728x90
반응형
내용 요약
F5 Networks의 대표 제품 BIG‑IP가 국가 지원 해킹 조직에 의해 장기간 침투돼 소스코드와 미공개 취약성 문서가 유출되었습니다. 2025년 8월 인지 후 10월에 공표했으며, 미국 사이버보안·인프라안보국(CISA)이 긴급 대응을 주도했습니다.
핵심 포인트
- 장기 침투: 국가 지원 해킹 조직이 F5 Networks의 개발·엔지니어링 환경에 지속적으로 접근했습니다.
- 취약성 유출: BIG‑IP 소스코드 일부와 미공개 취약성 문서가 외부로 유출되었습니다.
- 지연된 공개: 미국 법무부(DoJ)의 요청으로 공시가 지연됐으나, 이후 CISA가 긴급 지시를 발표하며 대응이 가속화되었습니다.
기술 세부 내용
1️⃣ BIG‑IP: F5 Networks의 애플리케이션 딜리버리 컨트롤러(ADC)
| 단계 | 설명 |
|---|---|
| 1️⃣ | 기본 개념 BIG‑IP는 트래픽을 관리하고 애플리케이션 성능과 보안을 강화하는 애플리케이션 딜리버리 컨트롤러입니다. IP 라우팅, SSL/TLS 종료, 로드 밸런싱, WAF(웹 애플리케이션 방화벽) 기능을 하나의 플랫폼에 통합합니다. |
| 2️⃣ | 구성 요소 • iRule – TCL 기반 스크립트로 트래픽을 세밀하게 제어 • Local Traffic Manager (LTM) – 세션 기반 로드 밸런싱, 가용성 확보 • Global Traffic Manager (GTM) – 멀티 데이터센터 DNS 기반 트래픽 라우팅 • Application Security Manager (ASM) – WAF, DDoS 방어, 취약점 스캐닝 • BIG‑IQ – 중앙 관리 대시보드 • Secure Edge – 컨테이너 보안, SD‑WAN 연결 |
| 3️⃣ | 보안 아키텍처 • Zero‑Trust 네트워크: 내부 트래픽도 외부 트래픽과 동일한 정책 적용 • 암호화: TLS 1.3 지원, 강력한 인증서 관리 • 멀티테넌시: 고객 별 격리된 세션 및 정책 • API 기반 자동화: Terraform, Ansible과 연동해 빠른 프로비저닝과 패치 적용 |
| 4️⃣ | 펌웨어 및 패치 관리 1. 최신 BIG‑OS 펌웨어 버전 확인 2. 보안 패치 릴리즈 일정을 검토 3. CVE와 연계된 업데이트 적용 4. CI/CD 파이프라인에 자동 패치 검증 스크립트 삽입 |
| 5️⃣ | 공격 벡터 • 원격 코드 실행(RCE): iRule 스크립트 취약성, 관리 API 불안전 • 디폴트 비밀번호 남김: 초기 설정 비밀번호 사용 시 • 포트 스캐닝: 443/80, 8443(관리) 등 주요 포트 노출 • 내부 인프라 침투: 개발자 접근 권한 오용 |
2️⃣ F5 Networks 보안 개발 생명주기(Software Development Life Cycle, SDLC)
| 단계 | 내용 | 비고 |
|---|---|---|
| 1️⃣ | 요구사항 정의 • 비즈니스 및 보안 요구사항을 명세 • Threat Modeling: OWASP SAMM, STRIDE 적용 |
설계 초기에 보안 리스크 사전 식별 |
| 2️⃣ | 설계 • 아키텍처 다이어그램에 보안 계층 삽입 • Least Privilege 원칙 적용 |
예: 관리자 API에 최소 권한 토큰 사용 |
| 3️⃣ | 코드 구현 • Secure Coding Guidelines (CWE, OWASP Top 10) 준수 • 정적 코드 분석(Static Application Security Testing, SAST) |
자동화 도구로 코드 단계별 스캔 |
| 4️⃣ | 테스트 • 동적 분석(Dynamic Application Security Testing, DAST) • 침투 테스트 (Pen‑Test) |
내부 및 외부 테스트 팀이 독립적으로 수행 |
