.jpg)
.gif)
각종 OS 노리는 취약점...익스플로잇도 쉬운돼
국가 지원받는 해커들 의심...아파치 스트러츠 등도 단골 표적
[보안뉴스 문가용 기자] 오래된 버그, 죽지도 않는다. 3년 된 쉘쇼크(Shellshock) 취약점이 2017년 2사분기에 가장 많이 공격받는 ‘보안 구멍’이라고 한다면 믿어지는가? 보안 업체 이센타이어(eSentire)에 의하면 이는 사실이다. 지금 GNU Bash를 검색해보라. 조회되는 문건 대부분 2014년의 것이다.
[이미지 = iclickart]
무려 3년 전에 등장한 취약점이라 기억이 나지 않을 테니 이 쉘쇼크에 대해서 다시 한 번 복기해보자면 다음과 같다.
- 정식 이름은 GNU Bash 원격 코드 실행 취약점이다.
- CVE-2014-6271로 등록되었다.
이센타이어의 위협 첩보 책임자인 빅터스 엥겔브레츠(Viktors Engelbrehts)는 “쉘쇼크 취약점은 리눅스와 유닉스, OS X 운영체제에 존재하는 치명적인 취약점으로 2014년 9월에 처음 발견된 것”이라고 설명한다.
“그리고 이는 2사분기에 발생한 공격 중 40%에 연루되어 있습니다. 이센타이어가 600개 고객 사무실 및 현장에 설치한 1500개의 네트워크 및 호스트 센서를 통해 수집한 정보로부터 얻어낸 결과입니다. 그만큼 업체들이 OS 업데이트를 안 하고 있다는 뜻입니다. 3년이나 지나서도요.”
그렇기에 이센타이어가 검사한 1500개의 센서들에서 쉘쇼크 취약점을 찾아 헤매는 공격자들의 흔적이 자꾸만 발견된 것이라고 그는 설명한다. 그런데 엥겔브레츠는 “국가의 후원을 받고 있는 해커들의 소행인 듯 하다”라고 주장한다. “쉘쇼크 스캐닝 작업이 사람이 일일이 할 수 없을 정도로 빈번하게 발생합니다. 자동화된 기술이 동원되었다는 것이지요. 큰 금전적인 성과 없이 취약점 하나만 광범위하게 자동으로 스캔한다는 건 배경이 든든할 때 가능합니다.”
국가의 후원을 받는 기업들은 왜 쉘쇼크 취약점이 있는지 없는지 계속해서 확인하는 것일까? “동기야 알 수 없지만, 이런 행동을 하는 건 주로 중국의 해커들입니다. 이런 취약점을 미리미리 알아뒀다가 나중에 대규모 공격을 퍼붓는 식으로 움직이죠. 제 생각엔 대부분 리눅스와 맥 시스템 일부를 주요 표적으로 삼은 것 같습니다.”
이센타이어는 공격자들이 다른 취약점들도 열심히 찾아내고 저장하고 있다는 걸 발견했다. 아파치 스트럿츠(Apache Struts)에서는 CVE-2017-5638이라는 원격 코드 실행 취약점이, 윈도우 시스템에서는 CVE-2012-0152라는 원격 데스크톱 프로토콜 버그를, 윈도우 RDP에서는 CVE-2001-0540이라는 원격 관리자 오류가 단골 메뉴였다.
왜 이렇게 오래된 취약점들은 아직도 패치가 되지 않은 채 남겨져 있는 것일까? 엥겔브레츠는 “조직들 대부분 ‘보완책’을 선호하지, 패치를 통해 문제를 근본적으로 해결하려고 하지 않는다”고 말한다. IDS/IPS 시스템을 강화하거나, 시그니처를 막거나 하지만 패치는 이상하게 꺼려한다는 것이다.
“다른 건 몰라도 쉘쇼크는 반드시 패치해야 합니다. 익스플로잇이 너무나 쉽기 때문이죠.” 보안 업체인 포탈리스 솔루션즈(Fortalice Solutions)의 CEO 테레사 페이튼(Theresa Payton)의 설명이다. “제가 경험한 바로는 프린터, 일잔 가전기기, 음성 시스템에 대한 패치 상태가 가장 심각했습니다.”
패치가 꺼려지는 이유는 거의 대부분, 패치가 되는 동안 해당 기기나 시스템, 네트워크가 동작 불능이 되기 때문이다. “패치를 하면 뭔가 망가진다거나 잘못된다는 인식도 팽배합니다.” 페이튼이 설명한다. “이 인식이 해결되지 않으면 패치 안 하는 문제는 계속 남아있을 겁니다. 조직의 보안 전략 차원에서 패치를 다뤄야 하지, 이걸 개개인에게 떠넘기면 안 됩니다.”
대기업이라고 해서 패치를 잘 하는 건 아니라고 페이튼은 말을 이었다. “침투 테스트를 진행하면서 느낀 건데, 포춘 100대 기업들 중 보안의 기본이 갖춰지지 않은 곳이 굉장히 많습니다. 얼마나 부실하면 저희가 해커인 척 가장을 해서 침투 테스트를 해보는 건데 경보가 한 번도 울리지 않은 곳이 대부분입니다. 침투 테스트 활동도 모르니 실제 공격을 어떻게 알아보겠습니까.”
엥겔브레츠는 “최근 쉘쇼크를 찾아내는 활동이 집중적으로 늘어난 것을 기억하고 패치를 진행하는 게 절대적으로 필요하다”고 주장한다. “공격은 무차별적으로 일어나요. 한 번 공격이 일어나 침투에 성공하면 무슨 일이 더 발생할지 몰라요. 이렇게까지 대규모로 쉘쇼크를 누군가 노리고 있다는 걸 알고도 대비하지 않는 건 어리석은 일이죠.”
