보안 업체의 VPN에서 나온 취약점, APT 단체들이 활용 중

포티넷, 팔로알토 네트웍스, 펄스 시큐어의 VPN 제품들에서 나온 취약점
영국의 국가 사이버 보안 센터인 NCSC가 “APT 단체들이 활용 중”이라고 경고

[보안뉴스 문가용 기자] APT 공격 그룹들이 보안 업체 포티넷(Fortinet), 팔로알토 네트웍스(Palo Alto Networks), 펄스 시큐어(Pulse Secure)에서 출시한 VPN 제품들에서 최근 발견된 취약점을 실제 공격에 활용하고 있다는 소식이 영국의 국가 사이버 보안 센터인 NCSC로부터 나왔다.

[이미지 = iclickart]

NCSC는 영국의 GCHQ 산하 조직으로, “포티넷, 팔로알토, 펄스 시큐어의 VPN 제품을 패치 없이 사용했다가는 APT 단체의 공격에 당할 수 있다”고 발표했다. “현재 APT 공격자들의 행위는 활발히 이어지고 있으며, 전 세계의 정부 기관, 군 기관, 학술 단체, 사업체, 의료 건강 관련 기관에서 피해가 속출하고 있습니다.”

NCSC에 의하면 APT 단체들이 익스플로잇 하는 취약점은 다음과 같다.
1) 펄스 시큐어 제품들에서 나온 CVE-2019-11510, CVE-2019-11539
2) 포티넷 제품들에서 나온 CVE-2018-13379, CVE-2018-13382, CVE-2018-13383
3) 팔로알토 제품들에서 나온 CVE-2019-1579

이 취약점들은 지난 여름 보안 컨설팅 회사 데브코어(DEVCORE)의 연구 팀원인 오렌지 차이(Orange Tsai)와 메 창(Meh Chang)이 공개한 것으로, 당시 둘은 취약점들의 기술적인 세부 사항을 발표했고, 며칠 지나지 않아 개념 증명 코드가 하나 둘 세상에 나오기 시작했다. 오류들은 전부 원격 익스플로잇이 가능하며, 공격자들은 원격에서 네트워크에 침투하거나 통신을 엿듣거나, 민감한 정보를 훔칠 수 있게 된다.

취약점이 발표되고 몇 주가 지나 포티넷과 펄스 시큐어 시스템을 노리는 실제 공격이 발견됐다. 마이크로소프트의 위협첩보센터(Threat Intelligence Center)의 분석가들이 9월 초 망가니즈(MANGANESE)라고 불리는 공격 단체가 VPN 제품들의 취약점들을 7월 중순부터 표적으로 삼아 공격하기 시작했다고 발표한 것이다. 개념 증명 코드가 공개되기 수주 전부터 APT 단체들은 이미 알고 있었다는 뜻이다.

보안 업체 파이어아이(FireEye)는 이 망가니즈라는 그룹을 APT5라고 부르고 추적하는 중이다. 최소 2007년부터 활동해왔다고 알려져 있으며, 주로 아시아 지역의 통신사들과 IT 기술 기업들을 공격하고 있다.

하지만 이번 NCSC가 발표한 경고문에는 APT 그룹들의 이름이 특정되어 나오지는 않고 있다. 다만 “이전에 APT 단체들의 공격을 받은 적이 있거나 VPN을 겨냥한 익스플로잇 시도를 탐지한 적이 있는 조직들이라면 반드시 조치를 취해야 할 것”이라고 언급했다.

지난 8월 말, 펄스 시큐어는 자사 VPN 제품 고객 대부분이 취약점에 대한 패치를 완료했다고 주장했다. 하지만 또 다른 보안 업체 배드 패키츠(Bad Packets)는 “2500개가 넘는 조직들에서 1만 4천여 개의 불안전한 펄스 시큐어 엔드포인트들이 발견되고 있다”고 발표했었다.

배드 패키츠는 최근에도 이 내용에 대한 업데이트를 제공했는데, 9월 30일 기준 “아직도 취약한 펄스 시큐어 엔드포인트들이 6500개 이상 발견됐다”고 한다. 이 중 대부분은 미국과 일본 영국에 있는 것으로 나타났다.

3줄 요약
1. 올 여름, 다양한 보안 VPN 제품들에서 취약점 발견됨.
2. APT 단체들이 이 취약점을 실제 공격에 활용하기 시작.
3. 급기야 영국의 사이버 보안 센터인 NCSC가 경고문을 공식 발표하기도.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)