리눅스는 물론 애플 OS X와 같은 유닉스 기반 운영체제(OS)에서 사용되는 셸 프로그램인 '배시(Bash)'에서 발견된 취약점인 '셸쇼크(shellshock)'를 악용한 공격이 처음으로 발견됐다.
앞서 발견된 하트블리드 취약점은 웹서버에서 정보를 조금씩 빼내갈 수 있다는 점에서 우려가 됐으나 셸쇼크는 직접 웹서버에 악성코드를 심거나 악성명령을 내릴 수 있다는 점에서 문제가 더 심각하다는게 전문가들의 평가다. 해당 취약점은 'CVE-2014-6271'라는 이름으로 공식분류됐다.
배시가 인터넷 상에서 웹서버에 명령을 내리는 용도로 활용되고 있다는 점을 고려하면 관련 취약점을 악용한 공격으로 인한 피해규모는 앞으로 훨씬 커질 가능성이 높다. 배시 셸 명령어는 HTTP나 커먼게이트웨이인터페이스(CGI)와 같은 웹 상 경로를 활용해 누구나 명령어를 내릴 수 있어 해커들이 훨씬 쉽게 접근할 수 있기 때문이다.
25일(현지시간) 미국 지디넷에 따르면 버그가 처음 공개된 24일 리눅스 진영, 레드햇, 아카마이 등에서 패치를 발표했으나 배시가 워낙 광범위하게 활용되고 있어 하트블리드 버그를 뛰어넘는 피해를 줄 가능성이 높은 것으로 예상된다.
개발자 커뮤니티인 기트허브에는 이 버그를 악용한 공격이 실제로 발견됐다는 글이 올라왔다. 자신을 시스템 관리자라고 소개한 보안연구원 이네티(Yinette)이 이러한 사실을 자신의 트위터에 공개했다.
보안 연구원들의 모임인 멀웨어머스트다이(malwaremustdie.org)는 해당 버그를 악용한 악성코드를 분석한 결과 분산서비스거부(DDoS) 공격을 위한 좀비PC를 양산하는 기능 뿐만 아니라 보안이 취약한 서버에 접근해 쉬운 비밀번호를 쓸 경우 바로 침투해 공격자가 마음대로 조정할 수 있게 하는 기능을 가졌다. 예를 들어 서버 관리자가 로그인을 위해 'root', 'admin', 'user', 'login', '123456'과 같은 비밀번호를 쓴다면 모든 권한이 탈취될 수 있다.
호주 침해사고대응팀(AusCERT) 역시 이 버그를 악용한 공격이 실제로 확인됐다는 보고서를 받았다고 발표했다.
하트블리드 때와 마찬가지로 관련 보안패치가 나왔다고 하더라도 실제로 이를 빠르게 적용하기까지는 시간이 걸릴 것으로 전망된다. 그동안 피해는 기하급수적으로 늘어날 수 있다. 로버트 그래햄 보안 연구원은 자신의 블로그에 최소 3천개 시스템이 해당 버그에 취약하다는 사실을 확인했다고 주장했다. 그는 인터넷과 직접 연결되는 웹서버가 일반적으로 활용하고 있는 80번 포트만을 대상으로 조사했다. 이에 따라 웹서버가 다른 포트를 사용할 경우 문제를 파악해 해결하기까지는 두 배 이상 시간이 걸릴 것으로 예상된다.
관련기사
- 리눅스·OS X 셸에 중대 보안취약점 발견2014.09.26
- 美병원 노린 개인정보유출에 '하트블리드' 악용2014.09.26
- 세계 대기업 3%만 하트블리드 완전해결2014.09.26
- 오픈SSL의 대안 '리브레SSL', OS 지원 확대2014.09.26
그래햄은 또한 DHCP 서비스 역시 해당 버그로 인한 취약점에 노출될 수 있다고 밝혔다. 단순한 조사만으로 3천개의 취약한 시스템을 발견됐다는 것은 '웜' 수준의 심각한 공격이라며 OS X, 아이폰이 사용하는 DHCP 서비스가 취약한지 여부다.
그는 만약 이 취약점을 악용한 공격이 DHCP 서버를 공격하기 시작하면 대규모 네트워크에 대한 공격은 이미 게임이 끝난 것(gameover)이나 마찬가지라고 주장했다. DHCP 서버는 IP주소를 할당하는 서버를 말한다. 이 서버가 공격 당할 경우 맥, 아이폰 등을 활용해 인터넷에 접속하는 모든 기기가 해킹 당할 수 있다는 설명이다.
