[특집]
끊임없는 크고 작은 웹 해킹 공격

지난해에는 크고 작은 해킹 사건으로 세상의 이목을 집중시킨 사건들이 잇달아 발생했지만 올해에는 다행히도 아직까지는 세상의 이목을 집중시킬 만큼의 해킹  사건으로 인한 큰 피해는 없었다. 그러나 올해에도 크고 작은 해킹 공격을 당했다는 기업들의 소식이 신문이나 TV 뉴스에서 들려왔다. 이렇게 웹 보안 취약점을 노린 크고 작은 해킹 공격은 지속되고 있다.

특히 지난해 2월엔 국내 최대 경매 사이트에 설날 연휴를 앞두고 해킹 공격을 받아 회원 1,081만 명의 개인정보가 유출된 사건은 큰 충격을 줬다. 당시 이 업체는 “회원 개인정보 유출로 의심되는 단서를 발견했다”며 “현재까지 파악된 바에 의하면 다수 회원의 개인정보와 일부회원의 환불정보가 유출된 것으로 추정한다”는 공지를 홈페이지에 띄우기도 했다. 보안 전문가들은 이 해킹 사고에 대해 중국 해커들의 소행으로 판단하기도 했고 당시 옥션 관계자는 “사건 발생 한 달 전부터 이러한 해킹 공격 탐지가 계속돼 왔다”고 밝히기도 했다.

이어 지난해 5월 모아저축은행의 대출신청관리시스템을 해킹해 금품을 요구한 혐의로 서울 모 지역 고시원에서 검거된 미국인 J모씨가 다른 제2금융기관 6개 은행도 추가적으로 해킹해 고객 금융정보 300만 건을 유출했다는 사실이 밝혀져 큰 충격을 주었다. 경찰조사 결과 범인은 7개 금융기관을 비롯 유명 외식업체 고객정보 280만건, 우편사업관련 쇼핑몰에서도 고객정보 180만건을 빼냈으며 지난 1년여 동안 274개의 전산시스템을 무차별적으로 해킹하고 총 970여만명의 개인정보를 유출해 자신들이 운영하는 대출중개업에 활용했다. 이들은 지난 2007년 4월부터 지난해 3월까지 약 1년간 서울 강남구 일대 커피숍 등에서 추적을 피하기 위해 노트북으로 ID, 비밀번호를 요구하지 않아 인증이 필요 없는 무선 인터넷에 접속해 금융기관, 공공기관, 대형 외식업체, 기타 인터넷업체 등 274개 기관의 시스템을 해킹하고 970만건의 고객 정보를 빼내 무선 인터넷의 취약점을 노리고 해킹한 것이었다.

다음은 올해 국내·외에 있었던 크고 작은 해킹관련 사고 사례다.

인터넷뱅킹 해킹, 사용자 PC가 타깃

지난 5월 해킹으로 추정되는 인터넷 뱅킹 사고가 발생했다. 최근 한 인터넷뱅킹 사용자의 국민은행과 외환은행 계좌에서 400만원의 돈이 누군가에 의해 신한은행으로 이체됐다. 다행히 이 사용자는 요청하지 않은 공인인증서 재발급에 대한 문자 메시지를 보고 신속히 대처해 해외 인출은 막은 것으로 알려졌다. 최근 들어 인터넷뱅킹을 노린 범죄가 기승을 부리고 있는 가운데 이번 사고도 해킹 범죄에 대한 의혹이 제기되고 있다. 문제는 은행의 인터넷뱅킹 보안시스템이 아무리 완벽하게 작동하고 있더라도 사용자에 대한 보안이 제대로 이뤄지지 않는다면 이런 사고는 언제든지 일어날 수 있다는 것.

