‘역대급’ 해킹 사고들이 올해 한꺼번에 일어났다. 불행 중 다행이라면 이 사건들을 통해 우리가 배워야 할 것들도 같이 수면 위로 떠올랐다는 것이다. 그것들을 이번 주말 건져본다.
[보안뉴스 문가용 기자] 데이터 침해 사고의 원인은 다양하다. 하지만 원인의 뿌리로까지 거슬러 올라가다보면 한두 가지로 줄어드는 것이 대부분이다. RDP 서버를 잘못 설정했다든지, 악성 링크를 유독 자주 클릭하는 직원이 있다든지, 퇴사자의 계정을 삭제하지 않았다는 등 보안 실천 사항을 제대로 실천하지 못함으로써 탐지할 수 있었던 것을 못하거나 처리할 수 있었던 것을 하지 못하는 것이 바로 그것이다.
[이미지 = utoimage]
또한 침해 사고는 공격자들의 전략과 기술력 등을 드러내기도 한다. 이를 가장 분명히 드러내는 건 최근의 랜섬웨어 공격자들이다. 랜섬웨어 공격자들은 데이터를 유출시킨 후 암호화까지 진행해 가며 사용자들을 압박한다. 이들은 불과 얼마 전까지만 하더라도 암호화만 하던 자들이었다. 게다가 지금은 디도스 공격을 가미하기도 한다. 이런 공격자들의 변화를 통해 우리는 랜섬웨어 운영자들의 이중협박, 삼중협박과 같은 전략을 알게 된다.
그렇기에 각종 사이버 공격의 피해 사례들은 귀중한 학습 자료가 된다. 보안을 강화시킬 수 있는 재료가 된다는 것이다. 게다가 올해는 어느 해에나 최악의 사건으로 꼽힐만한 사건들이 상반기에만 연달아 발생하기도 했었다. 배울 것이 많은 해다. 그런 측면에서 올해 현재까지의 굵직한 사건들을 정리해 본다.
1. 마이크로소프트 익스체인지 서버 사태
마이크로소프트 익스체인지(Microsoft Exchange) 서버를 겨냥해 중국의 해킹 단체인 하프늄(Hafnium)이 제로데이 익스플로잇 공격을 실시했다. 직접 혹은 간접적인 영향을 받은 조직이 전 세계적으로 3만 개가 넘는다. 이 사건에 연루된 취약점들을 흔히 프록시로그온(ProxyLogon)이라고 부른다. MS가 파악하기 전에 공격자들이 활용한 제로데이 취약점으로, MS는 3월 초에 패치를 내놓았다. 당시 MS는 하프늄이라는 단체만 제한적인 경우에 익스플로잇 하고 있다며 피해 규모를 축소시켜 발표했다.
하지만 프록시로그온에 대한 소식이 등장하자마자 익스체인지 서버에 대한 공격은 기하급수적으로 늘어났다. 수많은 APT 단체들과 사이버 범죄 단체들까지 프록시로그온을 스캔하고 익스플로잇 하기 시작했다. 버그크라우드(Bugcrowd)의 CTO인 케이시 엘리스(Casey Ellis)는 “하프늄의 프록시로그온 익스플로잇 이후 APT 단체들의 전략이 바뀌었다”고 설명한다. “원래는 소수의 표적을 조용하고 은밀하게 공격하던 것이 보통이었는데, 지금 APT 단체들은 취약점 익스플로잇을 대대적으로 진행합니다.”
엘리스는 “유명 소프트웨어나 시스템의 취약점 소식이 널리 알려졌을 때 해커 커뮤니티 전체가 그쪽으로 크게 몰리는 현상이 MS 익스체인지 서버 사태를 통해 노골적으로 드러났다”고 말하기도 한다. “해커 커뮤니티 전체가 상어 떼처럼 움직였어요. 물에서 피 냄새를 맡은 상어 떼요. 이건 범죄자 커뮤니티만을 말하는 게 아닙니다. 취약점을 연구하는 좋은 사람들 역시 포함하는 말입니다. 취약점 소식이 나왔을 때 ‘우리는 아직까지 괜찮네’에서 그치면 안 되고, ‘앞으로 공격이 몰리겠네’라고 생각해야 합니다.”
