2024-04-20 08:15 (토)
비정상 광고 삽입, 그냥 넘어가다간 대형 보안사고로 이어져
상태바
비정상 광고 삽입, 그냥 넘어가다간 대형 보안사고로 이어져
  • 길민권 기자
  • 승인 2021.07.02 18:00
이 기사를 공유합니다
비정상 광고 삽입사고의 근본적인 침투원인 식별하고 대응해야
출처=한국인터넷진흥원
출처=한국인터넷진흥원

웹서버 관리자가 퇴근하면 발생하는 무단광고노출 사고가 빈번하게 발생하고 있다. 피해가 없다고 간과하다간 대형 보안사고로 이어질 수 있다는 것을 명심해야 한다.

2021년 상반기 발생한 광고 무단 삽입 침해사고에 대한 KISA(한국인터넷진흥원) 분석 보고서에 따르면, 무단 광고삽입에 사용된 파일들은 모든 서버에서 발견되었으며 해시값까지 동일했다. 또 웹쉘을 통해 관리자 권한의 명령을 실행하는 명령어 실행도구인 Sy_Runas.exe 또한 모든 서버에서 발견됐다.

광고삽입 침해사고는 모두 윈도우 서버 운영체제를 대상으로만 일어났지만 피해 버전은 win2012R2 및 win2016이 주를 이루었다.

이러한 비정상 광고삽입 침해사고에 대응하기 위해서는 어떤 방안들이 필요할까. 이에 대해 KISA 침해사고분석단 사고분석팀 박철민 책임, 임정호 수석, 김광연 팀장 등이 2일 비정상 광고삽입 사례와 대응방안과 관련 분석보고서를 공개했다.

◇공격 개요

KISA에서 관련 침해사고를 분석 결과, 공격자는 웹서버에 방치된 게시판의 파일업로드 취약점을 악용해 웹셸을 업로드했고, 권한상승도구로 시스템 권한을 획득했다. 공격자는 획득한 시스템 권한으로 게스트 계정에 관리자권한을 부여했고, 계정탈취도구로 관리자 계정정보를 얻었다.

이후 공격자는 관리자 계정정보를 활용해 명령어실행도구를 통해 광고 코드가 삽입된 비정상 페이지를 게시하는 스케줄을 등록했다. 관리자가 피해서버 접속에서 벗어나면, 공격자는 홈페이지 방문자에게 광고를 노출해 수익을 얻어 가는 형식이다.

ATT&CK Matrix로 살펴본 침투단계별 주요내용은 다음과 같다.

1. Initial Access : 최초 침투

웹 취약점(파일업로드)을 이용해 1차 웹셸을 업로드하여 침투 기반을 마련

2. Persistence : 지속성 유지

1차 웹셸로 업로드 경로가 아닌 일반 경로에 2차 웹셸을 업로드해 공격의 지속성을 확보

3. Privilege Escalation : 권한 상승

2차 웹셸로 권한상승도구를 실행해 시스템 권한을 획득

4. Persistence : 지속성 유지

사전에 획득한 시스템 권한으로 권한복사도구를 실행하여 게스트 계정에 관리자 권한을 부여

5. Credential Access : 계정정보 확보

시스템 권한을 이용해 계정탈취도구를 실행한 후 관리자 계정정보를 탈취

6. Privilege Escalation : 권한 상승

탈취한 계정정보를 명령어실행도구에 입력해 해당 계정의 권한으로 윈도우 운영체제 내부 명령어를 실행

7. Collection : 정보 수집

광고 삽입 및 원복을 위한 웹 페이지 원본 파일 수집 등

Defense : 추적 회피

명령어실행도구의 파일 속성을 숨김파일 및 시스템파일로 변경하여 탐지 회피

Persistence : 지속성 유지

정상 웹페이지에 스크립트를 삽입하여 3차 웹셸로 악용

8. Impact : 광고 노출

명령어실행도구를 활용하여 광고 코드가 삽입된 페이지들이 나타나도록 작업스케줄을 등록

한국인터넷진흥원은 공격에 악용된 광고 코드를 활용해 동일한 코드가 삽입된 추가 피해 홈페이지들을 확인했다. 침해사고 대응과정에서 해당 코드가 삽입된 홈페이지 관리자와 인터뷰했고, 아래와 같은 몇 가지 사실을 확인할 수 있었다고 밝혔다.

