지난 1년동안 가장 활발하게 익스플로잇된 취약점들은? 미국, 영국, 호주가 함께 주목하다

미국과 영국, 호주의 첩보 기관이 가장 위험한 취약점 30개를 모아 합동으로 발표했습니다. 모아 보니 몇 가지 트렌드가 눈에 띄었는데 시끌벅적한 사건을 통해 예상 가능했던 취약점들도 포함되어 있고, 기억에서 사라졌을 법한 취약점들도 있었습니다.

지난 1년 동안 가장 활발하게 익스플로잇된 취약점들은 무엇일까요? 보안 담당자들에게 있어 항상 궁금한 질문일 텐데, 이에 대해 미국의 정보 보안 관련 기관인 CISA와 FBI, 영국의 NCSC, 호주의 CSC가 합동으로 답했습니다. 결론부터 말하면 VPN과 클라우드 기반 시스템에서 나온 취약점들이 가장 문제라고 합니다.

지난 7월 미국 국토안보부 내 사이버 보안 전담 부서인 CISA와 FBI, 영국의 국가 사이버 보안 센터(NCSC), 호주 사이버 보안 센터(CSC)가 합동 보안 권고문을 발표했습니다. 2020년과 2021년 공격자들이 가장 많이 익스플로잇 한 취약점들의 목록과 함께였습니다.

먼저 작년에 가장 많이 익스플로잇 된 취약점은 CVE-2019-19781, CVE-2019-11510, CVE-2018-13379, CVE-2020-5902였습니다. 이 네 가지 전부 기업 내 네트워크에 대한 원격 접근 기술과 관련된 것이었다고 합니다. 코로나로 인한 원격 근무 체제를 공격자들이 적극적으로 노린 것이라고 볼 수 있습니다. 올해에도 이 네 가지 취약점은 활발히 익스플로잇 되고 있는데, 이에 더해 지난 3월 공개된 익스체인지 서버(Exchange Server) 제로데이 취약점들과 각종 VPN 제품들에서 발견된 취약점들이 추가됐습니다.

이번에 발표된 ‘가장 많이 익스플로잇 되는 취약점’은 총 30개인데, 대부분은 지난 2년 안에 공개된 ‘따끈따끈’한 것들입니다. 하지만 오래된 것들도 일부 존재합니다. 예를 들어 MS 오피스에서 발견된 원격 코드 실행 취약점 중 하나인 CVE-2017-11882의 경우 2017년에 발견된 것이었습니다. 한편 작년에 가장 많이 익스플로잇 된 취약점 12개 중 7개는 원격 코드 실행, 2개는 권한 상승, 2개는 임의 코드 실행 및 파일 공유, 1개는 경로 변경으로 이어지는 취약점들이었습니다.

합동 권고문의 내용에 따르면 이번 조사를 통해 알게 된 뚜렷한 현상은 바로 “사이버 공격자들이 이미 공개된 소프트웨어 취약점들을 활발히 활용한다는 것”이라고 합니다. 즉 취약점 정보가 공개돼도 패치가 실제로 적용되지 않는 사례가 많아 괜찮다는 인식이 공격자들 사이에 만연하다는 것을 알 수 있다는 뜻입니다. 그러므로 “취약점이 공개되면 빠르게 패치하는 것이 중요하다”고 기관들은 권고합니다.

보안 업체 디지털 셰도우즈(Digital Shadows)의 부회장인 릭 홀란드(Rick Holland)의 경우 “이번 권고문에 등장한 CVE들을 봤을 때 공격자들이 독자적인 연구를 통해 제로데이를 발굴해 피해자를 공략하는 것보다 이미 알려진 취약점들을 활용하는 걸 더 좋아한다는 걸 알 수 있다”고 말합니다. “제로데이 개발은 비용이 드는 일입니다. 사용자들이 패치를 하지 않는 상황에 그럴 필요가 없다는 겁니다. 그렇다는 건 공개된 패치들만 잘 적용해도 어지간한 공격은 막을 수 있다는 뜻이 됩니다.”

