국가가 후원하는 것으로 의심되는 위협 행위자들이 지난 3월 26일부터 CVE-2024-3400으로 명명된 팔로알토 네트웍스 방화벽의 심각한 제로데이 취약점을 악용하고 있는 것으로 밝혀졌다. 인증되지 않은 원격 코드 실행을 허용하는 이 익스플로잇은 내부 네트워크 침해, 민감한 데이터 탈취, 자격 증명 탈취에 활용되어 엣지 네트워크 디바이스를 타깃공격하고 있다.

팔로알토 네트웍스는 사용자에게 적극적인 익스플로잇에 대해 경고하고 4월 14일에 패치를 제공하겠다고 약속하며주의를당부했다. 그러나 이미 공격이 진행 중이므로 패치가 배포될 때까지 고객에게 완화 조치를 제공하기 위해 즉각적인 공개를 결정했다.

이 제로데이 취약점을 발견한 것으로 알려진 사이버 보안 업체 Volexity는 코드명 UTA0218로 알려진 공격자의 수법을 밝혀냈다. 이 업체에 따르면, 고도로 정교한 공격자들이 이 취약점을 활용하여 '업스타일'이라는 이름의 맞춤형 백도어를 심어 손상된 디바이스에 은밀하게 침투하여 활동할 수 있게 했다.

Volexity가 설명한 사건의 타임라인을 보면, 최초 익스플로잇은 4월 10일 팔로알토 네트웍스 PAN-OS의 글로벌 프로텍트 기능에서 탐지되었으며, 다음 날에도 동일한 공격이 관찰되었다. 사이버 공격자들은 지난 3월 26일부터 탐지되지 않고 활동해 왔으며, 치밀한 계획으로 공격해 왔다.

파이썬 스크립트를 통해 배포되는 '업스타일' 백도어는 파이썬의 경로 구성 파일을 조작하여 악성 명령을 실행한다. 공격자는 웹 서버 액세스 로그를 위조하고 명령을 base64로 인코딩해 감염된 디바이스에 대한 제어권을 유지하면서 은밀하게 데이터를 유출하고 추가 페이로드를 실행한다.

조사 결과 여러 가지 악의적인 활동이 발견되었다. 위협 행위자들은 업스타일 백도어 외에도 페이로드를 배포하여 리버스 셸을 시작하고 구성 데이터를 유출하며 로그 파일을 삭제했다. 특히 공격자들은 내부 네트워크로 방향을 전환하여 액티브 디렉토리 데이터베이스와 브라우저 데이터를 포함한 민감한 윈도우 파일을 약탈하여 침해 범위를 확대했다.  

강력한 보안 조치가 부족하고 인터넷에 직접 노출되는 엣지 네트워크 디바이스는 네트워크에 침투하여 중요한 데이터를 훔치려는 사이버 공격자들의 주요 표적이 되고있다. 포티넷, 소닉월, 시스코, 티피링크에 이르기까지 다양한 기업들이 국가 배후 사이버 공격 그룹의 희생양이 되어 사이버 보안 강화 조치가 시급한상황이다.

이처럼 증가하는 위협 환경에 대응하기 위해 사이버 보안 전문가들은 사전 예방적 조치를 강조한다. 네트워크 활동에서 의심스러운 패턴을 모니터링하고, 기술 지원 파일의 포렌식 아티팩트를 활용하고, 공급업체와 협력하여 탐지 메커니즘을 개발할 것을권고하고있다. 네트워크 방어를 강화하고, 패치를 신속하게 적용하며, 진화하는 사이버 위협에 대한 경계를 늦추지 않는 것이 시급한 과제다.

국내에서 팔로알토 네트웍스 방화벽을 사용하고 있는 기업들은 각별히 주의하고 보안 경계를 강화해야할 상황이다.