[CIOCISO매거진 김은경 기자] 2022년 한 해 동안 랜섬웨어 공격자들이 악용한 취약점들은 대부분 오래된 것들이며, 횡적 움직임을 가능하게 한 것으로 조사됐다. 또한 마이크로소프트, 오라클, VM웨어, F5, 소닉월 등의 제품에서 발견된 취약점들이 높은 인기를 누리고 있는 것으로 나타났다. 이 회사의 제품들을 사용하고 있다면 이번에 보안 업체 이반티(Ivanti)가 발표한 보고서를 바탕으로 취약점을 관리하는 것이 안전해 보인다.

구관이 명관이다
이반티는 다양한 곳으로부터 위협 첩보를 수집해 분석했고, 이를 통해 2022년 랜섬웨어 공격자들 사이에 나타났던 중요한 흐름을 파악할 수 있었다고 한다. “작년 한 해 랜섬웨어 운영자들은 총 344개의 취약점을 익스플로잇 했습니다. 이 344이라는 숫자에 중복된 것은 포함되지 않았습니다. 2021년에 같은 조사를 실시했을 때 56개가 나왔는데, 그에 비하면 꽤나 늘어난 것이죠. 그런데 344개 중 76%가 2019년 이전에 발견된 것들이었습니다. 심지어 2012년에 발견된 것도 있었습니다.”

이 2012년 취약점들은 총 세 개로 다음과 같다.
1) CVE-2012-1710 : 오라클 퓨전(Oracle Fusion)에서 발견된 원격 코드 실행 취약점
2) CVE-2012-1723 : 자바 런타임 환경(Java Runtime Environment)에서 발견된 원격 코드 실행 취약점.
3) CVE-2012-4681 : 자바 런타임 환경에서 발견된 원격 코드 실행 취약점

이반티의 수석 제품 책임자인 스리니바스 무카말라(Srinivas Mukkamala)는 “랜섬웨어 공격자들이 새로 나온 취약점을 가장 빨리 실험해 보는 부류인 것도 사실이지만, 한 편으로는 오래된 취약점에 대한 의존도도 높은 부류라는 사실이 드러났다”고 말한다. “즉, 피해자 기업들이 취약점을 패치하지 않고 오랜 시간 방치한다는 것도 적극 악용하는 것이라고 볼 수 있습니다.”

하지만 이런 패치 방치 사태가 반드시 보안에 대한 게으름이나 해이함으로 야기되는 것만은 아니다. “현대 IT 환경은 너무나 복잡합니다. 온갖 기술들이 수십 년 동안 얽혀 왔고, 그런 상태로 하드웨어와 소프트웨어들이 추가되고 또 추가됐습니다. 그렇기 때문에 뭔가를 새로 덧대는 게 그 자체로 시간도 많이 걸리고 위험 부담도 큽니다. 그래서 기업들은 위험을 평가하고, 그 결과를 바탕으로 패치의 우선순위를 정해 관리해야 합니다. 덮어놓고 하는 것도 위험하고, 아예 하지 않는 것도 위험합니다.”

가장 큰 위협
이번에 이반티가 꼽은 344개의 취약점 중에서도 우선순위가 존재한다. 57개가 특히 위험하기 때문에 빠른 패치가 권장된다고 하는데, 이 57개 취약점만 있어도 랜섬웨어 공격자들은 목적한 바를 다 이룰 수 있다고 한다. “최초 접근, 공격 지속성 확보, 권한 상승, 방어 장치 우회, 크리덴셜 확보, 디지털 자산 발견, 횡적 이동, 데이터 수집, 데이터 암호화까지 전부 다 실행할 수 있게 해 주는 취약점들입니다.” 위에서 언급된 2012년 취약점들 모두 이 57개 안에 포함되어 있다.

