빗썸 내부 서버 등에서 웹셸 여러 개 발견
공격경로와 스피어피싱 여부 아직 확인 안 돼
빗썸 사칭한 SMS 문자 주의보 발령
[보안뉴스 김경애 기자] 해킹사고를 당한 국내 최대 규모 암호화폐 거래소 빗썸의 내부 서버 등에서 웹셸이 여러 개 발견된 것으로 알려졌다. 특히, 일부 웹쉘은 6월 이전에 심어진 것으로 드러나 실제 해킹 공격은 빗썸이 공지한 6월 20일보다 이전에 발생했을 가능성이 제기된다. 또한, 최근에는 빗썸을 사칭한 스미싱 공격도 발견되고 있다.
웹셸은 서버를 해킹하는 도구 중 하나로 공격자가 원격에서 공격대상 웹 서버에 명령을 수행할 수 있도록 작성한 웹 스크립트 파일이다. 웹셸 공격은 우선 공격자가 취약점을 이용해 웹 서버에 웹셸을 심어놓은 후, 한참 뒤에 이를 작동시켜 스팸메일 발송, 개인정보 유출 등의 명령을 실행시킬 수 있다.
본지 취재결과, 이번에 발견된 웹셸 가운데 1개는 DRM 서버에 심어져 있었는데, 웹셸이 심어진 시기는 지금까지의 정황으로 볼 때 사건 발생 이전인 6월 전으로 추정되고 있다. 더욱이 추가 발견되는 웹셸에 따라 6월 보다 이전에 심어졌을 가능성도 배제할 수 없다.
이와 관련 한 보안전문가는 “웹셸이 심어진 시간 간격은 사건 추적에 있어 매우 중요하다”며 “한국을 타깃으로 공격했던 웹셸이 발견된 건지, 웹셸 종류는 무엇인지 등이 사건을 풀어가는 중요한 실마리가 될 수 있다. 일반적으로 공격자 입장에서는 위장전술로 공개된 웹셸을 가져다 사용하는 경우가 많기 때문”이라고 설명했다.
하지만 웹셸을 심은 서버나 시스템을 특정하기는 쉽지 않은 상황이다. 누구의 IP에서 어느 경로를 통해 심어졌는지 확인이 중요한데, 이를 위한 연결고리를 찾기가 쉽지 않기 때문이라는 것. 해킹사건을 조사하는 관계자들도 이 부분에 주목하는 것으로 알려졌다.
조사당국 관계자는 “DRM 서버에 접속한 IP를 분석하고 있지만 방화벽 로그만으로는 시스템 특정하기가 쉽지 않다”며 “망분리를 하다 보면 IP가 바뀌기도 하기 때문에 시스템을 특정하기기가 어려운 게 현실이다. 컴퓨터가 확인돼야 스피어피싱 공격 여부도 확인될 수 있다”고 귀띔했다.
보안업계 관계자는 “DRM 서버에 접속한 특정 컴퓨터가 발견되면 거기에서 발견된 웹셸을 바탕으로 어떻게 감염됐는지 알 수 있지만, 현재까지 웹셸을 심은 컴퓨터는 찾지 못했다”며 “설령 컴퓨터를 찾아도 해커가 흔적을 다 지우고 나갔으면 추적하기가 쉽지 않다”고 말했다.
이러한 가운데 최근에는 빗썸을 사칭한 결제승인 문자가 나돌고 있어 이용자들의 각별한 주의가 요구되고 있다. 3일 빗썸 측은 “최근 빗썸을 사칭한 SMS 사례가 발생하고 있다”며 “빗썸을 사칭한 SMS는 빗썸페이 결제 내역을 보낸 후 해당번호로 전화연결을 유도해 보안 비밀번호, OTP 등과 같은 개인정보를 요구하고 있다”며 공지했다.
또한, 빗썸은 오는 14일부터 암호화폐 전문 트레이딩 플랫폼 빗썸PRO 베타 서비스도 종료한다고 밝혔다. 이와 관련 빗썸 관리자는 “향후 정식 서비스 오픈 계획 때문에 종료한다”며 “정식 서비스 일정은 추후 별도로 공지할 예정”이라고 밝혔다.
이에 따라 거래종료 전까지 미체결 주문을 비롯한 모든 기존 주문은 취소할 것을 권장하며, 보유하고 있는 자산은 빗썸으로 이동시켜 줄 것을 당부했다. 또한, 자산이동 종료 이후, 남아 있는 자산은 시스템에서 순차적으로 빗썸으로 이동시킬 예정이라며, 베타 서비스 이용내역은 5년간 보관되며, 빗썸에서 조회할 수 있다고 안내했다.
한편, 현재까지 빗썸이 밝힌 암호화폐 피해현황은 약 190억원으로 당초 피해 규모인 350억에서 크게 감소했다. 이에 대해 빗썸 측은 “암호화폐 재단 및 전세계 암호화폐 거래소와의 협업, 모든 암호화폐의 콜드월렛 보관(이동) 조치 등으로 탈취될 것으로 예상했던 금액 중 일부를 보존할 수 있었다”며 “이번 사태가 종료될 때까지 추가 피해 방지와 피해금액 회수 작업은 계속 진행할 예정”이라고 밝혔다.
또한, 추가 피해 방지를 위해 암호화폐의 입금 중단을 안내했지만 이후에도 암호화폐 입급이 발생하고 있다며 암호화폐 임급 서비스는 시스템 전면 교체 등을 통해 충분한 안정성이 확보될 때까지 당분간 중단할 예정이라고 밝혔다.
