MIT 서버 뚫렸다...10만개 웹사이트 피해 입어

[보안뉴스 호애진] 메사추세츠 공과대학(MIT)의 한 서버가 해킹을 당해 드라이브 바이 다운로드(drive-by download) 공격에 이용됐다고 안티바이러스 업체인 비트디펜더(BitDefender)가 밝혔다. 드라이브 바이 다운로드란 사용자 모르게 다운로드 돼 실행되는 악성 프로그램을 말한다.

비트디펜더는 이 공격을 확인한 후 블로그를 통해 “MIT의 한 서버(CSH-2.MIT.EDU)에서 웹을 검색하며 취약한 웹사이트를 찾는데 활발히 사용된 한 악성 스크립트를 호스팅했다”고 밝혔다.

MIT 서버에서 호스팅한 악성 스크립트는 유명한 웹 기반 데이터베이스 관리 툴인 phpMyAdmin의 취약점이 있는 버전들을 표적으로 했다. 이 스크립트가 phpMyAdmin의 2.5.6 ~ 2.8.2 사이의 버전이 있는 서버를 찾으면 이 버전들에 있는 취약점을 이용해 악성 코드를 연관 데이터베이스에 침투시킨다. 

비트디펜더의 로레다나 보테자투(Loredana Botezatu) 대변인은 이 공격 활동이 6월부터 시작됐고 현재까지 피해를 입은 웹사이트가 10만 곳이 넘는다고 전했다.

이번 공격은 현재 가장 보편적으로 쓰이는 드라이브 바이 다운로드 툴킷 중 하나인 블랙홀 익스플로잇 팩(the Blackhole Exploit Pack)과 연관돼 있는 것으로 파악되고 있다.

이 공격으로 피해를 입은 웹사이트를 방문하면 자바와 여타 브라우저 플러그인의 취약점을 악용하는 익스플로잇으로 리다이렉트되고 이 익스플로잇은 방문자의 컴퓨터에 악성코드를 설치하려고 시도한다.

한 보안 전문가는 “이러한 공격을 방지하려면 서버에서 오래된 애플리케이션을 제거하거나 이들을 자주 사용하지 않더라도 항상 업데이트된 상태로 유지하는 것이 좋다”며 “아울러 공격에 대한 징후가 될 수 있는 비정상적 요청은 없는지 서버 로그를 정기적으로 검토해야 한다”고 조언했다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>