MOVEit Transfer의 CVE-2023-34362 공격으로 데이터가 유출됐는지 확인하려면 IIS 웹 로그 내 ‘human2.aspx’ 요청 기록과 ‘/moveitisapi/moveitisapi.dll’ 경로의 ‘action=m2’ 파라미터 포함 여부를 최우선으로 점검해야 한다. 시스템 내 AppWeb*.dll 파일 생성 여부와 MOVEit.evtx 로그의 Event ID 0에 기록된 비정상적인 파일 다운로드 이력으로 침해 사실을 확정할 수 있다.
취약점 개요 및 영향 범위
2023년 5월 31일, Progress Software는 MOVEit Transfer 솔루션에서 심각한 SQL 인젝션 취약점인 CVE-2023-34362가 발견됐다고 공지하며 비상 패치를 권고했다. 이 취약점은 공격자가 인증 없이 데이터베이스에 임의 쿼리를 실행하게 만들며, 이후 CVE-2023-35036 및 CVE-2023-35708 같은 추가 취약점으로 이어져 공격 표면을 넓혔다. Microsoft를 비롯해 Rapid7, Huntress, Mandiant 등 글로벌 보안 기업들은 해당 공격의 배후로 CL0p 랜섬웨어 조직(Lace Tempest)을 지목했다. 이는 단순한 시스템 파괴가 아니라 체계적인 데이터 유출 및 강탈 캠페인의 일환으로 분석된다.
실제 피해 규모는 매우 넓다. 2023년 5월 말 기준으로 공공 인터넷에 노출된 MOVEit Transfer 인스턴스 약 2,500개가 확인됐으며, 대부분 북미 지역에 집중됐다. Progress Software의 공식 공지가 나오기 최소 4일 전부터 이미 공격자들이 취약점을 악용해 침투를 시작했다는 점이 더 심각하다. 이에 미국 CISA는 해당 취약점을 KEV(Known Exploited Vulnerabilities) 카탈로그에 즉시 등재하고 모든 연방 기관에 긴급 조치를 지시했다. 이번 사태로 수많은 기업과 공공기관에서 데이터 유출 사례가 보고됐으며, 리스크 평가, 법무 비용 처리, 브랜드 평판 손실 등 추정 피해액은 수십억 달러 규모에 달한다.
MOVEit Transfer IOC 및 침해지표 탐지 방법
침해 사고 분석의 핵심은 공격자가 남긴 흔적인 침해지표(IOC)를 빠르게 식별하는 것이다. 보안 담당자는 먼저 IIS 웹 로그를 분석해 웹쉘(Webshell) 생성 및 실행 징후를 찾아야 한다. 특히 ‘human2.aspx’라는 파일명으로 들어오는 HTTP 요청은 초기 침투 후 지속성 유지를 위해 설치한 웹쉘의 결정적인 인디케이터다. 또한 /moveitisapi/moveitisapi.dll 경로로 전송되는 POST 요청 중 파라미터에 action=m2 또는 유사한 값이 포함되어 있다면, SQL 인젝션으로 권한을 획득하려는 시도로 봐야 한다.
파일 시스템 수준의 탐지도 필수적이다. 공격자는 권한 상승과 데이터 탈취를 위해 App_Web_*.dll 형태의 파일을 생성하거나, 임의 폴더 내에 DLL 파일을 배치한다. 대표적으로 C:\Windows\Temp\erymbsqv\erymbsqv.dll 경로에 생성되는 악성 DLL 파일은 시스템 제어와 데이터 외부 전송에 사용된다. Florian Roth의 YARA 규칙 등 전문 보안 커뮤니티에서 공유한 악성 ASPX 및 DLL 해시 값을 활용해 현재 시스템 파일들과 매칭하면 정확한 침해 여부를 판별할 수 있다.
네트워크 단의 IOC 확인은 외부 유출 경로를 차단하는 핵심 단계다. 분석 과정에서 확인된 주요 침해지표 리스트는 다음과 같다.
| 구분 | 주요 침해지표 (IOC) | 탐지 포인트 및 의미 |
|---|---|---|
| 파일 기반 IOC | human2.aspx, App_Web_*.dll | 웹쉘 설치 및 실행 파일 생성 확인 |
| 경로 기반 IOC | C:\Windows\Temp\erymbsqv\erymbsqv.dll | 악성 DLL 배치를 통한 권한 탈취 경로 |
| 네트워크 IOC | 138.187.152.201, 148.113.x.x, 209.x.x.x | C2 서버 및 데이터 유출지 IP 주소 |
| 로그 기반 IOC | POST /moveitisapi/moveitisapi.dll?action=m2 | SQL 인젝션 공격 쿼리 전송 시도 |
즉각 완화 조치 및 패치 적용
취약점이 발견된 즉시 외부 유입 경로를 물리적으로 차단해야 한다. 패치 적용 전까지는 HTTP(80) 및 HTTPS(443) 트래픽을 전면 차단해 추가 공격 시도를 막아야 한다. 시스템 모니터링 중 human2.aspx나 App_Web_*.dll 파일 생성이 확인됐다면, 이미 침해된 것으로 판단해 즉시 네트워크에서 격리하고 외부 접속을 완전히 차단해야 한다.