2. 콜로니얼 파이프라인(Colonial Pipeline) 사태
어쩌면 역사상 가장 임팩트가 컸던 랜섬웨어 사건일지 모르는 콜로니얼 파이프라인 사태는 이번 해 5월에 발생했다. 러시아의 범죄자 그룹인 다크사이드(DarkSide)가 저지른 짓으로, 콜로니얼 파이프라인은 창립 이후 처음으로 ‘완전 정지’ 사태를 경험했다. 그러면서 미국의 동부 해안 지역에서 에너지 고갈 사태가 일어나고 사회 전체가 커다란 혼란에 빠져들었다.
이 사건으로 사이버 공격이 사회적으로 큰 파장을 일으킬 수 있다는 사실이 입증됐다. 국가 전체가 흔들릴 수 있다는 게 이론상으로만 나오는 이야기가 아님이 정치인들에게도 각인됐다. 바이든 대통령은 실제로 이 사건 직후 행정명령을 내려 사회 기반 시스템과 연방 기관들의 보안 강화를 강력히 지시했다. 그러면서 “미국은 사이버 범죄자 집단을 미국의 방법으로 와해시키겠다”고 발표하며 외국 정부들에 협력을 종용하기도 했다.
이 협박이 먹혔는지 다크사이드는 자취를 감췄다. 물론 후계자로 보이는 다른 그룹이 나타나 활동을 시작하기는 했다. 이 사건으로 랜섬웨어 사고는 국가적인 차원에서 다뤄야 할 것이라는 인식에 많은 사람들이 동의하기 시작했다. 그렇다는 건 피해자들이 적극적으로 신고를 할 수 있는 인프라가 갖춰져야 한다는 뜻이다.
3. 액셀리온(Accellion) 사태
액셀리온은 파일 전송 장비를 만들어 공급하는 회사다. 크로거(Kroger)라는 대형 도소매 업체, 존스데이(Jones Day)라는 로펌, 워싱턴 주 정부, 퀄리스(Qualys)라는 보안 업체 등 수많은 기업과 조직들이 액셀리온의 파일 전송 시스템을 사용한다. 문제는 이 시스템이 너무나 오래됐고, 취약점도 다수 발견되었다는 것이다. 공격자들이 액셀리온을 공격하는 방법을 알게 되자 수많은 조직들이 피해를 입기 시작했다. 민감한 정보가 다량으로 유출됐고, 이 정보들은 다크웹에 나타나 거래되기 시작했다.
이 사태는 작년 말 발생해 올해 초까지 커다란 화제가 되었던 솔라윈즈(SolarWinds) 사태를 연상케 한다. 즉 소프트웨어나 장비의 공급망이 꽤나 취약하다는 것이 고스란히 드러난 사건이라는 것이다. 보안 업체 넷엔리치(Netenrich)의 수석 연구원인 조셉 밤베넥(Joseph Bambenek)은 “공급망 공격의 강력함이 반복해서 증명되고 있지만, 해결이 쉽지 않아서 문제”라고 말한다.
“단순히 개발자들이 시큐어 코딩을 실천하느냐 마느냐의 문제가 아닙니다. 사실 개발자들의 모든 코딩 행위를 하나하나 제어할 수도 없고, 모니터링 할 수도 없습니다. 중요한 건 ‘공격의 사슬’을 탐지해서 끊어내는 능력입니다. 공격자들은 침투해서 악성 행위를 실시할 때까지 단계별로 공격을 진행하는데, 이걸 초기에 발견해 공격 피해를 최소화 하는 게 중요합니다. 시큐어 코딩의 실천이라는 건 연쇄적으로 일어나는 공격의 초기 단계를 힘들게 만드는 방법 중 하나입니다. 조직들은 ‘공격의 사슬’이라는 개념을 가지고 방어를 해야 합니다.”
