공지사항 - VPN 겨냥한 비밀번호 분사 공격 유행하고 있다는 경고

Extra Form
원문주소	https://www.boannews.com/media/view.asp?idx=129177

시스코의 탈로스(Talos) 팀이 새로운 보안 경고를 발표했다. 각종 VPN 서비스들과 SSH 서비스, 웹 애플리케이션을 겨냥한 대규모 브루트포스 공격이 실행되고 있다는 것이다. 공격자들은 기계적으로 생성한 사용자 이름들을 무작위로 대입하고 있으며, 이를 통해 피해자 환경에 침투하려 한다고 탈로스 팀은 경고했다. 공격의 표적은 다양하며, 특정 산업군이나 지역을 따로 노리는 것으로 보이지 않는다고 한다.

다만 이 공격의 표적에는 한 가지 패턴이 존재한다. 시스코의 시큐어파이어월 VPN(Secure Firewall VPN), 체크포인트 VPN(CheckPoint VPN), 포티넷 VPN(Fortinet VPN), 소닉월 VPN(SonicWall VPN), 미크로틱(Mikrotik) 제품 및 드라이텍(Draytek) 제품을 사용하고 있다는 것이었다.

공격은 증가할 것
“어떤 환경이 어떤 수위의 공격을 받았는지에 따라 피해 상황은 달라집니다. 어떤 경우는 불법적인 네트워크 접속이 가능하고, 어떤 경우에는 피해자 계정을 완전히 잠글 수 있기도 하고, 어떤 경우에는 디도스 공격을 할 수 있기도 합니다. 이 캠페인은 3월 28일부터 급증하기 시작했으며, 패턴을 보건데 앞으로 더 심해질 것으로 예상됩니다.” 시스코 측의 설명이다.

시스코는 공격과 관련된 IP 주소와 크리덴셜 등으로 구성된 침해 지표를 보안 권고문을 통해 공개했다. 물론 이 IP 주소들은 시간이 지남에 따라 변동될 가능성이 높다는 주의 사항도 따라 붙어있었다.

이번에 등장한 캠페인은 사실 예견되어 있던 것이나 다름 없다. 최근 공격자들은 VPN을 즐겨 공략하고 있기 때문이다. 원격 근무라는 선택지가 코로나 시절에 생겨난 뒤로부터 외부에서 회사 네트워크로 접속하는 데 사용되는 기술들은 VPN이 아니더라도 대다수가 공격 대상이 된 지 오래다. 이 때문에 미국의 CISA나 FBI, NSA와 같은 보안 및 안전 관련 기관들에서는 꽤나 오래 전부터 관련된 보안 경고문을 주기적으로 발표해 왔었다.

VPN 취약점들의 폭발적인 증가
보안 업체 세큐린(Securin)이 조사한 바에 의하면 2020년부터 2024년 사이에 VPN 제품들에서 발견된 취약점의 수는 875% 증가했다고 한다. “8개 제품 전체에서 147개 발견되던 것이, 현재 78개 제품에서 1800개 가까이 발견되고 있습니다. 이 중에서 공격자들이 실제 캠페인에 활용하는 취약점은 204개입니다. 그 중 APT 조직이라고 알려진 자들이 익스플로잇 한 취약점은 26개이고, 랜섬웨어 조직들이 익스플로잇 한 취약점은 16개입니다.”

VPN을 노리는 가장 기본적인 방법은 ‘비밀번호 분사(password spaying)’라고 불리는 것으로, 시스코의 VPN 제품들도 이런 공격에 자주 노출되고 있다고 탈로스 팀은 설명한다. “비밀번호 분사 공격이란, 공격자들이 여러 개 계정들에 아무 비밀번호를 마구잡이로 대입하는 것을 말합니다. 주로 디폴트 비밀번호나 사용자들이 자주 설정하는 비밀번호를 대입하죠. 그렇게 해서 하나라도 맞아떨어지면 해당 VPN에 정상적으로 로그인할 수 있게 됩니다.”

정찰을 위한 것?
공격자들은 왜 VPN을 집중적으로 공략하는 것일까? 시스코는 “대부분 정보 수집을 위한 것으로 보인다”고 추정한다. 그러면서 “비밀번호 분사 공격에 노출되면 세 가지 현상이 나타날 수 있다”고 귀띔하기도 했다. “하나는 VPN 연결이 잘 되지 않거나 자주 끊긴다는 겁니다. 시스코 VPN 제품의 경우 호스트스캔(HostScan) 토큰이 제대로 작동하지 않기도 합니다. 마지막으로 인증 요청의 빈도가 비정상적으로 높아집니다.”

