2021.04.22

FBI, 해킹당한 익스체인지 서버에서 백도어 웹 셸 정리…이례적 능동적 방어 조치

Lucian Constantin | CSO
FBI는 올해 초 제로데이(Zero-day) 취약점을 통해 해킹 당한 수백 대의 민간 마이크로소프트 익스체인지(Microsoft Exchange) 서버에서 백도어 프로그램을 제거할 수 있는 법원 명령을 확보했다. 
 
ⓒ Getty Images Bank

이는 FBI가 전통적인 조사 역할을 벗어나 사이버 위협 대응에 있어서 좀 더 능동적인 접근방식을 취할 준비가 되었음을 보여주지만 이런 조치의 한계가 어디까지인지에 대한 궁금증을 자아내고 있다.


FBI가 익스체인지 서버를 정리에 나선 이유는

최근 미 법무부는 텍사스 주법원이 FBI가 민간 기업이 소유한 수백 대의 온프레미스 마이크로소프트 익스체인지 서버에서 웹 셸(web shells)을 복사하고 삭제할 수 있는 조사 및 압수 영장을 발부했다고 발표했다. 웹 셸은 해커가 해킹된 웹 서버에 설치하여 웹 기반 인터페이스를 통해 백도어 접근과 서버에서의 원격 명령 실행 능력을 제공하는 프로그램이다.

해당 영장의 대상은 중국 정부와 관련성이 있을 것으로 보이는 하프니움(Hafnium)이라는 사이버 첩보 그룹이 설치한 웹 셸이다. 3월 초, 마이크로소프트는 하프니움이 이전에 패치되지 않은 마이크로소프트 익스체인지의 취약점을 악용해 서버를 해킹했다고 보고했다. 

이와 동시에 마이크로소프트는 이런 취약점에 대한 패치뿐만 아니라 해킹의 조짐과 기타 탐지 도구를 함께 공개했지만 그 이후에도 다른 공격자 그룹이 해당 취약점을 악용했다.

4월 13일자 영장 청구에서 FBI는 마이크로소프트, CISA, FBI의 대중 인식 캠페인에도 불구하고 여전히 많은 서버가 하프니움이 배포한 웹 셸에 감염되어 있다고 주장했다. 공개된 영장에서 정확한 숫자는 삭제되었지만 미국 법무부는 언론보도에서 ‘수백 대’라고 밝혔다.


이번 영장으로 FBI가 할 수 있는 일

FBI는 본래 공격자가 설정한 비밀번호를 통해 악성 웹 셸에 접근한 후 서버에 배포된 .aspx 스크립트인 웹 셸을 삭제하기 위해 법원에 명령을 요청했으며, 법원은 이를 승인했다. FBI는 또한 이를 증거로 남기기 위해 먼저 웹 셸을 복사할 수 있다.

영장에서는 ‘유형의 자산을 압수’하거나 영장에 고유 파일 경로로 표시된 웹 셸 자체 외에 서버의 콘텐츠를 복사 또는 변경할 수 없다고 밝히고 있다. 즉, FBI는 미래의 악용을 방지하기 위해 취약점을 패치하거나 해커가 이미 배포했을 수 있는 추가적인 악성코드나 공격 도구를 제거할 권한은 부여받지 못했다.

FBI는 영장 청구 시 FRCP(Federal Rule of Criminal Procedure)에 따라 수사관이 스토리지에 대한 원격 접근 처리 및 전자적으로 저장된 정보의 압수 시 ‘자산의 수색을 받는 사람에게 영장 사본과 수령증을 제공하기 위해 합리적인 노력’을 기울여야 한다고 밝혔다. 

하지만 이런 고지는 그 사람에게 도달할 가능성이 ‘합리적으로 계산된’ 전자적 수단 등을 통해 달성할 수 있다. 이 요건을 충족하기 위해 FBI는 공식 이메일 계정으로부터 감염된 서버의 도메인명과 관련된 이메일 주소로 영장의 사본을 포함해 이메일 메시지를 전송했다. 도메인이 관련된 이메일 주소를 숨기는 프라이버시 서비스를 이용하는 경우, FBI는 도메인 등록소나 ISP에 문의해 고객에게 고지하도록 요청했다.


