주말 동안 전 세계적인 충격을 안겼던 카세야 사태가 ‘제로데이 익스플로잇 공격’을 통해 발생한 것이라는 증거들이 나오기 시작했다. 그 중에 제로데이 취약점도 포함되어 있다. 카세야 측은 패치 개발에 박차를 가하기 시작했다.

[보안뉴스 문가용 기자] 카세야 VSA(Kaseya VSA) 플랫폼을 겨냥한 지난 주말 동안의 레빌 랜섬웨어 공격은 단일 랜섬웨어 사건으로서는 세계 최대 규모로 기록될 예정이다. 또한 전문가들은 이 사건이 애초에 알려진 것처럼 제2의 솔라윈즈 사태로 불리기에 부적절하다는 결론으로 방향을 전환했다. 레빌 공격자들이 카세야 VSA의 제로데이 취약점을 익스플로잇 한 것이 드러났고, 그에 따라 카세야 측은 빠르게 패치 개발과 배포에 나섰다.


카세야 측이 조사한 바에 의하면 이번 공격으로 랜섬웨어에 감염된 고객은 약 60개 조직 정도가 된다고 한다. 대부분이 MSP 기업들이었다. 이들은 카세야의 솔루션을 사용해 수많은 기업들의 네트워크를 관리하고 있었다. 이 60개 조직들이 관리하고 있던 기업은 약 1500개가 되는 것으로 알려져 있다. 잠재적으로 레빌 랜섬웨어에 노출되어 있거나 이미 당한 기업들의 수를 전부 합치면 1500 정도가 된다는 뜻이다. 이 1500개 조직 내 개별 PC와 장비들이 수십~수천 대씩 될 것이므로 실제 레빌에 의해 마비된 컴퓨터 시스템은 족히 100만 대를 넘을 것으로 추측된다.

이는 카세야 VSA에 대한 ‘의존도의 망’이 촘촘하게 형성되어 있다는 뜻이다. 그렇기 때문에 VSA가 익스플로잇 되면 자동으로 수백만 대의 컴퓨터가 영향을 받는다. 그렇게 중요한 카세야 VSA이지만, 고객 네트워크를 대신 관리한다는 사업 특수성을 가진 MSP들은 인터넷에 VSA 서버를 연결해서 사용할 수밖에 없었다. 공격자들이 인터넷 스캔을 통해 취약한 VSA 서버를 발견하고 익스플로잇 하는 순간 이 ‘의존도의 망’ 전부에 영향이 간다는 뜻이다.

실제로 이것이 레빌 랜섬웨어 운영자 혹은 파트너들이 한 짓으로 보인다. 이들은 VSA 서버에서 제로데이를 발견했고, 이를 익스플로잇 함으로써 악성 스크립트를 해당 서버에 연결되어 있던 모든 컴퓨터에 전송했다. 그리고 이 악성 스크립트가 레빌 랜섬웨어를 설치했다. 참고로 이번 공격에 당한 건 전부 카세야 VSA의 온프레미스 버전이었다. 카세야는 패치가 나올 때까지 VSA 서버를 전부 인터넷으로부터 분리하라고 권고했었다. 패치는 현재 개발 중에 있다.

그러는 한 편 카세야는 온프레미스 버전만이 아니라 SaaS 버전 역시 오프라인으로 전환했다. 이 때문에 VSA를 통해 인터넷에 노출되는 고객사의 수를 현저하게 줄일 수 있었다. 제로데이 취약점 정보를 가진 레빌 공격자들이라고 해도 인터넷에 노출되지 않은 고객들에게 영향을 줄 수는 없었다. 카세야는 화요일(우리나라 기준으로 오늘) SaaS 버전을 다시 온라인 상태로 만들 예정이다.

이 대단위 공격을 성공시킨 레빌은 어제까지만 해도 7천만 달러라는 돈을 요구했으나 현재는 금액을 낮춰 5천만 달러를 요구하기 시작했다. 천문학적인 금액에 놀란 피해 기업들은 개별적으로 레빌에 연락을 취하고 있다는 소식이 나오고 있기도 하다. 레빌은 이러한 기업들에 많게는 50만 달러, 적게는 5만 달러의 돈을 요구하고 있다고 외신들은 보도하고 있다.

