Offcanvas

CSO / 랜섬웨어 / 보안

“솔라윈즈 공격 후 1년”··· 2021 네트워크 보안 사고가 남긴 교훈 4가지

2021.12.31 Susan Bradley  |  CSO
2021년의 마지막 날이다. 보안 전문가들이 다가오는 2022년의 보안 문제를 전망하고 있다. 내년에 어떤 일이 일어날지 예측하는 것도 중요하지만 올 한 해를 달군 보안 위협을 뒤돌아보면서 교훈을 얻는 것도 중요하다. 
 
ⓒGetty Images

솔라윈즈 공격: 벤더의 보안 태세를 알고 있어야 한다 
솔라윈즈 소프트웨어 공급망 공격이 발생한 지 1년이 됐지만 아직도 이 공격 유형의 가능성을 완전하게 파악하지는 못했다. 공격자들은 은밀했고, 공격을 받은 회사 가운데 하나인 파이어아이(FireEye)가 침입을 모니터링하고 감지하는 역량이 뛰어났기 때문에 포착될 수 있었다. 

기업들이 이러한 공격이 발생했는지 알 수 있는 도구와 리소스를 갖추고 있는지 의문이다. 이를 몰랐을 뿐만 아니라 알 수 있을 만한 리소스도 없는 회사가 많으리라 예상된다. 마이크로소프트에 따르면 공격자들은 높은 액세스 권한을 가진 계정을 포함해 조직의 기존 사용자 및 계정을 모방하는 SAML 토큰을 위조할 수 있었다. 

이는 조직에 설치한 소프트웨어의 출처를 고려해야 한다는 뜻이다. 여기에 조직의 보안 프로세스는 말할 것도 없고, 소프트웨어 벤더와 해당 업체의 보안 프로세스까지도 신뢰할 수 있는지 확인해야 한다. 

교훈: 소프트웨어 벤더와 (해당 업체의) 보안 프로세스를 검토하라. 특히 액세스 권한이 높은 계정의 비정상적인 행위를 찾아야 한다. 새 연합 트러스트를 생성하거나 메일읽기(mail.read) 또는 메일읽기/쓰기(mail..readwrite) 등의 작업을 수행하는 프로세스에 인증이 추가될 때도 조사해야 한다. 이 밖에 네트워크 경계 방화벽에서 알려진 C2 엔드포인트를 차단해야 한다. 

익스체인지 서버 공격: 레거시 시스템을 보호하라 
지난 3월 매우 파괴적인 공격이 발생했다. 로컬로 설치된 익스체인지 서버가 제로-데이 결함을 사용하는 직접적인 공격을 받은 것이다. 마이크로소프트는 처음엔 (이것이) 표적 공격이라고 밝혔지만, 이후 (해당 공격이) 훨씬 더 광범위하다는 사실이 드러났다. 

마이크로소프트는 수많은 메일 서버가 참담한 수준으로 패치돼 있지 않다는 사실을 발견했다. 그렇지만 이를 신속하게 최신 상태로 만들기가 쉽지 않았다. 이 회사는 고객을 안전하게 보호하기 위해 구형 플랫폼용 패치를 준비해야 했다. 심지어 FBI는 (아직 보호되고 있지 않은) 美 전역의 익스체인지 서버에 직접 들어가 웹 셸을 청소하기까지 했다. 

교훈: 모든 레거시 서버가 보호되고 있는지 확인하라. 특히 온프레미스 익스체인지 서버는 더 빈번하게 공격 표적이 된다. 이러한 레거시 시스템을 패치하기 위해 적절한 리소스를 할당해야 한다. 

이메일은 이메일을 통해 유입되는 피싱 공격과 이러한 서버 패치의 어려움을 알고 있는 공격자들 때문에 더 큰 위험에 노출된다는 측면에서 네트워크의 핵심 진입 지점이라고 할 수 있다.

또한 벤더가 제공하는 위협 및 위험 평가를 무조건 믿어서는 안 된다.  마이크로소프트는 처음에 공격이 제한적이고 표적화됐다고 발표했지만 공격은 훨씬 더 광범위했고, 심지어 소규모 회사까지 영향을 받았다.  

