큐냅의 인기는 사용자들 사이에서만 높은 게 아니다. 그러므로 큐냅 사용자들은 좀 더 패치나 업데이트 소식에 민감하게 반응하는 것이 권장된다. 사실 최신 IT 기술로 만들어진 모든 생태계에서 이 ‘공동의 보안 책임’이 요구되고 있다.
[보안뉴스 문정후 기자] 큐냅(QNAP) 사의 NAS용 OS 일부에서 두 개의 제로데이 취약점이 발견됐다. 전 세계 약 8만여 대의 장비들이 영향권 아래 있는 것으로 추정되고 있다. 4개의 OS가 이 제로데이 취약점의 영향을 받는데, 아직 2개에서 패치가 이뤄지지 않았다. 이를 발견한 건 보안 업체 스터넘(Sternum)의 연구원들로, 해당 제로데이 취약점 2개를 두고 “메모리 접근 관련 취약점”이라고 설명한다. 익스플로잇에 성공할 경우 임의 코드 실행 공격으로 이어질 수 있다고 한다.
[이미지 = utoimage]
문제의 취약점과, 취약점의 영향을 받는 OS는 다음과 같다.
1) CVE-2022-27597 : QTS, QuTS hero, QuTScloud, QVP
2) CVE-2022-27598 : QTS, QuTS hero, QuTScloud, QVP
이 중 QTS OS의 경우 5.0.1.2346 빌드 20230322를 통해 취약점 패치가 이뤄졌다. QuTS hero의 경우도 h5.0.1.2348 빌드 20230324를 통해 문제가 해결됐다. 나머지 2개 OS의 패치는 아직이지만 현재 큐냅 측에서 서둘러 패치 개발을 진행 중에 있다.
이 제로데이 취약점은 큐냅 장비들의 보안은 물론 성능에도 영향을 준다고 스터넘 측은 주장한다. “성능의 측면에서 봐도 이 두 개의 취약점은 장비의 안정성을 떨어트릴 수 있습니다. 코드 실행 결과를 예측할 수 없게 만들기도 합니다.” 스터넘의 보안 전문가 아밋 서퍼(Amit Serper)의 설명이다. “보안의 측면에서는 임의 코드 실행 공격으로 이어질 수 있기 때문에 위험합니다.” 큐냅은 보안 권고문을 통해 “(이번에 발견된 취약점들의) 익스플로잇에 성공할 경우 원격에서 인증된 사용자가 비밀을 취득할 수 있게 된다”고 경고했다.
현재까지 이번 제로데이 취약점은 ‘저위험군’으로 분류되고 있다. 또한 스터넘은 “실제 공격에 익스플로잇 된 사례를 아직까지 발견하지 못했다”고도 발표했다. “그러니 패치가 가능할 때 최대한 빨리 패치를 적용하는 게 좋습니다. 그래야 안심하고 큐냅 장비들을 계속 사용할 수 있게 됩니다.”
큐냅, 사이버 공격자들이 좋아하는 이유는?
작년 큐냅 생태계에서는 데드볼트(DeadBolt)라는 랜섬웨어가 크게 활개를 쳤었다. 이들은 큐냅 장비에서 발견된 각종 취약점들을 집중적으로 익스플로잇 하면서 큐냅 사용자들만 노린다는 자신들의 방향성과 정체성을 숨기지 않았다. 특히 5월, 6월, 9월에 이 데드볼트의 활동력이 왕성했다.
보안 업체 벌칸사이버(Vulcan Cyber)의 수석 기술 엔지니어인 마크 파킨(Mark Parkin)은 “데드볼트는 큐냅만 집중적으로 노리는 특이한 단체였다”고 설명한다. “어떤 장비나 시스템을 집중적으로 분석했더니 취약점이 나왔다면 해커들은 그 다음 어떻게 할까요? 그 장비나 시스템을 한 곳으로 치우고 다른 걸 분석하기 시작할까요? 아닙니다. 보통은 성과를 냈던 장비나 시스템을 계속 파고듭니다. ‘더 있을지 몰라’라는 심리가 발동되기 때문이죠. 데드볼트의 경우 ‘큐냅을 건드릴 때마다 뭔가가 나온다’는 인식을 바탕으로 공격을 실시하는 것으로 보이기도 합니다.”
