최초 문서 게시일: 2011년 5월 2일 월요일

Microsoft에서는 생산성 소프트웨어를 개발 및 테스트하는 방법을 다소 변경했습니다. 이로 인해 Office 2010은 지금까지 출시된 Microsoft Office 중 가장 안전한 버전이 될 수 있었습니다. Microsoft에서는 잠재적 위협을 염두에 두고 Office를 디자인했음은 물론, 프로그래밍 코드에 보안 결함이 없는지를 검토하고 침입 테스트도 수행했습니다. 퍼지 테스트는 Microsoft에서 보다 안전한 소프트웨어를 만드는 데 사용하는 또 다른 프로세스입니다. 그 밖의 일부 보안 개선 사항에 대해서는 향후 게시물에서 다루도록 하겠습니다.

최근 보안 전문가 간에 퍼지 테스트에 대한 다양한 논의가 있었는데요. 그 예로 CERT(Computer Emergency Response Team)의 최근 게시물인 Microsoft Office와 Oracle OpenOffice의 보안 비교(영문일 수 있음)와 Dan Kaminsky가 작성한 문서인 퍼지 테스트: 소프트웨어 품질에 대한 보다 엄격한 보안 체계(영문일 수 있음)를 들 수 있습니다.

이 게시물에서는 Microsoft의 Office 팀에서 사용하는 퍼지 테스트 및 파일 퍼지 테스트 방식을 중점적으로 설명합니다.

 Office 2010 보안에 대한 자세한 내용은 Microsoft 다운로드 센터의 Office 2010을 사용���여 엔터프라이즈 데이터를 안전하게 유지 백서와 TechNet의 Office 2010 보안 리소스 센터(영문일 수 있음)를 참조하십시오. 

 파일 퍼지 테스트 101

파일 퍼지 테스트는 응용 프로그램에 임의의 데이터를 공급("퍼지")한 다음 응용 프로그램이 해당 데이터에 응답하는 방식을 모니터링하여 파일 형식을 수정하는 프로세스입니다. 소프트웨어를 만드는 회사와 맬웨어를 개발하는 공격자가 모두 이 테스트 절차를 수행합니다. 소프트웨어를 만드는 회사에서는 소프트웨어 응용 프로그램 내의 버그나 문제를 찾은 다음 응용 프로그램을 출시하기 전에 최대한 안전하며 안정적인 상태가 되도록 하는 데 이 기술을 사용합니다. 반면 맬웨어를 개발하는 공격자들은 파일 퍼지 테스트 또는 파일 형식 공격을 통해 응용 프로그램 내의 취약점을 찾아서 악용하고자 합니다. 취약점이 발견되면 공격자는 해당 취약점을 대상으로 하는 파일 형식 공격을 작성하여 소프트웨어 응용 프로그램 내의 취약점을 악용할 수 있습니다.

파일 형식 공격에서는 파일 무결성을 악용하며, 악성 코드를 추가할 의도로 파일 구조를 수정하는 경우 수행됩니다. 공격자가 제공하는 악성 코드는 퍼지 테스트를 한 파일을 열 때 실행됩니다. 따라서 공격자가 이전에는 액세스할 수 없었던 컴퓨터에 대한 액세스 권한을 얻게 됩니다. 이러한 무단 액세스를 통해 공격자는 컴퓨터 하드 디스크 드라이브에서 기밀 정보를 읽거나 웜, 키로깅 프로그램 등의 맬웨어를 설치할 수 있습니다.

퍼지 테스트 및 위협 예방

Office 팀에서는 자동화된 분산형 파일 퍼지 테스트(영문일 수 있음)를 사용하여 Office 2010 개발 중에 버그 및 잠재적 응용 프로그램 취약점을 파악했습니다. 또한 Office 팀은 지원 수명 주기 전체에서 테스트를 계속하고 있습니다. 이러한 테스트 작업의 일환으로, 전체 Office 제품군에서 제공되는 300개가 넘는 파일 형식을 나타내는 수백만 개의 Office 파일을 매주 수천만 회에 걸쳐 서로 다른 방식으로 퍼지 테스트하여 Microsoft Office에서 열리는 모든 파일 형식의 새로운 취약점을 파악했습니다.

Microsoft Office 2010에서는 파일 퍼지 테스트 공격을 방지하기 위해 제한된 보기, 파일 차단 설정, DEP(데이터 실행 방지), ASLR(Address Space Layout Randomization) 및 파일 유효성 검사와 같은 다양한 완화 방법을 사용할 수 있습니다.

또한 Microsoft에서는 최근 이 파일 유효성 검사 기술을 Office 2003 및 Office 2007 업데이트에도 통합했습니다. 따라서 아직 Office 2010을 사용하지 않는 사용자도 파일 퍼지 테스트 공격을 방지할 수 있습니다. 모든 고객이 이 업데이트를 배포하는 것이 좋습니다. 자세한 내용은 TechNet 문서 Office 2003 및 Office 2007용 Office 파일 유효성 검사 기능(영문일 수 있음)을 참조하십시오.

 

이 문서는 번역된 블로그 게시물입니다. 원본 문서는 Fuzz Testing in Office를 참조하십시오.