중국 해커 니옌, 숙명여대 사이트 타깃으로 취약점 공격 실행
숙명여대, 외부 해킹 가능한 shellshock 취약점에 노출...해커, 취약점 악용해 공격
순천향대, 이화여대, 김천시립도서관, 용인시장학재단 등 줄줄이 공격

[보안뉴스 김경애 기자] 중국 해커 니옌이 국내 교육기관과 국내 정부 사이트를 타깃으로 무차별 공격을 예고한 가운데, 이번에는 숙명여자대학교 사이트를 타깃으로 취약점 공격을 실행한 정황이 포착됐다.


▲중국해커 니옌이 공격한 숙명여자대학교 해킹 정황 화면[이미지=보안뉴스]

지난 27일 중국 해커 니옌은 숙명여대 사이트에 취약점을 이용해 공격한 후, 웹셸 명령어를 실행한 정황을 텔레그램을 통해 공유했다.

중국 해커가 이용한 취약점 공격은 리눅스 쉘에서 발생하는 쉘쇼크(shellshock)이다. shellShock(CVE-2014-6271)은 2014년에 발견된 취약점으로 bash를 기반으로 OS나 서버에 명령어를 실행할 수 있다. 그런데 리눅스 쉘에서만 발생하던 취약점이 프로그래밍 언어 ‘cgi’를 넣어 호출하면 ‘cgi’ 서버를 사용하는 곳을 알 수 있고 shellshock 취약점에 노출돼 외부 해킹이 가능하다.

이번 숙명여대 사이트에서 ‘cgi’ 호출과 리눅스 서버 파일 리스트 명령어인 ‘ls –a’ 명령어를 실행한 정황이 포착했다. 이는 해커가 내부로 침입해 좀비 PC를 만들 수도 있고, 내부정보(개인정보)를 탈취할 수도 있다는 의미다. 또한 ls-a 명령어를 다른 명령어로 바꿔 실행하면 여러 다른 공격도 진행할 수 있어 위험한 상황이다.

이와 관련 리니어리티 한승연 대표는 “해커는 cgi를 사용하는 서버들은 유저 에이전트와 같은 HTTP 헤더가 환경 변수를 통해 처리가 된다는 걸 알고, 공격 코드를 넣어 서버에서 명령어 실행을 한 것”이라며 “해당 취약점에 대해 보안 패치를 했으면 방어가 됐을 텐데, 그렇지 않은 상황”이라고 지적했다.

이어 한 대표는 “공격에 사용된 shellshock 취약점은 2014년에 발견된 취약점으로 매우 오랜 기간 서버 패치를 하지 않은 것”이라며 “인터넷에 노출된 서버는 보안 취약점을 방어하기 위한 주기적인 업데이트와 함께 IPS, WAF 등을 통한 보안 관리가 무엇보다 중요하다”고 밝혔다.


▲중국해커 니옌이 공격한 해킹 정황 화면[이미지=보안뉴스]

더욱 큰 문제는 해당 해커가 숙명여대 외에 국내 기관 및 교육 사이트를 무차별 공격한 정황도 포착됐다는 점이다. 해커는 순천향대학교, 이화여자대학교 시스템 약물학 연구실에 대한 공격 정황과 함께 김천시립도서관, 용인시장학재단 사이트의 관리자 로그인 정보를 텔레그램에 공개했고, CVE-2021-26084 취약점 정보를 공유한 정황도 발견됐다.

이와 관련 익명을 요청한 교육기관 관계자는 “해커의 공격 의도를 파악하는 것과 동시에 해커를 자극하지 않고 공격을 자제시길 수 있는 대응책 마련도 필요하다”고 밝혔다.

또 다른 보안전문가는 “해커가 앙심을 품고 공격한 사례로, 해커는 자신을 분석한 보고서를 올린 특정 보안기업의 게시물 삭제와 함께 자신에게 사과할 것을 요구하고 있다”며 “그렇게 하면 더 이상 국내 웹사이트에 대한 해킹과 자료 유출을 하지 않겠다는 메시지를 남겼다”고 밝혔다.

이어 그는 “지난해 발생한 중국 해커조직 샤오치잉 이슈와 유사한 상황”이라며 “국가기관이 해당 사실을 인지해서 보다 효과적인 대응방안을 마련해야 한다”고 말했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>