세계 각 국에 위치한 중국 정부 기관 다수 공격받아
코로나19 감염증 확산으로 전 세계에 재택근무 바람이 불고 있는 가운데, VPN의 취약점을 이용한 공격이 발견됐다. 중국의 유명 보안 기업 치후360(Qihoo360)이 발견한 이 공격은 세계 각지의 중국 정부 기관을 공격한 것으로 드러났다.
가상사설망으로도 알려진 VPN(Virtual Private Network)은 일종의 보안 통신 터널을 만들어 보안회선을 사용하는 효과를 내는 네트워크 암호화 기술로, 현재 재택근무를 위한 필수 보안 옵션으로 평가받고 있다.
치후360은 이번 공격이 지난 2014년 경 활동을 시작한 것으로 추정되는 APT 그룹 ‘다크호텔(DarkHotel)'의 소행인 것으로 추정하고 있다. 이 공격으로 올해 3월부터 200개가 넘는 VPN서버가 손상됐고, 4월 초엔 베이징과 상하이의 정부 기관까지도 공격하고 있는 상황이다.
치후360에 따르면, 해커들은 중국 VPN 업체 SangFor의 VPN 클라이언트 업데이트 프로세스의 취약점을 악용한 것으로 밝혀졌다.
SangFor의 VPN 클라이언트는 서버에 연결을 시작할 때 자동으로 VPN 서버에 연결해 ‘SangforUD.EXE’ 라는 파일을 실행, 업데이트를 실행한다. 해커들은 VPN 서버를 해킹해 업데이트 구성 파일을 백도어 프로그램 파일로 변경했으며, 악성 백도어 프로그램에는 정상 서명을 모방한 가짜 서명이 탑재됐다.
치후360은 VPN 이용자들에게 ▲최신 업데이트 및 보안 패치 설치 ▲외부 네트워크 또는 신뢰할 수 없는 IP 차단 ▲보안 수준이 높은 강력한 암호 사용 ▲쉬운 연결 기능을 통해 신뢰할 수 없는 VPN 서버 연결 금지 등의 보안 조치를 취할 것을 당부했다.
코로나19가 전 세계로 확산돼 진정될 기미가 보이지 않는 상황이다. 이러한 상황에서 발견된 VPN 취약점 공격이 향후엔 재택근무를 시행하는 기업들에 대한 사이버 공격으로 번질 수 있다는 점을 유념하고, 개인과 조직 모두의 철저한 보안 관리가 필요한 시점이다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성되었습니다.
