마이크로소프트 익스체인지 서버 공격, 단기간 내 종식 어려운 이유

3월 2일, 마이크로소프트는 미국 내 조직을 대상으로 해외 공격자가 중대한 사이버 보안 공격을 감행했다고 밝혔다. 마이크로소프트는 이 공격이 하프늄(Hafnium)이라는 중국 소재의 고위험 해킹 단체의 소행이라고 밝혔다. 동시에 공격자가 이용한 익스체인지 서버(Exchange Server)의 4가지 취약성에 대한 패치를 발표했다. 
 

지난 주에는 해커들이 최소 30,000개, 최소 수십만 개의 패치 되지 않은 익스체인지 서버를 해킹했다는 보도가 이어졌다. 보안 담당자들은 아직까지 계속되고 있는 주로 간첩 행위 지향적인 솔라윈즈(SolarWinds) 해킹과는 달리, 공공 및 정부 IT 인프라에 대한 실제 공격으로 간주하고 있는 이 최근의 위협에 대응하기 위해 불철주야로 노력하고 있다.

이미 지난 12월 공개되어 비공식적으로 러시아 해커 소행으로 알려진 솔라윈즈 해킹 피해 해결에 노력하고 있는 바이든 행정부는 “영향을 평가하고 해결하기 위해 전 정부가 나설 것”이라고 밝혔다. 사이버 보안 부 국가안보보좌관 앤 뉴버거가 주도하고 있다.
 

익스체인지 서버 공격 타임라인

익스체인지 서버 공격을 시간별로 따라가보자.

1월 3일 : 보안 기업 볼렉시티(Volexity) 연구원들이 취약성이 처음 악용되었다고 생각하는 날짜

3월 2일 : 마이크로소프트가 공격을 발표하고 패치를 공개.

3월 3일 : 미국 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)이 긴급 지침을 발행하고 모든 연방기관이 온프레미스 마이크로소프트 익스체인지 제품의 차단한 후 3월 5일까지 보고하도록 지시했다. CISA는 또한 공격 단체가 사용한 전략, 기법, 절차(TTP)와 해킹 지표(IOC)에 대한 개요를 발표하고 익스체인지 서버 취약성 완화 방법에 대한 안내를 제공했다.

3월 6일 : 마이크로소프트는 최근 공격에서 배포된 웹 쉘을 스캔하기 위해 마이크로소프트 세이프티 스캐너(Microsoft Safety Scanner, 또는 MSERT(Microsoft Support Emergency Response Tool)에 대한 새 업데이트를 공개했다.

3월 8일 : CISA는 마이크로소프트 익스체인지 취약성 개선 웹 페이지를 공개하고 모든 조직이 취약성을 즉시 해결하도록 ‘강력히’ 촉구했다.

3월 9일 : CISA는 ‘솔라윈즈와 액티브 디렉터리/M365에 영향을 받은 네트워크 해결(Remediating Networks Affected by the SolarWinds and Active Directory/M365 Compromise)’과 ‘CISA 인사이트: 솔라윈즈 및 액티브 디렉터리/M365 해킹: 리더들의 위험 결정(CISA Insights: SolarWinds and Active Directory/M365 Compromise: Risk Decisions for Leaders)’이라는 2종의 새로운 웹 페이지 리소스를 공개했다. CISA는 영향을 받은 조직이 이런 리소스에 대한 지침을 따르도록 촉구하고 있다.

경고와 가용 리소스가 제공됐지만, 익스체인지 서버 공격을 받은 기관은 장기간 피해를 복구하지 못할 수 있다. 이유는 다음과 같다.
 

익스체인지 서버 패치만으로는 부족

트러스티드섹(TrustedSec)의 사건 대응 실무 책임자 타일러 후닥은 CSO에 “가장 큰 문제는 취약성이 패치가 제공되기 이전에 광범위하게 악용되고 있었다는 점이다. 패치가 배포되자마자 적용했다 하더라도 시스템이 해킹되었을 가능성은 여전하다. 많은 사람들이 ‘이제 패치를 했으니 문제없다’고 생각하지만 실제로는 그렇지 않다”라고 밝혔다.

볼렉시티의 사장 스티븐 어데어는 CSO에 여러 도구와 리소스는 조직이 해킹 여부를 판단하는 데 도움이 될 수 있다고 말했다. “그리고 이런 조직들이 공격 또는 해킹의 조짐을 발견한 후 유출이 얼마나 심각했는지 파악할 때도 큰 문제가 발생한다.”
관련된 서버의 수만 보더라도 결함 해결은 중대한 문제이며 광범위한 정부 및 산업 부문에 걸쳐 운영 혼란이 발생할 것임은 불을 보듯 뻔한 일이다. 위협 정보 사이버 보안 기업 레드 카나리(Red Canary)의 정보 책임자 케이티 니켈스는 CSO에 “익스체인지 취약성에 대응하고 있는 조직들이 직면한 문제 중 하나는 익스체인지 서버 패치에 시간이 소요될 수 있으며, 특히 패치를 제때 하지 않은 경우 다운타임이 불가피할 수 있다는 점이다”라고 밝혔다.
 

