[데이터넷] 악성코드 없이 탈취한 권한을 이용하는 랜섬웨어 공격이 유행하고 있어 각별한 주의가 요구된다. 한국인터넷진흥원(KISA)의 ‘최근 기업 대상 랜섬웨어 사고사례 및 대응방안’ 보고서에 따르면 최근 윈도우 서버를 대상으로 한 ‘비트라커(BitLocker)’ 랜섬웨어가 많은 기업에게 피해를 주고 있는데, 이 랜섬웨어는 윈도우에 기본 탑재된 디스크 암호화 기능인 비트라커를 이용해 디스크를 암호화하고 금전을 요구한다.

공격자는 시스템 접속 권한을 탈취하기 위해 웹서버에 설치된 게시판 파일 업로드 취약점을 이용해 권한상승 웹셸을 업로드한다. 실제 피해 사례를 보면, 공격자는 모 기업 홈페이지 고객상담 게시판에 파일 첨부기능을 이용해 웹셸을 업로드했는데, 이는 시스템 정보 유출, 내부 취약점 서비스 스캔 등의 기능을 한다. 더불여 2종의 웹셸을 추가로 업로드하면서 웹셸이 발견돼 삭제됐을 경우에도 공격을 지속하도록 했다.

웹셸이 실행되면 시스템 권한을 획득하게 되며, 시스템 계정을 무단으로 생성해 원격으로 접속, 비트라커를 실행해 무단으로 디스크를 암호화한다. 비트라커는 윈도우7·서버 2008부터 제공하는 기본 기능으로, 암호화 시 설정한 비밀번호나 복구 키가 있어야 복호화 할 수 있다.

공격자는 관리자 모니터링과 백신에 탐지되지 않도록 파일명을 변경하는 등 우회·은닉 수법을 썼으며, 초기 권한상승 도구로 사용한 웹셸을 삭제해 추적을 피했다.

공격 포인트 많은 호스팅 기업 '위험'

보고서에서는 호스팅 기업을 대상으로 한 ‘고너크라이(Gonnacry)’ 랜섬웨어 공격도 함께 분석했는데, 이 공격은 서버 OS 취약점을 이용해 루트권한까지 탈취해 공격한 사례다.

보고서는 호스팅 기업 공격 포인트가 많고 최신 보안 업데이트 적용이 어려워 랜섬웨어 공격에 취약하다고 지적했다. 호스팅 기업은 웹 호스팅 서버에서 운영되는 수백개의 웹사이트 중 보안이 취약한 한 개 사이트에 대한 공격만으로 웹서비스 권한을 가진 셀을 탈취할 수 있다. 또한 운영 서버 최신 보안 업데이트 적용이 안 된 경우가 많아 로컬 권한 상승 취약점을 이용해 루트 권한까지 탈취할 수 있어 사고를 당하게 된다고 설명했다.

고너크라이는 특정 파일을 암호화하는 리눅스용 랜섬웨어로, 학술적 목적으로 제작돼 깃허브에 공개된 것이다. 이를 이용한 공격자는 리눅스 센트OS 5.x 기반 아파치·PHP·마이SQL 등의 웹서버에서 다수의 홈페이지를 서비스 하고 있는 시스템이 피해 당했으며, 공격자는 홈페이지 게시판 중 파일 업로드 취약점을 악용해 웹셸을 업로드해 웹서버 권한의 셸을 획득했다.

업로드 된 웹셸을 이용해 작년 10월 공개된 관리자 권한으로 상승할 수 있는 취약점인 Sudo 명령어 취약점(CVE-2019-14287)을 악용해 관리자 권한을 획득했다. 거점 서버를 지속적으로 사용하고 관리자의 추적을 피하기 위해 웹셸 기능을 하는 악성모듈을 웹서버 설정파일로 등록했으며, 웹서버에서 서비스하는 모든 페이지에서 웹셸과 동일한 기능의 명령어를 수행했다.

또한 어떤 사용자라도 관리자 권한으로 실행할 수 있는 SetUID bit가 설정된 악성파일을 생성해 악용했으며, 내부 침투를 위한 거점으로 활용해 공격을 지속하도록 했다. 더불어 웹셸 탐지를 회피하는 여러 기능을 사용했으며, 서버 내 로그를 삭제해 공격 흔적을 은닉하고 추적을 따돌렸다.

보고서는 “랜섬웨어 피해를 막기 위해서는 외부에서 내부로 들어오는 통로를 최소화하며, 원격접근 권한을 최소한으로 하고, 비정상 접근을 모니터링 해야 한다. 또한 외부에 열려있어야 하는 웹서버의 보안을 강화하고, 웹서버가 탈취되더라도 다른 내부 서버로 이동을 어렵게 하는 것이 필요하다”고 지적했다.

김선애 기자 다른기사 보기