쉘쇼크(Shellshock)는 센트OS, 데비안, 레드햇, 우분투 리눅스 등 리눅스 계열 운영체제(OS)와 맥OS X 등에서 사용하는 GNU Bash에서 공격자가 원격에서 시스템 파괴, 정보유출 등 악의적인 시스템 명령을 실행할 수 있는 취약점으로, 지난 9월 24일 일반에 공개됐다.
보안업체 인캡슐라(Incapsula)가 배포한 조사 자료에 따르면, 악의적인 공격자는 해당 취약점을 끊임없이 이용해 공격하는 것으로 나타났다. 특히 지난 주말 밤에는 24시간 동안 집중적인 공격이 이뤄졌으며, 당시 공격의 수는 기하급수적으로 증가해 최고 약 2,500건에 달하기도 했다. 분석 결과, 시간 당 평균 725건의 공격이 발생했다.
이러한 공격은 총 400개의 서로 다른 IP 주소에서 시작됐고, 대부분 IP 주소의 소재지는 중국과 미국인 것으로 나타났다. 하지만 해당 국가의 공격자에 의해 공격이 발생한 것인지 여부는 알 수 없다.
연구진은 57%의 공격이 cURL을 사용해 수행됐다고 밝혔다. cURL은 서로 다른 프로토콜을 통해 데이터를 전송하려는 목적으로 라이브러리와 명령줄 도구를 통합하는 유틸리티다.
IP의 지리적 분포를 보여주는 그래프를 살펴보면, 중국이 29.72%로 가장 높고 미국이 근소한 차이인 25.58%로 두 번째로 많은 것으로 나타났다. 그리고 영국, 러시아, 독일, 프랑스, 캐나다, 네덜란드 및 스위스 등의 국가들이 목록에 포함됐다.
인캡슐라의 보안 연구원 오퍼 게이어(Ofer Gayer)는 26일 자사 블로그를 통해 “우리가 관찰한 바로는 새로운 대상을 더 많이 감염시키기 위해 감염된 서버에서 자동 스크립트를 실행하면서 기존 봇넷을 이용해 새로운 봇넷을 생성한다”고 설명했다.
해커들이 사용한 도구는 쉘쇼크 취약점 익스플로잇이라는 새로운 작업이 할당된 DDoS 봇이었다. 게이어 연구원은 이러한 공격 중 일부가 새로운 대상을 감염시키는데 성공해 기존에도 거대했던 봇넷 군단의 수가 더욱 증가했을 것으로 추정했다.
리눅스 및 OS X 시스템용 배시 명령줄 인터프리터에 대한 일련의 패치가 시작됐지만 배시 취약점은 개발자들에 의해 계속해서 발견되고 있는 실정이다.
현재 시점으로는, 레드햇(Red Hat)의 제품 보안 연구원 플로리안 웨이머(Florian Weimer)의 패치가 가장 최신의 것이다. 최초 패치된 시스템을 대상으로 이용될 수 있는 새로운 두개의 원격 코드 실행 취약점을 발견한 구글의 보안 엔지니어 마이클 잘레스키(Michal Zalewski)는 이 패치에 대해 ‘현재 우리가 생각할 수 있는 대부분의 가장 중요한 사용 사례에서’ 공격자가 추가한 파싱 코드를 가변 함수로 격리시킨다고 평가했다.
<★정보보안 대표 미디어 데일리시큐!★>
데일리시큐 호애진 기자 ajho@dailysecu.com
