3년 전 공개된 취약점과 익스플로잇...워너크라이 사태가 하이라이트
패치 적용한 조직 많았지만 여전히 60만대가 패치 안 된 상태
[보안뉴스 문가용 기자] 다음 달이면 이터널블루(EternalBlue) 취약점이 공개된 지 3년이 된다. 그러나 아직도 이 취약점은 현대 IT 인프라의 거대한 위협으로 남아 있다. 매일 일어나는 사이버 공격 중 상당수가 이터널블루와 관련되어 있을 정도라고 한다. 보안 업체 라피드7(Rapid7)이 이와 관련하여 보고서를 발표했다.
[이미지 = iclickart]
이터널블루 취약점에 노출된 윈도우 기반 서버들은 2017년 5월 워너크라이(WannaCry) 공격이 발생한 이후 급격하게 줄어들었다. 하지만 아직도 60만대가 취약한 채 인터넷에 연결되어 있는 실정이다. “어쩔 수 없는 사정이 있는 조직들도 있지만 대부분은 이터널블루 취약점이 자신들의 생태계 안에 있다는 것조차 몰라서 시정하지 못하고 있습니다.” 라피드7의 수석 데이터 과학자인 밥 루디스(Bob Rudis)의 설명이다.
“물론 수백만 혹은 수천만 대의 장비가 취약한 수준은 아닙니다. 하지만 60만이라는 숫자가 가벼운 것 또한 아닙니다. 공격자들이 자신의 목적을 달성하는 데에 있어 적당한 숫자라고 봅니다.” 루디스의 설명이다. 또 다른 보안 업체 맥아피(McAfee)도 CTO인 스티브 그롭맨(Steve Grobman)의 RSAC 키노트를 통해 “이터널블루가 아직도 우리를 괴롭히고 있다”고 발표했다.
당시 그롭맨은 “결코 적다고 할 수 없는 시스템들이 취약한 상태이고, 패치를 서둘러야 한다”고 강조했다. “여러 설문 자료를 통해서 패치가 얼마나 중요한 것인지 모두가 알고 있는 것은 충분히 인지할 수 있습니다. 하지만 실제로 패치를 실천하는 부분에 있어서는 미진한 모습을 보이고 있습니다. 아는 것과 행하는 것의 차이가 우리를 취약하게 만듭니다.”
보안 업체 크라우드스트라이크(CrowdStrike)의 부회장인 아담 메이어스(Adam Meyers)는 “대부분 가정용 네트워크에서는 인터넷 제공업체가 SMB를 자동으로 닫아두기 때문에 큰 문제가 되지 않을 수 있지만, 그렇지 않은 곳도 분명히 존재한다”며 “이터널블루가 여전히 도사리고 있다는 걸 늘 염두에 두어야 한다”고 주장했다.
“60만대 중에는 실험을 목적으로 일부러 시스템을 취약하게 두고 있는 곳도 있을 것입니다. 그것을 바깥 연구자들이 식별하기는 어렵습니다. 그러나 그런 시스템들의 수보다는 패치를 하지 않거나 취약한 줄 몰라서 그대로 놔두는 곳들이 훨씬 많을 것이 분명합니다. 그래서 이터널블루를 통한 공격이 아직도 성공을 거두는 거겠죠.” 그의 설명이다.
그러면서 메이어스는 “SMB와 같이 보호하기 어려운 프로토콜을 인터넷에 노출시킨 상태를 유지하는 게 정말 조직의 사정에 어울리는지, 최신 패치가 되어 있는 상태인지, 이터널블루에 노출되어 있지는 않은지 반드시 점검을 해야 한다”고 경고하기도 했다. 라피드7의 루디스는 좀 더 강한 의견이라 “SMB가 노출되어 있을 이유는 없다”고 딱 잘라 말한다.
“SMB를 인터넷에 노출시키고 있다면 허니팟을 운영하고 있거나 바보가 시스템 관리자이거나 둘 중 하나입니다. 정말 경우의 수는 이거 두 개밖에 없어요.”
3줄 요약
1. 이터널블루, 워너크라이 사태 때문에 많이 패치되긴 했으나...
2. 현재 패치 안 된 시스템이 60만 대 넘음.