[국제부 문가용 기자(globoan@boannews.com)]
국가 지원받는 해커들 의심...아파치 스트러츠 등도 단골 표적
[보안뉴스 문가용 기자] 오래된 버그, 죽지도 않는다. 3년 된 쉘쇼크(Shellshock) 취약점이 2017년 2사분기에 가장 많이 공격받는 ‘보안 구멍’이라고 한다면 믿어지는가? 보안 업체 이센타이어(eSentire)에 의하면 이는 사실이다. 지금 GNU Bash를 검색해보라. 조회되는 문건 대부분 2014년의 것이다.
[이미지 = iclickart]
무려 3년 전에 등장한 취약점이라 기억이 나지 않을 테니 이 쉘쇼크에 대해서 다시 한 번 복기해보자면 다음과 같다.
- 정식 이름은 GNU Bash 원격 코드 실행 취약점이다.
- CVE-2014-6271로 등록되었다.
이센타이어의 위협 첩보 책임자인 빅터스 엥겔브레츠(Viktors Engelbrehts)는 “쉘쇼크 취약점은 리눅스와 유닉스, OS X 운영체제에 존재하는 치명적인 취약점으로 2014년 9월에 처음 발견된 것”이라고 설명한다.
“그리고 이는 2사분기에 발생한 공격 중 40%에 연루되어 있습니다. 이센타이어가 600개 고객 사무실 및 현장에 설치한 1500개의 네트워크 및 호스트 센서를 통해 수집한 정보로부터 얻어낸 결과입니다. 그만큼 업체들이 OS 업데이트를 안 하고 있다는 뜻입니다. 3년이나 지나서도요.”
그렇기에 이센타이어가 검사한 1500개의 센서들에서 쉘쇼크 취약점을 찾아 헤매는 공격자들의 흔적이 자꾸만 발견된 것이라고 그는 설명한다. 그런데 엥겔브레츠는 “국가의 후원을 받고 있는 해커들의 소행인 듯 하다”라고 주장한다. “쉘쇼크 스캐닝 작업이 사람이 일일이 할 수 없을 정도로 빈번하게 발생합니다. 자동화된 기술이 동원되었다는 것이지요. 큰 금전적인 성과 없이 취약점 하나만 광범위하게 자동으로 스캔한다는 건 배경이 든든할 때 가능합니다.”
국가의 후원을 받는 기업들은 왜 쉘쇼크 취약점이 있는지 없는지 계속해서 확인하는 것일까? “동기야 알 수 없지만, 이런 행동을 하는 건 주로 중국의 해커들입니다. 이런 취약점을 미리미리 알아뒀다가 나중에 대규모 공격을 퍼붓는 식으로 움직이죠. 제 생각엔 대부분 리눅스와 맥 시스템 일부를 주요 표적으로 삼은 것 같습니다.”
이센타이어는 공격자들이 다른 취약점들도 열심히 찾아내고 저장하고 있다는 걸 발견했다. 아파치 스트럿츠(Apache Struts)에서는 CVE-2017-5638이라는 원격 코드 실행 취약점이, 윈도우 시스템에서는 CVE-2012-0152라는 원격 데스크톱 프로토콜 버그를, 윈도우 RDP에서는 CVE-2001-0540이라는 원격 관리자 오류가 단골 메뉴였다.
왜 이렇게 오래된 취약점들은 아직도 패치가 되지 않은 채 남겨져 있는 것일까? 엥겔브레츠는 “조직들 대부분 ‘보완책’을 선호하지, 패치를 통해 문제를 근본적으로 해결하려고 하지 않는다”고 말한다. IDS/IPS 시스템을 강화하거나, 시그니처를 막거나 하지만 패치는 이상하게 꺼려한다는 것이다.
“다른 건 몰라도 쉘쇼크는 반드시 패치해야 합니다. 익스플로잇이 너무나 쉽기 때문이죠.” 보안 업체인 포탈리스 솔루션즈(Fortalice Solutions)의 CEO 테레사 페이튼(Theresa Payton)의 설명이다. “제가 경험한 바로는 프린터, 일잔 가전기기, 음성 시스템에 대한 패치 상태가 가장 심각했습니다.”
패치가 꺼려지는 이유는 거의 대부분, 패치가 되는 동안 해당 기기나 시스템, 네트워크가 동작 불능이 되기 때문이다. “패치를 하면 뭔가 망가진다거나 잘못된다는 인식도 팽배합니다.” 페이튼이 설명한다. “이 인식이 해결되지 않으면 패치 안 하는 문제는 계속 남아있을 겁니다. 조직의 보안 전략 차원에서 패치를 다뤄야 하지, 이걸 개개인에게 떠넘기면 안 됩니다.”
대기업이라고 해서 패치를 잘 하는 건 아니라고 페이튼은 말을 이었다. “침투 테스트를 진행하면서 느낀 건데, 포춘 100대 기업들 중 보안의 기본이 갖춰지지 않은 곳이 굉장히 많습니다. 얼마나 부실하면 저희가 해커인 척 가장을 해서 침투 테스트를 해보는 건데 경보가 한 번도 울리지 않은 곳이 대부분입니다. 침투 테스트 활동도 모르니 실제 공격을 어떻게 알아보겠습니까.”
엥겔브레츠는 “최근 쉘쇼크를 찾아내는 활동이 집중적으로 늘어난 것을 기억하고 패치를 진행하는 게 절대적으로 필요하다”고 주장한다. “공격은 무차별적으로 일어나요. 한 번 공격이 일어나 침투에 성공하면 무슨 일이 더 발생할지 몰라요. 이렇게까지 대규모로 쉘쇼크를 누군가 노리고 있다는 걸 알고도 대비하지 않는 건 어리석은 일이죠.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)