• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

대규모 공급망 공격의 시초가 된 무브잇에서 또 다른 제로데이 취약점 나와 2023.06.12

지난 주 클롭 랜섬웨어 조직이 언급하면서 거대 공급망 공격의 단초가 되었으리라고 여겨지는 소프트웨어 무브잇에서 다시 한 번 제로데이 취약점이 나왔다. 무브잇을 사용하는 기업들은 다시 한 번 긴급 패치를 진행해야 한다.

[보안뉴스 문가용 기자] 소프트웨어 개발사 프로그레스 소프트웨어(Progress Software)가 이미 널리 익스플로잇 되고 있는 무브잇(MOVEit) 앱 내 제로데이 취약점을 패치하자마자 또 다른 제로데이가 발굴됐다. 무브잇이 보안 업계 내에서 또 다시 화젯거리가 될 전망이다.

[이미지 = gettyimagesbank]


이번에 배포되기 시작한 패치는 여러 개의 취약점들을 다루고 있는데, 전부 무브잇 트랜스퍼(MOVEit Transfrer)라는 프로그램의 모든 버전들에서 발견되고 있었다. 이 취약점들을 익스플로잇 하면 인증을 받지 않은 공격자가 무브잇 트랜스퍼 데이터베이스에 접근할 수 있게 되며, 그 안에 있는 데이터를 훔치거나 조작할 수 있게 된다. 아직 이 취약점들에는 CVE 번호가 부여되지 않았다.

“아직 조사와 분석이 이어지는 중입니다. 현재까지는 이 취약점들이 실제 해킹 공격에 활용됐다는 사례를 발견하지는 못했습니다.” 프로그레스 측의 설명이다. 그럼에도 6월 9일 프로그레스는 보안 권고문을 통해 “새로운 패치를 설치하라”고 고객들에게 알렸다. 공격자들의 익스플로잇이 언제 시작될지 알 수 없기 때문이다. 또한 이번 제로데이 취약점이 5월 31일에 발표된 제로데이 취약점과는 별개의 것이라고도 강조했다. “6월 9일에 나온 패치를 반드시 적용하는 게 좋습니다.”

이번 제로데이 취약점들을 발견한 건 보안 업체 헌트리스(Huntress)라고 프로그레스는 밝혔다.

계속되는 무브잇 공략
지난 주 무브잇은 보안 업계의 집중적인 관심을 받았다. 클롭(Clop) 랜섬웨어 조직이 무브잇 트랜스퍼의 제로데이 취약점인 CVE-2023-34362를 익스플로잇하고, 이를 통해 여러 기업들(무브잇의 사용자 기업들)의 정보를 탈취했다고 주장했기 때문이다. 기업들의 수가 전 세계 수천이라고 하며, 이 중에는 BBC, 영국항공, 노바스코티아 주 정부가 포함되어 있는 것으로 알려져 있다. 미국의 보안 전담 기관인 CISA도 이 사건과 관련하여 보안 경고문을 발표했다.

헌트리스의 보안 전문가들은 최근 무브잇 트랜스퍼 앱의 코드 분석을 진행하다가 이번에 다시 문제가 된 두 번째 제로데이 취약점들을 발견했다고 한다. 헌트리스는 클롭이 첫 번째 제로데이 취약점인 CVE-2023-34362를 어떤 식으로 익스플로잇 했는지도 파악해 밝혀낸 바 있다.

“저희 헌트리스는 클롭의 원래 익스플로잇 방법을 개념 증명용으로 구현하기 위해 여러 가지 연구를 진행하다가 무브잇 트랜스퍼를 겨냥한 갖가지 공격 방법을 발견해 냈습니다. 또한 첫 번째 패치의 효과에 대해서도 재평가 할 수 있었습니다.” 헌트리스 측의 설명이다. “일단 이번에 발견된 취약점들은 첫 번째 제로데이와 무관하며, 따라서 첫 번째 패치로 막을 수 없습니다. 두 번째 패치를 적용해야만 안전할 수 있습니다.”

패치, 서둘러야
프로그레스 측에 의하면 이미 많은 고객사들이 5월 31일에 발표된 첫 번째 제로데이 취약점에 대한 패치는 적용한 상태라고 한다. 그런 고객이라면 두 번째 패치도 그대로 받아 적용하면 된다고 한다. “첫 번째 패치를 하지 않은 기업이라면 별도의 패치 절차를 따르거나 또 다른 위험 완화 대책을 적용해야 합니다. 상세한 방법은 저희가 알려드리고 있고, 저희 웹사이트를 통해서도 설명해 두었습니다.”

프로그레스는 무브잇 클라우드(MOVEit Cloud) 역시 다시 점검해 패치를 완료했다고 한다. 클라우드 서비스이기 때문에 사용자들이 특별히 패치를 다운로드 받아 적용하지는 않아도 된다. “다만 감사 로그를 점검해 비정상적인 파일 접근 및 다운로드 기록이 있는지 확인해 두는 것 정도는 하는 것이 좋습니다. 접근 로그는 늘 점검하는 것이 좋고요.”

3줄 요약
1. 사용 기업 많은 프로그램 무브잇에서 또 다시 제로데이가 발견됨.
2. 첫 번째 제로데이가 나온 지 며칠 되지도 않은 시점.
3. 이 때문에 사용자 기업은 첫 번째 패치와 두 번째 패치를 전부 적용해야 함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>