세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
급속도로 퍼지는 몽고DB 랜섬웨어 공격과 그 의미
  |  입력 : 2017-01-11 11:07
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
인터넷과 연결된 몽고DB 중 암호 설정 안 되어 있는 것 골라 노려
멀웨어 하나 없이 랜섬웨어와 똑같은 공격 가능... 운영적 발전에 주목


[보안뉴스 문가용 기자] 인터넷에 연결된 전 세계 몽고DB(MongoDB) 데이터베이스 중 절반 이상이 대량의 사이버 공격에 노출되어 있다는 소식이다. 이 공격을 통해 사이버 범죄자들 사이의 협박 전략이 변화한 것을 엿볼 수 있다. 몽고DB를 겨냥한 공격이 처음 발견된 건 지난 주로, 기존의 ‘랜섬웨어식’ 협박과는 한 차원 다른 전략에 대해 전문가들이 계속해서 분석해왔다. 결론은 “오래된 수법을 새롭게 응용해 신기술을 공격하는 것”이라고 한다. 무슨 말일까?

▲ 가던 길만 가지 않는 범죄자들


먼저 몽고DB는 NoSQL 혹은 비관계 데이터베이스로, 스키마가 매우 유연한 것이 특징이며 지난 몇 년 동안 인기가 급증했다. 현재 세계에서 네 번째로 인기가 높은 데이터베이스 관리 시스템이며, NoSQL 데이터베이스 관리 시스템 중에서는 가장 사용자가 많은 것으로 알려져 있다.

이런 몽고DB를 겨냥한 최근 공격을 먼저 발견한 건 보안 전문가인 빅터 거브스(Victor Gerves)와 니알 메리간(Niall Merrigan)으로 “이번 공격은 관리자 암호가 설정되어 있지 않은 채 인터넷을 통해 접근이 가능하도록 설치되어 있는 몽고DB를 노리고 있다”고 설명한다. “일단 이런 데이터베이스를 찾으면 계정을 장악해 실제 데이터를 빼돌리거나 삭제한 뒤, 그 자리에 협박편지를 넣어놓는 겁니다. 데이터가 필요해 데이터베이스에 접속한 원래 주인이 발견하는 건 데이터가 아니라 돈을 내라는 협박 메시지뿐인 것이죠.”

이 공격이 기존 랜섬웨어 공격과 다른 것은 암호화를 실행하는 고급 멀웨어가 필요한 것도 아니고 심지어 피해자가 악성 링크를 클릭하도록 꼬드길 필요도 없다는 것이다. 다만 설정과 설치가 잘못되거나 불완전하게 된 데이터베이스만 찾으면 모든 작업이 끝난다. 보안 전문업체인 리스크베이스드 시큐리티(Risk Based Security)의 CISO인 제이크 컨스(Jake Kouns)는 “예전부터 암호 설정이 약하게 되어 있다거나 환경설정이 잘못 된 것으로 인해 보안 사고가 끊임없이 일어났다”며, “오래된 수법에 랜섬웨어의 본질이라고 볼 수 있는 협박의 요소를 가미한 것 뿐”이라고 설명한다.

제이크 컨스는 또 다른 NoSQL 데이터베이스 관리 시스템인 레디스(Redis)에서도 비슷한 공격이 6개월 전부터 있었다고 말한다. “레디스의 공격 역시도 암호가 아예 설정되지 않은 데이터베이스에서 사고들이 터졌습니다. 데이터베이스라는 신기술이 사용자들 사이에서 퍼지는 속도가, 사용자들 사이에서 보안 습관이 자리 잡는 속도보다 빠를 것이기 때문에 앞으로도 이런 공격은 계속해서 발생할 것이라고 봅니다. 현재는 몽고DB가 스포트라이트를 받고 있기는 한데, 아마 다른 데이터베이스들도 비슷한 일을 겪을 것입니다.”

보안 컨설턴트 업체인 어댑쳐(ADAPTURE)의 수석 보안 아키텍트인 엘리엇 아브라함(Elliott Abraham)은 “공격 수법이 지나치게 캐주얼하다는 게 진정한 문제점”이라고 짚는다. “대단히 빨리 퍼져나갈 것으로 보입니다. 마치 산불이 퍼지듯 말이죠. 전문가들 눈에 이런 공격 방식이 우습게 보일 수도 있지만, 사건이 급속도로 번지면 웃기 힘들 겁니다. 지난 주 초만 해도 손에 꼽을 정도의 공격이 있었는데, 이번 주에는 1만 건으로 불어났습니다. 어제까지 누적수는 2만 8천이었고요.”

