원격 관리 및 모니터링 서비스, 공격자들에게 매력 넘치는 공격 통로
‘신뢰’는 더 이상 신뢰할 수 없는 요소...피해 제한하기 위한 망분리가 기본이 되어야

[보안뉴스 문가용 기자] 최근 발생한 ‘솔라윈즈(SolarWinds) 해킹 사건’으로 미국 정부와 보안 업계가 발칵 뒤집어졌다. 국방부와 국토안보부, 핵 안보실까지 뚫렸으니 그럴 만도 하다. 게다가 공격자들이 솔라윈즈 외에 다른 공격 경로를 활용했다는 소식도 나오면서 이 사태는 더 심각하게 전개되는 중이다. CISA가 밝힌 또 다른 공격 경로란 아웃룩 웹 앱(OWA) 서버의 비밀 키를 확보한 후 다중 인증을 우회하는 것이다.


공격자들은 이런 공격 통로들을 확보한 후 선버스트(SUNBURST)라는 정보 탈취용 멀웨어를 심었다. 미국의 심장과 같은 정부 기관들과 유력 IT 업체들에서 현재까지 이러한 공격의 흔적이 발견되고 있고, 앞으로도 계속해서 발견될 예정이다. 이후 비슷한 사고를 막기 위해 다음과 같은 내용들이 업계 내에서 정리되고 있다.

원격 모니터링과 관리 도구들은 공격자들의 또 다른 무기다
보안 업체 애스지라(Asgira)의 부회장인 에란 파라준(Eran Farajun)은 “원격 관리와 원격 모니터링 도구가 얼마나 매력적인 공격 무기가 될 수 있는지 이번 사건을 통해 드러났다”고 설명한다. 이런 도구들은 주로 보안 대행 및 관리 서비스 업체들이 고객사의 네트워크와 엔드포인트를 점검하는 데 사용된다. 솔라윈즈는 이런 보안 대행 및 관리 서비스 업체들을 고객으로 두고 있는 회사였고, 이 서비스 업체들은 다시 수많은 사용자 기업들을 고객으로 두고 있었다.

원격 관리 및 모니터링 도구들은 클라이언트, 서버, 하이퍼바이저, 워크스테이션, 네트워크 장비, 랩톱, 모바일 엔드포인트 등에 에이전트가 설치되어야만 한다. 때문에 도구 운영자들은 기업 네트워크 깊숙한 곳까지 들여다볼 수 있게 된다. “에이전트들은 패치와 버전 정보, 하드웨어 성능 관련 정보(CPU 성능, 메모리, 팬 속도 등)를 꼼꼼하게 모읍니다. 그런데 이 에이전트들은 보안의 입장에서 고려되지 않는 게 보통이죠.”

때문에 원격 관리 및 모니터링 도구들에 공격자들이 접근하는 데 성공하게 되면, 여러 기업들의 네트워크로 통하는 단 하나의 문을 확보하게 되는 것과 다름이 없다. 파라준은 “이렇게 중요한 도구들은 일반 플랫폼에 통합하지 말아야 한다”고 강조한다.

빌드 시스템도 보호해야 한다
솔라윈즈에 의하면 공격자들은 선버스트 멀웨어를 소프트웨어 업데이트에 탑재시켰다고 한다. 솔라윈즈의 빌드 시스템과 CI/CD 환경에 접근함으로써 이게 가능했다는 설명도 덧붙었다. 그렇기 때문에 개발 도중에 있는 소프트웨어들의 보안도 점검하는 것이 중요하다. 모든 것을 다 완성시켜놓고 보안 기능을 추가로 탑재한다는 생각은 더 이상 안전하지 않다.

보안 업체 악소니우스(Axonius)의 디렉터인 다니엘 트로너(Daniel Trauner)는 “빌드 시스템을 구성하는 의도는 소스코드를 패키지화 하고, 이를 통해 생산 후 필요한 기능을 추가하기 위한 여러 가지 조치를 취하기 위한 것”이라며 “최근 들어 실제 변경이 빌드 시스템에서부터 적용되는 것이 유행”이라고 설명한다. “소프트웨어 개발자들에게 있어 대단히 유용하고, 반드시 있어야 하는 시스템입니다.”

