안드로이드 기반 모바일 운영체제(OS)인 ‘리니지(Lineage)OS’가 최근 사이버 공격을 받았다. 서버 취약점을 악용한 공격 사례로 실제 피해는 발생하지 않은 것으로 알려졌다. 리니지OS는 스마트폰과 태블릿 PC, 셋톱박스 등에 쓰이는 오픈소스 기반 모바일 OS다.
리니지OS는 사고 발생 직후 자사 공식 트위터에 "공격자가 설트스택(SaltStack) 마스터에 부여된 국제표준취약점관리번호(CVE)를 활용해 리니지OS 인프라 접근 권한을 얻었다"며 "서명 키와 빌드, 소스 코드에는 영향을 주지 않았다"고 밝혔다.
설트스택은 미국 자동화 소프트웨어(SW) 기업이다. 오픈소스 환경설정 도구인 ‘설트(Salt)'를 제공한다. 설트는 데이터센터와 클라우드 환경에서 서버 상태를 관리, 운영하는 데 도움을 준다. 에이전트 일종인 미니언(minion)을 설치해 마스터 서버와 연결, 상태 보고서를 전달하는 식이다.
앞서 사이버보안 기업 F-시큐어(Secure)는 설트에 심각한 서버 취약점이 있다며 주의를 요했다. 이번에 리니지OS가 언급한 CVE 역시 해당 서버 취약점으로 인해 발생한 것으로 ‘CVE-2020-11651’과 ‘CVE-2020-11652’다. 사이버 공격자가 원격으로 마스터 서버에 접근해 파일 읽기 등의 임의 명령을 실행하고 비밀 키도 탈취하도록 한다. 서버 취약점이 발견됨과 동시에 공격이 이뤄졌다.
설트스택은 해당 취약점을 개선하는 패치를 배포한 상태다. 리니지OS는 모든 서버를 중단한 후 해당 패치를 설치하고 사이버 공격을 조사했다고 밝혔다.
지디넷은 "5월 2일 취약점이 알려진 직후부터 설트를 쓰는 여러 서버를 대상으로 공격이 이뤄지고 있다"며 "리니지OS 외에도 아직 패치가 되지 않은 서버 수는 대략 6000곳 이상으로 추정된다"고 밝혔다.
김평화 기자 peaceit@chosunbiz.com