2015년 봄…
인터넷을 뜨겁게 달구던 클리앙 랜섬웨어 유포사고는 랜섬웨어를 사용자들의 PC에 감염시키기 위해 웹서버를 “이용”했을 뿐이다. (사고 관련 포스트 보러가기) 그래서 사실 웹서버에는 별다른 피해가 발생하지 않는다. 이렇게 서버에 별다른 피해를 끼치지 않기에 웹서버를 이용한 악성코드 유포사고로 피해를 보는 것은 일반 사용자들 뿐이다. 서버를 운영하는 기업들이나 공공기관은 별다른 피해를 입지 않고 “욕만 한번” 먹고 그냥 넘어가기 일쑤다.
하지만 최근 랜섬웨어가 일반 사용자들의 PC 뿐만아니라 서버까지도 공격한다는 소식은 웹서버를 이용해 서비스를 제공하는 기업이나 기관의 IT부서 담당자들을 꽤나 긴장하게 할 듯 하다.
해커 입장에서는 어차피 랜섬웨어를 사용자의 PC까지 감염시키기 위해서는 일단 유포지로 선택된 웹서버에 랜섬웨어를 업로드해야 하며 이를 위해서는 웹서버의 취약점을 찾아 해킹해야 한다. 그 이야기는 업로드된 서버에서 랜섬웨어가 동작하게 하면 서버의 수많은 파일을 암호화할 수 있다는 이야기다. 해커 입장에선 더 손쉬운 공격이 될 수 있다.
인터넷에 떠도는 웹서버의 파일이 랜섬웨어에 의해 암호화된 화면
이런 공격은 일반적인 웹쉘 탐지솔루션이나 IPS, 웹방화벽 등으로는 차단이 불가능하다. 일단 웹서버에서 취약점이 발견되면 해커는 취약점을 악용해 랜섬웨어를 업로드하거나 직접 서버에서 소스를 컴파일해 실행파일을 생성할 수 있다.
서버에 업로드된 랜섬웨어는 웹서버가 실행중인 운영체제 계정의 권한으로 접근이 가능한 수많은 파일을 암호화해버릴 수 있다. 당연히 암호화가 끝나면 암호화에 사용된 Key가 담긴 파일을 삭제하고 “돈내라고” 협박하는 웹페이지를 생성해 웹서버 관리자에게 보여줄 수 있다.
이런 상황은 현재까지 나도 경험해보지 못했기에 “가정”하는 상황이지만 충분히 가능한 시나리오며 여러 보안관련 사이트에서 이러한 위험을 경고하고 있는 상황이다.
종종 방문하는 SecurityPlus의 블로그에서도 관련 정보를 찾아볼 수 있다.
http://blog.securityplus.or.kr/2016/01/blog-post_14.html
(http://blog.securityplus.or.kr/2016/01/blog-post_14.html)
웹서버의 취약점을 공격하여 서버에 파일을 생성하고, 명령어를 실행하며, 소스파일을 위변조하거나 암호화하는 공격을 가장 효과적으로 차단할 수 있는 보호대책은 RedCastle SecureOS를 서버에 설치하고 파일접근통제정책(File ACL)을 적용하는 것이다. 그리고 이 FileACL을 적용하기 위해서는 SecureOS 전문 컨설팅을 통해 웹서비스의 디렉토리 구조 및 보호대상 자원(파일)을 선정하고 정책을 구현하는 서비스를 받아야하기도 한다.
그와 과련된 여러 포스팅을 올렸고 해당 포스트를 보고 여러 분들이 문의를 주시곤 한다. 보안솔루션은 보안의 특성상 완벽한 해킹차단은 불가능하다. 가장 완벽한 보안솔루션도 예상치 못한 Hole이 발견되어 뚫리곤 한다.
하지만 분명한 것은 RedCastle SecureOS는 다른 보안솔루션보다 월등한 명령어 실행 통제 및 파일 위변조 차단 성능을 보여준다는 것이다. 아래 포스트에 방어사례도 있지만 실질적인 서버 내부에서 일어날 수 있는 해킹에 대한 방어 효과는 그 어떤 보안솔루션과의 비교를 거부할만큼 월등한 성능을 보여준다.
당연히 랜섬웨어에 의해 서버에서 발생할 수 있는 파일의 암호화 공격에 가장 효과적으로 대응할 수 있는 보안솔루션이 바로 RedCastle SecureOS라고 할 수 있다.
*** 관련 포스트 모음
- IIS웹서버 해킹을 통한 악성코드 삽입 공격 방어 사례 (소스위변조공격) – http://blogger.pe.kr/346
- 웹페이지 변조(파일변조)를 차단하는 근본적인 방법 – http://blogger.pe.kr/433
- 웹서버 해킹 방어 사례 – 남다른 끈기를 보여준 해커 – http://blogger.pe.kr/451