랜섬웨어 흉내낸 '몽고DB 털이' 급속 확산

보안전문가 "피해 서버, 1만2천~2만7천대 추정"

컴퓨팅입력 :2017/01/09 16:07    수정: 2017/02/16 22:06

데이터를 인질삼아 금품을 요구하는 '랜섬웨어(ransomware)' 공포가 유명 오픈소스DB 시스템을 도입한 세계 각지의 크고 작은 기업, 의료기관, 교육기관으로 확산되고 있다. 오픈소스DB에 랜섬웨어가 감염된 건 아니지만, 관리상의 취약점을 뚫고 DB에 담긴 데이터를 무단으로 삭제하거나 암호화한 뒤 그걸 되살려주는 명목으로 '몸값'을 요구하는 행태가 기존 랜섬웨어를 닮았다.

(이미지는 기사와 무관함) 방문자가 많은 인기 웹사이트의 배너광고에 랜섬웨어를 심어 보안에 취약한 PC나 노트북이 해당 사이트에 방문하기만해도 감염되는 사례들이 속출하고 있다.

주요 외신들은 몇몇 해커 그룹이 소기업, 병원, 학교 등의 몽고DB 데이터베이스를 구동하는 웹사이트 운영 시스템 1만대 이상을 망가뜨렸고, 데이터 삭제 피해를 입은 시스템 운영자 측에 데이터를 되살리고 싶으면 비트코인(BTC)을 지불하라고 통보했다고 보도했다. 공격자 측이 적게는 0.1BTC에서 많게는 1BTC를 데이터 복구 비용으로 요구하고 있다고 덧붙였다.

최근 보도를 종합해 보면 피해 규모는 계속 커가는 추세다. GDI파운데이션 공동설립자 빅터 게버스와 사물인터넷(IoT) 검색엔진 쇼단(Shodan) 설립자 존 매덜리의 제보에 따르면, 지난 2일 삭제된 DB는 200여개, 3일 삭제된 규모는 2천개 가량이다. 지난 6일 영국 BBC 보도는 랜섬웨어에 공격당한 시스템 규모가 5천대를 넘었다고 전했다. 아스테크니카는 지난 7일 1만500개 이상 시스템이 감염됐다고 보도했다.

[☞참조링크: Online databases dropping like flies, with 10k falling to ransomware groups]

[☞참조링크: Web databases hit in ransom attacks]

[☞참조링크: MongoDB “ransomware” exists because people are bad at security]

외신들은 공통적으로 노르웨이에 거주 중인 보안전문가 나이얼 메리건의 분석을 인용하고 있다. 나이얼 메리건과 빅터 게버스는 문제의 랜섬웨어 피해 현황을 구글독스 스프레드시트 파일에 게재해 추이를 지속 파악 중이다. 메리건은 9일 오전까지 집계된 내용을 바탕으로 "몽고DB 약탈(ransack) 규모가 서버 1만2천대에서 2만7천대 정도 되는 것 같다"고 자신의 트위터 계정을 통해 언급했다.

[☞참조링크: 트위터의 Niall Merrigan 님: "Latest #Mongodb ransack looks like ~27K servers compromised from 12K this morning.. Numbers and info https://t.co/wLF96DLUBQ with @0xDUDE"]

아스테크니카 보도에 따르면 몽고DB 시스템 사용 조직이 '랜섬웨어스러운' 공격에 노출된 원인은 기술적인 결함이 아니라 몽고DB를 잘못 설정된(misconfigured) 상태로 운영한 결과다. 오픈소스 몽고DB 프로젝트를 주도하는 동명의 회사는, 지난 6일 공식블로그를 통해 해당 유형의 공격을 예방하는 DB 설정 방법과 해당 공격이 발생했을 때 대응할 수 있는 방법을 안내했다.

관련기사

[☞참조링크: How to Avoid a Malicious Attack That Ransoms Your Data]

회사측은 몽고DB를 사용하는 웹사이트를 운영 중인 관리자들은 27017번 포트 접근을 차단하거나, 서버에 접근을 제한하기 위해 로컬 IP 주소 바인딩을 설정해야 한다고 설명했다. 한편 외신들은 이미 피해를 당한 몽고DB 관리자들에게 "공격자가 요구하는 비트코인을 지불하기 전에, 실제로 데이터를 빼돌려서 갖고 있는지 확인해야 한다"면서, 금품만 건네받고 데이터를 되살려주지 않는 경우도 있다고 경고했다.