즉 소프트웨어의 골격이 완성되고 살이 붙은 과정이 바로 이 ‘빌드 시스템’이라는 건데, “이 빌드 시스템에 대한 보안 감사가 이뤄지는 사례는 대단히 드물다”는 게 트로너의 설명이다. “소프트웨어 엔지니어들은 주로 CI/CD의 안정성을 유지하는 데에 신경을 더 많이 씁니다. 소프트웨어의 본 기능이 우선 고려 사항이죠. 따라서 보안인 대부분의 경우 간과됩니다.”

초반에 조사된 내용이 전부가 아닐 수 있다
솔라윈즈 사건으로 모두가 확실하게 확인할 수 있었던 건 어떤 사이버 공격은 완전 탐지가 매우 어렵거나 불가능하다는 것이다. 그렇다는 건 초반에 확인되었던 내용이 실제 벌어진 일의 전부가 아니라는 것이며, 따라서 조사를 진행하는 데 있어 보다 열린 마음과 시야가 필요하다. 이번 사건도 처음 며칠은 온통 솔라윈즈에만 모두가 집중했는데, CISA가 “또 다른 공격 통로가 있는 것으로 보인다”고 발표함으로써 새로운 국면으로 접어들었다.

따라서 한 가지 공격 통로를 발견하고 그에 대한 복구를 완료했다고 하더라도 공격자는 여전히 네트워크 안에 머물려 각종 악성 행위를 실시할 수도 있다. CISA는 “공격자들이 다양한 기술과 공격 통로를 활용해 침투를 시도했다”며 “이들이 심어놓은 위협 요소들을 다 찾아내 말끔히 지워내는 것이 상당히 복잡하고 어려운 일이 될 것”이라고 예고했다.

신뢰는 위험할 수 있다
공격자들이 멀웨어를 유포하기 위해 이용한 건 솔라윈즈의 오리온(Orion)이라는 네트워크 관리 제품의 정상 업데이트 파일이었다. 디지털 서명까지 된 정상적인 업데이트 파일을 감염시킴으로써, 오리온의 사용자 기업들은 정상적인 업데이트가 진행되는 것으로만 인지할 수밖에 없었다. 늘 사용해 오던 오리온의 정상 업데이트이니 의심하지 않았다는 것이다.

사용자 기업 및 기관들로서는 아무런 징조도 없이 갑자기 솔라윈즈의 업데이트를 의심할 이유가 없었다. 즉 조직과 조직 간 신뢰가 형성되었다는 것으로, 이는 여러 파트너십에서 흔히 볼 수 있는 현상이다. 2017년에도 공격자들은 회계 소프트웨어인 M.E Doc의 업데이트에 백도어를 심어 배포함으로써 전 세계 수십만 대의 시스템을 침해했었다. 2019년에는 에이수스(ASUS)의 업데이트 서버를 통해 멀웨어가 퍼져 나가기도 했다.

물리/가상 망분리가 피해 최소화의 핵심이다
신뢰로 굳건해진 관계를 파고 들어오는 공격은 이번 사건에서 보듯이 탐지가 매우 어렵다. 삼엄한 보안으로 유명한 단체들이 뚫린 것이 이를 증명한다. 보안 업체 템퍼드 네트웍스(Tempered Networks)의 CTO인 브라이언 스킨(Bryan Skene)은 “따라서 이제는 완전 차단이 아니라 망분리를 통한 피해 최소화에 집중해야 한다”고 주장한다. “효과적인 망분리가 되어 있으면 공격자들이 횡적으로 움직이기가 매우 힘들어지거든요. 따라서 피해의 효과적인 제어가 가능하게 됩니다.”

스킨은 “신뢰 관계를 통해 들어오는 공격이라면 솔직히 말해 미리 탐지하거나 막을 방법이 아예 없다고 해도 과언이 아니”라고 설명한다. “탐지가 불가능에 가까울 정도로 힘든 공격이 분명히 존재합니다. 그렇기 때문에 언젠가 반드시 쳐들어온다는 걸 상정하고, 들어온 후의 움직임을 제한시키는 데 집중하는 것이 효율적인 보안입니다.”

그러면서 스킨은 “이제는 특정 트래픽을 정책적으로 막는 수준을 넘어서야 한다”고 주장했다. “제로트러스트에 기반을 둔 능동적 모니터링과 망분리가 더해졌을 때 공격으로 인한 피해를 크게 줄일 수 있습니다. 이런 것을 바탕에 두고 실시하는 화이트리스팅이나 보안 정책은 보다 강력한 힘을 발휘합니다. 즉 보안의 기초가 바뀌어야 한다는 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>