제주도 농업기술원 제주농업기술센터, 경기도 어린이집 관리시스템 등 사이버 공격
취약점 점검 및 패치 적용, 디도스 방어 등 KISA 보호나라 가이드 참고해 철저히 대비해야

[보안뉴스 김경애 기자] 우리나라 웹사이트를 집중 공격하고 있는 중국 해커 니옌이 국내 90개 사이트 데이터베이스 계정정보를 노출하고, ‘제주특별자치도 농업기술원 제주농업기술센터’, ‘경기도 어린이집 관리시스템’ 등을 해킹한 정황을 텔레그램에 추가 공개했다. 게다가 중국 해커가 다가오는 설 연휴에도 공격을 예고해 취약점 패치, 침입탐지 및 모니터링 강화, 한국인터넷진흥원 보안 공지 및 가이드 등을 바탕으로 철저한 대비를 해야 할 것으로 보인다.


▲중국 해커 니옌이 공격했다고 주장한 ‘경기도 어린이집 관리시스템’ 사이트 화면[이미지=보안뉴스]

지난 30일 중국 해커 니옌이 ‘경기도 어린이집 관리시스템’을 공격한 정황을 텔레그램에 공개했다. <보안뉴스>가 해당 사이트에 접속한 결과, 경기도 어린이집 관리시스템 사이트에는 ‘긴급보안점검에 따른 서비스 일시 중단 안내’ 공지와 함께 ‘현재 경기도 어린이집 관리시스템 긴급보안점검을 진행 중’이라며 ‘1월 30일 오후 3시부터 완료시(미정, 추후 공지)까지 시스템 접속이 불가능하다’고 밝혔다.

이어 ‘제주특별자치도 농업기술원 제주농업기술센터’ 사이트를 XSS 취약점을 이용해 공격했다고 주장하며 공격 정황을 텔레그램에 공개했다.

이 뿐만이 아니다. 국내 웹사이트 90여곳의 데이터베이스 계정정보를 엑셀파일로 텔레그램에 공유했다. 엑셀파일에는 홈페이지 이름과 URL 주소, IP, Port, 아이디, 패스워드 등이 포함돼 있다.

이번 엑셀 파일 공유와 관련해 익명을 요청한 보안전문가는 “유출된 계정정보가 만약 사실이라면 문서 안에 Port가 3306인데, SQL 인젝션 취약점을 악용해 데이터베이스 계정정보를 유출한 것 같다”고 설명했다.

이어 그는 “해당 해커는 보복심과 유명세에 자극받아 국내 웹사이트를 해킹한다고 밝히고 있는데, 중국의 경우 해킹에 대해 자국만 아니면 관대한 분위기”라며 “중국과의 공조나 협조가 쉽지 않은 만큼 해커도 쉽게 잡히지 않을 것으로 생각하는 것 같다”고 밝혔다.

문제는 해커의 취약점 공격에 국내 기관 및 기업이 속절없이 당하고 있다는 점이다. 특히, 취약점 공격의 경우 이미 공개된 취약점이 대대수이다다. 패치만 잘해도 방어할 수 있어 취약점 점검 및 패치가 무엇보다 중요하다는 지적이다.

이러한 가운데 한국인터넷진흥원은 ‘최근 침해사고 증가에 따른 기업보안 강화 요청’을 공지했다. 공지 내용은 다음과 같다.

△웹 서버 등 주요 시스템에 대한 보안 패치, 취약점 점검·보완
① OS 및 소프트웨어의 최신 보안 업데이트 적용
KISA는 “사용 중인 OS 및 어플리케이션에 대한 최신 보안 업데이트를 적용해야 한다”며 “특히 아파치-톰캣 기반의 자바 솔루션(오라클 웹로직, 아틀라시안 컨플루언스, 아파치 스트럿츠2 등)은 반드시 최신 보안 업데이트를 적용해 운영하고, GNU 배시 셸에 대한 최신 패치 적용”을 당부했다.

② 웹 관리자 계정 보안 강화
- 웹 관리자 비밀번호를 복잡도 있게 설정하고 주기적으로 변경해야 한다.
- 관리자 로그인 시에는 이중 인증을 설정(SMS, OTP 등)해야 한다.
- 관리자페이지 접근 IP를 제한(특정 IP만 접속 가능하도록 설정)해야 한다.

특히 관리자 전용 단말을 선정해 접근을 제한하고, 단말은 관리 업무 이외 사용을 금지(웹, 메일확인 등)해야 한다. 또한 OS와 백신은 최신 버전으로 사용하는 게 바람직하다.

③ 웹 서버 취약점 점검 및 보완
- 웹 방화벽 및 IPS 등 보안 솔루션을 통한 웹 공격을 탐지·차단해야 한다.
- 파일 업로드와 관리자 로그인 페이지 등을 집중적으로 점검해야 한다.

업로드 가능 파일타입 검증과 업로드 폴더의 실행권한 여부 점검 등은 KISA홈페이지 → 지식플랫폼 → 법령·가이드라인 → 가이드라인 → 소프트웨어 보안약점 진단가이드를 참고하면 된다.

중소기업의 경우, 무료 점검신청으로 보안강화를 해야 한다. KISA가 운영하는 사이트 보호나라 → 정보보호 서비스 → 서비스 신청하기 → 중소기업 홈페이지 보안강화 신청을 통해 점검을 받을 수 있다.

- 개인정보 유출 공격(SQL injection) 대응을 위한 보안을 강화해야 한다. 입력 값 검증 및 예외처리, 필터링 규칙 적용 등 보안강화는 보호나라 → 알림마당 → 보고서·가이드 → 웹서버 보안강화 안내서를 참고하면 된다. 중소기업의 경우, 보안나라에서 무료 점검 신청이 가능하다.

- 시큐어 코딩 적용을 검토해야 한다. 시큐어 코딩 적용 검토는 KISA홈페이지 → 지식플랫폼 → 법령·가이드라인 → 가이드라인 → 소프트웨어 개발보안 가이드, JavaScript 시큐어코딩 가이드 등을 참고하면 된다.

- 기타 운영환경의 보안성에 대해 점검해야 하다. SW 보안패치 적용, DB 계정 관리, DB 로그 설정 등을 해야 한다. 이는 보호나라 → 알림마당 → 보고서·가이드 → 중소기업 서비스 개발 운영환경 주요 보안 취약 사례별 대응 방안, 웹서버 보안강화 안내서, 웹 에디터 보안가이드 등을 참고하면 된다.

- 운영 시스템의 침해사고 흔적 발견 시에는 한국인터넷진흥원에 신고해야 한다. 비정상 관리자 로그인 이력, 비정상 파일 생성 및 DB 질의 확인 등을 해야 하며, 침해사고 확인 시 보호나라 → 침해사고 신고 → 신고하기를 클릭해 신고하면 된다.

④디도스 공격 대비한 모니터링 강화
- 디도스 공격에 대비한 모니터링 강화는 디도스 방어 솔루션 도입과 망사업자 서비스를 통해 대응해야 한다. 중소기업의 경우, KISA DDoS 방어서비스를 이용(‘보호나라 → 정보보호 서비스 → 서비스 신청하기 → 중소기업 홈페이지 보안강화 → 사이버 대피소’ 신청)하면 된다.

한국인터넷진흥원 임채태 단장은 “업데이트와 패치만 잘해도 많은 부분 피해를 당하지 않을 수 있다”며 “보안담당자들은 보안권고사항을 참조해 적극적으로 예방조치를 수행하고 이상징후 발견시 KISA로 연락하면 지원 받을 수 있다”고 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>