인터넷나야나, 지난 2일 ‘계정 내 웹셸 파일점검 요청’ 제목으로 공지
고객사 웹서버에서 웹셸 발견...웹사이트 조금만 취약해도 웹셸 업로드 가능
[보안뉴스 김경애 기자] 웹호스팅 업체 인터넷나야나(이하 나야나)에서 지난 2일 ‘계정 내 웹셸 파일점검 요청’이란 제목으로 공지를 띄웠다. 공지내용에는 한국인터넷진흥원(이하 KISA)에서는 웹서버 악성코드(웹셸)를 점검했다며 조사된 파일들 목록에 대해 확인 후, 수정/삭제 요청을 했다고 밝혔다. 이에 따라 웹사이트 방문자들은 계정 내의 웹셸 의심 목록의 파일명 확인을 진행해줄 것을 당부했다.
▲지난 2일 나야나 웹사이트에 올라온 ‘계정 내 웹 셸 파일점검 요청’ 화면[이미지=나야나 웹사이트 캡처]
그러면서 나야나 측은 ‘당사에서 파일들을 하나하나 점검하기 어려운 점에 대해 양해 바란다’며 ‘계정에 업로드된 파일의 소유자는 서비스를 받고 있는 고객으로 서버의 안정성 확보를 위해 유해 파일의 수정/삭제의 의무 또한 파일의 소유자에게 있다’고 밝혔다.
또한 ‘직접적인 점검 파일의 수정/삭제가 불가능한 경우 소속 개발자 또는 업체를 통해 파일을 수정/삭제할 것’과 ‘정상적인 파일도 리스트에 포함돼 있을 수 있다며 웹셸 여부를 확인 후 수정/삭제할 것’을 강조했다.
웹셸(WebShell)은 공격자가 원격으로 웹서버를 제어할 수 있는 악성 프로그램이다. 공격자는 웹셸 공격으로 웹서버에 저장된 개인정보를 탈취할 수도 있고, 웹서버 악성코드 파일 실행을 통해 홈페이지를 변조하거나 악성코드 유포지로 악용할 수도 있다. 이러한 악성코드는 △시스템 명령어 △네트워크 명령어 △DB 접근 △시스템 파일 접근 등의 유형으로 구성돼 다양한 공격이 가능하다.
이미 나야나는 지난 3월 공식 홈페이지가 운영되고 있는 웹서버에서 웹쉘이 발견된 바 있다. 하지만 당시 최초 감염경로인지는 현재까지 파악되지는 않고 있는 실정이다. 따라서 이번 공지의 경우도 웹셸이 추가 발견됐는지 여부를 두고 관심이 모아지고 있다. 이와 관련 본지 취재결과 현재까지 나야나에서 웹셸이 발견되지는 않은 것으로 조사됐다. 그러나 나야나와 별개로 고객사에서 웹셸이 발견됐다는 내용을 입수했다.
이와 관련 한 정부 관계자는 “웹쉘은 지난 나야나 랜섬웨어 사태와 별개로 나야나 호스팅을 받는 서버에서 발견되고 있다”며 “공격자가 웹사이트를 공격할 때 웹쉘은 거의 사용되며, 웹서버 해킹시 필수불가결적으로 사용된다. 따라서 이번 공지 건도 고객용 웹서버에서 발견되고 있는 것이다. 이는 보통 웹호스팅 서버에서 운영되는 웹사이트가 적게는 4~5개, 많개는 수백개씩에 달하므로, 그 웹사이트중 하나만 취약해도 웹쉘이 업로드 되기 때문”이라고 설명했다.
따라서 나야나 뿐만 아니라 웹호스팅 업체를 이용하는 기업의 경우 필수적으로 웹셸 점검을 하는 것이 바람직하다. 참고로 나야나에서 웹셸 파일 점검 내역 확인 방법은 로그인 후 마이나야나-> 호스팅리스트-> 장애가 있는 호스팅 계정 선택-> 기본정보 클릭-> 사이트 점검 요청 순으로 진행하면 된다.