보안 업체 타이코틱센트리파이(ThycoticCentrify)의 CISO인 조셉 카슨(Joseph Carson)은 “액셀리온 사태는 처음 APT 단체가 뚫어놓은 길을 일반 사이버 범죄 단체들이 우루루 활용하기 시작하는 대표적 사례”라고 지적하기도 한다. “고급 기술을 가진 APT 단체들의 공격 행위와 기술은 반드시라고 해도 될 만큼 금세 모방되고 복제됩니다. 사이버 범죄자들의 기술력이 빠르게 상향평준화 되는 이유입니다. 심층적인 방어가 점점 더 필요해지는 이유입니다.”
4. 각종 VPN 시스템의 공격
코로나 사태로 인해 VPN의 사용률이 크게 늘어났다. 그러면서 VPN에 대한 해커들의 연구 활동도 왕성해졌다. 특히 펄스시큐어(Pulse Secure)와 포티넷(Fortinet)의 VPN 제품들이 많은 주목을 받았다. VPN 장비와 시스템을 겨냥한 공격은 주로 취약점 익스플로잇 방식으로 일어났는데, 재미있는 건 대부분의 장비 및 시스템 제조사들이 오래 전에 이 취약점을 파악하고 패치까지 내놓았다는 것이다. 펄스시큐어와 포티넷도 마찬가지였다.
지난 7월 미국의 사이버 보안 전담 기관인 CISA는 “사이버 공격자들이 이미 오래 전부터 알려진 소프트웨어 취약점을 계속 익스플로잇 하고 있다”는 내용의 경고문을 발표하기도 했다. 패치까지 개발이 다 되었기 때문에 다운로드 받아서 적용하기만 하면 훨씬 안전해지는 건데 왜 그걸 하지 않느냐는 것이다.
코로나 때문에 ‘분산 네트워크’가 좀 더 보편화 된 상태라 앞으로 VPN은 계속해서 중요해질 것이고, 따라서 VPN을 겨냥한 공격도 더 거세질 전망이다. 엘리스는 “앞으로도 VPN에서는 지속적으로 취약점들이 나올 것이 분명하다”며 “VPN 사용자들이라면 취약점과 패치 소식에도 민감해져야 할 것”이라고 권고했다.
5. 카세야(Kaseya) 사태
7월, 카세야의 VSA 기술이 대대적인 공격에 노출됐다. 문제는 카세야 VSA의 주요 고객층이 MSP 서비스를 제공하던 업체였다는 것이다. 즉 수많은 기업들이 본의 아니게 얽혀들었다는 뜻이다. MSP는 매니지드 서비스 제공 업체로 고객사의 네트워크를 대신 관리해 준다. 그래서 MSP가 당하면 수많은 기업들이 덩달아 당하게 된다. 카세야 사태에서 일어난 것이 바로 이 일이다. 실제 많은 MSP 고객사들이 카세야 VSA 익스플로잇을 통해 랜섬웨어에 감염됐다.
엘리스는 “카세야 사태로 인해 인터넷 구조 자체의 위험성이 노골적으로 드러났다”고 말한다. “너무나 복잡하게 구성되어 있고, 그래서 지금 우리가 보고 누리는 기술들의 뿌리를 어떤 요소가 떠받치고 있는지가 보이지 않습니다. 생각지도 않은 요소가 저 밑에서부터 흔들리기 시작할 때 생각지도 못한 규모의 사건이 발생할 수 있습니다. 이걸 공격자들이 이해하기 시작했고, 아주 정교하게 노리고 있습니다.”
