중소기업들의 호스팅 서비스 업체 랙스페이스가 지난 달 랜섬웨어 공격에 당하면서 고객사들은 메일을 원활하게 사용할 수 없게 됐다. 공격을 감행한 건 플레이라는 그룹인데, 이들은 알려진 취약점에 대한 ‘제로데이 익스플로잇’을 실시했다고 한다.

[보안뉴스 문가용 기자] 클라우드 관리 대행 호스팅 서비스 업체인 랙스페이스 테크놀로지(Rackspace Technology)가 지난 12월 2일에 발생한 랜섬웨어 공격으로 인해 일부 서비스를 제공하지 못하는 사건이 있었다. 이로 인해 중소기업 고객사들이 이메일을 한 동안 사용할 수 없었다. 약 한 달의 조사 결과 공격자들이 MS 익스체인지 서버의 SSRF 취약점인 CVE-2022-41080을 익스플로잇 한 것으로 밝혀졌다.

​

[이미지 = utoimage]

“공격자들이 CVE-2022-41080과 관련된 제로데이 익스플로잇을 통해 공격을 저지른 것으로 분석됐습니다. 이러한 조사 결과에 저희는 상당히 자신을 가지고 있습니다.” 랙스페이스의 CSO인 카렌 오렐리스미스(Karen O’Reilly-Smith)의 설명이다. “마이크로소프트는 CVE-2022-41080을 권한 상승 취약점으로 분류하고 있습니다. 하지만 저희는 해당 취약점을 원격 코드 실행 공격에도 활용할 수 있음을 알게 되었습니다. 이 부분은 MS도 발표하지 않은 내용입니다.”

참고로 MS는 CVE-2022-41080 취약점을 지난 11월에 패치했다.

랙스페이스의 외부 고문은 언론 인터뷰를 통해 “랙스페이스가 프록시낫셸(ProxyNotShell : CVE-2022-41040과 CVE-2022-41082 취약점의 통칭) 패치 적용을 연기해 왔다”며 “해당 패치를 적용했을 때 인증과 관련된 부분에서 오류가 발생할 수 있다는 내용의 보고가 나왔기 때문”이라고 밝혔다. 인증 과정에서 오류가 난다면 익스체인지 서버들 전체가 다운될 수 있다는 우려가 랙스페이스 내에 있었다고 한다. 대신 MS가 패치 대신 취할 수 있는 위험 완화 대책법을 적용하긴 했다고 밝혔다.

소프트웨어 취약점에 대한 완전한 해결법은 소프트웨어 개발사가 직접 만든 패치를 적용하는 것뿐이다. 그러나 패치를 적용하는 게 어려운 상황도 존재한다. 패치를 적용하려면 장비를 껐다 켜야 할 때가 많은데, 문제의 장비를 잠시라도 끄는 게 사업 운영상 허락되지 않는 경우, 패치 때문에 오류가 나서 다른 기능들이 마비되는 경험을 해봤던 경우 등 사정은 다양할 수 있다.

그래서 패치를 배포하는 기업들은 보통 위험 완화 대책(mitigation)을 추가로 발표한다. 취약점 때문에 발생할 수 있는 공격 가능성을 패치 외에 다른 방법으로 막는 것을 말하는데, 이는 임시 방편이지 근본적인 답이 되지 않는다. 랙스페이스가 적용했다고 하는 게 바로 이 위험 완화 대책이다.

랙스페이스는 보안 업체 크라우드스트라이크(CrowdStrike)에 이번 사건의 조사를 의뢰했다. 크라우드스트라이크는 사건을 일으킨 플레이(Play) 랜섬웨어를 추적했고, 그 결과 공격자들이 CVE-2022-41080 취약점을 이용해 CVE-2022-41082(프록시낫셸)라는 원격 코드 실행 취약점을 발동시켰다는 것을 알아냈다. 이 내용은 본지에서 이미 지난 12월 22일 보도(https://www.boannews.com/media/view.asp?idx=112887&kind=)한 적이 있다. 크라우드스트라이크는 당시 랙스페이스를 직접 언급하지는 않았다.

현재도 랙스페이스는 CVE-2022-41080에 대한 패치를 적용하지 않은 것으로 알려져 있다. 하지만 이는 서버가 다운되어 있어서지 패치 자체를 아예 배제한 건 아니다. “패치를 하지 않고 위험 완화 대책을 적용했다고 해서 회사가 잘못된 결정을 했다고 비판하는 건 지나치게 결과론적인 이야기입니다. 패치를 할까, 위험 완화 대책으로 만족할까, 라는 건 회사가 매우 신중하게 결정하는 것입니다. 패치가 더 좋은 선택지이긴 하지만 회사들이 고려해야 할 건 보안만이 아니니까요.”

한편 랙스페이스 측이 랜섬웨어 다운된 서버를 복구하기 위해 공격자들에게 돈을 지불했는지에 대해서는 아직 아무도 모르고 있다. 회사도 이 부분에 대하여 긍정도 부정도 하지 않는 상태다.

3줄 요약

1. 지난 달 플레이에 당했던 플레이 랜섬웨어, CVE-2022-41080이 문제였음.

2. 이 취약점은 권한 상승 취약점으로 알려져 있었으나 원격 코드 실행 공격으로도 이어질 수 있음.

3. 2번 사실을 플레이 랜섬웨어 외에는 아무도 모르고 있었음.

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=113267&page=2&mkind=1&kind=1)]​