이스라엘 사이버 보안회사인 Check Point가 소유한 자회사 ZoneAlarm는 다운로드 1억회 가량 되는 소프트웨어로 전세계 PC 사용자, 소규모 비즈니스 및 휴대폰에 바이러스 백신, 방화벽, 추가 바이러스 방지 솔루션을 제공하는 업체이다. 

이번 보안 사고에 대해 Zone Alarm이나 Check Point는 공개적으로 발표하고 있지 않지만 주말동안 영향받는 사용자에게 이메일을 보내 ZoneAlarm Forum 이용자 계정에 해커가 무단으로 접근하여 개인정보(이름, 이메일 주소, 해시된 비밀번호, 생년월일 등)를 확인하고 유출 할 수 있으므로 비밀번호를 즉각 변경하기를 공지했고, 해당 사고는 4,500명 가량의 “forum.zonealarm.com” 도메인에 등록된 사용자에게만 영향을 미친다고 전했다.

해당 도메인 사이트는 다른 웹 사이트와는 별개로 구성되어 있고 소수의 구독자만 이용하고 있다고 하며, 현재는 문제를 해결하기 위해 비활성화 된 상태로 문제 해결 뒤 최초 접근시 비밀번호 재설정 요청이 이루어 진다고 덧붙였다.

이번 사고는 최근 9월말 공개된 vBulletin 취약점을 통해 발생하였는데 이 취약점은 RCE vulnerability (CVE-2019-16759)로 정의되며 권한 상승 없이 원격 명령을 실행할 수 있고, 공격 코드(PoC)가 외부에 공개되어 누구나 쉽게 악용 할 수 있어 자사의 보안동향뿐 아니라 전세계 보안시장에서도 위험성에 대해 언급이 되었다.

취약점 공개 이후 다양한 기업에서 vBulletin취약점으로 인한 사고가 발생하였고, 이러한 이슈에도 불구하고 보안회사가 보유한 사이트에서 취약한 버전인 vbulletin 5.4.4를 사용해 사고가 발생한 것으로 알려져 논란이 더욱 가중될 것으로 보인다.

이러한 논란과 명성의 피해를 입지 않도록 방지하기 위해 조치가 필요하다. 따라서 해당 관련 사고 정보와 함께 해당 취약점의 대한 정보도 제공하고자 한다.

vBulletin은 최신 업데이트 패치를 배포하고 있으나, 모든 버전인 아닌 최신 버전인 5.5.2, 5.5.3, 5.5.4에서만 패치가 되어진다. 따라서 내부 자산 중 vBulletin 사용의 식별과 버전과 업데이트 내용을 확인해야 하며, 취약한 것으로 판별될 경우 이전에 이미 발생한 접근 허용 중 “routestring:ajax/render/widget_php”에 대한 기록 여부 파악 및 실제 영향평가를 진행 할 필요가 있다고 보인다. (해당 취약점에 대한 자세한 정보는 자사의 2019년 9월 4주 보안동향에서 확인)

현재 싸이버원에서는 관제 영역 범위에서 해당 이슈를 탐지하고 차단하기 위한 룰셋 적용 및 전체 데이터를 이용한 상관관계 분석으로 대응 업무를 진행하고 있어, 대응이 가능하다.  하지만 이러한 부분외에 기업 내부의 자산관련하여 식별되지 않은 위협을 차단하기 위한 노력은 필요하다. 

저자 개인적 의견으로 체계적인 관리 프로세스가 갖추어졌다면, 자산의 식별에 문제가 발생하지 않는 한 발생되지 않을 사고였다고 보여지기에 현재 자산 식별에 누락이나, 오류가 발생하지 않도록 주의 할 것을 강조하며 마무리 한다.

[참조- https://thehackernews.com/2019/11/zonealarm-forum-data-breach.html]

보안관제센터 MIR Team