UPDATED. 2020-10-23 08:59 (금)
"SMBGhost 취약점 주의하세요"
"SMBGhost 취약점 주의하세요"
  • 박광하 기자
  • 승인 2020.10.15 10:22
  • 댓글 0
이 기사를 공유합니다

간단한 통신패킷 조작에 OS 먹통
KISA "최신 OS로 업데이트해야"
SMBGhost 취약점 분석 기술문서 표지. [사진=KISA]
SMBGhost 취약점 분석 기술문서 표지. [사진=KISA]

운영체제의 특정 프로토콜 취약점을 이용한 간단하면서도 심각한 수준의 해킹 수법이 소개돼 정보보안산업계의 주목을 받는다.

한국인터넷진흥원(KISA)은 최근 'CVE-2020-0796(SMBGhost) 취약점 분석' 기술문서를 공개했다.

이 문서가 다루고 있는 프로토콜은 SMB(Server Message Block)다. 해당 프로토콜은 마이크로소프트의 윈도 운영체제(Windows OS)에서 파일 공유, 프린터 공유, 원격 윈도 서비스 액세스 등에 사용된다.

KISA는 SMB가 지난 2017년 4월 150여 개국, 약 30만대의 PC를 감염시킨 워너크라이 랜섬웨어(WannaCry Ransomware) 탓에 일약 취약점계의 '스타'로 떠올랐다고 평가했다. 워너크라이가 다른 PC로 전파될 때 사용된 것이 SMB 취약점이었기 때문이라는 것이다.

이전에도 SMB 취약점이 없었던 것은 아니지만 워너크라이 랜섬웨어 사고를 계기로 SMB 취약점이 가진 생각 외의 위력이 사람들의 기억 속에 각인됐고, 이후에도 잊혀질 만하면 SMB의 취약점이 드러나고 있다는 게 KISA의 설명이다.

문서는 최근 알려진 SMBGhost 취약점 작동 원리를 파헤쳤다. 이 취약점은 BSOD(Blue Screen of Death) PoC(Proof of Concept)를 이용해 생각보다 훨씬 간단한 방법론으로 보안 전문가들을 충격과 공포에 빠트렸다.

SMB는 현재 SMBv3까지 발표된 상태다. SMBv1의 경우는 SMBv2·v3에 존재하는 보안 기능들이 없으며 윈도10 버전 1709, 서버 버전 1709 이상부터는 기본 설치되지 않는다. 문서에서 다룬 취약점도 SMBv2·v3에 해당된다.

SMBGhost로 인한 BSOD 현상이나 권한 상승(Local Privilege Escalation, LPE)은 SMB의 메시지 패킷 세트인 SMB 다이얼렉트(Dialect) 일부 값을 조작함으로써 정수 오버플로우(Integer Overflow)를 일으키는 방식이다.

SMBGhost의 경우 'OriginalCompressedSegmentSize' 필드에 저장 가능한 값보다 큰 값을 넣는다.

그렇게 되면 변수가 이 값을 감당할 수 없어 의도치 않게 매우 작은 수 또는 음수로 인식하게 된다. 이 때 프로그램이 예상 밖의 동작을 하게 될 수 있는데 이것이 블루 스크린 현상이나 비정상적 권한 상승을 일으키게 되는 것이다.

KISA는 "언제나 그렇듯 철저한 대비와 예방만이 더 큰 사고를 막을 수 있는 방법"이라며 "당연하고 지루하게 들릴 수 있지만 PC 사용자, 서버 운영자들은 OS를 최신 보안이 업데이트된 상태로 유지해야 한다"고 당부했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.