윈도 원격 접근 및 제어 서비스인 RDS에서 새 취약점 발견돼

원격 근무자가 많은 기업이라면 원격 접근 프로토콜과 서비스를 활용할 텐데, 이는 공격자들의 가장 인기 있는 공격 통로다. 그러므로 여기에는 특별한 관심과 보호가 필요하다. 최근 발견된 CVE-2022-21893의 패치 역시 특별한 관심과 보호 정신으로 적용해야 할 것 중 하나다.

[보안뉴스 문가용 기자] 마이크로소프트 윈도 시스템들 중 최소 윈도 서버 2012 R2 이후에 나온 것들의 원격 데스크톱 서비스(RDS) 서비스에서 취약점이 발견됐다. 이 취약점을 익스플로잇 할 경우 RDP로 연결된 공격자가 피해자 컴퓨터에 로그인 하는 다른 사용자들의 파일 시스템에 접근할 수 있게 된다고 한다.

[이미지 = utoimage]

보안 업체 사이버아크(CyberArk)에 의하면 이 취약점은 CVE-2022-21893으로, 공격자가 클립보드 데이터를 열림 및 조작하게 하거나, 다른 사용자로 로그인을 할 수 있게 된다고 한다. 그러고 나서 권한을 높이거나 네트워크 상에서 횡으로 움직일 수도 있게 된다. MS는 이번 달 정기 패치를 통해 이를 패치했다.

RDP는 원격 클라이언트에서 윈도 시스템에 접근하고 제어할 수 있게 해 주는 프로토콜이다. 즉 멀리 있는 컴퓨터를 바로 눈앞에 놓인 것처럼 쓸 수 있게 해 주는 것이다. 따라서 재택 근무를 하고 있는 직원이 사무실에 있는 것처럼 업무를 하는 것도 가능하고, 클라우드 환경에 있는 가상기계에도 얼마든지 접근할 수 있게 해 준다.

RDP에서는 한 개의 연결을 다수의 가상기계 채널들로 분할하는 게 가능하다. 각 채널의 데이터는 named pipes라고 하는 윈도 서비스를 통해 다른 프로세스들로 전달된다. named pipes는 두 개의 프로세스들 사이 통신 메커니즘 중 하나라고 볼 수 있다. 사이버아크의 소프트웨어 아키텍트인 가브리엘 스테인워셀(Gabriel Sztejnworcel)은 “윈도의 RDS는 데이터를 전달할 때 named pipes를 사용한다”고 설명한다. “데이터를 클립보드나 스마트카드 인증 데이터로 보낼 때, 클라이언트와 원격 시스템 사이에 데이터가 오가게 할 때 named pipes가 사용되는 것이죠.”

이번에 발견된 취약점인 CVE-2022-21893은 바로 이 named pipes와 관련이 있다. “named pipes가 특정 조건에서 생성되는 방식과 관련이 있습니다. 특정 상황에서 사용자가 named pipes 서버 인스턴스를 만들면 원격 시스템과 클라이언트 시스템에서 오가는 데이터가 중간에 다른 named pipes를 거쳐 갈 수 있도록 할 수 있습니다. 즉 중간자 공격이 가능한 것이죠. 중간에서 로그인에 필요한 크리덴셜 등 중요한 데이터를 훔쳐갈 수 있게 됩니다.”

스테인워셀은 “RDP를 통해 원격 장비에 연결된 사용자라면 누구나 이 취약점을 익스플로잇을 할 수 있다”며 “같은 원격 기계에 연결된 사용자들의 데이터를 열람하고 수정하는 것도 가능하다”고 설명한다. “이 공격을 성공시킨 공격자가 할 수 있는 일은 무궁무진합니다. 스마트카드 정보, PIN 번호 등을 훔치면 해당 사용자로 위장하여 로그인할 수도 있습니다. 즉 권한 상승까지도 가능하다는 겁니다.” 스테인워셀에 의하면 이 취약점의 익스플로잇 난이도가 높은 것도 아니라고 한다. 이를 증명하기 위해 간단한 익스플로잇 도구도 사이버아크에서는 개발했다.

“한 개의 원격 시스템에 여러 사용자가 연결되는 사례는 흔히 찾을 수 있습니다. 회사 내부 네트워크에 접근하기 위해 여러 사용자들이 한 번씩 거쳐 가는 점프 박스 혹은 점프 서버가 좋은 사례죠. 세션 기반의 데스크톱 환경 역시 여러 사용자가 한 기계에 연결되어 애플리케이션들을 실행시킬 수 있습니다. 그렇기 때문에 CVE-2022-21893 취약점의 익스플로잇이 상당히 위험해질 수 있는 겁니다.”

공격자들로서는 권한이 높은 사용자를 찾아내고, 이 사용자를 대상으로 소셜 엔지니어링 공격을 시도해 다수의 사용자가 이용하는 원격 기계에 로그인하도록 꾄다면 큰 효과를 거둘 수 있다. “다수의 사용자가 이용하는 원격 기계는 서버일 수도 있고, 사내 주요 워크스테이션일 수도 있지요. 그런 기계를 미리 침해해둘 필요도 없습니다. 공격자들로서는 CVE-2022-21893만 익스플로잇만 하면 돼서 간단합니다.”

공격자들은 RDP를 오랜 시간 익스플로잇 해 왔다. 이 프로토콜을 통해 피해자의 시스템에 최초 침투하는 수법은 해킹 공격자들의 흔한 전략 중 하나다. 코로나로 인해 원격 근무자들이 늘어나면서 RDP 활용이 늘어났고, 이는 공격자들에게 호재가 되었다. 분산 네트워크의 활용도가 지금처럼 계속 높은 상태로 남아 있게 된다면 공격자들은 계속해서 RDP를 공략할 것으로 예상된다.

3줄 요약
1. 원격 접근 및 제어를 가능하게 해 주는 윈도 서비스, RDS.
2. 이 서비스에서 중간자 공격 가능하게 해 주는 새 취약점 발견됨.
3. 이 취약점은 이번 주 MS의 정기 패치를 통해 해결됐으니 적용 필요함.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)