보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

정체를 알 수 없는 자들이 오래된 소프트웨어 통해 미국 정부 기관 침해

입력 : 2023-12-07 16:44
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
패치는 이미 3월에 나왔는데, 석 달이 넘도록 적용하지 않은 채 소프트웨어를 사용하는 바람에 공격을 두 차례나 허용한 곳이 있다. 다른 곳도 아니고 미국의 정부 기관이다.

[보안뉴스 문가용 기자] 정체불명의 공격자 혹은 공격 단체가 미국 연방 정부 기관 두 개의 웹 서버에 접근했다는 사실이 뒤늦게 밝혀졌다. 어도비(Adobe)에서 개발한 콜드퓨전(ColdFusion)의 취약점을 통해 공격을 실시한 것으로 분석됐다. 이 취약점은 이미 수개월 전에 패치가 나온 것이었다. 공격자들은 미국 연방 정부 기관들의 망 구조를 지도처럼 제작하려던 것으로 추정된다. 데이터를 외부로 빼돌렸다거나 네트워크 내에서 횡적으로 움직였다는 증거는 아직 나오지 않았다고 미국 사이버 보안 전담 기관인 CISA가 밝혔다.

[이미지 = gettyimagesbank]


두 번의 침투
CISA가 조사한 바에 의하면 공격은 6월과 7월에 각각 한 번씩 발생했다고 한다. 두 번 모두 CVE-2023-26360 취약점과 관련이 있었다. 이는 콜드퓨전에서 발견된 접근 제어 관련 취약점으로, 익스플로잇에 성공할 경우 공격자는 원격 코드 실행 공격을 실시할 수 있게 된다. 어도비가 지원을 종료한 콜드퓨전 버전들에서도 발견되고 있다. 어도비는 이 취약점을 10점 만점에 8.6점짜리로 평가했다. 기업에 따라 고위험군 혹은 초고위험군에 속하는 정도다.

어도비가 이 취약점을 공개하고 패치한 건 이미 3월의 일이다. 당시에도 이미 해당 취약점을 익스플로잇 하는 제로데이 공격이 실시되고 있었다고 어도비는 경고했다. 당시 어도비는 또 다른 제로데이, 초고위험도 취약점인 CVE-2023-26359를 공개하고 패치했었다. 이 역시 임의 코드 실행 공격을 가능하게 하는 취약점이었다. 당시 CISA는 CVE-2023-26360 취약점을 KEV 목록에 포함시켰고, 조금 더 있다가 CVE-2023-26359도 추가했다. KEV는 실제 익스플로잇 공격에 당하고 있어 시급한 패치가 필요한 취약점들의 모음이다.

어도비 콜드퓨던은 웹 애플리케이션과 모바일 애플리케이션을 개발하는 데 사용되는 ‘개발 플랫폼’으로, 대단히 오래된 기술이기도 하다. 수년 전 전성기가 있었지만 지금은 인기가 시들해진 상태다. 그럼에도 아직 많은 기업과 기관들에서 사용되고 있다. 사용하지 않더라도 설치해 둔 곳만 따지면 훨씬 더 많다. 어도비는 포춘 500대 기업들 중 60% 이상이 아직 콜드퓨전을 사용하고 있다고 보고 있다.

정찰을 위한 공격?
공격을 허용한 건 오래된 버전의 콜드퓨전이 설치되어 있던 서버들이었다. 6월에 발생했던 공격의 경우 어도비 콜드퓨전 2016.0.0.3 버전이 설치된 서버가 공략당했다. 공격자들은 최초 접근에 성공한 이후 서버에서 실행되고 있던 모든 프로세스들을 파악했고, 네트워크 연결성 확인 작업을 시작했다. 자신들이 침해한 웹 서버와 얼마나 원활하게 교신할 수 있는지를 파악한 것으로 추정된다. 그 다음으로는 침해된 웹 서버에 대한 정보를 수집했고, 그 다음은 OS 정보를 모았다. 그 후에는 HTTP POST 요청을 사용해 멀웨어를 주입한 후 사용자 이름, 비밀번호, 데이터 출처 URL 등 추가 공격에 활용할 수 있는 정보들을 추출했다.

그 다음 7월의 공격에서도 CVE-2023-26360 취약점이 익스플로잇 됐다. 6월의 공격을 실시한 자들인지 아닌지는 아직 알 수 없다. 하지만 이 때 공격 당한 웹 서버는 6월의 그것과 달랐다. 설치되어 있던 콜드퓨전의 버전도 달랐다. 침투에 성공한 공격자들은 횡적 움직임을 시도했고, 이를 통해 로컬 및 도메인 층위의 관리자 계정들에 대한 정보를 수집했다. 동시에 네트워크 설정 정보, 타임 로그, 사용자 정보 등도 같이 모았다. HTTP POST 명령을 통해 악성 코드를 퍼트리기도 했다.

오래된 것들의 보안 강화가 힘든 이유
해커들은 콜드퓨전처럼 오래 전부터 사용되어 온 ‘레거시’ 소프트웨어들을 선호하는 편이다. 보안 업체 크리티컬스타트(Critical Start)의 위협 연구 책임자인 캘리 겐터(Callie Guenther)는 “여기에는 몇 가지 이유가 있다”고 설명한다. “오래된 소프트웨어들은 최신화를 잘 하지 않습니다. 취약점이 어디엔가 있을 확률이 높죠. 게다가 사용자들만큼 공격자들에게도 익숙한 소프트웨어일 때가 많습니다. 게다가 오래된 소프트웨어들까지 꾸준히 모니터링 하는 기업은 많이 없기 때문에 공격을 여유롭게, 편하게 할 수 있습니다.”

레거시 소프트웨어가 가진 이런 위험성은 보안 전문가들과 사용자 기업도 잘 알고 있다. 그래서 레거시 소프트웨어를 빠르게 삭제하고 그에 상응하는 기술을 갖춘 최신 소프트웨어로 대체하라고 촉구한다. “레거시 소프트웨어는 현대 보안 기술과 호환이 안 될 때도 많습니다. 보안 기술은 자꾸 발전하는데 레거시 소프트웨어는 업데이트 마저 끝났기 때문이죠. 그래서 최신 보안 기술을 가지고 레거시 소프트웨어까지 같이 보호한다는 건 대단히 어려운 일입니다.”

겐터는 “소프트웨어의 업데이트가 얼마나 중요한지를 보여주는 사건”이라고 이번 정부 기관 해킹 사건을 정리한다. “업데이트는 꾸준히 나오는 보안 패치만을 말하는 게 아닙니다. 필요하다면 소프트웨어 자체를 과감히 새 것으로 대처할 수 있어야 합니다. 큰 의미에서는 이것 역시 대대적인 업데이트라고 할 수 있겠죠. 사이버 공간에서 오래된 소프트웨어를 끝까지 붙들고 있는 건 폭탄을 껴안고 있는 것과 같습니다.”

3줄 요약
1. 3월에 이미 제로데이 취약점으로 공개되고 패치까지 된 취약점.
2. 누군가 이 취약점을 가지고 6월과 7월, 미국 정부 기관을 공략.
3. 콜드퓨전이라는 오래된 기술이 문제의 핵심.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)