보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

솔라윈즈 공격자들이 공략한 건 신뢰·클라우드 설정·365 인기

  |  입력 : 2021-01-20 13:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
솔라윈즈의 새로운 피해자는 보안 업체...공격자들이 활용한 새 멀웨어도 등장
파이어아이는 백서와 함께 무료 탐지 도구도 발표...기술의 과잉과 신뢰 구조가 문제


[보안뉴스 문가용 기자] 미국의 핵심 정부 기관들과 IT 업체들을 침해해 큰 충격을 안겼던 솔라윈즈(SolarWinds) 사건의 피해자가 하나 더 드러났다. 보안 업체인 멀웨어바이츠(Malwarebytes)다. 재미있는 건 멀웨어바이츠는 솔라윈즈의 고객사가 아니었다는 사실이다. 공격자들은 멀웨어바이츠의 마이크로소프트 365와 애저 계정에 접근한 것으로 보인다. 또한 이를 통해 멀웨어바이츠의 이메일 시스템을 침해했다.

[이미지 = utoimage]


멀웨어바이츠의 CEO인 마신 클레진스키(Marcin Kleczynski)는 “온프레미스 환경에 침투해 내부 데이터를 가져간 흔적은 찾지 못했다”고 하며 “메일 시스템 중에서도 일부에만 접근했을 뿐”이라고 자사 블로그를 통해 공개했다. 이로써 보안 서비스를 제공하는 주요 IT 업체들 중 솔라윈즈 공격에 당한 기업은 파이어아이, MS, 크라우드스크라이크까지 총 네 개가 되었다.

그런 상태에서 새로운 멀웨어까지 발견됐다. 보안 업체 시만텍(Symantec)이 레인드롭(Raindrop)이라는 드로퍼 멀웨어를 발견한 것이다. 솔라윈즈 공격자들은 레인드롭을 통해 모의 해킹 도구인 코발트 스트라이크(Cobalt Strike)를 피해자의 네트워크에 심은 것으로 밝혀졌다. 이로써 솔라윈즈 공격자들이 사용한 멀웨어가 선버스트(Sunburst), 선스폿(Sunspot), 티어드롭(Teardrop)까지 해서 총 네 개가 되었다.

한편 보안 업체 파이어아이(FireEye)의 사건 대응 전문가들은 어젯밤 새로운 백서를 발표해 솔라윈즈 공격의 세부 사항을 공개하기도 했다. 공격자들이 어떤 방식으로 솔라윈즈 소프트웨어 업데이트 파일을 감염시키고, 이를 통해 어떤 과정으로 마이크로소프트 365 클라우드 환경에 접근했는지가 상세히 설명되어 있다. 이에 의하면 공격자들은 액티브 디렉토리를 악용하거나 사용자 크리덴셜을 훔치는 전략을 주로 구사했다고 한다.

이렇게 새로운 사실들이 계속해서 발굴되자 보안 업체 카스퍼스키(Kaspersky)의 글로벌 리서치 및 분석 담당자인 코스틴 라이우(Costin Raiu)는 “사이버 에스피오나지 행위 자체가 새로운 국면을 맞이했다고 볼 수 있다”는 의견을 표출했다. “이제 국가의 지원을 받는 공격자들이 실시간 정보를 노린다는 것을 알 수 있습니다. 실시간 정보를 노리는 행위는 현재 보안 장치들과 시스템으로는 탐지가 어렵고요. 앞으로 국가 지원 해커들은 계속해서 오피스 365나 애저와 같은 유명 클라우드를 집중적으로 노릴 것입니다.”

결국 코로나로 인해 클라우드로의 이전이 보다 가속화 되었는데, 그만큼 가시성이 확보된 것은 아니기 때문에 공격자들로서는 클라우드를 표적으로 삼을 수밖에 없다는 게 그의 설명이다. “클라우드로 점점 더 많이 옮겨간다는데, 사실 그 안에서 일어나는 일들에 대해서 상세히 아는 사람은 드물죠. 클라우드 호스트 업체들로부터 일종의 경고 메시지를 받을 뿐입니다.”

클라우드의 가시성은 꾸준히 보안의 발목을 잡고 있는 문제다. 코로나로 인해 원격 근무자가 많아지고 클라우드의 활용도가 높아지면서 이는 더 시급히 처리해야 할 문제가 되었다. 그러면서 이메일 서버를 마이크로 365로 대체하는 기업들이 크게 늘어났다.

