코로나 19가 세계로 확산되는 가운데 사이버 세상엔 '코로나블루' 비상령이 내렸다.
2017년 150여개국 컴퓨터 30만대를 감염시킨 '워너크라이'처럼 마이크로소프트 서버 메시지 블록(SMB) 취약점이 발견됐다. 윈도8 이상 PC가 전부 영향권이며 아직 보안 업데이트가 나오지 않은 제로데이 취약점이다.
SMB는 윈도 운용체계(OS)에서 파일과 디렉토리, 주변 장치를 공유하는 데 쓰이는 메시지 형식이다. 윈도 OS에 포함돼있다. 공격자가 이를 악용하면 스스로 프로그램 복제가 가능한 '웜'을 만들 수 있다. 이용자가 악성파일 등을 클릭해야 감염되는 일반적인 공격 방식과 달리 인터넷 프로토콜(IP) 주소만 알면 공격이 가능해 파급력이 매우 강하다. 2017년 세계 150여개국 컴퓨터 30만대 이상을 감염시킨 '워너크라이' 악성코드가 SMB 취약점을 악용했다.
이번에 발견된 취약점은 SMB 버전3(SMBv3)에서 포착됐다. 원격 코드 실행 취약점으로 보안 취약점 표준 코드 'CVE-2020-0796'으로 등록됐다. 공격에 성공하면 감염 PC 제어를 위한 전권을 확보한다. 코로나19 사태 와중에 발견됐다고 해서 보안업계에선 '코로나블루'라고도 부른다. '워너크라이'가 악용한 SMB 취약점에 '이터널블루'라는 이름이 붙은 데 착안했다.
아직 패치는 없는 상황이다. 마이크로소프트(MS)는 지난 10일(현지시간) 긴급 대책으로 SMBv3를 비활성화하라는 보안 권고를 발행했다. MS 측은 “권한 없는 공격자가 SMBv3 서버를 겨냥해 특정 패킷을 보내고 공격할 우려가 있다”고 설명했다. 패치가 만들어지는 동안 취약점 공격이 발생할 경우 이용자는 MS 권고를 참고해 SMBv3를 비활성화하고 피해를 예방할 수 있다. 포티넷과 시스코 등 MS와 협력하는 다수 보안업체에서 이번 취약점에 대한 연구와 패치 개발에 착수한 상태다.
이번 사태를 주시하고 있는 보안 전문가는 “'워너크라이'는 당시 단종된 윈도XP를 대상으로 퍼졌음에도 파급력이 컸다”면서 “당시에는 윈도8과 윈도10은 영향을 안 받았지만 이번 취약점은 공격 발생 시 윈도8 이상 PC가 모두 영향을 받는다”고 말했다. 이어 “보통 공격은 공격자가 악성파일을 보내거나 이용자가 악성 사이트에 접속해야만 감염되지만 SMB 취약점은 네트워크 프로토콜을 처리하는 취약점으로 외부에서 IP만 알면 공격할 수 있어 매우 심각한 상황”이라고 설명했다.
이번 취약점을 악용한 공격 코드가 나오는 건 시간문제라고도 경고했다. 그는 “공격 코드가 일단 만들어지면 워너크라이 사태처럼 확산할 우려가 있다”면서 “패치가 나온 이후에 취약점을 공개하는 것이 일반적이지만 이번 사안이 워낙 심각한 만큼 MS에서도 미리 공표한 것”이라고 덧붙였다.
오다인기자 ohdain@etnews.com