FBI의 영장 접근방식, 처음이 아니다 

FBI 또는 다른 국가의 사법 당국이 감염된 컴퓨터에서 구동하는 악성코드를 제거하는 행위는 이번이 처음이 아니다. 2011년, FBI는 코어플러드(Coreflood) 봇넷이 사용한 C&C 서버와 도메인명을 압수해 일시적으로 악성코드가 컴퓨터에서 구동하지 않도록 하는, 임시 금지 명령을 받은 적이 있다. 이 명령으로 악성코드가 비활성화되긴 했지만, 감염된 시스템에서 완전히 제거하지는 않았다.

2019년, 안티바이러스 제공업체 어베스트(Avast)와 협력하는 FNG(French National Gendarmerie)는 암호화폐 채굴 악성코드를 배치하는 리타둡(Retadup) 웜이 사용한 C&C 서버를 비활성화하고 이를 ‘감염 제거 서버’로 대체했다. 감염 제거 서버는 감염된 시스템의 요청에 악성코드가 스스로 파괴하도록 하는 응답한다. 

이런 과거 작전의 결과는 현재 FBI의 조치 결과와 유사하다. 악성코드가 원격으로 비활성화되거나 감염된 컴퓨터 시스템에서 제거됐다. 

하지만 기술적 관점에서 이 접근방식은 달랐다. 악성코드 프로그램이 서버에 접근해 해당 명령을 실행하도록 프로그래밍 되어 있음을 알면서 압수된 서버에 특정 명령을 배치하는 것은 다소 소극적인 접근방식이다. 

이 경우 웹 셸은 주기적으로 명령을 쿼리 처리하지 않았기 때문에 FBI는 공격자가 남겨둔 백도어를 통해 수백 개의 해킹된 시스템에 개별적으로 연결해 명령을 내려야 했다. 이것이 좀 더 능동적인 접근방식이다. 또한 그들은 악성 프로그램의 사본을 만들었다.

사이버보안 및 프라이버시 솔루션 제공업체 블랙클록(BlackCloak) CEO 크리스 피어슨은 “흥미로운 변화라고 생각한다. 그런 미묘한 차이 때문에 이례적이라 할 수 있다. 기술적으로 회사가 소유하고 있는 증거인 웹 셸을 기업이 모르게 복사하고 제거하지 않는 것이 전례없는 방식이라 할 수 있다”라고 밝혔다.

미 국토안보부(Department of Homeland Security Privacy)와 사이버보안위원회(Cybersecurity Committees)에서 특수 정무직을 역임한 피어슨은 FBI의 이번 조치를 ‘능동적인 방어(active defense)’라고 설명했다. 

피어슨은 전통적인 방어가 피해자에게 서버가 감염됐음을 알리고 패치하도록 지시하며 안내 및 교정 도구를 제공하는 것이지만 능동적인 방어는 '당신이 충분히 준비가 되어 있지 않다는 것을 알고 있고, 이는 중요 인프라 측면에서 존재의 위협이기 때문에 우리도 최소한의 노력을 기울일 것이다'라는 것.

과거 C&C 서버를 압수하고 봇넷 트래픽을 없앴던 것에서 한 걸음 더 나아갔으며, 투명성, 능동적인 사이버 방어, 프라이버시 등 다양한 측면에서 흥미롭다고 피어슨이 말했다. 피어슨은 “FBI가 미국 방어에 있어서 더 능동적인 역할을 수행하기로 결정한 것은 전례 없는 사실"이라고 밝혔다. 


FBI의 능동적인 방어에 대해 기업이 우려해야 할 사항 

FBI와 미국 법무부는 투명하면서 신중하게 조치의 범위를 제한하기 위해 노력한 것 같다. 영장 청구에서도 제거 명령을 FBI 서버에서 테스트했으며 기술적 코드 평가 중 외부 전문가와 상의해 해킹된 시스템이나 그 위에서 구동하는 마이크로소프트 익스체인지 소프트웨어가 불리한 영향을 받지 않도록 했다고 언급했다.

