VPN이 점점 더 노골적인 공격 대상이 되어가고 있다. 이 때문에 회사들은 외부에서 접속하는 우리 직원과 남의 직원을 구분하기가 어려워지고 있다.
[보안뉴스 문가용 기자] 시스코의 탈로스(Talos) 팀이 새로운 보안 경고를 발표했다. 각종 VPN 서비스들과 SSH 서비스, 웹 애플리케이션을 겨냥한 대규모 브루트포스 공격이 실행되고 있다는 것이다. 공격자들은 기계적으로 생성한 사용자 이름들을 무작위로 대입하고 있으며, 이를 통해 피해자 환경에 침투하려 한다고 탈로스 팀은 경고했다. 공격의 표적은 다양하며, 특정 산업군이나 지역을 따로 노리는 것으로 보이지 않는다고 한다.
[이미지 = gettyimagesbank]
다만 이 공격의 표적에는 한 가지 패턴이 존재한다. 시스코의 시큐어파이어월 VPN(Secure Firewall VPN), 체크포인트 VPN(CheckPoint VPN), 포티넷 VPN(Fortinet VPN), 소닉월 VPN(SonicWall VPN), 미크로틱(Mikrotik) 제품 및 드라이텍(Draytek) 제품을 사용하고 있다는 것이었다.
공격은 증가할 것
“어떤 환경이 어떤 수위의 공격을 받았는지에 따라 피해 상황은 달라집니다. 어떤 경우는 불법적인 네트워크 접속이 가능하고, 어떤 경우에는 피해자 계정을 완전히 잠글 수 있기도 하고, 어떤 경우에는 디도스 공격을 할 수 있기도 합니다. 이 캠페인은 3월 28일부터 급증하기 시작했으며, 패턴을 보건데 앞으로 더 심해질 것으로 예상됩니다.” 시스코 측의 설명이다.
시스코는 공격과 관련된 IP 주소와 크리덴셜 등으로 구성된 침해 지표를 보안 권고문을 통해 공개했다. 물론 이 IP 주소들은 시간이 지남에 따라 변동될 가능성이 높다는 주의 사항도 따라 붙어있었다.
이번에 등장한 캠페인은 사실 예견되어 있던 것이나 다름 없다. 최근 공격자들은 VPN을 즐겨 공략하고 있기 때문이다. 원격 근무라는 선택지가 코로나 시절에 생겨난 뒤로부터 외부에서 회사 네트워크로 접속하는 데 사용되는 기술들은 VPN이 아니더라도 대다수가 공격 대상이 된 지 오래다. 이 때문에 미국의 CISA나 FBI, NSA와 같은 보안 및 안전 관련 기관들에서는 꽤나 오래 전부터 관련된 보안 경고문을 주기적으로 발표해 왔었다.
VPN 취약점들의 폭발적인 증가
보안 업체 세큐린(Securin)이 조사한 바에 의하면 2020년부터 2024년 사이에 VPN 제품들에서 발견된 취약점의 수는 875% 증가했다고 한다. “8개 제품 전체에서 147개 발견되던 것이, 현재 78개 제품에서 1800개 가까이 발견되고 있습니다. 이 중에서 공격자들이 실제 캠페인에 활용하는 취약점은 204개입니다. 그 중 APT 조직이라고 알려진 자들이 익스플로잇 한 취약점은 26개이고, 랜섬웨어 조직들이 익스플로잇 한 취약점은 16개입니다.”
VPN을 노리는 가장 기본적인 방법은 ‘비밀번호 분사(password spaying)’라고 불리는 것으로, 시스코의 VPN 제품들도 이런 공격에 자주 노출되고 있다고 탈로스 팀은 설명한다. “비밀번호 분사 공격이란, 공격자들이 여러 개 계정들에 아무 비밀번호를 마구잡이로 대입하는 것을 말합니다. 주로 디폴트 비밀번호나 사용자들이 자주 설정하는 비밀번호를 대입하죠. 그렇게 해서 하나라도 맞아떨어지면 해당 VPN에 정상적으로 로그인할 수 있게 됩니다.”
정찰을 위한 것?
