워드프레스에 멀웨어 심어 다른 서버 공격하거나 채굴 시작
실시간 리소스 사용 현황 모니터링하고 멀웨어 스캐닝 진행해야

[보안뉴스 문가용 기자] 워드프레스를 기반으로 한 웹사이트들이 최근 해커들의 브루트포스 공격을 받고 있다. 해커들의 목적은 워드프레스 사이트들을 암호화 채굴 도구로 만드는 것이다. 이 공격으로 범죄자들은 이미 10억 원에 가까운 수익을 올린 것으로 추정된다고, 워드프레스 보안 전문 플러그인인 워드펜스(Wordfence)가 발표했다.


[이미지 = iclickart]

공격자들은 워드프레스 서버들을 침해한 후 멀웨어를 통해 원격에서 통제하는 것으로 보인다. 공격자의 통제권 아래 들어간 서버들은 또 다른 워드프레스 서버를 공격(브루트포스 기법으로)하거나 모네로 암호화폐를 채굴하는 데 사용된다. 웹 서버용 하드웨어를 사용하면 채굴 효율이 높아진다고 워드펜스의 보안 전문가 브래드 하스(Brad Haas)는 블로그를 통해 설명했다.

하스는 워드프레스 고객들 중 한 호스팅 업체가 사용자들로부터 어뷰징에 관한 민원을 받은 것을 수사하다가 이 같은 범죄 활동을 발견했다고 설명한다. “조사를 하다 보니 29473이라는 이름을 가진 프로세스 하나가 엄청난 리소스를 사용하고 있다는 걸 발견할 수 있었습니다. 프로세싱 파워와 채굴 프록시(mining proxy)를 대량으로 잡아먹는 프로세스였고, 이 둘을 사용하는 건 암호화폐 채굴과 관련된 것일 수밖에 없습니다.”

하스는 곧바로 ‘모네로’가 떠올랐다고도 설명했다. 암호화폐 중 모네로만이 그래픽 프로세서가 아니라 일반 프로세서로 채굴이 가능하기 때문이다. 추적을 진행해 멀웨어 샘플을 일부 추출하는 데 성공했다. 분석 결과 쓰나미(Tsunami)나 케이튼(Kaiten)의 변종인 것으로 판명됐다. 분석 과정에서 채굴과 관련된 C&C 서버가 총 8개 발견됐는데, 그 중 네 개는 호스팅 업체인 OVH에 호스팅 되어 있었다.

“멀웨어들이 활동을 시작하면 제일 먼저 자기 파일들을 디스크에서 삭제합니다. 흔적을 감추기 위해서죠. 메모리까지 스캔하지 않는 백신이라면 당연히 찾아내지 못합니다.” 워드펜스가 발견한 샘플은 브루트포스 공격 기능도 가지고 있었다. “멀웨어 내에는 흔히 사용되는 비밀번호들의 목록이 저장되어 있었습니다. 그걸 계속해서 대입함으로써 다른 서버로 로그인을 시도합니다.”

또한 멀웨어 내에는 하스가 의심했던 그대로 모네로 채굴 소프트웨어인 XM리그(XMRig)도 있었다. “치밀하게도 공격자는 XM리그가 여러 프록시들 중 하나에서 돌아가도록 설정해두었습니다. 저희 같은 분석가들이 지갑 주소를 발견할 수 없도록 말이죠.” 한편 모네로의 가치는 12월 한 달 동안 크게 상승한 바 있다.

하스는 워드프레스를 사용하는 웹사이트 관리자들에게 1) 멀웨어 스캐닝과 2) 서버 리소스 사용 현황 점검을 반드시 해야 한다고 권고한다. “브루트포스 공격에 대한 대비책도 잊지 말아야 합니다. 기본적이지만 자주 잊는 것이지요.”

보안 업체 에얼리언볼트(AlienVault)의 보안 전문가인 자바드 말릭(Javvad Malik)은 “일반 투자자들에 이어 해커들도 암호화폐 광풍에 참여하고 있다”고 경고한다. 또한 암호화폐 가치가 지금처럼 계속해서 올라가는 한 더 많은 해커들의 참전이 예상된다고도 말한다. 그러므로 워드프레스 웹사이트 운영자들은 “항상 최신 버전을 유지시키고, 이중 인증을 도입하고, 검증이 완벽하게 된 플러그인만 설치”하는 것을 습관화시켜야 한다고 강조한다.

“시스템 활동에 대한 실시간 모니터링도 중요합니다. 그래야 어떤 리소스가 갑자기 많이 사용되고 있고, 어떤 프로세스가 이런 문제를 야기하는지 빠르게 파악할 수 있거든요. 보안 설정을 주기적으로 점검하는 것도 좋은 보안 습관입니다. 예를 들어 화이트리스트 프로토콜이 유효한지, 포트 사용 현황과 프로토콜이 일치하는지 등을 확인하라는 것이죠.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>