워드프레스(WordPress), 줌라(Joomla), 데이타라이프 엔진(Datalife Engine)과 같은 CMS(Content Management System)에 기반한 6천여 개의 웹사이트가 대규모 무차별 대입 공격을 받은 것으로 나타났다.

 
이러한 일련의 무차별 대입 공격은 ‘포트 디스코(Fort Disco)’라고 불리는 봇넷으로부터 비롯됐다. 2013년 5월부터 시작된 공격은 현재까지도 진행 중이며, 현재 이 봇넷은 2만5천여 대의 좀비PC들로 구성돼 있는 것으로 나타났다.
 
포트 디스코 봇넷은 악성코드를 통해 윈도우 PC를 감염시키고, 이 악성코드는 공격할 웹사이트 목록뿐만 아니라 흔히 쓰이는 아이디와 비밀번호가 조합된 목록을 C&C 서버로부터 받는다. 공격을 성공시킨 비밀번호는 주로 admin과 123456, 혹은 이들을 조합한 것이었다.
 
아버 네트웍스(Arbor Networks)의 ASERT에 따르면, 이 중 800여개의 웹사이트에서 ‘파일즈맨(FilesMan)’이라는 PHP 백도어의 변종이 발견됐다. 공격자는 이를 통해 파일을 열어보거나 편집할 수 있고 컨텐트를 다운로드 할 수 있으며 새로운 명령을 수행할 수도 있다. 
  
또한 일부 웹사이트에서는 스틱스(Styx) 익스플로잇 킷을 호스팅하고 있는 웹사이트로 다시 보내는 PHP 기반의 리다이렉터(Redirector)가 발견됐다.
 
포트 디스코의 공격 전술은 지난해 말과 올해 초 미국 은행 및 금융기관을 타깃으로 한 디도스 공격에 이용된 브로봇(Brobot) 공격의 전술과 유사하다. 다만 브로봇이 CMS 내 보안 취약점을 타깃으로 했다면, 이번의 경우 취약한 비밀번호를 타깃으로 하고 있다는 점이 다르다.
 
아버 네트웍스의 연구원인 맷 빙(Matt Bing)은 “흔히 쓰이는 아이디와 비밀번호를 이용한 무차별 대입 공격은 그리 어려운 일이 아닐 뿐만 아니라 CMS가 이러한 공격에 취약하다는 사실을 이제 공격자들도 알았을 것”이라며, “더욱 심각한 위협은 CMS 기반의 수많은 웹사이트들이 많은 대역폭을 확보하고 있는 대형 데이터센터에 호스팅되고 있다는 사실로, 이들은 언제든지 디도스 봇으로 바뀔 수 있다”고 밝혔다.
 
한편, 봇넷의 제작자는 러시아인으로 추정되고 있다. 발견된 6개의 C&C 서버의 IP 주소가 러시아와 우크라이나이고, 기본으로 설정된 문자가 키릴 문자일 뿐만 아니라 악성코드의 일부 에러 스트링이 러시아어로 쓰여 있기 때문이다.
 
그러나 해당 봇넷에 가장 많이 감염된 국가는 페루와 필리핀, 그리고 멕시코인 것으로 나타났으며, 미국과 유럽은 크게 영향을 받지 않은 것으로 알려졌다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com