해킹당한 웹서버 중 90% 이상 웹서버에서 웹셸 발견 웹 보안의 기본은 웹셸 탐지 및 방어...웹셸 방어 솔루션 살펴보니
[보안뉴스 김태형] 수많은 웹 보안위협 중에서도 웹셸(WebShell)은 가장 기초적인 해킹 툴이다. 이는 공격자가 원격으로 웹서버를 제어할 수 있는 프로그램으로, 최근 이와 같은 웹셸 공격으로 인해 웹 서버에 저장된 개인정보가 유출되고, 웹사이트 변조·악성코드 유포지로 악용되는 사례가 증가하고 있다.



최근 이러한 웹셸에 의한 해킹 사고가 증가하고 있다. 지난해말 개인정보가 유출된 배달 앱 ‘배달통’의 해킹원인도 웹셸에 의한 것으로 밝혀졌다. 지난해 전 세계 개인정보 유출사고의 65%는 해킹에 의한 것으로 나타났다. 그리고 지난해 우리나라에서 발생한 3.20 사이버테러와 6.25 사이버테러도 해킹에 의한 침해사고였는데, 이들은 모두 웹셸 공격에서부터 시작됐다.


과거에도 이와 같은 웹셸 공격은 지속되어 왔다. 지난 2008년 옥션의 개인정보유출 사고와 2011년 현대캐피탈 정보유출, 2012년 EBS 정보유출 등도 웹셸에 의한 해킹 사건이었다.

KISA 인터넷침해대응센터에 따르면, 해킹당한 웹서버 중 웹셸이 발견된 웹서버는 90% 이상이다. 지난해 2월 26일 의사협회 8만명, 치과의사협회 5만 6천명, 한의사협회 2만명 등 총 15만 6천명의 개인정보가 유출됐다. 이 3개 협회 홈페이지는 공격자가 악성코드를 웹사이트에 심어서 관리자 권한을 획득한 후, 웹셸을 이용해 개인정보를 탈취한 것으로 조사됐다. 지난해 3월 7일 113만명의 개인정보가 유출된 티켓몬스터의 경우에도 공격자가 홈페이지 게시판 등에 웹셸을 심어 해킹했다.

이와 같은 웹셸을 탐지하고 방어하기 위해서는 웹셸전용 보안 솔루션을 사용하는 것이 보다 효과적이다. 기존 네트워크와 서버 보안 체계에서 웹셸 탐지가 쉽지 않기 때문. 그 이유는 여러 가지인데, 일례로 방화벽의 경우에는 허용된 IP나 포트로부터의 공격은 방어하기 어렵다. 또 네트워크 계층에서의 유해성 검사를 진행하는 IDS/IPS의 경우에는 애플리케이션 취약성 공격에 대해서는 방어가 거의 불가능하다.

이에 많은 사람들이 이용하는 공공기관의 홈페이지는 웹 보안 강화는 필수적이다. 웹셸에 효과적으로 대응하기 위해서는 웹 애플리케이션 파일의 임의 생성 및 변조를 실시간으로 탐지해야 하고 탐지 즉시 처리할 수 있어야 한다. 특히 ASP, JSP, PHP 등 다양한 웹 스크립트 탐지를 지원하고 지속적인 R&D를 통해 진화하는 웹쉘 탐지 패턴을 보유할 수 있어야 한다. 또한, 상시 모니터링으로 취약점을 제거하고 웹사이트의 개발·운영 전반에 걸쳐 보안을 강화해야 한다.

웹셸 솔루션 전문 기업 유엠브이기술 조혁래 이사는 “최근 해킹으로 인한 정보유출 사건이 대부분이 웹셸 공격으로 이루어졌다. 이에 고객들은 웹셸 전용 솔루션의 필요성은 인식하고는 있으나, 도입예산 문제로 아직까지 시장이 크게 확대되지는 않고 있다”고 말했다.

