저 밑바닥에서부터 뭔가가 흔들리는 것일까. 얼마 전에는 취약점 관리의 가장 중요한 인프라인 NVD가 멈추더니, 각종 보안 관련 연구로 분야 전체를 견인해 왔던 마이터가 공격에 당했다는 사실이 뒤늦게 드러났다.
[보안뉴스 = 네이트 넬슨 IT 칼럼니스트] 이반티(Ivanti)의 제품들에서 계속해서 문제가 나온다 싶더니, 보안 업계에서 가장 유명한 단체 중 하나인 마이터(MITRE)가 침해 당하기에 이르렀다. 공격자들은 정부의 지원을 받는 공격자들로 보이며, 3개월 동안 마이터의 깊숙한 곳에까지 드나들었던 것으로 현재까지는 알려져 있다.
[이미지 = gettyimagesbank]
마이터는 어택(ATT&CK)이라는 프레임워크로 잘 알려진 단체로, 그 외에도 정보 보안을 활성화하고 그 효과를 높이기 위해 여러 가지 일을 해왔다. 그러면서도 지난 15년 동안 별 다른 사고도 겪지 않았다. 그 기록이 깨진 건 바로 지난 1월, 공격자들이 마이터 내부의 이반티 게이트웨이 장비의 취약점을 익스플로잇 했다. 공격자는 마이터가 실험과 개발, 프로토타이핑에 사용하는 기밀 및 협력 네트워크인 너브(NERVE)에도 접근했다. 정확히 어떤 피해가 어떤 규모로 발생했는지는 아직 조사 중에 있다.
마이터의 어택 프레임워크
마이터는 조직 내에서 이반티의 커넥트시큐어(Connect Secure)를 사용하고 있었다. 그리고 이 커넥트시큐어에서는 여러 개의 제로데이 취약점이 꾸준히 발견되고 있고, 마이터가 사용하던 것에도 두 개가 있었다. 공격자들이 이를 간파했고, 익스플로잇했다. 아이러니하게도 이는 마이터의 어택 프레임워크에 T1190으로 기재되어 있는 공격 기법이다.
마이터는 블로그를 통해 공격자가 세션 하이재킹을 통해 다중인증을 회피했다고도 밝혔는데, 이 여깃 마이터의 어택 프레임워크 T1563에 명시되어 있는 공격 기법이다. 공격자들은 여러 원격 서비스들을 활용하려 시도했고(어택 T1021), 이를 통해 관리자 계정 권한에 접속하려 했다(어택 T1078). 이 모든 것들을 연쇄적으로 성공시킨 공격자들은 마이터의 VM웨어 가상화 인프라 깊숙한 곳에까지 들어갈 수 있었다.
그런 후 공격자들은 웹셸들을 활용해 공격 지속성을 확보했다(어택 T1505.003). 백도어를 심어 자신들이 원하는 명령들을 실행하기도 했다(어택 T1059). 크리덴셜들을 훔치고, 각종 데이터를 훔쳐 자신들의 C&C 서버로 옮겼다(어택 T1041). 이런 모든 과정들을 숨기기 위해 공격자들은 가상 인스턴스들을 생성해 운영했다(어택 T1564.006). 마이터는 오래 전부터 이 모든 공격 기법을 알고 있고, 심지어 조심하라고 전파하고 있었지만, 자신들 역시 당하고 만 것이었다.
마이터의 방어
보안 업체 키퍼시큐리티(Keeper Security)의 CEO 대런 구시오네(Darren Guccione)는 “이번 사태를 가볍게 봐서는 안 된다”는 의견이다. “일단 공격자들이 해외의 APT 조직일 가능성이 농후하다는 것이 첫 번째 이유이고, 마이터의 너브라는 보안 분야 전체의 거대한 중추 중 하나를 파고들었다는 게 두 번째 이유이며, 제로데이 취약점을 아무렇지도 않게 익스플로잇 했다는 게 세 번째 이유입니다. 게다가 마이터에 있던 정보들이 가지고 있는 중요도까지도 고려하면 얼마나 큰 일이 벌어진 것인지 감도 오지 않습니다.”
그러면서 그는 “APT 조직들은 대부분 복잡한 동기를 가지고 공격을 실시한다”고 귀띔한다. “마이터를 공격했다고 단순히 마이터 그 자체가 그들의 공격 표적이고 완성이었다고 말하는 건 너무나 순진하다는 것이죠. 마이터를 공격한 그들의 전략적 이유가 따로 있었을 것이고, 그 이유에 따라 또 다른 조직이 공격을 받을 수 있습니다. 혹은 이미 받고 있을 수도 있겠지요. 즉 ‘마이터가 당했다’로 끝나서는 안 된다는 이야기입니다.”
공격자들이 보다 전략적인 목적을 가지고 공격을 실시한 것이라면 이는 매우 좋지 않은 소식이다. 1월부터 이미 마이터에 침해했기 때문이다. 즉 원하는 데이터를 수집하든, 후속 공격을 준비하든, 공격자들로서는 충분한 시간을 가져갔다는 뜻이 된다. 최소 3개월이다.
마이터는 “보안 실천 사항을 빠짐없이 지켰고, 벤더와 정부의 업그레이드 권고 사항도 전부 준수했다”고 미디엄을 통해 서술했다. “문제가 됐던 이반티 시스템 역시 최신화를 한 상태였습니다. 하지만 제로데이 취약점과, 공격자들의 횡적 움직임을 탐지하지 못했습니다. 저희는 할 수 있는 모든 것을 했다고 자부했지만 불충분했다는 것이 드러났습니다.”
