CWN(CHANGE WITH NEWS) - 美 국가안전보장국, 러시아 정부 소속 해커 집단의 원격 근무 플랫폼 해킹 경고

2020년, 코로나19 때문에 직장인들이 사무실을 벗어나 각자의 집에서 근무하게 됐다. 원격으로 기업 네트워크에 접속하며 업무를 하면서 이를 노린 사이버 공격이 기승을 부렸다. 최근, 미국 국가안전보장국(NSA)은 원격 근무 플랫폼의 취약점을 악용한 해킹 공격을 경고했다.

원격 근무 플랫폼, 해킹 위험에 노출
로이터, 와이어드, 블룸버그 등 다수 해외 매체 보도에 따르면, NSA가 12월 7일(현지 시각), 러시아 정부 소속 해커 집단이 원격 근무 플랫폼의 보안 취약점을 노린 해킹 공격을 개시했다. 모두 VM웨어(VMware)의 기업 원격 근무 플랫폼에서 발생한 취약점을 노린 공격이다.

해킹 공격이 성공적으로 진행된다면, 해커가 원격 근무 플랫폼의 취약점을 악용해 운영체제 명령을 원격 실행할 수 있다. 이후, 데이터 도난이나 손상과 같은 피해가 발생할 위험성이 있다. 게다가 해커는 표준 인증 요청을 조작하고, 민감 정보를 보관하고 있는 다른 서버에 얼마든지 접근할 수 있다.

러시아 정부 해커 집단의 해킹 공격이 발생한 VM웨어 제품 모두 클라우드 인프라스트럭처와 신원 관리와 관련이 있는 것으로 파악됐다. VM웨어 워크스페이스 원 액세스(VMware Workspace One Access)와 그 기존 제품인 VM웨어 아이덴티티 매니저(VMware Identity Manager), VM웨어 클라우드 파운데이션(VMware Cloud Foundation) 등이 대표적이다.

NSA는 일반 대중에게 VM웨어 버그를 경고했지만, 특히 정부 기관도 큰 피해를 볼 수 있기 때문에 즉시 보안 패치를 설치해야 한다고 강조했다.

미국 위협 정보 기업 파이어아이(FireEye) 사이버 도청 분석 수석 매니저 벤 리드(Ben Read)는 원격 코드 실행 취약점에서 해킹 문제가 발생한 사실에 주목했다.

또, VM웨어는 자사 홈페이지를 통해 해킹 경고문을 게재했다. 해당 경고문을 통해 VM웨어의 원격 플랫폼의 심각도가 '심각한 수준'의 바로 전 단계인 '중요한 수준'임이 확인됐다. 해커가 이미 웹 기반 패스워드 보호 관리 인터페이스에 접근한 것이 분명하게 드러났기 때문이다.

원격 근무 플랫폼 외 다양한 툴도 해킹 공격 위험 존재
실제로 원격 근무 확산과 함께 해커가 기업 네트워크에 쉽게 접근할 수 있다는 점 때문에 VPN 등 여러 툴이 사이버 공격의 주요 표적이 됐다. 이미 지난해에 VPN 보안 취약점 패치가 설치됐다. 그러나 올해 초, CISA(Cybersecurity and Infrastructure Security Agency)를 비롯한 미국 정보기관과 군사 기관은 러시아 해커 집단이 정부 기관을 포함, 보안 패치를 설치하지 않는 여러 기관을 노리고 있다고 두 차례 경고했다.

또, CISA는 12월 3일(현지 시각), 여러 정부 부처를 대상으로 여러 행정부에 VM웨어 취약점 패치를 즉시 설치하도록 독려하기 위한 경고문을 작성했다. 이때, CISA는 “해커가 취약점을 악용해 취약점의 영향을 받은 시스템을 제어할 수 있다”라고 경고했다.

한편, 미국 보안 플랫폼 업체 그레이트혼(GreatHorn)은 9월, 재택근무를 하는 직원이 보안 수준이 낮은 기기를 이용하는 경우가 많이 증가하면서 코로나19 이후 피싱 공격이 급격히 증가했다고 발표했다.

관련 기사: 美 보안 플랫폼 업체 "코로나19 이후 피싱 공격 증가"...왜?

[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]