관리소홀 '게시판' 타고 랜섬웨어 공격…고도화되는 해커들의 수법


기존 악성코드 유포 방법 탈피…윈도·리눅스 서버 공격 사례

[아이뉴스24 최은정 기자] 관리가 소홀한 웹사이트 게시판 등을 악용해 타깃 기업에 최초로 침투하는 등 악성코드를 유포하지 않고도 감행되는 랜섬웨어 공격 사례가 늘고 있다.

20일 한국인터넷진흥원(KISA)은 '최근 기업 대상 랜섬웨어 사고사례·대응방안' 보고서를 통해 게시판·질의응답(Q&A) 등 웹서버 취약점을 악용해 윈도와 리눅스 서버가 각각 랜섬웨어에 감염된 기업 사례를 소개했다.

해커는 웹서버 취약점을 비롯해 추가 지원이 종료된 운영체제(OS)를 악용, 관리자 권한(아이디, 비밀번호)을 탈취했다. 또 백신·랜섬웨어 대응 솔루션을 우회하기 위해 시스템 로그를 삭제했다는 것도 공통점이다.

[이미지=아이뉴스24]

◆윈도 탑재 암호화 기능 '비트라커'로 사용자 협박

비트라커는 윈도 OS에 기본적으로 내장된 디스크 암호화 기능이다. 사용자가 설정한 비밀번호나 복구키가 있어야 복호화할 수 있다. 별도 랜섬웨어를 제작하지 않고도 이 기능을 악용해 해커가 사용자를 협박할 수 있다는 얘기다.

이번 사례에서 공격자는 시스템 접속 권한을 확보하기 위해 모 기업 홈페이지 '고객상담' 게시판 게시글에 웹셸(test.cer)을 업로드 했다. 웹셸은 업로드만으로 기업 내 시스템 정보 등을 해커가 볼 수 있게 되는 위험한 파일이다. 실행되면 시스템 계정을 무단 생성해 원격으로 접속하는 등 추가 악의적인 행위도 가능하다.

또 공격자는 웹셸이 백신 등에 탐지돼 삭제되는 경우를 감안, 2가지 웹셸을 추가 업로드했다는 게 KISA 측 설명이다. 원격에서 시스템 내부에 접근하기 위해 웹셸로 계정을 생성하고, 이를 관리자 그룹에 추가했다. 해당 계정으로 원격 데스크톱 접속 후 디스크를 비트라커 기능으로 암호화한 것은 물론, 이를 은폐하기위해 윈도 권한상승 도구 파일(sdfp.exe)을 삭제하는 대담함도 보였다.

김광연 KISA 침해사고분석단 사고분석팀장은 "기존에는 서버에 침투해 관리자 권한을 획득한 뒤 랜섬웨어 파일을 직접 실행해 중요 파일을 암호화한 뒤 복구 대가로 금전을 요구했다"며 "최근에는 비트라커로 윈도 시스템 드라이브 디스크를 암호화하는 사례가 늘고 있다"고 설명했다.

웹호스팅사, 리눅스용 랜섬웨어 '고너크라이' 감염 사례

고너크라이 랜섬웨어 감염사례는 리눅스 센트OS 5.x 기반 아파치·PHP·마이SQL 등 웹서버에서 다수의 홈페이지를 서비스 하는 시스템을 타깃으로 한 것으로 분석됐다.

이 역시 공격자는 가장 먼저 홈페이지 게시판에 웹셸을 업로드, 웹서버에 접근할 수 있는 관리자 권한을 얻었다. 내부서버, 백업서버 등에 랜섬웨어 프로그램을 업로드하고 실행했다.

또 웹 로그, 에러 로그, 웹 방화벽 로그, 서버 로그 등 서버 내 존재하는 모든 로그들을 삭제해 공격 흔적을 감추기도 했다.

김광연 팀장은 "리눅스는 사고 처리가 많지는 않다"면서도 "공격자들이 내부 침투를 위해 시스템 계정을 확보하고 계정 관리 명령어를 변조하는 경향이 최근 늘고 있다"고 설명했다.

웹호스팅사를 대상으로 한 랜섬웨어 사고가 지속적으로 발생하는 이유로 단일 웹 서버 대비 공격 포인트가 많다는 점, 서버 서비스에 최신 보안업데이트를 적용하기 어렵다는 점을 꼽았다.

김 팀장은 "가장 중요한 건 온라인 백업뿐 아니라 사내 중요 데이터에 대해 2차적인 오프라인 백업을 해두는 것"이라며 "공격자들이 로그 삭제 등 침투흔적을 은폐하는 경우가 많아, 침해사고 발생 시 사고조사가 제대로 이뤄질 수 있도록 로그를 중앙에서 수집할 수 있는 시스템을 구축하는 게 좋다"고 말했다.

최은정 기자 ejc@inews24.com







포토뉴스