마이크로소프트(MS)가 개발한 데이터베이스 머신 수천 대가 암호화폐 채굴 봇에 감염된 것으로 나타났다.
1일(현지시간) 가디코어랩스는 보고서를 통해 MS-SQL 서버를 집중 공격하는 악성 암호화폐 채굴 봇넷을 발견했다고 밝혔다. 봇넷이란 악성코드에 감염돼 해커가 제어할 수 있는 상태가 된 좀비 PC들로 구성된 네트워크를 말한다.
가디코어랩스는 이 악성 봇넷을 ‘볼가르(Vollgar)’라 지칭했다. 봇넷이 볼라(VDS)와 모네로(XMR)를 주로 채굴한 데서 따온 이름이다. 가디코어랩스는 볼가르가 지난 2018년부터 활동을 시작해왔으며, 하루에 약 2,000~3,000대의 데이터베이스 머신을 감염시켰다고 추산했다.
볼가르 감염이 가장 많은 국가는 중국, 인도, 한국, 터키, 미국이다. 의료, 항공, IT, 통신, 교육 등 다양한 산업군에서 볼가르에 감염된 MS-SQL을 사용하고 있었던 것으로 알려졌다. 볼가르는 보안 수준이 낮은 서버를 고른 후 무작위 대입 공격으로 비밀번호를 알아냈다. 알아낸 비밀번호로 로그인에 성공한 후에는 데이터베이스를 구성하는 일련의 요소들을 변경해 악성코드를 설치했다.
가디코어랩스는 “볼가르는 우리 서버도 공격해왔다”며 “볼가르 감염이 처음 시작된 IP는 총 120개이며, 메인 서버는 중국에 위치한 것으로 나타났다”고 설명했다. 가디코어랩스는 볼가르감염 여부를 확인하는 방법을 공유하면서 “감염됐을 경우 데이터베이스 머신을 즉시 분리하고 다른 네트워크까지 접근하지 못하도록 막아야 한다”며 “MS-SQL 사용자 계정을 변경하는 것도 중요하다”고 덧붙였다.
/노윤주기자 daisyroh@decenter.kr
- 노윤주 기자
- yjr0906@decenter.kr