지난 24일(현지시각)부터 구글 크롬과 모질라 파이어폭스 브라우저 이용자들이 PHP 오픈소스 제공 사이트인 php.net에 접속하면 악성코드 경고창이 떴다. 이는 구글에서 제공하는 ‘세이프 브라우징(Safe Browsing)’ 기능으로, 악성코드 감염 가능성이 있는 도메인을 사용자에게 알려줌으로써 위험성을 사전에 인지하도록 하는 것이다.

 
사이트 관리자를 비롯해 대부분의 사람들은 구글이 오진한 것으로 여겼고, 이를 심각하게 받아 들이지 않았다. 그러나 이후 면밀한 조사 결과 2개의 서버가 해킹됐고, 악성코드를 유포한 것이 사실로 확인됐다. 

공격자들은 사이트 내 4개의 페이지에 악성 자바스크립트 코드(userprefs.js)를 삽입했으며, 방문자가 해당 페이지에 접속하면 브라우저를 스캔해 취약한 플러그인을 찾고 이에 따른 악성 SWF 파일을 유포하도록 했다.
 
흥미로운 점은 데스크톱 이용자만을 타깃으로 했다는 사실이다. 모바일 브라우저를 통해 접속한 사람들은 이러한 보안 위협으로부터 안전했던 것으로 나타났다.
 
보안업체 바라쿠다 네트웍스(Barracuda Networks)는 이번 해킹에 대한 패킷을 캡처한 파일을 확보했고, 분석을 위해 이를 다른 보안업체들과 공유했다. 그리고 카스퍼스키랩(Kaspersky Lab)의 연구원인 파비오 아솔리니(Fabio Assolini)는 매그니튜드(Magnitude) 익스플로잇 킷이 포함된 악성 iFrame이 php.net에 삽입됐고, 사용자 컴퓨터에 안티바이러스 백신의 탐지율이 낮은 정보 탈취 목적의 악성코드인 ‘텝퍼(Tepfer)’의 변종을 드롭시킨다는 사실을 알아냈다.
 
PHP 그룹은 php.net과 static.php.net 및 git.php.net 도메인을 호스팅 하는 서버와 bugs.php.net을 호스팅하는 서버가 해킹됐다고 밝히고, 현재 이에 대한 조사가 진행 중이라고 덧붙였다.

 
공격자들이 왜 php.net를 타깃으로 삼았는지, 방문자 수가 많기 때문인지 아니면 방문자 대부분이 개발자이기 때문인지 여부는 확실하지 않다. 웹 분석업체인 알렉사(Alexa)는 php.net이 전세계에서 228위로 방문자 수가 많다고 발표한 바 있다.
 
PHP 개발자가 공격자들에게 중요한 타깃이 될 수 있다. 이들의 컴퓨터에는 주로 소스코드와 같은 지적 재산뿐만 아니라 관리하는 사이트의 계정 정보와 같은 민감한 정보가 담겨 있기 때문이다. 또한 개발자가 회사 컴퓨터를 이용해 php.net에 접속 시 이들의 컴퓨터를 해킹하면 기업망에 접속할 수도 있다.
 
PHP 그룹은 GIT 리포지터리(Repository)가 손상되지 않았기 때문에 소스코드 동기화 과정에 의해서 userprefs.js에 추가된 악의적인 코드가 주기적으로 삭제됐으며, 이에 따라 해킹 사고로 인한 영향은 크지 않을 것이라고 강조했다.
 
그러나 공격자들이 SSL 인증서의 개인키(Private Key)에 접근했을 가능성이 있어 해당 인증서를 폐기하고, 이를 새롭게 발급받기 위한 절차를 밟고 있으며, bus.php.net과 wiki.php.net을 포함해 SSL을 필요로 하는 php.net 사이트를 빠른 시간 내 복구할 계획이라고 전했다.
 
한편, 자바스크립트 악성코드는 10월 22일부터 24일까지 php.net에 접속한 소수의 이용자들에게 유포된 것으로 파악됐으며, 며칠 내로 php.net 이용자들의 비밀번호는 초기화 될 예정이다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com