워너크라이 촉발시킨 이터널블루 익스플로잇, 윈10도 공격 가능
랜섬웨어 아닌 다른 페이로드 다운로드 받을 땐 더 위험할 수도

[보안뉴스 문가용 기자] 패치를 하지 않은 윈도우 10 버전의 경우도 워너크라이 랜섬웨어에 공격당할 가능성이 있다는 발표가 있었다. 마이크로소프트가 2017년 3월 14일 발표한 MS17-010을 통해 패치한 SMB 취약점을 통해 공격을 성공시키는 워너크라이 랜섬웨어는 대부분 윈도우 7 시스템에 피해를 준 것으로 밝혀졌지만, 윈도우 10 역시도 마냥 안전한 것은 아니라는 것이다.


[이미지 = iclickart]

이러한 발표를 한 건 보안 업체 리스크센스(RiskSense)의 연구원들로, SMB 취약점을 공격하는 이터널블루(EternalBlue)의 유출된 버전을 면밀히 분석한 결과라고 한다. 리스크센스의 수석 보안 전문가인 션 딜런(Sean Dillon)은 “이터널블루를 가지고 정부와 백신 업체가 권장하는 탐지 규칙을 우회하는 데에 성공했다”고 발표했다.

리스크센스가 분석했다고 하는 이터널블루는 셰도우 브로커스(Shadow Brokers)라는 해커 집단이 올해 초 공개한 익스플로잇으로 다른 익스플로잇과는 달리 더블펄사(DoublePulsar)라는 페이로드를 사용하지 않는다는 특이성을 가지고 있다. 더블펄사는 워너크라이 사태 때 많은 전문가들이 ‘핵심 요소’라고 짚어냈다. “하지만 업계가 지나치게 더블펄사에 집중했어요. 방어하는 입장에서도 ‘더블펄사만 막으면 된다’는 결론은 위험합니다. 이게 없어도 공격이 가능하거든요. 정확히 말하면 이터널블루는 더블펄사 없이도 공격할 수 있어요.”

이터널블루는 MS17-010 패치 업데이트가 없는 윈도우 기기들에 크리덴셜이 필요치 않은 원격 접근 권한을 준다고 리스크센스 측은 주장한다. “물론 윈도우 7 이외 버전에 이터널블루를 이식시키는 게 쉬운 일은 아니지만, 불가능한 건 아닙니다. 패치가 되지 않은 윈도우 10 기기도 여기에 포함이 됩니다. 더블펄사 등 필요하지 않다고 생각되는 부분을 이터널블루로부터 제거한 버전을 사용했을 때 패치 안 된 윈도우 10에 침투하여 다른 페이로드를 설치하는 데에 성공시켰습니다.”

중요한 건 ‘다른 페이로드’를 설치하는 데에 성공했다는 것이다. “워너크라이는 ‘내가 널 공격하고 있다’는 걸 시끄럽게 알려야만 하는 공격이라 그렇게 세상에 드러나고 난리가 난 겁니다. 하지만 공격자가 시끄럽지 않은 공격을 해야만 한다면 어떨까요? 지금 이 시간에도 윈도우 10에 얼마든지 침투해 있을 수 있다는 겁니다. 알아내는 데에는 수개월에서 수년 걸리겠죠. 오히려 랜섬웨어보다 이런 식의 은밀한 APT 공격에 이터널블루가 응용된다면 더 큰 일이겠죠.”

결국 윈도우 10 사용자라고 하더라도 최신 업데이트를 반드시 적용해야 한다는 거라고 딜런은 강조한다. “하지만 패치만으로 완벽히 방어할 수 있다고 결론을 내릴 수도 없습니다. SMB와 인터넷을 연동시키고 있는 기업이라면 방화벽도 도입하고 VPN 접근 시스템도 구축해야 할 겁니다. 겹겹이 방어 체계를 수립해야 한다는 것입니다.”

보안 전문업체 트립와이어(Tripwire)의 보안 전문가 크레이그 영(Craig Young)은 여기에 더해 “기업의 네트워크 내에 존재하는 소프트웨어나 기기의 현황도 정확하고 꼼꼼하게 파악해두어야 한다”고 권장한다. “그래야 최대한 빠르게 정확하고 필요한 패치를 배포해 위험한 부분을 최소화시킬 수 있고, 공격자들의 행동을 상당히 제약시킬 수 있게 됩니다.”

“이터널블루는 보안 업계에 매우 새롭게 등장한 공격 도구로, 앞으로도 얼마든지 활용 가능성이 있습니다. 세상에 공개된 익스플로잇이 일반적으로 ‘유효한’ 기간은 2년 정도라는 걸 생각해봤을 때, 이터널블루는 앞으로 2년 간은 현대 사회의 위협으로 남아있을 겁니다. 게다가 성능도 뛰어나니, 공격자들이 연구하지 않을 리 없습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>