Home > 전체기사

솔라윈즈 제로데이 취약점, 중국 해커들이 노리고 있어

  |  입력 : 2021-07-15 13:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
솔라윈즈에서 또 사태가 터졌다. 이번에는 서브유 소프트웨어 시리즈에서 발견된 제로데이 취약점이 문제가 되고 있다. 이미 중국 공격자들이 이를 활발히 익스플로잇 중이라고 한다. 중요한 건 지난 6개월 동안 공격자들이 뚜렷한 한 가지 패턴을 보이고 있다는 점이다.

[보안뉴스 문가용 기자] 이번 주 솔라윈즈(SolarWinds)의 서브유(Serv-U) 솔루션에서 발견된 제로데이 취약점에 대한 패치가 촉구되고 있다. 중국의 공격자들이 이 제로데이 취약점을 통해 정교한 표적 공격을 실시하고 있기 때문이다. 이 취약점은 CVE-2021-35211으로, MS가 제일 먼저 발견해 솔라윈즈에 먼저 제보했고, 솔라윈즈는 이번 주 이를 패치했다.

[이미지 = utoimage]


MS는 현재 이 제로데이 취약점을 익스플로잇 하고 있는 공격자들에 데브-0322(DEV-0322)라는 이름을 붙이고 추적 중에 있다. 전에는 미국 국방 분야에 속한 소프트웨어 기업들을 겨냥한 공격을 실시한 바 있다고 한다. “데브-0322는 VPN이나 소비아용 라우터들을 침해하는 방법으로 피해자들을 침해해 왔습니다. 지금은 서브유 제로데이를 익스플로잇 하고 있고요. 솔라윈즈 서브유 사용자들은 시급히 취약점을 패치해야 합니다.”

CVE-2021-35211은 메모리 탈출을 가능하게 해 주는 취약점으로 솔라윈즈 서브유 매니지드 파일 트랜스퍼(Managed File Transfer)와 서브오 시큐어 FTP(Secure FTP)에서 발견됐다. 둘 다 안전하게 파일을 전송할 수 있도록 설계된 솔루션들이다. 공격자들은 원격에서 이 취약점을 익스플로잇 함으로써 시스템 층위 권한으로 악성 코드를 실행할 수 있게 된다. 악성 페이로드를 설치하거나, 추가 멀웨어를 설치하고, 데이터를 열람 및 조작하는 게 가능하게 된다는 것이다.

MS는 고객 네트워크에서 이 취약점을 익스플로잇 하는 수상한 행위들을 발견하여 솔라윈즈에 알렸다. 솔라윈즈는 핫픽스를 개발했고, 화요일부터 이를 배포하기 시작했다. 솔라윈즈에 따르면 현재까지 피해를 입은 솔라윈즈 고객들은 소수일 뿐이라고 한다. 하지만 피해 고객의 신원은 아직 공개되지 않고 있다. 그러면서 “SSH 프로토콜이 구축되지 않았다면 CVE-2021-35211에 대한 익스플로잇을 염려하지 않아도 된다”고 발표하기도 했다.

이번 제로데이 공격은 지난 해부터 올해 초까지 보안 업계의 가장 큰 화두였던 솔라윈즈 공급망 공격과는 전혀 별개의 사건이다. 당시 공격자들은 오리온(Orion)이라는 네트워크 관리 소프트웨어의 업데이트 서버를 공략함으로써, 오리온 사용 기업 및 기관들 다수에 선버스트(Sunburst)라는 백도어를 심는 데 성공했었다. 이 공격은 러시아의 공격자들이 진행한 것으로 공인되고 있다. 다만 2월에 중국 해커들도 비슷한 공격을 비슷한 시기에 감행한 것이 발견되기도 했었다.

솔라윈즈가 이처럼 연속적으로 해커들의 공격 대상이 된 건, 최근 공격자들 사이에서 나타나는 커다란 ‘트렌드’ 때문이라고 전문가들은 설명한다. 공격자들은 한 번에 다수의 시스템이나 네트워크를 공략하는 방법을 자꾸만 고민하고 개발하는 중이라는 것이다. 그러면서 많은 조직들에서 사용하는 소프트웨어의 공급망이나 MSP를 공략하는 사건들이 발생했다. 최근의 카세야(Kaseya) 사태나 올해 초의 액셀리온(Accellion) 사태 역시 이런 트렌드를 나타낸다.

보안 업체 주피터원(JupiterOne)의 유순일(Sounil Yu) CISO는 “서드파티 소프트웨어 및 플랫폼에 대한 꼼꼼한 사전 조사 단계가 도입되어야 한다”고 말한다. “지금은 이러한 사전 조사가 설문지 문항 몇 개 작성하는 것으로 끝납니다. 그 문항이라는 것도 그리 분석적이지 않고요. 그 답을 채워주는 그대로 믿는 것이 현재의 ‘서드파티 관리’의 실상입니다.” 그러면서 “바이든 대통령이 연방 기관들 사이에 강조한 제로트러스트를 기업들 간에 도입하는 것도 진지하게 고려해봐야 할 문제”라고 지적했다.

또 다른 보안 업체 엔비지움(nVisium)의 CEO 잭 마니노(Jack Mannino)는 “앞으로 공급망 보안이 중요한 주제로 남아 있을 것”이라고 예견한다. “지금까지는 소프트웨어 보안이 중요한 시대였습니다. 소프트웨어 취약점을 연구하고 소프트웨어를 패치하는 것이 보안의 중요한 과제였죠. 이제는 그 소프트웨아 유통되는 커다란 구조 자체가 더 큰 문제가 될 겁니다. 소프트웨어가 가지고 있는 모든 디펜던시들까지 포함한 문제로서 공급망을 바라봐야 할 것입니다.”

3줄 요약
1. 솔라윈즈라는 IT 기술 공급업체, 올해만 세 번째로 공격의 통로가 됨.
2. 공격자들은 계속해서 ‘한 번에 여러 조직을 감염시키는 법’을 연구 중에 있음.
3. 여태까지 소프트웨어 자체가 문제였다면, 앞으로는 소프트웨어를 둘러싼 공급망 전체가 문제.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)