QNAP의 저가형 제품군, 일본과 한국 연구기관 노려

이제는 NAS를 이용한 추가 응용 공격 대비해야

[보안뉴스 문가용] 쉘쇼크 배시 버그가 세상에 알려진지 1주일, 전문가들은 이미 사물인터넷 기기에 대한 무차별 공격이 시작된 것으로 보고 있다. 그 공격의 첫 목표대상은 다름아닌 NAS(network attached storage) 기기들이라고 파이어아이(FireEye)의 연구원들은 보고한다. 이는 또한 배시 취약점을 악용해 임베디디 기기를 공격한 최초의 시도일 것이라고 주장한다.

파이어아이의 연구원인 제임스 베넷(James Bennett)과 조시 고메즈(Josh Gomez)는 QNAP에서 일반 사용자와 중소기업 등을 위해 제작한 저비용 NAS 기기들이 주요 목표가 되고 있다고 한다. 이 기기들의 공통점은 전부 리눅스를 운영체제로 두고 있으며 최신 패치 없이는 쉘쇼크에 무방비로 노출되어 있다는 점이다. 배시 취약점의 특성상 공격자들은 기기에 대한 굉장히 높은 권한을 갖게 되고, QNAP은 사용자들에게 기기와 인터넷을 완전히 분리시키라는 경고를 전달한 바 있다.

“공격자들이 임베디드 기기들을 주요 목표로 삼고 있으며 활발하게 패치 창을 공략하고 있다는 증거를 여럿 포착했습니다. 특히 QNAP 제품이 빈번하게 공격당하고 있으며, authorized_keys 파일에 SSH 키를 덧붙이고 ELF 백도어를 설치하는 방식이 주를 이루고 있습니다.”

제품군으로 보면 QNAP가 주로 당하고 있고, 지역으로 보면 일본과 한국의 대학과 연구기관에서 주로 이런 활동들이 발견되고 있다. 주로 NAS 기기들의 시작 환경에 영향을 줄 수 있는 스크립트를 다운로드 받는 것으로 시작하며, 이 단계가 성공했다면 추가적으로 실행될 악성코드 업데이트 및 악성 SSH 키의 업로드도 가능해진다. 종국엔 공격자들에게 쉘의 접근권한을 주는 ELF 실행파일을 덧씌우는 것이 공격의 최종목표다. 파이어아이는 패치를 했더라도 QNAP 제품을 인터넷에서부터 완전히 분리시킬 것을 권장하고 있다. 아직 취약점의 정체가 전부 밝혀지지 않았다는 것.

NAS 시스템들이 소비자들과 업체들의 대용량 저장공간으로 활용되고 있다는 걸 생각하면 쉘쇼크를 장착한 공격자들의 첫 번째 목표가 된다는 게 이상하지는 않다. “NAS에 저장되어 있는 그 많은 정보들을 봤을 때 해커들의 첫 번째 목표가 된 건 파리가 똥에 끌리듯, 벌이 꿀에 끌리듯 자연스러운 현상일 수밖에 없습니다. 게다가 NAS 내에 저장된 그 많은 정보들에 대한 완벽한 권한을 갖게 되거든요.”

블랙햇 유럽에서 제이콥 홀콤(Jacob Holcomb)이라는 연구가는 자신이 분석한 NAS 기기들 중 절반 가량이 이런 위험에 무방비로 노출되어 있다고 보고한 바 있다. 여기에 더해 홀콤은 최근 12개의 NAS 제품들에서 서른 개가 넘는 제로데이 취약점을 발견해 발표하기도 했다. 그에 의하면 NAS 기기들에서 발견된 이런 취약점은 취약점 이상의 의미를 가지고 있다. NAS 기기들을 발판 삼아 다른 기기들을 공격하는 방법도 충분히 개발 가능하고, NAS를 활용해 라우터나 네트워크 클라이언트를 대상으로 한 중간자 공격을 하는 것도 가능하기 때문이다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>