[기고]사이버 공격, 웹 보안이 핵심 (2013. 10. 08 지디넷코리아)
[기고]사이버 공격, 웹보안이 핵심
우리가 일반적으로 인터넷이라고 알고 있는 웹은 과거에는 PC가있는 장소에서만 사용할 수 있었지만, 스마트폰이 개발된 이후에는 장소에 구애받지 않고 스마트폰을 통해서도사용할 수 있게 됐다.
여기까지는 많은 사람들이 알고 있는 내용이지만 인터넷 익스플로러, 크롬, 사파리와 같은 인터넷 브라우저 뿐만이 아니라 카카오톡, 라인, 다음 카페, 모바일 게임 등과 같은 모바일앱들 또한 모두 웹을 통해통신이 이루어지고 있다는 사실을 알고 있는 사람은 그리 많지 않다. 스마트폰에서 사용되는 모바일앱들은각각 모양은 다르지만, 모두 기존의 인터넷과 동일한 웹을 기반으로 통신하고 있다.
결국 우리가 사용 중인 스마트폰이나 태블릿의 통신은 모두 웹을 통해 이루어지고 있고 이런 모바일 기기들이대중화된 지금, 웹은 더이상 우리와 뗄레야 뗄 수 없는 관계가 되었다.
▲ 김덕수 CTO
웹의 대중화와 더불어 기존의 오프라인서비스들도 하나둘씩 온라인 서비스를 지원하게 됐다. 그 결과 현재는 인터넷 뱅킹과 같은 금융 거래부터등록증 발급 등의 민원 처리까지 다수의 업무들이 모두 웹을 통해 서비스가 가능해졌다. 웹은 기존의 편리한서비스라는 개념에서 벗어나 이제 우리 생활의 일부가 되었다.
하지만 웹이 대중화 되고 많은 기업들이 웹을 통해 서비스를 제공하면서 기업의 자산을 노리는 사이버공격 또한 웹을 주요 타겟으로 삼게 됐다. 이는 최근 이슈가 되고 있는 해킹들이 대부분 웹을 통해 이루어지고있는 사실을 통해서도 확인할 수 있다. 웹은 기업의 중요 자산으로 연결되는 통로와 같기 때문에 웹이공격 당하는 순간 개인정보 유출, 금전적 피해, 내부 시스템파괴등 심각한 2차 피해로 이어질 수 있다.
또한 웹 공격의 경우 검색엔진에서 조금만 검색해봐도 손쉽게 공격을 시도할 수 있는 툴과 공격 방법까지친절히 가르쳐 주고 있는 동영상들을 확인할 수 있어, 웹 공격에 대해 잘 모르는 사람도 매우 쉽게 따라할수 있기 때문에 그 위험도는 매우 치명적이다.
많은 기업들이 네트워크 방화벽이나 IDS/IPS와 같은네트워크 보안 장비들을 중요하게 생각하고 이를 구비함에 따라 공격자들이 시스템에 직접 접근하기는 어려워졌다. 하지만기업이 서비스를 제공하는 통로인 웹 서비스는 열어놓을 수밖에 없고, 이는 3년간 웹 애플리케이션에 대한 침해공격이 가장 많다는 결과를 통해 웹 보안의 중요성을 깨달을 수 있다.
하지만 많은 경영자들, 보안관리자들이 늘 새로운 보안 트렌드에대해서 궁금해하면서도 정작 이 웹 보안을 잘 구축한 경우는 많지 않다. 웹이 생활의 일부가 된 상황에서웹 보안은 선택이 아닌 필수이다.
■ 웹 위협의 유형
이런 웹 보안을 잘 구축하기 위해서는 먼저 웹 위협의 유형이 어떤 것들이 있고, 해당 유형으로 공격을 당했던 해킹 사례들에 대해서 이해할 필요가 있다.
이 그림은 일반적인 기업의 네트워크 구성 및 웹 위협 유형들을 보여준다.
웹 위협은 크게 외부망을 통한 1차 해킹과 내부망에서의 2차 해킹으로 분류된다. 1차 해킹을 통해 내부 시스템에 접근이 가능하도록한 후, 내부 시스템을 통한 2차 해킹을 시도하는 식이다.
