Home > 전체기사

역대급 ‘로그4j’ 취약점 노린 다크웹 기반 해커들의 움직임은?

  |  입력 : 2021-12-13 00:11
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
정부부처·유관기관·보안기업, 보안 패치 및 취약점 점검 스캐너 배포 등 최선의 노력
랜섬웨어 해커조직 등 공격자들, 다크웹·트위터에 공격기법 공유하면서 전력 다해 공격
하루빨리 취약점 점검 및 보안 업데이트 마무리하고, 실시간 모니터링에 힘써야


[보안뉴스 권 준 기자] 이번 주말 전 세계는 역사상 최악의 취약점이 될 수도 있는 ‘로그4j 2’ 원격 코드 실행(RCE : Remote Code Execution) 취약점 일명 ‘로그4셀(Log4Shell)’ 공포에 휩싸였다. 전 세계 공공기관과 주요 기업은 취약점 패치를 위해 보안 업데이트에 적극 나섰고, 보안업계에서는 로그4셀 점검 스캐너를 무료로 배포하는 등 피해 최소화를 위한 대응에 최선의 노력을 다하고 있는 상황이다.

[이미지=utoimage]


우리나라에서도 국가정보원과 과기정통부, 한국인터넷진흥원(KISA), 그리고 금융보안원 등 유관부처와 기관들이 주요 공공기관과 기업을 대상으로 피해 현황 파악과 함께 취약점 점검 공지 및 보안 업데이트 지원을 진행 중이다. 또한, 아이오티큐브와 로그프레소 등을 비롯한 국내 보안기업에서는 로그4셀의 긴급 취약점 대응을 위한 스캐너를 무료 배포하는 등의 노력이 활발하게 진행되고 있다.

그러나 이러한 다각도의 노력에도 불구하고 이번 취약점을 악용한 해커들의 공격이 이미 상당수 진행됐다는 우려가 커지고 있다. 해당 취약점이 사이버 공격자들이 로그4j 2를 사용하고 있는 모든 애플리케이션에 임의의 코드를 실행할 수 있는 원격 코드 실행 취약점으로, 공격 타깃이 되는 서버나 PC의 모든 권한을 취득할 수 있기 때문이다. 비밀번호 입력 없이 서버를 통해 내부망에 접근해 데이터를 탈취하거나 랜섬웨어 등의 악성코드를 실행시켜 다양한 악성 행위를 수행할 수 있다. 특히, 해당 취약점을 악용해 공격을 감행하는데 있어 고도의 기술이 필요하지 않다는 점에서 더욱 위험하다는 지적이다.

실제로 취약한 애플리케이션에 대한 대규모 스캐닝 활동이 발견됐으며, 해당 취약점을 노린 공격 시도가 포착되기도 했다. 애초에 해당 취약점은 자바 언어로 개발된 인기 온라인 게임 ‘마인크래프트’에서 발견됐는데, 애플, 아마존, 스팀, 트위터, 구글, 테슬라 등 글로벌 IT 기업은 물론 기업과 정부부처 등 웹사이트를 운영하는 대다수가 로그4j를 사용하고 있어 해커들의 공격 타깃이 매우 광범위할 수 있다.

그럼 이번 취약점과 관련해서 해커들의 주요 활동무대가 되고 있는 다크웹에서의 움직임은 어떨까? 보안기업 NSHC의 다크웹 기반 인텔리전스 시스템 ‘다크트레이서(DarkTracer)’의 모니터링 결과에 따르면 현재 다크웹 및 딥웹에서 로그4j 취약점과 관련된 다양한 공격기법과 이슈들이 활발하게 공유되고 있는 것으로 드러났다.

▲다크웹에서의 로그4j 2 취약점 공격 관련 공유 현황[자료=NSHC]


특히, 다크웹을 주 무대로 활동하고 있는 랜섬웨어 해커조직들의 활발한 소통이 계속 포착되고 있는데, 우회 공격 및 웹방화벽(WAF) 우회 기술 등이 실시간 공유되고 있는 것으로 알려졌다.

다크웹과 함께 SNS인 트위터도 해커들의 공격기법이 공유되는 주요 통로가 되고 있다고 보안전문가는 지적했다. 보안프로젝트 조정원 대표는 “공격자들은 항상 IP 정리해놓고 대기했다가 트윗으로 공격 코드 1~2줄만 공개되더라도 금융권, 공공기관 등을 타깃으로 1시간 이내에 공격이 들어오는 경우가 많다”며, “아파치 스트러츠 취약점 사태 당시 기억을 떠올려보면 이번 취약점의 경우도 크게 다르지 않을 것이기에 보안담당자들이나 보안관제 서비스 업체들은 힘들더라도 밤샘 대응해야 하고, 통합 로그를 열심히 보고 있어야 한다”고 강조했다.

이에 따라 공공기관 및 기업들은 보안부서를 중심으로 자사가 보유 및 운영하고 있는 서버가 로그4j 취약점에 영향을 받는지 신속하게 체크해서 취약점 점검과 함께 보안 업데이트를 마무리한 후, 당분간은 지속적인 보안관제를 통해 공격 시도 여부를 실시간 모니터링 하는 게 무엇보다 중요할 것으로 보인다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)