도·감청 등을 수행하는데 악용될 수 있는 네트워크 장비에서 발견된 취약점에 대해 최근에야 보안패치가 이뤄진 것으로 나타났다. 그동안 각종 정보기관이나 지능형 공격 그룹에 악용됐을 가능성도 배제할 수 없는 상황이다.
네트워크 장비회사인 주니퍼네트웍스가 공급하고 있는 방화벽 및 가상사설망(VPN) 전용 장비에서 암호화한 트래픽을 복호화해 볼 수 있게 하는 백도어(뒷문)가 발견돼 17일(현지시간)부터 긴급 패치가 이뤄졌다. 문제는 이러한 취약점이 최근까지 발견되지 않고 그대로 남아 있었다는 점이다. 어떤 식으로 공격자들에게 악용됐을지 장담하기 힘든 상황이다.
주니퍼네트웍스는 자사가 공급하는 기업용 방화벽 및 VPN 장비인 넷스크린에 적용된 운영체제인 스크린OS에 비인가된 코드가 삽입돼 있다는 점을 확인했다. 이 코드들은 VPN을 통해 전송되는 암호화된 트래픽을 허가없이도 복호화할 수 있게 하는 것이다. 넷스크린이 이미 이동통신사, 데이터센터 등에 널리 활용되고 있는 만큼 관련 기업들에 어떤 피해가 났을지 장담하기 어려운 상황이다.
아직 해당 취약점을 악용하려고 했던 공격자들이 누구인지는 밝혀지지 않고 있다. 다만 과거 델 슈피겔은 국가안보국(NSA)이 ANT라는 부서를 통해 정보기관 요원들에게 주니퍼네트웍스는 물론 시스코, 화웨이, 델 등이 제공하는 기기들을 해킹해 도감청할 수 있게 돕는 스파이툴을 판매해 왔다고 보도한 바 있다. 이중 '피드쓰루(FEEDTUOUGH)'라는 툴은 주니퍼네트웍스의 방화벽에 백도어를 심는 역할을 하는 것으로 나타났다. NSA와 같은 미국 정보기관들이 의심된다는 지적이다.
반면 오히려 미국 정부는 해외 정부기관의 공격이 의심된다고 주장하고 있다. CNN에 따르면 미국 정부 관계자는 "어떤 정부 건물에라도 침입할 수 있는 마스터키를 훔친 것이나 마찬가지"라고 주장하며, 중국이나 러시아 등이 배후에 있을 것으로 추정했다.
주니퍼네트웍스 정보보안최고책임자(CISO)이자 부사장을 맡고 있는 밥 워럴은 "내부 코드에서 2개 취약점을 발견했으며, 스크린OS 6.2.0r15~6.2.0r18 버전과 6.3.0r12~6.3.0r20 버전이 영향을 받는 것으로 확인했다"고 밝혔다. 이어 그는 "가장 먼저 감염된 (스크린OS) 버전은 2012년 9월12일에 배포됐던 것으로 에드워드 스노든이 NSA의 감시활동을 폭로하기 1년 전의 일"이라고 덧붙였다.
최근 발견된 2가지 취약점 중 하나는 비인가된 코드를 사용해 VPN으로 암호화된 트래픽을 임의로 복호화할 수 있게 한다는 것이다. 다른 하나는 SSH나 텔넷을 통해 해당 장비에 관리자 권한으로 접속할 수 있게 하는 취약점으로 공격자가 정보를 유출시키는 등 작업을 수행할 수 있게 된다.
관련기사
- 암호 열어주면 테러방지 효과 있을까2015.12.19
- 주니퍼식 오픈소스 하드웨어 전략 확대2015.12.19
- 주니퍼, 독점형-개방형 하드웨어 양면전략 통했나2015.12.19
- "韓國이 감시되고 있다"…중국산 CCTV에 백도어 장착2015.12.19
주니퍼 측은 해당 방화벽, VPN 시스템 접속은 보안을 위해 로그가 남고, 비밀번호를 통한 추가인증이 필요한데 공격자들은 이러한 부분에서 흔적을 남기지 않았다고 설명했다. 3년 전부터 최근 패치가 이뤄지기 전까지 지능형 공격에 악용됐을 것으로 의심되는 대목이다.
이에 대해 워럴 CISO는 "취약점들을 확인해 스크린OS 최신버전에 보안패치를 적용했다"며 "아직까지는 이들 취약점을 악용한 실제 공격이 있었다는 보고는 받지 못했다"고 밝혔다. 주니퍼 측은 차세대방화벽인 SRX 제품군이나 다른 주노스OS 기반 시스템들은 영향을 받지 않았다고 덧붙였다. 주노스는 라우팅, 스위칭, 보안 등을 위해 사용되는 OS다.
