클롭 랜섬웨어 갱단이 제로데이 취약점을 공략해 유명 파일 전송 플랫폼인 고애니웨어를 침해하는 데 성공했고, 이를 통해 130개가 넘는 기업들에 악영향을 미쳤다. 한 사건에 ‘랜섬웨어’, ‘서드파티 솔루션 침해’, ‘제로데이 익스플로잇’과 같은 굵직한 이슈들이 한꺼번에 엮였다.

[보안뉴스 문가용 기자] 클롭(Clop) 랜섬웨어 갱단이 소프트웨어 개발사 포트라(Fortra)에서 만든 파일 공유 및 전송 솔루션인 고애니웨어(GoAnywhere)의 제로데이 취약점을 익스플로잇 한 후에 랜섬웨어를 퍼트렸다고 스스로 주장하고 나섰다. 문제의 취약점은 CVE-2023-0669이며, 클롭은 관리자 권한을 가지고 원격에서 자신들이 원하는 코드를 주입하는 데에 이를 활용했다고 한다.


(먼저 클롭은 2019년 처음 발견된 랜섬웨어 단체로 RaaS를 운영하고 있다. 즉 랜섬웨어를 사업 아이템으로서 활용하고 있는 단체라는 것이다. 미국 보건복지부 산하 보건분야사이버보안센터(HC3)에 의하면 클롭은 현재까지 5억 달러가 넘는 수익을 올린 것으로 보인다고 한다. 하지만 2021년 클롭 운영자 일부가 체포됐으며, 클롭의 활동은 줄어들 것으로 예상됐다. 그 예상은 보기 좋게 빗나갔다.)

모의 침투 전문 업체 코발트(Cobalt)의 CISO인 앤드류 오바디아루(Andrew Obadiaru)는 “클롭 랜섬웨어 단체는 제로데이 취약점을 익스플로잇 함으로써 관리자 콘솔에 접근할 수 있었다”며 “이를 통해 130개가 넘는 기업들에서 문서를 훔쳤다고 주장하고 있다”고 설명했다.

제로데이 취약점들이란, 소프트웨어 개발사가 발견해 고치기 전에 공격자들이 먼저 익스플로잇 하게 된 취약점을 말한다. 제로데이 익스플로잇 공격의 결과는 어떠하며, 앞으로는 제로데이를 둘러 싼 위협 지형은 앞으로 어떤 식으로 변하게 될까?

공격의 결과
헬스케어 분야 사물인터넷 보안 전문 기업인 에이시밀리(Asimily)의 CEO 샨카르 소마순다람(Shankar Somasundaram)은 “고애니웨어 소프트웨어에의 관리자 콘솔에는 아무도 모르는 취약점이 하나 있었다”며 “공격자들은 인증 과정을 통과하지 않고도 이 취약점을 익스플로잇 할 수 있었고, 그렇게 했다”고 말한다. “그게 전부가 아닙니다. 1천 개가 넘는 소프트웨어 관리자 포트들이 인터넷에 계속 노출되어 있었고, 이 때문에 원격 익스플로잇이 가능했지요.”

제로데이 취약점이 진작부터 위태롭게 노출되어 있었다는 소리인데, 클롭의 주장대로 이 취약점을 통해 130개가 넘는 기업들에 영향을 끼쳤다면 제로데이 익스플로잇으로 인한 결과는 높은 파급력을 가지고 있다고 할 수 있다. “이런 식의 공격에 당하게 되면 데이터를 잃을 수도 있고, 시스템에 로그인을 할 수 없게 되기도 합니다. 고애니웨어라는 파일 전송 시스템을 사용하는 조직들이라면 클롭 랜섬웨어의 이러한 행적에 주의를 기울여야 합니다.”

피해를 입은 조직 중 하나는 커뮤니티헬스시스템즈(Community Health Systems, CHS)다. CHS는 미국의 증권거래위원회에 사건과 관련된 보고서를 작성해 제출한 상태인데, 아직까지는 사업 운영에 차질을 빚을 정도의 피해는 입지 않았다고 한다. 하지만 개인정보와 개인 식별 정보에 침해가 있었다. “현재까지는 약 100만 명이 이 사건의 영향을 받은 것으로 파악되고 있습니다”라고 CHS는 보고서를 통해 밝혔다.

