악성코드 은닉사고 증가...원천 차단툴과 취약점 분석 도구 이용
해킹으로 악성코드 삽입해 기업의 주요 정보 및 개인정보를 탈취하는 홈페이지 악성코드 은닉사고가 점차 늘고 있어 관리에 각별한 주의가 요구되고 있다. 

KISA에 따르면, 악성코드 은닉사고의 대부분은 해킹에 체계적으로 대응할 수 없는 중소기업들이   주 대상인 것으로 파악되고 있다.




KISA의 2008년 홈페이지 사고 동향 자료를 살펴보면 1년 새 크게 증가한 것을 알 수 있다. 특히 유포지 사이트가 경유사이트보다 급격히 증가한 2008년 7월을 분석해보면 하나의 경유사이트에 다수의 유포사이트가 포함되어 있는 정황을 발견할 수 있다.

이는 홈페이지 변조가 단순 변조를 넘어서 홈페이지 변조를 악성코드 유포/경유 사이트로 사용하고 있음을 보여준다.

악성코드가 삽입된 기관별 분류를 살펴보면 기업에서 사용하는 co.kr과 .com 도메인이 악성코드 유포지/경유지로 많이 사용되고 있었다. 이는 공격자가 감염 PC를 많이 확보하기 위하여 사용자의 접속이 많은 기업 사이트를 주로 악성코드 유포지/경유지 사이트로 악용하고 있는 것으로 판단된다.
 

홈페이지 악성코드 삽입은 1차적으로 홈페이지를 공격한 후에 시도된다. 즉 웹 어플리케이션의 취약점을 이용하여 홈페이지를 점령한 후에 해당 페이지에 악성코드 관련 코드를 삽입하고 실제 악성코드를 서버에 업로드 하는 것이다. 이를 방지하기 위해서 홈페이지 관리자는 웹 어플리케이션의 보안성을 확보하고 웹방화벽과 같은 웹보안 전용 장비를 이용하여 공격자의 공격에 대비해야 할 것이다.

■ 올해 홈페이지 해킹 전망
올해에도 악성코드 삽입하여 사용자의 계정정보, 금융정보, 개인정보 탈취 및 재판매 목적의 홈페이지 악성코드 삽입 공격이 지속적으로 늘어날 것으로 전망된다. 특히 개인정보를 다량 보유한 사이트를 대상으로 한 공격이 증가할 것으로 예상돼 해당 사이트 관리자들의 주의가 요구되고 있다.

전문가들에 따르면, 지금까지는 홈페이지가 해킹당하면 해당 사이트 관리자는 단지 홈페이지 복구와 가용성만 염려했지만, 최근 발생하고 있는 홈페이지 해킹사고는 홈페이지뿐만 아니라 기업의 존폐를 걱정해야 하는 문제가 되고 있는 것으로 전해지고 있다.
 
만일 홈페이지에 가입된 회원들의 정보가 공격을 당해서 유출되었다면, 홈페이지 이렇게 되면 홈페이지 관리자가 고민할 것이 아니라 기업의 경영진이 고민할 문제로 문제의 규모가 급격히 확대된다.
기업의 홈페이지에 악성코드가 삽입돼 사용자가 피해를 보는 경우 기업 이미지 실추, 사용자들의 손해 배상 청구, 악성코드 감염으로 인한 사용자의 피해 등 많은 부작용이 발생하게 된다. 또한 이러한 악성코드로 인해서 개인정보 유출, 스팸 발송에 이용 등의 2차 피해가 발생하게 된다.

따라서 보안 전문가들은, 이 같은 큰 피해를 막기 위해서는 관리자들이 스스로 운영하는 홈페이지의 보안성을 강화해야 한다고 조언한다. 무엇보다도 홈페이지 구축시 설계서부터 보안성을 고려해 개발하는 것이 중요하다고 입을 모은다. 따라서 홈페이지 개발시 안전한 개발 방법론 적용, 개발과정에서 소스코드 검증 체계 수립, 개발 후 취약점 점검 후 서비스 시행 등의 절차를 적용해야 한다.

