[엠투데이 임헌섭 기자] 마이크로소프트(MS)의 안티바이러스 툴인 윈도우 디펜더(Windows Defender)를 손쉽게 비활성화시킬 수 있는 방법이 발견되면서 윈도우 보안 체계의 허점이 드러나 화제다.

이번 허점은 보안 연구자 es3n1n가 개발한 '디펜드낫(Defendnot)'에서 시작됐다. 해당 툴은 마이크로소프트가 공식적으로 문서화하지 않은 윈도우 보안 센터(Windows Security Center) API를 이용해 마치 다른 백신 프로그램이 설치된 것처럼 속인다.

윈도우는 복수의 백신 프로그램이 동시에 작동할 경우 충돌을 방지하기 위해 기존 윈도우 디펜더를 자동으로 비활성화하는데, 이러한 설계를 역이용한 것이다.

디펜드낫은 코드 자체를 윈도우 태스크 매니저(Windows Task Manager) 프로세스에 삽입하는 '프로세스 인젝션' 기법을 활용해, 보안 검증이 강화된 시스템 보호 기능인 PPL(Protected Process Light)과 디지털 서명 검사를 우회한다.

이러한 기법은 일반적으로 악성코드가 사용하는 방식으로, 정식 보안 체계를 우회할 수 있는 위험 요소로 지목된다.

현재 MS는 디펜드낫을 트로이 목마로 분류하고 있으며, 최신 버전의 윈도우 디펜더는 해당 툴을 자동으로 탐지하고 격리하도록 머신러닝 알고리즘을 통해 대응하고 있다.

전문가들은 디펜드낫과 같은 도구가 원래는 보안 연구 목적으로 개발됐더라도, 실제로는 사이버 공격자에게 유용한 도구가 될 수 있다고 경고하고 있다.