SSH VPN으로 최초 침입, 무차별 대입 공격 방어 실패

[보안뉴스 강현주, 여이레 기자] 전세보증 등 수많은 국민 생활 밀착 업무에 차질을 초래한 SGI서울보증 랜섬웨어 공격의 1차 침투 경로는 SSH 가상 사설망(VPN)인 것으로 파악된다.

공격자는 SGI서울보증 내부망으로 들어가기 위해 무작위 로그인을 시도했으며, SGI서울보증은 로그인 시도 횟수 제한 등 기본적 조치도 걸어두지 않았을 가능성도 제기된다.

17일 <보안뉴스> 취재 결과, 랜섬웨어 그룹 ‘건라’는 1차적으로 SSH VPN을 통해 SGI보증보험 내부망에 침투한 것으로 보인다.


접속 가능 IP 제한 및 로그인 횟수 제한 장치 미비
SSH VPN(SSH 터널링)은 SSH 프로토콜을 이용해 특정 애플리케이션이나 포트 트래픽만 암호화해 전송하는 방식의 간이 가상사설망이다. 편리성과 유연성 덕분에 다양한 환경에서 널리 쓰이지만, 전통적 VPN에 비해 보안 측면에서 여러 약점을 안고 있다.

특히 무차별 대입 공격에 취약한 점이 두드러지며, 해커들은 이 점을 악용해 SGI서울보증 계정 침해에 성공한 것으로 추정된다. SGI서울보증은 무차별 대입 공격을 방어하기 위한 로그인 시도 횟수 제한, 속도 제한(지연 삽입), 다중 인증 등의 보안 조치를 충분히 마련하지 않은 것으로 추정된다.

해커가 여러 IP를 활용해 지속적으로 침투 시도를 반복한 정황이 포착된 점에 비추어, SGI서울보증이 접속 가능한 IP를 제한하는 조치를 소홀히 한 것 아니냐는 의문이 제기돤다.

공격자는 내부 망에 들어가기 위해 많은 IP 주소를 통해 매우 여러 번 로그인을 시도했으며, 이 과정에서 수많은 무작위 ID와 패스워드를 사용한 것으로 분석됐다. 이 같은 해킹 수법을 막기 위해 특정 시간 내 로그인 시도 횟수 제한을 두는 것은 기본적 보안 장치다.

또 이번 SSH VPN 공격은 장기간 진행되어 6월 중순 로그인에 성공했으나, SGI서울보증이 이를 사전에 인지하지 못한 것으로 전해진다. 그동안 해커들은 내부 시스템 구조를 충분히 파악한 뒤, 14일 본격적인 공격을 감행한 것으로 분석된다.

협상 여부 관심...망분리 기반 보안 안전성 문제 부각
그 결과 주택담보대출과 전세대출, 휴대전화 할부 개통 등 보증 업무가 차질을 빚었다. 이런 점을 미루어 볼 때 내부망 보안 체계도 취약했을 것으로 추정된다. 또 보안을 위한 망분리 체계가 오히려 위험할 수 있다는 해석도 가능하다.

SGI서울보증은 17일 오전 10시부터 보증서 발급 등 주요 서비스를 재개했다. 이로써 이 회사가 취급하는 전 종목에 대한 보증서 발급 서비스가 가능해졌다.

이와 관련, SGI서울보증이 공격자 그룹과 ‘협상’ 여부에도 관심이 집중되고 있다.

랜섬웨어는 기업의 시스템을 잠그거나 데이터를 암호화하고, 풀어주는 대가로 금전을 요구하는 공격이다. 공격자에게 대가를 지불하고 ‘협상’을 하는 기업에게는 윤리적 비난이 가해지곤 하지만, 불가피한 선택이라는 여론도 있다. 비즈니스의 연속성이 멈춘다는 것은 기업에게 치명적이며, 특히 소비자들에게도 피해가 일파만파 번지기 때문이다.

보안 업계 한 전문가는 “SSH VPN을 통해 내부 망에 침투해 랜섬웨어 공격이 이뤄졌다면, 외부 접근에 대한 기본적 안전장치가 부족했을 것으로 추정된다”며 “SGI서울보증 해킹을 계기로 디지털 금융 보안 체계 향상을 위한 더 심도 깊은 논의가 이뤄져야 할 것”이라고 말했다.

한편, 이번 SGI서울보증에 랜섬웨어 공격을 가한 ‘건라’는 4월 등장한 신종 랜섬웨어 조직으로 제조·헬스케어·정보기술(IT)·소비자 서비스 등 고가치 산업군을 정조준해 빠른 속도로 공격 대상을 확대해 왔다.

[강현주, 여이레 기자(jjoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>