7월 콜택시 콜센터 서버를 공격, 서비스를 마비시킨 랜섬웨어에 의한 추가 피해가 확산되고 있다. 서버를 주요 공격 대상으로 삼고 있어 피해 규모가 작지 않은 것으로 추정된다. 인터넷상 서버 노출을 자제하는 등 각별한 주의가 요구된다.
7월 콜택시 시스템을 공격한 랜섬웨어는 '매스스캔'이다. 당시 콜택시 시스템 운영사 서버 파일은 모두 'masscan'이라는 명칭으로 변환됐다. 이와 함께 '복구정보' 파일에 복호화 비용, 방법 등을 기재했다.
콜택시 공격을 기점으로 매스스캔에 의한 피해 사례는 빠르게 확산되고 있다. 현재 확인된 기업 피해 사례만 4건 이상이다. 제약·바이오 등 업종도 다양하다.
익명을 요구한 보안전문가는 “7월 콜택시 공격 이후 기업의 매스스캔 피해 사례가 연이어 확인되고 있다”며 “앞서 광범위한 공격이 진행됐고, 감염된 사례가 나오기 시작하는 것으로 보인다”고 말했다.
이어 “피해 사례 분석 결과, 서비스 마비나 데이터 대량 탈취 등 피해 규모를 키우려는 의도가 분명해졌다”며 “국내 피해 규모가 본격적으로 커질 가능성이 커 보인다”고 말했다.
최근 피해 사례를 종합하면, 매스스캔 공격은 동일 집단의 소행으로 짐작된다. 공격은 웹을 통한 마이크로소프트 SQL 서버 취약점을 기반으로 진행된다. 이미 노출된 공격 방식이다.
MS-SQL은 MS가 개발한 데이터베이스 서버다. 인터넷에 노출돼 있고 1433 공개포트를 사용할 경우 공격에 쉽게 노출된다. MS도 인터넷에 노출된 MS-SQL 서버에 대한 브루트포스(무차별 대입) 공격이 유행하기 시작했다고 경고한 바 있다.
SQL 서버 공격은 파워셸 파일인 sqlps.exe를 사용해 추가 계정을 확보한 뒤 서버를 장악하는 경우가 많다. 이후 랜섬웨어 배포 추가 공격 작업이 진행되는 것이 일반적이다. sqlps.exe를 사용하는 이유는 흔적을 남기지 않기 때문이다.
매스스캔 공격 방식을 볼 때 기본 대응 방안은 MS-SQL 접근 제어 강화다. 이와 함께 데이터베이스 기본 계정을 변경하고 강력한 암호 정책 적용할 것과 무차별 계정 대입 공격에 대비해 '계정 잠김' 설정을 적용하는 방안 등이 제시됐다.
보안 기업 관계자는 “매스스캔 공격 방식은 이미 알려진 방식으로 기업의 보안 대응이 미흡한 경우, 쉽게 침입이 이뤄진다”며 “웹을 통해 MS-SQL 서버 취약점을 공격하기 때문에 서버에 접근할 수 있는 인원과 권한을 최소화하고 관리자 비밀번호 보안도 강력 수준으로 관리해야 한다”고 말했다.
최호기자 snoop@etnews.com
