[데일리시큐]아키라 랜섬웨어, 소닉월 SSL VPN 제로데이 취약점 악용해 공격중…7월 중순 이후 급증

내용 요약

최근 Akira 랜섬웨어 공격이 SonicWall SSL VPN 장비를 집중적으로 노리고 있으며, 2024년 7월 중순 이후 급증하는 추세입니다. 보안 업체들은 이 공격이 SonicWall SSL VPN 장비의 알려지지 않은 보안 취약점, 즉 Zero-day를 악용하고 있을 가능성이 높다고 분석했습니다. 특히 SonicWall SSL VPN을 통한 '인증되지 않은 접근(Unauthenticated Access)'이 다수의 침해 사례에서 확인되었으며, 이는 Zero-day 취약점 악용의 강력한 증거로 보입니다.

핵심 포인트

• Akira 랜섬웨어의 급증: 2024년 7월 중순 이후 SonicWall 방화벽 장비를 노린 Akira 랜섬웨어 공격이 급격히 증가했습니다.
• SonicWall SSL VPN 취약점 악용: 공격의 주요 대상은 SonicWall SSL VPN 장비이며, 이를 통해 시스템에 접근하고 있습니다.
• Zero-day 취약점 가능성: 보안 전문가들은 알려지지 않은 Zero-day 취약점이 공격에 활용되고 있을 가능성이 높다고 추정합니다. ️‍♀️
• 인증되지 않은 접근: 침해 사례에서 SonicWall SSL VPN을 통한 '인증되지 않은 접근'이 발생한 것이 핵심적인 증거로 지목되었습니다.

기술 세부 내용

1️⃣ SonicWall

• SonicWall 개요: SonicWall은 네트워크 보안 솔루션을 제공하는 글로벌 기업입니다. 주로 방화벽(Firewall), 무선 네트워크 보안(Wireless Network Security), 이메일 보안(Email Security), 암호화된 트래픽 검사(Encrypted Traffic Inspection) 등 다양한 보안 제품과 서비스를 제공합니다. 기업 및 조직의 네트워크를 외부 위협으로부터 보호하는 데 중점을 둡니다.
• 방화벽 (Firewall): SonicWall의 핵심 제품 중 하나인 방화벽은 네트워크 보안 시스템으로, 미리 정의된 보안 규칙에 따라 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어합니다. ️ 이는 승인되지 않은 접근을 차단하고, 악성 트래픽이 내부 네트워크로 침투하는 것을 방지하는 역할을 합니다. 일반적으로 Stateful Inspection, Application Control, Intrusion Prevention System (IPS) 등의 기능을 포함하여 더욱 정교한 보안을 제공합니다.
• SSL VPN (Secure Sockets Layer Virtual Private Network): SSL VPN은 원격 사용자가 웹 브라우저를 통해 안전하게 내부 네트워크 자원에 접근할 수 있도록 하는 기술입니다. 이는 전통적인 VPN보다 설정이 간단하고, 어디서든 웹 브라우저만 있다면 접근이 가능하여 유연성이 높습니다. 사용자의 장치와 내부 네트워크 간의 모든 통신을 SSL/TLS 프로토콜을 사용하여 암호화하여 데이터 유출 위험을 줄입니다. 많은 기업들이 재택근무나 원격 근무 환경을 지원하기 위해 SSL VPN을 활용하며, 외부에서 내부 시스템으로 들어오는 중요한 통로가 되므로 보안 취약점이 발견될 경우 심각한 위협이 됩니다.

2️⃣ Akira Ransomware

• Akira 랜섬웨어 개요: Akira는 2023년 3월부터 활동하기 시작한 랜섬웨어 그룹으로, 주로 기업을 대상으로 공격을 수행합니다. 이 랜섬웨어는 Windows와 Linux 시스템 모두를 공격 대상으로 삼는 특징이 있으며, 특히 중소기업(SMB)과 대기업 네트워크를 침투하여 데이터를 암호화하고 몸값을 요구합니다. 공격자들은 일반적으로 원격 접근 서비스(RDP, VPN 등)의 취약점을 악용하거나 피싱(Phishing) 등을 통해 초기 침투를 시도합니다.
• 작동 방식: Akira 랜섬웨어는 네트워크에 침투한 후, 권한을 상승시키고 네트워크 내에서 횡적으로 이동(Lateral Movement)하여 더 많은 시스템과 데이터를 감염시키려고 시도합니다. 감염된 시스템의 파일을 암호화하며, 암호화된 파일에는 '.akira' 또는 '.akira_v2'와 같은 확장자가 추가되는 경우가 많습니다. 데이터 암호화 외에도, 공격자들은 데이터를 유출(Data Exfiltration)하여 이중 협박(Double Extortion) 전략을 사용합니다. 즉, 몸값을 지불하지 않으면 암호화된 데이터를 복구해주지 않을 뿐만 아니라, 훔쳐낸 민감한 데이터를 공개하겠다고 위협하여 피해자에게 더 큰 압박을 가합니다.

3️⃣ Zero-day Vulnerability

• Zero-day 취약점 정의: Zero-day 취약점은 소프트웨어, 하드웨어 또는 펌웨어에서 발견된 보안 취약점 중, 해당 취약점에 대한 정보가 벤더나 개발자에게 알려지기 전에 공격자들이 이를 발견하고 악용하는 경우를 말합니다. ⏳ 'Zero-day'라는 이름은 벤더가 취약점을 인지하고 패치를 개발할 수 있는 '0일'의 시간이 있다는 의미에서 유래했습니다.
• 위험성: Zero-day 취약점은 해당 취약점에 대한 공식적인 패치나 방어책이 존재하지 않기 때문에 매우 위험합니다. ☠️ 벤더가 취약점을 인지하고 패치를 배포하기 전까지는 모든 사용자가 잠재적인 공격에 무방비 상태로 노출됩니다. 공격자들은 이 '0일' 동안 취약점을 악용하여 시스템에 침투하고, 데이터를 탈취하거나 악성코드를 유포하는 등 심각한 피해를 입힐 수 있습니다. 기업들은 Zero-day 공격에 대비하기 위해 위협 인텔리전스(Threat Intelligence) 분석, 행동 기반 탐지(Behavior-based Detection), 그리고 철저한 보안 모니터링 시스템을 구축하는 것이 중요합니다.

4️⃣ Unauthenticated Access (인증되지 않은 접근)

• Unauthenticated Access 정의: Unauthenticated Access는 특정 시스템, 네트워크 또는 자원에 접근하려는 사용자가 유효한 사용자 이름과 비밀번호(또는 다른 인증 수단)를 제공하지 않고도 성공적으로 접근하는 행위를 의미합니다. ⛔️ 이는 주로 소프트웨어의 취약점, 잘못된 설정, 또는 보안 시스템의 허점을 통해 발생합니다.
• 발생 원인 및 위험성: 본문에서 언급된 것처럼, Zero-day 취약점이나 기타 심각한 보안 결함이 있을 경우, 공격자는 인증 절차를 우회하여 시스템에 침투할 수 있습니다. 예를 들어, SSL VPN 장비에 인증 절차를 건너뛸 수 있는 취약점이 있다면, 공격자는 사용자 ID나 비밀번호 없이도 내부 네트워크에 접근할 수 있게 됩니다. 이처럼 인증 없이 접근이 허용되면, 공격자는 시스템 내에서 마음대로 활동하거나, 추가적인 악성코드를 설치하거나, 데이터를 탈취하는 등 심각한 보안 사고를 유발할 수 있습니다. 이는 시스템의 기밀성, 무결성, 가용성에 치명적인 영향을 미칠 수 있습니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=168488