• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

해킹당한 사이트, 공격리스트에 올린후 계속 공격 2008.06.09

KISA, 웹쉘은 탐지도 잘 안돼...근본적 취약점 제거해야

중국 크래커들, 한번 뚫린 사이트는 체계적으로 관리...계속 공격


인터넷침해사고대응지원센터(www.krcert.or.kr)에서 지난 한해 동안 분석했던 피해 웹서버 중 웹쉘이 발견된 웹서버는 총 91%의 분포를 보였다. 이것은 공격자들이 취약점을 공격한 후 웹쉘을 업로드해 시스템을 통제하기가 수월하기 때문에 사용 빈도가 높은 것으로 확인됐다.


웹쉘이란 공격자가 원격에서 대상 웹서버에 명령을 수행할 수 있도록 작성한 웹 스크립트(asp, jsp, php, cgi) 파일들이다. 이때 jpg,zip, doc와 같은 데이터 파일 종류 이외에 악의적으로 제작된 스크립트 파일인 웹쉘을 업로드해 웹 서버를 해킹하는 사고가 빈번히 발생하고 있다고 KISA는 경고하고 있다.


최근에는 파일 업로드 뿐만 아니라 SQL인젝션과 같은 웹 취약점을 공격한 후 지속적으로 피해시스템을 관리할 목적으로 웹쉘을 생성한다고 한다.


KISA 관계자는 “공격자는 웹쉘을 대상 서버에 업로드한 후 웹을 이용해 시스템 명령어를 수행하기 때문에 네트워크 방화벽 영향을 받지 않고 서버를 제어할 수 있다”며 “웹쉘은 웹페이지 소스코드 열람, 악성스크립트(iframe) 삽입, 파일업로드, 서버 및 데이터베이스 자료 유출 등의 다양한 공격이 가능하다”고 설명했다.


또 최근 웹쉘은 탐지를 어렵게 하기 위해 웹쉘의 일부분만을 피해시스템에 업로드 하는 등 그 유형이 나날이 발전하고 있다고 한다.

 


한편 웹 취약점을 통해 피해시스템에 접근한 공격자는 방화벽에 접근을 허용하는 HTTP(80/tcp) 서비스를 통해 피해 시스템을 제어하기 때문에 웹쉘을 차단하기가 쉽지 않다고 한다.


KISA 인터넷침해사고대응지원센터 관계자는 “피해시스템에서 수입된 ASP 웹쉘 샘플 한 개를 www.virustotal.com 사이트에서 각 바이러스 백신 엔진 탐지 결과를 확인했다”며 “결과 국내외 백신사에서 탐지못하고 있으며 공격자들은 스크립트 웹쉘들을 빈번히 변경시켜 사용하기 때문에 백신들로서는 탐지하기가 쉽지않을 것”이라고 말했다.


또한 “일반적인 서버관리자들은 해킹여부를 확인하기 힘들고 피해를 알더라도 관리자들이 주로 사용하는 백신프로그램에서 웹쉘 탐지가 안되기 때문에 웹쉘을 찾기가 쉽지 않다”며 “관리자들이 해킹 피해를 인지하고 시스템을 재설치하더라도 이전에 웹쉘이 업로드 되어 있는 소스 그대로 새롭게 설치한 시스템에 복사해 사용하기 때문에 지속적으로 웹쉘을 관리하는 크래커(해킹기술을 악의적으로 사용하는 자)에게 피해를 입게된다”고 설명했다.


KISA에서 말하는 최근 웹쉘 동향을 살펴보면 다음과 같다.


인증된 공격자만 사용가능하도록 패스워드를 입력받거나 특정 세션값으로 세팅해야만 기능들을 사용할 수 있는 웹쉘들이 많다.

 


ASP의 eval, execute 메소드 등은 원격에 있는 공격자로부터 웹쉘 실행코드를 전달받아 실행하는데 많이 이용되고 있다. 이 같은 eval, execute 코드는 정상적인 스크립트 파일에도 삽입이 가능해 웹쉘 탐지가 더욱 어려워지고 있다.


또 최근 각 백신사, 관리자들에 의해 웹쉘 탐지가 늘어 공격자들은 여러 기능을 하는 웹쉘 코드를 각 기능별로 웹쉘들을 분리해 사용하고 있다. 그 중 파일 생성 기능, DB 쿼리 기능을 하는 웹쉘 파일들이 빈번하게 발견되고 있다.


ASP 스크립트의 경우 웹 소스를 보호하기 위해 인코딩하는 스크립트 인코더를 제공하고 있다. 이러한 인코더를 악용해 웹쉘을 인코딩하고 백신탐지를 우회해 공격하고 있다.

 


공격자들은 웹쉘이 업로드 되어 있는 피해시스템 웹쉘 URL을 관리하기 위해 관리프로그램들을 사용하고 있다. 중국 해커들은 아래와 같은 관리 프로그램을 개발해 자신들이 장악했던 피해사이트들을 체계적으로 관리하고 있다. 따라서 한번 공격을 받은 사이트는 계속해서 공격대상이 되고 있다고 전문가들은 말한다.


KISA 관계자는 “관리하는 서버에서 웹쉘이 탐지되었다면 시스템에 웹쉘을 생성할 수 있었던 취약점이 존재할 것”이라며 “웹쉘이 업로드 된 피해시스템을 분석한 결과 대부분 파일 업로드, SQL인젝션과 같은 애플리케이션 취약점으로 웹쉘이 생성되는 것으로 확인됐다”고 밝혔다.


또 “웹쉘을 탐지해서 제거하는 것도 중요하지만 웹쉘을 생성할 수 있었던 근본적 취약점을 찾아내 패치하는 것도 관리자들이 꼭 잊지말고 해야 할 작업”이라고 강조했다.

[길민권 기자(reporter21@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>