전세계 2만5천대의 유닉스(Unix) 및 리눅스(Linux) 서버가 하이재킹 당해 악성코드 유포 및 대량 스팸메일 발송에 이용된 것으로 나타났다. 이 공격은 ‘오퍼레이션 윈디고(Operation Windigo)’라고 명명됐으며, 공격에는 백도어 기능을 가진 트로이목마가 이용됐다.
 
18일(현지시각) 보안업체 에셋(ESET)은 백서를 통해 지난 2년 6개월 동안 전세계 2만5천대의 유닉스 및 리눅스 서버가 감염됐다고 밝히고, 오퍼레이션 윈디고에 대한 상세한 분석을 내놨다.
 
에셋은 독일 CERT-Bund와 스웨덴 국가 컴퓨팅 기반구조보호센터(Swedish National Infrastructure for Computing), 유럽원자핵공동연구소(CERN, European Organization for Nuclear Research) 등과 함께 워킹 그룹을 결성해 공격 유형 및 주기를 파악했다.
 
69 페이지 분량의 백서에 따르면, 공격자는 OpenSSH 백도어인 Linux/Ebury를 통해 관리자의 계정을 훔치고, 이를 이용해 사용자를 악의적인 웹페이지로 리다이렉트 시키거나 대량의 스팸메일을 발송하도록 했다. 조사 결과, 하루 평균 50만명의 사용자가 리다이렉트 됐으며, 3천5백만건의 스팸메일이 발송됐다.
 
또한 사용하는 기기에 따라 리다이렉트 되는 웹페이지가 달랐다. 모바일 기기 이용자는 X 등급의 성인 광고 페이지로, 윈도우 PC 이용자는 악성코드가 심어진 페이지로, 맥 이용자는 데이팅 사이트 광고 페이지로 리다이렉트 됐다.
 
피어-마크 뷰로(Pierre-Marc Bureau) 에셋 보안정보 프로그램 매니저는 “윈디고 공격은 전세계로 빠르게 진행됐으며, 대부분의 보안제품이 해당 악성코드를 탐지하지 못했다”고 말하고, “현재 만여대의 서버가 여전히 감염돼 있는 것으로 파악됐으며, 이들은 미국, 독일, 프랑스, 이탈리아, 영국 등 총 110개국에 위치한 것으로 분석됐다”고 덧붙였다.

 
에셋은 악성코드에 감염된 서버가 해당 웹사이트의 방문자에게 미치는 영향에 대해 강조하고, 시스템 관리자들에게 서버의 감염 여부를 확인할 것을 당부했다. 또한 감염 시 기존 OS와 소프트웨어를 삭제하고 다시 설치할 것을 권고했다.
 
한편, 한국에서도 일부 감염된 것으로 확인돼 시스템 관리자들의 각별한 주의가 요구된다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com