마이크로소프트 365와 같이 유명한 클라우드 서비스들은 여러 가지 보안 장치들을 탑재하고 있지만 그것만으로 안전해지는 건 아니다. 사용자들이 이를 어떻게 설정하고, 어떤 방식으로 활용하느냐에 따라 보안 장치들이 제 기능을 발휘하기도 하고, 없는 것과 마찬가지가 되기도 한다. 그리고 생각보다 많은 경우 이 ‘설정’ 부분에서 클라우드 사고가 발생한다. 국가 지원 해커들도 이 점을 잘 이해하고 있고 잘 공략한다.

라이우가 지적한 ‘실시간 정보를 노리는 행위’ 역시 클라우드 체제의 허점을 파고든 것이라고 볼 수 있다. “민감한 정보를 얌전히 보관만 해두는 것도 아니고, 그렇다고 매번 암호화로 보호한 채 조심스럽게 옮겼다가, 인터넷을 다 끊어둔 상태에서 복호화시켜 활용하는 게 아니라는 걸 공격자들이 이해하기 시작했습니다. 집에서 근무하는 임직원들이 기밀에 대한 내용을 서로서로 활발하게 이야기를 나눈다는 것을 알아차린 것이죠. 그렇기 때문에 이메일과 메신저 플랫폼 등을 노려 실시간 정보를 가져가기 시작했습니다.”

파이어아이의 새로운 백서를 공동 집필한 매튜 맥훠트(Matthew McWhirt)는 “평소에도 마이크로소프트 365 사용자들의 계정은 조금 안일하게 설정되어 있는 편”이라고 설명한다. “너무나 많은 계정들이 불필요하게 높은 권한을 가지고 있는 경우를 많이 봅니다. 회사 네트워크의 액티브 디렉토리 사용자 계정을 애저 액티브 디렉토리와 365로 옮기는 과정에서 이런 일이 자주 일어납니다.”

그러면서 맥훠트는 “온프레미스의 계정 권한을 클라우드 기반 계정에 그대로 이식하는 것이 365 사용자들 사이에서 나타나는 가장 흔한 실수 중 하나”라고 설명한다. “365를 관리하는 계정과 도메인 관리자 계정을 내부에서 분리해서 관리해야 합니다.” 실제 공격자들은 온프레미스에서 권한이 높은 계정의 크리덴셜을 훔침으로써 자동으로 클라우드에 접속하게 되는 경우가 많다고 한다. “공격의 성과가 너무 쉽게 나타나는 것이 문제라는 것입니다.”

백서와 함께 파이어아이는 스크립트 기반의 무료 도구도 깃허브에 공개했다. 이 도구의 이름은 애저 AD 탐지기(Azure AD Investigator)이며, 여기(https://github.com/fireeye/Mandiant-Azure-AD-Investigator)서 열람이 가능하다. 마이크로소프트 365 사용자들이 UNC2452의 공격 여부를 확인해주는 기능을 가지고 있다고 한다. 백서를 다 읽어볼 수 없다면 이 도구를 사용해 피해 여부를 확인할 수 있다.

백서의 또 다른 공동 저자인 더그 비엔스톡(Doug Bienstock)은 “문제의 근원은 신기술 과잉”이라고 설명한다. “온프레미스에서는 마이크로소프트 익스체인지가 잘 설정되어 있는데, 이상하게 이것을 365 환경으로 옮긴다면 설정이 어긋나기 시작합니다. 왜냐하면 365에 접속하게 해 주는 앱이 50개 이상이고, 전부 다른 방식으로 설정해 주어야 하기 때문입니다. 현대 인증 표준인 오오스(OAuth)와 SAML 같은 것도 적용해가면서 말이죠. 이 복잡한 구성을 한 치의 오차도 없이 실행할 수 있는 조직은 없습니다.”

마이크로소프트는 지난 달 이미 마이크로소프트 365의 보호 방법이 실려 있는 가이드라인을 발표했었다. 특히 이번 솔라윈즈 사태 때처럼 내부 네트워크를 통해 마이크로소프트 365를 침해하는 기법으로부터의 방어법이 서술됐다. 최신 침해지표도 함께 공개됐다. 지금도 MS는 솔라윈즈 사태의 조사를 이어가고 있으며, 최신화 된 정보를 게시글(https://aka.ms/solorigate)을 통해 계속해서 업로드하고 있다.

