다가올 대규모 공격의 전조? 프롤리 작전 발견

전 세계 9천 개 기업, 4만 여대 시스템 감염시킨 대형 캠페인
채굴 코드 및 트래픽 현금화로 돈벌이...미래 공격 위해 DB 수집하기도

[보안뉴스 문가용 기자] 대규모 사이버 공격 캠페인이 발견됐다. 이름은 프롤리 작전(Operation Prowli)으로, 9천여 개 기업에서 4만 대 장비들을 공격했다. 금융, 교육, 정부 분야의 각종 단체들이 공격 대상이 됐다. 취약한 서버와 웹사이트들에 악성 코드와 멀웨어가 퍼지고 있다.

[이미지 = iclickart]

4월 4일 보안 업체 가디코어 랩스(Guardicore Labs)의 전문가들은 C&C 서버와 통신하고 있는 SSH 기반의 공격을 다수 발견했다. 공격자들은 r2r2라는 이름의 공격 도구와 암호화폐 채굴 코드를 피해 시스템으로 다운로드 받았다. 또한 다양한 서비스와 CPU 아키텍처를 공격하도록 설계된 바이너리도 사용되고 있었다.

가디코어 랩스는 이 공격을 3주에 걸쳐 분석했다. 그 기간 동안 180개가 넘는 IP 주소에서 비슷한 공격이 감행되고 있는 것을 발견했다. 공격의 근원지가 되는 국가와 조직들도 다양했다. 공격 표적이 되는 시스템도 다양해, 드루팔(Drupal) 기반 웹사이트, 워드프레스(WordPress) 기반 웹사이트, DSL 모뎀 장비, 취약한 사물인터넷 기기, SSH 포트가 열려 있는 서버, HP 데이터 프로텍터 소프트웨어(HP Data Protector Software)가 노출된 서버 등을 포함하고 있었다. 이 모든 서비스 및 장비의 공통점은, 인증 이전 단계의 원격 공격 혹은 브루트포스 공격에 취약하다는 것이다.

이 프롤리 작전의 목적은 되도록 많은 서버, 사물인터넷 장비, 엔드포인트에 침투해서 최대한 많은 금전적 이득을 거두는 것으로 보인다. 가디코어 랩스의 수장인 오프리 지브(Ofri Ziv)는 “공격자들은 ‘공격 방법’을 다수 보유하고 있는 것으로 보인다”고 설명한다.

그 방법 중 하나는 SSH 웜(SSH worm)이다. SSH 시스템에 자동으로 번식하는 웜을 심는 것으로, 주요 공격 방법은 브루트포싱(무작위 대입)이다. 위에 언급된 r2r2 공격 툴은 IP 블록들을 무작위로 생성하고, 사용자 이름과 비밀번호 조합 사전을 사용해 무작위로 SSH 로그인을 시도하는 기능을 가지고 있다. 그래서 로그인에 성공하면 여러 가지 명령을 시스템에 내릴 수 있게 된다.

“그리고 현재 프롤리 공격자들이 가장 많이 사용하고 있는 건 암호화폐 채굴 코드입니다. 되도록 많은 시스템을 감염시켜 채굴 장비로 활용하는 것이죠. 그리고 이들이 가장 선호하는 건 모네로(Monero)입니다. 비트코인보다 강력한 익명성을 보장해주기 때문인 것으로 보입니다.”

또 프롤리 공격자들이 능숙한 모습을 보이는 부분은 ‘트래픽 현금화’다. 지브는 “이것이 굉장히 독특한 부분”이라고 말한다. 트래픽 현금화란, 돈을 주고 트래픽을 사는 걸 말한다. 사이트 운영자들은 이 돈을 받고 특정 트래픽을 이들에게 제공한다. 프롤리 공격자들은 이 거래 관계에서 사이트 운영자에 해당한다.

“쉽게 말해 프롤리 공격자들 역시 각종 사이트와 장비를 감염시켜, 거기서 발생하는 트래픽을 구매자들에게 파는 겁니다. 그러면 트래픽 구매자들이 그 트래픽을 사용해 각종 사기 공격을 벌이죠. 이는 그냥 암호화폐 채굴용으로 장비를 감염시키는 것보다 훨씬 공격적이고 악질적인 행위입니다.” 가디코어 랩스의 수석 분석가인 다니엘 골드버그(Daniel Goldberg)의 설명이다.

그렇기 때문에 프롤리 공격자들이 노리고 있는 건 보안이 잘 되어 있지 않은, 공격 성공률이 높은 웹사이트와 장비들이다. 고난이도 공격을 하는 게 아니라, 감염 자체를 늘리는 게 목표라는 것이다. “그래서 드루팔이나 워드프레스 같은, 웜 번식에 좋은 CMS 시스템들을 주로 노리는 것이죠.”

또한 골드버그에 의하면 “프롤리 공격자들은 다양한 방법으로 금전적인 이득을 취하는 것 외에도 데이터베이스를 구축하고 있다”고 한다. “원격 해킹이 가능한 데이터베이스들을 모으고 있어요. 미래에 또 다른 공격을 위해 예비하고 있는 것이죠. 다시 들어갈 수 있는 구멍을 이렇게 확보해놓고 있으면 공격자들은 마음이 편해지죠. 랜섬웨어나 SMB 공격을 다시 계획할 수도 있게 되고요.”

프롤리 캠페인 공격을 막으려면 가장 먼저 “강력한 암호”가 필요하다고 전문가들은 말한다. “브루트포스 공격이 많이 사용된다는 걸 기억하셔야 합니다. 쉬운 비밀번호 혹은 디폴트 비밀번호를 가지고 있으면 이 방법이 잘 통하죠. 또 소프트웨어 업데이트도 부지런히 해주셔야 합니다. 프롤리 공격자들은 잘 알려진 취약점들을 공략하고 있거든요.”

지브는 “이번 공격은 대단히 조직적인 범죄가 발현된 것이라고 볼 수 있다”고 말한다. “트래픽을 구매할 누군가가 있기 때문에 이런 공격을 대단위로 펼칠 수 있는 겁니다. 시장이 형성되어 있다는 것이죠. 또한 이들이 수집하고 있는 데이터베이스도 시장에 팔릴 수 있고요. 즉 이번 사태는 이것으로 끝나는 게 아니라 앞으로 다가올 더 큰 공격의 전조가 될 수도 있다는 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)