최근 이스라엘 국가사이버국(NCD)은 F5네트웍스 제품 사용자를 노리는 정교한 사이버 공격에 대한 긴급 경고를 발표했다. 한국 사용자들도 각별한 주의를 기울여야 한다.
공격자들은 10월 말에 공개된 F5 BIG-IP의 심각한 인증 우회 취약점을 이용하고 있다. 이 표적 공격은 F5네트웍스를 사칭한 사기성 이메일 캠페인을 통해 위험한 와이퍼 멀웨어를 유포하고 있다.
공격자는 피싱 공격을 통해 F5네트웍스를 사칭해 수신자에게 확인된 취약점에 대한 중요한 업데이트를 안내한다. "cert@f5.support"에서 전송된 피싱 이메일에는 F5 취약점에 대한 보안 패치라고 주장하는 "update.zip"이라는 첨부 파일이 포함되어 있다. 하지만 첨부 파일에는 정상적인 업데이트가 아니라 서버 콘텐츠를 삭제하도록 설계된 와이퍼 멀웨어가 숨겨져 있다.
F5네트웍스는 이 취약점을 해결하기 위해 BIG-IP 시스템에서 특정 셸 스크립트 파일을 다운로드해 실행할 것을 권고했다. 공격자들은 이 지침을 악용해 사용자가 무의식적으로 악성 페이로드를 실행하도록 조작해 F5 서버의 보안을 더욱 취약하게 만든다.
각 공격은 악성코드의 각 인스턴스에 대해 고유한 파일 식별자를 사용해 개별 피해자에게 맞춤화했다. 또 악성 페이로드를 다운로드하는 데 사용되는 URL도 피해자마다 다르다. 이러한 정교함 때문에 보안부서에서 위협 식별이 어려워지게 된다.
그나마 다행스러운 것은 와이퍼 멀웨어는 일단 실행되면 한 서버에서 다른 서버로 측면 이동이 불가능한 것으로 알려졌다.
현재로서는 이 사이버 공격이 얼마나 많은 인스턴스에서 탐지되었는지는 불분명하며, 구체적인 표적은 공개되지 않았다. 공격의 범위에 관한 정보가 부족하기 때문에 불확실성이 가중되고 있다.
F5네트웍스 사용자들은 보안 업데이트를 제공한다고 주장하는 원치 않는 이메일을 받을 때 각별히 주의해야 한다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★