Home > 전체기사

MS 익스체인지에서 제로데이 발표되자 5분 만에 스캔 시작한 해커들

  |  입력 : 2021-05-20 16:39
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
취약점 소식이 발표될 때 공격자와 방어자 모두 부지런히 움직이기 시작한다. 한 쪽은 취약한 시스템을 찾기 위해서, 다른 한 쪽은 취약한 시스템을 패치하기 위해서. 그런데 이 ‘부지런함’에 너무나 큰 격차가 존재한다. 그 격차는 시간의 단위에서부터 드러난다.

[보안뉴스 문가용 기자] 최근 벌어졌던 MS 익스체인지 서버 사태에 대한 새로운 사실이 보안 행사인 RSAC에서 발표됐다. MS가 3월 초 제로데이에 대해서 발표하고서 5분도 지나지 않아 해커들의 스캔이 대량으로 진행됐다는 내용이다. 보안 업체 팔로알토 네트웍스(Palo Alto Networks)가 조사를 통해 얻어낸 결과다.

[이미지 = Pixabay]


“공격자들은 취약점이나 익스플로잇이 발표되면, 수분 안에 해당 취약점을 찾아나서기 시작합니다. 발표와 실제 스캔 행위 사이의 시간이 요 근래 계속해서 줄어들었는데, 그것이 이제 5분 안쪽이 되어버렸습니다. 이건 지난 몇 년 전과 비교했을 때도 중대한 일이며 큰 의미를 가지고 있습니다.” 부회장인 팀 주니오(Tim Junio)의 설명이다.

이렇게 시간이 크게 줄어든 데에는 몇 가지 요인이 있다. 주니오는 가장 먼저 가격을 꼽았다. “MS가 발표하고 5분도 되지 않아 세계 곳곳에서 스캔이 시작됐습니다. 이렇게 공격자들이 빠르게 움직일 수 있는 건 클라우드 기반 컴퓨팅 파워를 아주 저렴하게 사용할 수 있기 때문입니다. 매우 정교하진 않아도 대략적인 스캔을 실시하는 데 필요한 돈은 10달러 정도입니다.”

스캐닝이 저렴하고 쉬워지니, 실제로 특정 취약점을 스캔하는 행위가 계속해서 증가하고 있기도 하다. 이는 비단 범죄자들만의 행위는 아니다. 보안 분석가들 역시 활발한 스캔 활동을 ‘연구’와 ‘보안’을 목적으로 이뤄내고 있다. 다만 “지난 몇 년 동안 공격자들의 스캔 및 분석 기술이 엄청나게 발전했고, 이 때문에 훨씬 더 광범위한 범위를 빠른 속도로 살펴볼 수 있게 되었다”고 주니오는 경고한다.

스캔 행위가 더 활성화 되는 또 다른 요인은 방어자들의 느린 대응이라고 팔로알토는 지적했다. “글로벌 기업들의 취약점 탐지 시간은 평균 12시간인 것으로 나타났습니다. 네트워크에 연결되어 있는 모든 디지털 자산들을 이미 파악하고 있다는 전제 하에 말입니다. 익스체인지 서버의 취약점을 제일 빨리 패치한 조직들의 경우, 발표 시점으로부터 며칠이 걸렸습니다. 공격자들의 ‘5분’과 상당히 대조적이죠. 일반 수준에서 패치를 완료하는 데 걸린 시간은 수주였고요.”

대응이 늦는 근본적인 이유는 하나라고 주니오는 강조했다. 바로 기업 내 모든 자산들에 대한 목록 정리 혹은 재고 정리가 되어 있지 않다는 것이다. “내가 가지고 있는 자산 혹은 조직 내에서 작동하고 있는 장비들을 전부 알고 있지 않은 상황에서 취약한 무언가를 재빨리 잡아낸다는 건 불가능합니다. 실제 현황을 있는 그대로 반영한 재고 목록을 갖춘 조직은 매우 적은 것이 현실입니다.”

주니오는 공격자들의 활동이 시작되는 시간이 짧아지는 것이 지속적으로 이뤄지고 있는 현상임을 강조하기도 했다. “MS 익스체인지 서버의 경우, 워낙 인기가 많고 널리 사용되는 솔루션이라 공격자들이 유난히 빨리 움직인 감이 없지 않습니다. 그렇다고 다른 제품 혹은 타사 제품들에 대한 대응 시간이 마냥 긴 것은 아닙니다. 인터넷에 곧바로 연결된 제품들의 취약점 소식이 나왔을 때 공격자들이 스캔을 시작하는 데에까지 걸리는 시간은 평균 15분 내외입니다. 이 시간도 꾸준히 짧아지고 있고요.”

새로운 취약점에 대한 공격자들의 반응 시간도 빨라지는데, 오래된 취약점들에 대한 스캔과 익스플로잇도 꾸준히 진행되고 있다는 것 역시 심각한 문제다. 주니오는 “일부 취약점들은 아무리 오래돼도 방어 조직들이 제대로 패치하지 않을 거라는 걸 공격자들이 알고 있습니다. 대표적인 것이 2008년에 발견된 컨피커(Conficker)라고 불리는 컴퓨터 웜입니다. 지금까지도 표적 공격에서 꾸준히 스캔되고 익스플로잇 되는 취약점입니다. 정식 번호는 CVE-2008-4250입니다. 윈도 2000, 서버 2002, 서버 2008에서 주로 발견됩니다.”

그래서 취약점 점검 혹은 장비 재고 목록을 완성할 때부터 오래된 시스템과 취약점들도 전부 점검해야 하는 것이라고 주니오는 강조한다. “어느 조직에나 오랜 시간 버리지 못하고 있거나 방치된 요소들이 있습니다. 공격자들이 이미 그런 요소들을 통해 진입해 있을 가능성도 꽤나 높다고 봐야 합니다. 그런 부분들을 새 것으로 최신화 하지 못할 사정이 있다면 망분리라도 충실히 해 두는 편이 좋습니다. 망분리와 패치 관리 프로그램은 모든 조직의 필수 사항입니다.”

코로나로 인해 원격 근무자가 많아진 지금 시점에서 조직들이 특별히 주의해야 할 건 RDP라는 것도 이번 연구를 통해 드러났다. “현재 공격자들은 너나 할 것 없이 모두 3389번 포트를 열심히 스캔하고 있습니다. 그리고 이런 스캐닝 행위 뒤에는 무작위 대입 공격이나 크리덴셜 해킹 공격이 이어지는 게 보통이고요. 지금 사이버 공간 내에서의 벌어지는 현실입니다. 많은 조직들이 RDP를 인터넷에 연결시키지 않는다는 걸 정책으로 내걸고 있습니다만, 실제는 전혀 그렇지 않죠. 이점을 공격자들은 잘 알고 있습니다.”

3줄 요약
1. 취약점 발표되면 해커들은 15분 만에 인터넷 스캔을 시작함.
2. MS 제품인 익스체인지 서버의 경우 발표 후 5분 만에 스캔이 시작되기도 했음.
3. 새 취약점도 이렇게 적극적으로 찾으면서 동시에 오래된 취약점도 꾸준히 건드리고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)