| 웹서버 해킹 주범 ‘웹셸’ 제거하기 대작전 | 2015.06.08 | |||
해킹당한 웹서버 중 90% 이상 웹서버에서 웹셸 발견
최근 이러한 웹셸에 의한 해킹 사고가 증가하고 있다. 지난해말 개인정보가 유출된 배달 앱 ‘배달통’의 해킹원인도 웹셸에 의한 것으로 밝혀졌다. 지난해 전 세계 개인정보 유출사고의 65%는 해킹에 의한 것으로 나타났다. 그리고 지난해 우리나라에서 발생한 3.20 사이버테러와 6.25 사이버테러도 해킹에 의한 침해사고였는데, 이들은 모두 웹셸 공격에서부터 시작됐다. 과거에도 이와 같은 웹셸 공격은 지속되어 왔다. 지난 2008년 옥션의 개인정보유출 사고와 2011년 현대캐피탈 정보유출, 2012년 EBS 정보유출 등도 웹셸에 의한 해킹 사건이었다. KISA 인터넷침해대응센터에 따르면, 해킹당한 웹서버 중 웹셸이 발견된 웹서버는 90% 이상이다. 지난해 2월 26일 의사협회 8만명, 치과의사협회 5만 6천명, 한의사협회 2만명 등 총 15만 6천명의 개인정보가 유출됐다. 이 3개 협회 홈페이지는 공격자가 악성코드를 웹사이트에 심어서 관리자 권한을 획득한 후, 웹셸을 이용해 개인정보를 탈취한 것으로 조사됐다. 지난해 3월 7일 113만명의 개인정보가 유출된 티켓몬스터의 경우에도 공격자가 홈페이지 게시판 등에 웹셸을 심어 해킹했다. 이와 같은 웹셸을 탐지하고 방어하기 위해서는 웹셸전용 보안 솔루션을 사용하는 것이 보다 효과적이다. 기존 네트워크와 서버 보안 체계에서 웹셸 탐지가 쉽지 않기 때문. 그 이유는 여러 가지인데, 일례로 방화벽의 경우에는 허용된 IP나 포트로부터의 공격은 방어하기 어렵다. 또 네트워크 계층에서의 유해성 검사를 진행하는 IDS/IPS의 경우에는 애플리케이션 취약성 공격에 대해서는 방어가 거의 불가능하다. 이에 많은 사람들이 이용하는 공공기관의 홈페이지는 웹 보안 강화는 필수적이다. 웹셸에 효과적으로 대응하기 위해서는 웹 애플리케이션 파일의 임의 생성 및 변조를 실시간으로 탐지해야 하고 탐지 즉시 처리할 수 있어야 한다. 특히 ASP, JSP, PHP 등 다양한 웹 스크립트 탐지를 지원하고 지속적인 R&D를 통해 진화하는 웹쉘 탐지 패턴을 보유할 수 있어야 한다. 또한, 상시 모니터링으로 취약점을 제거하고 웹사이트의 개발·운영 전반에 걸쳐 보안을 강화해야 한다. 이어서 그는 “웹셸 방어 솔루션은 특히 공공이나 금융 분야에서 대부분 도입하고 있다. 많은 사용자들이 이용하고 있기 때문에 웹 보안 강화를 위해서는 필수적이지만 기관이나 기업에서의 웹셸 탐지 솔루션 도입이 확대되지 않고 있어 보안 위협에 여전히 노출되어 있다”라고 말했다. 이러한 웹셸 탐지 및 방어 솔루션은 국내 약 7개 정도의 솔루션이 시장에 나와 있다. 유엠브이기술의 통합웹보안 솔루션 ‘웹서버세이프가드(WSS)2.5’는 쉘모니터(ShellMonitor)와 포저리모니터로 구성되어 있다. 쉘모니터(ShellMonitor)는 웹서버 악성코드 탐지 방어를 위한 전용 보안 솔루션이고 WSS포저리모니터는 서비스 중인 홈페이지 위·변조가 발생하면 실시간으로 인지한다. 특히, 쉘모니터는 위·변조가 되지 않은 원본파일로 즉시 복원하고 관리자에게 통보한다. 웹페이지 위·변조로 인한 기업이나 기관 신뢰도 하락을 막을 수 있다. 웹셸만 탐지하는 제품과 달리 통합적인 웹 보안의 방향을 제시한다. 또한 윈도우서버, 리눅스, 유닉스 등 모든 웹 서버 OS를 지원하며 ASP, JSP, PHP, HTML, JS 등의 웹 서비스 언어를 포함한 이미지 등 모든 소스 파일을 대상으로 웹 서버 악성코드인 웹셸, 악성코드 유포지 URL 및 웹 서버 개인정보를 탐지한다.
