skip navigation
  • 메뉴
  • 본문
  • 하단 정보(링크)
  • 제품
    • AhnLab PLUS Platform
    • AhnLab Endpoint PLUS
      • 안티멀웨어
      • 엔드포인트 보호 플랫폼 (EPP)
      • 지능형 위협 대응
      • 엔드포인트 탐지 & 대응 (EDR)
      • 중소기업 보안
      • 모바일 보안
    • AhnLab Network PLUS
      • 차세대 방화벽 (ZTNA)
      • 차세대 방화벽
      • 디도스 방어
      • 네트워크 침입 방지 (IPS)
      • 지능형 위협 대응
      • 네트워크 위협 관리 (TMS)
    • AhnLab Cloud PLUS
      • 클라우드 워크로드 보안 (CWPP)
      • 클라우드 방화벽
      • 클라우드 IPS
      • 클라우드 네트워크 위협 관리
    • AhnLab Connect PLUS
      • 확장형 탐지 & 대응 (XDR)
      • 위협 인텔리전스 (TIP)
      • SOAR
    • AhnLab CPS PLUS
      • CPS 보안 통합 관리
      • OT 엔드포인트 보안
      • OT 가시성 및 위협 탐지
      • OT 휴대용 안티멀웨어
      • OT 방화벽
      • OT 일방향 데이터 전송
      • OT 지능형 위협 대응
      • IT 엔드포인트 보안
      • IT 안티멀웨어
      • CPS 위협 인텔리전스
    • AhnLab AI PLUS
    • 전체 제품 및 서비스
  • 서비스
    • AhnLab Service PLUS
      • 매니지드 탐지 & 대응 (MDR)
      • 보안관제
      • Professional Service
      • 디지털 포렌식
      • 클라우드 MSP
      • 정보보호컨설팅
      • 글로벌 파트너
    • 전체 제품 및 서비스
  • 솔루션
    • 랜섬웨어 보안
    • 하이브리드 클라우드 보안
    • 제로 트러스트
    • CPS 보안
    • SOC 고도화
    • 위협 탐지 & 대응 (TDR)
    • 디도스 방어
  • 구매
    • 견적 및 도입 문의
    • 스마트 파인더
    • 구매방식
    • 제품 정책
      • 소프트웨어
      • 네트워크
    • 전략 물자
      • 랜섬웨어 탐지 대응 통합 서비스 페이지 배너
  • 고객지원
    • 온라인 고객지원
      • 원격지원
      • 1:1상담
      • 전화상담 안내
      • FAQ
    • 기업 기술 교육
    • 위협정보 신고센터
    • 다운로드
    • 공지사항
  • 콘텐츠 센터
    • 콘텐츠 센터
      • 시큐리티 레터
      • 월간 安
    • ASEC
      • 위협정보
      • 위협 행위자 분류 체계
      • ASEC 보안권고문
      • ASEC 블로그
    • 하이라이트
      • 랜섬웨어 탐지·대응 통합 서비스
      • MITRE ATT&CK 평가 라운드 7
      • 안랩 창립 30주년
      • Frost Radar CPS 보안 리더
  • 파트너
my page
로그인회원가입
언어 선택

최근 검색어가 없습니다.

AhnLab

  • 회사소개
  • 투자정보
  • 채용정보
  • 사용권 약관
  • 개인정보처리방침
  • 이용약관
  • Contact Us
  • 사이트맵

기업정보

  • 대표이사 : 강석균
  • 사업자등록번호 : 214-81-83536
  • (우) 13493 경기도 성남시 분당구 판교역로 220
  • 통신판매신고번호 : 2012-경기성남-1189
  • 대표전화 : 031-722-8000
  • Fax : 031-722-8901
  • © AhnLab, Inc. All rights reserved.

News Letter

시큐리티 레터는 매주 놓쳐서는 안 될 보안 정보를,
월간 '安'은 매월 위협 분석과 보안 동향에 대한 깊이 있는 정보를 이메일로 보내드립니다.

뉴스레터 선택
뉴스레터
이용 동의
V3 엔진 버전OES : 2026.06.27.03SES : 2026.06.24.00
엔진 업데이트 바로가기
  • 카카오톡 채널 바로가기
  • 페이스북 바로가기
  • 링크드인 바로가기
  • 유튜브 바로가기
    • 스마트 파인더
    • Security Map
    • 견적 및 도입 문의
    • My Company
    • V3 Lite 다운로드
웹콘텐츠
엔드포인트 보안 ◦ 위협 소식2019-12-18

다가오는 블루킵(BlueKeep) 위협, V3로 대비하는 법!

상당수 국내외 보안 전문가들이 2020년에 증가할 보안 위협 중 하나로 블루킵(BlueKeep) 취약점을 꼽는다. 2017년부터 현재까지 악명을 떨치고 있는 이터널블루(EternalBlue)에 필적할 만한 위협으로 예측되는 블루킵 취약점은 무엇이며, 피해 예방을 위한 방법은 무엇인지 알아본다. 

 

 

 

이터널블루(EternalBule) 취약점은 이전부터 존재했지만 2017년 5월 워너크라이 (WannaCry, 또는 WannaCryptor) 랜섬웨어 사태를 계기로 파괴적인 영향력을 발휘했다. 본내 이터널블루는 윈도우 운영체제의 서버 메시지 블록(Server Message Block, SMB) 취약점(MS17-010)을 이용하는 공격 도구(Exploit Kit)의 명칭이었지만, 현재 해당 취약점을 의미하는 표현으로도 혼용되고 있다. 

