최근 제가 작성한 글 중에는 백신(안티바이러스) 제품에 대한 기능 및 성능을 사용자 측면에서 어떻게 판단해야 할 지에 대한 것이 있습니다.

이번 글에서는 또하나의 핵심 기능인 DEP와 ASLR에 대해서 알아 보고, 백신과 어떤 상관 관계에 있는지 살펴 보고자 합니다.


1. DEP(Data Execution Prevention)

윈도우 XP(SP2)에 이르러 보안에 대한 많은 검토가 이뤄지면서 DEP(데이터 실행 방지)라는 기술이 추가되었습니다.

DEP은 바이러스와 같은 악성 프로그램이 윈도우의 커널 모드에서 보호하는 메모리에 접근하여 코드를 실행하는 경우에 이를 차단하고 사용자에게 오류로 알려 주는 보안 기능 중 하나입니다.


2. ASLR(Address Space Layout Radnomization)

윈도우 비스타에서 처음 소개된 보안 기능으로 실행 파일이 메모리에 로드될 때에 ImageBase의 값을 임의로 바꾸는 것으로, 실제 프로세스의 Stack, Heap도 변경됩니다. 제로데이 익스플로잇과 같은 악성 프로그램은 특정한 취약점을 이용하기 위해 고정된 주소를 공격하게 되는데 값이 임의로 바뀌게 되면 공격 자체가 무력화 됩니다.


자 이제 검토해야 할 부분은 최신 윈도우 운영체제에서 제공하는 DEP, ASLR을 백신에서 지원을 반드시 해야 하는 것인지 아니면 선택사항으로 봐야할 것인지 검토할 단계입니다.

예를 들어, 백신에 특정한 취약점을 가지고 있다면 그리고 이 취약점을 이용하여 공격하는 악성 프로그램이 있다면, 사용자의 대응은 다음과 같을 것입니다.

  • 취약점을 해결하는 패치가 나올때까지 해당 제품을 사용하지 않고 다른 제품으로 대체
  • 취약점을 해결하기 전까지 대안이 있는 경우 조치하고 나중에 패치가 발표될 경우 진행

하지만, 이러한 조치 방법은 패치가 나와야 한다는 전제조건이 필요합니다. 만약, 패치가 늦게 나오거나, 불가능한 (이럴 일은 없겠지만) 경우에는 꽤 난감할 수 밖에 없습니다.

만약 백신이 DEP, ASLR을 지원하는 경우에는 이러한 취약점에 능동적으로 대응할 수 있다는 장점을 가질 수 있습니다.

그러면, 국외 백신 제품에서 DEP, ASLR을 지원하는지 살펴보면, 솔직이 실망을 금할 수 밖에 없습니다.

Krebson의 블로그에 따르면 AVAST Home Edition, AVG Internet Security, BitDefender Internet Security 2010, ESET Smart Security, F-Secure Internet Security, Norton Internet Security 2010, Panda Internet Security 2010, Trend Micro Internet Securtiy 2010 제품 중에서 일부 제품만이 DEP, ASLR을 지원하는 것으로 알려지고 있습니다.


가상화 소프트웨어인 VMWARE 상에서 백신 제품을 설치하고 Process Explorer 프로그램을 이용하여 DEP, ASLR을 확인했습니다.

글이 쓰여진 시점에서는 마이크소프트가 제공하는 무료 백신인 MSE(Microsoft Essentials)가 유일하게 DEP, ASLR을 지원했다고 밝히고 있으며, 그외 제품에 대해서는 회사를 상대로 정확한 사항을 파악한 바는 다음과 같습니다.

  • 어베스트! V5에서는 DEP과 ASLR을 지원(V4.8 미지원)
  • F-Secure는 지원 예정
  • Panda는 일부 모듈에서 DEP과 ASLR을 지원
  • BitDefender는 2011 버전에서 지원 예정
  • Symantec은 현재 버전에서 DEP는 지원, ASLR은 지원 예정

물론, DEP과 ASLR이 문제점을 완벽하게 커버할 수 있는 기능으로 보기는 어렵습니다. 또한, DEP과 ASLR을 우회하는 기술도 이미 널리 알려져 있습니다.

하지만, 이 글에서 언급하고자 하는 바는 바로 운영체제에서 애플리케이션의 문제점으로 인해 발생할 수 있는 보안 취약점을 예방하는 기능을 제공하는데, 이러한 기능을 백신에서도 충분히 검토하여 지원해야 하지 않느냐 입니다.

아울러, 별도로 테스트는 진행하지 않았지만, 국내 백신 제품에서는 어떠한 결과가 나올지 주목됩니다. 시간적 여유가 된다면 테스트해서 결과를 공개해 볼 요량입니다.

감사합니다.








 

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    백신 제품에 대한 DEP(Data Execution Prevention)과 ASLR(Adress Space Layout Randomisation)를 정리하던 중에 우연히 윈도우 XP(SP3) 버전의 DEP 메뉴에서 오자를 찾았습니다.


    boo.ini -> boot.ini로 고쳐야죠. ㅎㅎ. 근데 안 고치겠죠? 더 이상 서비스팩이 안나온다면....

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus


      Web Analytics Blogs Directory