2024-04-25 11:20 (목)
에이아이스페라 “Log4j 공격 IP주소 차단해야”…공격 로그 약 8천900건 탐지·분석 데이터 공개
상태바
에이아이스페라 “Log4j 공격 IP주소 차단해야”…공격 로그 약 8천900건 탐지·분석 데이터 공개
  • 길민권 기자
  • 승인 2021.12.28 16:09
이 기사를 공유합니다
Criminal IP에서 수집한 공격 IP 주소, 매일 업데이트해 무료 제공
에이아이스페라 위협 인텔리전스 플랫폼 ‘Criminal IP’
에이아이스페라 위협 인텔리전스 플랫폼 ‘Criminal IP’

사이버 위협 인텔리전스 기업인 에이아이스페라(대표 강병탁, AI Spera)는 자체 위협 인텔리전스 플랫폼인 ‘Criminal IP’(크리미널아이피)를 통해 수집된 Log4j(Log4Shell) 취약점(CVE-2021-44228)을 이용한 공격 로그 약 8천900건을 탐지, 분석한 데이터를 공개했다.

국내외 보안업계가 아직 Log4j 취약점에 대한 완벽한 대응을 갖추지 못한 지금, 공식적인 패치 외에 기업 및 기관, 국가의 자체적인 보안 대응에 에이아이스페라의 Log4j 공격 시도 IP주소 데이터가 유용하게 쓰일 수 있을 것으로 보인다. 특히, 공개된 데이터에는 공격을 시도한 IP 주소의 ▲국가 통계 ▲ASN 통계 ▲공격 로그 분석 ▲IP주소 위협등급이 포함되어 있어, 기업 또는 국가기관에서 해당 데이터를 활용하여 Log4j를 악용하려는 IP주소의 차단을 통한 잠재적 해킹 방어가 가능할 것으로 보인다.

AI Spera 강병탁 대표는 “log4j 대응을 위해 노고가 많은 보안 관계자들을 위해 Criminal IP에서 수집한 공격 IP 주소를 매일 업데이트해 무료로 제공하고 있다”라며 “support@aispera.com으로 문의하면 공격 IP주소의 매일 업데이트 된 최신 데이터를 전달하고 있으니, 기관 및 기업에서는 빠른 시일 내로 데이터를 확보해 Log4j취약점 대응에 활용하길 바란다”고 당부했다.

다음 내용은 Log4j의 공격을 수행하는 IP 주소에 대해 AI Spera의 IP 인텔리전스 시스템인 Criminal IP에 수집된 내용을 기반으로 12월 14일부터 5일간(14일, 18일, 20일, 21일, 22일) 의 데이터를 분석한 결과이다.

■ Log4j취약점 공격 통계

아래 표와 같이 14일 963건, 18일 2천357건으로 공격 로그는 약 2.45배나 증가하는 것으로 보아 시간이 흐름에 따라서 공격 방법이 대중화되고, 공격할 타겟을 찾는 횟수가 늘어나고 있다는 것으로 예상된다. 다만, 공격 횟수에는 증감이 있었지만, 중복 IP 주소를 제거해서 보았더니 고유한 IP 주소는 12/14 245건, 12/18 65건으로 3배씩 감소하며 50-60개 IP 개수 수준에서 머무르는 것을 확인할 수 있었다.

고유한 IP 주소는 총 381건이지만, 특히 이 IP 주소들 중 107건의 IP 주소가 반복적으로 계속해서 공격을 수행하는 것으로 확인되었다. 즉, 쉬지 않고 공격을 수행하는 이 IP 주소들은 자동화된 공격 스크립트가 돌아가는 서버로 예상되며, log4j 관련 서비스를 사용하는 기업 입장에서는 이런 IP주소는 사전에 차단해 놓는 것이 좋을 수 있다.

Criminal IP로 수집한 Log4j 취약점 공격 로그 통계 (출처. 에이아이스페라)
Criminal IP로 수집한 Log4j 취약점 공격 로그 통계 (출처. 에이아이스페라)

■ 국가 통계

국가 통계를 살펴보면, 총 381건 중 고유한 국가는 총 39개로 특히 미국, 독일, 중국이 상위 3개국을 차지하고 있으며, 상위 5개국이 전체 비율 중 84%를 차지한다. 대부분의 사람들이 위험한 국가 IP 로 인지하고 있는 중국이 역시 랭킹 내에 포함되어 있으며, 또한 일반적으로도 공격 스캐너 IP 로 많이 사용되고 있는 국가인 미국도 가장 많은 비율을 차지하고 있다.

