솔라윈즈 사태의 주인공으로 오명을 썼던 솔라윈즈가 또 다른 제품군에서 제로데이 취약점을 발견해 패치했다. 아직 피해 규모는 크지 않은 것으로 보이는데, 공격자들의 발견이 먼저였기 때문에 패치 적용을 서둘러야 할 것으로 보인다.

[보안뉴스 문가용 기자] IT 기술 공급 업체인 솔리윈즈(SolarWinds)가 자사 솔루션에서 발견된 제로데이 취약점에 대한 패치를 긴급히 개발해 배포했다. 문제가 되고 있는 제품은 서브유 매니지드 파일 트랜스퍼(Serv-U Managed File Transfer)와 서브유 시큐어드 FTP(Serv-U Secured FTP)이다.


공격자들이 먼저 발견한 문제의 취약점은 원격 코드 실행 취약점(RCE)으로 분류됐으며, 최신 서브유 버전인 15.2.3 HF1에서 발견되고 있다. 2021년 5월 5일에 출시된 것으로, 그 이전에 출시된 모든 버전들에도 영향이 있는 것으로 알려져 있다. 취약점 익스플로잇에 성공할 경우 임의의 코드를 실행하고, 프로그램을 설치하며, 데이터를 조작, 열람, 삭제할 수 있게 된다.

이 제로데이 취약점을 제일 먼저 발견한 건 마이크로소프트로, MS가 취약점을 알리고 솔라윈즈 측에 제보했을 때에는 이미 공격자들의 익스플로잇 공격이 있었던 시점이라고 한다. 하지만 솔라윈즈는 “공격 대상이 제한적이었다”고 주장했다.

“MS가 알려준 바에 의하면 일부 소수의 고객들만이 제한적인 상황에서 취약점의 영향에 노출된 것이 분명해 보입니다. 다만 아직 정확한 피해 규모는 조금 더 조사를 진행해야 파악이 가능할 것입니다.” 실제 이 취약점의 영향권 아래 들어간 고객의 정확한 명단 역시 아직 솔라윈즈는 파악하지 못했다고 한다.

현재까지 조사된 바로는 솔라윈즈의 다른 제품들에는 영향이 없는 것으로 보인다. 지난 해 말과 올해 초 큰 화제가 되었던 ‘솔라윈즈 사태’의 중심에 있던 오리온(Orion) 플랫폼도 이번에는 무사한 것으로 보인다. 솔라윈즈 측은 패치가 어느 정도 전파되고 적용될 때까지 기다렸다가 이번 취약점에 대한 상세 기술 정보를 발표할 예정이다.

지난 해 말 드러난 솔라윈즈 사태의 공격자는 러시아의 첩보국인 SVR인 것으로 알려져 있다. SVR은 오리온의 백엔드 서버에 접근함으로써 업데이트 파일에 자신들의 백도어를 심는 데 성공했고, 솔라윈즈 오리온의 고객들은 아무런 의심없이 정상적인 경로로 들어오는 업데이트 파일을 받아 설치함으로써 이 백도어에 감염됐다. 약 1만 8천여 오리온 고객사들이 피해를 입었다. 미국 연방정부 기관들도 당했다.

솔라윈즈 사태는 미국 역사상 가장 거대한 공급망 공격으로 기록되어 있다. 이 때문에 바이든 행정부는 행정명령을 내려 연방 정부 기관들을 빠른 시일 안에 강화하겠다는 의지를 보이기도 했다. 이에 맞춰 NIST는 보호해야 할 소프트웨어(critical software)를 새롭게 규정했고, 지금은 CISA가 이 규정에 맞춰 보호해야 할 소프트웨어의 목록을 작성 중에 있다. 이 작업이 끝나면 실질적인 보호 작업에 돌입할 것으로 예상되고 있다.

이번에 발견된 솔라윈즈 제품의 취약점은 소프트웨어 익스플로잇을 가능하게 하는 것으로 공급망 공격으로 이어질 가능성은 극히 낮아 보인다. 솔라윈즈의 긴급 패치는 여기( https://customerportal.solarwinds.com/)서 받아볼 수 있다.

3줄 요약
1. 공급망 공격의 대명사 된 솔라윈즈의 제품에서 또 다른 제로데이 취약점 발견됨.
2. 익스플로잇에 성공할 경우 임의 코드 실행이 가능해짐.
3. 제로데이 취약점으로 공격자들이 이미 익스플로잇 하고 있었음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>