지난해 발견돼 전 세계를 사이버위협 공포로 몰아 넣은 '로그4j 취약점(로그4셸)'이 여전히 해킹 공격에 활발히 악용되고 있는 것으로 나타났다.
미국 사이버 보안 담당 기관인 사이버보안 및 인프라 보안국(CISA)은 최근 홈페이지를 통해 로그4셸 패치 적용이 안 된 VM웨어 호라이즌 서버를 노린 해킹 공격이 포착돼 주의가 필요하다는 내용의 보안 경고를 게시했다.
로그4셸은 자바 프로그래밍 언어로 작성된 애플리케이션에 필수적으로 사용되는 자바 로깅 라이브러리인 '로그4j'에서 발견된 원격코드실행(RCE) 취약점이다. 로그4j가 전 세계적으로 광범위한 시스템에 사용되고 있는데다가, 해당 취약점을 악용해 해커가 마음대로 악성코드를 실행할 수 있어 "컴퓨터 역사상 최악의 취약점"이라는 수식이 붙었다.
로그4셸은 지난해 12월 보안연구원들에 의해 발견된 후 즉시 패치가 배포됐지만, 여전히 패치되지 않은 시스템들이 존재해 조직의 보안 위협이 되고 있다.
이번 CISA 보안 경고에 따르면 국가 배후의 해커조직들이 패치 적용이 안된 VM웨어 호라이즌 서버에서 로그4셸을 악용해 지능형지속위협(APT) 공격을 펼치고 있는 것이 확인됐다. VM웨어 호라이즌은 글로벌 IT 기업 VM웨어가 제공하는 데스크톱 가상화 솔루션이다.
CISA는 한 APT 공격자가 손상된 시스템에 원격 명령 및 제어(C2) 기능을 수행하도록 하는 멀웨어를 삽입한 사례를 공개했다. 이 공격자는 네트워크 내에서 이동해 재해 복구 네트워크 액세스권한을 얻고 민감한 데이터를 수집·유출했다.
CISA는 또, 한 조직이 여러 해커 그룹에 의해 침해된 사례도 공개했다. 해커 그룹 중 하나는 패치가 적용되지 않은 VM웨어 호라이즌 서버에서 로그4셸을 이용해 액세스 권한을 얻어, 1월부터 이 조직의 네트워크에 침입해 있었다.
이 해커그룹은 파워셸 스크립트를 사용해 다른 제품의 서버로 이동할 수 있었다. 그 다음 손상된 관리자 계정을 사용해 원격지에 있는 공격자에게 C2 기능을 제공하는 멀웨어를 실행했다.
멀웨어 감염으로 C2 서버가 되면 해커가 시스템의 데스크톱을 원격으로 모니터링하고, 리버스 셸(공격자쪽의 서버포트를 열고 타깃에서 접속해 생성하는 셸) 접근권을 얻어 데이터를 탈취할 수 있다. 이런 수법으로 해커그룹은 이 조직에서 3주간 총 130GB 이상의 데이터를 빼내갔다.
VM웨어 호라이즌이 로그4j 취약점 공격의 집중 타깃이 되는 이유는 대기업이 많이 쓰고 있기 때문이다.
최근 IBM이 인수한 오펜시브 보안업체 랜도리는 지난 4월 보고서에서 해커가 가장 공격하기 쉬운 로그4j 시스템 1위로 VM웨어 호라이즌을 꼽았다.
관련기사
- 로그4j 취약점 스캐너 '오픈소스'로 공개했더니 생긴 일2022.04.13
- "제2의 로그4j 사태 또 온다...개발 단계서 오픈소스 점검 해야"2022.03.11
- '로그4j' 사태 후 50일.."몇 년은 지켜봐야"2022.01.31
- 쓸 땐 좋았는데...'오픈소스 보안' 문제 환기한 로그4j2021.12.29
"VM웨어 호라이즌은 대기업의 10%가 인터넷에 노출된 인스턴스를 가지고 있다"며 "이런 이유로 로그4j 취약점이 발견된 후 VM웨어 호라이즌에 대한 공격이 몇 주 만에 이뤄졌다"고 설명했다.
CISA는 지난해 12월 배포된 VM웨어의 로그4셸 보안 업데이트를 즉시 적용하지 않은 경우, 해당 시스템은 손상된 것으로 간주하고 사고대응 절차에 따라야 한다 조언했다. 조사 결과 손상이 감지 되지 않았다면, 가능한 빨리 업데이트를 적용하라고 덧붙였다.