VPN 취약점 악용 공격 증가

PLURA 2021-09-17

VPN (Virtual Private Network) 개요

VPN은 주로 서버에 대한 원격 접속 용도로 사용되며, 공용 네트워크를 통해 내부 시스템 자원에 접근할 목적으로 쓰이는 가상 사설 네트워크입니다.¹⁾
COVID-19로 인한 재택근무가 증가하며, 이에 대한 보안 대책으로 기업에서 VPN 사용이 늘어나고 있습니다.

그러나 VPN 제품의 보안 취약점을 이용한 공격은 패치가 제공되기 전까지 동일한 제품을 사용하는 다른 기업들에까지 영향을 미칠 수 있습니다.
공격자는 일부 사용자가 패치를 적용하지 않는 점을 악용합니다.

vpn_vulnerability_exploitation_increase

2021년 6월, 한국원자력연구원과 KAI(한국항공우주산업)가 북한 소행으로 추정되는 해킹 공격을 받은 사례가 있습니다.

한국원자력연구원 해킹 내용

날짜	내용
21.05.14. 금	해킹 발생
21.05.29. 토	한국과학기술정보연구원 → 한국원자력연구원 해킹 위험 메일 통보
21.05.31. 월	보안 조치

VPN 취약점을 통해 외부인이 일부 시스템에 접속한 이력 확인
13개 외부 IP 주소에서 VPN 시스템 비인가 접속 발생
피해 IP 주소: VPN, 메일 시스템, KMS 인증 서버 (Windows, Unix)

13개 외부 IP 주소는 이전에도 사용된 적 있는 Kimsuky(김수키) 관련 IP로 확인되었습니다.
특히 KMS 인증 서버는 다양한 프로그램의 인증을 담당하며, 이를 통해 악성코드가 유포되면 피해 범위가 크게 증가할 수 있습니다.
한국원자력연구원은 공격자 IP를 외부망 방화벽 및 IPS에서 차단하여 긴급 조치했습니다.²⁾

KAI 해킹 사례

같은 VPN 제품을 사용하던 KAI(한국항공우주산업)도 해킹을 당해 중요 정보가 유출되었습니다.
해당 VPN 제품은 국내 시장 1위로, 공공기관, 기업, 학교 등 400여 곳에서 사용되고 있었습니다.
해커는 발견된 취약점을 통해 여러 기관을 손쉽게 동시에 해킹할 수 있었습니다.
국정원은 4월부터 해당 제품의 취약점을 인지하고 보안 조치를 요구했지만, 대응 지연으로 인해 피해를 막지 못했습니다.³⁾

VPN 공격 유형

취약한 계정 사용⁴⁾
- 기본 설정 계정 및 추측하기 쉬운 패스워드 사용
  - 예: admin/admin1234
취약한 VPN 제품 버전 사용⁵⁾
- 예: Pulse Connect Secure 9.0R1 ~ 9.0R3.3
  - 인증되지 않은 사용자가 원격으로 파일 실행을 수행할 수 있는 취약점 존재 (CVE-2021-22893)
위장된 VPN 제품 사용
- 무료 VPN 소프트웨어의 경우 백도어 역할 가능성