SMB 취약점이 뭐길래…수년째 사이버 공격에 '악용'

보안 패치 관리 만전 기해야


[아이뉴스24 김국배 기자] 이른바 '워너크라이' 랜섬웨어를 확산시켰던 '서버 메시지 블록(SMB)' 취약점이 사이버 공격에 수년째 악용되고 있다. 국내 기업들이 보안 패치 관리에 만전을 기해야 한다는 지적이 나온다.

11일 보안업체 안랩에 따르면 2017년 워너크라이 랜섬웨어 악성코드를 감염시키는 데 쓰였던 SMB 취약점이 올 들어선 암호화폐 채굴 악성코드, 일명 '워너마인'을 유포하는데 악용됐다.

워너마인은 파일리스(file-less) 방식의 악성코드로, 시스템에서 암호화폐를 채굴하는 동시에 공격자 서버로부터 또 다른 악성 파일을 내려받는다.

[사진=안랩]

이뿐만 아니라 지난해 기승을 부린 갠드크랩 랜섬웨어, 올해 기업을 타깃으로 한 클롭 랜섬웨어 등도 모두 SMB 취약점이 쓰였다.

이보다 앞서 10년여 전에도 SMB 취약점을 쓴 악성코드가 나타난 적이 있다. 바로 웜(worm) 바이러스 형태의 악성코드 '컨피커'다. 컨피커는 2008년 후반 유포돼 2010년 전세계에 걸쳐 650만 대의 PC를 감염시켰다.

웜 바이러스, 랜섬웨어, 암호화폐 채굴 악성코드까지 악성코드의 종류만 달라졌을 뿐 SMB 취약점이 계속해서 악성코드 유포에 쓰이고 있는 셈이다. 심지어 SMB 취약점은 이미 보안 패치까지 나와 있다.

이처럼 SMB 취약점이 악성코드 유포에 반복적으로 쓰이는 건 전파 속도가 빨라 파급력이 워낙 큰 데다 기업들에서 패치 관리가 제대로 이뤄지지 못하고 있기 때문으로 해석된다.

SMB는 네트워크에 연결된 PC 간에 파일 등을 공유할 수 있도록 설계된 마이크로소프트의 윈도 운영체제(OS) 프로토콜이다. 이를 통해 버전이 다른 OS끼리 자원을 쉽게 공유할 수 있다. 이런 특성 탓에 악성코드 전파 속도도 빠르다.

실제로 워너크라이는 150여 개국에서 30만 대 이상의 시스템을 마비시켰고, 오래 전 컨피커 역시 650만대 시스템을 감염시킨 것으로 알려져 있다.

안랩 관계자는 "SMB 프로토콜을 보다 안전하게 사용할 수 있는 방법은 보안 패치를 제대로 하는 것"이라며 "조직 내 모든 단말에 보안 패치가 설치됐는지 확인하고, 설치되지 않은 시스템에 적절히 조치할 수 있는 패치 관리 체계가 마련돼 있어야 한다"고 조언했다.

김국배기자 vermeer@inews24.com

관련기사


포토뉴스