[데이터넷] 국내에서도 많은 기업이 사용하고 있는 이반티 커넥트 시큐어(구 펄스시큐어 VPN)에서 지속적인 제로데이 취약점 악용 공격이 발견되고 있다. 특히 최근 탐지된 공격은 VPN 제품의 공장 재설정, 시스템 업그레이드, 패치를 진행한 상태에서도 공격자가 침투한 상태를 유지하기 위한 멀웨어가 배포되고 있는 것으로 드러났다.

맨디언트가 최근 공개한 이반티 제로데이 취약점 3차 보고서에 따르면 중국 배후 사이버 스파이 공작원으로 의심되는 UNC5325가 미국 방위산업을 포함한 여러 산업군에서 사용하는 이반티 커넥트 시큐어 제로데이 취약점을 악용하고 있다. 이 취약점이 공개된 후 패치가 배포됐지만, 패치 적용 전 침투한 공격자가 액세스를 유지하기 위해 계속 새로운 멀웨어를 배포하고 있는 상태다. 아직까지는 이러한 시도가 성공한 것으로 보고되지는 않았지만, 공격자가 이반티 커넥트 시큐어에 대한 상당한 전문지식을 갖고 있는 것으로 보여 예의주시해야 한다.

이들은 LotL(living off the land) 기술을 사용해 보안탐지를 회피하고 감염된 시스템에 머무르려고 한다. 오픈소스 프로젝트 코드와 제로데이 취약점을 악용해 침투하며, 새로운 가상화 기술을 공격에 활용한다.

맨디언트는 취약점의 영향을 받는 제품은 즉시 이반티에서 제안하는 보안강화 조치를 적용하며, 외부 무결성 검사 도구를 사용해 보호할 것을 권고했다.

김선애 기자 다른기사 보기