인터넷나야나 해커, 어떻게 침입했을까

트렌드마이크로 "한국 집중…표적 공격일 수도"

컴퓨팅입력 :2017/06/27 16:50    수정: 2017/06/28 07:47

미국 보안업체 트렌드마이크로가 호스팅업체 인터넷나야나를 공격한 랜섬웨어를 분석해 해커의 침입 경로를 추정 제시했다.

인터넷나야나는 지난 10일 해커에게 랜섬웨어 공격을 당해 리눅스 서버 153대를 감염당했다. 이 때문에 호스팅 이용자 홈페이지 3천400개 원본 및 백업 데이터를 잃는 사고가 발생했다. 13억원 상당(약 397.6비트코인) 비용을 들여 복호화 키를 받아, 27일 현재 복구대상 서버 136대 중 62대의 데이터를 복구했다. 나머지 74대는 현재 복구 작업을 진행 중이다.

해커의 정확한 침입 경로와 사고 전말은 아직 완전히 드러나지 않았다. 인터넷나야나가 공격을 당한 직후 한국인터넷진흥원(KISA)과 경찰청 사이버안전국에 피해 사실을 신고해 관련 정황을 조사 및 수사 중이다. 조사 결과가 언제 발표될지는 미지수다.

해커는 리눅스 서버 파일을 암호화할 수 있게 만들어진 에레보스(Erebus) 랜섬웨어 변종으로 인터넷나야나 호스팅서버 데이터 원본과 백업을 망가뜨렸다. [사진=Pixabay]

트렌드마이크로는 지난주 공식블로그를 통해 인터넷나야나의 호스팅서버를 감염시킨 랜섬웨어를 확보해 자체 분석한 결과를 공개했다. 리눅스서버에서 돌아가는 낡은 기술의 취약점이 악용됐을 가능성이 유력시됐다. 한국내 웹서버 시스템만 노린 공격이었을 가능성도 언급됐다.

인터넷나야나 리눅스서버를 감염시킨 랜섬웨어는 에레버스 또는 에레보스(Erebus)라 불리는 악성코드의 변종이다. 같은 이름의 악성코드는 지난해(2016년) 9월과 올초(2017년 2월) 윈도 시스템용 랜섬웨어로 유포됐는데 이번엔 다른 플랫폼 파일을 감염시키도록 만들어진 것이다.

트렌드마이크로는 리눅스 기반 에레보스가 취약점이나 로컬 리눅스 익스플로잇을 이용했을 것이라고 추정했다. 여러 공개된 취약점을 품은 오픈소스 소프트웨어를 사용 중이었기 때문에 그중 어떤 것이든 해커가 인터넷나야나를 공격하는 데 악용했을 소지가 있었다는 뉘앙스다.

회사측 설명에 따르면 인터넷나야나 웹사이트는 2008년 컴파일된 구버전 리눅스커널(2.6.24.2버전)에서 구동됐다. 이는 리눅스시스템이 공격자에게 최상위 권한을 허용하는 더티카우(DIRTY COW)라 불리는 보안 결함을 품고 있다. 또 아파치 웹서버 1.3.36 버전과 PHP 프로그래밍언어 5.1.4 버전을 구동하고 있었는데 둘 다 지난 2006년 배포된 버전이다.

이어 트렌드마이크로는 "웹서버 구축에 쓰이는 아파치 보안취약점이나 PHP 익스플로잇은 널리 알려져, 아파치 스트럿츠(Struts)같은 기술을 악용하는 툴은 중국 암시장에서 거래됐을 정도"라며 "인터넷나야나가 사용한 아파치 버전은 'Nobody' 모드로 실행됐는데 이는 공격에 로컬 익스플로잇 또한 사용됐을 가능성을 시사한다"고 지적했다.

이처럼 인터넷나야나 호스팅서비스가 널리 알려진 취약점에 노출된 상태로 운영됐다는 점 때문에 일부 보안전문가는 이 회사의 피해가 표적형 공격이었을 가능성을 낮게 봤다.

