포그(Fog)와 아키라(Akira) 랜섬웨어 조직이 최근 소닉월(SonicWall) VPN 취약점을 악용해 전 세계 기업 네트워크를 공격하고 있다. 보안 연구소인 아크틱 울프(Arctic Wolf)와 소포스(Sophos)에 따르면, 이들 조직은 소닉월 SSL VPN의 취약점(CVE-2024-40766)을 이용해 비인가 원격 접속을 감행하고 있다. 소닉월은 지난 2024년 8월 해당 취약점에 대한 패치를 발표했지만, 이를 즉시 적용하지 않은 기업을 대상으로 한 공격이 빠르게 확산되고 있다.
포그와 아키라의 소닉월 VPN 악용 방식
아크틱 울프의 보고서에 따르면, 포그와 아키라 랜섬웨어 조직은 최소 30건의 침입 공격을 실행했으며, 이 모든 사례에서 소닉월 VPN 계정을 통해 초기 접속이 이루어졌다. 그중 75%는 아키라에 의해 발생했으며, 나머지는 포그가 담당했다. 두 조직이 동일한 인프라를 공유하는 점에서 비공식적인 협력이 이루어지고 있음을 시사하고 있다. 피해를 입은 네트워크들은 대부분 구형 소닉OS(SonicOS) 버전을 사용하며 다중 인증(MFA)을 적용하지 않았고, 기본 포트 4433에서 VPN 서비스를 실행하는 경우가 많았다.
전문가들은 침입 후 데이터 암호화까지의 시간이 매우 짧다는 점을 우려하고 있다. 아크틱 울프는 대부분의 경우 해커가 네트워크에 접속한 지 10시간 이내에 암호화 작업을 시작했으며, 일부는 2시간 이내에 실행했다고 밝혔다. 공격자들은 VPN이나 VPS를 사용해 IP 주소를 위장하여 추적을 회피하고 있으며, 거의 흔적을 남기지 않고 공격을 감행하고 있다.
로그를 분석한 결과, 공격자들은 매우 체계적으로 접근하고 있음을 알 수 있다. 소닉월 VPN을 통해 초기 접속에 성공한 후, 해커들은 방화벽 로그에 기록된 WAN 존 원격 사용자 로그인 허용(메시지 이벤트 ID 238)이나 SSL VPN 존 원격 사용자 로그인 허용(이벤트 ID 1080)을 이용했다. 이후 SSL VPN INFO 로그 메시지(이벤트 ID 1079)를 통해 로그인과 IP 할당이 완료된 사실을 알 수 있다.
네트워크에 접속한 후 랜섬웨어 조직은 가상머신과 백업 파일을 주 대상으로 하여 민감한 데이터를 빠르게 암호화했다. 보고서에 따르면, 주로 최근 6개월 이내에 생성된 파일이나 민감도가 높은 경우 최대 30개월 이내의 파일을 목표로 삼았다. 상대적으로 오래된 데이터는 제외한 채 피해가 큰 자산을 집중적으로 겨냥하는 전략을 구사했다.
포그 랜섬웨어는 2024년 5월에 등장한 비교적 신생 조직으로, 주로 VPN 자격 증명을 이용해 기업 네트워크에 침투하고 있다. 민첩한 공격과 빠른 적응력이 특징으로, 기존의 아키라와 유사한 공격 인프라를 사용하고 있다. 반면 아키라는 오랜 경력을 가진 랜섬웨어 조직으로, 주요 네트워크를 대상으로 한 공격에서 꾸준히 활동해왔다. 최근에는 토르(Tor) 기반의 유출 사이트 접근에 문제가 있었으나 현재는 점차 복구되고 있다.
보안 전문가들은 소닉월과 같은 VPN 소프트웨어의 최신 패치를 유지하는 것이 가장 시급한 방어 수단이라고 강조하고 있다. CVE-2024-40766과 같은 알려진 취약점에 대한 패치를 즉시 설치하는 것이 비인가 접근을 방지하는 데 중요하다. 또한, 다중 인증(MFA)을 도입하면 계정 탈취 위험을 상당히 줄일 수 있다. 기본 포트 구성을 피하고, 기본 포트를 변경하는 것도 네트워크 보안을 강화하는 데 도움이 된다.
잠재적인 침입으로 인한 피해를 줄이기 위해 전문가들은 네트워크 분할, 오프라인 백업 유지, 비정상적인 로그인 패턴 감지를 위한 빠른 대응 프로토콜 도입을 권장하고 있다. 실시간 방화벽 로깅과 이상 탐지 기능을 포함한 고도화된 모니터링은 필수적이다. 보안 전문가들은 행동 분석을 통해 비인가 접근을 신속히 식별함으로써 랜섬웨어 공격자가 공격을 실행할 시간을 줄일 수 있다고 말한다.
전문가들은, 랜섬웨어 공격이 진화하는 가운데, 꾸준한 패치 관리와 네트워크 분할, 인증 프로토콜은 포그와 아키라 같은 랜섬웨어 조직을 저지하는 중요한 방어책이 될 것이라고 강조한다.
◆2024 인공지능 보안 컨퍼런스 AIS 2024 개최(보안교육 7시간 이수)◆
-인공지능 기반 보안기술과 보안위협 대응 정보 공유-
-공공, 금융, 기업 정보보호 담당자 700여명 참석예정-
-일 시: 2024년 11월 5일(화) 09:00~17:00
-장 소: 더케이호텔서울 2층 가야금홀
-주 최: 데일리시큐
-참석대상: 정부, 공공, 금융, 기업 정보보호 담당자만 참석 가능(보안과 관련없는 자는 참석 불가)
-참가기업 모집: 국내외 인공지능, 보안자동화 기반 보안전문기업
-참가문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
-참석자 사전등록: 클릭
(사전등록 필수, IT보안 관계자만 참석가능)
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★