[이미지=freepik]

2020년 한 해 동안 가장 많이 익스플로잇 된 취약점 중 1위는 CVE-2019-19781인 것으로 분석됐습니다. 시트릭스(Citrix)의 애플리케이션 딜리버리 컨트롤러(ADC)에서 발견된 취약점입니다. 이 취약점이 처음 발견되었을 때 전 세계 8만여 개의 조직들이 영향을 받고 있는 것으로 분석됐었습니다. 시트릭스는 물론 여러 보안 전문가들과 공공 기관들이 “익스플로잇 난이도가 낮으니 시급히 패치하라”고 촉구했지만 여전히 패치 안 된 시스템들이 다수 존재합니다. CISA는 “난이도가 낮다는 건 공격자들의 선호도가 높을 가능성이 높다는 것”이라고 설명하기도 했었습니다. 제로데이를 개발할 필요가 없다는 걸 보여주는 사례라고 할 수 있습니다.

2020년과 2021년에 접어들면서 가장 눈에 띄는 변화는 VPN에 대한 공격의 빈도가 높아졌다는 것입니다. CVE-2019-11510이라는 취약점의 경우 펄스 시큐어 커넥트(Pulse Secure Connect)라는 VPN에서 발견된 임의 파일 읽기 취약점입니다. 이 취약점은 작년 두 번째로 많이 익스플로잇 된 취약점으로 기록됐습니다. 공격자들은 이 취약점을 통해 사용자들의 크리덴셜을 마음껏 가져갈 수 있었습니다. 이 취약점 역시 일찌감치 경고되어 왔으나 사용자들이 무시했기 때문에 공격자들이 유익하게(?) 활용할 수 있었습니다.

그 외에도 펄스 시큐어 커넥트에서는 인증 우회 취약점인 CVE-2021-22893, 버퍼 오버플로우 취약점인 CVE-2021-22894, 명령 주입 취약점인 CVE-2021-22899가 올해 발견됐는데, 이 세 가지 전부 30위 안에 들어가는 데 성공했습니다. 그 외에 포티넷(Fortinet)과 팔로알토(Palo Alto)에서 만든 VPN 제품들도 공격자들 사이에서 인기가 높았습니다.

올해 세상을 시끄럽게 만들었던 취약점인 프록시로그온(ProxyLogon) 역시 이번 목록에 포함됐습니다. 프록시로그온은 익스체인지 서버에서 발견된 제로데이 취약점들의 통칭으로, CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065가 포함되어 있습니다. 마이크로소프트는 긴급 패치를 3월 2일에 발표했었습니다. 중국의 해킹 그룹인 하프늄(Hafnium)이 이 취약점을 적극 익스플로잇 했던 것으로 알려져 있습니다.

소프트웨어 개발사인 액셀리온(Accellion)의 오래된 파일 전송 장비에서 발견된 오류들도 공격자들 사이에서 인기가 높았던 것으로 나타났습니다. 액셀리온이 패치를 발표하기 전부터 공격자들은 이 취약점을 익스플로잇 하고 있었으며 퀄리스(Qualys), 크로거(Kroger), 존스데이(Jones Day), 싱텔(Singtel), 뉴질랜드 연방은행 등이 여기에 당했습니다.

보안 업체 이뮤니웹(ImmuniWeb)의 창립자인 일리야 콜로첸코(Ilia Kolochenko)는 이번 권고문을 검토한 후 “공격자들은 취약한 시스템의 완전 장악을 가능하게 해 주는 치명적 위험도의 취약점을 좋아한다”는 걸 알 수 있었다고 말합니다. “그 다음으로는 공격자들이 새로운 취약점과 오래된 취약점을 모두 활용할 줄 안다는 것입니다. 사용자들의 패치가 느리다는 걸 알기 때문입니다. 그리고 기업 내 사용되는 소프트웨어들이 주요 표적이 되고 있다는 것도 알 수 있었습니다.”

#취약점, 취약점진단, 취약점점검, 취약점컨설팅, CVE, CCE, CWE, 시큐어코딩

출처 : 보안뉴스, Technology photo created by rawpixel.com – www.freepik.com