[김관용기자] 한국인터넷진흥원(KISA, 원장 이기주)이 서버 관리자를 대상으로 해킹을 당한 홈페이지에서 나타나는 주요 증상과 해킹 여부 확인법을 소개하며 주기적인 서버 점검을 당부했다.
해킹을 당한 서버는 내부 기밀과 개인정보 유출, 악성코드 유포, 공격 조종 서버 등으로 악용되고 있는 상황. 최근에는 디도스(DDoS) 공격의 명령과 공격을 동시에 수행하는 좀비 서버로 악용되는 등 피해 범위와 규모가 큰 폭으로 증가하고 있는 추세다.
하지만 해킹을 당한 서버에서 홈페이지 이용과 관리상 특별한 이상이 나타나지 않아 해킹을 당한 사실을 알기가 쉽지않다. 많은 경우 정보 유출과 악성코드 유포, 디도스 공격 수행 등 피해가 확산된 후에야 해킹 사실을 인지하게 돼 무엇보다 서버 관리자들의 수시 점검이 중요하다.
우선 웹쉘(Web Shell)의 경우 KISA의 '휘슬(WHISTL)' 프로그램을 이용해 쉽게 탐지 할 수 있다. 웹쉘은 해커가 설치해 놓은 비밀통로 역할을 하는 악성 프로그램으로 최근 몇 년간 해킹 당한 웹서버 중 90% 이상에서 발견될 정도로 많은 피해를 입히는 해킹도구다.
공격자는 웹에디터의 파일 업로드 취약점을 이용해 웹쉘을 설치한 후 이를 통해 악성코드를 유포하고 데이터베이스 정보를 유출시키거나 홈페이지 변조와 스팸메일 발송, 디도스 공격 등의 다양한 추가적인 공격을 수행할 수 있다. 최근에는 휘슬 등 웹쉘 탐지도구를 우회하기 위해 지속적으로 웹쉘 패턴을 변경하고 있는 추세다.
서버 관리자들은 웹쉘 등 공격 프로그램 파일이 존재하는지를 점검해 관련 파일을 제거하고 반드시 KISA에 신고해 추가 해킹 범위 등을 분석해 봐야한다. 웹쉘 예방을 위해서는 사용 중인 웹에디터 프로그램을 취약점이 없는 최신 버전으로 업데이트하고 KISA의 웹취약점 모니터링 점검 서비스 등으로 도움을 받을 수 있다.
시큐어쉘(SSH) 백도어는 리눅스 서버에서 간단한 명령어를 통해 확인할 수 있다. 시큐어쉘은 원격관리에 사용되는 프로그램으로 공격자는 서버를 해킹해 관리자 권한을 획득한 후 시큐어쉘 변조를 통해 자신만의 비밀번호를 설정해 놓기 때문에 언제든 쉽게 해당 서버에 원격으로 접속할 수 있다.
특히 관리자가 비밀번호를 변경해도 공격자는 시큐어쉘 백도어를 통해 관리자 권한을 획득할 수 있기 때문에 시큐어쉘 백도어 설치 여부를 확인하고 평상 시 서버에 대한 보안 강화를 위해 지속적으로 노력해야 한다.
웹서버 동기화 프로그램 악용은 웹하드와 같은 다수의 웹서버를 운영하는 환경에서 빈번히 발생한다. 공격자는 서버를 해킹한 후 웹서버 동기화 프로그램의 취약한 보안설정을 악용해 다수의 서버에 대한 악성코드를 감염시키거나 정보를 유출할 수 있다.
이때 관리자가 동기화 프로그램의 보안 설정을 변경하지 않고 초기값으로 유지하고 있었다면 동기화 프로그램을 통해 피해가 확산될 수 있기 때문에 서버 관리자는 반드시 동기화 프로그램의 보안 설정값을 변경해야 한다.
또한 관리자용 PC가 해킹될 경우 공격자는 관리자 권한을 획득해 다수의 서버에 접속해 다양한 공격을 수행할 수 있어 큰 피해를 낳을 수 있다. 따라서 백신 검사와 보안 업데이트 등 관리자용 PC에 대한 보안점검을 철저히 해야 한다.
사설 가상망(VPN) 서비스 자동실행 설정은 해킹 경유지로 악용되는 서버에서 주로 발견되고 있다. 공격자는 보안이 취약한 서버를 해킹해 VPN 서비스가 자동 실행되도록 설정한 후 이를 통해 공격자 IP를 숨기고 다른 서버를 해킹할 수 있다. 따라서 서버 관리자는 VPN 서비스가 자동실행으로 설정돼 있는지를 수시로 점검해 봐야 한다.
이와 함께 공격자는 서버 해킹 후 윈도 서버에서 제공하는 고정키(Sticky Key) 기능을 악용해 원하는 프로그램이 자동 실행되도록 설정할 수 있다. 서버 관리자는 시프트 키(Shift Key)를 연속으로 5회 눌러서 비정상적인 프로그램이 실행되는지 여부를 확인할 수 있다.
KISA 박순태 해킹대응팀장은 "홈페이지 해킹은 큰 피해를 낳을 수 있는 반면 악용 여부를 알아채기 쉽지 않아 서버 관리자들이 수시로 점검하고 관리하는 것이 중요하다"며 "해킹 증상이 있을 경우 118번에 전화하거나 홈페이지(www.krcert.or.kr)로 신고해 공격자의 최초 침투 경로와 피해 규모 확인을 위한 추가 분석을 해야 한다"고 강조했다.
한편, KISA 툴박스 홈페이지(http://toolbox.krcert.or.kr)를 방문하면 웹쉘 탐지 프로그램 휘슬(WHISTL)과 원격 홈페이지 취약점 점검 서비스 등을 무료로 신청할 수 있다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기