[보안뉴스 김정완] EBS 교육방송이 지난 5월 15일, 중국발 IP로부터 해킹을 당해 400만명의 개인정보가 그대로 유출되는 사고가 발생했다. 이번 해킹수법은 EBS 홈페이지 내의 뉴스제보 게시판을 통해 첨부파일 형태로 악성코드를 올려 놓고 이를 통해 개인정보를 탈취한 것으로 밝혀져 보안업계에서는 웹서버 악성코드인 ‘웹쉘(Webshell)’을 활용한 해킹수법으로 추정하고 있다. 이처럼 ‘웹쉘’을 사용한 해킹이 빈번하게 발생하고 있어 그 위험성이 높아 주의가 필요하다.

또한, 금융권을 비롯한 공공기관 등에서는 이러한 웹쉘 위험성 증가로 웹쉘 탐지방어솔루션의 수요가 증가하고 있는 추세다.

실제 웹쉘 탐지방어솔루션을 공급하고 있는 이니텍은 “자사의 웹쉘 탐지방어솔루션은 출시 후 현재까지 약 4,000여대 웹서버에서 운영되고 있고 그 수요가 더 늘어날 예정”이라며, “개인정보보호에 민감한 금융기관, 공공기관, 지자체 등에서도 지속적으로 도입 의사를 밝히고 있다”고 전했다.

웹쉘은 웹서버 악성코드로 원격조정을 통해 대상 웹서버에서 명령을 수행할 수 있도록 작성된 웹스크립트 파일이다. 웹을 이용해 시스템 명령어를 수행하므로 방화벽의 영향을 받지 않고 서버를 제어 할 수 있어, 일단 이 웹쉘이 웹서버에 설치되면 공격을 통해 공격자는 웹페이지 소스코드를 열람하거나 서버의 파일 및 데이터 베이스 자료를 손쉽게 탈취할 수 있다.

또한, 악성코드 유포지 URL 또는 악성스크립트를 첨부파일 형태로 삽입해 웹에 접속하는 고객 PC에 대량으로 악성코드를 유포시켜 디도스(DDoS) 공격의 원인이 되기도 한다. 이처럼 웹쉘은 웹 해킹의 전형적인 수단임에도 불구하고 기존의 백신 프로그램 등으로는 탐지가 어렵다.

이에 이니텍 관계자는 “웹쉘은 웹방화벽 등 기존의 보안솔루션들의 취약점을 우회하여 침투한다”며, “악의적인 목적으로 웹쉘을 시스템에 삽입한 경우에는 이에 대한 대응책이 거의 전무한 상태라 속수무책으로 당할 수 밖에 없다”고 설명했다.

한편, 이니텍에서는 웹쉘 공격에 대한 위험성을 인식하고 웹쉘 탐지·방어 솔루션 쉘모니터를 지난해 6월 출시해 금융권·공공기관·인터넷 서비스 기업 등에 공급하고 있다. 이니텍이 공급하는 웹쉘 탐지방어솔루션 쉘모니터는 △설치된 악성코드 및 악성코드 유포지 URL 검역조치 △실시간으로 내·외부 웹서버 악성코드 및 악성코드 유포지 URL 침입에 대응 △변경방지 기능으로 중요한 시스템 파일을 외부 해킹으로부터 보호 △웹서버 설정 변경 탐지로 악의적인 권한 변경에 대한 대응의 기능을 제공한다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>