무브잇이라는 파일 전송 프로그램의 제로데이 취약점을 공략해 수많은 피해를 입힌 공격자들이 이번에는 시스에이드라는 시스템 관리 도구의 제로데이를 공략하기에 이르렀다. 제로데이 공격이 꾸준히 이어지는 데에는 이유가 있다.

[보안뉴스 문가용 기자] 클롭(Cl0p) 랜섬웨어와 관련된 ‘제로데이 사건’이 또 다시 터졌다. 얼마 전에는 무브잇(MOVEit)이라는 기업용 파일 전송 프로그램에서 발견된 제로데이 취약점이 문제의 근원이 되더니, 이제는 시스에이드(SysAid)라는 IT 지원 소프트웨어가 문제의 핵심이 되고 있다.


11월 8일 MS가 발견해 발표한 시스에이드의 제로데이 취약점은 CVE-2023-47246이다. 물론 시스에이드 측에서 이미 패치를 개발해 발표했기 때문에 MS도 공표할 수 있었던 것이다. 시스에이드의 CTO인 사샤 샤피로프(Sasha Shapirov)는 “취약점에 대하여 알게 된 것은 11월 2일의 일”이라고 한다. 1주일이 조금 넘은 시점에 재빠르게 조치를 취한 것이다.

시스에이드는 IT 자산의 유지와 관리, 보수를 빠르게 처리할 수 있도록 해 주는 유틸리티 유형의 소프트웨어로, 데이터를 민감하게 관리하는 조직들 사이에서는 인기가 높으며, 널리 사용되고 있다. 데이터를 민감하게 관리하는 조직들이라면 헬스케어 분야의 기업들이나, HR 부서, 고등 교육 기관, 제조사 등이 있다. 시스에이드 측은 아직까지 이번 제로데이 취약점에 영향을 받을 수 있는 고객사의 수가 어느 정도 되는지는 공개하지 않고 있다.

마이크로소프트에 의하면 이번 제로데이 취약점 익스플로잇 캠페인의 배후에 있는 공격자는 레이스템피스트(Lace Tempest)로 보인다고 한다. 레이스템피스트는 DEV-0950이라고도 알려져 있는데, 클롭(Cl0p)이라는 이름의 랜섬웨어 페이로드를 활용해 피해자들을 협박하는 것으로 악명이 높다. 레이스템피스트는 얼마 전 무브잇(MOVEit)이라는 제로데이 취약점을 활용해 수많은 조직들을 침해한 후 랜섬웨어를 퍼트리기도 했었다.

샤피로프는 “시스에이드 온프레미스 버전 소프트웨어에서 이전에 한 번도 발견된 적 없던 경로 조작 취약점이 발견됐다”며 “공격자들은 이 취약점을 통해 웹셸과 다른 페이로드들이 포함되어 있는 WAR 아카이브를 시스에이드 톰캣 웹(SysAid Tomcat Web) 서비스의 웹루트로 업로드하고 있다는 사실 또한 알아낼 수 있었다”고 발표했다.

시스에이드 측은 온프레미스 버전을 사용하고 있는 모든 고객사들에게 “패치 적용이 가능할 때 최대한 빠르게 적용하는 것이 안전하다”고 권고하고 있다. 그와 더불어 침해지표 역시 발표했다. “온프레미스용 시스에이드라면 23.3.3 버전으로 최대한 빠르게 업데이트 하는 게 안전합니다. 동시에 침해지표를 활용하여 네트워크를 전반적으로 점검하는 것도 필요합니다.”

온프레미스 패치의 문제
시스에이드가 급하게 패치 권고를 내긴 했지만 사용자 기업들 중 패치를 제 때 하지 못할 곳이 많을 것으로 보안 업체 비아쿠랩스(Viakoo Labs)의 부회장 존 갈라어(John Gallagher)는 예측한다. “온프레미스 자산의 경우 관리자나 책임자를 찾는 게 생각보다 어려울 때가 많습니다. 수년이 지나도록 계속해서 자산 하나하나를 조직 차원에서 추적한다는 건 쉽지 않죠. 최신화 된 자산 목록을 매순간 갖추고 있는 기업이 얼마나 될까요? CEO가 이 소식을 듣고 시스에이드 패치를 조직에 지시를 내린다 해도 ‘누가 해야 하는가?’가 명확하지 않아 다들 어리둥절하게 될 겁니다.”

앞서 레이스템피스트가 침해했던 무브잇 제로데이 취약점의 경우, 아직도 그 피해 규모가 정확히 가늠되지 않을 정도이지만 이미 수십억 달러 수준을 넘어선 것으로 집계되고 있다. 이번 시스에이드 제로데이 취약점 사태가 어느 정도로까지 많은 피해를 입히게 될지 아직 아무도 알 수 없지만 사용자 편에서 빠르게 대처하지 않는다면 또 다시 수십억 달러의 피해 사건으로 발전할 가능성이 높다.

“시스에이드 취약점으로부터 발생할 수 있는 각종 피해의 규모는 익스플로잇이 얼마나 공격자들 사이에서 유행하는가, 그에 반해 사용자들이 패치를 얼마나 빠르게 적용하는가에 따라 달라집니다. 여기에 더해 공격자들이 가져가는 정보가 얼마나 민감한 것인가 역시 중요한 요소가 됩니다.” 보안 업체 온티뉴(Ontinue)의 부회장 크레이그 존스(Craig Jones)의 설명이다. “그렇기 때문에 패치만 빨리 해도 피해가 상당히 줄어듭니다.”

보안 업체 오냅시스(Onapsis)의 보안 연구 책임자 폴 로단스키(Paul Laudansky)는 “제로데이 공격은 앞으로도 계속 있을 것”이라며 “제로데이 공격에 대한 근본적 대처가 필요하다”고 말한다. “그 첫 단계는 네트워크 내 존재하는 디지털 자산에 어떤 것이 있는지 정확히 파악하는 것이고, 두 번째는 그러한 자산들의 상황을 정확히 모니터링 하는 것입니다. 제로데이 익스플로잇이 계속해서 대규모 성공을 거둔다는 건 우리가 우리의 자산에 대하여 잘 모르고 있고 잘 들여다보지도 않는다는 뜻입니다.”

3줄 요약
1. 무브잇 제로데이 통해 클롭 랜섬웨어로 공격했던 단체, 레이스템피스트.
2. 이번에는 시스에이드라는 관리 도구의 제로데이 취약점 공략.
3. 사용자 패치가 먼저냐, 공격자 익스플로잇이 먼저냐.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>