[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] »çÀ̹ö °ø°ÝÀÚµéÀÌ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®ÀÇ ÀͽºÃ¼ÀÎÁö ¼¹ö(Exchange Server)¿¡¼ ¹ß°ßµÈ Ãë¾àÁ¡µéÀÎ ÇÁ·Ï½Ã¼Ð(ProxyShell)À» ÀͽºÇ÷ÎÀÕ Çϱâ À§ÇØ ¸î °¡Áö À§ÇèÇÏ°í »õ·Î¿î Àü·«À» »ç¿ëÇϱ⠽ÃÀÛÇß´Ù. ÇÁ·Ï½Ã¼ÐÀº Áö³ 7¿ù óÀ½ ¹ß°ßµÇ°í ÆÐÄ¡µÈ ¿©·¯ °³ÀÇ Ãë¾àÁ¡¿¡ ºÙ¿©Áø À̸§ÀÌ´Ù.
[À̹ÌÁö = utoimage]
º¸¾È ¾÷ü ¸Çµð¾ðÆ®(Mandiant)°¡ ¹ß°ßÇÑ ¹Ù¿¡ ÀÇÇÏ¸é ´ëºÎºÐÀÇ °ø°ÝÀÚµéÀº Ãë¾àÇÑ ½Ã½ºÅ۵鿡 À¥¼ÐÀ» ½É±â À§ÇØ ÇÁ·Ï½Ã¼Ð Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ Çß´Ù°í ÇÑ´Ù. ¡°±×·±µ¥ ÃÖ±Ù µé¾î À¥¼ÐÀ» ½É´Â ´ë½Å Àڽŵ鸸ÀÇ ºñ¹Ð ¸ÞÀÏÇÔÀ» ¸¸µé¾î ¸ÞÀÏ °èÁ¤ Àüü¸¦ Àå¾ÇÇÏ°í ´Ù¸¥ ¹®Á¦¸¦ ÀÏÀ¸Å°´Â »ç·ÊµéÀÌ ³ª¿À°í ÀÖ½À´Ï´Ù. ÇöÀç 3¸¸ °³°¡ ³Ñ´Â ÀͽºÃ¼ÀÎÁö ¼¹öµéÀÌ ÀÌ·± °ø°Ý¿¡ ³ëÃâµÇ¾î ÀÖ½À´Ï´Ù.¡±
ÇÁ·Ï½Ã¼ÐÀº ´ÙÀ½ Ãë¾àÁ¡µéÀ» ÅëĪÇÑ´Ù.
1) CVE-2021-34473 : ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡
2) CVE-2021-34523 : ±ÇÇÑ »ó½Â Ãë¾àÁ¡
3) CVE-2021-31207 : °ü¸®ÀÚ ¼öÁØÀÇ Á¢±ÙÀ» Çã¿ëÇÏ´Â Ãë¾àÁ¡
ÀͽºÃ¼ÀÎÁö ¼¹ö 2013, 2016, 2019 ¹öÀüµé¿¡¼ ¹ß°ßµÆ°í, ¶Ç ÆÐÄ¡µÆ´Ù.
ÀͽºÃ¼ÀÎÁö ¼¹öÀÇ Ãë¾àÁ¡À» ÅëÇØ °ø°ÝÀÚµéÀº ÁÖ·Î À¥¼ÐµéÀ» ½É¾îµÎ¾ú´Ù. À¥¼ÐÀº ÃßÈÄ¿¡ ¹ß»ýÇÒ °ø°ÝÀÇ Åë·Î°¡ µÈ´Ù. Áï, Ãë¾àÁ¡ÀÌ ÆÐÄ¡µÇ±â Àü¿¡ ÃßÈÄ °ø°Ý Åë·Î¸¦ È®º¸ÇØ µÐ °ÍÀÌ´Ù. ÁÖ·Î XSL Æ®·£½ºÆû(XSL Transform), ¿£Å©¸³Æ¼µå ¸®Ç÷ºÆ¼µå ¾î¼Àºí¸® ·Î´õ(Encrypted Reflected Assembly Loader), ÄÚ¸àÆ® ¼¼ÆÛ·¹À̼Ç(Comment Separation) µîÀÌ ÀÚÁÖ È°¿ëµÇ´Â °ÍÀ¸·Î ³ªÅ¸³µ´Ù.
