윈도우 에러 리포트가 데이터 유출에 악용된다?

2014-01-10 18:37
이상호 기자 ghostlee@bodnara.co.kr

웹센스의 보안 연구소(Websense® Security Labs™)에서 수행한 범용 애플리케이션 및 서비스의 보안 위험성 조사에 따르면 기업용 및 공공용 네트워크 상에서 알지 못하는 사이에 정보가 유출되고 있으며 이 정보들은 악성 해커들에게 악용될 소지가 있다고 밝혔다.

웹센스는 글로벌 위협탐지 인텔리전스 네트워크(ThreatSeeker® Intelligence Network)를 통해 수집한 샘플 데이터를 조사 검토한 결과, 윈도우XP, Vista, 7에서 운영되는 ‘윈도우 에러 리포팅(Windows Error Reporting 또는 Dr. Watson)’이 전송하는 텍스트 형태의 오류 보고서는 네트워크 침투 기회를 엿보는 악성 해커들에게 네트워크의 취약점을 탐색하고 거점을 확보할 빌미를 제공할 가능성이 있다고 분석했다.

웹센스는 이에 대해 아래와 같은 우려를 표했다.

• 네트워크에 연결된 전세계 PC 중 80%(약 10억 여 대)는 윈도우 에러 리포팅을 사용하고 있다.

• 윈도우 에러 리포팅(Dr. Watson)은 해커들이 OS, 서비스팩, 업데이트 버전 등과 같이 해커에서 보안이 취약한 시스템을 탐색 및 손상시키는데 사용할 수 있는 정보를 제공한다.

• 시스템 충돌 보고는 악성 해커들이 제로 데이(zero-day) 공격을 위한 새로운 취약점 코드를 찾아내는데 유용한 정보로 쓰인다.

• USB 장치 사용과 같은 일상 활동 정보도 전송된다.

윈도우 XP에서 처음 소개된 마이크로소프트 에러 리포팅은 개인정보보호정책 설명서에서 마이크로소프트로 전송되는 정보가 무엇인지 설명하고 있으며, 또한 자동 오류 보고 시스템이 지원되는 애플리케이션은 정보가 마이트로소프트로 전송되기 전에 사용자에게 미리 알릴 필요가 없는 것으로 정의하고 있다.

이에 해당하는 제품은 윈도우 XP, Vista, 7 및 OS X상의 애플리케이션이다. 윈도우8을 탑재한 PC들의 경우는 IT보안 모범 사례를 따라 윈도우 오류 보고로 전송시 모든 애플리케이션 텔레메트리에 TLS암호화를 의무화 하고 있다.

마이크로소프트의 온라인 정책 설명서에 따르면 네트워크 관리자는 그룹 정책을 적용함으로써 자동 오류 리포팅에 대해 세부 조작을 할 수 있는 것으로 명시하고 있다 (관련 링크: http://technet.microsoft.com/en-us/library/bb490841.aspx).

하지만 웹센스의 조사 결과에 따르면 많은 기업들이 윈도우 오류 보고 시스템을 통해 애플리케이션, 서비스 및 하드웨어의 특정 정보가 일반 텍스트 형태로 전송되고 있다. 전송되는 정보 중에는 충돌 오류는 물론 애플리케이션 업데이트 실패, USB 장치 삽입, 네트워크에 있는 컴퓨터 간 TCP 타임아웃 등이 있으며 상당 부분 HTTP 일반 텍스트 형태로 전송되고 있다.

웹센스는 이러한 정보는 프로그램의 비정상적인 종료와 하드웨어 구성의 문제점을 해결하는데 중요하지만 암호화가 되지 않은 형태로 전송될 때는 상당한 정보 유출의 위험성이 있다고 지적하고, 마이크로소프트로 전송되는 정보와 메타데이터의 민감성을 감안하여 기업에서 그룹 정책을 통해 기업 내 모든 네트워크 상의 윈도우 오류 보고를 내부 서버로 이동 시킬 것을 권고했다.

윈도우 기반 PC 중 대략 80%(2009년 기준 약 10억 대)가 윈도우 오류 보고 시스템을 보내고 있는 것으로 추정되는 데, 웹센스는 장치 업데이트 실패, USB 장치 연결 빈도, TCP 타임아웃 등의 정보는 기업에 상당히 유용한 정보지만, 적대적인 사람이나 집단이 해당 정보를 가로챈다면 상당한 위험을 제기할 수도 있다고 설명했다.

웹센스는 애플리케이션 텔레메트리, 보안 환경 및 기본 네트워크 인프라에 대한 정보를 포함하고 있는 서비스는 최소한 SSL 또는 TLS 1.2로 암호화해야 하며, 데이터 암호화 없이 해당 정보를 보고하는 애플리케이션은 정보를 유출할 위험이 있고, 업스트림 proxy, 방화벽, 기업 네트워크, 애플리케이션 개발자와 개발 파트너 조직 사이에 있는 ISP 등 관련 정보 유출의 소지가 있다고 밝혔다.

웹센스는 기업에서는 그룹 정책을 설정하여 모든 텔레메트리 보고의 암호화를 의무화하고, 사내 네트워크와 애플리케이션을 정기적으로 검사하여 정보 유출로 인한 보안의 손실을 막도록 해야 한다고 덧붙였다.

이 기사의 의견 보기

마프티