전체상품목록 바로가기

본문 바로가기

 
신규가입시 3,000P 지급
현재 위치
  1. 게시판
  2. 뉴스/이벤트

뉴스/이벤트

 

게시판 상세
제목 다가오는 블루킵(BlueKeep) 위협, V3로 대비하는 법!
작성자 (주)소프트정보서비스 (ip:)
  • 평점 0점  
  • 작성일 2019-12-20
  • 추천 추천하기
  • 조회수 48

상당수 국내외 보안 전문가들이 2020년에 증가할 보안 위협 중 하나로 블루킵(BlueKeep) 취약점을 꼽는다. 2017년부터 현재까지 악명을 떨치고 있는 이터널블루(EternalBlue)에 필적할 만한 위협으로 예측되는 블루킵 취약점은 무엇이며, 피해 예방을 위한 방법은 무엇인지 알아본다.

 

 

 

이터널블루(EternalBule) 취약점은 이전부터 존재했지만 2017년 5월 워너크라이 (WannaCry, 또는 WannaCryptor) 랜섬웨어 사태를 계기로 파괴적인 영향력을 발휘했다. 본내 이터널블루는 윈도우 운영체제의 서버 메시지 블록(Server Message Block, SMB) 취약점(MS17-010)을 이용하는 공격 도구(Exploit Kit)의 명칭이었지만, 현재 해당 취약점을 의미하는 표현으로도 혼용되고 있다.

 

그런데 최근 이터널블루와 비슷한 취약점이 국내외 보안 전문가들의 주의를 끌고 있다. 이른바 블루킵(BlueKeep)이라고 이름 붙은 이 취약점(CVE-2019-0708)은 윈도우 기반의 클라이언트와 서버 간의 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP) 연결 과정에서 원격 코드 실행이 가능한 취약점이다. 이 취약점이 주목받는 이유는 이터널블루와 마찬가지로 파일리스(file-less)방식으로 자가증식이 가능한, 이른바 웜 형태가 될 수 있는(wormable) 취약점이기 때문이다. 즉, 워너크라이 랜섬웨어처럼 한 대의 시스템에 침투한 후 자가증식하며 네트워크 전체로 확산될 수 있다는 뜻이다.

 

이 취약점에 영향받는 윈도우 운영체제(OS)는 윈도우7, 윈도우 서버 2008(R2) 등을 비롯한 단종된 운영체제들이다. 문제는 이들 단종된 윈도우 OS를 이용하는 PC 및 서버 시스템이 현재까지 전 세계적으로 70만대가 넘는다는 것. 이에 마이크로소프트는 2019년 5월, 워너크라이 랜섬웨어 사태에 이어 또 다시 이례적으로 단종된 OS에 대한 긴급 보안 업데이트(패치)를 배포했다. 이어 6월에는  미국 국토안보부 산하 사이버보안국(Cybersecurity and Infrastructure Security Agency, CISA)에서도 보안 경보문을 발표했다.

 

 

[그림 1] CISA에서 발표한 블루킵 취약점 보안 경고문 (*출처: CISA 홈페이지)

 

이러한 노력에도 불구하고 블루킵 취약점의 위협은 차근차근 실체화되고 있다. 우선, 보안 패치가 배포된 지 4개월 후인 2019년 9월, 블루킵 취약점을 이용한 공격 실험(Proof of Concept, PoC)가 공개됐다. 다시 3개월이 지난 2019년 11월 블루킵을 이용한 최초의 악성코드가 유포되었다. 다행인 것은 해당 악성코드는 상대적으로 덜 고도화된 악성코드로, 특정 가상화폐를 채굴하는 것 외에 별 다른 피해는 입히지 않는 것으로 알려졌다.

 

그러나 보안 전문가들은 해당 채굴 악성코드는 시작에 불과할 뿐이며, 앞으로 블루킵 취약점을 이용한 공격이 증가할 것이라고 경고하고 있다. 특히 블루킵 취약점이 영향을 받는 버전인 윈도우7에 대한 지원 서비스가 다음 달 종료될 예정이기 때문에 더욱 우려되고 있는 상황.이다. 일각에서는 이미 취약점 스캐닝 툴을 이용해 블루킵 취약점을 찾는 시도가 발견되고 있다는 주장도 있다.

 

파일리스 방식의 블루킵 취약점 공격, 이렇게 대비하자!

이터널블루, 즉 SMB 취약점 위협과 마찬가지로 블루킵 취약점 공격에 대비하기 위해서는 관련 보안 패치를 적용하는 것이 필수다. 만일 해당 보안 패치를 적용하기가 여의치 않거나 원격 시스템에서 원격 프로토콜을 사용하지 않는다면, TCP 3389번 포트를 비활성화하거나 [그림 2]와 같이 RDP에 네트워크 수준 인증(NLA)을 활성화하는 방법으로 해당 취약점 공격을 예방할 수 있다.

 

  

[그림 2] 네트워크 수준 인증(NLA) 활성화 설정창

 

이와 함께 V3를 이용해 블루킵 취약점 공격에 대응할 수 있다. 안랩은 최근 블루킵이나 이터널블루 등 파일리스 방식의 취약점 공격에 대응하기 위해 새로운 트루아이즈(TrueEyes) 기술을 V3의 행위기반 엔진에 추가했다. V3를 이용 중인 고객이라면 [그림 3]과 같이 ‘V3의 행위 기반 진단 사용’을 활성화(V)하면 된다. 이를 통해 취약점을 이용한 원격코드 실행을 예방할 수 있다.

 

 

[그림 3] V3의 행위 기반 진단 사용 설정창

 

또한 안랩은 사용자의 이해를 돕기 위해 블루킵 취약점을 이용한 공격과 이에 대한 V3의 대응 과정을 간략하게 시연하는 동영상을 공개했다. V3의 블루킵(BlueKeep) 취약점 공격 탐지 시연 동영상은 유튜브에서 확인할 수 있다.

 

▶ V3의 블루킵(BlueKeep) 취약점 공격 탐지 시연 동영상 바로가기

 

블루킵 취약점과 V3의 대응 방식에 대한 보다 자세한 내용은 안랩 시큐리티대응센터(ASEC) 블로그에서 확인할 수 있다.

첨부파일
비밀번호 수정 및 삭제하려면 비밀번호를 입력하세요.
댓글 수정

비밀번호 :

/ byte

비밀번호 : 확인 취소


HOME  COMPANY  BOARD  AGREEMNET  PRIVACY  GUIDE

011-17-010436

농협 / (주)소프트정보서비스

015-01-0690-148

국민 / (주)소프트정보서비스