2019-12-09 23:10 (월)
대량 웹쉘 접속주소와 비번 공개돼…한국사이트도 포함!
상태바
대량 웹쉘 접속주소와 비번 공개돼…한국사이트도 포함!
  • 길민권
  • 승인 2013.06.18 03:07
이 기사를 공유합니다

중국 포털 바이두에 수 천 개 웹쉘 정보 공개돼...웹쉘 탐지 및 차단 중요!
중국의 유명한 웹 공유 사이트 ‘pan.baidu.com’에 웹쉘(WebShell) 업로드 주소 정보와 비밀번호가 대량 공개돼 문제가 되고 있다. 여기서 수 천 개의 웹쉘 파일이 존재하는 사이트 리스트가 공개됐으며 이중 한국 사이트도 코스닥상장기업과 대부중계업체, 복지재단, 학교 등이 포함돼 있는 것으로 나타났다. 공개된 정보중 몇몇 한국사이트에는 아직까지 웹쉘이 존재하는 곳도 있어 신속한 조치가 필요하다.
 
pan.baidu.com은 중국의 최대 포털 업체인 바이두(baidu)에서 제공하는 클라우드 네트워크 디스크이며, 15G 정도의 무료 저장 공간을 제공하는 곳이기도 하다.   


<수 천 개의 웹쉘 접속주소와 비밀번호 정보가 올라온 중국 사이트. 씨엔시큐리티 제공>
 
이번에 공개된 파일은 텍스트 형식으로, 웹쉘의 접속주소와 비밀번호까지 포함되어 있으며 대부분 중국 사이트다. 하지만 일부 일본, 한국, 대만 사이트들도 포함되어 있다. 일부 사이트는 웹쉘이 제거된 곳도 있지만 여전히 웹쉘이 존재하는 곳도 있는 것으로 조사됐다.
 
공개된 정보 중 한국 사이트를 살펴보면, XX캐피탈론이라는 대부중계업체와 XXXX라는 산업용 로봇을 생산하는 코스닥상장기업 그리고 모 복지재단과 프랜차이즈 업체 한 곳이 여전히 웹쉘이 존재하는 것으로 확인돼 긴급한 조치가 필요한 상황이다. 한편 12개 사이트는 정보는 올라와 있지만 현재 웹쉘이 제거된 상태로 확인됐다.   
 
중국 보안정보 전문기업 씨엔시큐리티(대표 류승우 www.cnsec.co.kr) 관계자는 “웹쉘이 올라와 있다는 것은 이미 해당 사이트에 존재하는 취약점을 이용해 공격자가 서버에 침투했다는 것을 의미한다”며 “현재 웹쉘이 살아 있는 사이트의 경우는 신속히 웹쉘 파일을 제거하고 기타 웹쉘 파일 조사 및 조치가 이루어져야 하며 웹 사이트 취약점 점검을 실시하는 것이 안전하다”고 권고했다.
 
또한 “일반적으로 이와 같이 공개된 웹쉘들의 경우, 다른 종류의 웹쉘들이 추가로 업로드 되는 경우가 많다”며 “웹 사이트에 존재할 수도 있는 다른 악성 파일들에 대한 조사와 조치도 필요하다”고 덧붙였다.
 
중소기업의 경우라면, KISA를 통한 웹 취약점 점검 서비스 요청(www.krcert.or.kr)과 휘슬(WHISTL) 및 캐슬(CASTLE)을 이용한 웹쉘 파일 탐지 및 차단을 하는 방법도 있다. 또한 OS에 대한 최신 패치 적용과 서버에 대한 접근 제어 설정, 강력한 관리자 계정 패스워드 사용, 파일 접근권한 설정, 웹 프로세스의 권한 제한 등에 각별한 신경을 써야 한다.
 
데일리시큐는 이 정보를 KISA에 전달해 웹쉘 파일이 여전히 존재하는 사이트 4곳에 대한 신속한 조치가 이루어질 수 있도록 할 것이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com