광고 삽입 사고를 대하는 몇몇 관리자의 첫인상은 ‘평안’이였다. 피해기업이 직접 올린 광고는 아니지만, 고객과 자사에 별다른 피해가 없으니 괜찮다는 반응이다.

KISA 측은 “여타 침해사고와 달리 광고 삽입 사고는 그 결과가 평범해 보이기 때문일 것이다. 홈페이지 첫 화면이 해커의 경고문으로 도배되어 방문자 누구라도 해킹을 인지할 수 있는 전형적인 홈페이지 변조사고도 아니고, 랜섬웨어 감염처럼 중요파일이 암호화되어 업무마비가 온 것도 아니고, 개인정보 및 회사 기밀정보가 다크웹에 공개되어 사회적 이슈가 된 사고와도 다르기 때문이다”라며 “그런데 광고 삽입 사고의 피해가 크지 않다고 생각해 관리자가 대응하지 않는다면 기업에 큰 피해를 가져오는 사고로 이어질 수 있다”고 경고했다.

한국인터넷진흥원은 비정상 광고가 삽입된 모든 피해서버에서 시스템 및 관리자 권한 탈취 사실을 확인했다. 이번 보고서 사례에서는 공격자가 탈취한 권한으로 광고 삽입만 수행했지만, 공격자가 마음만 먹는다면 기업에서 운영하는 대부분의 서버를 암호화해 복구를 대가로 돈을 요구하는 랜섬웨어 공격이나 내부 중요 자료를 탈취해 이용할 수도 있기 때문이다.

끝으로 “기업 관리자는 이번 문서의 대응방안을 참고해 보안을 강화하는 것이 필요하다. 사례분석을 통해 확인할 수 있었던 또 다른 사실은 한 서버에 다양한 도메인이 웹 서비스되고 있는 경우, 침투가 시작된 홈페이지뿐만 아니라 다른 홈페이지에도 광고가 삽입될 수 있다”며 “따라서 웹호스팅 기업 등 다수 도메인을 운영하는 기업은 광고가 삽입된 홈페이지 확인 시 추가 피해를 방지하기 위해 사고원인을 찾아 제거해야 한다. 비정상 광고 삽입사고의 근본적인 침투원인을 식별하고 대응하는데 이 자료가 보탬이 되길 바란다”고 전했다.

‘비정상 광고삽입 침해사고 사례 및 대응방안’ 보고서는 KISA 침해사고분석단 사고분석팀 박철민 책임, 임정호 수석, 김광연 팀장 등이 집필했다.

상세 보고서는 KISA 인터넷보호나라 홈페이지와 데일리시큐 자료실에서 다운로드 가능하다.

◈ 국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 개최(MPIS 2021)

-개최일: 2021년 7월 6일(화)

-장소: 서울 양재동 더케이호텔서울 2층 가야금홀

-참석대상: 국내 모든 의료기관 개인정보보호·정보보안 책임자 및 실무자 / IT시스템 관리자 / 의료 관련 공공기관 담당자 등 300여 명

-보안교육이수: 7시간 인정

-비용: 병원 및 의료 관련 공무원은 무료 참관 (이외 유료)

-사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
길민권 기자
길민권 기자 다른기사 보기
  • 서울특별시 송파구 송파대로 201 테라타워2, B동 9층 913-2호
  • 대표전화 : 02-400-2908
  • 팩스 : 02-400-2906
  • 청소년보호책임자 : 길민권
  • 법인명 :
  • 제호 : 데일리시큐
  • 등록번호 : 서울 아 02362
  • 등록일 : 2012년 11월 26일
  • 발행일 : 2013년 11월 26일
  • 발행·편집인 : 길민권
  • 사업자 번호 : 301-87-02348
  • 데일리시큐 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 데일리시큐. All rights reserved. mail to mkgil@dailysecu.com
ND소프트