이번에 Qlocker에 피해를 입음과 동시에 포스팅을 올리면서 느낀 것이 있습니다.
1. 백업은 최소 이중으로 다른 위치에 하기
2. 시놀로지 사기
NAS의 의미가 Network Attached Storage 인만큼 외부 포트 오픈이 되지 않으면 DAS 사지 NAS를 꼭 살 필요가 없어지니 인터넷에 NAS 공개 안하기는 참 어려운 것 같습니다. (그래도 포트 번호 임의로 변경은 잊지 말기!)
다른 분이 저번 글에 댓글을 달아주신 것과 같이 생각보다 QNAP 관련 보안 위협이 끊이지 않고 있습니다.
사견을 말씀드리기 전에 먼저 근래의 QNAP을 대상으로만 하는 공격들 중 큰 건만 한번 보고자 합니다.
1. 2019년 10월 QNAP 내 phpMyAdmin을 대상으로 하는 Muhstik 랜섬웨어 기승
뉴스 : https://www.bleepingcomputer.com/news/security/muhstik-ransomware-victim-hacks-back-releases-decryption-keys/
복호화 툴 : https://www.emsisoft.com/ransomware-decryption-tools/muhstik
2. 2019년 10월 QNAP 내부 정보를 탈취하고 사용자가 제거하는 것을 막는 QSnatch 악성코드 기승
https://www.bleepingcomputer.com/news/security/qnap-warns-users-to-secure-devices-against-qsnatch-malware/
3. 2019년 7월 QNAP을 대상으로 하는 eCh0raix 랜섬웨어 기승 (2019년 버전은 다행히 복호화 툴이 공개되었습니다)
https://www.bleepingcomputer.com/news/security/new-ech0raix-ransomware-brute-forces-qnap-nas-devices/
복호화 툴 : https://www.bleepingcomputer.com/ransomware/decryptor/ech0raix-ransomware-decryptor-restores-qnap-files-for-free/
4. 2020년 6월 이번에는 Photo Station의 취약점을 사용해서 eCh0raix 랜섬웨어가 돌아옵니다.
https://www.bleepingcomputer.com/news/security/ongoing-ech0raix-ransomware-campaign-targets-qnap-nas-devices/
5. 2020년 9월 비슷하게 Photo Station의 취약점을 사용한 AgeLocker 랜섬웨어가 기승을 부립니다.
https://www.bleepingcomputer.com/news/security/agelocker-ransomware-targets-qnap-nas-devices-steals-data/
6. 2021 1월에는 QNAP 기기를 대상으로 암호화폐를 채굴하는 악성코드 Dovecat이 등장, 3월에는 Unityminer로 명명된 악성코드 등장. (CPU 점유율이 비정상적으로 올라가는게 증상이라 감염 사실을 모르실수도 있습니다!)
https://www.bleepingcomputer.com/news/security/qnap-warns-users-to-secure-nas-devices-against-dovecat-malware/
https://www.bleepingcomputer.com/news/security/unpatched-qnap-devices-are-being-hacked-to-mine-cryptocurrency/
7. 2021년 3월 QNAP 기기를 대상으로 하는 무차별 대입 공격(Brute-force attack) 발생
https://www.bleepingcomputer.com/news/security/qnap-warns-of-ongoing-brute-force-attacks-against-nas-devices/
8. (NOW) 2021년 4월 19일 QNAP 내부 HBS3의 취약점을 사용한 Qlocker 발생
사실 저희가 알거나 실제로 겪는 악성코드, 랜섬웨어의 사태의 경우 SMB 1이었다던가, 혹은 해커가 제대로 마음먹고 랜섬웨어 등에 제로데이 취약점을 사용하였던 등의 심각한 사태가 대부분이며, 이외에는 기본적인 수칙을 잘 지킨 경우 보안 업체나 해당 기기 업체의 CVE 취약점 보고 등으로만 확인할 수 있는 것이 대부분입니다. 실제로 평화로워보이는 인터넷 세계는 항상 창과 방패의 싸움이지요.
그러나 저는 이 중에 6,7번을 직접 목격했고 (감염되지는 않았습니다), 이번에 모든 펌웨어와 앱이 최신 버전임에도 불구하고 8번 Qlocker에 당하고 말았습니다. 이전 사태들에 대해서도 계속해서 공격이 들어오거나 소식을 들은 바가 있었습니다. 다른 기기에서 실제로 겪었다고 하더라도 윈도우거나 다른 프로그램이었으면 내가 무언가를 잘못했구나, 보안 수칙을 제대로 준수하지 못했구나 하겠지만 계속해서 겪은 바로는 그게 아닌 것 같습니다. 보안을 위한 방화벽 같은 경우도 목록 전체 허용 혹은 거부 둘중 하나를 사용해야 하는 점, 국가 프로필이 존재하지 않는 등의 부족한 기능이 존재합니다.
