오픈소스 확산에 커지는 랜섬웨어 공포

입력: 2017-03-05 17:00 이경탁 기자

폰트

MySQL 고객 DB서버 노린
수백건 랜섬웨어 공격 발견
원격 조작해 루트 권한탈취
"보안설정 반드시 강화해야"

최근 무료 기반의 오픈소스 소프트웨어(SW) 및 서비스가 널리 활용되면서 이를 노린 랜섬웨어 공격도 증가하고 있다.

5일 데이터센터 전문 보안업체 가디코어(Guardicore)에 따르면 이 회사는 최근 회사 블로그를 통해 MySQL 데이터베이스(DB)를 대상으로 하는 광범위한 랜섬웨어 공격이 발견됐다고 밝혔다. MySQL은 세계에서 가장 널리 사용되는 오픈소스 DBMS(데이터베이스 관리 시스템)이다.

가디코어에 따르면 지난달 12일(현지시각) 네덜란드 웹호스팅기업인 '월드스트림'의 고객 DB 서버를 노린 수백 건의 공격이 발생했다. 월드스트림은 며칠 후에야 이 사실을 가디코어를 통해 통보받았다. 이 공격은 해커가 악성코드 감염을 통해 MySQL의 루트 권한을 빼앗고 해당 테이블 목록에 비트코인을 요구하는 '경고(WARNING)'라는 내용을 추가한다. 다음 해커는 서버에 저장된 DB를 삭제하고 연결을 끊고 DB 소유자에게 200달러(23만원) 가치의 비트코인을 요구하는 것이다.

또 보안 취약점 분석 사이트 'CVE디테일(CVE Details)'에 따르면 지난해 MySQL에서 원격으로 my.cnf 환경설정 파일을 조작해 루트 권한을 탈취할 수 있는 방법 등 약 100개의 취약점이 발견됐다. 소스코드의 공개는 보안 취약점이 더 쉽게 발견된다는 점을 의미한다.

오프리 지브 가디코어 탐지분석팀 팀장은 "MySQL 서버는 공격을 받기 쉽기 때문에 인증에 필요한 암호화 조치가 충분히 됐는지 확인하는 것이 필수적"이라며 "만약 랜섬웨어에 감염되면 비트코인을 지불하기 전 해커가 실제로 데이터를 보유하고 있고, 이를 복원할 수 있는지 확인해야 한다"고 밝혔다.

이번 MySQL 랜섬웨어처럼 오픈소스 DB를 노린 사건은 처음이 아니다. 오픈소스 DB 중 비정형 데이터 처리에 최적화됐다고 평가받는 NoSQL 기반의 몽고DB를 노린 랜섬웨어 공격이 지난 1월 발생해 최소 2만7000여 개 이상의 시스템이 피해를 받았다. 또, 보안업체 하우리에 따르면 지난해 국내 인터넷 커뮤니티 및 언론사에서 주로 사용하는 오픈소스 광고 플랫폼 '오픈X(OpenX)'의 취약점을 이용해 대량의 랜섬웨어가 유포됐다.

보안전문가들은 오픈소스 제품을 잘 활용하면 득이지만 상용 서비스가 아닌 만큼 보안 패치 등 관리에 소홀할 경우 해킹으로 인해 더욱 큰 비용을 부담할 수 있다고 지적한다. 최상명 하우리 CERT 실장은 "꼭 오픈소스라고 보안이 취약한 것은 아니고 사용자들이 관련 제품을 설치해 사용할 때 보안설정을 제대로 하지 않은 채 기본설정대로 쓰고 있어 문제가 나타나는 것"이라며 "이는 관리가 비교적 잘되는 상용 제품도 마찬가지로 사용자가 개별적으로 보안설정을 강화하는 조치가 반드시 필요하다"고 말했다.

이경탁기자 kt87@