SSR의 ‘메티아이(MetiEye)’는 휴리스틱 엔진을 탑재한 웹셸 탐지 및 방어 솔루션이다. 모의해킹 컨설팅에서 사용되는 자체 제작된 웹셸의 패턴 테스트 등 30여 명의 전문 보안 컨설턴트가 현장에서 수집하는 패턴으로 수시 업데이트를 진행하고 있는 것이 특징이다. 또한 알려지지 않은 웹셀과 우회기법을 탐지하는 기능이 강점이다. 특히, 에이전트 기반의 다른 제품들과 달리 서버에 설치되지 않고 스크립트 기반으로 복사해서 붙여넣기로 가능하기 때문에 시스템 운영자들이 가장 우려하는 서비스 가용성이나 안정성에 전혀 부담이 없는 것도 특징이다. SSR의 김병규 솔루션사업본부 부장은 “웹셸 탐지 솔루션의 오탐과 미탐을 보완하기 위해 SSR은 자체 개발한 행위기반의 ‘휴리스틱 엔진’으로 웹셸만의 특징을 탐지하도록 하는 기능을 개발했다. 또, 해쉬 값을 대조하는 방식의 해쉬기반 탐지 기능은 알려진 웹셸을 탐지하기 때문에 오탐이 없는 것도 장점이라고 할 수 있다”고 강조했다.
▲ 국내 주요 웹셸 탐지·방어 솔루션 업체 및 제품(업체명 가나다순) 인포섹의 웹 보안 관제서비스를 위한 웹쉘 탐지 전용 솔루션 ‘더블유 쉴드 안티웹쉘(W-Shield Anti-webshell)’은 다년간 웹쉘과 악성코드로 인한 해킹 사고를 대응하면서 축적한 400여개의 웹쉘 패턴 노하우와 난독화된 웹쉘을 탐지하기 위한 암호해독(Decoding) 엔진을 통해 다양한 웹쉘 공격에 대한 대응이 가능하며, Non-Agent 방식으로 시스템 부하를 최소화하고 안정성을 확보했다. 특히 드라이브 바이 다운로드 공격 탐지 솔루션인 ‘더블유쉴드 MDS(Malware Detection System)’과 연동해 사용하면 더욱 효과적이다. 하로스 ‘쉘가드(Shell GUARD)’는 국내에서 처음으로 웹쉘 탐지 솔루션 ‘휘슬(WHISTL)’을 한국인터넷진흥원과 공동 개발했으며 현재 약 4,000여 기업에서 사용 중이다. 셸가드는 하나 이상의 웹서버에 대해 각각 웹셸 프로그램을 탐지하고 관리자는 중앙관리 및 조치가 가능하다. 특히, 업로드 파일에 대한 웹셸 프로그램을 실시간으로 탐지하고 원격관리를 통한 즉각적인 대응이 가능하다. 에이쓰리시큐리티 ‘이지스 셸 모니터(AEGIS Shell Monitor)’는 웹 서버 해킹에 사용되는 악성 프로그램인 웹셸을 실시간 모니터링 하고 탐지하는 신개념 웹 보안 관제서비스로 웹셸을 방어하는 웹서버 단의 최종 방어수단이다. 특히, 여러 웹서버에 침투한 웹셸을 실시간으로 감시하고 수 천대의 웹 서버를 통합 관제하는 웹셸 탐지 솔루션으로, △웹(HTTP)을 통한 DB 유출방지 △서버 조작-시스템 내부 명령 실행 방지 △웹셸을 통한 악성코드 설치 방지 △우회공격을 통한 웹셸 삽입 및 수정 방지 등의 기능을 제공한다. 파이오링크는 자사 웹방화벽인 ‘웹프론트-K’에 실시간 웹쉘 탐지 전문 솔루션을 연동해 강화된 보안기능을 제공한다. 웹프론트-K는 웹서버 앞에 위치, 불법 요청·응답을 차단하기에 기본적으로 웹쉘 공격에 대한 방어기능이 있다. 하지만 웹방화벽 설치 전, 또는 웹방화벽을 우회하는 웹쉘 공격 방어를 위해서는 전문 솔루션의 추가 도입이 필요하다. 탐지와 분석을 이원화해 고객의 웹서버 부하를 최소화하고, 다양한 분석 방법, 지속적 패턴 생성 및 분석, 난독화 기술 등을 결합해 탐지 신뢰도를 높인 것이 장점이다. [김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||||
 |