[김경애 기자(boan3@boannews.com)]
고객사 웹서버에서 웹셸 발견...웹사이트 조금만 취약해도 웹셸 업로드 가능
[보안뉴스 김경애 기자] 웹호스팅 업체 인터넷나야나(이하 나야나)에서 지난 2일 ‘계정 내 웹셸 파일점검 요청’이란 제목으로 공지를 띄웠다. 공지내용에는 한국인터넷진흥원(이하 KISA)에서는 웹서버 악성코드(웹셸)를 점검했다며 조사된 파일들 목록에 대해 확인 후, 수정/삭제 요청을 했다고 밝혔다. 이에 따라 웹사이트 방문자들은 계정 내의 웹셸 의심 목록의 파일명 확인을 진행해줄 것을 당부했다.
▲지난 2일 나야나 웹사이트에 올라온 ‘계정 내 웹 셸 파일점검 요청’ 화면[이미지=나야나 웹사이트 캡처]
그러면서 나야나 측은 ‘당사에서 파일들을 하나하나 점검하기 어려운 점에 대해 양해 바란다’며 ‘계정에 업로드된 파일의 소유자는 서비스를 받고 있는 고객으로 서버의 안정성 확보를 위해 유해 파일의 수정/삭제의 의무 또한 파일의 소유자에게 있다’고 밝혔다.
또한 ‘직접적인 점검 파일의 수정/삭제가 불가능한 경우 소속 개발자 또는 업체를 통해 파일을 수정/삭제할 것’과 ‘정상적인 파일도 리스트에 포함돼 있을 수 있다며 웹셸 여부를 확인 후 수정/삭제할 것’을 강조했다.
웹셸(WebShell)은 공격자가 원격으로 웹서버를 제어할 수 있는 악성 프로그램이다. 공격자는 웹셸 공격으로 웹서버에 저장된 개인정보를 탈취할 수도 있고, 웹서버 악성코드 파일 실행을 통해 홈페이지를 변조하거나 악성코드 유포지로 악용할 수도 있다. 이러한 악성코드는 △시스템 명령어 △네트워크 명령어 △DB 접근 △시스템 파일 접근 등의 유형으로 구성돼 다양한 공격이 가능하다.
이미 나야나는 지난 3월 공식 홈페이지가 운영되고 있는 웹서버에서 웹쉘이 발견된 바 있다. 하지만 당시 최초 감염경로인지는 현재까지 파악되지는 않고 있는 실정이다. 따라서 이번 공지의 경우도 웹셸이 추가 발견됐는지 여부를 두고 관심이 모아지고 있다. 이와 관련 본지 취재결과 현재까지 나야나에서 웹셸이 발견되지는 않은 것으로 조사됐다. 그러나 나야나와 별개로 고객사에서 웹셸이 발견됐다는 내용을 입수했다.
이와 관련 한 정부 관계자는 “웹쉘은 지난 나야나 랜섬웨어 사태와 별개로 나야나 호스팅을 받는 서버에서 발견되고 있다”며 “공격자가 웹사이트를 공격할 때 웹쉘은 거의 사용되며, 웹서버 해킹시 필수불가결적으로 사용된다. 따라서 이번 공지 건도 고객용 웹서버에서 발견되고 있는 것이다. 이는 보통 웹호스팅 서버에서 운영되는 웹사이트가 적게는 4~5개, 많개는 수백개씩에 달하므로, 그 웹사이트중 하나만 취약해도 웹쉘이 업로드 되기 때문”이라고 설명했다.
따라서 나야나 뿐만 아니라 웹호스팅 업체를 이용하는 기업의 경우 필수적으로 웹셸 점검을 하는 것이 바람직하다. 참고로 나야나에서 웹셸 파일 점검 내역 확인 방법은 로그인 후 마이나야나-> 호스팅리스트-> 장애가 있는 호스팅 계정 선택-> 기본정보 클릭-> 사이트 점검 요청 순으로 진행하면 된다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
