Chapter 4 - Case Study

웹 보안 솔루션, 이렇게 활용하라

웹 취약점 분석으로 보안 강화

보안 강화된 소스로 대체하고 시스템 설정 변경

여행전문 업체의 웹 관리자인 김여행(가명) 대리는 휴가 중에 긴급한 연락을 받았다. 웹페이지가 해킹을 당한 것 같으니 회사로 빨리 복귀해서 조치를 취하라는 내용이었다. 평소 사내에 보안전담 팀도 없었을 뿐더러 모든 웹페이지를 혼자 관리하는 김 대리는 휴가를 반납하고 회사로 복귀해서 상황을 살펴보니 메인 페이지의 이미지들이 제 각각 흩어져서 화면을 알아 볼 수 없게끔 변조되어 있었다.

해킹에 대한 경각심도 없던 상황에 많이 노출되는 사이트도 아니라는 생각에 해킹은 그저 남의 일로만 알고 지냈는데 막상 사고가 터지고 나니 적절한 대처방안도 없었다. 하지만 일단 급한대로 메인 페이지의 변조된 부분을 급하게 수정하고 마무리를 지었다. 그러나 그 후 또 다른 해커로부터 게시판의 글들을 스크립트 조작으로 도배를 해놓는 해킹 피해를 입게 되었고 이리 저리 대처방안을 모색하다가 보안 전문 업체에 보안컨설팅을 받기로 결정했다.

처음 여행전문 업체로부터 WWQ(Web Well-being Quotient, 웹 건강 지수) 진단을 요청 받은 NSHC는 3명을 인원을 투입해 일주일간의 모의해킹을 수행하기로 계획을 세워 웹 서비스 사용률이 저조한 늦은 밤 시간대를 이용해 진단을 수행했다. 해당 웹서버의 구성은 윈도우 서버 2000으로 IIS환경에 웹애플리케이션은 ASP, DBMS는 MS-SQL을 사용해 가동 중이었다.

처음엔 정보수집을 위한 회의를 하고 자동화된 스캔 툴을 사용해 각자의 역할을 분담하고 3명의 보안 컨설턴트가 수동으로 진단을 시작했다. OWASP 웹 취약점 Top 10에 의거 세부사항별로 진단을 수행했고 로그인 페이지, 게시판, 자료실 등의 모든 페이지에서 총 81개의 취약점이 발견됐다.

그 중엔 SQL 인젝션 공격과 같이 간단한 쿼리조작으로 모든 회원의 데이터베이스를 가져올 수 있는 심각한 취약점도 포함되어 있었다. 가장 많이 발견된 취약점은 스크립트를 삽입해 공격하는 XSS(Cross Site Scripting)이며 접근 통제에 대한 미비한 방어 체제로 일어나는 취약점 들이 뒤를 이었다. 특히 XSS 공격과 SQL-injection 공격에는 거의 무방비 상태였다. 시스템 생존 시간을 객관적으로 분석한 결과 해커가 웹서버 시스템의 권한을 취득하는데 까지 걸리는 시간은 약 1시간 20여분이 소요되는 걸로 것으로 결론을 내리고 발견된 81개의 취약점에 대해 각각의 보안 대책을 마련했다.

기존의 취약했던 웹애플리케이션의 소스를 도출해내 모든 웹페이지에 걸쳐 안전성 있는 웹애플리케이션 소스로 수정을 하고 불필요한 프로세스 관리 및 시스템 보안 설정을 진행하여 진단내용에 대한 동영상 보고서와 문서화 보고서를 고객사로 전달하고 결과 보고에 대한 발표를 진행했다.

보안이 강화된 소스로 대체하는 작업을 진행하고 시스템 설정 변경을 진행한 뒤 보안 이행 진단(보안설정이 잘되었는지에 대한 보안컨설팅)결과 모든 설정이 적절하게 적용되었으며 현재까지 알려진 취약점에 대해서는 알맞은 방어를 해내는 것으로 판단되어 약 3주간의 WWQ 서비스를 마무리했다.

2007년 11월 보안컨설팅을 시작으로 현재까지(약 8개월) 이 여행 전문 업체의 웹사이트는 단 한 번의 해킹 사고나 서비스 중단 사고가 없이 고객들에게 정상적인 서비스를 제공하고 있다.

한 여행사의 담당자는 “해킹 사실을 두 번이나 인지한 뒤 각종 보안 서적과 인터넷 검색을 활용하여 급한 불부터 껐는데도 혹시 이번 주에 또 당하는 거 아닌가라는 불안한 마음에 결국 보안 전문 기업에 보안컨설팅을 받게 됐다”고 설명했다. 또 “진단 결과 보고서를 받아보고 그 동안 사이트의 대문을 활짝 열어 놓고 살았다고 느꼈고 자신을 믿고 개인정보를 입력한 고객들에게 매우 미안한 생각이 들었으며 보안의 필요성을 절실히 느끼게 됐다”고 덧붙였다.

<글· 박종성 NSHC 컨설턴트>

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>