닫기

글로벌이코노믹

中 해커조직, 취약점 이용해 美 정부기관 '웹쉘' 공격

공유
0

中 해커조직, 취약점 이용해 美 정부기관 '웹쉘' 공격

전통적 방법 '웹쉘'로 서버 장악 시도
2020년 20%, 지난해 52%로 2배 이상 ↑

 중국 정부의 후원을 받는 해커룹이 취약점을 이용해 미국의 정부 기관과 핵심 인프라를 공격한 것으로 나타났다. 사진=게티이미지뱅크이미지 확대보기
중국 정부의 후원을 받는 해커룹이 취약점을 이용해 미국의 정부 기관과 핵심 인프라를 공격한 것으로 나타났다. 사진=게티이미지뱅크
올해 주요 사이버 위협으로 신규 취약점과 서비스형 랜섬웨어, APT(지능형 지속공격) 및 국가기반을 흔들 수 있는 침해사고가 지속 증가가 예상된 가운데 중국 정부의 후원을 받는 해커룹이 취약점을 이용해 미국의 정부 기관과 핵심 인프라, 그리고 대만 방어의 거점 괌의 통신망 공격을 시도한 것으로 드러났다.

마이크로소프트(이하MS)는 지난 24일(현지시간) “괌을 비롯한 미국 내 주요 핵심 인프라 시설을 표적으로 한 은밀한 사이버 공격 활동을 탐지했다”면서 “이번 공격은 중국 정부가 후원하는 중국 내 해킹그룹 ‘볼트 타이푼’에 의한 것”이라고 밝혔다.
MS에 따르면 볼트 타이푼은 ‘사이버 보안 플랫폼 ‘포티가드’의 보안 취약점을 악용해 웹셀(Webshel)’이라는 악성코드를 주요 기관 네트워크에 심고 서버에 원격 접속했다. 이들은 소프트웨어 및 보호 기능이 업데이트되지 않은 부분을 공격했다.

미 국가안보국(NSA)도 “중요 인프라 전반의 네트워크를 표적으로 삼는 사이버 공격자를 식별했으며 이 행위자는 중국 정부의 후원을 받고 있다”고 발표했다.

이처럼 여전히 많은 기업들과 국가기관을 위협하는 사이버 공격은 애플리케이션 취약점과 악성메일, 워터링홀 등과 같은 전통적 공격 방법이다. 이번 중국 해커그룹도 포티넷의 네트워크 보안 플랫폼 포티가드의 취약점을 노렸다.

SK쉴더스의 침해사고분석팀 탑서트(Top-CERT)에 따르면 최근 3년간 탑서트가 침해사고 분석 결과, 해커들은 피해자 PC에 초기 침투하기 위해 가장 많이 이용한 공격은 '어플리케이션 취약점'이라고 밝혔다.

MS익스체인지·오라클 웹로직·아파치 등의 응용 소프트웨어의 보안 정책 결함이나 업데이트 패치가 되지 않은 취약점을 공격하는 방법이다.

김성동 SK쉴더스 탑서트 담당은 "지난 1월부터 2월까지 국내 웹사이트에 웹페이지 변조, 정보유출 등의 공격한후 그 결과물을 자신들의 홈페이지, 텔레그램, 해킹포럼 등에 공개했던 중국의 해킹그룹 샤오치잉도 웹로직 취약점을 악용한 것으로 알려졌다"고 말했다.
공격자들은 이렇게 취약점을 이용해 은밀하게 침투한 후에 고전적 공격 방식인 '웹쉘'을 가장 많이 활용했다.

웹쉘은 해커가 악의적인 목적으로 웹서버에서 임의의 명령을 실행할 수 있도록 제작한 프로그램으로 다양하고 간단한 서버 스크립트(jsp, php, asp 등)를 이용해 만들 수 있다. 이 스크립트들은 웹서버의 취약점을 통해 웹서버에 업로드되고 해커가 웹서버 환경에서 임의의 명령어를 실행할 수 있어 관리자 권한을 획득한다.

탑서트의 침해사고 분석 결과 이러한 웹쉘 공격은 2020년 20%에서 지난해 52%로 2배 이상 증가했다.

김 담당은 "해커가 웹쉘을 악용해 쉽고 편리하게 관리자 권한을 획득하면 웹 서버에 저장된 기업의 계정정보와 기밀문서 등을 빼낼 수 있고 장악한 서버를 악성코드 유포지로 활용해 공격을 더 확대할 수 있는 사례가 지속 증가한 것으로 나타났다"면서 각별한 주의가 필요하다고 말했다.


김태형 글로벌이코노믹 기자 tadkim@g-enews.com