국내도 MS 익스체인지 서버 사용 기업 많지만 취약점 이슈는 잘 알려지지 않아
서버 취약점 패치는 보안담당자가 직접 진행해야...패치하지 않으면 계속 문제
국정원과 KISA 등 보안관련 정부기관에서도 발빠르게 대응중
[보안뉴스 원병철 기자] 지난 3월 2일 마이크로소프트(이하 MS)가 발표한 익스체인지 서버(Exchange Server) 취약점 이슈가 아직도 지속되고 있는 가운데, 한국 역시 많은 사용자가 있는 것으로 파악됐다. 문제는 MS가 취약점 패치를 바로 공개했음에도 사용자들이 신속하게 적용하지 않고 있어 이를 노린 공격이 아직까지 계속되고 있다는 사실이다.
[이미지=utoimage]
먼저, MS 익스체인지 서버(Microsoft Exchange Server)는 마이크로소프트가 개발한 메시징, 협업 소프트웨어 제품으로, 마이크로소프트 인프라 솔루션을 도입한 기업에서 사용하고 있다. 익스체인지의 주요 기능은 이메일, 일정, 연락처이며, 자료 저장을 지원할 뿐만 아니라, 웹 기반으로 외부에서도 활용할 수 있다.
그런데 지난 3월 2일 MS가 익스체인지 서버에서 발견된 4개의 취약점을 해결한 보안 패치를 발표했고, 동시에 중국 해킹그룹으로 추정되는 하프늄(Hafnium)의 제로데이 공격에 대해서도 알려졌다. 이미 공격을 진행 중이던 하프늄은 취약점을 이용해 익스체인지 서버를 사용하는 고객들의 이메일을 염탐해 왔다고 MS가 발표한 것. 뿐만 아니라 사용자들의 패치가 늦어지는 것을 노리고 최소 10개 이상의 해킹그룹이 취약점을 노린 공격을 지속하고 있다고 보안업체 이셋(ESET)은 발표했다.
문제의 심각성을 깨달은 미국은 백악관까지 나서 모든 조직들에게 패치 적용 및 최신화를 촉구했다. 미국 국토안보부 산하 사이버 보안 전담 조직인 CISA의 전 국장인 크리스토퍼 크렙스(Christopher Krebs)는 진지하게 대응해야 하는 사건이라며, “MS익스체인지 프로그램을 사용하는 모든 조직들은 2월 26일과 3월 3일 사이 크고 작은 공격에 노출됐을 것이기 때문에 바로 보안 점검을 실시하고 MS의 패치를 적용해야 한다”고 트위터를 통해 주장했다.
그렇다면 국내 상황은 어떨까? 우선 한국MS는 3월 2일 패치 발표 이후 국내 고객들에게 연락해 해당 이슈를 알리고 빠르게 패치할 것을 안내했다고 밝혔다. 아울러 최신 누적 업데이트를 설치하지 않은 고객을 지원하기 위해 추가적인 업데이트를 발표했으며, 해당 위협과 기타 위협으로부터 고객을 보호하기 위해 고객에 최신 누적 업데이트를 설치할 것을 지속적으로 권장하고 있다고 밝혔다.
하지만 공식적으로 한국MS는 익스체인지 서버의 한국 사용자에 대해서는 밝히지 않고 있다. 다만, <보안뉴스> 취재 결과, 만도와 현대오토에버, 휴맥스, 신영, KB자산운용, 한국시세이도, 서울메트로9호선운영회사 등 다양한 분야의 기업들이 익스체인지 서버를 사용했거나 사용하고 있는 것으로 조사됐다. 뿐만 아니라 기업 메신저나 스마트폰 앱 중에서도 익스체인지 서버를 연동한 제품이 있기 때문에 한국에서의 피해도 배제할 수 없는 상황이다. 게다가 한국MS는 이미 지난 2020년 6월 미디어 브리핑에서 “MS 클라우드 컴퓨팅 중심에 익스체인지가 있다”고 말할 정도로 익스체인지 서버는 한국에서도 중요성이 큰 아이템이다.
문제는 국내에서 익스체인지 서버 취약점에 대한 관심도가 그리 높지 않다는 점이다. 팔로알토 네트웍스는 2020년 인수한 공격 표면 관리 전문 기업 익스팬스(Expanse) 플랫폼을 통해 원격 측정 결과를 수집한 결과, 전 세계 12.5만 개 이상의 서버에 패치가 적용되지 되지 않은 상태라고 밝혔다. 하지만 국내에서는 사용자 정보나 대응상황이 공개된 경우가 거의 없다.
