[CCTV뉴스=최형주 기자] 마이크로소프트가 웃지 못 할 실수를 저질렀다. 정기 패치 업데이트에서 윈도우10 SMB(Server Message Block) 프로토콜 취약점을 공개한 것이다.
취약점 코드 CVE-2020-0796로 명명된 이 취약점은 SMBv3 (Server Message Block 3.0) 네트워크 통신 프로토콜의 사전 원격 코드 실행 취약점으로, 아직 해당 문제에 대한 패치는 이뤄지지 않고 있는 상황이다.
■ SMB취약점이란
SMB 취약점은 지난 2017년 대중에게 ‘랜섬웨어 공포’를 각인시킨 워너크라이(WannaCry) 랜섬웨어가 악용한 심각한 윈도우 취약점이다. 당시 워너크라이는 전 세계 약 150개국에서 23만여 대의 PC를 감염시킨 바 있다.
마이크로소프트에 따르면, 이번 SMBv3 취약점 악용에 성공할 경우 대상 SMB 서버 또는 SMB 클라이언트에서 코드 실행이 가능해진다.
보안기업 포티넷에 따르면, 해커는 SMB 서버에 대한 취약점을 악용하기 위해 특수하게 조작된 패킷을 대상 SMBv3 서버로 보내는 ‘버퍼 오버플로우’ 방식의 공격을 취한다. 또한 해커는 악의적인 SMBv3 서버를 구성해 사용자가 이 서버에 연결하도록 유도한다.
특히 포티넷은 이번 SMBv3 취약점의 취약점 유출 심각성에 대해 최고 등급을 매긴 상태이며, 이번 취약점은 다음과 같은 윈도우 OS 설치 PC에 영향을 끼친다.
-32비트 시스템 용 Windows 10 버전 1903
-ARM64 기반 시스템 용 Windows 10 버전 1903
-x64 기반 시스템 용 Windows 10 버전 1903
-32비트 시스템 용 Windows 10 버전 1909
-ARM64 기반 시스템 용 Windows 10 버전 1909
-x64 기반 시스템 용 Windows 10 버전 1909
-Windows Server, 버전 1903 (Server Core 설치)
-Windows Server, 버전 1909 (Server Core 설치)
마이크로소프트는 임시적인 해결 방법으로 ▲SMBv3 압축 비활성화와 ▲TCP 포트 445 차단을 꼽았으며, 아래와 같이 조치하면 된다.
■ SMB 취약점 임시 조치 방법
우선 SMBv3 압축 비활성화는 다음과 같은 파워쉘(PowerShell) 명령을 사용해 비활성화 하면 된다. 파워쉘은 실행 창에 'CMD'를 입력해 프롬프트 창을 열고, 여기에 'PowerShell'을 입력하면 실행 가능하다.
[SMVv3 압축 비활성화 파워쉘 코드]
Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" DisableCompression -Type DWORD -Value 1 -Force
위 내용을 한 번에 이어서 입력해주면 된다. 또한 활성화 상태로 되돌리기 위해선 다음과 같이 입력하면 된다.
[SMVv3 압축 활성화 파워쉘 코드]
Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" DisableCompression -Type DWORD -Value 0 -Force
두 번째 방법인 TCP 포트 445 차단은 제어판-방화벽-고급설정-인바운드규칙-새규칙을 눌러 ‘새 인바운드 규칙 마법사’에서 ‘포트’를 선택하고, ‘TCP’, ‘특정 로컬포트’를 선택한 후 139, 445를 입력하면 SMB가 사용하는 포트의 차단이 완료 된다.
■ 철저한 개인의 보안인식 필수적
현재 SMBv3 취약점에 대한 악성파일 공격은 보고된 바 없다. 업데이트도 아직이다. 하지만 우린 지난 2017년 전 세계를 공포로 몰아넣었던 워너크라이 사태를 떠올려야 한다.
해당 취약점에 대한 업데이트가 제공되기 전까진 위 임시 조치 방법 외에도 ▲이메일 발신자 주소가 정상인지 확인하기 ▲신뢰할 수 없는 웹사이트 접속 금지 ▲확인되지 않은 이메일 첨부파일 실행 금지 등의 개인 보안 수칙을 철저히 지켜야 한다.
