Home > 전체기사

MS 익스체인지 서버 취약점, 수많은 APT가 노리고 있다

  |  입력 : 2021-03-11 14:34
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이른바 ‘익스체인지 사태’가 어디까지 확장될 것인가? 처음에는 소수만을 노린 표적 공격인 줄 알았는데, 일이 진행되어가는 것을 보니 그와는 정 반대다. 나라와 지역을 가리지 않고 익스체인지 서버에 무차별 폭격이 가해지는 수준인 것. 참고로 패치는 이미 3월 2일에 나왔다.

[보안뉴스 문가용 기자] 마이크로소프트 익스체인지 서버에서 발견된 취약점들을 익스플로잇 하는 공격 단체가 최소 10개라고 보안 업체 이셋(ESET)이 경고했다. MS가 이미 3월 2일에 해당 취약점들에 대한 패치를 공개했지만, 아직 사용자들 편에서의 적용이 완료되지 않았기 때문에 그 틈새를 노리려는 것이라고 한다.

[이미지 = utoimage]


지난 주 익스체인지 서버의 제로데이 취약점을 중국 해커인 하프늄(Hafnium)이 익스플로잇 하고 있다는 보고가 나온 뒤 이셋뿐만 아니라 보안 업체 레드카나리(Red Canary)와 파이어아이(FireEye), 팔로알토 네트웍스(Palo Alto Networks) 등도 공격자들의 악성 행위를 추적하고 있다. 현재 모든 전문가들이 익스체인지 서버 익스플로잇 시도가 점점 증가하고 있다고 입을 모으는 상태다. 익스플로잇에 성공할 경우 공격자들은 익스체인지 서버 권한을 갖게 되며, 웹셸을 설치해 서버를 원격에서 제어할 수 있게 된다.

이런 사실이 드러나고서 얼마 지나지 않아 익스플로잇 행위가 급증하기 시작했고, 여러 보안 전문가들이 “하프늄 외 다른 공격자들도 이 제로데이 취약점들을 익스플로잇 하기 시작했기 때문”이라고 분석했다. 이셋이 그러한 사실을 오늘자 발표로 확인한 것이라고 볼 수 있다. 레드카나리도 자신들이 발견한 익스플로잇 행위자들과 MS가 지칭한 하프늄과 겹치는 부분이 거의 없다고 발표해 또 다른 세력의 개입 가능성을 시사했다.

보안 업체 팔로알토 역시 새로운 패턴을 가진 악성 행위들이 있음을 발견했다. 정체가 다 드러나지 않은 공격자들이 자동 스캐닝 기술을 활용해 취약한 서버들을 찾아내고 있는 것이었다. 특정 조직을 표적으로 삼아 공격한 것이 아니라 무차별적인 공격이 실시되거나 기획되고 있음을 보여주는 것이라고 팔로알토 측은 설명했다. 하지만 금융, 사회 기반 시설, 산업 자동화 시설, 로펌, 의료 업계에서 그러한 행위들이 발견된다고 덧붙였다. 반면 파이어아이는 미국의 도소매 업체와 지방 정부 기관, 대학, 엔지니어링 업체들에서 피해가 발생하고 있다고 발표했다.

이셋의 경우 “10개가 넘는 APT 단체들이 익스체인지 서버의 제로데이를 익스플로잇 하고 있다”고 경고했는데, 여기에는 틱(Tick), 럭키마우스(LuckyMouse), 칼립소(Calypso) 등이 포함되어 있다고 한다. 기다렸다는 듯이 수많은 공격 조직들이 익스체인지를 공략하는 것이 발견되고 있다는 건 “이미 MS가 패치를 발표하기 전부터 해당 취약점에 대해 알고 있었다는 뜻에 가깝다”고 설명하기도 했다.

실제 럭키마우스라는 APT 단체의 경우 3월 1일 중동의 한 정부 기관에서 사용되고 있는 익스체인지 서버를 침해하는 데 성공했다고 한다. 패치가 배포되기 하루 전의 일이다. “마이크로소프트의 패치를 리버스 엔지니어링 해서 익스플로잇을 개발했을 가능성은 낮다고 봅니다.” 이셋의 설명이다.

마이크로소프트는 하프늄의 익스체인지 서버 공략을 처음 발표하면서 “소수 조직들을 겨냥한 표적 공격”이 이뤄지고 있다고 했었다. 하지만 그 발표 이후 공격의 빈도와 수위가 모두 높아져 ‘무작위 공격’도 있을 수 있다는 반박이 나왔다. MS가 거짓이나 실수로 발표를 했다는 뜻이 아니라 해당 취약점을 익스플로잇 하려는 다른 공격자들의 시도가 크게 증가하면서 공격의 방식이 변했다는 것이었다. 그리고 오늘 여러 업체들이 “다양한 공격자들이 공격에 참여하고 있다”고 발표하며 ‘소수의 표적 공격’으로 이번 사태를 설명할 수 없게 되었다.

이셋에 의하면 공격자들 대부분 APT 단체들이며, 정보와 첩보를 수집하는 정찰 행위에 주력하고 있다고 한다. 다만 암호화폐를 채굴하려는 시도도 발견되기도 했다고 덧붙였다. “3월 10일 기준으로 115개국 5천 개 이상의 서버들에서 침해 흔적이 발견됐습니다. 침해한 후 대부분의 조직들이 추가 멀웨어를 설치하려는 시도를 이어갔습니다. 여러 공격 단체가 같은 조직을 노린 경우도 있었습니다.”

3줄 요약
1. 마이크로소프트 익스체인지 서버의 제로데이 노리는 공격자들, 하나가 아님.
2. 특히 여러 APT 단체들이 정보와 첩보를 노리기 위해 너도나도 익스체인지를 공략하는 것으로 보임.
3. 패치는 3월 2일에 나왔으므로 빨리 적용하는 것이 안전함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)