제2의 DDoS대란, OpenSSH 취약점 이용?!

“OpenSSH 보안취약점 논란, 진위여부 떠나 보안대책 마련해야”

최근 해외 커뮤니티를 중심으로 OpenSSH 제로데이 취약점에 대한 논란으로 관심이 집중되고 있다. 또한 국내 언더그라운드 해커들 사이에서는 지난 7일 발생한 DDoS공격과 맞물리면서 이 OpenSSH 제로데이 취약점을 이용해 DDoS공격이 이루어진다면 그로인한 사태는 7.7DDoS대란과는 비교할 수 없을 만큼의 결과를 초래할 것임이 자명한 만큼 그에 대한 대비를 해야 한다는 주장이 제기되고 있다.

▲서버가 SSH 취약점을 가지고 있고 외부에서 접근이 가능한 상태라면 해커는 서버의 SSH로 접근해 취약점을 공격 후 루트 권한을 획득 할 수 있다. ＠보안뉴스.

또한 국내 언더그라운드 해커들은 OpenSSH 제로데이 취약점을 이용한 공격코드 진위여부를 놓고 의견이 분분하지만 그 진위여부를 떠나, 이번 7.7DDoS대란이 기존 DDoS기법과는 다른 방식으로 공격이 이루어진 만큼 여러 경로를 통한 DDoS공격에 대한 대비는 필요하다는 점에서 이번 OpenSSH 제로데이 취약점에 대해서도 쉽게 간과해서는 안된다고 한목소리를 냈다.

강력한 보안 도구, SSH...취약점 있다면 그 피해는 심각

SSH(Secure Shell)는 텔넷(Telnet)처럼 원격지에 있는 컴퓨터 시스템에 로그인하기 위해 사용되는 원격접속 프로토콜이다. 그리고 이 둘의 가장 큰 차이는 SSH가 텔넷에 비해 훨씬 더 강화된 보안 기능을 제공한다는 것이다. 즉 SSH는 IPsec이나 VPN과 같은 보안 솔루션을 갖추지 못한 조직이나 개인이 응용 계층의 간편한 솔루션을 사용해 안전한 원격 접속 작업을 함으로써 네트워크상에서 TCP 세션을 암호화하는 강력한 도구인 것이다.

그런 점에서 많이 사용되고 있으며, SSH는 윈도우에도 설치가 가능하지만 일반적으로는 윈도우를 제외한 유닉스(리눅스, 솔라리스, AIX) 등의 대규모 서버OS 제품에는 거의 대부분이 탑재돼 있다. 포털·금융·호스팅 업체 및 공공기관의 대부분이 이 유닉스 계열OS를 사용하고 SSH를 100% 탑재해 서버 관리를 위해 SSH를 이용해 접속한다.

이렇듯 원격 로그인, 원격 명령 실행, 원격 파일 복사 등의 다양한 보안 기능을 제공하며, 텔넷과 ftp와 같이 보안상 취약한 프로토콜들을 대체하는 강력한 보안 도구에 제로데이 취약점이 존재한다는 것은 큰 보안위협이 아닐 수 없는 것이다.

OpenSSH 제로데이 취약점 이용한 DDoS공격!?

최근 해외 커뮤니티를 중심으로 OpenSSH에 제로데이 취약점이 존재한다는 논란은 다수의 시스템에 대한 침입 서버 로그가 공개됐기 때문이다. 공격코드는 공개되지 않고 실행 결과만이 공개된 것인데, 이번 7.7 DDoS대란이 윈도우OS에 국한된데 반해 만약 OpenSSH에 제로데이 취약점이 있고 실제 이 공격코드가 있다면 이는 윈도우뿐 아닌 모든 OS를 대상으로 DDoS공격이 이루어져 그 피해는 매우 심각할 수밖에 없다.

이에 익명을 요구한 한 해커는 “이번에 공개된 실행결과 로그를 보면, 서버가 OpenSSH 제로데이 취약점을 가지고 있고 외부에서 접근이 가능한 상태라면 해커는 서버의 OpenSSH로 접근해 취약점을 공격 후 루트(ROOT) 권한을 획득 할 수 있다”며 “즉 공격코드는 공개되지 않았지만 OpenSSH에 취약점이 있어 공격이 이루어진다면, 이번 7.7DDoS대란이 악성코드를 통해 좀비PC로 만들어 사이트를 공격했던데 반해 공격자는 루트 권한을 획득해 DDoS 악성코드나 루트킷 등을 심어 좀비PC를 만들지 않고도 서버를 공격할 수 있다는 점에서 상상이상의 심각한 상황이 전개될 수 있다”고 경고했다.

