.gif)
구글 검색해보니...아파치 스트럿츠2 기반 정부·기관·학교 홈페이지 상당수
중국 해커조직, 공격 툴 배포중...SQL 인젝션 해킹 공격도 감행할 듯
홈페이지 점검 후, 취약점 발견시 신속하게 보안 패치 적용해야
[보안뉴스 원병철 기자] 중국 최대 해커조직 ‘홍커연맹’이 오는 3월 28일 한국 웹사이트에 대한 총공격 개시를 예정하고 있는 가운데 산발적인 공격이 지속되고 있어 정부부처는 물론 공공기관과 기업들의 주의가 요구되고 있다. 지난 3월 7일 ‘판다정보국’과 ‘1937cN’ 등 중국 해킹그룹의 무차별적인 디페이스(화면 변조) 공격이 발생한 이후부터 지금까지 중국 해커들의 공격이 산발적으로 진행되고 있는 상황에서 더 큰 공격이 예고된 셈이다.
.jpg)
그간 잘 알려지지 않았지만, ‘3·7 China Attack’ 이후에도 중국 해커조직은 꾸준하게 한국 홈페이지를 공격하고 있다. 이미 국방부는 21일 정례브리핑에서 최근 군 전산망에 대한 해킹 시도 등 사이버 공격이 급증했다고 밝혔으며, 국가 사이버 위기경보가 ‘주의’로 상향될 때 인포콘(Inforcon, 한국군 정보작전 방호태세)도 격상했다고 설명했다.
중국 해커조직, 아파치 스트럿츠2 취약점 통해 한국 홈페이지 공격 가능성↑
보안업계에 따르면, 중국 해커들은 본지에서도 이미 보도했던 공격루트인 ‘아파치 스트럿츠2(Apache Struts 2)’ 취약점을 이용해 3·7 China Attack 이후에도 국내 웹사이트들을 계속 공격하고 있다. 롯데관련 기업을 포함해 정부기관과 정부관련 소프트웨어 개발기업, 그룹웨어 서버, 커뮤니티, 공동주택관련 홈페이지 등 다수가 디페이스 공격을 당했으며, 알려지지 않은 웹사이트까지 포함하면 그 규모는 훨씬 더 클 것으로 보인다.
특히, 이번 중국 해커조직의 동향을 주시하던 한 보안전문가는 3월 28일 이전 아파치 스트럿츠2 취약점을 이용한 공격이 벌어질 것이라고 예고했다. 또한, 그는 중국 해커들이 구글을 통해 아파치 스트럿츠2 기반의 한국 홈페이지를 검색한 후, 취약점을 악용해 공격할 것으로 예상했다.
물론 공개된 아파치 스트럿츠2 취약점은 이미 패치가 됐다. 한국인터넷진흥원도 공지(www.krcert.or.kr/data/secNoticeList.do)를 통해 패치 업데이트를 권고했다.
그러나 문제는 아파치 스트럿츠2를 사용하는 홈페이지가 너무 많다는 점이다. 업계에 따르면 아파치 스트럿츠는 웹사이트 제작에 사용되는 오픈소스 프로그램이기 때문에 우리나라는 물론 해외에서도 광범위하게 사용되고 있다. 일례로 지난 3월 13일 경 아파치 스트럿츠2 취약점을 이용한 공격이 캐나다 국세청과 캐나다 통계청 웹사이트에서 발생했으며, 캐나다 정부는 이를 해결하기 위해 국세청 웹사이트를 폐쇄하기도 했다.
실제로 기자가 구글을 통해 아파치 스트럿츠2 기반의 기관(go.kr), 학교(ac.kr), 단체(or.kr)를 검색하자 수많은 홈페이지들을 찾을 수 있었다. 문제는 이러한 홈페이지들 가운데 상당수가 보안 패치를 아직 못했을 가능성이 있다는 사실이다. 더욱이 아파치 스트럿츠2로 제작된 홈페이지에 붙는 확장자 ‘.action’을 숨기는 기본적인 조치도 취하지 않은 곳들이 많아 보안 패치를 진행했다고 보기도 어렵다. 중국 홍커연맹의 28일 총공격이 더 무서운 이유다.
