마이크로소프트, 워머블 공격 가능한 SMB 취약점 하나 패치하지 않아
패치 나올 때까지 SMBv3 비활성화 하고 TCP 포트 445 차단해야 안전

[보안뉴스 문가용 기자] 어제 마이크로소프트가 정기 패치를 발표했지만, 꽤나 치명적인 취약점 하나가 제외되었다는 소식이 뒤늦게 퍼지고 있다. 이 취약점은 마이크로소프트의 서버 메시지 블록 프로토콜(SMBv3)에서 발견된 것으로 워너크라이(WannaCry)와 같은 웜 방식으로 익스플로잇이 가능하다고 해서 우려를 낳고 있다.


보안 업체 포티넷(Fortinet)에 따르면 이 취약점은 “원격 익스플로잇이 가능”하며, “임의 코드 실행을 통해 시스템 완전 장악도 가능”하다고 한다. 윈도우 10과 윈도우 서버에서 발견되는, 치명적 위험도 수준의 취약점인 것으로 분석됐다. 익스플로잇을 하려면 악성 SMBv3 서버를 설정하고, 피해자가 여기에 연결하도록 속여야 하는 과정이 필요하다.

아직 패치가 나오지 않은 상황이라 MS는 위험 완화 방법을 소개했는데, SMBv3 압축 기능을 해제하라는 것이다. 그러나 이것만으로는 완전한 방어가 되지 않는다. 추가로 TCP 포트 445를 방화벽 단에서 차단하는 것이 필요하다. MS는 “이렇게 하면 방화벽 외부에서부터 들어오는 공격은 막을 수 있다”고 발표했다. 방화벽 내부로부터의 공격에는 여전히 취약하다는 것이다.

현재까지 실제 작동하는 익스플로잇의 존재가 알려진 바는 없다. 보안 업체 시놉시스(Synopsys)의 수석 전략가인 조나단 누드센(Jonathan Knudsen)은 “그럼에도 445 포트부터 닫아놓는 것이 현재로서는 가장 중요하다”고 강조한다. “패치가 나올 때까지 SMB 관련 작업을 전면 차단하는 것도 안전합니다.”

MS는 왜 이번 달 정기 패치에 해당 취약점의 픽스가 포함되어 있지 않은지 공개하지 않고 있다. 다만 보안 권고문을 발표하긴 했는데, CVE 번호도 특정되지 않고 있다. 시스코의 탈로스 팀과 포티넷이 발표한 보안 안내문에 CVE-2020-0796이라는 번호가 등장한다. 패치가 나오지 않아서인지 현재는 CVE-2020-0796과 관련된 두 회사의 게시글이 사라진 상태지만, 충분히 많은 사람들이 열람을 한 상태라고 한다.

포티넷의 게시글에는 이 취약점이 SMB 서버에서 발견된 버퍼 오버플로우 관련 버그라고 묘사되어 있다. “악의적으로 조작된 데이터 패킷을 처리할 때 이 취약점이 발동될 수 있습니다. 원격에서 얼마든지 익스플로잇이 가능하며, 웜과 같은 방식으로 멀웨어가 증식할 수 있어 특히 위험합니다.”

또 다른 보안 업체 설트스택(SaltStack)의 CTO인 토마스 햇치(Thomas Hatch)는 “이를 계기로 다시 한 번 SMB 서비스의 보안성에 대해 조직들은 생각해보게 되었다”며 “SMB는 아주 예외적인 경우가 아니라면 인터넷에 그대로 노출되어서는 안 되는 서비스”라고 강조했다. “편의성을 제공하긴 하지만, 그만큼 위험한 것임을 기억해야 할 것입니다.”

보안 업체 디지털 셰도우즈(Digital Shadows)의 보안 엔지니어인 찰스 라글란드(Charles Ragland)는 “SMB는 꽤나 보편화된 서비스이기 때문에 익스플로잇이 하나만 공개되어도 광범위하게 퍼져갈 수 있다”며 “MS가 권장한 SMB와 특정 포트 차단 조치를 취하는 게 지금으로서는 필수 실천 사항으로 보인다”고 말했다.

3줄 요약
1. 이번 주 있었던 MS 정기 패치에서 한 가지 중요 취약점 빠짐.
2. 워머블 공격이 가능한 SMB 프로토콜 관련 취약점이었음.
3. 패치 아직 없어 SMBv3 비활성화 하고 TCP 포트 445 차단해야 안전.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>