보잉이 당한 록빗 공격… “올해만 800개 조직 해킹한 것으로 추정”

러시아 기반의 랜섬웨어 그룹 록빗 3.0은 지난달 항공 대기업 보잉(Boeing)을 공격하기 위해 시트릭스 소프트웨어 취약점을 악용했다. 이 취약점은 ‘시트릭스 블리드(Citrix Bleed, CVE-2023-4966)’라고도 불린다. 

록빗은 당시 보잉에 대한 공격이 자신들의 소행이라고 주장하며 몸값을 요구했다. 보잉이 단호하게 맞서자, 록빗은 다크웹 유출 사이트를 통해 일부 데이터를 게시했다. 이후 협상이 진행되며 웹사이트에서 보잉의 이름은 제거됐고, 기한도 11월 2일에서 11월 10일로 연장됐다. 하지만 협상은 끝내 결렬된 것으로 보인다. 록빗 그룹이 보잉 시스템에서 탈취한 것으로 추정되는 약 50GB의 데이터를 공개했기 때문이다. 록빗은 2023년에만 800개에 달하는 조직을 해킹한 것으로 전해졌다.  

보잉은 성명을 통해 “이번 사건에서 랜섬웨어 범죄 행위자가 당사 시스템에서 탈취한 것으로 추정되는 정보를 공개했다는 사실을 인지하고 있다. 해당 사건을 적극적으로 조사하고 법 집행 기관 및 규제 당국과 협력하고 있으며, 고객과 공급업체에도 사실을 알리고 있다”라고 밝혔다.

일부 분석에 의하면 2020년부터 2023년 중반까지 록빗 공격을 받은 미국 조직이 지불한 몸값은 약 9천만 달러에 달한다. 록빗은 2020년 결성 후 세계 최대 해킹 그룹으로 부상했다.

보잉의 공유 데이터를 바탕으로 하는 권고문
보잉이 ‘자진해서 공유한’ 데이터를 기반으로 미국 CISA(Cybersecurity and Infrastructure Security Agency)는 FBI 및 ACSC(Australian Cyber Security Center)와 협력해 보안 권고문을 발표했다.

CISA는 권고문을 통해 “록빗 3.0이 악용하는 것으로 알려진 시트릭스 블리드는 위협 행위자가 암호 요구 사항과 다단계 인증(MFA)을 우회할 수 있게 해, 시트릭스 넷스케일러(NetScaler)의 웹 애플리케이션 전송 제어(ADC) 및 게이트웨이 어플라이언스에서 사용자 세션을 탈취할 수 있도록 한다”라고 설명했다.

권고문은 보잉이 ‘자진해서 공유한’ 전술, 기술 및 절차를 소개했다. 해당 취약점은 지난달 발견 이후 곧바로 수정됐지만, 이미 멀웨어로 인해 악용되고 있었다. 시트릭스는 추가 패치를 발표하고 즉시 설치할 것을 사용자에게 촉구했다. 

넷스케일러는 블로그에서 “이 취약점에 대한 악용이 보고됐다. 영향을 받는 넷스케일러 ADC 및 게이트웨이 빌드를 사용하는 경우 가능한 한 빨리 업데이트를 설치할 것을 강력히 권장한다. 악의적 공격자는 사용자 세션을 탈취해 자격 증명을 수집하고, 측면 이동하며, 데이터 및 리소스에 액세스할 수 있는 높은 권한을 확보하고 있다”라고 밝혔다.

언론 보도에 따르면 CISA는 약 300개 조직에 이 사실을 알려 시스템을 보호할 수 있도록 지원했다.

확산되는 록빗 3.0 공포
록빗은 중국공상은행(ICBC), 앨런&오버리 로펌(Allen & Overy), 영국 로열메일(Royal Mail) 등도 공격한 것으로 추정된다. 중국 최대 대출 기관인 ICBC의 미국 지사는 지난 9일 랜섬웨어 공격으로 인해 시스템이 마비됐으며, 미국 국채 시장에서의 거래가 일시 중단되기도 했다.

ICBC는 시스템 통제권을 되찾기 위해 록빗에 몸값을 지불한 것으로 전해졌다. 시트릭스가 패치를 배포한 지 약 한 달이 지난 시점이었기 때문에, 패치 설치가 지연되면서 사고가 발생했을 가능성이 높다.dl-ciokorea@foundryco.com