그렇다고 해서 이런 조치 중 모든 위험을 고려해 없앴다는 의미는 아니다. 예를 들어, 정상적인 서버 기능의 중단이 발생하지 않더라도 악성코드 파일 제거는 영향을 받은 조직이 실시할 수도 있는 현재 또는 미래의 포렌식에 잠재적으로 개입할 수 있다. 백도어를 통해 공격자가 취한 추가적인 행동의 증거가 실수로 삭제될 수도 있다.

피어슨은 “이 부분에 기업이 주의해야 하며 투명성이 요구된다. 많은 것이 다를 수 있으며 잘못될 수 있다. 서버 가운데 하나가 보안 제공업체가 운영하는 비밀 허니팟이어서 악성코드 조사가 불가능해질 수 있다”라고 말했다.

피어슨은 미 연방기관이 의도하지 않은 결과를 고려하고 이에 대해 투명하며 개방적이어야 한다고 주장했다. “무엇이 과도하고, 무엇이 올바르며, 인터넷과 생태계의 안전 측면에서 우리가 연방기관이나 연방파트너에게 원하는 역할은 무엇일까? 이런 문제에 관해 더 많은 논의가 필요하다.”

4월 19일 업데이트된 내용은 바이든 미 행정부는 솔라윈즈(SolarWinds) 및 마이크로소프트 익스체인지 공격에 대응하기 위해 구성된 2개의 UCG(Unified Coordination Group)에게 일임한다고 발표했다. 

이 그룹의 활동은 민간 부문과의 파트너십 및 FBI, DOJ, CISA, NSA의 법적 강권을 이용해 사건 조사 및 정리 노력에 박차를 가했다. 여기에는 원클릭 패치 도구 공개, 자동화된 취약한 서버 추적, 집중적인 피해자 참여, 악의적인 기법에 대한 조언, FBI의 웹 셸 제거 등이 포함된다.

사이버 및 신기술 국가안보보좌관보 앤 뉴버거는 "이 사건에 대한 추가적인 대응은 표준 사건 관리 절차에 따르겠지만 이 UCG를 통해 배운 교훈은 다른 중대한 사이버 공격에 대한 미래의 '통합된 미국 정부 전체의 대응'을 위한 정보가 될 것"이라고 밝혔다. editor@itworld.co.kr 


2021.04.22

FBI, 해킹당한 익스체인지 서버에서 백도어 웹 셸 정리…이례적 능동적 방어 조치

Lucian Constantin | CSO
FBI는 올해 초 제로데이(Zero-day) 취약점을 통해 해킹 당한 수백 대의 민간 마이크로소프트 익스체인지(Microsoft Exchange) 서버에서 백도어 프로그램을 제거할 수 있는 법원 명령을 확보했다. 
 
ⓒ Getty Images Bank

이는 FBI가 전통적인 조사 역할을 벗어나 사이버 위협 대응에 있어서 좀 더 능동적인 접근방식을 취할 준비가 되었음을 보여주지만 이런 조치의 한계가 어디까지인지에 대한 궁금증을 자아내고 있다.


FBI가 익스체인지 서버를 정리에 나선 이유는

최근 미 법무부는 텍사스 주법원이 FBI가 민간 기업이 소유한 수백 대의 온프레미스 마이크로소프트 익스체인지 서버에서 웹 셸(web shells)을 복사하고 삭제할 수 있는 조사 및 압수 영장을 발부했다고 발표했다. 웹 셸은 해커가 해킹된 웹 서버에 설치하여 웹 기반 인터페이스를 통해 백도어 접근과 서버에서의 원격 명령 실행 능력을 제공하는 프로그램이다.

해당 영장의 대상은 중국 정부와 관련성이 있을 것으로 보이는 하프니움(Hafnium)이라는 사이버 첩보 그룹이 설치한 웹 셸이다. 3월 초, 마이크로소프트는 하프니움이 이전에 패치되지 않은 마이크로소프트 익스체인지의 취약점을 악용해 서버를 해킹했다고 보고했다. 

이와 동시에 마이크로소프트는 이런 취약점에 대한 패치뿐만 아니라 해킹의 조짐과 기타 탐지 도구를 함께 공개했지만 그 이후에도 다른 공격자 그룹이 해당 취약점을 악용했다.