Criminal IP에서 수집된 Log4j 공격 IP 주소의 국가별 통계 (출처. 에이아이스페라(AI Spera))
Criminal IP에서 수집된 Log4j 공격 IP 주소의 국가별 통계 (출처. 에이아이스페라)

■ Tor IP

또한 공격 IP 주소 중 Tor IP 주소의 비율이 포함되어 있는 것을 확인할 수 있었다. 다크웹으로 유명해진 Tor는 브라우저로 사용되는 것 외에도 파이썬이나 C#, Go언어 등의 스크립트와 API 도 지원하고 있어 해커들이 공격을 수행하기 위해 코드에 Tor를 붙혀서 스캐닝을 하는 경우가 많이 존재한다. 이번 log4j 공격에 사용된 IP 주소들 중에서 실제 Tor IP 주소를 사용한 케이스를 확인할 수 있었다. 이처럼 공격에 Tor IP 주소를 사용하는 경우가 많기 때문에 Tor IP 주소로 들어오는 인바운드 IP주소 또한 사전에 미리 차단해 놓는 것을 추천한다.

Log4j 취약점을 공격한 실제 IP 주소의 Criminal IP 검색 결과 화면. Tor로 사용 중인 것으로 표시되고 있다. (출처. 에이아이스페라)
Log4j 취약점을 공격한 실제 IP 주소의 Criminal IP 검색 결과 화면. Tor로 사용 중인 것으로 표시되고 있다. (출처. 에이아이스페라)

■ 해커만 공격하는 것은 아니다

다음은 IP 주소 소유주로 예상할 수 있는 ASN Name과 Org Name에 대한 통계이다. 가장 많은 공격 IP 주소를 보유한 미국의 ASN Name 을 살펴보면, 대부분 호스팅 업체이거나, ISP 업체들로, 공격을 수행하기 위해 클라우드 서버나 호스팅 서버를 만들어서 스캐닝을 하고 있다는 것을 짐작할 수 있다. 특히 디지털오션(DigitalOcean)사의 서버들이 많이 보이는데, 과거에는 AWS 등의 클라우드 서버에서 해킹시도가 잦은 편이라는 인식이 있었지만 최근에는 그런 추세가 많이 감소된 편이고, 타 호스팅 서버의 이름이 더 많이 올라오는 편으로 보인다.

호스팅 업체가 아닌 경우, 매사추세츠 공과대학교(Massachusetts Institute of Technology)에서도 공격이 수행되었는데, 이는 학교 기숙사에서 학생들이 호기심으로 수행했을 수도 있고, 매사추세츠 공대 내의 연구실에서 연구/보안 목적의 테스트일 가능성도 존재한다. 공격 IP 주소의 ASN Name과 Org name을 살펴보면, 후자의 케이스로 가능성이 더 커 보인다. ORG Name을 보니 Computer Science and Artificial Intelligence Lab으로 대학교 내 연구실 IP주소인 곳도 발견되었고, 조직명이 Mark Silis 인 매사추세츠 공과대학교의 Vice President for Information Systems and Technology인 IP 주소도 확인되었다. 더불어, 보안 테스트 업체인 ESecurity의 IP 주소까지 확인할 수 있었다. 이처럼 공격 IP 주소가 모두 다 해커의 행위라고 반드시 의심하기는 어려운 것이, 사이버 보안을 전공하거나 연구하는 기관에서의 스캐닝도 발견되고 있기 때문이다.

Log4j 공격 IP 주소의 AS Name과 Org Name에 따른 분류 (출처. 에이아이스페라)
Log4j 공격 IP 주소의 AS Name과 Org Name에 따른 분류 (출처. 에이아이스페라)

■ 공격 패킷의 다양화

공격 패킷을 확인해본 결과 다양한 패턴이 발견되었다. 초기 공격 양식은 아래와 같으며 보통 User-Agent에 값을 넣어 전달하는데, 사실 이것은 일차원적인 스캐닝 수행 방법이고, 방법이 단순한 만큼 이를 탐지하는 패턴이나 시그니처가 빠른 시간만에 배포되면서 금방 차단된 편이다. 따라서 많은 공격자들이 이를 우회한 방식으로 공격을 수행하고 있다.

우회 방식으로 많이 사용되고 있는 패킷의 모양은 다음과 같다. IDS/IPS 시그니처를 만드는데 많은 도움이 될 수 있다.

