지속적인 탐지·패킹·모니터링으로 피해 입을 가능성 낮춰야
[데이터넷] 2021년이 저물어가고 있다. 올 한해도 많은 사이버 보안사고가 발생했다. 올해 전 사회에 보안 경고를 울린 ▲Log4j 취약점 ▲솔라윈즈·카세야 공급망 공격 ▲OT 타깃 랜섬웨어 ▲다크웹 개인정보 공개 ▲사회 이슈 악용 공격 등을 짚어본다.<편집자>
2021년의 마지막을 뜨겁게 달구고 있는 사고는 Log4j 취약점이다. 전 세계 거의 모든 서버와 서비스를 위험에 빠뜨리고 있는 Log4j 취약점은 2022년에도 가장 주의해야 하는 보안 위협으로 꼽힌다. 마이크로소프트 위협 인텔리전스 센터(MSTIC)는 중국, 이란, 북한, 터키 등 국가기반 공격자들이 이 취약점을 이용하고 있다고 밝혔다. 랜섬웨어 서비스(RaaS) 작업에서 사용하는 액세스 브로커도 이러한 지속적인 공격에 합류했다고 설명하기도 했다.
Log4j는 프로그램 작성 중 로그를 남기기 위해 사용되는 자바기반 로깅 유틸리티로, 2013년부터 복수의 해킹대회를 통해 취약점 공격이 가능하다는 주장이 제기돼 왔다. Log4j를 편리하게 사용하기 위해 자바 객체를 볼 수 있게 하는 간단한 명령어가 있는데, 로그를 기록하는 정상적인 용도 뿐 아니라 원격실행코드(RCE)으로 악성도구를 감염시킬 수도 있다.
이 취약점의 위험성은 2021년 11월 알리바바 클라우드에서 공개하면서 이슈화되기 시작했으며, 12월10일 마인크래프트 기술 책임자가 보안 문제 발생을 공식화하면서 일파만파 퍼지게 됐다. 취약점은 원격실행 가능한 ‘로그포셸(Log4Shell, CVE-2021-44228)’이 가장 너리 알려졌으며, 이외에도 CVE-2021-45046, CVE-2045-2045, CVE-2021-45105 등이 잇달아 발견되면서 보안 대응을 어렵게 만들고 있다.
국가기반 공격 시도 발견
취약점이 공개된 후 수많은 공격시도가 일어났으며, 실제로 벨기에 국방부가 이 취약점을 악용한 사이버 스파이 활동에 당한 것으로 알려졌다. 마이크로소프트 위협 인텔리전스 센터(MSTIC)는 중국, 이란, 북한, 터키 등 국가기반 공격자들이 이 취약점을 이용하고 있다고 밝혔다. 랜섬웨어 서비스(RaaS) 작업에서 사용하는 액세스 브로커도 이러한 지속적인 공격에 합류했다고 설명하기도 했다.
아쿠아시큐리티가 이 취약점을 악용하는 대규모 봇넷 Muhskit, Mirai를 분석한 결과, 메모리에 직접 기록해 파일 시스템을 건드리지 않고 실행함으로써 안티 바이러스·에이전트리스 보안 솔루션을 회피했다.
Log4j 취약점은 2017년 워너크라이를 능가하는 공격으로 이어질 것이라는 주장도 제기된다. 워너크라이는 윈도우 SMB 취약점을 찾아 자동 이동·확산하는 웜 형태의 악성코드이기 때문에 막기가 매우 어려웠다. Log4j는 자바를 사용하는 거의 대부분의 애플리케이션, 인터넷 서비스, 웹사이트, OT 제품 등에 영향을 미친다. Log4j를 사용하는 애플리케이션을 패킹하고 수정한 2차, 3차 서비스에도 영향을 미칠 수 있기 때문에 취약한 모든 Log4j를 제거하는 것은 사실상 불가능에 가깝다.