■ 홈페이지 해킹 원천 차단과 취약점 분석 도구
홈페이지 해킹에 대한 피해가 커짐에 따라 주무부처인 방통위와 KISA는 홈페이지 해킹에 대한 대응전략을 세우고 있다. 우선 홈페이지 해킹을 원천적으로 차단하고 취약점을 차단하는 프로그램 배포에 주력하고 있다.

대부분의 해커는 웹 서버에 설치한 웹쉘을 통해 악성코드 유포, 개인정보 유출, 홈페이지 변조 등의 악성행위를 하게 된다. 실제로 KISA가 지난 2007년 한 해 동안 해킹피해를 입은 서버를 현장 또는 원격으로 분석한 결과, 피해 서버 90% 이상에서 이와 같은 웹쉘이 발견된 것으로 나타났다.

이에 따라 KISA는 휘슬(ＷHISTL : Ｗeb Ｈacking Ｉnspection Ｓecurity Ｔool)이라는 웹 서버 해킹 악성 프로그램 ‘웹쉘’을 탐지하는 홈페이지 해킹통로탐지 프로그램을 보급하고 있다.

이는 중소기업을 대상으로 악성코드 및 해킹 비밀 통로 탐지 프로그램을 무료 보급해 해킹 사고 및 중간숙주로 악용되는 것을 감소시키기 위한 것.

현재 450여개업체가 이용하고 있는 이 프로그램은, 2007년 7월 KISA 업무용으로 개발됐던 프로그램으로 1년 후인 2008년 7월 기업 배포용으로 업그레이드 시작해 4개월의 개발 기간을 거쳐 2008년 10월부터 보급을 시작했다.

휘슬은 웹 문서 디렉토리에 존재하는 모든 웹 문서 파일의 소스코드를 점검하는 방식으로 동작함과 동시 아파치, ＩIS 등 모든 웹 서버에서 사용이 가능하며, ＪSP, ＡSP, ＰHP로 제작된 웹쉘 탐지가 가능하다.

바이러스 등과 마찬가지로 이 웹쉘 역시 다양한 패턴들이 존재하며, 휘슬은 패턴 매칭을 통해 웹쉘의 존재 여부를 탐지하게 됨. 특히, 휘슬은 보다 전문화된 탐지기능을 제공하기 때문에 기존 공개 웹 방화벽이나 IPS과 같은 정보보호 제품을 사용하는 사용자들에게도 유용하다.

또한 KISA는 해커가 웹프로그램의 취약점을 악용해 웹사이트로 침입하는 것을 방지하기 위한 홈페이지 보안성 강화프로그램인 캐슬(ＣASTLE)도 배포하고 있다.
해커들은 웹사이트 해킹시 주로 DB 명령어 삽입(ＳＱＬ 주입), 악성프로그램 업로드 등의 방법을 사용한다. 이에 따라 캐슬은 해커들이 주로 사용하는 기법들을 방어할 수 있도록 제작됐다.

캐슬은 웹보안이 취약한 중소기업들이 홈페이지상에서 성벽을 쌓는 것처럼 해킹 유사 공격 문자열을 필터링해 차단한다. 또한 운영 중인 홈페이지에도 최소한의 수정을 통해서 쉽게 적용될 수 있도록 설계됐다는 장점을 가지고 있다.

1/20일부터 KrＣERT/ＣＣ 홈페이지에서 다운로드하여 사용 가능하며 홈페이지 제작 언어(ＡSP, ＪSP, ＰHP) 별로 각각의 환경에 맞춰 제작돼 홈페이지 개발자와 관리자들이 선택하여 사용할 수 있다.

KISA 측은, 캐슬이 휘슬과 함께 사용하면 더욱 효과적이라고 설명한다. 홈페이지가 해킹 피해를 입어 해킹도구가 홈페이지에 설치되어 있는 경우에는 캐슬을 적용하여도 해킹 예방 효과가 뚜렷하지 않을 수 있으므로, 휘슬을 사용하여 해킹 피해 여부를 사전에 점검한 후 사용하는 것이 효과적이라는 것.

KISA 인터넷침해사고대응지원센터 이명수 본부장은 “인터넷 서비스가 웹기반으로 계속 진화함에 따라 홈페이지를 대상으로 하는 공격도 더욱 정교해 질 것이다”라며, “캐슬과 휘슬을 적용해 해킹사고를 사전에 방지할 수 있다”고 말했다.
[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>