VPN을 사용하는 기업이나 기관이라면 몇 가지 지켜야 할 안전 수칙이 있다고 탈로스 팀은 권장한다. “원격에서 VPN으로 회사 네트워크에 접속하려 하는 행위 자체를 안전하게 보강해야 합니다. 디폴트 비밀번호를 버리고 강력한 것으로 대체하며, 다중인증을 적용하는 게 좋습니다. 접속 시도가 이뤄지는 IP 주소를 화이트리스트 처리해서 그 외의 주소로는 접속이 되지 않게 하는 것도 현명한 방법입니다. 원격 접속을 허용하는 장비를 따로 지정하는 것도 권장할 만합니다.”

보안 업체 섹티고(Sectigo)의 부회장 제이슨 소로코(Jason Soroko)는 “VPN을 공략한다는 건, 하드웨어나 소프트웨어의 취약점을 공략한다는 것과 다른 이야기”라고 강조한다. “그런 경우들은 패치만 하면 대부분 문제가 해결됩니다. 하지만 VPN의 경우, 주로 약한 비밀번호나 설정 오류들을 공략하는 게 대부분입니다. 즉 우리의 보안 습관을 공략하는 것이라고 볼 수 있습니다. 이건 패치로 해결될 게 아니죠. 아니, 보안 습관과 문화를 패치해야 해결될 수 있습니다.”

자세한 정보는 위 링크에서 직접 확인하세요.

List of Articles
번호	날짜	분류	제목	조회 수
공지	2024.01.22	보안 정보	"PC백신 끄세요"… 게임 쉽게 하려다 코인 채굴기 돼 버린 PC	435
공지	2022.07.25	업무 안내	이레시스템 업무안내	874
79	2022.08.25	보안 정보	한글에 포함된 글꼴 무료 아니고 저작권이 있습니다.	143
78	2022.08.22	보안 정보	한글 OLE 악용하는 해커들, 최근 공격 정황 포착	75
77	2023.02.28	보안 정보	한 번 걸렸다고 안심 NO…매그니베르 랜섬웨어 재감염 우려	46
76	2022.08.24	보안 정보	크롬OS에서 발견된 초고위험도 취약점	23
75	2022.10.18	보안 정보	카카오톡 장애 대응 업데이트 파일 위장한 스피어피싱 공격	53
74	2023.03.13	보안 정보	카카오톡 '오픈채팅' 보안 구멍 뚫렸다	74
73	2022.10.09	보안 정보	카카오와 계정 병합 이슈로 위장한 피싱메일 퍼진다	40
72	2023.09.09	보안 정보	최신 iOS가 설치된 아이폰에 은밀히 설치되고 있는 페가수스	194
71	2022.09.01	보안 정보	전원 충전기 잘못 구매 시 뻥하고 터질 수 있습니다.	16
70	2022.12.09		장하은 희망의 거제 송년 콘서트 2	2170
69	2023.06.10	컴퓨터 수리관련	인텔 11세대 Tiger Lake 단종됩니다.	30
68	2023.03.31	보안 정보	이니텍 INISAFE 보안 업데이트하세요	44
67	2023.02.10	보안 정보	윈도우11 사용중 수집하는 개인 정보들은 마소 서버 외 다른 곳에 엑세스	66
66	2023.03.16	issues	윈도우 11 KB5023706 업데이트 이후 SSD 속도 저하 발생	67
65	2022.12.01	업무 안내	원격제어 프로그램 변경합니다.	121
64	2023.04.06	보안 정보	오피스 불법 복제 버전 설치한 우크라이나 기업, 침해사고 발생	63
63	2022.07.26	컴퓨터 수리관련	오늘부터 윈도우 10 설치 시 21H2에서 22H2로 버전 업 해드립니다.	167
62	2022.08.30	보안 정보	알약 랜섬웨어 이슈 - 먹통부터 증상 다양 2	66
61	2023.04.17	보안 정보	안랩 "'이메일 답장' 가장한 악성 코드 주의해야"	56

분류

공지

2024.01.22

보안 정보

"PC백신 끄세요"… 게임 쉽게 하려다 코인 채굴기 돼 버린 PC file