한국인터넷진흥원(KISA)이 최근 공개한 'CVE-2020-0796(SMBGhost) 취약점 분석' 기술문서는 SMB(Server Message Block) 프로토콜을 이용한 해킹 수법을 다루고 있다.
마이크로소프트 윈도 운영체제(Microsoft Windows OS, MS Win OS)에서 파일 공유, 프린터 공유, 원격 윈도 서비스 액세스 등에 사용되는 SMB는 지난 2017년 4월에 150여 개국, 약 30만대의 PC를 감염시킨 워너크라이 랜섬웨어(WannaCry Ransomware) 사태의 확산 원인이었다.
MS-DOS, 윈도, OS/2, 유닉스(UNIX) 들의 OS 간 편리한 자원 공유를 위해 지난 1990년 SMBv1이 탄생했다는 사실을 생각해보면, '구닥다리' 비암호화 방식의 통신 프로토콜은 일이 터져도 한번은 크게 터질 법한 것이었다.
보안대책이란 게 없다시피 한 SMBv1은 이제 점차 도태되고 있다. MS사는 공식 웹사이트를 통해 "윈도 10 가을 크리에이터스 업데이트(Fall Creators Update) 및 윈도 서버 등의 1709(RS3) 버전 이상에서는 SMBv1 네트워크 프로토콜이 더는 기본적으로 설치되지 않는다"고 밝히고 있다.
대신 2006년에 윈도 비스타(Vista) 때 선보인 SMBv2나 그 이후 등장한 SMBv3 등을 지원한다고 안내한다.
(https://docs.microsoft.com/ko-kr/windows-server/storage/file-server/troubleshoot/smbv1-not-installed-by-default-in-windows 참조)
그런데, ICT 산업 현장을 둘러보면 아직까지도 SMBv1이 사용되는 사례가 수두룩하다.
윈도와 다른 OS가 혼재된 네트워크에서 이종 OS 간 파일 공유를 위해 SMB를 사용하다 보니, 네트워크 연결형 저장소(NAS) 장치들도 SAMBA 모듈을 탑재해 SMB를 지원하고 있다. 그런데 NAS 제조사가 펌웨어 업데이트를 중단하는 통에 해당 장비가 SMBv1만 지원하게 되는 것이다.
이 경우 SMBv2·v3를 지원하는 신형 장비를 도입하면 보안 허점 문제를 해결할 수 있지만, 잘 돌아가는 장치를 놔두고 많은 예산을 들여 새 제품을 덜컥 구입한다는 것은 기업 입장에서 간단한 일이 아니다. 특히, 자금 사정이 넉넉하지 않은 중소기업의 경우에는 문제가 터지지 않길 바라며 구형 장비를 계속 쓰는 경우가 많다. 심지어 뭐가 문제인지 인식조차 못한 채 장비가 고장날 때까지 쓰겠다는 곳도 있다.
이런 경우 네트워크 장비가 SMBv1까지만을 지원하므로 이를 이용하는 기기들 또한 SMBv1으로 통신하기 위해 보안 수준을 낮추게 된다. 워너크라이가 만약 현재까지 전파되고 있다면 SMBv1을 사용하는 서버나 PC는 손쉬운 '먹잇감'이다.
다시 처음 이야기로 돌아가자.
KISA는 SMBGhost에 대해 분석한 다음 PC 사용자, 서버 운영자가 OS를 최신 보안이 업데이트된 상태로 유지해야 한다고 결론지었다. 이어 "당연하고 지루하게 들릴 수 있지만 언제나 그렇듯 철저한 대비와 예방만이 더 큰 사고를 막을 수 있는 방법"이라고 OS 업데이트를 거듭 당부했다.
업데이트를 위해서는 시간도 소요되고 PC나 서버를 리부팅해야 할 수도 있다. 이것은 귀찮은 일이다.
서버 보안 업데이트 이후 잘 작동하던 서비스에 문제가 발생하기라도 하면 전산 담당자의 등에는 식은땀이 흐른다. 롤백을 해도 문제가 해결되지 않는다? 그럼 사태는 더욱 심각해진다.
지방 중소기업 전산 담당자는 "서버 OS 보안 업데이트 이후 문제가 발생해 이를 복구하는 과정에서, 대표이사 등의 임원진이 의자 뒤에 병풍처럼 진을 치고선 '문제가 언제 해결되느냐'고 닥달해 몹시 힘들었다"고 말했다.
또한 보안 업데이트가 이뤄지지 않는 구형 장비나 소프트웨어의 경우 신제품을 구매해야 할 수도 있다.
이런 점에서 보안 업데이트는 '돈이 드는 일'이다.
![워너크라이 감염 시 한국어 출력 화면. [자료=인터넷 커뮤니티 '개드립']](/news/photo/202010/79926_30399_405.jpg)
하지만 보안 업데이트를 소홀히 하다가는 제2, 제3의 워너크라이 피해를 입을 수 있다. 해커에게 돈을 쥐어준다고 해서 암호화된 데이터를 복구시켜줄지 장담할 수 없다. 보안 솔루션 업체들이 복호화 솔루션을 배포하고 있지만 문제 해결 때까지는 기업 활동에 제약을 받을 수밖에 없다.
이런 점에서 보안 업데이트를 통해 기업의 소중한 데이터를 보호하는 일은 결국 기업 가치를 보전하는 일이다.
결론적으로 '돈이 되는 일'이라고 말할 수 있겠다.
경영자와 정보보안 담당자들이 내년 사업 계획에 정보보안 관련 예산을 충분히 준비해 각종 사이버 위협으로부터 기업을 보호하길 바란다.
보안에 투자하는 것은 돈이 드는 일 같으나 결국은 돈이 되는 일이다.
