미국의 CISA, “7월에 나온 윈도우 서버 취약점을 패치하라” 경고

DNS 기능 가진 윈도우 서버에서 발견된 치명적인 취약점...워머블 특성까지
주말에 CISA가 연방 정부 기관들에 “패치하라”는 긴급 지침서 전송해

[보안뉴스 문가용 기자] 미국의 ‘사이버 보안 및 기반 시설 보안국(CISA)’이 주말에 “24시간 안에 윈도우 서버 최신 패치를 적용하라”고 일부 연방 정부 기관들에 공문을 하달했다는 소식이다. 국가 기관 내 저장된 정보가 노출될 가능성이 농후하다는 경고와 함께였다고 한다.

[이미지 = utoimage]

CISA가 문제 삼고 있는 취약점은 CVE-2020-1350으로, 지난 주 마이크로소프트가 정기 업데이트에 맞춰 패치를 발표한 바 있다. CISA는 “해당 취약점이 매우 큰 위협이 될 수 있다고 분석하고 있으며, 따라서 긴급히 패치를 적용할 것을 명령한다”고 발표했다. CISA는 미국 국토안보부 산하 기관이다.

현재까지 이 취약점을 통해 실제 사이버 공격이 발견한 사례는 나오지 않고 있다. CISA는 “윈도우 서버가 널리 사용되고 있고, 취약점 익스플로잇이 어렵지 않아 해커들의 손에 공략당할 가능성이 높다”며 “공격 발생 시 크나큰 피해와 충격이 있을 것”이라고 경고하기도 했다. 그러면서 패치가 불가한 경우라면 해당 장비를 인터넷과 인트라넷에서 분리시키라고도 강조했다.

이번 달 MS는 정기 패치일을 통해 총 123개의 취약점을 다루었다. 그 중 하나가 DNS 구조에서 발견된 CVE-2020-1350이었다. 일종의 원격 코드 실행 취약점으로, 보안 업체 체크포인트(Check Point)의 사기 차익(Sagi Tzaik)이라는 인물이 처음 발견했다. 윈도우 DNS 서버들에 전송되는 요청들을 잘못 처리해 발동되는 취약점이라고 한다.

보안 업체 테너블(Tenable)의 연구 엔지니어인 사트남 나랑(Satnam Narang)은 MS 패치에 대해 분석한 내용을 블로그에 쓰며 CVE-2020-1350을 다음과 같이 언급했다. “인증을 통과하지 않은 공격자가 원격에서 익스플로잇 할 수 있으며, 그 결과 로컬 시스템 계정으로 임의의 코드를 실행할 수 있게 해준다.”

심지어 이 취약점은 ‘워머블(wormable)’ 특성을 가지고 있다. 익스플로잇이 자가 증식할 수 있다는 뜻이다. 사용자나 공격자가 특별히 뭘 더 하지 않아도 시스템들이 계속 감염된다는 것이다. 워머블 특성을 가진 취약점은 특히 더 위험하다고 알려져 있다.

CISA가 긴급 업데이트 권고 문서를 전달한 곳은 모든 연방 기관 사무실들이 아니다. 그러나 “모든 연방 및 주립 정부 기관과 공공 기관들은 이 패치를 적용할 것을 강력히 권한다”는 입장을 밝히기도 했다.

최근 들어 CISA는 익스플로잇 및 패치와 관련된 경고문을 반복적으로 내놓고 있다. 7월 14일에는 SAP 사용자들에게 치명적 취약점을 패치하라고 경고했다. 이 취약점을 익스플로잇 할 경우 금융 관련 기록들을 공격자가 마음대로 바꿀 수 있기 때문이었다. 그 외 개인 식별 정보가 위험하다는 내용도 있었다.

그 전주에는 F5 네트웍스(F5 Networks)의 장비에서 발견된 치명적 위험도의 취약점에 대한 패치도 반드시 적용하라는 내용의 안내문을 발표하기도 했다. 이 취약점의 경우 실제 공격자들이 활발하게 익스플로잇 하고 있었다. 피해자들은 크리덴셜을 빼앗기거나 멀웨어에 감염됐다.

또한 CISA는 6월 30일, 해외의 해커들이 CVE-2020-2021이라는 치명적 위험도의 취약점을 해킹하려 한다는 경고 메시지를 발표하기도 했다. 각 연방 및 정부 기관들에 ‘패치를 서둘러 적용하라’는 안내 공문이 내려가기도 했었다.

3줄 요약
1. 이번 달 MS가 발표한 정기 패치 속에, DNS 시스템 위협하는 취약점이 있음.
2. 이 취약점을 익스플로잇 할 경우 원격에서 임의 코드를 실행할 수 있음.
3. CISA는 최근 들어 이러한 위험한 취약점에 대해 ‘패치하라’는 경고문을 자주 내놓는 편.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)