2020년 03월 03일을 기준으로 CL0P 랜섬웨어 사이트에 보안회사 Qualys leaked data가 게시되었습니다. 본 사례는 이전에 공개되었던 다른 사고들처럼 공급망공격으로 확인된 Accelion FTA 제로데이 익스플로잇 취약점을 통한 사고로 확인됩니다.

* Qualys - 1999 년에 설립 된 캘리포니아에 본사를 둔 보안회사로 Forbes Global 100 대 기업 중 다수를 포함한 고객에게 서비스를 제공하고 있다.

[그림 1] Qualys leaked 정보(출처: CL0P 랜섬웨어 조직 사이트)

Qualys측은 정보를 전송하기 위해 사내 네트워크와 분리된 DMZ 환경에서 Accellion FTA를 운영하기 위한 서버를 운영해왔고, 해당 서버는 Qualys Cloud Platform과는 분리되어 운영되었기 때문에 고객 데이터에는 영향이 없음을 확인했다고 밝혔습니다.

Accellion 제로데이 익스플로잇 취약점은 2020년 12월 21일에 release 되었고, 이에 Qualys 측 역시 2020년 12월 22일 핫픽스를 적용했다고 전했습니다. 또한 내외부적으로 위험성이 있다고 판단되어 2020년 12월 24일자로 Accellion FTA 서버는 사용이 종료되었다고 말합니다.

Qualys와 Accellion측은 사고 조사를 통해 Accellion FTA 서버에 호스팅 된 파일에 대한 무단 액세스 내역을 식별했습니다. 또한 해당 조사를 기반으로 본 사고로부터 영향을 받은 고객에게는 즉시 안내를 했습니다. 사고 조사 결과, Qualys측은 Accellion FTA 서버에 한정되어 침해가 일어난 것으로 판단하였습니다.

Qualys는 Accellion 사고조사에 참여했던 FireEye Mandiant를 고용하여 보안 사고 조사를 진행하고 있습니다. Accellion FTA의 원데이 익스플로잇 취약점에 관한 더 세부적인 내용은 FireEye Manadiant 측에서 공개한 Cyber ​​Criminals Exploit Accellion FTA for Data Theft and Extortion 에서 확인할 수 있습니다.(링크: https://www.fireeye.com/blog/threat-research/2021/02/accellion-fta-exploited-for-data-theft-and-extortion.html)

[참고자료]

https://blog.qualys.com/vulnerabilities-research/2021/03/03/qualys-update-on-accellion-fta-security-incident

보안관제센터 Team MIR