해커는 서버에서 도메인 관리자(Domain Administrator) 권한을 획득해 기업의 IT에 대한 완전한 통제를 하기 위해 취약점을 악용할 수 있다.
체크포인트의 사기 차익 취약성 부문 연구원은 해커가 윈도우 DNS 서버로 악성 DNS 쿼리를 유발해 임의의 코드를 실행함으로써 전체 인프라 침해가 발생할 수 있도록 허용하는 보안 결함을 찾아냈다. 체크포인트 연구원의 이름을 따서 시그레드(SigRed)라는 이름이 붙은 이 치명적인 취약성은 윈도우 서버 2003-2019 버전에 영향을 끼친다.
2020년 5월 19일에 체크포인트 리서치(Check Point Research)는 발견한 사항을 책임있게 MS에 공개했다. 마이크로소프트는 해당 보안 결함을 인정했으며, 이후 두번째 화요일(‘Patch Tuesday’)(2020년 7월 14일)에 패치(CVE-2020-1350)를 배포했다. 마이크로소프트는 해당 취약성에 대해 가장 높은 위험성 점수를 부여했다(CVSS:10.0).
마이크로소프트는 단일 공격으로 사람의 상호작용 없이도 취약한 머신 사이에서 확산되는 공격을 허용하는 연쇄 반응이 시작될 수 있다는 의미에서 이 취약성을 ‘워머블(Wormable)’이라고 설명했다. 이는 침해가 발생한 하나의 머신이 ‘슈퍼 전파자’가 돼 첫 취약점 공격 이후 몇 분만에 조직의 네트워크 전체로 확산되는 공격이 가능하다는 것을 의미한다.
이 취약성에 대한 패치는 2020년 7월 14일부터 이후로 사용할 수 있다. 체크포인트는 윈도우 사용자들에게 취약성 공격을 방지하기 위해서 영향을 받은 윈도우 DNS 서버에 패치를 적용할 것을 강력하게 권고했다. 체크포인트는 이 취약성이 내부적으로 이 버그에 대해 취약성 공격을 하기 위해 필요한 모든 기본요소를 발견했으며, 이는 해커도 마음만 먹으면 동일한 리소스를 찾을 수 있다는 뜻으로 공격을 당할 가능성이 높다는 것으로 해석이 가능하다.
체크포인트 코리아의 이은옥 지사장은 “체크포인트가 이번에 발견한 마이크로소프트 윈도우 취약점은 기업 업무 환경 전체를 마비시킬 수 있는 치명적인 결함”이라며, “사용자들은 최대한 빨리 최신 패치를 적용하고, 기술력이 입증된 서드파티 보안 솔루션을 통해 자산을 보호하는 습관을 길러야만 안전한 업무 환경을 지킬 수 있을 것”이라고 말했다. editor@itworld.co.kr