Home > 전체기사

한국에서 인기리에 사용되는 VPN 장비에서 제로데이 취약점 발견돼

  |  입력 : 2021-10-26 20:16
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
엔트로링크의 PPX-AnyLink 제품에서 취약점이 9월부터 발견됐다. 해커들이 익스플로잇을 퍼나르기 시작하면서 유명 랜섬웨어 단체들도 관심을 보이기 시작했다. 아직 패치가 안 된 것으로 보이는 장비가 한국 내에서 3,800개 이상 발견되고 있다. 패치가 시급하다.

[보안뉴스 문가용 기자] 한국 기업들이 원격근무 체제에서 많이 활용하는 VPN 장비인 엔트로링크(EntroLink) PPX-AnyLink 장비들에 대한 익스플로잇 공격이 심화될 수 있다는 경고가 보안 업체 레코디드 퓨처(Recorded Future)로부터 나왔다. 제로데이 취약점에 대한 익스플로잇이 다크웹에 공개됐기 때문이다.

[이미지 = utoimage]


엔트로링크 VPN 장비들에 대한 제로데이 익스플로잇이 다크웹에 처음 등장한 건 9월 13일의 일이다. 원래는 한 해킹 포럼에서 5만 달러에 팔리던 것이었는데, 최근 새롭게 등장한 사이버 범죄자들의 다크웹 포럼에서 무료로 풀리기 시작했다. 해당 포럼을 홍보하기 위한 운영자의 전략의 일환이라고 레코디드 퓨처는 분석하고 있다.

익스플로잇을 통해 공격에 성공하게 되면 공격자들은 네트워크 프로토콜을 통해 루트 권한으로 PPX-AnyLink에 접근할 수 있게 되며 원격에서 코드를 실행할 수 있게 된다고 한다. 공격자들의 홍보 문구이긴 하지만 취약점 패치가 아직 안 되었고, 익스플로잇에 수초 정도 걸린다고 사이버 범죄자들은 알리고 있기도 하다.

공격자들이 밝힌 바에 의하면 이 제로데이 취약점은 일종의 입력값 확인 절차에서 발생하는 취약점이라고 한다. 여기까지는 사이버 범죄 세계에서 흔히 있는 일이다. 제로데이가 발견되고, 이에 대한 익스플로잇이 각종 이유로 사이버 범죄자들 사이에서 퍼지는 것 말이다. 게다가 VPN 장비들은 코로나 시대에 공격자들이 가장 많이 노리는 ‘표적’이기도 하다.

흔히 있는 이러한 패턴에 따르면 무료로 받게 된 익스플로잇을 공격자들이 적극적으로 실험해 보는 게 다음 순서다. 올 한해 지속적으로 이어진 MS 익스체인지 서버 사태도 처음에는 일부 공격자들의 제로데이 공격으로 시작됐으나, 취약점이 알려진 후 수많은 해커들이 익스플로잇하면서 확대됐다. 엔트로링크의 VPN 제품에도 익스플로잇 공격이 쏟아질 것으로 예상된다.

실제로 이렇게 익스플로잇이 공개된 후 블랙매터(BlackMatter)와 록비트(LockBit)라는 랜섬웨어 운영자들이 관심을 보이기 시작했다고 레코디드 퓨처는 자사 블로그를 통해 경고했다. 엔트로링크 사용자들 가운데 벌써 익스플로잇 공격이 보고된 사례가 있는데, 블랙매터나 록비트와 관련이 높은 것으로 보인다고 한다.

한국의 네트워크 장비 벤더사인 엔트로링크는 이와 같은 사실을 제보 받고 별 다른 움직임을 보이지 않고 있다. 제보자에게도 답을 하지 않고 있으며, 레코디드 퓨처 사의 연락에도 답이 없다고 한다. 전화 통화를 통해서도 PPX-AnyLink의 담당자 혹은 책임자와 연결을 할 수 없었다고 한다.

하지만 국내 보안업계 관계자는 “사이버 범죄 포럼인 램프(RAMP)에서 이러한 사실을 발견하자마자 한국인터넷진흥원 등 유관 기관에 연락해 조치가 취해질 수 있도록 했다”고 밝히고 있다. 하지만 “아직 국내에만 취약한 버전의 PPX-AnyLink와 관련이 있는 IP 주소가 3,860개 정도 발견되고 있는 상황”이라고 말했다. 아직 이 상황이 충분히 알려지지 않은 것으로 보인다.

엔트로링크 측은 9월 16일부터 자사 웹사이트 공지사항을 통해 제로데이 사태에 대한 내용을 알리고 있으며 원격으로 고객들의 패치를 돕고 있다고 본지와의 통화를 통해 주장했다. 공지에는 패치를 급히 할 수 없는 경우 취할 수 있는 위험 완화 방법들을 안내하고 있기도 하다. 위험 완화 방법은 다음과 같다.

1) 관리자 로그인 후 서비스 관리 화면에서 web_portal 운영을 No로 설정.
2) Apply 실행.
3) PPX-AnyVPN 제품에서의 취약점 관리 서비스 비활성화.
4) 외부에서 제품으로 접속할 때 사용되는 포트 중 사용하지 않는 것들을 비활성화.

하지만 이는 임시방편일 뿐 근본적 해결책은 아니다. 사용자들은 어느 시점에는 반드시 패치를 진행해야 한다. 엔트로링크 측에 연락을 하면 원격으로 패치를 진행해 준다고 한다. 사용자들이 직접 패치를 진행할 수 있도록 배포되지는 않는다.

3줄 요약
1. 한국의 VPN 장비인 PPX-AnyLink에서 제로데이 취약점 발견됨.
2. 익스플로잇 방법이 해커들 사이에서 먼저 돌기 시작함.
3. 블랙매터와 록비트라는 랜섬웨어 단체들도 관심을 보이기 시작함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)