의사도 모르게 코인채굴장 전락한 병원…줄 잇는 웹 서버 공격

/사진=이미지투데이

국내 기업·기관에서 운영 중인 웹 서버를 직접 파괴하거나 정보를 유출하는 대신 가상자산 채굴 프로그램이나 VPN(가상사설망)을 몰래 설치해 이득을 취하는 사이버 공격이 잇따라 보고되고 있다.

20일 정보보호업계에 따르면 ASEC(안랩시큐리티인텔리전스센터)는 해커가 국내 한 병원의 웹 서버에 침입해 가상자산 채굴 프로그램을 무단 설치한 사례를 지난 18일 공개했다. 이 서버는 당초 병원 내 환자의 의료영상을 관리·전송하는 PACS(의료영상저장전송시스템)를 구동 중이었고, 해커는 보안취약점을 이용해 각종 명령을 내리는 웹셸(Web Shell)을 업로드하는 수법으로 웹서버에 침입했다.

서버의 통제권을 얻어낸 해커는 쉽게 서버에 드나들 수 있도록 네트워크 설정을 변경한뒤 코인 채굴 프로그램을 설치했다. ASEC 연구진은 서버 곳곳에 중국어로 개발된 접속도구와 주석(메모)이 남은 점에 비춰 당시 공격의 발원지를 중국으로 추정했다.

피해 서버는 이 같은 공격 며칠 뒤에도 유사한 공격을 받은 것으로 조사됐다. 연구진은 "(해커의) 최종 목적은 코인 채굴"이라면서도 "물론 설치한 웹셸과 네트워크 도구를 통해 원격제어가 가능하고, RDP(원격데스크톱프로토콜) 접속을 목적으로 프록시(중계접속) 도구를 설치한 것을 보면 정보유출 또한 발생할 수 있다"고 지적했다.

앞서 연구진은 한 국내 기업의 ERP(전사적자원관리) 시스템 서버에 해커가 침입, 피해 서버가 VPN 서버 기능도 수행하도록 프로그램을 설치한 사례도 소개했다. 이 같은 수법으로 구축된 VPN 서버는 해커가 기업 네트워크 내부의 다른 서버를 공격하거나 외부의 다른 목표물을 공격할 때 상대방의 추적을 방해하는 수단으로 악용된다는 설명이다.

서버 공격에 나선 해커가 몰래 설치하는 것은 채굴·VPN 프로그램뿐만이 아니다. 한국인터넷진흥원(KISA) 통계에 따르면 올 1분기 중소기업 침해사고의 14.6%는 '문자 무단발송'이었다. 해커가 문자메시지 발송서비스와 연동된 기업 서버에 침입해 문자 발송권한을 얻어낸 뒤 불법 스팸메시지를 발송해 발생하는 사고다.

일각에선 웹 서버 해킹의 주된 원인인 관리부실이 최근 들어선 법적 문제로도 비화될 수 있어 경각심이 필요하다는 지적이 나온다. 서버에 개인정보를 보관하는 경우가 잦고, 유출사고가 드러날 경우 곧바로 관계당국 조사와 과징금 등 제재처분으로 이어진다는 이유에서다.

ASEC 연구진은 "웹 서버는 불특정 다수의 사용자들에게 웹 서비스를 제공하기 위한 목적으로 외부에 공개돼 있기 때문에 과거부터 공격자들의 대표적인 표적이 돼 왔다"고 분석했다. 웹셸 공격에 대해선 "관리자가 웹 서버에 존재하는 파일 업로드 취약점을 점검해 초기 침투경로인 웹셸 업로드를 사전에 막을 수 있도록 해야 한다"고 조언했다.

성시호 기자 shsung@mt.co.kr