기밀성 갖췄지만 트래픽 암호화돼 사전 피해 감지 어려워
SK쉴더스 Top-CERT(탑서트)가 Ivanti VPN(가상사설망) 취약점을 유형별로 분석하고 대응방안을 담은 보고서를 발표했다고 12일 밝혔다.
Top-CERT는 SK쉴더스에서 침해사고대응과 분석을 전담하고 있다. 해킹 사고 발생 시 즉시 사고 현장에 투입돼 원인을 규명하고 해킹 경로를 추적해 대응방안을 제시하고 있다. Ivanti VPN의 취약점으로 인해 해킹 피해를 입은 실제 사고 사례를 조사 후 원인 분석과 향후 대응 방안에 대해 상세히 소개했다.
Ivanti VPN은 해외 정부기관, 군 관련 조직, 통신사, 방위산업체, 금융기관, 컨설팅 업체 및 항공우주 분야에서 많이 사용되는 VPN(가상사설망) 장비로 국내에서도 2000개 이상의 기업이 사용하는 것으로 알려졌다.
지난 1월 발견된 Ivanti VPN의 취약점은 인증 우회 취약점과 명령 주입 취약점 등으로 이들을 악용해 공격에 성공할 경우 기업 네트워크망에 자유롭게 접근할 수 있어 위험도가 매우 높다. 실제 해당 취약점으로 인한 피해 사례가 전 세계적으로 정부기관, 방산업체, 금융기관 등에서 2400여 건 이상 발견됐다.
이에 SK쉴더스는 20여 년간 축적한 위협 인텔리전스 데이터와 Top-CERT의 분석 역량을 더해 Ivanti VPN의 취약점을 공격 TTPs(전술/기법/절차)에 맞춰 각 단계별 예방/대응 방안을 제시했다. 해킹 징후를 사전에 발견해 탐지하고, 해킹 공격이 발생했을 시 상황별 조치 방안을 공유해 해당 공격으로부터 피해를 최소화할 수 있도록 내용을 구성했다.
우선, Top-CERT는 이번 Ivanti VPN 취약점 악용 공격이 파급력이 컸던 이유로 VPN 장비의 특성으로 인해 취약점이 탐지되기 어려웠다고 지적했다. VPN은 네트워크 구성상 최상단에 위치해 모든 통신 트래픽이 VPN을 통해 이뤄진다.
이로 인해 사용자들은 익명성과 데이터 보호성을 보장받을 수 있지만, 보안 관리 측면에서는 모든 트래픽이 암호화되어 전달돼 트래픽의 내용을 직접 분석하기 어렵다. 이에 평소와 다른 징후나 데이터 유출, 악성코드 전파 등의 위협을 조기에 탐지하기 힘든 이유다. 공격자들은 이러한 특성을 악용해 알려지지 않은 여러 취약점을 연계해 공격을 진행하는 기법을 사용했다.
보고서에서는 Ivanti VPN을 사용하는 기업/기관에서 해킹 피해를 직접 점검해볼 수 있는 체크리스트를 단계별로 제시했다. Ivanti VPN의 경우 최신 패치가 발표되었지만 보안 패치를 적용하거나 개발하는 과정에서 공격을 시도하는 해커들도 있으므로 지속적인 모니터링과 점검이 필요하다. 또한 △ 관리자 계정 권한 부여 확인 △ 트래픽 패턴 분석 △ 내부 방화벽 정책 설정 등의 점검 방법과 공격자들이 사용한 침해지표(IoC, Indicators of Compromise)와 악성코드 정보 등을 확인해 볼 수 있다.
이러한 공격에 대비하기 위해 SK쉴더스 Top-CERT는 보안 위협을 실시간으로 감지하고 신속한 대응을 돕는 EDR 특화 위협 탐지 대응(Managed Detection and Response, MDR) 서비스를 도입할 것을 제안했다. MDR은 기술과 전문지식을 기반으로 위협 모니터링, 분석, 사고 대응 및 보고를 지원하는 서비스다. S
SK쉴더스 김병무 정보보안사업부장(부사장)은 “이번 Ivanti VPN 취약점은 그 피해와 영향도가 큰 만큼 해당 장비를 사용하는 기업이라면 당사가 제시하는 체크리스트를 활용해 자가점검을 필수적으로 수행해야 한다”라며 “SK쉴더스는 다양한 분야에서의 해킹 피해 사례를 조사, 연구하는 만큼 피해가 확산되지 않도록 관련 정보를 지속적으로 공유해 나가며 안전한 비즈니스 환경을 구축하는데 앞장서겠다”고 말했다.