쉘쇼크 발견 후 24시간 지난 시점부터 계속되는 발전

해커들의 적응력 놀랍도록 빨라, 아직은 패치만이 해결책

[보안뉴스 문가용] 쉘쇼크와 관련 있는 공격 행위가 유닉스와 리눅스 시스템에서 오늘 새롭게 발견되었다. 트렌드마이크로(Trend Micro)의 보안전문가들은 처음 SMTP 서버를 겨냥한 공격을 발견한 후 경고성 보고서를 발표해 세상에 알렸고 이번에는 해커들이 쉘쇼크에 취약한 시스템들을 사용해 봇넷을 구축하고 있다는 소식을 아카마이(Akamai) 측에서 전해온 것이다.

한편 SERT의 연구원들 또한 보고서를 오늘 발간했는데, 공격자들이 쉘쇼크를 활용하기 위해 얼마나 빠르게 공격 방법을 바꿔 적응했는지가 잘 드러나는 내용으로 꾸며졌다. 쉘쇼크 신호가 잡힌 트래픽 중 67%가 이미 보안 커뮤니티 사이에 널리 알려진 ‘나쁜 곳’과 연관이 있었는데, 이는 새로운 현상에 기꺼이 적응한 해커들의 수가 절반을 훌쩍 넘긴다는 것이다. 게다가 순식간에 일어났다. 쉘쇼크 소식이 있고나서 해커들의 공격이 시작된 게 24시간이 채 지나지 않은 시점이었으니까 말이다.

“이번 쉘쇼크 사태에서 저희가 주목해야 할 또 다른 사안은 기존 해킹 사건 때보다 해커들이 취약점에 적응하는 시간이 무척이나 빨라졌다는 겁니다.” 그래서 취약점을 공략하는 다양한 방법들도 빠르게 빠르게 등장하고 있다. 그리고 실제로 SMTP에 이어 얼마 지나지 않아 IRC 봇넷이 등장하더니 또 이번엔 디도스 봇넷 빌더가 출현한 것이다.

“현재 해커들은 배시 취약점을 악용해 봇넷을 만들고 키워가고 있습니다. 그럼에도 아직 해커들의 이런 활동들은 초기 단계라고 보이며, 실험의 의도를 크게 벗어나고 있지 않은 것으로 보입니다.” 아카마이 보고서의 내용이다. 또한 현재 쉘쇼크를 활용한 봇넷 중 대부분은 IRC로 제어되고 있다. 이는 트렌드마이크로가 발견하고 분석했던 신기술과 연관이 있는 봇넷이다. 즉, 신기술이 퍼지는 속도가 어마어마하다는 것.

트렌드마이크로에 따르면 공격자들은 이메일을 사용해 취약한 SMTP 서버를 겨냥한 익스플로잇 코드를 배포해 IRC 봇을 설치한다. 이 IRC 봇은 JST Perl Irc 봇이라고 알려져 있다. 공격자들이 발송하는 메일에는 악성코드가 제목, 보내는 사람, 받는 사람, CC 필드에 삽입되어 있다. 이런 악성 이메일이 서버가 받아들이는 순간 임베드된 페이로드가 실행되고 IRC 봇이 다운로드 되어 실행된다. IRC 서버와 연결되면 메일 서버를 공격자가 제어할 수 있게 된다.

“이런 식으로 하는 SMTP 공격은 쉘쇼크를 활용하는 또 하나의 방법을 제시했다는 점에서 의의를 찾을 수 있습니다.” 트렌드마이크로의 연구원들이 블로그를 통해 밝혔던 내용으로 이는 여전히 유효한 분석이다. “IT 관리자들은 쉘쇼크 취약점과 조그마한 연관성이 있는 IP와 도메인을 전부 차단해야 할 것입니다.”

아카마이는 시스템을 쉘쇼크에 취약하지 않도록 패치하는 게 급선무라고 권고한다. “패치하지 않은 채 방치한 시스템은 봇넷 혹은 좀비처럼 활용될 가능성이 무척 높습니다. 그 방법이 매일처럼 새롭게 개발되고 있고, 익히기에 그다지 어렵지 않기 때문에 공격의 속도도 빠른 편입니다. 그렇다면 방어하는 입장에서도 빠르게 움직이는 게 당연한 것입니다.”

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>