SMB 취약점(Server Message Block Vulnerabilities)

개요

SMB(Server Message Block)는 윈도우 시스템에서 파일, 프린터, 포트 등의 자원을 네트워크를 통해 공유하는 데 사용되는 프로토콜입니다. 그러나 SMB는 네트워크 기능을 제공하는 만큼, 다양한 보안 취약점의 대상이 되어왔습니다. 특히 EternalBlue, SMB Relay, Null Session 등은 랜섬웨어 확산, 권한 상승, 정보 탈취 등의 기반으로 악용되어 대규모 피해를 유발했습니다.

---

1. SMB 프로토콜 개요

SMB는 Microsoft Windows 운영체제의 핵심 네트워크 프로토콜 중 하나로, TCP 445 포트를 기본적으로 사용합니다. 버전은 SMBv1부터 최신 SMBv3까지 존재하며, 각 버전별로 보안 기능 및 구조가 다릅니다.

버전	특징	보안 상태
SMBv1	초기 프로토콜, 레거시 시스템 사용	지원 중단, 취약점 다수 존재
SMBv2	성능 개선, 메시지 구조 변경	일부 취약점 존재, 보완 필요
SMBv3	암호화, 무결성, 성능 강화	상대적으로 안전하지만 설정에 따라 취약

SMBv1은 2017년 이후 대부분의 보안 권고에서 사용 중단 권장됨.

---

2. 주요 SMB 취약점 유형 및 사례

취약점	설명	공격 예시
EternalBlue (MS17-010)	버퍼 오버플로우 기반 원격 코드 실행	WannaCry, NotPetya 확산에 사용됨
SMB Relay Attack	인증 토큰을 중계하여 권한 탈취	NTLM 인증 악용, 내부 권한 상승
Null Session	인증 없이 IPC$ 접속 허용	시스템 사용자 정보 수집 및 Enumeration
Credential Leaks	SMB 트래픽 내 평문/해시 노출	NTLMv1 사용 시 패스워드 해시 탈취 가능
SMBGhost (CVE-2020-0796)	SMBv3 압축 기능에서 발생하는 RCE	원격 시스템 완전 장악 가능

특히 EternalBlue는 7년이 지난 지금도 패치되지 않은 시스템에서 탐지되고 있음.

---

3. 공격 흐름 및 탐지 지표(IOCs)

단계	공격 기술	IOC 예시
1단계	SMB 포트 스캔	Nmap 스캔, TCP 445 포트 오픈 확인
2단계	익스플로잇 도구 실행	Metasploit: exploit/windows/smb/ms17_010_eternalblue
3단계	쉘 획득 및 권한 상승	SYSTEM 권한 획득, lateral movement 시도
4단계	악성코드 배포 및 확산	PowerShell, PsExec 통한 ransomware 전파

EDR, SIEM 등에서 445 포트 대량 트래픽, 암호화되지 않은 NTLM 트래픽 확인 필요.

---

4. 방어 및 대응 전략

전략	설명	조치 방법
SMBv1 비활성화	취약한 SMBv1 서비스 중지	Windows Features 설정 또는 GPO로 제어
보안 패치 적용	MS17-010 등 취약점 업데이트	WSUS, SCCM 또는 Intune을 통한 배포
포트 접근 제어	TCP 445 포트 외부 차단	방화벽 및 ACL 정책 설정
NTLM 인증 제한	NTLMv1 차단 및 Kerberos 전환	GPO 정책 또는 레지스트리 설정
네트워크 분리 및 모니터링	감염 확산 방지 및 이상 징후 탐지	VLAN, IDS/IPS, 로그 분석 연계

조직 내 SMB 사용 현황을 파악하고 불필요한 공유는 제거하는 것이 가장 효과적인 선제 대응.

---

5. 결론

SMB 취약점은 여전히 다양한 사이버 위협의 근간이 되는 고위험 요소입니다. 특히 레거시 시스템, 설정 오류, 미비한 패치 관리로 인해 SMB 취약점은 공격자에게 손쉬운 초기 침투 및 확산 경로로 활용됩니다. 따라서 보안 관리자는 SMB 취약점에 대한 지속적인 패치, 트래픽 모니터링, 접근 제어 정책을 정기적으로 검토하고 강화해야 합니다.