랜섬웨어, '삼바 취약점' 공격설 사실일까

"알려진 취약점 악용" vs "내부망 통한 APT공격"

(지디넷코리아=임민철 기자)홈페이지 수천개가 운영되던 서버 153대를 감염시킨 인터넷나야나 랜섬웨어 사태 배경 둘러싼 공방이 한창이다. 특히 해커가 원본 뿐아니라 백업 데이터까지 암호화해 복구불능으로 만들 수 있었던 이유를 놓고 엇갈린 추정과 진단이 제시되고 있다.

일부 보안 전문가는 해커가 인터넷나야나 리눅스 서버의 '삼바(samba)' 기술 취약점을 파고들었다고 판단하고 있다. 반면 또 다른 호스팅업체인 '스마일서브' 측은 해커가 방화벽이 허용한 네트워크를 통한 공격을 수행했을 것이라며 삼바 버그 이용설을 반박했다.

공격 유형과 경로를 제대로 파악하지 못하면 추가 피해 가능성이 생긴다. 해커가 같은 공격을 시도했을 때 전산시스템을 운영하는 기업들이 제대로 대비, 방어할 수 없기 때문이다. 당국이 정확하고 포괄적인 조사 결과를 내놓기 전까지 기업들의 불안과 혼란이 이어질 수 있다.

■ 당국 조사 결과 언제 나올까

인터넷나야나는 지난 10일 랜섬웨어 공격에 당했다. 리눅스 서버 300대 중 절반 가량의 원본 및 백업 데이터가 암호화됐다. 11일 경찰청 사이버안전국 발표에 따르면 여기서 운영되던 개인, 소규모 단체와 기업 홈페이지 5천곳이 거의 복구 불능의 피해를 입었다.

14일 인터넷나야나 측은 해커와 협상해 13억원 상당(약 397.6비트코인)의 비용을 지불, 복호화 키를 받아 데이터를 복구하기로 했다. 현재 여러 서버의 데이터 복구, 무결성 검사, 서비스 정상화 절차를 병렬적으로 진행 중이며 오는 20일 전체 복구 상황을 공지할 예정이다.

회사는 공격 사실을 당국에 신고했다. 이후 한국인터넷진흥원(KISA)과 경찰청 사이버안전국이 합동 조사를 진행 중이다. 신고 직후 사이버안전국은 주요 파일 정기적 백업, 첨부파일 클릭 주의 등 피해 예방수칙을 공지했지만, 단기간내 조사 결과가 발표되길 기대하긴 어렵다.

지난 3월 초중순 해킹으로 이용자 99만명의 개인정보를 유출당한 '여기어때' 해킹사고는 하순께 조사 초기 'SQL인젝션' 공격에 당했다는 정황이 드러났다. 하지만 이 사건에 대한 민관합동조사단의 공식 조사결과 발표일자는 4월 26일로, 사고가 알려진지 1개월만이었다.

■가설1: 리눅스 삼바 원격코드실행 취약점 악용…다른 취약점 노렸을 여지도

지난주 일부 보안 전문가는 해커가 리눅스 파일공유서버로 널리 활용되는 '삼바(Samba)'의 보안취약점을 악용했을 것이라 추정했다. 인터넷나야나도 이 취약점을 해결하지 않아 원본 데이터뿐아니라 네트워크로 연결된 백업데이터까지 랜섬웨어에 감염당했으리란 진단이다.

삼바는 리눅스와 유닉스 계열 운영체제(OS)를 위한 파일 및 프린터 공유 소프트웨어다. 리눅스 서버에 삼바를 설치하면 리눅스와 서버메시지블록(SMB) 및 CIFS를 사용하는 윈도간 파일 및 프린터 공유를 할 수 있다. 리눅스와 윈도가 혼재된 서버 환경 관리에 필요한 툴이다.

문제의 삼바 보안취약점(CVE-2017-7494)은 지난 4월 5일 발견됐다. 지난 2010년 3월 10일 배포된 삼바 3.5.0 버전부터 지난 최신판인 4.6.4 버전까지 모두 취약점을 품었다. 패치는 지난달 24일 공개됐다. 패치가 안 된 삼바를 쓰는 리눅스는 원격코드실행 공격을 당할 수 있다.

리눅스서버에 원격코드실행 공격을 허용하는 삼바 보안취약점이 2017년 5월 24일 패치됐다.

