클리앙의 랜섬웨어 유포 사고
4월의 하순으로 접어드는 어느 날… 국내에서 꽤나 큰 커뮤니티인 클리앙에서 접속자들의 PC에 랜섬웨어가 유포되는 해킹사고가 발생했습니다. 랜섬웨어는 커뮤니티의 웹서버 중 하나를 해킹하여 소스를 수정하는 “웹서버 소스 파일 위변조 공격”으로 커뮤니티에 접속한 사용자 PC에 해커들이 미리 준비해 둔 다른 웹서버에서 랜섬웨어를 다운로드 받도록 하는 “드라이브 바이 다운로드(Drive By Download)” 기법으로 유포되었습니다.
커뮤니티 웹서버에 접속하여 PC로 다운로드 된 악성코드는 어도비(Adobe)의 swf 파일을 로드하여 실행할 수 있는 취약점인 CVE-2015-0311 취약점을 이용하여 swf (어도비 플래시파일)로 배포되어 인터넷익스플로러를 통해 실행되는 형태로 만들어져 있습니다. (출처 : Wins의 분석보고서 참조)
가상머신을 이용한 탐지 시스템 무력화 기법 사용
Wins의 분석보고서를 보면서 특기할 만한 점을 발견하였는데…악성코드의 소스에 말로만 듣던 가상머신을 이용하는 샌드박스 기법의 악성코드 탐지를 무력화하는 코드가 들어있다는 점이었습니다.이번에 배포된 크립토라커(CryptoLocker)는 PC에 다운로드되어 실행될 때 자신이 실행되는 PC의 환경이 가상머신인지 아닌지를 확인하는 코드를 포함하고 있습니다. 이는 해커들도 나름대로 최신 보안솔루션에 대해 대응하고 있다는 것을 뜻하며 근본적인 대응책을 마련하지 않는 이상 PC를 대상으로 하는 악성코드의 배포를 차단하는 것은 불가능하다는 의미를 갖고 있습니다.
저도 최근에 제가 근무하는 회사의 본부장님 PC를 점검해드리면서 감염된 트로이목마가 -네이버에서의 백신SW 다운로드 차단, -설치되어 있는 V3와 같은 백신의 엔진 업데이트 차단과 같이 백신을 무력화하는 기법을 구현한 것을 확인하였습니다.
커뮤니티의 광고서버가 랜섬웨어 유포지로 이용된 이유
이번 클리앙 사고를 비롯해 신문사 웹사이트나 포털 그리고 쇼핑몰 등 많은 보안사고에서 악성코드 유포지로 이용될 가능성이 높은 서버 중 하나가 바로 광고서버입니다. 클리앙의 이번사건의 경우도 공지를 보면(지금은 내려갔지만) 광고서버의 소스파일이 변조되어 악성코드를 유포했다는 내용이 있었습니다.
이렇게 광고서버가 악용되는 이유는 매우 단순합니다. 광고는 커뮤니티의 어느 페이지를 가더라도 웹브라우저에 보인다는 점입니다. 즉 모든 접속자가 무조건 한번이상 악성코드를 다운로드 받게 된다는 것이죠. 그래서 웹서버와 함께 광고서버의 소스 보호를 위한 서버보안 구현이 중요한 것입니다.
피해상황
이번에 클리앙에서 유포된 랜섬웨어는 CryptoLocker(크립토락커)라는 랜섬웨어 입니다. 이 크립토락커에 감염되면 문서파일, 이미지파일 등을 위주로 파일을 암호화합니다. 그리고 다음과 같은 화면을 보여줍니다.
무척 서툰 한글이기는 하지만 분명히 한국의 네티즌을 타겟을 했다는 것을 알 수 있습니다. 비트코인과 같은 가상화폐 또는 현금을 입금하라고 합니다. 그래야만 암호화된 파일을 복원해주겠다고 협박합니다. 어떤 분은 실제로 돈을 입금하고 복호화 키를 받아 문서와 이미지들을 복원했다는 분도 있습니다. 실제인지는 알 수 없으나 대부분 해커가 요구하는 돈을 입금해도 복원이 안되는 경우가 더 많다고 합니다.
