재미있는 보안 이야기

긴급 대응이 필요한 정부 IT 시스템 내 발견된 치명적 취약점과 그 해결책


정부 기관에서 사용하는 IT 시스템에 심각한 취약점이 발견되었을 때, 누가 이를 주도하여 대응해야 할까요?
정부 기관은 제공된 사양에 따라 벤더가 납품한 IT 시스템을 사용하고 있습니다. 시스템에서 취약점이 발견되면 주로 벤더가 대응을 주도합니다.


📌벤더에만 맡겨도 될까?

비교적 위험하지 않은 취약점의 경우, 시스템의 정기 업데이트와 함께 대응하면 될 것입니다. 

그러나 그렇지 않은 경우, 누가 신속한 조치를 지시해야 할까요
미국의 경우, 사이버 보안을 담당하는 정부 기관이 주도합니다.

사이버보안 및 인프라 보안국(CISA) 2024년 1월 19일에 긴급 지시를 발표하고, 연방 민간 행정 기관에 리모트 액세스 VPN 'Ivanti Connect Secure'와 네트워크 액세스 제어 제품 'Ivanti Policy Secure'와 관련된 취약점에 대응하도록 명령했습니다.

2023년 12월 이후, 국가 수준의 공격자로 의심되는 사람들이 이 두 취약점(CVE-2023-46805와 CVE-2024-21887) 연계하여 다양한 민간 기업 및 정부 기관의 2100개 이상의 시스템을 정찰하고 있습니다. 이 공격이 성공하면 인증을 거치지 않고 임의의 명령을 실행할 수 있으며, 공격자는 지속적으로 시스템에 접근할 수 있게 됩니다. 데이터 유출, 인증 정보 도난, 기타 악의적인 활동이 발견되었습니다.

CISA의 에릭 골드스타인(사이버 보안 담당 이그제큐티브 어시스턴트 디렉터)에 따르면, 이 활동의 일환으로 연방 정부 기관이 타깃이 되었지만, 아직 구체적인 침해는 확인되지 않았다고 합니다. 


📌 대응책은 있는가?

미국 정부는 이번 공격이 중화인민공화국에 의한 과거 위협 활동과 유사하다고 지적했습니다. 그러나 공식적으로 외국 정부의 소행으로 결론지어지지는 않았습니다. 약 15개의 연방 정부 기관이 영향을 받은 Ivanti의 제품을 사용하고 있으며, 시스템을 보호하기 위해 즉각적인 조치를 취할 것을 요구받았습니다.
골드스타인에 따르면, 당국은 이러한 제품을 사용함으로써 심각한 위험이 있을 것으로 예상하지 않지만, 리스크가 전혀 없는 것은 아니라고 인정했습니다.

미국 정부는 이전에도 PulseSecure(현재 Ivanti의 'Pulse Secure') 제품을 대상으로 한 악의적 활동을 위해 표적 공격자가 사용했을 때 유사한 지시를 내렸고, 공격 후 일부 제품의 사용을 중단했습니다. 연방 정부 기관은 2024년 1월 22일 23시 59분까지 Ivanti에서 제공하는 회피용 XML 파일을 다운로드하고, 제품이 침해되었는지 여부를 판단하기 위해 설계된 회사의 'External Integrity Checker Tool'을 실행해야 했습니다.

침해가 발견된 경우, 해당 제품을 소속 기관의 네트워크에서 분리하고 즉시 CISA에 보고해야 합니다.
Ivanti는 Mandiant와 협력하여 취약점 대응 작업을 진행 중입니다. 2024년 1월 22일 주에 초기 패치가 제공될 예정이었으나, 실제로는 1월 31일 이후로 미뤄졌습니다.

Ivanti는 이번 긴급 지시를 지지하며, "고객의 환경을 적절하게 보호하기 위한 CISA의 발표를 지원한다"고 밝혔습니다.
"Ivanti의 대변인은 "사건이 발생한 경우, 우리는 가능한 한 빨리 고객에게 정보를 전달할 수 있도록 노력하고 있으며, 투명성을 확보하기 위해 전 세계의 CERT(Computer Emergency Response Team)와 협력하고 있다"라고 말했습니다. 




📌 국내 또한 사이버 공격 증가

이번 한국인터넷진흥원의 정부 보고서를 위장한 ‘해킹메일’ 공격 등과 관련한 상세 분석 보고서 발표는 MS 워드 활용해 기술지원이 종료된 인터넷 익스플로러 취약점을 이해하고 사용하는 모든 소프트웨어에 대한 최신화가 필요하다는 내용을 담고 있습니다.

