항상 켜져 있고, 권한도 높은 서버 관리 요소에 대한 공격 캠페인이 발견됐다. 잘 공격되지 않던 요소들인데 이번에 새로운 공격 표적으로서 주목을 받고 있다. iLO 보안이 새롭게 부각되기 시작한다.

[보안뉴스 문가용 기자] 이전까지 한 번도 발견되지 않았던 룻키트이 발견됐다. 여태까지 분석된 바에 의하면 HPE의 iLO라는 서버 관리 기술을 노리는 것으로 보인다. 한 번 침투에 성공할 경우에는 펌웨어 모듈들을 손상시키며, 시스템 내 저장된 모든 데이터를 완전히 파괴시킨다고 한다. 이미 실제 공격에 활용되고 있으며, 감염된 iLO 펌웨어에 대한 내용은 이란의 사이버 보안 회사인 암느파다즈(Amnpardaz)가 처음 공개했다.

​

[이미지 = utoimage]

“멀웨어를 사용하는 공격자나 APT 그룹들에게 있어 iLO는 대단히 매력적인 공격 표적이 됩니다. 일단 권한이 매우 높습니다. OS에서 제공하는 그 어떤 수준의 권한보다 높다고 볼 수 있습니다. 또한 하드웨어에 저준위에서 접근할 수도 있습니다. 따라서 관리자의 눈에 띄지 않은 채 하드웨어에 다가갈 수 있죠. 그렇다는 건 보안 솔루션을 통해서도 잘 탐지되지 않는다는 것이고요. 게다가 iLO에 대해 잘 알고 있는 전문가가 드물고, 따라서 iLO 모니터링이나 보안이 낯설게 느껴질 확률도 높습니다. 또한 iLO는 거의 24시간 내내 운영되고 절대 꺼지지 않기도 하지요.”

iLO는 서버를 관리하는 기술이기도 한만큼 모든 펌웨어, 하드웨어, 소프트웨어, OS에 접근할 수 있다. 따라서 HP 서버를 사용하는 조직에 침투하기 위해서라면 이 iLO를 노리는 게 논리적이고 합당하다. 게다가 서버 관리 기술을 침해하는 것이므로 사용자가 서버를 재부팅하거나 OS를 재설치해도 공격자들이 먼저 심어둔 멀웨어는 살아남는다. 다만 공격자들이 최초에 iLO를 어떤 식으로 침투하는지는 아직 정확히 알려진 바가 없다.

이번에 발견된 새 룻키트의 이름은 iLO블리드(iLOBleed)다. 주로 펌웨어 업데이트 과정에 은밀히 개입함으로써 원래의 펌웨어를 조작하는 방식의 공격에 활용되어 왔다. 업데이트는 전혀 진행되고 있지 않은데, 화면에는 업데이트가 되는 것처럼 새 버전 번호나 로그를 띄우는 방식으로 사용자들의 눈을 현혹시키는 데 이 iLO블리드가 사용된 것이다. “이런 식의 공격을 했을 때의 가장 큰 장점은 보안 점검 및 모니터링 절차를 보다 쉽게 회피할 수 있다는 것입니다. 은밀히, 눈에 띄지 않게, 항상 가동 중인 요소를 점령함으로써 공격자들은 들키지 않은 상태에서 24시간 아무 때나 원하는 명령을 주입해 실행시킬 수 있게 됩니다.”

이렇게 iLO블리드 룻키트를 통해 HP 서버들을 공략하는 자들의 정체는 아직 알 수 없다. 하지만 암느파다즈 측은 “국가의 지원을 받는 APT 단체일 가능성이 매우 높다”고 보고 있다. 이렇게까지 은밀하게 핵심을 찌르고 들어가는 고급 공격을 감행할 수 있는 것도, 그리고 들키지 않은 채 침투해 들어가 지속적인 공격을 하려는 속셈 모두 APT 단체의 속성과 맞아떨어지기 때문이라고 한다. 하지만 아직 명확한 증거를 확보하기는 힘든 상태라 단언할 수는 없다고 한다.

iLO블리드 룻키트의 발견으로, 펌웨어 보안의 중요성이 다시 한 번 부각될 수 있다고 암느파다즈는 설명한다. “HP 서버들을 사용하는 조직들이라면 가장 먼저 펌웨어 보안 업데이트를 해서 최신 버전을 설치하는 게 중요합니다. 또한 iLO가 설치된 망을 OT 망과 분리시키는 것도 반드시 해야 할 일이기도 합니다. iLO가 높은 권한을 발휘할 수밖에 없지만, 높은 권한을 주면서도 최소화 시킬 부분이 있거든요. 아무리 높은 권한을 필요로 하는 것이더라도 ‘최소한의 권한 부여 원칙’은 반드시 지켜야 합니다.”

OS를 통해 iLO를 감염시키는 방법이 존재한다는 것도 기억해야 할 부분이다. “iLO 네트워크를 인터넷으로부터 완전히 분리시킨다고 해도 감염의 경로가 존재한다는 겁니다. 그렇기 때문에 iLO를 망분리나 업데이트를 통해서 완전히 보호할 수는 없습니다. iLO 감염에 대한 모니터링도 중요하다는 뜻이죠. 이 iLO라는 요소를 보호해야 할 요인으로서 다시 한 번 생각해야 할 때입니다.”

3줄 요약

1. HP사의 서버를 관리하는 기술 중 iLO라는 것이 있음.

2. 최근 한 공격 단체가 이 iLO를 노리는 룻키트를 사용하기 시작.

3. iLO 펌웨어 업데이트와 망분리, 위협 모니터링이 필요.

[국제부 문가용 기자(globoan@boannews.com)]​ 

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=103832&page=1&mkind=1&kind=1)]