사고분석 시 주요 체크포인트로 공격자 추적

최근 국내기업을 대상으로 한 중국발 해킹과 침해사고가 위험수위에 올라있는 가운데 사고분석 시 가장 중요한 부분인 웹 로그에 대한 관리가 필수요소로 자리 잡고 있다. 특히 대부분 기업이 웹 서버를 이용한 로그인 형태 홈페이지를 운영하고 있기 때문에 로그분석을 통한 악성코드를 추적하려는 방법을 숙지해야 한다.

한국정보보호진흥원 해킹대응센터 전은국 연구원은 22일 한국과학기술회관에서 열린 웹 애플리케이션 세미나에서 ‘최신 침해사고 동향 및 사고사례’를 통해 웹 로그 분석에 대한 중요성을 이같이 강조했다.

더구나 취약한 시스템 장악, 망내 PC 스캔, 사용하지 않는 IP를 이용해 다른 취약 서버에 접근하는 등 IP 도용 피해가 늘고 내부 시스템에서 비밀번호를 텍스트로 기록하는 스크립트 남용이 해킹을 부추기는 것으로 나타났다.

주요 침해사고에서 웹 로그는 설치된 악성코드 분석, 피해시스템에서 발생하는 트래픽 조사, 시스템 취약점검 등이 가능하다. 웹 로그 점검은 변조된 페이지와 악성코드 파일명으로 검색하고 침입확인 이전날짜 로그부터 점검한다.

또 웹과 DB 서버는 의존적 관계에 있는 만큼 웹서버 DB에 생성된 테이블은 없는지, DB 계정을 수시로 점검해야 한다. 최근 현장에서 발견된 악성코드 유형을 보면 특정 웹페이지로부터 IP 정보를 수신하거나 익스플로러를 기반으로 한 모든 프로세스에 주입 돼 모든 키보드 입력을 파일에 저장하는 키로거 형식을 사용하고 있다.

또 ‘winsshr.exe’는 방화벽 정책을 우회하기 위한 레지스터 변경과 서비스 등록이나 기존 드바이스 드라이버 파일 변경, 특정 프로그램을 종료하는 유형을 갖는다. 이러한 악성코드를 방어하려면 지속적인 웹 로그 관리가 필요하다.

주요 피해분석 도구로는 ‘ProcessExplorer’ 악성코드 찾기, ‘TCPView’ 네트워크 연결 모니터링, ‘Autoruns’ 시스템 설정·서비스 점검, 사용자 히스토리 점검 등이 있다. 이 가운데 루트킷(RootKit)은 운영체제의 커널단에 접근, 권한 상승, 프로세스 숨기기, 파일 숨기기 등 다른 유형 탐지가 안 돼 난감할 때 유용하게 사용할 수 있다.

전 연구원은 “대부분 기업이 웹 페이지를 운영해 웹 로그 분석은 보안에서 가장 중요하고 기본적인 관리 대상이 되고 있다”며 “특히 해커가 조작한 웹페이지는 해커의 정보 입수나 명령하달 페이지로 악용될 수 있는 만큼 각종 피해분석 도구를 설치해 피해를 최소화해야 한다”고 설명했다.

[배군득 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>