아파치 스트럿츠2 제작 홈페이지, 주소에 ‘.action’ 붙어...보안 패치 꼭 진행해야
이번에 예고된 아파치 스트럿츠2 취약점 악용 공격을 예방하기 위해서는 취약점을 반드시 패치해야 한다. 문제는 홈페이지를 직접 만든 제작사나 제작자, 혹은 홈페이지 관리자들은 아파치 스트럿츠2를 사용했는지 알 수 있지만, 나머지 직원들은 이 사실을 대부분 알지 못한다는 점이다. 간단한 팁을 준다면, 기본적으로 아파치 스트럿츠를 사용해 만든 홈페이지 주소(URL)에는 ‘.action’이라는 확장자가 붙는다. 기본 주소나 각 상세 페이지에 추가되어 있을 수 있다. 물론 아파치 스트럿츠2의 확장자만 .action이 아닐 수도 있고, 일부러 사용자가 확장자 이름을 .action으로 바꿨을 수도 있다.
또한, 보안정책상 정보를 숨기는 것이 바람직하기 때문에 잘 관리되고 있는 페이지의 경우 ‘.action’이 안보일 수도 있다. ‘.action’을 숨겼다는 것은 홈페이지 관리자가 보안을 신경 쓰고 있다는 증거이며, 이 때문에 패치를 이미 완료했을 가능성도 더 높아진다.
이와 함께 위협정보 대응 서비스를 제공하는 제로서트(ZeroCert)는 아파치 스트럿츠2 취약점을 이용한 공격에 대응할 수 있도록 홈페이지(https://zerocert.org)에 ‘스트럿츠2 S2-045’ 취약점이 있는지 안내해주는 서비스도 진행하고 있다. 현재 ‘스트럿츠2 S2-046’ 취약점까지 나와 있는 상태다.
SQL 인젝션 공격에도 국내 홈페이지 상당수 취약...공격 툴 공유중
중국 해커들의 공격 루트와 관련해서 아파치 스트러츠2 취약점 뿐만 아니라 SQL 인젝션 공격 가능성도 매우 높은 상태다. 중국 해커들이 SQL 인젝션 공격을 수행하겠다고 직접 밝힌 데다가 공격할 때 사용하라고 다양한 해킹 툴을 서로 공유하고 있기 때문이다.
이렇듯 중국 해커조직의 공격 예고로 정부부처, 공공기관과 일부 대기업들은 초긴장 상태에 다. 그러나 지금부터라도 제대로 대처한다면 피해를 최소화할 수 있다. 특히, 해킹 공격에 대한 대응을 정부나 보안업계에만 맡기지 말고, 자사 홈페이지에 취약점은 없는지 꼼꼼히 점검해보는 자세가 필요하다는 지적이다.
[원병철 기자(boanone@boannews.com)]
중국 해커조직, 공격 툴 배포중...SQL 인젝션 해킹 공격도 감행할 듯
홈페이지 점검 후, 취약점 발견시 신속하게 보안 패치 적용해야
[보안뉴스 원병철 기자] 중국 최대 해커조직 ‘홍커연맹’이 오는 3월 28일 한국 웹사이트에 대한 총공격 개시를 예정하고 있는 가운데 산발적인 공격이 지속되고 있어 정부부처는 물론 공공기관과 기업들의 주의가 요구되고 있다. 지난 3월 7일 ‘판다정보국’과 ‘1937cN’ 등 중국 해킹그룹의 무차별적인 디페이스(화면 변조) 공격이 발생한 이후부터 지금까지 중국 해커들의 공격이 산발적으로 진행되고 있는 상황에서 더 큰 공격이 예고된 셈이다.
그간 잘 알려지지 않았지만, ‘3·7 China Attack’ 이후에도 중국 해커조직은 꾸준하게 한국 홈페이지를 공격하고 있다. 이미 국방부는 21일 정례브리핑에서 최근 군 전산망에 대한 해킹 시도 등 사이버 공격이 급증했다고 밝혔으며, 국가 사이버 위기경보가 ‘주의’로 상향될 때 인포콘(Inforcon, 한국군 정보작전 방호태세)도 격상했다고 설명했다.
중국 해커조직, 아파치 스트럿츠2 취약점 통해 한국 홈페이지 공격 가능성↑
보안업계에 따르면, 중국 해커들은 본지에서도 이미 보도했던 공격루트인 ‘아파치 스트럿츠2(Apache Struts 2)’ 취약점을 이용해 3·7 China Attack 이후에도 국내 웹사이트들을 계속 공격하고 있다. 롯데관련 기업을 포함해 정부기관과 정부관련 소프트웨어 개발기업, 그룹웨어 서버, 커뮤니티, 공동주택관련 홈페이지 등 다수가 디페이스 공격을 당했으며, 알려지지 않은 웹사이트까지 포함하면 그 규모는 훨씬 더 클 것으로 보인다.
