지난 6일 발표된 윈도우의 RPC 취약점을 이용하는 실제 공격 코드가 25일 중국에서 처음 발표된 데 이어 이를 더욱 강화한 공격 코드가 나와 주의가 요구된다.
국내 최대 보안 전문 기업 안철수연구소(www.ahnlab.com)는 윈도우 XP/2000/NT 등을 공격하는 코드가 실제 발표됨에 따라 해당 운영체계 사용자는 반드시 MS사 웹사이트에서 해당 취약점을 보완한 파일인 핫픽스(Hotfix)를 적용해야 한다고 26일 권고했다.
이번에 발표된 공격 코드는 마이크로소프트 윈도우 XP/2000/NT 계열 등에 기본 포함된 RPC(Remote Procedure Call; 윈도우에서 원격 시스템의 서비스를 사용할 수 있도록 해주는 프로토콜)의 버퍼 오버플로우(Buffer Overflow) 취약점을 이용한 것이다.
공격자는 이 코드를 이용해 다른 시스템의 제어 권한을 획득해 데이터 삭제나 사용자 계정 생성 등을 마음대로 할 수 있다.
1.25 인터넷 대란의 원인인 SQL_Overflow 웜이 SQL 서버 또는 MSDE 가 설치된 환경에서만 문제를 일으키는 데 반해 이번 공격 코드는 윈도우 XP/2000/NT를 기본적인 공격 대상으로 삼기 때문에 공격 범위가 더 넓다.
안철수연구소 시큐리티대응센터에서 분석 테스트한 결과 공격받은 컴퓨터는 원격지의 공격자가 임의의 명령어를 수행할 수 있는 관리자 권한을 획득할 수 있으며, 해당 컴퓨터는 RPC 서비스가 중지되는 현상이 나타났다. 이 경우, 재부팅을 하면 정상적인 서비스가 가능하지만 반복적으로 공격 받을 가능성을 근본적으로 차단하려면 MS사의 웹사이트에서 핫픽스(Hotfix)를 적용해야 한다.
조기흠 시큐리티대응센터장은 "앞으로 유사한 공격 코드가 추가 제작될 것으로 예측하며 이번 공격 코드를 악용한 웜이 제작될 가능성도 있어 주의가 필요하다."고 설명했다.
이 문제점을 고치는 핫픽스(Hotfix) 패치는 MS의 해당 홈페이지(http://www.microsoft.com/korea/technet/security/bulletin/
security_bulletins/ms03-026.asp)에서 내려받을 수 있다.