국내 상당수 공공기관 및 교육기관 그리고 민간기업 웹서비스가 웹방화벽 설정을 잘못해 보안취약점에 무방비로 노출되고 있다는 것이 확인됐다. 관계 기관의 신속한 취약점 정보공유과 웹사이트 관리자들의 보안조치가 필요한 상황이다.
 
이번 취약점은 웹서비스 포트 혼용 사용시 발생하는 보안취약점으로 웹사이트 시스템 권한 탈취와 더불어 중요 정보 유출이 가능한 것으로 조사됐다. 특히 초급자도 진단이 가능할 정도로 기술적으로 요구되는 사항이 큰 것은 아니지만, 이 취약점과 연계해 다양한 취약점 공격을 한다면 심각한 사이버 피해까지 입을 수 있는 것으로 판단된다.
 
해당 취약점을 발견하고 데일리시큐에 제보한 구민준 라스컴 선임연구원은 “다수의 공공기관 및 기업에서 웹서비스 운영시 웹 방화벽을 사용해 각종 해킹에 이용되는 악성코드, 문자열 등을 필터링 하도록 구축한다. 또한 일반적인 웹 통신은 HTTP로, 데이터 암호화 전송은 SSL 통신(HTTPS)으로 민감데이터 보안을 위해 운영되고 있다”며 “하지만 상당수 기관에서 웹 방화벽 정책설정을 잘 못 구축해 이 허점을 이용, 크고 작은 피해에 무방비로 노출되고 있다는 것을 확인했다. 더 큰 문제는 OWASP나 한국인터넷진흥원, 국정원 등에서 제공하는 홈페이지 취약점 진단 가이드, 홈페이지 서버구축 보안가이드, 웹서버 구축 보안점검 안내서, 홈페이지 개발 보안 안내서 등 어디에도 해당 취약점에 대한 점검 가이드 라인이 존재하지 않고 또 정보보호 컨설팅 지정업체의 지정 점검항목에도 누락돼 있어 위험성이 크다고 판단해 제보하게 됐다”고 말했다.

 
이번 취약점 점검은 4명의 정보보안 컨설턴트에 의해 이루어졌으며 총 11개 공공기관과 기업에 점검 허락을 받고 진행됐다. 점검 이후 해당 사이트들은 취약점을 패치한 상태다. 하지만 국내 상당수 공공기관과 기업 사이트들이 해당 취약점에 무방비 노출되고 있어 공개를 결정했다.
 
점검 사례를 통해 살펴보면, 일반적으로 HTTP(80포트)를 통해 서비스를 제공하지만 암호화 전송이 필요한 경우에서는 SSL통신(HTTPS)을 사용한다. 이때 특정 툴을 사용해 HTTPS에 대해 강제로 HTTP프로토콜 통신을 하도록 강제할 수 있다. 이것이 가능하면 프록시 툴을 이용해 XSS 코드 삽입 등 다양한 사이버 공격이 가능하게 된다. 이 방법 이외에도 추가적인 공격 방법들이 확인됐지만 공개시 위험할 수 있어 기사로는 공개하지 않겠다.

 
구민준 선임연구원은 “웹방화벽 설정을 제대로 하지 않아 HTTP와 HTTPS 통신 방식에 따라 악성코드나 문자열 필터링이 적용되기도 하고 미적용되기도 하기 때문에 문제가 발생하는 것”이라며 “시큐어코딩 정도에 따라 많은 차이가 있을 수 있지만, 해당 취약점과 포워드 변조, 인증우회, 파일업로드, 오버플로우 취약점 등을 연계하면 유닉스 시스템 루트 쉘 권한을 획득할 수 있고 이후 웹사이트에 치명적인 피해를 유발할 수 있다”고 설명했다. 즉 웹방화벽에 의존해 악성코드 필터링을 하는 경우 시스템 권한 탈취와 정보유출 위험성이 크다는 것이다.
 
이번 HTTPS 프로토콜을 이용한 방화벽 우회 취약점을 함께 테스트한 모 컨설턴트도 다름과 같은 의견을 내놨다.  
 
“해당 취약점에 대해 직접 취약점 점검을 수행하면서 테스트 해본 결과, 실제로 HTTP와 HTTPS 프로토콜을 동시에 제공하고 있는 사이트 중에서 HTTP 프로토콜이 사용하는 80번 포트만을 방화벽 필터링 대상으로 설정하고 있는 경우가 많았다.
 
많은 공공기관 및 교육기관 등에서 방화벽을 도입했음에도 불구하고 해당 방화벽을 실제 운영하는 인력 부족 등으로 인해 제대로 활용되지 못하고 있다는 점이 문제다.
 
물론 방화벽을 우회했다고 해도 소스코드 레벨에서 안전하게 작성되었다면 이러한 취약점을 대비할 수 있겠지만, 방화벽의 설정조차 제대로 되어 있지 않은 상황으로 미루어 볼 때, 많은 공공기관과 기업 사이트들이 이러한 공격에 노출되어 있다고 보는 것이 타당하다.
 
또한 이러한 취약점을 이용해 방화벽을 우회한 후 SQL 인젝션, XSS, CSRF 등의 공격이 이루어질 수 있으며, 데이터베이스의 개인정보 유출 및 권한탈취 등으로 이어질 가능성이 높다고 판단된다”고 소견을 냈다.
 
국정원과 KISA는 이번 취약점에 대한 정확한 조사와 함께 취약점에 노출된 공공 및 민간사이트에 대한 보안조치가 이루어질 수 있도록 해야 한다.
 
★정보보안 대표 미디어 데일리시큐!★
 
데일리시큐 길민권 기자 mkgil@dailysecu.com