MS, “프린트나이트메어 취약점은 CVE-2021-1675 아니고 제로데이”

입력 : 2021-07-05 17:48

6월 패치 통해 공개된 CVE-2021-1675 취약점의 보안 업데이트가 어쩐지 잘 안 통한다 했다. 알고 보니 프린트나이트메어는 CVE-2021-1675가 아니었다. 그 누구도 몰랐던 제로데이 취약점이었다고 한다.

[보안뉴스 문가용 기자] 마이크로소프트가 지난 주 프린트나이트메어(PrintNightmare)라고 알려진 취약점에 새로운 CVE 번호를 부여했다. 이 프린트나이트메어 취약점은 윈도 프린트 스풀러(Windows Print Spooler)라는 서비스에서 발견된 것으로, 여태까지는 CVE-2021-1675로 알려져 있었다. MS는 프린트나이트메어가 CVE-2021-1675와 다른 취약점이라는 입장이다. 참고로 CVE-2021-1675는 6월에 이미 패치가 됐다.


프린트나이트메어는 원격 코드 실행을 가능케 하는 치명적 위험도의 취약점으로, 익스플로잇 코드가 이미 공개되는 바람에 미국의 정부 기관이 “인쇄를 진행하지 않는 윈도 시스템에서는 프린트 스풀러 서비스를 비활성화 시키라”는 권고를 내리기도 했었다. 이 때 언급된 취약점은 CVE-2021-1675였는데, MS는 7월 1일자로 “해당 취약점은 CVE-2021-34527이며, 더 많은 정보가 나오는 대로 공개하겠다”고 밝혔다.

애초에 미국 정부 기관이 ‘취약점 업데이트’가 아니라 프린트 스풀러를 비활성화 시키라고 한 건, CVE-2021-1675 패치가 취약점을 해결하지 못했기 때문이었다. 공공 기관조차 CVE-2021-34527이 아니라 CVE-2021-1675로 계속 언급한 건, 두 취약점 모두 프린트 스풀러 함수 중 하나인 RpcAddPrinterDriverEx()에서 나오는 것이기 때문이다.

MS가 CVE 번호를 추가로 부여하지 않았다면 6월 8일에 나온 패치가 불완전한 채로 배포됐다는 오명을 쓸 뻔했다. 이는 MS와 업데이트에 대한 전체적인 불신에 일조하는 것으로, MS는 이 취약점이 기존에 발견되지 않은 것이라고 해명함으로써 CVE-2021-34527이 제로데이라고 발표하는 쪽을 택했다.

MS는 두 취약점이 같은 함수에서 나오고 있지만 공격 방식이 다르기 때문에 다른 CVE로 분류해야 한다는 입장이다. 또한 아직 어떤 버전에서 이 프린트나이트메어 취약점 익스플로잇이 통하는지도 아직 다 밝혀지지 않은 상황이라고 한다. 현재까지 알려진 바 프린트나이트메어 취약점에 노출된 가장 위험한 자원은 도메인 제어기(domain controllers)다.

‘CVE-2021-34527은 CVE-2021-1675와 다르다’는 것만 밝혀졌지 해결책이 나온 건 아니다. 따라서 아직까지는 스풀러 서비스를 비활성화 하는 게 최선책이다. 그룹 폴리시(Group Policy)를 활용한 원격 인쇄 작업도 비활성화 시키는 것이 안전하다.

보안 업체 카스퍼스키(Kaspersky)의 보안 전문가인 보리스 라린(Boris Larin)은 “CVE-2021-1675는 권한 상승 공격을 가능하게 해 주는 취약점이고, 프린트나이트메어는 원격 코드 실행을 통한 장비 장악을 가능하게 해 주는 취약점”이라며 “뿌리가 같은 문제 2가지 중 하나를 완전힌 간과하는 일은 언제나 있을 수 있는 일”이라고 설명한다. 그러면서 “정식 패치가 나올 때까지 프린트 스풀러를 비활성시키는 게 좋다”는 것에 동조했다.

최근 몇 년 동안 프린트 스풀러 서비스에서는 여러 가지 취약점들이 발굴됐다. 그 중 가장 유명한 건 2010년 이란의 우라늄 농축 시설을 겨냥한 사이버 공격에 활용된 권한 상승 취약점으로, 이 공격은 스턱스넷(Stuxnet) 공격이라고도 불린다.

프린트나이트메어 취약점을 제일 먼저 발견한 건 중국 상포 테크놀로지스(Sangfor Technologies)의 보안 전문가들이다. 이들은 해당 취약점의 상세한 기술적 내용을 다가올 블랙햇 USA(Black Hat USA) 행사에서 공개할 예정이다. 이 전문가들은 잠깐 동안 깃허브를 통해 프린트나이트메어의 개념증명용 익스플로잇 코드를 공개했는데, 이 잠깐 동안 익스플로잇 코드가 복제돼 해커들의 손에 넘어갔다. 현재 프린트나이트메어를 겨냥한 실제 익스플로잇 공격이 진행되고 있다고 MS는 경고했다.

3줄 요약
1. 얼마 전 중국 보안 전문가들이 발견한 프린트나이트메어 취약점, 미국 정부도 나서서 경고.
2. 원래는 6월에 패치된 줄 알았던 취약점인데, 더 분석해 보니 별개의 제로데이 취약점.
3. 패치는 현재 개발되는 중. 완료될 때까지는 프린트 스풀러를 비활성화 시키는 것이 안전.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  업무 관련 메일로 위장해 유포 중인 악성코드...

• 2

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 3

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 4

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 5

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...