보안업계 한 관계자는 “현재 나타나고 있는 인터넷뱅킹 해킹 사고는 사용자의 부주의거나 개인 PC 해킹과 연관이 깊은 것으로 추정되고 있다”며 “현재 인터넷뱅킹 보안 시스템은 인터넷뱅킹을 이용할 때만 작동하기 때문에 보안카드를 인터넷 상에 올려놓거나 인터넷을 이용하다 악성코드에 감염돼 원격 제어되는 등의 문제에 대해서는 허점이 나타날 수 있다”고 말했다. 즉 인터넷 뱅킹 사고에 대한 취약점은 은행에서 할 수 있는 보안의 한계를 넘어서고 있다는 이야기다.

특히 최근 들어 외국 악성 해커들이 VPN(가상 사설망)으로 인한 네트워크 보안 취약점이나 개인 PC를 노리는 악성코드 등으로 인한 취약점으로 사용자 PC에 침투해 인터넷뱅킹 계좌 탈취하는 사례가 증가하고 있어 이에 대한 대책이 필요해 보인다.

결국 사용자 PC의 보안에 좀 더 관심을 가져야한다는 주장이다. 하지만 아직도 많은 사용자들이 인터넷 상에 보안카드나 인증서를 올려놓는 경우가 많아 이용자들에 대한 인터넷뱅킹 보안 홍보가 절실해 보인다.

아울러 PC만을 이용한 단일 인증체계는 최신 해킹 도구에 의해 완벽한 보안이 유지될 수 없기 때문에 정부나 금융권에서는 전화인증이나 보안토큰, OTP 등을 함께 이용하는 다중인증 체계를 이용하도록 권장하고 있지만 편의성이나 금전적인 부담이 뒤따르고 있어 보급이 원활하게 되지 못하고 있다. 따라서 정부측은 인터넷뱅킹에 대한 사용자 보안의식 강화를 위해 여러 방법이 제시하고 있다. 우선 거론되는 것은 바로 보안의식 고취를 위한 홍보방안이다. 금융감독원은 한국정보보호진흥원(KISA)과 협력해 공인인증서 이용시 보안강화 홍보문구를 삽입하는 것을 검토 중이다. 또한 금융결제원과 함께 사이버 금융 보안 홍보 수단에 대해 공모전을 개최하고 있다. 아울러 개별은행이 할 수 있는 홍보방안을 구상하고 자체적으로는 이달부터 본격적인 홍보에 나서겠다고 전했다.

서울시 취업사이트 2만명 해킹 의혹

서울시에서 운영하고 있는 일자리 지원 취업정보 사이트인 ‘서울일자리플러스센터(http://job.seoul.go.kr)’가 지난 5월 해킹의혹으로 인해 보안점검을 받은 것으로 알려져 실제로 해킹이 있었는지에 대해 관심이 모아지기도 했다.

서울시는 지난 5월 11일 국정원 사이버안전센터로부터 해킹에 대한 의혹이 있다는 보고를 받았고 같은 달 13일 보안점검을 받은 것으로 알려졌다. 하지만 이때 점검을 맡은 국정원 측은 “지난 4월 중순경 서울시로부터 일자리플러스센터 바이러스 침투 통보 받고 사고 지원을 한 바 있다”는 말뿐, 해킹 유무에 대한 발표를 명확하게 하지 않고 있어 의혹은 점점 증폭되고 있다. 게다가 한 언론은 해킹을 기정사실화해 보도해 해킹 의혹은 일파만파로 퍼졌다. 서울시의 한 관계자는 “아직까지는 국정원의 보안점검 후 해킹에 대한 결과는 전해지지 않았기 때문에 해킹 당했다고 단정 지을 수 없다”면서 “그 외에 점검 시 보고됐던 보안취약점은 전부 해결한 상황”이라고 덧붙였다.

서울시의 취업사이트는 2만 여명 정도의 구직자 이력서와 주변관계, 신변정보 등 민감한 개인정보를 많이 수집했기 때문에 해킹에 노출됐을 경우, 노출된 정보를 이용해 보이스 피싱이나 인터넷뱅킹 해킹 등 막대한 2차 피해로 번질 수 있다. 하지만 실마리를 쥐고 있는 국정원은 입을 다물고 있어 이 사이트에 가입한 회원들의 불안만 늘어가고 있다.

