'마이SQL' 사이트, 윈도 악성코드 유포

일반입력 :2011/09/27 11:50    수정: 2011/09/27 14:40

김희연 기자

마이SQL(MySQL) 오픈소스 공식 사이트가 해킹을 당해 윈도를 쓰는 방문자들에게 악성코드 유포 진원지가 되는 수난을 겪었다. 이 사건 배경으로 사이트 관리 권한 계정이 러시아 해킹 커뮤니티를 통해 3천달러에 넘어갔다는 루머가 제기됐다.

미국 씨넷은 26일(현지시간) 보안업체 아머라이즈 소속 연구원들의 공식 발표를 인용, '마이SQL닷컴(mysql.com)' 사이트가 방문자 윈도 시스템에 악성코드를 유포하도록 해킹됐다가 정상화됐다고 보도했다.

사이트는 유명 오픈소스 데이터베이스(DBMS) '마이SQL' 설치 파일과 소스코드를 웹으로 제공하는 저장소로 알려져 있다. 마이SQL DBMS가 오픈소스 진영에서 널리 알려진 프로젝트인 만큼, 이를 이용하려 찾아드는 일반 사용자들도 적지 않은 것으로 평가된다. 해커는 사이트에 들른 사용자들을 노려 그 윈도 운영체제(OS)를 감염시키도록 만들었다.

보도에 따르면 마이SQL닷컴 사이트 운영측은 악성코드 유포 상황을 확인 직후 빠르게 이를 막았지만 얼마나 많은 방문자들이 그 직전까지 방문하고 피해를 입었을 것인지 확인하긴 어려울 것으로 보인다.

보안업체 아머라이즈 측은 평상시 마이SQL닷컴 사이트 고유방문자수가 1일 3만4천명, 페이지뷰가 10만건 이상 발생할 것이라고 추정했다. 미국 지디넷은 사이트 방문자가 하루 3만9천명, 월 12만명에 이른다고 보도했다. 감염피해 대부분은 당일 오전새 확산된 것으로 파악됐다. 외신들이 지목한 악성코드 감염 경로는 웹문서의 아이프레임(iframe)이라는 영역이다.

아이프레임 역할은 HTML 문서 내용에 또 다른 HTML문서를 가져와 보여주는 것이다. 이 부분에 악성코드를 퍼뜨리는 사이트를 연결해 사용자 모르게 감염을 유도한 것으로 보인다. 아머라이즈 측은 잘 알려진 '블랙홀 취약점'을 이용한 것이라고 설명했다. 브라우저 기본 기능인 콘텐츠나 외부 프로그램 내려받기 과정을 통해 사용자가 방문한 사이트에서 악성코드에 감염되게 만드는 방식을 가리킨다.

웨인 후앙 아머라이즈 최고경영자(CEO)는 이런 공격 방식은 (방문자가) 감염당할 확률이 높다며 이번에 마이SQL측 대응이 빨랐지만 공격자가 사이트에 남겨둔 보안 헛점을 말끔히 정리했다는 뜻은 아니다고 경고했다. 이어 마이SQL닷컴 사이트를 통해 유포된 악성코드는 윈도 시스템 파일 가운데 '동적 연결 라이브러리(dll)' 내용을 바꿔 운영체제(OS)에 침투하고 항상 실행되는 상태로 숨어들 수 있다고 덧붙였다.

이번에 유포된 악성코드는 윈도 사용자들이 알아차리지 못하게 시스템에 남아있을 수 있다는 얘기다. 웹에서 방문자 브라우저를 통해 실행되는 어도비 플래시, PDF, 자바 등 플러그인과 브라우저 플랫폼에서 알려진 취약점을 파고들기 때문이다. 사이트 방문자들이 감염 직후 이를 즉시 알아차리기도 현실적으로 어렵다는 게 문제다.

관련기사

씨넷은 한 보안전문 블로그를 인용, 몇일 전 익명의 회원이 비공개 러시아 해커 포럼에서 마이SQL닷컴 사이트 관리자 권한을 3천달러에 팔겠다는 내용을 게재했다고 보도하며 이번 사건과 연관성이 있을 것이라 암시했다.

한편 오라클 측 마이SQL닷컴 대변인은 미국 씨넷이 요청한 코멘트에 답하지 않았다.