에퀴팩스, 아파치 스트러츠 취약점 방치해서 해킹 당했다

미 FTC, CVSS 10 취약점 방치한 에퀴팩스 겨눠 공식 수사
직원 포털 비밀번호 디폴트값으로 사용하는 등 보안수준 심각

[보안뉴스 오다인 기자] 미국 연방거래위원회(FTC)가 에퀴팩스를 대상으로 공식 수사에 돌입했다. 에퀴팩스가 아파치 스트러츠(Apache Struts) 취약점을 방치해 대규모 정보 침해를 초래했다는 사실이 13일 드러난 데 따른 것이다.

[이미지=iclickart]

이번 주 에퀴팩스 주식은 곤두박질쳤다. 해킹 전보다 35% 가량 추락했는데, 이는 신용조회 기업인 에퀴팩스 사태 후폭풍에 따른 금융 대란 징후로도 해석된다.

FTC 대변인은 에퀴팩스 침해 사건에 대한 공식 수사를 시작했다고 말했다. 이 대변인은 “FTC가 원래 진행 중인 수사에 대해서는 코멘트를 하지 않는다”고 말했지만 “이번 사건으로 인한 공익과 사건 영향력을 고려해서 해당 수사가 진행 중에 있다”고 설명했다.

이와 별개로 14일 FTC는 에퀴팩스 침해와 관련한 피싱 사기가 발생할 수 있다며 경고를 발령했다.

지난 주 에퀴팩스는 5월과 7월 사이 해커의 공격을 받은 결과 미국 고객 1억4,300만 명의 사회보장번호, 생년월일 등 개인정보가 유출됐다고 발표했다. 13일 에퀴팩스는 이번 침해가 아파치 스트러츠 CVE-2017-5638 취약점 때문에 발생했다고 밝혔다. 이 취약점은 올해 3월에 이미 공개됐던 것이어서 에퀴팩스가 패치하지 않은 데 대해 비판이 커지고 있다.

보안 업체 컨트라스트 시큐리티(Contrast Security)의 공동 설립자이자 CTO인 제프 윌리엄스는 “이 취약점은 취약점 점수 시스템 CVSS(Common Vulnerability Scoring System)에서 최고 점수인 10점을 받았던 것”이라고 말했다. “취약점 공개 후 불과 몇 시간 만에 이를 활용한 공격 시도가 크게 많아진 것을 확인할 수 있었습니다. 그 공격들은 아직 진행 중이고요.” 윌리엄스는 올해 초 다른 아파치 스트러츠 취약점을 발견하고 보고한 사람이기도 하다.

윌리엄스는 에퀴팩스를 무너뜨린 이 취약점이 공격자에게 단 하나의 HTTP 요청으로 웹호스트 전체를 장악할 수 있는 길을 열어준다고 설명했다. “공격 시 특수 제작하는 헤더 말고는 근본적으로 단 하나의 HTTP 요청만 보내면 됩니다. 마치 브라우저가 보내는 것처럼 말이죠.”

이 같은 취약점은 한 해에만 수없이 공개되고 있다. 취약점이 공개되면 기업은 라이브러리를 검토하고 대체해야 한다. 윌리엄스는 “자사 라이브러리에 알려진 취약점이 있진 않은지 확인하는 건 2009년부터 OWASP Top 10에서 밝힌 일”이라고 말했다.

윌리엄스는 조언을 실행에 옮기는 건 에퀴팩스 같은 대기업일수록 어렵다고 인정하기도 했다. 애플리케이션을 리라이팅하고 재차 실험한 뒤 재배치해야 하는 일이기 때문이다. 그렇다 하더라도 취약한 라이브러리를 사용하고 있지 않다는 걸 확인하는 절차는 반드시 필요하다고 그는 강조했다.