게다가 이 사이트는 암호화를 원칙으로 하고 있음에도 불구, 비공개 회원의 개인정보만 암호화 되고 있어 해킹에 노출됐을 경우 개인정보 유출 피해가 나타날 가능성도 제기되고 있다. 대부분 구직자들은 구직을 위해 이력서나 신변정보 등 세세한 개인정보도 공개하고 있기 때문. 특히 노출되는 개인정보는 구인하는 기업 담당자보다 구직자일 확률이 높다는 것은 취업때문에 불안해하는 구직자들을 두번 울리고 있다. 보안업계의 전문가들은 이 사이트가 해킹에 노출된 원인을 직접 관리하지 않은데 있다고 지적했다.

서울시의 모든 사이트는 서울시에서 운영하는 보안관제 시스템을 거치게 돼 있지만 이 사이트는 2002년 시작된 채용박람회를 위해 만들어져 일자리지원센터에서 따로 아웃소싱을 통해 운영하고 있기 때문. 아웃소싱을 통해 운영되고 있다는 것은 직접적인 통제 영역에서 벗어나기 때문에 해킹여부나 보안취약점에 대한 파악이 늦어지고 있는 원인이 되고 있다. 서울시의 한 관계자는 “이 사이트는 직접 관리가 안 돼 보안에 취약했다는 점은 예전부터 파악하고 있어 이 사이트를 IDC(인터넷데이터센터)에 위탁하지 않고 직접 관리하도록 기존 내부로 이주시킬 계획을 세우고 있었다”고 말했다.

사이버스파이, 美 주요 인프라스트럭처 해킹

러시아와 중국 등의 사이버스파이들이 미국의 전기시설망에 침투해 핵심 구성요소들을 파괴하는데 이용할 수 있는 소프트웨어를 심어둔 것으로 알려져 충격을 주기도 했다. 월스트리트저널(Wall Street Journal)은 지난 4월 8일(현지 시간), “전·현직 국가보안 관계자들에 따르면 사이버스파이들이 미 전기시설망을 해킹해 시스템을 파괴시키는데 이용될 수 있는 소프트웨어 프로그램을 설치했던 것으로 드러났다”고 보도했다.

아울러 서치시큐리티닷컴, 영국 더리지스터 등 외신들도 월스트리트저널이 사이버보안 커뮤니티의 경고가 울려 퍼지게 하고 있다는 한편, 연방 정부가 신속하게 움직이지 않으면 국가 인프라스트럭처가 국외 사이버범죄자들에 의해 곤경에 처할 수 있다는 전문가들의 경고를 전했다. 월스트리트지는 “중국이 전력망 등 인프라스트럭처를 확인하려고 시도했으며 마찬가지로 러시아도 그런 시도를 했다”라는 관계자의 말을 인용해 전·현직 국가보안 관계자들은 미국의 전기 시스템을 뚫고 들어간 이들을 중국, 러시아 등의 스파이들로 생각하고 있다고 전했다. 그러나 이들 침입자들은 전력망이나 다른 핵심 인프라스트럭처에 손상을 입히려는 시도는 하지 않은 것으로 알려졌다.

또한 “침입이 있었으며 또 증가하고 있다”는 전직 국토안보부(Department of Homeland Security) 담당자의 말을 인용해 이러한 사이버 스파이 활동은 미국 전반에 걸쳐 퍼지고 있는 것으로 나타났지만 특정한 기업이나 지역을 타겟으로 하고 있지는 않다고 전했다.

한편 이러한 수많은 사이버 침입은 인프라스트럭처를 맡고 있는 기업들이 아니라 미 정보부 등에서 탐지되었는데, 특히 이를 조사하고 있는 당국들은 인프라스트럭처를 파괴하는데 이용할 수 있는 툴이 숨겨져 있음을 발견해 더욱 충격을 주고 있다.

