클롭 랜섬웨어, 고애니웨어 제로데이 취약 통해 피해자 양산 중

클롭 랜섬웨어가 130개 조직을 침해하는 데 걸린 시간은 열흘이었다. 그것도 이미 다 공개되고 패치까지 된 취약점 하나로만 공격을 진행했던 것이었다. 현재 비난의 화살은 소프트웨어 개발사를 향하고 있다.

[보안뉴스 문가용 기자] 파일 전송 서비스인 고애니웨어(GoAnywhere)의 취약점이 클롭(Clop) 랜섬웨어 갱단에게 엄청난 힘이 되고 있다. 클롭은 이 취약점을 통해 130개 정도의 기업과 기관들을 침해하는 데 성공했다. 아직 사건의 세부 내용들이 전부 공개되지는 않았지만, 그럼에도 시간이 흐름에 따라 정보들이 조금씩 공개되는 중이다.

[이미지 = utoimage]

사건의 뿌리가 되고 있는 고애니웨어의 모기업 포트라(Fortra)는 클롭이 계속해서 번식하고 있는데도 별 다른 내용을 발표하고 있지 않다. 오히려 피해를 입은 기업들이 사건을 공개하고 있다. 현재까지 고애니웨어 고객들 중 침해 사실을 밝힌 곳은 다음과 같다.

1) 커뮤니티 헬스 시스템즈(Community Health Systems)
2) 햇치 뱅크(Hatch Bank)
3) 루브릭(Rubrik)
4) 히타치에너지(Hitachi Energy)
5) 토론토 시

피해 규모가 집계되지 않았지만 여태까지 피해 사실을 공개한 기업과 기관들의 규모만 봐도 최소 수백만 명이 영향을 받았을 것이라고 짐작할 수 있다. 참고로 이러한 사태의 근본 원인인 취약점은 CVE-2023-0669이다.

클롭 측은 피해자들의 정보를 노출하는 다크웹 사이트를 통해 10일 동안 130개가 넘는 기업들을 침해했다고 자랑했다. 이에 침묵을 지키던 포트라는 매체와의 인터뷰를 통해 “사건에 대해 인지하자마자 확산 방지를 위해 여러 조치를 취했고 서비스를 임시로 중단하기도 했다”며 “고객들에게 위험 약화 대책을 전달하고 있기도 하다”고 발표했다. 또한 “이번 사건으로 영향을 받은 고객들을 계속해서 지원할 계획”임을 분명히 하기도 했다.

포트라의 불통, 도마 위에 올라
하지만 포트라의 대응은 너무 늦었다. 고애니웨어의 제로데이 취약점 소식이 매체를 통해 처음 공개된 건 2월 2일의 일이다. 수일 후 포트라는 패치를 발표했다. 하지만 사용자들의 패치 적용은 항상 뒤쳐진다는 걸 공격자들은 잘 알고 있다. 클롭은 패치 발표 이후에도 계속해서 고애니웨어의 제로데이를 공략했고, 적잖은 성공을 거뒀다. 2월 10일에는 미국의 CISA가 CVE-2023-0669 취약점을 긴급 패치가 필요한 취약점 목록인 KEV에 추가했다.

하지만 공격자들의 익스플로잇은 여기서 끝나지 않았다. 공격은 끊임없이 이어졌고, 포트라는 패치 이후에 별다른 움직임을 보이지 않았다. 정확히 어떤 위험이 존재하고 있는지, 어떤 식으로 패치를 진행해야 하는지, 패치가 잘 되지 않을 때 어떤 안전 대책을 취할 수 있는지 사용자들에게 알리지 않았다. 피해자는 늘어나고 있는데 포트라는 계속 침묵으로 일관한 것이다. 이는 보안 전문가들 사이에서 큰 비판거리가 되고 있다.

패치를 내놓긴 했지만 고애니웨어는 사용자들이 광범위하게 분포되어 있는 소프트웨어다. 고애니웨어의 웹사이트에 따르면 전 세계 3천개 이상의 조직들이 고애니웨어를 사용해 문서를 관리 및 전송하고 있다고 한다. 이 3천개 기업들 중 대다수가 대기업들로 1만 명 이상의 임직원을 두고 있다. 특히 미국에 고애니웨어 사용 기업이 많은 것으로 알려져 있다.

페닉스24(Fenix24)의 창립자 히스 렌프로우(Heath Renfrow)는 “이 사건은 개발사의 지나친 침묵 때문에 오히려 더 시끄러워진 케이스”라고 말한다. “모든 조직들의 보안 아키텍처는 다릅니다. 네트워크 구조와 성분도 제각각이죠. 따라서 보안 강화의 방법 역시 전부 다를 수밖에 없습니다. 외부에서 누군가가 패치 하나 던져주고 ‘이걸로 보안 걱정 끝’이라고 말할 수 없다는 것이죠. 보안 강화와 위험 대처에는 많은 정보가 필요합니다. 그래야 보다 정확하고 빠르게 대처할 수 있어요. 보안에 있어 소통이 많이 필요한 이유입니다.”

보안 업체 네트릭스(Netwrix)의 부회장 더크 슈레이더(Dirk Schrader) 역시 “정보의 공유가 느려지면 소프트웨어 공급망 공격이 보편화 된 지금 치명적으로 작용할 수 있다”고 경고한다. “요즘은 사이버 공격이 연쇄적으로 발생하고, 피해 역시 그렇습니다. 첫 번째 피해자가 피해 사실을 빠르게 전파하고, 관계된 벤더사 역시 세부 사항을 신속하게 사용자들에게 알리는 식으로 대처해야 피해 확산을 막을 수 있습니다. 이번 고애니웨어 사례가 좋은 반면교사가 됩니다. 제로데이 취약점에 대한 정보와 공격 시나리오 등이 적극적으로 전파되었다면 클롭이 130개 조직을 침해하지도 못했을 겁니다.”

3줄 요약
1. 안전한 파일 전송 프로그램 고애니웨어에서 지난 달 취약점 발견됨.
2. 패치 발표 후 아무런 정보 공개하지 않는 개발사와 그 뒤에서 성공가도를 달리는 클롭 랜섬웨어.
3. 보안 관련 소식은 피해자와 벤더사가 재빨리 알려야 피해 확산을 막을 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]

2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
	공급망 공격
	다크웹 기반 랜섬웨어 조직
	북한/중국/러시아 등 국가 지원 해킹그룹 활동
	스마트폰을 노린 보안 위협
	OT 타깃 공격
	피싱 공격
	기타(댓글로)