2021-03-05 22:50 (금)
[솔라윈즈 SUNBURST 보안위협 총정리] “한국 병원·대학·기관 등에서도 공격 스캔 발견”
상태바
[솔라윈즈 SUNBURST 보안위협 총정리] “한국 병원·대학·기관 등에서도 공격 스캔 발견”
  • 길민권 기자
  • 승인 2021.01.25 02:03
이 기사를 공유합니다

엑사비스, 솔라윈즈 SUNBURST 보안 위협 시간상 보안사각 정밀 분석
의료기관, 대학, 연구기관 대상 SUNBURST 제로데이 스캔 발견돼...주의
국내 조사 확대되면 더 많은 SUNBURST 피해 조직 드러날 것
SolarWinds의 SUNBURST 보안침투 도표. (자료=엑사비스)
SolarWinds의 SUNBURST 보안침투 도표. (자료=엑사비스)

지난해 말부터 전세계적인 보안 이슈가 되고 있는 솔라윈즈 SUNBURST 보안 침투사고 여파가 한국 기업과 기관들까지 위협하고 있다.

‘Dark Halo’라는 사이버공격 그룹이 2020년 IT 소프트웨어 제작 기업 솔라윈즈(SolarWinds)를 공격해 Orion 플랫폼의 업데이트 내부에 SUNBURST 악성코드를 삽입했다.

이후 전 세계 기업 및 정부 기관, 보안기업 등의 내부 네트워크에 침투사고가 이어지고 있다. 솔라윈즈 30만 고객중 1만8천개 고객사가 피해를 입고 있다. 국내 기업과 기관들도 공격 스캔을 받은 상태라 면밀한 조사가 불가피하다.


◈ 솔라윈즈 SUNBURST 보안 위협…한국에서도 스캔 발견돼

보안기업 엑사비스(대표 이시영)는 최근 솔라윈즈의 선버스트(SUNBURST) 국내 공격 시도를 상세 분석했다. 그 결과 한국도 선버스트로부터 자유롭지 않은 것으로 조사됐다.

엑사비스는 네트워크 보안 블랙박스로 알려진 ‘넷아르고스(NetArgos)’를 활용해 지난해 12월 중순 파이어아이에 의해 SUNBURST 사고가 알려진 이후 여러 기관과 기업들의 요청으로 이번 공격 사례에 대해 집중 분석했다.

엑사비스 관계자는 “넷아르고스로 분석한 결과, 국내 대형 대학병원 2 곳과 공공기관, 국립대학 등을 대상으로 SUNBURST 관련 악성 코드를 찾는 제로데이 스캔 공격이 발견됐다”고 밝혔다.

이어 “넷아르고스 솔루션의 설치 기관이 한정적이어서 많은 조직을 대상으로 검사를 하진 못했지만 검사한 모두에서 동일한 아일랜드 IP로부터 변종 SUNBURST 악성 코드를 탐지할 수 있는 탐지규칙이 배포되어 적용되기 하루 전에(2020년 12월 21일) 무작위 스캔 공격이 제로데이 공격으로 검출되었다. 즉 지난해 12월 21일에 국내 많은 사이트들로도 SUNBURST 변종을 탐색하는 공격이 있었을 것”이라고 설명했다.

심각한 문제는, 넷아르고스에서 탐지한 제로데이 스캔 공격이 탐지 규칙 배포 하루 전에 발생했다는 점이다. 즉 기존 보안 장비에서는 스캐닝 공격에 대한 경보가 발생되지도 않았고, 이에 따라 제로데이 스캐닝 공격에 대해 한국 기관/기업들이 무방비로 노출됐을 우려가 크다는 것이다.

한국도 2020년부터 SolarWinds사의 Orion 플랫폼을 사용하기 시작했다. 따라서 한국도 이번 공급망 공격 위협에 높은 경각심을 갖고 대비해야 할 상황이다.


