2020년, 코로나19의 결과 때문에 전 세계 직장인이 유례없는 운명으로 어쩔 수 없이 재택근무를 하게 됐다. 직장인들이 각자 흩어지면서 해커가 재택근무 환경을 악용해, 해킹 공격을 할 수 있는 기회가 무수히 많이 발생했다. 미국 국가안전보장국은 12월 7일(현지 시각) 공개된 경고문을 통해 국가 차원의 지원을 받는 러시아 해커 집단이 VM웨어(VMware)에서 개발한 여러 기업의 원격 근무 플랫폼의 취약점을 악용해 활발히 공격을 개시했다고 밝혔다. VM웨어는 지난 목요일(현지 시각), 보안 단신 공식 발표를 발행했다. 국가안전보장국은 러시아 정부의 해커 집단이 노리는 데이터에 접근할 권한을 얻기 위해 악용한 결함을 완화하기 위한 패치와 문제 해결 방안을 상세히 설명했다.
여러 기관이 서둘러 원격 근무를 채택하면서 직원들이 기업 시스템에 원격 접근할 수 있도록 보안을 제공했다. 원격 근무라는 변화는 다른 위험과 함께 등장했으며, 기존의 사무실 네트워크와 다른 새로운 환경에 노출됐다. VPN과 같은 툴의 결함이 특히 해커의 주요 표적이 됐다. 해커가 내부 기업 네트워크에 접근할 수 있다는 특성 때문이다. 펄스 시큐어 VPN(Pulse Secure VPN)에 영향을 미친 여러 취약점은 2019년 4월에 패치가 설치됐다. 그러나 사이버보안 및 인프라스트럭처 보안 기관(Cybersecurity and Infrastructure Security Agency, 이하 ‘CISA’)과 같은 미국 정보기관과 군사 기관은 2019년 10월에 펄스 시큐어 VPN 취약점을 경고했다. 또, 올해 1월과 4월, 러시아 해커 집단이 정부 기관을 포함해 여전히 패치를 설치하지 않은 여러 기관을 공격하고 있다고 전했다.
지난 목요일, CISA는 여러 행정부에 VM웨어 취약점 패치를 즉시 설치하도록 독려하는 내용의 짧은 경고문을 발행했다. CISA는 “해커가 취약점을 악용해 취약점의 영향을 받은 시스템을 제어할 수 있다”라고 언급했다.
미국 국가안전보장국은 일반 대중에게 VM웨어 버그를 경고한 것과 함께 “국가 안보 시스템(NSS), 국방부, 국방 산업 기반(DIB)의 네트워크 관리자는 해킹을 당한 서버의 취약점 완화를 우선순위로 두어야 한다”라고 강조했다.
[사진=Freepik]
미국 위협 정보 기업 파이어아이(FireEye) 사이버 도청 분석 수석 매니저 벤 리드(Ben Read)는 "보안 문제와 마찬가지로 보안 문제가 발생하는 곳도 주목할 만하다. 이번 보안 문제는 원격 코드 실행 취약점에서 발생했다. 바로 많은 이들이 패치를 설치하고자 했던 부분이지만, 원격 코드 실행 취약점 문제가 발생했다. 따라서 국가안전보장국이 이에 대해 대대적으로 다루고자 하는 부분은 러시아 해커 집단이 대대적으로 악용했다는 사실을 기반으로 할 가능성이 크다. 또, 국가안전보장국이 우려하는 목표에는 반할 것으로 추정된다"라고 설명했다.
해킹 공격을 당한 VM웨어 제품은 VM웨어 워크스페이스 원 액세스(VMware Workspace One Access)와 그 기존 제품인 VM웨어 아이덴티티 매니저(VMware Identity Manager), VM웨어 클라우드 파운데이션(VMware Cloud Foundation) 등 클라우드 인프라스트럭처와 신원 관리와 관련이 있다. VM웨어 측은 공식 성명을 통해 “문제를 보고한 뒤, 문제를 평가해왔다. 그리고, 문제를 완화하기 위해 적절한 업데이트와 패치를 제공했다”라고 밝혔다.
