침해사고/위협동향

오픈소스SW 취약점 노리는 해커들 “정보탈취 과정 실제로 보니…”

최민지
[디지털데일리 최민지기자] #. A기업 내부 개발시스템에 접근 가능한 김모씨의 개인메일에 배송지연 메일이 왔다. 온라인 쇼핑을 즐겨하는 김모씨는 의심 없이 메일 내 첨부파일을 실행했다. 그리고 다음날 평소처럼 아이디와 비밀번호를 입력한 후 메일함에 접속했다.

#. 해커는 김모씨에게 악성메일을 보낸 후 파일을 실행하기를 기다렸다. 파일이 실행되자 공격자는 내부 개발 시스템에 접근 가능한 정보를 탈취할 수 있는 경로를 획득했다. 정상패키지로 보이지만 사실은 악성행위가 포함돼 있어 해커는 키보드 입력값을 확인해 김모씨가 입력하는 비밀번호 등을 그대로 볼 수 있었다. 김모씨의 메일 계정에 손쉽게 접속할 수 있게 됐다.

이는 개발자 도구로 주로 쓰이는 젠킨스(Jenkins)라는 오픈소스 소프트웨어에 대한 해킹을 실제처럼 시연한 장면이다.

국내 기업 90% 이상이 오픈소스SW를 활용하고 있으며, 빅데이터와 관련돼 있으면 100% 오픈소스SW를 적용하고 있다. 오픈소스에도 취약점은 존재하고, 이는 공개돼 있다. 적절한 조치를 취하지 않으면 이를 악용한 해커들의 악성행위가 발생하기 용이한 환경이다.

SK인포섹 이큐스트(EQST) 그룹은 지난 4일 광화문 센터포인트 빌딩에서 기자간담회를 열고 오픈소스SW 보안에 대해 발표하며 해킹 시연을 진행했다.

이큐스트가 SK인포섹 통합보안관제센터에서 수집한 데이터에 따르면 올해 상반기 월평균 26만건의 공격시도가 있었다. 올해 상반기 취약점은 총 7341개 노출됐으며, 그 중 43%에 달하는 3157개는 오픈소스 관련 취약점으로 확인됐다. 전체 취약점 중 차지하는 비중이 지속적으로 증가하고 있다는 설명이다.

오픈소스인 아파치 스트러츠 취약점을 노린 공격이 눈에 띄었다. 또, 원격 제어 및 공격이 가능해 위험도가 높은 ‘리모트 코드 익스큐션(Remote Code Execution)’ 취약점도 다수 발견됐다.

이날 이큐스트는 오픈소스SW 해킹시연으로 개발자 도구로 쓰이는 레디스(Redis)의 보안 취약점을 이용하는 모습도 보여줬다.

앞서, 젠킨스 취약점으로 감염시킨 PC(봇)들을 활용해 해커들은 포트스캔을 진행하고 취약한 레디스 서버를 확인한다. 공격자는 원격 쉘을 이용해 해당 PC가 포트스캔을 하도록 하는데, 이 때 공격자 IP를 숨기고 해당 PC의 IP만 남기기 때문에 흔적을 숨길 수 있다.

장악한 PC에서 취약한 레디스 서버에 대한 공격을 수행해 시스템에 접속할 수 있는 관리 권한을 획득할 수 있었다. 공격자가 생성한 키를 삽입하고 로그인을 시도하면, 접근권한이 없음에도 취약점을 통해 등록한 인증서와 패스워드로 접속 가능했다. 이후 공격자는 웹 서버에 접속한 클라이언트 수에 비례한 암호화폐를 획득하기 시작했다.

암호화폐 채굴형 악성코드를 심기 위해 일반인의 PC를 장악한 것이다. 공격자는 본인의 계정으로 접속해 채굴이 잘 되고 있는지 현황까지 확인했다.

SK인포섹은 이큐스트 그룹은 최근 22종의 오픈소스 SW에 대한 보안가이드북을 무료로 배포한데 이어 하반기에는 10종을 추가 제작해 배포할 계획이다. 또, 고객세미나와 교육을 통해 보안적용을 지원키로 했다. 보안정책 설정과 보안패치 등 알려진 것만 잘 대비해도 피해를 줄일 수 있다는 당부도 전했다.

이재우 이큐스트 그룹장은 “오픈소스 SW를 사용하는 기업들이 많아지고 있음에도 기본적인 보안조치를 하지 않아 생기는 해킹 피해 사례가 늘고 있다”며 “개발단계부터 오픈소스에 대한 보안을 신경쓰지 않으면 해커에게 공격할 수 있는 문을 열어주는 것과 같다”고 지적했다.

<최민지 기자>cmj@ddaily.co.kr
최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널