변종 웜, MS패치발표 5일만에 공격시도

감염 쉽고 대다수 범용적 OS에 해당...피해 심각 예상

감염시→DoS공격, 원격제어, 60초마다 재부팅 발생

신속한 보안 패치-백신 등 보안제품 사용권장

MS사가 보안패치를 발표한지 5일만에 그 취약점을 이용한 변종 공격웜이 발견돼 이용자들의 신속한 보안패치가 시급하다고 MS가 밝혔다.

안철수연구소(대표 김철수 www.ahnlab.com)는 최근 전세계적으로 심각한 보안 위협으로 대두하고 있는 MS 보안 취약점 ‘MS06-040’을 공격하는 웜 ‘IRCBot’ 변종이 보안 패치 발표 5일 만에 등장해 신속한 보안 패치 등 각별한 주의가 필요하다고 경고했다.

‘MS06-040’ 취약점은 취약점 증상인 스택 오버플로(Stack Overflow. 용어 설명 참고)가 쉽게 구현되는 특징이 있는데다 윈도 2000 SP4와 윈도 XP 등 범용적인 운영체제에 해당되는 문제여서 2003년 8월부터 기승을 부린 블래스터(Blaster) 웜의 피해가 재현될 가능성도 있을 만큼 위험한 상황이라고 보고 있다. 더욱이 MS가 패치를 발표한 지 5일 만에 이를 공격하는 웜이 등장해 주의가 필요하다.

‘MS06-040’ 취약점은 서버 서비스(services.exe 구성 요소 중 svrsvc.dll 파일)의 검사되지 않은 버퍼로 인해 스택 오버플로를 일으킨다. 공격자는 취약점이 존재하는 컴퓨터에 DoS 공격(서비스 거부 공격)을 일으키거나, 관리자 권한을 획득해 공격자가 임의로 취약점이 있는 컴퓨터를 원격 제어할 수 있다. ‘MS06-040’ 취약점의 영향을 받는 것은 윈도 2000 SP4, XP GOLD/SP1/SP2, 윈도 서버 2003 GOLD 및 SP1 등이다. 특히 윈도 2000 SP4는 ‘블래스터 웜’처럼 60초마다 재부팅이 반복돼 정상적인 작업을 할 수 없다.

‘MS06-040’ 취약점의 보안 패치를 하려면 한글은 http://www.microsoft.com/korea/technet/security/bulletin/ms06-040.mspx에, 영문은 http://www.microsoft.com/technet/security/bulletin/ms06-040.mspx에 접속하면 된다. 한편 안철수연구소는 ‘V3 Internet Security 2007 Platinum’을 비롯한 V3 IS 제품군 4종과 웜/스파이웨어 차단 전문 네트워크 보안 장비인 ‘트러스가드(AhnLab TrusGuard)’ 제품군 3종에 ‘IRCBot’ 변종 웜의 진단/치료 기능을 제공한다.

안철수연구소 시큐리티대응센터 강은성 상무는 “전체 악성코드의 상당수가 운영체제의 취약점을 공격하는 증상을 갖고 있다. 따라서 해당 운영체제의 사용자는 반드시 취약점에 대한 보안 패치를 해야 악성코드 감염을 근본적으로 막을 수 있다. 아울러 통합보안 제품을 설치해 최신 버전으로 유지해야 악성코드를 진단/치료할 수 있다.”라고 강조했다.

■용어 설명: 스택 오버플로(Stack Overflow)

운영체제나 프로그램 사용 중 메모리에 할당된 영역을 초과하는 데이터가 입력되어 프로그램의 복귀 주소(return address)가 의도되지 않은 곳으로 변경되는 현상. 해커들은 보안 취약점 등을 이용해 복귀 주소를 조작하고 자신이 원하는 코드를 삽입하여 실행할 수 있다.

[길민권 기자(reporter21@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)