• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

소아 난치병 재단인 메이크어위시, 해커의 소원 들어주다 2018.11.21

누군가 5월부터 코인IMP라는 채굴 스크립트 심어
드루팔게돈2라는 취약점 익스플로잇 돼...업데이트의 중요성 부각

[보안뉴스 문가용 기자] 해커들이 난치병 어린이들을 돕는 메이크어위시재단(Make-A-Wish Foundation)의 국제 웹사이트를 해킹했다. 이 사이트를 방문한 사용자들의 CPU 파워를 훔쳐내 암호화폐인 모네로를 채굴하기 위해서였다. 보안 업체 트러스트웨이브(Trustwave)에 의하면 이 사이트에서 코인IMP(CoinIMP)라는 채굴 스크립트가 발견됐다고 한다. 드로팔게돈2(Drupalgeddon 2)라고 알려진 취약점이 문제의 근원이었다.

[이미지 = iclickart]


채굴 스크립트는 해당 웹사이트에서 5월부터 활동한 것으로 나타났다. “방문자의 컴퓨팅 파워를 활용하는 채굴 스크립트가 발견됐습니다. 결국 난치병 어린이가 아니라 부자가 되고 싶었던 공격자의 소원이 성취되는 사이트가 되어버렸던 것입니다.” 트러스트웨이브의 보안 연구원인 사이먼 케닌(Simon Kenin)의 설명이다. 그는 회사 블로그를 통해 이 공격에 대한 세부 내용을 공개했다. “연말연시에 자선 복지 단체를 털다니, 양심도 없는 종자들입니다.”

코인IMP 채굴 스크립트는 자바스크립트를 기반으로 만들어진 것으로, 웹사이트를 통해 아무도 몰래 채굴을 하고자 하는 사람들 사이에서 인기가 높다. 방문자가 가진 컴퓨터의 힘을 빌려 자신의 지갑을 두둑하게 만든다는 건데, 해커나 사이버 범죄자들만이 아니라 웹사이트 운영진들도 이런 일을 저지르는 경우가 있다. 광고 대신 채굴을 한다는 거라는 주장도 나오지만, 그러려면 방문자에게 먼저 고지해야 한다는 게 현재 분위기다.

케닌에 의하면 이 공격은 드루팔게돈2(Drupalgeddon2)라고 불리는 취약점을 통해 들어왔다고 한다. 드루팔게돈2는 드루팔(Drupal)이라는 온라인 콘텐츠 관리 플랫폼에서 나타난 것으로 지난 3월에 패치됐다. 즉, 패치하지 않은 드루팔 기반 웹사이트들은 이 코인IMP 공격에 당할 수 있다는 것이다.

“조사를 진행했을 때, drupalupdates.tk라는 도메인에 채굴 스크립트가 호스팅되어 있다는 걸 발견할 수 있었습니다. 조사를 조금 더 해보니 drupalupdates.tk라는 웹사이트는 이미 2018년 5월부터 드루팔게돈2를 익스플로잇 하는 캠페인에 연루되어 있었더군요.” 드루팔게돈2는 원격 코드 실행을 가능하게 해주는 취약점으로, 상당히 위험한 결과를 낳을 수 있다.

드루팔게돈2의 정식 번호는 CVE-2018-7600으로, 이미 수개월 전에 패치가 나온 바 있지만 아직 많은 웹사이트들에서 패치를 진행하지 않고 있는 게 사실이다. 즉 드루팔게돈2의 위험은 끝나지 않은 상태라는 것이다. 6월에 조사했을 때만 해도 11만 개가 넘는 웹사이트에서 패치를 무시하고 있었다.

이번 암호화폐 채굴 공격은 탐지가 쉽지 않았다고 케닌은 설명한다. “정적 탐지 기술을 피하기 위해 (채굴 공격으로서는) 좀 색다른 방법들을 사용했더군요. 예를 들어 채굴 코드를 호스팅하고 있는 도메인 이름을 바꾼다든가 하는 식으로요. 그런 후에는 웹소켓(WebSocket) 프록시에서도 다른 도메인과 IP 주소를 사용해 블랙리스트 솔루션을 속이기도 했습니다.”

케닌은 이 공격을 발견하고 곧바로 메이크어위시 재단 측에 연락을 취했다. 그러나 아직까지 답장이 없었다고 한다. 하지만 문제가 되었던 코드 자체는 웹사이트에서 사라졌다. 메이크어위시는 외신들과 본지의 연락에도 아무런 대답을 하지 않고 있는 상태다. 케닌은 “제일 중요한 건 역시 드루팔게돈2에 대한 패치를 지금이라도 실시하는 것”이라고 지적했다.

“드루팔게돈2는 해커들이 사용하는 수많은 익스플로잇 경로 중 하나일 뿐입니다. 합법이든 불법이든 암호화폐 채굴 스크립트를 여기 저기 심는 행위는 지금 온 사이버 세상 전체에 다 퍼져 있다고 해도 과언이 아닌데, 이런 때에 패치를 하지 않는다는 건 내 장비를 누군가가 광산처럼 활용해도 상관없다는 의지 표명일 수밖에 없습니다.”

3줄 요약
1. 난치병 어린이 관련 자선 단체인 메이크어위시 재단 웹사이트에 누군가 침입.
2. 드루팔게돈2라는, 수개월 전 패치된 취약점 노리고 들어간 것.
3. 침투 목적은 모네로라는 암호화폐 채굴하기 위한 것.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>