약 2년 전 러시아의 APT 단체가 유럽과 미국의 정부 기관들을 침해했다는 사실이 드러났다. 이들은 오래된 라우터의 취약점을 이용해 이 같은 공격을 실시할 수 있었다고 하는데, 이 취약점은 이미 6년 전에 패치까지 나온 것이었다.

[보안뉴스 문정후 기자] 악명 높은 러시아의 해킹 단체인 APT28이 비교적 최근인 2021년까지 시스코(Cisco)의 라우터 장비를 익스플로잇 해 왔다는 사실이 밝혀졌다. 이들은 시스코 라우터들 중 오래된 버전의 IOS와 IOS XE라는 OS가 설치되어 있는 장비들을 침해하고, 이를 통하여 유럽과 미국 정부 기관들에 백도어를 심었다고 한다.

[보안뉴스 / 4.20.] 러시아의 해킹 단체 APT28, 시스코 라우터 통해 유럽과 미국 기관 공격

[이미지 = utoimage]

APT28은 팬시베어(Fancy Bear), 스트론튬(Strontium), 차르팀(Tsar Team), 소파시그룹(Sofacy Group)이라는 이름으로도 알려져 있는 해킹 단체로, 우크라이나를 꾸준히 공격해 왔으며 2016년 미국 대선 당시 여론 조작과 정치 기관 해킹 공격도 저질렀다. 영국에서는 APT28이 러시아의 첩보 기관인 GRU와 깊은 관련이 있다고 보고 있다.

이번 주 영국과 미국의 사이버 보안 관련 기관인 NCSC와 CISA, FBI가 합동 보안 권고문을 발표했는데, 여기에는 APT28의 최근 움직임에 대한 설명이 포함되어 있었다. 이 세 기관에 의하면 APT238은 패치가 되지 않은 채 사용되고 있는 오래된 시스코 라우터들을 통해 일부 유럽과 미국 정부 기관들에 멀웨어를 심었다고 한다. 여기에 약 250개 우크라이나 조직도 공격 대상이었던 것으로 분석됐다고 한다.

시스코도 이 소식을 접하고 “사이버전 공격자들의 네트워크 침투 기술이 갈수록 고도화 되는 것에 매우 깊은 우려를 표한다”고 발표했다. 시스코 탈로스 팀의 국가 안보 부문 책임자인 JJ 커밍즈(JJ Cummings)는 “최근 6~12개월 사이에 네트워크 인프라를 직접 노리는 활동들이 더 많이 눈에 띄기 시작했다”고 말하며 “우리가 찾아내고 있는 건 빙산의 일각일지 모른다”고 말했다.

취약한 라우터 공략하기
2017년 6월 29일, 시스코는 자사 운영체제인 IOS 12.0~12.4, 15.0~15.6, IOS XE 2.2~3.17 버전의 통신 프로토콜인 SNMP에서 여러 개의 취약점을 찾아냈음을 발표했다. 공격자가 특수하게 조작한 SNMP 패킷을 이용할 경우 원격 코드 실행 공격이나 디도스 공격을 실시할 수 있다고 시스코는 설명했다. 이 취약점은 CVE-2017-6742라는 이름으로 관리됐으며, CVSS 기준 8.8점을 받았다. 당연히 패치도 같이 배포됐다.

근 6년 전의 일이지만 아직도 많은 사용자들이 패치를 적용하지 않은 채 라우터를 사용하고 있었다는 게 이번 APT28 사태로 드러났다. 사용자들이 SNMP를 통해 정상적으로 자신들의 시스템을 원격에서 관리하듯, 공격자들 역시 SNMP와 관련된 이 오래된 취약점을 통해 원격에서 피해자의 시스템에 침투할 수 있었다.

APT28은 제일 먼저 취약한 비밀번호를 통해 라우터에 접근했다. 그런 후에 재규어투스(Jaguar Tooth)라는 멀웨어를 심었다. 재규어투스는 CVE-2017-6742를 익스플로잇 하기 위해 특수하게 제작된 멀웨어였다. 뿐만 아니라 피해자의 장비 정보를 훔쳐내고 백도어까지 심어 APT28이 지속적으로 침해 장비에 접근할 수 있도록 해 주는 기능도 가지고 있었다.

라우터가 패치되지 않는 이유
오늘 날 기업들이 사용하는 라우터들 중 인터넷에 곧바로 노출되어 있는 장비의 수는 놀랍도록 많다. 게다가 대부분이 취약하기까지 하다. 인터넷에 곧바로 연결되어 있으면서 취약한 장비를 찾아내는 건 공격자들에게 있어 일도 아니다. 쇼단(Shodan)과 엔맵(Nmap) 등 사용할 수 있는 도구들은 얼마든지 있다. 보안 업체 노비포(KnowBe4)의 보안 인식 제고 담당자 제임스 맥퀴간(James McQuiggan)은 “세상에 찾아내지 못할 것은 아무 것도 없다”고 강조한다.

그런데도 사용자들은 라우터를 좀처럼 패치하지 않는다. 이유는 여러 가지가 있지만 그 중 가장 분명한 건 “네트워크 담당자들의 업무가 ‘보안’이 아니기 때문”이라고 커밍즈는 말한다. “네트워크 담당자들은 네트워크가 느려지거나 마비되지 않도록 관리하는 것을 주 임무로 삼고 있습니다. 네트워크 장비가 고장나서 기능을 하지 않는 게 아니라면 특별히 수정의 필요를 못 느낍니다. 취약점? 장비가 제대로 기능만 한다면 있어도 그만이라고 여기는 게 현실입니다.”

심지어 장비의 업데이트라는 게 버튼 하나 눌러서 끝나는, 그런 간편한 일이 아니다. 업데이트에도 리스크가 존재하고, 그 리스크가 가끔은 취약점보다 더 커 보일 때가 있다. “업데이트나 패치 적용이 매우 어렵고 복잡한 작업은 아닙니다. 하지만 굉장히 잘못 될 때도 있습니다. 기존 소프트웨어 충돌하여 장비가 자꾸 꺼진다든지, 업데이트 과정 자체가 생각보다 너무 길어서 업무를 볼 수 없게 된다든지 하는 사건이 종종 일어납니다. 자주 있는 일은 아닙니다만, 한 번 당하면 업데이트 공포증에 걸리게 됩니다. 누구나 시스템 업데이트 하다가 반나절을 날려버린 경험쯤 가지고 있지 않나요?”

이번에 지적을 받고 있는 CVE-2017-6742 취약점은 패치 외에는 해결 방법이 없다. 업데이트가 망설여지더라도 하는 수밖에 없다. 맥퀴간은 “정 패치가 어려운 상황이라면 네트워크 모니터링을 강화해야 한다”고 말한다. “자력으로 할 수 없다면 전문 업체를 섭외해서 유료 서비스라도 받아야 합니다. 그렇다면 APT28의 침투를 파악할 수 있습니다.”

시스코는 네트워크의 중요한 부분들에 아무나 접근할 수 없도록 ‘접근 통제’를 해야 한다고 강조한다. “애초에 신뢰할 수 있을 만한 외부인만 네트워크에 접근하도록 허락하는 게 맞습니다. 아무나 접근해서 비밀번호를 입력하게 하니까 이런 식의 접근과 침해가 가능하게 되는 것이죠.”

3줄 요약
1. 시스코 라우터 OS 중 오래된 것들을 집중 공략하는 러시아 APT.
2. 러시아 APT가 주로 노리는 건 이미 2017년에 패치가 나온 취약점.
3. OS와 소프트웨어는 필수이지만, 사실 대다수 사용자들이 하지 않음.

[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>