Breaking
사이버 보안(Cybersecurity)
드루팔 보안 결함, 재차 악용되다
2019-06-26 18:29:55
허서윤
▲소프트웨어 드루팔의 보안 결함이 패치됐지만 다시 악용됐다(사진=ⓒ플리커)

[라이헨바흐=허서윤 기자] 드루팔(Drupal) 시스템에서 보안 취약점이 발견됐다. 해커들은 이 기회를 놓치지 않았다. 시스템 관계자들은 보안 결함을 수정했지만, 일부 드루팔을 사용하는 웹사이트는 여전히 취약한 상태다.

공개 소스 콘텐츠 관리 소프트웨어인 드루팔은 지난 2월 말 공개적으로 매우 치명적인 취약점이 소프트웨어 내에 존재한다고 발표했다. 이를 대상으로 한 공격이 일어난 다음 취약한 웹사이트가 다수 발견됐다.

사용자의 취약점 악용

회사는 고객에게 취약점에 대해 경고했으나 상황은 예상과 달랐다. 소프트웨어의 취약점을 인식하고, 이것을 사용할 때 더 주의를 기울이기보다 많은 사용자들이(아마도 사이버 공격자들일 가능성이 높다) 기회로 삼아 취약한 웹사이트에 가상화폐(암호화폐) 채굴 시스템을 설치했다.

이 회사는 여러 가지 공격에 앞서 보안 권고를 내렸고 일부 필드 유형의 비형식 소스로부터 몇몇 데이터가 적절하게 보호되지 않는 결함(CVE-2019-6340)이 존재한다고 설명했다. 관계자는 "어떤 경우에는 임의의 PHP 코드가 실행될 수 있다"고 덧붙였다.

이 결함으로 인해 공격자는 코드를 원격으로 실행할 수있는 시스템을 완벽하게 제어할 수 있었다. 영향을 받은 사이트는 드루팔 8 코어 RESTful 웹서비스 모듈 또는 다른 웹서비스 모듈(예 : JSON : API 또는 드루팔 7 RESTful)을 사용하는 곳이었다.

그런데 드루팔이 시스템 결함을 발표하고 3일 후, 공격자들이 이미 많은 피해 사이트에 악의적인 소프트웨어 및 가상화폐 채굴 프로그램을 설치한 사실이 드러났다. 이전 보안 권고에 기록된 내용에 따라 영향을 받은 웹사이트로 분류된 곳에 재차 공격을 시도한 것이다.

 

영향을 받은 웹사이트

사이버 보안 소프트웨어 개발 업체인 임퍼바(Imperva)의 사이버 보안 연구원 에디 코간은 드루팔 사건 조사에 착수했다. 그리고 최근 발생한 일련의 공격에 대한 조사 결과와 세부 정보가 담긴 글을 블로그에 게시했다.

코간은 "정부 및 금융 서비스 사이트를 포함해 수십 개의 웹사이트를 겨냥한 악용 사례 및 공격 시도를 발견했다. 가장 최근 공격에는 재미있는 페이로드가 몇 가지 있었다. 그 중 하나는 CoinIMP라는 자바스크립트 가상화폐-모네로 및 웹체인 마이너 등을 index.php 파일에 삽입해 사이트 방문자가 해당 사이트를 탐색할 때 마이닝 스크립트를 실행하도록 하는 것이었다. 이는 공격자의 금전적인 이득으로 이어진다"라고 설명했다.

대부분의 영향을 받은 웹사이트는 사용자가 이 웹사이트를 방문할 때마다 가장 먼저 로드되는 index.php 파일에 악성 소프트웨어가 첨부돼 있었다. 방문자들은 이런 사실을 모른 채 웹사이트에 접속해 가상화폐 마이닝에 기여하고 있었다.

▲사이버 보안 업체 임퍼바의 연구원이 자신의 블로그에 드루팔 사건 보고서를 작성했다(사진=ⓒ위키미디어 커먼즈)

중요 보안 업데이트

뱅크 인포 시큐리티(Bank Info Security)는 드루팔이 소프트웨어에 대한 최신 업데이트에서 취약점을 수정했다고 보고했다. 드루팔 8.6.x는 드루팔 8.6.10로 패치됐으며 드루팔 8.5.x 및 이전 버전은 드루팔 8.5.11로 패치됐다.

이 회사의 프로젝트 팀은 모든 사용자들에게 드루팔 소프트웨어를 즉시 업데이트하라고 권장했다. 드루팔 팀은 "드루팔 코어를 업데이트한 후 모든 측면에서 사용할 수 있는 보안 업데이트 또한 설치해야 한다. 드루팔 7 자체에는 코어 업데이트가 불필요하지만, 일부 드루팔 7 제공 모듈에는 업데이트가 필요하다"고 설명했다.

또 이 회사는 악의적인 사용자가 어떻게 보안 취약점을 파고들 수 있는지 발표했다. 트렌드 마이크로(Trend Micro)의 사이버 보안 연구원이자 위협 분석가인 브랜든 린치는 공격자가 보안 결함을 악용하는 특정 링크를 만드는 방법에 대해 설명하기도 했다.

린치에 따르면 공격자는 링크의 '옵션' 필드에서 일련의 단축키를 참조하고 직렬화된 PHP를 포함하는 링크를 만든다. 실행된 모든 명령은 드루팔 사용자의 권한을 그대로 이용할 수 있다.

 

응급 처치 솔루션

최신 소프트웨어 패치가 출시됨으로써 보안 결함이 완화됐지만 앞으로 다시 악용되지 않으리라는 보장은 없다. 만약 최신 업데이트를 설치하지 않은 웹사이트가 있다면 위험은 더 커진다.

린치는 PUT, PATCH 또는 POST 요청을 방지하기 위해 사이트의 웹서비스 모듈에서 권장되는 구성을 수행한 후에도 공격자가 사이트에서 원격으로 코드 실행을 제어할 수 있다고 말했다. 따라서 웹사이트는 공격자가 침투하지 못하도록 방화벽을 설치해야 한다.

드루팔이 공격자의 시스템 침투 결함을 경험한 것은 이번이 처음이 아니다. 하지만 지난 해에 비해 사고가 더 빈번해지고 있다. 2018년에 드루팔은 더티카우(DirtyCOW) 및 드루팔게돈(Drupalgeddon)과 같은 다양한 유형의 취약점을 기록해 수천 명의 사용자에게 영향을 미쳤다.

▲사이버 공격에 대한 대책이 마련되긴 했지만 드루팔 사건과 같은 공격이 다시 발생한 가능성은 여전히 존재한다(사진=ⓒ플리커)

 

[라이헨바흐=허서윤 기자]