- Juniper Networks 제품 세션 스마트 라우터(Session Smart Router, SSR)가 Mirai 봇넷 공격 표적이 됨 - 기본 비밀번호를 사용하는 제품을 감염시켜 DDoS 실행
내용
- 24.12.11 주니퍼는 고객으로부터 SSR 플랫폼에 이상 현상이 발생했다는 보고를 받음 > 기본 비밀번호를 사용하는 시스템들이 Mirai 악성코드에 감염 및 네트워크 내 다른 장치에 DDoS 공격을 실행
- Mirai는 2016년 소스 코드가 유출된 이후 다양한 변종으로 진화 > 기본 자격 증명과 알려진 취약점을 통해 장치를 감염시켜 DDoS 공격에 사용 > 약한 비밀번호 또는 기본 설정을 그대로 사용 중인 장비를 겨냥해 무차별 대입 공격을 실행 > 감염된 장치들은 일반적으로 포트 스캔, SSH를 통한 다수의 로그인 시도, 비정상적인 대량 외부 트래픽 발생, 갑작스런 재부팅 등의 이상 징후를 보임
- 주니퍼는 위협을 완전히 제거하는 유일한 방법으로 장치 재이미징(reimaging) 권고 > 재이미징(reimaging) : 새로 설치하거나 초기화하는 과정
- 아카마이, 새로운 미라이 변종 'Hail Cock' 경고 > DigiEver DS-2105 Pro DVR 장치의 원격 코드 실행 취약점과 약한 비밀번호를 악용 > 텔넷(Telnet)과 SSH 무차별 대입 공격으로 봇넷 규모를 확장 > CVE-2023-1389, CVE-2018-17532 등 취약점 악용 ※ CVE-2023-1389 : TP-Link 라우터의 명령어 삽입 취약점 ※ CVE-2018-17532 : Teltonika RUT9XX 라우터의 비인증 운영체제 명령어 삽입 취약점
- 미라이 봇넷 등 봇넷의 위협 완화를 위해 기본적인 보안 조치 권고 > 기본 비밀번호를 즉시 강력하고 고유한 비밀번호 변경 > 접근 로그를 주기적으로 감사해 비정상적인 로그인 시도나 의심스러운 트래픽을 확인 > 방화벽을 설정해 무단 트래픽을 차단하고 중요한 장치 접근을 제한 > 장치 펌웨어를 최신 상태로 유지하고, 제조사가 지원을 중단한 장비는 교체 > 이상 징후(포트 스캔, 재부팅, 대량의 외부 트래픽 등)에 대한 모니터링을 강화
기타
- 기본 비밀번호와 패치되지 않은 시스템은 네트워크 보안의 가장 큰 약점 > IoT 및 네트워크 장치도 전통적인 엔드포인트와 동일한 수준의 보안 관리가 필요
- 웹 공격 대응, 정보 유출 방지, 부정 접근 방지, 웹 위변조 방지 등 웹 애플리케이션 계층에 대한 공격 탐지 및 차단 수행
API 보안
- 웹 애플리케이션 상의 API 통신을 보호하기 위해, 다양한 API 데이터형식의 구문 확인 및 유효성 검사를 하는 등 탐지 및 차단 수행 - API 트래픽 모니터링: API 트래픽을 모니터링하여 비정상적인 활동 탐지 - API 인증 및 권한 관리: API 사용자의 인증과 권한 관리 지원 - API 취약점 관리: API의 알려진 취약점 관리 및 패치 지원
Bot 완화
- Brute force attack, Fingerprinting, Credential stuffing, Scraping 등 웹 애플리케이션을 공격하는 악성 봇을 식별하고 애플리케이션에 액세스하지 못하도록 차단
DDoS(분산 서비스 거부) 방어
- 애플리케이션 레이어 DoS 방어 기술을 통해 대부분 디도스 공격 방어
2. mTLS (Mutual TLS)
- 서버에 대한 인증(기존 TLS)에 더해 클라이언트에 대한 인증을 추가한 전송 계층 보안프로토콜 [3][4] > 인증서에는 TLS/SSL 버전 정보, 발급 및 만료 날짜, Cipher Suits, 세션 ID 등이 포함 > 민감한 정보를 제공하는 API 환경에서 유용하며, 제로트러스트 보안 모델을 충족 > 중간자 공격, 스푸핑, 비밀번호 관련 공격, 악성 API 요청에 대응 가능
장점
- 서버와 클라이언트가 상호 인증을 수행하여 TLS 보다 안전 - 데이터 암호화 및 전송 중 무결성 제공 - 인증서 기반 인증을 사용하므로 비밀번호에 대한 의존도를 줄임 - 민감한 데이터와 서비에 대한 클라이언트 접근 통제 강화
단점
