SMB와 웜의 귀환
SMB(Server Message Block): 네트워크 공유의 취약점
사이버 위협 환경을 오랫동안 관찰하면 주기적으로 발생하는 패턴을 파악할 수 있습니다. 사이버 위협의 유형과 공격 방법에는 유행이 있어서 하나의 공격 벡터(Vector) 사용이 감소하면 또 다른 벡터를 통한 공격이 많아집니다.
예를 들어 네트워크 공유는 사용자들이 네트워크를 통해서 파일과 폴더를 공유하게 하는 기술입니다. 네트워크 공유는 한동안 컴퓨터 웜의 주요 타겟이었지만, 최근 몇 년 사이 이메일과 감염된 웹사이트를 사용하는 보다 진화한 수준의 공격이 등장하면서 관심이 줄어들었습니다.
그러다가 약 18개월 전에 상황이 변했습니다. 워너크라이(WannaCry) 랜섬웨어가 네트워크 공유의 약점을 통해 전세계적으로 큰 피해를 입혔고 위협 환경 전반에 걸쳐 파괴 경로를 형성함에 따라 네트워크 공유에 대한 관심이 늘었습니다. 특히 SMB(Server Message Block)와 같이 많은 사람들이 사용하는 프로토콜에 더욱 큰 관심이 쏠렸습니다.
급변하는 사이버 위협 환경에서 워너크라이는 이제 과거의 일이라고 생각하실 수도 있습니다. 물론 워너크라이가 몰고온 충격은 지나갔지만 그렇다고 해서 워너크라이의 확산이 커졌던 이유에 대해 주목할 필요까지 사라진 것은 아닙니다. 오히려 워너크라이 랜섬웨어 공격은 다시 SMB가 사이버 보안의 취약점이 될 수 있다는 점을 확인시켰습니다. 사이버 공격자들은 SMB의 취약점을 주기적으로 계속 활용하고있고 그에 따른 보안 대책이 필요합니다.
예를 들어, 여러개의 SMB 침입 탐지 규칙이 시스코의 차세대 IPS 탐지시스템에서 꾸준히 상위 10위권을 차지하고 있습니다. SMB에 사용되는 기본 포트인 포트 445가 열려 있는 경우가 다반사이기 때문에 그리 놀라운 일도 아닙니다. 사실 shodan.io에서 간단한 검색만 시도해보아도 포트가 열린 장치가 200만 개 이상 검색되는 결과를 볼 수 있습니다.
전반적 SMB 관련 공격에는 일관성이 있습니다. 2018년 10월부터 11월까지 2개월 간의 인지(Cognitive) 인텔리전스 텔레메트리를 살펴보면 엔드포인트에서 꾸준히 SMB 포트 활동 패턴이 나타나고 있고 이는 SMB가 정기적인 공격 벡터로 사용되고 있음을 나타냅니다.
위 그래프에서 11월 13일부터 보이기 시작하는 사고 급증에 주목할 필요가 있습니다. 이는 SMB를 통해 원격으로 트리거할 수 있는 취약점을 경계하는 보안 경고 발표와 일치합니다. 이것이 악의적 공격인지, 새로 공개된 취약점을 테스트하는 침투 테스터인지 또는 둘 다 해당되는지 확실히 말할 수는 없지만, SMB를 통해 이러한 활동이 이루어졌다는 것만은 분명합니다.
SMB란 무엇인가요?
SMB는 간단하고 쉬운 사용의 편리성으로 네트워크 공유에서 사용되는 가장 인기 있는 프로토콜 중 하나였습니다. 편리함 뒤에는 부정적 측면도 뒤따르는데, 인증이나 암호화를 거의 요구하지 않는다는 점입니다. 덕분에 SMB는 네트워크를 통과하려는 해커들과 웜의 자연스러운 목표가 되었습니다.
실제 사용자의 관점에서 볼 때 네트워크 공유의 장점은 자유로운 접속에 있습니다. 원격 컴퓨터에 있는 파일을 마치 로컬 컴퓨터에 있는 것처럼 액세스하거나 복사하고 심지어 컴퓨터 간 통신을 위한 서버가 없어도 양쪽을 직접 연결할 수 있기 때문입니다.
