홈페이지를 운영하는 많은 쇼핑몰들과 인터넷신문사 홈페이지는 수시로 홈페이지 위변조 및 자바스크립트 위변조 공격에 시달린다. 최근 방문했던 한 인터넷 뉴스사이트도 그런 공격이 너무도 많다는 고충을 토로하기도 했다. 때문에 여러 솔루션들을 사용하지만 보안정책 수립의 어려움, 실시간 모니터링의 어려움 등으로 인해 제대로 대응하지 못하는 경우가 많다고 한다.

사고가 발생하면 다음과 같은 사항들을 해킹이 발생한 서버내에서 신속하게 파악하고 취약성을 제거하고 모니터링을 해야지만 솔루션 부재로 인해 대부분 정확한 경로를 파악하지 못하는 경우가 많다. 

- 침입 경로

- 칩입 후 실행한 명령어

- 수정한 파일

- 작업 과정

대부분 서버내에서는 해킹에 성공하여 수정한 파일"만 원상복구하고 네트워크에서 해당 출발지 IP를 차단하는 정도의 응급조치만을 하게된다. 해커는 공격지IP를 변경하여 재공격을 수행할 수 있고 사고는 다시 발생한다.

2013년 1월 5일... 국내의 대형 인터넷서점 홈페이지의 Java Script 파일이 변조되어 악성코드가 해당 인터넷 서점에 접속한 웹브라우저를 통해 접속자의 PC에 감염되는 심각한 보안사고가 발생했다. 

이 사고는 해킹당한 홈페이지의 소스파일 위변조를 통해 웹브라우저를 통해 접속한 사용자의 PC가 악성코드에 감영되는 전형적인 사고사례다. 워낙 유명한 대형 인터넷 서점이고 비교적 모니터링 체계가 잘되어 있어 장시간 유표되는 사태는 막을 수 있었지만 사용자의 접속이 많지 않은 홈페이지의 경우 장시간에 걸쳐 많은 PC에 악성코드를 감염시키게 된다.

이러한 사고를 근본적으로 방지하기 위해서는 서버내의 주요 자산인 홈페이지 소스파일에 대한 철저한 보안이 필요하다. 

1. 웹서버의 취약성에 의해 서버내의 계정 권한이 탈취되는 것을 차단해야하고

2. 웹서버 혹은 WAS 서비스에 웹쉘이 업로드되어 운영체제의 명령어를 실행하지 못하도록 해야하며

3. 만에 하나라도 서버의 웹서버 혹은 WAS서비스의 계정 권한이 탈취되더라도 운영체제의 임시디렉토리에 스크립트 파일을 생성하고 실행하는 것을 차단해야하며

4. 홈페이지 소스가 웹서버 혹은 WAS서버의 구동 계정으로 수정되지 않도록 통제하여야 한다.

이 몇가지 보안정책만 준수할 수 있다면 홈페이지 위변조에 의한 보안사고는 대부분 예방할 수 있을 것이다.

관련포스트

웹쉘의 위험성과 서버보안SW를 이용한 웹쉘 실행 차단

서버보안SW를 이용한 웹서버보안 강화 방안

웹해킹방어사례 - 남다른 끈기를 보여준 해커

이번에는 SK Telecom과 KT가 주인공이다. 바로 개인정보 유출 보안사고의 주인공들이다. 그리고 이번 사고는 유출된 개인정보가 건당 1~2백원이 아닌 최고 수십만원에 거래가 이루어진 명확한 증거까지 경찰이 확보한 모양이다. 게다가 유출된 개인의 위치정보가 거래되어 사용된 곳이 심부름센터였고 목적은 불륜현장 포착이었다고 하니 어이가 없을 뿐이다. 그런데도 정작 이동통신사는 자신들의 책임이 아니라고 발뺌하는 뻔뻔함까지 보이고 있는 모양이다.

이번 사고에서 유출된 정보는 개인의 위치정보다. 얼마전 미국에서 애플과 구글이 스마트폰 사용자들의 위치정보를 수집하다 손해배상 소송에 휘말리고 소송에서 패소하는 상황까지 연출되었던 바로 그 "위치정보"가 유출되어 건당 최고 수십만원에 거래가 이루어졌다고 하니 자칫 소송에 휘말리면 손해배상 청구도 있을 수 있을 것으로 보인다.

어떻게 개인의 현재 위치 정보가 유출되었나 ?

