헥스멘, 기존 봇넷과 다른 공격 패턴으로 3월부터 진화
서버 수만 대 피해 가능성... 한 번에 암호화 될 위험도

[보안뉴스 오다인 기자] 사이버 범죄 조직이 기존의 봇넷 공격 패턴과 다른 양상을 보이면서 암호화폐 채굴을 목적으로 봇넷을 구축하고 데이터베이스 서버를 공격하고 있어 주목된다.


데이터센터 보안업체 가디코어 랩스(GuardiCore Labs) 연구진은 일명 ‘헥스멘(Hex-Men)’이라는 공격이 3월부터 천천히 진화하는 중이며 현재까지도 공격이 진행 중이라고 밝혔다.

이들 연구진은 주요 변종 3가지로 △헥스(Hex) △하나코(Hanako) △테일러(Tayler)가 있다고 설명하면서 이 변종들이 각기 다른 SQL 서버를 겨냥하고 있으며, 고유한 목표·범위·타깃 서버를 갖고 있다고 말했다. 수집한 증거에 기초했을 때, 공격자들은 중국 외 지역에 위치할 것으로 추정된다. 중국 내 피해자가 매우 많을뿐더러 태국, 미국, 일본 등지에도 상당수의 타깃이 발견됐기 때문이다.

또한, 3가지 변종 모두 탐지가 어려웠던 것으로 드러났다. 데이터베이스 서버를 공격하는 이들 변종의 기기가 한 번에 소수의 IP만 공격하기 때문이었다. 감염된 기기는 봇넷 공격에 이용됐고, 약 한 달 내 폐용돼 교체됐다.

가디코어(GuardiCore) 연구원이자 보고서 공저자인 대니얼 골드버그(Daniel Goldberg)는 이 공격의 진짜 독특한 점은 타깃 기기의 민감성에서 나타난다고 지적했다. 일례로, 웹 서버, MS SQL 서버, 일래스틱서치(ElasticSearch) 관리 노드, MySql 서비스 등이 있다.

골드버그는 현재 서버 수만 대가 이 공격에 당했을 수 있다면서, 서버 전량이 하나의 봇넷을 구축하는 데 교대로 사용되고 있을 것이라고 추정했다. 그는 이 봇넷이 요즘 나타나는 전형적인 봇넷들과는 “매우 다른” 형태를 띠고 있을 것이라고 말했다. 보통 봇넷이라고 하면 공격하기 쉬운 사물인터넷 기기나 센서를 노리는 게 대부분이다.

“어떤 측면에선, 강력한 서버를 공격하고 그 힘을 마구 휘둘렀던 옛날로 돌아간 것도 같아요. 이번 공격으로 침해된 서버 전량이 실제 데이터를 보유한 서버들입니다. 당장 내일이라도 이 공격자들이 데이터를 몽땅 암호화 해버린 뒤 돈을 뜯어내야겠다고 결심할 수도 있습니다. 이들은 데이터를 전부 훔쳐갈 수도 있고, 일반에 뿌려버릴 수도 있습니다. 그러나 이들은 현재 암호화폐를 채굴하고 봇넷을 더 키우는 데 서버를 이용하고 있습니다.”

이번 공격은 복잡한 기업 환경에서 막아내기가 특히 더 어렵다. 공격 패턴 자체가 저준위(low-level)로 나타나고, 대기업의 경우 인터넷과 닿아있는 데이터베이스를 통제하는 것뿐만 아니라 가시성을 확보하는 것조차 어렵기 때문이다.

가디코어의 연구 부사장 겸 보고서 공저자인 오프리 지브(Ofri Ziv)는 “모든 것이 클라우드로 이동하고 다중의 환경과 데이터센터가 섞여있는 현재, 무엇이 노출돼 있고 무엇이 그렇지 않은지 꾸준히 추적하는 건 정말 어려운 일”이라고 말했다.

지브는 “공격자들이 데이터베이스를 노린다는 건 개인적으로 상당히 놀라운 일로 느껴진다”며 “사람들이 진짜 관심을 기울여야 할 일”이라고 강조했다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>