[보안뉴스 문가용 기자] 코로나 팬데믹 사태가 진행되면서 가상 사설망(VPN)의 인기가 점점 높아지고 있다. 단순 ‘인기’가 높아지는 게 아니라 일부 조직들에서는 필수 업무 요소로 자리를 잡은 상태이기도 하다. 그래서 이 VPN들은 코로나 이전과 비교도 할 수 없을 정도로 인기가 높은 공격 표적이 되었다고 보는 게 중론이다.
[이미지 = utoimage]
보안 업체 맨디언트(Mandiant)의 수석 사건 대응 컨설턴트인 바트 바노트개어든(Bart Vanautgaerden)은 “전 세계에 유행처럼 퍼진 원격 근무 때문에 VPN의 중요도가 크게 올라갔다고는 하는데, 정말 VPN을 향한 공격 수위가 코로나 때문인지는 좀 더 분석을 해야 한다”는 입장이다. 그래서 맨디언트는 팬데믹 선포가 있기 2년 반 전부터의 데이터를 수집해 분석했다. 하지만 코로나가 공격 표적으로서 VPN의 인기를 높였다는 확실한 증거를 찾을 수 없었다.
“코로나 이전과 이후 모두 VPN 장비들은 공격자들에게 매력적인 표적이었습니다. 네트워크의 게이트웨이로서 자리를 잡고 있기 때문에 이 VPN만 통과하면 네트워크에 연결된 거의 모든 장비들에 닿을 수 있게 됩니다. 코로나 때문이 아니라 이러한 VPN의 특성 때문에 해커들 사이에서 인기가 높은 것이죠.” 바노트개어든의 설명이다. “코로나로 인한 증가세는 미미한 수준입니다.”
맨디언트의 설명에 따르면 VPN에 집중한 공격의 빈도 자체가 코로나로 인해 크게 늘어난 건 아닐 가능성이 높다. “하지만 VPN을 겨냥한 공격의 기술력이 크게 올라온 건 분명하게 눈에 띕니다. 특히 지난 4월 펄스시큐어(Pulse Secure)의 VPN 장비들을 겨냥한 공격에서 이 부분이 확실하게 보였죠.” 여기서 말하는 펄스시큐어 VPN 공격은 CVE-2021-22893이라는 제로데이 취약점을 익스플로잇 해서 패치까지 완벽히 된 VPN 장비를 침해해 네트워크 안쪽 깊숙한 곳으로까지 들어가는 것을 말한다.
“저희가 포렌식을 진행하면서 놀랐던 건 공격자들의 높아진 수준이었습니다. 보통은 IP 주소들 같은 정보를 추출하면서 포렌식을 진행하는데, 4월의 펄스시큐어 공격에서는 해커들이 정상적인 VPN 고객들이 실제로 접속할 만한 IP 주소로 공격을 하는 수고까지 했더군요. 또한 포렌식 방해 기능까지 사용하고, 로그를 삭제하고, 자신들이 남긴 파일까지 없애는 등 흔적을 지우기도 했습니다. 피해자 환경에 녹아들어 자신들의 흔적과 행위가 정상적으로 보이게끔 했습니다.”
이 캠페인을 통해 공격자들은 원격에서 VPN 장비들에 접근하는 데 성공했을 뿐만 아니라 다중인증을 뚫어내기까지하며 16개의 멀웨어 패밀리들을 유포하기도 했다. 피해 조직들은 대부분 미국과 유럽에서 발견됐다. 또한 침투한 조직의 망 내에서 횡적으로 움직여 마이크로소프트 365 공공 클라우드 환경에 접근하기도 했다. “결국 공격자들은 데이터를 훔쳐내기 위해 여러 가지 기술들을 활용한 것입니다. 훔쳐낸 데이터들을 봤을 때 공격자들은 국가의 지원을 받는 해킹 단체일 가능성이 높아 보입니다.”
하지만 유럽의 피해 조직들과 미국의 피해 조직들 사이에는 차이가 존재한다고 한다. “공격자들의 활동 방식도 달랐고, 표적도 달랐습니다. 또한 유럽과 미국에서 사용하는 멀웨어들도 달랐습니다. 공격 배후 세력이 각기 다른 것으로 보입니다. 다만 서로 다른 이 세력들이 서로 VPN 익스플로잇 기법을 어떤 방식으로 공유했는지 혹은 이미 사이버 공격자들 사이에 만연하게 알려져 있는 것인지는 좀 더 조사해 봐야 합니다. 확실한 건 고급 VPN 익스플로잇 기법이 퍼지고 있다는 것입니다.”
3줄 요약
1. VPN 노리는 움직임들, 코로나 이전부터 지속적으로 높아져 왔음.
2. 코로나로 인해 달라진 건 공격의 수준이 확실히 높아진 것.
3. 그 고차원적인 공격 기법이 공격자들 사이에 공유되고 있는 것도 같음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>