정용환 기자
시스코(Cisco) 네트워크 장비에 존재하는 취약성을 악용하는 아케인도어(ArcaneDoor)라고 불리는 사이버 공격이 발견됐다. 해커는 아케인도어를 사용해 전 세계 정부 네트워크에 침입하고 있다고 한다.
지난 18개월간 주로 중국 정부 지원을 받은 위협 행위자가 여러(Ivanti, Atlassian, Citrix, Progress) 보안 장치에 존재하는 알려지지 않은 취약점을 악용하는 공격을 해왔다. 이 보안 장치는 인터넷 경계에 위치해 있고 가장 기밀성이 높은 자원에 대한 직접적인 통로를 제공하며 사실상 모든 수신 통신과 상호작용하기 때문에 사이버 공격을 당하기 쉬운 이상적인 표적이 된다.
이런 경계 장치 중 하나인 시스코 ASA 제품이 중국 정부 지원 해커 공격 대상이 됐다는 게 밝혀졌다. 시스코 사이버 보안 팀(Cisco Talos) 연구팀에 따르면 2023년 11월 이후 알려지지 않은 위협 행위자가 시스코에서는 UAT4356, 마이크로소프트에선 STORM-1849로 탐지 및 추적되어 왔다고 한다.
이 위협 행위자는 지금까지 발견된 적 없는 2가지 맬웨어를 악용해 제로데이 공격을 수행하고 있는 것으로 확인됐다. 이 위협 행위자에 의한 제로데이 공격은 아케인도어로 불리며 몇 가지 특징이 있다. 먼저 여러 취약점을 표적으로 삼은 고도의 익스플로잇 체인으로 적어도 제로데이 익스플로잇 2개를 포함한다는 것. 또 아케인도어는 지금까지 발견된 적 없는 성숙한 풀 기능 백도어 2개를 포함하며 이 중 하나는 탐지를 피하기 위해 메모리 내에서만 상주하도록 설계되어 있다는 것. 다음으로 아케인도어는 백도어가 남길 수 있는 아티팩트를 제거해 흔적을 숨기는 데 세심한 주의를 기울이고 있다. 대부분 아티팩트 제거는 특정 타깃 특성에 따라 맞춤화된다.
연구팀은 이런 특징을 고려해 제로데이 공격이 정보 수집을 목적으로 한 정부 지원 해커 소행이라고 평가했다. 연구팀은 공격 주체 평가는 피해자 프로파일링, 역량 개발, 포렌식 대책 관점에서 채택된 상당한 수준의 교묘한 방식, 제로데이 취약점 식별 및 이후 연쇄에 기반하고 있다며 이런 이유로 제로데이 공격이 국가 지원 주체에 의해 수행됐다는 점에 확신을 갖고 있다고 밝혔다.
연구팀은 아케인도어가 시스코 ASA 제품 외에도 다른 장치를 표적으로 삼을 수 있다고 경고했다. 또 UAT4356가 처음에 어떻게 액세스를 확보했는지는 아직 명확하지 않다고 지적했다. 따라서 현재 ASA 제품 취약점이 악용될 가능성이 있다는 건 알려지지 않은 취약점 1개 이상이 악용됐기 때문이라고 밝혔다. 이 알려지지 않은 취약점은 마이크로소프트 등 네트워크웨어에 존재할 가능성이 시사되고 있다.
연구팀은 네트워크 장비 공급업체에 관계없이 지금이야말로 장치에 적절한 패치가 적용됐는지 안전한 장소에 로그가 기록되고 있는지 강력한 다중 인증(MFA)이 설정되어 있는지 확인해야 할 때라고 밝혔다. 시스코는 취약점에 대한 패치를 포함하는 보안 업데이트를 출시했으며 모든 ASA 사용자가 신속히 설치할 것을 촉구했다.
UAT4356는 2023년 7월경부터 익스플로잇 개발과 테스트를 수행해왔으며 11월에는 공격 전용 서버 인프라를 구축했고 2024년 1월부터 아케인도어를 활용한 본격적인 사이버 공격을 개시한 것으로 보고됐다.
아케인도어에서 악용된 취약점 중 하나는 CVE-2024-20359다. ASA VPN 클라이언트와 플러그인 프리로드를 가능케 하는 취약점으로 지금은 폐기된 기능에 존재하는 취약점. 취약한 장치 내 플래시 메모리에서 파일을 읽을 때 부적절한 파일 검증 때문에 발생하며 악용되면 루트 시스템 권한으로 원격 코드가 실행될 수 있다.
UAT4356는 CVE-2024-20359를 악용해 백도어 2개(Line Dancer, Line Runner)를 설치했다. 또 취약점을 악용해 네트워크 장비에 백도어를 설치한 것으로 밝혀졌다. 한편 시스코는 CVE-2024-20359와 CVE-2024-20353 2가지 취약점을 이미 수정했다.
연구팀에 따르면 라인 댄서(Line Dancer)는 메모리 전용 백도어로, 디스크에 저장된 파일에 대한 의존도가 최소화되어 있다. 메모리 상주 멀웨어는 해커가 멀웨어를 다양한 형태 탐지로부터 숨기기 위해 사용하는 고급 기술이다. 라인 댄서가 설치되면 해커는 단순한 인증되지 않은 웹 요청을 사용해 호스트 스캔 응답 필드 컴포넌트를 통해 악성 코드를 전송할 수 있게 된다.
연구팀에 따르면 호스트 스캔 응답 필드는 일반적으로 SSL-VPN 세션 설정 프로세스 후반부에 사용되며 SSL-VPN, IPsec IKEv2 VPN, 클라이언트 서비스 또는 HTTPS 관리 액세스 용도로 구성된 ASA 장치에서 처리된다. 하지만 아케인도어는 기본 호스트 스캔 응답 코드 포인터를 라인 댄서 셸코드 인터프리터를 가리키도록 변경했다. 이를 통해 위협 행위자는 POST 요청을 사용해 인증이나 직접 대화 없이 기존 관리 인터페이스를 통해 장치와 상호작용할 수 있게 됐다.
한편 라인 러너(Line Runner)는 보안 소프트웨어 등에 의한 탐지를 피하기 위한 방어 메커니즘이 내장되어 공격자가 해킹된 시스템에서 임의 루아(Lua) 코드를 실행할 수 있게 해준다.
시스코는 예기치 않은 재부팅, 불법적인 설정 변경, 의심스러운 인증 활동 징후가 없는지 시스템 로그를 모니터링할 것을 강력히 권고하고 있다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
