침해사고/위협동향

취약 DB 노리는 ‘유령’ 발견··· 안랩 “감염되면 정보탈취·제어권 박탈”

이종현
고스트 RAT 소스코드를 활용한 고스트크린지 /안랩 ASEC
고스트 RAT 소스코드를 활용한 고스트크린지 /안랩 ASEC
[디지털데일리 이종현기자] 데이터베이스(DB)를 노린 악성코드가 발견됐다. ‘고스트크린지(Gh0stCringe)’라는 악성코드로, 감염될 시 정보 탈취에 더해 파일 설치 및 삭제, 종료 및 재부팅 등 시스템에 대한 제어권을 해커가 가지게 된다.

8일 안랩 시큐리티대응센터(ASEC)는 최근 취약한 DB 서버(MS-SQL, MySQL) 서버를 대상으로 유포되는 고스트크린지 악성코드를 발견했다고 보고했다. 크린지RAT라고도 불리는 악성코드로, 고스트RAT의 코드를 기반으로 하는 변종 중 하나다.

RAT는 원격접근트로이목마(Remote Access Trojan)의 약자다. 해커가 원격으로 시스템을 장악할 수 있는 프로그램을 뜻한다.

고스트크린지가 최초 발견된 것은 2018년 12월경이다. 과거 유행하던 공격이 최근 MS-SQL 및 윈도 환경용 MySQL 서버를 대상으로 다수 유포되는 중이다. 취약한 계정 정보를 가진, 즉 부적절하게 관리되고 있는 DB 서버를 대상으로 하고 있다는 것이 안랩 ASEC의 추측이다.

통상 취약한 계정 정보를 갖는 DB 서버는 공격자 및 악성코드의 공격 대상이 되기 쉽다. 다양한 악성코드의 감염 로그들이 확인되는데, 고스트크린지가 설치된 시스템은 기타 암호화폐 채굴 악성코드 등에도 함께 감연된 것으로 확인됐다.

고스트크린지가 수행하는 기능은 ▲다운로더 ▲특정 인터넷주소(URL) 접속 ▲마스터 부트 레코드(MBR) 파괴 ▲키로깅 ▲클립보드 탈취 ▲텐센트 관련 파일 정보 수집 ▲언인스톨 ▲서비스 제어 ▲시스템 종료 ▲특정 프로세스 실행 여부 검사 ▲특정 윈도 존재 여부 검사 등이다.

안랩 ASEC 측은 “서버 관리자들은 계정의 비밀번호를 추측하기 어려운 형태로 주기적으로 변경해 무차별 대입 공격과 사전 공격으로부터 DB 서버를 보호해야 한다. 최신 버전으로 패치해 취약점 공격을 방지하고 외부에 오픈돼 접근 가능한 DB 서버에 대한 방화벽과 같은 보안제품을 이용해 외부 공격자의 접근을 통제해야 할 것”이라고 조언했다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널