[김경애 기자(boan3@boannews.com)]
공격경로와 스피어피싱 여부 아직 확인 안 돼
빗썸 사칭한 SMS 문자 주의보 발령
[보안뉴스 김경애 기자] 해킹사고를 당한 국내 최대 규모 암호화폐 거래소 빗썸의 내부 서버 등에서 웹셸이 여러 개 발견된 것으로 알려졌다. 특히, 일부 웹쉘은 6월 이전에 심어진 것으로 드러나 실제 해킹 공격은 빗썸이 공지한 6월 20일보다 이전에 발생했을 가능성이 제기된다. 또한, 최근에는 빗썸을 사칭한 스미싱 공격도 발견되고 있다.
웹셸은 서버를 해킹하는 도구 중 하나로 공격자가 원격에서 공격대상 웹 서버에 명령을 수행할 수 있도록 작성한 웹 스크립트 파일이다. 웹셸 공격은 우선 공격자가 취약점을 이용해 웹 서버에 웹셸을 심어놓은 후, 한참 뒤에 이를 작동시켜 스팸메일 발송, 개인정보 유출 등의 명령을 실행시킬 수 있다.
본지 취재결과, 이번에 발견된 웹셸 가운데 1개는 DRM 서버에 심어져 있었는데, 웹셸이 심어진 시기는 지금까지의 정황으로 볼 때 사건 발생 이전인 6월 전으로 추정되고 있다. 더욱이 추가 발견되는 웹셸에 따라 6월 보다 이전에 심어졌을 가능성도 배제할 수 없다.
이와 관련 한 보안전문가는 “웹셸이 심어진 시간 간격은 사건 추적에 있어 매우 중요하다”며 “한국을 타깃으로 공격했던 웹셸이 발견된 건지, 웹셸 종류는 무엇인지 등이 사건을 풀어가는 중요한 실마리가 될 수 있다. 일반적으로 공격자 입장에서는 위장전술로 공개된 웹셸을 가져다 사용하는 경우가 많기 때문”이라고 설명했다.
하지만 웹셸을 심은 서버나 시스템을 특정하기는 쉽지 않은 상황이다. 누구의 IP에서 어느 경로를 통해 심어졌는지 확인이 중요한데, 이를 위한 연결고리를 찾기가 쉽지 않기 때문이라는 것. 해킹사건을 조사하는 관계자들도 이 부분에 주목하는 것으로 알려졌다.
조사당국 관계자는 “DRM 서버에 접속한 IP를 분석하고 있지만 방화벽 로그만으로는 시스템 특정하기가 쉽지 않다”며 “망분리를 하다 보면 IP가 바뀌기도 하기 때문에 시스템을 특정하기기가 어려운 게 현실이다. 컴퓨터가 확인돼야 스피어피싱 공격 여부도 확인될 수 있다”고 귀띔했다.
보안업계 관계자는 “DRM 서버에 접속한 특정 컴퓨터가 발견되면 거기에서 발견된 웹셸을 바탕으로 어떻게 감염됐는지 알 수 있지만, 현재까지 웹셸을 심은 컴퓨터는 찾지 못했다”며 “설령 컴퓨터를 찾아도 해커가 흔적을 다 지우고 나갔으면 추적하기가 쉽지 않다”고 말했다.
이러한 가운데 최근에는 빗썸을 사칭한 결제승인 문자가 나돌고 있어 이용자들의 각별한 주의가 요구되고 있다. 3일 빗썸 측은 “최근 빗썸을 사칭한 SMS 사례가 발생하고 있다”며 “빗썸을 사칭한 SMS는 빗썸페이 결제 내역을 보낸 후 해당번호로 전화연결을 유도해 보안 비밀번호, OTP 등과 같은 개인정보를 요구하고 있다”며 공지했다.
또한, 빗썸은 오는 14일부터 암호화폐 전문 트레이딩 플랫폼 빗썸PRO 베타 서비스도 종료한다고 밝혔다. 이와 관련 빗썸 관리자는 “향후 정식 서비스 오픈 계획 때문에 종료한다”며 “정식 서비스 일정은 추후 별도로 공지할 예정”이라고 밝혔다.
이에 따라 거래종료 전까지 미체결 주문을 비롯한 모든 기존 주문은 취소할 것을 권장하며, 보유하고 있는 자산은 빗썸으로 이동시켜 줄 것을 당부했다. 또한, 자산이동 종료 이후, 남아 있는 자산은 시스템에서 순차적으로 빗썸으로 이동시킬 예정이라며, 베타 서비스 이용내역은 5년간 보관되며, 빗썸에서 조회할 수 있다고 안내했다.
한편, 현재까지 빗썸이 밝힌 암호화폐 피해현황은 약 190억원으로 당초 피해 규모인 350억에서 크게 감소했다. 이에 대해 빗썸 측은 “암호화폐 재단 및 전세계 암호화폐 거래소와의 협업, 모든 암호화폐의 콜드월렛 보관(이동) 조치 등으로 탈취될 것으로 예상했던 금액 중 일부를 보존할 수 있었다”며 “이번 사태가 종료될 때까지 추가 피해 방지와 피해금액 회수 작업은 계속 진행할 예정”이라고 밝혔다.
또한, 추가 피해 방지를 위해 암호화폐의 입금 중단을 안내했지만 이후에도 암호화폐 입급이 발생하고 있다며 암호화폐 임급 서비스는 시스템 전면 교체 등을 통해 충분한 안정성이 확보될 때까지 당분간 중단할 예정이라고 밝혔다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