국내 한 보안업체에 인터넷나야나 호스팅인프라를 공격한 랜섬웨어의 감염 경로를 문의하자 "아직 조사 중이라 최종 감염 경로가 확인된 것은 없으며, 최근 공개된 리눅스 취약점일 가능성이 높다"는 답이 돌아오기도 했지만, 삼바 취약점 때문이라는 직접적인 언급은 없었다.

이 보안업체는 이처럼 공격 경로가 불분명한 상황에서 리눅스 기반 에레보스같은 랜섬웨어 감염을 예방하려면 어떻게 해야하느냐는 물음에 "리눅스 OS에 최신 보안 패치를 모두 수행해 (악성코드가) 유입될 수 있는 모든 취약 경로를 없애"야 한다고 답했다.

해커가 삼바 취약점을 노린 게 사실이라면, 적절한 감염 예방책은 '알려진 취약점 제거'가 된다. 인터넷나야나는 해당 패치를 적용하지 않았기 때문에 백업 데이터를 관리하는 리눅스 서버에까지 해커의 접근을 허용했고, 지금의 사태에 이르렀다고 볼 수 있다.

또한 인터넷나야나가 삼바 취약점을 악용당한 게 사실이라면 이 해킹은 해당 취약점으로 실제 피해가 발생한 최초 사건, 한국은 최초 피해 지역이 된다.

리눅스 서버에서 삼바가 아닌 다른 구성요소의 취약점이 공격당했을 가능성도 있다. 최근엔 인터넷나야나의 서버에서 웹애플리케이션 환경으로 PHP 5.1.4 버전이 구동되고 있다는 점도 문제시됐다.

웹앱 프로그래밍언어 PHP 5.1 버전대 지원은 지난 2006년 8월 24일 공식 중단된 상태다. 인터넷나야나는 공식 중단된지 10년 이상 된 PHP 버전을 여전히 써 왔다는 얘기다. 최신 PHP는 7 버전대고 현재 8 버전대 개발이 진행되고 있다.

이런 상황은 해커가 APT 공격을 동원하지 않았더라도 서버의 제어권을 빼앗을 수 있는 여러 통로를 찾아낼 가능성이 여전히 남아 있었을 것이라는 의심을 불러일으킨다.

다만 삼바 원격코드실행 취약점이나 구형 PHP 버전 취약점 악용 가능성을 뒷받침할만한 다른 근거는 아직 확인되지 않고 있다.

■가설2: 표적공격 또는 APT공격과 랜섬웨어 결합

지난주 또다른 보안 전문가는 해커가 '표적공격'을 수행했을 것이라는 견해를 내놨다. 해커는 불특정 다수를 겨냥한 것이 아니라 인터넷나야나를 포함한 특정 기업과 집단을 범주로 삼아 그 특성을 활용한 공격을 펼쳤고, 랜섬웨어는 그에 결합된 추가 공격이었다는 추정이다.

[사진=pixabay]

인터넷나야나와 동종업계 사업을 수행하는 '스마일서브'도 비슷한 관점을 취했다. 이 회사는 지난 16일 공식블로그에 '웹호스팅 서비스 랜섬웨어 공격 분석 및 보안 권고'를 통해 인터넷나야나의 피해 사례가 표적공격 중에서도 신종 지능형지속가능위협(APT)이란 주장을 폈다.

분석 및 보안 권고 작성자인 김병철 스마일서브 대표는 해킹사고 후 진행된 한국호스팅도메인협회 임원진, 황칠홍 인터넷나야나 대표와의 면담 결과 "익히 알려진 형태의 단편적 공격이 아닌 APT와 리눅스 랜섬웨어를 결합한 신종 공격"이라 추정하게 됐다고 밝혔다.

그에 따르면 인터넷나야나는 IP대역이 상이한 150여대 서버에 피해를 입었다. 절반은 웹호스팅서버, 절반은 회사 전문엔지니어가 관리하는 서버였다. 모두 정기 취약점 점검과 보안 조치를 적용받고 있었다. 패치가 안 된 불특정 다수 서버를 노린 공격에 당했을 가능성은 낮다.

그는 특히 인터넷나야나를 비롯한 한국호스팅도메인협회 회원사 대부분이 "다양한 서버를 리눅스 배치 셸 스크립트로 관리하는 게 효율적"이라 "리눅스 서버를 윈도PC에 물려(직접 연결시켜) 관리하는 경우는 없다"고 썼다. 해커가 삼바 버그를 악용했을 리 없다는 반박이다.

