Home > 전체기사

솔라윈즈 사태 조금은 가라앉힐 수 있을까? 킬스위치 만들어져

  |  입력 : 2020-12-17 16:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
파이어아이와 고대디, 마이크로소프트의 합작품...공격 인프라 일부의 설정 바꿔
백악관도 서둘러 대응하기 위해 움직이기 시작...솔라윈즈 주주들, 1주일 전에 주식 매각


[보안뉴스 문가용 기자] 솔라윈즈(SolarWinds)의 업데이트 인프라를 통한 공급망 공격에 당한 보안 업체 파이어아이(FireEye)가, 공격자들이 퍼트리고 있는 멀웨어의 킬스위치를 발견했다. 이를 발동시키면 선버스트(SUNBURST)라는 백도어가 작동을 멈춘다고 한다. 하지만 멀웨어를 삭제하거나 공격자의 침투를 차단하는 건 아니다.

[이미지 = utoimage]


문제가 되고 있는 멀웨어인 선버스트는 1단계 침투를 담당하는 트로이목마 유형의 멀웨어로, 공격자들은 선버스트를 통해 추가로 페이로드를 설치함으로써 피해자의 시스템에서 보다 높은 권한을 가져가거나 횡적으로 움직여 왔다. 선버스트를 통한 정보 빼돌리기도 가능한 것으로 알려져 있다. 파이어아이는 선버스트 배후의 공격자들은 UNC2452라고 지칭하고 있고, 몇몇 보안 전문가들은 러시아 정부를 지목하고 있다.

UNC2452는 솔라윈즈가 개발한 오리온(Orion)이라는 소프트웨어의 업데이트 유통망을 감염시켰고, 이를 통해 솔라윈즈 고객들의 네트워크에 침투해 선버스트를 심어왔다. 피해자들 중에는 미국 재무부, 상무부, 국방부, 국토안보부, 포춘 500대 기업 대다수가 있어 이번 사건은 상당히 심각한 것으로 간주되고 있다.

이번에 파이어아이가 발견한 킬스위치는 특정 조건이 맞물렸을 때 효과적으로 작동된다고 한다. “멀웨어가 avsvmcloud.com이라는 주소와 연결되었을 때 되돌아오는 IP 주소들이 있습니다. 이 주소에 따라 멀웨어가 작동을 멈추기도 한다는 사실이 분석 과정에서 발견됐습니다. 그래서 고대디(GoDaddy) 및 마이크로소프트(Microsoft)와 협업하여 선버스트를 완전 비활성화시킬 수 있는 방법을 만들어 냈습니다.” 파이어아이 측의 설명이다.

킬스위치는 세 회사가 협업하여 멀웨어와 관련이 있는 도메인을 폐쇄 및 압수해 설정을 다시 함으로써 선버스트로부터 통신이 들어올 때 작동을 멈추게 하는 IP 주소들을 전송하도록 함으로써 완성되었다.

하지만 공격자들의 최종 목표가 선버스트를 심는 것이 아님을 파이어아이는 강조했다. 공격자들이 빠르게 추가 공격을 진행함으로써 선버스트 말고도 다른 방법을 통해 피해자의 시스템과 네트워크에 지속적으로 드나들 수 있게 한다는 것이다. “선버스트는 어디까지나 1단계 침투용 멀웨어일 뿐입니다. 이번 킬스위치가 위협 요소들을 말끔하게 제거하는 건 아닙니다. 하지만 공격자가 선버스트만 심어놓고 다음 단계의 공격을 하지 않았다면, 이 킬스위치 때문에 어려움을 겪을 수는 있습니다.”

백악관의 국가안보이사회(NSC)는 미국 시간 기준 화요일 “연방 기구들 간 원활한 대응을 위해 ‘연합 협력 그룹(UCG)’을 결성했다”고 발표했다. 이러한 대응 절차는 오바마 행정부가 PPD-41이라는 명령서를 통해 수립한 바 있다. PPD-41은 사이버 공격 사건에 연방 정부 기관들이 협력적으로, 통일된 모습으로 대응할 수 있도록 하기 위해 마련되었다.

솔라윈즈 측은 아직 공격자들이 어떤 방법으로 오리온의 업데이트 공급망을 감염시킬 수 있었는지 발표하지 않고 있다. 다만 수사 초기에 솔라윈즈의 빌드 시스템에 대한 침해가 발견되었다는 내용이 잠깐 언급되긴 했었다. 올해 솔라윈즈의 제품들에서 발굴된 취약점은 23개인데, 대부분은 엔센트럴(N-Central)이라는 또 다른 소프트웨어에서 나왔다. 지난 8월에만 23개 중 6개가 발견돼 보고되기도 했었다.

보안 업체 비트사이트(BitSight)의 부회장인 제이콥 올콧(Jacob Olcott)은 “최고의 연방 정부 기관들이라고 하더라도 공급망 공격에서 자유로울 수 없다는 사실이 적나라하게 드러났다”고 지적한다. “정부 기관들의 네트워크에도 민간 업체들이 만든 서드파티 요소들로 가득 채워져 있습니다. 이런 상황이기 때문에 정부 기관들이라고 특별히 더 튼튼하다고 말할 수도 없습니다. 민관이 연합하여 공급망 공격에 대한 새로운 대책을 마련해야 할 것입니다.”

한편 워싱턴포스트는 솔라윈즈의 주식 상황에서 뭔가 수상한 점을 발견했다고 보도했다. 벤처 캐피탈 업체인 실버레이크(Silver Lake)와 토마브라보(Thoma Bravo)가 솔라윈즈 사태가 터지기 직전에 수천만 달러에 달하는 솔라윈즈 주식을 매각했다는 것이다. 이 두 회사는 솔라윈즈의 지분 70%를 차지하고 있던 곳이었다. 워싱턴포스트에 의하면 솔라윈즈 해킹 사태가 터지기 1주일 전에 실버레이크는 1억 5800만 달러의 주식을, 토마브라보는 1억 2800만 달러의 주식을 팔았다고 한다.

3줄 요약
1. 파이어아이, 솔라윈즈 업데이트 통해 침투하는 멀웨어인 선버스트를 상세히 분석.
2. 특정 IP 주소를 C&C로부터 되돌려 받게 되면 작동 멈추는 것에 착안, 원 C&C 도메인을 압수하여 설정 바꿔 킬스위치로 변환시킴.
3. 주주들의 수상한 움직임에 대한 보도도 나오고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비