2020-11-28 04:55 (토)
박문범 연구원 “업무용 PC 공격해 내부망 침투 시도 증가”
상태바
박문범 연구원 “업무용 PC 공격해 내부망 침투 시도 증가”
  • 길민권
  • 승인 2014.11.01 13:14
이 기사를 공유합니다

PASCON 2014 발표내용, 최근 침해사고 동향 및 주요 사례와 발생 원인 분석
하반기 가장 핵심적인 개인정보보호 및 정보보안 컨퍼런스 PASCON 2014가 지난 29일 서울 양재동 더케이호텔서울 가야금홀에서 개최됐다. 데일리시큐가 주최하고 안전행정부, 미래창조과학부, 한국인터넷진흥원, 한국정보화진흥원, 한국저작권위원회가 후윈한 이번 컨퍼런스에는 700여 명의 공공, 금융, 기업, 의료 기관 실무자들이 대거 참석해 실질적인 정보공유의 시간을 가졌다.
 
이날 첫 키노트는 한국인터넷진흥원(KISA) KrCERT/CC 침해사고분석단 침해사고조사팀 박문범(사진) 선임연구원의 ‘최근 침해사고 동향 및 주요 사례와 발생 원인’이란 주제 발표가 있었다.
 
박문범 연구원은 “이전 광범위한 영역에 대한 무차별 공격에서 이제는 타깃 공격으로 변화하고 있으며 사회혼란을 야기하기 위해 다수 기관을 대상으로 동시 공격도 발생하고 있다. 특히 언론사 공격이 30%를 넘고 있다”며 “피해 유형도 시스템 파괴가 포함된 복합 공격발생이 증가하고 있고 단순 악성코드 감염 사고가 감소한 반면 타깃 공격이 증가추세에 있다”고 침해사고 동향에 대해 설명했다. 공격 근원지는 여전히 중국발 해킹 공격이 1위를 차지한 것으로 조사됐다.
 
◇최근 침해사고 원인, 악성코드
최근 KISA에서 분석한 악성코드 감염 PC중 약 30% 이상이 일반 업무용 PC들이며 업무상 인터넷 검색을 통해 다운로드 받은 콘텐츠에 악성코드가 삽입되어 2차, 3차 추가 악성코드 감염에 노출되고 있다. 또 상대적으로 관리가 취약한 공용PC에서 무분별한 자료가 생성되고 악성코드 감염이 빈번하게 발생하고 있고 감염 원인의 대부분은 웹 접속을 통해 발생하고 있다는 것. 공격자들은 이렇게 업무용 PC를 장악해 사내망 침투 및 사내 주요 서버를 공격하고 정보를 탈취하려 하고 있다.

 
박 연구원은 “APT 공격 발생이 지속됨에 따라, 업무용 PC를 통한 내부망 침투 시도가 증가할 것으로 예상된다”며 “주요 서버들에 비해 상대적으로 보안이 취약한 노트북 및 영업점 PC들에 대한 보안 강화가 필요할 것”이라고 강조했다.
 
특히 접속자가 많은 웹사이트는 악성코드 유포를 위한 가장 효율적인 수단이다. 해커들은 접속자가 많은 웹사이트를 해킹해 악성코드 유포사이트로 자동 접속하도록 유도하고 있다. 방문자 수가 많은 온라인 게임커뮤니티, 언론사 등이 악성코드 유포지 및 경유지로 계속 활용되고 있는 이유다.
 
이에 박 연구원은 “다수 사용자가 이용하는 업무용 PC에 대한 관리 강화가 필요하고 내부망에 연결된 관리자 PC에 대한 해킹 시도가 지속적으로 증가할 것”이라며 “웹사이트를 운영하는 서버 뿐만 아니라 관리자 PC에 대한 정기점검이 필수적이다”라고 권고했다.
 
◇DDoS 공격
최근 웹서버에 설치된 악성스크립트에 의해 접속자가 DDoS 공격을 수행하는 사례가 발생했다. 지난해 6월 국내 13개 사이트에 접속한 정상 사용자가 국가기관 등 8개 사이트를 DDoS 공격한 것이다. 악성스크립트 방식의 DDoS 공격은 접속 PC가 취약점 및 악성코드 감염 유무와 관계없이 DDoS 공격을 수행한다. 0~0.25초 간격으로 정상적인 홈페이지 접속을 통해 DDoS 공격 트래픽이 발생하는 것이 확인됐다.
 
그는 “취약점 또는 악성코드 감염이 아닌 정상 스크립트를 이용한 방법으로 백신이 탐지하기 어렵다. 웹서버에 악성스크립트가 설치되지 않도록 소스코드에 대한 주기적인 무결성 검사가 필요하다”고 강조했다.
 
