Home > 전체기사
대대적인 경고 나왔었던 블루킵 취약점, 11주가 지나도 조용
  |  입력 : 2019-08-01 09:51
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
MS가 여러 차례 패치를 권고하고, 국토안보부도 패치하라 촉구하고
공개된 익스플로잇 아직 없다는 것이 큰 이유...정치적 상황도 무시 못해


[보안뉴스 문가용 기자] 지난 5월 중순, 마이크로소프트는 원격 익스플로잇이 가능한 소프트웨어 취약점을 공개하며 패치를 하라고 발표했다. 이 취약점은 블루킵(BlueKeep)으로, 마이크로소프트에 이어 다른 국가 기관들도 패치를 권고하는 내용을 계속해서 내보낸 바 있다. 제2의 워너크라이(WannaCry) 사태를 야기할 수 있는 취약점이라는 설명도 같이 등장했다.

[이미지 = iclickart]


1주일 뒤 보안 업체들은 블루킵 익스플로잇을 개발하는 데 성공했다고 발표하기 시작했다. 맥아피(McAfee)의 경우 패치를 분석한 후 개념증명용 익스플로잇을 실시했고, 7월 초에는 소포스(Sophos)가 파일레스 공격을 통해 익스플로잇 하는 방법을 공개했다. 그러나 MS와 국토안보부가 우려했던 것만큼 위험한 사태는 아직 한 번도 발생하지 않고 있다. 두 조직은 과장스럽게 패치를 촉구한 것일까?

보안 업체 사익스테라(Cyxtera)의 CTO인 데이비드 아이텔(David Aitel)은 “MS나 국토안보부가 과장한 것이 아니라 익스플로잇이 공개되지 않았기 때문”이라고 말한다. “아무리 해커들이 뛰어나다고 하지만 익스플로잇을 백지에서부터 만들어내는 건 간단치 않은 일이죠.”

하지만 블루킵 취약점 패치가 발표되고 11주가 지난 지금까지도 익스플로잇이 하나도 나타나지 않았다는 건 좀 이상한 일이다. 원격 코드 실행을 가능하게 해주며, 거의 모든 버전의 윈도우 시스템에 있는 취약점이라는 걸 생각해봤을 때 더 그렇다. “위험성이 사라진 건 분명히 아닙니다. 언제고 갑자기 우리를 덮칠 수 있습니다.” 보안 업체 비트사이트(BitSight)의 연구 책임자인 댄 달버그(Dan Dahlberg)의 설명이다.

“사실 공격자들이라고 해서 익스플로잇을 개발해 반드시 공개하는 것만은 아닙니다. 익스플로잇을 개발하고, 그걸 암시장에 팔아서 수익을 만들려는 부류가 있는가 하면은, 아무도 모르게 자기 혼자만 익스플로잇을 활용하려는 부류도 있죠. 후자가 이미 블루킵을 악용하고 있다면 겉으로 보이는 ‘아무 일도 없었다’가 사실은 그렇지 않은 겁니다.”

비트사이트는 7월 초 인터넷 스캔을 통해 아직도 블루킵 익스플로잇에 노출된 시스템이 80만대가 넘게 있다는 걸 공개한 바 있다. 업데이트는 하루에 5000대 꼴로 이뤄지고 있다는 현황도 파악해냈다. 패치에 대한 촉구는 지금도 여러 보안 및 기술 업체들에 의해 강력하게 이뤄지고 있다.

일반적으로 익스플로잇 공격이 급증하는 건 ‘유행을 타면서’부터다. 개그맨들이 아무 말이나 한다고 ‘유행어’가 되는 건 아닌 것처럼, 치명적인 취약점들마다 해커들 사이에서 큰 인기를 누리는 건 아니다. 달버그는 “블루킵에 대해 강력한 권고들이 발표되고 있긴 하지만, 실제 익스플로잇은 평생 나타나지 않을 수도 있다”고 말한다. “다만 그런 낮은 확률 때문에 모험을 하고 싶지는 않습니다.”

‘유행을 타기’ 위해서는 무엇보다 ‘익스플로잇이 해커들 사이에서 공유되기 시작’해야 한다. 익스플로잇을 유료로 거래하든 무료로 풀든, 존재가 나타나야 유행이 된다는 건 당연한 얘기다. 여기에다가 성공 스토리만 붙으면(예 : ‘블루킵’ 취약점 통해 10억 명 개인정보 유출) 해커들이 너도 나도 달라붙기 시작한다.

“해커들 사이에 공개된 익스플로잇이 없다는 것이 아직까지 블루킵 취약점이 조용한 상태로 남아있는 가장 큰 이유입니다. 보안 업체들과 정부 첩보 조직들이 개발한 익스플로잇이나 개념증명용 코드가 있긴 하지만, 이것들이 공개될 확률은 극히 낮고, 된다고 하더라도 ‘공격용’으로 사용하기에 알맞지 않을 수 있습니다.”

사익스테라의 아이텔은 “아직까지 대규모 블루킵 익스플로잇이 등장하지 않은 건, 정치적 상황 때문일 가능성이 더 높다”는 의견이다. “미국과 중국, 미국과 러시아, 미국과 이란 등 지금 보안 산업에서 제일 중요한 역할을 하는 나라들이 굉장히 미묘한 갈등을 겪고 있죠. 이 때 블루킵 공격이 대규모로 터지면 무슨 일이 발생할지 모릅니다. 그래서 공격자들이 몸을 사리고 있다고 봅니다.”

아이텔은 “이유가 무엇이든 공격이 현실 세계에 나타나지 않았다고 해서, 그 전에 발표했던 위험 경고가 무의미해지는 건 아니”라고 강조했다. “결국 보안 업계와 정부 기관의 목표는 시민의 안전을 지키는 것이며, 그런 목적을 가진 사람들의 눈에 보안 구멍이 위험해 보이는 건 당연한 일입니다. 게다가 아직 터지지 않은 위험이라고 해서 안전한 것일 수는 없는 거고요. 11주가 무사히 지나갔다고 해서 블루킵을 CVE 목록이나 업데이트 스케줄에서 뺄 수는 없습니다.”

3줄 요약
1. MS가 윈도우 XP용 패치까지 준비했을 정도로 큰 위험으로 평가됐던 블루킵 취약점.
2. 국토안보부까지 패치하라고 대국민 발표까지 했을 정도로 위험했던 블루킵.
3. 하지만 11주가 지나도 조용. 은밀한 공격 물밑에서 벌어지고 있거나 정치적 상황 때문에 해커들이 몸 사리고 있거나.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)