카세야 사태는 일각에서 ‘공급망 공격’으로 분류되기도 한다. 이 분류에 대해서는 논란이 있지만 “어쨌든 사소하고 작은 요소 하나를 건드림으로써 수많은 조직들에 큰 피해를 한꺼번에 줄 수 있다는 점은 분명하다”고 엘리스는 설명한다. 엘리스는 “IT 업계가 소프트웨어 디펜던시에 대한 연구와 개선책을 마련해야 하는 문제”라고 정리한다. “그리고 개별 조직 차원에서는 현재 사용하고 있는 오픈소스 요소 등 각종 디펜던시의 구조를 파악하는 방법을 마련해야 한다”고 권고했다.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 데이터 침해 사고의 원인은 다양하다. 하지만 원인의 뿌리로까지 거슬러 올라가다보면 한두 가지로 줄어드는 것이 대부분이다. RDP 서버를 잘못 설정했다든지, 악성 링크를 유독 자주 클릭하는 직원이 있다든지, 퇴사자의 계정을 삭제하지 않았다는 등 보안 실천 사항을 제대로 실천하지 못함으로써 탐지할 수 있었던 것을 못하거나 처리할 수 있었던 것을 하지 못하는 것이 바로 그것이다.
[이미지 = utoimage]
또한 침해 사고는 공격자들의 전략과 기술력 등을 드러내기도 한다. 이를 가장 분명히 드러내는 건 최근의 랜섬웨어 공격자들이다. 랜섬웨어 공격자들은 데이터를 유출시킨 후 암호화까지 진행해 가며 사용자들을 압박한다. 이들은 불과 얼마 전까지만 하더라도 암호화만 하던 자들이었다. 게다가 지금은 디도스 공격을 가미하기도 한다. 이런 공격자들의 변화를 통해 우리는 랜섬웨어 운영자들의 이중협박, 삼중협박과 같은 전략을 알게 된다.
그렇기에 각종 사이버 공격의 피해 사례들은 귀중한 학습 자료가 된다. 보안을 강화시킬 수 있는 재료가 된다는 것이다. 게다가 올해는 어느 해에나 최악의 사건으로 꼽힐만한 사건들이 상반기에만 연달아 발생하기도 했었다. 배울 것이 많은 해다. 그런 측면에서 올해 현재까지의 굵직한 사건들을 정리해 본다.
1. 마이크로소프트 익스체인지 서버 사태
마이크로소프트 익스체인지(Microsoft Exchange) 서버를 겨냥해 중국의 해킹 단체인 하프늄(Hafnium)이 제로데이 익스플로잇 공격을 실시했다. 직접 혹은 간접적인 영향을 받은 조직이 전 세계적으로 3만 개가 넘는다. 이 사건에 연루된 취약점들을 흔히 프록시로그온(ProxyLogon)이라고 부른다. MS가 파악하기 전에 공격자들이 활용한 제로데이 취약점으로, MS는 3월 초에 패치를 내놓았다. 당시 MS는 하프늄이라는 단체만 제한적인 경우에 익스플로잇 하고 있다며 피해 규모를 축소시켜 발표했다.
하지만 프록시로그온에 대한 소식이 등장하자마자 익스체인지 서버에 대한 공격은 기하급수적으로 늘어났다. 수많은 APT 단체들과 사이버 범죄 단체들까지 프록시로그온을 스캔하고 익스플로잇 하기 시작했다. 버그크라우드(Bugcrowd)의 CTO인 케이시 엘리스(Casey Ellis)는 “하프늄의 프록시로그온 익스플로잇 이후 APT 단체들의 전략이 바뀌었다”고 설명한다. “원래는 소수의 표적을 조용하고 은밀하게 공격하던 것이 보통이었는데, 지금 APT 단체들은 취약점 익스플로잇을 대대적으로 진행합니다.”
엘리스는 “유명 소프트웨어나 시스템의 취약점 소식이 널리 알려졌을 때 해커 커뮤니티 전체가 그쪽으로 크게 몰리는 현상이 MS 익스체인지 서버 사태를 통해 노골적으로 드러났다”고 말하기도 한다. “해커 커뮤니티 전체가 상어 떼처럼 움직였어요. 물에서 피 냄새를 맡은 상어 떼요. 이건 범죄자 커뮤니티만을 말하는 게 아닙니다. 취약점을 연구하는 좋은 사람들 역시 포함하는 말입니다. 취약점 소식이 나왔을 때 ‘우리는 아직까지 괜찮네’에서 그치면 안 되고, ‘앞으로 공격이 몰리겠네’라고 생각해야 합니다.”
