EBS 해킹, 홈페이지 게시판 취약점 이용한 ‘Webshell’ 추정

EBS, 해킹 사고 책임 통감...개인정보보호 강화할 것

[보안뉴스 김태형] EBS(한국교육방송공사)는 지난해 DDoS 공격에 이어 올해 홈페이지 해킹으로 개인정보가 유출됐다. 이에 EBS 보안시스템 전반에 대한 문제점이 있다는 지적도 나오고 있다.

이러한 가운데 오늘 곽덕훈 EBS 사장은 메인 사이트 해킹으로 개인정보 유출사고가 발생한 것과 관련해 공식 사과문을 발표했다. 곽 사장은 17일 사과문을 통해 “EBS는 자체 모니터링으로 유출 사실을 감지하는 즉시 위탁운영 업체인 KT와 공조해 회원들의 피해를 막기 위한 다각적인 대처에 나섰다”며, “현재 모든 사이트는 정상적으로 운영되고 있다”고 말했다.

이어 곽 사장은 “사장으로서 책임을 절감하며 회원 여러분께 머리 숙여 사과드린다. 이번 일을 거울삼아 보다 알찬 교육 서비스를 제공하고 동시에 개인정보 보호를 강화해 고객 서비스에 만전을 기하겠다”고 밝혔다.

한편, EBS는 개인정보가 유출된 것으로 의심되는 회원들에 대해서는 실명인증을 거쳐 비밀번호를 변경한 뒤 사이트에 접속하도록 해 제2의 피해를 막도록 조치했다. EBS는 홈페이지 구축단계서부터 KT와 협력해 보안관제까지 전체적인 부분을 KT에 위탁해 운영하고 있었던 것으로 전해졌다.

EBS측은 공격자가 EBS 홈페이지 내에 뉴스제보 게시판을 통해 첨부파일 형태로 특정 해킹 툴을 심어놓고 해당 툴이 어느 시점에 가동되면서 이전 데이터베이스(DB)를 탈취해 간 것으로 추정했으며, 중국발 IP이고 내부 PC의 악성코드 감염 등은 없었기에 내부보안에는 문제가 없었다고 밝혔다.

또한, 이번 사고로 유출된 정보는 2009년 12월 이전 정보로 사이트 통합작업을 진행하면서 삭제된 정보 중 일부가 남아있던 것으로 추정하고 현재 DB와는 관련이 없다는 것. 아울러 회원들의 주민등록번호와 계좌번호 등 정보는 보관하고 있지 않고 수능 사이트는 별도로 강화된 보안 시스템으로 운영돼 이번 사고와는 관련이 없다고 강조했다.

하지만 전반적인 보안관리 소홀과 홈페이지 관리가 허술했던 부분에 대해서는 책임이 크다는 지적이다. 이와 관련 익명의 한 보안전문가는 “게시판과 같은 글을 쓰는 곳에 첨부된 악성파일이라면 웹서버 악성코드인 ‘Webshell(웹쉘)’이다. 이는 파일 업로드 취약점으로, 게시판 등에 웹쉘을 올리고 웹쉘에서 SQL로 조회를 통해 DB에서 정보를 탈취해 간 것으로 보인다”고 설명했다.

‘웹쉘’이란, 악성 URL 삽입, 데이터베이스 정보유출, 홈페이지 변조, 스팸메일 발송 등 심각한 피해를 입힐 수 있는 악성 프로그램으로 최근 몇 년간 해킹 당한 웹서버 중 90% 이상에서 발견될 정도로 많은 피해를 입히는 해킹도구이다.

덧붙여 그는 “게시판에 첨부파일을 EBS 직원이 클릭해서 감염된 게 아니고 해커가 바로 악성코드를 첨부파일로 게시판에 올렸다면 이러한 방법의 해킹은 아주 쉬운 해킹기법 중에 하나이다. 때문에 이러한 방법으로 해킹된 것이 사실이라면 웹페이지이나 게시판 관리가 전혀 되지 않은 것으로 볼 수 있다”고 지적했다.

또한, 이에 대한 보안조치와 관련해 그는 “게시판에 보안 코딩을 적용해서 첨부파일로 업로드되는 파일에 필터를 걸어서 정상적으로 올려져야 하는 파일 외에는 스크립트 파일들이 올라가지 못하도록 해야 한다. 그리고 첨부파일로 스크립트가 올라가더라도 실행되지 않도록 웹 환경 설정에 보안 설정을 강화해야 한다”고 강조했다.

또 다른 보안전문가는 “웹 페이지 해킹을 통해 정당한 권한으로 위장해서 DB에 들어오는 계정이라면 DB 보안이 되어 있더라도 DB에 접근이 가능하고 암호화도 풀 수 있다”면서 “뒷 단에 아무리 보안이 되어 있어도 앞 단에서의 접근을 막아주지 않으면 정당한 권한으로 들어와 충분히 정보를 빼낼 수 있기 때문에 앞단의 보안을 위해서는 웹 방화벽이나 IPS 등으로 보안을 강화할 필요가 있다”고 설명했다.

이와 관련 한 보안전문기업 대표는 “대부분의 데이터 침해사고는 SQL Injection 이나 RFI(Remote File Inclusion)을 통한 웹셀 업로드나 연관된 공격으로 발생한다. SQL Injection과 RFI는 웹 소스상에서 필터링되어야 하는 가장 기본적인 웹 취약점임에도 불구하고 침해사고가 발생했다”며, “즉 예방만 하면 쉽게 막을 수 있었다. 하지만 EBS 외에 다른 웹 사이트들도 이러한 취약점을 가진 경우가 많다. 그만큼 전체적으로 취약하다는 의미이다. 게다가 웹쉘과 같은 공격 툴의 경우 DB를 액세스, 즉 데이터를 보거나 가져갈 수 있게 된다”고 설명했다.

따라서 DB에 접속할 수 있는 ACL, 권한관리 등과 같이 접근제어 수단 및 정책을 미리 적용해야 했지만 아마도 이러한 방법을 적용하지 않았을 가능성이 높다고 지적했다.

또한, 그는 “또 한가지 간과한 부분은 유출된 약 400만건의 개인정보는 실제 데이터 크기로 보면 꽤 용량이 클 것으로 보인다. 공격자는 이 데이터를 파일로 저장하고 FTP나 기타 수단을 통해 외부로 빼내갔을 것”이라며, “즉 대용량 데이터가 외부로 나가는 동안에 이를 인지하지 못했다는 것에 대해서도 한번 더 고민해 봐야 할 것”이라고 강조했다.

한편, 이러한 취약점을 통한 해킹은 난이도가 낮고 많이 알려져 있어 대부분의 기업들은 이와 관련한 보안대책을 강화한 것으로 알려졌다. 하지만 EBS가 이러한 방법으로 해킹을 당해서 대량의 개인정보가 유출된 것이 사실이라면 EBS는 홈페이지 관리 소홀과 보안조치 미흡에 대한 책임을 면치 못할 것으로 보인다.

[김태형 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)