PDF(Portable Document Format) 보안은 PDF가 외부 당사자와 문서를 공유하기 위한 표준으로 널리 사용되기 때문에 오늘날의 디지털 시대에 매우 중요합니다. 1993년 Adobe 창립자가 만든 PDF는 지난 30년 동안 디지털 커뮤니케이션의 지배적인 파일 형식이 되었습니다. 그러나 개체와 파일을 포함하는 기능과 XML 또는 JavaScript의 통합을 허용하는 기능은 이를 페이로드 다운로드를 위한 미끼로 사용하는 위협 행위자 사이에서 선호되는 도구입니다. 이러한 이유로 많은 사이버 보안 전문가들은 “PDF”가 “페이로드 다운로드 파일”을 의미한다고 농담으로 말합니다. 정교한 피싱 이메일이 일반적인 전술이며 가장 널리 사용되는 가짜 문서는 PDF이므로 이메일 수신자는 첨부 파일을 열 때 주의해야 합니다.
Acrobat이 시장을 장악하면서 해커들은 Acrobat의 보안 취약점을 표적으로 삼았습니다. Foxit이 시장 점유율을 확보하면서 사이버 범죄자들은 2억 명이 넘는 사람들이 사용하는 Foxit Reader를 공격하는 데 집중했습니다. 지난 5년 동안 CVE(Common Vulnerabilities and Exposures) 데이터베이스에 기록된 취약점을 포함하여 Adobe와 Foxit 모두에서 500개 이상의 보안 취약점이 보고되었습니다. 시장에는 수많은 다른 PDF 리더가 있지만 해커는 널리 사용되는 이 두 제품에 계속 집중하고 있습니다.
CVE 보고서
CVE 보고서에 따르면 사이버 범죄자는 종종 코드를 실행하거나 메모리 오버플로를 유발하여 액세스 권한을 얻습니다. 악성 링크 또는 개체 추가와 관련된 많은 사례는 보고할 필요가 없기 때문에 이러한 통계에 포함되지 않습니다.
대부분의 취약점은 300개 이상의 회사를 포함하는 PDF 업계의 주요 업체에만 국한되지 않는다는 점에 유의해야 합니다. 따라서 모든 PDF 공급업체는 “보안 게시판” 알림을 통해 보안 허점을 신속하게 해결하고 패치를 발행해야 합니다. 엔터프라이즈 IT 관리자는 회사에서 보안 게시판 시스템이 없는 이름 없는 공급업체의 PDF 솔루션을 사용하는지 확인해야 합니다. 2022년 Foxit은 116개의 문제를 해결하기 위해 6개의 패치를 출시했으며 Adobe는 125개의 문제를 해결하기 위해 5개의 패치를 출시했습니다.
PDF 리더는 종종 공통 개체, 모듈 및 이미지 필터를 공유합니다. 하나의 구성 요소가 손상되면 전체 제품이 위험에 처합니다. 따라서 Acrobat 또는 Foxit에서 보안 취약점이 감지되면 이름이 지정되지 않은 다른 PDF 리더도 영향을 받을 수 있습니다. 업데이트가 허용되지 않는 폐쇄된 네트워크 환경에서는 많은 온 프레미스 PDF 프로그램이 보안되지 않은 상태로 유지됩니다. 악성코드와 같은 단일 감염 지점이 조직에 침투하면 전체 시스템을 손상시킬 수 있습니다.
◇ PDF가 주요 해킹 대상이 된 이유는?
PDF는 파일 공유 형식으로 널리 사용되고 개체, JavaScript 및 XML을 통합하는 기능으로 인해 인기 있는 해킹 대상입니다. PDF의 JavaScript를 사용하여 사용자 장치에서 코드를 실행할 수 있습니다. JavaScript 또는 PDF 뷰어에 취약점이 있는 경우 공격자가 사용자의 장치 또는 네트워크에 액세스할 수 있습니다. 해커는 JavaScript를 조작하여 사용자를 피싱 웹사이트로 리디렉션하여 궁극적으로 장치에 맬웨어를 다운로드하고 설치하도록 속일 수 있습니다.
Embracing XML은 사용자에게 대화형의 풍부한 멀티미디어 문서를 생성할 수 있는 기능을 제공합니다. XML 통합을 통해 PDF는 메타데이터, FormData 및 오디오 및 비디오와 같은 멀티미디어 요소를 포함할 수 있습니다. 그러나 XML을 부적절하게 사용하면 심각한 취약점이 발생할 수도 있습니다. 디지털 변환에 대한 강조가 증가함에 따라 PDF는 XML 지원을 통해 범위를 확장하여 이점과 잠재적인 보안 위험을 모두 가져올 수 있는 잠재력을 가지고 있습니다.
◇ “Good Guys” 들은 과연 누구일까요?