| 5️⃣ | 배포 • CI/CD 파이프라인에서 Container Hardening 적용 • Immutable Infrastructure 사용 |
이미지 레지스트리에서 취약성 스캔 후 배포 |
| 6️⃣ | 운영 및 모니터링 • 실시간 로그 분석(ELK, Splunk) • Security Information and Event Management (SIEM) 연동 |
비정상 트래픽 탐지 및 자동 차단 |
| 7️⃣ | 패치 & 재평가 • CVE 관리 시스템 연동 • 보안 이벤트 발생 시 자동 롤백 테스트 |
패치 적용 전/후 기능 검증 |
3️⃣ CISA와 DoJ의 역할 및 대응 프로세스
| 단계 | 조직 | 주요 행동 | 효과 |
|---|---|---|---|
| 1️⃣ | DoJ (Department of Justice) | 사건 인지 시 법적 조사 및 증거 수집 | 법적 근거 확보, 후속 소송 가능성 |
| 2️⃣ | CISA | 긴급 지시(Emergency Directive) 발표 • Vulnerability Sharing • Patching 가이드 제공 |
업계 전반에 빠른 대응 가속화 |
| 3️⃣ | F5 Networks | 내부 Forensic 조사 • 침투 경로 분석 • 보안 강화 방안 설계 |
조직 내부 보안 리스크 최소화 |
| 4️⃣ | 공식 공시 | 10월 중 공개 시점 조정 후 발표 | 피해 최소화 및 신뢰 회복 |
향후 예방 방안
- 다중 인증(MFA) 및 접근 제어 강화
- 개발자, 엔지니어, 운영팀별 역할에 맞는 최소 권한 설정
- VPN 외부 접근 시 IP 기반 차단
- 코드 리뷰 및 자동화 도구 통합
- GitHub Actions, GitLab CI에 SAST/DAST 툴 연동
- 코드 푸시 시 자동 보안 스캔 결과를 PR에 반영
- 펌웨어/패치 관리 정책
- 버전별 changelog 분석 후 보안 패치 우선 적용
- 스테이징 환경에서 patch 적용 전 통합 테스트 수행
- 정기적인 보안 교육 및 인식 제고
- 내부 직원 대상 SOC 훈련, Phishing 시뮬레이션
- 외부 전문가와의 워크숍을 통한 최신 공격 트렌드 공유
- 공개 보안 포럼 및 CVE 커뮤니케이션
- CISA와 같은 정부 기관의 지침을 사전 파악
- 보안 취약점 공개 시, 고객과 신속히 소통
결론
F5 Networks의 BIG‑IP가 국가 지원 해킹 조직에 의해 침투된 사례는 기업 보안 프로세스와 제품 보안 설계의 전반적인 위험성을 일깨워 줍니다. 보안 개발 생명주기(Software Development Life Cycle)를 강화하고, CISA와 DoJ와 같은 공공기관과의 협력을 통해 신속하고 효과적인 대응을 준비해야 합니다. 지속적인 모니터링과 자동화된 보안 도구의 도입은 공격 위험을 크게 낮출 수 있으며, 보안 인식 교육과 정기적인 취약점 평가가 기업 보안 역량을 한층 끌어올립니다.
출처: https://www.dailysecu.com/news/articleView.html?idxno=201497
728x90
반응형
SMALL
'보안이슈' 카테고리의 다른 글
| [데일리시큐]아메리칸항공 자회사 엔보이, 오라클 제로데이 취약점으로 해킹…“민감정보 유출 없어, 일부 비즈니스 정보만” (0) | 2025.10.19 |
|---|---|
| [데일리시큐]북한 해킹조직, ‘채용 사기’ 악성코드 새 버전 개발 (0) | 2025.10.19 |
| [보안뉴스]KISA, 지역사회에 생활 속 안전 문화 확산 (0) | 2025.10.19 |
| [보안뉴스]8월 알려진 ‘프랙’ 정부 부처 해킹 보고서…문체부는 피해 사실도 몰랐다 (0) | 2025.10.19 |
| [보안뉴스]CISA, 어도비 핵심 취약점 긴급 경고... CVSS 10점 기록, 이미 실제 공격에 사용 (0) | 2025.10.19 |