[주의] MS 쉐어포인트 RCE 취약점, 전 세계 기업 네트워크 침투에 악용중

최근 마이크로소프트 쉐어포인트에서 원격 코드 실행(RCE) 취약점인 CVE-2024-38094가 발견돼 전 세계적으로 기업 네트워크 침투에 사용되고 있어 각별히 주의해야 한다.

CVSS(공통 취약점 평가 시스템)에서 7.2점의 고위험으로 평가된 이 취약점은 온프레미스 환경에서 운영되는 쉐어포인트에 영향을 미쳐 공격자들이 내부 네트워크에 무단으로 접근할 수 있게 한다. 마이크로소프트는 2024년 7월 9일 이 문제를 해결하는 패치를 배포했지만, 패치가 적용되지 않은 시스템을 대상으로 한 공격은 여전히 진행 중이다.

쉐어포인트는 문서 관리와 팀 협업, 마이크로소프트 365(Microsoft 365)와의 원활한 연동 기능을 제공해 많은 기업이 사용하는 플랫폼이다. 하지만 CVE-2024-38094 취약점을 이용한 공격이 계속 발생하면서 이 소프트웨어가 기업의 핵심 시스템에 대한 주요 공격 통로로 부각되고 있다. 미국 사이버보안 및 인프라 보안국(CISA)도 최근 CVE-2024-38094를 ‘악용 중인 취약점 목록’에 추가했으나, 구체적인 악용 방식에 대해서는 밝히지 않았다. 그러나 최근 사이버보안 기업인 래피드7(Rapid7)의 보고서에 따르면 이 취약점이 실제 환경에서 악용된 사례가 확인돼 큰 주목을 받고 있다.

래피드7에 따르면, 공격자는 해당 취약점을 통해 쉐어포인트 서버에 웹셸을 심어 네트워크에 진입했다. CVE-2024-38094에 대한 공개된 개념 증명(PoC) 코드를 사용해 쉐어포인트 서버를 침투한 것으로 알려졌다. 공격자는 서버 내부로 진입한 후 마이크로소프트 익스체인지(Microsoft Exchange) 서비스 계정을 탈취해 도메인 관리자 권한을 얻어 네트워크를 완전히 장악할 수 있었다.

이후 공격자는 중국의 보안 소프트웨어인 후오롱(Huorong) 안티바이러스를 설치해 기존의 보안 방어 체계를 무력화하는 전략을 구사했다. 이를 통해 기업의 방어 체계에 충돌을 유발해 보안 팀이 이상 징후를 탐지하기 어렵게 했다. 이 설치 과정은 ‘hrword install.bat’ 배치 파일을 실행해 후오롱을 설치하고, ‘sysdiag’라는 사용자 정의 서비스를 생성하며 ‘sysdiag_win10.sys’ 드라이버를 실행한 뒤 ‘HRSword.exe’를 실행하는 방식으로 진행됐다.

이 같은 전략적 간섭으로 인해 시스템 자원 할당이 과부하에 걸리며 기업의 기존 안티바이러스 서비스가 무력화됐다. 이는 공격자가 네트워크 내에서 탐지되지 않고 자유롭게 이동하며 추가 악성 코드를 설치할 수 있는 환경을 만들어 주었다.

보안 시스템이 무력화되자 공격자는 임팩트(Impacket)라는 오픈 소스 툴킷을 사용해 네트워크 내 여러 시스템으로 자유롭게 이동할 수 있었다. 이들은 네트워크 심층에 위치한 사용자 자격 증명을 탈취하기 위해 미미캣츠(Mimikatz)와 함께 everything.exe, Certify.exe, kerbrute 등의 도구를 사용해 네트워크 스캐닝, 인증서 생성, 액티브 디렉토리(Active Directory) 인증 티켓에 대한 무차별 대입 공격을 수행했다.

공격자는 지속적인 접근을 확보하기 위해 시스템 설정을 변경해 윈도우 디펜더를 비활성화하고, 이벤트 로그를 수정하며 시스템 로그 기록을 변경했다. 또한 예약 작업을 설정해 시스템이 재부팅된 후에도 지속적으로 접근할 수 있도록 했다.

마지막 단계에서 이들은 백업 시스템을 삭제하려는 시도를 했으나, 제3자 서비스로 관리되는 백업을 삭제하는 데는 실패했다. 이 같은 백업 삭제 시도는 일반적으로 랜섬웨어 공격에서 자주 관찰되며, 피해 기업이 데이터 복구에 어려움을 겪도록 유도하는 전략이다. 다만 이번 공격에서는 데이터 암호화가 이루어지지 않아 금전적 목적의 랜섬웨어 공격일 가능성은 낮다고 래피드7은 분석했다.

사이버보안 전문가들은 온프레미스 환경에서 쉐어포인트를 사용하는 기업들이 2024년 7월 배포된 패치를 즉시 적용해야 한다고 강조했다. CVE-2024-38094에 대한 개념 증명 코드가 공개된 이상, 패치되지 않은 시스템은 여전히 고위험 상태에 놓여 있으며 고도화된 공격자들에게 취약한 상태다. 이번 사건은 특히 쉐어포인트와 같은 기업 필수 애플리케이션에 대한 신속한 패치 적용의 중요성을 일깨워준다.

보안전문가들은 CVE-2024-38094와 관련된 위험을 줄이기 위해 몇 가지 조치를 취할 것을 권장했다. 우선, 쉐어포인트와 익스체인지와 같은 고가치 시스템을 포함한 모든 소프트웨어에 최신 패치를 정기적으로 적용하는 것이 중요하다. 또한 고급 엔드포인트 탐지 및 대응(EDR) 솔루션을 배포해 비정상적인 활동을 모니터링함으로써 무단 접근이나 네트워크 이동을 탐지할 수 있어야 한다고 강조했다.

즉시 패치를 적용하기 어려운 경우, 전문가들은 엄격한 접근 통제를 시행하고 관리자 권한을 최소화하며, 네트워크 분할을 통해 침해 가능성을 줄이는 대안을 제안했다. 특히, 관리자 권한이 부여된 계정에 대한 다중 인증(MFA)을 적용해 무단 접근을 방지하는 것이 필수적이다.

마지막으로, 추가적인 안티바이러스 소프트웨어 배포는 일견 도움이 될 수 있으나, 이번 사건에서 보듯이 공격자들이 후오롱 안티바이러스와 같은 합법적인 보안 도구를 악용해 방어 체계를 무력화하는 경우가 증가하고 있어 주의가 필요하다. 따라서 보안 소프트웨어 간의 충돌을 방지하도록 설정하며, 모든 안티바이러스 제품이 다른 설치된 보안 도구들과 호환되도록 구성해야 한다고 전문가들은 강조하고 있다.

★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★