¸Çµð¾ðÆ®ÀÇ »ç°Ç ´ëÀÀ ÆÀÀåÀÎ Á¶½´¾Æ °í´Ùµå(Joshua Goddard)´Â ¡°°ø°ÝÀÚµéÀÌ ¸ÞÀÏÇÔÀÇ ÀͽºÆ÷Æ® ¿äûÀ» ÅëÇØ À¥¼ÐÀ» ½É¾ú´Ù¡±°í ¼³¸íÇÑ´Ù. ¡°±×·¸°Ô ½É±ä À¥¼ÐÀ» ÅëÇØ °ø°ÝÀÚµéÀº ³ªÁß¿¡ ÀͽºÃ¼ÀÎÁö ¼¹öµé¿¡ Á¢±ÙÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù. ÇÇÇØÀÚ Á¶Á÷¿¡¼ Ãë¾àÁ¡À» ÆÐÄ¡ÇÑ´Ù°í ÇÏ´õ¶óµµ °ø°ÝÀÚµéÀÌ ¾ó¸¶µçÁö Á¢±ÙÇÒ ¼ö ÀÖ´Â °ÅÁÒ. ±×¸®°í À¥¼ÐÀ» ÅëÇØ ·£¼¶¿þ¾î¸¦ ½É¾îµµ µÇ°í¿ä.¡±
ÇÏÁö¸¸ ÀÌ·± ¼ö¹ýÀÌ ÈçÇØÁöÀÚ º¸¾È ±â¾÷µéÀÌ ´ëÀÀÇϱ⠽ÃÀÛÇß´Ù. À¥¼Ð ŽÁö ¼º°ø·üÀÌ ³ô¾ÆÁ³´Ù. ±×·¯ÀÚ °ø°ÝÀÚµéÀÌ »õ·Î¿î Àü·«À» µé°í ³ª¿Â °ÍÀÌ Áö±ÝÀÇ »óȲÀ̶ó´Â °Ô °í´ÙµåÀÇ ¼³¸íÀÌ´Ù. ¡°ÀÌÁ¦ °ø°ÝÀÚµéÀº À¥¼ÐÀ» ÀÎÁõ¼ ÀúÀå¼Ò(certificate store)¿¡¼ºÎÅÍ ºÒ·¯¿É´Ï´Ù. ±âÁ¸¿¡´Â ¸ÞÀÏÇÔ¿¡¼ºÎÅÍ ÀͽºÆ÷Æ® ¿äûÀ¸·Î Çß¾ú´Âµ¥ ¸»ÀÌÁÒ. ÀÌ·¸°Ô ÇßÀ» ¶§ À¥¼ÐµéÀÇ ÆÄÀÏ ±¸Á¶ ¹æ½ÄÀÌ ¹Ù²ò´Ï´Ù. º¸¾È µµ±¸µé¿¡ °É¸®Áö ¾Ê°Ô µÇ´Â °ÍÀÔ´Ï´Ù.¡±
ÀÌ·¸°Ô °ø°ÝÀÚµéÀÇ ÀͽºÇ÷ÎÀÕ Àü·«ÀÌ ÇÑ ¹ø ¹Ù²ï »óȲ¿¡¼ ¸Çµð¾ðÆ®°¡ ¶Ç ´Ù¸¥ Àü·«À» ¹ß°ßÇÑ °ÍÀÌ´Ù. À¥¼ÐÀ» ÀüÇô »ç¿ëÇÏÁö ¾Ê´Â Àü·«À¸·Î, °ø°ÝÀÚµéÀº ³ôÀº ±ÇÇÑÀ» °¡Áø ¸ÞÀÏÇÔÀ» »ý¼ºÇÑ´Ù°í ÇÑ´Ù. ¡°ÀÌ ¸ÞÀÏÇÔµéÀº ÁÖ¼Ò ¸ñ·Ï¿¡¼ °¨ÃçÁ® ÀÖ½À´Ï´Ù. ÀÌ ¸ÞÀÏÇÔÀº ±ÇÇÑÀÌ ³ô¾Æ ´Ù¸¥ °èÁ¤µé¿¡ ´ëÇÑ Á¢±Ù ±ÇÇÑÀ» °¡Áö°í ÀÖ°í¿ä. °ø°ÝÀÚµéÀº À¥ Ŭ¶óÀ̾ðÆ®¸¦ ÅëÇØ ·Î±×ÀÎÇØ ¸ÞÀÏÇÔµéÀ» °Ë»öÇÏ°í Á¤º¸¸¦ °¡Á®°¥ ¼ö ÀÖ°Ô µË´Ï´Ù.¡±
