선박 공격 전에 선박회사 서버 공격해 위치 파악한 해적들
웹 앱 통한 CMS 서버의 공격 계속해서 증가 중

[보안뉴스 문가용] 버라이즌(Verizon)이 최근 해적들에 대한 보고서를 발표했다. 보고서에 따르면 최근 수개월 동안 해적들은 운항 중에 있는 선박들을 전략적으로 공격하기 시작했는데, 여기에는 해킹 기술이 뒷받침된 것으로 파악되었다고 한다. 선박회사의 콘텐츠 관리 시스템(CMS)을 공격해 선박 운행과 관련된 정보를 탈취한 것.


버라이즌에 따르면 해적들은 먼저 악성 웹 쉘을 선박회사의 CMS 서버에 업로드 시켰다고 한다. 해당 서버에는 선적물 내용과 위치 등의 정보가 담겨져 있었다. “해커들은 불완전한 업로드 스크립트를 사용해서 웹 쉘을 서버에 이식시켰습니다. 그리고 요청 및 명령을 계속해서 보내기 시작했죠. 로컬 파일 인클루젼(LFI)이나 원격 파일 인클루젼(RFI), 그 어떤 것도 필요하지 않았습니다. 즉, 웹 서버와 공격자의 인터랙션이 가능해지도록 한 것이지요. 공격자가 마음대로 데이터를 업로드시키고 다운로드할 수 있게 되었다는 뜻입니다. 해커들은 선박 운항 스케줄을 파악하고 특별하게 노리고 있는 선적물의 위치도 파악했습니다.”

하지만 버라이즌은 이번 보고서를 통해 범죄자들 사이에서 커다란 유행이 생기거나 변화하고 있다는 경각심을 심어주려는 의도를 내비치지는 않고 있다. 버라이즌의 수석 연구팀장인 마크 스핏틀러(Marc Spitler)는 “미래를 예측하려는, 트렌드 보고서는 아니다”라며 “그냥 흥미롭게 ‘이런 일도 있었구나’하고 읽고 지나칠만한 사건에 불과하다”고 밝혔다. “실제로 발생한 일이긴 하지만 매우 이례적이며, 해당 해커들의 기술력도 상당히 뒤쳐져 있어 대응이 어렵지도 않았기 때문입니다.”

다만 해커들이 CMS를 자주 노리는 현상만큼은 주목해볼만 하다고 그는 지적한다. “콘텐츠 관리 시스템에 대한 공격은 지금도 계속해서 증가하고 있고, 앞으로도 그럴 것으로 보입니다. 물론 해적들이 그럴 거라는 이야기는 아닙니다. 또한 이 현상은 웹용 애플리케이션들에 대한 공격과도 연결됩니다. 즉 이런 해적들의 행위를 통해서 가져가야 할 경각심이 있다면, 해적을 조심하자는 게 아니라 앱에 설치되는 CMS 플러그인에 대한 공격에 더 주의해야 한다는 것이죠. 새로운 발견은 아닙니다만.”

다만 사건의 특이성과 해당 기업의 요청으로 버라이즌은 해당 보고서에서 가공의 기업명과 선박명, 해적단명을 사용했다. 또한 해킹 후 실제 물리 공격이 발생했는지에 대한 여부도 명확하게 언급하고 있지 않다. 이 점 또한 버라이즌이 해커들의 최신 트렌드를 업계에 알리려 한 것이 아니라는 주장에 힘을 실어준다. “게다가 이 사건은 작년에 벌어진 일입니다. 그 후로는 더 이상 해적들에 의한 해킹 사건이 안 일어났어요.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>