| 한수원 해킹 등 고도화된 공격, 기존 패턴을 바꾸다 | 2014.12.22 | |
공격자, 웹서버 권한 확보 위해 취약점 우회·악성코드 침투 웹서버, 실시간 웹쉘 탐지·WAS 설정 변경 탐지 등 가능해야
[보안뉴스 김경애] 최근 한수원 해킹사태에서도 보듯 사이버공격이 갈수록 고도화되고 있어 우리의 보안대응도 좀더 체계화되어야 하는 등 여러 측면에서 달라져야 할 것으로 보인다. 우선 2014년 웹 해킹 분야를 중심으로 글로벌 사이버 공격유형을 살펴보자. 그 가운데 미국은 크게 오픈소스 플랫폼에서의 쉘쇼크, 하트블리드 등 취약점을 악용한 백도어 악성코드 공격과 Data Breach로 표현되는 개인정보 관련 해킹, 그리고 금전을 요구하는 랜섬웨어 등이 자주 등장한다. 이들은 애초부터 금전을 목적으로 공격했으며, 디도스와 같은 대규모 공격을 감행하는 등 범행이 갈수록 대담해지고 있다. 이와 관련 미국의 Hold Security사의 보안 애널리스트는 지난 2월 웹 서비스상에서 3.6억 건의 개인 금융정보가 블랙마켓에서 거래되고 있다고 밝혔다. 또한, 2014년 4/4분기에 집계된 미국 내 사이버공격은 전년동기 대비 75% 증가했으며, 그 중 43%가 중국발인 것으로 파악되고 있다고 보고한 바 있다. 최근 Forbes가 발표한 2014년 5대 주요 사이버공격 사례를 살펴보면, eBay의 경우 올해 2~3월에 걸쳐 2.33억명의 고객 주요 개인정보가 시리아 정보군에 의해 탈취되어 피해고객들이 로그인 정보를 변경해야만 했고, 미국 몬타나주 보건부에서는 2013~2014년 5월까지 백만명 가량의 의료정보가 해킹으로 유출된 적이 있다. 또한, 올해 6월 전 세계적으로 체인점을 두고 있는 레스토랑 P.F. Chang’s이 고객의 신용카드, 현금카드 등의 금융정보를 해킹당했다. 탈취된 카드정보는 한계정당 18~140달러까지 암시장에서 거래된 것으로 알려졌다. 또한, 같은 달 Evernote와 Feedly는 돈을 요구하는 공격자에게 디도스 공격을 받은 바 있다. 그러나 다행히 신속한 대응으로 시스템이 빠르게 정상화된 것으로 전해졌다. 도미노피자(프랑스, 벨기에)는 Rex Mundi로 불리는 해킹그룹에게 서버를 해킹당해 60만명의 고객정보가 유출됐다. 이들은 유출정보 반환 대가로 4만불을 요구했었고, 회사는 이를 거부했다고 밝혔지만 실제 돈이 오고 갔음이 드러났다. 이처럼 해외 공격유형에서 알 수 있듯이 대규모 기관 및 업체의 피해는 우리에게 중대한 시사점을 남기고 있다. 첫째, 지능적인 공격자들은 이미 여러 익스플로잇 킷(Exploit Kit)을 구매해 활용하는 상황까지 발전하고 있다. 게다가 공격 규모와 다양성이 확대되어 이제는 전통적인 방어 시스템으로는 감당하기에는 어려움이 있다. 둘째, 이들의 공격 패턴은 웹서버의 Root 권한을 확보하기 위해 네트워크의 취약점을 우회하고, 악성코드를 침투시키는 공격 유형이라는 것이다. 그렇다면 우리나라는 어떤가? 국내의 경우 한국수력원자력(이하 한수원) 해킹 사건에서 알 수 있듯이 아직은 보안 투자와 노력이 부족한 상황이다. 게다가 클라우드 컴퓨팅 및 IDC를 사용하는 중소업체의 경우, 보안인프라가 제대로 구축되지 않은 상황이다. 이는 올 한해 전국 곳곳에서 들려온 사이버공격 소식만으로도 충분히 짐작할 수 있다. 이렇듯 서비스 이용고객들의 해당 서버는 언제든지 대규모 공격 경유지나 좀비 서버로 이용될 수 있을지 모르는 상황이므로 보안강화와 개선 노력이 절실하다.
그렇다면 기업에서는 어떻게 해야 할까? 이와 관련 유엠브이기술의 조혁래 상무는 기업에서의 근본적인 대응방안으로 △웹서버 내의 실시간 웹쉘 및 악성URL 탐지 및 방지 △WAS 설정 변경 탐지 및 즉각적인 시스템 복구 △Source code 무결성 체크가 이뤄져야 한다고 강조했다. 또한, 웹서버 내 개인정보 보호를 위해 △비인가 접근자 차단 △웹서버 내의 저장된 개인정보 현황 실시간 분석 △일반 Text 및 문서 파일 그리고 웹사이트 게시글에 저장되는 개인정보 탐지 및 대처 등의 노력이 필요하다고 제시했다. <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