이와 관련해 미 정보 당국자들은 사이버 공격자들이 인터넷을 통해 미국의 전기 시설, 핵발전소 또는 금융 네트워크 등을 통제하게 될 것을 우려하고 있다고 외신들은 보도했다. 그러나 당국자들은 사이버스파이들의 동기가 잘 알려지지 않았으며 그들이 즉각적인 위협이 될 것으로 보이지는 않는다며 주의를 표했다고 월스트리트지는 전했다. 즉, 미국 소비자들에게 의존하고 있는 중국이 미국의 경제를 파괴해서 얻는 것이 거의 없다는 것이 당국자들이 사이버스파이들을 즉각적인 위협으로 보지 않고 있는 근거다. 한편 외신들에 따르면 부시 정부 당시 미 의회는 정부 네트워크 보호를 위한 비밀 자금으로 170억 달러를 승인한 바 있다. 이에 반해 현 오바마 정부는 수십억 달러가 더 소요될 것으로 보이는 민간 컴퓨터 네트워크의 취약점을 해결하는 프로그램을 확장하는 쪽에 무게를 두고 있다고 월스트리트지는 전했다.

웹 해킹 보안 대책

이와 같은 웹 해킹 공격은 지금 현재도 전개되고 있다. 해커들은 침투할 사이트의 지명도는 물론, 운영체제 역시도 가리지 않으며 공격 행위를 계속한다. 문제는 사이버 악동들이 내 사이트를 마치 자신의 집 안방에 드나들 듯 하지만 정작 당사자들은 그런 사실을 알지 못한다는 점이다. 이에 전문가들은 웹 해킹에 대한 경각심을 가져야 하며 각종 해킹방법을 조사한 다음 평소에 관련 보안대책을 마련해놓고 있어야 한다고 조언한다. 그렇다면 주요 해킹 기업은 무엇이며 보안대책은 무엇일까?

● 파일 업로드

공격자가 공격 프로그램을 해당 시스템에 업로드해서 공격하는 방법을 말한다. 이 방법은 공격이 쉽고 영향력이나 파급 효과가 크다는 특징을 갖는다. 공격법은 시스템 내부 명령을 실행할 수 있는 웹 프로그램을 만들어 자료실 등에 업로드하는 것. 파일 업로드 공격에 대응하기 위해선 파일 확장자 이름을 확인하면 된다.

특정 확장자를 가진 파일만 업로드되도록 하는 것 역시 괜찮은 방법이다. 파일이 업로드되는 디렉터리의 실행 권한을 없애는 것도 적절하다고 전문가들은 말한다.

● 디렉터리 탐색

디렉터리 탐색은 웹브라우저에서 확인할 수 있는 경로의 상위로 가 특정 시스템 파일을 다운로드하는 공격법이다. 이는 전용의 다운로드 프로그램이 파일 이름을 필터링하지 않아 생기는 취약점으로 불린다. 전용 다운로드 프로그램을 사용할 때 ‘..’나 ‘/ ’ 문자열에 대한 필터링이 없으면 공격자는 상위로 가서 특정 파일을 볼 수가 있기에 이들 문자를 필터링해야 한다.

● 디렉터리 리스팅

디렉터리 리스팅은 웹 브라우저에서 웹서버의 특정 디렉터리를 열 경우 거기에 있는 모든 파일과 디렉터리 목록이 나열되는 것을 말한다.

공격자는 이 취약점을 통해 웹서버에 어떤 파일이 있는지 확인할 수 있고 공격 취약점을 추가로 찾을 수도 있다. 하지만 해당설정 내용을 적절하게 바꾸면 막을 수 있다.

● 인증우회

인증우회란 인증이 필요한 페이지의 인증 과정을 거치지 않고 접속할 수 있는 취약점이다. 이 취약점에 노출될 경우 해커가 관리자 권한을 획득, 웹 사이트의 모든 기능을 마음대로 조작할 수 있게 된다. 관련 피해를 막기 위해서는 로그인 세션에 대한 검사를 하는 과정을 넣으면 된다.

