대부분 오래 전에 패치된 취약점들...심지어 2012년으로까지 거슬러 올라가
오래된 취약점이 아직도 통한다는 건 패치를 잘 하지 않는다는 이야기

[보안뉴스 문가용 기자] 미국 국토안보부 산하의 사이버 보안 및 사회 기반 시설 보안 담당국(CISA)과 연방수사국(FBI)이 최근 공격자들이 많이 익스플로잇 하는 취약점들을 분석해 민간 부문에 전파했다. 어떤 취약점부터 해결해야 하는지 일종의 가이드라인을 제공하기 위해서다.


[이미지 = iclickart]

이에 따르면 2016년과 2019년 사이, 미국의 단체 및 개인들을 노리는 사이버 공격자들은 다음과 같은 소프트웨어의 취약점들을 주로 익스플로잇 했다고 한다.
1) 마이크로소프트 오피스 : CVE-2017-11882, CVE-2017-0199, CVE-2012-0158, CVE-2015-1641
2) 아파치 스트러츠 : CVE-2017-5638
3) 마이크로소프트 셰어포인트 : CVE-2019-0604
4) 마이크로소프트 윈도우 : CVE-2017-0143
5) 마이크로소프트 닷넷 프레임워크 : CVE-2017-8759
6) 어도비 플래시 플레이어 : CVE-2018-4878
7) 드루팔 : CVE-2018-7600

취약점 익스플로잇의 가장 큰 목적은 멀웨어 설치라고 CISA와 FBI는 설명한다. 특히 다음과 같은 멀웨어들이 주로 사용되었다고 한다.
1) 로키(Loki), 2) 폼북(FormBook), 3) 포니/파레잇(Pony/FAREIT), 4) 핀스파이(FINSPY), 5) 레이튼트봇(LATENTBOT), 6) 드리덱스(Dridex), 7) 젝스보스(JexBoss), 8) 차이나 초퍼(China Chopper), 9) 독콜(DOGCALL), 10) 핀피셔(FinFisher), 11) 윙버드(WingBird), 12) 토시리프(Toshliph), 13) 유워리어(UWarrior), 14) 키티(Kitty)

미국이 가장 경계하는 국가인 중국, 이란, 북한, 러시아의 해커들이 가장 즐겨 익스플로잇 하는 취약점은 전부 마이크로소프트 오피스에서 나온 것으로, CVE-2017-11882, CVE-2017-0199, CVE-2012-0158이다.

CISA와 FBI는 “보다 구체적으로 설명하자면, 외국의 사이버 공격자들이 주로 공략하는 건 마이크로소프트의 객체 연계 매입(OLE) 기술”이라고 덧붙였다. OLE 덕분에 다른 애플리케이션에서 만들어진 콘텐츠를 문서에 삽입할 수 있게 되는데, 이 지점을 공격자들이 노린다는 것이다. 중국, 이란, 러시아, 북한 해커들이 두 번째로 많이 노리는 건 아파치 스트러츠인 것으로 나타났다.

2015년 미국 정부는 중국의 고급 해커들이 CVE-2012-0158을 가장 많이 익스플로잇 한다고 평가한 바 있다. 이 취약점은 발견된 지 8년이 지난 지금까지도 공격자들 사이에서 애용되고 있다. CISA와 FBI는 이런 점을 짚으며 “오래된 취약점이 아직도 유효하다는 건, 패치 문화가 덜 퍼졌다는 뜻으로 해석이 된다”고 지적했다.

그러나 오래된 취약점만이 문제인 건 아니다. 2020년 들어 사이버 공격자들은 VPN 제품들에서 나온 취약점인 CVE-2019-19781과 CVE-2019-11510을 적극적으로 건드리기 시작했다. 또한 마이크로소프트 오피스 365에서 흔히 나타나는 설정 오류와 사용자 실수를 노리는 경우도 늘어나고 있는 추세다. 오래된 건 오래된 것대로, 새로운 건 새로운 것대로 방어를 어렵게 만들고 있다. “그렇기에 정부와 민간 업체의 정보 교류가 점점 더 중요한 요소로 자리를 잡아가는 겁니다.” CISA의 설명이다.

3줄 요약
1. 미국 CISA와 FBI, 외국 해커들이 주로 활용하는 취약점들을 민간에 전파.
2. 마이크로소프트 제품이 해커들 손에 가장 많이 농락당하는 것으로 분석됨.
3. 오래된 취약점이 여전히 잘 통한다는 건 사용자들의 패치가 충분치 않다는 것.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>