[아이뉴스24 최은정 기자] 아마존웹서비스(AWS)와 연결된 클라우드 인프라 서버에서 해커의 명령제어(C2) 서버와 통신하는 악성코드가 발견된 것으로 나타났다.
영국 보안기업 소포스는 AWS에 호스팅 된 서버를 조사중에 이 같은 악성코드를 발견, '클라우드 스누퍼(Cloud Snooper)'로 명명했다고 29일 밝혔다.
이번에 발견된 멀웨어는 클라우드 보안 방화벽을 우회하는 정교한 기술과 맞춤형 지능형지속위협(APT)을 사용한 것으로 나타났다. 공격 배후에는 특정 국가의 후원을 받는 조직이 있을 것으로 소포스는 예측했다.
또 이번 공격은 리눅스 혹은 윈도 기반 서버에서 성공적으로 수행된 것으로 조사됐다. 당시 AWS는 인바운드 http 혹은 https 트래픽만이 서버에 도달할 수 있도록 설정돼 있었으나 해킹된 리눅스 시스템에서 공격자가 열어 놓은 외부 채널과도 통신하고 있었던 것. TCP 포트 2080과 2053 채널이 여기에 해당된다.
소포스는 해당 리눅스 시스템을 분석한 결과, 해커가 원격으로 서버를 제어할 수 있는 루트킷을 발견했다는 설명이다. 루트킷은 시스템에서 탐지되지 않고 데이터를 도용·탈취하는 데 사용되는 요소로 공격자는 이를 통해 추가 악성코드 설치, 코드 실행 등 악의적 행동을 이어간다.
해커는 루트킷을 사용해 백도어를 설치, C2 서버와 통신한 것으로 알려졌다. 또 이들은 자신들의 C2 트래픽을 정상적인 것처럼 위장해 보안 방화벽을 통과할 수 있었던 것으로 분석됐다.
소포스 관계자는 "이번 루트킷은 아마존 관련 클라우드뿐 아니라 온프래미스 서버 등에서도 피해를 입힐 수 있는 방법"이라며 "공격 방식을 봤을때 배후에는 특정 정부 지원을 받는 조직이 있을 것으로 보인다"고 말했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기