모의해킹시 컨설턴트들이 사용하는 웹쉘에 대해 주의해야 한다는 전문가 의견이 나왔다. 핵티즌 구대훈 대표는 “모의해킹 과정에서 웹쉘에 대한 검증작업 없이 사용했다간 큰 사고를 당할 수 있다”고 주의할 것을 권고했다.    
 
웹 해킹 시 사용되는 프로그램 중의 하나인 웹쉘(WebShell)을 다양하게 제공해주는 웹사이트들이 많이 존재한다.
 
웹쉘은 웹 서버를 해킹할 때 많이 쓰이는 웹 프로그램으로, 웹에서 파일에 대한 열람,추가, 삭제, 수정 그리고 내부 시스템의 명령어를 실행하거나 DB에 접속할 수 있는 환경을 제공해주는 웹 프로그램이다. 그렇다면 어떤 위험이 있다는 것일까.
 
아래의 웹사이트(oco.cc) 는 웹쉘을 제공해주는 사이트다. 이 사이트 이외에도 검색엔진을 통해 웹쉘의 식별 문자열로 검색을 하면 다양한 웹쉘을 제공해주는 사이트를 찾아볼 수 있다.

 
구대훈 대표는 “이런 웹쉘을 보안컨설턴트, 해킹에 관심이 많은 분, 이외에도 다양한 분야에 사용하는 분들이 있다”며 “보통 웹쉘을 사용할 시 검증작업을 거치지 않고 사용하는 경우가 많다. 만약 웹쉘을 검증 작업을 거치지 않고 사용했을 시에는 어떠한 일이 발생될까. 주의해야 한다”고 경고했다. 다음은 구 대표의 자세한 설명이다.
 
아래 화면은 oco.cc 사이트에서 웹쉘을 다운로드 받아 테스트 웹서버에 올린 후 접근한 화면이다.

 
http://192.168.35.132/c99.php에 접근했을 때, 어떤 패킷이 외부로 전송되는지 확인을 해봤다.
 
아래화면을 보면 http://alturks.com/snf/s.php에 접속하는 것을 확인 할 수 있다. Referer 값에는 웹쉘의 주소 정보가 전송되게 된다.

 
구 대표는 “이렇게 웹쉘을 잘못 사용했을 때는 엄청난 일이 일어나게 된다”며 “모의해킹 시 웹쉘을 서버에 업로드 했거나 관리적인 목적으로 웹쉘을 사용했을 경우에는 해커의 손에 웹쉘의 주소 정보가 전송된다. 해커는 취약점을 발견해서 서버에 침투하는 것이 아닌 단순 주소 정보를 획득하여 서버에 접속할 수 있다”고 설명한다.
 
또 “서버에 접속한 해커는 시스템의 최고 권한을 획득하거나 정보를 모두 수집해 갈수 있다”며 “해커가 시스템의 최고 권한인 루트권한을 획득했을 경우에는 웹페이지 변조를 통해 악성코드를 유포하는 등의 공격에 이용할 수 있다”고 말한다.
 
구 대표는 더불어 “웹쉘을 사용하는 분들은 사전에 웹쉘 코드 리뷰를 통해 이상한 코드가 존재하는지 여부, 테스트서버에 웹쉘을 업로드해 웹쉘의 주소정보가 외부로 전송되지는 않는지 확인을 해야 한다”며 “특히 국내 보안업체들에서는 공격에 사용하는 웹쉘에 대한 검증작업을 필히 거쳐야 할 것이고, 만약 악의적인 스크립트가 삽입된 웹쉘을 고객사의 서버에 업로드했을 경우에는 해당 고객사의 침해사고 여부를 확인해 대책을 강구해야 할 것”이라고 당부했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com