과거 SMB는 네트워크 공유를 촉진하기 위해 사용된 가장 인기 있는 프로토콜 중 하나였습니다. 그 인기는 1990년대 초 Microsoft가 SMB 프로토콜을 채택하면서 시작되었다고 할 수 있습니다. Windows에 SMB를 쉽게 설치하고 사용할 수 있었을 뿐 아니라 구성이 거의 필요없어 다양한 목적으로 사용되었습니다. 파일과 폴더뿐만 아니라 프린터 및 기타 장치도 공유할 수 있었습니다.
SMB 프로토콜이 내부 네트워크 구축에 큰 도움이 된 것은 분명합니다. 하지만 인증이나 암호화를 거의 요구하지 않아 보안 문제가 제기되었고 이후 버전에서는 보안이 향상되었지만 이전 버전과의 호환성을 유지해야 했기 때문에 보안 문제가 알려진 후에도 이전 버전들이 계속 사용되었습니다.
SMB 프로토콜은 컴퓨터들을 직접 연결했기 때문에 자연스럽게 네트워크를 통과하려는 해커들의 목표가 되었습니다. 컴퓨터에서 컴퓨터로 점프하여 확산되는 컴퓨터 웜 역시 이와 같은 SMB의 특성을 활용했습니다. 따라서 SMB는 악의적 사이버 공격자들이 노리는 목표가 되었습니다.
다른 구식 90년대 기술과 어깨를 나란히 하는 SMB1 프로토콜
이터널블루의 등장
2017년 컴퓨터 웜과 SMB의 보안 취약점이 교차점에 모이면서 충격적인 상황이 연출되었습니다. 이터널블루(EternalBlue)라는 SMB 버전 1 (SMB1)의 주요 결함이 발견되었던 것입니다. 이터널블루 익스플로잇은 악의적 행위자들이 SMB1 실행 컴퓨터에 멀웨어를 설치할 수 있는 취약점이 있었습니다.
새도우 브로커즈(Shadow Brokers)라는 해킹 그룹에 의해 대중에 공개된 이터널블루의 심각성이 명백해짐에 따라 Microsoft는 지원되는 모든 Windows 버전에 적용할 취약점 MS17-010용 패치를 긴급하게 발표하였습니다.
이상적인 상황이라면 모든 사람들이 패치를 적용하면서 이야기가 마무리되어야 하지만 이상과 현실 사이의 괴리는 그보다 넓었습니다. 패치 롤아웃에 많은 시간이 걸렸고 불행히도 MS17-010이 모든 Windows 버전들에 패치를 제공한 것이 아니었기 때문에 지원되지 않는 Windows 버전을 실행하는 컴퓨터는 여전히 취약한 상태로 남게 되었습니다.
워너크라이(WannaCry)의 등장
2017 년 5 월 12 일은 여느 금요일과 다름없었습니다. 근무 중에 갑자기 컴퓨터에 아래 내용이 표시되지 않았다면 말입니다.
이터널블루 익스플로잇 덕분에 워너크라이는 엄청난 속도로 전파되어 보안이 취약한 컴퓨터들을 사용불가 상태로 만들었습니다. 워너크라이는 SMB를 사용하는 컴퓨터를 이용하여 사용자가 아무런 행동을 하지 않아도 랜섬웨어 페이로드를 설치하고, SMB를 사용하는 더 많은 컴퓨터를 찾아 감염시켰습니다.
결국 워너크라이는 전 세계의 정부와 산업체에 심각한 문제를 야기하여 대규모 의료보건, 자동차, 통신 및 운송 업체들에게 피해를 입혔습니다. 결국 Microsoft는 XP와 같이 수명이 종료된 Windows 버전에 대한 패치까지 발표하는 전례없는 조치를 시행해야 했습니다.