◇DB정보 유출
또 웹페이지의 입력값을 검증하지 않아 DB에 저장된 계정정보 등이 유출되는 경우도 많다. 국내 상당수 웹사이트가 개발단계에서 보안성 고려를 하지 않아 SQL인젝션 공격에 취약한 상황이다. SQL인젝션 공격은 지난해 웹애플리케이션 위협 순위 1위에 올라와 있다.
 
악성해커들은 웹사이트에 SQL인젝션 공격을 시도해 관리자 계정정보를 획득하고 획득한 계정정보를 이용해 웹쉘 업로드를 시도해 악성코드를 삽입하고 있는 것이다.
 
박 연구원은 “SQL인젝션은 오래된 웹 해킹 기법이지만 웹사이트 개발자의 보안의식 부족으로 사고 정보유출 사고발생이 계속되고 있다”며 “웹사이트 개발시 SQL인젝션 유발 문자열 필터링 및 웹방화벽 구축 등이 필요하다”고 말했다.

◇VPN
취약한 웹 서버를 해킹 후 VPN 서비스 설치해 해킹 경유지로 악용되고 있다. 국내 웹서버가 대량으로 해킹된 후 중국 쇼핑몰에서 경유지로 판매되는 사례도 지속적으로 발생하고 있다. 해커는 취약한 웹서버를 공격해 VPN 서비스를 설치하고 이를 해킹 경유지로 악용하고 있는 것이다.
 
박 연구원은 “이런 경우 국내 웹서버의 VPN 서비스를 경유지로 악용한 해킹사고의 공격자 근원지 추적이 어려워진다”며 “악성코드 경유지/유포지, VPN 등, 웹서버의 악용을 방지하기 위해 취약한 웹사이트의 보안 강화가 필요하다”고 강조했다.

◇웹쉘
최근 게시판 등에 파일첨부 기능을 이용해 웹쉘 등과 같은 악성 스크립트를 업로드 후 서버 내부 파일 등을 조작하는 사고도 빈번히 발생하고 있다. 동일 CMS로 개발된 웹사이트의 경우 동시다발적인 대규모 피해가 발생할 수 있어 주의해야 한다.
 
지난해 KISA에서 분석한 침해사고 중, 약 27%가 웹쉘 업로드를 통해 해킹 공격이 발생한 것으로 조사됐다. 또 최근 파일 업로드 취약점을 이용한 공격이 빈번히 발생하고 있고 분석결과 동일 해커그룹의 소행으로 추정된다.
 
해당 취약점을 통한 공격의 경우 2가지 형태로 구분된다. 우선 업로드 페이지 내 스크립트 파일(.asp, .php 등) 필터링 부재를 이용한 웹셸 업로드와 또 IIS 6 버전 이하에서 발생 가능한 IIS 파일 파싱 우회 취약점을 이용한 웹쉘 업로드(Ex : shell.asp;.jpg) 공격이다.
 
소스코드 수정 및 IIS 버전 7.0 이상 설치를 통한 취약점 제거가 필요하고 화이트 리스트 기반의 업로드 정책 구현이 중요하다.
 
◇Apache Struts2
Apache Struts2를 사용해 개발된 웹 서버들이 외부 공격에 노출되는 경우도 발생했다. 지난해 7월 해당 취약점이 공개된 이후, 국내 다수의 서버들에 대한 공격 시도가 발견됐다.
 
Struts 2.3.15 이하 버전을 사용해 개발된 웹 사이트에 원격 제어 취약점이 존재하며 공격자가 “action:” 이라는 매개 변수를 사용해 공격 대상 서버를 원격 제어 가능하게 된다.
 
박 연구원은 “새로운 취약점이 발견되면 중국 해커들은 해당 취약점을 공유하고, 관련 도구를 개발해 공격방법이 빠르게 확산된다”며 “Struts 2.3.15 이하의 버전을 2.3.15.1 이상으로 업데이트할 필요가 있다”고 조언했다.
 
◇SSH 백도어와 Sticky key 백도어
SSH 변조는 해커가 가장 즐겨 사용하는 백도어이며 누구나 손쉽게 확인이 가능한 Sticky key 백도어도 최근 침해사고 원인이 되고 있다.
 
해커는 보안통신 프로토콜인 SSH 프로그램을 변조해 백도어로 악용하고 있다. 서버를 해킹해 SSH 변조를 통해 특정 문자열을 입력하고 관리자 권한을 획득하는 방법이다.
 
예방 및 점검방법에 대해 박 연구원은 “strace 명령어를 이용한 시스템 호출 추적, ssh, sshd, pam_unix.so 파일 문자열 검사를 통한 백도어 키 존재 여부 점검 등이 필요하다”며 “또 해커는 고정키 기능을 사용하면 백도어가 자동실행되도록 레지스트리에 등록한다. 고정키 기능은 사용자 편의를 위해 OS에서 기본적으로 제공한다. 이때 shift key를 5번 연속으로 누를 경우, 해커가 설치한 악성코드 실행여부를 확인할 수 있다”고 조언했다.

이번 PASCON 2014 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com