18 October 2024
미국 사이버 보안 연구기관 공격 사건: 사이버 보안의 새로운 현실
이번 주에도 각국의 다양한 IT 시스템에는 다양한 공격이 가해졌습니다. 그 중 가장 충격적인것은 MITRE가 공격 피해를 입었다는 것입니다. MITRE는 미 연방 정부 지원을 받아 항공우주 및 국토안보 방어, 그 중에서도 사이버 안보에 특화된 연구 기관이기에 더욱 충격을 가했습니다. MITRE는 지금까지 글로벌 사이버 보안 커뮤니티에서 사용되는 ATT&CK®, Engage™, D3FEND™, CALDERA™와 같은 프레임워크를 개발했었는데요. 그런 안전한 조직마저도 공격을 받을 수 있었던 것입니다.
지난 19일, MITRE는 내부 R&D 네트워크 중 하나에 대한 공격을 감지하고 사건을 억제하기 위해 즉각적인 조치를 취했으나 내부 네트워크 중 일부가 손상되었다고 밝힌 바 있는데요. 이 공격은 중국의 UNC5221이라는 국가가 지원하는 해킹 그룹으로 알려졌습니다. 이번 공격은 연구 개발용으로 설정되어 망이 분리되어 있지 않던 협업 네트워크인 MITRE의 NERVE(Networked Experimentation, Research, and Virtualization Environment)에서 의심스러운 활동이 발견, 감지되었는데요. 다행스럽게도 회사 영업 비밀이나 공용 네트워크에는 피해가 없었다고 알려졌습니다.
전 세계 기업에 미칠 보안 영향: 긴급 대응 방안과 전략적 대안은?
MITRE CTO인 Charles Clancy는 공격자가 신뢰할 수 있는 네트워크에 연결을 제공하는 데 사용되는 Ivanti1Connect Secure 어플라이언스를 손상시켰다고 설명했는데요. Clancy는 업계가 점점 더 지능화되는 위협에 대응하여 더욱 정교한 사이버 보안 솔루션을 채택해야 한다고 강조했습니다. MITRE는 이번 사건에 대한 강평으로 다음과 같은 네 가지 주요 권장 사항을 언급했습니다.
- 설계 원칙에 따른 보안 향상 : 하드웨어와 소프트웨어의 무결성을 담보하도록 합니다.
- 안전한 공급망 운영 : 소프트웨어 BOM을 활용, 꾸준하게 최신화를 수행하고 취약점을 대비합니다.
- 제로 트러스트 아키텍처 배포 : 다단계 인증 외에도 네트워크를 더 작게 세분화하여 제로 트러스트 구조를 구현합니다.
- 지속적인 모의 해킹 훈련 수행 : 모의 침투를 꾸준히 수행, 방어의 한 부분이 되어 탐지 및 억제 훈련을 생활화합니다.
이번 공격은 Ivanti1 Connect 보안 VPN2에 있던 취약점을 이용해 시도되었습니다. 해당 취약점은 CVE3-2023-46805 및 CVE3-2024-21887인데요. CVE3-2023-46805는 인증 우회 취약점입니다. 접속하는 네트워크 경로를 우회, 접속 검사를 무시할 수 있는 취약점이고 CVE3-2024-21887은 관리자 권한을 가진 인증된 사용자가 임의의 명령을 실행할 수 있도록 하는 취약점입니다. 이 두 가지 취약점이 결합되어 인증되지 않은 공격자가 임의로 관리자 권한을 탈취, 원격 코드를 실행할 수 있게 됩니다.
이번 공격을 위해 공격자측은 12월 초부터 취약점을 악용, 해킹된 시스템에 대한 접속을 유지하고 다양한 자격 증명 데이터를 수집하기 위해 웹셸과 백도어를 배포해왔습니다. 해당 제로데이 취약점에 노출된 Ivanti1 어플라이언스 버전은 전 세계적으로 2100개 이상 존재하고 있습니다. 여기엔 Fortune 500대 기업을 포함한 대기업들이 존재하고 있습니다. 전 세계적으로 다양한 규모의 조직에 영향을 미칠 수 있는 상황인 것입니다. 공격의 규모와 심각성으로 인해 미 사이버보안 및 인프라 보안국(CISA)는 긴급 명령을 내려 연방 기관에 Ivanti1 제로데이 취약점에 대한 개선을 수행할 것을 지시한 바 있습니다.
내부보안 강화 : 지속적인 이상 행동 탐지와 즉각적 조치 필요
이 공격을 방어하기 위해선 로컬 파일 포함(Local File Inclusion) 및 명령어 인젝션 그룹을 기본적으로 거부 모드로 설정해야 할 필요가 있습니다. LFI란, 공격 대상 서버에 있는 디렉토리로 접근하여 원하는 값을 열어보게 하는 행동입니다. 웹 서비스 관리자가 이런 이상 행동이 발생하는지 탐지하기 위해선 API 호출을 유의깊게 관착할 피요가 있는데요. get4 함수에 내부 호출용으로 사용되는 명령어인 q, query, page, command, file, template, document, folder, pg 등의 변수가 혼입될 경우 LFI를 의심할 수 있습니다. 기본적으로 웹 서비스 공급자에겐 시큐어 코딩이라는 측면에서 API call 과정에서 get4 보다는 post5를 사용할 것이 권고되고, 구성되어 있는 WAS6에서 가급적 include를 조작할 수 없게 합니다만, 이런 injection7계열의 공격은 항상 주의할 필요가 있습니다.
MITRE측은 "사건 감지 후 NERVE 환경을 오프라인으로 전환, 사건을 억제하기 위한 즉각적인 조치를 취했으며 내부 및 주요 제3자 전문가의 지원을 받아 신속하게 조사를 시작했습니다."고 공지하였으며, CEO인 Jason Providakes는 "어떤 조직도 이러한 유형의 사이버 공격으로부터 완벽하게 안전하지 않습니다."며 기업 보안을 강화하기 위해 적시에 사건을 공개하였다고 말했습니다.
사이버 공격은 지속적으로 진화하고 있습니다. 핵심 인프라에 있는 제로데이 취약점을 비롯하여 가장 안전하다 생각하며 보안 아키텍처를 배포하는 국제기구까지 공격을 받고, 피해를 입을 수 있다는 것을 보여줬습니다. 그러나 이러한 문제 속에서도 피해를 파악하고 방어하는데 가장 중요한 것은 바로 경계심을 유지하고 준비하는 것이라는걸 알 수 있습니다.
최신 위협에 대한 최신 정보를 얻고, 강력한 보안 프로세스를 구축하고, 사이버 공격에 대한 취약점을 인식하고 대비하는 기업 문화를 조성함으로써 이런 위험에서 대비할 수 있습니다. 인텔렉추얼데이터는 고객의 소중한 법적 정보를 보호하기 위해 각종 보안 취약점에 대한 방어 체계를 수립하는데 최선을 다하고 있습니다. 이를 통해 더욱 안전한 리걸테크 환경을 구축, 선도하고자 합니다.