MS 윈도우 서버 취약점 시그레드, 당장 패치할 필요 있어

이번 달 정기 패치로 해결된 취약점 123개 중 하나...CVSS 기준 10점
익스플로잇 쉽다는 게 큰 문제...장기적으로 시한폭탄 안고 가는 것과 같아

[보안뉴스 문가용 기자] 지난 주 마이크로소프트는 시그레드(SIGRed)라는 치명적인 취약점에 대한 패치를 배포했다. 윈도우 DNS 서버에서 발견된 치명적인 취약점으로, 자가 증식 특성도 가지고 있는 것으로 나타났다. CVSS 기준으로 10점 만점을 받았으며, 미국의 국토안보부 산하 CISA도 일부 연방 정부 기관에 긴급히 ‘패치하라’는 지시를 전파했다.

[이미지 = utoimage]

시그레드는 마이크로소프트가 이번 주 발표한 123개 취약점들 중 일부로 익스플로잇이 쉽고, 공격의 영향력이 심각한 수준이기 때문에 대단히 위험한 것으로 분류됐다. 심지어 이 부분에 대한 취약점이 존재한다는 걸 모르는 조직도 많을 것으로 예상된다. 보안 업체 인포블록스(Infoblox)의 수석 DNS 아키텍트인 크리켓 리우(Cricket Liu)는 “주로 도메인 제어 장치들에 DNS 서버가 호스팅되기 때문에 익스플로잇 한 번으로 큰 피해가 있을 수 있다”고 경고한다.

시그레드는 ‘시그 기록(SIG records)’이라는 말에서 나온 것이다. 공격자들은 인터넷 상에서 높은 권한을 가지고 있는 DNS 서버에 시그(SIG) 혹은 RR시그(RRSIG) 기록을 만들고 공개함으로써 공격을 시작할 수 있다. “시그 혹은 RR시그 기록을 만들고 공개했다면, 이제 공격 표적이 되는 조직의 DNS 서버가 해당 기록을 찾도록 유도해야 합니다. SIG 기록은 널리 사용되는 유형의 기록이 아닙니다. 그렇기에 피해 조직이 SIG 기록을 찾도록 유도하는 게 마냥 쉽지는 않습니다. 그러나 조직 내 일원이 특정 웹 페이지를 방문하도록 하고, 해당 페이지를 조작해두면 공격이 이뤄질 수 있습니다.”

이 공격에 성공할 경우 공격자는 도메인 관리자의 권한을 얻게 되며, 따라서 조직 전체의 인프라를 장악할 수 있게 된다. 높은 권한을 통해 봇넷을 운영할 수도 있고, 각종 데이터에 접근할 수도 있는 등 각종 악성 행위가 가능하다. 게다가 여기까지 도달하는 데 높은 기술력이 요구되지 않는다는 것도 심각한 문제다.

보안 업체 뉴스타(Neustar)의 CTO인 로드니 조프(Rodney Joffe)는 “대단한 해킹 기술을 갖고 있지 않은 사람이라도 익스플로잇 할 수 있는 취약점”이라고 지적한다. “원격 근무자들이 많아지면서 네트워크가 분산되고, 그에 따라 보안이 조금 느슨해질 때 이런 취약점이 등장했기 때문에 더 위험합니다. 집에 있는 근무자들은, 가정용 장비를 가지고 조직 내부에 필요한 권한을 발휘하며 업무를 수행하고 있습니다. 여기에 익스플로잇이 쉬운 시그레드까지 등장했으니, 인터넷은 마치 폭풍전야와 같습니다.”

그러면서 조프는 “전문가 입장에서 봤을 때 얼른, 지금 당장 시급히 패치해야만 하는 그런 취약점임에 의심이 없다”고 강조했다. “얼마나 시급하냐면, 조직들마다 정해둔 정기 패치일을 기다리지 말라고 말하고 싶을 정도입니다. 이미 공격자들은 취약한 DNS 서버를 스캔하기 시작했어요. 그들은 재빨리 움직이는데, 우리가 스케줄표를 핑계대며 움직이지 않는다면 어떻게 될까요?”

리우는 “만약 도메인 제어기와 DNS 서버를 같은 장비로 운영하고 있다면 패치가 망설여질 수 있다”고 말한다. “서비스가 중단되는 걸 막을 수 없겠지요. 비즈니스 관점에서 이는 피하고 싶은 결정이고요. 도메인 제어기 건드리는 것 자체를 싫어하는 기업들이 많은 것으로 알고 있습니다.”

리우는 “이 취약점이 17년이나 된 것”이라는 걸 강조한다. “아마 대단히 오래된 장비를 도메인 제어기나 DNS 서버로서 활용하는 조직들이 있을 겁니다. 그런데 여태까지 별 문제를 겪지 않았을 수도 있어요. 그러니 지금 와서 CISA와 보안 전문가들이 급히 업그레이드 해야 한다고 해도 들리지 않죠. 심지어 DNS 서버에 어떤 윈도우 버전이 돌아가고 있고, 따라서 취약점이 있는지 없는지 깨닫지 못하는 경우도 많을 거라고 봅니다.”

조프는 “패치가 어려울 경우, 식별되지 않은 윈도우 기반 장비들에서 들어오는 DNS 트래픽을 모두 모니터링 해야 한다”고 조언한다. 그러면서 “모니터링을 위한 솔루션들이 시중에 판매되고 있기도 하지만, 오픈소스 중 꽤나 쓸만한 것들도 있으니 조사해보라”고 권장했다. 스팸하우스(Spamhaus), 서블(Surbl), 셰도우서버(Shadowserver), 다이섹트 사이버(Dissect Cyber) 등이 좋은 예라고 제시하기도 했다.

보안 업체 파사이트 시큐리티(Farsight Security)의 CEO인 폴 빅시(Paul Vixie)는 “지금과 같은 상황에서 IT 관리자들은 어떤 앱이나 장비, 서비스가 직원들 사이에서 등록되지 않은 채 사용되고 있는지 꼼꼼하게 확인하고, 특히 데이터를 활용하고 처리하는 앱 중에 어떤 것이 있는지, 그걸 활용하는 임직원이 자신의 역할 내에서 움직이고 있는지 파악하고 있어야 한다”고 권고한다. “감사할 건 하고, 고칠 건 고치고, 상담 받을 건 상담을 받으세요. 그리고 윈도우 서버도 전수 조사 해서 어떤 취약점이 있는지 확인해야 합니다.”

빅시는 “시그레드 취약점 때문에 피해가 금방 생기지는 않을 것”이라고 말한다. “하지만 장기적으로 봤을 때 시한폭탄을 안고 가는 것과 다름이 없습니다.”

3줄 요약
1. 17년 된 시그레드 취약점, 윈도우 서버에 존재하는 시한폭탄.
2. 익스플로잇이 쉽다는 게 더 큰 문제. 장기적으로 피해 요인 될 수밖에 없음.
3. 코로나 사태와 맞물려 더 폭발적인 피해 발생할 가능성도 높음.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)