◈ 솔라윈즈 SUNBURST 보안침투 타임라인

엑사비스는 이번 솔라윈즈 공급망 공격을 타임라인별로 다음과 같이 분석하고 있다.

1. ‘Dark Halo’로 알려진 해커그룹이 솔라윈즈 오리온 플랫폼 업데이트 파일에 백도어인 SUNBURST를 삽입하고 전세계 공급망을 통한 SUNBURST의 제로데이 침투가 시작. (2020년 3월)

2. 해커그룹은 SUNBURST를 통해 호스트 정보를 수집하고 분석한 후 공격 목표를 선정한다. 선정된 목표에 대한 추가 멀웨어를 침투시켜 정찰과 정보유출(미 연방 조직, 파이어아이, 마이크로소프트, 시스코 등)을 시도. (2020년 중반)

3. SUNBURST가 세계 각국 기관을 대상으로 해킹을 통한 정보 유출을 성공했다고 파이어아이가 공개. (2020년 12월 13일)

4. 엘라스틱 시큐리티에서 SUNBURST 관련 탐지룰을 깃허브에 신규 등록하고 프루프포인트도 이를 기반으로 Suricata/Snort를 위한 SUNBURST 탐지 룰을 배포. (2020년 12월 14일)

5. 파이어아이와 마이크로소프트가 SUNBURST 의 킬스위치(Killswitch) 를 배포. (2020년 12월 16일)

6. Dark Halo가 아닌 다른 해커 그룹에 의한 SUNBURST 백도어가 설치된 호스트를 찾는 스캐닝 공격이 활발하게 이루어 지고 있음. (2020년 12월 21일부터 현재까지 지속)

엑사비스 측은 “SUNBURST가 포함된 업데이트 파일의 다운로드 로그는 1만8천여 건에 달한다. 그럼에도 불구하고 SUNBURST를 통한 추가 멀웨어 침투 및 침해 여부는 판단이 불가능하고 아직도 SUNBURST는 진행 중”이라고 말한다.


◈ 한국 기관/기업들, 솔라윈즈 SUNBURST 보안사각지대 분석 필요

특히 한국도 2020년부터 솔라윈즈를 사용하고 있기 때문에 2020년 3월 이후부터 12월 13일까지 시간상의 보안사각지대가 발생하고 있다.

이런 문제 때문에, 엑사비스는 우리의 당면 문제에 대해 △우리 조직은 SUNBURST의 침투를 당했는지, △SUNBURST 행위로 인해 침투 목표로 선정되었는지 △침투 목표였다면, 언제 어디로 어떤 정보유출이 발생했는지 △침해 범위는 어디까지 인지 △과연 지금도 SUNBURST로 인한 침해가 지속되고 있는지 파악할 수 있어야 한다고 강조한다.


◈엑사비스, 국내 ’시간상의 보안사각지대’ 검사 결과

엑사비스는 지난 2020년 12월 21일 분석을 통해, 솔라윈즈 SUNBURST 공격자로 확인된 IP(아일랜드)를 발견했다. 동일한 날짜와 시간에 국내 대형 대학병원, 모 국립대학, 공공기관 연구소 등에서 제로데이 취약점 스캔이 있었다는 것을 알 수 있다.

물론 검사를 하지 않은 국내 많은 기업과 기관을 조사한다면 더욱 많은 위협들이 확인될 것으로 보인다.

엑사비스 측은 “해당 공격은 규칙성이 있는 IP 분포를 보이지 않고, 추후 공격자로부터 트래픽이 발견되지 않았으며, 시간이 연속성을 보이는 것으로 미루어 단순히 취약점 존재 유무를 확인해 공격 대상을 탐색하기 위해 IP 대역을 스캔한 결과로 추정된다”고 밝혔다.

