남의 대역폭을 자기 채굴에 사용하는 신종 공격 기법이 나왔다. 프록시재킹이라고 불린다. 탐지가 어렵다는 특징이 있지만, 의외로 기본적인 보안 실천 사항으로도 막을 수 있다는 허점이 있다. 물론 그 기본적인 것을 지키는 게 어렵지만.

[보안뉴스 문가용 기자] 사이버 공격자들이 보안 셸 프로토콜(SSH) 서버를 악용하여 도커(Docker) 서비스를 실행함으로써 피해자의 네트워크 대역폭을 자신들의 돈벌이 수단으로 전환하고 있다. 지난 6월 보안 업체 아카마이(Akamai)의 연구원들이 이러한 공격 캠페인을 처음 발견했으며, 지난 주 자사 블로그를 통해 현재까지 조사된 내용을 상세히 밝혔다.

​

[이미지 = gettyimagesbank]

블로그 게시글에 의하면 공격자들은 먼저 원격에서 피해자 네트워크에 접근하기 위해 SSH를 이용한다고 한다. 그 후 악성 스크립트를 실행해 피해자 서버를 정상적인 P2P 프록시 네트워크(Peer2Proxy나 Honeygain 등)에 가입시킨다. 이 때 피해자들은 자신이 P2P에 가입된다는 사실을 인지하지 못한다. 이런 상태에서 공격자는 앱이나 소프트웨어를 통해 피해자의 IP 주소를 활용할 수 있게 되고, 그럼으로써 피해자의 대역폭을 자기 것처럼 쓸 수 있게 된다.

아카마이의 연구원인 엘런 웨스트(Allen West)는 “공격자는 이런 식으로 여러 피해자의 대역폭을 수집할 수 있게 되며, 이를 통해 공짜로 암호화폐 채굴을 할 수 있게 된다”고 설명한다. “탐지도 잘 되지 않습니다.” 이것을 아카마이는 프록시재킹(proxyjacking)이라고 부른다. 제대로 활성화 될 경우 사이버 범죄자들은 매달 수십만 달러의 수익을 얻을 수 있다고 연구원들은 발표했다.

프록시재킹은 크립토재킹이라는 공격법의 응용 버전이라고도 볼 수 있지만 완전히 같지는 않다. 웨스트는 “공격자들이 부당하게 수익을 올릴 수 있게 되는 새로운 방법”이라고 설명한다. “그래서 저희가 프록시재킹 활동을 감시하고 또 관찰하고 있는 겁니다. 누군가에게 손해를 끼쳐가며 수익을 얻는 행위는 분명히 적발하여 단절시킬 필요가 있습니다.”

프록시재킹은 악성 트래픽이 최종 목적지에 도달하기 전에 여러 피어 노드를 통해 라우팅 되기 때문에 추적이 매우 힘들다고 아카마이 측은 설명한다. “프록시재킹 공격자들은 남의 것을 몰래 발판 삼아 돈을 버는데 걸릴 위험마저 없는 편이라고 정리할 수 있습니다. 이들을 잡아내야 할 또 다른 이유인 것이죠.”

탐지하기 힘든 공격 방식이지만 얼마 전 공격자들이 아카마이의 허니팟 중 하나에 공격을 실시함으로써 정체가 드러났다. 공격자들은 여러 개의 SSH 연결을 시도하고 있었다. 또한 자신들의 악성 행위를 숨기기 위해 베이스64(Base64)로 인코딩 된 배시(Bash) 스크립트를 사용했으며, 이 스크립트를 통해 프록시재킹의 공격 절차를 면밀하게 제어할 수 있었다고 아카마이 측은 설명한다.

“문제의 스크립트는 피해자 시스템을 프록시 네트워크 노드로 변환시켰고, 이를 통해 공유된 대역폭에서 자신들만의 이득을 몰래 챙길 수 있었습니다. 매우 은밀하고 견고하게 설계되었으며, 호스트 시스템에 설치된 소프트웨어의 종류에 관계없이 작동하려고 시도합니다.” 웨스트의 설명이다. “또한 명령줄 도구를 다운로드 하는 등의 기능도 가지고 있습니다.”

프록시재킹, 어떻게 방어하나

프록시재킹 공격이 점점 흔해지고, 공격자들이 쉽게 공격을 설정할 수 있는 상황이라면 원래 가해자를 식별하는 게 불가능에 가깝다. 그러므로 조직은 자원이 어떻게 사용되고 있는지, 비정상적인 시스템 자원 소모가 있지는 않은지 알아차리기 위해 네트워크를 지속적으로 관찰해야 한다.

“저희가 관찰한 바에 의하면 공격자들은 SSH를 사용하여 피해자의 서버에 접근하고 도커 컨테이너를 설치했습니다. 그러므로 방어를 하려면 로컬에서 실행되고 있는 도커 서비스를 확인하여 어떤 자원을 소비하고 있는지 알아내는 것부터 해야 합니다. 사용을 원치 않는 자원이 연루되어 있다면 누군가 침투했다는 뜻일 가능성이 높습니다. 그러니 침투 관련 현황을 조사하고, 후속 조치를 취해야 합니다.” 아카마이의 설명이다.

또한 이 공격의 독특한 점 중 하나가 cURL 등 정상적인 도구가 공격에 활용된다는 것이다. 아카마이는 “그래서 회사의 탐지 도구에 걸리지 않을 가능성이 높다”고 강조한다. “탐지 기술만 바라봐서는 영원히 걸리지 않을 수 있습니다. 무해해 보이는 요소들까지도 분명하게 관찰하고 관리해야 해야 프록시재킹을 막을 수 있습니다.”

그 외에 일부 프록시재킹 캠페인에서 로그4j(Log4j) 등 유명 취약점이 익스플로잇 사례들도 존재한다고 아카마이는 강조한다. “그러므로 취약점 패치를 부지런히 하고 시스템 업데이트를 늦지 않게 하는 게 중요합니다. 능동적인 취약점 탐지 및 패치, 평상시의 네트워크 모니터링 등 기본적인 보안 실천 사항을 준수함으로써 프록시재킹 공격 시도를 어렵게 만들 수 있습니다.”

3줄 요약

1. SSH 활용하여 침투한 후 P2P 네트워크에 피해자를 몰래 편입시키는 공격자들.

2. P2P 네트워크와 접속시킨 뒤 피해자의 대역폭을 자신들의 돈벌이 수단으로 이용.

3. 탐지가 어려운 공격이지만 기본적인 보안 실천 사항으로 방어가 가능.

[국제부 문가용 기자(globoan@boannews.com)]​ 

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=119843&page=2&mkind=1&kind=1)]