그는 해커의 공격 통로로 인터넷나야나 사무실내 컴퓨터를 지목했다. 인터넷나야나의 모든 서버에 대한 외부 네트워크 접근은 방화벽으로 차단돼 있었다. 다만 사무실 엔지니어의 PC를 경유한 가상사설망(VPN)으로 외부 컴퓨터에서 내부IP를 사용한 접속은 가능했다.

공격이 내부IP 접속으로 수행됐다면 수렴하는 가능성은 회사 내부자의 범죄, 내부IP를 쓰는 컴퓨터의 악성코드 감염 후 이어진 2차 공격, 내부IP로 접속이 가능한 외부 컴퓨터의 악성코드 감염 후 이어진 2차 공격, 3가지 중 하나다. 김 대표는 이중 세번째 시나리오에 무게를 뒀다.

해커가 인터넷나야나의 내부IP로 접속할 수 있는 외부 컴퓨터를 악성코드에 감염시킨 뒤 2차로 랜섬웨어 공격을 수행했다면 예방책은 뭘까. 우선 외부 작업자 컴퓨터의 악성코드 감염을 예방하는 것, 그리고 감염될 경우 VPN을 통한 내부 네트워크 접속을 차단하는 것이 된다.

■"제2의 인터넷나야나 사태 없으려면"…타 호스팅업체를 위한 보안권고

김병철 스마일서브 대표의 분석은 동종업체인 타 호스팅서비스 사업자를 위한 보안권고로 이어진다. 그는 자신의 가설을 바탕으로 인터넷나야나와 같은 유형의 공격에 대비할 수 있는 호스팅사업자의 서버 비밀번호 관리체계, 백업 관리 체계, 재난 대비형 보험 가입을 권고했다.

김 대표는 우선 인터넷나야나 서로 다른 비밀번호로 관리되는 서버 150여대가 '일시에' 무력화됐는데 그 이유는 패스워드 관리상의 보안 허점 때문일 것이라 봤다. 호스팅회사 대부분이 각 서버의 복잡한 비밀번호를 암호화된 엑셀 파일에 저장해 필요시 '복사-붙여넣기'하는 방식을 쓰는데, 이는 키로깅이나 실시간 화면캡처 악성코드 공격에 쉽게 무력화되는 배경이라 지적했다.

그는 디지털 공격이 불가능한 수기관리 또는 키로깅에 대응 가능한 일회용패스워드(OTP) 도입을 대안으로 제시했다.

김 대표에 따르면 인터넷나야나는 기본 운영환경 액티브-스탠바이 체제를 유지하면서, 리눅스 특정 경로 데이터를 다른 경로 시스템에 동기화해주는 'rsync' 기능을 사용해 백업 스토리지에 1차 백업을 하고, 하드디스크 이미지 실시간 스냅샷을 저장하는 'CDP' 방식으로 2차 백업을 수행해 왔다.

그는 이 백업이 호스팅회사에게 '정석'에 가까운 체계였지만 이번엔 관리 패스워드를 유출당해 백업데이터까지 망가지는 상태를 초래했다고 지적했다. 세프(ceph)처럼 디스크 훼손에 대비할 수 있는 분산스토리지 도입, 4중 이상으로 백업 깊이 확대, 실제 오프라인 백업대비 비용 효율적인 '준 오프라인 백업' 도입 등을 추천했다.

김 대표는 기술적인 관리체계상의 대비와 별개로 유사시 피해배상 및 복구지원을 위한 보험가입 방안도 제시했다. 그는 "과거에는 인터넷나야나뿐아니라 중견 호스팅업체는 호스팅협회차원에서 공동으로 보험에 가입해 재난 상황에 대비"했으나 그 체감 효과가 작아 현재는 "대부분의 호스팅협회 회원사들이 탈퇴한 상황 …(중략)… 그러나 이런 대형사고 발생시 회사 존폐위기까지 몰리게 된다"고 지적했다.

그는 호스팅업체들에게 Ebiz 배상 책임 보험을 가입할 것을 권했다. 자잘한 사고는 직접 처리한다는 전제로 자기부담금 한도를 아주 높게 책정하면 부담되지 않는 비용으로 가입할 수 있다고 덧붙였다. 이를 통해 단번의 해킹사고로 막대한 사고 대응 비용을 물 수 있는 랜섬웨어 피해에 대비하라는 메시지다.

임민철 기자(imc@zdnet.co.kr)