SUNBURST 백도어는 SolarWinds 플랫폼이 아닌 환경에서는 동작하지 않기 때문에, 백도어 또한 존재하지 않으며 위협이 발생하지 않다. 업데이트 소급검사 리포트 검출 내역을 확인한 결과 해당 스캔 공격 과정에서 공격자가 악용할 수 있는 시스템은 발견되지 않았다는 것을 확인할 수 있었다고 덧붙였다.


◈필요한 보안 조치

엑사비스에서 권고하는 솔라윈즈 SUNBURST 보안 조치는 다음과 같다.

공격자 IP(34.243.XX.XX)를 IP 평판 조회 사이트 등을 통해 확인한 결과, 스캔 과정을 지속적으로 수행하고 있는 것으로 확인됐다.

공격자 스캔 트래픽이 세계 각지에서 동일한 내용으로 보고되고 있는 것을 확인한 것이다. 이는 해당 IP가 악의적인 목적을 가지고 지속적으로 전세계의 웹서버로 스캔 동작을 수행하고 있는 것이라고 할 수 있다. 방화벽을 통해 공격 관련 IP 차단이 이루어져야 한다.

또, 미 CISA로부터 솔라윈즈 플랫폼에 대한 긴급 보안 주의(클릭) 발표 내용에 따라, 네트워크 내 솔라윈즈 플랫폼을 활용하고 있다면 사용하는 버전에 따라 아래 표를 참조해 조치할 것을 권고하고 있다.

(자료=엑사비스)
(자료=엑사비스)

◈ 추가적인 정보들

◇오리온 플랫폼

오리온 플랫폼(Orion Platform)은 솔라윈즈사가 제공하는 여러 IT 장비들을 통합해 한 곳에서 모니터링하고, 분석하며 관리할 수 있는 도구다. 한국을 포함한 전세계 기업 및 정부기관에서 네트워크 모니터링 툴로 사용하고 있다.

솔라윈즈 오리온 플랫폼
솔라윈즈 오리온 플랫폼

◇SUPERNOVA

솔라윈즈 Orion Platform을 목표로 동작하는 악성코드다. 비인가 접속을 할 수 있도록 하는 백도어의 기능을 한다. SUPERNOVA 악성코드는 백도어로 활용될 악성 dll “app_web_logoimagehandler.ashx.b6031896.dll” 파일을 시스템 내부의 임의 경로에 삽입하고, Orion Update Platform의 코드를 조작해 악성코드를 추후 배포 받을 수 있도록 하는 기능을 가지고 있다. 해당 문제는 최신 버전의 Orion Platform에서 버그가 수정되었다.

◇Solorigate(= SUNBURST)

솔라윈즈 플랫폼에서 알려진 취약점을 악용해 2020년 12월 중순경 세계 각국의 정부기관 및 기업들의 정보가 대량으로 유출되었다. 이 취약점과 정보 유출에 사용된 악성코드가 ‘Solorigate’, 다른 이름으로는 ‘SUNBURST’라고 명명되었다. (Solorigate = SUNBURST라고 명명되기 전 SolarWinds Orion을 대상으로 한 악성코드 캠페인에 붙여진 이름)

2020년 12월 중순 실제 정보 유출이 확인되기 이전 2020년 3월경부터 공격자들은 해당 취약점을 이용해 불특정 다수의 서버에 접근했고, 이후 공격 대상을 선별해 추가적인 정보 유출 공격을 실시해 오고 있다.

기본적으로 정보 유출 시도 발생 시 보안 시스템이 이를 감지하고 차단한다. 하지만 SUNBURST 공격은 정상 업데이트 파일을 감염시켜 마치 정상인 것처럼 유포되었기에 보안 시스템에 탐지되지 않았고, 9개월 후인 12월에 이르러서야 정보 유출 공격 사실이 확인되어 현재까지도 지속적으로 과거 공격의 흔적들이 발견되고 있다.

한국에서도 솔라윈즈 Orion Platform을 사용하고 있는 만큼 기업과 기관들의 면밀한 조사와 대응이 시급한 실정이다.

★정보보안 대표 미디어 데일리시큐!★