네티야(Nyetya)의 또다른 등장
워너크라이가 큰 피해를 남긴지 얼마 안되어 등장한 Nyetya는 다시한번 큰 충격을 주었습니다. Nyetya는 이터널블루를 활용해 확산되었으며, 오래된 Windows 버전 컴퓨터들에 치명적인 손상을 입히는 EternalRomance라는 두번째 SMB 관련 익스플로잇을 활용했습니다.
언뜻 보면 워너크라이와 Nyetya는 비슷해 보입니다. 둘 다 SMB와 암호화된 컴퓨터를 통해 확산되어 컴퓨터를 사용할 수 없게 만들기 때문입니다. 하지만 워너크라이의 페이로드는 랜섬웨어였지만 Nyetya는 랜섬웨어처럼 위장할 뿐 실제로는 와이퍼 맬웨어였습니다. 랜섬웨어와 같은 메시지를 표시하지만 지불할 방법이 없으므로 일단 Nyetya에 감염된 시스템은 복구할 방법이 없습니다.
SMB 공유의 보안 취약성
이 두 가지 예는 시스템 패치 업데이트의 중요성뿐만 아니라 취약한 네트워킹 프로토콜을 사용하는 것이 얼마나 위험한 지를 보여줍니다. 그러나 SMB는 악용하기 쉬운 익스플로잇을 사용하지 않는 해커들에게도 매력적인 공격 대상이었습니다.
SamSam, Bad Rabbit, Olympic Destroyer와 같은 위협은 네트워크에 액세스하기 위해 다양한 도구들을 사용했지만, 일단 내부에 들어가면 SMB를 활용하여 네트워크를 통과했습니다. 한편 SMB 공유에 대한 무차별 대입 공격을 사용하여 데이터 유출이 발생하는 경우도 있었는데, 이 경우 공격자는 올바른 추측 결과를 얻기 위해 공유 암호를 반복해서 입력하는 도구를 사용했습니다.
그렇다면 SMB, 어떻게 해야할까요?
그러면 SMB 관련 공격으로부터 컴퓨터를 보호하는 방법은 무엇일까요? 간단합니다. SMB 사용을 중단하십시오. 오늘날에는 SMB를 계속 사용할 이유가 거의 없습니다. 사실 2018년 4월부터는 Windows에 SMB 프로토콜이 사전 설치되지 않습니다.
SMB를 통해 컴퓨터를 연결하여 파일을 공유하는 대신 전용 파일 서버 또는 클라우드 기반 제품/서비스를 사용하십시오. 다른 프로토콜을 사용하도록 네트워크 프린터를 설정하십시오. 기존 환경에서 SMB를 끌 수 없다면 적어도 SMB1이 비활성화되어 있는지 확인하십시오. SMB 통신이 내부 네트워크로 제한되도록 네트워크 경계에서 TCP 포트 445 및 139를 차단하십시오. 그 경계를 넘어서는 엔드포인트가 SMB를 통해 서로 통신할 수 없어야 합니다.
또한 보안을 강화하기 위해 다음 사항도 고려하실 수 있습니다.
- Stealthwatch는 SMB 공유에 대한 연결을 탐지하여 해당 활동의 상호 연계성을 파악한 뒤 관리자에게 경고할 수 있습니다.
- AMP의 지속적인 모니터링 및 특허 받은 소급 보안 기능은 WannaCry 및 Nyetya와 같은 공격으로부터 컴퓨터를 안전하게 보호하는 데 적합합니다.
- NGFW, NGIPS, Meraki MX와 같은 네트워크 보안 어플라이언스는 이런 위협과 연계된 악의적 활동을 탐지할 수 있습니다.
- Threat Grid는 악성 파일 동작을 식별하고 자동으로 통보합니다.
한 가지 확실한 것은 공격자가 저항이 가장 적은 경로를 활용한다는 것입니다. 네트워크에서 SMB를 제거하면 공격자가 활용할 도구가 하나 줄어들고, 위협 벡터로서의 사이클이 영구적으로 종료됩니다.
지금 SMB 사용을 중지하세요.
Tags:
