Windows 10 RedStone 3(윈도우 10 레드스톤3)에 SMBv1 프로토콜 제거

SMBv1 프로토콜이라고 하면 이번에 있었던 워너크라이 랜섬웨어가 해당 SMBv1 프로토콜 취약점을 악용해서 통신서비스, 의료서비스 등을 감염이 시켜서 혼란이 가중되었고 물론 기본적으로 2017년에 3월에서는 MS17-010 적용을 했고 3월인가 4월에 있었던 보안 업데이트인 MS16-114를 정상적으로 했으면 특별하게 문제가 되지 않았을 것입니다. 이번 워너크라이 때문에 마소에서 다음 Windows 10 RedStone 3(윈도우 10 레드스톤3)부터는 해당 SMBv1 프로토콜 제거를 한다고 합니다. SMB1 프로토콜은 약 30년 된 오래된 기술이며 현대의 기술적인 면에 보았을 때 사라져야 하는 것 중 하나입니다.SMBv1 프로토콜를 사용을 하게 되면 기본적으로 SMB 프로토콜에서 제공을 하는 보안 기능을 사용할 수가 없게 됩니다.
만약 SMBv1 프로토콜를 사용을 하지 않는 경우 다음과 같이 보안이 강화됩니다.
사전 인증 무결성(SMB 3.1.1+)사용으로 보안 다운 그레이드 공격으로부터 보호
안전한 Dialect Negotiation (SMB 3.0, 3.02)사용으로 보안 다운 그레이드 공격으로부터 보호
암호화 (SMB 3.0 이상)을 사용을 하면 MiTM 공격 등과 같은 공격에 안전합니다.
안전하지 않은 게스트 인증 차단 (Windows 10 이상에서는 SMB 3.0 이상)으로 MITM 공격으로부터 보호
더 나은 메시지 서명 (SMB 2.02 이상). HMAC SHA-256은 MD5를 SMB 2.02, SMB 2.1 및 AES-CMAC의 해싱 알고리즘으로 대체해서 SMB 3.0+를 사용을 했으면 SMB2 및 3에서는 서명 성능이 향상
이 됩니다. 이를 사용하지 않으면 man-in-the-middle 공격에 취약을 해지고 이를 악용하는 악성코드에 감염될 확률이 높습니다.

즉 WannaCry ransomware 같은 경우 데이터 덤프에서 Shadow Brokers에 의해 유출된 EternalBlue 이라고 부르는 NSA에서 만든 Windows SMB 익스플로잇 도구를 활용했습니다.
그러나 해당 기술은 너무 오래된 기술이기 때문에 지금 당장은 편할지가 모르겠지만, 나중에 악용되면 이와 같은 일이 반복적으로 일어날 것입니다. 기본적으로 이미 기술이 종료된 윈도우 비스타에는 SMBv2 이상이 있습니다.

그리고 이번 년도 2017년 9월 또는 2017년 10월에 발표가 되는 Windows 10 Fall Creators Update(버전 1709)에서 SMBv1을 제거할 계획이라고 암시를 하고 있습니다. Redstone 3(코드명:Windows 10 Fall Creators)에서는 완전히 제거를 한다는 계획입니다.

즉 보안을 위해서는 이제는 버려야 하는 기술입니다. 예를 들은 것이 적절한지 모르겠지나 30년 된 자동차로 안전운전을 한다고 하더라도 쉽게 문을 열 수가 있고 해서 범죄나 안전사고에 노출되는 것과 비슷하지 않을까 생각이 됩니다. 그리고 지난 시간에 소개해 드린 방법으로 SMBv1 프로토콜은 무력화시키는 것도 좋은 방법의 하나일 것입니다.

<기타 관련 글>

[보안] - 굿바이!윈도우 비스타 2017년4월11일 기술지원 중단

[보안] - Shadow Brokers의 Microsoft Windows OS Exploit 도구 취약점 대한 임시 조치 방법

[보안] - Windows 10 버전 1607 build 14393.953 Cumulative update KB4013429(Windows 10 버전 1607 빌드 14393.953 정기 업데이트)

[보안] - Windows 10 2017 년 5월 보안 정기 보안 업데이트

[보안] - 워너 크라이 랜섬웨어(WannaCry Ramsomware) 킬 스위치 우회 도메인 등장 및 워너 크라이 랜섬웨어(WannaCry Ramsomware) 예방법