코로나19 확산 사태로 원격 수업이나 재택 근무 등의 비대면 문화가 확산되고 있는 가운데, 협업 도구 취약점을 악용한 원격제어 공격 수법이 발견돼 이용자들의 주의가 요구된다. 블루투스 기술의 보안 허점이 도청을 가능케 하는 문제점도 드러났다. 보안 업데이트가 이뤄지지 않은 윈도 운영체제(Windows OS)에서 정보 유출이 일어날 수도 있다는 사실도 밝혀졌다.

한국인터넷진흥원(KISA)는 이 같은 내용을 담은 '사이버 위협 동향보고서(2020년 3분기)'를 최근 공개했다. KISA는 보고서에서 이들 해킹 위협을 예방하기 위해서는 업데이트를 실시해야 한다고 결론지었다.

보고서에는 해외 사이버 위협 동향, 사이버 위협 통계, 전문가 컬럼 등의 내용도 담겨 있다. 보고서는 보호나라 웹사이트(www.boho.or.kr)의 '자료실-보고서' 웹페이지에서 내려받을 수 있다.

■비대면 문화 속 사이버 위협 증가

KISA는 비접촉 방식의 정보 전송에 대한 요구가 커지고 있는 상황에서 블루투스와 같은 보편적인 정보통신기술(ICT)에 대한 취약점은 시민들의 일상 생활을 더욱 위협하는 요소가 될 것이라고 전망했다.

현재 코로나19의 영향으로 우리 사회는 비대면 생활을 유지하기 위해 최대한 노력하고 있다. 실제로 많은 기업이 원격 근무를 시행하고 있으며, 학생들도 원격으로 학습을 진행하고 있다.

이에 따라 인터넷 의존도가 높아지면서 스마트폰 사용 시간이나 빈도가 늘고 있으며 편리한 근거리 통신 방식인 블루투스의 활용 분야도 다양화되는 특징이 나타난다. 특히 블루투스(Bluetooth) 기술은 스마트폰에 기본적으로 지원되는 보편적인 통신수단으로, 코로나19 확산을 예방하기 위해 주변 사람들과의 거리두기나 감염자와의 밀접 접촉자를 추적하기 위해 활용되는 등 사용 분야가 늘고 있다는 게 KISA의 설명이다.

아울러 비접촉 커뮤니케이션을 위한 협업 도구의 사용이나 업무 처리를 위해 원격으로 회사 네트워크에 접근하는 상황이 많아지고 있다고 짚었다.

KISA는 이 같은 생활 환경 변화에 따라 사이버 공격의 가능성과 위험도 높아지고 있다고 봤다. '슬랙(Slack)'과 같은 커뮤니케이션 툴을 이용해 정보 교환이 늘어날수록 악의적·비정상적 컨텐츠에 노출될 가능성이 높아지게 된다는 것이다. 또한 원격으로 회사 업무 환경에 접근하는 등 기존의 네트워크 경계가 사라지면서 네트워크에서 발생할 수 있는 위험 노출 또한 증가하고 있다고 짚었다.

보고서에 언급된 취약점들은 일상의 변화로 인해 그 위협의 정도가 달라질 수 있는 예가 될 수 있을 것이라는 게 KISA의 평가다. 내·외부 네트워크의 경계가 허물어지는 추세 속에서 악성 코드 감염 영향이 1대의 단말기에 국한되지 않고 네트워크에 연결된 장치 전체에 확산될 수 있으며 공격 또한 지속적으로 발생할 수도 있다는 것이다. 뿐만 아니라 네트워크 백업을 사용하고 있는 곳에서는 백업 데이터까지도 매우 위험한 상황에 놓일 수도 있다고도 우려했다.

KISA는 "인터넷의 사용이 익숙하지 않은 사용자들이 사용하는 스마트폰을 대상으로 한 정보 탈취나 기업 조직의 내부 시스템을 장악하기 위한 공격 위협이 증가할 것으로 예상된다"며 정보보호 산업계의 선제적·적극적인 대응 필요성을 피력했다.