- 클라이언트와 서버 모두 인증서를 관리해야 하므로 관리 부담 발생(운영 복잡성, 확장성 문제, 구현 비용 증가 등) - TLS 대비 느린 속도 - 인증서 유효 기간 문제 또는 손상 등 장애 발생 시 복구 및 장애 처리 복잡
[사진 1] mTLS
3. 식별정보 클로킹
- API 요청에 포함된 식별정보가 외부에 노출될 경우, 권한을 침해하는 손상된 개체 수준 권한(BOLA) 취약점 발생 가능 > 손상된 객체 수준 권한(Broken Object Level Authorization, BOLA) : 특정 데이터 객체에 액세스하기 위한 사용자 인증을 적절하게 확인하지 못할 때 발생하는 중요한 보안 취약점
- 식별정보 암호화 또는 마스킹 처리를 통해 권한 오용 차단 > 안전한 암호화 알고리즘 및 키 길이 사용 [5] > 공격자가 권한 범위를 초과한 데이터를 조호화지 못하도록 BOLA 방지 > 요청에 포함된 민감 정보의 노출 방지
4. API 토큰 인증 및 무결성 검사
- JSON을 사용하는 경우가 많은 API는 주로 JWT(JSON Web Token)를 사용해 사용자의 인증과 권한 관리 [6][7][8] > JWT의 각 값은 .(dot)으로 구분
JWT 구조
Header
- 서명 시 사용하는 키(kid), 사용할 타입(typ), 서명 암호화 알고리즘(alg)의 정보를 저장
Payload
- 토큰에서 사용할 정보의 조각들인 Key/Value 형태의 클레임(Claim) 저장
Signature
- Header+Payload를 서버의 개인키 및 헤더에서 정의한 알고리즘으로 해시 생성 - 서버는 Signature를 검증하여 위·변조 여부 확인
[사진 2] JWT 구조
- JWT 토큰을 검증해 위조·탈취·만료된 토큰 차단 > 손상된 사용자 인증(Broken Authentication) 및 세션 하이재킹 방지
5. API별 허용 임계치 및 메소드 제한
- 과도한 API 요청은 서버 자원 고갈로 이어져 서비스 거부 공격을 초래할 수 있음 > API 트랜잭션별 허용 임계치 제한과 목적에 맞는 HTTP 메소드 제한이 필요 > 자원 낭비 최소화 및 서비스 안정성 확보
6. JSON 응답 클로킹
- API는 구현 형태에 따라 의도와 다르게 과도한 정보가 제공될 수 있음 > 과도한 데이터 노출(Excessive Data Exposure), 대량 할당(Mass Assignment) 취약점 발생 가능
- 클라이언트 요청의 JSON 응답 필드를 클로킹(비노출) 처리 > 데이터 노출 방지를 위해 JSON 컨텐츠 타입에 대한 제어 기능이 필수적 > JSON 응답에서 불필요한 데이터를 클로킹하여 불필요한 정보 노출 방지
- MS 다중인증 환경에서 인증앱을 활용한 다중인증의 경우, 인증 우회 취약점 발견 [1] - Outlook, OneDrive, Teams, Azure Cloud 등 각종 MS 계정에 무단 접근이 가능 - MS에 가입된 유로 계정은 약 4억 개로 공격 성공 시 매우 큰 파장을 일으킬 수 있음
2. 주요내용
- 사용자가 MS 포털에 접속 시 계정과 6자리 코드를 사용해 로그인 시도 > 사용자가 로그인 페이지에 처음 접속하면 세션 식별자 할당 > 계정 정보 입력 후 추가 인증을 요구하며, 6자리 코드를 제공해 인증 과정 마무리
- 한 세션에서 10번 연속 입력을 실패할 경우 계정 잠금 > 연구진은 새 세션을 빠르게 생성한 후 6자리 코드를 대입하는 실험을 진행 > 실험 결과 여러 시도를 어떠한 경고(≒알림) 없이 동시에 실행할 수 있음을 발견
- 인증 앱을 사용한 인증 방법에는 시간 제한이 존재 > 30초 간격으로 새로운 코드가 생성 되도록 하는 것이 일반적 > 그러나, MS 로그인을 테스트한 결과 코드가 약 3분동안 유효한 것으로 확인 > 이는 공격에 성공할 확률이 3% 증가하는 수치*
* 공격자의 입장에서 세션을 24개 생성해 연속적으로 공격을 수행할 경우 70분의 시간을 확보하는 것 * 70분이 지나면 유효한 코드를 입력할 확률이 이미 50%를 넘어감
[사진 1] 70분 후 공격 성공확률 50% 이상[영상 1] 공격 시연 영상 [2]
