URL 프로토콜 처리 문제로 제로데이 공격 가능....출처모르는 PDF첨부파일 주의 요구
▲ 악의적인 PDF 파일의 링크를 클릭했을 때, 악의적인 프로그램이 실행될 수 있다는 것을 보여주는 그림이다.
Adobe Acrobat과 Acrobat Reader 상에서 "%" 혹은 "%xx"와 같은 문자가 포함된 URL(인터넷 연결 주소) 처리를 잘못하는 문제로 인해 제로데이 공격이 가능한 심각한 보안 취약점이 발견됐다.
이 취약성은 지난 9월 외국에서 최초 보고된 바 있으며, 사용자가 공격자에 의해 악의적으로 만들어진 PDF 문서를 읽는 것만으로 공격자는 권한없이 사용자의 컴퓨터 프로그램을 임의로 실행할 수 있어 그 취약점은 매우 심각한 것으로 알려진다.
특히 어도비나 마이크로소프트사는 이 취약성에 대한 어떠한 패치 없이 10월 초 관련 취약점을 재현할 수 있는 상세 기술적인 내용을 발표해 사용자들의 보안이 위협되고 있다. 이 취약점에 노출된 시스템은 최신 패치(2007년 10월 정기 패치 포함)가 완료된 MS Windows XP (SP2), MS Windows 2003 (SP2)의 MS Internet Explorer 7가 설치된 시스템 상의 Adobe Acrobat v8.1, Adobe Acrobat Reader v8.1이다. 단, MS Windows 비스타는 이 취약점에 대해 영향을 받지 않는다.
본 취약성에 대한 기술적 내용을 국내 처음 소개한 정보보안 전문 커뮤니티 SecurityPlus(http://cafe.naver.com/securityplus)의 운영자이자 현 IBM 티볼리 보안 컨설턴트로 활동 중인 박형근 과장은 "이 문제점은 MS 윈도우의 URL 프로토콜 처리 프로세스와 응용 프로그램의 URL 프로토콜 호출 사용에 있어 부적절하게 입력된 문자를 잘못 처리함으로써 발생된 문제"라며 "특히 문서 배포와 공유에 있어 널리 사용되고 있는 PDF 상에서 발견된 이 취약점은 그 위험도 만큼이나 영향도 매우 크기 때문에 사용자들은 인터넷, 메일, P2P 등을 통해 입수된 출처를 알지 못하는 PDF 첨부문서에 대해서는 주의를 기울여야 한다"고 당부했다.
* 본 취약점에 대한 참고 사이트는 다음과 같다.
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-5020
http://www.adobe.com/support/security/advisories/apsa07-04.html
* 이 밖에도 문제점에 대한 임시 조치로는, 사용자 컴퓨터의 MS Windows Registry의 다음 위치에서:
Acrobat: HKEY_LOCAL_MACHINESOFTWAREPoliciesAdobeAdobe Acrobat8.0FeatureLockDowncDefaultLaunchURLPerms
Acrobat Reader: HKEY_LOCAL_MACHINESOFTWAREPoliciesAdobeAcrobat Reader8.0FeatureLockDowncDefaultLaunchURLPerms
다음과 같은 tSchemePerms 항목 중,
version:1|shell:3|hcp:3|ms-help:3|ms-its:3|ms-itss:3|its:3|mk:3|mhtml:3|help:3|
disk:3|afp:3|disks:3|telnet:3|ssh:3|acrobat:2|mailto:2|file:2
mailto:2 를 mailto:3 으로 아래와 같이 수정하거나 관련 내용을 삭제하는 것이다.
version:1|shell:3|hcp:3|ms-help:3|ms-its:3|ms-itss:3|its:3|mk:3|mhtml:3|help:3|
disk:3|afp:3|disks:3|telnet:3|ssh:3|acrobat:2|mailto:3|file:2
김정은 기자
jekim@itdaily.kr