핵티비스트들이 가장 선호하는 취약점 두 개는?

[보안뉴스 문가용 기자] 핵티비스트들이 웹 변조 공격을 할 때 가장 많이 악용하는 취약점은 무엇일까? 파일 인클루전(file inclusion) 취약점과 SQL 주입 취약점인 것으로 트렌드 마이크로(Trend Micro)의 연구 결과 나타났다.

[이미지 = iclickart]

보안 업체 트렌드 마이크로는 18년치 데이터를 파헤쳐 ‘디페이싱 공격 세부 분석 : 지정학적 사건과 웹 공격의 상관 관계(A Deep Dive into Defacement : How Geopolitical Events Trigger Web Attacks)’라는 보고서를 발표했다. 약 1천 3백만 건의 웹 디페이싱 공격을 분석한 후 정리한 자료다.

보통의 사이버 범죄자들은 금전적인 이윤을 목적으로 웹 공격을 실시한다. 핵티비스트들은 정치적 혹은 종교적 메시지를 전달하고자 웹을 공격한다. 이 때 기업이나 기관의 웹사이트를 자신만의 메시지나 부호, 상징 등으로 채워 넣는 행위를 즐겨 하는데 이를 디페이싱 공격이라고 한다.

“핵티비스트들에게 있어 가장 큰 고려사항은 ‘눈에 띄는 것’입니다. 메시지를 전달해야 하니까요.” 트렌드 마이크로의 부회장인 릭 퍼거슨(Rick Ferguson)의 설명이다. “눈에 잘 띄려면 최대한 요란하게 웹 페이지를 바꿔놓아야 하고, 유명한 조직과 기업의 웹 사이트일수록 효과가 크겠죠.”

트렌드 마이크로의 연구원들은 총 104,135 건의 디페이스 공격자들을 추적했고, 이들이 공격에 성공한 1천만 개의 고유한 도메인들을 분석했다. 한 개의 도메인에 여러 건의 사건이 발생한 경우도 있다. 가장 침해가 심한 OS는 리눅스였고(9백만 건), 윈도우 2003이 2위를 기록했다(1백 5십만 건).

가장 규모가 컸던 일곱 개 공격은 실제 세계에서 발생한 다양한 충돌 사건들과 관계가 있거나, 그러한 사건들로부터 비롯된 것으로 나타났다. 지역은 유럽, 중동, 아시아가 가장 많았다. #OpIsrael은 이스라엘 및 동맹 세력들을 겨냥한 온라인 캠페인인데, 여기 참여한 공격자가 가장 많다. “Free Kashmir(카슈미르에 해방을!)” 역시 인도와 파키스탄의 분쟁 관계에서부터 비롯된 온라인 캠페인으로 디페이싱 공격을 가장 많이 실시했다. savesyria, #antiserbs, #opindia, #opfrance, South China Sea(남중국해)와 관련된 핵티비즘 캠페인의 규모가 큰 편에 속했다.

이들이 주로 악용하는 웹 취약점은 OWASP이 2017년 발표한 탑10 취약점 목록과 거의 일치한다는 사실도 이번 분석을 통해 발견했다. 파일 인클루전 공격이 빈도수로는 1위를 기록했다(2백 4십만 건). 그 다음은 SQL 주입 공격으로 1백 3십만 건의 공격이 있었고, 그 외 ‘이미 알려진 취약점이지만 패치가 되지 않은 시스템’을 노리는 공격이 1백 2십만 건 있었다.

또한 소셜 엔지니어링 공격과 서버 침투 공격, URL 포이즈닝, 중간자 공격을 통한 크리덴셜 탈취 등의 전략이 애용되고 있기도 하다. 디페이싱 공격자들은 자신이 공격한 사이트에 이메일과 트위터 주소를 남기는 것이 보통이다. 이를 사이버 태깅(cyber-tagging)이라고 표현하기도 한다.

퍼거슨은 “많은 보안 전문가들이 새롭고 기발한 공격 기술에 집중하고 신기해하며, 디페이싱 공격에는 관심이 전혀 없다고 봐도 무방할 정도”라고 현상을 짚는다. “하지만 최신식 기술, 첨단 해킹 기술을 가지고 있는 천재들의 공격을 받는 경우는 극소수 중 극소수일 뿐입니다. 디페이싱 공격이 훨씬 더 현실적인 해킹 공격이죠.”

또한 많은 사람들이 공격을 당하는 건 대부분 인증 기술의 불완전함이나 비밀번호를 123456 따위로 지어서이지, 제로데이 때문에 뚫리는 사람도 적은 수에 불과할 뿐이라고 퍼거슨은 지적한다. “그런데 왜 신기하고 놀라운 기술에만 관심을 가지는지 이해가 안 갑니다. 지금은 우리가 너무 쉬워서 뚫리는 게 현실이지, 공격자들이 놀라워서 뚫리는 게 아닙니다.”

핵티비즘도 악성 공격으로 변질될 때가 있다. 물론 대부분의 핵티비스트들은 자신들의 사상과 이념을 전파하기 위해 해킹 기술을 사용하긴 하지만, 가끔은 디페이싱 공격 뒤로 악성 코드를 실행시키기도 한다. 그런 예가 바로 램닛(Ramnit)이다. 은행 크리덴셜을 훔치는 멀웨어로, 가짜 소프트웨어 인스톨러 형식으로 퍼져나간다. 일부 디페이스 공격자들이 핵티비스트인 척 가장해 램닛을 심어 범죄를 저지르기도 했다.

“9726건의 디페이싱 공격에 램닛이 발견됐습니다. 디페이싱 된 페이지를 통해 멀웨어를 심은 것이죠.” 그렇다고 핵티비즘 전체가 악성 공격으로 변해가는 흐름을 타고 있다고 볼 수는 없다고 퍼거슨은 강조한다. “아무래도 디페이싱 공격은 다른 해킹 범죄에 비해 난이도가 낮은 편입니다. 핵티비스트 전체가 해킹 범죄 쪽으로 흘러간다는 건, 그들 모두의 수준이 한꺼번에 올라갔다는 뜻이 되는데, 이는 불가능합니다.”

하지만 마냥 안심할 수만도 없다. 모든 해킹 범죄는 최초의 한 점 돌파서부터 시작되기 때문이다. 디페이싱 공격자들과 사이버 범죄자들의 공통점은 바로 이 최초의 접근에 성공했다는 것이다. 마음만 먹으면, 그리고 공부만 조금 더 하면 핵티비스트들도 범죄자가 될 가능성이 높다.

그렇다면 어떻게 기업을 보호해야 할까? “제일 중요한 건 웹 서버 환경설정입니다. 디폴트 상태 그대로 하는 건 그리 좋은 방법이 아닙니다. 디폴트 옵션들은 대부분 ‘편리’와 ‘생산성’을 위주로 하고 있거든요. 환경설정 중에서도 중요한 건 인증 기술 설정과 비밀번호입니다. 되도록 다중인증과 강력한 비밀번호를 사용하세요.”

또한 웹 애플리케이션 방화벽을 사용하는 것도 핵티비스트들의 접근을 차단하는 데에 큰 도움이 된다고 그는 강조한다. “물론 방화벽만으로 완벽해지는 건 아닙니다만, 최소한의 기본기이긴 합니다. 방화벽 사용이 불가능하다면 호스트 기반 서버 보호 솔루션이라도 사용하는 게 좋습니다.”
[국제부 문가용 기자(globoan@boannews.com)]