보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[bnTV] 해커들은 어디를 노리나? 역대 최악의 보안 취약점 TOP 3

입력 : 2023-07-12 17:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
백신 프로그램 취약점으로 발생한 ‘국방망 해킹’ 사건
오픈소스 소프트웨어의 보안 취약점에 경고등이 켜졌던 ‘하트블리드’ 사건
공급망 공격의 신호탄이 된 ‘솔라윈즈’ 사건과 ‘카세야’ 사태, 그리고 ‘log4j’ 이슈



■ 방송 : 보안뉴스TV(bnTV) <곽경주의 다크웹 인사이드> 33화
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 S2W 이사

□ 권준 국장 안녕하세요? 보안뉴스 권준 편집국장입니다.

■ 곽경주 이사 안녕하세요 S2W 곽경주입니다.

□ 권준 국장 반갑습니다. 너무 오랜 만에 뵙는 것 같은데요. 잘 지내셨죠?

■ 곽경주 이사 네, 정말 오랜 만에 뵙네요.

□ 권준 국장 오늘은 저희가 역대급 보안 취약점에 대해서 한번 살펴보려고 하거든요. 취약점과 관련해 TOP 3 정도 살펴보고 이사님의 의견을 듣고 싶습니다. TOP 3부터 한번 시작해 보시죠.

[백신 취약점(국방망 해킹 사건)]
■ 곽경주 이사 (제가) 현업에 있으면서 “정말 큰일이다. 국가안보에 큰일이었다”라고 할 만한 것이 ‘국방망 해킹 사고’였어요. 2016년에 알려진 사건이고, 이게 알려진 바로는 당시 9월쯤에 육·해·공군의 외부 인터넷망을 통해서 2만여 대의 보안을 관리하는 국방통합데이터센터 내부에 백신 중계 서버가 있거든요. 그곳을 통해서 악성코드가 유포된 거예요.

이때 사용된 취약점이 백신 프로그램의 취약점이었던 거예요. 백신이라는 것은 각 PC 단말마다 다 있잖아요. 그리고 이것을 관장하는 최상위의 노드(Node)가 하나 있는데요. 그곳을 해킹한 다음에 각 PC에 설치되어 있는 에이전트(Agent)에 악성코드를 다 뿌린 거예요. 공격자들은 이런 구조를 무척 좋아하거든요. 한 군데만 뚫어서 여러 군데에 악성코드를 유포할 수 있는 이런 구조를 매우 선호하는데 이때 이슈가 딱 그런 것이었고요.

당시에 감염된 컴퓨터를 보게 되면 당시 국방부장관의 PC를 포함해서 군 인터넷용 PC 2,500대, 그리고 내부용 PC 700대로 전체 3,200여대 정도로 파악이 됐었고 당시에 유출된 데이터도 많이 있었죠. 군사기밀이 많이 유출됐다고 알려져 있는데, 해당 사건 관련해서 최근까지 계속 재판이 진행됐죠. 서로 소송해서 해당 보안업체와 국방부 간의 첨예한 대립이 있었던 것으로 기억합니다.

□ 권준 국장 ‘보안 솔루션’하면 사실 일반인들도 그렇고 “아, 이게 문제가 있겠어?”라는 생각이 많잖아요, 기본적으로 아무 생각 없이 업데이트를 하게 되죠. 그것(보안 솔루션)을 믿고 하는 것인데요. 사실 그곳에 취약점이 있으면... 그 이후(국방망 해킹 사건)부터라고 볼 수 있을지는 모르겠지만, 보안 솔루션을 노리는 공격들이 되게 많아졌던 것 같아요. 그 이후부터도 그렇고 그래서 보안 솔루션들도 조금 더 보완하는 그런 계기가 된 것 같고요.

■ 곽경주 이사 그때 이후로 많은 것들이 바뀌었죠. 보안 솔루션의 안전성을 검증하는 것들도 많이 생겼고요.

□ 권준 국장 (보안) 패러다임을 바꾼 이슈였던 것 같기도 하고요.

