시큐브(대표 홍기융 www.secuve.com)는 12일 해외 보안 전문가 사이트 Internet Storm Center (http://isc.incidents.org) 보고를 인용해서 3월 9일부터 마이크로소프트-DS 서비스가 사용하는 445번 포트에 대한 스캔 공격이 급속히 증가하고 있다고 경고했다.
또 국내 CERTCC-KR(침해사고대응팀협의회)에서도 이에 대한 경고 메시지를 관련 보안 메일링리스트를 통해 국내에 알리고 있다고 밝혔다.
◆사건 원인
445번 포트는 Microsoft-DS 서비스가 사용하는 것으로 Windows 2000 / XP 운영체제에서 공유 폴더에 대한 직접적인 연결을 제공해 준다.
이는 패스워드 검증을 통한 인증 후 서비스를 제공하도록 설계되어 있으나, 대부분의 윈도우 사용자의 경우 NULL 혹은 유추할 수 있는 패스워드를 사용하는 경우가 많아 취약성을 내포한다.
445번 포트에 대한 트래픽 증가시점과 유사 시기인 지난 3월 9일, 중국산으로 추정되는 '딜로더' 웜이 처음으로 발견됐다. '딜로더(DELODER)' 웜은 백-도어 기능을 내포한 것으로 포트 445번을 이용하여 전파되는 것으로 보고 되었다.
또한 지난 1월 말 처음 발견되어 국내로 유입된 NetSpree 웜의 경우도 445번 포트를 통해 바이러스 감염 및 백-도어 전파를 통해 서비스거부공격의 도구로 이용될 수 있음이 보고되었다.
445번 포트에 대한 트래픽 증가 시기와 웜의 활동 시점을 연관시켜 판단해 보면 최근의 포트 스캔공격 증가는 microsoft-ds 서비스의 취약성 패스워드 설정을 이용하여 바이러스 및 백-도어를 전파시키려는 웜에 의한 것으로 판단할 수 있다.
딜로더(DELODER) 웜: 기본적인 전파방법은 추측하기 쉬운 패스워드로 설정된 관리자 계정 (계정 ID: Administrator)에 대한 brute-force 패스워드 유추 공격으로 공유 폴더에 대한 접근을 시도함으로써 이루어진다. 공유 폴더에 대한 접속이 성공할 경우 Dvldr32.exe (웜 바이러스)를 해당 시스템에 복사하고 inst.exe (백-도어)를 설치한다.
NetSpree 웜: 네트워크 스캔 후 윈도우 시스템에서 사용자암호를 설정하지 않았거나 유추하기 쉬운 패스워드를 설정한 시스템을 감염시킨 후, win32load.exe (백-도어)를 해당 시스템에 설치한다.
◆사건 분석
DELODER, NetSpree 웜과 같이 추측 가능한 패스워드를 사용한 공격 기법에 취약함이 존재하는 시스템이 존재하는 것은 지난 1.25 인터넷 대란 이후 고조되었다던 일반 사용자의 보안 의식이 아직은 초보 단계임을 확인하는 것으로 해석할 수 있다.
이러한 웜과 같이 백-도어가 내포된 웜은 해당 감염된 시스템에 Nimda, CIH 등의 바이러스처럼 직접적인 피해를 주지는 않으나 해당 시스템 운영에 큰 장애를 느끼지 못하도록 비밀리에 공격에 활용될 수 있는 통로를 제공한다.
결국 해당 감염 시스템에 백-도어 코드가 실행된 후, 차후 공격자에게 접근을 허용하게 되면 공격자가 원하는 정보수집 및 서비스거부 공격 등 모든 작업을 유발할 수 있어 인터넷 대란과 같은 대형 사고의 잠재적인 위협을 가지게 된다.
◆대응 방안
기본적으로 이와 같은 사고는 관리자의 패스워드 관리에 대한 보안의 중요성을 의식하지 못하는 점을 이용한 것이므로, 관리자는 패스워드의 주기적인 변화 및 쉽게 유추할 수 있는 단어의 이용 등을 피해야 한다.
전문 백신업체에서 배포하는 최신 바이러스 백신을 통해 주기적인 시스템 점검 및 패치를 수행해야 한다.
시스템 이전의 네트워크 단에서 비정상적인 행위를 탐지할 수 있는 침입탐지시스템을 운영하고 있는 경우에는 최신 탐지패턴을 탑재할 수 있도록 라이브업데이트 서비스를 주기적으로 활용해야 한다.
(02)3460-1575.
/김현아기자 chaos@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기