• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

그땐 몰랐지...14년 전 발견된 취약점 재조명 2015.08.08

SMB 파일공유 프로토콜의 ‘자동 로그인’ 기능 취약점

당시엔 원격 공격 방법 발견되지 않아 일부만 패치


[보안뉴스 문가용] SMB 파일공유 프로토콜에서 14년 전에 발견된 윈도우 취약점이 여전히 원격 공격에 활용되고 있다는 사실이 발견되었다. MS가 해당 취약점에 대한 패치를 내놓은 건 이미 수년 전 일. 하지만 일부만 패치 되었기 때문에 아직까지도 공격에 유효하다. MS가 부분 패치만 내놓은 건 당시 해당 취약점을 공격에 활용하려면 공격자가 로컬 네트워크에 접속해 있어야 한다고 파악했기 때문이었다.

 


하지만 세일즈포스(Salesforce)의 기술자인 조나단 브로사드(Jonathan Brossard)와 호마즈드 빌리아모리아(Hormazd Billiamoria)는 이 취약점을 원격에서 익스플로잇 하는 방법을 발견했다. “먼저 SMB란, 윈도우 체제의 파일 공유 프로토콜입니다. 인터넷 익스플로러에 특히 영향이 지대하죠. 윈도우 10에서도 이는 마찬가지입니다. 아마 윈도우 10 역사상 처음 공개된 원격 코드 실행 취약점일 겁니다. 윈도우 에지도 이 SMB의 영향권 아래 있습니다.”


“그렇다면 SMB 취약점이란 뭘까요? SMB 프로토콜 내의 설계 오류 중 하나라고 보면 됩니다. 이미 2001년에 발견된 것이죠. 당시는 네트워크에 상주해 있어야만 공격이 가능하다고 봤는데, 요 근래 다시 와서 보니 꼭 그렇지만도 않았습니다. 또 하나의 원격 공격 취약점이 된 것이죠. 주요 공격방식은 로그인 정보를 훔쳐 합법적인 사용자인 것처럼 위장하는 겁니다. 공공 인터넷 망을 통해서요.” 빌리아모리아의 설명이다.


SMB 프로토콜은 윈도우 시스템에서 자체적으로 사용자 로그인 정보를 저장하고 다른 인증 시도 시 활용하도록 설계가 되어 있다. 낯선 개념이 아니다. 자동 로그인 옵션과 매우 비슷하다고 보면 된다. 회사 출근해서 컴퓨터 켜지면 자동으로 어지간한 시스템에 전부 로그인이 되는 편안한 환경이 가능한 게 다 이 프로토콜 때문이다. 그리고 이런 프로토콜이 적용되는 기능은 소프트웨어 관리, 백신 관리, 소프트웨어 업데이트, 로그 수집, 백업 실행 등 다양하다.


그렇기에 SMB 공격이란 그런 ‘자동 로그인’ 타이밍을 노리는 것이다. 프로토콜이 사용자를 위해 자동으로 로그인해주는 때에 로그인 정보가 노출되고 이를 훔쳐내는 게 핵심이다. 이렇게 하기 위해서는 사용자가 인터넷 익스플로러를 통해 이미지 파일을 띄우게 만들면 되었다. 사용자를 속이는 건, 그리고, 해커들에게 그리 어려운 일이 아니다.


브로사드와 빌리아모리아는 가짜 웹 사이트를 만드는 방식을 이 공격에 적용했다. 이미지를 띄우게 하는 대신 이 가짜 사이트를 방문하게 해서 로그인 정보를 훔쳐낸 것이다. 이게 가능한 건 인터넷 익스플로러 역시 인터넷 공간에서 자동 로그인 할 수 있도록 만들어졌기 때문이다. “악성 사이트로 유인해도 되고 가짜 이메일을 보내도 됩니다. 아무튼 원격에서 사용자만 속인다면 얼마든지 공격이 가능했다는 것이죠. 다만 이 공격에 어려운 점이 하나 있는데 NTLM challenge/response 세션의 중간을 노려야 한다는 겁니다.”


그것 말고도 이런 공격 수단에는 제한점이 있다. 패킷 서명이 반드시 비활성화되어야 한다는 것이다. 이는 대부분의 경우 활성화되어 있기 때문에 문제다. 하지만 시스템 퍼포먼스 향상 등을 이유로 비활성화 시키는 프로그램들이 가끔 있다고 브로사드는 설명한다. SMB 아웃바운드 역시 비활성화 되어 있어야 한다.


“결국 시스템이나 라우터에 방화벽이 설치되지 않은 곳, 바깥에서부터 들어오는 SMB 트래픽을 허용하는 사용자가 쉬운 표적이 됩니다. 여기에 인터넷 익스플로러를 사용하면 공격이 더 쉬워지죠. 크롬은 SMB 서버에 연결하기 전에 사용자에게 꼭 허락을 요청합니다. 그래서 안 됩니다. 다만 크롬에 SMB 사용을 허하는 플러그인이 설치된 경우는 예외입니다.” 브로사드의 설명이다.


“이를 가장 효과적으로 방어하려면 SMB 포트를 차단해야 합니다. 네트워크 외곽 층위에 이그레스 필터링(egress filter)이 있을 겁니다. 또한 137, 138, 129, 445 포트에서 바깥으로 나가는 SMB를 차단하는 것도 좋은 방법입니다. 호스트 단에서 패킷 서명과을 활성화하는 것도 도움이 되고요.”

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>