MS, 공동의 대응 위해 솔라윈즈 탐지 도구 무료로 배포 (보안뉴스, 문가용 기자, 2021.02.26.)
솔라윈즈(SolarWinds) 사태에 연루되었는지 아닌지 알아보고 싶어도 어떻게 해야 할지 모르는 조직들이 많다. 이에 마이크로포스트가 코드큐엘(CodeQL)이라는 도구를 개발해 무료로 배포하기 시작했다. 솔라윈즈 사태를 MS가 조사할 때 직접 사용했던 것이라고 한다. MS는 얼마 전 자체 조사를 종결했다고 발표했다.
코드큐엘은 깃허브의 고급보안(Advanced Security) 도구들 중 하나다. 여기에 적절한 쿼리를 적용하면 솔라윈즈 바이너리와 비슷한 패턴과 기능을 가진 코드를 찾아낼 수 있게 해 준다. 어떤 소프트웨어에든 적당한 쿼리와 코드큐엘을 적용함으로써 솔라윈즈 공격의 흔적을 발견할 수 있다고 MS는 설명한다.
또 다른 보안 업체 시큐리티스코어카드(SecurityScorecard)는 솔라윈즈 공격자들이 사용한 티어드롭(Teardrop)이라는 멀웨어가 2017년에도 사용된 적이 있으며, 당시에는 러시아의 사이버 에스피오나지 전문 단체가 사용한 것으로 조사됐었다고 발표했다. 티어드롭은 피해자의 시스템을 프로파일링 하는 멀웨어로, 메모리 내에서만 작동한다. 시큐리티스코어카드의 부회장인 라이언 셔스토비토프(Ryan Sherstobitoff)는 “공격자들이 과거부터 티어드롭을 사용해 왔던 것으로 추정된다”고 설명했다.
티어드롭이라는 이름을 붙인 건 파이어아이(FireEye)라는 보안 업체다. 파이어아이의 분석에 의하면 공격자들은 티어드롭을 통해 코발트스트라이크 비컨(Cobalt Strike BEACON)이라는 C&C 도구를 설치 및 제어했다고 한다. 코발트스트라이크는 오픈소스 툴킷으로, 공격자들이 자신들의 불법적인 행위를 합법적인 것처럼 보이게 만들기 위해 자주 사용한다. 그러나 당시 파이어아이는 티어드롭이 그 동안 발견되었던 그 어떤 멀웨어와도 유사성을 보이고 있지 않다고 했었다.
하지만 셔스토비토프는 “티어드롭이 이번 공격 캠페인을 위해서 특별히 만들어진 건 아닌 것으로 보인다”고 하며 “2019년 10월에도 공격자들이 실험 운영하는 것이 발견된 바 있다”고 반박했다. 그러면서 티어드롭을 사용한 공격자는 러시아의 APT 단체 중 하나로, 과거에서부터 지금까지 미국 조직들을 겨냥해 공격해왔다고 밝혔다. 하지만 그 단체의 이름은 공개적으로 밝히지 않고 있다. 일부 외신에서 코지베어(Cozy Bear)라는 추측이 나오고 있기는 하다.
솔라윈즈 사태의 피해 조직 중 현재까지 95% 미국에서 나오고 있는 상황이다. 셔스토비토프는 “이미 여러 전문가들이 말했던 것처럼 솔라윈즈 공격자들의 가장 중요한 목표는 정찰과 데이터 수집”이라고 보고 있다. “하지만 티어드롭은 뒷문을 열어두는 역할을 하는 것으로, 추후 정찰 이상의 행위를 할 수 있게 해줍니다. 따라서 티어드롭을 찾을 수 있다면 찾아서 없애는 게 안전합니다. 다만 아직 티어드롭 외에 3단계 혹은 4단계 감염용 임플란트가 있는데 저희가 발견하지 못한 것일 수도 있습니다. 그런 점에 대한 조사도 이어나가야 할 것입니다.”
마이크로소프트는 “솔라윈즈 사태 당시 공격자들이 여러 가지 멀웨어를 사용한 것으로 보인다”며 “이를 최대한 많은 조직들에서 찾아서 없애야 이 사태가 진짜로 해결되는 것”이라고 강조하며 이번 도구의 무료화 이유를 밝혔다. 참고로 마이크로소프트는 이 사태를 ‘솔라윈즈 사태’라고 부르지 않고 솔로리게이트(Solorigate)라고 한다.
“결국 공격자들의 실력이 점점 좋아지고 기술력이 높아지고 있다는 게 우리의 당면 과제입니다. 왜 그런 걸까요? 공격자들이 보안 업계 사람들보다 머리가 좋아서일까요, 자원이 많아서일까요? 서로의 노하우를 적극 공유하기 때문입니다. 이제 보안도 공동의 대처를 할 수 있어야 하는 때가 왔습니다. 공격자들의 수준이 개별적 대처로는 어려운 수준에 이르렀습니다.” MS의 설명이다.
“코드큐엘은 저희의 이러한 공동 전선 형성을 위한 노력의 일환이라고 볼 수 있습니다. 필요하신 대로 사용해 솔라윈즈 공격자들의 흔적을 최대한 많이 없애기를 바랍니다.” 코드큐엘은 여기서 다운로드가 가능하다.