SECURITY NEWS
| [보안뉴스] 솔라윈즈의 FTP 비밀번호 ‘solarwinds123’이 평문으로 노출? | ||
|---|---|---|
|
||
|
피해자가 계속 발굴되는 상황...올해 초 미국의 싱크탱크 역시 이 공격에 당한 듯
최초 침해 방법을 아직 몰라...한 보안 전문가, 솔라윈즈의 취약한 비밀번호 관련 내용 주장 [보안뉴스 문가용 기자] 러시아가 배후에 있을 것으로 보이는 공격 단체가 솔라윈즈(SolarWinds)라는 솔루션 개발사의 오리온(Orion) 제품의 업데이트 공급망을 감염시킴으로써 미국 재무부와 상무부, 국토안보부, 국방부, 미군 등 수많은 기관과 기업들을 침해해온 사실이 드러나 큰 화제가 되고 있다. 공급망 공격에 대한 조사가 이뤄지면서 감춰졌던 일들이 추가로 공개되는 중이기도 하다.  [이미지 = utoimage] 조사의 시초가 된 건 보안 업체 파이어아이(FireEye)다. 지난 주 정체 불명의 해커들에게 침해를 당해 해킹 도구가 도난당한 적이 있었는데, 알고 보니 솔라윈즈에 대한 공급망 공격을 통해 미국 여러 정부 기관들을 공격한 바로 그 자들의 소행이었다. 당시 파이어아이는 여러 가지 침해지표와, 자신의 해킹 도구를 탐지하는 도구를 즉각적으로 공개했었다. 이것이 현재 공격자들을 추적하는 데 유용하게 활용되고 있다. 공격자의 정체? 파이어아이는 이 공격자들이 UNC2452라고 부르고 있다. 이 단체는 파이어아이가 이전까지 한 번도 본적이 없는 자들이라고 한다. 아직 UNC2452의 배후에 있는 국가가 파이어아이의 입으로 직접 언급되지는 않았지만 여러 매체들에서 이미 ‘러시아’를 지목하고 있는 상황이다. 또한 UNC2452라는 이름 대신 APT29, 코지 베어(Cozy Bear)와 같이 이미 알려진 러시아 해킹 그룹이 용의자로 떠오르고 있다. 보안 업체 인트사이츠(IntSights)의 분석가인 폴 프루돔(Paul Prudhomme)은 “아직까지 이번 공격과 러시아 정부를 엮을 만한 명확한 증거는 확보되지 않았지만, 여러 가지 상황을 보았을 때 러시아일 가능성이 제일 높은 건 사실”이라는 의견을 피력하기도 했다. 그가 말한 ‘여러 가지 상황’이란 공격자들이 이번 캠페인을 통해 드러낸 각종 성향과 특성 등이다. 보다 구체적으로는 미국 정부 기관을 다수 공격했다는 것, 자신들의 공격 행위를 꼼꼼하게 감췄다는 것, 수준이 높다는 것 등을 말한다. 보안 업체 볼렉시티(Volexity)의 경우, 별도의 분석 보고서를 통해 “이전부터 볼렉시티가 다크 헤일로(Dark Halo)라고 이름을 붙여 추적해 온 그룹일 가능성이 높다”고 발표했다. 볼렉시티는 자사 블로그를 통해 “2019년 후반과 올해 초 한 미국 싱크탱크에서 발생한 사이버 공격을 수사하다가 처음으로 다크 헤일로를 맞닥트렸다”고 설명했다. 당시 다크 헤일로는 여러 가지 기술을 동원해 은밀한 활동을 수년 간 벌여왔었다고 한다. 대응법 보안 전문가들은 감염된 솔라윈즈 업데이트를 받았다고 해서 표적 공격의 대상이 되었다고 말할 수는 없다고 강조하고 있다. 하지만 국토안보부 산하 사이버 보안 담당 조직인 CISA는 모든 연방 민간 기구들에 시스템 메모리에 대한 포렌식 조사를 실시하고 파이어아이가 공개한 침해지표들을 바탕으로 네트워크 트래픽을 분석하라고 명령했다. 또한 오리온 인스턴스들을 전부 비활성화 및 네트워크로부터 분리시킬 것과 솔라윈즈의 실행 금지도 같이 명령했다. 하지만 전 NSA의 분석가이자 현 옵시디언 시큐리티(Obsidian Security)의 CTO인 벤 존슨(Ben Johnson)은 “솔리윈즈가 어떤 식으로 구축되어 있는지에 따라 공격자들의 흔적이 조금씩 다른 모양으로 나타날 수 있다”고 설명한다. “그렇지만 일단 보유하고 있는 로그에 대한 분석을 서둘러 진행하는 것은 좋은 방법이다. 