‘MOVEit’ 취약점 노출, 해커들 인증 프로토콜 우회 가능
MOVEit 보안 SFTP 약화, “이미 노출 즉시 악용 조짐 꿈틀”
[애플경제 이윤순 기자] 정확히 1년만에 다시 ‘MOVEit’ 취약점이 해커에 의해 악용되고 있다는 소식이다. 지난해 이는 국내에서도 널리 유포, 보안당국이 긴급 경보를 발할 만큼 문제가 되었다. 그런데 26일 글로벌 보안업체 등 전문가들에 의하면 사이버 공격자가 인증 프로토콜을 우회할 수 있을 만한 MOVEit 취약점이 드러났다. 더욱이 그런 취약점이 노출된 지 단 몇 시간 만에 실제로 해커들이 이를 악용하려는 조짐이 포착되기도 했다.
1년 전과 똑같은 CVE-2024-5806 취약점
이날 SW전문업체인 ‘Progress Software’의 보안 권고에 따르면 MOVEit 보안 파일 전송 프로토콜(SFTP)에 영향을 미치는 새로운 치명적인 취약점으로 인해 보안 전문가들이 즉시 패치를 요청했다. 이에 많은 기업들이 혼란스러운 상황이다.
1년 전과 똑같이 CVE-2024-5806으로 추적되는 이 취약점은 공격자가 SFTP 인증 프로세스를 우회하고, MOVEit Transfer 인스턴스에 저장된 정보에 액세스할 수 있도록 허용하는 부적절한 인증 결함으로 분석되었다.
이런 권고는 이날 늦게 전파되었다. 즉 MOVEit Transfer에서 사용되는 서드 파티에서 새로 취약점이 발견된 것이다. 그 때문에 패치를 적용하지 않을 경우, 사이버 공격자들이 인증 프로토콜을 우회할 소지가 커졌다.
이런 서드 파티의 취약점을 완화하기 위해 ‘Progress Software’는 사용자들에게 “MOVEit Transfer 서버에 대한 공개 인바운드 RDP(원격 데스크톱 프로토콜) 액세스를 차단했는지 확인할 것”과 ‘MOVEit Transfer 서버에서 알려진, 신뢰할 수 있는 엔드포인트에만 아웃바운드 액세스를 제한했는지 확인하도록“ 권고했다.
MOVEit Transfer 서드 파티에서 취약점 노출
이에 따르면 이번 취약점은 MOVEit Transfer 버전 2023.0, 2023.1 및 2024.0에 영향을 미친다. ‘Progress Software’는 영향을 받는 버전을 사용하는 모든 고객에게 가능한 한 빨리 패치를 적용하고, 정해진 보안 조치를 구현할 것도 조언했다. 그러나 비영리 보안 조직인 ‘Shadowserver’는 “세부 취약점 정보가 온라인에 게시된 지 불과 몇 시간 만에 이미 실제로 이를 악용하려는 시도를 목격했다”며 기업들이 신속히 조치를 취할 것을 경고했다.
또 다른 보안업체 ‘Rapid7’는 이에 공격자가 취약점을 악용하기 위한 몇 가지 사전 조건이 있음을 안내하기도 했다. 이에 따르면 해커들은 취약점을 성공적으로 악용하려면 유효한 사용자 이름과, 원격으로 인증할 수 있는 계정, 그리고 보안 파일 전송 프로토콜(SFTP) 과정이 인터넷에 노출되어야 한다는 사실이다.
그러나 이미 사이버공격 대응 플랫폼인 ‘Censys’는 “공용 인터넷에 무려 2,700개의 MOVEit Transfer 인스턴스가 노출되었다”고 해 우려를 자아내고 있다. 그처럼 노출된 인스턴스에서 실행되는 소프트웨어의 정확한 버전은 확인되지 않았다. 그러나 그 종류는 다양할 것으로 보인다.
1년 전 악명높은 C10p 악몽, 재현될까 우려
이처럼 작년 이맘때 Cl0p 위기 이후 1년, ‘MOVEit’이 다시 한 번 주목을 받고 있는 실정이다. 당시 C10p는 악명 높은 해킹을 위해 ‘MOVEit’ 파일 전송 제품의 제로데이 취약성’을 악용했다. 그 바람에 수 천개의 기업들이 피해를 보고, Cl0p 스스로도 “어느 회사 데이터인지 구분 불가”라고 밝힐 정도였다.
러시아 사이버 갱단 Cl0p가 MOVEit의 SQL 주입 제로데이를 악용해 광범위한 혼란을 야기한 지 정확히 1년이 된다. 당시의 취약점 CVE-2024-5806은 마치 1주년을 기념이라도 하듯, 이번에 다시 등장한 것이다.
또 다른 보안업체 ‘watchTowr Labs’는 “금년도의 취약점은 2023년에 악용된 결함보다 제조사가 탐지하고 제거하기가 더 어려웠을 것”이라고 추정했다. 즉 지난해의 경우는 MOVEit이 SQLi와 같은 일부 명확한 취약점을 겪었지만, 이번엔 이처럼 ‘만들지 말아야 할 단순한 오류’에 속하지 않는다는 점이 문제다. 즉 강화된 소프트웨어 ‘카테고리’에서 발생한 것이다.
SQLi 즉, ‘SQL Injection’은 데이터베이스(DB)와 연결되어있는 웹 어플리케이션의 동적으로 생기는 구문에 입력 값을 조작, DBMS(DataBase Management System)가 원하지 않는 결과 값을 반환하게 하는 기법이다. 흔히 웹 애플리케이션에서 입력값을 필터링 없이 전송될 때 발생된다. 즉, 웹 애플리케이션의 사용자 입력 값에 SQL 코드를 삽입 또는 추가하고, 해당 SQL 구문을 가장 마지막의 SQL 서버에 전달, 해석하고 실행하는 과정에서 발생하는 공격이다.
MOVEit과 IPWorks SSH 상호작용, 오류 처리 실패도 원인
이번 취약점은 MOVEit과 IPWorks SSH 간의 상호 작용과 오류 조건 처리 실패로 인해 발생한 것으로 분석된다. 그러므로 정적 분석으로 쉽게 발견할 수 있는 종류의 취약점이 아니라는 지적이다. 또 다른 전문가들은 이 결함이 SFTP 모듈의 인증에 직접적인 영향을 미치기 때문에 파일 전송 프로토콜을 보호하기 위해 노력했음에도 여전히 노출되는 상황이라고 우려했다.
보안업체 ‘Rapid7’는 “이번 최신 취약점 노출은 SSH를 통한 보안 전송 기술을 활용하기 위해 최선을 다하고 있던 기업들마저 심각하게 손상시켰기 때문에 매우 심각한 현상”이라며 “따라서 보안 당국의 보안 소프트웨어 개발 프레임워크(SSDF)나, ISO 27001과 같은 업계 모범 사례 정책을 준수한 기업들조차 이번 취약점 노출로 인해 모든 사전 대응 조치가 무력하게 되었다”고 우려했다.