중국 정부의 지원을 받는 중국 해커 집단의 대대적인 스파이 행위로 미국에서만 최소 3만 개의 기관이 타격을 입었다. 하프늄(Hafnium)이라는 이름으로 알려진 중국 해커 집단이 악용한 익스체인지 서버 취약점은 패치 작업이 됐지만, 문제는 해결되지 않았다. 이제 하프늄은 마이크로소프트가 수정한 부분을 확인하고, 직접 악용한 취약점을 역설계하면서 취약점에 노출된 모든 사용자를 대상으로 랜섬웨어와 같은 공격을 강화할 수 있다.
마이크로소프트가 첫 번째 패치를 배포한 주에 이미 공격을 위한 움직임이 감지됐다. 많은 애널리스트가 대부분 정체가 파악되지 않은 여러 집단이 최근 며칠간 공격 행위에 가담했으며, 이후 더 많은 해커가 공격을 개시할 수 있다는 사실을 발견했다. 여러 기관이 패치 작업을 하는 데 오랜 시간이 소요될수록 해커의 공격을 당할 위험성이 커진다.
“익스체인지 서버 취약점 악용 활동이 스파이 행위 운영 세력의 손에서 범죄 조직, 그리고 오픈소스로 넘어갈 수 있다.
존 헐퀴스트, 파이어아이
마이크로소프트에서 이메일 서비스를 받는 많은 기관이 마이크로소프트 클라우드 서비스를 사용하는 가운데, 일부 기관은 익스체인지 서버를 자체적으로 내부에 구축하여 사용한다. 즉, 익스체인지 서버를 사용하는 기관은 물리적으로 이메일 서버를 소유하고 운영하면서 시스템을 관리한다는 의미이다. 마이크로소프트는 3월 2일(현지 시각), 익스체인지 서버의 취약점 4가지를 보완하기 위한 패치를 배포하며, 국가 차원의 지원을 받는 중국 해커 집단 하프늄이 이번 공격의 배후에 있다는 초기 경고를 발행했다. 그로부터 일주일 후에는 하프늄의 공격이 계속되고 있다는 사실을 확인했다.
3월 8일(현지 시각), 마이크로소프트는 업데이트 안내를 통해 “마이크로소프트는 패치 작업이 되지 않은 시스템을 악용해 익스체인지 서버를 자체적으로 직접 설치한 기관을 공격하려는 여러 해커를 지속해서 발견하고 있다”라고 경고했다.
그리고 3월 8일 밤, 국토안보부 산하 사이버보안 및 기반시설 보안국(CISA)은 보안이 취약한 기관의 대응이 시급하다는 사실을 재차 주장했다. CISA는 트위터를 통해 “CISA는 모든 부문의 전 기관에 지침을 따라 국내, 외에 만연하게 발생하는 마이크로소프트 익스체인지 서버 제품의 취약점을 악용한 공격을 해결할 것을 촉구한다”라고 경고했다.
익스체인지 서버 취약점 악용과 함께 당장 닥친 상황이 나쁜 만큼 문제 대응 담당자들은 제대로 조처를 하지 않으면, 상황이 더 악화되리라 전망한다.
[사진=Freepik]
보안 기업 파이어아이(FireEye)의 정보 분석 부사장 존 헐퀴스트(John Hultquist)는 “익스체인지 서버 취약점 악용 활동이 스파이 행위 운영 세력의 손에서 범죄 조직, 그리고 오픈소스로 넘어갈 수 있다. 지금 당장 막기 위해 행동해야 하는 부분이며, 어쩌면 현재 범죄 조직의 손에 넘어가거나 오픈소스로 데이터가 유출됐을지도 모른다”라고 설명했다.
패치는 기관을 보호하는 데 중요한 요소이지만, 연구원과 해커 모두 똑같이 패치를 사용해 부각된 취약점을 연구하고 악용 방식을 찾아낼 수 있다. 보안 연구원과 해커 간의 보안 취약점 연구 경쟁 때문에 결함 수정 발행의 중요성이 줄어든다. 그러나 잠재적으로 특정 대상을 지정한 스파이 활동 기반 공격이 파괴적인 혼란으로 변할 수 있다.
익스체인지 서버 해킹을 최초로 발견한 미국 보안 기업 볼렉시티(Volexity)의 CEO 스티븐 아데어(Steven Adair)는 일주일 전, 와이어드와의 인터뷰에서 “많은 사람이 마이크로소프트 익스체인지 서버의 취약점을 발견하고는 하프늄이나 그 관련 세력과는 연관이 없다는 사실을 알게 되리라 생각한다. 암호화폐 채굴자와 랜섬웨어 공격 개시자 모두 익스체인지 서버 취약점을 이용할 것이다”라는 견해를 밝혔다.
또 다른 보안 기업 레드카나리(Red Canary)와 바이너리 디펜스(Binary Defense)의 위협 정보 애널리스트들은 해커가 노출된 익스체인지 서버의 암호화폐 채굴 운영을 위한 조건을 제공하고자 한다는 징조를 발견했다.
이미 취약한 상황은 누군가가 한 차례 공개적으로 개념 증명 악용을 배포하면 상황이 더 악화될 수 있으며, 기본적으로 다른 이들도 사용할 수 있는 해킹 툴의 청사진을 제공하게 된다. 레드카나리 소속 정보 총괄 케이티 니켈스(Katie Nickels)는 “일부 연구팀이 개념 증명 악용을 연구해, 고객을 보호하고 방어하고자 하고 있다. 지금 당장 모두가 우려하는 부분은 바로 개념 증명 악용이 이미 공개되었는가이다”라고 말했다.
