KISA, "홈페이지 변조 시도 지속적으로 이루어질 것"

"웹 전용 보안 솔루션의 도입이 웹 보안 강화에 도움"

지난해는 홈페이지 변조가 이슈였다. 지난해 1월 한 달 홈페이지 변조 건수가 6천 5백여건에 달해, 2004년 한 해 동안 이루어진 전체 건수 4천8백여건 보다도 많은 수치였다.

홈페이지 변조 사고의 급증은 다수의 홈페이지가 운영 중인 웹 호스팅 서버 환경에서 많이 사용하고 있는 제로보드라는 공개 웹 S/W의 보안 취약점이 주요 원인이었다. 이 취약점은 이미 국내 언더그라운드 해커 사이에서는 공공연한 정보였지만 해외 보안사이트에 취약점이 공개된 후 국외 해커그룹의 공격이 늘어나면서 피해가 급증한 경우다. 

<2005년 국내 홈페이지 변조 사고 건수와 국가별 변조 순위>

홈페이지 변조사고는 제로보드 공개 웹 S/W의 보안 취약점에 대한 패치를 하거나, PHP의 설정을 변경하면 간단히 막을 수 있는 문제였지만 웹 호스팅 업체와 홈페이지 운영자들의 보안의식 부재 및 전문지식 부족으로 피해가 컸다. 

지난해 국내 홈페이지 대상으로 변조작업을 한 해커그룹은 130개 그룹으로 개인 홈페이지부터 대기업 홈페이지에 이르기까지 다양했다. 이 조직 중 국가가 확인된 해커그룹은 총 86개 그룹으로 그 중 터키와 브라질의 해커그룹들이 국내 홈페이지를 가장 많이 변조한 것으로 나타났다.

                     <국내 홈페이지 변조 공격 해커 조직 국가별 그룹 수>

지난해 4월부터 하향 추세를 보이던 홈페이지 변조는 8월 들어 전월 대비 174.7% 증가, 1,912건이 발생했고 대부분 SPYKIDS라는 브라질 해커그룹의 소행인 것으로 밝혀졌다. 대부분 호스팅 서비스를 하는 리눅스 서버를 대상으로 홈페이지 변조가 이루어졌다. 물론 제로보드 취약점을 이용한 공격이었고 보안 패치가 발표됐음에도 불구하고 국내 홈페이지 운영자들의 무관심으로 피해가 더욱 컸다. 

이들 해커들이 주로 공격한 제로보드의 취약점은 원격 사이트의 PHP 파일을 로컬 시스템에서 구동시킬 수 있는 PHP 인젝션 취약점이다. 이 취약점을 이용해 피해 시스템에서 웹서버 권한으로 임의의 명령을 실행할 수 있었던 것.

<웹 호스팅 서버에서 PHP인젝션 취약점을 이용한 다수 웹 사이트 변조과정>

지난해 중순부터는 대형 포털 사이트, 뉴스 사이트 등 유명 웹 사이트들이 연이어 해킹당해 악성코드가 삽입되는 사고가 지속적으로 발생했다. 이 공격은 주로 중국에 할당된 IP 블록으로부터 발생되는 경우가 많았고 온라인 게임 아이템이 현금으로 거래되면서 게임 아이템을 불법적으로 획득하기 위한 목적으로 해킹을 해온 경우였다.

                      <중국 해커들의 게임아이디와 패스워드 갈취 수법>

악성코드 경유지 사이트로 이용되고 있는 국내 유명 웹 사이트들은 주로 웹 게시판 URL 인자값의 입력값 검증을 하지 않아 해킹을 당하고 있으며 이를 공격할 수 있는 자동화된 도구들이 인터넷을 통해 공개되고 있어 문제가 심각하다. 초기화면에는 불법적인 iframe이 삽입되고 최근에는 iframe 대신 스크립트 방식도 사용되고 있어 홈페이지 해킹여부 탐지를 더욱 어렵게 하고 있다.

한국정보보호진흥원 관계자는 “올해도 홈페이지 관련 해킹시도는 지속적으로 발생할 것”이라며 “홈페이지 관리자들의 해킹 대응책 마련이 시급하다”고 당부했다.

올해 홈페이지 관련 해킹 동향을 분석해보면 우선 개인 금융정보를 노린 홈페이지 해킹이 증가할 것으로 나타났다. KISA 관계자는 “지난해 악성코드는 게임정보를 유출하기 위해 설치된 것이 대부분이었지만, 지난해 말부터 올 초까지는 포털사이트 아이디와 패스워드를 유출하는 악성코드 설치가 주를 이루었을 뿐만 아니라, 인터넷 뱅킹 아이디와 패스워드 등 직접적인 금융정보를 가로채기 위한 키로킹 프로그램이나 트로이목마 등이 해킹당한 홈페이지를 통해 감염될 수 있다”고 경고했다.

더불어 그는 “은행이나 전자상거래 사이트를 위장한 피싱사고가 증가할 것으로 예상된다”며 “국내 피싱사고는 대부분 해외 은행이나 전자상거래 사이트를 위장한 피싱 경유지 사이트로 악용된 것이 대부분이었으나, 지난해부터 몇 건의 국내 은행을 위장한 인터넷뱅킹사고가 발생하는 등 홈페이지 해킹후 국내 은행이나 전자상거래 사이트를 위장한 피싱사고가 증가할 것”이라고 밝혔다.

또한 지난해 공격의 주요 대상이 된 것은 MS-SQL이었다. 중국에서 제작된 자동화된 공격툴들도 대부분 MS-SQL을 대상으로 SQL 인젝션 공격을 수행하는 툴들이었따. 하지만 SQL 인젝션 취약점은 DB의 종류와는 무관하게 Mysql, Oracle 등의 타 DB에서도 존재하기 때문에 이들에 대한 공격 가능성이 높아졌다.

마지막으로 전문가들은 “올해는 자신의 PC에 보안 취약점이 없더라도 사회공학적인 방법을 이용해 감염을 유도하는 경향이 증가할 것으로 예상한다”며 예를 들어 “최근 MS 플래시, MS 비주얼 스튜디오 등으로 위장해 사용자 동의를 얻어 악성코드를 설치하는 경향을 볼 수 있다”고 개인 사용자들의 보안의식 고취를 당부했다.

KISA 관계자는 “홈페이지 운영 중에 발생되는 보안 문제점에 대한 수시조치 보다는 홈페이지를 최초 설계, 개발하는 단계에서부터 보안이 고려돼야 한다”고 강조하고 “KISA에서 배포하고 있는 ‘홈페이지 개발 보안 가이드’를 참고해 홈페이지 개발 과정에서부터 공격 가능성이 있는 다양한 취약점에 대한 보안조치를 할 필요가 있다”고 밝혔다.

■홈페이지 개발 보안 가이드 다운로드

http://www.kisa.or.kr/news/2005/announce_20050427_submit.html

또한 그는 “기존 보안 솔루션인 방화벽이나 IDS는 다양한 웹 공격을 탐지해 차단하기에는 한계가 있다”며 “웹 전용 보안 솔루션의 도입이 웹 보안 강화에 도움이 될 수 있다”고 조언했다.

대표적인 웹 보안 솔루션으로는 웹방화벽과 웹 취약점 스캐너가 있는데 웹방화벽은 어플리케이션 레벨이서 웹 트래픽을 감시, 분석하고 공격 트래픽을 차단하는 기능을 가지고 있으며, 웹 취약점 스캐너는 홈페이지에 존재하는 공격가능한 취약점을 사전에 찾아주는 기능을 가지고 있다.

[길민권 기자(is21@infothe.com)]

 <저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>