20.12.16 ( 미국정부기관 및 파이어아이 솔라윈즈 공급망 공격 피해, 솔라윈즈의 FTP 비밀번호가 평문으로 노출?, 2021년 뉴 노멀 위한 보안전략 재정비 )

1. 미국정부기관 및 파이어아이 솔라윈즈 공급망 공격 피해

 

IT 역사상 최악의 공급망 공격이 드러났다고 합니다.😮

 

이 공급망 공격에 연루된 건 솔라윈즈(SolarWinds)라는 기업의 솔루션들로, 공격자들은 솔라윈즈 업데이트에 멀웨어를 삽입해 결과적으로 솔라윈즈의 고객사들에 침투하는데 성공했다고 합니다.

 

조사 결과 악성 소프트웨어 업데이트를 다운 받았을 가능성이 높은 솔라윈즈 고객은 전체 30만 개소 중 33,000여 곳에 달하는 것으로 나왔다고 합니다.

 

솔라윈즈가 미국 증권거래소에 제출한 서류에 의하면 공격자들은 솔라윈즈의 이메일을 침해하여 친투한 것으로 보인다고 합니다.

 

이메일 시스템을 먼저 침해한 후 MS office 365 환경에 침투하기 위한 각종 데이터를 수집해 활용한 것으로 솔라윈즈 측은 분석했다고 합니다. 이 공격에 당한건 미국 재무부, 상무부, 보안 업체인 파이어아이 등으로 파악됬다고 합니다.😐

 

이에 CISA는 지난 주말 솔라윈즈에서 만든 오리온 제품군을 즉각 중단시키고 네트워크에서 분리하라는 긴급 명령을 연방 민간 기관들에게 내렸다고 합니다.

 

솔라윈즈는 별도의 보안 권고문을 통해 오리온 플랫폼즈 소프트웨어 빌드 2019.4 HF 5 버전부터 2020.1.1 버전이 이번 사건에 영향을 받았다고 발표했다고 합니다.

 

2020년 12월 15일 핫픽스가 공개될 예정이었다고 하며, 즉각적인 조치를 취하기 어려운 사용자들을 위한 긴급 대처 방안도 마련할 것이라고 합니다.😀

 

파이어아이는 이미 지난 주부터 이 공격과 관련된 내용을 계속해서 공개 및 업데이트를 하고 있다고 합니다. 공격의 배후 세력으로는 UNC2452라는 단체로 보고 있으며, '선버스트(SUNBURST)'라는 멀웨어를 솔라윈즈 소프트웨어 업데이트를 통해 퍼트리고 있다고 주장했다고 합니다.😀

 

이에 파이어아이의 수석 멀웨어 분석가인 벤 리드(Ben Read)는 UNC2452와 멀웨어에 대해 다음과 같이 언급했다고 합니다.

현 시점에서는 다른 어떤 공격 단체와도 관련없는 독립적인 공격 단체입니다. 선버스트는 HTTP를 통해 공격자의 서버와 통시하는 기능을 가지고 있는 백도어로써 감염된 솔라윈즈 업데이트를 설치하고 나면 최대 2주 잠복기를 가집니다. 잠복기가 끝나면 갑자기 정보를 수집하고 명령을 공격자들의 서버로부터 받습니다. 또한 선버스트는 자신이 발생시키는 네트워크 트래픽을 오리온 향상 프로그램 프로토콜인 것처럼 위장할 수 있으며, 정찰 활동으로 수집한 내용을 정상 플러그인 환경설정 파일에 저장함으로써 정상적인 솔라윈즈 활동에 녹아들 수 있도록 합니다. 그리고 여러가지 기술을 사용해 백신가 멀웨어 탐지 솔루션들도 찾아낼 수 있습니다.

공격자들이 '싱글사이온(SSO)'에 사용되는 SAML(Security Assertion Mark-up Language) 인증 토큰을 조작해 권한을 높였을 가능성이 있어 보인다는 의견이 나오고 있다고 합니다.

 

이로써 높아진 권한을 가지고 솔라윈즈의 MS 365 인스턴스로 접근하는데 성공했으며, 높은 권한을 가진 새로운 계정을 만들어 이메일 전달 및 라우팅 규칙을 수정했을거라고 합니다.