보안 업체 사이트락(SiteLock)의 웹 연구원 마이클 벤스트라(Michael Veenstra)은 “아파치 스트러츠 업데이트의 경우, 취약한 부분만 패치하면 되는 대다수 업데이트와 달리 더 많은 마이그레이션이 필요하다”고 지적했다. 즉, 아파치 스트러츠 취약점을 패치하려면 “기존의 애플리케이션이 제대로 작동하는지 확인하기 위해 적지 않은 시간을 실험과 개발에 투자해야 한다”는 것이다.

그러나 에퀴팩스의 경우, 아파치 스트러츠 설명서에서 즉각적인 해결책이 나와 있던 터였다. 단기간에 훨씬 쉽게 실행할 수 있는 방법이 이미 나와 있었으며 취약한 라이브러리를 대체할 시간도 있었던 것이다.

에퀴팩스는 이 취약점을 이용한 공격 시도를 식별할 수 있는 웹 접근 방화벽 규칙 역시 적용하지 않았다. 이런 규칙을 적용하면 다른 시스템의 운영성에 전혀 영향을 미치지 않는 데도 말이다. 벤스트라는 “에퀴팩스가 이 취약점을 무시한 건 중대한 과오”라고 비판했다. “취약한 스트러츠 버전을 사용하는 모든 사람에게 이 취약점 패치는 즉시, 그리고 최우선적으로 다뤄졌어야 합니다.”

에퀴팩스의 보안 습관이 수준 이하였다는 정황이 하나둘씩 드러나는 가운데, 에퀴팩스가 아르헨티나 직원 포털의 ‘관리자’ 사용자명과 비밀번호 조합을 디폴트값으로 사용했다는 사실도 이번 주 드러났다. 보호 조치라는 게 아예 없었던 것이다. 현재 이 포털은 폐쇄된 상태다.

보안 전문 블로거 브라이언 크렙스(Brian Krebs)는 이 포털이 신용 평가에 대한 고객 분쟁을 처리하는 데 사용됐다고 설명했다. 해당 포털에 접근했던 그 누구라도 100명이 넘는 에퀴팩스 아르헨티나 직원들의 개인정보를 볼 수 있었으며 에퀴팩스에 불만을 제기했던 고객들에 대한 정보 약 14,000여건도 볼 수 있었던 셈이다.

에퀴팩스처럼 두 달이 지나도록 공격을 탐지조차 못하는 기업이 있다는 건 기업이 왜 자사 네트워크 활동을 좀 더 면밀하게 감시해야 하는지 그 이유를 보여준다. 물론 감시만으론 충분치 않다고 벤스트라는 말한다. 공격자가 에퀴팩스 시스템에 두 달 간 머물렀다는 사실을 고려했을 때, 그들이 어떤 정보를 빼돌렸는지 그 양조차 판단하기가 어렵다고 그는 덧붙였다.

“공격자들은 어떤 정보를 빼돌릴지 신중하게 판단했을 가능성이 큽니다. 목표 네트워크를 공격할 때 ‘잡음(noise)’ 수준을 낮추기 위해서죠.” 벤스트라는 바로 이런 이유에서 다중 보안이 필요하다고 말했다.

예컨대, 침입탐지 시스템(IDS: Intrusion Detection System)은 웹 서비스가 비정상적인 시스템 명령을 실행하고 있는 건 아닌지 확인하기 위해 필요하다. 웹 애플리케이션 방화벽은 이런 공격의 징후를 감시하기 위해서 배치돼야 한다. 웹서비스와 중요 데이터베이스 간 인터랙션은 로그 분석이 이루어져야 하고 면밀하게 감시돼야 한다. 요청을 보내는 활동이나 그 활동에 직접 연결된 트랜잭션을 면밀하게 기록해야 하는 것이다. 공격자가 내부 시스템을 활보할 수 없도록 가능한 한 내부 시스템을 분리시키는 것도 필요하다.

벤스트라는 “의심스런 요청을 초기에 식별하는 것은 피해자 수가 수천 명이 될지 수백만 명이 될지를 결정하는 일”이라고 말했다.
[국제부 오다인 기자(boan2@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)