● SQL 인젝션 공격

어느 사이트든 로그인을 위해선 정상적인 아이디와 비밀번호를 넣어야 한다. 그리고 웹 애플리케이션 개발자는 정상적인 ID와 비밀번호를 넣을 것을 기대하고 프로그래밍에 임한다. 하지만 공격자는 정상적 문자가 아닌 특정 SQL문을 넣어 공격을 감행한다. 그러면 그게 그대로 데이터베이스에 전송돼 공격자가 원하는 일이 벌어진다. 이를 막으려면 사용자의 입력이 SQL 인젝션을 발생시키지 않게 사용자 입력을 필터링하고 데이터베이스 서버에 대한 보안을 설정해야 한다.

● 크로스 사이트 스크립팅(XSS) 공격

공격자는 XSS 취약점이 있는 사이트에 악의적 스크립트를 업로드하는데 이것이 사용자의 컴퓨터에 문제를 일으킬 수 있다. 이 공격으로 사용자 쿠키를 훔쳐 사용자의 권한으로 로그인하거나 브라우저를 제어하는 것이 가능하다. 이 공격을 막으려면 쿠키에 민감한 정보를 담지 않아야 한다. 아울러 스크립트 코드에 사용되는 특수문자를 이해하고 정확하게 필터링을 해야만 한다.

웹 방화벽의 주요 기능

1. 분석 시스템

분석 시스템은 HTTP/HTTPS 서비스를 중계하기 위한 시스템 모듈로 사용자의 접속부터 웹 서버 응답처리까지의 일련에 연결을 중계한다. 서비스를 중계하기 위한 기본 프로세서들을 생성하고 서비스를 위한 네트워크 준비를 마치고 데이터베이스로부터 환경 설정 데이터를 읽어와 서비스를 초기화한다.

초기화가 정상으로 이루어졌다면 서비스 프로세서는 사용자의 요청을 기다린다. 사용자의 요청이 들어오면 HTTP 헤더의 데이터를 피싱하여 사용자의 리퀘스트를 분석한다. 분석한 데이터는 인바운드 정책 필터링 모듈에서 보안 정책을 적용하게 된다. 보안 정책 모듈의 리턴으로 사용자 요청이 정상 요청으로 파악되면 웹 서버로 응답을 요청한다. 반면 사용자 요청이 공격으로 파악되면 요청을 거부하고 오류 메시지를 발생한다. 위에 정상 요청에 대한 웹 서버에서 응답이 오면 아웃바운드 모듈을 호출하여 보안 정책을 적용할 수 있도록 한다.

2. 필터링 시스템

분석 시스템이 받은 사용자 요청 HTTP 패킷과 서버 응답 HTTP 패킷은 보안 필터링 시스템으로 넘겨진다. 보안 필터링 시스템은 등록된 HTTP 패킷에 보안 룰을 적용해 공격 패킷인지 아닌지를 판단한다. 만약 공격 패킷으로 판단될 경우에는 분석 시스템에서 결정된 동작 모드에 따른 응답을 준다.

사용자 요청의 보안 필터링은 OWASP 10대 취약점 및 국가정보원 홈페이지 8대 취약점에 대한 기능을 지원해야 하며 장애시 대응할 수 있는 바이패스지원이 가능토록해야 한다. 서버 응답의 보안 필터링은 개인정보에 대한 유출 탐지 및 차단, 홈페이지 위변조 방지, 홈페이지 위변조 복구, 출력 금칙어 차단, 신뢰할 수 있는 호스트, 서버 정보 숨김 등을 지원해야 한다.

3. 보안관리 시스템

보안 관리 시스템은 관리자 프로그램에서 센서에 접속할 수 있는 관리자 계정을 생성 및 관리하고 접근 통제와 권한 설정을 통해 인가된 관리자에게 센서 내부에서의 권한을 관리할 수 있도록 한다. 센서 접근 관리자에 대한 접근 내역과 각종 설정 변경내역 조회 모니터링을 지원하여 센서에 대한 감사 통제와 감사 내역을 통한 센서 자산에 대한 적절한 보안 대책에 기반이 된 감사 로그를 제공한다.

<글 : 김태형 기자(is21@boannews.com)>

[월간 정보보호21c 통권 제107호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>