▲[곽경주의 다크웹 인사이드] 33화 시작 화면[이미지=보안뉴스]


[하트블리드 취약점]
□ 권준 국장 그러면 두 번째로 한번 가볼까요?

■ 곽경주 이사 두 번째는 ‘하트블리드(HeartBleed)’라는 취약점인데요. 보안하는 분들한테는 굉장히 유명한 취약점이죠. HeartBleed, Shellshock 등의 대형 취약점들이 2014년 당시에 발견됐거든요. 일단 HeartBleed는 ‘오픈 SSL’이라고 하는 라이브러리의 취약점인데요. SSL이 뭐냐면, 여러분들 웹사이트를 접속할 때 위에 브라우저 상단에 URL이 적혀있는 곳을 보면 초록색 자물쇠가 있는 것을 보실 수 있을 텐데요. 그 주소를 보게 되면 ‘https’라고 적혀있는 것이 있어요. 이게 ‘http’가 있고 ‘https’가 있는데요. SSL이 적용됐을 경우에는 https가 붙습니다. 이것은 암호화 통신을 한다는 것이고 중간에서 누군가가 우리의 통신 내용을 보지 못한다고 보시면 될 것 같고요.

□ 권준 국장 요즘에는 그래서 다 SSL로 많이 바뀌는 추세 아닌가요?

■ 곽경주 이사 그렇죠. 그것을 사용하지 않는 사이트같은 경우에는 Chrome 브라우저 같은 것으로 보면 (URL 자물쇠 표시가) 빨간색으로 바뀌어져 있어가지고 안전하지 않는 사이트라고 나오거든요. 그래서 그런 암호화 통신을 위해 사용하는 SSL이 있고 그것을 오픈 소스화 시켜 가지고 라이브러리로 쓸 수 있는 것이 오픈소스 SSL이라는 것이 있는데요. 당시에 이것에 취약점이 있어서 사용자들의 로그인 정보나 암호화된 정보의 개인키 같은 것들을 탈취할 수 있었던 취약점이에요.

이때 사건 중에 하나는 글로스터(Gloster)라는 도시의 시의회에 개인정보가 유출된 이슈가 있었어요. 당시에 10만 파운드의 벌금이 부과된 사건이었는데요. 당시 3만 건 이상의 이메일을 해커가 무단으로 다운로드했었죠. 당시에 조금 더 이슈가 됐던 이유는 경찰들의 메일들이 다운로드 됐고, 그 안에서 시의회 전직 또는 현직 의원들의 30~40명 정도 되는 민감한 채무정보가 발견되면서 이슈가 된 바 있습니다. 당시에 그래서 벌금을 (많이) 맞았었죠. “알면서도 제대로 막지 못했다”라는 것 때문에요. HeartBleed는 당시에 엄청난 이슈였습니다.

□ 권준 국장 (HeartBleed) 로고가 기억이 나는데요, 심장, 하트에다가 피가 흐르는 그런 모습... 화면에 띄워주실 거죠? (웃음) 또 말씀 들어보니까 웹사이트를 안전하게 하려고 했던 것인데, 또 그것에 취약점이 발견된 사례이기도 해서 아이러니하네요. 아까 전의 백신 사건도 그렇지만요.

■ 곽경주 이사 이런 사건을 계기로 또 오픈소스 활용에 대해서 보안이 안전한 것이냐 그런 논의도 많이 진행됐었고요.

□ 권준 국장 최근에는 SBOM, 소프트웨어에 대한 물자표를 만들자 이런 이야기까지 연결이 되는 것 같고요. 하나의 사건이나 취약점으로 (보안 분야) 흐름이 많이 바뀐다는 생각도 해보게 되네요.

[공급망 공격(SolarWinds) 사태]
□ 권준 국장 마지막으로 하나 남았습니다.