이 ‘카세야 사태’가 분석되는 동안 보안 전문가들은 ‘제2의 솔라윈즈 사태냐 아니냐’로 갑론을박을 벌이다가 피해 복구에 도움이 되지 않는 데 에너지를 쏟는다는 비판을 받기도 했었다. 하지만 점차 이번 사태에 대한 사실들이 추가로 밝혀지면서 솔라윈즈 사태보다는 액셀리온(Acellion) 사태에 가까운 것으로 결론의 방향이 정해지고 있다. 액셀리온 사태 역시 올해 초 보안 업계를 떠들썩하게 만들었던 대형 보안 사건이다.

액셀리온은 FTA라는 파일 전송용 솔루션을 만든 회사다. FTA는 세계 곳곳에 있는 수많은 조직들이 사용할 정도로 널리 퍼진 유틸리티이나, 대단히 오래된 것이기도 하다. 클롭(Clop) 랜섬웨어 공격자들이 이 오래된 FTA에서 제로데이 취약점들을 발견하고 익스플로잇 함으로써 FTA 고객사들을 대량으로 감염시켰는데, 여기에 존스데이 로펌(Jones Day Law Firm), 크로거(Kroger), 싱텔(Singtel)과 같은 조직들이 포함되어 있었다. 클롭 운영자들은 이들의 파일을 유출시킨 후 암호화했으며, 돈을 내지 않을 경우 정보를 공개할 것이라고 협박했었다.

솔라윈즈 역시 IT 솔루션을 만들어 여러 기업과 정부 기관들에 배포하는 회사다. 포춘 500대 기업들과 미국의 주요 연방 기관들을 고객으로 두고 있다. 러시아의 공격자들이 노린 건 이 IT 솔루션의 취약점이 아니라, IT 솔루션의 소프트웨어 업데이트가 만들어지고 저장되고 배포되는 백엔드 서버였다. 솔라윈즈의 진짜 업데이트 파일을 감염시키고, 이를 정상적인 루트로 유포시킴으로써 솔라윈즈 고객들이 아무런 의심 없이 이 가짜 파일을 받도록 한 것이다. 이를 공급망 공격이라고 부른다.

카세야 VSA를 공략한 레빌 공격자들은 VSA의 업데이트나 공급망을 노린 게 아니라 제로데이 취약점을 익스플로잇 한 것이며, 모든 고객들을 효율적으로 한꺼번에 감염시킨 게 아니라 취약점을 인터넷에 노출시킨 일부 고객들만 익스플로잇한 것이라는 시나리오에 무게가 실리고 있다.

이번 공격에서 핵심적인 역할을 한 취약점은 두 가지로 좁혀지고 있다. 하나는 사고 이전부터 카세야 측이 알고 있었던 CVE-2021-30116이다. 네덜란드의 취약점 공개 프로그램인 DIVD가 발견해 카세야 측에 알렸다고 한다. DIVD는 카세야가 CVE-2021-30116 패치를 한창 개발하고 있던 중에 공격에 당했다고 밝혔다.

다른 하나는 보안 업체 헌트레스 랩스(Huntress Labs)가 발견한 제로데이 취약점인데, 이 취약점이 CVE-2021-30116일 가능성이 제기되고 있다. 정확한 비교 분석 결과는 나오지 않은 상태다. 다만 헌트레스 측은 이 취약점이 임의 파일 업로드와 코드 주입을 가능케 하는 것이라며 이번 공격에 악용됐을 가능성이 대단히 높다고 발표했다.

3줄 요약
1. 카세야 사태, 이미 역사상 최고 규모의 랜섬웨어 사건으로 기록됨.
2. 제2의 솔라윈즈 사태로 불리고 있는데, 차라리 액셀리온 사태와 더 가까워 보임.
3. VSA 공급망의 백엔드가 아니라 VSA 서버들에서 발견된 각종 취약점을 익스플로잇 한 듯.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>