2019-09-20 22:04 (금)
[긴급] 중국 해커들, Struts2 자동화 공격툴과 공격방법 공유중…주의
상태바
[긴급] 중국 해커들, Struts2 자동화 공격툴과 공격방법 공유중…주의
  • 길민권 기자
  • 승인 2017.03.09 18:03
이 기사를 공유합니다

씨엔시큐리티 “취약점이 존재하는 웹서버 공격하는 자동화 도구 배포 시작”

한국의 사드(THAAD. 고고도 미사일 방어체계) 배치가 결정되면서 중국 정부와 민간의 반한 감정이 도를 넘어서고 있다. 특히 중국 해커들의 한국 사이트에 대한 웹페이지 변조 및 해킹, DDoS 공격도 급증하고 있다.

8일 한국인터넷진흥원은 국내 홈페이지 변조와 DDoS 공격이 지속적으로 발생하고 있다며 홈페이지에 사용하는 콘텐츠관리시스템(CMS) 등 웹 어플리케이션을 최신버전으로 업데이트하고 자체적인 웹 취약점 점검을 권고했다.

▲ 중국 해킹단체 판다정보국(PIB)에 의해 변조된 한국 사이트 이미지.
▲ 중국 해킹단체 판다정보국(PIB)에 의해 변조된 한국 사이트 이미지.
또한 중국 해커들이 공격에 활용하고 있는 Apache Struts2(아파치 스트럿츠2) 취약점에 대한 신속한 패치를 당부했다. 이 취약점을 활용해 한국 웹서버를 공격하고 있는 것으로 확인됐다.

이번 사이버 공격을 주도하고 있는 중국 해킹단체는 판다정보국(이하 PIB), 화샤해커동맹(77169), 1937CN 등이며 이들은 조직적으로 평창동계올림픽 대회 관련 웹사이트 변조, 무주 세계태권도선수권 대회 사이트 변조, 롯데 관련 사이트 등 다양한 국내 공공과 민간사이트를 공격하고 있다.

1937CN 해커그룹은 민족주의 성향을 띄는 중국 해커그룹이다. 이 그룹은 지금까지 다른 해커그룹과 연합해 중국과 영토분쟁중인 국가들(베트남, 필리핀, 일본 등)의 웹사이트들을 주로 공격해 왔으며, 사이트를 변조해 자신들의 메시지를 전달 하고 있다.

특히 지난 3월 6일 Struts2에 존재하는 원격코드 실행 취약점(S2-045, CVE-2017-5638)이 공개됐다. 공격자는 HTTP Request 헤더의 Content-Type 값을 임의로 변조해 원격코드 실행이 가능하다. 현재 중국 해커들은 이 취약점을 활용한 공격툴을 제작해 한국사이트 공격에 활용하고 있다.

▲ 다양한 기능이 추가되고 있는 Struts2 취약점 공격툴들이 공유되고 있다. 씨엔시큐리티 제공.
▲ 다양한 기능이 추가되고 있는 Struts2 취약점 공격툴들이 공유되고 있다. 씨엔시큐리티 제공.
이에 대해 씨엔시큐리티 측은 “Struts2 취약점이 공개된 직후 중국에서는 취약점이 존재하는 웹서버를 공격하는 자동화 도구들이 배포되기 시작했고, 현재 대량의 사이트 공격, 파일 업로드 지원 등의 기능이 추가되는 등 다양한 버전의 자동화 공격툴이 앞다투어 공유되고 있다”고 밝혔다.

또한 중국 해커들의 S2-045 취약점 관련 한국 URL 공유현황을 살펴보면 아래와 같다. 해당 사이트들은 각별한 주의가 요구된다.

▲ 중국 해커들의 S2-045 취약점 관련 한국 사이트 공유현황. 씨엔시큐리티 제공. 해당 사이트들은 각별한 주의가 필요하다.
▲ 중국 해커들의 S2-045 취약점 관련 한국 사이트 공유현황. 씨엔시큐리티 제공. 해당 사이트들은 각별한 주의가 필요하다.
더욱이 모 중국 해커는 자신의 블로그에 S2-045(CVE-2017-5638) 취약점을 이용해 빠르게 서버권한을 획득하는 방법 및 웹쉘 설치방법을 상세히 설명하고 있을 정도다.

또 중국 포털에는 롯데를 공격하자는 선동적인 글도 계속 올라오고 있다. 씨엔시큐리티에 따르면, 중국 포털 바이두에서 롯데계열사에 대한 정보공유가 이루어지고 있으며 국가안전과 민족 이익을 위해 한국산 제품 구매를 자제하라는 내용이 올라오고 있고 롯데그룹을 해킹할 해커를 찾는다는 글도 올라왔다고 밝혔다. 또 중국 화샤 해커연맹에서 주관하는 포럼을 통해 롯데를 규탄하며 공격하자는 선전포고성 영상도 올라오고 있는 상황이다.

씨엔시큐리티는 “중국의 해커연합들은 민족주의적 성격이 강하며 과거 중국 영토분쟁 당시 일본, 필리핀, 베트남 웹사이트를 공격한 사례가 있다”며 “과거 반한감정으로 발생된 중-한 공격 69성전, 일본 조어도 영토 분쟁으로 발생한 중-일 공격, 중국-베트남 사이버전, 중국-필리핀 황암도(Scarborough Shoal)영토 분쟁 사이버전 등과 관련이 있다”고 설명했다.

한편 우리 정부는 9일 18시부로 국가 사이버위기 경보(군INFOCON 포함)가 '관심'에서 '주의'로 상향 조정하고 “국내 사이트를 대상으로 해킹시도가 증가하고, 한미 연합 훈련 기간 중 북한에 의한 사이버공격 가능성이 고조되고 있다. 각 기관의 각별한 주의를 당부한다”고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★