[이미지 = utoimage]

당연하지만 MS의 최초 권고는 일종의 긴급 처방이었으며, 영구한 대책이 될 수는 없었다. 여러 보안 전문가들은 MS의 이러한 권고가 발표되자마자 공격자들이 곧바로 대책을 마련했다고 증언하기도 했다. 카네기멜론대학에서도 마이크로소프트의 위험 완화 대책이 일시적인 것임을 강조하는 발표문을 냈다. 이번에 마이크로소프트에서 발표한 건 보다 새로운 내용을 담고 있다.

먼저 MS는 일부 보안 전문가들이 주장했듯이 URL에 추가해야하는 문자열에서 @를 빼는 게 낫다고 정정했다. 즉 .*autodiscover\.json.*Powershell.*가 더 권장된다는 것이었다. 여기에 더해 MS는 사용자들이 URL 수정에 활용할 수 있는 스크립트를 새로 고치기도 했다. 그에 따라 스크립트 적용 가이드라인을 일부 수정했다. 익스체인지 서버 사용자라면 원격 파워셸 접근을 철저히 관리하라는 내용도 추가됐다.

CVE-2022-41040과 CVE-2022-41082는 올해 8월부터 해킹 공격에 활용되어 온 것으로 보인다. 피해자는 소수의 일부라고 하며 공격자들은 고도의 표적 공격에서만 이 취약점들을 익스플로잇 했다. 취약점에 노출된 서버는 MS 익스체인지 서버 2013, 2016, 2019 버전들 중 인터넷에 곧바로 연결되어 있는 것들이다. 미국의 사이버 보안 전담 기관인 CISA는 공격자들이 이 취약점들을 활용해 시스템을 장악한다고 경고하기도 했다.

마이크로소프트 익스체인지 온라인(Microsoft Exchange Online)의 경우 이 취약점으로부터 안전하다고 MS는 주장하고 있지만 일각에서는 의심된다는 의견이 나오고 있다. 익스체인지 온라인 사용자들이라고 하더라도 하이브리드 서버를 운영해야만 하던 게 최근까지의 상황이었고, 그렇기 때문에 위에서 언급된 세 가지 서버(2013, 2016, 2019)를 병행하여 운영하고 있었다면 자유로울 수 없다는 것이다.

보안 전문가들 사이에서는 이 두 가지 제로데이 취약점이 프록시낫셸(ProxyNotShell)이라는 이름으로 불리고 있다. 작년 익스체인지에서 발견된 프록시셸(ProxyShell) 취약점들과 여러 가지 면에서 비슷하기 때문이다. 최근에 나온 프록시낫셸의 경우 아직까지 패치가 나오지 않고 있다.

보안 업체 콘트라스트시큐리티(Contrast Security)의 CISO인 데이비드 린드너(David Lindner)는 “보안 픽스 개발에 시간이 걸리는 건 흔히 있는 일”이라고 말한다. “취약점이라는 건 언제나 표면에 나타나는 결과죠. 그 취약점을 유발하는 원인은 좀 더 깊은 데에 있고요. 그걸 알아내서 고치는 게 픽스이고, 따라서 과정이 쉽지만은 않습니다. 게다가 근본 원인이 하나 이상인 경우도 있어서 픽스를 내고도 다른 익스플로잇이 여전히 성립할 때가 있습니다. MS도 진짜 원인을 지금 열심히 찾고 있을 겁니다.”

현재까지 알려진 바 CVE-2022-41040은 일종의 서버 측면의 요청 조작(SSRF) 취약점이다. 공격자들은 이를 이용해 권한을 상승시킬 수 있게 된다. CVE-2022-41082는 원격 코드 실행 취약점으로, 공격자들이 원격에서 파워셸에 접근할 수 있게 된다. 그리고 초퍼(Chopper)라는 웹셸을 심어 액티브 디렉토리를 염탐한다.

이 두 취약점은 현재까지 연쇄적으로 익스플로잇이 되는 중이라고 한다. 하지만 개별 익스플로잇을 통한 공격도 당연히 가능하다. 다만 어떤 식으로 익스플로잇을 하든 공격자는 피해 시스템의 인증 과정을 통과해야만 한다. 정식 크리덴셜을 훔쳐내든, 다크웹에서 구매하는 과정이 필요하다는 뜻이다. 하지만 이는 공격자들에게 그리 큰 장애가 아니기 때문에 제한 조건이라고 하기 힘들다고 보안 업체 GTSC는 설명한다. GTSC는 이 취약점들을 제일 먼저 발견해 MS에 알린 업체다.

3줄 요약

1. MS 익스체인지 서버에서 또 다시 제로데이 취약점 두 개 발견됨.

2. 작년에 발견된 프록시셸 취약점들과 비슷해서 프록시낫셸이라는 이름이 붙음.

3. 아직 패치 나오지 않았지만 위험 완화 대책은 두 번 발표됨.

[국제부 문가용 기자(globoan@boannews.com)]