공지사항 - VPN 겨냥한 비밀번호 분사 공격 유행하고 있다는 경고

Extra Form
원문주소	https://www.boannews.com/media/view.asp?idx=129177

시스코의 탈로스(Talos) 팀이 새로운 보안 경고를 발표했다. 각종 VPN 서비스들과 SSH 서비스, 웹 애플리케이션을 겨냥한 대규모 브루트포스 공격이 실행되고 있다는 것이다. 공격자들은 기계적으로 생성한 사용자 이름들을 무작위로 대입하고 있으며, 이를 통해 피해자 환경에 침투하려 한다고 탈로스 팀은 경고했다. 공격의 표적은 다양하며, 특정 산업군이나 지역을 따로 노리는 것으로 보이지 않는다고 한다.

다만 이 공격의 표적에는 한 가지 패턴이 존재한다. 시스코의 시큐어파이어월 VPN(Secure Firewall VPN), 체크포인트 VPN(CheckPoint VPN), 포티넷 VPN(Fortinet VPN), 소닉월 VPN(SonicWall VPN), 미크로틱(Mikrotik) 제품 및 드라이텍(Draytek) 제품을 사용하고 있다는 것이었다.

공격은 증가할 것
“어떤 환경이 어떤 수위의 공격을 받았는지에 따라 피해 상황은 달라집니다. 어떤 경우는 불법적인 네트워크 접속이 가능하고, 어떤 경우에는 피해자 계정을 완전히 잠글 수 있기도 하고, 어떤 경우에는 디도스 공격을 할 수 있기도 합니다. 이 캠페인은 3월 28일부터 급증하기 시작했으며, 패턴을 보건데 앞으로 더 심해질 것으로 예상됩니다.” 시스코 측의 설명이다.

시스코는 공격과 관련된 IP 주소와 크리덴셜 등으로 구성된 침해 지표를 보안 권고문을 통해 공개했다. 물론 이 IP 주소들은 시간이 지남에 따라 변동될 가능성이 높다는 주의 사항도 따라 붙어있었다.

이번에 등장한 캠페인은 사실 예견되어 있던 것이나 다름 없다. 최근 공격자들은 VPN을 즐겨 공략하고 있기 때문이다. 원격 근무라는 선택지가 코로나 시절에 생겨난 뒤로부터 외부에서 회사 네트워크로 접속하는 데 사용되는 기술들은 VPN이 아니더라도 대다수가 공격 대상이 된 지 오래다. 이 때문에 미국의 CISA나 FBI, NSA와 같은 보안 및 안전 관련 기관들에서는 꽤나 오래 전부터 관련된 보안 경고문을 주기적으로 발표해 왔었다.

VPN 취약점들의 폭발적인 증가
보안 업체 세큐린(Securin)이 조사한 바에 의하면 2020년부터 2024년 사이에 VPN 제품들에서 발견된 취약점의 수는 875% 증가했다고 한다. “8개 제품 전체에서 147개 발견되던 것이, 현재 78개 제품에서 1800개 가까이 발견되고 있습니다. 이 중에서 공격자들이 실제 캠페인에 활용하는 취약점은 204개입니다. 그 중 APT 조직이라고 알려진 자들이 익스플로잇 한 취약점은 26개이고, 랜섬웨어 조직들이 익스플로잇 한 취약점은 16개입니다.”

VPN을 노리는 가장 기본적인 방법은 ‘비밀번호 분사(password spaying)’라고 불리는 것으로, 시스코의 VPN 제품들도 이런 공격에 자주 노출되고 있다고 탈로스 팀은 설명한다. “비밀번호 분사 공격이란, 공격자들이 여러 개 계정들에 아무 비밀번호를 마구잡이로 대입하는 것을 말합니다. 주로 디폴트 비밀번호나 사용자들이 자주 설정하는 비밀번호를 대입하죠. 그렇게 해서 하나라도 맞아떨어지면 해당 VPN에 정상적으로 로그인할 수 있게 됩니다.”

정찰을 위한 것?
공격자들은 왜 VPN을 집중적으로 공략하는 것일까? 시스코는 “대부분 정보 수집을 위한 것으로 보인다”고 추정한다. 그러면서 “비밀번호 분사 공격에 노출되면 세 가지 현상이 나타날 수 있다”고 귀띔하기도 했다. “하나는 VPN 연결이 잘 되지 않거나 자주 끊긴다는 겁니다. 시스코 VPN 제품의 경우 호스트스캔(HostScan) 토큰이 제대로 작동하지 않기도 합니다. 마지막으로 인증 요청의 빈도가 비정상적으로 높아집니다.”

