클롭이 제로데이 취약점을 알고도 2년이나 묵혀두었다는 사실이 드러났다. 2년 동안 뭘 했는지는 미처 다 알 수 없지만, 소프트웨어 개발사나 보안 업계가 2년이라는 시간 동안 방비를 하지 못했다는 것은 확실하다.
[보안뉴스 문가용 기자] 클롭(Clop) 랜섬웨어 갱단이 최근 문제가 되고 있는 무브잇 트랜스퍼(MOVEit Transfer)의 제로데이 취약점을 2년 가까이 지켜만 보고 있었다고 한다. 제로데이 취약점이 존재한다는 걸 알고도 2년 동안 익스플로잇 하지 않았던 것이다. 그 기간 동안 클롭은 조용히 해당 익스플로잇을 통해 공격할 수 있는 무브잇 고객사들을 찾아다녔다고 한다.
![[보안뉴스 / 6.13.] 클롭 랜섬웨어 갱단, 무브잇의 제로데이 취약점을 2년 전부터 알았다](http://www.boannews.com/media/upFiles2/2023/06/842916074_6391.jpg)
[이미지 = gettyimagesbank]
“그러니까 클롭은 자신들이 털고 싶은 집으로 다가가 문 손잡이만 살짝 돌려본 겁니다. 돌아가는 것까지만 확인하고 ‘나중에 다시 오면 된다’며 되돌아 간 것이죠.” 보안 업체 크롤(Kroll)의 수석 총괄인 스콧 다우니(Scott Downie)의 설명이다. “그리고 여러 집을 돌아다니며 비슷한 방식으로 문 손잡이를 열 수 있는 집들을 확인하고 다닌 겁니다.”
2년 가까이 무브잇 익스플로잇을 실험
크롤의 위협 전문가들은 클롭 조직원들이 무브잇 트랜스퍼의 취약점을 어떻게 익스플로잇 할 수 있는 지 여러 가지로 실험했다는 증거를 찾아냈다. 이 실험은 2021년 7월부터 시작되었다고 한다. MS의 인터넷정보서비스(IIS) 로그들 중 고객사의 것을 검토하면서 발견한 것으로, 비슷한 행위가 2022년 4월에도 있었고, 지난 달에도 두 번 있었다고 한다. 문 손잡이를 여러 번 돌려본 것이라고 할 수 있다.
“여러 자료들을 검토했을 때 공격자들이 취약한 무브잇 트랜스퍼 클라이언트에 접근하는 방법을 여러 가지로 실험한 것으로 보입니다. 특히 무브잇 트랜스퍼가 조직 내 어디에 설치되어 있는지 파악하고, 그것이 취약한 버전이 맞는지, 자신들이 익스플로잇 할 수 있는지 등을 살핀 것이죠. 이런 모든 실험 과정은 수동으로 진행된 것으로 보입니다만 2022년 4월부터는 자동화 기술을 활용하기 시작했습니다. 실험이 실제 공격으로 변하기 직전의 일이었습니다.”
마지막 실험은 5월에 있었다. 이 때 공격자들의 자동화 기술에는 각 무브잇 사용자들의 고유 ID를 추출하는 기능도 포함되어 있었다. 이 정보를 통해 공격자들은 자신들이 접근하게 된 피해자 기업들을 분류해 관리할 수 있었던 것으로 보인다고 크롤은 추측한다. 이런 공격 트래픽이 들어온 IP 주소들은 대부분 러시아와 네덜란드에 위치해 있었다.
“이렇게나 오랜 시간 꼼꼼하게 실험되어 온 문제의 취약점은 CVE-2023-32362입니다. 다단계로 익스플로잇이 되는 취약점이죠. 저희는 이제 알았습니다만 클롭은 2021년 7월부터 이미 익스플로잇 방법을 보유하고 있었던 것이 분명해 보입니다.” 다우니의 설명이다.
왜 2년이나 기다린 걸까?