4월 13일자 영장 청구에서 FBI는 마이크로소프트, CISA, FBI의 대중 인식 캠페인에도 불구하고 여전히 많은 서버가 하프니움이 배포한 웹 셸에 감염되어 있다고 주장했다. 공개된 영장에서 정확한 숫자는 삭제되었지만 미국 법무부는 언론보도에서 ‘수백 대’라고 밝혔다.


이번 영장으로 FBI가 할 수 있는 일

FBI는 본래 공격자가 설정한 비밀번호를 통해 악성 웹 셸에 접근한 후 서버에 배포된 .aspx 스크립트인 웹 셸을 삭제하기 위해 법원에 명령을 요청했으며, 법원은 이를 승인했다. FBI는 또한 이를 증거로 남기기 위해 먼저 웹 셸을 복사할 수 있다.

영장에서는 ‘유형의 자산을 압수’하거나 영장에 고유 파일 경로로 표시된 웹 셸 자체 외에 서버의 콘텐츠를 복사 또는 변경할 수 없다고 밝히고 있다. 즉, FBI는 미래의 악용을 방지하기 위해 취약점을 패치하거나 해커가 이미 배포했을 수 있는 추가적인 악성코드나 공격 도구를 제거할 권한은 부여받지 못했다.

FBI는 영장 청구 시 FRCP(Federal Rule of Criminal Procedure)에 따라 수사관이 스토리지에 대한 원격 접근 처리 및 전자적으로 저장된 정보의 압수 시 ‘자산의 수색을 받는 사람에게 영장 사본과 수령증을 제공하기 위해 합리적인 노력’을 기울여야 한다고 밝혔다. 

하지만 이런 고지는 그 사람에게 도달할 가능성이 ‘합리적으로 계산된’ 전자적 수단 등을 통해 달성할 수 있다. 이 요건을 충족하기 위해 FBI는 공식 이메일 계정으로부터 감염된 서버의 도메인명과 관련된 이메일 주소로 영장의 사본을 포함해 이메일 메시지를 전송했다. 도메인이 관련된 이메일 주소를 숨기는 프라이버시 서비스를 이용하는 경우, FBI는 도메인 등록소나 ISP에 문의해 고객에게 고지하도록 요청했다.


FBI의 영장 접근방식, 처음이 아니다 

FBI 또는 다른 국가의 사법 당국이 감염된 컴퓨터에서 구동하는 악성코드를 제거하는 행위는 이번이 처음이 아니다. 2011년, FBI는 코어플러드(Coreflood) 봇넷이 사용한 C&C 서버와 도메인명을 압수해 일시적으로 악성코드가 컴퓨터에서 구동하지 않도록 하는, 임시 금지 명령을 받은 적이 있다. 이 명령으로 악성코드가 비활성화되긴 했지만, 감염된 시스템에서 완전히 제거하지는 않았다.

2019년, 안티바이러스 제공업체 어베스트(Avast)와 협력하는 FNG(French National Gendarmerie)는 암호화폐 채굴 악성코드를 배치하는 리타둡(Retadup) 웜이 사용한 C&C 서버를 비활성화하고 이를 ‘감염 제거 서버’로 대체했다. 감염 제거 서버는 감염된 시스템의 요청에 악성코드가 스스로 파괴하도록 하는 응답한다. 

이런 과거 작전의 결과는 현재 FBI의 조치 결과와 유사하다. 악성코드가 원격으로 비활성화되거나 감염된 컴퓨터 시스템에서 제거됐다. 

하지만 기술적 관점에서 이 접근방식은 달랐다. 악성코드 프로그램이 서버에 접근해 해당 명령을 실행하도록 프로그래밍 되어 있음을 알면서 압수된 서버에 특정 명령을 배치하는 것은 다소 소극적인 접근방식이다. 

이 경우 웹 셸은 주기적으로 명령을 쿼리 처리하지 않았기 때문에 FBI는 공격자가 남겨둔 백도어를 통해 수백 개의 해킹된 시스템에 개별적으로 연결해 명령을 내려야 했다. 이것이 좀 더 능동적인 접근방식이다. 또한 그들은 악성 프로그램의 사본을 만들었다.