패치 과정에서는 보안 무결성 유지가 중요하다. 반드시 Progress Software 공식 홈페이지에서 제공하는 정식 패치만 신뢰하고 다운로드해야 하며, 타사 미러 사이트나 검증되지 않은 경로로 패치 파일을 받는 행위는 절대 금지한다. 취약한 버전을 운용 중이라면 최신 패치를 완전히 적용하기 전까지 서비스를 일시적으로 다운(Down) 상태로 유지해 데이터 유출 리스크를 원천 제거하는 전략이 필요하다. 수상한 IP 접속 기록이 확인되면 즉시 방화벽에서 해당 IP를 차단하고, 네트워크 전체 스캔으로 다른 시스템으로의 횡적 이동(Lateral Movement) 여부를 점검해야 한다.
포렌식 및 데이터 유출 확인 절차
단순한 패치만으로는 이미 유출된 데이터를 파악할 수 없다. 정밀 포렌식 분석으로 데이터 유출 범위를 확정해야 한다. 가장 먼저 C:\Windows\System32\winevt\Logs\MOVEit.evtx 로그 파일을 확보한다. 특히 Event ID 0번 로그를 집중 분석해 평소와 다른 비정상적인 파일 다운로드 기록이 있는지 확인한다. 로그에 기록된 접속 IP, 사용자 계정, 시간대, 다운로드 파일명을 추출해 공격자의 활동 타임라인을 재구성해야 한다.
포렌식 분석 시 주의할 점은 증거 보존이다. 로그 분석 및 파일 검사 전 반드시 전체 시스템 이미지 백업을 수행해 원본 데이터를 보존해야 한다. 이후 다음 단계로 조사를 진행한다.
- 로그 백분석: 공식 취약점 공지 전부터 최소 30일 이상의 로그를 역추적해 초기 침투 시점을 파악한다.
- 웹쉘 검색: IIS 로그와 파일 시스템을 대조해
human2.aspx등 알려진 웹쉘 파일의 생성 시각을 확인한다. - DLL 분석:
C:\Windows\Temp경로 및 임의 폴더 내 DLL 파일 생성 이력을 조사하고 해시 값을 대조한다. - 데이터 전송량 확인: 네트워크 트래픽 로그를 분석해 특정 외부 IP로 대량의 데이터가 전송된 구간이 있는지 확인한다.
- 권한 남용 확인: MOVEit 관리자 계정의 비정상적인 로그인 기록이나 설정 변경 사항을 점검한다.
장기 보안 대응 및 모니터링 전략
이번 MOVEit Transfer 사태 같은 제로데이 공격에 대응하려면 일회성 패치가 아닌 체계적인 모니터링 체계가 필요하다. SIEM(보안 정보 및 이벤트 관리) 또는 EDR(엔드포인트 탐지 및 대응) 솔루션에 전문 탐지 룰을 적용해야 한다. ‘Possible MOVEit Transfer Exploitation Indicator’ 또는 ‘Suspicious Web Request – Webshell Related to MOVEit’ 같은 Sigma 규칙을 활용해 실시간 탐지 체계를 가동하는 것이 좋다.
MITRE ATT&CK 프레임워크 기반의 대응 전략도 수립해야 한다. 외부 노출 애플리케이션 취약점을 악용하는 T1190(Exploit Public-Facing Application) 기법과, 정상 파일로 위장해 침투하는 T1036(Masquerading) 기법에 대한 방어 시나리오를 구축하고 주기적으로 점검해야 한다. 단순한 패턴 매칭을 넘어 행위 기반 탐지를 강화하고, 정기적인 취약점 진단과 자산 가시성 확보로 노출 인스턴스를 최소화하는 제로 트러스트 관점의 보안 설계가 요구된다.
지금까지 MOVEit Transfer의 CVE-2023-34362 취약점으로 인한 침해지표 탐지 방법과 실무 대응 가이드를 살펴봤다. 보안 담당자는 즉시 웹 로그와 시스템 파일을 점검해 human2.aspx 및 App_Web_*.dll 존재 여부를 확인하고, 공식 패치 적용 후 최소 30일 전까지의 로그를 분석해 데이터 유출 여부를 확정해야 한다. 추가 분석 지원이나 전문 포렌식 서비스가 필요하다면 즉시 보안 관제 센터(SOC)와 협력해 대응하길 바란다.