중국 해커그룹이 시스코 네트워크 장비 취약점을 악용해 데이터 탈취와 시스템 장악을 시도한 사실이 드러났다. 현재 시스코는 시스템에 보안 패치를 적용해 결함을 보완했다.
23일 보안 기업 시그니아 보고서에 따르면 중국 해커 그룹 '벨벳 앤트(Velvet Ant)'는 이런 방식으로 사이버 공격을 올해 초 시도했다. 시스코 네트워크 장비 일종인 스위치 취약점 'CVE-2024-20399'로 맞춤형 악성코드를 생성·전달한 것으로 나타났다.
스위치는 컴퓨터를 비롯한 서버, 프린터 등을 네트워크에 연결해 원활한 데이터 전달을 돕는 장비다. 스위치가 데이터를 받아 목적지 주소를 분석한 뒤 이를 적절한 장치에 전달하는 식이다. 이 과정에서 네트워크 성능을 최적화하고 트래픽 병목 현상 예방을 돕는다.
당시 CVE-2024-20399는 관리자만 접근 가능한 스위치 관리 콘솔에서 악용될 수 있는다는 취약점을 갖고 있었다. 해커가 관리자 권한만 획득하면 해당 취약점으로 운영 체제를 임의로 실행할 수 있어서다. 이를 통해 데이터 탈취와 원격 접속 등이 가능하다.
보고서는 벨벳 앤트 수법이 예상보다 정교했다고 평가했다. 해커 그룹이 공격 초기 단계에서 새 윈도 시스템을 침투한 후, 탐지를 피하고자 레거시 윈도 서버와 네트워크 장치로 이동하는 다단계 전략을 사용해서다. 이는 해킹 성공 가능성을 높이고, 탐지율까지 낮출 수 있다.
벨벳 앤트가 외부 시스템이 아닌 내부 네트워크 장치로 공격 초점을 옮긴 점도 주목할 만하다고 주장했다. 보통 내부 네트워크 장치는 탐지 우선순위에서 제외되는 경우가 많다. 이에 해커 그룹은 내부 네트워크에 집중 침투해 탐지를 지속적으로 피할 수 있었다.
관련기사
- "김수키와 수법 비슷"...시스코, 북한 해커그룹 추가 정황 포착2024.08.22
- "산업 보안 더 두텁게"…포티넷, OT 제품군 업그레이드2024.08.22
- 앤앤에스피, K보안으로 베트남 시장 공략2024.08.22
- 공공 시장 노린 수산아이엔티, 보안 솔루션 4종 조달청 등록 완료2024.08.21
이 그룹은 악성 코드 '벨벳쉘(VELVETshell)'를 활용해 시스코 스위치 보안 결함을 악용한 점도 드러났다. 해당 코드는 오픈소스 도구 유닉스 백도어(Tiny shell)와 프록시 유틸리티(3proxy)가 융합돼 이뤄졌다. 해커는 이 악성 코드로 감영된 시스템에 명령을 실행하거나 파일을 전송하고 네트워크 트래픽을 우회하는 터널을 만들 수 있다.
외신은 "최근 해커가 외부 공급업체 장비나 소프트웨어 취약점을 이용해 공격을 진행할 수 있다"며 "조직 내 보안 취약점을 공격 수단으로 삼을 수 있다"고 지적했다. 이어 "기업은 외부 공급업체 기술 도입 시 신중하게 보안 검토를 해야 한다"고 덧붙였다.