보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

1사분기 사이버 공격을 요약하면? VPN, 익스체인지, RCE

  |  입력 : 2021-04-22 15:33
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2021년 1사분기의 사이버 공격은 아주 간단하게 요약된다. VPN 공격, 익스체인지 서버 사태, 원격 코드 실행 취약점이 바로 그것이다. 최근 유행과 전 세계적 상황, 그리고 ‘스테디셀러’까지 골고루 반영된 결과다.

[보안뉴스 문가용 기자] VPN을 겨냥한 공격이 매섭게 이어지고 있다. 코로나로 인해 재택 근무 체제가 장기화 되면서 많은 조직들이 보안을 위해 VPN 이용률을 높이고 있기 때문이다. 사람이 많이 몰리는 곳에 반드시 해커가 찾아간다는 오래된 진리가 이 경우에도 여실히 증명된다고 보안 업체 디지털 셰도우즈(Digital Shadows)가 공개했다.

[이미지 = Pixabay]


디지털 셰도우즈가 2021년 1사분기의 악성 행위들을 분석한 결과 원격 코드 실행 취약점에 대한 익스플로잇 시도가 크게 증가했음이 드러났다. 특히 오라클 웹로직(Oracle WebLogic)에서 발견된 원격 코드 실행 취약점인 CVE-2020-14882와 마이크로소프트 익스체인지 서버에서 발견된 프록시로그온(ProxyLogon) 취약점이 해커들 사이에서 큰 유행을 불러일으킨 것처럼 보일 정도였다고 한다.

“하지만 가장 염려되는 현상은 VPN을 겨냥한 공격이 대단히 빠르게 증가하고 있다는 겁니다. 이는 2021년 내내 계속해서 진행될 것으로 보입니다.” 디지털 셰도우즈의 수석 사이버 위협 첩보 분석가인 크리스 모건(Chris Morgan)이 설명한다. “공격자들의 입장에서 VPN은 주요 진입점이 됩니다. 피해자들이 따로 만들어 둔 비밀의 문을 점령한 것과 다름이 없죠. 그래서 VPN 공격이 유행을 타기 시작한 겁니다.”

공격자들이 주로 익스플로잇 하는 취약점은 다음과 같다.
1) CVE-2018-13379 : 포티넷 포티게이트 VPN(Fortinet FortiGate VPN)
2) CVE-2019-11510 : 펄스 커넥트 시큐어 VPN(Pulse Connect Secure VPN)
그래서 그런지 NSA와 FBI, CISA는 합동으로 패치를 촉구하는 보안 경고문을 합동으로 발표하기도 했었다. 그 외에 다른 VPN 제품들에 대한 공격도 빈번하게 발생하고 있다고 디지털 셰도우즈는 경고했다.

모건은 “대중 인터넷과 직접적으로 접한 인프라는 항상 공격에 시달릴 수밖에 없다”고 말한다. “실제로 최근 펄스 시큐어 VPN을 통한 중국과 러시아 해커들의 공격이 발견된 바 있었죠. 무려 12개의 멀웨어 패밀리들이 펄스 시큐어 VPN을 통해 퍼졌습니다. 이런 소식은 앞으로도 계속해서 들려올 겁니다. 펄스 시큐어는 그저 신호탄에 불과할 거라고 장담합니다.”

1사분기의 특이한 점은 이른 바 ‘마이크로소프트 익스체인지 사태’라는 사건이 발생했다는 것이다. VPN처럼 많은 사람들이 활용하는 시스템은 해커들의 관심이 금방 쏠린다는 것이 다시 한 번 증명됐다고 모건은 말한다. “프록시로그온 취약점은 4개의 제로데이 취약점들을 말합니다. 처음에는 일부 해킹 그룹만 활용하던 것인데, 패치가 발표되고 나서부터 수많은 공격자들이 프록시로그온을 건드리기 시작했습니다. 얼마나 많았는지, 1사분기 전체 공격 중 상당 부분을 차지했을 정도입니다.”

모건은 “익스체인지 사태의 경우 패치가 이미 발표되었기 때문에 시간이 지나면 줄어들 수밖에 없다”고 설명한다. “그렇다고 이미 해결된 취약점이라고 볼 수는 없습니다. 왜냐하면 공격자들이 웹셸을 미리 심어두어 패치가 된 후에도 공격을 이어갈 수 있도록 기반을 마련했기 때문입니다. 이 웹셸들은 패치만으로 해결되지 않습니다. 각 사용자들이 서버를 점검해 웹셸을 지워야 합니다.”

그 외에, 원격 코드 실행 취약점은 해커들 사이에 ‘스테디셀러’와 같다는 사실 또한 이번 1사분기에 드러났다. “1사분기에 발생한 모든 사이버 공격 중 23%가 원격 코드 실행 취약점의 익스플로잇과 연루되어 있었습니다. 2020년 4사분기에도 비슷한 조사 결과가 나왔던 바 있습니다. 원격 코드 실행 취약점은, 악성 공격 행위의 다변화에 도움이 되기 때문에 공격자들이 선호하는 것으로 분석됩니다.”

3줄 요약
1. 1사분기 공격의 가장 큰 특징은 VPN을 노렸다는 것.
2. 그리고 마이크로소프트 익스체인지 서버를 노렸다는 것.
3. 그리고 여느 때처럼 원격 코드 실행 취약점을 노렸다는 것.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북