고애니웨어 침해 사건으로 인한 피해는 계속해서 확산될 것으로 예상된다. 보안 업체 타이타니엄(Titaniam)의 CEO 아티 라만(Arti Raman)은 “고애니웨어 침해 사건의 실제 피해 규모는 이제 막 드러나기 시작했을 뿐”이라고 말한다. “여러 기업들이 사용하고 있는 플랫폼이나 서비스에서 발생하는 침해 사고는 장기적으로 여러 기업들에 파장을 미칩니다. 공격자들은 해당 공격을 통해 얻어낸 정보를 가지고 추가 공격을 이어가는 게 보통이죠. 개인 식별 정보가 연루되었을 경우 피해는 더 커지고 확산됩니다.”

보안 업체 보티로(Votiro)의 CTO인 아비브 그라피(Aviv Grafi)는 “고애니웨어는 기업들이 민감한 정보를 옮기는 데 즐겨 사용하는 솔루션”이라며 “많은 기업과 기관들이 사용하는 만큼 생각지도 못한 곳에서 피해가 불거질 가능성이 높다”고 말한다.

제로데이 취약점, 앞으로 어떤 국면으로 접어들 것인가?
제로데이 취약점이 발견되고 익스플로잇 되는 비율은 점점 높아지는 중이다. 보안 업체 맨디언트(Mandiant)의 경우 2021년 해커들이 먼저 발견해 실제 공격에 활용한 제로데이 취약점의 수를 80개로 집계했었다. 2019년에는 32개였다. 소마순다람은 “제로데이를 발굴해 익스플로잇 하려는 노력은 계속해서 이어질 것”이라고 예상하고 있다. “취약점 익스플로잇을 대행해 주는 서비스도 다크웹에 등장하고 있습니다. 이들끼리 경쟁이 붙으면 필연적으로 제로데이 발굴에 가속도가 붙을 수밖에 없습니다.”

제로데이 취약점은 위에서 설명했듯이 벤더사조차 미리 발견하지 못하는 것이다. 그렇다면 사용자 기업이나 기관들은 어떻게 제로데이의 위험에 대처해야 할까? 소마순다람은 다음과 같은 몇 가지 원칙을 지키는 것부터 시작해야 한다고 권장한다.

1) 디지털 자산을 이해하는 것이 가장 중요하다. 전자 장비만이 아니라 서비스와 애플리케이션, 연결 상황 등까지 다 아울러야 한다.
2) 새로운 장비를 기업 환경으로 들여와 연결시킬 때나 새로운 앱을 설치할 때, 새로운 서비스에 가입할 때 하나도 빠짐없이 위험 평가를 실시해야 한다.
3) 필요하다면 공급망을 거슬러 올라가 장비/앱/서비스 제공 업체에 대하여 조사하는 것도 할 수 있어야 한다.

라만은 공격이 어떤 과정으로 진행되는지 이해하는 것도 필요하다고 강조한다. “랜섬웨어 공격은 거의 대부분 비슷한 순서로 일어납니다. 최초 침투, 데이터 빼돌리기, 파일이나 시스템의 암호화가 바로 그것이죠. 제로데이 취약점에 집중하는 것보다 공격자들의 이러한 움직임을 단계별로 어렵게 만드는 것이 효과적이고 구체적일 수 있습니다. 예를 들어 공격자들이 제로데이로 최초 침투를 했다면, 데이터 트래픽 모니터링을 통해 빼돌리기를 방해할 수 있지요. 암호화 시도를 최대한 빨리 알아낼 방법을 탑재한다면 피해를 줄이는 것도 가능합니다.”

보안 업체 인트루젼(Intrusion)의 CIO 앤드류 윌드릭스(Andrew Wildrix)는 “네트워크를 여러 조각으로 나눠서 운영하고, 시스템 모니터링을 보다 철저하게 하며, 주기적으로 업데이트를 적용하는 것이 제로데이 익스플로잇 공격을 막는 가장 효과적인 방법”이라고 설명한다. “제로데이 공격은 제로트러스트로 막는 것이 가장 효과적입니다. 제로트러스트를 제대로 도입하면 C&C 활동도 차단할 수 있고, 그러므로 추가 공격 역시 방지할 수 있게 됩니다.”

글 : 캐리 팔라디(Carrie Pallardy), IT 칼럼니스트
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>