전세계적으로 이반티(Ivanti) 제품의 보안 취약점을 악용한 공격 사례가 다수 확인되고 있는 가운데 최근 국내 기업을 대상으로 한 사이버 공격 정황도 포착되어 각별한 주의가 요구된다.

오아시스 시큐리티(대표 김근용)는 “자사 CTI 서비스인 ‘AGATHA(아가사)’를 통해 국내 항공사 및 간편결제 관련 기업 2곳과 해외 기관·기업·협회 등을 대상으로 한 이반티(Ivanti)사의 취약점 공격을 포착했다”고 밝혔다.

공격에 사용된 경유지 서버는 말레이시아 IP로 확인되며, 국내 항공 관련 기업을 포함하여 공격 대상으로부터 탈취한 정보와 공격에 사용한 것으로 추정되는 도구가 확인되었다.

이번 공격으로 사용자 계정 정보와 TOTP(Time-based One-Time Password) 암호키, 백업 코드 등 사용자 인증에 관련된 정보가 유출되었으며, 기관·기업에서 운영 중인 서버 접속 정보도 유출된 것으로 확인된 만큼 추가적인 공격으로 인한 피해가 발생할 가능성이 있어 각별한 주의가 요구된다.

특히 기관·기업에서 사용하는 인증서 정보도 유출된 정황이 있어 향후 공격 그룹에 의해 악용될 소지가 높아 대응이 필요하다.

또한 사용자 및 시스템 인증 정보와 같이 확보된 터널링 및 프록시 도구를 볼 때, 공격자가 내부 네트워크에 진입해 측면 이동(Lateral Movement)하고 있을 가능성이 높아 빠른 조치가 필요한 상황이다.

김근용 오아시스 시큐리티 대표는 “추가 공격을 차단하기 위해 관련 위협정보를 즉각 유관기관에 전달했다고 밝혔다. 또한, 북한, 중국, 러시아 해킹그룹이 사용하는 공격 도구에 대한 선제적·공세적 대응이 필요하다”고 강조했다.

오아시스 시큐리티는 3년차 스타트업 보안기업이다. 사이버 위협 정보 서비스 AGATHA는 사이버 위협 세력의 악의적 활동에 대한 억지력 확보와 공세적 방어 역량 강화를 위해 사이버 공격 인프라 사전포착 · 수집 · 추적을 통해 공격이 발생하기 전에 관련 위협정보를 제공한다. 관련 문의는 contact@oasis-security.kr로 하면 된다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★