이어서 그는 “웹셸 방어 솔루션은 특히 공공이나 금융 분야에서 대부분 도입하고 있다. 많은 사용자들이 이용하고 있기 때문에 웹 보안 강화를 위해서는 필수적이지만 기관이나 기업에서의 웹셸 탐지 솔루션 도입이 확대되지 않고 있어 보안 위협에 여전히 노출되어 있다”라고 말했다. 이러한 웹셸 탐지 및 방어 솔루션은 국내 약 7개 정도의 솔루션이 시장에 나와 있다.

유엠브이기술의 통합웹보안 솔루션 ‘웹서버세이프가드(WSS)2.5’는 쉘모니터(ShellMonitor)와 포저리모니터로 구성되어 있다. 쉘모니터(ShellMonitor)는 웹서버 악성코드 탐지 방어를 위한 전용 보안 솔루션이고 WSS포저리모니터는 서비스 중인 홈페이지 위·변조가 발생하면 실시간으로 인지한다.

특히, 쉘모니터는 위·변조가 되지 않은 원본파일로 즉시 복원하고 관리자에게 통보한다. 웹페이지 위·변조로 인한 기업이나 기관 신뢰도 하락을 막을 수 있다. 웹셸만 탐지하는 제품과 달리 통합적인 웹 보안의 방향을 제시한다. 또한 윈도우서버, 리눅스, 유닉스 등 모든 웹 서버 OS를 지원하며 ASP, JSP, PHP, HTML, JS 등의 웹 서비스 언어를 포함한 이미지 등 모든 소스 파일을 대상으로 웹 서버 악성코드인 웹셸, 악성코드 유포지 URL 및 웹 서버 개인정보를 탐지한다.
조혁래 이사는 “쉘모니터는 악성코드 탐지시 이메일, SMS를 통한 알림 기능과 에이전트를 그룹별로 구분해 그룹별 에이전트 상태 정보 파악이 가능하며 관리자별 사용기능 제한, 접근 경로 제한, 웹서버 악성코드(웹셸)와 악성코드 유포지 URL 탐지 내역에 대한 통계 등으로 외부 통합보안관리시스템(ESM) 연동을 지원한다”고 덧붙였다.
또한 이지시큐어의 ‘셸캅(ShelCop)’은 해커가 웹서버의 취약점을 이용해 웹서버 관리자 계정을 획득한 후, 저장된 내부자료을 유출하거나 백도어 프로그램을 설치하는 등 악의적인 목적으로 웹서버에 설치한 웹셸 프로그램을 탐지하고 발견 시, 실행을 방지하는 솔루션이다. 또한, 웹서버의 해킹을 사전에 방지하거나  해킹 발생 후, 정보 유출과 해킹의 거점으로 사용되는 2차 피해를 방지한다.

SSR의 ‘메티아이(MetiEye)’는 휴리스틱 엔진을 탑재한 웹셸 탐지 및 방어 솔루션이다. 모의해킹 컨설팅에서 사용되는 자체 제작된 웹셸의 패턴 테스트 등 30여 명의 전문 보안 컨설턴트가 현장에서 수집하는 패턴으로 수시 업데이트를 진행하고 있는 것이 특징이다. 또한 알려지지 않은 웹셀과 우회기법을 탐지하는 기능이 강점이다. 특히, 에이전트 기반의 다른 제품들과 달리 서버에 설치되지 않고 스크립트 기반으로 복사해서 붙여넣기로 가능하기 때문에 시스템 운영자들이 가장 우려하는 서비스 가용성이나 안정성에 전혀 부담이 없는 것도 특징이다.

SSR의 김병규 솔루션사업본부 부장은 “웹셸 탐지 솔루션의 오탐과 미탐을 보완하기 위해 SSR은 자체 개발한 행위기반의 ‘휴리스틱 엔진’으로 웹셸만의 특징을 탐지하도록 하는 기능을 개발했다. 또, 해쉬 값을 대조하는 방식의 해쉬기반 탐지 기능은 알려진 웹셸을 탐지하기 때문에 오탐이 없는 것도 장점이라고 할 수 있다”고 강조했다.



