• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

웨스턴 디지털의 NAS 장비 내 데이터가 전부 사라졌다 2021.06.29

2010년에 출시된 옛날 NAS 장비의 데이터가 6월 23~24일 사이에 삭제되는 일이 세계 곳곳에서 발생했다. 무슨 일이 일어났는지는 아직도 정확히 밝혀지지 않고 있다. 2018년에 발견된 취약점이 여기에 연루된 것으로도 보인다.

[보안뉴스 문가용 기자] 웨스턴 디지털(Western Digital)에서 나온 NAS 드라이브의 사용자 일부가 크게 난처한 상황에 처하게 됐다. 누군가 취약점 익스플로잇을 통해 장비들에 공장 초기화를 적용해 데이터를 전부 삭제했기 때문이다. 이런 일이 현재 세계 곳곳에서 발견되고 있다고 한다.

[이미지 = utoimage]


피해자들은 주로 웨스턴 디지털의 마이북 라이브(MyBook Live)와 마이북 라이브 듀오(MyBook Live Duo) 장비를 사용하던 사람들이었다. 이번 사건에 연루된 취약점은 2018년에 발견된 것으로, 원격 코드 실행을 유발하는 것이다. 이번 공격은 6월 23일부터 24일 사이에 발생한 것으로 보인다. 사용자들에 따르면 디렉토리들은 그대로 있는데 파일들이 사라진 상태라고 한다.

웨스턴 디지털 측은 성명서를 발표하며 “현재 사건을 수사 중에 있다”고 밝혔다. 하지만 6월 28일까지는 별 다른 진전이 없는 것으로 보인다. 따라서 마이북 장비를 사용 중에 있다면 인터넷으로부터 분리시켜 두는 것이 현재로서는 안전하다. “고객들로부터 제공 받은 로그 파일을 분석한 결과 공격은 다양한 IP 주소로부터 들어온 것으로 보인다”는 웨스턴 디지털의 설명은 아직까지 갈피를 잡지 못하고 있다는 것을 보여준다.

하드드라이브와 데이터 삭제를 목표로 한 사이버 공격은 전혀 새로울 것이 없는 유형의 위협이다. 2012년에는 사우디아라비아의 국영 석유 업체인 사우디 아람코(Saudi Armaco) 내부 하드드라이브 3만 5천여 개가 깨끗하게 지워지는 사건이 있었다. 이 공격의 배후에는 이란 해커들이 있는 것으로 여겨지고 있다. 이렇게 데이터를 지우는 데 사용되는 멀웨어를 ‘와이퍼(wiper)’로 구분하기도 한다. 지난 달에도 이란 출신으로 보이는 해커들이 이스라엘 조직들에 와이퍼 공격을 실시하기도 했다.

웨스턴 디지털의 마이북 장비들이 처음 출시된 건 2010년이고, 마지막 펌웨어 업데이트가 있던 건 2015년의 일이다. 그러다가 2018년 마이북 라이브를 포함한 몇몇 장비들에서 CVE-2018-18472라는 취약점이 발견됐다. 간단한 URL을 피해자에게 전송함으로써 장비의 웹 루트에 파일을 생성시킬 수 있게 해 주는 취약점이었다. 이번의 데이터 삭제 사건과 이 취약점의 연관성이 현재 가장 면밀히 분석되고 있는 중이다.

참고로 2018년 마이북 장비에서 위 취약점이 발견됐을 때 웨스턴 디지털 측은 장비의 생애주기가 완료되었다며 업데이트를 하지 않았었다. 그러면서 방화벽 설정을 통해 장비를 안전하게 활용할 것을 권장했었다.

이번 사건에 영향을 받은 웨스턴 디지털 고객들이 인터넷에 직접 연결해서 장비를 사용하고 있었는지, 방화벽을 활용하고 있었는지는 불분명하다. 다만 웨스턴 디지털이 “다양한 곳에서부터 공격이 시작되고 있다”고 밝히고 있다는 건 공격이 원격에서 들어오고 있다는 뜻이 된다. 실제로 웨스턴 디지털은 인터넷을 통한 원격 공격 외에 다른 방식이 사용된 흔적을 찾지 못했다고 한다.

“웨스턴 디지털 클라우드 서비스나 펌웨어 업데이트 서버, 고객 크리덴셜 침해의 흔적은 발견할 수 없었습니다. 마이북 라이브 장비들은 포트 포워딩을 통해 인터넷에 얼마든지 직접 노출되어 있을 수 있고, 실제로 그렇게 활용되는 경우가 많으므로 공격자들은 포트 스캔을 통해 취약한 장비를 쉽게 검색할 수 있습니다.”

현재까지 밝혀진 가장 유력한 공격 시나리오는 다음과 같다.
1) 공격자들은 인터넷 포트 스캔을 실시했다.
2) 취약한 장비들을 찾아내 2018년 취약점을 익스플로잇 했다.
3) 이를 통해 파티션 테이블을 삭제하는 명령을 실행했다.
이 시나리오가 맞는다면 파일의 복구 가능성은 높아진다.

3줄 요약
1. 웨스턴 디지털의 NAS 장비의 데이터가 돌연 삭제됨.
2. 2018년 발견됐지만 업데이트 되지 않은 취약점이 익스플로잇 됐을까?
3. 파일 삭제 가능성 있어 보이는데, 아직 정확한 대책은 수립되지 않음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>