2. 콜로니얼 파이프라인(Colonial Pipeline) 사태
어쩌면 역사상 가장 임팩트가 컸던 랜섬웨어 사건일지 모르는 콜로니얼 파이프라인 사태는 이번 해 5월에 발생했다. 러시아의 범죄자 그룹인 다크사이드(DarkSide)가 저지른 짓으로, 콜로니얼 파이프라인은 창립 이후 처음으로 ‘완전 정지’ 사태를 경험했다. 그러면서 미국의 동부 해안 지역에서 에너지 고갈 사태가 일어나고 사회 전체가 커다란 혼란에 빠져들었다.
이 사건으로 사이버 공격이 사회적으로 큰 파장을 일으킬 수 있다는 사실이 입증됐다. 국가 전체가 흔들릴 수 있다는 게 이론상으로만 나오는 이야기가 아님이 정치인들에게도 각인됐다. 바이든 대통령은 실제로 이 사건 직후 행정명령을 내려 사회 기반 시스템과 연방 기관들의 보안 강화를 강력히 지시했다. 그러면서 “미국은 사이버 범죄자 집단을 미국의 방법으로 와해시키겠다”고 발표하며 외국 정부들에 협력을 종용하기도 했다.
이 협박이 먹혔는지 다크사이드는 자취를 감췄다. 물론 후계자로 보이는 다른 그룹이 나타나 활동을 시작하기는 했다. 이 사건으로 랜섬웨어 사고는 국가적인 차원에서 다뤄야 할 것이라는 인식에 많은 사람들이 동의하기 시작했다. 그렇다는 건 피해자들이 적극적으로 신고를 할 수 있는 인프라가 갖춰져야 한다는 뜻이다.
3. 액셀리온(Accellion) 사태
액셀리온은 파일 전송 장비를 만들어 공급하는 회사다. 크로거(Kroger)라는 대형 도소매 업체, 존스데이(Jones Day)라는 로펌, 워싱턴 주 정부, 퀄리스(Qualys)라는 보안 업체 등 수많은 기업과 조직들이 액셀리온의 파일 전송 시스템을 사용한다. 문제는 이 시스템이 너무나 오래됐고, 취약점도 다수 발견되었다는 것이다. 공격자들이 액셀리온을 공격하는 방법을 알게 되자 수많은 조직들이 피해를 입기 시작했다. 민감한 정보가 다량으로 유출됐고, 이 정보들은 다크웹에 나타나 거래되기 시작했다.
이 사태는 작년 말 발생해 올해 초까지 커다란 화제가 되었던 솔라윈즈(SolarWinds) 사태를 연상케 한다. 즉 소프트웨어나 장비의 공급망이 꽤나 취약하다는 것이 고스란히 드러난 사건이라는 것이다. 보안 업체 넷엔리치(Netenrich)의 수석 연구원인 조셉 밤베넥(Joseph Bambenek)은 “공급망 공격의 강력함이 반복해서 증명되고 있지만, 해결이 쉽지 않아서 문제”라고 말한다.
“단순히 개발자들이 시큐어 코딩을 실천하느냐 마느냐의 문제가 아닙니다. 사실 개발자들의 모든 코딩 행위를 하나하나 제어할 수도 없고, 모니터링 할 수도 없습니다. 중요한 건 ‘공격의 사슬’을 탐지해서 끊어내는 능력입니다. 공격자들은 침투해서 악성 행위를 실시할 때까지 단계별로 공격을 진행하는데, 이걸 초기에 발견해 공격 피해를 최소화 하는 게 중요합니다. 시큐어 코딩의 실천이라는 건 연쇄적으로 일어나는 공격의 초기 단계를 힘들게 만드는 방법 중 하나입니다. 조직들은 ‘공격의 사슬’이라는 개념을 가지고 방어를 해야 합니다.”