3. SMB 프로토콜의 사용 현황 얼른 점검하고 SMB를 인터넷으로부터 분리해야 안전.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
패치 적용한 조직 많았지만 여전히 60만대가 패치 안 된 상태
[보안뉴스 문가용 기자] 다음 달이면 이터널블루(EternalBlue) 취약점이 공개된 지 3년이 된다. 그러나 아직도 이 취약점은 현대 IT 인프라의 거대한 위협으로 남아 있다. 매일 일어나는 사이버 공격 중 상당수가 이터널블루와 관련되어 있을 정도라고 한다. 보안 업체 라피드7(Rapid7)이 이와 관련하여 보고서를 발표했다.
[이미지 = iclickart]
이터널블루 취약점에 노출된 윈도우 기반 서버들은 2017년 5월 워너크라이(WannaCry) 공격이 발생한 이후 급격하게 줄어들었다. 하지만 아직도 60만대가 취약한 채 인터넷에 연결되어 있는 실정이다. “어쩔 수 없는 사정이 있는 조직들도 있지만 대부분은 이터널블루 취약점이 자신들의 생태계 안에 있다는 것조차 몰라서 시정하지 못하고 있습니다.” 라피드7의 수석 데이터 과학자인 밥 루디스(Bob Rudis)의 설명이다.
“물론 수백만 혹은 수천만 대의 장비가 취약한 수준은 아닙니다. 하지만 60만이라는 숫자가 가벼운 것 또한 아닙니다. 공격자들이 자신의 목적을 달성하는 데에 있어 적당한 숫자라고 봅니다.” 루디스의 설명이다. 또 다른 보안 업체 맥아피(McAfee)도 CTO인 스티브 그롭맨(Steve Grobman)의 RSAC 키노트를 통해 “이터널블루가 아직도 우리를 괴롭히고 있다”고 발표했다.
당시 그롭맨은 “결코 적다고 할 수 없는 시스템들이 취약한 상태이고, 패치를 서둘러야 한다”고 강조했다. “여러 설문 자료를 통해서 패치가 얼마나 중요한 것인지 모두가 알고 있는 것은 충분히 인지할 수 있습니다. 하지만 실제로 패치를 실천하는 부분에 있어서는 미진한 모습을 보이고 있습니다. 아는 것과 행하는 것의 차이가 우리를 취약하게 만듭니다.”
보안 업체 크라우드스트라이크(CrowdStrike)의 부회장인 아담 메이어스(Adam Meyers)는 “대부분 가정용 네트워크에서는 인터넷 제공업체가 SMB를 자동으로 닫아두기 때문에 큰 문제가 되지 않을 수 있지만, 그렇지 않은 곳도 분명히 존재한다”며 “이터널블루가 여전히 도사리고 있다는 걸 늘 염두에 두어야 한다”고 주장했다.
“60만대 중에는 실험을 목적으로 일부러 시스템을 취약하게 두고 있는 곳도 있을 것입니다. 그것을 바깥 연구자들이 식별하기는 어렵습니다. 그러나 그런 시스템들의 수보다는 패치를 하지 않거나 취약한 줄 몰라서 그대로 놔두는 곳들이 훨씬 많을 것이 분명합니다. 그래서 이터널블루를 통한 공격이 아직도 성공을 거두는 거겠죠.” 그의 설명이다.
그러면서 메이어스는 “SMB와 같이 보호하기 어려운 프로토콜을 인터넷에 노출시킨 상태를 유지하는 게 정말 조직의 사정에 어울리는지, 최신 패치가 되어 있는 상태인지, 이터널블루에 노출되어 있지는 않은지 반드시 점검을 해야 한다”고 경고하기도 했다. 라피드7의 루디스는 좀 더 강한 의견이라 “SMB가 노출되어 있을 이유는 없다”고 딱 잘라 말한다.
“SMB를 인터넷에 노출시키고 있다면 허니팟을 운영하고 있거나 바보가 시스템 관리자이거나 둘 중 하나입니다. 정말 경우의 수는 이거 두 개밖에 없어요.”
3줄 요약
1. 이터널블루, 워너크라이 사태 때문에 많이 패치되긴 했으나...
2. 현재 패치 안 된 시스템이 60만 대 넘음.
3. SMB 프로토콜의 사용 현황 얼른 점검하고 SMB를 인터넷으로부터 분리해야 안전.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