크롤의 사이버 위험 부문 총괄인 로리 이아코노(Laurie Iacono)는 “클롭이 2년 전부터 공격할 수 있었지만 그렇게 하지 않은 데에는 몇 가지 이유가 있는 것으로 추측된다”고 말한다. “2021년에는 또 다른 유명 파일 전송 플랫폼인 액셀리온 FTA(Accellion File Transfer Appliance)의 제로데이 취약점이 익스플로잇 되었습니다. 그리고 그 해와 2022년 클롭은 이 액셀리온 관련 공격에 몰두해 있었습니다. 즉 무브잇을 본격적으로 건드릴 시간이 없었던 것으로 보입니다.”
2022년 한 해 동안 클롭이 운영하던 웹사이트가 조용하던 것도 눈에 띈다고 이아코노는 설명한다. “2021년에 클롭 멤버들 중 일부가 체포된 적이 있습니다. 아마 그것 때문에 몸을 사린 것인지, 2022년에는 클롭의 웹사이트가 그리 활발히 변하지 않았습니다. 2022년 발발한 러-우 전쟁으로 랜섬웨어 공격자들 대부분이 활동을 줄였는데, 이 역시 클롭이 무브잇을 본격적으로 공략하지 않은 이유 중 하나가 아닐까 합니다.”
클롭은 원래 핀11(FIN11)으로 분류되던 자들이었다. 주로 POS용 멀웨어를 통해 금전적 이득을 취해 왔었다. “그러다가 2022년과 2021년 시점부터 갑자기 랜섬웨어 사업에 뛰어들었죠. 이런 걸 봤을 때 클롭이 랜섬웨어 하나에 ‘올인’하고 있다고 보기는 힘들고, 돈만 된다면 여러 가지 범죄 사업을 다양하게 시도할 것이라고 보는 게 자연스럽습니다.”
무브잇 공격, 여태까지 어떤 일이 있었나?
무브잇 트랜스퍼의 SQL 주입 취약점을 통한 공격이 보고되기 시작한 건 6월 1일부터다. 맨디언트(Mandiant) 등 일부 보안 업체들이 “프로그레스 소프트웨어(Progress Software)에서 개발한 앱의 제로데이 취약점을 통한 정보 탈취 공격이 이어지고 있다”고 조사 결과를 발표하며 사용자 기업들에 경고했다. 이 시점까지 ‘클롭’이 연루되어 있었다는 것이 발표되지는 않았으나 일부 보안 전문가들이 랜섬웨어 공격자들이 배후에 있을 거라고 추측했었다.
그러더니 6월 4일 MS가 클롭 랜섬웨어를 공격의 배후 세력으로 지목했다. 참고로 MS는 클롭을 레이스템피스트(Lace Tempest)라고 부른다. 그러면서 무브잇 트랜스퍼 사용자 기업들 중 피해 사례가 하나 둘 나타나기 시작했다. BBC, 영국항공, 노바스코티아 주 정부에서 피해가 나타났다고 알려져 있다. 그러자 클롭이 자신의 소행이 맞다며 “수백 개가 넘는 기업들의 정보를 가지고 있다”고 주장하고 나섰다.
6월 7일, 미국의 보안 전담 기관인 CISA가 경고문을 발표하며 “이번 무브잇 익스플로잇 사태가 생각보다 광범위하게 진행되었을 가능성이 있다”고 알렸다. “클롭의 익스플로잇 속도가 매우 빠르고, 익스플로잇의 난이도 자체가 낮기 때문”이라고 설명했다. “현재까지 익스플로잇이 광범위하게 일어나지 않았다고 하더라도 앞으로 그렇게 될 가능성이 높다”고 덧붙이기도 했다. 그리고 이번 주말 동안 무브잇 트랜스퍼에서는 또 다른 제로데이 취약점이 발견된 상황이다. 이 취약점과 클롭의 관계성에 대해서는 아직까지 밝혀진 바가 없다.
3줄 요약
1. 무브잇 파일 전송 프로그램의 제로데이 취약점, 클롭 랜섬웨어가 익스플로잇.
2. 그런데 클롭은 2년 전부터 취약점을 익스플로잇 할 수 있었음.
3. 여러 가지 알 수 없는 이유로 5~6월부터 공격을 시작.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 6.13.] 클롭 랜섬웨어 갱단, 무브잇의 제로데이 취약점을 2년 전부터 알았다](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")