본문 바로가기 주메뉴 바로가기 검색 바로가기
액셀리온 보안 침입 피해, 갈수록 심각해져...비용 손실도 증가
상태바
액셀리온 보안 침입 피해, 갈수록 심각해져...비용 손실도 증가
방화벽 장비에서 시작된 몇 가지 보안 취약점이 국경을 초월한 랜섬웨어로 문제가 급격히 커졌다.
By LILY HAY NEWMAN, WIRED US

새로 등장하는 여러 조직이 항상 보안 침입 행위를 개시하고 있어, 여러 차례의 데이터 유출 공개 경고가 끊임없이 이어지고 있다. 그러나 2020년 12월과 2021년 1월에 발생한 여러 차례의 보안 공격이 최근 몇 주 사이에 알려지면서 해커가 잠재적 공격 대상 수십 곳을 공격해, 금전적 이익을 얻을 방법을 찾을 때, 상황이 얼마나 심각해지는가를 보여주는 실제 사례가 제시되었다.

방화벽 공급 업체 액셀리온(Accellion)이 자사가 제공하는 네트워크 장비 한 곳에서 발견된 여러 가지 취약점을 해결하고자 2020년 말에 패치를 배포하고, 2021년 1월에 추가로 결함을 수정했다. 그러나 그 후, 전 세계 기업과 정부 기관 수십 곳이 액셀리온이 수정한 결함 때문에 보안 침입을 당한 사실을 깨닫게 되었다. 그리고, 랜섬웨어 집단 클롭(Clop)이 데이터 암호화 해제 비용을 지불하지 않으면, 데이터를 공개하겠다고 위협하면서 피해 기관 다수가 금전 갈취 협박을 당했다.

3월 1일(현지 시각), 보안 기업 파이어아이(FireEye)가 액셀리온 보안 결함 때문에 발생한 사이버 공격 사건 조사 결과를 공유하며, 이전에 알려진 적이 없는 다른 해커 조직 두 곳이 해킹 공격과 금전 갈취 위협을 했다는 결론을 내렸다. 액셀리온의 보안 결함을 악용한 공격을 개시한 해커 조직은 금전 범죄 조직 FIN11, 랜섬웨어 조직 클롭과 관련이 있는 것으로 추정된다. 지금까지 대중적으로 공개된 피해 기관 중에는 뉴질랜드 중앙은행과 호주 증권투자위원회, 싱가포르 이동통신사 싱텔(Singtel), 대중적으로 알려진 유명 로펌 존스데이(Jones Day), 식료품 체인점 크로거(Kroger), 콜로라도대학교 등이다. 그리고 약 일주일 전, 사이버 보안 기업 퀄리스(Qualys)도 피해를 당한 사실이 추가로 확인됐다.

액셀리온의 파일 이동 애플리케이션(FTA)에서 발견된 4가지 취약점은 기본적으로 네트워크 내부에서 컴퓨터로 대용량의 민감한 파일을 옮길 때 사용된다.

보안 기업 렌디션 인포섹(Rendition Infosec)의 창립자 제이크 윌리엄스(Jake Williams)는 “이번에 발견된 취약점은 특히 심각한 피해를 일으킬 수 있다. 일반적인 상황에서 해커가 사용자 피해자의 민감한 파일을 찾으려 하며, 이는 일종의 추측 과정을 통해 이루어진다. 그러나 이번 액셀리온 FTA 때문에 발생한 피해에서는 이미 해커가 민감한 파일을 찾아냈다. 액셀리온 FTA로 전송된 모든 파일은 사용자가 사전에 민감한 데이터로 확인한 파일이다”라고 설명했다.

널리 확산된 액셀리온 FTA를 악용한 공격은 최근 몇 달간 미국 IT 서비스 기업 솔라윈즈와 이메일 관리 시스템인 마이크로소프트 익스체인지 서버를 겨냥한 대대적인 국가 주도의 해킹 공격과 함께 발생했다. 솔라윈즈와 익스체인지 서버 해킹 모두 기업 수천 곳에 타격을 준 것으로 확인됐으나 초기에 스파이 목적으로 이루어진 공격이었다. 반면, 액셀리온 FTA를 노린 해커 집단은 범죄 행위로 금전적 이익을 취하고자 사이버 범죄를 벌인 것으로 추정된다.
 
[사진=Freepik]
[사진=Freepik]

국토안보부 산하 사이버보안 및 기반시설 보안국(CISA)은 국제 당국과의 합동 공식 성명을 통해 “전 세계적으로 해커 집단이 각종 보안 취약점을 악용해 연방 정부, 주 정부, 지방 정부, 자치 정부 및 중앙 정부는 물론이고 의료 업계와 법률, 이동통신, 금융, 에너지 부문 등 여러 민간 업계의 기관까지 공격했다. 일부 사례에서 해커가 해킹 이후, 피해 기관이 액셀리온 FTA에서 탈취된 정보 공개 유포를 막도록 유도하고자 금전 갈취를 한 사실이 확인됐다”라고 발표했다.

액셀리온은 계속 20년 넘게 고객사에 제공했던 FTA 소프트웨어 서비스 제공을 중단한다는 사실을 강조해왔다. 액셀리온은 이미 2021년 4월 30일 자로 FTA 서비스 지원을, 그리고 2021년 11월 30일 자로 운영체제 센토스6(Centos 6) 지원을 중단할 계획을 세웠다. 이와 관련, 액셀리온은 고객사가 FTA 사용을 중단하고, 신규 플랫폼인 카이트웍스(Kiteworks)로 바꾸도록 작업을 이어왔다고 밝혔다.