OT 공격 발생 가능성 높아
미국 사이버보안 및 인프라 보안국(CISA)은 자바가 IT 뿐 아니라 OT에도 광범위하게 사용되고 있기 때문에 OT에 대한 심각한 위협으로 이어질 수 있다고 경고한다. 악의적인 행위자가 취약한 네트워크에서 원격으로 코드를 실행하고 시스템을 완전히 제어할 수 있기 때문이다. 공격그룹은 정교한 난독화 기술을 사용해 취약점이 탐지되지 않도록 보호하는 방법으로 IT와 OT를 공격할 수 있다고 경고했다.
CISA는 Log4j 취약점 영향을 받는 제품을 즉시 패치하고 아파치재단에서 배포하는 안전한 버전으로 업그레이드하고 모니터링 할 것을 조언했다. 또 패치·업그레이드 후에도 새로운 취약점과 패치가 공개될 수 있으므로 아파치재단 및 관련 정보를 제공하는 공식 기관의 발표를 실시간으로 확인하고 조치해야 한다.
Log4j 취약점은 해결하기가 매우 어렵다. 거의 대부분의 서비스에서 사용하고 있으며, 수정·패킹 및 리패킹된 서비스에도 사용되고 있기 때문에 스캐너로 탐지한 해당 모듈만 패치한다고 해서 해결되는 문제도 아니다. 그래서 자동화된 IT 자산관리 솔루션 기업들이 전체 시스템에서 빠르게 취약점 영향받는 모든 시스템을 자동으로 찾아 패치한다고 강조한다.
태니엄의 경우 30초만에 글로벌 분산된 수십만대의 엔드포인트에서 취약저을 찾아낸다고 강조한다. 태니엄은 리니어 체인 기술 아키텍처로 윈도우, 맥, 리눅스 단말이 제공하는 정보를 수집, 분석해 취약점 패치를 자동으로 적용하거나 비즈니스 영향도에 따라 수동으로 적용할 수 있다.
자동화된 취약점 탐지·대응 솔루션 필수
Log4j 취약점이 공개된 후 다크웹에서 취약점 악용 공격 시나리오가 빠르게 공유되고 있으며, 취약점 스캐닝 활동도 급증했다. 임퍼바 조사에서는 12일 하루 동안 시간당 28만번의 스캐닝이 발견되기도 했다. 여러 보안기업들이 조사한 바에 따르면 공격자들은 이 취약점을 이용한 사이버 스파이, 랜섬웨어, 크립토마이닝 공격을 벌이고 있다.
이 같은 공격을 미연에 방어하기 위해 체크막스, 화이트소스, 시놉시스 블랙덕, 스패로우 등 애플리케이션 보안 테스팅(AST) 기업들이 SCA(Software Composition Analysis) 솔루션으로 오픈소스·써드파티 라이브러리 취약점을 찾아 대응할 수 있도록 하고 있다.
이스트시큐리티, 지니언스-엑사비스, SK쉴더스, 아이오티큐브, 로그프레소 등은 취약점 스캐너를 무료 제공하고 있으며, LG CNS는 log4j 헬프데스크를 운영하며 고객의 대응을 지원한다. 팔로알토 네트웍스, 트렌드마이크로, 크라우드스트라이크 등 글로벌 기업들도 자사 제품의 패치를 신속하게 적용하고 고객의 Log4j 문제에 대응한다.
기업·기관은 이 취약점을 이용한 공급망 공격 방어에 적극 나서야 한다는 것을 강조하면서 지스케일러는 제로 트러스트 보안 원칙으로 취약점 방어 노력을 전개해야 한다고 강조했다. 공격자들이 원격지에서 무단으로 접근해 공격을 진행하지 않도록 공격 대상인 애플리케이션을 감추고 인증받은 정사 사용자만이 업무에 접근할 수 있도록 하며, 지속적인 모니터링으로 이상행위를 차단한다. 공격자가 이미 시스템에 잠입해 있을 수 있으므로, 사용자와 애플리케이션 간 마이크로 세그멘테이션을 적용해 침해대상을 확대하지 않도록 한다. 사용자와 리소스를 직접 연결하며, 사용자가 다른 리소스로 이동할 때 다시 인증을 받도록 해 공격자의 수평이동을 방지한다. 또 인·아웃바운드 트래픽을 모두 검사하며, 암호화된 트래픽까지 검사해 지능적으로 숨은 악성코드와 데이터 유출 시도를 차단한다.