1차 해킹인 외부망을 통한 위협에는 크게 웹 서버 해킹과 내부 PC 해킹이있다.
웹 서버 해킹은 일반적으로 웹사이트를 통해 이루어진다. SQLInjection 등의 웹 공격을 통해 웹 서버를 해킹, 관리자 계정을 확보하여 내부 시스템으로침투할 수 있는 발판을 만들 수 있다.
내부 PC 해킹은 내부 사용자의 실수로 웹사이트나 메일을통해 악성코드가 설치되는 것이 일반적이다. 이외에 내부 PC에서사용 중인 특정 애플리케이션의 업데이트 서버가 해킹당한 경우 이 업데이트 서버 접속을 통해 내부 PC가해킹 당하는 경우도 존재한다.
웹 서버나 내부 PC가 감염당하게 되면, 이를 통해 기업 내부 시스템에 접속이 가능하기 때문에 DB서버나업무 서버 접속을 통한 정보 유출, 통합 서버 존 접속을 통한 내부 시스템 장악 및 파괴등 의 내부망을통한 2차 해킹이 발생하게 된다.
해킹 사례들을 얼핏 보면 다양한 경로를 통해 해킹이 이루어지는 것 같지만 막상 분류를 정리해보면 이분류를 크게 벗어나지 않는다.
■ 웹 위협 사례
그럼 그동안 이슈가 되었던 주요 해킹 사례들을 이 유형들과 비교하여 한번 살펴보도록 하자.
2008년 2월 1000만건이상의 개인정보 유출이 발생한 옥션 해킹 사건의 경우, 웹을 통한 웹 서버 해킹 후 DB 서버에 접속, 개인정보를 유출한 것으로 밝혀졌다. (출처 : 전자뉴스 ‘[100대사건_077] 대규모 개인정보 유출 사고 <2008년 2월>’)
2011년 7월 3500만건의개인정보가 유출되었던 네이트(SK 컴즈) 해킹 사건의 경우, 해킹된 알집 업데이트 서버에 웹을 통해 접속한 내부 PC들이 감염되고, 이 내부 PC로부터 DB 서버접속을 통해 개인정보가 유출된 것으로 밝혀졌다. (출처 : ZDNET‘네이트 해킹…네티즌 정보 거의 다 털렸다’)
2012년 5월 200만건의개인정보 유출이 발생한 EBS 해킹 사건의 경우, 웹사이트게시판 취약점을 통한 웹 서버 해킹(웹을 통한 웹쉘 업로드)을통해 공격이 이루어졌다. (출처 : 이데일리 ‘EBS, 홈페이지 해킹으로 400만 회원 개인정보 유출’)
또 최근에 금융, 언론사 해킹으로 크게 이슈가 되었던 2013년 3월 20일에발생한 3.20해킹의 경우에는 1차 해킹 방식으로 웹을 통한웹 서버 해킹 및 내부 PC 해킹 방식이 모두 사용된 것으로 추정된다.먼저 웹사이트 게시판 취약성을 이용한 웹서버 해킹으로 1차 및 2차 C&C(명령제어) 서버를확보했고, 동시에 악성코드를 통해 목표 기업의 내부 PC를감염 시킨 것으로 확인됐다. 다음으로는 C&C 서버를통해 내부 정보 수집을 위한 추가 악성코드를 감염시킨 내부 PC에 배포하였고, 그 후 업데이트 관리서버를 감염시켜 파괴 악성코드를 배포, 기업내부 시스템을 파괴하였다. (출처 : NSHC ‘3.20 사이버테러사고 분석 보고서’)
웹 보안 위협의 유형 및 최근 사례들을 살펴보았는데, 여기서확인할 수 있듯이 최근 이슈가 되었던 사이버 공격들의 경우 모두 웹을 통해 공격이 이루어지고 있다는 것을 알 수 있다.
다음 연재에서는 웹 보안을 잘 구축하기 위해 보안 담당자들이 꼭 알아야 할 정보들을 공유하고, 기업내 웹 보안을 잘 구축할 수 있도록 도와줘 보다 신뢰할 수 있는 열린 웹 공간을 만드는데 일조하고자 한다.