이 2만 8천개의 데이터베이스 모두 관리자 환경설정이 제대로 되어 있지 않았다고 아브라함은 지적한다. “보안에 조금만 신경 썼어도 막을 수 있었던 공격이었다는 게 정말 안타깝습니다. 제대로 된 데이터베이스 시스템이라면 웹 서버, 애플리케이션 서버, 데이터베이스 서버 등이 전부 분리되어 있습니다. 클라우드가 빠르게 도입되기 시작하면서 이런 구분이 사라지고, 모든 영역이 하나로 뭉쳐지게 되었습니다. 몽고DB의 경우 포트 설정은 27017-27019로 제한하고, 방화벽의 규칙을 적용시켜야 합니다. 접근은 로컬호스트만 가능하도록 설정하고요.”

버그바운티 플랫폼인 버그크라우드(Bugcrowd)의 CEO, 케이시 엘리스(Casey Ellis)는 “새로운 공격 방법인 건 전혀 아니지만, 확산 속도와 가능성이 너무나 높아서 문제”라고 설명한다. “랜섬웨어 공격이 이런 식으로 응용되리라고는 아무도 상상하지 못했습니다. 당하고 보니 너무나 당연하고 명백한 구멍이었던 것이죠. 사이버 범죄자들은 마치 창업가들 같아요. 마음먹은 건 어떻게 해서든 해내고, 보안 구멍을 만들어 내는 수준으로 찾아내서 파고듭니다.” 케이시 엘리스 역시 당분간 이런 공격이 계속해서 이어질 것으로 전망하고 있다.

아직까지 정확한 피해 규모는 밝혀지지 않고 있으며, 더불어 공격자들이 어느 정도나 수익을 올렸는지 예상조차 불가능한 상태다. 다만 보안 전문업체인 트립와이어(Tripwire)의 수석 보안 엔지니어인 트라비스 스미스(Travis Smith)는 “피해도 별로 크지 않을 것이고 수익도 그리 높지 않을 것”이라고 예상하고 있다. “데이터베이스를 공격한다는 발상 자체를 이해하기 힘듭니다. 기업들이 보통 제일 먼저, 제일 많이 백업하는 게 뭔가요? 데이터베이스입니다. 데이터베이스의 데이터야말로 백업이 제일 잘 되어 있죠. 랜섬웨어 협박이 들어온다 한들 문제가 될 가능성이 정말 낮다고 봅니다.”

하지만 이에 대한 반박도 존재한다. 암호 설정은 아무리 보안에 무관심한 사람이라도 거의 반드시 하는 기본 중의 기본인데, 이조차 하지 않은 기업이 데이터베이스를 제대로 백업할 리 없다는 것이다. 그러므로 그런 데이터베이스를 찾아 공격하는 건 합리적이라는 게 반박의 주요 골자다. 이 두 주장은 피해 규모가 집계되기 시작하면 갈피를 잡을 듯이 보인다.

“확실한 건 랜섬웨어에 익숙해질 대로 익숙해진 공격자들이 다양한 방법의 운영법을 구사하기 시작했다는 겁니다. 지금은 몽고DB 혹은 NoSQL 데이터베이스이지만, 이게 앞으로 어떤 방향으로 발전해갈지는 아무도 모르는 것이죠. 중요한 건 이번 공격에서 볼 수 있듯이, 랜섬웨어 공격자들이 불특정 다수의 피해자를 공격하는 게 아니라, 특정 조건에 맞는 피해자들을 검색하기 시작했다는 겁니다. 구체적으로 어떤 형태가 될 지는 모르겠지만, 표적형 랜섬웨어가 다가오고 있다고 생각합니다.” 트라비스의 설명이다.

▲ 현재 한 암시장에서 거래되고 있는 몽고DB 데이터들


한편 현재 사이버 암시장에서는 이번 공격으로 탈취된 데이터들이 거래되고 있다고 한다. 기존 랜섬웨어 대부분이 파일을 암호화시키는 데에서 끝났다면, 이번 몽고DB 공격은 랜섬웨어 방식으로 사용자를 협박함과 동시에 중요 파일을 간편하게 빼돌려 시장에 파는, 2중 수익 구조를 가지고 있다고 볼 수 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



GDPR(유럽 개인정보보호법) 시행이 1년 앞으로 다가왔습니다. 여러분의 회사는 얼마나 준비를 하고 계신가요?
GDPR에 대한 모든 준비를 끝마쳤다
부족하지만 어느 정도 준비를 마쳤다
이대로는 어렵다. 전문가의 손길이 필요하다
전혀 준비가 안됐다. 차라리 유럽관련 사업을 접겠다
전혀 준비가 안됐다. GDPR 컨설팅 업체는 없는 건가?
GDPR이 뭐지? 잘 모른다
기타(댓글로)