[데이터넷] 중국어를 사용하는 해커들이 마이크로소프트 익스체인지 취약점 프록시로그온(ProxyLogon)을 이용해 빌딩 자동화 시스템을 공격한 정황이 발견됐다.

스마트빌딩 전문기업 인텔 리전트 빌딩스(Intelligent Buildings)가 공개한 이 공격은 익스체인지 서버 2013, 2016, 2019에 존재하는 프록시로그온 취약점을 이용해 원격에서 코드를 실행시켜 제어할 수 있다. 이 취약점은 이미 1년여 전 패치가 공개됐지만, 패치되지 않은 시스템은 4만6000여개에 이르는 것으로 나타났다. 사이버 보안 기업 이셋은 프록시로그온 공개 전 이를 악용하는 공 격그룹이 10개 이상이라고 밝혔다.

취약점은 모든 IT 시스템과 소프트웨어에 존재하는데, 악성코드를 이용해 공격하는 것보다 쉽게 초기 침투가 가능 하기 때문에 공격자들이 애용한다. 악성코드를 구입하거나 개발하지 않아도 되며, 취약점이 공개된 후 패치되기까지 시 간이 걸리기 때문에 침투할 수 있는 충분한 시간을 가질 수 있다.

패치 안된 취약점 수년간 방치

공격에 악용될 수 있는 취약점은 날이 갈수록 늘고 있다. 구글 프로젝트 제로가 올해 상반기에만 발견한 취약점이 20가지, 지난해 58가지의 취약점을 발견했다. 맨디언트는 지난 해 80가지 취약점을 발견했으며, 이는 전년대비 2배 이상 늘어난 것이다.

신규 발견되는 취약점이 늘어나는 것은 취약점을 찾아 제거하려는 노력이 활발하게 전개되고 있기 때문이기도 하다. IT 기업과 정부기관이 버그바운티를 운영하면서 자사 제품과 서비스에 존재하는 취약점을 신고하는 사람이나 단체에게 포상을 한다. 이에 전 세계 화이트해커와 보안 분석가들이 적극적으로 취약점을 찾아 신고하고 있다.

한국인터넷진흥원은 보안 취약점 사전 발굴·조치를 위해 보안 취약점 신고 포상제를 운영하고, 핵더챌린지 플랫폼을 통해 보안 취약점 전문가가 신속하게 취약점을 발굴할 수 있는 환경을 제공하고 있다. 또한 취약점 사고 재발 방지를 위해 보안 취약점 정보 관리 체계를 구축해 국내외 취약점 정보를 제공한다.

신규 취약점을 발견하려는 노력이 활발하게 전개되면서 신규 공개되는 취약점이 늘고 있다는 사실이 공격 위협을 더 높인다는 것으로 직결되지는 않는다. 취약점은 빨리 찾아서 조치할수록 시스템을 안전하게 운영할 수 있게 할 수 있기 때문이다.

문제는 취약점이 발견된 즉시 조치되지 못한다는 점이다. 만일 화이트해커가 A사 소프트웨어에 취약점이 있다고 알리면, A사는 신고받은 취약점을 점검해 실제로 공격 가능한지, 공격 위협은 어느 정도인지 검증하고 화이트해커에게 보상을 한다. 그리고 이 취약점을 제거할 수 있는 패치를 개발해 고객에게 배포하는데, 고객 배포 시까지 취약점 여부를 알리지 않는다. 만일 심각한 취약점으로 패치 배포까지 기다릴 수 없다면 고객에게 긴급 공지를 띄워 다른 버전으로 변경하거나 취약점이 있는 소프트웨어 파일을 제거 혹은 수정하는 등의 방법을 안내하기도 한다.

이러한 공지가 공개되면 공격자들은 취약점 조치가 되지 않은 시스템을 찾아 공격하기 때문에 가능한 빠르게 취약점에 대한 필요한 조치를 해야 한다. 문제는 ‘필요한 조치’를 빠르게 할 수 없다는 점이다. 기업·기관은 이 취약한 소프트웨어가 어느 시스템에 사용되고 있는지 파악하지 못하며, 다른 시스템에 영향을 미칠것을 두려워해 적절한 조치를 하지 못한다. 취약점이 공개됐다는 사실조차 모르는 관리자도 수두룩하다.

오래된 취약점도 제거되지 않아

잘 알려진 취약점조차 제대로 관리되고 있지 않은 현 상황에서 취약점이 증가하고 있다는 것은 분명한 위협이다. 한국인터넷진흥원(KISA)의 2022년 상반기 위협 동향 보고서에 따르면 이 기간 동안 발견된 취약점 중 SQL 인젝션, 크로스 사이트 스크립트(XSS), 파일 업로드 취약점 등 웹 서비스 개발 시 기본적으로 제거돼야 하는 취약점이 여전히 발견되고 있다.

지난 2년여 간 큰 문제가 되었던 로그4j, 마이크로소프트 익스체인지, 소닉월 이메일 시큐리티 등의 취약점은 지금도 사이버 공격과 랜섬웨어 유포에 악용되고 있다. 보안 취약점이 거의 없다고 알려진 애플 제품에서도 취약점이 대거 발견되고 있는데, 올해 상반기에만 사파리에서 7가지 취약점이 공개됐다.

