크리덴셜 하나만 있어도 조직 전체의 메일 열람하게 해주는 위험한 취약점
패치 나온 지 4개월이 되었지만 아직도 제대로 적용되고 있지 않아...위험도 견해 갈려

[보안뉴스 문가용 기자] 마이크로소프트가 익스체인지(Exchange) 서버에서 발견된 심각한 취약점인 CVE-2020-0688을 패치한 지 4개월이 다 되어가고 있다. 그럼에도 취약한 상태로 인터넷에 연결되어 있는 서버가 35만 대를 넘는다고 한다. 이에 대해 보안 업체 라피드7(Rapid7)이 보고서를 발표했다.


[이미지 = utoimage]

CVE-2020-0688가 패치된 것은 지난 2월의 일이다. 당시 인터넷에 연결된 익스체인지 서버 중 80%가 이 취약점에 노출된 것으로 나타났다. 공격자가 딱 한 개의 합법적인 크리덴셜만 확보하면 기업 전체의 이메일 시스템을 장악할 수 있게 해주는 취약점이었다. 그러나 3월부터 4월말까지 라피드7이 조사한 결과 패치가 적용된 서버는 약 7천 대밖에 되지 않았다고 한다.

사실 MS조차도 이 취약점을 대단히 심각하게 받아들이지 않았다. ‘중요’ 등급만을 이 취약점에 부여한 것이다. 크리덴셜을 먼저 확보해야 한다는 전제 조건이 붙었기 때문이다. 하지만 라피드7의 수석 보안 전문가인 웨이드 울와인(Wade Woolwine)은 여기에 동의하지 않는다. 요즘 해커들에게 있어 크리덴셜 확보란 전혀 어렵지 않은 일이란다.

“원래 요즘 사이버 공격자들은 평소부터 부지런히 크리덴셜을 수집합니다. 피싱 공격을 직접 하든, 다크웹에서 구매하든, 확보할 수 있는 방법은 차고도 넘칩니다. 이제는 크리덴셜이라는 재료가 누구나에게 있다고 가정을 해야지, 실제 공격 수행에 방해가 된다고 파악해서는 안 됩니다. 공격 가능성이 낮다고 해야 할 게 아니라, 패치를 반드시 하라고 권고하는 게 더 적절해 보입니다.”

사이버 공격자들 중 국가의 지원을 받는 APT 단체들은 특히나 이메일과 메신저들에 많은 관심을 가지고 있다. 이들의 목적은 정찰, 즉 정보 수집이기 때문이다. 얼마 전에는 미국 NSA가 “러시아의 첩보 기관이 엑심(EXIM) 이메일 서버의 취약점을 익스플로잇 해 정보를 수집하고 있다”는 경고문을 발표하기도 했다. 이란의 해커들도 마이크로소프트가 2년 전에 패치한 취약점을 아직까지 노리고 있다.

라피드 7은 보고서를 통해 “이메일을 통해 우리는 민감한 데이터를 자주 교환한다”며 “이런 스스로의 행동 패턴을 알고 있다면, 이 취약점은 당연히 시급히 패치해야 하는 게 맞다”고 주장했다. “다른 건 몰라도 이 패치는 무조건 해야죠. 그것이 ‘치명적 위험도’가 아니라고 하더라도 말이죠.”

라피드7의 이런 주장은 일리가 있다. 특히 현재 크리덴셜을 낚아채가는 공격이 해커들 사이에서 크게 유행하고 있기 때문이다. 웹 기반 애플리케이션과 클라우드, API 서버의 활용이 높아지면서 크리덴셜은 공격자들에게 가장 유용한 도구가 되고 있다. 버라이즌(Verizon)의 ‘2020년 데이터 침해 사고 보고서’에 따르면 현재 가장 많이 나타나고 있는 공격 유형의 1위는 피싱이고 두 번째기 크리덴셜 탈취라고 한다.

“공격자들이 크리덴셜 공격을 많이 하는 이유가 뭘까요? 클라우드 등의 활용도가 높아지면서 크리덴셜의 가치가 높아졌기 때문이기도 하지만, 무엇보다 성공률이 높기 때문입니다. 이제 거의 모든 사이버 공격이 크리덴셜 탈취로 이어집니다. 크리덴셜 탈취는 이제 공격자들의 기본기가 되고 있다는 것을 기억해야 할 겁니다. 공격자들이 크리덴셜 위주로 자신들의 공격 방식을 바꾼 것처럼, 이제 방어자들도 크리덴셜을 중심으로 방어 전략을 짜야 합니다.”

3줄 요약
1. 마이크로소프트 익스체인지 서버에서 발견된 취약점에 대한 견해 갈림.
2. 갈리는 이유는 ‘크리덴셜 확보부터 해야 공격이 성립된다’는 점 때문.
3. 하지만 크리덴셜 확보는 요즘 해커들에게 누워서 떡 먹기.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>