갈수록 더 불가피하다고 느껴지고 있다. 3월 9일(현지 시각), 기업 보안 기업 프래토리안(Praetorian) 소속 연구팀은 익스체인지 서버 취약점을 위해 개발한 악용 문제를 공개했다. 연구팀은 사실상 공격 숙련도와 전문성을 떠나 모든 해커가 무기화할 수 있는 일부 키의 상세 정보는 의식적으로 배제하기로 선택했다고 밝혔다.
연구팀은 “전체 악용 사례를 공개하는 것은 삼가기로 결정했으나 보안 업계에서 곧 완전한 악용 사례를 공개할 것임을 인지하고 있다. 향후 몇 시간 혹은 며칠 사이에 고객과 기업, 국가 모두에게 똑같이 중대한 취약점 패치를 위한 추가 시간 정보가 제공되리라 믿는다”라고 말했다.
그러나 현실적으로 여러 기관에서 패치 작업 속도가 느리다. 해커는 몇 년 전에 패치 작업이 된 악명 높은 여러 취약점에 의존하지만, 여전히 공격에 유용할 정도로 피해자 네트워크에 자주 등장한다. 일부 기업은 주요 업그레이드 혹은 클라우드 이관을 시행하기 위한 자금 지원이나 전문 인재 채용을 하지 않는다. 게다가 중요한 기반시설과 헬스케어 등 여러 부문은 간혹 주요 시스템 변경이나 기존 시스템 이동 자체를 할 수 없다. 이와 관련, 니켈스는 공개 검색을 통해 여전히 공격에 취약한 익스체인지 서버가 총 1만 개가 넘는다는 사실을 알 수 있다고 설명했다. 이어, 그는 공격에 취약한 서버의 수를 정확히 파악하는 것이 어렵다고 덧붙여 전했다.
헐퀴스트는 “개념 증명이 당장 구축되는 것을 우려하고 있다. 개념 증명은 보안 측면에서 일부 장점이 있지만, 보안 자원이 충분하지 않은 여러 기관을 공격 대상으로 삼는 데 악용될 수도 있다”라고 지적했다.
3월 8일, 마이크로소프트는 당장 익스체인지 서버를 업데이트할 수 없는 기관을 대상으로 오래되어 지원되지 않는 익스체인지 서버 버전에 사용할 추가 긴급 수정 사항을 배포했다. 그러나 마이크로소프트는 추가 패치에는 활발하게 악용되는 보안 취약점 4개와 관련된 업데이트만 포함됐지만, 현재 사용되지 않는 최신 익스체인지 서버 버전에 업데이트가 소급되지 않는다고 강조한다. 마이크로소프트팀은 “지금 당장 취약한 기기를 보호하기 위한 임시 조치일뿐이다. 긴급 수정 사항을 사용하더라도 업데이트는 해야 한다”라고 작성했다.
컨설팅 기업 루타 시큐리티(Luta Security) 창립자 케이티 무수리스(Katie Moussouris)는 “그러나 모든 패치는 역설계되어 악용할 부분을 찾을 수 있다”라고 지적했다. 무수리스는 패치 적용 후, 해커와의 경쟁에서 한 발 더 앞서기 위해 마이크로소프트가 신뢰할 수 있는 기관에 취약성 관련 사전 정보를 제공하는 메커니즘인 마이크로소프트 액티브 프로텍션 프로그램(Microsoft Active Protections Program) 제작자 중 한 명이다.
해킹 문제 대응 담당자가 익스체인지 서버 취약점 때문에 발생한 감염 복구를 위해 노력하면서 또 다른 공격 발생 가능성에 대비하는 동시에 최근 중요한 기관을 대상으로 한 광범위한 해킹 문제도 추가로 반영하고 있다. 마이크로소프트 익스체인지 서버 문제 발생 전, 미국 IT 관리 소프트웨어 기업 솔라윈즈를 겨냥한 공격이 발생했다. 그전에는 방화벽 기업 액셀리온을 겨냥한 공격이 발생했다. 세 건의 사이버 공격 모두 지금까지 지속되는 고통을 낳고 있다. 그러나 많은 연구원이 앞서 언급된 세 사건의 규모와 범위가 중요하다고 강조하면서도 더 큰 중요성과 관련해 시급하게 결론을 내리는 것을 주저한다.
니켈스는 “최근 일종의 편견이 있는 듯하다. 우리 모두 대대적인 해킹 공격을 견뎌내면서 다소 피곤하고 지친 상태이며, 코로나19까지 발생했다. 그러나 그전에도 여러 가지 대대적인 취약점이 존재했다. 어찌 됐든 많은 사람이 사용하는 서버 및 네트워크 등에 보안 취약점이 있다. 이는 좋지 않은 소식이다”라고 말했다.
사이버 범죄 세력이 직접 역설계하면서 새로운 버전의 국가 차원의 툴을 사용하는 것이 보편적이기 때문에 상황이 점점 더 악화되고 있다.
![[사진=Freepik]](/news/photo/202103/2987_3979_1941.jpg)
뉴스레터 신청