그나마 다행스러운 건 이번 익스체인지 서버 이슈와 관련해 국내 피해는 아직까지 한 곳도 없다고 한국인터넷진흥원(KISA)에서 밝혔다는 점이다. KISA는 이슈가 알려진 3월 3일 바로 취약점 보안 업데이트를 공지했고, 3월 8일에는 취약점 보안 점검과 취약점 임시조치 방안을 각각 권고했다. KISA가 인터넷 보호나라&KrCERT 사이트에 1개 취약점을 대상으로 연속으로 3번 이상 공지한 것은 2017년 워너크라이 랜섬웨어 사태(해당 사태는 4번 공지) 이후 처음이다. KISA 역시 이번 사건을 매우 심각하게 받아들이고 있다는 증거다.
KISA 담당자는 “해당 이슈가 매우 중요하다고 판단해 보안공지를 연속해서 올렸다”면서, “취약점 패치와 함께 이미 공격을 받았을 경우를 확인하기 위한 보안점검 방법, 그리고 서버 패치가 한 번에 진행되지 않을 경우를 위한 임시조치 등을 권고했다”고 설명했다.
국가정보원 역시 해당 이슈를 확인한 즉시 사이버위협정보공유시스템에 공유하고 관련 기관들과 함께 피해사실을 확인하는 한편, 피해예방을 위한 조치를 취하고 있다고 밝혔다.
이번 사건과 관련해 한 보안전문가는 “서버 취약점 패치는 대부분 자동화하지 않았기 때문에 담당자가 일일이 확인해 패치해야 한다”면서, “이번 사건은 매우 엄중한 만큼 여러 방법을 동원해 보안담당자에게 패치를 권고해야 할 것”이라고 강조했다. 이어 “우리나라는 물론 전 세계적으로 엄청나게 문제가 됐던 워너크라이 랜섬웨어 사건도 발생 1~2년이 지난 후에도 해당 SMB 취약점을 패치하지 않아 문제가 발생하는 경우가 많았다”면서, “이번 익스체인지 서버 취약점 역시 공론화시켜 단 1곳의 피해기업이 나오지 않도록 해야 한다”고 조언했다.
[원병철 기자(boanone@boannews.com)]
서버 취약점 패치는 보안담당자가 직접 진행해야...패치하지 않으면 계속 문제
국정원과 KISA 등 보안관련 정부기관에서도 발빠르게 대응중
[보안뉴스 원병철 기자] 지난 3월 2일 마이크로소프트(이하 MS)가 발표한 익스체인지 서버(Exchange Server) 취약점 이슈가 아직도 지속되고 있는 가운데, 한국 역시 많은 사용자가 있는 것으로 파악됐다. 문제는 MS가 취약점 패치를 바로 공개했음에도 사용자들이 신속하게 적용하지 않고 있어 이를 노린 공격이 아직까지 계속되고 있다는 사실이다.
[이미지=utoimage]
먼저, MS 익스체인지 서버(Microsoft Exchange Server)는 마이크로소프트가 개발한 메시징, 협업 소프트웨어 제품으로, 마이크로소프트 인프라 솔루션을 도입한 기업에서 사용하고 있다. 익스체인지의 주요 기능은 이메일, 일정, 연락처이며, 자료 저장을 지원할 뿐만 아니라, 웹 기반으로 외부에서도 활용할 수 있다.
그런데 지난 3월 2일 MS가 익스체인지 서버에서 발견된 4개의 취약점을 해결한 보안 패치를 발표했고, 동시에 중국 해킹그룹으로 추정되는 하프늄(Hafnium)의 제로데이 공격에 대해서도 알려졌다. 이미 공격을 진행 중이던 하프늄은 취약점을 이용해 익스체인지 서버를 사용하는 고객들의 이메일을 염탐해 왔다고 MS가 발표한 것. 뿐만 아니라 사용자들의 패치가 늦어지는 것을 노리고 최소 10개 이상의 해킹그룹이 취약점을 노린 공격을 지속하고 있다고 보안업체 이셋(ESET)은 발표했다.