<제 NAS 현재 화면입니다, 오늘 업데이트가 떴습니다.>
실제로 처음 QNAP측에서 보고한 것과 다르게 뒤늦게야 HBS3 상의 숨겨진 백도어 계정이 원인임이 확인되어 오늘에서야 업데이트가 올라왔습니다. 16일날 해당 취약점 (CVE-2021-28799)이 패치되었다고 처음에는 공개했으나, 24일이 되서야 해당 취약점을 패치한 업데이트를 올렸습니다.
출처 : https://www.bleepingcomputer.com/news/security/qnap-removes-backdoor-account-in-nas-backup-disaster-recovery-app/
(패치로그입니다 : https://www.qnap.com/en/app_releasenotes/list.php?app_choose=HybridBackup )
그렇다는 말은 QNAP측이 19일 문제가 터지고 나서 지목한 자신들이 16일에 미리 패치했다던 취약점이 아닌 다른 것이 원인이었고, 19일 이후 모든 것이 업데이트 된 정상적인 유저들은 오늘까지 감염 가능성이 있었다는 결론이 나옵니다.
그래서 결론은 현재 QNAP을 대상으로 하는 랜섬웨어, 악성코드 등의 공격이 이루어짐에 대해서 요즘 솔직히 대응을 잘 못하는 것 같습니다. 개인적으로 이건 아주 심각한 문제라고 생각되며 다음 번 NAS를 고민시에는 아마 제 고려대상에 QNAP이 포함되기는 어려울 것 같습니다.
추신.
솔직히 말씀드리자면 이번 사태 이전부터 QNAP측에 대한 정이 많이 떨어진 상태입니다. NAS에서 미디어 서버로 활용 시 동영상을 네트워크 대역폭에 맞추기 위해 빠르게 낮은 화질로 인코딩하여 보내주는 '트랜스코딩' 기능의 경우 많은 NAS 회사에서 홍보하는 기능입니다. 시놀로지의 경우 'Video Station', 혹은 미디어 서버를 운영하시는 분들은 익숙한 유료 프로그램 'PLEX'등이 있지요.
QNAP에서는 이 기능을 지원해왔고, 추가 프로그램인 'Codex Pack'을 사용하여 기능을 지원해왔습니다. 그러나 사용하는 OS인 QTS(시놀로지의 DSM이라고 보시면 됩니다) 가 4.3버전이 되자 AC3/DTS등의 유료 코덱 지원 불가를 이유로 Codex Pack 지원을 중단시키고, QNAP에서는 QNAP측의 Video Station을 이용하거나, 유료 미디어 서버(PLEX, EMBY)등을 사용하면 그나마 트랜스코딩이 가능한 상태였습니다. (ffmpeg도 가능하나 비공식입니다.)
이 정도면 매우 이해 가능한 수준이었겠지만, 갑자기 QTS 4.5로 업데이트 이후 'CAYIN mediasign player'라는 'CAYIN tech'(중국 회사입니다)의 유료 라이센스를 구매해야만 트랜스코딩이 가능하도록 모든 기능을 막아버렸습니다. (아마 HEVC 라이센스비를 지불하지 않기 위해서 그런 것으로 보입니다) 한국에서 QNAP을 사용하시는 개인 사용자분들이 많이 없으셔서 그런 건지는 잘 모르겠지만, 해당 내용은 국내 웹에서 잘 논의되지 않는거 같아 이렇게 적게 되었습니다.
(물론 'PLEX', 'emby'등의 유료 서버 프로그램을 구매해서 사용하면 하드웨어 트랜스코딩이 가능하지만, plex의 경우 가격이 110달러정도 합니다.)
NAS를 돈을 지불하고 사고 나서, 기능을 업데이트할때마다 제외하고, 업데이트를 해도 보안 위협에 대응하지 못하면서 검색을 하면 나오는 한국어 공식 매뉴얼은 2014년에 멈추어 있습니다. 다른 경쟁사에 비해 하드웨어 성능이 높고 가격 경쟁력이 강한 점 등이 잘 알려져 있으나, 전문적인 지식을 갖추고 있거나 기업용이 아닌 이상 사용하기 어려운 건 확실한 것 같습니다.
추신2.
나중에 TS-251에 우분투를 설치해볼까 고민하고 있습니다. (우분투 부팅이 가능하더라구요!) 그러면 2베이 리눅스 서버 완성! 긴 글 읽어주셔서 감사합니다 !