시스템 관리자 권한 획득 겨냥한 MS SQL서버 해킹 급증

 최근 MS-SQL 서버의 취약성을 이용한 해킹 공격이 급속히 늘어나면서 이에 대한 대책마련이 시급하다는 지적이 높아지고 있다.

 3일 미국 컴퓨터응급대응센터(CERT)가 발표한 자료에 따르면 지난 5월 한달동안 MS-SQL 서버에 대한 스캔공격이 지난 5월 21일부터 급증, 1일 최고 60만회를 넘어섰으며 이를 이용한 악의적인 공격으로 인한 피해사고가 급증하고 있는 것으로 나타났다. 정보보호 전문가들은 국내는 아직까지 구체적인 피해사례가 조사되지 않았으나 해커들 사이에 MS-SQL 서버에 대한 취약성이 알려지면서 이를 이용한 공격을 통해 시스템 관리자 권한을 획득하는 사례가 크게 늘어나고 있어 국내에서도 이에 대한 대비책을 마련해야 한다고 밝혔다.

 △취약성 공격유형 확대=해커들이 MS-SQL 서버의 취약성을 공격해 시스템 관리자 권한을 획득, 이를 통해 원하는 정보를 획득하거나 시스템 파괴, 스피다(spida) 웜 바이러스 전파 등으로 피해를 입힌다.

 해커들의 취약성 공격 유형은 크게 2가지로 나뉜다. 우선 가장 널리 악용하는 방법으로 파일전송프로토콜(FTP)이나 텔넷을 이용하기 위해 수행되는 사용자 신분확인과 인증과정에서 발생하는 취약성을 이용한다. 기본적으로 MS-SQL 서버는 원격사용자의 접속허가를 위해 사용자 계정과 패스워드를 확인하는 인증과정을 수행하게 된다. 이때 해커는 MS-SQL 서버가 사용하는 ‘1433’ 포트의 스캔만으로 기본 사용자 계정에 해당하는 권한을 얻을 수 있다.

 또 다른 방법으로는 MS-SQL 서버의 데이터베이스를 이용해 원격응용프로그램 개발을 지원하기 위한 확장 저장함수의 취약성을 이용하는 것이다. MS-SQL 서버의 확장저장함수를 구현하는 과정에서 함수 인자의 검증과정이 없어 이를 버퍼 오버플로, 포맷 스트링 등의 방식으로 공격하면 특정 권한을 획득할 수 있다. 이를 통해 특정 응용프로그램의 실행이나 시스템 파괴 등이 가능하다.

 △설정 변경으로 방지 가능=한국정보보호진흥원(KISA)의 침해사고대응팀(CERTCC-KR)이 최근 발표한 MS-SQL 서버의 취약성을 이용해 널리 전파되고 있는 스피다 웜 바이러스에 대한 방지책은 4가지다. 침해사고대응팀은 MS-SQL 서버의 기본 사용자 계정인 ‘SA’에 대한 암호를 설정해 접속자를 선별할 것과 MS-SQL 서버가 사용하는 ‘1433/tcp’ 포트로 들어오는 패킷을 차단함으로써 외부망으로부터의 스캐닝이나 취약점을 이용한 공격을 방지할 수 있다고 밝혔다. 또한 피해시스템으로부터 1433/tcp 포트를 통하여 외부망이나 인터넷으로 나가는 패킷을 차단함으로써 또 다른 시스템에 대한 피해를 줄일 수 있다.

 이밖에 웜 바이러스 공격에 대한 피해 중 하나로 네트워크나 시스템 환경설정 정보 및 사용자계정 정보가 ‘ixtld@postone.com’ 계정으로 외부에 발송되는데, 이로 인한 중요한 정보유출을 방지하려면 이 계정으로 발송되는 e메일을 차단시킬 것을 권고했다.

 △정보보호솔루션 기능 활용한 방지=정보보호 전문가들은 취약성을 이용한 해킹에 대체하기 위해서는 기존 정보보호 솔루션의 기능을 활용한 보안정책 마련이 필요하다고 밝혔다. 전문가들이 추천하는 방법 중에 하나가 운용체계와 응용프로그램의 버그와 오류 등에 의해 발생하는 취약성을 사전에 미리 진단할 수 있는 스캐너 제품의 도입이다. 스캐너는 현재 사용되는 MS-SQL 서버의 설정정보를 분석해 해커 공격으로 인한 피해가 발생하기 전에 정보보호 관리자에게 보고하기 때문에 이 정보를 기반으로 취약성을 제거해 피해를 최소화할 수 있다. 또다른 방법으로 침입탐지시스템(IDS)을 설치해 실시간으로 발생하는 1433포트 스캔이나 바이러스, 버퍼 오버플로 등의 공격 시도를 탐지하는 것이다.

 박종운 시큐브 해킹DB 팀장은 “각종 응용프로그램에 대한 정보보호 패치 정보가 지속적으로 제공되지만 정보보호 관리자가 이를 지속적으로 따라가기는 어렵다”며 “현실적인 대안으로 기존 정보보호 솔루션을 통한 정책마련이 필요하다”고 밝혔다.  

 <서동규기자 dkseo@etnews.co.kr>