그러므로 큐냅 장비를 사용하는 기업이나 소비자들은 업데이트와 패치 소식에 민감할 필요가 있다고 파킨은 강조한다. “큐냅 장비들이 잊을 만하면 한 번씩 공격자들의 표적이 된다는 것을 이제는 인지하고 있어야 합니다. 그러한 사실을 인지한다는 건 대비하고 강화한다는 뜻이죠. 큐냅이 장비들의 최신 OS를 내보낼 때 최대한 빨리 그것을 받아 적용할 수 있어야 합니다.”
이번 경우처럼 패치가 아직 다 개발되지 않은 경우에는 어떻게 해야 할까? 파킨은 “엔드포인드 탐지와 대응(EDR) 솔루션을 강력하게 설정해서 사용해야 한다”고 권장한다. “이런 강력한 보안 솔루션들을 통해 침해지표를 찾아내고 적절한 조치를 취해야 합니다. 또한 이번 공격에서 공격자들은 반드시 인증 과정을 거쳐야 하는데, 이 점을 응용해 감사를 실시하는 것도 좋은 방어법이 될 것으로 보입니다.”
보안 업체 비아쿠(Viakoo)의 CEO 버드 브룸헤드(Bud Broomhead)는 “큐냅 장비들이 사이버 공격자들의 관심을 많이 받고 있다”며 “이러한 장비를 사용하는 사용자들이라면 어느 정도 사고의 전환이 필요하기도 하다”는 의견이다. “클라우드 서비스를 이용하건 사물인터넷 장비를 이용하건, 이제 사용자들도 보안 책임을 절반은 가져가야 합니다. 서비스 제공업체와 개발사가 잘 만들어야 하는 것도 맞지만, 사용자가 안전하게 사용해야 하는 것도 맞습니다.”
3줄 요약
1. 큐냅 생태계에서 제로데이 취약점 2개 발견됨.
2. 영향을 받는 OS는 총 4개이고, 2개에 대한 패치는 이미 발표됨.
3. NAS, IoT, 클라우드 등 공격자들이 좋아하는 기술을 이용할 땐, 이용자의 안전 수칙을 지켜야 함.
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 큐냅(QNAP) 사의 NAS용 OS 일부에서 두 개의 제로데이 취약점이 발견됐다. 전 세계 약 8만여 대의 장비들이 영향권 아래 있는 것으로 추정되고 있다. 4개의 OS가 이 제로데이 취약점의 영향을 받는데, 아직 2개에서 패치가 이뤄지지 않았다. 이를 발견한 건 보안 업체 스터넘(Sternum)의 연구원들로, 해당 제로데이 취약점 2개를 두고 “메모리 접근 관련 취약점”이라고 설명한다. 익스플로잇에 성공할 경우 임의 코드 실행 공격으로 이어질 수 있다고 한다.
[이미지 = utoimage]
문제의 취약점과, 취약점의 영향을 받는 OS는 다음과 같다.
1) CVE-2022-27597 : QTS, QuTS hero, QuTScloud, QVP
2) CVE-2022-27598 : QTS, QuTS hero, QuTScloud, QVP
이 중 QTS OS의 경우 5.0.1.2346 빌드 20230322를 통해 취약점 패치가 이뤄졌다. QuTS hero의 경우도 h5.0.1.2348 빌드 20230324를 통해 문제가 해결됐다. 나머지 2개 OS의 패치는 아직이지만 현재 큐냅 측에서 서둘러 패치 개발을 진행 중에 있다.
이 제로데이 취약점은 큐냅 장비들의 보안은 물론 성능에도 영향을 준다고 스터넘 측은 주장한다. “성능의 측면에서 봐도 이 두 개의 취약점은 장비의 안정성을 떨어트릴 수 있습니다. 코드 실행 결과를 예측할 수 없게 만들기도 합니다.” 스터넘의 보안 전문가 아밋 서퍼(Amit Serper)의 설명이다. “보안의 측면에서는 임의 코드 실행 공격으로 이어질 수 있기 때문에 위험합니다.” 큐냅은 보안 권고문을 통해 “(이번에 발견된 취약점들의) 익스플로잇에 성공할 경우 원격에서 인증된 사용자가 비밀을 취득할 수 있게 된다”고 경고했다.