필자가 IT업계에서 처음으로 직장생활을 하면서 했던 일은 데이터베이스(RDBMS)의 기술지원이었다. 그때는 처음 PCS 서비스가 시작되던 시절이었고 함께 문자메시지(SMS) 서비스가 시작되던 시기였다. 휴대폰에서 보낸 문자메시지는 수신자 휴대폰으로 전송되는 과정에서 이통사의 문자메시지 서버에 저장된다. 그리고 그 문자메시지는 상당히 오랫동안 서버의 데이터베이스에 보관되어 진다. 따라서 서버에 직접 접속하는 엔지니어들은 간단한 데이터베이스 프로그래밍 만으로 문자메시지를 조회해 볼 수 있다. 그 시절 이통사에 기술지원을 갔다가 명령어 뒤에 휴대폰번호만 주어 실행하면 해당 번호로 전송된 문자메시지가 주루룩~~~ 출력되는 것을 보고 어이가 없었던 기억이 있다. (십수년도 훨씬 전 일이다.) 

마찬가지로 개인의 위치정보도 이통사의 어느 서버엔가 당연히 저장되어 위치정보 서비스에 활용되어질 것이다. 그리고 이통사 서버 엔지니어 혹은 해당 서버에서 위치정보를 활용하는 앱을 개발하는 엔지니어는 손쉽게 위치정보를 조회할 수 있을 것이 뻔하다.

이 위치정보를 사용할 수 있도록 이통사의 협력사에 제공하였을 것이고 그 협력사의 엔지니어가 인터넷을 통해 전화번호만 입력하면 위치를 파악할 수 있도록 응용프로그램을 작성한 것이다. 그리고 이 프로그램을 이용해 "불륜"을 전문으로 추적하는 흥신소에  건당 수십만원을 받고 개인의 위치정보를 팔았던 것으로 경찰 조사결과 드러난 것이다.

누구의 책임인가 ?

이통사의 시스템은 철저한 보안속에 운영되지만 이러한 경우 당연히 속수무책으로 당할 수 밖에 없다. 더 나아가 개인의 위치정보가 고가에 거래되는 것을 전혀 알 수 없었던 것이다. 왜냐하면 이번 사고는 외부자의 해킹이 아닌 "내부자의 악의적 정보 유출"에 해당되기 때문이다.

하지만 이통사에서는 "협력사"에서 저지른 사고 이기 때문에 자신들은 책임이 없다고 발뺌하고 있는데 "협력사"에 위치정보를 사용할 수 있도록 "승인"해준 것은 바로 이통사이며 그에 대한 관리적인 책임을 다하지 못하였으므로 이통사에 2차적인 책임이 있는 것이다. 차를 빌려주었고 차를 빌린 사람이 사고를 내면 차를 빌려준 차주에게도 책임을 묻는 것과 같은 이치다.

해킹이나 DDOS 공격보다 더 치명적인 "내부자"의 악의적 공격

이번 사건은 개인정보 중 하나인 실시간 위치 정보를 즉각적으로 현금한 매우 지능적이고 악의적인 보안사고의 좋은(?) 사례다. 게다가 지금껏 발생했던 단순 주민번호, 전화번호와 같은 개인정보가 아닌 아직까지 국내에서는 사례가 없었던 위치정보가 유출되어 불법적으로 사용된 보안 사고 사례다.

또한 외부에서의 공격이나 해킹이 아니라 시스템에 정상적인 접근권한을 갖고 있는 내부 사용자에 의해 발생한 사고라는 점에서 이번 사건은 시사하는 바가 크다.  그것은 바로 서버 자원(파일, 명령어, 서비스 등)에 대한 내부자의 접근 통제가 필요하다는 점이다.

지금껏 보안은 네트워크에 촛점이 맞춰져 있었다. 서버에 접근하기까지의 경로를 통제하면 보안은 끝이라고 여겨져왔다. 하지만 서버에 접근할 수 있는 내부자가 바로 보안 상 가장 심각한 위협이자 취약점이라는 이슈를 이번 사건은 보여주고 있다.

해커들 마저도 반발하고 있다.

미국 쇠고기 수입에 반발한 어느 해커가 한나라당의 홈페이지를 해킹했다.
홈페이지 해킹의 대표적인 사례다.  서버보안 교육할 때 홈페이지 위변조 해킹 사례로 활용하기에 너무 좋은 자료가 될 것 같다.

졸고 있는 교육생들을 깨우기에 너무 좋은 자료를 준 한나라당과 이명박 대통령께 감사한다.