카세야 사태에 대한 사이버 보안 업계의 갑론을박이 소셜미디어에서 한창이다. 레빌이 과연 공급망 공격을 실시한 것이냐, 단순 소프트웨어 취약점을 익스플로잇 한 것이냐를 두고 토론이 이어지고 있는 것이다. 하지만 그 토론의 생산성은 의문이다.
[보안뉴스 문가용 기자] 이른바 ‘카세야 사태’ 때문에 미국 보안 업계는 난리가 난 상황이다. 다만 독립기념일 연휴 기간이라 아직 사건에 대한 조사가 원활히 이뤄지지 않고 있으며, 따라서 사건에 대한 추가 사실도 천천히 공개되고 있다. 카세야 사태에 대한 이해를 돕기 위해 현재까지 밝혀진 사실들을 정리한다.
[이미지 = utoimage]
1. MSP란?
먼저 MSP란 ‘관리 서비스 제공업체(managed service provider)’의 준말로, 기업의 네트워크를 대신 관리해 주는 데 전문성을 가지고 있는 기업들이다. IT 관리 부서와 인력을 따로 두고 운영할 정도로 전문성과 자원을 확보하지 못하는 기업들은 대게 이 MSP 기업들과 계약을 맺고 자사 네트워크를 관리한다.
문제는 이 ‘네트워크 관리’라는 게 대단히 어렵고 복잡한 일이라는 것이다. MSP 기업이라고 해서 네트워크 관리가 쉬운 건 아니다. 그렇기 때문에 MSP의 네트워크 관리 업무를 수월하게 해 줄 소프트웨어들이 따로 존재하는데, MSP 기업들은 이러한 소프트웨어 개발사의 고객인 경우가 많다. 관리 소프트웨어 개발사는 MSP를 고객으로 두고, 다시 MSP는 여러 사용자 기업들을 고객으로 두고 있는 관계다. 카세야는 이 사슬과 같은 관계의 가장 아래에 있는 ‘네트워크 관리 소프트웨어 개발사’다. 그리고 이번에 문제가 된 소프트웨어는 카세야 VSA(Kaseya VSA)였다.
2. 공급망 공격이란?
위에서 설명한 ‘개발사 -> MSP -> 사용자 기업’의 관계를 소프트웨어 공급망이라고 한다. 공급망 공격은 이러한 관계의 뿌리나 초기 단계에 있는 소프트웨어를 공격함으로써 많은 고객사들에 악영향을 주는 방식의 공격을 말한다. 소프트웨어 하나 공격함으로써 수많은 고객사들을 공격한 것과 마찬가지 효과를 얻어갈 수 있다. 소프트웨어 개발사가 의외로 보안이 허술한 경우가 많고, 공격자 입장에서는 효율이 매우 좋은 기법이라 열심히 연구되고 있다.
작년 말과 올해 초 큰 소란의 원인이 됐던 솔라윈즈(SolarWinds) 사태 역시 대표적인 공급망 공격이었다. 그밖에 소프트웨어를 만드는 개발자들이, 소프트웨어 제작에 자주 사용하는 오픈소스 라이브러리나 코드를 미리 감염시켜 개발자들이 자신도 모르게 악성 소프트웨어를 만들도록 유도하는 식의 공격도 존재한다.
3. 카세야에서는 무슨 일이 있었나?
아직 이 문제에 대한 답은 명확히 나오지 않은 상태다. 긴 휴일이 겹쳐 있기 때문에 더 그렇다. 그러나 예상되는 시나리오는 크게 두 가지로 나뉜다.
1) 공격자들이 카세야 VSA에 대한 공급망 공격을 실시했다. 즉 카세야 VSA가 수많은 MSP 업체들에 이미 설치된 것을 안 공격자들이 업데이트 서버나 빌드 서버에 침투한 후 감염시킨 업데이트 파일을 MSP들에 전파했다.
2) VSA 소프트웨어에서 발견된 취약점을 익스플로잇 했다. 실제로 네덜란드 CERT에서는 VSA에서 취약점을 발견했고, 이를 카세야 측과 패치하고 있다고 말하는 중이다. 이 경우 엄밀히 말해 공급망 공격이라고 말하기 힘들 수 있고, 실제 보안 전문가들은 트위터를 통해 이번 사태가 공급망 공격인지 아닌지 토론을 벌이고 있기도 하다.
