보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

솔라윈즈 오리온 통한 또 다른 공격자 발견! 이번엔 중국?

  |  입력 : 2021-04-23 13:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
솔라윈즈 사태와 관련된 새로운 소식이 나왔다. 누군가 솔라윈즈 오리온 서버에 침투해 슈퍼노바라는 멀웨어를 심고 1년 동안이나 정찰을 한 것이다. 아직 공격자는 밝혀지지 않고 있는데, 중국의 스파이럴이 의심되고 있다.

[보안뉴스 문가용 기자] 한 APT 그룹이 원격에서 근무하고 있는 직원인 것처럼 가장해 한 미국 조직의 네트워크에 침투하는 데 성공해 슈퍼노바(Supernova)라는 백도어를 심었다는 사실이 공개됐다. 이 공격자들이 슈퍼노바를 심은 건 솔라윈즈 오리온(SolarWinds Orion) 서버였고, 이를 통해 사이버 공격자들은 정찰 공격, 도메인 매핑, 데이터 탈취 등을 실시했다.

[이미지 = utoimage]


공격자들은 2020년 3월부터 2021년 2월까지, 근 1년 동안 해당 조직의 네트워크에 머무르며 충분히 정보를 빼돌렸다고 한다. 이는 이른바 ‘솔라윈즈 사태’ 중 가장 최근에 밝혀진 사실로, 국토안보부 산하 사이버 보안 전문 조직인 CISA가 상세히 공개했다. 다만 솔라윈즈 오리온 업데이트를 감염시켜 선버스트(Sunburst)를 전파한 러시아의 공격 단체와, 이번에 공개된 공격 단체는 서로 다르다고 한다.

CISA는 멀웨어 분석 보고서를 통해 이번 슈퍼노바 캠페인의 침해지표와 위험 완화 방법을 소개하긴 했지만 공격자에 대해서는 별 다른 언급을 하지 않고 있다. 하지만 시큐어웍스(Secureworks)와 같은 보안 전문 업체들은 이번 슈퍼노바 공격의 배후에 스파이럴(Spiral)이라는 이름의 단체가 있다고 보고 있다. 스파이럴은 중국 정부를 돕는 해킹 단체로 알려져 있다.

공격자들은 지난 해 3월 미국의 한 단체가 사용하고 있던 펄스 시큐어(Pulse Secure) VPN 장비를 통해 네트워크에 침투한 것으로 분석되고 있다. 이 공격에 활용된 공격자들의 IP 주소는 총 3개였다. 해당 VPN에 접속하기 위해 정상적인 사용자 계정을 여럿 활용했는데, 공격자들이 사전에 탈취한 것으로 보이지만, 이 과정은 아직 밝혀지지 않았다고 한다. 이 계정들 중 다중인증 시스템으로 보호된 건 하나도 없었다. VPN에 로그인 한 공격자들은 회사 보안 시스템에 정상적인 근무자인 것처럼 보였다.

그러니 공격자들은 피해자 조직의 네트워크에서 횡적으로 움직일 수 있었다. 이들은 솔라윈즈 오리온 서버에 도달했고, 여기에 슈퍼노바를 심었다. 슈퍼노바는 일종의 웹셸로 백도어 역할을 한다. 이 과정에서 공격자들은 CVE-2020-10148이라는 솔라윈즈 오리온 API의 인증 우회 취약점을 익스플로잇 한 것으로 보인다고 한다.

이전 솔라윈즈 사태에서는 러시아의 공격자가 선버스트를 심었던 것이 화제가 됐었다. 당시 공격자들은 오리온의 업데이트 파일을 직접 감염시킴으로써 고객사들에도 침투할 수 있었다. 이번 공격자들의 경우는 조금 다르다. 오리온이 실행되고 있는 서버를 공격한 것이기 때문이다. 공격자들은 슈퍼노바를 사용해 솔라윈즈 서버에서 크리덴션을 탈취할 수 있었고, 수주 이후에는 이를 통해 접속해 다른 워크스테이션에 접속할 수 있었다. 또한 윈도 관리 도구 등을 활용해 시스템 정보를 취합한 흔적도 나타났다.

시큐어웍스의 수석 국장인 돈 스미스(Don Smith)는 “CISA가 발표한 내용과, 시큐어웍스가 자체적으로 조사한 내용이 상당 부분 겹친다”고 말한다. 즉 이번 CISA가 발굴한 공격자들의 행위가 실제 벌어진 일과 일치할 가능성이 대단히 높다는 것이다. 다만 시큐어웍스는 CISA와 달리 공격 행위자가 “스파이럴 혹은 브론즈 스파이럴(Bronze Spiral)”라고 지적하고 있다.

이번 슈퍼노바 캠페인은 고도로 표적화 된 공격이었으며, 따라서 피해 조직의 수가 적다. “하지만 이를 통해 공격자들이 다른 공격자들이 악용했던 취약점과 사건들을 적극적으로 조사해서 공격한다는 사실을 다시 한 번 알 수 있습니다. 남이 했던 것이니까 우리는 안 한다는 식의 사고방식은 찾아볼 수 없습니다.” 시큐어웍스의 설명이다.

“공동의 대응이 필요한 건 이 때문입니다. 특별히 대단한 연합체를 만들자는 게 아닙니다. 공격에 대한 정보를 서로 공유함으로써 2차, 3차 피해자를 줄이거나 막을 수 있다는 겁니다. 그들은 공격 정보를 기회로 삼는데 저희는 그러질 못해요.”

3줄 요약
1. 솔라윈즈 사태와 관련된 최신 소식 업데이트.
2. 누군가 솔라윈즈 오리온 서버에 슈퍼노바 백도어를 심어두고 1년 동안 정찰해왔음.
3. 공격자는 아직 비공개지만 일각에서 중국의 스파이럴이라는 소리가 나오고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북