국내에서 발생한 상당수 해킹사건은 웹쉘(webshell)이 타깃 웹서버에 업로드 되면서 발생한 경우다. 웹쉘은 해커(공격자)가 원격에서 타깃 서버에 접속해 다양한 해킹공격 기능을 수행할 수 있게 하는 스크립트 파일이다. 해커는 웹쉘을 통해 홈페이지 위변조와 개인정보 및 중요 기밀정보를 유출해 갈 수 있고 디도스(DDoS) 공격도 수행할 수 있다.
 
데일리시큐는 최근 구글 검색을 통해 웹쉘이 존재하는 한국 사이트 리스트를 입수했다. 확인결과 신규로 발견된 6곳과 지속적으로 웹쉘이 존재하고 있는 6곳에 대해 리스트를 공개한다. 해당 사이트들이 해킹 공격에 대응할 수 있도록 하자는 차원에서 공개하고 이미 해킹 피해가 발생했을 수 있기 때문에 신속한 후속 조치를 권고한다. 특히 이번에 발견된 사이트 대부분 중국에서 제작된 웹쉘이 존재하는 것으로 파악됐다.
 
아래 공개하는 사이트들은 중국에서 제작된 웹쉘이 사이트 내에 존재하고 있으며 간단한 패스워드 혹은 패스워드가 없을 수도 있기 때문에 누구나 공격이 가능한 상황이라 전체 URL은 공개하지 않는다.
 
◇웹쉘이 존재하는 신규 한국 사이트
우선 12월 1일 발견된 웹쉘 확인 사이트는 일반 기업 및 학회와 협회 등이 다수 포함돼 있었다. 현재 웹쉘이 존재하는 사이트는 다음과 같다. 
 
-마이아츠(myarts.kr) -한국광학회(www.osk.or.kr)
-한국유가공협회(koreadia.or.kr)
-캘커타(www.calcutta.co.kr)
-대한수의사회(www.kvma.or.kr)
-코인탑소프트(ns.cointop.co.kr)
 
◇웹쉘이 1년 이상 존재하고 있는 사이트
아래 웹쉘 발견 사이트는 2013년에서 2014년부터 현재까지 웹쉘이 존재하는 사이트로 이미 해킹 피해를당했을 위험성이 크다. 신속한 보안조치가 필요한 사이트들이다. 리스트는 다음과 같다. 전체 URL은 해킹 위험성이 있어 일부만 공개한다.
 
-한샘(filesvr.hanssem.co.kr)
-KB아카데미(www.kbacademy.co.kr)(kbacademy.or.kr)
-비츠로그룹(vitzro.co.kr/upload)
-부산광역시 개인택시운송조합(www.bgtj.or.kr)
-한진해운 신항만(www.hjnc.co.kr)
-2bmall(www.2bmall.co.kr)
KISA 웹 취약점 점검 연구 보고서에 따르면 “웹쉘은 웹 서버에서 악의적인 목적을 가진 사용자에 의해서 실행되는 커맨드 쉘이며 주로 관리자의 권한을 획득해 사용자가 원하는 목적을 달성하기 위해 실행되는 공격방식이다. 공격 코드(웹 쉘 코드)가 주로 파일 업로드 취약점을 이용하여 웹서버로 전송, 실행되는 과정을 거치며 관리자 권한을 획득한 후에 웹 페이지 소스 코드 열람 및 서버 내 자료 유출, 백도어 설치 등 다양한 공격이 가능하다”고 설명하고 있다.
 
KISA는 웹쉘 방어 방법에 대해 아래와 같은 방법을 권고하고 있다.
△허용된 확장자만 업로드 가능하도록 파일 업로드 기능을 구현한다.
-확장자 체크 함수(ASP)를 사용하여 구현
-파일 업로드 시 파일 확장자를 서버에서 실행되지 않은 형태의 확장자로 변경하거나 확장자를 아예 제거한다. (test.asp -> test.txt)
-단순히 파일 이름을 기준으로 점검하지 말고 확장자명에 대하여 대소문자를 모두 검사해야 한다.
△아파치 환경의 서버일 경우, 서버에 파일을 업로드 할 경우 확장자를 변경하여 서버에 저장한다.
△업로드 파일을 웹 디렉토리가 아닌 다른 시스템 디렉토리에 저장한다.
-악성 파일을 업로드 했더라도 웹에서 접근할 수 없는 경로이기 때문에 공격자가 업로드 시킨 파일을 실행시킬 수 없다.
△업로드되는 디렉토리의 서버 확장자 실행 권한을 제거한다.
-웹 디렉토리 안에 업로드 디렉토리가 있는 경우, 업로드 디렉토리의 스크립트 실행 권한은 반드시 제거해야 한다.
△너무 작거나 큰 크기의 파일을 처리하는 로직을 파일 업로드 기능에 포함해야 하고, 임시 디렉토리에서 업로드 된 파일을 지우거나 다른 곳으로 이동시켜야 한다.
△폼에서 어떠한 파일도 선택되지 않았다면 파일 업로드에 사용되는 변수를 초기화한다.
△웹쉘 대응 솔루션 또는 웹 방화벽 설치한다.
△최신 웹 또는 웹쉘 보안패치를 설치한다.
 
이번에 확인된 웹쉘이 존재하는 사이트는 신속히 웹 취약점 점검과 웹쉘 제거 및 대응방안을 모색해야 후속 피해를 막을 수 있다. 데일리시큐는 향후 지속적으로 웹쉘이 존재하는 사이트들을 조사해 공개하고 보안조치가 이루어질 수 있도록 할 방침이다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com