초대형 공급망 공격? 클롭 랜섬웨어, 무브잇 통해 일 저질러

기업들이 즐겨 사용하는 파일 전송 프로그램인 무브잇을 클롭 랜섬웨어가 익스플로잇 했고, 이를 통해 무브잇을 사용하는 여러 기업들의 데이터를 훔쳐냈다. 그리고 지금 그 기업들을 대상으로 협상을 진행 중에 있다. 거대 공급망 공격이 벌어진 것일 가능성이 높아 보인다.

[보안뉴스 문가용 기자] 클롭(Clop)이라는 악명 높은 랜섬웨어 갱단이 또 한 번 큰 사고를 쳤다. 무브잇(MOVEit)이라는 파일 전송 프로그램을 침해한 것이다. 이 때문에 무브잇을 사용하고 있던 수많은 기업들에서 정보가 대량으로 유출됐다. 공격은 매우 성공적이었으며, 실행 방법이 간단하기까지 했다. 앞으로도 해커들이 비슷한 성공을 얼마든지 더 거둘 수 있다는 뜻이 된다.

[이미지 = gettyimagesbank]

처음 무브잇 침해 사건이 발생했을 때 마이크로소프트(Microsoft)의 보안 전문가들은 배후 세력을 레이스템피스트(Lace Tempest)라고 이름 붙였다. 그러면서 “클롭 랜섬웨어 집단이 사용하는 협박용 웹사이트를 이용하는 그룹”이라고 설명했다. 이것이 6월 4일의 일이었고, 이틀 뒤인 6일 클롭 랜섬웨어 공격자들이 직접 “우리들의 소행이 맞다”고 밝혔다. “무브잇 제품을 사용하는 기업들이여, 우리가 당신들이 데이터를 대량으로 가져갔음을 알린다”고 그들은 썼다.

또 다른 보안 업체인 서치라이트사이버(Searchlight Cyber)의 위협 첩보 분석가 블라드 미로네스쿠(Vlad Mironescu)는 “이번의 대형 사건이 클롭과 관련이 있다는 사실 자체는 그리 놀랍지 않다”고 말한다. “클롭은 이전부터 파일 전송 솔루션들을 계속해서 공략해 왔었습니다. 액셀리온(Accellion), 솔라윈즈(SolwarWinds), 고애니웨어(GoAnywhere), 페이퍼컷(PaperCut) 등이 전부 클롭에 당했었죠. 그리고 그 파일 전송 프로그램을 통해 고객사들을 한 차례 털고요. 클롭은 이런 식의 공격에 있어 대가라고 불려도 됩니다.”

보안 업체 헌트레스(Huntress)의 수석 연구원인 존 하몬드(John Hammond)는 “이런 식의 공격이 자꾸만 성공한다는 것도 놀랍지만 그 무엇보다 이번 공격이 너무나 간단히 실행됐다는 게 더 경악스럽다”고 말한다.

무브잇 침해 사건, 어떻게 벌어졌나
클롭이 익스플로잇 한 무브잇의 취약점은 CVE-2023-34362이다. 하몬드는 수일 동안 분석하여 클롭 랜섬웨어의 익스플로잇 기법을 알아냈다고 한다. “먼저 무브잇 환경을 통해 특정 파일을 업로드 하려 한다고 했을 때 공격자가 제일 먼저 확인하는 건 SQL 주입 취약점들이 존재하냐는 겁니다. 있다면 이를 익스플로잇 해서 공격자가 원하는 파일을 업로드할 수 있습니다.”

이렇게 분명한 목적이 있다면 공격자는 그 동안 무브잇의 개발사인 프로그레스 소프트웨어(Progress Software)의 패치 노트나 취약점 정보를 살피게 된다. SQL 주입 취약점이 있었는지 확인하는 것이다. “그렇게 해서 취약한 버전을 찾았다면 입수하고, 그 다음 패치가 적용된 버전을 입수하고 비교하면 어디서 어떤 차이가 있는지, 개발사 측에서 어떤 변화를 주었는지를 파악할 수 있습니다. 특히 뭐가 없어졌는지를 알아내는 게 중요합니다.”

그런 작업을 거친 후에는 찾아낸 것들을 바탕으로 익스플로잇을 실시한다. “클롭은 이번에 취약점을 통해 API 토큰을 훔치고 파일들을 업로드했습니다. 특히 웹셸을 업로드 함으로써 공격의 지속성을 확보하기도 했지요. 웹셸의 이름은 리머룻(LEMURLOOT)이며, human2.aspx라는 파일 이름으로 저장됐습니다. 이 파일 이름이 이번 무브잇 사태의 첫 번째 침해지표라고 할 수 있습니다.”

결국 공격자들이 실시한 건 매우 간단한 SQL 주입 공격이라는 것이다. “SQL 주입 공격을 통해 클롭 공격자들은 게스트 사용자인 것처럼 스스로를 위장할 수 있었습니다. 그리고 그 사용자로서 파일을 외부로 빼돌리고 멀웨어를 업로드 할 수 있었습니다. 그 외에도 무브잇 환경에서 게스트 사용자가 할 수 있는 모든 것들을 했겠죠. 이렇게 클롭은 무브잇이 설치된 환경들을 찾아내 이런 취약점 익스플로잇 행위를 반복했습니다.”

다음은 무엇인가?
이미 이 무브잇 사태에 대한 소문은 널리 퍼지고 있다. 다크웹에서는 여러 사이버 범죄자나 조직들이 클롭 멤버들에게나 다른 사이버 범죄자들에게 무브잇 익스플로잇을 어떻게 하는지, 이번에 클롭이 훔친 데이터를 구할 수 있는지 활발히 묻고 있다고 한다.

“워낙 많은 기업들, 특히 유명한 기업들이 이번에 당했습니다. 클롭도 이를 부각시키고 있고요. 그러니 클롭이 훔쳐냈다고 하는 데이터에 많은 이들이 관심을 가질 수밖에 없습니다. 그러나 아직 클롭은 이를 판매하고 있지는 않습니다. 자신들이 보유하고 있다고 하는 그 데이터에 가격표를 붙이지 않은 것입니다. 하지만 이런 궁금증들이 계속해서 꼬리에 꼬리를 물다보면 어느 순간 무브잇 익스플로잇 방법을 깨닫게 될 것이고, 그 지식이 널리 퍼질 겁니다. 그런 상황이라면 무브잇을 최신화 하지 않고 사용하는 게 무척 위험한 것이 되겠죠.” 미로네스쿠의 설명이다.

하지만 클롭은 “이런 공격을 할 수 있는 건 우리 뿐”이라고 자부하고 있으며, 노하우를 전수하지 않고 있는 것으로 보인다. 자신들이 실시한 공격을 가지고 뭘 하려고 하는지도 아직은 분명하지 않다. 다만 6월 14일에 협상에 실패한 기업들의 이름을 공개할 예정이라고 하니, 그 때에 가서야 클롭의 의도가 분명해질 것으로 보인다.

3줄 요약
1. 기업들 간 사용되는 무브잇 프로그램, 클롭이 익스플로잇 함.
2. 익스플로잇 자체는 간단한 SQL 주입 기법인 것으로 보임.
3. 세계적으로 유명한 기업들도 이번 공격에 당한 것으로 보임.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)