변종 웜, MS패치발표 5일만에 공격시도

감염 쉽고 대다수 범용적 OS에 해당...피해 심각 예상

감염시→DoS공격, 원격제어, 60초마다 재부팅 발생

신속한 보안 패치-백신 등 보안제품 사용권장

MS사가 보안패치를 발표한지 5일만에 그 취약점을 이용한 변종 공격웜이 발견돼 이용자들의 신속한 보안패치가 시급하다고 MS가 밝혔다.

안철수연구소(대표 김철수 www.ahnlab.com)는 최근 전세계적으로 심각한 보안 위협으로 대두하고 있는 MS 보안 취약점 ‘MS06-040’을 공격하는 웜 ‘IRCBot’ 변종이 보안 패치 발표 5일 만에 등장해 신속한 보안 패치 등 각별한 주의가 필요하다고 경고했다.

‘MS06-040’ 취약점은 취약점 증상인 스택 오버플로(Stack Overflow. 용어 설명 참고)가 쉽게 구현되는 특징이 있는데다 윈도 2000 SP4와 윈도 XP 등 범용적인 운영체제에 해당되는 문제여서 2003년 8월부터 기승을 부린 블래스터(Blaster) 웜의 피해가 재현될 가능성도 있을 만큼 위험한 상황이라고 보고 있다. 더욱이 MS가 패치를 발표한 지 5일 만에 이를 공격하는 웜이 등장해 주의가 필요하다.

‘MS06-040’ 취약점은 서버 서비스(services.exe 구성 요소 중 svrsvc.dll 파일)의 검사되지 않은 버퍼로 인해 스택 오버플로를 일으킨다. 공격자는 취약점이 존재하는 컴퓨터에 DoS 공격(서비스 거부 공격)을 일으키거나, 관리자 권한을 획득해 공격자가 임의로 취약점이 있는 컴퓨터를 원격 제어할 수 있다. ‘MS06-040’ 취약점의 영향을 받는 것은 윈도 2000 SP4, XP GOLD/SP1/SP2, 윈도 서버 2003 GOLD 및 SP1 등이다. 특히 윈도 2000 SP4는 ‘블래스터 웜’처럼 60초마다 재부팅이 반복돼 정상적인 작업을 할 수 없다.

‘MS06-040’ 취약점의 보안 패치를 하려면 한글은 http://www.microsoft.com/korea/technet/security/bulletin/ms06-040.mspx에, 영문은 http://www.microsoft.com/technet/security/bulletin/ms06-040.mspx에 접속하면 된다. 한편 안철수연구소는 ‘V3 Internet Security 2007 Platinum’을 비롯한 V3 IS 제품군 4종과 웜/스파이웨어 차단 전문 네트워크 보안 장비인 ‘트러스가드(AhnLab TrusGuard)’ 제품군 3종에 ‘IRCBot’ 변종 웜의 진단/치료 기능을 제공한다.

안철수연구소 시큐리티대응센터 강은성 상무는 “전체 악성코드의 상당수가 운영체제의 취약점을 공격하는 증상을 갖고 있다. 따라서 해당 운영체제의 사용자는 반드시 취약점에 대한 보안 패치를 해야 악성코드 감염을 근본적으로 막을 수 있다. 아울러 통합보안 제품을 설치해 최신 버전으로 유지해야 악성코드를 진단/치료할 수 있다.”라고 강조했다.

■용어 설명: 스택 오버플로(Stack Overflow)

운영체제나 프로그램 사용 중 메모리에 할당된 영역을 초과하는 데이터가 입력되어 프로그램의 복귀 주소(return address)가 의도되지 않은 곳으로 변경되는 현상. 해커들은 보안 취약점 등을 이용해 복귀 주소를 조작하고 자신이 원하는 코드를 삽입하여 실행할 수 있다.

[길민권 기자(reporter21@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다