Pwn2Own Berlin 2025 대회 첫날, 일련의 심각한 취약점이 성공적으로 악용되어 Windows 11과 Red Hat Linux를 포함하여 한때 안전하다고 여겨졌던 시스템의 취약성이 드러났습니다. 사이버보안 연구자들에게 총 26만 달러가 수여되는 이 행사는 기업 소프트웨어와 인프라를 지속적으로 평가하는 것의 중요성을 강조합니다. 순식간에 복잡한 공격으로 인해 주요 시스템이 손상되고 이전에 발견되지 않았던 취약점이 노출되었습니다. 이러한 시연은 Microsoft와 Red Hat과 같은 공급업체가 점점 더 정교해지는 공격자에 맞서 보안 태세를 강화해야 할 필요성을 강조하는 동시에, 새롭고 진화하는 위협에 대처하기 위해 보안 경쟁이 계속되어야 한다는 점을 일깨워줍니다.
Pwn2Own 2025에서 악용된 취약점: 현대 소프트웨어의 약점에 주목
Pwn2Own Berlin 2025 첫날에는 전례 없는 일련의 취약점이 공개되었으며, 이는 전문 분야에서 널리 배포된 소프트웨어의 일상적인 사용과 관련된 위험을 새롭게 정의했습니다. 그 중에서도 Red Hat Enterprise Linux for Workstations 오류가 가장 먼저 발생했는데, 정수 오버플로를 악용하여 로컬 권한 상승을 허용했기 때문입니다. 이후 연구자들은 사용 후 해제와 정보 유출을 결합한 복잡한 체인을 이용해 Linux 시스템에서 루트 접근 권한을 얻었습니다. 동시에 Windows 11은 다시 한번 표적이 되었는데, 특히 범위를 벗어난 쓰기 및 유형 혼동 취약점을 통해 SYSTEM 권한을 얻을 수 있었습니다. 이처럼 다양한 공격이 발생한다는 것은 기업 소프트웨어의 현 상태가 점점 정교해지는 공격에 대응하기 위해 더욱 경계하고 정기적인 업데이트를 실시해야 한다는 사실을 보여줍니다.
| 취약한 시스템 | 익스플로잇 유형 | 취약점 악용 | 보상 |
|---|---|---|---|
| 레드햇 엔터프라이즈 리눅스 | 로컬 권한 상승 | 정수 오버플로 | 2만 달러 |
| 윈도우 11 | 특권의 확대 | 범위를 벗어난 쓰기 | 지정되지 않음 |
| 윈도우 11 | 원격 제어 인수 | 유형 혼동 | 지정되지 않음 |
악용 기술: 해커가 소프트웨어 복잡성을 악용하여 Windows 및 Linux를 손상시키는 방법
공격자는 정교한 방법을 사용해 취약점을 식별하고 악용하는데, 이는 현대 소프트웨어의 기술적 복잡성을 보여줍니다. 그 중에서도 Red Hat Linux의 정수 오버플로는 메모리 관리에 대한 뛰어난 능력을 보여주는 반면, 사용 후 해제와 정보 누출을 결합한 체인은 기존 보호 기능을 우회하는 능력을 보여줍니다. Windows 11에서는 유형 혼동과 범위를 벗어난 쓰기가 메모리 관리 결함을 악용하는데, 이는 종종 소스 코드의 오류나 사용자 입력 처리의 세부 사항으로 인해 발생합니다.
- 정수 오버플로: 숫자 처리 시 오버플로가 발생하여 권한이 확대됩니다.
- 사용 후 폐기: 악용하면 해제된 메모리 사용량을 이용해 민감한 데이터를 조작할 수 있습니다.
- 정보 유출: 메모리에 대한 세부 정보가 공개되어 더 심각한 취약점을 악용하기가 더 쉬워집니다.
- 유형 혼동: 잘못된 데이터 처리를 유발하여 시스템이 마비되는 사태가 발생합니다.
| 운영 기술 | 목적 | 잠재적 영향 |
|---|---|---|
| 정수 오버플로 | 특권의 확대 | 전체 인수 |
| 사용 후 사용 | 임의의 코드 실행 | 시스템 손상 |
| 정보 유출 | 더욱 심각한 공격을 준비하다 | 민감한 데이터에 대한 액세스 |
| 유형 혼동 | 원격 제어 인수 | 전체 시스템 제어 |
게시자의 대응과 악용 사례 수정을 위한 경쟁
취약점이 공개되자 Microsoft와 Red Hat과 같은 소프트웨어 공급업체는 악용의 영향을 제한하기 위해 신속하게 패치를 구현하고 있습니다. Windows 11에서는 Pwn2Own 2025 이후 몇 주 만에 여러 가지 심각한 취약점이 수정되었는데, 여기에는 데모 중에 악용된 취약점도 포함되었습니다. Red Hat은 새로운 잠재적 공격으로부터 배포판을 보호하기 위해 패치 배포 속도를 높여야 합니다. 따라서 이 경쟁은 매우 치열합니다. 개발자들은 Pwn2Own의 규칙에 따라 90일 동안 직접 악용된 버그를 수정하는 업데이트를 배포해야 합니다. 이러한 이니셔티브는 사용자 신뢰를 유지하고 악의적인 행위자가 보다 집중적으로 취약점을 악용하는 것을 방지하는 데 필수적입니다.
| 편집자 | 취약점이 수정되었습니다 | 배포 시간 | 권장 조치 |
|---|---|---|---|
| 마이크로소프트 | 범위를 벗어난 쓰기 취약점, 유형 혼동 | 90일 | 업데이트 설치 |
| 레드햇 | 정수 오버플로, 체인의 체인 악용 | 90일 | 패치 즉시 적용 |
진화하는 위협에 직면한 기업 소프트웨어의 관련성: 초연결된 세계의 보안 과제
Pwn2Own 2025 대회는 기업이 보안 전략을 검토하고 인프라의 복원력을 강화해야 할 필요성을 강조합니다. Windows 11과 Red Hat Linux에서 악용된 취약점은 견고함으로 알려진 소프트웨어조차도 고수준 공격에 취약하다는 것을 보여줍니다. 보안을 위한 경쟁은 절대적인 우선순위가 되고 있으며, 특히 이번 호의 전문 부문에서 입증된 바와 같이 인공 지능의 통합으로 새로운 복잡성이 발생하는 맥락에서 더욱 그렇습니다. 공격 벡터가 늘어나고 공격 수법도 점점 더 정교해짐에 따라 예방적 접근 방식도 재고할 필요가 있습니다. 보안은 더 이상 일회성 패치에 국한될 수 없으며, 글로벌 위험 관리 전략에 통합되어야 합니다.
| 주요 이슈 | 잠재적 영향 | 가능한 해결책 |
|---|---|---|
| 제로데이 취약점 악용 | 운영에 심각한 중단 | 정기적인 업데이트, 교육 |
| AI 통합 | 위협의 바이러스화 | 강화된 제어, 고급 감지 |
| 공격 벡터의 증폭 | 위험 증가 | 세분화, 보안 감사 |