1)번의 경우가 사실이라면 레빌을 사용하는 공격자들의 직접 공격을 받은 기업은 카세야 하나 뿐일 가능성이 높아진다. 반대로 2)번의 경우가 사실이라면 공격자들이 VSA를 사용하는 MSP들을 대상으로 대량 익스플로잇 공격을 시도했을 가능성이 높아진다. 어느 쪽이나 충분한 가능성을 가지고 있다. 원격에서 고객 네트워크를 관리하는 MSP의 특성상 인터넷에 VSA를 연결해 사용하는 경우가 대다수이기 때문에 후자에 좀 더 무게가 쏠리고 있기도 하다.
하지만 공급망 공격이냐, 취약점 익스플로잇 공격이냐를 규정하는 것이 이 사건의 핵심은 아니다. (그렇기에 피해와 복구가 아니라 사건의 ‘유형’에 집착하는 트위터의 설전 자체를 비판하는 글들도 나오고 있다.) 핵심은, 레빌이 ‘랜섬웨어’라는 것이다. 공격자들은 공급망을 침해했든 소프트웨어를 직접 침해했든, 결국 VSA의 고객들인 MSP와, 그 MSP의 고객들인 수천 개 사용자 기업들에 자신들의 손을 뻗치는 것에 성공했으며, 이를 통해 랜섬웨어를 퍼트리고 있다. 그러면서 세계 곳곳에서 사업 활동 마비 현상이 나타나고 있다.
그런 와중에 레빌 랜섬웨어 공격자들은 피해자들로부터 돈을 더 많이 요구하고 있다. 자신들의 공격이 꽤나 성공적이었음을 확신하니 나오는 움직임이다. 카세야는 보안 업체인 파이어아이(FireEye)에 사건 조사와 해결을 의뢰한 상태다. 지역별로 봤을 때 현재까지 가장 피해가 큰 지역은 미국과 독일이라고 한다. 레빌은 최근 JBS 푸즈(JBS Foods)라는 대형 육류 가공 업체를 마비시킨바 있다.
3줄 요약
1. 카세야 사태, 하필 연휴에 터지는 바람에 조사 상황 더디게 알려지고 있음.
2. 현재까지 수백~수천 개 기업과 조직에서 랜섬웨어 피해 발생할 가능성 높아 보임.
3. 공급망 공격이냐 취약점 익스플로잇이냐? 논쟁 한창이지만 문제의 핵심은 아냐.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 이른바 ‘카세야 사태’ 때문에 미국 보안 업계는 난리가 난 상황이다. 다만 독립기념일 연휴 기간이라 아직 사건에 대한 조사가 원활히 이뤄지지 않고 있으며, 따라서 사건에 대한 추가 사실도 천천히 공개되고 있다. 카세야 사태에 대한 이해를 돕기 위해 현재까지 밝혀진 사실들을 정리한다.
[이미지 = utoimage]
1. MSP란?
먼저 MSP란 ‘관리 서비스 제공업체(managed service provider)’의 준말로, 기업의 네트워크를 대신 관리해 주는 데 전문성을 가지고 있는 기업들이다. IT 관리 부서와 인력을 따로 두고 운영할 정도로 전문성과 자원을 확보하지 못하는 기업들은 대게 이 MSP 기업들과 계약을 맺고 자사 네트워크를 관리한다.
문제는 이 ‘네트워크 관리’라는 게 대단히 어렵고 복잡한 일이라는 것이다. MSP 기업이라고 해서 네트워크 관리가 쉬운 건 아니다. 그렇기 때문에 MSP의 네트워크 관리 업무를 수월하게 해 줄 소프트웨어들이 따로 존재하는데, MSP 기업들은 이러한 소프트웨어 개발사의 고객인 경우가 많다. 관리 소프트웨어 개발사는 MSP를 고객으로 두고, 다시 MSP는 여러 사용자 기업들을 고객으로 두고 있는 관계다. 카세야는 이 사슬과 같은 관계의 가장 아래에 있는 ‘네트워크 관리 소프트웨어 개발사’다. 그리고 이번에 문제가 된 소프트웨어는 카세야 VSA(Kaseya VSA)였다.
2. 공급망 공격이란?
