보안

마이크로소프트 익스체인지 서버 해킹 관련 타임라인

Brian Carlson | CSO 2021.05.10
2021년 3월 2일, 마이크로소프트는 마이크로소프트 익스체인지 서버 온프레미스 공격에 여러 제로데이 익스플로잇이 악용된 것을 탐지했다.
 
ⓒ Getty Images Bank

이후 며칠 동안 미국의 3만여 기관과 기업이 공격을 당했다. 공격자들은 몇몇 익스체인지 취약점을 이용해 이메일 계정에 대한 접근 권한을 얻어 웹 셸(web shell) 악성코드를 설치했다. 이는 사이버 범죄자가 계속해서 피해 서버에 관리자 권한으로 접근할 수 있도록 해줬다.

같은 날, 마이크로소프트는 앞서 하프늄(Hafnium)으로 이름을 붙인 정체 불명의 중국 해킹 집단이 공격을 감행한 것으로 의심된다고 발표했다. 마이크로소프트 위협 인텔리전스 센터(MSTIC)에 따르면, 하프늄은 정부의 지원을 받아 중국 밖에서 활동하는 해킹 집단으로 의심된다. 주로 미국에서 대여한 가상 프라이빗 서버(VPS)를 이용하며, 미국 내 여러 산업의 기관과 기업들을 표적으로 삼는다.

마이크로소프트는 익스체인지 서버 버전 2010, 2013, 2016, 2019의 문제를 해결하는 업데이트를 배포했다. 이와 관련된 소프트웨어 취약점들은 함께 프록시로그온(ProxyLogon)으로 불리는 CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065이다.

가트너의 분석가 피터 퍼스트브룩에 따르면, 공격자는 공격하기 좋은 환경을 찾으며, 구형 소프트웨어 업데이트를 크게 신경쓰지 않는 기업의 온프레미스 소프트웨어를 표적으로 삼는 경우가 많다.

퍼스트브룩은 “이미 많은 고객이 온라인 익스체인지로 옮겼다. 최소한 더 많이 알고 있는 고객들은 그렇게 했다. 늦게 도입한 기업과 덜 성숙한 기관과 기업이 여전히 구형 플랫폼을 이용하고 있다. 이곳이 가장 공격하기 좋은 환경이다”고 지적했다. 

퍼스트브룩은 “이 사람들은 비즈니스에 바빠 관심을 기울이지 않는다. 이 기관과 기업은 전문 관리자가 아닌 제너럴리스트가 익스체인지를 운영한다. 마이크로소프트가 이번 해킹에 모든 사람이 관심을 기울이도록 애를 쓰는 이유가 여기에 있다. 이들은 매일 이런 일에 관심을 기울이는 기업이 아니기 때문이다”라고 설명했다.

공격자의 최종 목표는 웹 셸을 집어넣은 온프레미스 서버가 아니다. 이런 서버가 연결될 수도 있는 더 가치가 높은 표적을 공격할 준비를 하는 것이다.

퍼스트브룩은 “이런 기관과 기업이 주된 표적이 아니더라도, 이들이 연결될 다른 기업을 공격할 수 있는 연결고리 역할을 할 수 있다. 내가 다른 회사의 익스체인지 서버를 해킹했는데, 그 회사 고객이 국방부라고 가정해보자. 나는 해킹한 회사로 위장해 국방부에 피싱 메시지를 보낼 수 있다. 적법해 보이고, 적법한 서버에서 나온 것이기 때문에 이것이 위협이라는 점을 파악하기 아주 어렵다. 공격자는 가치가 더 높은 다른 표적을 공격하기 위해 공격하기 쉬운 인프라를 악용해 준비한다. 현재 감염된 사람이 최종 목표가 아닐 수도 있다”라고 경고했다.

지금까지 익스체인지 서버 해킹과 관련해 어떻게 전개됐는지 알아보자.
- 2021년 1월 03일: 사이버 보안업체 볼렉시티(Volexity)에 따르면, SSRF(Sever-Side Request Forgery) 취약점 CVE-2021-26855를 이용해 마이크로소프트 익스체인지 서버를 표적으로 하는 사이버 첩보 작전이 시작됐다.

