올해 초 마이크로소프트의 이메일 서비인 익스체인지(Exchange)를 겨냥한 대규모 사이버 공격이 발견됐다. 익스체인지 서버를 이용한 세계의 여러 기업과 정부 기관에도 연쇄적인 해킹 피해가 이어졌다.
이와 관련, 영국 방송사 스카이뉴스는 익스체인지 서버를 겨냥한 해킹의 2차 피해 위험성이 존재한다는 소식을 보도했다.
먼저, 스카이뉴스는 다수 영국 정부 기관과 경찰국 서버가 익스체인지 서버 해킹 공격에 취약하다는 사실에 주목했다.
마이크로소프트가 익스체인지 서버 관련 보안 문제에 아무 대응을 하지 않았다는 뜻은 아니다. 마이크로소프트는 익스체인지 서버 해킹 이후, 보안 취약점을 해결하기 위해 수 개월간 소프트웨어 업데이트를 제공했다. 그러나 지금까지 영국 기관 중 마이크로소프트의 소프트웨어 업데이트 작업을 완료한 곳은 50%도 되지 않는다.
과거, 마이크로소프트에서 근무한 경력이 있는 보안 전문가인 케빈 버몬트(Kevin Beaumont)는 마이크로소프트가 배포한 소프트웨어 업데이트 사항은 해커가 패스워드를 입력하지 않아도 원격으로 코드 실행을 할 수 있는 심각한 문제를 다룬다고 설명했다.
그러나 버몬트는 마이크로소프트가 소프트웨어 업데이트 및 결함 수정을 완전히 제대로 다루지는 못했다고 주장했다.
마이크로소프트가 지난 4월과 5월, 결함이 있는 코드 수정 작업을 진행했다. 그러나 지난달까지 공통 취약점 및 노출(CVE) 식별 문제 보고 일정을 미루고, 상당수 기관이 취약점을 추적하고 업데이트하도록 한 것이 현재의 보안 위험성에 영향을 미친 것으로 보인다.
버몬트는 "많은 기관이 CVE를 기반으로 보안 취약점을 관리한다. 이를 고려하면, 마이크로소프트 고객사 상당수가 올해 최악의 공격이라고 할 수 있는 사이버 보안 문제의 심각성을 제대로 안내받지 못했다고 판단할 수 있다"라고 전했다.
또, 마이크로소프트가 취약점을 보완할 패치 배포를 지원할 때, 주어진 모든 취약점에 제기할 수 있는 위험의 심각성 정보를 제공하는 공개적으로 접근 가능한 개념증명(proof of concept) 악용 사례는 없었던 것으로 확인됐다.
익스체인지 서버의 CVE는 이달 초 진행된 사이버 보안 분야 컨퍼런스인 블랙햇(Black Hat)에서 처음 공개됐다. CVE는 마이크로소프트가 아닌 보안 연구원 오렌지 차이(Orange Tsai)가 공개했다.
차이는 자신이 발견한 익스체인지 서버 관련 CVE를 공개하면서 기존의 익스체인지 서버를 악용한 신종 랜섬웨어 공격 발생 위험성을 경고했다. 그는 당시 컨퍼런스 현장에서 마이크로 익스체인지의 취약점을 악용한 새로운 사이버 공격이 곧 보고될 것이라고 내다보았다.
미국 보안 기업 맨디언트(Mandiant)는 스카이 뉴스에 이미 여러 업계가 익스체인지 서버의 취약점과 관련된 사이버 공격 피해 사례를 보고한 사실을 밝혔다.
맨디언트 관계자는 "누구나 익스체인지 서버의 취약점을 악용해 새로운 사이버 공격을 개시할 수 있다. 게다가 여전히 패치 작업 비율이 낮아 앞으로도 피해 보고 사례가 증가할 것"이라고 경고했다.
한편, 마이크로소프트 대변인은 "마이크로소프트는 고객사의 보안 업데이트를 최대한 지원해, 사이버 공격 피해가 발생하지 않도록 최대한 보호한다"라고 반박하며, "고객사에 지원 가능한 소프트웨어 버전을 실행하도록 확인하고, 지금이라도 즉시 보안 업데이트 설치 작업을 진행할 것을 권고한다"라고 전했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