°í´Ùµå´Â ÀÌ·¯ÇÑ °ø°Ý Àü·«¿¡ ´ëÇØ ¡°°á±¹ °ø°ÝÀÚµéÀº ÀͽºÃ¼ÀÎÁö¿¡¼ ÆÄ»ýµÇ´Â ¼ºñ½ºµéÀ» ÇÁ·Ï½Ã¼Ð Ãë¾àÁ¡À» ÅëÇØ ÀÚ±âµé¸¸ ¾Ëµµ·Ï ¿«¾î³»´Â ¹æ½ÄÀ¸·Î ¡®±â¾÷ À̸ÞÀÏ Ä§ÇØ(BEC)¡¯ °ø°ÝÀ» ½Ç½ÃÇÏ´Â °Í¡±À̶ó°í ¼³¸íÇÑ´Ù. ¡°°á±¹ Á¤»óÀûÀÎ ±â¾÷ÀÇ ´ã´çÀÚ°¡ º¸³½ °Íó·³ À̸ÞÀÏÀ» ¹ß¼ÛÇÔÀ¸·Î½á ´Ù¸¥ ±â¾÷µé·Î ÇÇ½Ì °ø°ÝÀ» ÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù. °Ô´Ù°¡ ÀÌ·¸°Ô ÁÖ°í¹Þ´Â À̸ÞÀÏ °¡¿îµ¥ ¾Ç¼º ÆÄÀÏÀº ¾øÁÒ. ŽÁö°¡ ¸Å¿ì ¾î·Æ½À´Ï´Ù.¡±
¿Ã ÇÑ ÇØ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®ÀÇ ÀͽºÃ¼ÀÎÁö ¼¹ö »ç¿ëÀÚµéÀº ²Ï³ª Å« ¾î·Á¿î ½Ã±â¸¦ Áö³ª¿À°í ÀÖ´Ù. 3¿ù¿¡ Áß±¹ÀÇ APT ´ÜüÀÎ ÇÏÇÁ´½(Hafnium)ÀÌ ÇÁ·Ï½Ã·Î±×¿Â(ProxyLogon)À̶ó´Â Á¦·Îµ¥ÀÌ Ãë¾àÁ¡µéÀ» °ø·«ÇÑ °ÍÀ» ½ÃÀÛÀ¸·Î °ÅÀÇ ²÷ÀÓ¾øÀÌ »õ·Î¿î °ø°Ý ½Ãµµ¿Í »ç°ÇµéÀÌ ¹ß°ß ¹× º¸°íµÇ°í ÀÖ´Â »óȲÀÌ´Ù. ÀͽºÃ¼ÀÎÁö ¼¹ö°¡ ¿ö³« ±¤¹üÀ§ÇÏ°Ô »ç¿ëµÇ°í Àֱ⠶§¹®¿¡ °ø°ÝÀÚµé·Î¼ Ãë¾àÁ¡ ¹× ÀͽºÇ÷ÎÀÕ ¿¬±¸¸¦ ÇÏÁö ¾Ê´Â °Ô ÀÌ»óÇÑ °ÍÀÌ »ç½ÇÀÌ´Ù. 9¿ù¿¡´Â º¸¾È ¾÷ü Æ®·»µå ¸¶ÀÌÅ©·Î(Trend Micro)°¡ ÇÁ·Ï½ÃÅäÅ«(ProxyToken)À̶ó´Â ÀͽºÃ¼ÀÎÁö ¼¹ö Ãë¾àÁ¡À» ¶Ç ¹ß°ßÇß´Ù.
°í´Ùµå´Â ¡°ÆÐÄ¡¸¦ ÀÏÂï ¸¶¹«¸®ÇÑ Á¶Á÷À̶ó¸é »õ·Î¿î °ø°Ý Àü·«À¸·ÎºÎÅÍ ¾ÈÀüÇÒ ¼ö ÀÖÁö¸¸ ÆÐÄ¡¸¦ µÚ´Ê°Ô ÇÑ Á¶Á÷Àϼö·Ï À§Çè °¡´É¼ºÀÌ ³ô´Ù¡±°í ¼³¸íÇÑ´Ù. ±×·¯¸é¼ ¡°Á¶±ÝÀÌ¶óµµ ÆÐÄ¡°¡ ´Ê¾ú´Ù°í »ý°¢µÈ´Ù¸é ¼¹ö¿¡ ¸ð¸£´Â À̸ÞÀÏ °èÁ¤À̳ª ÆÄÀϵé, ¸ÞÀÏÇÔÀÌ ÀÖ´ÂÁö °Ë»çÇÏ´Â °ÍÀÌ Áß¿äÇÏ´Ù¡±°í °Á¶Çß´Ù.
3ÁÙ ¿ä¾à
1. MS ÀͽºÃ¼ÀÎÁö ¼¹ö, 1³â ³»³» ÅÍÁö´Ù½ÃÇÇ °ø°Ý´çÇÏ´Â Áß.
2. ¿©Å±îÁö´Â À¥¼ÐÀ» ½É´Â °ø°Ý¿¡ ÁÖ·Î È°¿ëµÇ¾î ¿ÔÀ¸³ª ÃÖ±Ù¿¡´Â °ø°ÝÀÚµéÀÌ »õ ¸ÞÀÏÇÔÀ» »ý¼º.
3. ÀÌ »õ ¸ÞÀÏÇÔ ÅëÇØ »ç½Ç»ó °íÂ÷¿øÀûÀÎ BEC °ø°Ý ¼öÇà °¡´É.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>