EA 제품 보안팀 선임 디렉터, Adrian Stone.
2019년 12월 10일
지난번 발견된 보안 취약점을 해결하기 위해 Origin 클라이언트의 업데이트 버전이 금일 공개되었습니다. 특정한 상황에서 제한된 권한을 가진 유효한 사용자가 Origin이 설치된 컴퓨터에서 권한 수준의 액세스를 얻을 수 있도록 허용했을 가능성이 있습니다.
업데이트는 이미 Origin 클라이언트에 포함되어 있으며, 여기에서 직접 다운로드할 수도 있습니다. 해당 문제를 조사하고 업데이트를 개발하는 동안, 취약점이 사용된 증거를 찾을 수 없었습니다.
해당 문제는 제품 보안 취약점 보고 프로그램을 통해 저희에게 처음으로 보고되었습니다. 취약점 개선 내용 공개에 따라 진행된 이번 조사 및 오류 개발을 위해 함께 협력해주신 AMonitoring의 Vasily Kravetz 씨와 Matt Nelson 씨에게 감사의 말을 전하고 싶습니다.
저희는 취약점에 대한 자세한 내용 및 이번 업데이트가 설명된 도움말과 함께 보안 권고를 발행하였습니다.
이는 매우 심각한 문제로, 게임 업계 내에 다른 부분에도 영향을 줄 수 있다고 생각하였기 때문입니다. 그런 만큼 어떻게 발생하였는지에 대한 추가적인 배경도 공유해야 한다고 생각했습니다.
Origin 클라이언트는 Origin을 이용하는 다수의 PC 플레이어가 고사양의 게임용 PC를 사용하고 있고, 모든 사용자는 자신이 사용하는 시스템에 대한 완벽한 관리 통제를 원하며, 고성능 사용자로 게임을 실행하다는 가정하에 개발되었습니다. 해당 개발 후, 게임 업계의 표준이 바뀌기 시작합니다. 일부 플레이어를 포함한 다수는 ‘제한된’ 표준 사용자로 컴퓨터에 사용하게 됩니다. 또한, 소수는 제한된 사용자를 위한 계정을 만들어 두 명 이상에게 시스템을 공유하죠. 보안 서클(security circle)에서 '최소 사용권'이라고 부르는 이 방법은 잠재적인 보안 문제가 발생했을 때 받을 영향을 제한합니다. 운영 체제 공급업체들은 최근 이러한 변화를 인식하기 시작하였고, 변화하는 환경에 맞춰 운영 체제에 변화를 주었습니다.
만약 해커가 해당 취약점을 약용하려는 시도 시, 비관리 사용자 계정이 요구됩니다. 그럼 다음에는, 특수 제작된 프로그램을 설치하거나 향상된 액세스 수준을 가진 소프트웨어의 일부를 수정하는 코드를 실행해야 합니다.
현재 Origin 사용자의 대다수가 이미 관리자 수준의 액세스 권한을 가지고 있으며, 시스템의 유일한 사용자 계정입니다(관리자 수준의 액세스 권한이 없는 사용자 수는 전체 Origin 사용자의 5% 미만). 더 이상의 액세스나 권한이 주어지지 않기 때문에 해당 방법은 해커가 대부분의 사용자들에게 취약점을 악용할 가능성을 없앱니다.
해당 문제가 Origin 클라이언트가 설치된 소수의 플레이어들에게만 나타나고 있지만, 저희에게 각 사용자의 안전과 보안 또한 매우 중요한 일입니다. 그래서 제한된 액세스 모드와 함께 금일 공개된 업데이트를 소개할 수 있는 기회를 가지게 되어 기쁩니다. 또한, 이번 기회를 통해 얻은 경험으로 Origin에 대한 최소 권한의 원칙 및 제한된 액세스 모드를 개선하기 위해 노력하겠습니다. 보안 연구 커뮤니티와 게임 퍼블리셔 간의 긍정적인 상호작용이 모두의 보안 기준을 향상시킬 것입니다.