조만간 ‘Log4j 취약성’ 노린 공격, 대규모 ‘디도스 공격’ 예상

[애플경제 이보영 기자]지난해 12월 국내에서도 Log4j 취약성이 발견된 이후 여전히 해커들은 지속적으로 빈틈을 노리며 공격을 시도하고 있다는 소식이다. 기술매체인 ‘테크리퍼블릭’이 인용한 이 분야 전문기관인 ‘바라쿠다 리서치’는 “흔히 사용되는 Apache Log4j 라이브러리를 대상으로 한 사이버 공격으로서 ‘Log4Shell’은 지난 12월 발견된 이후 여전히 해커들의 인기 있는 공격 수법이 되고 있다.”며 이같이 밝혔다.

이에 따르면 Log4Shell은 치명적이다. “미국 국립표준기술연구원의 심각도 척도에 의해 10점 만점에 10점을 받았다.”는 얘기다. 특히 “거의 모든 Java 응용프로그램이 로그 요청을 하는 라이브러리를 대상으로 하며, 이 라이브러리를 공격하는 데 필요한 것은 공격자의 악의적인 문자열”이라는 설명이다.

‘바라쿠다’에 의하면 흔히 공격자가 ‘Log4Shell’을 악용하는 방식은 네 가지 정도다. 즉 “비교적 무해한 장난이나, 악성 프로그램 암호화, DDoS 악성 프로그램, 그리고 VMware 타겟팅 악성 프로그램” 등이다.

특히 VMware 설치를 대상으로 DDoS 공격을 개시하고, 다양한 봇넷 악성코드를 설치하는 등 모네로 암호화 악성코드가 발견되기도 했다. 그 중 가장 흔한 것이 미라이봇넷을 대상으로 하는 IoT 기기였다. 그런 점에서 바라쿠다 리서치는 “이번 테러(지난해 12월의 Log4j 취약성 발견)가 사이버 보안의 가까운 미래에 일어날 일에 대한 단서를 제공할 수도 있다”고 밝혔다. 즉 “DDoS 봇넷 악성코드가 널리 퍼진 것은 위협 행위자들이 향후 대규모 봇넷을 구축하기 위해 노력하고 있음을 시사하는 것으로 보이며, 조만간 대규모 디도스 공격이 있을 것으로 예상된다.”고 경고했다.

일단 Log4Shell로부터 사용자를 보호하는 방법은 매우 간단하다. 우선 쉬운 방법은 문제를 해결하는 최신 버전의 Log4j에 패치를 붙이는 것이다. ‘바라쿠다 리서치’는 “운영 환경에서는 이러한 작업이 항상 가능한 것은 아니므로 지금 패치를 적용할 수 없는 경우, 시스템이 Log4에 취약한지 확인하는 단계를 수행할 수 있다”면서 “Shell뿐만 아니라 Log4Shell 노출을 최소화하기 위해 수행할 수 있는 여러 가지 작업도 최종 목표인 패치를 실제로 설치할 수 있을 때까지 수행할 수 있다”고 밝혔다.

‘바라쿠다 리서치’의 마케팅 매니저인 투샤 리차바다스는 “이러한 취약점을 이용하려는 공격이 지난 2개월 동안 뜸해졌다가 다시 심해지는 등의 패턴으로 일정하게 지속되고 있다.”고 전했다. 그런데 “이상한 점은 로그4Shell을 이용한 공격 중 83%가 미국에서 발생했다는 것”이라고 했다.

‘바라쿠다 리서치’는 또 “지난해 12월 10일까지의 ‘로그4j’에 대한 공격으로부터 데이터를 추출하여 Log4Shell이 발견된 이후 어떻게 진행되어 왔는지 완벽하게 확인했다”고 밝혔다. 즉 위에서 언급한 바와 같이, 연구원들은 공격자 IP를 살펴볼 때 몇 가지 흥미로운 데이터를 발견했다. “대부분의 공격이 발생하는 장소가 눈길을 끈다”는 것이다. 이들 대다수가 미국이고 나머지는 일본(10%), 독일 네덜란드(3%), 러시아(1%)인 것으로 밝혀졌다.

그라나 “미국에서 발생한 공격의 절반이 AWS나 애저(Azure), 기타 클라우드 데이터 센터에서 발생했다는 사실이 밝혀졌다”면서 “이는 특정 IP에서 발생한 공격이라고 해서 공격자가 지리적으로 그 위치에만 있다는 것을 의미하지는 않는다”고 선을 그었다. 그러면서 “클라우드 서비스는 평판이 좋고, 지리적 또는 평판이 차단될 가능성이 없는 일시적인 IP에 쉽게 액세스할 수 있게 해준다”고 덧붙였다.

그 때문에 페이로드는 손상된 다른 사이트나 가상 사설 서버에서 전송되었을 가능성이 높다는 것이다. 특히 “이러한 IP는 일반적으로 ‘Base64’로 인코딩되어 더욱 난독성을 띠게 되므로, 페이로드가 어디서 발생하는지 결정하는 것이 더 어렵다”는 얘기다.