CISA가 경고한다, F5 BIG-IP 취약점에 대해서

안녕하세요! 오토씨입니다. 최근(2024년 10월), 미국 사이버 보안 인프라 보안청(CISA)이 F5 BIG-IP Local Traffic Manager의 중요한 취약점에 대해 경고했습니다. 이 취약점은 악의적인 공격자들이 네트워크 내부를 정탐하는 데 악용될 수 있어, 사이버 보안 분야에서 큰 주목을 받고 있습니다. 이번 글에서는 이 취약점의 구체적인 내용과 이에 대응하기 위한 보안 대책을 정리해 보겠습니다.

 

CISA가 경고한다, F5 BIG-IP 취약점에 대해서

 

F5 BIG-IP 취약점의 핵심 개요

CISA에 따르면, F5 BIG-IP 장치에서 사용되는 암호화되지 않은 지속 쿠키가 네트워크 정탐에 악용되고 있습니다. 이러한 쿠키는 사용자의 세션 정보를 유지하기 위해 사용되지만, 암호화되지 않을 경우 공격자가 이를 쉽게 해독하여 네트워크 구조나 다른 장치에 대한 정보를 파악할 수 있습니다. 공격자들은 이 취약점을 통해 인터넷에 노출되지 않은 장치를 식별하고, 이후 네트워크 자원을 추가로 탐색하여 다른 취약점을 찾는 데 사용할 수 있습니다. 이로 인해 조직의 네트워크 보안이 심각하게 위협받을 수 있는 상황입니다.

 

BIG-IP 장치에서 사용되는 지속 쿠키(Persistence Cookie)는 로드 밸런서가 클라이언트의 요청을 항상 동일한 서버로 전달하기 위해 사용하는 쿠키입니다. F5 BIG-IP Local Traffic Manager(LTM)는 클라이언트의 첫 요청에 이 쿠키를 삽입하며, 이후 클라이언트는 해당 쿠키를 포함한 요청을 보냄으로써 세션이 유지됩니다. 이를 통해 클라이언트는 동일한 서버에 연결된 상태를 유지하게 됩니다.

반응형

조직이 취해야 할 보안 조치

이러한 위협에 대응하기 위해 CISA와 F5에서는 몇 가지 필수 보안 조치를 제안하고 있습니다. 아래에서 주요 대책들을 살펴보겠습니다.

 

1. 쿠키 암호화 설정 강화

BIG-IP 장치에서 사용되는 지속 쿠키를 암호화하는 것이 필수적입니다. 이는 HTTP 프로필 내에서 설정할 수 있으며, 이를 통해 네트워크 정탐을 방지하고 보안을 강화할 수 있습니다. 암호화된 쿠키는 공격자가 민감한 정보를 쉽게 알아내는 것을 방지합니다.

 

2. F5 BIG-IP iHealth 사용

F5는 사용자가 장치의 상태를 진단할 수 있는 도구로 BIG-IP iHealth를 제공합니다. 이 유틸리티는 시스템의 로그와 설정 상태를 분석해 알려진 문제와 일반적인 실수를 검토하고, 이를 해결할 수 있는 피드백을 제공합니다. 이를 통해 네트워크 환경에 적합한 보안 강화를 빠르게 진행할 수 있습니다.

 

3. 사이버 위험 감시 강화

조직 내 승인된 장치만 접근을 허용하는 것이 중요합니다. 이를 위해 접근 제어 목록을 강화하고, 비인가 장치의 접근을 차단하는 노력이 필요합니다. 이러한 조치는 잠재적 공격자가 내부 시스템에 접근하는 것을 방지하는 중요한 단계입니다.

국제적인 사이버 위협 현황

최근 영국과 미국의 사이버 보안 기관은 러시아 정부의 지원을 받는 APT29 공격자들이 외교, 국방, 기술, 금융 분야를 대상으로 한 공격을 지속적으로 진행하고 있다고 발표했습니다. 이들은 탐지를 회피하고 익명성을 유지하는 전략을 통해 조직의 데이터를 수집하고 있습니다. 이러한 공격은 글로벌 사이버 보안의 중요성을 더욱 강조합니다.

마치며

이번 F5 BIG-IP 취약점 경고는 조직적인 보안 대책이 없을 경우 실제로 심각한 데이터 유출 및 네트워크 침해로 이어질 수 있음을 다시 한 번 일깨워 주었습니다. 네트워크 내의 모든 장치를 안전하게 보호하고, 보안 대책을 강화하는 것이야말로 사이버 공격을 막기 위한 최선의 방법입니다.