“웹 취약점 강화 및 실시간 웹셸 모니터링·대응 중요해”

[보안뉴스 김태형] 전 세계 개인정보 유출사고의 65%는 해킹에 의한 것으로 나타났다. 그리고 지난해 우리나라에서 발생한 3.20 사이버테러와 6.25 사이버테러도 해킹에 의한 침해사고로, 이들은 모두 웹셸 공격에서부터 시작됐다.

이와 관련 이지시큐어 이상곤 대표는 “웹셸은 웹 환경에서 웹 서버에 시스템 명령어, 데이터 베이스 관리 등 다양한 명령을 수행할 수 있도록 웹 프로그래밍 언어(asp, php, jsp 등)로 작성된 웹셸 스크립트 파일”이라면서 “최근 이러한 웹셸  공격에 의한 정보유출이 증가하고 있다. KISA에 의하면 해킹당한 웹 서버의 90%에서 웹셸이 발견됐다. 이에 웹셸이 개인정보 유출의 주범이라고 할 수 있다”고 설명했다.

특히 웹셸을 이용한 공격은 해커가 서버 취약점을 공격한 후, 웹셸을 업로드해 시스템을 통제하기가 용이해 해커들이 최근 들어 가장 많이 사용하는 해킹 기법이라는 것. 지난 2011년 현대캐피탈 고객정보 유출, 2012년 EBS 회원정보 유출사건도 웹셸에 의한 공격이었다.

이상곤 대표는 “이러한 웹셸은 공격 난이도가 쉽고 공격효과가 크다. 그리고 다양한 공격이 가능하다는 것이 특징”이라면서 “또한 웹셸은 난독화 및 다중분할 기술을 적용해 네트워크 보안 장비는 성능상의 문제로 탐지가 어렵다. 전체 웹셸의 90% 이상이 난독화 웹셸”이라고 덧붙였다.

이처럼 기존 네트워크와 서버보안 체계에서 웹셸의 탐지가 어려운 이유는 △방화벽의 경우 허용된 IP나 포트로부터의 공격 방어가 불가하고 △ 네트워크 계층에서의 유해성 검사를 진행하는 IDS/IPS의 경우 애플리케이션 취약성 공격에 대해서는 방어가 불가능하며 △웹 방화벽의 경우에는 첨부파일 검증을 통한 일부 웹셸 실시간 차단이 가능하나 성능문제로 인해 적용에는 제약이 따른다. 또한 △DB보안은 업무를 위해서는 애플리케이션단에서 복호화 처리가 필요하다.

이에 이 대표는 “웹셸의 탐지를 위해서는 네트워크 보안(방화벽, IPS, IDS, WAF 등)에 의한 침입탐지 및 차단이 가능하도록 해야 하며 웹소스의 보안코딩에 의한 웹 어플리케이션 취약점을 보완해야 한다”며 “또한 웹서버 설정 환경에서 보안성 강화 및 웹셸 탐지 도구를 통한 실시간 웹셸 모니터링 및 대응이 필요하다”고 강조했다.

이어서 그는 “이지시큐어의 웹셸 탐지 솔루션 ‘ShellCop’은 해커에 의해 임의로 생성되는 웹셸 코드 패턴에 의한 실시간 탐지 및 모니터링을 통해 웹셸 침입의 탐지 및 대응이 가능하며 웹셸을 이용한 해킹을 조기에 탐지하고 조치함으로써 해킹공격의 방어와 피해 확산을 최소화가 가능한 전용 솔루션”이라고 덧붙였다.

이처럼 웹서버 악성코드 웹셸은 해커들이 최근 들어 가장 많이 사용하는 해킹기법이다. 웹셸에 의한 해킹은 홈페이지 변조, 시스템 파괴, DB 유출, DDoS공격, 악성코드 유포 등의 공격 등 다양한 공격이 가능해 대규모 피해를 발생시키고 개인정보 유출로 이어진다. 이러한 이유로 최근 웹셸 전용 솔루션을 활용한 보안 강화에 관심이 높아지고 있다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>