해킹 예고한 중국 해커 니옌, 경성대학교 오라클 웹로직 폴더 페이지 디페이스 해킹
텔레그램 통해 아틀라시안, 오라클, 자바 취약점 공개 및 공유하며 해킹 동참 유도

[보안뉴스 김경애 기자] 국내 지자체가 운영하는 과학관을 디페이스 해킹하고, 보안기업을 디도스 공격한 중국 해커 ‘니옌(年)’이 경성대학교를 해킹한 정황이 23일 포착됐다. 앞서 해당 해커가 한국의 정부기관과 교육기관 공격을 예고한 지 불과 며칠 만에 발생한 사건이다. 특히 취약점을 이용한 공격이라 교육기관 및 관계기관의 취약점 패치 및 네트워크 보안 강화가 필요하다는 지적이다.


▲해킹 예고한 중국 해커 니옌이 텔레그램을 통해 공유한 경성대학교 해킹 근거 정황 화면[이미지=보안뉴스]

<보안뉴스>가 취재한 바에 따르면 23일 경성대학교의 오라클 웹로직 폴더 페이지가 오라클 웹로직 취약점으로 디페이스 해킹된 정황이 포착됐다. 해커는 경성대학교 웹페이지를 해킹한 근거 정황을 텔레그램을 통해 공개하며 취약점 정보를 공개했다.

스틸리언 신동휘 CTO는 “오라클 웹로직 취약점은 2017년 취약점으로 오래된 취약점이고 원격코드 실행 취약점인데, 아직 패치를 적용하지 않고 서비스를 운영한 것 같다”며 “취약점을 패치하지 않아 일어날 수 있는 피해를 보여주는 단적인 예”라며 취약점 패치 작용을 강조했다.

특히 주목되는 건 다른 취약점 정보도 텔레그램을 통해 공개 및 공유해 해킹을 부추기고 있다는 점이다. 이에 따라 취약점 악용 공격 우려가 커지고 있다.

해커가 공개한 취약점은 아틀라시안 컴플루언스(Atlassian Confluence) 취약점(CVE-2023-22527), 오라클 웹로직(WebLogic) 취약점(CVE-2017-3506), 자바(Java.V1.7) 취약점 등이다. 해커는 취약점을 압축파일 형태로 유포해 텔레그램에서 취약점 정보를 다운로드 받을 수 있도록 공유하고 있다.

특히 아틀라시안 컨플루언스 취약점은 CVSS 기준 10점 만점에 10점으로 위험도가 매우 높아 치명적인 피해를 입힐 수 있는 만큼 해커에겐 컨플루언스 제품의 인기가 높다. 해당 제품은 기업과 기업 사이에 협업, 소프트웨어 개발 등 다양하게 사용되는 플랫폼으로, 중요 데이터도 다루고 있어 해커들이 선호하는 것으로 알려졌다.

플레인비트 김진국 대표는 “최근 공격자는 내·외부 접점에 위치한 솔루션이나 내부망의 대규모 전파가 가능한 시스템의 취약점을 주로 악용하고 있고, 해당 공격자도 같은 종류의 취약점을 사용하고 있다”며 “따라서 이와 같은 솔루션이나 시스템의 취약점을 모니터링해 신속히 패치할 수 있는 체계를 운용하는 것이 중요하다”고 강조했다.

스틸리언 신동휘 CTO는 “아틀라시안 제품은 많은 기업에서 업무 도구로 활용하는 유명한 제품”이라며 “주요 업무 자료들이 협업 도구에 올라가 있다 보니 공격자들이 타깃으로 노리고 있는 상황”이라고 설명했다.

이어 신 CTO는 “두 가지 취약점 모두 원격지에서 공격자가 악용할 수 있는 취약점으로 시급한 조치가 필요하다”며 “두 가지 취약점 모두 PoC 및 Exploit이 공개되어 있는 만큼 신속한 점검과 대응이 필요하다”고 당부했다.

리니어리티의 한승연 대표는 “최근 몇 년 사이 WAS, 네트워크 장비, 방화벽 및 VPN, 형상관리 등의 서버 영역에서 많은 원격코드 실행(RCE) 취약점이 발견돼 공격자가 이러한 취약점을 적극 이용하고 있다”며 “제로데이(0-day)뿐만 아니라 원데이(1-day) 공격도 활발하게 이루어지고 있어 CISA의 KEV 등을 기반으로 WAF 및 IPS의 정상 동작 여부를 비롯한 철저한 점검과 보안 모니터링 활동이 필요하다”고 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>