Home > 전체기사
웹셸 탐지 솔루션의 핵심은 ‘탐지 엔진 성능’
  |  입력 : 2014-10-28 18:16
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

웹셸 탐지, 미탐·오탐 없이 서비스 가용성·안정성 확보돼야


[보안뉴스 김태형] 지난해 우리나라에서 발생한 3.20 및 6.25 사이버테러는 해킹에 의한 침해사고로 이들은 모두 웹셸 공격에서부터 시작됐다.

전 세계 개인정보 유출사고의 65%는 해킹에 의한 것으로, 한국인터넷진흥원(KISA)
에 의하면 해킹 당한 웹 서버의 90%에서 웹셸이 발견된 것으로 나타났다. 이러한 웹셸을 이용한 공격은 해커가 서버 취약점을 공격한 후, 웹셸을 업로드해 시스템을 통제하기가 쉬워 해커들이 최근 들어 가장 많이 사용하는 해킹 기법이다.

이에 기존 네트워크와 서버 보안 체계에서 웹셸 탐지는 쉽지 않다는 게 전문가들의 지적이다. 이유는 여러 가지인데, 일례로 방화벽의 경우에는 허용된 IP나 포트로부터의 공격은 방어가 불가능하다. 또 네트워크 계층에서의 유해성 검사를 진행하는 IDS/IPS의 경우 애플리케이션 취약성 공격에 대해서는 방어가 불가능하기 때문이다.

그렇다면 웹셸 탐지 솔루션에서 가장 핵심은 무엇일까? 웹셸 탐지 솔루션의 가장 핵심은 탐지능력이다. 미탐이나 오탐없이 얼마나 잘 탐지하느냐가 기본이라는 것. 이를 위한 가장 기본 기능은 바로 패턴 매칭이다. 이와 함께 웹셸의 특징을 기반으로 탐지하는 행위기반, 해쉬값을 대조해 알려진 웹셸만을 탐지해 오탐이 없는 해쉬값 매칭 등의 방법이 있다. 

웹셸 탐지 솔루션이 가장 극복해야 하는 문제는 오탐과 미탐이다. 패턴 매칭에는 한계가 있기 때문에 전문 업체들은 이를 보완하기 위해 다른 기술을 이용해 추가 기능들을 제공하고 있다. 


SSR, 휴리스틱 엔진의 웹셸 탐지

이와 관련 자체 개발한 웹셸 탐지 솔루션을 보유하고 있는 SSR의 김병규 솔루션사업본부 부장은 “이러한 문제를 극복하기 위해 SSR은 자체 개발한 행위기반의 ‘휴리스틱 엔진’으로 웹셸만의 특징을 탐지하도록 하는 기능을 개발해 현재 특허 출원 중이다. 또, 해쉬 값을 대조하는 방식의 해쉬기반 탐지 기능은 알려진 웹셸을 탐지하기 때문에 오탐이 없는 것도 장점이라고 할 수 있다”고 강조했다.

또 SSR의 웹셸 탐지 솔루션은 에이전트 기반의 다른 제품들과 달리 서버에 설치되지 않고 스크립트 기반으로 복사해서 붙여넣기로 가능하기 때문에 시스템 운영자들이 가장 우려하는 서비스 가용성이나 안정성에 전혀 부담이 없는 것도 특징이다.


SSR의 웹셸 탐지 솔루션 ‘메티아이(MetiEye)’는 휴리스틱 엔진을 탑재한 웹쉘 탐지 및 방어 솔루션으로, 모의해킹 컨설팅에서 사용되는 자체 제작된 웹쉘의 패턴 테스트 등 30여 명의 전문 보안 컨설턴트가 현장에서 수집하는 패턴으로 수시 업데이트를 진행하고 있는 것이 특징이며, 알려지지 않은 웹셸과 우회기법을 탐지하는 기능이 강점이다.


유엠브이기술, 다수의 구축사이트와 웹셸 정보 보유 강점   

이와 함께 웹셸 탐지 솔루션 선도기업인 유엠브이기술의 조혁래 상무는 “웹셸 탐지의 핵심은 엔진의 성능과 안정성이다. 유엠브이기술의 웹셸 탐지 솔루션은 알려진 웹셸 수집정보(데이타베이스), 압축·아카이브 파일 탐지, 자바 Class 파일 디컴파일 후 탐지, 악성코드 유포지 URL 컨트롤, 파일변경 탐지·복원, 개인정보 탐지 등의 기능을 제공한다”고 설명했다.

특히 ‘쉘모니터(ShellMonitor)’는 유연하고 직관적인 운영환경과 관리기능이 장점이다. 윈도우서버, 리눅스, 유닉스 등 모든 웹 서버 OS를 지원하며 ASP, JSP, PHP, HTML, JS 등의 웹 서비스 언어를 포함한 이미지 등 모든 소스 파일을 대상으로 탐지가 가능하다.


또한 순수 국내기술로 개발, 공공기관·대기업 등 1만여대 이상의 웹서버에서 운영되고 있으며 악성코드 탐지 시 이메일, SMS를 통한 알림 기능과 에이전트를 그룹별로 구분해 그룹별 에이전트 상태 정보 파악이 가능하도록 했다.

이 외에도 관리자별 사용기능 제한, 접근경로 제한, 웹서버 악성코드와 악성코드 유포지 URL 탐지내역에 대한 통계 등으로 외부 통합보안관리시스템(ESM)과의 연동을 지원한다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)