리눅스 데스크탑 배포판으로 인기있는 리눅스 민트(Linux Mint) 웹사이트가 해킹당해 Linux Mint ISO에 백도어가 포함되어 다운로드되었던 것이 밝혀졌다.
 
Linux Mint의 수장인 Clement Lefebvre는 지난 일요일 블로그를 통해 해커가 Linux Mint ISO에 백도어를 삽입하여 웹사이트에 올려두었다고 밝혔다. 그에 따르면 조작된 파일들은 지난 토요일부터 다운로드된 것으로 보인다.
 
웹페이지의 워드프레스 플러그인 취약점을 이용해 웹쉘을 업로드한 것으로 보이며, 이 공격은 ‘Peace’라는 이름의 해커가 한 것으로 알려졌다.
 
그는 지난 1월에 해당 사이트를 살펴보던 중 관리자 패널 등에 인증없이 접근할 수 있는 취약점을 찾았고 지난 토요일 백도어를 포함한 ISO이미지를 업로드 했다고 밝혔다.
 
해당 이미지는 불가리아에 위치한 파일서버에 올려졌으며 그것은 밴드위스 속도때문이라고 밝혔다. 이후 사이트에 접속하여 체크썸 을 교체했다.
 
또한 해커는 사이트의 포럼 데이터 전체를 1월 28일, 2월 18일에 걸쳐 두 번이나 훔친 것으로 알려왔다. 그는 해당 데이터 중 이메일, 생일, 사진 등 개인정보를 담고 있는 덤프의 일부를 공유하기도 했다. 특히 공유된 패스워드에 대해서 해커는 이미 크랙이 끝났다고 전해왔다. 이후 해커는 다크웹 마켓에서 약 85달러에 포럼 덤프 전체를 판매하기 시작했다.
 
해커는 자신의 성별이나 이름, 나이에 대해서는 알려오지 않았지만, 자신이 유럽에 살고 있으며 특정 해킹그룹에는 가입되어있지 않다고 밝혔다. 또한 그는 사설 마켓에서 알려진 취약점에 대해 익스플로잇 서비스를 제공해왔다고 밝혀왔다.
 
비록 일요일에 해당 프로젝트 페이지를 다운시켜 다운로드를 막기는 했으나 이미 수많은 다운로드가 이루어져 많은 사용자가 위험에 노출된 것으로 보인다.
 
사용자는 아래 MD5 시그니처를 확인하여 자신의 파일이 안전한지 검사할 수 있다. 아래와 시그니처가 다르다면 감염된 파일임을 의심하여야 한다.
 
-6e7f7e03500747c6c3bfece2c9c8394f -- linuxmint-17.3-cinnamon-32bit.iso
-e71a2aad8b58605e906dbea444dc4983 -- linuxmint-17.3-cinnamon-64bit.iso
-30fef1aa1134c5f3778c77c4417f7238 -- linuxmint-17.3-cinnamon-nocodecs-32bit.iso
-3406350a87c201cdca0927b1bc7c2ccd -- linuxmint-17.3-cinnamon-nocodecs-64bit.iso
-df38af96e99726bb0a1ef3e5cd47563d -- linuxmint-17.3-cinnamon-oem-64bit.iso
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 페소아(fesoa) 기자> mkgil@dailysecu.com