그 외에도 특히 위험한 57개 취약점에 포함되어 있으면서도 2019년 이전부터 존재해 왔던 취약점들이 22개 존재한다. 그 중 특히 유의해야 할 것으로 이반티는 다음 세 개를 꼽았다.
1) CVE-2017-18362 : 커넥트와이즈(ConnectWise)의 제품에서 발견됨
2) CVE-2017-6884 : 자이젤(Zyxel)의 제품에서 발견됨
3) CVE-2020-36195 : 큐냅(QNAP)의 제품에서 발견됨
“이 취약점들은 현재 스캐너들로 발견되지가 않습니다. 탐지가 어려워 없는 것처럼 생각할 수 있습니다.”

한편 사용자의 입력값을 제대로 확인하지 않는 취약점, 경로를 마음대로 지정할 수 있는 취약점, OS 명령 주입 취약점, 아웃 오브 바운드 라이트 취약점, SQL 주입 취약점 등이 위험한 취약점들 사이에서 흔히 나타나는 유형인 것으로 집계됐다.

여기 저기서 발견되는 취약점일수록 인기가 높다
여러 제품에서 발견되는 취약점들이 랜섬웨어 공격자들 사이에서 인기가 높다는 것이 이번 조사를 통해 발견됐다. “그런 취약점 중 대표적인 것이 CVE-2018-3639입니다. 일종의 부채널 공격 취약점으로 2018년에 인텔이 공개한 것이죠. 26개 회사에서 만든 345개 제품에서 공통적으로 발견됩니다. CVE-2021-4428도 있습니다. 그 유명한 로그4셸(Log4Shell) 취약점이죠. 21개 벤더사에서 출시한 176개 제품에서 발견되고 있습니다. 앞으로 더 나올 가능성도 크고요. 최소 6개 랜섬웨어 그룹들이 현재도 익스플로잇을 하고 있습니다.”

이런 종류의 취약점에는 두 가지가 더 있는 것으로 조사됐다.
1) CVE-2018-5391 : 리눅스 커널의 권한 상승 취약점
2) CVE-2020-1472 : 마이크로소프트 넷로그온(Netlogon)의 권한 상승 취약점.
이 두 가지 취약점을 익스플로잇 한 랜섬웨어 그룹은 바북(Babuk), 크립토믹스(CryptoMix), 콘티(Conti), 다크사이드(DarkSide), 류크(Ryuk) 등 최소 9개다.

CISA의 KEV 데이터베이스에는 없는 것들도 있어
344개 취약점들 중 CISA가 관리하는 KEV 목록에는 없는 것들이 131나 됐다. KEV는 ‘익스플로잇 되고 있는 알려진 취약점(Known Exploited Vulnerabilities)’의 준말로, 이미 공격자들이 활발히 익스플로잇 하고 있으므로 시급히 패치해야 할 취약점들을 나열하고 있다. CISA는 이 목록을 꾸준히 최신화 하고 있으며, 최신화가 이뤄질 때마다 경고를 발령해 기업과 기관들이 빠르게 대처할 수 있도록 하고 있다.

무카말라는 “랜섬웨어 공격자들이 익스플로잇 했던 취약점 131개가 KEV 목록에 빠져 있다는 건 꽤나 큰 문제”라고 말한다. “실제로 많은 기업들이 이 KEV를 가지고 취약점 패치 전략을 구상하거든요. 이번 조사를 통해 KEV 하나만으로 전략을 구상하기는 어렵다는 사실이 드러났다고 봅니다. 그렇다고 KEV의 신뢰도가 떨어진다는 건 아닙니다. 원래 사용자들이 한 가지 첩보만 가지고 보안 전략을 짠다는 게 위험한 일이라는 겁니다.”

또한 344개 취약점 중 57개가 CVSS 기준으로 저위험군과 중위험군에 속하게 된 것 역시 눈여겨 봐야 할 부분이라고 이반티는 짚었다. “CVSS 기준으로 점수가 높은 취약점들부터 패치하려는 경향도 기업들 사이에서 잘 나타나죠. 하지만 공격자들은 초고위험도 취약점만 익스플로잇 하지 않습니다. 중위험군과 저위험군조차 소홀히 여기지 않는 패치 전략이 필요한 이유입니다.”