최근 해킹 사고가 잇따르고 있는 가운데 서버 관리자가 이를 직접 점검해볼 수 있는 몇가지 방법을 공개했다. 이를 통해 웹쉘, 시큐어쉘 백도어 등 최근 사용되고 있는 주요 공격수법으로부터 서버가 안전한지를 확인할 수 있다.
7일 한국인터넷진흥원(KISA)은 해킹 당한 홈페이지에서 나타나는 주요 증상과 해킹 여부를 확인할 수 있는 방법 등을 공개하는 한편 관리자가 주기적인 서버점검을 해줄 것을 당부했다.
해킹을 당한 서버는 내부 기밀 및 개인정보 유출, 악성코드 유포, 공격 조종서버 등에 악용된다. KISA에 따르면 최근 분산서비스거부(DDoS) 공격의 명령과 공격을 동시에 수행하는 좀비서버로 악용되는 등 피해의 범위와 규모가 큰 폭으로 증가하고 있는 추세다. 그러나 해킹을 당한 서버에서 홈페이지 이용 및 관리 상 특별한 이상이 나타나지 않아 해킹을 당한 사실을 알아채기 어렵다.
많은 경우 정보 유출 및 악성코드 유포, DDoS 공격 수행 등 피해가 확산된 후에야 해킹 사실을 인지하게 되기 때문이다. 서버관리자들의 수시점검이 중요한 이유다.
KISA는 지난해 신고된 홈페이지 해킹사고 약 200여건을 분석한 결과 해킹당한 홈페이지에서 ▲웹쉘 설치 ▲리눅스 서버 시큐어쉘 백도어 설치 ▲웹서버 동기화 프로그램을 통한 감염 및 정보유출 ▲관리자용 PC 감염 ▲가상사설망 서비스의 자동실행 설정 ▲윈도우 서버 고정키 기능을 이용한 악성프로그램 실행 등이 주로 발생했다고 밝혔다.
KISA는 이를 토대로 서버 관리자들이 직접 점검해 볼 수 있는 해킹 탐지 및 예방 방법을 제시했다.
■웹쉘, '휘슬'로 탐지해 볼 것
먼저 웹쉘은 KISA 홈페이지에서 제공하는 휘슬 프로그램을 이용해 탐지 할 수 있다. 웹쉘은 해커가 설치해 놓은 비밀통로 역할을 하는 악성 프로그램을 말한다. 최근 몇 년간 해킹 당한 웹서버 중 90% 이상에서 발견될 정도로 많은 피해를 입히는 해킹도구다.
공격자는 웹에디터의 파일 업로드 취약점을 이용해 웹쉘을 설치한 후, 이를 통해 악성코드 유포, 데이터베이스 정보 유출, 홈페이지 변조, 스팸메일 발송, DDoS 공격 등 다양한 추가적인 공격을 수행한다. 최근에는 휘슬 등 웹쉘 탐지도구를 우회하기 위해 지속적으로 웹쉘 패턴을 변경하고 있는 추세다.
서버 관리자들은 웹쉘 등 악성파일 및 공격 프로그램 파일이 존재하는지를 점검해 관련 파일을 제거하고, 반드시 KISA에 신고하여 추가 해킹 범위 등을 분석해 보아야 한다. 웹쉘 예방을 위해서는 사용 중인 웹에디터 프로그램을 취약점이 없는 최신 버전으로 업데이트하고, KISA의 웹취약점 모니터링 점검 서비스 등으로 도움을 받을 수 있다.
■시큐어쉘 백도어, 리눅스 명령어로 간단 확인
시큐어쉘 백도어는 리눅스 서버에서 간단한 명령어를 통해 감염여부를 확인할 수 있다. 시큐어쉘은 원격관리에 사용되는 프로그램으로, 공격자는 서버를 해킹해 관리자 권한을 획득한 후, 시큐어쉘에 자신만의 비밀번호를 설정해놓아, 언제든 쉽게 해당 서버에 원격으로 접속할 수 있다.
특히 관리자가 비밀번호를 변경해도 공격자는 시큐어쉘 백도어를 통해 관리자 권한을 획득할 수 있기 때문에 이 악성프로그램의 설치 여부를 확인하고 평상 시 서버에 대한 보안 강화를 위해 지속적으로 노력해야 한다.
■웹하드 업체, 웹서버 동기화 프로그램 보안설정 변경해야
웹서버 동기화 프로그램 악용은 웹하드와 같은 다수의 웹서버를 운영하는 환경에서 주로 발생한다. 공격자는 서버를 해킹한 후, 웹서버 동기화 프로그램의 취약한 보안설정을 악용해 다수의 서버에 대한 악성코드를 감염시키거나 정보를 유출시킨다.
이때 관리자가 동기화 프로그램의 보안 설정을 변경하지 않고 초기값으로 유지하고 있었다면 동기화 프로그램 통해 피해가 확산될 수 있으므로, 서버 관리자는 반드시 동기화 프로그램의 보안 설정값을 변경해야 한다.
관리자용 PC가 해킹될 경우 공격자는 관리자 권한을 획득해 다수의 서버에 접속한 뒤 다양한 공격을 수행한다. 따라서 백신 검사, 보안업데이트 등 관리자용 PC에 대한 보안점검을 철저히 해야 한다고 KISA는 당부했다.
■VPN 자동실행 설정 여부·윈도 서버 고정키 확인도 필수
가상사설망(VPN) 서비스 자동실행 설정은 해킹경유지로 악용되는 서버에서 주로 발견된다. 공격자는 보안이 취약한 서버를 해킹해 VPN 서비스가 자동 실행되도록 설정한다. 그 뒤 이를 통해 공격자 IP를 숨기고 다른 서버를 해킹할 수 있다. 따라서 서버 관리자는 VPN 서비스가 자동실행으로 설정되어 있는지를 수시로 점검해 보아야 한다.
또한 공격자는 서버 해킹 후 윈도우 서버에서 제공하는 '고정키' 기능을 악용해 원하는 프로그램이 자동 실행되도록 설정할 수 있다. 서버 관리자는 시프트키를 연속으로 5회 눌러서 비정상적인 프로그램이 실행되는지 여부를 확인할 수 있다.
관련기사
- 오라클 해킹 대응…긴급 자바 패치 발표2013.03.07
- 5천만 사용자 메모앱 '에버노트' 해킹2013.03.07
- KISA, 가짜 백신 방지 가이드라인 배포2013.03.07
- KISA "모바일앱 이름·아이콘 믿지 마라"2013.03.07
박순태 KISA 해킹대응팀장은 홈페이지 해킹은 큰 피해를 낳을 수 있는 반면 악용 여부를 알아채기 쉽지 않으므로, 서버 관리자들이 수시로 점검하고 관리하는 것이 중요하다며 해킹 증상이 있을 경우, 신속히 국번없이 118번으로 전화 또는 홈페이지(www.krcert.or.kr)로 신고해 공격자의 최초 침투경로 및 피해 규모 확인을 위한 추가분석을 해야 한다고 당부했다.
KISA 툴박스 홈페이지(http://toolbox.krcert.or.kr)를 방문하면 웹쉘 탐지 프로그램 휘슬 및 원격 홈페이지 취약점 점검 서비스 등을 무료로 신청할 수 있다.