사이버보안 및 프라이버시 솔루션 제공업체 블랙클록(BlackCloak) CEO 크리스 피어슨은 “흥미로운 변화라고 생각한다. 그런 미묘한 차이 때문에 이례적이라 할 수 있다. 기술적으로 회사가 소유하고 있는 증거인 웹 셸을 기업이 모르게 복사하고 제거하지 않는 것이 전례없는 방식이라 할 수 있다”라고 밝혔다.

미 국토안보부(Department of Homeland Security Privacy)와 사이버보안위원회(Cybersecurity Committees)에서 특수 정무직을 역임한 피어슨은 FBI의 이번 조치를 ‘능동적인 방어(active defense)’라고 설명했다. 

피어슨은 전통적인 방어가 피해자에게 서버가 감염됐음을 알리고 패치하도록 지시하며 안내 및 교정 도구를 제공하는 것이지만 능동적인 방어는 '당신이 충분히 준비가 되어 있지 않다는 것을 알고 있고, 이는 중요 인프라 측면에서 존재의 위협이기 때문에 우리도 최소한의 노력을 기울일 것이다'라는 것.

과거 C&C 서버를 압수하고 봇넷 트래픽을 없앴던 것에서 한 걸음 더 나아갔으며, 투명성, 능동적인 사이버 방어, 프라이버시 등 다양한 측면에서 흥미롭다고 피어슨이 말했다. 피어슨은 “FBI가 미국 방어에 있어서 더 능동적인 역할을 수행하기로 결정한 것은 전례 없는 사실"이라고 밝혔다. 


FBI의 능동적인 방어에 대해 기업이 우려해야 할 사항 

FBI와 미국 법무부는 투명하면서 신중하게 조치의 범위를 제한하기 위해 노력한 것 같다. 영장 청구에서도 제거 명령을 FBI 서버에서 테스트했으며 기술적 코드 평가 중 외부 전문가와 상의해 해킹된 시스템이나 그 위에서 구동하는 마이크로소프트 익스체인지 소프트웨어가 불리한 영향을 받지 않도록 했다고 언급했다.

그렇다고 해서 이런 조치 중 모든 위험을 고려해 없앴다는 의미는 아니다. 예를 들어, 정상적인 서버 기능의 중단이 발생하지 않더라도 악성코드 파일 제거는 영향을 받은 조직이 실시할 수도 있는 현재 또는 미래의 포렌식에 잠재적으로 개입할 수 있다. 백도어를 통해 공격자가 취한 추가적인 행동의 증거가 실수로 삭제될 수도 있다.

피어슨은 “이 부분에 기업이 주의해야 하며 투명성이 요구된다. 많은 것이 다를 수 있으며 잘못될 수 있다. 서버 가운데 하나가 보안 제공업체가 운영하는 비밀 허니팟이어서 악성코드 조사가 불가능해질 수 있다”라고 말했다.

피어슨은 미 연방기관이 의도하지 않은 결과를 고려하고 이에 대해 투명하며 개방적이어야 한다고 주장했다. “무엇이 과도하고, 무엇이 올바르며, 인터넷과 생태계의 안전 측면에서 우리가 연방기관이나 연방파트너에게 원하는 역할은 무엇일까? 이런 문제에 관해 더 많은 논의가 필요하다.”

4월 19일 업데이트된 내용은 바이든 미 행정부는 솔라윈즈(SolarWinds) 및 마이크로소프트 익스체인지 공격에 대응하기 위해 구성된 2개의 UCG(Unified Coordination Group)에게 일임한다고 발표했다. 

이 그룹의 활동은 민간 부문과의 파트너십 및 FBI, DOJ, CISA, NSA의 법적 강권을 이용해 사건 조사 및 정리 노력에 박차를 가했다. 여기에는 원클릭 패치 도구 공개, 자동화된 취약한 서버 추적, 집중적인 피해자 참여, 악의적인 기법에 대한 조언, FBI의 웹 셸 제거 등이 포함된다.

사이버 및 신기술 국가안보보좌관보 앤 뉴버거는 "이 사건에 대한 추가적인 대응은 표준 사건 관리 절차에 따르겠지만 이 UCG를 통해 배운 교훈은 다른 중대한 사이버 공격에 대한 미래의 '통합된 미국 정부 전체의 대응'을 위한 정보가 될 것"이라고 밝혔다. editor@itworld.co.kr 


X