보안 업체 타이코틱센트리파이(ThycoticCentrify)의 CISO인 조셉 카슨(Joseph Carson)은 “액셀리온 사태는 처음 APT 단체가 뚫어놓은 길을 일반 사이버 범죄 단체들이 우루루 활용하기 시작하는 대표적 사례”라고 지적하기도 한다. “고급 기술을 가진 APT 단체들의 공격 행위와 기술은 반드시라고 해도 될 만큼 금세 모방되고 복제됩니다. 사이버 범죄자들의 기술력이 빠르게 상향평준화 되는 이유입니다. 심층적인 방어가 점점 더 필요해지는 이유입니다.”
4. 각종 VPN 시스템의 공격
코로나 사태로 인해 VPN의 사용률이 크게 늘어났다. 그러면서 VPN에 대한 해커들의 연구 활동도 왕성해졌다. 특히 펄스시큐어(Pulse Secure)와 포티넷(Fortinet)의 VPN 제품들이 많은 주목을 받았다. VPN 장비와 시스템을 겨냥한 공격은 주로 취약점 익스플로잇 방식으로 일어났는데, 재미있는 건 대부분의 장비 및 시스템 제조사들이 오래 전에 이 취약점을 파악하고 패치까지 내놓았다는 것이다. 펄스시큐어와 포티넷도 마찬가지였다.
지난 7월 미국의 사이버 보안 전담 기관인 CISA는 “사이버 공격자들이 이미 오래 전부터 알려진 소프트웨어 취약점을 계속 익스플로잇 하고 있다”는 내용의 경고문을 발표하기도 했다. 패치까지 개발이 다 되었기 때문에 다운로드 받아서 적용하기만 하면 훨씬 안전해지는 건데 왜 그걸 하지 않느냐는 것이다.
코로나 때문에 ‘분산 네트워크’가 좀 더 보편화 된 상태라 앞으로 VPN은 계속해서 중요해질 것이고, 따라서 VPN을 겨냥한 공격도 더 거세질 전망이다. 엘리스는 “앞으로도 VPN에서는 지속적으로 취약점들이 나올 것이 분명하다”며 “VPN 사용자들이라면 취약점과 패치 소식에도 민감해져야 할 것”이라고 권고했다.
5. 카세야(Kaseya) 사태
7월, 카세야의 VSA 기술이 대대적인 공격에 노출됐다. 문제는 카세야 VSA의 주요 고객층이 MSP 서비스를 제공하던 업체였다는 것이다. 즉 수많은 기업들이 본의 아니게 얽혀들었다는 뜻이다. MSP는 매니지드 서비스 제공 업체로 고객사의 네트워크를 대신 관리해 준다. 그래서 MSP가 당하면 수많은 기업들이 덩달아 당하게 된다. 카세야 사태에서 일어난 것이 바로 이 일이다. 실제 많은 MSP 고객사들이 카세야 VSA 익스플로잇을 통해 랜섬웨어에 감염됐다.
엘리스는 “카세야 사태로 인해 인터넷 구조 자체의 위험성이 노골적으로 드러났다”고 말한다. “너무나 복잡하게 구성되어 있고, 그래서 지금 우리가 보고 누리는 기술들의 뿌리를 어떤 요소가 떠받치고 있는지가 보이지 않습니다. 생각지도 않은 요소가 저 밑에서부터 흔들리기 시작할 때 생각지도 못한 규모의 사건이 발생할 수 있습니다. 이걸 공격자들이 이해하기 시작했고, 아주 정교하게 노리고 있습니다.”
카세야 사태는 일각에서 ‘공급망 공격’으로 분류되기도 한다. 이 분류에 대해서는 논란이 있지만 “어쨌든 사소하고 작은 요소 하나를 건드림으로써 수많은 조직들에 큰 피해를 한꺼번에 줄 수 있다는 점은 분명하다”고 엘리스는 설명한다. 엘리스는 “IT 업계가 소프트웨어 디펜던시에 대한 연구와 개선책을 마련해야 하는 문제”라고 정리한다. “그리고 개별 조직 차원에서는 현재 사용하고 있는 오픈소스 요소 등 각종 디펜던시의 구조를 파악하는 방법을 마련해야 한다”고 권고했다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