- 1월 5일: 쳉다 차이(Cheng-da Tsai, 일명 오렌지 차이) 연구원과 보안 회사인 데브코어(Devcore)는 마이크로소프트에 관련 취약점을 알려줬다. 블랙인포시큐리티(BlackInfoSecurity)가 나중에 보도한 내용에 따르면, 타이밍 때문에 익스플로잇이 데브코어나 마이크로소프트에서 유출된 것이 아닌지 의심을 사기도 했다. 

- 2월 26~27일: 하프늄 공격자는 취약한 서버에 대핸 백도어 공격을 가속화하면서 표적화 된 익스플로잇이 전세계로 확산됐다.

- 3월 2일: 마이크로소프트는 하프늄 공격을 저지하기 위해 익스체인지 서버 버전 2013~2019의 4개 취약점을 없애는 긴급 보안 업데이트를 배포했다. 

- 3월 2일: MSTIC(Microsoft Threat Intelligence Center)는 온프레미스 익스체인지 소프트웨어를 표적으로 한 공격을 감행한 해커 집단은 중국의 해커 집단인 하프늄이라고 발표했다.

- 3월 3일: 미 CISA(Cybersecurity and Infrastructure Security Agency)는 긴급 지침 21-02를 발표했다. 모든 연방기관에 마이크로소프트 익스체인지 온프레미스 서버의 연결을 끊고, 사고 대응 절차를 밟기 시작하라는 지침이었다.

- 3월 5일: 마이크로소프트는 고객들에게 침해 당하지 않았는지 확인하기 위해 익스체인지 배포판을 조사할 것을 권고했다.

- 3월 6일: 월스트리트 저널은 익스체인지 서버 해킹으로 최대 25만 개의 기관과 기업이 침해당했을 수 있다고 보도했다. 

- 3월 7일: 공격자는 EBA(European Banking Authority)의 익스체인지 서버를 공격했다. EBA는 “공격자가 이들 서버에 보관된 이메일을 통해 개인 데이터에 대한 접근 권한을 획득했을 가능성이 있다. EBA는 예방책으로 이메일 시스템 연결을 해제하기로 결정을 내렸다”라고 발표했다.

- 3월 5~8일: 마이크로소프트는 하프늄 외에도 다른 공격자들의 공격이 증가한 것을 확인했다. 중국 해커 집단이 익스플로잇한 취약점을 표적으로 삼는 공격이었다.

- 3월 8일: CISA는 익스체인지 취약점을 즉시 해결하기 위해 조직들이 취할 수 있는 5가지 단계적 방법을 권고했다. 이 방법은 시스템의 포렌식 이미지를 만드는 것에서 시작된다.

- 3월 10일: ESET 리서치에 따르면, 10개 APT(Advanced Persistent Threat) 사이버범죄 집단이 여러 목적에서 익스체인지 취약점을 공격하고 있었다. 럭키마우스(LuckyMouse), 칼립소(Calypso), 톤토 팀(Tonto Team), DLT마이너(DLTMiner)를 예로 들 수 있다.

- 3월 10일: 로이터통신에 따르면, 독일에서 최대 6만 개의 익스체인지 서버가 익스체인지 취약점에 노출된 상태였다.

- 3월 13일: CISA는 익스체인지 취약점과 관련된 웹 셸을 식별하는 7개 MAR(Malware Analyst Reports)을 추가했다.

- 3월 11~15일: 체크포인트 소프트웨어(Check Point Software)에 따르면, 이 4일 동안 익스체인지 공격 횟수가 700에서 7,200건으로 10배 넘게 증가했다.

- 3월 15일: 마이크로소프트는 전담 IT 보안 팀이 없는 고객들이 익스체인지 서버에 업데이트를 적용할 수 있도록 돕는 ‘원 클릭’ 온프레미스 마이그레이션 도구를 발표했다. 

- 3월 16일: 1,200개 이상의 네덜란드 서버가 익스체인지 해킹에 영향을 받은 것으로 알려졌다.

