비트코인 채굴 악성코드 증가 – 갑작스런 서버 시스템 CPU 점유율 상승 현상?

2017년에 하반기부터 갑작스럽게 비트코인에 대해 많은 이슈화가 발생하면서, 어느 고객으로부터 갑작스럽게 서버 시스템이 느려지는 현상이 발생한다는 접수를 받았다.

해당 고객사를 방문하여 서버를 점검한 결과 최신 윈도우 보안 패치를 적용하여 사용하고 있었고, 백신도 주기적으로 업데이트를 하며, 정기적으로 악성코드 검사를 통해서 서버를 잘 관리하고 있는 상태였다.

하지만, 특정 프로세스가 갑작스럽게 CPU의 점유율을 8~90%를 차지하면서 업무 프로그램이 정상적으로 동작하지 않는 현상이 빈번하게 발생하고 있었고, 어느 순간에는 해당 프로세스가 수십 개씩 생겨나면서 서버가 다운이 되는 경우도 발생했다.

참고로, 이 서버는 모바일 서비스를 제공하는 WAS(웹 어플리케이션 서버)였다.

다양한 보안 솔루션으로 서버 시스템을 보호하고 있어도 감염 현상 발생 - 원인은?

해당 고객사를 방문하여 서버를 점검하면서, 원인을 발생시키는 특정프로세스를 발견하여, 프로세스를 강제 종료 시킨 후, 제거를 하였다. 해당 프로세스는 비트코인을 채굴하는 악성코드로 밝혀졌고, 샘플 업데이트를 통해 진단이 될 수 있도록 조치를 취했다.

이후, 얼마 동안은 잠잠하다가, 어느날 또 동일한 증상이 발생했다는 연락을 받았다. 다시, 서버를 살펴봤더니 비슷한 파일명을 가진 프로세스가 또 생성이 되어서, CPU를 과다하게 점유하고 있었다. 여러 방향으로 원인을 파악하는 중에, 다른 고객사에서 동일한 증상으로 고민을 하고 있다는 연락을 받아서 점검을 위해 방문했다. 역시나 동일한 역할을 하는 WAS 였다.

첫 번째 고객사의 시스템은 JBOSS 기반으로 개발된 WAS 였으며, 다른 고객사의 시스템은 WebLogic 기반의 WAS 였다. 이 두 시스템의 공통점은 초기에 개발된 버전의 WAS를 사용하고 있었으며, 개발된 이후로 10년 가까이 패치를 하지 않았다는 것이었다. 즉, 해당 WAS의 취약점을 통해서 악성코드가 침입을 한 것으로 파악이 되었다.

JBOSS, WebLogic 최신 버전 패치 적용 후 서버 안정화 - 보안 취약점 패치의 중요성!

JBOSS와 WebLogic은 많은 업체에서 사용하고 있는 서비스로 취약점에 대해서 꾸준하게 이슈가 되었으며 그때마다, 지금까지 꾸준하게 패치를 제공해 왔었다. 하지만, 고객사는 이러한 점을 잘 모르고 있었으며, 운영이 되고 있는 서버를 임의로 건드릴 수 없어서 오랫동안 초기에 개발된 상태 그대로 사용을 할 수 밖에 없는 상황이었다.

함부로 패치를 했다가는 어떠한 돌발 상황이 발생이 될지 몰라서, 해당 증상이 발생할 때마다, 어쩔 수 없이 수동으로 조치를 하고 있는 상태였다.

두 고객사에게 해당 문제점의 해결을 위해서 최신 버전 패치를 적용할 것을 권고했다. 다행이 한 고객사는 WAS 시스템의 유지보수를 맺고 있는 상황이어서, 엔지니어의 지원을 받아 WebLogic 취약점 패치를 적용했고, 적용한 순간부터 해당 증상이 깔끔하게 사라졌다.

그러나, 다른 고객사는 WAS 시스템의 유지보수를 맺고 있지 않은 상황이다 보니, 지원을 받기 위해서는 비용이 발생하기 때문에 아직까지도 망설이고 있는 상태이다. 하지만, 빠른 시일 내에 유지보수 비용을 지불해서라도 패치를 진행해야 한다. 공격자는 언제든지 마음만 먹으면 비트코인 채굴 목적에서, 랜섬웨어 감염 목적으로 변경할 수 있으며 이후에는 유지보수 비용보다 훨씬 큰 피해액이 발생할 수 있기 때문이다.

[참고] KISA 보안공지 : Oracle WebLogic Server 취약점 보안 업데이트 권고
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=26948