솔라윈즈 제로데이 취약점, 중국 해커들이 노리고 있어

솔라윈즈에서 또 사태가 터졌다. 이번에는 서브유 소프트웨어 시리즈에서 발견된 제로데이 취약점이 문제가 되고 있다. 이미 중국 공격자들이 이를 활발히 익스플로잇 중이라고 한다. 중요한 건 지난 6개월 동안 공격자들이 뚜렷한 한 가지 패턴을 보이고 있다는 점이다.

[보안뉴스 문가용 기자] 이번 주 솔라윈즈(SolarWinds)의 서브유(Serv-U) 솔루션에서 발견된 제로데이 취약점에 대한 패치가 촉구되고 있다. 중국의 공격자들이 이 제로데이 취약점을 통해 정교한 표적 공격을 실시하고 있기 때문이다. 이 취약점은 CVE-2021-35211으로, MS가 제일 먼저 발견해 솔라윈즈에 먼저 제보했고, 솔라윈즈는 이번 주 이를 패치했다.

[이미지 = utoimage]

MS는 현재 이 제로데이 취약점을 익스플로잇 하고 있는 공격자들에 데브-0322(DEV-0322)라는 이름을 붙이고 추적 중에 있다. 전에는 미국 국방 분야에 속한 소프트웨어 기업들을 겨냥한 공격을 실시한 바 있다고 한다. “데브-0322는 VPN이나 소비아용 라우터들을 침해하는 방법으로 피해자들을 침해해 왔습니다. 지금은 서브유 제로데이를 익스플로잇 하고 있고요. 솔라윈즈 서브유 사용자들은 시급히 취약점을 패치해야 합니다.”

CVE-2021-35211은 메모리 탈출을 가능하게 해 주는 취약점으로 솔라윈즈 서브유 매니지드 파일 트랜스퍼(Managed File Transfer)와 서브오 시큐어 FTP(Secure FTP)에서 발견됐다. 둘 다 안전하게 파일을 전송할 수 있도록 설계된 솔루션들이다. 공격자들은 원격에서 이 취약점을 익스플로잇 함으로써 시스템 층위 권한으로 악성 코드를 실행할 수 있게 된다. 악성 페이로드를 설치하거나, 추가 멀웨어를 설치하고, 데이터를 열람 및 조작하는 게 가능하게 된다는 것이다.

MS는 고객 네트워크에서 이 취약점을 익스플로잇 하는 수상한 행위들을 발견하여 솔라윈즈에 알렸다. 솔라윈즈는 핫픽스를 개발했고, 화요일부터 이를 배포하기 시작했다. 솔라윈즈에 따르면 현재까지 피해를 입은 솔라윈즈 고객들은 소수일 뿐이라고 한다. 하지만 피해 고객의 신원은 아직 공개되지 않고 있다. 그러면서 “SSH 프로토콜이 구축되지 않았다면 CVE-2021-35211에 대한 익스플로잇을 염려하지 않아도 된다”고 발표하기도 했다.

이번 제로데이 공격은 지난 해부터 올해 초까지 보안 업계의 가장 큰 화두였던 솔라윈즈 공급망 공격과는 전혀 별개의 사건이다. 당시 공격자들은 오리온(Orion)이라는 네트워크 관리 소프트웨어의 업데이트 서버를 공략함으로써, 오리온 사용 기업 및 기관들 다수에 선버스트(Sunburst)라는 백도어를 심는 데 성공했었다. 이 공격은 러시아의 공격자들이 진행한 것으로 공인되고 있다. 다만 2월에 중국 해커들도 비슷한 공격을 비슷한 시기에 감행한 것이 발견되기도 했었다.

솔라윈즈가 이처럼 연속적으로 해커들의 공격 대상이 된 건, 최근 공격자들 사이에서 나타나는 커다란 ‘트렌드’ 때문이라고 전문가들은 설명한다. 공격자들은 한 번에 다수의 시스템이나 네트워크를 공략하는 방법을 자꾸만 고민하고 개발하는 중이라는 것이다. 그러면서 많은 조직들에서 사용하는 소프트웨어의 공급망이나 MSP를 공략하는 사건들이 발생했다. 최근의 카세야(Kaseya) 사태나 올해 초의 액셀리온(Accellion) 사태 역시 이런 트렌드를 나타낸다.

보안 업체 주피터원(JupiterOne)의 유순일(Sounil Yu) CISO는 “서드파티 소프트웨어 및 플랫폼에 대한 꼼꼼한 사전 조사 단계가 도입되어야 한다”고 말한다. “지금은 이러한 사전 조사가 설문지 문항 몇 개 작성하는 것으로 끝납니다. 그 문항이라는 것도 그리 분석적이지 않고요. 그 답을 채워주는 그대로 믿는 것이 현재의 ‘서드파티 관리’의 실상입니다.” 그러면서 “바이든 대통령이 연방 기관들 사이에 강조한 제로트러스트를 기업들 간에 도입하는 것도 진지하게 고려해봐야 할 문제”라고 지적했다.

또 다른 보안 업체 엔비지움(nVisium)의 CEO 잭 마니노(Jack Mannino)는 “앞으로 공급망 보안이 중요한 주제로 남아 있을 것”이라고 예견한다. “지금까지는 소프트웨어 보안이 중요한 시대였습니다. 소프트웨어 취약점을 연구하고 소프트웨어를 패치하는 것이 보안의 중요한 과제였죠. 이제는 그 소프트웨아 유통되는 커다란 구조 자체가 더 큰 문제가 될 겁니다. 소프트웨어가 가지고 있는 모든 디펜던시들까지 포함한 문제로서 공급망을 바라봐야 할 것입니다.”

3줄 요약
1. 솔라윈즈라는 IT 기술 공급업체, 올해만 세 번째로 공격의 통로가 됨.
2. 공격자들은 계속해서 ‘한 번에 여러 조직을 감염시키는 법’을 연구 중에 있음.
3. 여태까지 소프트웨어 자체가 문제였다면, 앞으로는 소프트웨어를 둘러싼 공급망 전체가 문제.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)