울지않는벌새 : Security, Movie & Society

공개용 알툴즈 제품 긴급 보안 패치 : DLL 업데이트 파일 취약점 (2011.8.4)

벌새::Security

2011년 7월 26일경에 발생한 네이트닷컴, 싸이월드 해킹을 통한 3,500만명 개인정보 유출 사고가 발생하였고 현재 감염 경로 등 세부적인 수사가 진행되고 있습니다.

그러던 과정에서 네이트 개발자 PC 감염을 유발한 경로가 이스트소프트(ESTSoft) 알툴즈(ALTools) 공개용 소프트웨어가 공용으로 사용하는 DLL 업데이트 파일 취약점을 이용하여 감염시킨 것으로 확인이 되었습니다.

현재 이스트소프트에서 사용하는 서버 자료에 대한 압수수색이 이루어지고 있는 것으로 알려져 있습니다.

이에 맞춰 이스트소프트사에서는 공개용 알툴즈 제품에서 발견된 취약점 대한 긴급 보안 패치를 발표하였으며, 영향을 받는 제품군은 다음과 같습니다.

공개용 알툴즈 제품군 버전 
알집(ALZip) 7.42 버전 및 상위 버전
알씨(ALSee) 5.52 버전 및 상위 버전
알송(ALSong) 1.982 버전 및 상위 버전
알쇼(ALShow) 2.03 버전 및 상위 버전
알FTP(ALFTP) 5.11 버전 및 상위 버전
알패스(ALPass) 3.07 버전 및 상위 버전


※ 해당 문제는 공개용 알툴즈 일부 버전에서만 해당되는 내용이며, 자체 업데이트 시스템을 갖춘 알약(ALYac) 보안 제품과 기업용 알툴즈 제품은 해당 취약점의 영향을 받지 않습니다.

현재 취약점은 알툴즈 제품에서 공용으로 사용되는 DLL 업데이트 프로그램의 취약점을 이용하여 정상적인 DLL 대신 악의적으로 변조된 악성 DLL 파일이 다운로드 될 수 있으며, 이를 통하여 공격자는 임의의 코드 실행을 통해 사용자 PC를 감염시킬 수 있습니다.

해당 보안 패치를 적용하기 위해서는 업체에서 제공하는 수동 보안 패치 설치 파일을 다운로드하여 설치하시거나, 시작 프로그램에 등록된 알툴즈 업데이트 기능을 이용하여 자동 업데이트를 하실 수 있습니다.

참고로 현재 알툴즈 업데이트를 이용할 경우 네트워크 이상 문제로 인해 일시적으로 업데이트를 하실 수 없는 문제가 발견되고 있으므로 수동 업데이트를 권장합니다.

이번 보안 패치를 통해 수정된 부분은 Windows 7 환경의 경우 ALTools Common Module Update Application 기능을 하는 [C:\ProgramData\ESTsoft\ALCM\ALCMUpdate.exe] 파일이 변경된 것을 확인할 수 있습니다.

한 가지 언급할 부분은 네이트 직원 PC 감염을 위해 공개용 제품의 DLL 업데이트 취약점을 노렸다는 것은 네이트 업체가 사내에서 불법적으로 라이센스 위반을 통한 알툴즈 제품을 사용한 것이 아닌가 의심이 됩니다.

실제 기업용 제품에서는 해당 취약점이 존재하지 않는다고 밝히고 있다는 점에서 네이트닷컴 기업 내부의 소프트웨어 라이센스 관리에 문제가 있을 수도 있어 보입니다.

그러므로 알툴즈 제품군을 사용하시는 분들은 반드시 최신 업데이트를 적용하시고 사용하시기 바랍니다.