2010년 4월 7일 수요일

PDF 보안 결함이 골치아픈 문제를 일으킬까?

 이 기사의 원제는 'PDF security hole opens can of worms'로 직역하면 'PDF 보안 결함이 벌레 깡통을 열 수 있다'가 되겠지만, can of worms은 판도라의 상자처럼 열면 골치 아픈 것을 뜻하는 상용어라 제목을 살짝 바꿨습니다.
기사 출처: The Register

 PDF 파일의 보안 위험이 조작된 파일로 시스템 내 다른 PDF 파일을 감염시킬 수 있다는 새로운 연구 예증에 의해 더욱 강조되고 있다.

 NitroSecurity내 응용프로그램 보안 연구원인 Jeremy Conway는 PDF 파일이 'Wormable'(악성코드의 일종인 Worm + 할수 있다는 able) 함을 보여주는 것을 발견해 공격 시나리오를 말했다. 컴퓨터 바이러스는 정의에 따르면 전파되기 위해 다른 파일을 덮어 쓸 수 있는 능력이 있다. Conway의 연구는 소프트웨어 취약성 등이 아니고, 외부 바이너리 또는 자바 스크립트의 이용 없이 PDF 사양에 의해 지원되는 기능을 사용해 어떻게 양성 PDF 파일을 감염시키는지 설명하는데 주로 주목할 수 있다.

 며칠후 다른 보안 연구원인 Didier Stevens가 PDF내 악의적 동작부와 악의적 내용물을 동작하도록 피해자를 속이기 위한 조작된 팝업 대화창 둘 다 가능함을 보여주는 "Wormable PDF" 연구를 내놓았다. Adobe와  FoxIT 두 업체 모두는 그 연구에 의해 설명된 각자의 PDF 보기 프로그램의 보안 결점을 해결하기 위해 노력하고 있다.

 지난주에 권고문과 wormable PDF를 증명하는 컨셉 동영상을 공개한 Conway는 Stevens의 연구에 의해 PDF 사양 내 관련된 취약성 사냥에 대한 영감을 받았다고 말했다. Stevens에 의해 발견된 보안 헛점을 차단하는 수정 기능은 'worming' PDF의 가능성을 방지할 수 있음에 틀림없다. "만약 업체가 Didier의 예를 예방하는 방법을 이해한다면 이 같은 수정 프로그램이 이 개념의 입증도 중단시킬 것"이라고 Conway는 밝혔다.

 Conway의 후속 블로그 게시물에 따르면 더 깊은 PDF파일의 보안 문제와 관련이 있다고 설명했다.

 "나는 다른 것과 함께 감염하고자 하는 양성 PDF를 선택해, 내 웹 사이트로 사용자를 리디렉션되도록 해킹을 실행했으나, 이것은 쉽게 패키지를 악용하거나 Trojan 바이너리를 끼워넣을수 있었다"고 Conway는 설명했다. "더 나쁜 것은 아직도 일종의 새로운 제로 데이 공격을 위해 상주하고 있는 모든 PDF들을 동적 감염 매개체로 이용할 수 있고, 그때문에 ('worm-able') 사용자의 시스템이 악용되는 동안 공격자 감염 매개체는 증식하고 있는 중이라는 점이다."

 넷 보안 업체 F-Secure의 최고 연구 책임자인 Mikko Hypponen에 의해 정보가 제공된 블로그 게시물에선 모든 종류의 예기치 못한 내용은 PDF 사양에 의해 지원되었다고 설명했다.

미디어 파일, 자바 스크립트 및 양식은 그 외부 웹 서버에 사용자의 입력하는 업로드 데이터를 임베디드 실행를 더한 PDF 사양에 의해 모두 지원한다. 이 작은 특징으로 왜 Adobe Reader와 같은 PDF 응용프로그램을 로드하는데 오래걸리는지 및 왜 지난 1년 이상 해커들에게 확고히 선호되는 파일 형식인지 모두를 설명하는데 긴 시간을 소비한다며, Hypponen는 주목했다.

 PDF의 취약점을 이용해 공격하는 방식으로 제한적이었던 기존과 달리 이번 PDF의 보안 문제는 정상적인 PDF를 감염시켜 증식하는 동적인 성향을 띈다는 점이 특징이라고 하겠습니다.

 아직 해법이 발견되지 않은 문제점인 만큼 업체에서 문제를 해결한 패치가 나오기 전까진 인터넷등에 올라온 PDF파일을 함부로 다운받거나 여는 것을 삼가해야 할 겁니다.