서버 관리자님! 홈페이지 해킹, 이것부터 확인해 보세요

해킹된 서버에서 웹쉘, 시큐어쉘 백도어 등 주로 발견

해킹 흔적 발견 시, 국번없이 118로 신고해 추가 분석 필요

[보안뉴스 김태형] 한국인터넷진흥원(KISA, 원장 이기주)은 서버 관리자를 대상으로 해킹을 당한 홈페이지에서 나타나는 주요 증상과 해킹 여부 확인법 등을 안내하고 주기적인 서버 점검을 당부한다고 7일 밝혔다.

해킹을 당한 서버는 내부 기밀 및 개인정보 유출, 악성코드 유포, 공격 조종서버 등으로 악용되고 있다. 최근에는 DDoS 공격의 명령과 공격을 동시에 수행하는 좀비 서버로 악용되는 등 피해의 범위와 규모가 큰 폭으로 증가하고 있는 추세다.

그러나 해킹을 당한 서버에서 홈페이지 이용 및 관리 상 특별한 이상이 나타나지 않아 해킹을 당한 사실을 알아채기 어렵다. 많은 경우 정보 유출 및 악성코드 유포, DDoS 공격 수행 등 피해가 확산된 후에야 해킹 사실을 인지하게 되어, 무엇보다 서버 관리자들의 수시 점검이 중요하다.

KISA에 따르면, 2012년 한 해 신고된 홈페이지 해킹사고 약 200여건을 분석한 결과, 해킹당한 홈페이지에서 발견되는 주요 증상은 △웹쉘 설치 △리눅스 서버 시큐어쉘 백도어 설치 △웹서버 동기화 프로그램을 통한 감염 및 정보유출 △관리자용 PC 감염 △가상 사설망 서비스의 자동실행 설정 △윈도우 서버 고정키 기능을 이용한 악성프로그램 실행 등인 것으로 나타났다.

서버 관리자들이 직접 점검해 볼 수 있는 해킹 탐지 및 예방 방법은 아래와 같다.

△웹쉘(Web Shell)은 KISA의 ‘휘슬(WHISTL)’ 프로그램을 이용해 쉽게 탐지 할 수 있다. 웹쉘은 해커가 설치해 놓은 비밀통로 역할을 하는 악성 프로그램으로, 최근 몇 년간 해킹당한 웹서버 중 90% 이상에서 발견될 정도로 많은 피해를 입히는 해킹도구다.

공격자는 웹에디터의 파일 업로드 취약점을 이용해 웹쉘을 설치한 후, 이를 통해 악성코드 유포, 데이터베이스 정보 유출, 홈페이지 변조, 스팸메일 발송, DDoS 공격 등 다양한 추가적인 공격을 수행할 수 있다. 최근에는 휘슬 등 웹쉘 탐지도구를 우회하기 위해 지속적으로 웹쉘 패턴을 변경하고 있는 추세다.

서버 관리자들은 웹쉘 등 악성파일 및 공격 프로그램 파일이 존재하는지를 점검해 관련 파일을 제거하고 반드시 KISA에 신고해 추가 해킹 범위 등을 분석해 보아야 한다. 웹쉘 예방을 위해서는 사용 중인 웹에디터 프로그램을 취약점이 없는 최신 버전으로 업데이트 하고 KISA의 웹취약점 모니터링 점검 서비스 등으로 도움을 받을 수 있다.

△시큐어쉘(SSH, Secure Shell) 백도어는 리눅스 서버에서 간단한 명령어를 통해 확인할 수 있다. 시큐어쉘은 원격관리에 사용되는 프로그램으로, 공격자는 서버를 해킹하여 관리자 권한을 획득한 후, 시큐어쉘 변조를 통해 자신만의 비밀번호를 설정해 놓아, 언제든 쉽게 해당 서버에 원격으로 접속할 수 있다.

특히, 관리자가 비밀번호를 변경해도 공격자는 시큐어쉘 백도어를 통해 관리자 권한을 획득할 수 있기 때문에, 시큐어쉘 백도어 설치 여부를 확인하고, 평상 시 서버에 대한 보안 강화를 위해 지속적으로 노력해야 한다.

△웹서버 동기화 프로그램 악용은 웹하드와 같은 다수의 웹서버를 운영하는 환경에서 빈번히 발생한다. 공격자는 서버를 해킹한 후, 웹서버 동기화 프로그램의 취약한 보안설정을 악용해 다수의 서버에 대한 악성코드를 감염시키거나 정보를 유출할 수 있다.

이 때, 관리자가 동기화 프로그램의 보안 설정을 변경하지 않고 초기값으로 유지하고 있었다면 동기화 프로그램 통해 피해가 확산될 수 있으므로, 서버 관리자는 반드시 동기화 프로그램의 보안 설정값을 변경해야 한다.

△관리자용 PC가 해킹될 경우, 공격자는 관리자 권한을 획득하여 다수의 서버에 접속하여 다양한 공격을 수행할 수 있어 큰 피해를 낳을 수 있다. 따라서 백신 검사, 보안업데이트 등 관리자용 PC에 대한 보안점검을 철저히 해야 한다.

△사설 가상망(VPN) 서비스 자동실행 설정은 해킹경유지로 악용되는 서버에서 주로 발견된다. 공격자는 보안이 취약한 서버를 해킹해 VPN 서비스가 자동 실행되도록 설정한 후, 이를 통해 공격자 IP를 숨기고 다른 서버를 해킹할 수 있다. 따라서 서버 관리자는 VPN 서비스가 자동실행으로 설정되어 있는지를 수시로 점검해 보아야 한다.

또한 공격자는 서버 해킹 후, △윈도우 서버에서 제공하는 고정키(Sticky Key) 기능을 악용해 원하는 프로그램이 자동 실행되도록 설정할 수 있다. 서버 관리자는 시프트 키(Shift Key)를 연속으로 5회 눌러서, 비정상적인 프로그램이 실행되는지 여부를 확인할 수 있다.

박순태 KISA 해킹대응팀장은 “홈페이지 해킹은 큰 피해를 낳을 수 있는 반면 악용 여부를 알아채기 쉽지 않으므로, 서버 관리자들이 수시로 점검하고 관리하는 것이 중요하다”며 “해킹 증상이 있을 경우, 신속히 국번없이 118번으로 전화 또는 홈페이지(www.krcert.or.kr)로 신고해 공격자의 최초 침투경로 및 피해 규모 확인을 위한 추가분석을 해야 한다”고 강조했다.

KISA 툴박스 홈페이지(http://toolbox.krcert.or.kr)를 방문하면 웹쉘 탐지 프로그램 ‘휘슬(WHISTL)’ 및 ‘원격 홈페이지 취약점 점검 서비스’ 등을 무료로 신청할 수 있다.

[김태형 기자(boan@boannews.com)]

올해 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)