스마트 인스톨 어뷰징 통한 공격으로 보여
성조기 유출하고 “선거에 개입하지 말라”는 메시지도 출력해

[보안뉴스 문가용 기자] 이란과 러시아에 있는 시스코 스위치 장비들이 하이재킹 당했다. 꽤나 많은 수가 당했으며, 선거와 관련된 핵티비스트들의 소행인 것으로 분석되고 있다. 또한 이미 알려진 취약점이 이 공격에 악용되었다는 사실도 드러났다.


공격자들이 공격을 성공시키기 위해 악용한 건 스마트 인스톨(Smart Install)이란 기능이다. 스마트 인스톨을 통해 침해된 스위치 기기들은 미국 국기인 성조기로 보이는 이미지를 화면에 출력하며, “우리 선거를 망치지 마시오”라는 문구도 곁들여져 있다.

해커들은 스스로를 JHT라고 부르고 있는데, 외신인 머더보드(Motherboard)는 이들과의 인터뷰를 성공시켰다. JHT는 “미국 등 여러 나라의 선거 제도를 겨냥한 해킹 공격자들에게 메시지를 남기려고 했다”고 말했으며, 이란과 러시아만 공격 대상이었다고 주장했다. 재미있는 건 미국과 영국에서 발견한 기기들 중 동일한 취약점을 가지고 있는 것들은 오히려 패칭을 했다고 말한 부분이다. 즉 미국과 영국에는 패치를, 이란과 러시아에는 메시지를 남긴 것인데, 진위는 아직 조사되지 않았다.

이란의 IT통신부는 “이란 내에서만 약 3500 대의 기기들이 영향을 받았지만 대부분 빠른 시간 안에 복구되었다”고 발표했다. 보안 업체 카스퍼스키는 “러시아어를 사용하는 네티즌 및 네트워크를 노린 공격”이라는 의견을 표명하기도 했다. CVE-2018-0171 취약점이 주로 익스플로잇 되었다는 주장도 일각에선 나오고 있는데, 아직 이 부분은 논란 중에 있다.

시스코의 스마트 인스톨 클라이언트는 오래된 기능으로 새로운 시스코 스위치들을 간편하게 설치하게 해준다. 하지만 이 과정에서 보호되지 않은 장비를 인터넷에서 스캐닝하는 기능이 활성화되고, 시스코는 1년 전 스마트 인스톨 프로토콜을 남용할 경우 이러한 스캔 행위가 급격히 늘어날 수 있다고 경고한 바 있다.

한편 일부 보안 전문가들 사이에서 언급되고 있는 CVE-2018-0171은 지난 주 발견된 것으로 이번 공격의 성공 가능성을 높여줄 수 있는 것이긴 하다. 그러나 시스코는 “현재까지 이 취약점을 실제로 익스플로잇 하려는 시도는 발견하지 못했다”며 “아직까지 이론상으로만 존재하는 취약점이자 익스플로잇”이라고 발표했다.

시스코의 탈로스 팀도 “시스코 스위치들에 있다고 알려진 취약점들이 얼마나 많은데”라며 “굳이 CVE-2018-0171을 해커들이 새롭게 익스플로잇 하려고 노력했을 가능성은 낮다”고 묘하게 스스로를 ‘디스’하는 듯한 말을 했다.

중국의 보안 업체인 치후360(Qihoo360) 역시 독자적인 하니팟 데이터 분석 결과 “이번 공격과 CVE-2018-0171 사이에는 큰 연관성이 없어 보인다”고 발표했다. “이미 공개된 스마트 인스톨의 취약점을 어뷰징한 것으로만 보입니다. 이 취약점은 7개월 전에 발표된 것이라 사실 대부분 해커들은 알고 있는 내용입니다.”

그러나 CVE-2018-0171을 익스플로잇 하는 것이 그렇게 어렵지 않다는 주장도 다른 보안 전문가들 사이에서는 나오고 있다. 심지어 개념증명까지 마치고 그 기술적인 세부 내용을 공개한 이도 있을 정도다.

그런 인물 중 하나가 스웨덴의 보안 업체인 아이비비드(Aivivid)의 하메드 코람야르(Hamed Khoramyar)다. 그는 트위터를 통해 확실해 CVE-2018-0171이 익스플로잇 됐다고 주장했다(https://twitter.com/Khoramyar/status/982351855840718850). 또 다른 보안 업체 쿠델스키(Kudelski)도 하메드의 편을 들고 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>