SSL-VPN 통해 SSH에 최초 침입, 무차별 대입 공격 방어 실패
[보안뉴스 강현주, 여이레 기자] 전세보증 등 수많은 국민 생활 밀착 업무에 차질을 초래한 SGI서울보증 랜섬웨어 공격의 1차 침투 경로는 SSL 가상 사설망(VPN) 장비인 것으로 나타났다.
공격자는 SGI서울보증 내부망으로 들어가기 위해 무작위 로그인을 시도했으며, SGI서울보증은 로그인 시도 횟수 제한 등 기본적 조치도 걸어두지 않았을 가능성도 제기된다.
17일 <보안뉴스> 취재 결과, 랜섬웨어 그룹 ‘건라’는 1차적으로 SSL-VPN 장비의 SSH 서비스 포트를 통해 SGI보증보험 내부망에 침투한 것으로 보인다.
▲SGI서울보증이 랜섬웨어 공격을 당했다. [자료: 연합]
접속 가능 IP 제한 및 로그인 횟수 제한 장치 미비
SSL VPN 장비는 원격 사용자가 인터넷을 통해 안전하게 기업 내부 네트워크에 접속할 수 있도록 암호화된 통신 터널을 제공하는 보안 솔루션이다. SSH는 원격 호스트에 접속하기 위해 사용되는 보안 프로토콜이다.
SSH 보안이 미흡할 경우 무차별 대입 공격에 취약하다. 해커들은 이 점을 악용해 SGI서울보증 계정 침해에 성공한 것으로 추정된다. SGI서울보증은 무차별 대입 공격을 방어하기 위한 로그인 시도 횟수 제한, 속도 제한(지연 삽입), 다중 인증 등의 보안 조치를 충분히 마련하지 않은 것으로 추정된다.
해커가 여러 IP를 활용해 지속적으로 침투 시도를 반복한 정황이 포착된 점에 비추어, SGI서울보증이 접속 가능한 IP를 제한하는 조치를 소홀히 한 것 아니냐는 의문이 제기돤다.
공격자는 내부 망에 들어가기 위해 많은 IP 주소를 통해 매우 여러 번 로그인을 시도했으며, 이 과정에서 수많은 무작위 ID와 패스워드를 사용한 것으로 분석됐다. 이 같은 해킹 수법을 막기 위해 특정 시간 내 로그인 시도 횟수 제한을 두는 것은 기본적 보안 장치다.
또 이번 SSH 공격은 장기간 진행되어 6월 중순 로그인에 성공했으나, SGI서울보증이 이를 사전에 인지하지 못한 것으로 전해진다. 그동안 해커들은 내부 시스템 구조를 충분히 파악한 뒤, 14일 본격적인 공격을 감행한 것으로 분석된다.
협상 여부 관심...망분리 기반 보안 안전성 문제 부각
그 결과 주택담보대출과 전세대출, 휴대전화 할부 개통 등 보증 업무가 차질을 빚었다. 이런 점을 미루어 볼 때 내부망 보안 체계도 취약했을 것으로 추정된다. 또 보안을 위한 망분리 체계가 오히려 위험할 수 있다는 해석도 가능하다.
SGI서울보증은 17일 오전 10시부터 보증서 발급 등 주요 서비스를 재개했다. 이로써 이 회사가 취급하는 전 종목에 대한 보증서 발급 서비스가 가능해졌다.
이와 관련, SGI서울보증과 공격자 그룹의 ‘협상’ 여부에도 관심이 쏠린다.
랜섬웨어는 기업의 시스템을 잠그거나 데이터를 암호화하고, 풀어주는 대가로 금전을 요구하는 공격이다. 공격자에게 대가를 지불하고 ‘협상’을 하는 기업에게는 윤리적 비난이 가해지곤 하지만, 불가피한 선택이라는 여론도 있다. 비즈니스의 연속성이 멈춘다는 것은 기업에게 치명적이며, 특히 소비자들에게도 피해가 일파만파 번지기 때문이다.
보안 업계 한 전문가는 “SSH를 통해 내부 망에 침투해 랜섬웨어 공격이 이뤄졌다면, 외부 접근에 대한 기본적 안전장치가 부족했을 것으로 추정된다”며 “SGI서울보증 해킹을 계기로 디지털 금융 보안 체계 향상을 위한 더 심도 깊은 논의가 이뤄져야 할 것”이라고 말했다.
한편, 이번 SGI서울보증에 랜섬웨어 공격을 가한 ‘건라’는 4월 등장한 신종 랜섬웨어 조직으로 제조·헬스케어·정보기술(IT)·소비자 서비스 등 고가치 산업군을 정조준해 빠른 속도로 공격 대상을 확대해 왔다.
