Home > 전체기사

2021년 1사분기에 VPN 겨냥한 공격 행위 크게 늘어났다

  |  입력 : 2021-06-15 14:48
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
포티넷과 펄스 시큐어의 VPN 제품들에서 1~2년 전에 발견되고 패치까지 된 취약점들이 계속해서 공략당하는 중이다. 경고도 수없이 나왔고 패치 권고문도 여러 번 발표됐지만 요지부동인 사용자들이 그만큼 많다는 뜻이다.

[보안뉴스 문가용 기자] 포티넷(Fortinet)과 펄스 시큐어(Pulse Secure)가 만든 VPN 제품들을 겨냥한 공격이 2021년 1사분기 동안 급증했다는 조사 결과가 발표됐다. 이 제품들에서 발견된 취약점을 사용자 기업에서 제대로 패치하지 않은 점을 해커들이 적극 공략한 것이다.

[이미지 = utoimage]


보안 업체 뉴스파이어(Nuspire)가 수집한 로그 데이터에 의하면 포티넷의 SSL-VPN을 겨냥한 공격은 1사분기 동안 무려 1916% 증가했다고 한다. 특히 CVE-2018-13379라는 경로 변경 취약점이 적극 공략됐다. 펄스 시큐어의 커넥트 시큐어(Connect Secure) VPN의 경우 공격은 1527% 증가했고, CVE-2019-11510이라는 임의 파일 공개 취약점이 적극 공략당한 것으로 나타났다.

포티넷과 펄스 시큐어 모두 오래 전에 각각의 취약점을 패치했다. 보안 분석가들 역시 꽤나 오랜 시간 이 취약점들에 대한 공격자들의 높은 관심을 경고했었다. 보안 업체 테너블(Tenable)도 2020년 1월 펄스 커넥트 시큐어의 취약점을 익스플로잇 하는 공격 행위가 늘어나고 있다고 발표했고, 지난 4월에는 NSB와 FBI, CISA가 포티넷과 펄스 시큐어의 VPN을 노리는 러시아 해커들에 대해 알리기도 했다.

뉴스파이어의 위협 첩보 국장인 제리 응구옌(Jerry Nguyen)은 “올해 1사분기에 VPN 장비들을 노리는 공격이 급증한 건 패치가 나왔음에도 적용하지 않는 사용자 조직들이 많다는 걸 공격자들이 알았기 때문”이라고 말한다. “이미 정부 기관들과 보안 전문 업체들이 VPN을 조심하라고 여러 차례 경고했습니다. 한두 번 말한 것이 아니죠. 또한 사용자 대부분이 VPN을 패치하라고 하면 엔드포인트만 들여다보는 경향이 있습니다. 엔드포인트와 네트워크를 함께 살펴야 합니다.”

또 다른 보안 업체 디지털 셰도우즈(Digital Shadows) 역시 VPN에 대한 최근 공격자들의 높아진 관심에 대해 경고한 바 있다. 디지털 셰도우즈 측은 코로나 때문에 재택 근무를 시작한 조직들이 늘어나면서 VPN 사용도가 높아지고, 이에 따라 공격자들의 관심이 높아진 것이라고 설명했었다. “VPN을 한 번 침해하는 데 성공하면 공격자들이 방대한 범위의 데이터와 네트워크에 접근하는 게 가능해지거든요.”

디지털 셰도우즈 역시 올해 1사분기에 VPN을 겨냥한 공격이 크게 증가했다고 말한다. “VPN은 어떤 브랜드에서 만든 것이든 취약점이 있다고 소문이 나는 순간 공격자들의 공략 대상이 됩니다. VPN은 원격 연결에 있어 꽤나 중요한 역할을 담당하고 있지만(그러므로 공격자들이 얻어갈 것이 많지만) 사용자들이 제대로 패치하지 않는다는 걸 공격자들이 잘 알고 있기 때문이죠. VPN이라는 기술이 계속해서 존재하는 한 항상 공격자들의 눈을 의식해야 할 것입니다.” 수석 분석가인 션 니케이(Sean Nikkei)의 설명이다. 그러면서 니케이는 포티넷과 펄스 시큐어 외 다른 VPN 제품들도 항상 위험에 노출되어 있다고 강조했다.

사이버 공간에서의 모든 악성 행위를 VPN이 흡수하고 있었던 것일까. VPN을 겨냥한 공격이 증가하자 멀웨어, 봇넷 등과 같은 악성 행위는 줄어들었다. 뉴스파이어의 분석 보고서에 의하면 멀웨어 활동의 경우 2020년 4사분기에 비해 올해 1사분기에 54% 이상 감소했다고 한다. 취약점 익스플로잇 행위(VPN 익스플로잇은 제외) 역시 동 기간 22% 줄어들었고 봇넷 활동은 11% 떨어졌다. 니케이는 멀웨어, 봇넷, 익스플로잇의 급감소가 지난 1월에 발생했던 대규모 이모텟(Emotet) 폐쇄 작전 때문이라고 보고 있다.

“이모텟은 지난 몇 년 동안 상위권을 차지하고 있던 멀웨어입니다. 해커들 중 이모텟을 사용하는 자들도 많았고, 이모텟과 관련된 악성 행위가 높은 비율을 차지하고 있었죠. 따라서 이러한 이모텟이 사라졌다는 건 공백기가 있을 수밖에 없다는 겁니다.” 이 설명이 꽤나 설득력을 가지는 건 지난 1사분기 동안 멀웨어, 봇넷, 익스플로잇 행위가 크게 감소하긴 했어도 지속적으로 회복하는 추세를 보이고 있기 때문이다.

“이모텟의 빈 자리는 다른 멀웨어가 채울 거라고 봅니다. 트릭봇(TrickBot)이 가장 유력한 후보죠. 그렇게 된다면 멀웨어 활동은 다시 증가할 것입니다. 멀웨어 활동과 같은 악성 행위가 줄어든다고 해서 그것이 고착화되는 사례는 극히 드뭅니다. 언젠가 다시 치고 올라오는 게 악성 행위가 가진 속성입니다. 뭔가 새로운 것을 연구하거나 발굴할 때 잠시 비율이 줄어드는 것이지요. 악성 행위의 근절은 기대하기 어렵습니다.”

뉴스파이어의 보안 분석가인 조시 스미스(Josh Smith)는 “VPN을 통한 원격 접근 시도에 대해 항상 주의를 기울여야 한다”고 충고한다. 그러면서 다중인증을 도입하는 게 가장 안전하다고 덧붙인다. “물론 인증 절차를 여러 번 밟는 것이 사용자들로서는 귀찮을 수 있습니다. 생산성 하락의 원인이 될 수도 있습니다. 하지만 정보가 유출될 수 있는 상황에 처했다면 다중인증처럼 든든한 것도 없을 겁니다.”

3줄 요약
1. 1사분기에 VPN 노리는 공격이 급증했음.
2. 특히 포티넷과 펄스 시큐어의 제품들이 공격의 주요 대상이었음.
3. 패치는 이미 1~2년 전에 나왔으나 사용자들이 패치 하지 않는다는 것을 안 공격자들.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)