패치도 안되는 윈도우 공격법 아톰바밍(AtomBombing)

지난달 해외 보안전문업체에서 현존하는 안티멀웨어 솔루션으로는 감지 및 탐지가 불가능한 윈도우 시스템 공격방법을 발견 했다고 합니다. 이 공격 방법은 패치로도 해결이 안되며, 윈도우 운영 시스템 기저에 있는 아톰 테이블(atom table)이란 메커니즘 자체를 공격하는 공격 방식이라고 합니다.

*아톰 테이블: 윈도 애플리케이션 기능을 지원하는 문자열과 식별자를 저장하는 곳

이번에 발견된 아톰바밍 공격방법은 크게 보면 코드 주입 공격법에 속하는데, 다른 점 이라면 애플리케이션이나 프로세스에 악성코드를 주입하는 것이 아니라 모든 윈도우 버전에 존재하는 아톰 테이블에 주입하는 방식을 취한다는 점입니다.

* 코드주입공격법: 정상적인 애플리케이션이나 프로세스에 악성 코드를 집어넣어 실행되도록 유도하는 방식으로 코드 주입 공격을 함으로써 프로세스 단계의 여러 가지 보안장치를 피해갈 수 있고, 암호화된 암호에 접근하거나 중간자 공격을 감행할 수 있게 됩니다.

일단 해커가 윈도우 내부의 아톰 테이블에 악성코드를 쓰게 되면 멀쩡한 애플리케이션들이 아톰 테이블로부터 데이터를 회수해 실행하는 과정에서 악성코드에 전염된다고 합니다. 악성코드에 전염된 애플리케이션들은 해커들이 원하는 대로 내용을 가져가거나 조작하는 것이 가능해지는 것입니다. 아톰 테이블 시스템을 가지고 있는 가장 오래된 윈도우 버전은 윈도우 2000으로 즉 2000년 이후에 나온 윈도우들은 이 공격대상에 해당된다고 볼 수 있습니다. 아톰바밍 공격을 정말 활용하는 해커가 나타난다면 MS 제품의 취약점에 의존한 공격에서 벗어나 아마도 다양한 공격이 가능해질 것 이라는게 전문가들의 의견입니다.

아톰바밍(AtomBombing)을 막아라

반면 아무리 강력한 아톰바밍 공격도 기본 보안 수칙만 지키면 피해를 최소화할 수 있다는 전문가들의 의견도 나오고 있습니다. 코드를 주입하는 공격 자체는 막을 수 없지만 행위기반으로 탐지하는 보안 솔루션이 대응하여 차단이 가능할 것이라는 것입니다.

마이크로소프트에 따르면 코드 인젝션(Code injection)기술을 악용하는 악성코드가 실행되기 위해서는 사용자 시스템을 먼저 손상시키거나 악성 코드들 실행할 수 있는 상태여야 하는데, 이런 악성코드에 감염되지 않으면 아톰바밍 공격도 방지할 수 있다는 것입니다.

항상 새로운 기술의 등장과 함께 이를 이용한 다양한 공격 형태가 양산됩니다. 특히 철저히 검증되지 않고 나오는 기술은 득보다 해가 더 많은 것입니다. 최근 이슈가 되고 있는 IoT보안 문제도같은 맥락으로 볼 수 있으며, 속도에 집중하다가 취약한 점을 간과하거나 기술, 디바이스가 출시된 후 알지 못했던 문제가 발견되어 심각한 부작용을 낳게 될 수 있습니다. 이는 100% 완벽한 보안이나 안전장치는 없다는 것을 의미하기도 합니다. 그렇기 때문에 사용자 스스로 항상 보안에 대한 개념을 철저히 갖고 기본적인 보안수칙을 잘 지켜 예방하는 것이 가장 중요할 것입니다.