MS와 악질적인 코드의 작성자가 「숨박꼭질」을 시작했다.

지난 주에 발표된 윈도우 비스타 베타2는 버퍼 오버런 공격으로부터 머신을 보호하는 새로운 보안 기능이 포함되어 있다. 「Address Space Layout Randomization(ASLR)」라는 이 기능은 PC를 기동할 때마다, 다른 메모리 영역에 보존되어 있는 중요한 시스템 파일을 읽어 악질적인 코드의 실행을 어렵게 하는 것이다.

MS의 시니어 시큐리티 프로그램 매니저 마이클 하워드(Michael Howard)는 이 기능을 발표하는 블로그에서 “(시큐리티의) 만병통치약도 아니고, 안전성이 낮은 코드 를 대신하는 것도 아니다. 그러나 다른 기술과 병용하는 것이다.. (중략) 유용한 보호 방법이다. 윈도우 시스템을 맬웨어가 「다르다」고 보게 해 자동화된 공격을 일어나기 어렵게 하기 때문이다”고 적었다.

버퍼 오버 런 공격이란, 컴퓨터 코드의 대표적인 시큐리티 홀인 버퍼 오버 런 혹은 버퍼 오버플로우를 악용하는, 악질적인 코드에 의한 공격이다. 이 공격은 버퍼 경계를 넘어서는 데이터를 보전시켜 그 결과 넘치는 데이터를 메모리에 인접한 부분에 겹쳐쓰기 해 성공한다. 이로 인해 머신이 크래쉬 당하거나 악질적인 코드가 실행될 가능성이 생긴다.

ASLR는 MS가 개발한 기술이 아니고, OpenBSD나 리눅스 패치 「PaX」, 「Exec Shield」라는 오픈 소스 시큐리티 시스템으로 이미 이용되고 있다.

일부의 공격은 「wsock32.dll」에 있는 「socket()」라는 윈도우 시스템 함수를 호출해, 네트워크 소켓을 열려고 시도한다. 이로 인해 새로운 ASLR 기능은 이러한 시스템 파일을 이동시켜 장소를 특정하기 어려워진다. 하워드의 블로그에 의하면 윈도우 비스타 베타2에서는, DLL 혹은 EXE 파일은 256개의 저장소 어디엔가 보관된다고 한다.

“공격자가 적절한 장소를 찾아내는 확률이 256분의 1 밖에 없다”고 한다.

버지니아 주 혼돈의 보안업체 사이버트러스트(Cybertrust)의 시니어 사이언티스트인 루스 쿠퍼(Russ Cooper)는 오픈 소스 시스템에서는 랜덤화는 매우 유용하다고 이야기한다. 다만 MS가 ASLR를 어떻게 탑재하는지 그 랜덤화는 정말로 예상이 어려운 것인지 어떤지는, 아직 분명하지 않다고한다.

“결국 이 기능은, 파일의 보관 장소로서 선택한 부분을 명확하게 나타내 보이거나 혹은 어떤 지점을 알려주는 것이 아닐까 하는 의심이 있다”고 한다.

공격자는 256개의 모든 메모리 영역을 들여다보는 악질적인 소프트웨어를 작성할 수도 있다. 무엇보다 이러한 행위에 의해서 공격이 일어날 가능성보다, PC가 크래쉬될 가능성이 훨씬 크다고 쿠퍼는 지적하고 있다. “맬웨어의 실행 저지만을 생각하면 좋을지 모르지만 시스템을 계속적으로 가동시킬 경우는 문제가 많다”고 한다.

보안 업계는 MS가 비스타에 ASLR를 포함한 것을 칭송하고 있다. Next Generation Security Software의 연구자 데이빗 리치필드(David Litchfield)도 「BugTraq」메일링 리스트에서 “이로 인해 원격으로부터의 버퍼 오버플로우 공격이 매우 힘들게 되었다”고 말했다.

한편 회의적인 견해를 하는 사람들도 있다. 리치필드의 발언에 대해 「c0ntex」라는 이름의 인물은 ASLR은 “리눅스에서는 몇 년 전부터 도움이 되지 않았다”고 반론했다.

덧붙여 MS가 윈도우 비스타의 베타2의 발표 때문에 간신히 ASLR를 탑재한 것은, 윈도우XP의 후계 제품인 비스타의 발표가 연말 성수기에는 늦어질 것이라는 것을 재확인하는 것이다. “ASLR의 탑재가 많이 늦어졌지만 베타2에 이를 추가해 초기 탑재 기능으로서 이용할 수 있도록 하는 것이 중요하다고 판단했다. 실제의 이용 환경에 있어서의 동작 상황을 파악할 수 있기 때문이다”고 하워드는 말했다.

MS는 ASLR의 추가는 비스타의 그 외의 기능 강화와 함께, OS의 안전성을 전체적으로 향상시키게 되었다고 자신한다. MS에 의하면 2007년 1월에 발표할 예정인 비스타는 지금까지의 윈도우 중에서 가장 안전한 제품이라고 한다. @