취약점 찾았더니 고발? MSP 업체와 보안 업체의 입장 차이

입력 : 2020-01-23 14:15

보안 컨설팅 업체가 취약점 발견...MSP 업체는 1주일 만에 연락 끊어
텍사스 랜섬웨어 사건과의 연관성 제기되자 MSP 측은 고소한다고 협박해

[보안뉴스 문가용 기자] 미국의 매니지드 서비스 업체(MSP)인 커넥트와이즈 컨트롤(ConnectWise Control)에서 사용하는 소프트웨어가 위험한 것으로 분석됐다. 여덟 개의 취약점이 발견되었기 때문이다. 공격자가 익스플로잇에 성공할 경우 임의의 코드를 원격에서 실행할 수 있게 된다고 보안 컨설팅 업체인 비숍 폭스(Bishop Fox)가 권고문을 통해 알렸다.


취약점 8개는 하나하나 살폈을 때 CSRF 공격을 가능하게 하는 한 가지 취약점만 빼면 그리 위협적이지 않다. 그러나 이들을 연쇄적으로 활용하면 치명적으로 위험한 사태가 발생할 수 있다. 여덟 개 중 여섯 개에는 CVE 식별 번호가 부여된 상태다. “공격자들이 커넥트와이즈 컨트롤의 서버를 장악하고, 거기서부터 고객사들에까지 접근할 수 있게 됩니다.”

비숍 폭스의 부회장인 다니엘 우드(Daniel Wood)는 “비숍 폭스만이 아니라 다른 파트너사에서도 취약점의 심각성과 존재 유무를 확인한 상태고, 커넥트와이즈 측도 일부 취약점들에 대해서는 이미 패치를 개발해 배포한 상태”라고 설명한다. 또한 “작년 8월 텍사스 주 정부 기관들에서 조직적으로 발생한 사이버 공격과 유사한 상태가 일어날 수 있다”고 경고하기도 했다.

지난 8월 텍사스의 주 정부 기관들 22곳에서 동시다발적인 랜섬웨어 공격이 발생했으며, 이에 대한 수사는 아직도 진행 중에 있다. 공격자들이 어떤 취약점을 익스플로잇 했으며, 어떤 전략을 활용했는지도 정확히 밝혀지지 않고 있다. 우드는 “이번에 발견된 취약점을 통해 텍사스 랜섬웨어 사건이 발생했다고 결론 내릴 수는 없지만, 수많은 가능성 중 하나가 될 수 있다는 건 분명하다”고 밝혔다.

당연히 커넥트와이즈 측은 반박했다. “현재 비숍 폭스가 제안한 연쇄 공격 가능성은 말 그대로 가능성에 국한된 것일 뿐이며, 이론상의 개념을 벗어나지 못하고 있습니다. 게다가 비숍 폭스와 커넥트와이즈 모두 아직 이 취약점들을 연쇄적으로 악용하는 익스플로잇 공격이 실제로 발생하지 않고 있다는 점에 동의한 바 있습니다.” 커넥트와이즈는 8개 취약점 중 6개에 대한 패치 개발을 완료한 상태다.

하지만 커넥트와이즈의 제품과 서비스를 통해 랜섬웨어 공격이 이뤄진 사례는 텍사스 외에도 여럿 있다. 2017년 11월 한 취약점 연구자가 커넥트와이즈의 플러그인에서 취약점을 찾아내 익스플로잇 방법을 깃허브(GitHub)에 공유했는데, 이를 실제 공격자들이 활용해 1500개가 넘는 시스템에 랜섬웨어를 심었다. 그러면서 커넥트와이즈에 260만 달러를 요구했다.

비숍 폭스의 전 보안 분석가이자, 위 여덟 개 취약점을 발견한 장본인인 맷 해밀턴(Matt Hamilton)은 “취약점들을 커넥트와이즈에 알렸을 때 처음에는 꽤나 빨리 답장도 오고 필요한 일이 처리되었으나, 1주일 만에 모든 연락이 끊겼다”고 주장했다. “커넥트와이즈의 CISO인 존 포드(John Ford)는 온프레미스 솔루션들에는 전혀 영향이 없고, 실제 익스플로잇 된 적이 없기 때문에 더 이상 조치를 취할 필요가 없다고 말하더군요. 그러면서 명예 훼손으로 비숍 폭스를 고소할 수도 있다고 협박했습니다.”

그러면서 해밀턴은 “온프레미스 제품에도 영향이 있다는 결과를 우리는 실험을 통해 얻어낸 바 있다”고 덧붙였다. 비숍 폭스와 함께 취약점을 점검한 파트너사는 보안 대행 서비스 제공 업체인 헌트레스 랩스(Huntress Labs)였다. 현재까지도 취약점 분석은 이뤄지고 있는 상태며, 따라서 아직까지 위험 등급 등에 대해 공개할 만한 자료를 갖고 있지 않다고 자사 블로그를 통해 발표했다.

비숍 폭스는 “커넥트와이즈는 이 취약점이 고객사들을 굉장히 위험하게 만들 수 있다는 것을 인지하고 고객들에게 투명하게 알려야 한다”는 의견이다. “그래야 고객들이 필요한 부분에서 패치를 진행하고 대처를 할 수 있습니다. 지금처럼 별 일 아니고, 패치를 개발했으니 괜찮다고만 하면 더 큰 사건으로 이어질 수 있습니다.”

3줄 요약
1. 매니지드 서비스 업체인 커넥트와이즈의 제품에서 취약점 8개 나옴.
2. 커넥트와이즈는 “별 문제 아니”라며 취약점 발견자들에게 법적 고소하겠다고 협박.
3. 민감한 반응 나오는 이유는 이 문제가 작년 텍사스 주 기관 22개를 덮친 랜섬웨어 공격과 연루되어 있을 수 있다는 분석 나오고 있기 때문.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 2

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 3

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 4

  과기정통부, ‘국제 AI안전연구소 네트워크’...

• 5

  [퀴즈 이·보·소] 연말 앞둔 온라인 사기,...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...