시스코 제로데이 취약점에 노출된 장비들, 주말 동안 갑자기 사라진 이유는

지난 주부터 시스코 IOS XE 기반 장비들에서 발견된 제로데이 취약점이 3만 대 이상 장비들의 감염으로 이어졌다. 그런데 그 장비들이 갑자기 주말 동안 멀쩡한 것으로 나타났다. 이 갑작스런 변화에 보안 업계가 들썩였다.

[보안뉴스 문가용 기자] 최근 초고위험군 취약점이 나오고 있는 시스코 IOS XE 기반 시스템들 중 인터넷을 통해 접근할 수 있으며, 이미 침해된 것으로 보이는 시스템들이 주말 동안 급격히 줄어들었다고 업계 전문가들이 발표했다. 침해된 기계가 급격히 줄어든 이유에 대해 의견이 분분한 가운데 보안 업체 폭스아이티(Fox-IT)의 연구원들이 10월 23일 “공격자들이 공격 도구를 바꿨기 때문”이라고 정리했다.

[이미지 = gettyimagesbank]

논란의 중심에 있던 제로데이 취약점은 CVE-2023-20198이다. CVSS 기준 10점 만점에 10점을 받았을 정도로 시급하게 패치되어야 할 중대한 취약점이었다. IOS XE의 웹UI(Web UI)에서 발견됐었다. 익스플로잇에 성공할 경우 원격의 공격자들이 최초 침투에 성공해 로컬 사용자 계정을 별도로 만들 수 있었고, 이 계정을 통해 지속적으로 해당 장비에 들락날락 할 수 있었다.

그런데 이 문제를 계속 추적하다가 또 다른 제로데이 취약점이 하나 더 나왔다. CVE-2023-20273이었으며, 첫 번째 제로데이 취약점과 연계되어 익스플로잇 되고 있는 것으로 나타났다. 이 두 번째 제로데이 취약점은 공격자의 권한을 루트로 상승시켜주고, 피해자 장비의 파일 시스템에 임의의 임플란트를 심을 수 있게 해 주는 것이었다. 이에 시스코 측에서는 긴급히 IOS XE 최신 버전을 발표했다(10월 22일). 이 때부터 공격자들은 아직 패치가 안 된 시스템들을 찾아나섰다. 공격이 크게 증가했다.

그런데 갑자기
보안 전문가들은 쇼단과 센시스 등을 이용하여 공격 현황을 주시했다. 하나의 공격 단체로 보이는 누군가가 IOS XE 기반 장비들을 수천~수만 대를 침해하기 시작했다. 공격자들은 취약한 장비들에 임플란트를 심어두고 임의의 코드를 실행하는 공격을 실시했다. 하지만 이 임플란트는 공격 지속성을 갖추지는 못했다. 그래서 장비를 껐다 켜기만 하면 사라졌다. 그럼에도 수많은 장비들이 이 공격자의 영향 아래 있는 것으로 보였다.

그러다가 지난 주말 갑자기 침해된 장비들의 수가 급감했다. 너무나 빠르게 감소하자 일각에서는 그레이햇 해커 등 누군가 공격자에 대항해 임플란트를 삭제하고 있는 것 아니냐는 추측이 나왔다. 다른 한쪽에서는 공격자가 이제 두 번째 공격 단계로 옮겨간 것 같다고 추정했다. 공격자가 흔적을 감추기 위해 대대적인 청소 작업을 하고 있는 거라는 주장도 등장했다. 그 외에도 여러 가지 의견들이 난무했다.

임플란트의 변경
진실은 달랐다. 침해된 장비의 수가 줄어드는 것처럼 보였지만 그렇지 않았다. “시스코 장비들에 여전히 임플란트가 설치되어 있었습니다. 다만 약간의 변경이 있었습니다. 승인 HTTP(Authorization HTTP) 헤더 값을 확인한 후에 요청 값을 보내는 방식으로요. 그러니 쇼단이니 센시스와 같은 도구들로 모니터링 해도 반응하지 않았던 것이고, 그러니 침해된 장비의 수가 크게 줄어든 것처럼 보였던 것입니다.” 보안 업체 폭스아이티 측의 설명이다.

그래서 폭스아이티는 임플란트의 변화에 맞게 다른 방식으로 임플란트와 침해된 장비들을 추적했고, 그 결과 약 3만 7890개의 장비들이 여전히 임플란트에 감염되어 있음을 발견할 수 있었다. “시스코 IOS XE 웹UI를 가지고 있는 사용자라면 포렌식이나 스캔을 실시하여 점검하는 것을 강력히 추천합니다.” 폭스아이티 측의 권장 사안이다.

제로데이 취약점을 제일 먼저 발견했던 보안 업체 벌체크(VulnCheck)의 CTO 제이콥 베인즈(Jacob Baines) 역시 주말 동안 침해된 장비의 수가 급감하는 현상에 어리둥절했던 인물 중 하나로 “폭스아이티의 결과가 가장 신빙성 있어 보인다”는 의견을 공유했다. “공격자들의 침해 방식이 살짝 변했기 때문에 기존 스캐닝 결과로 보이지 않았을 뿐입니다. 스캔 방식을 바꾸니 다시 침해된 장비들이 보이기 시작했습니다.” 시스코 측에서도 임플란트 탐지 방법에 대한 가이드라인을 10월 23일자로 바꿨다. 새로운 침해 지표를 고객사들에 내보냈다고 하며, 픽스 방법에 대한 안내 내용도 최신화 했다.

공격자의 동기는 여전히 알 수 없어
하지만 공격자들의 공격 동기에 대해서는 아직 완전히 파악할 수 없으며, 왜 주말 동안 임플란트를 변경했는지 역시 정확히 알 수 없다고 베인즈는 말한다. “자신들의 공격 행위가 발각됐을 때 공격자들이 주로 취하는 전략은 숨는 겁니다. 모든 공격 행위를 멈추고 납작 엎드려 감시의 시선이 지나가기를 기다리죠. 그런 다음 모두의 관심이 시들해지면 다시 일어나 하던 공격을 마저 합니다.”

하지만 이번 공격에서 공격자들은 계속해서 임플란트를 통해 피해자의 시스템에 접근했다. “잠깐 보안 업계의 시선을 다른 곳으로 유도했을 뿐, 숨어 있지도 않았고 공격을 멈추지도 않았습니다. 매우 새로운 대응법입니다. 어쩌면 목적 달성을 위해 단 며칠이 더 필요한 상황이었기 때문에 숨어서 기다리는, 시간이 많이 소요되는 전략보다 얼른 시선만 피해서 할 일을 마치는 쪽을 택했을 수도 있습니다.”

3줄 요약
1. 시스코 제로데이 사태, 갑자기 주말에 침해된 시스템 사라져 혼란.
2. 여러 가지 의견이 있긴 했지만 알고보니 공격자들이 임플란트를 살짝 바꾼 것.
3. 보통 들키면 숨는 게 공격자들의 생리인데, 왜 이렇게 다른 행동 패턴을 보였을까?
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)