■인증키 취약점으로 블루투스 장치 접근

KISA는 블루투스 기술에 대해 사용이 편리해 사물인터넷(loT) 기기를 포함해 자동차, 스마트폰 등 우리의 일상에서 매우 많이 이용되는 근거리 무선통신 프로토콜이라고 평가했다. 또한 모든 스마트폰에 블루투스 통신 모듈이 탑재돼 있는 만큼, 블루투스 취약점은 개인정보 등 민감한 정보의 유출 경로가 될 수도 있다고도 봤다.

보고서는 지난 5월에 공개된 블루투스 취약점인 BIAS(CVE-2020-10135)와 KNOB(CVE-2019-9506)에 이어 7월에도 취약점이 추가로 발견된 사실을 다루고 있다. CVE-2020-15802로 알려진 'BLURtooth' 취약점은 블루투스 5.1 이전 버전에서 '중간자 공격(Man-in-the-Middle Attack)'을 가능하게 하는 보안 허점이다.

보고서에 따르면, 이 취약점은 블루투스의 핵심 기능인 키교차전송(Cross-Transport Key Derivation, CTKD) 부분에서 확인됐다.

CTKD 구성 요소는 2개의 블루투스 장치를 페어링할 때 인증키를 협상하는데 사용된다. CTKD는 저전력 블루투스(BLE)와 블루투스 BR·EDR(Basic Rate·Enhanced Data Rate)를 함께 지원하는 블루투스 4.2 버전 이상에서 지원되는 표준 기능이다. 이 기능은 장치가 두가지 전송 유형을 모두 사용할 경우 둘 중 하나만 페어링을 하면 다른 하나도 자동 페어링되도록 한다.

BLURtooth 취약점은 공격자가 CTKD 구성 요소를 조작해 블루투스 인증키를 덮어쓸 수 있고, 이를 통해 공격자가 해당 기기에서 블루투스 사용 가능한 앱에 대한 접근 권한 획득이 가능하다.

KISA는 CTKD의 취약점을 이용하먼 원래 있던 키를 덮어쓰는 방식으로 해당 장비에 자유롭게 접근할 수 있다며, 블루투스 핵심 사양(Core Specification) 5.1 및 패치가 포함된 OS 및 펌웨어 업데이트가 필요하다고 말했다.

■협업 도구 악용 원격제어 공격

KISA는 보고서를 통해 온라인 협업 도구인 슬랙의 보안 취약점 문제를 소개했다.

최근 코로나19 영향으로 원격 근무에 대한 비중이 높아지면서 협업 도구에 대한 의존도가 높아지고 있다며 기업들의 협업 도구 활용이 늘면서 일상 업무의 내용에서부터 기밀에 이르기까지 다양한 정보의 전송이 커뮤니케이션 도구를 통해 전달되고 있다는 설명이다. 이로 인해 안전한 정보 전송에 대한 요구 또한 커지고 있다고 덧붙였다.

만약 수많은 이용자를 보유한 협업 도구에 보안상 '구멍'인 취약점이 존재하고 악의적인 해커가 이를 활용하게 된다면 수많은 정보가 유출될 수도 있다. 실제로, 지난 8월 글로벌 협업 도구인 슬랙에서 원격 코드 실행 취약점이 드러났다고 KISA는 경고했다.

슬랙은 커뮤니케이션 도구로 IT기업과 개발자에게 인기 있는 협업 도구다. 프로젝트나 팀별 단위의 채널을 생성하고 멤버들을 초대해 대화할 수 있으며, 조직 내 구성원들 간 대화 내용은 검색 기능을 통해 다시 찾아볼 수도 있어 편의성이 높은 솔루션이다. KISA는 이 같은 장점으로 정보 공유와 검색에 대한 욕구가 강한 개발자들에게 슬랙이 많은 호응을 받고 있는 만큼 슬랙 이용 시 더 많은 주의가 요구된다고 짚었다.

