데이터를 인질삼아 금품을 요구하는 '랜섬웨어(ransomware)' 공포가 유명 오픈소스DB 시스템을 도입한 세계 각지의 크고 작은 기업, 의료기관, 교육기관으로 확산되고 있다. 오픈소스DB에 랜섬웨어가 감염된 건 아니지만, 관리상의 취약점을 뚫고 DB에 담긴 데이터를 무단으로 삭제하거나 암호화한 뒤 그걸 되살려주는 명목으로 '몸값'을 요구하는 행태가 기존 랜섬웨어를 닮았다.
주요 외신들은 몇몇 해커 그룹이 소기업, 병원, 학교 등의 몽고DB 데이터베이스를 구동하는 웹사이트 운영 시스템 1만대 이상을 망가뜨렸고, 데이터 삭제 피해를 입은 시스템 운영자 측에 데이터를 되살리고 싶으면 비트코인(BTC)을 지불하라고 통보했다고 보도했다. 공격자 측이 적게는 0.1BTC에서 많게는 1BTC를 데이터 복구 비용으로 요구하고 있다고 덧붙였다.
최근 보도를 종합해 보면 피해 규모는 계속 커가는 추세다. GDI파운데이션 공동설립자 빅터 게버스와 사물인터넷(IoT) 검색엔진 쇼단(Shodan) 설립자 존 매덜리의 제보에 따르면, 지난 2일 삭제된 DB는 200여개, 3일 삭제된 규모는 2천개 가량이다. 지난 6일 영국 BBC 보도는 랜섬웨어에 공격당한 시스템 규모가 5천대를 넘었다고 전했다. 아스테크니카는 지난 7일 1만500개 이상 시스템이 감염됐다고 보도했다.
[☞참조링크: Online databases dropping like flies, with 10k falling to ransomware groups]
[☞참조링크: Web databases hit in ransom attacks]
[☞참조링크: MongoDB “ransomware” exists because people are bad at security]
외신들은 공통적으로 노르웨이에 거주 중인 보안전문가 나이얼 메리건의 분석을 인용하고 있다. 나이얼 메리건과 빅터 게버스는 문제의 랜섬웨어 피해 현황을 구글독스 스프레드시트 파일에 게재해 추이를 지속 파악 중이다. 메리건은 9일 오전까지 집계된 내용을 바탕으로 "몽고DB 약탈(ransack) 규모가 서버 1만2천대에서 2만7천대 정도 되는 것 같다"고 자신의 트위터 계정을 통해 언급했다.
아스테크니카 보도에 따르면 몽고DB 시스템 사용 조직이 '랜섬웨어스러운' 공격에 노출된 원인은 기술적인 결함이 아니라 몽고DB를 잘못 설정된(misconfigured) 상태로 운영한 결과다. 오픈소스 몽고DB 프로젝트를 주도하는 동명의 회사는, 지난 6일 공식블로그를 통해 해당 유형의 공격을 예방하는 DB 설정 방법과 해당 공격이 발생했을 때 대응할 수 있는 방법을 안내했다.
관련기사
- "사내공지 위장 랜섬웨어, 국가기관 대상 유포중"2017.01.09
- "보안 시작-끝은 결국 사람"…안랩 2017 위협 전망2017.01.09
- "랜섬웨어, 은행 ATM·마트 POS까지 노린다"2017.01.09
- 몽고DB, 어디로 가는가2017.01.09
[☞참조링크: How to Avoid a Malicious Attack That Ransoms Your Data]
회사측은 몽고DB를 사용하는 웹사이트를 운영 중인 관리자들은 27017번 포트 접근을 차단하거나, 서버에 접근을 제한하기 위해 로컬 IP 주소 바인딩을 설정해야 한다고 설명했다. 한편 외신들은 이미 피해를 당한 몽고DB 관리자들에게 "공격자가 요구하는 비트코인을 지불하기 전에, 실제로 데이터를 빼돌려서 갖고 있는지 확인해야 한다"면서, 금품만 건네받고 데이터를 되살려주지 않는 경우도 있다고 경고했다.