요약 : 보안 외신 핵리드에 의하면 새로운 멀웨어가 나타났다고 한다. 이름은 피지멤(PG_MEM)이며, PostgreSQL 데이터베이스를 주로 감염시키는 것으로 분석되고 있다. 약하게 설정된 비밀번호를 뚫고 들어가 페이로드를 설치한 후 암호화폐 채굴을 시작하는 게 이 피지멤의 주요 기능이다. 현재까지 조사된 바에 의하면 약 80만 개의 PostgreSQL 인스턴스들이 취약한 상황이며, 비밀번호를 강력하게 재설정 하는 것만으로도 감염을 예방할 수 있다고 한다. 현재까지의 피해 상황은 아직 정확히 집계되지 않고 있다.


배경 : 피지멤 자체가 암호화폐 채굴 기능을 가진 건 아니다. 피지멤은 데이터베이스로의 최초 침투까지만 진행하고, 채굴을 위한 멀웨어를 추가로 다운로드 받아 실행시키며 임무를 완수한다. 최초 침투를 위해서 주로 무작위 대입 공격을 실시한다. 최초 침투 후에는 데이터베이스의 정보를 확보해 공격자에게 전송하고, 공격자는 그 정보에 따라 맞춤형 채굴 코드를 내려보낸다. 이 때 공격 지속성을 확보하기 위한 장치들을 마련하기도 한다.

말말말 : “PostgreSQL은 웹과 모바일 애플리케이션과 흔히 연계되어 사용되는 요소입니다. 사용자가 광범위하며, 따라서 이번 캠페인에 대해 각별한 대비를 해야 할 것으로 보입니다. PostgreSQL을 사용하는 조직들이라면 서버 내 활동 내용을 주의 깊게 모니터링해야 합니다.” -핵리드-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>