안랩 "국내서 신규 웹 서버 대상 공격 사례 확인…中 소행 추정"

공격 툴 살펴 보니 중국어 사용자들이 주로 사용

오픈소스 공유 사이트인 '깃허브'의 슈퍼쉘 저장소 [출처=안랩]

국내서 신규 웹 서버 공격이 발생했다. SK텔레콤 해킹 사태 이후 예스24‧파파존스‧서브웨이 등에서 개인정보 유출 사고가 잇따라 발생 중인 가운데, 민감 정보 탈취에 대한 우려가 커지고 있다.
 
3일 안랩시큐리티대응센터(ASEC)에 따르면, 최근 슈퍼쉘과 메시에이전트를 사용한 한국 웹 서버에 대한 공격이 확인됐다.
 
공격자는 전통적 서버 장악 방법인 ‘웹쉘’ 외에 양 수단을 설치해 감염 시스템을 제어했다. 프록시(중계 시스템) 도구도 설치한 것으로 확인됐다.
 
슈퍼쉘은 윈도우, 리눅스, 안드로이드를 포함한 다양한 플랫폼을 지원한다. 주요 기능은 공격자가 감염된 시스템을 원격으로 제어할 수 있도록 하는 리버스 쉘(피해자 컴퓨터가 해커에게 접속하는 방식)이다.
 

메시에이전트는 전원‧계정 제어, 채팅‧메시지 팝업, 파일 업‧다운로드, 명령 실행 등의 기능을 제공한다. 원격 관리에 필요한 시스템 기본 정보를 수집하는 방식이다. 일반적으론 사용자가 시스템을 원격 관리하는 과정에 쓰이지만, 악의적 목적으로 활용되는 사례가 늘고 있다.
 
ASEC는 이번 공격이 중국인 소행일 가능성이 크다고 분석했다. 슈퍼쉘, 메시에이전트와 같은 맬웨어(악성 소프트웨어)는 과거 중국어 사용 공격자가 일반적으로 사용하는 도구였다.
 
권한 상승 과정에서는 라돈이 활용됐는데, 이 역시도 중국어를 사용하는 공격자가 주로 사용하는 도구다.
 
안랩 관계자는 “이제는 윈도우 뿐 아니라 리눅스도 표적으로 삼는 사례가 늘고 있다”며 “공격자가 조직 네트워크 장악에 성공할 경우, 민감한 정보를 훔치거나 랜섬웨어(문서 암호화를 통해 돈을 요구하는 악성 프로그램)로 네트워크를 감염시킬 수 있는 만큼 각별한 주의가 필요하다”고 조언했다.