[디지털투데이 양대규 기자] 마이크로소프트(MS) 윈도10에 과거 심각한 피해를 입힌 워너크라이(WannaCry)와 낫페트야(NotPety)와 같은 새로운 웜바이러스가 발견돼 한국인터넷진흥원(KISA)를 비롯해 전세계 보안 전문가들이 경고에 나섰다.

KISA는 지난 13일 MS 윈도 제품의 파일공유기능(SMB 프로토콜)을 통해 악성코드를 설치, 실행할 수 있는 취약점이 발견됨에 따라 업데이트 등을 통해 보안을 강화해야 한다고 당부했다. 

이번 취약점에 영향을 받는 제품은 윈도 10(버전 1903, 1909)과 서버(버전 1903, 1909)다. 

MS는 이번 취약점의 위험성과 파급력을 감안해 패치가 배포되기 전 임시 대응 방법을 제공하고 패치 개발 후 긴급 업데이트를 공지했다. KISA는 해당 윈도 제품 이용자가 MS 누리집 또는 윈도 업데이트 기능을 통해 보안 업데이트를 진행할 것을 당부했다.

아르스테크니카 등 외신에 따르면 공격자들이 이 취약성을 활용할만한 방법을 찾기가 쉽지는 않을 전망이다. 하지만 보안 전문가들은 하나의 컴퓨터가 공격당하면 다른 모든 윈도 기반 컴퓨터를 빠르게 감염시키는 연쇄 반응을 유발하는 '웜' 공격이 가능해 심각한 문제로 인식하고 있다. 

지난 2017년 발생한 워너크라이와 낫페트야와 비슷한 시나리오가 나올 수 있다는 것이다. 

워너크라이·낫페트야, 2017년 글로벌 정부·기업·개인에 큰 피해 입혀

워너크라이는 윈도 기반 컴퓨터 대상의 랜섬웨어로 지난 2017년 5월 12일 대규모 공격을 시작했다. 이에 전 세계적으로 많은 컴퓨터에서 심각한 피해가 발생했다. 감염되면 컴퓨터 내의 파일들이 암호화된다. 파일 몸값으로 300달러(약 36만원)의 비트코인 요구하는 메시지 창이 화면에 뜬다.

워너크라이는 감염되면 사용자의 파일을 암호화한 다음에 바탕화면의 배경 화면을 특정이미지로 바꾼다.

프로그램이 처음 실행시키거나 실행되는 시점에서 워너크라이는 300달러 상당의 비트코인을 요구한다. 이후 3일이 지나면 두 배인 600달러(약 72만원)로 늘어나며 일주일이 지나면 일 복구를 불가능하게 만든다.

하지만 비트코인을 지불해도 파일들을 풀어주지 않는 변종도 생겨 많은 사람이 큰 피해를 입었다.

당시 워너크라이를 통해 영국의 국민보건서비스 산하 병원 40여개가 피해를 입었다. 독일과 일본은 철도 시스템이 공격을 받았으며, 러시아의 경우에는 정부 기관의 컴퓨터까지 감염됐다. 또한 중국은 공항과 출입국 관리소, ATM까지 감염되는 등 전 세계적으로 심각한 피해를 발생시켰다.

같은 해 워너크라이에서 더욱 정교해진 낫페트야 공격이 발생해 글로벌 기업들이 대규모 피해를 입었다. 악성코드는 우크라이나 회계 소프트웨어에서 최초 감염됐으며 워너크라이가 사용했던 방법으로 전 세계로 확산됐다.

제약회사인 머크는 2017년 7월 28일 발표된 2분기 실적 보고서에서 6월 랜섬웨어 공격으로 전 세계의 제조, 연구, 영업 운영이 광범위하게 중단됐다고 밝혔다. 당시 공격이 있은 지 한달이 지난 후에도 랜섬웨어 공격은 계속 영향을 미치고 있으며 회사는 모든 문제에 대해 파악하지 못하고 있었다.

2018년 초 페덱스는 낫페트야 공격으로 1분기 회계에서 매출에서 3억달러(약 3600억원)의 손해를 봤다. 해당 악성 코드는 페덱스의 네덜란드 자회사인 TNT 익스프레스 시스템을 감염시켰다.

당시 낫페트야는 우크라이나에 대한 러시아의 사이버 공격에 사용한 악성코드로 알려져 대중에 유명해졌다. 러시아는 해당 사실을 부인했다.

"윈도 OS 취약점 이용... 인터넷 연결되면 감염"

전문가들은 이번 새로운 취약점도 과거의 워너크라이, 낫페트야와 비슷한 위험성을 가지고 있다고 경고한다.