트렌드마이크로는 랜섬웨어의 특성을 분석하면서 이게 한국 지역을 겨냥한 공격에 사용됐을 가능성이 있음을 언급했다. 회사측은 "이 랜섬웨어는 적용 범위(coverage) 면에서 제한적이며, 실은 (그 활동이) 한국 지역에 집중돼 있다"면서 "이는 해당 랜섬웨어가 표적 공격을 수행했을 가능성을 시사한다"고 밝혔다. 하지만 "바이러스토털에선 우크라이나와 루마니아에서 제출된 샘플을 보여주기도 한다"면서 "이는 다른 보안연구자들이 (타지역에서) 발견해 제출한 것일 수도 있다"면서 표적형 공격 가능성을 단정하진 않았다.

랜섬웨어가 한국지역을 대상으로 했을지는 불분명하지만 인터넷나야나같은 웹호스팅 사업자나 호스팅인프라를 보유한 조직을 노렸을 가능성은 있는 것으로 파악됐다.

트렌드마이크로는 "오피스 문서, 데이터베이스, 아카이브, 멀티미디어 파일은 랜섬웨어가 표적으로 삼는 일반적인 파일 유형"이라면서 "433개 파일 유형을 암호화하는 (리눅스기반 변종인) 이 에레보스 버전에서도, 이는 마찬가지"라고 지적했다. 이어 "하지만 이 랜섬웨어는 기본적으로 웹서버와 그에 보관된 데이터를 암호화 표적으로 삼게끔 코딩된 것으로 드러났다"고 덧붙였다.

트렌드마이크로 블로그에 게재된 리눅스 기반 에레보스(Erebus) 랜섬웨어 분석 포스팅 일부. 악성코드가 수행하는 암호화 대상 탐색 동작을 통해 웹서버를 노리고 만들어진 변종임을 짐작할 수 있다.

이런 판단의 근거는 랜섬웨어에 코딩된 암호화 대상 파일 종류와 위치다. 리눅스 기반 에레보스는 암호화 대상 파일을 검색할 때 디렉토리 중에서도 웹서버용 리눅스 시스템의 웹사이트 파일과 데이터가 저장되는 'var/www/' 경로를 살피고, 시스템 테이블스페이스 중에서도 마이SQL(MySQL) 데이터베이스가 사용하는 파일명 'ibdata'를 찾는 동작을 한다.

트렌드마이크로 측은 리눅스나 유닉스 계열 운영체제(OS)가 여러 엔터프라이즈 인프라에 편재되면서 범죄자의 유망 수익원으로 노려지고 있는데다, 워너크라이, 삼삼, 페트야, HDD크립터 등 기존 랜섬웨어 사례에서도 서버와 네트워크를 통한 감염은 피해 규모를 키울 수 있다는 점을 들어 주의를 촉구했다.

관련기사

인터넷나야나 사태로 한국에서 기업 대상 랜섬웨어 공격의 위험성이 부각되면서 비슷한 유형의 사업체가 취할 수 있는 예방 방안에도 관심이 쏠리고 있다.

트렌드마이크로는 에레보스같은 랜섬웨어 예방에 '왕도는 없다'며 IT 및 시스템 관리자를 위한 몇 가지 교과서적 예방책을 제시했다. 회사는 핵심 파일을 백업하라고 조언했다. 외부 저장소 사용을 최소화하라고 권했다. 최소권환 정책을 적용하라고 덧붙였다. 서버 및 엔드포인트를 최신화하라고 당부했다. 정기적인 네트워크 모니터링을 수행하고 덧붙였다. 이밖에도 보안 강화 차원에서 이벤트로그상의 침입 및 감염 신호 조사, IP필터링, 리눅스 보안 확장 구성 및 파일과 자원 접근 제한, 감염 피해 확대를 막기 위한 망분리(Network segmentation) 및 데이터 분류, 리눅스 권한 분할 구성을 제안했다.