이터널블루란?

"EternalBlue"는 Windows 95와 Windows 10 사이의 모든 Windows 운영 체제에 존재하는 SMBv1의 취약점에 대해 유출된 NSA 개발 익스플로잇의 이름입니다. 서버 메시지 블록 버전 1 또는 SMBv1은 액세스를 공유하는 데 사용되는 통신 프로토콜입니다. 네트워크를 통해 파일, 프린터 및 직렬 포트에 연결합니다.

팁: NSA는 이전에 "Equation Group" 위협 행위자로 식별되었으며 다른 익스플로잇 및 활동이 이에 연결되었습니다.

NSA는 적어도 2011년에 SMB 프로토콜의 취약점을 확인했습니다. 자체 사용을 위해 취약점을 비축하는 전략에 따라 문제를 패치할 수 있도록 Microsoft에 공개하지 않기로 결정했습니다. 그런 다음 NSA는 EternalBlue라고 하는 문제에 대한 익스플로잇을 개발했습니다. EternalBlue는 사용자 상호 작용 없이 관리자 수준의 임의 코드 실행을 허용하므로 취약한 컴퓨터에 대한 완전한 제어 권한을 부여할 수 있습니다.

그림자 브로커

2016년 8월 이전 어느 시점에서 NSA는 러시아 국가가 후원하는 해킹 그룹으로 여겨지는 "The Shadow Brokers"라는 그룹에 의해 해킹되었습니다. Shadow Brokers는 방대한 데이터 및 해킹 도구에 대한 액세스 권한을 얻었습니다. 처음에는 경매를 통해 돈을 받고 팔려고 했지만 관심을 거의 받지 못했습니다.

팁: "국가가 후원하는 해킹 그룹"은 정부의 명시적인 동의, 지원 및 지시에 따라 또는 공식 정부의 공격적인 사이버 그룹을 위해 활동하는 한 명 이상의 해커입니다. 두 옵션 모두 해당 그룹이 자격을 갖추고, 대상을 지정하고, 신중하게 행동함을 나타냅니다. 

그들의 도구가 손상되었음을 이해한 후 NSA는 패치를 개발할 수 있도록 취약점에 대한 세부 정보를 Microsoft에 알렸습니다. 원래 2017년 2월에 릴리스될 예정이었으나 문제가 올바르게 수정되었는지 확인하기 위해 패치가 3월로 미뤄졌습니다. 2017년 3월 14일 Microsoft 는 Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 및 Server 2016용 보안 게시판 MS17-010 에 EternalBlue 취약점이 자세히 설명되어 있는 업데이트를 게시했습니다 .

한 달 후인 4월 14일 The Shadow Brokers는 수십 가지의 다른 취약점 및 세부 정보와 함께 취약점을 공개했습니다. 불행히도 익스플로잇이 공개되기 한 달 전에 패치를 사용할 수 있음에도 불구하고 많은 시스템이 패치를 설치하지 않고 취약한 상태로 남아 있었습니다.

EternalBlue 사용

익스플로잇이 게시된 지 한 달도 되지 않아 2017년 5월 12일 EternalBlue 익스플로잇을 사용하여 "Wannacry" 랜섬웨어 웜이 시작되어 최대한 많은 시스템에 확산되었습니다. 다음 날 Microsoft는 지원되지 않는 Windows 버전인 XP, 8 및 Server 2003에 대한 긴급 보안 패치를 출시했습니다.

팁: "랜섬웨어"는 감염된 장치를 암호화한 다음 일반적으로 비트코인 ​​또는 기타 암호화폐에 대한 해독 키를 몸값에 보관하는 악성 프로그램입니다. "웜"은 컴퓨터를 개별적으로 감염시킬 필요 없이 자동으로 다른 컴퓨터에 전파하는 악성 프로그램의 일종입니다.

IBM X-Force 에 따르면 "Wannacry" 랜섬웨어 웜은 Windows 7 및 Server 2008에서만 안정적으로 작동했음에도 불구하고 150개국에서 80억 달러 이상의 피해를 입혔습니다. 2018년 2월 보안 연구원들은 익스플로잇을 다음과 같이 수정했습니다. Windows 2000 이후의 모든 Windows 버전에서 안정적으로 작동할 수 있습니다.

2019년 5월 미국 볼티모어는 EternalBlue 익스플로잇을 활용한 사이버 공격을 받았습니다. 다수의 사이버보안 전문가들은 해당 시점에서 2년 이상 패치가 나왔기 때문에 이 상황은 완전히 예방할 수 있었다고 지적했다. 이 기간 동안 최소한 '공공 익스플로잇'이 포함된 '중요 보안 패치'가 설치됐어야 했다.