사이버 보안 부서의 피로 누적

솔라윈즈 유출과 익스체인지 서버 공격의 이중고가 발생한 시기에 대부분의 사이버 보안 전문가들은 빠르게 증가하고 있는 랜섬웨어 사례를 포함하여 여러 일일 사이버 보안 위협을 관리하기 위해 이미 무리하게 근무하고 있다. 니켈스는 “솔라윈즈와 익스체인지 사고가 몇 개월 차이를 두고 발생했다는 점이 중요한 이유는 많은 사이버 보안 부서의 피로가 가중된 상태이기 때문이다. 일부 조직의 경우 솔라윈즈 해킹 대응이 여전히 진행 중일 수 있으며, 이제 팀들이 익스체인지 해킹에도 대응해야 한다”라고 말했다.

후닥은 “마이크로소프트 패치가 구현된 후에도 여전히 익스체인지 서버의 해킹 징후를 살펴보고 해킹되었는지 여부를 조사해야 한다. 조사를 통해 패치가 적용되기 전에 서버가 해킹된 경우 서버로 백도어가 업로드 되었을 가능성이 있음을 발견했다. 패치가 백도어 액세스까지 차단하지는 않을 것이다. 백도어는 취약성과 별개의 문제이다”고 말했다.

니켈스는 “패치를 설치한다고 해도 활성 침입을 해결하기는커녕 이미 해킹을 당했는지 여부도 파악할 수 없다. 보안팀이 윈도우 IIS(Internet Information Service) 근로자 프로세스와 관련된 프로세스 혈통 및 명령줄 파라미터에 대한 가시성을 확보할 수 있으면, 다른 익스체인지 웹 쉘 활동도 찾아내거나 감지할 수 있을 것이다”라고 동의했다.
 

개선 과정이 복잡할 수 있다

개선은 가능하겠지만, 프로세스가 복잡한 조직도 있을 것이다. 볼렉시티의 어데어는 “이 시점에서 대부분의 조직은 자체 익스체인지 서버에 웹 쉘을 배치한 공격을 1개 이상 발견했을 가능성이 있다”라고 말했다. 하지만 이 경우는 공격자들이 웹 쉘에 액세스하지 않았을 가능성도 있고, 유출 피해가 상당히 제한적이며 쉽게 복구할 수 있다.

이와 동시에 공격자가 웹 쉘에 액세스하여 자격 증명을 팔아 치우고 횡보하면서 익스체인지 서버 밖으로 이동할 추가적인 조치를 하도록 내버려 둔 조직도 일부 있었다. 이렇게 되면 개선이 더욱 어려워지고 일부 파일을 제거하고 일련의 비밀번호를 업데이트하는 것부터 여러 개의 서버를 재구축하고 조직의 모든 비밀번호를 재설정하는 것까지 모든 것이 수반될 수 있다.
 

다른 그룹도 익스체인지 서버 악용

게다가 다른 공격 단체들도 하프니움이 악용한 취약성에 달라붙고 있다. 후닥은 3월 5일경, 중국 해커 외 다른 그룹이 익스체인지 취약성을 악용하기 시작했다고 말했다. “이전 공격자들과는 다른 이름을 가진 백도어를 사용하고 있어 다른 그룹이 있다는 사실을 알게 되었다. 다른 단체들도 취약성 체인을 악용하는 방법을 파악하고 있다.”

누군가 공격에 대한 개념 증명 코드를 공개할 경우 패치와 개선 과정이 기하급수적으로 복잡해질 수 있으며, 후닥은 이번 주에 이런 일이 발생할 가능성이 크다고 예상하고 있다. 그는 “사건이 발생하면 모두가 이를 악용할 것”이라고 경고했다.
 

포렌식 노하우가 없는 기업 특히 우려

백도어 패치 및 검사 외에도, 발견한 백도어를 삭제하기 전에 포렌식 업체가 확인할 수 있도록 복사해 놓아야 한다고 후닥이 조언했다.

어데어는 “증거 저장이 중요하다. 예를 들어, 가상 머신을 끄고 삭제하는 대신에 (메모리를 포함하여) 스냅샷을 촬영하고 시스템 사본을 해킹된 상태로 저장하는 것이 좋다”라고 말했다.

후닥은 이어서 안타깝게도 대부분의 조직은 공격자가 백도어로 무엇을 했는지 파악할 능력이나 포렌식 지식이 없다고 말했다. 니켈스는 “중대한 공격이 발생한 경우 전수 조사를 수행할 전문지식이 없는 중소기업이 많다”라고 말했다.

또 다른 우려는 영향을 받는 시스템을 마지막으로 알려진 정상 상태로 되돌리는 것이다. 즉, 시스템이 해킹되기 이전의 백업으로 모든 것을 복원하는 것이다. 후닥은 “포렌식 분석가가 아무리 뛰어나도 항상 무엇인가를 놓치거나 공격자가 무엇인가를 삭제했을 가능성이 있다. 정상 백업으로 되돌리면 아무 것도 없음을 확인할 수 있게 될 것”이라고 말했다.

익스체인지 서버를 사용하는 모든 조직은 패치가 어려운 상황이더라도 즉시 패치해야 한다. 이것은 최소한의 조치다. 니켈은 패치하라고 이야기하는 것은 쉽지만, 익스체인지 업데이트를 제대로 하지 않은 경우 그 과정이 쉽지 않을 수 있다고 말했다. “다행히도 마이크로소프트는 패치를 할 수 없는 조직을 위해 완화 지침을 제공했다. 하지만 자체 익스체인지 서버를 운용하는 조직은 즉각적인 패치 적용을 최우선순위로 삼아야 한다. 패치되지 않은 서버가 인터넷에 오래 연결되어 있을수록 해킹될 위험이 커진다.” editor@itworld.co.kr