이들의 가장 큰 특징은 웜 바이러스와 유사하다. 스스로를 복제해 네트워크에 흘려보내는 것이 가능하다. 웹사이트나 이메일 첨부 파일 다운로드를 통한 고전적인 방식이 아니라 윈도 OS의 취약점을 이용해 인터넷에 연결되면 감염이 될 수 있다.

이는 MS 윈도의 네트워크 파일 공유 프로토콜인 SMB의 보안 취약점을 이용해서 전파하기 때문이다. 또한 SMB 취약점만을 이용하는 것이 아니라 기본적인 전파 경로인 웹사이트 다운과 이메일 유포 방식을 병행해서 사용해 더욱 피해가 크다.

이 결함은 현재 'CVE-2020-0796'으로 불리며 MS는 이에 대해 패치를 따로 발표 하지 않았다. 다만 MS는 인증되지 않은 공격자가 SMBv3 서버에 대한 취약성을 악용하는 것을 차단하기 위해 압축을 해제함으로써 취약한 서버를 보호할 수 있다고 경고했다.

포티넷은 이 취약점을 MS SMB 서버의 버퍼오버플로 취약점이라고 설명하며 '최대 심각도' 등급을 매겼다. 포티넷은 "인증되지 않은 원격 공격자가 이 취약점을 악용해 응용 프로그램 컨테스트 내에서 임의코드를 실행할 수 있다"고 지적했다.

시스코의 탈로스 보안팀도 이 취약점에 대해 '웜가능'이라며 "한 번의 공격이 관리자나 사용자로부터 아무런 상호 작용 없이 취약한 기계에서 취약한 기계로 공격이 확산될 수 있는 연쇄 반응을 일으킬 수 있다"고 강조했다.

지금은 삭제된 탈로스의 포스트에 따르면 "공격자는 피해자가 연결해야 하는 대상 SMBv3 서버에 특수하게 조작된 패킷을 전송함으로써 이 버그를 이용할 수 있었다"며 "사용자들은 SMBv3 압축을 해제하고 방화벽과 클라이언트 컴퓨터에서 TCP 포트 445를 차단할 것을 권장한다"고 설명했다.

소포스는 해커들이 이 취약점을 세 가지 시나리오로 이용할 수 있다고 경고했다.

첫 번째는 공격자가 파일을 공유하는 시스템을 대상으로 한다는 것이다. 사용자나 관리자가 기본 설정을 포트 445로 변경하거나 윈도 방화벽을 비활성화하거나 시스템이 윈도 도메인에 속해 있고, 공격자가 제어할 수 있는 원격 공격 형태에 대해 시스템이 열려 있는 경우에 해당된다.

소포스랩스 공격 보안팀은 12일 블로그에 "공공 인터넷에 취약한 SMB 포트가 열려 있는 미답형 시스템이 워너크라이와 유사한 웜바이러스 발생의 기회의 대상이 될 수 있다는 것은 두말할 나위도 없다"고 지적했다.

두 번째는 공격자가 사용자를 속여 악의적인 서버에 연결하는 것이다. 공격자는 클릭할 때 취약한 시스템이 공격자의 악성 네트워크에 가입하도록 하는 링크가 포함된 스팸 메시지를 사용할 수 있다. 그것으로 공격자는 사용자의 컴퓨터를 완전히 통제할 수 있다. 

세 번째는 다른 수단을 통해 취약한 컴퓨터에 대한 제한된 액세스를 획득한 공격자는 SMBv3 결함을 이용해 대상 사용자와 동일한 시스템 권한을 가진 악성 코드를 실행한다는 것이다. 여기서 공격자는 시스템 권한으로 더욱 상승할 수 있을 것이다. 

소포스는 직접 이 세 번째 공격 시나리오를 시연했다(상단 영상).

소포스는 "윈도10 기계를 사용하는 모든 사람은 특히 어떤 종류의 네트워크를 통해 프린터, 파일 또는 리소스를 공유하는 사람들을 위해 가능한 한 빨리 패치가 진행돼야 한다"고 강조했다. 

패치를 설치할 수 없다면 SMB 압축을 비활성화하고, 외부 인터넷에 대한 포트 445를 차단하는 것이 효과적이라고 덧붙였다. 다른 방법으로는 로컬 네트워크 내의 포트 445를 차단하는 것이지만 소포스는 그 조치가 비용이 든다고 지적했다.

한편, 와이어드는 CVE-2020-0796이 잠재적으로 심각할 수 있지만 워너크라이나 낫페트와 같은 SMBv1 결함에 의해 야기되는 위협은 아니라고 보도했다. 기존의 두 공격이 노렸던 SMBv1는 대중적으로 많이 사용됐지만, 새로운 공격의 대상인 SMBv3는 훨씬 덜 사용되기 때문이다.