공격자들이 흔한 보안 실천 사항들을 초월하는 시대가 된 것이 아닌가 하는 우려가 나오고 있다.
글 : 네이트 넬슨(Nate Nelson), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 = 네이트 넬슨 IT 칼럼니스트] 이반티(Ivanti)의 제품들에서 계속해서 문제가 나온다 싶더니, 보안 업계에서 가장 유명한 단체 중 하나인 마이터(MITRE)가 침해 당하기에 이르렀다. 공격자들은 정부의 지원을 받는 공격자들로 보이며, 3개월 동안 마이터의 깊숙한 곳에까지 드나들었던 것으로 현재까지는 알려져 있다.
[이미지 = gettyimagesbank]
마이터는 어택(ATT&CK)이라는 프레임워크로 잘 알려진 단체로, 그 외에도 정보 보안을 활성화하고 그 효과를 높이기 위해 여러 가지 일을 해왔다. 그러면서도 지난 15년 동안 별 다른 사고도 겪지 않았다. 그 기록이 깨진 건 바로 지난 1월, 공격자들이 마이터 내부의 이반티 게이트웨이 장비의 취약점을 익스플로잇 했다. 공격자는 마이터가 실험과 개발, 프로토타이핑에 사용하는 기밀 및 협력 네트워크인 너브(NERVE)에도 접근했다. 정확히 어떤 피해가 어떤 규모로 발생했는지는 아직 조사 중에 있다.
마이터의 어택 프레임워크
마이터는 조직 내에서 이반티의 커넥트시큐어(Connect Secure)를 사용하고 있었다. 그리고 이 커넥트시큐어에서는 여러 개의 제로데이 취약점이 꾸준히 발견되고 있고, 마이터가 사용하던 것에도 두 개가 있었다. 공격자들이 이를 간파했고, 익스플로잇했다. 아이러니하게도 이는 마이터의 어택 프레임워크에 T1190으로 기재되어 있는 공격 기법이다.
마이터는 블로그를 통해 공격자가 세션 하이재킹을 통해 다중인증을 회피했다고도 밝혔는데, 이 여깃 마이터의 어택 프레임워크 T1563에 명시되어 있는 공격 기법이다. 공격자들은 여러 원격 서비스들을 활용하려 시도했고(어택 T1021), 이를 통해 관리자 계정 권한에 접속하려 했다(어택 T1078). 이 모든 것들을 연쇄적으로 성공시킨 공격자들은 마이터의 VM웨어 가상화 인프라 깊숙한 곳에까지 들어갈 수 있었다.
그런 후 공격자들은 웹셸들을 활용해 공격 지속성을 확보했다(어택 T1505.003). 백도어를 심어 자신들이 원하는 명령들을 실행하기도 했다(어택 T1059). 크리덴셜들을 훔치고, 각종 데이터를 훔쳐 자신들의 C&C 서버로 옮겼다(어택 T1041). 이런 모든 과정들을 숨기기 위해 공격자들은 가상 인스턴스들을 생성해 운영했다(어택 T1564.006). 마이터는 오래 전부터 이 모든 공격 기법을 알고 있고, 심지어 조심하라고 전파하고 있었지만, 자신들 역시 당하고 만 것이었다.
마이터의 방어
보안 업체 키퍼시큐리티(Keeper Security)의 CEO 대런 구시오네(Darren Guccione)는 “이번 사태를 가볍게 봐서는 안 된다”는 의견이다. “일단 공격자들이 해외의 APT 조직일 가능성이 농후하다는 것이 첫 번째 이유이고, 마이터의 너브라는 보안 분야 전체의 거대한 중추 중 하나를 파고들었다는 게 두 번째 이유이며, 제로데이 취약점을 아무렇지도 않게 익스플로잇 했다는 게 세 번째 이유입니다. 게다가 마이터에 있던 정보들이 가지고 있는 중요도까지도 고려하면 얼마나 큰 일이 벌어진 것인지 감도 오지 않습니다.”
그러면서 그는 “APT 조직들은 대부분 복잡한 동기를 가지고 공격을 실시한다”고 귀띔한다. “마이터를 공격했다고 단순히 마이터 그 자체가 그들의 공격 표적이고 완성이었다고 말하는 건 너무나 순진하다는 것이죠. 마이터를 공격한 그들의 전략적 이유가 따로 있었을 것이고, 그 이유에 따라 또 다른 조직이 공격을 받을 수 있습니다. 혹은 이미 받고 있을 수도 있겠지요. 즉 ‘마이터가 당했다’로 끝나서는 안 된다는 이야기입니다.”
공격자들이 보다 전략적인 목적을 가지고 공격을 실시한 것이라면 이는 매우 좋지 않은 소식이다. 1월부터 이미 마이터에 침해했기 때문이다. 즉 원하는 데이터를 수집하든, 후속 공격을 준비하든, 공격자들로서는 충분한 시간을 가져갔다는 뜻이 된다. 최소 3개월이다.
마이터는 “보안 실천 사항을 빠짐없이 지켰고, 벤더와 정부의 업그레이드 권고 사항도 전부 준수했다”고 미디엄을 통해 서술했다. “문제가 됐던 이반티 시스템 역시 최신화를 한 상태였습니다. 하지만 제로데이 취약점과, 공격자들의 횡적 움직임을 탐지하지 못했습니다. 저희는 할 수 있는 모든 것을 했다고 자부했지만 불충분했다는 것이 드러났습니다.”
공격자들이 흔한 보안 실천 사항들을 초월하는 시대가 된 것이 아닌가 하는 우려가 나오고 있다.
글 : 네이트 넬슨(Nate Nelson), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