현재까지 이번 제로데이 취약점은 ‘저위험군’으로 분류되고 있다. 또한 스터넘은 “실제 공격에 익스플로잇 된 사례를 아직까지 발견하지 못했다”고도 발표했다. “그러니 패치가 가능할 때 최대한 빨리 패치를 적용하는 게 좋습니다. 그래야 안심하고 큐냅 장비들을 계속 사용할 수 있게 됩니다.”
큐냅, 사이버 공격자들이 좋아하는 이유는?
작년 큐냅 생태계에서는 데드볼트(DeadBolt)라는 랜섬웨어가 크게 활개를 쳤었다. 이들은 큐냅 장비에서 발견된 각종 취약점들을 집중적으로 익스플로잇 하면서 큐냅 사용자들만 노린다는 자신들의 방향성과 정체성을 숨기지 않았다. 특히 5월, 6월, 9월에 이 데드볼트의 활동력이 왕성했다.
보안 업체 벌칸사이버(Vulcan Cyber)의 수석 기술 엔지니어인 마크 파킨(Mark Parkin)은 “데드볼트는 큐냅만 집중적으로 노리는 특이한 단체였다”고 설명한다. “어떤 장비나 시스템을 집중적으로 분석했더니 취약점이 나왔다면 해커들은 그 다음 어떻게 할까요? 그 장비나 시스템을 한 곳으로 치우고 다른 걸 분석하기 시작할까요? 아닙니다. 보통은 성과를 냈던 장비나 시스템을 계속 파고듭니다. ‘더 있을지 몰라’라는 심리가 발동되기 때문이죠. 데드볼트의 경우 ‘큐냅을 건드릴 때마다 뭔가가 나온다’는 인식을 바탕으로 공격을 실시하는 것으로 보이기도 합니다.”
그러므로 큐냅 장비를 사용하는 기업이나 소비자들은 업데이트와 패치 소식에 민감할 필요가 있다고 파킨은 강조한다. “큐냅 장비들이 잊을 만하면 한 번씩 공격자들의 표적이 된다는 것을 이제는 인지하고 있어야 합니다. 그러한 사실을 인지한다는 건 대비하고 강화한다는 뜻이죠. 큐냅이 장비들의 최신 OS를 내보낼 때 최대한 빨리 그것을 받아 적용할 수 있어야 합니다.”
이번 경우처럼 패치가 아직 다 개발되지 않은 경우에는 어떻게 해야 할까? 파킨은 “엔드포인드 탐지와 대응(EDR) 솔루션을 강력하게 설정해서 사용해야 한다”고 권장한다. “이런 강력한 보안 솔루션들을 통해 침해지표를 찾아내고 적절한 조치를 취해야 합니다. 또한 이번 공격에서 공격자들은 반드시 인증 과정을 거쳐야 하는데, 이 점을 응용해 감사를 실시하는 것도 좋은 방어법이 될 것으로 보입니다.”
보안 업체 비아쿠(Viakoo)의 CEO 버드 브룸헤드(Bud Broomhead)는 “큐냅 장비들이 사이버 공격자들의 관심을 많이 받고 있다”며 “이러한 장비를 사용하는 사용자들이라면 어느 정도 사고의 전환이 필요하기도 하다”는 의견이다. “클라우드 서비스를 이용하건 사물인터넷 장비를 이용하건, 이제 사용자들도 보안 책임을 절반은 가져가야 합니다. 서비스 제공업체와 개발사가 잘 만들어야 하는 것도 맞지만, 사용자가 안전하게 사용해야 하는 것도 맞습니다.”
3줄 요약
1. 큐냅 생태계에서 제로데이 취약점 2개 발견됨.
2. 영향을 받는 OS는 총 4개이고, 2개에 대한 패치는 이미 발표됨.
3. NAS, IoT, 클라우드 등 공격자들이 좋아하는 기술을 이용할 땐, 이용자의 안전 수칙을 지켜야 함.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
