Breaking
사이버 보안(Cybersecurity)
유니스텔라, 1만 2,000여개 몽고디비 데이터베이스 삭제시켜
2019-07-01 13:49:44
장희주
▲해커 집단 유니스텔라가 1만 2,000여개 이상의 몽고디비 데이터베이스에 침투해 자료를 삭제시켰다(사진=ⓒ123RF)

[라이헨바흐=장희주 기자] 지난 3주간 무려 1만 2,000여개 이상의 몽고디비 데이터베이스에 침투해 자료를 삭제한 사이버 해커 집단이 삭제된 데이터 복구를 위해 돈을 요구하고 있다.

이들은 보통 해커들이 남기는 몸값 액수 대신 삭제된 데이터를 돈과 교환하라는 메시지만 남기고 사라졌다.

공격을 수행한 집단은 유니스텔라 사이버 그룹으로, 이들은 취약한 몽고디비에서 보안되지 않은 1만 2564개의 데이터를 삭제했다.

이들은 바이너리에지 검색엔진을 활용했으며, 쇼단을 통해서도 7656개의 삭제건이 발견됐다.

이러한 유형의 사이버 공격은 그러나 전반적인 사이버 범죄상에서 흔하게 일어나는 사례는 아니다.

이와 유사한 사건이 가장 최근에 발견됐던 시기는 2017년으로, 당시의 사건들도 현재 만큼 그 규모가 크지는 않았다.

유니스텔라가 몽고디비 데이터베이스에 침투한 가장 최근의 사례는 이달 초에 발생한 약 2억 7,500만 명 인도 시민들의 기록 유출 사건이다.

이들 사이버 해커들은 안전하지 않은 몽고디비 데이터베이스를 찾기위해 보통 바이너리에지와 쇼단 등의 검색엔진을 이용한다.

이번 사건의 경우 바이너리에지 연구원들이 공개적으로 접속할 수 있는 몽고디비 서버 6만 3000대를 관찰한 결과, 해커들은 전체 서버의 약 20%를 감소시킨 것으로 나타났다.

그리고 제거된 데이터베이스의 소유자들은 이제 삭제된 데이터를 복구하기 위해 이들이 원하는 액수를 지급해야한다.

이 과정에서 보통 해커들은 몸값을 암호화된 거래를 통해 받기를 선호한다.

이는 돈을 보내는 사람과 받는 사람간 거래가 원격으로 이루어지기 때문에 돈 거래가 암호화돼 익명성이 보장된다는데 그 이유가 있다. 곧 추적이 어렵다는 의미다.

▲유니스텔라는 몽고디비에서 보안되지 않은 1만 2,564개의 데이터를 삭제한 뒤, 몸값 지불을 위한 연락처만 남기고 사라졌다

 

몸값 협상?

그러나 이번 사건에는 조금 흥미로운 점이 있다. 바로 공격자들이 피해자들에게 최소의 몸값 액수를 지정하지 않은 것이다.

즉 최소 금액이 없다는 의미로, 보통 이같은 사이버 공격에서는, 해커들이 처음부터 몸값의 최소 금액을 정하고 랜섬 노트를 남기기 마련이다.

그러나 그렇게 하지 않았다는 점에서 이번 사례는 다소 이례적으로 받아들여진다.

대신 이들은 피해자들에게 자신들의 이메일 주소를 남겼다. 이는 삭제된 데이터의 내용을 공개하기 위한 공격자와 피해자간 협상 조건을 논의하기 위한 것으로 보인다.

이와 관련해 소프트웨어 엔지니어겸 독립 보안 연구원인 샤남 자인은, 공격자들이 피해자들의 정보에 대한 몸값을 고정가격으로 책정할 것이 아니라, 해당 몸값을 데이터베이스의 민감성에 근거해 책정할 것으로 여겨진다고 전망했다.

유니스텔라가 남긴 이메일 주소

자인은 지난달 24일(현지시간) 이번 몽고디비 데이터베이스 공격 사건을 발견한 뒤, 이전과는 다른 형태를 감지했다고 말했다.

일반적인 형태라면 엄청난 양의 노출된 데이터들을 목격하는 것이겠지만, 이번에는 단지 "복원을 원해?라고 씌여있는 메시지만 발견된 것이다.

이 이메일 주소는 몸값 지불 및 삭제된 데이터 복구와 관련한 피해자들과의 의사소통을 위한 도구로 보인다.

이외에도 공격자들은 같은 목적으로 사용될 다른 별도의 이메일 주소도 가지고 있었다.

자인은 이번의 대규모 몽고디비 데이터베이스 공격과 관련해 유니스텔라 공격자의 방법론에 대한 명확하고 구체적인 해석은 도출하지 못했다.

그러나 그 과정은 완전히 자동화된 방식으로 이루어진 것으로 추정했다.

바로 인터넷에 무방비로 방치된 상태이며 공개 접속이 가능한 몽고디비 데이터베이스 중 하나에 접속한 후, 스크립트나 프로그램도 찾을 수 없는 모든 보안되지 않은 몽고디비를 찾을때마다 무차별적으로 삭제한 뒤 몸값 테이블을 추가하는 방식이다.

▲공격자들은 몸값을 고정가격으로 책정하지 않고 데이터베이스의 민감성에 근거해 책정할 것으로 분석된다(사진=ⓒ123RF)

랜섬 노트의 신빙성

현재까지의 사건으로 봐서는 공격자들이 실제로 자신들의 약속을 지킬지는 미지수다. 어쩌면 삭제된 데이터를 영원히 복구하지 못할 수도 있다.

아니면 삭제된 내용이 보관돼있는 일종의 '복원 지점'에서 이들을 복원했을 수 도 있다. 즉, 피해자가 몸값을 지불하지 않는 한, 무방비 상태의 몽고디비 데이터베이스에서 데이터를 도용하는 것과 같다.

그렇다고 잃어버린 데이터를 다시 회수하기 위한 몸값 지불에 대한 과정을 감시할 수 있는 방법도 없다.

게다가 암호화 거래는 추적이 어렵고, 이들 공격자들은 피해자들이 몸값을 지불할때 참고할 수 있는 암호 주소 조차 제시하지 않았다.

이와 관련 IT 매체인 블리핑 컴퓨터는 유니스텔라에 연락해 삭제된 데이터를 별도의 스토리지에 저장했는지, 혹은 분실된 데이터에 대한 대가로 몸값을 지불한 피해자가 있는지 확인하려 했지만, 모두 실패했다고 전했다.

[라이헨바흐=장희주 기자]