공격자들은 왜 VPN을 집중적으로 공략하는 것일까? 시스코는 “대부분 정보 수집을 위한 것으로 보인다”고 추정한다. 그러면서 “비밀번호 분사 공격에 노출되면 세 가지 현상이 나타날 수 있다”고 귀띔하기도 했다. “하나는 VPN 연결이 잘 되지 않거나 자주 끊긴다는 겁니다. 시스코 VPN 제품의 경우 호스트스캔(HostScan) 토큰이 제대로 작동하지 않기도 합니다. 마지막으로 인증 요청의 빈도가 비정상적으로 높아집니다.”
VPN을 사용하는 기업이나 기관이라면 몇 가지 지켜야 할 안전 수칙이 있다고 탈로스 팀은 권장한다. “원격에서 VPN으로 회사 네트워크에 접속하려 하는 행위 자체를 안전하게 보강해야 합니다. 디폴트 비밀번호를 버리고 강력한 것으로 대체하며, 다중인증을 적용하는 게 좋습니다. 접속 시도가 이뤄지는 IP 주소를 화이트리스트 처리해서 그 외의 주소로는 접속이 되지 않게 하는 것도 현명한 방법입니다. 원격 접속을 허용하는 장비를 따로 지정하는 것도 권장할 만합니다.”
보안 업체 섹티고(Sectigo)의 부회장 제이슨 소로코(Jason Soroko)는 “VPN을 공략한다는 건, 하드웨어나 소프트웨어의 취약점을 공략한다는 것과 다른 이야기”라고 강조한다. “그런 경우들은 패치만 하면 대부분 문제가 해결됩니다. 하지만 VPN의 경우, 주로 약한 비밀번호나 설정 오류들을 공략하는 게 대부분입니다. 즉 우리의 보안 습관을 공략하는 것이라고 볼 수 있습니다. 이건 패치로 해결될 게 아니죠. 아니, 보안 습관과 문화를 패치해야 해결될 수 있습니다.”
3줄 요약
1. 최근 특정 VPN 제품들 노리는 공격이 급증하고 있음.
2. 사실 코로나 때부터 시작되고 있었던 유행.
3. 대부분 약한 비밀번호와 설정 오류 노리는 방법으로 공략.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 시스코의 탈로스(Talos) 팀이 새로운 보안 경고를 발표했다. 각종 VPN 서비스들과 SSH 서비스, 웹 애플리케이션을 겨냥한 대규모 브루트포스 공격이 실행되고 있다는 것이다. 공격자들은 기계적으로 생성한 사용자 이름들을 무작위로 대입하고 있으며, 이를 통해 피해자 환경에 침투하려 한다고 탈로스 팀은 경고했다. 공격의 표적은 다양하며, 특정 산업군이나 지역을 따로 노리는 것으로 보이지 않는다고 한다.
[이미지 = gettyimagesbank]
다만 이 공격의 표적에는 한 가지 패턴이 존재한다. 시스코의 시큐어파이어월 VPN(Secure Firewall VPN), 체크포인트 VPN(CheckPoint VPN), 포티넷 VPN(Fortinet VPN), 소닉월 VPN(SonicWall VPN), 미크로틱(Mikrotik) 제품 및 드라이텍(Draytek) 제품을 사용하고 있다는 것이었다.
공격은 증가할 것
“어떤 환경이 어떤 수위의 공격을 받았는지에 따라 피해 상황은 달라집니다. 어떤 경우는 불법적인 네트워크 접속이 가능하고, 어떤 경우에는 피해자 계정을 완전히 잠글 수 있기도 하고, 어떤 경우에는 디도스 공격을 할 수 있기도 합니다. 이 캠페인은 3월 28일부터 급증하기 시작했으며, 패턴을 보건데 앞으로 더 심해질 것으로 예상됩니다.” 시스코 측의 설명이다.
시스코는 공격과 관련된 IP 주소와 크리덴셜 등으로 구성된 침해 지표를 보안 권고문을 통해 공개했다. 물론 이 IP 주소들은 시간이 지남에 따라 변동될 가능성이 높다는 주의 사항도 따라 붙어있었다.