위에서 설명한 ‘개발사 -> MSP -> 사용자 기업’의 관계를 소프트웨어 공급망이라고 한다. 공급망 공격은 이러한 관계의 뿌리나 초기 단계에 있는 소프트웨어를 공격함으로써 많은 고객사들에 악영향을 주는 방식의 공격을 말한다. 소프트웨어 하나 공격함으로써 수많은 고객사들을 공격한 것과 마찬가지 효과를 얻어갈 수 있다. 소프트웨어 개발사가 의외로 보안이 허술한 경우가 많고, 공격자 입장에서는 효율이 매우 좋은 기법이라 열심히 연구되고 있다.
작년 말과 올해 초 큰 소란의 원인이 됐던 솔라윈즈(SolarWinds) 사태 역시 대표적인 공급망 공격이었다. 그밖에 소프트웨어를 만드는 개발자들이, 소프트웨어 제작에 자주 사용하는 오픈소스 라이브러리나 코드를 미리 감염시켜 개발자들이 자신도 모르게 악성 소프트웨어를 만들도록 유도하는 식의 공격도 존재한다.
3. 카세야에서는 무슨 일이 있었나?
아직 이 문제에 대한 답은 명확히 나오지 않은 상태다. 긴 휴일이 겹쳐 있기 때문에 더 그렇다. 그러나 예상되는 시나리오는 크게 두 가지로 나뉜다.
1) 공격자들이 카세야 VSA에 대한 공급망 공격을 실시했다. 즉 카세야 VSA가 수많은 MSP 업체들에 이미 설치된 것을 안 공격자들이 업데이트 서버나 빌드 서버에 침투한 후 감염시킨 업데이트 파일을 MSP들에 전파했다.
2) VSA 소프트웨어에서 발견된 취약점을 익스플로잇 했다. 실제로 네덜란드 CERT에서는 VSA에서 취약점을 발견했고, 이를 카세야 측과 패치하고 있다고 말하는 중이다. 이 경우 엄밀히 말해 공급망 공격이라고 말하기 힘들 수 있고, 실제 보안 전문가들은 트위터를 통해 이번 사태가 공급망 공격인지 아닌지 토론을 벌이고 있기도 하다.
1)번의 경우가 사실이라면 레빌을 사용하는 공격자들의 직접 공격을 받은 기업은 카세야 하나 뿐일 가능성이 높아진다. 반대로 2)번의 경우가 사실이라면 공격자들이 VSA를 사용하는 MSP들을 대상으로 대량 익스플로잇 공격을 시도했을 가능성이 높아진다. 어느 쪽이나 충분한 가능성을 가지고 있다. 원격에서 고객 네트워크를 관리하는 MSP의 특성상 인터넷에 VSA를 연결해 사용하는 경우가 대다수이기 때문에 후자에 좀 더 무게가 쏠리고 있기도 하다.
하지만 공급망 공격이냐, 취약점 익스플로잇 공격이냐를 규정하는 것이 이 사건의 핵심은 아니다. (그렇기에 피해와 복구가 아니라 사건의 ‘유형’에 집착하는 트위터의 설전 자체를 비판하는 글들도 나오고 있다.) 핵심은, 레빌이 ‘랜섬웨어’라는 것이다. 공격자들은 공급망을 침해했든 소프트웨어를 직접 침해했든, 결국 VSA의 고객들인 MSP와, 그 MSP의 고객들인 수천 개 사용자 기업들에 자신들의 손을 뻗치는 것에 성공했으며, 이를 통해 랜섬웨어를 퍼트리고 있다. 그러면서 세계 곳곳에서 사업 활동 마비 현상이 나타나고 있다.
그런 와중에 레빌 랜섬웨어 공격자들은 피해자들로부터 돈을 더 많이 요구하고 있다. 자신들의 공격이 꽤나 성공적이었음을 확신하니 나오는 움직임이다. 카세야는 보안 업체인 파이어아이(FireEye)에 사건 조사와 해결을 의뢰한 상태다. 지역별로 봤을 때 현재까지 가장 피해가 큰 지역은 미국과 독일이라고 한다. 레빌은 최근 JBS 푸즈(JBS Foods)라는 대형 육류 가공 업체를 마비시킨바 있다.
3줄 요약
1. 카세야 사태, 하필 연휴에 터지는 바람에 조사 상황 더디게 알려지고 있음.
2. 현재까지 수백~수천 개 기업과 조직에서 랜섬웨어 피해 발생할 가능성 높아 보임.
3. 공급망 공격이냐 취약점 익스플로잇이냐? 논쟁 한창이지만 문제의 핵심은 아냐.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