비엔스톡은 “이번 사태를 또 다른 각도에서 바라보자면, 공격자들이 편의성과 안전성 사이의 그 미묘한 균열을 파고든 것이라고도 볼 수 있다”고 설명한다. “오피스 365와 관련된 앱들은 여러 가지가 있습니다. 전부 사용자들의 편의성을 높여주기 위해 만들어진 것이죠. 이런 앱들을 전부 보호하려면 하나하나 ‘하드닝(hardening)’ 하거나, 아니면 사용을 하지 못하도록 막아둬야 합니다. 둘 다 사용자들의 편의성을 해치는 일이죠. 업체들로서는 직원의 불편함이 곧 생산성으로 직결되니 함부로 희생할 수 없고요. 보안과 관련된 결정이 어려운 부분을 공격자들이 잘 노렸습니다.”

UNC2452는 피해자의 네트워크에 침투한 후 횡적으로 움직여 마이크로소프트 365 클라우드 관련 계정들에 접근했다. 이 때 주로 사용한 전략은 크게 네 가지로 구분이 가능하다고 파이어아이는 설명한다.
1) 액티브 디렉토리 연합 서비스(AD Federation Services)의 토큰 서명 인증서를 훔친다. 그리고 이를 가지고 가짜 토큰을 만들어 정상 사용자인 것처럼 스스로를 위장한다.
2) 애저 AD 백도어를 사용해 가짜 토큰을 만든다.
3) 마이크로소프트 365 앱을 가짜 크리덴셜을 가지고 하이재킹 한다.
4) 권한이 높은 사용자 크리덴셜을 훔친다.

보안 업체 도메인툴즈(DomainTools)의 수석 보안 연구원인 조 슬로윅(Joe Slowik)은 “이번 해킹 사건은 ‘신뢰 관계의 남용’”이라고 정의한다. 그리고 “그래서 마땅한 해결책이 나오지 않는 것”이라고 설명한다. “모든 공급망 공격이 이 신뢰 관계를 공략하는 것이기 때문에 까다롭습니다. 이 때문에 제로트러스트 이야기가 다시 나오는 것이기도 하지요. 하지만 그 적용이 마냥 쉬운 건 아닙니다.”

보안 업체 벡트라(Vectra)의 크리스 모랄레스(Chris Morales)는 “솔라윈즈 업데이트를 감염시키는 데 성공하고, 이를 통해 고객사들에 침투한 공격자들은 피해자들의 네트워크 지도를 확보한 것이나 다름이 없게 된 것”이라고 지적한다. “솔라윈즈의 오리온(Orion)이 네트워크 모니터링 솔루션이었기 때문이죠. 이를 통해 공격자들은 보다 정교하게 공격 표적을 정할 수 있었습니다. 그렇기 때문에 보안과 해킹 공격에서 가장 중요한 속도와 시간 단축을 모두 잡을 수 있었던 겁니다. 보안은 둘 다 놓쳐 실패했고요. 지도 한 장의 결과가 많은 것을 갈랐습니다.”

모랄레스는 “이번 공격은 앞으로 있을 많은 사이버 공격의 청사진과 같다”고 설명한다. “많은 공격자들이 이런 식의 ‘지도 탈취’를 통해 시간을 단축하려 들 것이고, 동시에 효과적으로 탐지를 피하는 데에도 성공할 것입니다. 특히 마이크로소프트 365는 현재 공격자들이 이용할 수 있는 공격 통로 중 가장 넓고 다양합니다. 공격 지속성도 충분히 확보해줄 수 있고요. 따라서 이를 침해하려는 시도도 다양한 방법으로 이어질 겁니다.”

3줄 요약
1. 솔라윈즈 사태의 새로운 피해자와 새로운 멀웨어 발굴됨.
2. 파이어아이, 현재까지 파악된 공격의 전모를 백서로 상세히 밝히고 무료 탐지 도구 공개.
3. 결국 공격자들이 활용한 건 신뢰, 클라우드 설정 오류, MS 오피스의 인기.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북