중국의 유명 보안기업인 Tencent 보안센터에서 SourceForge.Net의 한국 미러서버가 해킹되어 현재 배포되고 있는 최신 phpMyAdmin-3.5.2.2-all-languages.zip 파일에 일구화목마 백도어가 존재하고 있다고 공개했다. 

 
미러서버는 인터넷상에서 유명한 파일 전송 규약(FTP) 서버 지역에 사용자가 폭주하여 시스템에 부하가 걸려 성능에 문제가 발생하게 되는데, 이를 방지하기 위해 다른 주 컴퓨터에 이와 똑같은 FTP 서버 데이터나 파일을 복사해 놓은 서버를 말한다.
 
일구화목마를 이용하면 업로드 기능이 없는 게시판이라고 할지라도 취약점을 이용해 손쉽게 웹쉘 업로드에 약용될 수 있다.
 
일구화목마는 중국 해커들에 의해 만들어진 웹쉘의 일종이다. 일반적인 웹쉘의 경우 복잡한 코드로 작성되지만, 일구화목마는 단 한 줄의 코드만으로 웹쉘을 만드는 것이 가능하다. 간단한 방법으로 웹쉘을 만드는 것이 가능하기 때문에 다양한 기법으로 웹쉘을 실행하는 것이 가능하며, 또한 서버에 삽입된 코드를 탐지하는 것도 매우 어렵다.
 
이 문서에서는 일구화목마의 세부적이고 기술적인 내용보다는 전반적인 일구화목마의 삽입 기법 및 공격 특징을 소개하는 자료다.
 
기술적으로 상세하게 설명되지 않아 웹 스크립트, 웹쉘에 대한 기본적인 지식이 없는 비전문가들에게는 어려운 내용이 될 수도 있다.
 
phpMyAdmin은 웹브라우저 상에서 손쉽게 MySQL DB관리를 할 수 있는 도구로써 널리 사용 되고 있으며 MySQL을 월드 와이드 웹 상에서 관리할 목적으로 PHP로 작성한 오픈 소스 도구이다. 데이터베이스, 테이블, 필드, 열의 작성, 수정, 삭제, 또 SQL 상태 실행, 사용자 및 사용 권한 관리 등의 다양한 작업을 수행할 수 있다.
 
중국의 해킹 위협 분석을 전문으로 하는 씨엔시큐리티(대표 류승우 www.cnsec.co.kr)의 확인내용에 따르면, 공식 사이트를 통해 다운로드 받을 수 있는 phpMyAdmin-3.5.2.2 버전의 한국 미러 사이트 중 한 곳에 해커가 심어놓은 server_sync.php 파일명으로 일구화목마 백도어가 포함되어 배포되고 있는 것을 확인할 수 있다.

 
확인결과 xxxxxworks-kr-1에는 백도어가 존재하나 xxxxxworks-kr-2에는 백도어가 존재하지 않는것으로 나타났다.(해당 관리업체에서 통보를 받고 현재 백도어를 제거한 상태이므로 업체명 일부는 X로 처리함)
 
◇xxxxxworks-kr-1 (백도어 존재)
http://xxxxxworks-kr-1.dl.sourceforge.net/project/phpmyadmin/phpMyAdmin/3.5.2.2/phpMyAdmin-3.5.2.2-all-languages.zip
 
◇xxxxxworks-kr-2 (백도어 존재하지 않음)
http://xxxxxworks-kr-2.dl.sourceforge.net/project/phpmyadmin/phpMyAdmin/3.5.2.2/phpMyAdmin-3.5.2.2-all-languages.zip
 
씨엔시큐리티 관계자는 “sourceforge에서 소스코드를 다운로드 할 때 네트워크 상황에 따라 자동으로 미러 사이트를 선택해 다운로드 되므로, phpMyAdmin-3.5.2.2 버전을 사용하는 관리자들은 반드시 백도어 파일 존재 유무를 확인해 백도어 파일(server_sync.php)을 삭제해야 한다”고 주의를 당부했다.
 
해당 관리업체 관계자는 “무상으로 SourceForge.Net서비스를 지원해 왔다. 확인결과 백도어가 발견된 것이 맞고 현재 긴급히 조치를 취한 상황이다”라며 “소스코드를 받아 홈페이지 제작을 한 웹사이트에까지 백도어의 영향이 있는지는 조사를 해 보고 신속히 조치를 취하겠다”고 밝혔다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com