- 3월 18일: 마이크로소프트는 디펜더 안티바이러스(Defender Antivirus)와 시스템 센터 엔드포인트 프로젝션(System Center Endpoint Protection)이 이제 취약한 서버의 CVE-2021-26855를 자동으로 경감시킨다고 발표했다. 

- 3월 22일: F-시큐어(F-Secure) 연구원들은 패치가 적용되지 않은 익스체인지 취약점 때문에 매일 수만 사이버 공격이 계속 발생하고 있다고 발표했다. 인터넷에서 확인되는 익스체인지 서버 가운데 필요한 패치가 적용된 서버는 절반에 불과했다.

- 3월 31일: CISA는 익스체인지 서버 취약점에 대한 긴급 지침을 보완하는 지침들을 발표했다.

- 4월 13일: 미 법무부는 텍사스 법원이 FBI에 압수 및 수색 영장을 발부했다고 발표했다. 민간 기업이 소유한 수백 개의 온프레미스 마이크로소프트 익스체인지 서버의 웹 셸을 복사해 제거할 수 있는 권한을 주는 영장이다.
 
- 4월 22일: 사이버리즌(Cyberreason)의 연구원인 리오 로치버거는 프로모테이(Promotei) 암호화폐 봇넷이 몬네로 코인용 암호 채굴 소프트웨어를 설치해 익스체인지 취약점을 익스플로잇 하는 방법을 보여주는 보고서를 발표했다.


향후 전망: 자동 업데이트, API 보안

가트너의 퍼스트브룩에 따르면, 특히 익스체인지의 경우 온프레미스 서버를 사용해 일상 비즈니스를 운영하면서, 업데이트 관리 같은 문제는 다루기 원하지 않는 사람들은 자동 업데이트의 도움이 필요한 사람들이다.

퍼스트브룩은 “패치로 문제를 해결할 수 있다. 그러나 마이크로소프트가 연락하려 하는 사람들 가운데 상당수가 관심을 기울이지 않고 있다. 이런 사람은 온라인 익스체인지를 이용해야 하지만 그렇게 하고 있지 않다. 온프레미스 서버를 패치할 수 없다면 클라우드로 옮겨야 한다. 그러나 중소기업이나 영세기업은 많은 돈이 들어 실용적이지 못할 수도 있다”라고 말했다.

퍼스트브룩은 미래에는 웹 인프라 플랫폼, 앱, 시스템을 상호 연결하는 방법인 API(Application Programming Interface)가 새로운 보안 취약점 및 위험 노출 부분이지만, 기관과 기업이 여기에 관심을 기울이지 않고 있다고 주장했다(CVE-2021-26855은 익스체인지 웹 서비스 API 엔드포인트를 목표로 하는 SSRF 요청과 관련이 있음).

퍼스트브룩은 “초기 익스체인지 공격은 API 기반이었다. 솔라윈즈 공격도 마찬가지였다. 대부분 조직은 이런 API에 관심을 기울이지 않는다”라고 말했다. 

그는 “모든 주요 SaaS 앱은 강력한 API를 갖고 있다. API를 이용해 플랫폼을 통합하는 재판매자들도 많다. 이런 이유로 세일즈포스를 공격하는 대신 API를 다루는 소규모 공급업체를 표적으로 삼는다. 익스체인지와 솔라윈즈 사건 모두 API 취약점, 부적절한 크리덴셜 관리와 관련이 있었다”라고 설명했다.

퍼스트브룩은 전통적인 소프트웨어 개발이 컨테이너 및 서비스 지향형 방식으로 변화하면서 범죄자들이 API에 더 집중하게 될 것으로 판단했다. 

그는 “앞으로 API에 대한 공격이 늘어날 수 있다. API 보안을 책임지는 사람이 있는 기업은 없다. 또 API 보안 시장도 크지 않다. 향후 투자가 이뤄질 분야이다. 기업 API 보호에 대해 더 잘 이해하고, 이를 더 잘 보호하는 사람, 도구, 프로세스에 투자해야 한다는 이야기이다. 이는 우리가 관심을 기울이지 않았던 공격하기 좋은 요소다”라고 말했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.