■ IP 인텔리전스에서의 확인

마지막으로 Criminal IP 에서는 전 세계의 모든 IP 주소에 대한 위협 등급을 5단계 스코어링으로 분류하고 있으며(Safe, Low, Moderate, Dangerous, Critical), Log4j 공격 IP주소로 수집된 IP주소들의 위험 등급을 확인해본 결과 전체의 87.1%가 Dangerous / Critical로 위험 등급으로 분류되고 있음을 확인할 수 있었다. 즉 log4j 공격을 수행하고 있는 IP 주소의 87.1%는 이미 다른 기관을 공격한 이력이 있거나, 악성 행위에 사용된 IP 주소 가 지속적으로 공격에 사용된다는 것을 예상할 수 있다. 이처럼 Criminal IP 인텔리전스 시스템을 이용하여 위험 IP 주소에 대한 정보를 받아 인바운드 IP주소를 사전에 차단해 둔다면, log4j 공격을 완화시키는데 큰 도움을 받을 수 있다.

Criminal IP에서 분류된 Log4j 공격 IP 주소의 5단계 위협 등급 (출처. 에이아이스페라)
Criminal IP에서 분류된 Log4j 공격 IP 주소의 5단계 위협 등급 (출처. 에이아이스페라)

■ “공격 IP 주소 사전 입수해 차단하면, 해커의 스캐닝 공격 경감 시킬 수 있어”

log4j 공격이 더욱 공론화되면서 공격자와 공격 방법의 다양성이 늘어나고 있다는 것을 알 수 있다. 특히 IDS/IPS 시그니처를 피하기 위해 해커들은 새로운 공격 패킷을 조립해 전송하게 된다. 따라서 공격 IP 주소를 사전에 입수해 차단한다면, 해커의 스캐닝 공격을 경감 시킬 수 있다. 또한 Tor IP 주소역시 공격의 우회를 위해 사용되기 때문에 Tor IP 주소 역시 차단하면, 공격 대응에 많은 도움을 받을 수 있다.

또한, IP 인텔리전스 시스템을 이용해 IP 주소 차단에 연결해 두면, IP주소를 새로 수집할 수고 없이 해커가 IP주소를 바꿔서 스캔할 때마다 자동으로 대응할 수 있으므로 다이나믹한 대응이 가능하다. 본래는 IP 주소가 계속해서 바뀌기 때문에 IDS/IPS 시그니처로 대응을 하는 것으로 알려져 있지만, 최근에는 공격 패킷이 계속해서 변형됨에 따라 다시 IP 주소 차단의 대응방식으로 돌아가는 움직임이 있고, 공격에 쓰일 수 있는 IP 주소를 미리 획득하는 IP 인텔리전스를 이용하여 IP 주소를 선 차단을 하는, 일종의 보안 프로세스의 회귀 작업이다.

더불어서, ASN Name이나 Org Name을 확인하고 테스트/보안점검 등을 위해 공격을 시도하는 경우도 존재하고 있다는 것을 알 수 있다. 이 경우는 반드시 차단할 필요 없는 IP주소지만, 모의 공격이라도 회사 내부 자산에 공격받는 것이 위험요소라고 판단될 경우 스캐닝을 하는 기관에 연락하여, 스캐닝에서 제외해 달라고 요청하는 방법도 있다.

추가적으로, IP 인텔리전스에서 ASN Name이나 Org Name을 확인해 클라우드 서버나 호스팅 서버가 아닌 제조업, 의료시설 등 사이버 보안과 관계없는 일반 기업에서 공격 패킷을 전송하는 것이 발견된다면, 해당 스캐닝은 연구 목적의 스캐닝이 아니고 실제로 그 기업의 서버가 해킹을 당한 뒤 해커에게 이용이 되고 있을 가능성이 크기 때문에, 국가기관이나 정부기관, 수사기관 등에서는 이런 기관이 공격을 수행하고 있지 않은 지 지속적으로 체크해야 한다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
길민권 기자
길민권 기자 다른기사 보기
  • 서울특별시 송파구 송파대로 201 테라타워2, B동 9층 913-2호
  • 대표전화 : 02-400-2908
  • 팩스 : 02-400-2906
  • 청소년보호책임자 : 길민권
  • 법인명 :
  • 제호 : 데일리시큐
  • 등록번호 : 서울 아 02362
  • 등록일 : 2012년 11월 26일
  • 발행일 : 2013년 11월 26일
  • 발행·편집인 : 길민권
  • 사업자 번호 : 301-87-02348
  • 데일리시큐 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 데일리시큐. All rights reserved. mail to mkgil@dailysecu.com
ND소프트