세이퍼존, '코모도 킬스위치 취약점' PC보안 SW 작동 무력화 조치 해결

세이퍼존(대표 권창훈)은 세이퍼존 보안 USB와 개인 정보유출방지(DLP) 신버전 V10 제품이 매체제어, 개인정보유출방지(DLP), 백신, 엔드포인트탐지대응(EDR) 등 PC단 보안제품 작동을 강제 정지·삭제해 무력화하는 '코모도 킬스위치(Comodo Kill Switch) 취약점'을 해소했다고 1일 밝혔다.

코모도 킬스위치는 윈도 메모리 상 사용 중인 알려지지 않은 악성 프로세스를 파악하고, 위험하거나 알려지지 않은 프로세스를 삭제·중지·차단하는 무료 백신 치료 프로그램 일종이다. 유럽 바이러스 백신 기업 코모도에서 무료 배포(EDR)하고 있지만, 매체제어(보안 USB), 개인정보유출방지(DLP), 백신 등 보안 SW들을 작동하지 않도록 악용하는 것이 '코모도 킬스위치 취약점'이다.

따라서 EDR, DLP 등 엔드포인트 보안 솔루션들이 코모도 킬스위치에 의해 보안 작동이 무력화되면 기업·기관 내 PC 사용자들은 코모도 킬스위치를 동작했을 때 중요(개인)정보를 저장·전송 시 유출 피해를 입을 수 있다. 또 랜섬웨어 제작자 해커들은 이를 악용해 랜섬웨어·바이러스 등을 감염시키고 추가 금전적 이익을 취할 수 있다.

코모도 킬스위치 취약점은 보안업체의 모든 숨겨둔 자체 보호 엔진 프로세스까지 파악해 보안업체들 '주 엔진과 자체 보호 엔진들'을 동시에 정지·삭제해 보안제품 작동을 무력화한다. 또 삭제 후 윈도 재부팅 시 보안 SW가 아예 복구도 안 되고 작동하지 않는 상태(보안제품 미도입)로 만든다.

세이퍼존 관계자는 “코모도 킬스위치의 다양한 삭제·정지 무력화 방법으로 보안 소프트웨어를 무력화하는 취약점을 윈도 OS 커널 단 최하단의 강력한 커널 입출력(I/O) 드라이브 기술로 취약점을 해결했다”고 밝혔다.

안수민기자 smahn@etnews.com