공개된 취약점은 맥(Mac), 윈도, 리눅스(Linux)용 슬랙 데스크탑 앱 버전 4.4 이하의 버전이 영향을 받는다. 공격자가 HTTPS 서버에 공격 코드를 올린 뒤, HTML 삽입 공격을 통해 게시물을 작성한 후 공유하는 수법이다. 이용자가 게시물을 클릭하면 '인앱(in-app) 리다이렉션 취약점'으로 인해 공격 정보가 슬랙 데스크탑 앱에 로드되면서 임의의 실행코드가 실행된다고 KISA는 설명했다.

KISA는 해커가 이런 수법으로 슬랙 데스크탑 앱(Desktop App)을 완전히 원격제어할 수 있게 된다고 분석했다. 원격제어를 통해 비공개 채널의 대화 내용, 사용자 암호, 토큰 및 키를 포함한 다양한 기능에 대한 접근이 가능하게 된다는 뜻이다.

KISA는 이 같은 보안 허점을 해결하기 위해서는 슬랙 데스크탑 앱을 최신 버전으로 업데이트하고, 신뢰할 수 없는 웹페이지 링크 공유가 일어나지 않도록 해야 한다고 권고했다.

■업데이트 미비 윈도, 원격제어 '구멍'

지난 8월 MS의 OS 제품 취약점으로 발표된 '제로로그온(Zerologon, CVE-2020-1472)'은 공격자가 관리자 권한을 획득해 기업의 액티브 디렉토리(Active Directory)의 도메인 컨트롤러(Domain Controller)에 액세스할 수 있도록 한다.

KISA는 제로로그인의 경우 취약점 위험도 정도를 나타내는 CVSS 스코어에서도 가장 높은 점수인 10점이 부여되는 등 심각도가 매우 높은 것으로 분류되기도 했다고 전했다.

제로로그온 취약점은 지난 8월 보안 업데이트를 통해 패치가 배포됐음에도 불구하고 깃허브(Github) 등에서 해킹 수법 등 상세한 기술적 정보가 공개된 만큼, 해당 취약점으로 인한 피해를 막기 위해 상당한 주의가 필요하다고 말했다.

제로로그온 취약점은 사용자 및 컴퓨터 인증과 관련된 다양한 작업에 사용되는 윈도의 도메인 컨트롤러에서 사용되는 '넷로그온(Netlogon)'이란 원격 프로토콜의 허점을 노렸다. 구체적으로 살펴보면 윈도 OS는 넷로그온 세션을 보호하기 위해 AES-CFB8 암호화 기법을 사용하는데, AES-CFB8 표준에서는 텍스트의 각 바이트는 무작위 초기화 벡터(IV)를 사용함으로써 공격자가 암호를 추측할 수 없도록 하고 있다. 하지만 넷로그온에서 사용되는 'ComputeNetlogonCredential' 함수에서는 초기 벡터값을 랜덤값이 아닌 16비트의 고정된 값으로 설정하는 게 가능하다. KISA는 이를 악용하면 공격자가 해독된 텍스트를 제어할 수 있는 상황을 만들 수 있다고 전했다.

여러 필드가 0으로 채워진 넷로그온 메시지를 공격자가 보냄으로써 인증 조치를 우회할 수 있으며, 이 수법으로 AD에 저장된 도메인 컨트롤러의 컴퓨터 암호에 접근해 다른 암호로 변경하는 것이 가능하다는 것이다.

결국 AES 모드의 잘못된 사용으로 도메인 컨트롤러를 포함한 모든 컴퓨터 계정을 스푸핑하고 도메인의 해당 계정에 대해 빈 암호를 설정할 수 있게 되는 것이다.

KISA는 윈도 OS에 최신 패치를 적용하고, 외부에서 내부 시스템으로 침투하지 못하도록 방화벽 등에서 통제를 강화해야 한다고 조언했다. 현재, 제로로그온 취약점 문제를 해결하는 보안 업데이트는 배포되고 있지만 아직 패치믈 적용하지 않은 윈도 OS에 공격 위험성이 높은 만큼 빠른 업데이트가 필요하다는 결론이다.

박광하 기자 다른기사 보기