프린트나이트메어: 프린터를 최신 상태로 유지하라 
이어서 올해의 대표적인 보안 사건 중 하나는 거의 6개월이 지난 지금도 여전히 씨름 중인 문제다. 지난 7월 마이크로소프트는 ‘프린트나이트메어(PrintNightmare)’라는 취약점에 대한 비정기적 업데이트를 배포했다. 네트워크 관리자에게 이 프린트나이트메어는 프린트 관리의 악몽으로 변했다. 

프린트 스풀러 소프트웨어는 NT 시대의 오래된 코드다. 마이크로스프트에게 이 코드를 다시 쓰라고 촉구하는 사람들이 많다. 하지만 그렇게 되면 서드파티 프린터 벤더에 심각한 혼란을 초래할 수 있다. 팬데믹으로 인해 원격 프린팅 프로세스가 늘어났지만 심지어 PDF 프린터조차 프린트 스풀러를 사용한다. 

12월이 된 지금도 7월부터 배포된 여러 프린트 스풀러 패치의 부작용을 추적하고 있다. 몇몇 프린트 관련 문제에 관한 수정사항은 12월 말 릴리즈된 선택적 업데이트에 포함됐다. 이는 윈도우 프린트 서버에서 공유되는 원격 프린터에 연결할 때 윈도우 프린트 클라이언트에서 발생할 수 있는 다음의 오류를 수정한다. 

0x000006e4 (RPC_S_CANNOT_SUPPORT)
0x0000007c (ERROR_INVALID_LEVEL)
0x00000709 (ERROR_INVALID_PRINTER_NAME)


교훈: 팬데믹일지라도 프린트는 해야 한다. 업데이트에 프린트 스풀러 서비스의 수정사항이 포함돼 있다면 적절한 리소스를 할당해 업데이트 전에 이를 테스트해야 한다. 패치매니지먼트닷오알지(PatchManagement.org), 레딧의 시스어드민(Sysadmin) 포럼 등 서드파티 리소스를 사용해 부작용 및 우회수단을 모니터링하라. 우회수단은 회사를 보호되지 않는 상태로 두는 것보다는 낫다. 프린트 스풀러 서비스는 프린트할 필요 없는 서버 및 워크스테이션에서는 비활성화해야 하고, 인쇄가 반드시 필요한 기기와 서버에서만 켜야 한다. 

랜섬웨어: RPC 및 SMB 통신을 차단하라 
2022년 목격하게 될 보안 사건 가운데 랜섬웨어는 여전히 주요 위험 요소일 것이다. 이는 이제 사이버 보험 정책에 포함됐고, 미국 정부는 이러한 위험에 노출된 기업들에게 보호, 정보, 지침을 제공하기 위해 대책 본부를 조직했다. 

교훈: 로컬 및 네트워크 방화벽을 사용해 RPC 및 SMB 통신을 차단하라. 이는 측면 이동 및 다른 공격 행위를 제한할 것이다. 변조 방지 기능을 설정하여 공격자들이 보안 서비스를 중단시키지 못하도록 하라. 강력한 무작위 로컬 관리자 비밀번호를 적용하라. 로컬 관리자 암호 솔루션(LAPS)을 활용해 무작위 비밀번호를 사용하는 것도 좋다. 

또한 이벤트 로그 제거를 모니터링하라. 이벤트 로그 제거 시 윈도우는 보안 이벤트 ID 1102를 생성한다. 아울러 인터넷 연결 자산이 최신 보안 업데이트를 하고 있는지 확인하라. 이러한 자산을 정기적으로 감사하여 의심스러운 행동을 파악해야 한다. 

마지막으로, 액세스 권한이 높은 계정이 로그인돼 자격증명을 노출하고 있는지 확인하라. 로그온 이벤트(이벤트 ID 4624)를 모니터링하고 조사해 로그온 유형 속성을 파악하라. 액세스 권한이 높은 계정은 워크스테이션에 있어서는 안 된다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.