백악관을 비롯한 미국 대다수 공공기관에서 사용되고 있는 오픈소스 콘텐츠관리시스템(CMS)인 '드루팔(Drupal)'이 해킹에 노출됐다. 국내에서는 워드프레스와 같은 오픈소스 기반 CMS가 많이 활용되고 있어 영향이 크지 않지만 해외는 상황이 다르다. 현재 230개국에서 112만3천212명의 사용자들이 드루팔 기반 웹사이트를 쓰고 있다.
29일(현지시간) 드루팔 보안팀은 패치가 되지 않은 드루팔7을 쓰거나 7.32 버전으로 업데이트하지 않은 웹사이트에 대해 자동화된 SQL인젝션 공격이 발견되기 시작했다며 10월15일 밤11시(UTC) 이전에 패치나 버전 업데이트를 하지 않은 웹사이트들 대부분이 공격에 노출된 것으로 추정된다고 밝혔다.
세계표준시로 10월15일 밤11시는 우리나라 시간으로 16일 오전8시다. 드루팔측은 이 시간보다 7시간 전에 해당 보안취약점에 대한 패치를 공개했으나 이를 빠르게 적용하지 않았다면 해당 사이트가 공격에 당했을 것으로 보고 있다.
드루팔7을 사용하는 사이트는 웹서버에서 DB를 추출하는 API를 갖고 있다. 공격에 악용된 취약점(CVE-2014-3704)은 이 API에 특정한 요청을 보내 관리자 권한을 확보해 DB를 유출시키거나 추가적인 악성코드를 실행시킨다.
관련기사
- 이메일 서버 노린 셸쇼크 공격툴 등장2014.10.30
- 애플 iOS8.1, 5가지 보안 취약점 수정2014.10.30
- "셸쇼크 취약점 대응, 웹서버 OS 패치론 역부족"2014.10.30
- 야후, 셸쇼크에 당했다2014.10.30
드루팔 보안팀은 문제를 해결하기 위해 사이트 관리자와 호스팅 회사 간에 협력이 필요하다고 조언했다. 공격을 통해 웹서버 내 DB, 파일 디렉토리 등에 공격자가 드나들 수 있는 백도어(뒷문)가 심어져 있으나 이를 일일이 찾아내기란 사실상 불가능하기 때문이다.
가장 확실한 조치는 사이트를 오프라인 상태로 두고, 세계표준시 기준으로 10월15일 이전으로 백업을 통해 복구하는 방법이다. 그 뒤 해당 보안패치를 설치하고, 기존 파일들에 대해서는 이상여부를 추가로 분석할 필요가 있다. 드루팔 보안팀은 백업을 활용하지 않고 복구할 수도 있으나 백도어를 찾기 어렵기 때문에 가급적이면 이전 백업을 통한 복구를 권한다고 밝혔다.