VPN (Virtual Private Network)
주로 서버에 대한 원격 접속 용도로 사용되며, 공용 네트워크를 통해 내부 시스템 자원에 접근할 목적으로 쓰이는 가상 사설 네트워크 ¹⁾

COVID-19로 인한 재택근무가 증가하고, 이에 대한 보안 대책으로 기업에서 VPN 사용이 늘어나고 있다.

VPN 제품 취약점을 이용한 공격이 성공한다면, 해당 제품이 패치되기까지 동일한 제품을 사용하는 다른 기업들조차 영향을 받을 수 있다.
알려진 VPN 취약점은 패치가 신속히 제공되지만, 일부 사용자들은 패치 하지 않고 그대로 사용할 것이며, 공격자는 이를 잘 알고 있다.

2021년 6월, 한국원자력연구원, KAI (한국항공우주산업)가 북한의 소행으로 추정되는 해킹 공격에 당한 것으로 알려졌다.

한국원자력연구원 해킹 내용

21.05.14.금 해킹 발생
21.05.29.토 한국과학기술정보연구원 -> 한국원자력연구원 해킹 위험 메일 통보
21.05.31.월 보안 조치

– VPN 취약점을 통해 외부인이 일부 시스템에 접속한 이력 확인
– 13개 외부 IP주소에서 VPN 시스템 비인가 접속
– 피해 IP주소: VPN, 메일 시스템, KMS 인증 서버 (Windows, Unix)

외부 IP주소 13개 분석 결과 이전에도 사용된 적이 있는 Kimsuky (김수키) IP주소로 확인되어 북한 소행으로 추정하고 있다.
KMS 인증서버는 각종 프로그램의 인증을 해주는 역할을 수행한다.
KMS 인증서버를 통해 악성코드를 유포한다면 피해 범위가 대폭 늘어날 수 있다.
한국원자력연구원은 공격자 IP주소를 외부망 방화벽 및 IPS에서 차단하여 긴급 조치했다. ²⁾

한국원자력연구원과 같은 VPN 제품을 사용하고 있던 KAI 역시 해킹당해 중요 정보가 유출됐다.
게다가 해당 VPN 제품은 국내 VPN 1위 업체로 공공기관, 기업, 학교 등 400여 곳에서 사용하고 있다.
해커는 발견한 취약점으로 여러 기관을 동시다발적으로 손쉽게 해킹할 수 있게 됐다.
국정원도 이미 지난 4월부터 해당 제품이 해커에게 뚫렸다는 사실을 파악하고 보안 조치를 요구했다.
하지만, 보안 업데이트 등 대처가 늦어지며 해킹을 막지 못했다. ³⁾

VPN 공격
1. 취약한 계정 사용 ⁴⁾
– 기본 설정, 추측하기 쉬운 계정 ex) admin/admin1234

2. 취약한 VPN 제품 버전 사용
ex) Pulse Connect Secure 9.0R1 ~ 9.0R3.3: 인증되지 않은 사용자가 원격 임의 파일 실행을 수행할 수 있는 인증 우회 취약점 존재 (CVE-2021-22893) ⁵⁾

3. 위장된 VPN 제품 사용
ex) 무료 VPN 사용 시, 백도어 역할 가능성

VPN 관련 공격은 주로 VPN 애플리케이션에서 발견된 취약점을 이용해 주요 데이터를 탈취 혹은 랜섬웨어와 같은 악성코드를 배포한다. 또한, 백도어를 설치하여 지속성을 확보할 수 있다.

보안 권고 사항
1. 사용중인 VPN 제품 취약점 보안 강화 권고

[시큐위즈] ⁶⁾

영향받는 버전 해결 버전
SecuwaySSL V3.0 : 3.0.9.0
SecuwaySSL V3.1 : 3.1.8.0
SecuwaySSL V3.0 : 3.0.10.0
SecuwaySSL V3.1 : 3.1.9.0
[Pulse Secure] – https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36009[Fortinet] – https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35989[Cisco] – https://blog.alyac.co.kr/3977

2. 사용중인 VPN 제품에서의 취약점 발생 시, 해킹 피해 여부 점검 및 보안패치 완료 전까지 해당 VPN 제품 운영중단 권고
3. 장비에서 제공하고 있는 Default 계정/패스워드 변경
4. VPN 접속 시 허용된 사용자와 단말기만 접근 가능하도록 설정하고 OTP 등을 통한 다단계 인증 적용
5. 업무망과 인터넷망을 분리하여 운영하고, VPN 사용 시 인터넷망과 업무망을 동시에 사용할 수 없도록 설정
6. 자료 유출에 대비해서 DRM 등 문서 암호화 보안 솔루션 도입 권고 ⁷⁾

비인가 접속 탐지 방안
1. VPN에서 발생되는 모든 로그를 수집한다.
2. 로그인 시도 시 발생되는 로그를 분석한다.[사진 1] 로그인 성공 로그

3. 인가된 IP 주소를 제외하는 등 업무 환경에 맞춰 탐지 패턴을 조정한다.[사진 2] 로그인 성공 필터 등록

4. 인가된 IP 주소 외 로그인 성공 시 즉시 방어 조치한다. ⁸⁾[사진 3] 로그인 성공 방어 ON

5. 필터 탐지 및 방어 동작 시 알림 기능을 이용하여 담당자에게 알려준다. ⁹⁾[사진 4] 로그 탐지&방어 알림 설정

로그 수집 -> 탐지 -> 방어 -> 알림 까지 실시간으로 보안 위협을 탐지 및 조치하여 즉각 대응하는 시스템을 구축한다면, 한층 더 강화된 보안 환경을 만들 수 있을 것이다.

 

참조

[1] https://en.wikipedia.org/wiki/Virtual_private_network

[2] http://m.ddaily.co.kr/m/m_article/?no=216447

[3] http://news.tvchosun.com/site/data/html_dir/2021/07/02/2021070290112.html

[4] https://www.youtube.com/watch?v=B6pnCJFvnYE

[5] https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/

[6] https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36140

[7] https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36049

[8] http://blog.plura.io/?p=15962

[9] http://blog.plura.io/?p=14599