"아무 계정이나 인증"…MS SQL서버 백도어 발견

이셋 "스킵2.0, 중국 배후 의심 해커그룹 '윈티' 해킹 도구와 연관"

일반입력 :2019/10/22 16:58

마이크로소프트(MS) 데이터베이스관리시스템(DBMS) 'SQL서버'의 DB 내용을 변경할 수 있게 하고, '매직 패스워드'로 모든 계정에 연결 가능한 백도어를 구축하는 맬웨어가 발견됐다.

IT 보안 서비스 기업 이셋은 21일 이 맬웨어에 대한 보고서를 발표했다.

이셋은 이 맬웨어를 '스킵 2.0(skip-2.0)'으로 명명했다.

보고서에 따르면 공격자는 먼저 네트워크를 공격한 뒤, 공격이 성공하면 스킵 2.0을 사용했다. 스킵 2.0에서 매직 패스워드는 어떤 계정에든 인증 세션에서 자동으로 접속을 허가하는 역할을 했다. 이 과정에 정상적인 로깅, 감사 기능은 실행되지 않도록 제한됐다. DB 연결 로그 안에 사용자 세션을 숨겨 관리자가 해킹 사실을 알아챌 수 없도록 했다. 스킵 2.0은 v12, v11 버전 SQL서버에서만 작동했다.

MS SQL 서버. (출처=미국지디넷)

이셋은 중국 정부가 배후에 있는 것으로 추정되는 해커 그룹 '윈티'가 개발해온 해킹 도구인 '포트리유즈(PortReuse)', '섀도패드(ShadowPad)'와 이 맬웨어가 연관성이 있다고 분석했다.

관련기사

포트리유즈는 MS 윈도용 웹서버인 인터넷인포메이션서버(IIS)의 백도어다. 이셋이 올초 남아시아 지역에서 하드웨어와 소프트웨어 기업의 네트워크에서 포트리유즈를 발견했다.

섀도패드는 지난 2017년 중반 발견된 서버관리 소프트웨어 백도어다. 악성모듈을 내려받거나 데이터를 탈취하기 위한 목적으로 쓰였다.