최근 중국 해적단 소금 태풍이 통신사와 국가들을 대상으로 수행한 것으로 추정되는 공격들이 브라질을 포함하여 전 세계를 경계심에 빠뜨리고 있다. 뉴스는 침입의 정교함 수준에 대해 이야기하며, 더 우려스러운 점은 범죄자들이 이론적으로 여전히 이들 회사의 네트워크 내에 있다는 것이다.
이 그룹에 대한 최초 정보는 2021년에 나왔으며, 당시 마이크로소프트 위협 인텔리전스 팀은 중국이 여러 인터넷 서비스 제공업체에 성공적으로 침투하여 기업을 감시하고 데이터를 수집하는 방법에 대한 정보를 공개했습니다. 그 그룹이 수행한 최초의 공격 중 하나는 Cisco 라우터의 취약점을 이용한 것으로, 이 라우터들은 이러한 장치를 통해 발생하는 인터넷 활동을 모니터링하는 게이트웨이 역할을 하고 있었습니다. 일단 접근이 이루어지면 해커들은 추가 네트워크로 범위를 확장할 수 있었다. 2021년 10월, 카스퍼스키는 사이버 범죄자들이 베트남, 인도네시아, 태국, 말레이시아, 이집트, 에티오피아, 아프가니스탄 등 다른 나라로 공격을 확장했다고 확인했습니다.
처음 취약점들이 2021년부터 이미 알려져 있었는데 왜 아직도 공격을 받았나요? 답은 바로 우리가 일상에서 이러한 취약점을 어떻게 다루느냐에 있습니다.
위반 방법
이제 최근 며칠 동안 미국 정부의 정보는 "기업과 국가"에 대한 일련의 공격을 확인했으며, 이는 Ivanti 제조사의 VPN 애플리케이션의 알려진 취약점을 통해 발생했으며, Fortinet Forticlient EMS, Sophos 방화벽, Microsoft Exchange 서버 모니터링에 사용된 것으로 밝혀졌습니다.
마이크로소프트의 취약점은 2021년에 공개되었으며, 바로 그 후에 회사가 수정 사항을 발표했습니다. Sophos 방화벽의 취약점은 2022년에 공개되었으며 2023년 9월에 수정되었습니다. Forticlient에서 발견된 문제는 2023년에 공개되었으며 2024년 3월에 수정되었습니다. Ivanti의 문제도 2023년에 CVE(공통 취약점 및 노출)가 등록되었습니다. 그 회사는 그러나 지난 10월에야 그 취약점을 수정했습니다.
이 모든 취약점은 범죄자들이 합법적인 자격 증명과 소프트웨어를 사용하여 공격받은 네트워크에 쉽게 침투할 수 있게 했으며, 이는 이러한 침입을 감지하는 것을 거의 불가능하게 만듭니다. 그 이후로 범죄자들은 이러한 네트워크 내에서 측면으로 이동하며, 장기 스파이 활동에 도움을 주는 악성코드를 배포했습니다.
최근 공격에서 우려스러운 점은 Salt Typhoon 그룹의 해커들이 사용하는 방법이 이전에 중국 정부 기관에 귀속된 캠페인에서 관찰된 장기 전략과 일치한다는 것이다. 이 방법들은 정당한 자격 증명을 사용하여 악의적인 활동을 일상적인 작업으로 위장하여 기존 보안 시스템이 식별하기 어렵게 만듭니다. VPN 및 방화벽과 같이 널리 사용되는 소프트웨어에 대한 집중은 기업 및 정부 환경의 취약점에 대한 깊은 이해를 보여줍니다.
취약점 문제
취약점이 드러내는 것도 우려스러운 패턴을 보여줍니다: 패치와 업데이트 적용의 지연. 제조업체들이 제공한 수정 사항에도 불구하고, 많은 기업들의 운영 현실은 이러한 솔루션의 즉각적인 구현을 어렵게 만듭니다. 호환성 테스트, 미션 크리티컬 시스템의 중단을 방지해야 하는 필요성 및 경우에 따라 결함의 심각성에 대한 인식 부족이 노출 창을 확대하는 데 기여합니다.
이 문제는 단순히 기술적인 것뿐만 아니라 조직적이고 전략적인 것으로, 프로세스, 우선순위, 그리고 종종 기업 문화와 관련되어 있습니다.
중요한 측면은 많은 기업들이 패치 적용을 운영 연속성에 비해 '부수적인' 작업으로 취급한다는 점입니다. 이것은 일시 중단 딜레마라고 불리는 상황을 만들어내는데, 여기서 리더들은 시스템 업데이트를 위해 일시적인 서비스 중단과 미래에 발생할 수 있는 잠재적 위협의 위험 사이에서 결정해야 합니다. 그러나 최근 공격들은 이러한 업데이트를 미루는 것이 재정적 및 평판 측면에서 훨씬 더 비용이 많이 들 수 있음을 보여줍니다.
또한, 호환성 테스트는 일반적인 병목 현상입니다. 많은 기업 환경, 특히 통신과 같은 분야에서는 구식 기술과 현대 기술이 복잡하게 결합되어 운영되고 있습니다. 이로 인해 각 업데이트마다 종속 시스템에 문제가 발생하지 않도록 상당한 노력이 필요하게 됩니다. 이러한 유형의 주의는 이해할 수 있지만, 더 강력한 테스트 환경과 자동화된 검증 프로세스와 같은 관행을 채택하여 완화할 수 있습니다.
패치 적용 지연에 기여하는 또 다른 요인은 결함의 심각성에 대한 인식 부족입니다. 종종 IT 팀은 특정 CVE의 중요성을 과소평가하는데, 특히 그것이 아직 널리 악용되지 않은 경우에 그렇다. 문제는 공격자들이 기회의 창이 조직이 문제의 심각성을 인식하기 전에 열릴 수 있다는 점입니다. 이것은 위협 인텔리전스와 기술 공급자와 기업 간의 명확한 커뮤니케이션이 큰 차이를 만들 수 있는 분야입니다.
마지막으로, 기업들은 취약점 관리를 위해 보다 적극적이고 우선순위가 높은 접근 방식을 채택해야 하며, 여기에는 패치 프로세스의 자동화, 네트워크 세분화, 잠재적 침입의 영향을 제한하는 것, 정기적인 공격 시뮬레이션 루틴이 포함되어 있어 잠재적인 "약점"을 찾는 데 도움이 됩니다.
패치 및 업데이트 지연 문제는 단순한 기술적 도전 과제일 뿐만 아니라, 조직이 보안 접근 방식을 보다 민첩하고 적응력 있으며 회복력 있게 변화시키는 기회이기도 합니다. 무엇보다도, 이 운영 방식은 새롭지 않으며 수백 가지의 다른 공격도 동일하게 수행되고 있습니다.작전 방식,취약점에서 시작되어 출입구로 사용되는 것들. 이 교훈을 활용하는 것은 피해자가 될지 아니면 다음 공격에 대비할 준비가 되어 있을지의 차별점이 될 수 있습니다.
