블루킵 취약점에 대한 대처법으로 소개된 NLA에서도 구멍 나와
원격 세션 네트워크 끊으면 잠금 화면 사라져…패치 안 나올 전망

[보안뉴스 문가용 기자] 윈도우 원격 데스크톱 서비스(RDS)의 네트워크 레벨 인증(Network Level Authentication, NLA) 기능을 공격자들이 악용할 경우, 원격 세션에서 화면 잠금 장치를 무사통과할 수 있다는 사실이 연구를 통해 밝혀졌다. 이에 대해 카네기멜론대학의 연구원들이 공개했다.


NLA는 원래 원격 데스크톱 세션을 보호하기 위해 마련된 기능으로, 사용자가 RD 세션 호스트(RD Session Host) 서버에 인증을 해야만 세션이 생성되도록 제한을 둔다. 마이크로소프트는 최근에 발견된 블루킵(BlueKeep) 취약점인 CVE-2019-0708의 위험을 완화시키려면 NLA를 사용하라고 권장한 바 있다.

잠금 화면
사용자가 RDS를 통해 원격으로 시스템에 접속한 후에는, 로컬의 윈도우 컴퓨터를 잠그는 방법으로 원격에서도 세션을 잠글 수 있다. 세션을 잠그면, 다음 접속 시 잠금 화면에 뜨게 되고, 여기서 사용자는 인증 과정을 통과해야만 한다. 그렇지 않으면 잠금 화면을 벗어날 수가 없다.

카네기멜론대학의 소프트웨어 엔지니어링 학부에 소속된 조 타마리엘로(Joe Tammariello)는 바로 이 잠금 화면을 무용지물로 만드는 방법을 찾아냈다(RDS로 접근한 세션의 경우). 타마리엘로가 발견한 취약점은 CVE-2019-9510이며, CVSS 점수는 4.6점(10점 만점)으로, 윈도우 10 1803 및 상위 버전, 윈도우 서버 2019 및 상위 버전에 영향을 준다.

“네트워크에서 일시적인 비정상 패턴이 나타나 RDP가 잠시 끊길 때, RDP 자동 재연결 기능이 활성화 됩니다. 이 때 RDP 세션이 잠기지 않은 상태로 복구되죠. 끊기기 전에 어떤 상태였던지 상관없이 마리죠.” 타마리엘로의 설명이다.

카네기멜론대학이 제시한 공격 시나리오는 다음과 같다.
1) 공격 표적이 된 사용자가 윈도우 10이나 윈도우 서버 2019 시스템에 RDS로 연결한다.
2) 할 일을 마친 사용자는 원격 세션을 잠그고 잠시 클라이언트를 비워둔다.
3) 공격자가 클라이언트로 접근해 네트워크 연결 상태를 방해한다.
4) 그러면 잠금 화면이 사라지고 다시 원격 세션에 접속할 수 있다.

“윈도우 로그인 화면과 연계된 다중 인증 시스템 역시 이 방법을 통해 통과할 수 있습니다. 조직이 마련한 로그인 배너 역시 아무런 방햇거리가 되지 못합니다.” 카네기 측의 설명이다. 그러면서 듀오 시큐리티 MFA(Duo Security MFA)와 같은 솔루션 역시 이 공격에 당한다고 덧붙였다.

타마리엘로는 이러한 사실을 마이크로소프트에 알렸으나, 곧바로 패치가 나올 것으로 보이지 않는다. “보내주신 내용을 검토했고, 내부적으로 조사를 진행한 결과 마이크로소프트 보안 서비스 항목에 포함되지 않는 것으로 결론이 났습니다.”라는 답장이 왔다고 한다.

원격에서 시스템에 접속한 후 클라이언트를 비워야 하는 경우가 종종 있는 사용자라면 두 가지 방법을 통해 위험을 최소화할 수 있다. 하나는 원격 세션이 아니라 로컬 시스템을 잠가두는 것이고, 다른 하나는 자리를 비울 때 RDS 세션 자체를 끊는 것이다.

3줄 요약
1. 원격 데스크톱 서비스로 접속한 후 잠깐 자리 비우면 아무나 세션에 접속할 수 있게 해주는 취약점 발견됨.
2. 네트워크 연결이 잠시 끊겼다가 연결되면 잠금 화면이 사라지는 것이 취약점의 핵심.
3. 마이크로소프트는 이 취약점에 대한 패치를 하지 않을 것으로 보임.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>