 

보안 전문가들은 오래전부터 공급망 공격에 대해 경고해 왔었다고 합니다. 특히나 보안 패치나 업그레이드 파일이 제조사로부터 건너올 때 무조건 신뢰하는 경향이 예전부터 있었다고 지적되어 왔다고 합니다.😀

 

보안 업체 안주나 시큐리티(Anjuna Security)의 CEO 아얄 요게브(Ayal Yogev)는 솔라윈즈는 너무나도 많은 국가기관과 대기업들이 사용하므로 이번 사태가 더더욱 위험하며, 자신들이 감염되었다는 것조차 모르고 있을 가능성이 높다고 언급했다고 합니다.

 

 

 

2. 솔라윈즈의 FTP 비밀번호가 평문으로 노출?

 

앞의 기사의 내용과 이어지는 내용으로 공급망 공격에 대한 조사가 이뤄지면서 감춰졌던 일들이 추가로 공개되는 중이라고 합니다.😀

 

얼마전 파이어아이가 해킹 도구를 조난당한 적이 있는데 이 공급망 공격을 통해 공격 당한 것으로 밝혀졌다고 합니다.

 

현재 가장 많은 궁금증을 자아내는 것은 어떤 식으로 솔라윈즈의 업데이트 인프라를 감염시켰는가이라고 합니다. 조사가 아직 이어지고 있어 명확한 답은 나오지 않은 상태라고 합니다.

 

하지만 여러가지 추측들과 가설들이 나오고 있다고 합니다.

 

먼저 공격자들이 SAML 인증 토큰을 조작하여 오리온 소프트웨어의 빌드 시스템이나 CI/CD 개발 환경에 접근하는데 성공한 것이 계기가 되었다는 설이라고 합니다.

 

보안 전문가인 비노스 쿠마(Vinoth Kumar)는 지난 11월 솔라윈즈의 FTP 서버 비밀번호가 깃허브에 평문으로 공개되어 있는 것을 발견하고 솔라윈즈 측에 알린 바 있다고 주장했다고 합니다.

 

심지어 비밀번호는 "solarwinds123'이어서 대단히 취약한 것으로 보였다고 합니다. 쿠마는 트위터를 통해 "해당 깃허브 리포지터리는 2~3주정도 변경 없이 유지되었다"고도 밝혔다고 합니다.😀

 

 

 

3. 2021년 뉴 노멀 위한 보안전략 재정비

 

보안은 과거부터 꾸준히 샇아온 대응 기술과 인프라로 기존 위협을 막고, 향후 발생할 수 있는 새로운 이슈에 대비하는 과정이라고 합니다.😀

 

그렇기에 새로운 위협이 등장할 것이라고 해서 기존 보안을 등한시하는 것이 아니라, 기존 보안체계 위에 새로운 위협에 대한 대비를 추가해야 한다고 합니다.

 

팔로알토 네트웍스가 2021년 사이버 보안 전망을 발표하고, 2020년을 돌아보는 간담회를 온라인으로 진행했다고 합니다. 2020년 주요 이슈로 클라우드 도입과 디지털 트랜스포메이션이 들었으며, 특히 코로나19로 인한 비대면 사회가 가속화되면서 전자상거래 부문의 앱과 서비스가 눈에 띄게 늘었다고 설명했다고 합니다.

 

기업의 주요 데이터 자산이 클라우드로 옮겨지고 있는 반면, 이러한 클라우드 운용 과정에서 단순한 부주의로 정보가 유출될 가능성도 존재한다고 합니다.

 

이 때문에 클라우드 도입의 본격화와 더불어 보안에 대한 요구사항을 더 신경 써야 한다고 강조했다고 합니다.😀

 

발표를 진행한 팔로알토 네트웍스 션 두카 아태지역 CSO는 2021년 주요 전망을 크게 4가지로 언급했다고 합니다.

 

(1) 여행 재개로 인한 개인정보보호 이슈 증가

 

2021년에는 국내외 여행이 재개될 경우 개인정보보호 이슈가 커질 것으로 보인다고 합니다.

 

올 한해 많은 국가가 지역을 봉쇄하고 이동을 통재하며 전염병 확산을 차단하기 위해 노력했고, 이 과정에서 역학조사를 위해 이동 및 방문자의 개인정보를 수집하고 있다고 합니다.

