SK쉴더스 Top-CERT, Ivanti VPN 취약점 분석·대응방안 공개
MDR 서비스 도입해 사전 예방해야
매일일보 = 김혜나 기자 | SK쉴더스 탑서트(Top-CERT)는 가상사설망(Ivanti VPN) 취약점을 유형별로 분석하고 대응방안을 담은 보고서를 발표했다고 12일 밝혔다.
한국인터넷진흥원(KISA)에 따르면, 최근 3년간 침해사고 신고 건수는 2022년 1142건에서 지난해 1277건으로 12% 증가했다. 올해 상반기 침해사고 신고 건수는 899건으로 전년 동기대비 약 35% 늘었다. 침해사고 건수가 매년 급증하는 가운데, 침해사고의 초동 대응부터 사고 포렌식, 후속 조치까지 원스톱으로 지원하는 서비스가 각광받고 있다.
SK쉴더스에서 침해사고대응과 분석을 전담하는 Top-CERT는 해킹 사고 발생 시 즉시 사고 현장에 투입돼 원인을 규명하고 해킹 경로를 추적해 대응방안을 제시한다. 북한발 사이버 공격, APT(Advanced Persistent Threat, 지능형 지속 위협) 공격 등 대형 보안 사고를 대응하며 쌓은 노하우를 보유한 보안 전문가 집단으로 업계 최고 수준의 사고 분석 경험을 갖고 있다. Top-CERT는 Ivanti VPN의 취약점으로 인해 해킹 피해를 입은 실제 사고 사례를 조사 후 원인 분석과 향후 대응 방안에 대해 상세히 소개했다.
Ivanti VPN은 해외 정부기관, 군 관련 조직, 통신사, 방위산업체, 금융기관, 컨설팅 업체 및 항공우주 분야에서 많이 사용되는 가상사설망(VPN) 장비로 국내에서도 2000개 이상의 기업이 사용하는 것으로 알려졌다. 지난 1월 발견된 Ivanti VPN의 취약점은 인증 우회 취약점과 명령 주입 취약점 등으로 이들을 악용해 공격에 성공할 경우 기업 네트워크 망에 자유롭게 접근할 수 있어 위험도가 매우 높다. 실제 해당 취약점으로 인한 피해 사례는 전 세계적으로 정부기관, 방산업체, 금융기관 등에서 2400여건 이상 발견됐다.
이에 SK쉴더스는 Ivanti VPN의 취약점을 공격 전술·기법·절차(TTPs)에 맞춰 각 단계별 예방·대응 방안을 제시했다. 해킹 징후를 사전에 발견해 탐지하고, 해킹 공격이 발생했을 시 상황별 조치 방안을 공유해 해당 공격으로부터 피해를 최소화할 수 있도록 내용을 구성했다.
Top-CERT는 이번 Ivanti VPN 취약점 악용 공격 파급력이 컸던 이유로 VPN 장비의 특성으로 인해 취약점이 탐지되기 어려웠다는 점을 들었다. VPN은 네트워크 구성상 최상단에 위치해 모든 통신 트래픽이 VPN을 통해 이뤄진다. 사용자들은 익명성과 데이터 보호성을 보장받을 수 있지만 보안 관리 측면에서는 모든 트래픽이 암호화 후 전달돼 트래픽의 내용을 직접 분석하기 어렵다. 평소와 다른 징후나 데이터 유출, 악성코드 전파 등의 위협을 조기에 탐지하기 힘든 이유다. 공격자들은 이러한 특성을 악용해 알려지지 않은 여러 취약점을 연계해 공격을 진행하는 기법을 사용했다.
보고서에서는 Ivanti VPN을 사용하는 기업·기관에서 해킹 피해를 직접 점검해볼 수 있는 체크리스트를 단계별로 제시했다. Ivanti VPN의 경우 최신 패치가 발표됐지만 보안 패치를 적용하거나 개발하는 과정에서 공격을 시도하는 해커들도 있으므로 지속적인 모니터링과 점검이 필요하다. 또한 △관리자 계정 권한 부여 확인 △트래픽 패턴 분석△ 내부 방화벽 정책 설정 등의 점검 방법과 공격자들이 사용한 침해지표(IoC, Indicators of Compromise)와 악성코드 정보 등을 확인해 볼 수 있다.
이러한 공격에 대비하기 위해 SK쉴더스 Top-CERT는 보안 위협을 실시간으로 감지하고 신속한 대응을 돕는 EDR 특화 위협 탐지 대응(Managed Detection and Response, MDR) 서비스를 도입할 것을 제안했다. MDR은 기술과 전문지식을 기반으로 위협 모니터링, 분석, 사고 대응 및 보고를 지원하는 서비스다. SK쉴더스의 MDR 서비스는 숙련된 운영 전문가의 신속한 대응 체제를 보유했다. 다양한 산업군 레퍼런스를 기반으로 고객사 특성에 적합한 맞춤형 서비스를 제공한다.