 ▲ 국내 주요 웹셸 탐지·방어 솔루션 업체 및 제품(업체명 가나다순) 

인포섹의 웹 보안 관제서비스를 위한 웹쉘 탐지 전용 솔루션 ‘더블유 쉴드 안티웹쉘(W-Shield Anti-webshell)’은 다년간 웹쉘과 악성코드로 인한 해킹 사고를 대응하면서 축적한 400여개의 웹쉘 패턴 노하우와 난독화된 웹쉘을 탐지하기 위한 암호해독(Decoding) 엔진을 통해 다양한 웹쉘 공격에 대한 대응이 가능하며, Non-Agent 방식으로 시스템 부하를 최소화하고 안정성을 확보했다. 특히 드라이브 바이 다운로드 공격 탐지 솔루션인 ‘더블유쉴드 MDS(Malware Detection System)’과 연동해 사용하면 더욱 효과적이다.

하로스 ‘쉘가드(Shell GUARD)’는 국내에서 처음으로 웹쉘 탐지 솔루션 ‘휘슬(WHISTL)’을 한국인터넷진흥원과 공동 개발했으며 현재 약 4,000여 기업에서 사용 중이다. 셸가드는 하나 이상의 웹서버에 대해 각각 웹셸 프로그램을 탐지하고 관리자는 중앙관리 및 조치가 가능하다. 특히, 업로드 파일에 대한 웹셸 프로그램을 실시간으로 탐지하고 원격관리를 통한 즉각적인 대응이 가능하다.

에이쓰리시큐리티 ‘이지스 셸 모니터(AEGIS Shell Monitor)’는 웹 서버 해킹에 사용되는 악성 프로그램인 웹셸을 실시간 모니터링 하고 탐지하는 신개념 웹 보안 관제서비스로 웹셸을 방어하는 웹서버 단의 최종 방어수단이다. 특히, 여러 웹서버에 침투한 웹셸을 실시간으로 감시하고 수 천대의 웹 서버를 통합 관제하는 웹셸 탐지 솔루션으로, △웹(HTTP)을 통한 DB 유출방지 △서버 조작-시스템 내부 명령 실행 방지 △웹셸을 통한 악성코드 설치 방지 △우회공격을 통한 웹셸 삽입 및 수정 방지 등의 기능을 제공한다.

파이오링크는 자사 웹방화벽인 ‘웹프론트-K’에 실시간 웹쉘 탐지 전문 솔루션을 연동해 강화된 보안기능을 제공한다. 웹프론트-K는 웹서버 앞에 위치, 불법 요청·응답을 차단하기에 기본적으로 웹쉘 공격에 대한 방어기능이 있다. 하지만 웹방화벽 설치 전, 또는 웹방화벽을 우회하는 웹쉘 공격 방어를 위해서는 전문 솔루션의 추가 도입이 필요하다. 탐지와 분석을 이원화해 고객의 웹서버 부하를 최소화하고, 다양한 분석 방법, 지속적 패턴 생성 및 분석, 난독화 기술 등을 결합해 탐지 신뢰도를 높인 것이 장점이다. 

이와 같이 웹셸은 공격자들이 가장 많이 사용하는 기본적인 공격기법이다. 웹셸에 의한 해킹은 홈페이지 변조, 시스템 파괴, DB유출, 디도스 공격, 악성코드 유포 등 다양한 공격이 가능하기 때문에 더욱 위협적이다.

또한, 이로 인해 개인정보 유출 등 대규모 2차 피해로 이어지는 사례가 많았다. 최근 들어 웹셸 전용 솔루션을 활용한 보안 강화에 관심이 높아지고 있는 만큼 사용자들은 다양한 웹셸 솔루션들의 기능을 꼼꼼히 따져보고, 회사에 적합한 웹셸 전용 솔루션을 도입해 보안수준을 한층 강화할 필요가 있다.  

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>