VPN 제품에서 발견된 오류 통해 퍼지고 있는 레빌 랜섬웨어

서비스 중단해야 했던 트래블엑스...공격자가 VPN 취약점 통해 랜섬웨어 심은 것
현대 IT 인프라는 방어적 관리 점점 더 어려워지는 방향으로 발전하고 있어

[보안뉴스 문가용 기자] VPN 제공 업체인 펄스 시큐어(Pulse Secure)는 이번 주 월요일 고객들에게 “패치를 최대한 빨리 적용하라”는 권고문을 발송했다. 여기서 말하는 패치는 지난 4월에 배포한 것으로, 일부 제품에서 발견된 치명적 위험도의 원격 코드 실행 오류(CVE-2019-1150) 때문에 개발된 것이었다.

[이미지 = iclickart]

약 1년 전에 발표된 패치를 적용하라는 권고문이 왜 갑자기 등장한 것일까? 최근 공격자들이 CVE-2019-1150을 익스플로잇 해서 랜섬웨어를 퍼트리고 있다는 경고가 여기저기서 나오고 있기 때문이다. 이 공격으로 인해 여러 기업과 조직들에서 백업 데이터까지 삭제되는 일이 발생했다고 한다.

그런 희생자들 중 하나가 연말연시에 “멀웨어 때문에 서비스가 일부 중단된” 여행자 보험 및 환전 전문 업체인 트래블엑스(Travelex)인 것으로 알려져 있다. 영국 현지 기준 12월 31일 밤부터 서비스가 중단된 트래블엑스는, 레빌(REvil) 혹은 소디노키비(Sodinokibi)라는 랜섬웨어에 감염된 것으로 밝혀졌으며, 이 때문에 회사 측은 모든 시스템을 멈춰 세우고 몇몇 지부에서 수동으로 서비스를 진행시키기 시작했다.

영국의 보안 전문가인 케빈 뷰몬트(Kevin Beaumont)는 이 사건을 제일 먼저 발견하고 알린 인물로, “최근 이와 비슷한 공격에 당한 조직이 최소 두 개 더 있다”며 “전부 펄스 시큐어의 VPN에서 발견된 취약점 때문에 발생한 일”이라고 주장했다. “펄스 시큐어는 이 취약점 때문에 2019년 4월 24일 패치를 발표했습니다. 펄스 시큐어의 VPN을 사용하고 있다면 최대한 빠른 시간 안에 이를 적용하시길 바랍니다.” 펄스 시큐어의 CMO인 스콧 고든(Scott Gordon)의 설명이다.

CVE-2019-1150은 원격의 공격자들이 사용자 이름과 비밀번호를 보유하고 있지 않아도 HTTPS를 통해 기업 네트워크에 접속할 수 있도록 해주는 취약점으로, 발견 당시부터 ‘치명적 위험도’를 가진 것으로 분류됐다. 공격자들은 이 취약점을 익스플로잇 해서 로그와 파일들을 열람할 수 있게 되며, 다중 인증 시스템을 무력화시키고, 임의의 파일을 다운로드 하고 악성 코드를 실행할 수 있게 된다.

펄스 시큐어 VPN에서 발견된 이 오류는, 팔로 알토 네트웍스(Palo Alto Networks), 포티넷(Fortinet)의 VPN 제품에서도 발견된 바 있다. 최소 지난 8월부터 익스플로잇이 무료로 돌아다니기 시작했으며, 미국의 NSA와 DHS 모두 이 오류들에 대한 경고문을 발표하기도 했다. 특히 국가 지원을 받는 해커들의 활동에 대한 경고문이 나왔었다.

하지만 국가 정보 기관까지 나선 대대적인 경고에도 불구하고 상당히 많은 사용자들이 패치를 거들떠보지도 않고 있다. 위협 첩보 전문 업체인 배드 패키츠(Bad Packets)에 의하면 최소 3825개의 펄스 시큐어 VPN 서버들이 아직 패치되지 않은 상태라고 한다(2020년 1월 3일 기준). 트래블엑스의 경우 패치되지 않은 펄스 시큐어 서버를 7개나 보유하고 있었다.

고든은 “펄스 시큐어 VPN 제품들 중 90%는 패치가 된 것으로 보고 있다”고 한다. 실제로 지난 8월 배드 패키츠가 조사했을 때 패치되지 않은 서버가 15000개 이상 발견됐었다. 현재 펄스 시큐어는 엔지니어들을 동원한 기술 지원 프로그램을 24시간 돌리고 있으며, 주말에도 프로그램은 쉬지 않고 운영되고 있다고 한다. 주로 패치와 관련된 상담을 받고 있다.

보안 업체 벡트라(Vectra)의 보안 분석가인 크리스 모랄레스(Chris Marales)는 “네트워크에 원격 접근하게 해주는 취약점은, 그 종류가 무엇이든 심각한 위험으로 받아들여야 한다”고 말한다. 그러면서 “사용자 기업들은 이러한 문제가 있다는 걸 알게 되었다면 재빨리 대처해야 하며, 특히 VPN 시스템에서 발생한 문제라면 시급히 문제 해결에 나서야 한다”고 덧붙였다.

보안 업체 루시 시큐리티(Lucy Security)의 CEO인 콜린 바스터블(Colin Bastable)은 “현대 IT 인프라 내에서는 끊임없이 움직이면서 돌아다니는 요소들이 너무 많고, 그렇기 때문에 관리가 보통 어려운 게 아니”라고 설명한다. “트래블엑스처럼 지사가 세계 곳곳에 있는 사업체라면 관리가 사실상 불가능한 수준에까지 이르게 됩니다. 공격자들에게 점점 더 유리한 방향으로 구조가 변하고 있다는 것도 고려해야 할 것입니다.”

3줄 요약
1. 새해 첫날부터 멀웨어 공격에 당한 트래블엑스.
2. 알고 보니 VPN 제품에서 발견된 취약점을 패치하지 않아서 생긴 일.
3. 공격자들, VPN 오류 통해 랜섬웨어 심는 공격 활발히 이어가고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다