2014년 발견된 오픈SSL 취약점인 ‘하트블리드’는 이후 푸들(POODLE, 2014년 10월), 프레이크 (FREAK 2015년 1월), 드라운(DROWN 2016년 3월)과 하이스트(HEIST 2016년 8월) 등으로 이어졌으며, 급기야 올해 상반기에는 서비스 거부 취약점(CVE- 2022-0778), 명령 주입 취약점(CVE-2022-1292), 비밀번호 오류 취약점(CVE-2022-1434), 인증 오류 취약점(CVE-2022-1343) 등이 대거 발견됐다.

클라우드 업무 환경으로 전환되면서 사용률이 높아진 협업 도구 아틀라시안 컨플루언스 취약점도 꾸준히 공격에 악용되고 있다. 이 취약점을 이용하면 엔드포인트에 사용자가 계정을 만들어 가입하도록 설정한 상 황에서도 관리자가 아닌 사용자, 인증되지 않은 사용자가 임의 코드 실행으로 원격 명령어를 실행하고 정보 유출이 가능하다.

엔드포인트, 사이버 하이진 첫 단계

취약점을 해결하기 어렵다고 해서 방치할 수는 없다. 가능한 빠르게 취약점을 파악하고 제거하는 것이 공격표면을 줄이고 침해 가능성을 줄이는 일이 될 수 있다.

태니엄은 ‘사이버 하이진(Cyber Hygiene)’으로 침해 위협을 줄여야 한다고 주장한다. 전염병 예방을 위해 개인 위생을 철저히 하듯, IT 시스템도 일상의 보안 대책을 잘 지켜 침해당할 가능성을 낮추는 것이 필요하다.

사이버 하이진이 시급한 영역은 엔드포인트다. 엔드포인트는 악성코드에 감염되기 가장 쉬우며, 취약점이 발견됐을 때 패치하기 어렵다. 엔드포인트에 대한 사이버 하이진을 위해 EPP·EDR로 엔드포인트가 감염되지 않도록 하며, 취약점 패치와 OS·소프트웨어의 최신 버전 적용을 습관화해야 한다.

태니엄의 경우 글로벌 분산된 수만대의 엔드포인트 를 수초 만에 가시화하고, 보안 정책을 일괄 적용하며, 취약점을 찾아 제거할 수 있는 플랫폼 기반 통합 엔드 포인트 관리를 제공한다. 태니엄 플랫폼은 PC, 모바일, 워크스테이션, OT/IoT, 컨테이너, 서버, 클라우드, 가상머신 등 모든 엔드포인트에 대해 자산 가시화 와 분류 및 관리, 리스크·컴플라이언스 관리, 민감 데이터 모니터링, 쓰렛 헌팅, 취약점 관리를 제공하며, SOC·SIEM·SOAR와 연동해 기업 전반의 보안 수준을 높일 수 있다.

중소기업 취약점 관리 위해 KISA 지원

보안에 많은 투자를 단행하는 대규모 기업은 취약 점 관리를 위해 전용 솔루션을 도입하고, 규제에 따라 정기적으로 취약점 점검과 모의해킹을 진행한다. 그러나 예산과 전문인력이 충분하지 않은 중소기업은 체계 적인 취약점 관리가 어렵기 때문에 공격자들의 집중 공 격 대상이 될 수 있다. 특히 최근 급부상하고 있는 핀테크 기업과 메타버스·NFT 기업, 원격근무, 의료 서비스 기업들은 보안을 충분히 고려하지 못한 경우가 많으며, 공격자들의 중요한 타깃이 되고 있기 때문에 취 약점 관리를 통한 사이버 하이진을 유지하는 것이 매우 중요하다.

KISA는 이러한 중소기업을 위해 보안 취약점 점검 서비스를 제공한다. 지원 대상은 비대면 다중이용 서비스 제공 중소기업으로, 웹, 홈페이지 통해 원격근무, 의료, 교육 등의 서비스를 제공하는 기업, 메타버스, NFT, 핀테크 등 신기술 관련 서비스를 제공하는 중소 기업 350여개이다. 취약점 점검 범위는 모바일 앱, 홈 페이지, 네트워크 장비, 업무용 PC·서버 등이다.

지난해 실시한 취약점 점검 결과 네트워크 상의 취 약점이 80.8%로 가장 높았으며, 클라우드 69.2%, 서버 68.5%, 데이터베이스 64.9%, 유무선 공유기 64.7%, PC 63.3%가 취약점을 갖고 있었다.

한편 KISA는 중소기업을 위한 다양한 정보보안 서비스를 제공하면서 중소기업의 보안 강화를 지원한다. PC와 서버의 취약점을 원격에서 점검하고, 사이버 위기 대응 모의훈련을 지원하며, 웹 보안 도구 휘슬·캐슬을 무료로 제공한다. 또한 소프트웨어 개발 보안 진단 서비스도 제공해 웹이나 애플리케이션 개발 단계에서 취약점을 제거할 수 있게 한다.