시큐어연구회, “휴대폰으로 웹서버 공격할 수 있다!”

지난 24일 종로 둘로스 아노게온 소극장에서 열린 시큐어연구회 ‘웹해킹 방지를 위한 보안기술 세미나’에서 이 연구회 관계자는 “국내 WAP 서버를 하는 기업에는 WAP 해킹 대한 보안장비가 없다. 또한 웹서버에 WAP 악성 파일을 올리는 것에 대해서도 막는 보안 장비가 없다”며 “이렇게 되면 내가 어떻게 공격을 받았는지 로그도 남지 않기 때문에 심각한 공격들이 이루어질 수 있다”고 경고했다.

한편 중국에서는 웹 해킹을 한 후 또는 WAP 서비스를 하는 사이트에 악성 WAP 파일을 업로드 하여 휴대폰으로 해킹을 가능하게 하는 프로그램들이 거래되고 있으며 일본에서도 부분적으로 사용하고 있다고 전했다.

주요 해킹 방식은 WAP 파일을 서버에 업로드 하는 해킹 방식이라고 한다.

세미나에서는 실제로 시연도 이루어졌다. WAP서비스를 하는 곳 또는 웹서버에 악성 WAP파일을 업로드할 때 현재 아무런 규제없이 올릴 수 있도록 돼 있다고 한다. 이때 업로드 기능에 해킹 프로그램을 업로드하면 서버를 제어할 수 있는 웹쉘이 작동하게 된다.

또 이를 통해 웹서버에 접근해 웹 서버를 원격에서 조작·통제할 수 있다는 것이다. 더욱 위험한 것은 로그기록이 남지 않기 때문에 자유롭게 해킹을 해도 발각될 위험성이 적다는 점도 거론됐다. 즉 누가·어디서 공격하는지 알 수 없다는 것이다.

발표자는 “이를 통해 개인정보 혹은 기업의 중요 정보들이 빠져 나가거나 웹 페이지가 변조 당할 수 있다”며 “일반 웹 서버와 WAP서비스 서버에 대한 방어책이 조속히 마련돼야 할 것”이라고 강조했다.

이를 막기 위해 필요한 조치는 일반 웹 서버에서는 WAP 형식의 파일 업로드를 못하도록 막아야 한다고 발표자는 전했다. 또 일반 웹 서버의 경우 WAP 사용시 발생하는 브라우저 에이전트 값을 차단하라, 또 WAP 서비스를 하는 경우에는 WAP 파일에 대한 주요 소스 주석을 보이지 않게 처리 및 WAP 파일 업로드를 막아야 한다고 언급했다. 

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>