이번에 등장한 캠페인은 사실 예견되어 있던 것이나 다름 없다. 최근 공격자들은 VPN을 즐겨 공략하고 있기 때문이다. 원격 근무라는 선택지가 코로나 시절에 생겨난 뒤로부터 외부에서 회사 네트워크로 접속하는 데 사용되는 기술들은 VPN이 아니더라도 대다수가 공격 대상이 된 지 오래다. 이 때문에 미국의 CISA나 FBI, NSA와 같은 보안 및 안전 관련 기관들에서는 꽤나 오래 전부터 관련된 보안 경고문을 주기적으로 발표해 왔었다.
VPN 취약점들의 폭발적인 증가
보안 업체 세큐린(Securin)이 조사한 바에 의하면 2020년부터 2024년 사이에 VPN 제품들에서 발견된 취약점의 수는 875% 증가했다고 한다. “8개 제품 전체에서 147개 발견되던 것이, 현재 78개 제품에서 1800개 가까이 발견되고 있습니다. 이 중에서 공격자들이 실제 캠페인에 활용하는 취약점은 204개입니다. 그 중 APT 조직이라고 알려진 자들이 익스플로잇 한 취약점은 26개이고, 랜섬웨어 조직들이 익스플로잇 한 취약점은 16개입니다.”
VPN을 노리는 가장 기본적인 방법은 ‘비밀번호 분사(password spaying)’라고 불리는 것으로, 시스코의 VPN 제품들도 이런 공격에 자주 노출되고 있다고 탈로스 팀은 설명한다. “비밀번호 분사 공격이란, 공격자들이 여러 개 계정들에 아무 비밀번호를 마구잡이로 대입하는 것을 말합니다. 주로 디폴트 비밀번호나 사용자들이 자주 설정하는 비밀번호를 대입하죠. 그렇게 해서 하나라도 맞아떨어지면 해당 VPN에 정상적으로 로그인할 수 있게 됩니다.”
정찰을 위한 것?
공격자들은 왜 VPN을 집중적으로 공략하는 것일까? 시스코는 “대부분 정보 수집을 위한 것으로 보인다”고 추정한다. 그러면서 “비밀번호 분사 공격에 노출되면 세 가지 현상이 나타날 수 있다”고 귀띔하기도 했다. “하나는 VPN 연결이 잘 되지 않거나 자주 끊긴다는 겁니다. 시스코 VPN 제품의 경우 호스트스캔(HostScan) 토큰이 제대로 작동하지 않기도 합니다. 마지막으로 인증 요청의 빈도가 비정상적으로 높아집니다.”
VPN을 사용하는 기업이나 기관이라면 몇 가지 지켜야 할 안전 수칙이 있다고 탈로스 팀은 권장한다. “원격에서 VPN으로 회사 네트워크에 접속하려 하는 행위 자체를 안전하게 보강해야 합니다. 디폴트 비밀번호를 버리고 강력한 것으로 대체하며, 다중인증을 적용하는 게 좋습니다. 접속 시도가 이뤄지는 IP 주소를 화이트리스트 처리해서 그 외의 주소로는 접속이 되지 않게 하는 것도 현명한 방법입니다. 원격 접속을 허용하는 장비를 따로 지정하는 것도 권장할 만합니다.”
보안 업체 섹티고(Sectigo)의 부회장 제이슨 소로코(Jason Soroko)는 “VPN을 공략한다는 건, 하드웨어나 소프트웨어의 취약점을 공략한다는 것과 다른 이야기”라고 강조한다. “그런 경우들은 패치만 하면 대부분 문제가 해결됩니다. 하지만 VPN의 경우, 주로 약한 비밀번호나 설정 오류들을 공략하는 게 대부분입니다. 즉 우리의 보안 습관을 공략하는 것이라고 볼 수 있습니다. 이건 패치로 해결될 게 아니죠. 아니, 보안 습관과 문화를 패치해야 해결될 수 있습니다.”
3줄 요약
1. 최근 특정 VPN 제품들 노리는 공격이 급증하고 있음.
2. 사실 코로나 때부터 시작되고 있었던 유행.
3. 대부분 약한 비밀번호와 설정 오류 노리는 방법으로 공략.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
