솔라윈즈 사태를 떠오르게 하는 사건이 터졌다. 실제 해킹 공격이 벌어진 시기도 비슷하다. 이번에 공격 통로가 되었던 건 액셀리온이라는 회사에서 제공하는 FTA라는 IT 서비스다. 초기에는 별 거 아니라는 식으로 회사는 발표했지만, 전 세계의 굵직한 조직들에서 피해가 속속 보고되고 있는 상황이다.

[보안뉴스 문가용 기자] 얼마 전 방화벽 전문 업체인 액셀리온(Accellion)에서 데이터 침해 사고가 발생했다. 공격자들은 액셀리온만이 아니라, 액셀리온으로부터 방화벽 서비스를 공급 받는 고객사들도 액셀리온을 통해 침투했다. 이른바 ‘공급망 공격’이라는 것이 다시 한 번 터진 것이다. 공격자들은 이를 기회로 삼아 피해 기업들에게 협박을 시도했다고 한다.

​

[이미지 = utoimage]

보안 업체 파이어아이(FireEye)는 이번 사건을 조사하다가 미국, 캐나다, 네덜란드, 싱가포르의 기업들의 데이터가 다크웹에 공개되어 있는 것을 발견했다. 정확히는 러시아의 해킹 단체인 핀11(FIN11)이 활동하는 포럼에서였다. FIN11은 최근 클롭(CLOP)이라는 랜섬웨어를 사용해 세계 여러 조직들을 공격하고 있다.

지난 1월 12일 액셀리온은 “사이버 공격자들이 액셀이온의 파일전송장비(FTA)의 제로데이 취약점을 공격했다”고 발표했었다. FTA는 20년이 넘은 기술로, 전 세계 수많은 조직들이 대용량 파일 전송을 위해 활용하고 있다. 액셀리온 측이 해킹 공격을 인지한 건 12월 중순의 일이며, 72시간이 지나기 전에 패치를 발표했다.

그리고 2월 1일, 액셀리온은 다시 한 번 “공격자들이 익스플로잇 한 건 한 가지가 아니라 여러 가지 취약점”이라는 내용을 추가로 발표했다. 해당 취약점들은 전부 해결한 상태라고 당시 액셀리온은 발표했고, FTA 사용자들에게 카이트웍스(Kiteworks)라는 보다 최신 서비스로 전환할 것을 촉구했다. 또한 이 사건의 영향을 받은 고객사는 50곳도 되지 않는다며 ‘별 일 아니’라는 뉘앙스를 풍겼다.

그런데 지난 주 금요일 세계 2위 규모를 자랑하는 도소매 업체인 크로거(Kroger)가 액셀리온 FTA 침해 사건의 피해자인 것으로 새롭게 밝혀졌다. 크로거의 발표에 의하면 “정체를 알 수 없는 공격자들이 액셀리온의 FTA 서비스를 익스플로잇 해 일부 고객의 정보에 접근했다”고 한다. 여기에 더해 대형 로펌인 존스데이(Jones Day), 워싱턴 주청, 뉴질랜드중앙은행, 싱텔 등도 액셀리온의 FTA를 통해 데이터 침해 사고를 겪은 것이 확인됐다. 개인정보 등이 유출됐다고 한다.

파이어아이는 이 공격의 배후에 있는 조직을 UNC2546이라고 부른다. 또한 이들이 2020년 12월 중순에 액셀리온의 FTA에서 네 가지 취약점을 익스플로잇 하기 시작했다고 발표했다. 현재로서 전부 패치된 이 취약점은 CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104다.

익스플로잇 이후 공격자들은 당시까지 발견된 적이 없던 웹셸인 듀모드(DEWMODE)를 액셀리온 FTA 앱에 심었고, 이를 활용해 피해자 네트워크에서 정보를 빼돌렸다. 듀모드는 액셀리온의 FTA의 MySQL 데이터베이스에서 메타데이터와 파일을 다운로드 하는 기능을 가지고 있다고 한다. 다운로드가 끝나면 공격자는 자신들의 행위를 지우는 작업을 완료했다.

파이어아이는 UNC2546의 궁극적 공격 목표를 확인할 수는 없었다고 한다. 그러나 듀모드로 정보를 훔쳐가는 데 성공한 공격자들은 피해자들에게 협박 메일을 보내기 시작했다. 협박 메일을 보낸 자들은 스스로를 클롭 랜섬웨어 운영자들이라고 주장하고 있으며, 파이어아이는 이들을 UNC2582라고 이름을 붙여 추적하고 있다. 그런데 파이어아이의 CTO인 찰스 카마칼(Charles Carmakal)에 의하면 액셀리온을 공략한 UNC2546과 협박 편지를 보낸 클롭 랜섬웨어 운영자들인 UNC2582, 그리고 이전부터 알려진 핀11 사이에 겹치는 부분이 존재한다고 한다.

“이 셋이 사실은 하나의 조직일 수도 있다는 뜻입니다. 하지만 결론을 내리기에는 증거와 자료가 부족합니다. 어쩌면 모 그룹과 하위 그룹 간의 관계가 있을 수도 있고, 해킹 조직들 간 단순 거래가 있었을 수도 있습니다. 이 세 단체에 대해서는 더 많은 정보를 확보해야 관계성이 뚜렷이 드러날 것입니다.” 또한 이 공격자들의 지역과 관련된 정보도 아직은 공개할 단계가 아니라고 한다.

액셀리온이 고객사들에 제공한 건 일종의 IT 서비스다. 공격자들은 이 IT 서비스를 감염시킴으로써 여러 조직들에 쉽게 침투할 수 있었다. 이는 공급망 공격이며, 지난 해 말 발생한 솔라윈즈(SolarWinds) 사태와 매우 흡사하다. 그러나 파이어아이는 “이 두 사건 사이의 연관성 역시 아직까지 확실하게 드러난 바 없다”며 “아직까지는 서로 다른 공격자들이 벌인 일이라고 보고 있다”고 짚었다.

보안 업체 시큐리티스코어카드(SecurityScorecard)의 CISO인 마이크 윌크스(Mike Wilkes)는 “파트너사들로부터 온 소프트웨어에, 기존과 다른 라이브러리와 코드가 존재하는지 확인하려면 정적 보안 분석 도구(SAST)와 동적 보안 분석 도구(DAST)를 활용하는 것이 도움이 된다”고 설명하며, “트래픽 모니터링을 강화하여 은밀히 침투한 공격자들의 정보 탈취 행위를 조기에 파악하는 것도 중요하다”고 강조했다.

3줄 요약

1. 연말~연초에 벌어진 액셀리온 해킹 사건, 또 다른 솔라윈즈 사건?

2. 공급망 공격인 건 확실. 하지만 액셀리온 공격자들은 협박 편지 보내 돈 달라고 요구.

3. 공급망 공격이 일반 사이버 범죄 단체로까지 번진다면, 앞으로 위험 수위 더 올라갈 것.

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=95158&page=1&mkind=1&kind=1)]​