최근 다양한 사회적 이벤트와 사고 등 이슈에 대한 국민적 관심을 악용해 악성코드가 심어진 MS워드(.docx) 파일을 해킹 메일을 통해 유포하기도 했으며 특히 실제 정부 부처 홈페이지에 게시된 제목을 모방하기도 했습니다.
이에 KISA는 해킹메일 분석을 통해 해커 공격이 인터넷 익스플로러(IE)의 취약점을 악용해 총 3단계에 걸쳐 수행됐다고 공개했습니다.

세부내용을 보면 ▲악성 문서(MS워드) 파일 열람 시 사용자PC는 공격자 서버로 접속되어 악성 서식 파일(RTF) 다운로드 ▲악성 RTF 파일에 삽입된 인터넷주소(URL)를 통해 공격자 서버에서 악성 HTML 파일 추가 다운로드 ▲MS워드에서 HTML 파일을 처리하기 위해 인터넷 익스플로러(IE)의 스크립트 엔진(JScript9)을 사용하는데 해당 엔진의 취약점으로 인해 악성코드 실행 등 입니다.

특히 해커는 MS워드 등 다른 기존 프로그램에서 HTML 파일을 실행할 경우 활용되는 IE 스크립트 엔진(JScript9)의 취약점을 악용해 공격했는데요.
이후 MS는 해당 취약점을 확인해 지난 2022년 11월에 보안 패치를 발표했지만 MS Office 등 일부 소프트웨어에서 HTML 파일을 실행할 때 여전히 IE HTML 해석 기능을 사용하는 경우가 있어 언제든 비슷한 형식의 취약점을 악용해 공격이 발생할 수 있는 것으로 알려져 있습니다.

이에 따른 대응방법으로 KISA는 “구 버전의 소프트웨어와 연계돼 사용할 경우 공격 대상이 될 수 있으므로 사용자가 사용하는 모든 소프트웨어에 대해 업데이트를 상시 수행해 최신 버전으로 유지하는 것이 중요하다”고 설명했습니다. 그러면서 “지속적으로 취약점 분석을 강화하여 침해사고에 악용될 수 있는 고위험 취약점을 발굴하고 피해 예방을 위한 사전 조치를 강화하겠다”고 강조했습니다.

정부 보고서를 위장한 MS워드 제로데이 취약점 상세 분석 보고서와 관련해 KISA 최광희 사이버침해대응본부장은 “국가적 재난 상황에서도 사이버 공격은 끊임없이 발생하고 있으며 해커는 이슈를 악용하여 공격하기 때문에 사이버 위협 대응에 긴장의 끈을 놓쳐서는 안된다”며 “KISA는 앞으로도 지속적인 사이버 위협 모니터링을 통해 사이버 공격의 선제적 대응에 힘쓰겠다”고 말했습니다.






마크애니는 기업, 기관의 기밀문서와 데이터를 보호하기 위해 촘촘한 엔드포인트 문서 보안 솔루션을 보유하고 있습니다. 랜섬웨어 공격으로 문서와 데이터가 유출돼도 인가된 직원이 아니면 함부로 파일을 열어볼 수 없고 사내·외, 원격 환경 지원이 가능해 언제 어디서나 기업 네트워크를 강력하게 보호하죠. 이미 공공, 금융, 제조, 유통 등 국내 600여 곳이 마크애니  솔루션과 함께하고 있답니다.



⭐기업 데이터를 안전하게 보호하기 위한 솔루션이 필요하시다면 마크애니와 함께 해보세요!








*참고자료
「Why do cybercriminals target "mortgage companies"?」, Cybersecurity Dive, 24-02-13  

뉴스프리존 | 인터넷진흥원 "SW 최신 버전 업데이트, 정부 보고서 위장 ‘해킹메일’ 공격 막자” https://www.newsfreezone.co.kr/news/articleView.html?idxno=500462



마크애니 박춘식 고문는 10년 넘도록 매주 '보안 이야기'를 연재하고 있는 보안 전문가이다. Tokyo Institute of Technology 에서 박사 학위를 취득하고, 국가 보안 기술연구소 소장을 거쳐, 서울여자대학교 교수를 역임하였다. 현재는 아주대학교 사이버보안학과 교수로 재직중이다





Social Media Links

솔루션 소개

둘러보기

마크애니

고객지원


(주)마크애니  서울시 중구 퇴계로 286 쌍림빌딩 13층  

(+82) 02-2262-5222ㅣ contact@markany.com  

업자 등록번호 : 101-81-47345

Copyright © 2023. MarkAny. All Rights Reserved.

솔루션 소개

둘러보기

고객지원

Social Media Links

(주)마크애니 ㅣ 서울시 중구 퇴계로 286 쌍림빌딩 13층 ㅣ
(+82) 02-2262-5222 ㅣ contact@markany.com ㅣ
사업자 등록번호 : 101-81-47345

Copyright © 2023. MarkAny. All Rights Reserved.