윈RAR서 19년 된 보안취약점 발견돼

체크포인트 유튜브 화면 캡처. 정상파일로 위장한 압축파일을 풀자 윈도 시작프로그램 폴더에 악성파일이 생성됐다.

세계 5억명이 사용하는 윈도 압축프로그램 윈라(WinRAR)에 19년 동안 존재한 보안 취약점이 발견됐다.

이스라엘 보안업체 체크포인트 연구진은 윈라 프로그램 내에서 경로조작 취약점(Path Traversal Vulnerability)을 발견했다. 윈라로 압축파일 추출 시 공격자가 원하는 폴더에 파일이 풀리도록 조작 가능한 보안 취약점이다. 이를 악용해 윈도 시작프로그램 폴더에 악성파일을 배치하면 PC 재부팅 시 악성코드가 자동 실행된다.

취약점은 윈라 프로그램 내 'unacev2.dll' 파일에서 발견됐다. 이 써드파티 라이브러리 파일은 ACE 형식으로 압축된 파일을 윈RAR로 압축해제할 때 사용된다. ACE 압축 포맷은 이제 쓰이는 경우가 드물지만, 윈라는 확장자가 아니라 파일 내용으로 압축 포맷을 식별한다. 공격자는 ACE 포맷으로 압축된 악성파일 확장자를 RAR로 변경해 위장 가능하다.

ACE 압축파일은 윈에이스(WinACE) 압축프로그램으로 생성된다. 과거에는 윈집(WinZIP), 윈라 등과 함께 압축프로그램 시장을 삼분했지만, 점차 영향력을 잃어 2007년 11월 이후 버전 업데이트가 이뤄지지 않았다. 윈라 프로그램에서 취약점이 발견된 ACE 포맷 관련 파일 또한 2005년 이후로 업데이트되지 않아 보안 조치가 적용되지 않은 상태다.

체크포인트로부터 취약점을 제보 받은 윈라 개발사 라랩(RARlab)은 문제 파일을 프로그램 패키지에서 삭제해 문제를 해결했다. 라랩은 “unacev2.dll 파일은 2005년 이후로 업데이트되지 않았고, 소스코드에 접근할 수 없다”면서 “사용자 보호를 위해 ACE 압축 형식 지원을 중단하기로 결정했다”고 업데이트 공지를 통해 밝혔다.

국내 한 보안업계 전문가에 따르면 이 취약점이 악용된 실제 공격사례는 아직 알려지지 않았다. 하지만 지난 19년간 윈라 프로그램 모든 버전에 존재했던 취약점이므로, 윈라 사용자는 즉시 최신버전으로 업데이트할 필요가 있다. 관련 보안 패치는 윈라 5.70 베타 1버전부터 적용됐다.

팽동현기자 paing@etnews.com