[강현주, 여이레 기자(jjoo@boannews.com)]
[보안뉴스 강현주, 여이레 기자] 전세보증 등 수많은 국민 생활 밀착 업무에 차질을 초래한 SGI서울보증 랜섬웨어 공격의 1차 침투 경로는 SSL 가상 사설망(VPN) 장비인 것으로 나타났다.
공격자는 SGI서울보증 내부망으로 들어가기 위해 무작위 로그인을 시도했으며, SGI서울보증은 로그인 시도 횟수 제한 등 기본적 조치도 걸어두지 않았을 가능성도 제기된다.
17일 <보안뉴스> 취재 결과, 랜섬웨어 그룹 ‘건라’는 1차적으로 SSL-VPN 장비의 SSH 서비스 포트를 통해 SGI보증보험 내부망에 침투한 것으로 보인다.
▲SGI서울보증이 랜섬웨어 공격을 당했다. [자료: 연합]
접속 가능 IP 제한 및 로그인 횟수 제한 장치 미비
SSL VPN 장비는 원격 사용자가 인터넷을 통해 안전하게 기업 내부 네트워크에 접속할 수 있도록 암호화된 통신 터널을 제공하는 보안 솔루션이다. SSH는 원격 호스트에 접속하기 위해 사용되는 보안 프로토콜이다.
SSH 보안이 미흡할 경우 무차별 대입 공격에 취약하다. 해커들은 이 점을 악용해 SGI서울보증 계정 침해에 성공한 것으로 추정된다. SGI서울보증은 무차별 대입 공격을 방어하기 위한 로그인 시도 횟수 제한, 속도 제한(지연 삽입), 다중 인증 등의 보안 조치를 충분히 마련하지 않은 것으로 추정된다.
해커가 여러 IP를 활용해 지속적으로 침투 시도를 반복한 정황이 포착된 점에 비추어, SGI서울보증이 접속 가능한 IP를 제한하는 조치를 소홀히 한 것 아니냐는 의문이 제기돤다.
공격자는 내부 망에 들어가기 위해 많은 IP 주소를 통해 매우 여러 번 로그인을 시도했으며, 이 과정에서 수많은 무작위 ID와 패스워드를 사용한 것으로 분석됐다. 이 같은 해킹 수법을 막기 위해 특정 시간 내 로그인 시도 횟수 제한을 두는 것은 기본적 보안 장치다.
또 이번 SSH 공격은 장기간 진행되어 6월 중순 로그인에 성공했으나, SGI서울보증이 이를 사전에 인지하지 못한 것으로 전해진다. 그동안 해커들은 내부 시스템 구조를 충분히 파악한 뒤, 14일 본격적인 공격을 감행한 것으로 분석된다.
협상 여부 관심...망분리 기반 보안 안전성 문제 부각
그 결과 주택담보대출과 전세대출, 휴대전화 할부 개통 등 보증 업무가 차질을 빚었다. 이런 점을 미루어 볼 때 내부망 보안 체계도 취약했을 것으로 추정된다. 또 보안을 위한 망분리 체계가 오히려 위험할 수 있다는 해석도 가능하다.
SGI서울보증은 17일 오전 10시부터 보증서 발급 등 주요 서비스를 재개했다. 이로써 이 회사가 취급하는 전 종목에 대한 보증서 발급 서비스가 가능해졌다.
이와 관련, SGI서울보증과 공격자 그룹의 ‘협상’ 여부에도 관심이 쏠린다.
랜섬웨어는 기업의 시스템을 잠그거나 데이터를 암호화하고, 풀어주는 대가로 금전을 요구하는 공격이다. 공격자에게 대가를 지불하고 ‘협상’을 하는 기업에게는 윤리적 비난이 가해지곤 하지만, 불가피한 선택이라는 여론도 있다. 비즈니스의 연속성이 멈춘다는 것은 기업에게 치명적이며, 특히 소비자들에게도 피해가 일파만파 번지기 때문이다.
보안 업계 한 전문가는 “SSH를 통해 내부 망에 침투해 랜섬웨어 공격이 이뤄졌다면, 외부 접근에 대한 기본적 안전장치가 부족했을 것으로 추정된다”며 “SGI서울보증 해킹을 계기로 디지털 금융 보안 체계 향상을 위한 더 심도 깊은 논의가 이뤄져야 할 것”이라고 말했다.
한편, 이번 SGI서울보증에 랜섬웨어 공격을 가한 ‘건라’는 4월 등장한 신종 랜섬웨어 조직으로 제조·헬스케어·정보기술(IT)·소비자 서비스 등 고가치 산업군을 정조준해 빠른 속도로 공격 대상을 확대해 왔다.
[강현주, 여이레 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