그리고 그는 “서버가 OpenSSH 취약점을 가지고 있고 외부에서의 접근이 가능하다면 쉽게 루트 권한을 탈취할 수 있다는 점에서 외부에서의 접근을 차단하면 문제는 간단하게 해결될 것 같지만 그렇지 않다”며 “서버가 OpenSSH 취약점을 가지고 있지만 외부에서 접근이 불가능한 상태라도 해커가 서버로 접근 가능 한 관리자 PC를 해킹 해 서버의 OpenSSH로 접근해 취약점을 공격 후 루트 권한을 획득 할 수 있다”고 설명했다.

▲서버가 SSH 취약점을 가지고 있지만 외부에서 접근이 불가능한 상태라도 해커가 서버로 접근 가능 한 관리자 PC를 해킹 한다면, 서버의 SSH로 접근해 취약점을 공격 후 루트 권한을 획득 할 수 있다. ＠보안뉴스.

“OpenSSH 보안취약점 진위여부 떠나 보안대책 마련할 필요 있어”

또한 OpenSSH 제로데이 취약점이 존재한다고 해외 커뮤니티를 통해 공개한 해커는 지난 7월 20일에는 OpenSSH 최신 버전에 관계없이 이 보안결함은 존재하며 48시간 이내에 이 취약점을 이용한 모든 공격 코드가 완성돼 공격을 감행할 것이란 암시의 글을 올렸지만 현재까지도 공격이 이루어지지 않은 점에서 이번 OpenSSH 제로데이 취약점 진위는 거짓이란 쪽에 의견이 모아지고 있다.

이에 한 해커는 “공격예고를 하고도 아직 공격이 이루어지지 않았다는 점에서는 이 취약점이 존재하지 않는 것으로 쉽게 생각할 수도 있다. 하지만 해커의 말처럼 모든 OS에 적용이 가능한지를 테스트하는 시간이 더 필요했기 때문에 아직까지도 공격이 이루어지지 않고 있을 수도 있다”며 “정작 이러한 취약점이 애초에 없어 공격이 이루어지지 않는다면 다행이겠지만, 그렇지 않고 진짜 취약점이 존재한다는 가정하에 그 대비책을 마련하는 것이 필요하다”고 말했다.

그런 점에서 그는 100%의 대응책이 될 수는 없겠지만 다음과 같은 보안대책을 마련할 필요가 있다며 설명했다.

▲ 방화벽 등을 이용해 외부에서 OpenSSH 서비스를 접근 시 접근이 가능한 IP 주소, 네트웍 단위를 설정해 익명의 사용자가 OpenSSH 서비스로 접근하지 못하도록 한다.

▲ 서버는 TCPWrapper , IPTABLES 등의 접근 제어 프로그램을 설치해 OPEN 돼 있는 SSH 서비스에 관리자 PC의 IP 등만 접근 가능하도록 한다.

▲ 관리자 PC는 좀비 PC가 되지 않도록 윈도우 보안 업데이트, 백신 검사 등 PC를 무결성 상태로 기본적으로 유지해야 한다.

또한 그는 발신자가 명확하지 않은 E-mail 첨부 파일, 메신저 전송 파일은 절대 실행하지 말아야 하며, 보안에 상대적으로 취약한 개인 사설 사이트 혹은 소규모 사이트 등은 접속을 하지 않아야 함은 물론 패스워드 등은 반드시 주기적으로 변경해 해커가 설치한 악성코드 등에 의해 패스워드가 유출 되지 않도록 주의할 필요가 있다고 당부했다.

한편 또다른 한 언더그라운드 해커는 “지난 7.7 DDoS대란은 어떠한 대비책도 없이 순순히 공격자가 공격을 멈춤으로 해서 종결됐다. 여전히 제2의 DDoS공격의 위험은 남아 있는 것이다”며 “그런 점에서 이번 OpenSSH 제로데이 취약점의 진위여부를 떠나 그러한 보안위협을 인지하고 그에 따른 대비책을 마련할 필요가 있다”고 말했다.

[김정완 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)