인증 및 접근 로그, 네트워크 플로우 로그 등 모든 종류의 로그를 말이죠. 그렇게 했을 때 감염된 오리온과 관련된 이상한 점들을 찾아낼 수 있을 겁니다.” 존슨은 제일 먼저 파이어아이, 볼렉시티, 마이크로소프트가 각각 발표한 침해지표를 참조하여 로그를 검사할 것을 권고한다. “이 침해지표들을 가지고 새로운 탐지 및 방지 규칙을 세워서 SIEM에 적용하십시오. 또한 솔라윈즈와 관련이 있는 사용자 및 계정들의 크리덴셜도 한 번씩 교체하는 것을 권고합니다.” 보안 업체 인포사이트(Infocyte)는 “악성 내부 트래픽에 대한 모니터링도 게을리 하면 안 된다”고 제안한다. “파이어아이가 얼마 전 슈퍼노바(SUPERNOVA)라는 것을 공개했습니다. 슈퍼노바는 닷넷(.NET) 웹 셸 기반 백도어로, 정상적인 솔라윈즈 웹 서비스 핸들러인 것처럼 위장되어 있습니다. 이미 알려진 선버스트(SUNBURST) 멀웨어가 외부 서버와의 연결을 담당하고 있다면, 슈퍼노바는 솔라윈즈 관리 인터페이스와 내부적으로 연결하는 데 사용됩니다. 그렇기 때문에 외부와의 트래픽만이 아니라 내부 트래픽도 봐야 한다는 것입니다.” 솔라윈즈 침해, 어떻게? 현재 가장 많은 궁금증을 자아내는 건, 도대체 공격자들이 어떤 식으로 솔라윈즈의 업데이트 인프라를 감염시켰는가, 이다. 조사가 아직 이어지고 있어 명확한 답은 나오지 않은 상태다. 그러는 동안 여러 가지 추측들과 가설들이 나오고 있다. 먼저 공격자들이 SAML 인증 토큰을 조작하여 오리온 소프트웨어의 빌드 시스템이나 CI/CD 개발 환경에 접근하는 데 성공한 것이 계기가 되었다는 설이 있다. 이는 솔라윈즈가 그 동안 공개한 내용들을 토대로 나온 추측이다. 솔라윈즈와 마이크로소프트는 공격자들이 제일 먼저 솔라윈즈의 마이크로소프트 365를 침해했고, 이를 통해 인증 토큰을 조작할 수 있었을 것이라고 발표했었다. 공격자들을 다크 헤일로라고 보고 있는 볼렉시티의 경우, 보다 고차원적인 침투 기술을 사용하고 있을 것으로 보고 있다. 아웃룩 웹 애니웨어(Outlook Web Anywhere) 키를 활용해 다중 인증을 뚫어낸 전적이 있는 단체(다크 헤일로가 맞다면)이기 때문이다. 참고로 볼렉시티도 다크 헤일로가 어느 국가 출신인지는 아직 모르고 있다. 보안 전문가인 비노스 쿠마(Vinoth Kumar)는 지난 11월 솔라윈즈의 FTP 서버 비밀번호가 깃허브에 평문으로 공개되어 있는 것을 발견하고 솔라윈즈 측에 알린 바 있다고 주장하기도 했다. 심지어 비밀번호는 solarwinds123이어서 대단히 취약한 것으로 보였다고 했다. 쿠마는 트위터를 통해 “해당 깃허브 리포지터리는 2~3주 정도 변경 없이(즉 비밀번호를 평문으로 노출한 채) 유지되었다”고도 밝혔다. 로이터 통신은 “솔라윈즈 컴퓨터에 대한 접근 권한을 이전부터 다크웹 범죄자들이 거래하고 있었다”는 사실을 보도하기도 했다. 솔라윈즈의 침해가 꽤나 오랜 시간 이어져 왔을 수도 있다는 가능성에 점차 무게가 실리고 있다. 3줄 요약 1. 솔라윈즈 공급망 공격 사태, 미국 재무부, 상무부, 국토안보부, 국방부, 미군까지 피해자 늘어나고 있음. 2. 공격 배후에 러시아가 있을 거라는 추측이 있지만 뒷받침 될 만한 증거는 없는 상태. 3. 공격 방법도 아직 오리무중인데, 그 와중에 솔라윈즈 비밀번호가 평문으로 노출되었던 사실도 드러남. [국제부 문가용 기자(globoan@boannews.com)]
[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=93469)] |
||
| 이전글 | [보안뉴스] 애플 아이폰 사용자들의 잘못된 믿음, 사이버공격에도 무조건 안전하다? | |
| 다음글 | [보안뉴스] 클롭 랜섬웨어 해커, 크리스마스 이브에도 신용카드 정보 다크웹 공개... 총 90만건 유출 | |
