이석원 기자
어도비가 개발하는 PDF 파일 제작, 편집 툴인 어도비 애크로뱃(Adobe Acrobat)과 PDF 열람 툴인 애크로뱃 리더(Acrobat Reader)가 열린 PDF에 대한 보안 소프트웨어 감시를 막으려 한다는 게 보안 기업 기업 미네르바랩(Minerva Labs) 연구팀에 의해 보고됐다. PDF 파일에 포함된 악의적 활동을 모니터링할 수 없게 되면서 보안 위험이 높아질 우려가 있다.
보안 소프트웨어가 제대로 작동하기 위해선 설치된 시스템 모든 절차를 모니터링할 수 있는 게 중요하다. 이는 시스템에서 부팅하는 소프트웨어 제품에 동적 링크 라이브러리 DLL을 주입해 실현된다.
그런데 미네르바랩 연구팀은 2022년 6월 20일 블로그를 통해 올해 3월 이후 어떤 보안 제품 DLL이 로딩되는지 조회하려는 어도비 애크로뱃 리더 프로세스가 점차 증가하고 있다고 보고됐다. 이 쿼리는 CEF(Chromium Embedded Framework) DLL인 libcef.dll에 발행되어 트렌드마이크로, 비트디펜더, 어베스트, 맥아피, 시만텍, 멀웨어바이트, ESET, 카스퍼스키 등 30개 보안 소프트웨어 DLL을 감지한다.
libcef.dll은 2가지 어도비 프로세스(AcroCEF.exe, RdrCEF.exe)에서 실행되며 어도비 애크로뱃과 애크로뱃 리더 모두 동일한 보안 소프트웨어를 확인하는 것으로 보인다. 연구팀은 libcef.dll에 대해 조사한 결과 블랙리스트에 등록된 보안 소프트웨어 DLL을 올려 PDF 파일 모니터링을 차단하는 것으로 나타났다.
프로세스에 대한 보안 소프트웨어 DLL 주입이 차단되면 프로세스 가시성이 손상되어 보안 문제를 탐지할 수 없기 때문에 미네르바랩은 이 동작이 치명적 결과를 초래할 수 있다고 경고하고 있다. 실제로 지금까지 PDF 파일을 이용한 공격 기법이 복수 보고되고 있어 PDF 파일 모니터링을 차단하는 것으로 보안상 위험이 높아질 우려가 있다.
미네르바랩은 이 현상은 악성코드에서 자주 볼 수 있는 동작이었기 때문에 어도비 애크로뱃이 공급망 공격을 받았을 가능성도 상정하고 있었다고 한다. 그런데 이 문제에 대해 미네르바랩이 어도비에 문의한 결과 어도비 측은 일부 보안 소프트웨어 DLL은 어도비 애크로뱃과의 호환성에 문제가 있어 소프트웨어 안정성이 손상될 수 있어 보안 소프트웨어 DLL을 차단했다고 응답했다고 한다.
미네르바랩은 어도비가 호환성 문제를 곧바로 해결하는 접근법을 선택하는 것처럼 보이지만 보안 측면에서 새로운 문제를 일으킬 수 있다며 눈앞 문제를 실제로 해결하는 게 아니라 본질적으로 멀웨어와 같은 동작을 소프트웨어에 삽입하는 전형적인 사례다.
어도비 측은 호환성 문제로 보안 소프트웨어 DLL을 차단하고 있다는 걸 인정하며 벤더와 협력해 문제를 해결할 것이라며 어도비 애크로뱃에서 적절한 기능을 확보할 것이라고 밝히고 있다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
