윈도의 인쇄 관련 프로그램 '윈도 프린트 스풀러'에서 취약점이 발견된 지 한 달여 만에 새로운 취약점이 발견됐다. 윈도 프린트 스풀러 취약점을 악용하는 랜섬웨어 해커도 나타나는 등 윈도 사용자가 보안에 주의를 기울여야 할 필요성이 높아졌다.
윈도 프린트 스풀러는 인쇄 요청을 처리하고 인쇄할 문서, 이미지를 프린터로 전송하는 프로그램이다. 지난 6월말 윈도 프린트 스풀러에서 권한 상승 및 원격 코드 실행 취약점이 발견돼 '프린트나이트메어'라는 명칭이 붙었다. 취약점의 공통보안취약점공개항목(CVE) 번호는 'CVE-2021-1675', 'CVE-2021-34527', 'CVE-2021-36958'이 붙었다.
당시 마이크로소프트(MS)는 이에 대응해 긴급 보안 업데이트를 배포했다. 그러나 취약점 문제를 완전히 해결한 것은 아니었다. 한 보안 연구원이 분석에 따르면 외부인에 의해 코드가 실행될 가능성은 막았지만, 시스템 권한을 탈취할 가능성은 해소하지 못했다. 한 달 가량이 지난 8월 보안 업데이트에서야 취약점 문제를 완전히 해소하도록 지원했다. 그런데 이 업데이트가 나온 지 하루 만에 또 다시 새 취약점이 등장한 것이다.
지난 11일 MS가 발표한 보안 자문에 따르면 이 취약점은 프린트나이트메어와 마찬가지로 공격자에게 로컬 권한 상승(LPE)을 허용하거나 시스템 권한으로 원격코드실행(RCE) 공격을 수행, 윈도 도메인 관리자로서 맬웨어를 유포할 수 있게 한다. 취약점 등급 시스템 점수는 7.3으로 '중요(important)' 등급을 받았으며, CVE 번호는 'CVE-2021-36958'이 매겨졌다. 프린트나이트메어처럼, 보안 문제를 예방하기 위해서는 윈도 프린트 스풀러 서비스를 중지하고 비활성화해야 한다.
윈도 프린트 스풀러 취약점 문제가 지속되는 가운데, 국내를 대상으로 이 취약점을 악용한 사이버공격이 발생해 주목된다. 글로벌 보안 기업 크라우드스트라이크는 랜섬웨어 '매그니베르(Magniber)'를 유포하는 해커가 이같은 공격을 지난달 13일 시도하는 것을 포착, 랜섬웨어 공격을 방어했다고 11일 보고했다.
매그니베르는 지난 2017년 10월 등장 초기 국내를 중심으로 유포되다 최근에는 대만, 홍콩, 싱가포르, 말레이시아 등 아시아 지역에까지 공격이 확산되는 랜섬웨어다. 랜섬웨어에 감염 시 피해 기기에 생성되는 '랜섬노트' 기반 랜섬웨어 수집 분석 플랫폼 'ID랜섬웨어'에 따르면 지난 30일 동안 매그니베르 피해 사례가 595건이 접수되는 등 활발히 유포되는 양상을 보이고 있다.
관련기사
- MS 보안 권고 "윈도 프린트 스풀러 서비스 끄라"2021.07.18
- 중소기업·기반시설 '랜섬웨어' 보안 강화된다2021.08.05
- 해커는 즉각 움직이는데…기업은 1년 전 악성코드도 대응 못해2021.07.23
- 랜섬웨어 왜 당할까…해커가 노린 3가지2021.08.01
공격이 포착된 매그니베르 외 다른 랜섬웨어 해커도 윈도 프린트 스풀러 취약점을 악용할 가능성이 높다는 게 보안업계 전망이다.
국내 보안업계 관계자는 "해당 취약점을 메그니베르 랜섬웨어 제작자가 활용하려는 시도를 보인 만큼 앞으로 취약점을 이용한 다양한 보안 위협이 발생할 우려가 있다"며 "윈도 사용자는 현재까지 공개된 보안 패치와 향후 배포되는 보안 패치를 적극적으로 설치, 반영하고 관련 보안 정보에 대해서도 관심을 가지는 것이 필요하다"고 조언했다.
