스 1.5에 영향을 미친다.

 8월 22일 발견한 하우리의 ‘바이로봇 데스크톱 앤드 서버 제로데이’ 취약점(VRsecos.sys)은 바이로봇 데스크톱 3.5와 5.5에 영향을 준다. 안철수연구소 ‘안랩 V3인터넷 시큐리티’ 제품에서는 8월 23일 ‘커널 제로데이 취약성(ahnRec2k.sys)’이 발견됐다.

 이 중국인 해커는 “보안 제품이기 때문에 더욱 책임감을 가지고 제품 개발 단계에서부터 취약성을 제거해야 한다”며 “현재 안철수연구소·하우리 등 4개사에 이 같은 백신의 제로데이 취약성을 알리고 보안 패치를 적용하도록 했다”고 말했다.

 반젤라스라는 화이트해커는 “중국을 포함해 해외 개발자들이 국내 프로그램의 보안 취약성에 대해 우리가 생각하는 것 이상으로 많은 연구를 하고 있다”며 “국내 백신업체 및 개발자들은 이런 점을 염두에 두고 보안 취약성을 제거하는 데 많은 신경을 써야 한다”고 지적했다.

장윤정기자 linda@etnews.co.kr