[아이뉴스24 김국배 기자] 2017년 5월 지구촌을 강타했던 이른바 워너크라이 랜섬웨어 공격은 윈도 원격코드실행(SMB) 보안 취약점을 통해 확산됐다.
그로부터 약 2년의 시간이 흘렀지만 SMB 보안 취약점을 통한 악성코드 공격이 여전히 활개를 치고 있다. 특히 최근엔 암호화폐를 채굴하는 악성코드 전파에 쓰이고 있다.
12일 안랩 시큐리티대응센터(ASEC)가 발간한 1분기 보고서에 따르면 지난 2월 윈도 SMB 취약점을 악용한 암호화폐 채굴 악성코드 '코인마이너'가 발견됐다.
![[이미지=아이뉴스24]](https://img-lb.inews24.com/image_gisa/201904/1516172004530_1_091007.jpg)
지난해 7월에 이어 또다시 SMB 취약점을 써 국내 결제단말기(POS)를 타깃으로 삼은 공격이다. 작년 당시 감염된 기기는 대부분 보안에 취약한 윈도XP 환경으로 SMB 취약점 관련 보안 업데이트를 적용하지 않은 상태였다. 이번엔 악성코드가 실행파일 형태가 아닌 스크립트로 동작하는 점만 다르다.
이보다 앞서 지난해 3월에도 해외에 위치한 국내 기업을 노린 악성코드가 발견됐는데 이 역시 SMB 취약점을 통해 전파됐다. 해당 악성코드는 내부 네트워크 시스템을 훑어보고 암호화폐의 한 종류인 모네로를 채굴한다.
이처럼 SMB 취약점을 통한 공격이 계속되는 이유는 그만큼 국내 기업의 시스템이 SMB 서비스를 많이 이용하는 데다 보안 업데이트가 적용되지 않아 취약한 경우가 많기 때문으로 풀이된다.
특히 SMB 취약점은 메일에 첨부된 파일을 열거나 홈페이지를 방문하는 등 별도의 동작이 없어도, 보안 업데이트를 적용하지 않은 채 인터넷에 연결된 시스템이라면 감염될 수 있어 파급효과가 크다. 워너크라이가 30만대 이상의 시스템을 감염시키며 빠르게 전파될 수 있었던 배경이기도 하다.
SMB 취약점은 2017년 2월 처음 발견됐으며, 마이크로소프트가 곧바로 3월 보안 업데이트를 내놓은 바 있다.
안랩 관계자는 "SMB 취약점 공격은 앞으로도 고도화되며 계속될 것"이라며 "특히 보안에 취약한 환경의 국내 POS에 대한 점검과 보안 업데이트 등의 조치가 필수"라고 말했다.
김국배 기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기