중국에서 만든 씽크PHP, 취약점 통한 카드 스키밍 및 채굴 이어져
주로 아시아에 피해자 많아...씽크PHP 사용하고 있다면 업데이트 해야

[보안뉴스 문가용 기자] 지난 달 씽크PHP(ThinkPHP)라는 프레임워크에서 코드 실행 취약점이 발견됐다. 씽크PHP는 중국 기업 탑씽크(TopThink)에서 개발한 개발 프레임워크로, 개발 속도를 크게 높여준다. 취약점은 CVE-2018-20062로, 개발자들이 이미 패치를 만들어 배포했다. 그러나 현재 이 취약점에 대한 익스플로잇이 돌아다니고 있는 걸 보안 전문가들이 발견했다.


취약점 전문가이자 보안 업체 아카마이(Akamai)의 사건 대응 팀원인 래리 캐시돌라(Larry Cashdollar)는 최근 발생한 메이지카트(MageCart)의 공격을 조사하고 있었다. 특히 마젠토(Magento)라는 온라인 상거래 플랫폼의 플러그인들에 대한 공격이 캐시돌라의 관심사였다. 그러다가 한 멀웨어가 여태까지 본적 없는 요청을 전달하고 있는 걸 발견했다. 씽크PHP에 대한 요청이었다.

“씽크PHP가 뭔가 해서 조사했더니 중국에서 개발된 소프트웨어 프레임워크더라고요. 그리고 거기에서 취약점이 발견된 사례가 있다는 것도 알게 되었고요. 공격자들은 그 취약점을 통해 암호화폐 채굴 코드와 카드 스키머를 심고 있었습니다.” 캐시돌라의 설명이다. “그뿐만이 아니라 윈도우 기반 기계와 사물인터넷 기계에서 작동하는 어떤 페이로드라도 심을 수 있습니다. 비트코인과 모네로를 집중적으로 채굴할 수도 있고요.”

캐시돌라는 이러한 공격에 대해 블로그 게시글을 작성해 올렸다. 글을 통해 “현재 많은 사이버 공격자들이 꽤나 간단한 기술을 사용해 이 취약점을 파고든다”고 밝혔다. “일단 이 취약점이 존재하는지 파악하는 데 필요한 코드는 단 한 줄입니다. 취약점을 찾아냈다면, 이미 널리 알려진 코드들을 복사해 붙여 넣으면 끝입니다.”

캐시돌라가 조사 중에 발견한 페이로드 중에는 미라이(Mirai)의 변종도 있었다. “사실 미라이와 같은 사물인터넷 봇넷 멀웨어가 이 공격과 맞물릴까봐 걱정했었는데, 역시나 있더군요. 이미 PHP 프레임워크를 통한 봇넷 만들기가 해커들 구상 안에 들어가 있다는 뜻으로 받아들여도 될 것 같습니다.”

씽크PHP 프레임워크를 통해 실행되는 코드들은 여러 절차들을 건너 뛸 수 있다. 멀웨어라면 반드시 거쳐야 한다고 여겨졌던 절차들이다. “90년대에는 루트 접근 권한만 노렸습니다. 하지만 지금은 그렇지 않아요. 루트 권한이든 게스트든 시스템 내에서 코드만 실행시키면 됩니다. 멀웨어를 공유하거나 암호화폐를 채굴하게 해주는 코드라면, 되도록 많은 시스템에서 돌릴 수만 있으면 되거든요.”

현재까지 이 취약점의 익스플로잇 공격에 당한 사람들은 주로 아시아에 분포해 있다. 그도 그럴 것이 씽크PHP가 중국에서 만들어졌고, 주로 아시아 내에서 사용되고 있기 때문이다. “하지만 공격자들의 움직임 자체가 아시아에만 머물러 있는 건 아닙니다. 실제로 세계 여러 나라를 대상으로 스캐닝 행위를 하고 있기도 하고요. 유럽과 미국에서도 이들의 ‘간 보기’는 진행되고 있습니다. 하루에 약 600회 정도 스캔을 합니다. 산업 구분은 따로 없습니다.”

그렇다면 이 공격에 대해 어떤 식으로 방어를 해야 할까? 캐시돌라는 “일부 웹 애플리케이션 보안 전문 기업들이 고객들에게 이 공격에 대한 권고문을 발송하는 걸 봤다”며 “그 내용 중에는 개발 팀이 씽크PHP 프레임워크를 사용하는지 조사하고, 만약 그렇다면 최신 버전으로 업데이트 하는 것이 가장 안전하다”고 설명했다.

3줄 요약
1. 중국에서 만든 PHP 개발 프레임워크인 씽크PHP에서 취약점 발견됨.
2. 공격자들은 현재 이 취약점 이용해 채굴 코드와 스키머 코드 심고 있음.
3. 업데이트가 나왔으니, 만약 씽크PHP가 사용되고 있다면 패치 적용하는 것이 우선.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>