Offcanvas

CSO / 데이터센터 / 보안 / 통신|네트워크

“라우터, 방화벽 노린 정교한 공격 증가 중”··· 시스코 경고

2023.04.20 Michael Cooney  |  Network World
라우터, 방화벽 등의 네트워크 인프라에 대한 정교한 공격이 증가하고 있다고 시스코의 탈로스 보안 인텔리전스 그룹이 19일 경고했다. 

이번 시스코의 경고는 영국 국가사이버보안센터(NCSC), 미국 국가안보국(NSA), 미국 사이버보안 및 인프라 보안국(CISA), 미국 연방수사국(FBI)이 같은 날 발표한 경고와 궤를 같이 한다. 이들 기관들은 2017년에 처음 발견된 한 취약점을 활용한 위협이 증가하고 있다고 밝혔다. 

시스코 라우터의 SNMP 취약점을 노리는 해당 위협에 대해 시스코는 2017년 이미 패치를 발표한 바 있다. 그러나 문제는 시스코 외에 주니퍼, 익스트림, 얼라이드-텔레시스, HP에 이르는 여러 벤더의 네트워킹 장비를 겨냥할 수 있다는 점이다. 

시스코 탈로스 위협 인텔리전 및 차단 책임자인 JJ 커밍스는 “공격자가 관심을 가질 만한 트래픽에 액세스할 수 있는 모든 네트워킹 장비에 적용된다”라고 말했다. 

시스코 탈로스는 ‘국가 차원의 공격 캠페인이 글로벌 네트워크 인프라를 노린다”라는 제목의 블로그 포스트에서 위협을 증가를 언급하며 “"트래픽 조작, 트래픽 복사, 숨겨진 구성, 라우터 맬웨어, 인프라 정찰, 네트워킹 장비에서 활동하는 공격자의 적극적인 방어 약화 등을 관찰했다. 다양한 활동을 고려할 때, 공격자들은 익숙하면서도 전문성을 가지고 있었다”라고 밝혔다. 

커밍스에 따르면 탈로스가 주로 감지하는 공격은 다소 노후화되고 소프트웨어 관점에서 볼 때 구식인 기기를 표적으로 삼는 것들이다. 그는 “공격자들이 해당 기기에 대해 어느 정도 사전 접근 권한을 가지고 있음을 확인하고 있다”라고 말했다. 

시스코가 거론한 구체적인 위협의 사례로는 다음과 같은 것들이 있다. 

- 일반 라우터 캡슐화(GRE) 터널을 생성하고 DNS 트래픽을 하이재킹하여 공격자에게 DNS 확인을 관찰하고 제어할 수 있는 능력을 부여한다.
- 메모리를 수정하여 패치가 완료된 취약점을 재도입하여 공격자가 2차 접속 경로를 확보하도록 한다.
- 감염된 기기의 설정을 수정해 공격자가 추가 공격을 실행할 수 있는 상태로 전환한다.
- 공격자에게 추가 기능을 제공하는 악성 소프트웨어를 인프라 기기에 설치한다.
- 특정 구성을 마스킹하여 일반 명령에서는 잘 표시되지 않도록 한다. 

으레 그렇듯 권장되는 행동은 소프트웨어를 최신 상태로 유지하는 것이다. 위험이 완전히 제거되지는 않지만, 위험 요소가 크게 줄어든다고 커밍스는 설명했다.

그는 또 기기 동작에 대한 가시성을 높이라고 권고했다. 커밍스는 “디바이스에서 발생하는 모든 변경 사항이나 액세스를 보고 이해할 수 있어야 한다”라고 말했다. 

시스코 블로그에서는 다음과 같은 방법도 제안하고 있다. 

- 복잡한 비밀번호와 커뮤니티 문자열을 선택하고 기본 자격 증명을 피한다.
- 다단계 인증 사용.
- 모든 모니터링 및 구성 트래픽 암호화(SNMPv3, HTTPS, SSH, NETCONF, RESTCONF)
- 자격 증명 시스템을 잠그고 적극적으로 모니터링한다.
- 수명이 다한 하드웨어 및 소프트웨어를 실행하지 않는다.
ciokr@idg.co.kr
 
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.