Trend Micro ZeroDay Initiative는 보고된 보안 허점 발견의 거의 30%를 차지하는 취약점 패치에 중요한 역할을 했습니다. CNVD와 같은 다른 소스도 귀중한 기여를 합니다. 그러나 CVE 데이터베이스는 빙산의 일각에 불과한 것으로 간주됩니다. 많은 악의적인 행위자가 계속해서 이익을 얻기 위해 착취하는 것을 숨기기로 선택하기 때문입니다.
◇ 어떻게 공격을 막을 수 있을까요?
PDF 리더의 보안을 보장하려면 사용자가 프로그램을 최신 상태로 유지하는 것이 중요합니다. CISO(Chief Information Security Officer)는 정기적으로 업데이트를 확인하고 소프트웨어 보안 공지에서 권장하는 관련 패치를 적용해야 합니다.
아마도 가장 중요한 것은 사용자가 신뢰할 수 없는 소스나 예상치 못한 이메일에서 PDF 파일을 열 때 주의를 기울이는 것이 중요하며 IT 관리자는 시뮬레이션된 환경에서 정기적인 내부 교육 세션을 구현하여 보안을 강화할 수 있다는 것입니다. 보안을 강화하는 또 다른 방법은 샌드박스 브라우저 또는 가상화된 환경에서 PDF 파일을 여는 것입니다. 원치 않는 스크립트를 차단하고 공격 표면을 줄이기 위해 NoScript 또는 uMatrix와 같은 브라우저 확장을 사용하는 것도 좋습니다.
브라우저가 로드하고 실행할 수 있는 리소스를 제한하기 위해 CISO는 콘텐츠 보안 정책(CSP)을 구현할 수 있습니다. 웹 애플리케이션 방화벽(WAF)은 SQL 인젝션 및 XSS(교차 사이트 스크립팅) 공격과 같이 알려진 웹 기반 위협과 알려지지 않은 웹 기반 위협 모두에 대한 모니터링 및 보호 기능을 제공할 수 있습니다.
또한 브라우저 격리 기술은 기본 운영 체제에서 브라우저를 격리하여 맬웨어 침투를 방지하고 중요한 데이터를 보호할 수 있습니다. 시장에는 Ermind 및 Menlo를 비롯한 다양한 브라우저 격리 공급업체가 포함됩니다. 조직에서는 콘텐츠 해제 및 재구성(CDR) 도구를 샌드박스 파일에 채택할 수도 있습니다. 이 접근 방식에는 PDF 파일을 구성 요소로 분해하고, 멀웨어, 악성 링크 및 스크립트와 같은 잠재적인 보안 위협에 대해 각 구성 요소를 분석한 다음 안전한 구성 요소만 사용하여 파일을 재구성하는 작업이 포함됩니다.
◇ PDF 벤더들은 어떤 노력을 해야 할까요?
PDF 공급업체는 안전하고 향상된 코드를 생성하는 데 집중해야 합니다. OWASP Top Ten Project는 가장 시급한 웹 애플리케이션 보안 위험에 대한 지침을 제공합니다. 조직은 또한 보안 취약성 보고서에 대한 커뮤니티의 의견을 적극적으로 경청하고 커뮤니티 참여를 유도하기 위한 인센티브 프로그램을 구현해야 합니다.
또 다른 옵션은 타사 공급자의 조기 경고 에이전트 프로그램을 구현하는 것입니다. 유사한 보안 강화 유틸리티가 HWP(Hangul Word Processor)에서 감염되거나 수정된 파일을 사전 검사하기 위해 채택되었습니다. 사용자가 파일을 열려고 하면 타사 유틸리티 프로그램이 안전을 확인하고 파일이 안전한 것으로 확인된 경우에만 프로세스를 사용자에게 전달합니다.
그러나 안전한 코딩 관행과 상위 라이브러리 사용에도 불구하고 PDF 파일은 사용 중인 PDF 리더 버전이나 파일을 여는 환경과 같은 외부 요인으로 인해 여전히 취약할 수 있음을 명심해야 합니다.
결론적으로 PDF는 디지털 통신의 중요한 매체로 남아 있으며 국제표준화기구(International Standards Organization)의 중립적인 관리 덕분에 디지털 세계를 계속 지배할 것입니다. 모든 유형의 디지털 자산을 보유할 수 있는 기능은 PDF 개발자에게 매우 중요합니다. 그러나 기술이 발전함에 따라 해킹의 위험도 증가하여 해커와 벤더 간의 군비 경쟁이 계속되고 있습니다.
PDF를 안전하게 사용하려면 사용자는 커뮤니티 연구 및 안전한 코딩 관행을 전담하는 사내 보안 팀과 협력하여 적시에 패치를 제공하는 신뢰할 수 있는 공급업체를 찾아야 합니다. 또한 조직은 보안 제품 및 내부 보안 교육에 대한 액세스를 제공해야 합니다.
PDF와 관련된 보안 위험을 완화하려면 PDF 공급업체, 화이트햇 해커, 보안 솔루션 제공 업체 및 사용자 간의 공동 노력이 필요합니다.
[출처] PDF 보안 위협을 억제하기 위해 필요한 공동 노력