[6월 3주 뉴스쌈] 모네로 채굴하는 드루팔 익스플로잇 등장

CVE-2018-7602 익스플로잇, 워너크라이 ‘보호 강탈’,
‘클릭투고브’와 오라클 웹로직, 바이러스토탈 모니터

[보안뉴스 오다인 기자] ‘도둑이 도리어 매를 든다’는 뜻의 적반하장(賊反荷杖)은 잘못한 사람이 도리어 잘한 사람을 나무라는 경우에 쓰는 말입니다. 지켜줄테니 돈부터 내라는 신종 이메일 사기꾼들 소식을 접하고 이 고사성어가 떠올랐습니다. 잘못한 사람이 처벌 받고 잘한 사람이 대우 받으려면 세상은 어디서부터 어떻게 바뀌어야 할까요?

[이미지=iclickart]

모네로 채굴하는 드루팔 익스플로잇 등장
오픈소스 콘텐츠 관리 시스템 드루팔(Drupal)에서 취약점이 새롭게 발견됐습니다. 이 취약점은 감염된 시스템을 모네로 채굴 봇으로 변신(?)시키는 데 악용되고 있었다고 합니다. 더욱 심각한 건, 단순히 리소스와 퍼포먼스를 훔쳐 쓰는 것을 넘어 훨씬 더 많은 일을 하는 데 이 취약점이 ‘쉽게’ 악용될 수 있다는 사실입니다.

보안업체 트렌드마이크로(Trend Micro)의 스마트홈 네트워크 및 사물인터넷(IoT) 평판 서비스 팀은 ‘CVE-2018-7602’의 익스플로잇을 발견했습니다. CVE-2018-7602는 드루팔 7과 8 내의 원격 코드 실행 취약점입니다. 이 취약점은 4월 25일 패치됐지만, 많은 이용자가 아직까지 최신 버전 업데이트를 마치지 않은 상태입니다. 정확한 수치가 알려지진 않았으나, 대량의 드루팔 기반 웹사이트들이 현재 취약한 상태에 방치된 것으로 추정됩니다.

새 익스플로잇의 다운로더는 HTTP 1.0 포스트 메소드(POST method)를 써서 트래픽을 보냅니다. 대다수 기업이 트래픽과 관련해 HTTP 1.1 또는 이후 버전으로 이전했기 때문에 보안 팀 입장에서 이는 적색 경보입니다. 시스템 상에서 일단 활성화되면 이 다운로더는 난독화 기능이 추가된 오픈소스 모네로 채굴기 ‘XMRig v.2.6.3’을 설치합니다.

트렌드마이크로는 “드루팔을 패치·업데이트해서 취약점을 수정해 놓는 것이 이 같은 위협 및 익스플로잇을 차단하는 길”이라고 밝혔습니다.

“돈을 내지 않으면 워너크라이가 닥칠 것이다?”
새로운 이메일 사기가 극성인데, 그 배후가 워너크라이(WannaCry) 해커들로 추정됩니다. 이들은 “돈을 선불로 지급하지 않으면 워너크라이 랜섬웨어 변종에 감염될 것”이라고 협박하면서 피해자를 갈취합니다.

그러나 이러한 사기를 포착한 보안업체 소포스(Sophos)에 따르면, 공격자들이 워너크라이 멀웨어를 실제 보유하고 있는 것은 아니라고 합니다. 소포스의 폴 더클린(Paul Ducklin) 수석 보안 자문은 22일(현지 시간) “간단히 말해 이는 몸값 기반의 강탈이라기보다 나쁜 일을 막아주겠다며 협박하는 ‘보호 강탈(protection racket)’로 볼 수 있다”고 말했습니다. “이미 발생한 나쁜 일로부터 회복시켜주겠다며 피해자를 쥐어짜는 공격”이라고 그는 설명했습니다.

소포스는 공격자들에게 돈을 지불하거나 이들과 접촉하지 말라고 경고했습니다. 또한 보안 상태를 적절하게 유지하고 패치와 백업을 잘 해두라고 권고했습니다.

정보유출 경보 발행...알고 보니 서드파트 소프트웨어가 문제
미국의 온라인 공과금 정산 소프트웨어 ‘클릭투고브(Click2Gov)’에서 정보유출이 발생했다는 소식에 클릭투고브를 이용하는 최소 10곳의 미국 도시가 시민에게 경보를 발행했습니다. 그런데 알고 보니 클릭투고브 프로그램이 침해된 것은 아니었다네요.

보안업체 리스크 베이스드 시큐리티(Risk Based Security)의 잉가 고딘(Inga Goddijn) 부사장은 클릭투고브의 침해공지 서한에서 특정한 패턴을 발견했습니다. 정보유출 및 암호화폐 채굴기 설치 등과 관련한 침해공지가 미국 전역의 도시에서 발송됐고, 캘리포니아 주 옥스나드가 가장 최근인 5월 25일에 침해된 것으로 나타났습니다.

클릭투고브는 수피리온 소프트웨어(Superion Software)에서 제조한 소프트웨어였는데요. 공격자들은 클릭투고브를 뚫고 들어간 것이 아니라 클릭투고브를 이용하는데 필요한 서드파티 소프트웨어를 통해 침입한 것으로 밝혀졌습니다. 오라클(Oracle)의 웹로직(WebLogic) 애플리케이션 서버로 침입했던 것이죠.

웹로직 취약점은 현재 패치됐습니다. 코드북(Codebook) 보고서에 따르면, 핵심 문제가 클릭투고브 안에 존재하는 것이 아니기 때문에 클릭투고브의 클라우드 기반 버전을 이용하는 도시들은 피해가 없는 것으로 나타났습니다.

알파벳, 긍정 오류 차단 위해 ‘바이러스토탈 모니터’ 출시
구글 알파벳(Alphabet)의 보안 분과인 크로니클(Chronicle)이 멀웨어 스캐닝의 긍정 오류(False Positive)를 차단하기 위한 서비스를 출시했습니다. 이른바 ‘바이러스토탈 모니터(VirusTotal Monitor)’입니다. 바이러스토탈 모니터는 백신 툴이 정식 제품을 멀웨어로 오인하는지 시장 출시 전에 또는 지속적으로 확인할 수 있도록 도와줍니다.

긍정 오류는 부정적인 결과들을 초래합니다. 정상적인 소프트웨어가 악성으로 분류되면, 개발자들은 지원에 많은 비용을 써야 하고 백신업체는 평판이 나빠지며 엔드유저는 짜증이 솟구칩니다. 내부적으로 구축된 툴들조차 긍정 오류를 잘 발생시키는데요. 이런 경우, 수익엔 별 영향이 없더라도 생산성을 악화시키는 결과로 돌아올 수 있습니다.

바이러스토탈 모니터는 소프트웨어가 멀웨어로 분류될 것인지 개발자들이 확인할 수 있도록 지원합니다. 개발자들은 바이러스토탈 내 개인용 클라우드 저장소에 자신의 제품을 업로드하면 됩니다. 그러면 70여곳의 바이러스토탈 업체들이 파일들을 스캔합니다. 개발자가 올리는 파일은 멀웨어가 탐지될 경우 해당 경고를 발생시킨 백신업체와만 공유됩니다.
[국제부 오다인 기자(boan2@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)