파일 전송 소프트웨어 하나가 세계를 흔들었습니다
2023년 5월 27일, 러시아 연계 해커 그룹 Cl0p이 Progress Software의 파일 전송 솔루션 MOVEit Transfer에서 SQL 인젝션 제로데이 취약점(CVE-2023-34362)을 악용하기 시작했습니다.
이 소프트웨어는 기업과 정부 기관이 민감한 파일을 안전하게 주고받기 위해 사용하는 관리형 파일 전송(MFT) 도구입니다. 전 세계 수천 개 조직이 사용 중이었고, 공격자는 이 하나의 진입점으로 대량의 데이터를 빼냈습니다.
피해 규모
Emsisoft의 집계에 따르면, 이 사건으로 영향받은 기관은 2,773곳, 유출된 개인정보는 약 9,500만 건에 달합니다.
피해 기관에는 미국 에너지부, 영국 BBC와 British Airways, Shell, 존스홉킨스대학교, 뉴욕시 교육부 등이 포함되어 있습니다. 단일 취약점으로 인한 피해 규모로는 역대 최대급입니다.
주요 피해 기관
| 기관 | 유출 규모 | |------|-----------| | Maximus | 1,100만 명 | | 뉴욕시 교육부 | 45,000명 | | Shell | 미공개 | | BBC / British Airways | 10만+ 명 |
공격 방식
- SQL 인젝션 — MOVEit의 웹 인터페이스에 악성 SQL 쿼리 삽입
- 웹셸 설치 — human2.aspx라는 백도어 파일 업로드
- 데이터 탈취 — Azure Blob Storage로 대량 파일 전송
- 이중 협박 — 몸값 미지불 시 다크웹에 데이터 공개 위협
Cl0p은 암호화 대신 데이터 탈취에 집중하는 "암호화 없는 랜섬웨어" 전략을 사용했습니다.
교훈
- 파일 전송 솔루션은 핵심 공격 표면 — MFT 도구의 보안 패치를 즉시 적용
- 공급망 단일 장애점 — 하나의 소프트웨어가 수천 개 기관에 영향
- 제로데이 대비 — WAF 규칙, 네트워크 세분화, 이상 트래픽 모니터링 필수
- 백업과 암호화 — 데이터 자체를 암호화하여 유출되어도 가치를 줄임