■ 곽경주 이사 바로 ‘솔라윈즈(SolarWinds)’ 사태인데요 이것을 한마디로 표현하면 공급망 공격이에요. 공급망 공격이라는 게 (기업) 내부에서 사용하는 백신 프로그램이라든가 아니면 네트워크를 관리해주는 도구라든가... 이 도구들을 설치하고 설치된 버전의 업데이트 버전을 어딘가에서 가지고 와야겠죠? 이런 전체적인 것들을 다 (보안) 공급망이라고 하는 것이고, 이 공급망에 대한 신뢰도는 굉장히 높습니다. “여기는 절대 해킹 당하지 않을 거야”, “우리가 받고 있는 이 소프트웨어는 “안전할 거야”라는 신뢰가 기본적으로 뒷받침이 돼있는데요.

당시 SolarWinds 사태를 보게 되면 (SolarWinds가) 전 세계에서 거의 1위일 거예요. 네트워크 관리 도구 (업계) 중에서 그래서 18,000개 정도의 회사가 한꺼번에 잠재적 피해자가 됐었던 겁니다. 그때 또 이슈가 됐었던 것이 뭐냐 하면 당시 SolarWinds의 홈페이지에 가보면 고객사 리스트가 있어요. “어떤 기업에서 우리 제품을 쓰고 있다”라고요. 해커들은 또 그런 레퍼런스를 보고 2차적인 공격을 시도하거든요. (해커가) 취약점을 찾고, 이것을 사용하는 고객사를 알아낸 다음에 거기다 대고 또 스캐닝을 해서 공격을 하는 것이죠. 그 이후로 SolarWinds 같은 회사들은 레퍼런스 페이지를 다 없앴어요.

□ 권준 국장 그게 또 자랑이었는데요. 자기네들이 이만큼 (공급)했다라는 것이요.

■ 곽경주 이사 그러면서 이제 공급망 공격의 파급력에 대해서 다시 한 번 생각할 수 있었던 사건이었고요. 이와 더불어 ‘카세야(Kaseya)’라고 하는 회사가 또 있어요. Kaseya도 VSA 소프트웨어라는 것을 납품하는 곳인데요. 해당 솔루션도 네트워크 관리나 이런 것들을 하는 곳인데요. 당시 Sodinokibi 랜섬웨어가 유포됐었거든요. 랜섬웨어가 유포되는 데 있어 이 공급망 공격이 사용됐었던 것이고요. 그리고 또 2021년에는 ‘log4j’ 취약점이 있었죠.

□ 권준 국장 이것도 한참 떠들썩했죠.

■ 곽경주 이사 Java로 프로그램을 짤 때, 어떤 기록을 남기는 것을 로깅(Logging)이라고 하는데요. 그런 로깅을 남기기 위한 라이브러리인데, 이 라이브러리는 엄청 많이 사용되고 있거든요. Java로 짜여진 프로그램에서요. 그래서 이런 라이브러리의 취약점이 있었을 때 이것을 어떻게 대응할 것인가에 대한 논의도 있었고요. 지금 말씀드리는 것이 전부 다 공급망 공격과 관련된 것이고, 이런 식으로 SolarWinds를 필두로 한 여러 개의 공급망 공격이 파급력이 높지 않았나 하는 생각이 듭니다.

최근에는 클롭(Clop) 랜섬웨어 등도 파일 공유 서비스의 취약점을 이용하기도 했고요. 많은 기업들이 파일을 공유하고 저장하기 위해서 그런 서비스를 사용하는데, 해다ᅟᅵᆼ 취약점을 이용해서 내부 기밀 정보를 많이 빼내가기도 하거든요.

□ 권준 국장 올해도 계속적으로 이슈가 되고 사건도 끊임없이 이어지고 있는데요. 공급망 공격을 비롯한 취약점에 대해 깊이 연구하고 논의가 필요할 것 같다는 생각이 듭니다.

□ 권준 국장 오늘 정말 세상을 놀라게 한 역대급 취약점에 대해서 살펴봤는데요. 이런 취약점들이 사이버 보안 흐름을 바꿔가는 것 같아서요. 또 그런 것들이 보안이 정비되는 계기가 되기도 하니까 ‘필요악’이라는 생각도 들고요. 암튼 여러분들이 대응하는 데 도움이 되셨으면 좋겠습니다. 오늘도 너무 감사합니다. 수고 많으셨습니다.

■ 곽경주 이사 감사합니다.

□ 권준 국장 고생하셨습니다.
[권준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)