클리앙에서 랜섬웨어가 배포된 뒤 많은 피해를 호소하는 글들이 클리앙의 게시판을 뒤덮기 시작했습니다. 제가 거의 매일 한번씩은 방문하여 글을 읽기에 수백건의 (제가 본것만) 피해글을 볼 수 있었는데… 몇년간의 자료(업무에 사용하는)가 암호화되어 복구가 불가능하다는 글을 비롯해 매우 심각한 피해를 호소하는 내용도 많았습니다. 대부분의 사람들은 파일을 복원하지 못하는 것이 현실입니다.
문제점과 대응방안
사실 네티즌 입장에서는 적극적인 대응은 불가능합니다. 웹브라우저를 사용하지 않을 수는 없으니까요.. 기껏해야 백신을 설치하고 매일 업데이트하며 웹브라우저와 어도비의 애플리케이션을 최대한 자주 업데이트하는 방법 밖에는 없습니다.
하지만 그런 방안도 제로데이 취약점을 공격하는 악성코드에는 무용지물이라는 점이 문제입니다. 해커가 제로데이 취약점을 이용해 이번과 같은 랜섬웨어를 유포하는 공격을 감행하면 네티즌의 입장에서 현재로서는 막을 방법이 없습니다.
유일한 보안 대책은 웹서버와 광고서버 등 해커들이 악성코드를 유포시키는데 악용하는 서버의 보안을 강화하는 것입니다. 클리앙의 웹서버는 대형 IDC에 위치하고 있을 것이고 IDC에서 기본적인 Firewall이나 침임탐지 및 차단 시스템을 운영하고 있을 것입니다. 하지만 네트워크 수준에서 동작하는 보안 장비로 웹 해킹을 방어하기에는 역부족이기 때문에 해커의 해킹시도에 뚫렸고 소스파일이 변조되어 Drive By Download 형태로 커뮤니티의 웹서버에 접속한 사용자의 PC에 악성코드와 랜섬웨어를 배포하는데 악용될 수 밖에 없었을 것입니다.
이러한 공격을 방어할 수 있는 유일한 방법은 웹서버와 광고서버를 운영하는 주체가 서버 운영체제의 커널 수준에서 파일의 변조를 통제하여 웹 소스파일과 광고 소스파일에 대한 위변조를 실시간으로 차단하는 방법 밖에는 없습니다. 대부분의 웹서버와 광고서버는 Windows Server 운영체체 또는 Linux Server 운영체제 그리고 HPUX, AIX와 같은 서버 용 운영체제를 사용합니다. 그렇기 때문에 운영체제의 커널 수준에서 웹 소스파일과 광고 소스파일의 생성과 수정 권한을 통제하면 이번과 같은 웹 해킹을 통한 악성코드 유포를 차단할 수 있습니다. 해커가 웹 소스파일을 변조하기 위해 웹서버의 취약점을 공격해 파일의 수정 권한을 얻더라도 사전에 허가되지 않은 경로를 통한 소스 파일의 수정을 차단할 수 있습니다.
최근에 웹 소스의 위변조를 차단하는 솔루션들이 여럿 출시되고 판매되고 있지만 대부분 주기적으로 소스파일의 무결성을 검사하여 변조가 확인되면 별도로 보관하고 있던 파일로 다시 복구하는 형태가 주를 이루고 있습니다. 하지만 이런 형태의 방어는 제대로 된 방어라 볼 수 없습니다. 게다가 언제, 누가, 어떤 경로를 통해 변조를 시도했는지 확인할 수 없는 “사후 조치” 수준을 벗어날 수 없습니다.
RedCastle을 통한 웹 소스의 위변조를 실시간으로 차단하는 방안이 가장 효과적인 대응방안인 이유입니다.
웹 서버를 통해 악성코드가 악성코드가 네티즌의 PC로 유포되었는데… 정작 책임을 져야할 서버 측에서는 대응을 제대로 하지 않고 피해자인 네티즌 PC의 보안 패치 업데이트 타령만 하는 것은 너무 무책임한 것은 아닌지 생각해 봐야하지 않을까 싶습니다.