랜섬웨어 흉내낸 '엘라스틱서치 서버털이' 급증

데이터를 인질삼아 금품을 요구하는 랜섬웨어(ransomware) 공포가 세계 각지 유명 오픈소스 검색엔진을 도입한 조직으로 확산되고 있다.

미국 지디넷은 보안전문가 나이얼 메리건의 분석을 인용해 랜섬웨어를 흉내낸 공격에 노출된 엘라스틱서치 클러스터서버 규모가 3만5천대에 달하며, 그중 4천600대가 실제로 당했다고 보도했다. 엘라스틱서치 서버를 겨냥한 랜섬웨어 공격 규모가 지난주 발생한 이래 4배 수준으로 급증했다고 지적했다.

[☞참조링크: Elasticsearch ransomware attacks now number in the thousands]

엘라스틱서치 서버가 랜섬웨어 모방 공격을 당하면 관리자 관점에서 어떤 일이 벌어질까. 운영 중인 엘라스틱서치 서버의 모든 데이터 인디케이터(지시자)가 사라진다. 대신 '경고(warning)'라는 이름으로 새로운 인덱스 하나가 생성된다.

인덱스의 데이터값은 "데이터를 살리고 싶다면 이 비트코인(BTC) 지갑으로 얼마를 송금하라"는 식의 메시지를 담고 있다. 발견된 사례 중 하나는 0.2BTC를 요구했다. 요구에 따른다고 데이터가 살아난단 보장은 없다.

엘라스틱서치는 인기있는 오픈소스 기반 분산검색엔진 애플리케이션이다. 오픈소스 검색엔진 라이브러리 '루씬(Lucene)'을 기반으로 한다. 위키피디아, 사운드클라우드, 판도라같은 유명 글로벌 웹서비스가 이를 활용한 곳이다.

미국 지디넷은 프로그래머가 엘라스틱서치 인스턴스를 보호하기 위한 기초지식, 널리 알려진 보안 조치를 해뒀다면 이런 공격을 당하지 않았을 것이라고 전했다. 엘라스틱서치 컨설턴트 이타마르 신-허시코가 그런 사전 예방법을 소개했다.

[☞참조링크: Don't be ransacked: Securing your Elasticsearch cluster properly]

컨설턴트는 "당신이 뭘 하든 절대로 웹에 클러스터노드를 노출시키지 말라"며 "당연한 얘기로 들리지만 모두가 그렇게 하지는 않았다는 것도 분명하다"고 지적했다. 이어 "당신의 클러스터는 절대로 외부 웹에 공개되면 안 된다"고 강조했다.

애초에 엘라스틱서치라는 기술은 인터넷 사용자의 외부 접근 가능성을 전제한 적이 없다. 엘라스틱서치를 인터넷 사용자가 접근할 수 있었다면, 아무나 서버에 들어 있는 데이터를 날려버릴 수 있도록 방치했다는 얘기와 마찬가지다.

이런 주의사항을 '엘라스틱'이 2013년 12월에 공식사이트에 이미 설명했다. 엘라스틱은 엘라스틱서치 프로젝트 후원사다. 엘라스틱서치에 일반 사용자(user) 개념은 없으며, 누구든지 최고권한인 '슈퍼유저(super user)'로 엘라스틱서치 클러스터에 명령을 보낼 수 있다고 설명했다.

[☞참조링크: Securing Your Elasticsearch Cluster]

현재 공격당한 엘라스틱서치 운영서버 대다수는 아마존웹서비스(AWS) 퍼블릭클라우드를 쓰지 않았다. 이점 때문에 사람들이 AWS 기반으로 운영되는 엘라스틱서치 서버를 AWS가 보호해준다고 여길 수 있는데, 착각이다.

미국 지디넷은 엘라스틱서치 기술이 그 자체로는 보안 기능을 갖추지 않았기 때문에 관리자가 직접 추가해야 한다고 지적했다.

이미 공격으로 엘라스틱서치 서버의 데이터를 잃었다면, 그만 포기하거나 해커 요구대로 돈을 준 뒤 그가 호의를 베풀기를 기대할 수밖에 없다.

관련기사

아직 공격당하지 않은 서버 관리자들은 어떻게 해야 할까. 기업환경에 쓰고 있다면 기업 환경에 맞게 구성된 엘라스틱서치 커머셜라이선스 버전을 산 다음 보안정책에 맞는 기능을 제공하는 'X팩시큐리티(X-Pack Security)'를 설치해야 한다.

인터넷에서 접근할 수 없게 하고, 만일 인터넷으로 접근할 수 있게 만들려면 방화벽이나 가상사설망(VPN)이나 리버스프록시를 통해 접근을 제한해야 한다는 설명이다. 그리고 안전한 영역에 데이터 백업을 수행하고, '큐레이터스냅샷' 기능 사용을 고려해야 한다.