3월 1일(현지 시각), 액셀리온 CEO 조나단 야론(Jonathan Yaron)은 공식 성명을 통해 “액셀리온은 FTA의 취약점을 악용한 사이버 공격을 인지하고, 확인된 각각의 FTA 취약점을 해결하기 위해 눈코 뜰 새 없이 패치 개발 및 배포 작업을 진행해왔다. 그리고, FTA의 취약점 때문에 피해를 본 고객사를 지원했다”라고 발표했다.

그러나 사이버 공격 사건 대응 담당자는 액셀리온이 FTA 사용자가 겪게 될 수 있는 잠재적인 위험에 경각심을 제기하는 데 너무 느린 모습을 보였다고 지적한다.

기업 보안 사건 대응 컨설팅 기업 트러스티드섹(TrustedSec) CEO 데이비드 케네디(David Kennedy)는 “액셀리온의 제로데이 공격이 특히 심각한 피해를 유발하는 이유는 해커가 재빨리 취약점을 대대적으로 악용했기 때문이다. 게다가 액셀리온 측은 보안 취약점의 심각성을 공유하지 않았다. 트러스티드섹의 많은 고객이 액셀리온의 보안 취약점 문제에 관심을 보이며, 아무런 대응이 없을 때 발생하는 여파를 이해하려 했다. 보안 취약점을 무차별적으로 악용할 수 있는 시간이 많았다”라고 설명했다.

액셀리온은 대대적인 보안 침입 행위 때문에 노스캐롤라이나주와 워싱턴주 법원에 여러 차례 피소됐다.
 
“일반적인 상황에서 해커가 사용자 피해자의 민감한 파일을 찾으려 하며, 이는 일종의 추측 과정을 통해 이루어진다. 그러나 이번 액셀리온 FTA 때문에 발생한 피해에서는 이미 해커가 민감한 파일을 찾아냈다.”
제이크 윌리엄스, 렌디션 인포섹

액셀리온의 보안 취약점으로 피해를 본 기관이 추가로 등장할 확률이 높으며, 지금까지 알려진 피해 기관 모두가 클롭의 웹사이트에 유출된 데이터 샘플을 보유한 것은 아니다. 바이러스 방지 기업 엠시소프트(Emsisoft)의 위협 연구원 브렛 칼로우(Brett Callow)는 클롭이 일주일 단위로 일부 피해 기관을 대상으로 한 금전 갈취 요구 사항과 그에 해당하는 유출된 데이터를 공개했다고 말한다. 그는 클롭이 천천히 데이터를 유출하면서 금전 갈취 요구사항 논리를 지속해서 관리하고, 더 많은 위협을 할 수 있다고 설명한다.

케네디는 “이번 액셀리온 사태와 같이 해킹을 통해 금전적 이익을 취하고자 하는 사이버 범죄 집단을 통해 개시된 사이버 공격 행위에서 대대적인 악용 행위가 한꺼번에 발생하지 않을 때가 많다. 치밀하게 계획되면서 계산이 이루어졌고, 특정 상대를 대상으로 공격을 개시해 사이버 공격을 통한 금전적 이익을 최대화한다”라고 말했다.

액셀리온 기기는 각각의 기관이 내부에 직접 소프트웨어를 설치한다. 즉, 해커가 피해 기관의 네트워크 내부에서 각종 장비의 취약점을 모색했다는 의미이다. 그러나 사이버 공격 사건 대응 담당자는 이번 피해는 액셀리온 FTA와 비슷한 보안 취약점이 아마존 웹 서비스나 구글 클라우드, 마이크로소프트 애저 등 공공 클라우드 서비스에서 발생했다면, 대대적인 재앙과 같은 상황이 발생했을 것이라는 우려도 제기한다고 지적한다. 여러 개의 문을 열 수 있는 하나의 열쇠가 불러온 여파가 훨씬 더 심각해질 수 있다.

칼로우는 “공공 클라우드는 보안 문제에서 제외된다. 클라우드에 저장된 데이터는 내부에서 자체적으로 설치한 소프트웨어에 저장된 데이터만큼 취약하다. 많은 사람이 자동으로 클라우드를 사용하면, 데이터를 더 안전하게 저장할 수 있다고 오해한다. 그러나 클라우드가 무조건 안전한 것은 아니다”라고 말했다.

일례로 2020년 말에 발생한 사건을 보면, 여러 대학 및 자선 단체를 포함한 기관 수백 곳이 블랙바우드(Blackbaud) 클라우드 플랫폼의 취약점 때문에 보안 침입 피해를 보았다.

윌리엄스는 “분명히 클라우드 공급사에도 액셀리온과 같은 취약점이 원인이 된 보안 공격이 발생할 수 있다. FTA와 같은 자체 설치 소프트웨어와의 유일한 차이점은 해커가 직접 기기에 접근할 수 있기 때문에 자체 설치 소프트웨어의 코드가 취약점을 관찰하기 더 쉽다는 점이다”라고 강조했다.

곧 지원 종료될 FTA와 같은 제품에서 해커가 최종 공격을 위해 최악의 문제를 남겨두었을 것임이 분명하다. 그러나 여러 기관이 실제로 기존 네트워크 장비를 이관하는 데 수 년이 걸린다는 사실을 고려하면, FTA 관련 보안 침입이 추가로 밝혀질 확률이 높다. 또, 이후 패치 작업이 되지 않은 여러 기기에서 피해가 발생할 수도 있다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
The Accellion Breach Keeps Getting Worse—and More Expensive
이 기사를 공유합니다
RECOMMENDED