- ‘CVE-2020-1472’ 위협 탐지…선제 방어
트렌드마이크로(지사장 김진광)는 28일 본사 발표를 인용, 마이크로소프트(이하 MS) 윈도(Microsoft Windows) 넷로그온에서 심각한 보안 위협을 초래하는 제로로그온(Zerologon) 취약점을 탐지, 관련 시스템에 최신 패치를 진행할 것을 권고했다.
‘제로로그온 취약점’은 공격자들이 MS 윈도의 2008 R2 버전 이상의 넷로그온의 암호화 알고리즘을 악용, 도메인 컨트롤러에 대한 인증을 시도할 때 컴퓨터의 ID를 우회할 수 있도록 한다.
이를 통해 공격자는 조직의 보안 기능 비활성화, 암호 변경 및 도메인 장악 등 다양한 공격을 시도할 수 있다.
공격자는 넷로그온 리모트 프로토콜(MS-NRPC)의 취약점을 이용, 네트워크상의 디바이스에서 애플리케이션을 실행할 수 있다.
이를 통해, 인증되지 않은 공격자는 넷로그온 리모트 프로토콜을 사용 후 도메인 컨트롤러에 접근하여 관리 액세스를 승인받을 수 있다.
‘제로로그온 취약점’ 관련 공격은 단 3초 만에 실행될 수 있을 정도로 신속하게 진행돼 심각한 보안 위험을 초래할 수 있다.
트렌드마이크로는 현재 공개적으로 이용 가능한 익스플로잇 코드를 탐지하고, 관련 위협이 빠른 시일내에 진행될 수 있음을 확인했다.
제로로그온 취약점 공격을 방지하기 위해 현재 영향을 받고 있는 모든 시스템의 MS 최신 보안 업데이트를 진행해야 한다고 트렌드마이크로는 권고했다.
이는 취약점으로 발생하는 모든 공격을 방지하기 위한 기본적인 권고사항이다.
또 관련 연구결과에 따르면, 제로로그온 취약점 공격은 원격으로 시행될 수 없는 것으로 확인됐다.
트렌드마이크로는 이를 방지하기 위해 공격자가 네트워크 도메인에 접근할 수 없도록 물리적 및 원격 네트워크 엑세스의 보안을 강화해야 한다고 강조했다.
다만, 공격자가 다른 취약점이나 합법적으로 네트워크 액세스 승인을 받을 경우에는 공격을 시도할 수 있어 주의가 필요하다.
트렌드마이크로의 보안 솔루션을 이용하고 있는 고객은 트렌드마이크로가 제공하는 가상 패치를 통해 취약점 관련 공식 밴더 패치 출시 이전에 취약점을 선제적으로 방어할 수 있다.
여기에, 가상패치를 통해 제로로그온 공격 외에도 다른 수천 가지 취약점에 대한 공격으로부터 보호하고 전체적인 보안 형상을 관리할 수 있다.
특히, 엔드포인트 보안 솔루션에도 가상패치 기능을 적용할 수 있어 제로로그온 취약점 공격에 효과적이다.
장성민 트렌드마이크로 기술지원 총괄 소장은 “이번 제로로그온 취약점은 공격자가 조직의 도메인 컨트롤러 장악, 조직 전체에 랜섬웨어를 배포하는 등 더욱 다양한 공격을 쉽게 실행할 수 있게 한다. 기업은 가능한 신속히 MS의 패치를 최신화 해 관련 보안 위협을 방지해야 한다”며 “여기에, 트렌드마이크로와 같이 다양한 취약점 및 위협사례들에 대한 탐지 및 보호를 제공하는 보안 솔루션 및 가상패치를 적용해 보안 레이어를 강화하면, 공식 패치 도입 전에 관련 보안 위협을 완화할 수 있다”고 덧붙였다.
<김동기 기자>kdk@bikorea.net
김동기 기자 kdk@bikorea.net
