웹사이트 침해사고 주역 3인방, 예방법은?

홈페이지 주요 공격 이슈: 홈페이지 변조, 악성코드 유포, 디도스 공격
WebDAV·파일 업로드 취약점 이용 및 자바, IE 등 복합 취약점 이용해 악성 스크립트 실행
WebDAV 서비스 중지, 파일 업로드 제한, 중요파일 백업, 웹서버 보안 강화해야

[보안뉴스 김경애 기자] 최근 웹사이트 침해사고가 끊이지 않고 발생하고 있다. 그중에서도 부실한 웹사이트 관리로 사이트가 해킹당해 웹사이트 메인 화면이 변조되거나, 악성코드를 유포하는 사고가 주요 요인으로 발생하고 있다. 보안뉴스에서는 7월 둘째 주 수요일 ‘정보보호의 날’을 맞아 사용자들이 가장 조심해야할 웹사이트 침해사고의 종류와 예방법에 대해 살펴본다.

▲중국 해커조직의 홈페이지 변조 공격 화면[이미지=한국인터넷진흥원]

1. 홈페이지 변조
홈페이지 변조 공격은 웹사이트 메인 화면 등을 변조하는 공격으로 디페이스 공격으로도 불린다. 일반적으로 자기과시나 정치적 비판 등의 메시지를 전파하기 위해 이와 같은 공격을 하고 있으나, 홈페이지 변조 공격 전후로 추가 악성코드 유포와 자료 유출 등의 피해를 유발할 수 있어 주의가 필요하다.

홈페이지 변조 공격은 일반적으로 ①WebDAV 취약점이나 ②파일 업로드 취약점을 이용해 이뤄진다. 첫번째, WebDAV는 윈도우 환경에서 IIS 설치 시 기본으로 설치되는 원격관리 서비스다. 하지만 운영자의 잘못된 보안 설정으로 홈페이지 디렉토리에 쓰기 권한이 부여된 경우, 공격자는 WebDAV를 사용해 임의의 파일을 업로드하여 웹 콘텐츠를 변조할 수 있다.

한국인터넷진흥원이 발간한 ‘웹서버 보안 강화 안내서’에 따르면 WebDAV 취약점 예방법은 △불필요한 경우 WebDAV 서비스 중지 △운영제체 및 IIS 버전 업그레이드 △httpext.dll 파일의 Everyone 권한 삭제 △홈 디렉토리 메뉴의 쓰기 권한을 삭제하면 된다.

두 번째, 파일 업로드 취약점은 홈페이지 게시판에 허용된 파일(이미지 등)외 서버 사이드 스크립트 파일(PHP,JSP, ASP 등)이 업로드가 가능한 경우 공격자는 웹서버에서 스크립트를 실행시켜 임의의 파일을 업로드해 웹 콘텐츠를 변조할 수 있다.

파일 업로드 취약점 예방법은 △오픈소스 게시판 보안 패치 △파일 업로드 제한(확장자, 쓰기권한, 첨부파일 기능 등) △업로드 파일에 대한 실행권한 제거 △업로드 파일 저장 시 파일명을 변경하면 된다.

2. 악성코드 유포
악성코드 유포 역시 끊임없이 발생하는 홈페이지 침해사고 이슈 중 하나다. 공격자는 악성코드 유포 시 홈페이지를 많이 이용하며, 불특정 다수를 대상으로 무분별하게 악성코드를 유포한다.

[이미지=한국인터넷진흥원]

홈페이지를 통한 악성코드 유포 공격의 개요도를 살펴보면 공격자가 최초로 취약한 홈페이지를 해킹해 악성 스크립트를 삽입하고 해당 홈페이지에 접속한 사용자들을 대상으로 악성코드에 감염시킨다.

공격자는 사용자들이 인지하지 못한 채 악성코드를 감염시키기 위해 사용자 PC에 설치된 프로그램의 취약점을 악용한다. 일반적으로 문서편집기, 자바(JAVA), 플래시 플레이어, 인터넷 브라우저(IE 등) 등 프로그램의 복합적인 취약점을 이용해 악성 스크립트를 실행시켜 악성코드에 감염시킨다.

[이미지=한국인터넷진흥원]

최근에는 랜섬웨어(파일 암호화) 유포를 통해 금전적 이득을 취하려는 공격도 증가 추세다. 홈페이지를 통해 유포되는 악성코드 유형으로 랜섬웨어가 28.3%로 가장 높은 비율을 차지하고 있다. 이어서는 정보유출(금융정보) 17.1%, 다운로더 10.1%, 드롭퍼와 비트코인이 각각 8.5%, 백도어가 7.8%, 계정정보가 7.4%, 기타 5.4%, 키로깅과 디도스가 각각 3.5% 순으로 집계됐다.

[이미지=한국인터넷진흥원]

2017년 KISA에 보고된 랜섬웨어 신고건수는 2016년과 비교해 305% 증가했고, 2015년과 비교해 656% 증가했다.

일반적인 랜섬웨어는 홈페이지 사용자 PC의 중요 파일들을 암호화해 피해를 입히지만, 최근에는 웹서버 자체를 감염시켜 홈페이지 서비스를 중단시킨다. 랜섬웨어에 감염된 경우 해커에게 금전을 지불해도 복구가 안 되는 경우가 많으며, 기업에서는 랜섬웨어 감염시 피해를 최소화하기 위해 중요한 파일은 물리적으로 다른 저장소에 백업할 것을 권장한다.

홈페이지를 통한 악성코드 유포 예방을 위해서는 기업과 사용자 모두 주의가 필요하다. 기업은 웹서버 보안을 강화하고 사용자는 백신 설치와 운영체제, 프로그램 등의 보안 업데이트를 수행해야 한다. 홈페이지에 악성코드가 삽입되거나 웹 콘텐츠가 변조된 경우라면 이미 웹서버는 해킹되었다는 의미로, 기업에서는 반드시 적절한 보안조치를 취해야 한다.

3. 디도스 공격
디도스(분산 서비스 거부, Distributed Denial of Service) 공격은 해커가 사전에 감염시킨 대량의 좀비PC를 이용해 특정 웹서버에 비정상적으로 많은 요청 패킷을 보내 홈페이지 서비스에 장애를 발생시킨다.

[이미지=한국인터넷진흥원]

DDoS 공격에 대응하기 위해서 기업에서는 웹서버 및 방어 장비의 자원 수준을 명확히 파악하고, 자원에 대한 지속적인 모니터링과 변화되는 공격 유형에 대응되는 차단 정책을 개선하고 적용하는 작업을 지속적으로 수행해야 한다.

자세한 DDoS 공격 대응 방법은 한국인터넷진흥원이 발표한 ‘DDoS 공격 대응 가이드’를 참고하면 된다.
[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)