VPN을 사용하는 기업이나 기관이라면 몇 가지 지켜야 할 안전 수칙이 있다고 탈로스 팀은 권장한다. “원격에서 VPN으로 회사 네트워크에 접속하려 하는 행위 자체를 안전하게 보강해야 합니다. 디폴트 비밀번호를 버리고 강력한 것으로 대체하며, 다중인증을 적용하는 게 좋습니다. 접속 시도가 이뤄지는 IP 주소를 화이트리스트 처리해서 그 외의 주소로는 접속이 되지 않게 하는 것도 현명한 방법입니다. 원격 접속을 허용하는 장비를 따로 지정하는 것도 권장할 만합니다.”

보안 업체 섹티고(Sectigo)의 부회장 제이슨 소로코(Jason Soroko)는 “VPN을 공략한다는 건, 하드웨어나 소프트웨어의 취약점을 공략한다는 것과 다른 이야기”라고 강조한다. “그런 경우들은 패치만 하면 대부분 문제가 해결됩니다. 하지만 VPN의 경우, 주로 약한 비밀번호나 설정 오류들을 공략하는 게 대부분입니다. 즉 우리의 보안 습관을 공략하는 것이라고 볼 수 있습니다. 이건 패치로 해결될 게 아니죠. 아니, 보안 습관과 문화를 패치해야 해결될 수 있습니다.”

자세한 정보는 위 링크에서 직접 확인하세요.

List of Articles
번호	날짜	분류	제목	조회 수
공지	2024.01.22	보안 정보	"PC백신 끄세요"… 게임 쉽게 하려다 코인 채굴기 돼 버린 PC	270
공지	2022.07.25	업무 안내	이레시스템 업무안내	701
»	2024.04.23	보안 정보	VPN 겨냥한 비밀번호 분사 공격 유행하고 있다는 경고	65
76	2024.04.10	일반 공지	4월 10일 국회의원 선거일 영업안내	569
75	2024.04.08	보안 정보	80만 유튜브 계정을 해킹해 인포스틸러 유포	266
74	2024.04.02	issues	Windows 11 시장점유률 27%	670
73	2024.02.25	휴무 안내	2024년 3월 1일(금) 정상영업 안내	682
72	2024.02.24	보안 정보	2023년 랜섬웨어 피해자들이 낸 돈은 11억 달러	451
71	2024.02.11	보안 정보	삼성전자, '심각도 높음' 보안 취약점 발견 후 삼성 매지션 소프트웨어 업데이트	392
70	2024.02.08	보안 정보	모바일 운전면허로 신분증 대체 가능해진다	370
69	2024.02.08	휴무 안내	2024년 설날 영업안내 1	370
68	2024.01.31	보안 정보	국내 웹사이트 무차별 공격 중인 중국 해커	305
67	2023.12.30	휴무 안내	2024년 1월 1일 신정 휴무 안내	218
66	2023.12.24	휴무 안내	12월 25일 성탄절 휴무 안내드립니다.	215
65	2023.10.26	보안 정보	'국민 2000만명이 쓰는 전자상거래 앱' 북한이 변조·유포 시도	221
64	2023.10.16	보안 정보	MS 오피스 매크로 대신 공격자들이 사용해 오던 VB스크립트, 조만간 사라진다	244
63	2023.10.10	보안 정보	Windows 10용 강제 업데이트 파일(KB5001716)이 배포됨	1200
62	2023.10.06	업무 안내	10월 9일 (月) 한글날 정상영업합니다.	185
61	2023.10.02	보안 정보	“'김정은 방러결과' 파일 열었다간”…北해킹조직, 정치·사회적 이슈 공격	204
60	2023.09.22	휴무 안내	2023 추석연휴 정상영업 안내	178
59	2023.09.09	보안 정보	최신 iOS가 설치된 아이폰에 은밀히 설치되고 있는 페가수스	194

분류

공지

2024.01.22

보안 정보

"PC백신 끄세요"… 게임 쉽게 하려다 코인 채굴기 돼 버린 PC file