Avast 해킹, “CCleaner” 응용프로그램을 이용한 공급망 공격(supply chain attack)의 두 번째 시도가 확인되었다.

[이미지 출처: Avast]

Avast가 인수해 운영중이던 “CCleaner”는 2년전인 2017년 미상의 해커들에 의해 코드 서명 키를 탈취 당해 악성코드가 포함된 업데이트가 배포된 사고가 있었다. 이 악성코드는  MS, 구글, 소니, 시스코, 아카마이등 거대 기업들을 포함 약 227만여대의 PC를 감염시키는 피해를 발생시켰다.

이번 침해사고의 공격자가 2년전의 공격자와 동일하다고는 판단할 수 없으나 공격 행위나 흔적을 지우는 실력, 극도의 조심성 등의 공통점이 보여 원인을 영원히 알지 못할 가능성이 있어 Avast는 내부적으로 이 공격을 “Abiss” 라고 명명하였다.

이 공격은 2019년 5월14~15일, 7월 24일, 9월11, 10월 4일에 시도된 로그가 확인되며, 공격자는 Avast의 방치 되어있던 VPN profile를 이용하여 내부 네트워크로 침투한 것으로 보인다. 이 프로필은 사용하지 않는 프로필에도 불구하고 활성화 상태로 방치되어 있었으며, 또한 공격자가 최초로 탈취한 credential은 관리자 권한이 없던 계정이 였으나, 권한 상승 공격에도 성공한 것으로 보인다.

결국, 허술한 계정관리와 정책관리로 인하여 발생된 침해사고이다. VPN은 트래픽을 보호할 수 있는 좋은 기술임과 동시에 트래픽을 모니터링할 수 없다는 불리한 점도 존재하는 양날의 검이다. 위와 같은 침해사고를 예방하기 위해서는 사용하지 않는 계정을 체크하며 비활성화 시키 등의 계정관리 체계와  2단계 인증(2-factor authentication) 등과 같은 인증 체계를 적용시키는 등의 정책관리에 대한 관리체계가 잡혀 있어야 한다. 또한 Avast의 CISO인 자야 발루는 “망분리 역시 중요한 보안 전략이다"라고 꼽았다.

[5.63 버전 업데이트]

본 침해사고는 아직 조사 중으로 상세내용은 아직 공개되지 않았으며 2차 피해 발생여부는 아직 파악되지 않은 상태이다.

Avast는 예방차원에서 “CCleaner” 5.57~5.62버전에 대해 자동 업데이트를 실시하였다.

[참조]

https://www.helpnetsecurity.com/2019/10/21/avast-breach-2019/

https://www.bleepingcomputer.com/news/security/hackers-breach-avast-antivirus-network-through-insecure-vpn-profile/

보안관제센터 MIR Team