 

그런데 최근 이터널블루와 비슷한 취약점이 국내외 보안 전문가들의 주의를 끌고 있다. 이른바 블루킵(BlueKeep)이라고 이름 붙은 이 취약점(CVE-2019-0708)은 윈도우 기반의 클라이언트와 서버 간의 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP) 연결 과정에서 원격 코드 실행이 가능한 취약점이다. 이 취약점이 주목받는 이유는 이터널블루와 마찬가지로 파일리스(file-less)방식으로 자가증식이 가능한, 이른바 웜 형태가 될 수 있는(wormable) 취약점이기 때문이다. 즉, 워너크라이 랜섬웨어처럼 한 대의 시스템에 침투한 후 자가증식하며 네트워크 전체로 확산될 수 있다는 뜻이다. 

 

이 취약점에 영향받는 윈도우 운영체제(OS)는 윈도우7, 윈도우 서버 2008(R2) 등을 비롯한 단종된 운영체제들이다. 문제는 이들 단종된 윈도우 OS를 이용하는 PC 및 서버 시스템이 현재까지 전 세계적으로 70만대가 넘는다는 것. 이에 마이크로소프트는 2019년 5월, 워너크라이 랜섬웨어 사태에 이어 또 다시 이례적으로 단종된 OS에 대한 긴급 보안 업데이트(패치)를 배포했다. 이어 6월에는  미국 국토안보부 산하 사이버보안국(Cybersecurity and Infrastructure Security Agency, CISA)에서도 보안 경보문을 발표했다. 

 

 

[그림 1] CISA에서 발표한 블루킵 취약점 보안 경고문 (*출처: CISA 홈페이지)

 

이러한 노력에도 불구하고 블루킵 취약점의 위협은 차근차근 실체화되고 있다. 우선, 보안 패치가 배포된 지 4개월 후인 2019년 9월, 블루킵 취약점을 이용한 공격 실험(Proof of Concept, PoC)가 공개됐다. 다시 3개월이 지난 2019년 11월 블루킵을 이용한 최초의 악성코드가 유포되었다. 다행인 것은 해당 악성코드는 상대적으로 덜 고도화된 악성코드로, 특정 가상화폐를 채굴하는 것 외에 별 다른 피해는 입히지 않는 것으로 알려졌다. 

 

그러나 보안 전문가들은 해당 채굴 악성코드는 시작에 불과할 뿐이며, 앞으로 블루킵 취약점을 이용한 공격이 증가할 것이라고 경고하고 있다. 특히 블루킵 취약점이 영향을 받는 버전인 윈도우7에 대한 지원 서비스가 다음 달 종료될 예정이기 때문에 더욱 우려되고 있는 상황.이다. 일각에서는 이미 취약점 스캐닝 툴을 이용해 블루킵 취약점을 찾는 시도가 발견되고 있다는 주장도 있다. 

 

파일리스 방식의 블루킵 취약점 공격, 이렇게 대비하자!

이터널블루, 즉 SMB 취약점 위협과 마찬가지로 블루킵 취약점 공격에 대비하기 위해서는 관련 보안 패치를 적용하는 것이 필수다. 만일 해당 보안 패치를 적용하기가 여의치 않거나 원격 시스템에서 원격 프로토콜을 사용하지 않는다면, TCP 3389번 포트를 비활성화하거나 [그림 2]와 같이 RDP에 네트워크 수준 인증(NLA)을 활성화하는 방법으로 해당 취약점 공격을 예방할 수 있다. 

 

  

[그림 2] 네트워크 수준 인증(NLA) 활성화 설정창

 

이와 함께 V3를 이용해 블루킵 취약점 공격에 대응할 수 있다. 안랩은 최근 블루킵이나 이터널블루 등 파일리스 방식의 취약점 공격에 대응하기 위해 새로운 트루아이즈(TrueEyes) 기술을 V3의 행위기반 엔진에 추가했다. V3를 이용 중인 고객이라면 [그림 3]과 같이 ‘V3의 행위 기반 진단 사용’을 활성화(V)하면 된다. 이를 통해 취약점을 이용한 원격코드 실행을 예방할 수 있다. 

 

 

[그림 3] V3의 행위 기반 진단 사용 설정창

 

또한 안랩은 사용자의 이해를 돕기 위해 블루킵 취약점을 이용한 공격과 이에 대한 V3의 대응 과정을 간략하게 시연하는 동영상을 공개했다. V3의 블루킵(BlueKeep) 취약점 공격 탐지 시연 동영상은 유튜브에서 확인할 수 있다. 

 

▶ V3의 블루킵(BlueKeep) 취약점 공격 탐지 시연 동영상 바로가기

 

블루킵 취약점과 V3의 대응 방식에 대한 보다 자세한 내용은 안랩 시큐리티대응센터(ASEC) 블로그에서 확인할 수 있다.

▶ ASEC 블로그 바로가기

 

  • AhnLab
    ASEC 분석팀
목록 보기

관련 콘텐츠

웹콘텐츠

생성형 AI 악용 의심 사례: LNK 파일에서 시작된 키로거 공격

생성형 AI 악용 의심 사례: LNK 파일에서 시작된 키로거 공격

웹콘텐츠

개인정보 유출의 새로운 쟁점, CI와 DI는 무엇인가요?

개인정보 유출의 새로운 쟁점, CI와 DI는 무엇인가요?

웹콘텐츠

침해 이후 골든 타임 확보가 관건! Dwell Time 줄이는 AhnLab EDR 대응 플레이북

침해 이후 골든 타임 확보가 관건! Dwell Time 줄이는 AhnLab EDR 대응 플레이북

웹콘텐츠

개인정보 동의서인 줄 알았던 바로가기 파일의 정체는?

개인정보 동의서인 줄 알았던 바로가기 파일의 정체는?