시트릭스(Citrix)가 최근 넷스케일러(NetScaler) 기기를 대상으로 한 대규모 비밀번호 스프레이 공격에 대해 경고하고, 이에 대한 보안 권고문을 발표했다. 이번 공격은 기기를 무차별적으로 인증 시도를 통해 로그인 자격 증명을 탈취하려는 방식으로, 기업 네트워크 침투를 목표로 한 올해의 여러 공격 중 하나로 확인됐다.
비밀번호 스프레이 공격은 흔히 사용되는 사용자 이름과 약한 비밀번호 조합을 활용해 무차별적으로 로그인 시도를 하는 기술이다. 이 공격은 계정 잠금을 방지하기 위해 여러 계정을 순차적으로 시도하며, 로그인 자격 증명을 탈취해 민감한 시스템에 무단 접근하는 것을 목적으로 한다.
올해 초, 시스코(Cisco)와 마이크로소프트(Microsoft)는 이와 유사한 공격에 대해 보고한 바 있다. 시스코는 자사 VPN 기기를 겨냥한 공격을 확인했으며, 이로 인해 일부 기기가 서비스 거부(DoS) 상태에 빠지는 문제가 발생해 10월에 이를 수정했다. 마이크로소프트는 쿼드7(Quad7) 봇넷이 TP-Link, Zyxel과 같은 네트워크 기기를 악용해 클라우드 서비스를 공격하고 있다고 경고했다.
최근 독일 연방 정보 보안청(BSI)은 시트릭스 넷스케일러 게이트웨이를 겨냥한 비밀번호 스프레이 공격이 증가하고 있다고 발표했다. 일부 보고에 따르면, 공격자는 주요 인프라(KRITIS)와 국제 조직을 대상으로 최대 백만 건에 달하는 로그인 시도를 감행하며, "test", "sqlservice", "vpn"과 같은 일반적인 사용자 이름을 사용하고 있는 것으로 나타났다.
시트릭스는 최근 권고문을 통해 넷스케일러 기기를 겨냥한 인증 시도가 급격히 증가했다고 밝혔다. 이 공격은 동적 IP 주소에서 발생하기 때문에 기존의 IP 차단이나 속도 제한 같은 방어 전략이 효과를 발휘하지 못하고 있다.
특히 이번 공격은 과거 레거시 환경과의 호환성을 위해 유지되고 있는 ‘pre-nFactor’ 인증 엔드포인트를 표적으로 삼고 있다. 이 엔드포인트는 현대적인 대규모 공격을 처리하기에는 적합하지 않아 시스템 성능 저하나 서비스 중단을 초래할 수 있다.
시트릭스는 이번 공격에 대한 영향을 줄이기 위해 아래와 같은 기술적 대응 방안을 제시했다.
-다단계 인증(MFA) 활성화: LDAP 인증 이전에 다단계 인증을 구성해 추가 보안 계층을 추가한다.
-FQDN(정규화된 도메인 이름) 기반 인증 제한: 특정 FQDN으로 인증 시도를 제한하는 정책을 생성한다.
-레거시 엔드포인트 차단: 환경에서 필요하지 않은 경우 pre-nFactor 인증 엔드포인트를 차단한다.
-웹 애플리케이션 방화벽(WAF) 활용: 악성 활동 이력이 있는 낮은 평판의 IP 주소를 차단한다.
시트릭스는 게이트웨이 서비스 사용자는 이러한 완화 조치를 적용할 필요가 없으며, 온프레미스 또는 클라우드 기반의 넷스케일러 기기에만 해당된다고 밝혔다. 또한 이 조치는 펌웨어 버전 13.0 이상에서만 사용할 수 있다.
보안 전문가들은 비밀번호 스프레이 공격에 대처하기 위해서는 선제적 조치가 중요하다고 강조했다. 또 “이번 공격은 약한 비밀번호 정책과 오래된 구성의 문제를 보여준다”며, 정기적인 네트워크 기기 점검과 취약점 패치의 중요성을 강조했다.
또한, 전문가들은 IP 차단에 의존하는 방식이 점점 효과를 잃고 있다고 경고했다. 동적 IP와 봇넷을 활용한 공격이 늘어나고 있기 때문이다. 대신, 강력한 다단계 인증 도입, 엄격한 접근 통제, 비정상적인 로그인 시도를 실시간으로 탐지하는 모니터링 도구 사용을 권장했다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
