윈도우 SMB 제로데이 취약점, 일반 대중에게 공개돼

일부 윈도우 버전 공격 가능...시스템 마비 및 재부팅
MS는 “위험도 낮다”...패치 튜즈데이 전까지 업데이트 안 될 듯

[보안뉴스 문가용 기자] 금요일부터 주말 동안 MS 윈도우 일부 버전에서 원격의 공격자가 시스템을 강제 종료시키고 재부팅 시킬 수 있게 해주는 제로데이 메모리 커럽션 오류가 발견되었다. 이에 대해 US-CERT에서 긴급 경보를 발생시켰다. 문제는 해당 취약점의 익스플로잇이 검증까지 마친 채 깃허브(GitHub)에 공개되었다는 사실이다. 즉, 이제 누구나 이 취약점을 공격할 수 있다는 것. 지금 기사가 작성되는 시점까지 패치는 공개되지 않고 있다. 아마도 이번 달 패치 튜즈데이에까지 공개되지 않을 듯 하다.

해당 오류는 일부 윈도우의 서버 메시지 블록(Server Message Block, SMB)에서 트래픽이 처리되는 과정에서 나타난다고 카네기멜론 대학은 발표했다. 악성 서버에서부터 특수하게 조작된 메시지를 보냄으로써 공격자는 버퍼 오버플로우 상태를 만들어낼 수 있고, 이에 공격을 받은 윈도우 시스템은 강제로 종료된다고 한다. 윈도우 클라이언트 시스템을 악성 SMB 서버에 연결시키는 방법은 여러 개 존재하며, 그중 몇 개는 피해자(사용자)의 개입을 전혀 필요로 하지 않는다.

윈도우 클라이언트는 MS의 SMB 파일 공유 프로토콜에 의해 네트워크 내 윈도우 서버로 서비스 요청을 할 수 있으며, 파일을 직접 읽거나 쓰는 것도 가능하게 된다. 이는 지난 몇 년 동안 보안 전문가들의 지적을 이미 수차례 받아온 내용이다.

하지만 MS 측은 이 문제가 그리 심각한 게 아니라고 주장해왔고, 이번에도 마찬가지인 듯이 보인다. “윈도우는 사용자가 보고가 된 보안 이슈를 직접 조사할 수 있도록 해주는 유일한 플랫폼입니다. 그렇기 때문에 얼마든지 기기를 능동적으로 업데이트 할 수 있게 해줍니다. MS 내부에서는 이번에 발견된 취약점의 리스크가 그리 크지 않다고 판단했습니다. 패치 튜즈데이 이전에는 패치를 발표하지 않을 예정입니다.”

SANS의 인터넷 스톰 센터(Internet Storm Center)를 이끌고 있는 요하네스 울리히(Johannes Ullirch)는 “이번에 공개된 익스플로잇을 패치가 완벽히 된 윈도우 10 버전에서 실험해보았다”며 “익스플로잇을 실행하자마자 파란 화면이 떴다”고 말했다. 윈도우 2012와 2016 등 SMBv3를 호환하는 모든 윈도우 클라이언트는 이번에 발견된 취약점에 노출되어 있다.

“결국 DoS 버그라고 볼 수 있습니다. 윈도우 시스템에 개된 익스플로잇을 적용시키면 곧바로 시스템이 멈추고 다시 시작하거든요.” 하지만 아직까지는 원격에서 코드를 실행시키거나 DoS 이후에 뭔가 추가적인 조작 및 공격을 할 수 있는 방법은 없는 것으로 보인다고 한다. 울리히는 “이번에 발견된 취약점을 익스플로잇 하는 건 간단한 문제”라며 “서버와 웹 페이지를 연결해주는 URL을 주입하면 끝”이라고 설명했다.

이때 URL은 \\192.0.2.1\ipc$과 비슷한 형식을 취하며, 192.0.2.1은 서버의 IP 주소에 따라 바뀔 수 있다. “ima src=“[malicious url]”과 같은 이미지 태그로도 익스플로잇을 발동시킬 수 있고요.”

울리히는 “이 취약점 자체가 대단히 치명적인 문제라기보다 외부로 유출되는 SMB 연결을 막는 것의 중요성이 다시 한 번 드러났다는 것에 의미가 있다”고 설명하며 “445, 135, 139 포트를 닫는 걸 권장하곤 하지만, 사실 많은 기업들이 그렇게 하고 있지 않아 쓸데 없는 공격에 조금이라도 더 노출되는 편을 택한다”고 말했다. “치명적인 공격이든 아니든, 한참 작업 중에 시스템이 다운되고 파란 화면을 갑자기 보는 것보다 포트를 닫는 게 더 낫지 않을까요?”

이번 취약점은 대기업보다 중소기업이나 개인 사용자에게 더 치명적으로 작용할 가능성이 높아 보인다. 그런 곳에서 사용되는 방화벽은 이런 종류의 공격을 막지 않도록 디폴트 설정되어 있는 경우가 많기 때문이다. 미국 CERT는 아직까지 실용적인 해결책이 등장하지 않은 상태라고 발표하기도 했다.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)