최신 보안 패치를 제 때 바로바로 하는 사용자들이라도 다시 한 번 자신의 VM웨어 환경을 점검해야 할 때가 되었다. 최소 2년 전부터 있어 왔던 공격이 뒤늦게 발견됐기 때문이다.

[보안뉴스 문가용 기자] 최근 VM웨어에서 발견된 심각한 취약점을 중국 APT 단체가 최소 2년 동안 몰래 익스플로잇 해왔다는 사실이 드러나며 충격을 주고 있다. 사실이 드러난 건 지난 10월. VM웨어의 브이센터서버(vCenter Server)에서 9.8점짜리(10점 만점) 초고위험도 취약점인 CVE-2023-34048이 발견되면서였다. 이 취약점이 얼마나 심각한지 VM웨어는 공식 지원 기간이 끝난 버전들을 위해서도 패치를 개발해 배포했다.


보안 업체 맨디언트(Mandiant)가 1월 19일자 자사 블로그를 통해 “UNC3886이라는 해킹 단체가 CVE-2023-34048이라는 제로데이 취약점을 2021년 하반기부터 익스플로잇 해왔다”고 발표했다. 또 다른 보안 업체 크리티컬스타트(Critical Start)의 수석 위협 연구 팀장인 캘리 궨터(Callie Guenther)는 “CVE-2023-34048의 익스플로잇 사태는 VM웨어 제품들처럼 널리 사용되는 소프트웨어 내에 있는 취약점들이 얼마나 복잡하게 내재되어 있고, 그것을 또 발견하여 활용할 줄 아는 단계에 공격자들이 이르렀다는 걸 보여준다”며 “공격자들의 기술적 감각이 너무나 뛰어나다”고 말한다.

UNC3886의 VM웨어 익스플로잇
이번에 지적된 UNC3886은 중국과 관련이 깊은 것으로 알려진 단체다. 궨터가 말하는 ‘기술적 감각이 뛰어난 해킹 그룹’이 어울리는 단체가 있다면 바로 이 UNC3886이라고 많은 보안 전문가들은 꼽는다. 특히 VM웨어 환경을 집요하게 노리는 것으로 악명이 높다. 작년에는 CVE-2023-20867이라는 VM웨어툴즈(VMware Tools)의 제로데이 취약점을 익스플로잇 하다가 발각되기도 했었다.

그런데 CVE-2023-20867 취약점의 경우 반드시 ESXi 호스트들을 침해하는 게 선행되어야 익스플로잇이 가능하다. 이 제로데이 취약점이 발견됐을 때 UNC3886이 어떻게 ESXi 호스트를 침해했는지 알 수가 없었다. 조사를 이어가다 보니 VM웨어 서비스의 충돌 로그에서 이상한 점이 발견됐다. UNC3886이 버추얼피타(VirtualPita)와 버추얼파이(VirtualPie)라는 자신들의 백도어를 심기 직전에 반드시 VM웨어디렉토리서비스(VMware Directory Service, VMDIRD)가 충돌하는 양상이 나타난 것이다. 이 문제를 추적해 보니 CVE-2023-34048이라는 취약점이 있었다.

이를 통해 일련의 공격 사슬이 자연스럽게 떠올랐다고 맨디언트는 밝힌다.
1) CVE-2023-34048을 익스플로잇 해서 원격 코드 실행 권한을 갖춘다.
2) 그런 후에 피해자 조직의 크리덴셜들을 훔친다.
3) 크리덴셜을 바탕으로 ESXi 호스트들을 침해한다.
4) ESXi 호스트와 연결된 브이센터서버를 침해한다.
5) 백도어를 서버에 심는다.
6) CVE-2023-20867을 익스플로잇 한다.

궨터는 “UNC3886은 길게 보면서 취약점들을 익스플로잇 했는데, 이는 중국 APT 단체들이 흔히 보여주는 전략”이라고 설명한다. “중국 APT 해커들의 가장 주된 목적은 정보입니다. 최대한 많은 정보를 훔쳐내는 게 대부분 중국 APT 조직들의 최종 목표가 되지요. 그렇다 보니 최대한 조용하게 침투하고, 최대한 소리 안 나게 움직여 걸리지 않고, 최대한 꾸준히 정보를 훔쳐내는 패턴을 보입니다. UNC3886의 캠페인에서 나타나는 특징들이 중국 해커들의 그것과 맞아떨어집니다.”

VM웨어 사용자들, 어떻게 방어해야 하는가?
대부분 VM웨어 사용자들은 지난 10월의 패치를 적용했을 것이다. 하지만 그것으로 안심할 수는 없게 됐으며, 따라서 지난 2년 간 공격이 있지는 않았는지, 아직도 남아 있는 백도어나 그 외 다른 멀웨어들이 있지는 않은지 점검해야 할 상황이라고 궨터는 말한다. “패치를 했든 안 했든, 네트워크 내부를 점검하여 위협들을 찾아내는 게 안전합니다. 그런 다음에 CVE-2023-34048 취약점 패치를 적용해야 합니다.”

궨터는 위협을 찾는 것이나 취약점을 패치하는 것이나 간단한 작업은 아닐 것이라고 경고한다. “IT 환경이 기업과 기관들마다 심각하게 복잡해지는 중이고, 이미 상당 수준의 복잡성을 띄고 있습니다. 그렇기 때문에 어디에 어떤 취약점이 존재하는지 찾아내는 게 쉽지 않습니다. 당연하지만 위협을 찾아내는 것도 이런 환경에서는 만만치 않은 일입니다. 적지 않은 시간과 노력을 투자해야 할 겁니다.”

3줄 요약
1. 작년 VM웨어 환경에서 제로데이 공격이 일어나고 있는 것이 발견되었음.
2. 최초 침투에 대해서는 의문이 밝혀지지 않았었는데, 추적해 보니 또 다른 제로데이 취약점이 있었음.
3. 뒤늦게 발견된 제로데이 취약점은 최소 2년 동안 해커들이 몰래 익스플로잇 해 왔음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>