"기본 포트 번호 그대로 사용 시 위험"...중국 해커 소행으로 추정

(지디넷코리아=김윤희 기자)오픈소스 데이터베이스(DB) '마이SQL'을 이용해 랜섬웨어에 감염시키려는 시도가 포착됐다.

DB 인기 순위 사이트 'DB엔진'에 따르면 마이SQL은 오라클에 이어 두 번째로 많이 쓰이는 DB다.

영국 보안업체 소포스의 수석 연구원 앤드류 브란트는 외부 공격을 탐지하는 가상 컴퓨터 '허니팟'으로 확인된 공격을 분석해 지난 24일 자사 사이트에 게재했다.

이번 공격은 인터넷에 연결돼 있고, 암호가 걸려있지 않은 마이SQL를 대상으로 삼았다.
그 중 윈도 상에서 구동되는 마이SQL을 대상으로 악성 SQL 명령을 사용, 노출된 서버에 랜섬웨어를 감염시키는 실행 파일을 심었다. 감염 PC 주요 파일을 암호화하고 확장자를 변경한 뒤 데이터를 복구하려는 피해자에게 금전을 요구하는 랜섬웨어 '갠드크랩'이 이번 공격에 사용됐다.



브란트 연구원은 이번 공격을 지난 19일 포착했으며, DB를 이용해 랜섬웨어 유포를 시도하는 것은 흔치 않은 형태의 공격이라고 설명했다. 일반적으로 DB 공격은 가치 있는 정보를 탈취하거나, 암호화폐 채굴을 위해 이뤄진다는 것.

갠드크랩을 전송하는 원격 서버를 추적한 결과 윈도 기반의 웹서버 'HFS'를 이용하고 있는 것으로 나타났다. HFS의 사용자 인터페이스가 중국어 간체로 설정된 점을 고려하면 중국인 해커의 소행일 것이라고 추정했다.

출처=소포스

브란트 연구원은 이번 공격에서 사용된 것과 동일한 내용의 악성 파일이 서버에 올라간 뒤 약 800번 가량 다운로드됐으며, 해당 서버에 있는 갠드크랩은 2천300번 이상 다운로드됐다고 밝혔다.

이에 대해 광범위하거나 대규모의 공격은 아니지만, 마이SQL의 기본 포트 번호인 3306을 그대로 사용하고 있을 경우 위험할 수 있다고 경고했다.

김윤희 기자(kyh@zdnet.co.kr)