시트릭스 제품을 사용하고 있다면 지금 당장 확인해야 할 것이 있다. 그 제품의 버전이다. 그리고 최신화를 서둘러 하는 것이 좋다. 공격자들이 지금 이 취약점을 찾으려 혈안이 되어 있기 때문이다.

[보안뉴스 문가용 기자] 록빗3.0(LockBit 3.0)이라는 악명 높은 랜섬웨어 갱단과 협업하는 것으로 보이는 공격 단체가 최근 들어 ‘시트릭스 블리드(Citrix Bleed)’라는 보안 취약점을 거세게 익스플로잇 하고 있다는 경고가 나왔다. 이 때문에 미국의 정보 보안 담당 기관인 CISA가 다시 한 번 해당 취약점에 대한 경고를 발표했고, 시트릭스 측도 위험 완화를 위한 추가 노력을 이어갔다.


문제의 취약점은 CVE-2023-4966으로 CVSS 기준 9.4점을 받았다. 시트릭스의 넷스케일러 웹(NetScaler Web)과 넷스케일러 게이트웨이(NetScaler Gateway)에서 발견됐다. 패치가 나온 건 지난 10월의 일이다. 보안 업체 맨디언트(Mandiant)에 따르면 공격자들은 패치가 나오기 전 이미 이 취약점을 발굴해 공격을 하고 있었다고 한다. 그런데다가 개념 증명용 익스플로잇 코드가 너무 빨리 공개되면서 공격이 빈번해졌다.

시트릭스 블리드 취약점에 대한 관심, 급격히 올라가
CVE-2023-4966 취약점의 가장 큰 특징은 익스플로잇이 비교적 쉽다는 것이다. 공격자들은 이를 통해 쉽게 인증 절차를 우회할 수 있게 되고, 그럼으로써 가장 중요한 정보들에 쉽게 도달할 수 있게 된다. 이런 취약점을 최근 가장 활발히 움직이는 록빗3.0이 놓칠 리가 없다. 참고로 록빗3.0은 요 근래에만 보잉, DP월드, ICBC를 침해한 바 있다. 보잉은 세계에서 첫 손에 꼽히는 규모의 항공사이고, DP월드는 호주의 대형 선박 업체이며, ICBC는 전 세계에서 가장 큰 금융 기관이다.

이 취약점을 패치하지 않고 있었을 때의 리스크는 너무나 크다고 FBI와 CISA는 경고한다. “시트릭스 블리드를 통해 공격자들은 비밀번호를 입력한 것과 같은 효과를 내거나 다중인증 장치를 뚫어낼 수 있게 됩니다. 그러므로 정상 사용자와 동등한 입장에서 피해자의 네트워크에 접속할 수 있게 됩니다. 정상적으로 로그인 한 것과 마찬가지의 공격자들은 크리덴셜을 수집하고, 횡적으로 움직여 피해를 극대화 하거나 각종 데이터와 자원을 가져갈 수 있게 됩니다.”

보안 전문가 케빈 뷰몬트(Kevin Beaumont)는 수개월 동안 록빗3.0을 추적해 왔던 인물로 지난 주 “록빗은 파트너들가 함께 시트릭스 블리드를 공략하기 위한 전담 팀을 만들었다”고 경고했다. 주로 10대들로 구성된 것으로 보인다고 한다. “10대들이 놀라운 해킹 기술을 익혀 자기들끼리 몰려다니며 각종 범죄를 저지르고 있는 게 지금의 현실입니다. 이들은 컴퓨터 앞에 앉아 있는 것처럼 보이지만 사실은 조직 범죄단입니다. 매우 민첩하게 움직이면서 어떻게 해서든 빈틈을 파고들죠. 반면 우리는 취약점 패치 하나 적용하는 데 수많은 상급자들의 결제를 거쳐야 합니다. 상대가 안 됩니다.”

패치가 중요하지만, 그것으로 끝나는 것 아냐
그렇다면 시트릭스 블리드를 통한 공격에 대하여 어떤 안전책을 강구해야 할까? CISA는 침해지표와 각종 방어 방법을 상세히 공개했다. 시트릭스 또한 보안 권고문을 새롭게 발표해 패치를 적용하는 것은 물론 추가 안전 조치를 취해야 한다고 강조했다. “이번에 취약점이 발견된 버전을 사용하고 있다면 패치를 서둘러 해야 하는 것은 당연한 일입니다. 그런 후에는 활성화 되어 있거나 지속되고 있는 세션들을 삭제하는 것이 안전합니다.”

보안 업체 비아쿠(Viakoo)의 부회장 존 갤러어(John Gallagher)는 “프로세스와 PID 층위까지 점검하여 모든 애플리케이션들의 패치 여부를 확인할 수 있어야 한다”고 강조한다. “아직도 수많은 조직들이 이 패치를 적용하지 않고 있는데, 그 이유는 패치를 하기 싫어서가 아니라 패치를 해야 한다는 걸 모르기 때문입니다. 왜냐면 자신이 무슨 자신을 보유하고 있는지, 그 자산들이 어떤 버전으로 유지되고 있는지 전혀 파악하지 못하고 있기 때문입니다. 정말로 우리 스스로의 네트워크에 대해 우리보다 공격자들이 더 잘 안다고 해도 과언이 아닙니다.”

패치가 불가능한 상황이 있을 수 있다. 그럴 경우 문제의 앱이나 장비를 재빨리 네트워크에서 분리하는 게 중요하다고 CISA와 시트릭스 모두 조언한다. “시트릭스 블리드는 앞으로도 한 동안 문제로 남아 있을 가능성이 높습니다. 시트릭스 제품은 포춘 500대 기업들 중 90%에서 사용되고 있기도 하고, 취약점 익스플로잇이 어렵지도 않기 때문입니다. 게다가 익스플로잇 후 얻어갈 것도 많지요. 공격자들이 선호할 만한 특징을 다 가지고 있다고 봐도 됩니다.”

3줄 요약
1. 10월에 발견되고 패치된 시트릭스 블리드 취약점, 요즘 더 많이 악용됨.
2. 시트릭스의 주요 앱과 장비에 인증 없이 접속할 수 있게 해주는 취약점.
3. 특히 이 취약점을 선호하는 건 그 악명 높은 록빗3.0과 관계 있는 공격 단체.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>