뉴스로 돌아가기
속보

NGINX 서버 대상 트래픽 하이재킹 사이버 공격 캠페인 분석

3분 읽기출처: BleepingComputer

보안 연구진이 NGINX 서버를 악용한 트래픽 하이재킹 공격 캠페인을 발견했습니다. 데이터 유출, 자격 증명 탈취, 악성코드 유포 등 심각한 위협을 초래하는 공격에 대한 대응 방안을 상세히 설명합니다.

지속적인 사이버 공격으로 NGINX 서버 악용해 사용자 트래픽 리다이렉트

보안 연구진들이 위협 행위자들이 NGINX 서버를 침해하여 사용자 트래픽을 공격자가 제어하는 인프라로 리다이렉트하는 활발한 공격 캠페인을 발견했습니다. 현재 조사 중인 이 공격은 데이터 가로채기, 자격 증명 탈취, 2차 악성코드 유포 등 심각한 위험을 초래합니다.

공격 개요

이 캠페인은 널리 사용되는 웹 서버이자 리버스 프록시 플랫폼인 취약하거나 잘못 구성된 NGINX 서버를 대상으로 합니다. 서버가 침해되면 공격자는 서버 설정을 수정하여 합법적인 트래픽을 악성 엔드포인트로 리다이렉트합니다. 이 기법은 공격자가 민감한 데이터를 가로채거나 악성 페이로드를 주입하거나 사용자를 대상으로 중간자(MITM) 공격을 수행할 수 있게 합니다.

특정 공격 방법은 아직 공개되지 않았지만, NGINX 침해의 일반적인 공격 벡터는 다음과 같습니다:

  • 노출된 관리 인터페이스 (예: 기본 자격 증명, 취약한 인증)
  • 취약점이 패치되지 않은 구버전 소프트웨어
  • 리버스 프록시 규칙의 잘못된 구성으로 인한 비인가 접근 허용
  • 공급망 공격 (예: 침해된 서드파티 모듈)

기술적 영향 분석

트래픽 리다이렉트 메커니즘은 서버 수준에서 작동하여 최종 사용자가 탐지하기 어렵습니다. 주요 위험은 다음과 같습니다:

  1. 데이터 유출: 가로채진 트래픽에 포함될 수 있는 민감 정보:

    • 인증 자격 증명
    • 세션 쿠키
    • 결제 카드 데이터 (영향을 받은 서버에서 처리되는 경우)
    • 기업 기밀 통신

  2. 2차 공격: 리다이렉트된 사용자가 노출될 수 있는 위협:

    • 악성코드 다운로드 (예: 정보 탈취형 악성코드, 랜섬웨어)
    • 피싱 랜딩 페이지
    • 암호화폐 채굴 스크립트

  3. 평판 손상: 조직이 직면할 수 있는 문제:

    • 고객 신뢰 상실
    • 규정 준수 위반 (예: GDPR, PCI DSS)
    • 악성 리다이렉트로 인한 브랜드 가치 하락

탐지 및 대응 권고 사항

보안 팀은 다음 조치를 우선적으로 수행해야 합니다:

즉각적인 대응

  • NGINX 설정 감사: 다음 항목에서 비인가 수정 여부 확인:
    • nginx.conf 및 포함된 설정 파일
    • 리버스 프록시 규칙 (proxy_pass 지시어)
    • 서버 블록 (server {}) 정의
  • 네트워크 트래픽 검토: 익숙하지 않은 IP 주소 또는 도메인으로의 예상치 못한 아웃바운드 연결 확인
  • 자격 증명 교체: NGINX 관련 모든 서비스 자격 증명 교체:
    • 관리 인터페이스
    • 데이터베이스 연결
    • API 키

장기적인 강화 조치

  • NGINX 최신 버전으로 업데이트: 알려진 취약점 해결 (예: CVE-2022-41741, CVE-2021-23017)
  • 최소 권한 원칙 적용: NGINX 프로세스 및 관리자에 대한 최소 권한 접근 제어
  • 파일 무결성 모니터링(FIM) 도입: 비인가 설정 변경 탐지
  • 로깅 및 모니터링 활성화: 다음 사항에 대한 로깅 및 모니터링:
    • 설정 파일 수정
    • 비정상적인 트래픽 패턴 (예: 리다이렉트 급증)
    • 인증 실패 시도
  • NGINX 서버 네트워크 분리: 내부 중요 네트워크로부터 격리하여 횡적 이동 가능성 제한

사용자 보호 조치

  • 사용자 교육: 트래픽 하이재킹 징후 인식 교육 (예:
    • 예상치 못한 SSL/TLS 인증서 경고
    • 익숙하지 않은 도메인으로의 리다이렉트
    • 느리거나 비정상적인 브라우징 동작)
  • HTTPS 강제 적용: HSTS(HTTP Strict Transport Security)를 통해 MITM 위험 완화

업계 상황

NGINX는 전 세계 웹 서버의 30% 이상을 지원하며, 이는 위협 행위자들에게 높은 가치를 지닌 공격 대상이 됩니다. 유사한 캠페인은 역사적으로 다음 취약점을 악용했습니다:

  • CVE-2019-20372: NGINX 리졸버 취약점으로 인한 캐시 포이즈닝
  • CVE-2017-7529: NGINX 범위 필터 모듈의 정수 오버플로우

조직은 NGINX 서버를 지속적인 모니터링과 사전 강화가 필요한 핵심 자산으로 간주해야 합니다. 공격 방법론에 대한 추가 세부 정보는 조사 진행에 따라 제공될 예정입니다.

공유

TwitterLinkedIn