VM웨어는 짧은 경고문에서 결함의 심각도가 ‘심각함’ 전 단계인 ‘중요함’ 수준임을 인지하고 있었다. 해커가 취약점을 악용하기 전, 웹 기반 패스워드 보호 관리 인터페이스에 접근한 것이 분명하기 때문이다. 국가안전보장국은 이러한 인터페이스를 강력하고 고유한 패스워드로 보호하거나 공공 인터넷에서 접근할 수 없도록 설정하는 것 모두 공격 위험을 줄일 수 있는 조치라고 지적했다. 다행스럽게도 VM웨어는 공격을 당한 시스템을 해커가 쉽게 추측할 수 있을 정도로 중요하지 않은 초기 패스워드를 사용하는 옵션을 지닌 상태로 설계하지 않았다.
해커가 한 번 접근하면, 취약점을 악용해 기관 네트워크의 깊은 곳에 숨어있기 위한 방식으로 공개 표준인 ‘SAML 주장’이라는 인증 요청을 조작할 수 있다. 또한, 해커는 이를 이용해 민감 정보가 포함됐을 가능성이 있는 다른 서버에 접근한다.
파이어아이의 리드는 처음 해킹을 위해 버그에 정통 패스워드가 필요하지만, 이는 중대한 장벽이 아니다. 특히 패스워드 살포(password spraying)와 같은 기밀 도난 수법을 갖춘 유명한 시설에 있는 러시아 해커에게는 문제가 되는 부분이 아니다. 리드는 “이론적으로는 가장 심각한 보안 취약점이 아니지만, 국가안전보장국이 해킹 공격이 발생하는 것을 확인했기 때문에 무언가를 준비하고 있으리라 추측한다”라고 말했다.
"보안 문제와 마찬가지로 보안 문제가 발생하는 곳도 주목할 만하다.”
벤 리드, 파이어아이
많은 직원이 원격 근무를 할 때, 기존 네트워크 감시 툴을 사용해 의심스러운 행동이 발생할 가능성을 경고할 수 있는지는 의문이다. 그러나 국가안전보장국은 VM웨어 버그와 같은 취약점은 독특한 문제를 나타낸다고 지적했다. 해킹과 같은 악성 활동이 정통 로그인과 구분할 수 없는 웹 인터페이스와의 암호화된 연결에서 모두 발생할 수 있기 때문이다. 국가안전보장국은 기관에 ‘출구 상태(exit statement)’라는 의심스러운 활동을 나타낼 수 있는 서버 로그를 검색할 것을 권장한다.
국가안전보장국은 “기존의 신뢰도를 악용한 비정상적인 인증, 특히 기존의 신뢰할 수 있지만 비정상적인 주소에서 등장했거나 비정상적인 특성에서 비롯된 인증 로그를 정기적으로 감시한다”라고 작성했다.
국가안전보장국은 러시아의 해커 집단이 개입한 것을 포함, 러시아 국가 차원에서 지원하는 해커 집단이 VM웨어 버그를 악용했다는 관찰 내용과 상세히 설명하지 않았다. 그러나 러시아 정부 소속 해커 집단이 2020년 내내 미국에서 활동하며, 정부나 에너지 부문, 여러 중요한 기반시설의 네트워크, 그리고 대통령 선거에 앞서 유세 운동을 겨냥해 보안을 악화했다.
그러나 파이어아이의 리드는 지난 2년간 정부 지원을 받는 해커 집단이 공개적으로 알려진 툴을 선호하면서 지난 몇 년간 러시아 정부 소속 해커가 사용한 제로 데이가 공개적으로 폭로되는 사례가 줄어들었다고 밝혔다. 국가안전보장국이 발견한 사실은 러시아 정부 해커 집단이 여전히 해킹 악용 수단을 개발할 가능성이 열렸다는 사실이다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202012/2662_3665_01.jpg)
뉴스레터 신청