사용자, 보안활동의 중요성 재인식하는 계기되길...

최근 이슈가 되고 있는 ‘2090바이러스’는 백신업체의 대대적인 긴급보안 백신 발표 등으로 단 몇 일 사이에 기존의 여느 바이러스들과는 비교가 될 수 없는 유명세를 타고 있다. 또한 그러한 국내 백신업체들의 발빠른 대응으로 현재는 이에 대한 대응완료가 이루어진 상황이다. 각 언론들의 대대적인 보도도 업체의 발빠른 대응에 일조를 한 셈이다. 그런 점에서 ‘2090바이러스’의 이러한 일련의 결론은 싱겁기까지 하다. 하지만 이를 통해 우리가 잊지 말아야 할 것이 있다.

우선 이 악성코드의 전파경로 중 하나인 윈도우 MS08-067 취약점에 주목해 본다.

마이크로소프트는 작년 10월 23일(현재시간 24일) MS08-067 취약점에 대한 긴급 보안패치를 발표한 바 있다. 월례 패치데이인 매월 둘째 주 수요일이 아닌 때에 이 보안패치를 공개한 것은 매우 이례적인 일로, 지난 1년 6개월 동안 이러한 비정기 보안패치의 발표는 없었다.

이와 관련 한국마이크로소프트는 홈페이지를 통해 긴급보안 공지를 통해 “공격자는 Microsoft Windows 2000, Windows XP 및 Windows Server 2003 시스템에서 인증 없이 임의의 코드를 실행하여 이 취약점을 악용할 수 있다. 이 취약점은 웜 방식의 악용을 만드는 데 이용될 수 있다”고 경고한 바 있다.

이 보안패치는 윈도우 서버 서비스의 취약점과 관련된 것으로 이에 대해 최성학 소프트런 소장은 “공격자는 특수하게 조작된RPC(Remote Procedure Call, 한 프로그램에서 네트워크의 다른 컴퓨터에 있는 프로그램의 서비스를 요청하는데 보내는 프로토콜)요청을 보내 이 취약점을 악용할 수 있다”며 “이 보안패치가 설치되지 않은 PC의 경우, 공격이 성공하면 시스템이 공격자에 의해 완전히 장악될 수 있어 그 피해가 클 것으로 예상할 수 있다. RPC는 사용자의 사이트 방문을 통해 취약점에 노출되는 것이 아니라 켜져 있는 모든 컴퓨터를 대상으로 공격이 가능하기 때문에 더욱 심각한 문제가 발생할 수 있다”고 설명했다.

당시 이 보안패치는 그 중요도가 가장 높은 ‘긴급(Critical)’ 등급으로 윈도우2000 이상의 모든 운영체제에 신속한 적용이 요구됐다. 뿐만 아니라 이 취약점은 해외 보안커뮤니티에 익스플로잇(공격코드)이 이미 공개돼 중국 등 해외발 해킹 공격 유발의 위험성이 특히 높았던 것으로 알려져 있다.

실제로 이 보안패치 발표 전후로 서비스 방해 공격을 유발하는 트로이 목마 및 다양한 웹사이트에 대한 DDoS공격 명령을 포함한 신형 웜 ‘Kernelbot.A’ 등 이 긴급 패치와 관련된 서버서비스의 취약성을 악용하는 웜이 출현했으며, 국내에서도 확산됐던 것으로 확인된 바 있다.

그리고 이 보안패치 적용을 통한 취약점 보안이 제대로 이루어지지 않을 경우 악성코드 감염으로 인한 정보유출, 보안침해사고 등의 심각한 피해가 우려되었었다.

이와 관련 한국마이크로소프트 관계자는 “MS08-067 보안패치를 긴급배포했지만 이 패치는 서비스팩2 이상의 OS에서만 업데이트가 가능했다. 기존 서비스팩1 사용자들은 업데이트를 받지 못한 것이 사실이다”고 밝혔다.

그리고 실제로 그로부터 수개월이 지난 2009년 2월, 이 취약점을 전파경로로 하는 ‘2090바이러스’가 등장하게 된 것이다. ‘2090바이러스’는 이미 작년 말 예견된 것이라 하겠다.

한편 소프트런 최성학 연구소장은 “윈도우 취약점을 공격하는 악성코드는 주로 패치 발표 직후에 그 패치를 역이용해 만들어지거나 취약점을 먼저 찾아낸 공격자들에 의해 제작, 배포되는 경우가 대부분이기 때문에 신속한 보안패치 설치가 대형 보안사고를 예방할 수 있는 유일한 대안이다”며 조언했다.

사용자는 이번 ‘2090바이러스’를 통해 보안패치 설치 등이 왜 필요한지를 명확하게 인식하는 한편 이러한 일련의 보안활동이 또한 얼마나 중요한가를 제고하는 계기가 되기를 바란다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>