문제의 심각성을 깨달은 미국은 백악관까지 나서 모든 조직들에게 패치 적용 및 최신화를 촉구했다. 미국 국토안보부 산하 사이버 보안 전담 조직인 CISA의 전 국장인 크리스토퍼 크렙스(Christopher Krebs)는 진지하게 대응해야 하는 사건이라며, “MS익스체인지 프로그램을 사용하는 모든 조직들은 2월 26일과 3월 3일 사이 크고 작은 공격에 노출됐을 것이기 때문에 바로 보안 점검을 실시하고 MS의 패치를 적용해야 한다”고 트위터를 통해 주장했다.
그렇다면 국내 상황은 어떨까? 우선 한국MS는 3월 2일 패치 발표 이후 국내 고객들에게 연락해 해당 이슈를 알리고 빠르게 패치할 것을 안내했다고 밝혔다. 아울러 최신 누적 업데이트를 설치하지 않은 고객을 지원하기 위해 추가적인 업데이트를 발표했으며, 해당 위협과 기타 위협으로부터 고객을 보호하기 위해 고객에 최신 누적 업데이트를 설치할 것을 지속적으로 권장하고 있다고 밝혔다.
하지만 공식적으로 한국MS는 익스체인지 서버의 한국 사용자에 대해서는 밝히지 않고 있다. 다만, <보안뉴스> 취재 결과, 만도와 현대오토에버, 휴맥스, 신영, KB자산운용, 한국시세이도, 서울메트로9호선운영회사 등 다양한 분야의 기업들이 익스체인지 서버를 사용했거나 사용하고 있는 것으로 조사됐다. 뿐만 아니라 기업 메신저나 스마트폰 앱 중에서도 익스체인지 서버를 연동한 제품이 있기 때문에 한국에서의 피해도 배제할 수 없는 상황이다. 게다가 한국MS는 이미 지난 2020년 6월 미디어 브리핑에서 “MS 클라우드 컴퓨팅 중심에 익스체인지가 있다”고 말할 정도로 익스체인지 서버는 한국에서도 중요성이 큰 아이템이다.
문제는 국내에서 익스체인지 서버 취약점에 대한 관심도가 그리 높지 않다는 점이다. 팔로알토 네트웍스는 2020년 인수한 공격 표면 관리 전문 기업 익스팬스(Expanse) 플랫폼을 통해 원격 측정 결과를 수집한 결과, 전 세계 12.5만 개 이상의 서버에 패치가 적용되지 되지 않은 상태라고 밝혔다. 하지만 국내에서는 사용자 정보나 대응상황이 공개된 경우가 거의 없다.
그나마 다행스러운 건 이번 익스체인지 서버 이슈와 관련해 국내 피해는 아직까지 한 곳도 없다고 한국인터넷진흥원(KISA)에서 밝혔다는 점이다. KISA는 이슈가 알려진 3월 3일 바로 취약점 보안 업데이트를 공지했고, 3월 8일에는 취약점 보안 점검과 취약점 임시조치 방안을 각각 권고했다. KISA가 인터넷 보호나라&KrCERT 사이트에 1개 취약점을 대상으로 연속으로 3번 이상 공지한 것은 2017년 워너크라이 랜섬웨어 사태(해당 사태는 4번 공지) 이후 처음이다. KISA 역시 이번 사건을 매우 심각하게 받아들이고 있다는 증거다.
KISA 담당자는 “해당 이슈가 매우 중요하다고 판단해 보안공지를 연속해서 올렸다”면서, “취약점 패치와 함께 이미 공격을 받았을 경우를 확인하기 위한 보안점검 방법, 그리고 서버 패치가 한 번에 진행되지 않을 경우를 위한 임시조치 등을 권고했다”고 설명했다.
국가정보원 역시 해당 이슈를 확인한 즉시 사이버위협정보공유시스템에 공유하고 관련 기관들과 함께 피해사실을 확인하는 한편, 피해예방을 위한 조치를 취하고 있다고 밝혔다.
이번 사건과 관련해 한 보안전문가는 “서버 취약점 패치는 대부분 자동화하지 않았기 때문에 담당자가 일일이 확인해 패치해야 한다”면서, “이번 사건은 매우 엄중한 만큼 여러 방법을 동원해 보안담당자에게 패치를 권고해야 할 것”이라고 강조했다. 이어 “우리나라는 물론 전 세계적으로 엄청나게 문제가 됐던 워너크라이 랜섬웨어 사건도 발생 1~2년이 지난 후에도 해당 SMB 취약점을 패치하지 않아 문제가 발생하는 경우가 많았다”면서, “이번 익스체인지 서버 취약점 역시 공론화시켜 단 1곳의 피해기업이 나오지 않도록 해야 한다”고 조언했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
