웹서버 관리자, 근본적인 보안대책 적용해야

한국정보보호진흥원은 올해 5월 KISA에서 탐지해 대응한 악성코드 유포지 및 경유지 사이트는 675건으로 전월대비 61.5% 증가했다고 10일 밝혔다.

이는 탐지대상 사이트 수가 기존 7만여 개에서 7만4천여 개로 확대된 이유도 있으나 악성코드 경유지를 통해 연결되는 악성코드 직접 유포사이트 수가 92개로 전월에 비해 35.9% 증가했으며, KISA의 2차, 3차 통보ㆍ복구조치, 취약점 패치 요청에도 불구하고 근본적인보안대책(취약점 패치, 웹 방화벽 적용 등)을 하지 않고 단순히 은닉된 악성코드만을 일시적으로 삭제해 재 감염되는 사례가 많은 것으로 파악됐다.

이에 KISA 관계자는 “각 기관, 기업의 웹 서버 관리자는 악성코드 은닉을 위한 사전 웹서버해킹에 사용되는 SQL Injection 취약점에 대한 보안대책을 마련하는 것이 시급하다”고 당부했다.

악성코드 유포지 및 경유지로 악용된 사이트를 기관별로 분류하면 기업(72.9%), 기타(개인)(14.4%), 비영리(8.0%) 홈페이지 순이었으며, 특히 기업으로 분류된 .co.kr, com 도메인이 악성코드 유포지ㆍ경유지 사이트로 많이 악용되는 것으로 나타났다.

한편 악성코드 유포지 및 경유지로 악용된 사이트를 웹서버 별로 분류한 결과 IIS 웹서버가 79%, Apache 웹서버가 2%, 기타 19%로 분류됐다.

KISA 인터넷침해사고대응지원센터는 국내 웹사이트에 악성코드가 삽입되어 방문자에게 게임 IDㆍ비밀번호를 유출하는 트로이잔을 감염시키는 사례가 발생해 지난해 6월부터 대응해 왔으며, 지난해 12월부터는 악성코드 은닉사이트 탐지 프로그램을 자체 개발ㆍ적용해 약 7만4천여 개의 국내 웹 사이트를 대상으로 악성코드 은닉 여부를 탐지 및 차단 조치하고 있다고 밝혔다. 

※ 참고 사이트

- ModSecurity를 이용한 아파치 웹서버 보안 : http://www.krcert.or.kr → 보안정보 → 기술문서 → ‘ModSecurity를 이용한 아파치 웹서버 보안‘

- WebKnight를 이용한 SQL Injection 공격 차단 : http://www.krcert.or.kr → 보안정보 → 기술문서 →‘WebKnight를 이용한 SQL Injection 공격 차단’

- 홈페이지 개발 보안가이드: http://www.krcert.or.kr 초기화면 → 왼쪽 ‘홈페이지 개발 보안가이드’

[박은수 기자(eunsoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>