특히, 이번 중국 해커조직의 동향을 주시하던 한 보안전문가는 3월 28일 이전 아파치 스트럿츠2 취약점을 이용한 공격이 벌어질 것이라고 예고했다. 또한, 그는 중국 해커들이 구글을 통해 아파치 스트럿츠2 기반의 한국 홈페이지를 검색한 후, 취약점을 악용해 공격할 것으로 예상했다.
물론 공개된 아파치 스트럿츠2 취약점은 이미 패치가 됐다. 한국인터넷진흥원도 공지(www.krcert.or.kr/data/secNoticeList.do)를 통해 패치 업데이트를 권고했다.
그러나 문제는 아파치 스트럿츠2를 사용하는 홈페이지가 너무 많다는 점이다. 업계에 따르면 아파치 스트럿츠는 웹사이트 제작에 사용되는 오픈소스 프로그램이기 때문에 우리나라는 물론 해외에서도 광범위하게 사용되고 있다. 일례로 지난 3월 13일 경 아파치 스트럿츠2 취약점을 이용한 공격이 캐나다 국세청과 캐나다 통계청 웹사이트에서 발생했으며, 캐나다 정부는 이를 해결하기 위해 국세청 웹사이트를 폐쇄하기도 했다.
실제로 기자가 구글을 통해 아파치 스트럿츠2 기반의 기관(go.kr), 학교(ac.kr), 단체(or.kr)를 검색하자 수많은 홈페이지들을 찾을 수 있었다. 문제는 이러한 홈페이지들 가운데 상당수가 보안 패치를 아직 못했을 가능성이 있다는 사실이다. 더욱이 아파치 스트럿츠2로 제작된 홈페이지에 붙는 확장자 ‘.action’을 숨기는 기본적인 조치도 취하지 않은 곳들이 많아 보안 패치를 진행했다고 보기도 어렵다. 중국 홍커연맹의 28일 총공격이 더 무서운 이유다.
아파치 스트럿츠2 제작 홈페이지, 주소에 ‘.action’ 붙어...보안 패치 꼭 진행해야
이번에 예고된 아파치 스트럿츠2 취약점 악용 공격을 예방하기 위해서는 취약점을 반드시 패치해야 한다. 문제는 홈페이지를 직접 만든 제작사나 제작자, 혹은 홈페이지 관리자들은 아파치 스트럿츠2를 사용했는지 알 수 있지만, 나머지 직원들은 이 사실을 대부분 알지 못한다는 점이다. 간단한 팁을 준다면, 기본적으로 아파치 스트럿츠를 사용해 만든 홈페이지 주소(URL)에는 ‘.action’이라는 확장자가 붙는다. 기본 주소나 각 상세 페이지에 추가되어 있을 수 있다. 물론 아파치 스트럿츠2의 확장자만 .action이 아닐 수도 있고, 일부러 사용자가 확장자 이름을 .action으로 바꿨을 수도 있다.
또한, 보안정책상 정보를 숨기는 것이 바람직하기 때문에 잘 관리되고 있는 페이지의 경우 ‘.action’이 안보일 수도 있다. ‘.action’을 숨겼다는 것은 홈페이지 관리자가 보안을 신경 쓰고 있다는 증거이며, 이 때문에 패치를 이미 완료했을 가능성도 더 높아진다.
이와 함께 위협정보 대응 서비스를 제공하는 제로서트(ZeroCert)는 아파치 스트럿츠2 취약점을 이용한 공격에 대응할 수 있도록 홈페이지(https://zerocert.org)에 ‘스트럿츠2 S2-045’ 취약점이 있는지 안내해주는 서비스도 진행하고 있다. 현재 ‘스트럿츠2 S2-046’ 취약점까지 나와 있는 상태다.
SQL 인젝션 공격에도 국내 홈페이지 상당수 취약...공격 툴 공유중
중국 해커들의 공격 루트와 관련해서 아파치 스트러츠2 취약점 뿐만 아니라 SQL 인젝션 공격 가능성도 매우 높은 상태다. 중국 해커들이 SQL 인젝션 공격을 수행하겠다고 직접 밝힌 데다가 공격할 때 사용하라고 다양한 해킹 툴을 서로 공유하고 있기 때문이다.
이렇듯 중국 해커조직의 공격 예고로 정부부처, 공공기관과 일부 대기업들은 초긴장 상태에 다. 그러나 지금부터라도 제대로 대처한다면 피해를 최소화할 수 있다. 특히, 해킹 공격에 대한 대응을 정부나 보안업계에만 맡기지 말고, 자사 홈페이지에 취약점은 없는지 꼼꼼히 점검해보는 자세가 필요하다는 지적이다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
