대부분의 기업들은 재택근무나 원격근무를 위하여 SSL VPN을 널리 사용한다. SSL VPN을 통하면 기업 내부망에 접근이 가능하기 때문에 인가된 직원과 인증된 사람만 접속할 수 있게 해 두는 것이 일반적이고, 해커 역시 SSL VPN을 해킹하면 기업 내부로 침투할 수 있다는 사실을 매우 잘 알고 있다. 따라서 대부분의 SSL VPN 은 ID/PW라는 1차원적인 인증 체계 외에 OTP 인증을 추가적으로 설정하여 ID/PW가 탈취된다 하더라도 쉽게 SSL VPN 로그인을 하지 못하도록 조치하고 있다. 사실상 이 내용은 기업들의 권고 사항 수준이 아닌 반드시 수행해야만 하는 필수 사항이다. 

보안 설정 미흡으로 해킹된 Cisco SSL VPN

하지만 생각보다 SSL VPN에 OTP 설정이 제대로 처리되지 않은 곳이 아직도 은근히 많으며, 그 중에서도 전 세계적으로 가장 많은 사용자를 가진 Cisco ASA 이슈가 최근에 부각되고 있다. Cisco ASA는 SSL VPN을 제공하는 어플라이언스 장비로, 방화벽과 SSL VPN 기능을 동시에 제공하고 있다. 최근 Rapid7이 발표한 Cisco ASA 방화벽의 SSL VPN 해킹 이슈에 따르면, 해커들은 OTP가 반영되지 않은 Cisco VPN에 크리덴셜 스터핑 공격 등의 무차별 대입 공격을 이용하여 SSL VPN을 공격하고 있고, 기업 내부로 침투하는 사건들이 발생하고 있다고 전했다. 

Rapid7의 내용에 따르면, 최근 11건의 침해사고 이슈가 보안 설정이 느슨한 Cisco SSL VPN 으로 인해 시작된 공격이었다고 한다.
SSL VPN을 통해 내부망으로 들어온 해커는 원격근무를 하는 직원들과 동일한 권한을 갖게 되었고, 내부의 윈도우즈 서버 등 다양한 시스템에 접근하여 기업의 내부를 파헤치고 다닐 수 있었으며 Akira, LockBit 그룹의 랜섬웨어를 기업 내부에 배포했다고 전했다. 

Criminal IP에서 “ssl vpn”으로 검색하면, 많은 ssl vpn을 찾아볼 수 있다. Top Products를 봐도 SonicWall이나 ZyWALL 등의 많은 SSL VPN 장비들도 보인다
Criminal IP에서 “ssl vpn”으로 검색하면, 많은 ssl vpn을 찾아볼 수 있다. Top Products를 봐도 SonicWall이나 ZyWALL 등의 많은 SSL VPN 장비들도 보인다

공격 대상이 된 보안 설정이 미흡한 SSL VPN

이 해킹은 근본적으로 OTP 설정이 되어 있지 않은 Cisco VPN을 사용하고 있는 것이 원인으로 확인되며, 또한 OTP 설정이 느슨하게 되어 있는 경우에도 공격이 발생할 수 있다. 설정이 느슨한 경우의 예로는, 마스터 OTP 값이나 디폴트 계정으로 로그인하는 공장 초기화 설정이 그대로 방치되어 있는 경우를 볼 수 있다. 또한 SSL VPN 장비의 보안 패치 문제도 원인이 될 수 있다. 예를 들어 예전 북한 해킹으로 발표된 대한민국의 한국원자력연구원 내부침투 해킹 사건도, OTP 설정은 되어 있었지만 보안 패치가 되어있지 않은 SSL VPN의 문제로 확인된 바 있다. 

이와 관련해서 Cisco PSIRT (Product Security Incident Response Team) 에서는 이 같은 공격을 차단하기 위해 SSL VPN에 OTP 설정을 반드시 설정해야 하고, Cisco ASA의 보안 패치를 최신으로 해 놓는 것을 권고하였다. 또한 Cisco ASA가 디폴트 계정으로 설정되어 있지 않은 지 점검하고, 침해 사고가 발생했을 시 공격 루트를 분석하기 위해 VPN 접속자의 로깅을 활성화 시켜 두어야 한다고 권고하고 있다. 따라서 각 기업들은 자사의 기업에서 사용하는 SSL VPN의 보안 점검을 다시 한번 확인해야 하며, 공격 표면 관리와 더불어 다음 방법을 통하여 정기적으로 이를 체크하는 것을 게을리하지 말아야 한다.

아래 리스트에는 Cisco PSIRT의 권고사항과 더불어 추가적인 해결 방안도 함께 추가하였다.

  • OTP가 정상적으로 설정되어 있는지 점검
  • Default 계정이나, Master OTP 값이 노출되어 있지 않은 지 점검
  • 공격 표면 관리: SSL VPN 장비의 보안 업데이트 수행
  • SSL VPN 장비의 로깅 활성화
  • SSL VPN 장비의 크리덴셜 스터핑 공격 방어 솔루션, FDS 등의 적용

RDP 포트 가동 이력이 발견된 해커의 공격 IP 주소

한편, Rapid7이 공개한 해커의 공격 IP 주소 중 하나인 176[.]124[.]201[.]200에는 현재는 오픈된 포트가 존재하고 있지 않지만, Criminal IP의 Historical Information 기능을 이용하여 과거 데이터를 살펴본 결과 2023-02-26 에 RDP(Remote Desktop Protocol, 원격 데스크톱 프로토콜) 포트(3389/TCP) 가 가동되고 있었음을 확인할 수 있다.

보통 RDP의 경우는 특정 서버의 RDP를 해킹한 뒤 그곳에서 다시 또다른 RDP를 해킹하는 형태로 이루어진다 (RDP Worm). 따라서 이 서버도 누군가로부터 해킹 당하여 RDP 포트를 통해 또다른 봇넷 서버와 통신하고 있었을 것이며, RDP Worm 방식으로 또다른 RDP 서버를 감염시켰을 가능성도 크다.

SSL VPN보다 한편으로는 더 무서운 것은 SSL VPN 인증을 받지 않고도 기업의 서버 안쪽으로 들어올 수 있는 방법이며, 그 중 하나는 RDP를 이용한 원격제어 방법이다. 따라서 SSL VPN의 공격 표면 관리와 더불어 기업이 보유한 서버들에 대해 RDP/SSH 등의 원격제어가 가능한 프로토콜도 공격 표면 관리에 포함시켜 정기적으로 점검해야 한다.

Criminal IP의 Historical Information 기능으로 Cisco SSL VPN 공격자 IP 주소의 과거 데이터를 살펴본 결과
Criminal IP의 Historical Information 기능으로 Cisco SSL VPN 공격자 IP 주소의 과거 데이터를 살펴본 결과

관련하여 공격 표면에 노출된 키오스크 시스템 글을 참고할 수 있다.

이 리포트는 사이버위협인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다.
지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다.

데이터 출처: Criminal IP(https://www.criminalip.io/ko)

관련 글: 

키오스크 해킹: 공격 표면에 노출된 키오스크 시스템