 

향후 여행이 가능하더라도 이러한 현상은 한층 강화될 것이며, 기존에는 해외여행 시 입국에 대한 기록 정도만 있었으나 이제는 방문한 지역, 현재 건강상태 등도 기록할 가능성이 커진다고 합니다.😮

 

모든 사람에게 안전하고 효율적인 여행을 보장하기 위해 정부기관, 항공사, 공항 및 호텔 간에 더 많은 개인 데이터를 공유해야 하며, 정보주체에게는 해당 데이터가 어디에 보관되고 어떻게 사용되는지 투명하게 공개해야할 필요성이 있다고 합니다.😀

 

그럼 자연스럽게 이를 노리는 공격자가 늘어날 것이며, 제대로 보호하지 못한다면 새로운 사이버 공격 혹은 스캠 등으로 이어질 수 있기에 철저한 보안이 필요하다고 합니다.😀

 

(2) 프라이빗 5G 확대 및 이를 저격한 사이버 공격

 

팔로알토 네트웍스는 지난해 국가 차원의 5G 인프라 및 서비스 구축을 전망했으나 코로나로 인해 이러한 현상이 주춤했다고 설명했다고 합니다.

 

민간 차원에서 5G 네트워크를 활용한 서비스는 물론, 기업용 서비스는 꾸준히 등장하고 있으며, 향후 유선 네트워크를 대체할 것으로 보인다고 합니다.

 

2021년 5G 네트워크 활용에 주목하고 있는 기업은, 설치해야 하는 노드의 수가 늘어나는 만큼 사이버 공격 표면 또한 증가한다는 점에 주목해야 한다고 합니다.😀

 

(3) 재택근무 확대로 인한 안전한 근무환경 확보

 

코로나19 확산으로 인한 재택근무는 코로나19 현상이 종식되더라도 꾸준히 이어질 것으로 보인다고 합니다.😀

 

집 뿐만아니라 어디서든 효율적으로 업무할 수 있는 환경을 기업에 요구할 것이며, 이 과정에서 보안 제공 역시 필수적이라고 합니다.

 

클라우드 기반 업무 도구가 확산되고, 가상 데스크톱이 대중화되며 고가의 기기 및 장비 구매가 줄어드는 추세라고 합니다.

 

이에 기업은 직원이 온라인으로 필요한 소프트웨어와 자료에 접근할 수 있도록, 더 단순하고 연결성을 갖춘 장치를 제공하고 있다고 합니다.

 

기업에서 직원에게 업무 환경을 직접 제공함으로써 회사의 자산을 안전하게 보호하는 것이라고 하네요.

 

이에 유연성, 단순성, 가시성 등의 이점을 갖춘 SASE(Secure Access Service Edge) 솔루션이 사이버 보안의 뉴 노멀로 자리잡을 전망이라고 합니다.😀

 

(4) 계정 접근관리 필요성 증가

 

디지털 트랜스포메이션에서 보안의 기본인 계정 접근관리의 중요성을 강조하며, 적절한 권한 조치 및 악용하지 않아야 한다고 설명했다고 합니다.😀

 

디지털 트랜스포메이션 가속화는 기존 클라우드 환경의 보안을 다시 검토해야 하는 필요성이 증대되며, 추가적인 계정 접근관리(IAM) 계층도 요구된다고 합니다.

 

실제로 팔로알토 네트웍스 '유닛42 연구소'에서는 올해 단일 IAM 구성 오류로 인해 공격자가 전체 클라우드 환경을 손상시키고 거의 모든 보안 제어를 우회할 수 있는 것을 발견했다고 합니다.

 

이러한 잘못된 ID 구성은 수많은 클라우드 계정에서 발견되었으며, 잠재적으로 1주일 이내에 수천 개의 워크로드에 영향을 미칠 수 있는 심각한 보안 위험을 나타냈다고 합니다.😀

 

 

 

 

 

 

 

 

출처

www.boannews.com/media/view.asp?idx=93428&page=1&mkind=1&kind=1

미국 정부 기관들과 파이어아이, 솔라윈즈 공급망 공격에 당했다

www.boannews.com/media/view.asp?idx=93469&page=1&mkind=1&kind=

솔라윈즈의 FTP 비밀번호 ‘solarwinds123’이 평문으로 노출?

www.boannews.com/media/view.asp?idx=93433&page=1&mkind=1&kind=3

팔로알토 네트웍스 “2021년, 뉴 노멀 위한 보안전략 재정비해야”