'로그4쉘' 공격 확산…암호화폐 채굴·AWS 공략 포착

계정 탈취 공격 발견…봇넷·암호화폐 채굴·랜섬웨어 유포 시도도

컴퓨팅입력 :2021/12/14 11:22    수정: 2021/12/14 13:31

자바 기반 오픈소스 로깅 라이브러리 '로그4j'에서 발견된 보안 취약점 '로그4쉘(Log4shell)을 악용한 공격 양상이 다양해지고 있다.

로그4쉘은 원격코드실행(RCE) 취약점으로, 악성 문자열만 로깅 라이브러리에 입력하면 공격이 가능해 악용 난이도가 낮은 것으로 평가되고 있다. 

로그4j가 상당히 많은 인터넷 서버에서 사용되고 있는 데다가, 오픈소스 사용 현황을 꼼꼼히 관리하지 않는 기업·기관이 많아 관련 보안 조치가 마무리까지 상당한 시일이 걸릴 것으로 예상되고 있다. 이런 점 때문에 해커가 한 기업·기관에 침투한 뒤, 이와 연관된 타 기업·기관에 대해 2차 공격을 시도하는 '공급망 공격'이 나타날 가능성도 높다는 게 보안업계 추측이다. 이런 특징 때문에 일각에서는 "역대 최악의 취약점"이라고 칭하는 목소리도 나타나고 있다.

이번 취약점 정보가 지난 10일 발표된 뒤 관련 악성코드들이 잇따라 등장하고 있다.

취약점 공개 직후 등장한 건 암호화폐 채굴(크립토마이너) 악성코드 '킨싱(Kinsing)'이다. 로그4쉘을 통해 피해자 기기에 맬웨어를 설치하는 것이다.

이후 미라이 봇넷, 랜섬웨어 '무스틱(Muhstik)' 유포 시도도 발견됐다. 미라이 봇넷의 경우 해커가 기기 제어권을 획득해 분산서비스거부(DDoS) 공격에 동원하는 식으로 악용할 수 있다.

글로벌 보안 기업 소포스는 로그4쉘을 통해 아마존웹서비스(AWS) 접근 키를 유출하려는 시도가 포착됐다고 지난 12일 보고했다. 이에 따르면 해커는 AWS 리소스와 상호작용하는 프로그램에서 관련 정보를 전송하게 하려 했다. 동시에 로그4쉘을 이용해 원격 접근 도구를 설치하려 했으며, 이는 랜섬웨어 유포 시 자주 나타나는 행태라고 소포스는 설명했다.

멀웨어 연구 기관인 VX-언더그라운드도 로그4쉘 취약점을 악용하는 맬웨어 목록을 같은 날 공유했다. 앞서 언급된 악성코드 외 DDoS 공격 악성코드 '엘크놋(Elknot)', 암호화폐 채굴 악성코드 'M8220', 사이츠로더(SitesLoader)', 암호화폐 채굴 악성코드 'XM리그(XMRig)' 등을 언급했다.

관련기사

소포스 연구자인 폴 더클린은 침입방지시스템(IPS), 웹애플리케이션방화벽(WAF), 지능형 네트워크 보호 등의 기술이 이번 취약점을 통제하는 데 도움이 된다"고 조언했다.

해커들이 로그4쉘에 취약한 시스템을 탐색하는 시도는 조기에 나타난 바 있다.  글로벌 보안 기업 그레이노이즈에 따르면 로그4쉘 취약점의 영향을 받는 로그4j 2.0~2.14.1 버전 사용 시스템을 검색하려는 시도가 다수 발견됐다.