- 연구원들은 결과를 MS에 제보 > MS는 취약점을 수정한 버전 배포
권고 사항
구분
설명
다중인증 활성화
- 완벽한 안전을 보장하는 기술이 아니지만, 계정 보호에 필수적인 방법 - 다중인증을 사용하여도 100% 안전하지 않으며, 꾸준히 관리해야 함
- 블랙 바스타 랜섬웨어 그룹, 새로운 공격 기법 도입 - 봇넷 외 이메일 폭탄, QR 코드, 소셜 엔지니어링 활용
내용
- 블랙 바스타 랜섬웨어 그룹, 이메일 폭탄을 공격 수단으로 활용 > 대량의 메일링 리스트에 피해자의 이메일 주소를 등록해 피해자 이메일 함을 혼란스럽게 만드는 방식 > 공격자는 IT 직원이나 기술 지원 요원으로 위장해 접근해 원격 접속 도구 설치 유도
- QR 코드도 공격 수단으로 활용 > 채팅 플랫폼을 통해 피해자에게 QR 코드를 전송 > 신뢰할 수 있는 모바일 기기를 추가하라는 명목으로 자격 증명 탈취 시도 > 초기 접근 이후 커스텀 툴*을 사용해 자격 증명 수집 및 네트워크 탐색 * Zbot/ZLoader : 자격 증명 탈취 악성코드 * DarkGate : 후속 공격을 가능하게 하는 백도어
- 커스텀 악성코드*를 활용해 피해자의 자격 증명을 이용해 VPN 접속 정보 확보, MFA 우회해 내부 침투 * KNOTWRAP : C/C++로 작성된 메모리 기반 드로퍼로 추가 페이로드를 메모리에만 실행 * KNOTROCK : 랜섬웨어 배포에 사용되는 .NET 기반 유틸리티 * DAWNCRY : 하드코딩된 키로 리소스를 복호화해 메모리에서 실행하는 드로퍼 * PORTYARD : 명령제어(C2) 서버와 커스텀 프로토콜을 통해 연결하는 터널링 도구 * COGSCAN : 네트워크 내 호스트를 탐색하는 정찰 도구
- 국내 IP 카메라 중 80%가 중국산으로 관련 해킹사고 급증 - 철저한 대응체계를 갖춰 개인 피해 줄일 필요
내용
- 최근 국내 중국산 IP 카메라 보안 문제가 사회적 이슈화 > 국내 IP 카메라 중 80%가 중국산 > 가정, 기업, 정부기관에서 사용중인 중국산 Wi-Fi 공유기, IP캠, IT 기기를 노리는 해킹 증가
- 네트워크를 사용하는 대부분의 중국산 제품에서 백도어가 발견 > 정부 제재가 없어 언제든 쉽게 해킹될 수 있는 위험에 무방비로 노출
- 중국산 IT 기기 해킹사고 대응 방안 ① 개인과 소규모 사용자 > 제품 선택 단계에서부터 신뢰할 수 있는 브랜드를 우선 고려 > 값싼 제품보다는 국제 보안 인증기기 선택 > 펌웨어, 소프트웨어 항상 최신 상태로 유지 > 초기 비밀번호 반드시 변경하고, 강력한 비밀번호를 사용 > 기본적인 보안 설정도 철저히 준수 > 기기 사용 시 개인 정보 입력을 최소화 > 음성 녹음이나 위치 추적 등 불필요한 기능은 비활성화
② 기업 및 조직 > 인증받은 IT기기만을 사용하고, 공급망을 철저히 검토 > 민감한 데이터를 다루는 시스템의 경우 인터넷과 물리적으로 분리된 네트워크를 사용 > 정기적인 보안 점검을 통해 기기의 백도어 여부를 확인 > 해킹 시뮬레이션 테스트로 잠재적인 취약점을 미리 탐지 > 네트워크 접근 통제를 강화하고, 불필요한 기능은 비활성 > 네트워크 보안 솔루션을 도입해 외부 공격에 대비
③ 정부와 공공기관 > 수입 규제와 인증 시스템을 강화해, 보안 검증을 통과하지 못한 제품의 수입 및 사용을 제한 > 공공기관과 국가중요기반시설에는 검증된 장비만 사용하도록 법적 규제를 마련 > 국산 보안 기술과 IT 제품 개발을 적극 지원 > 국가 수준의 보안 인증 체계를 마련해 모든 네트워크 연결 기기에 대해 보안성을 확보 > 국민이 IT기기의 보안을 스스로 관리할 수 있도록 교육 및 캠페인을 통해 경각심을 높이기 > 국제 협력을 통해 백도어 문제를 해결하고, 공통 표준을 수립해 신뢰성을 확보
④ 기술적 대책 마련 > 'AI 또는 고급분석 기법 기반의 NDR' 기술을 도입해, 비정상적인 네트워크 트래픽을 실시간 탐지 및 대응 시스템을 구축 > 국가중요기반시설에는 독립적이고 폐쇄된 네트워크를 운영해 외부 해킹 가능성을 차단하고, 백도어를 탐지할 수 있는 전문 솔루션을 적용
