[웹 보안의 정석 1편] 사이버 공격? 웹 보안이 핵심

기업 네트워크 구성 및 웹 위협 유형

웹 보안의 중요성

우리가 일반적으로 인터넷이라고 알고 있는 웹은 과거에는 PC가 있는 장소에서만 사용할 수 있었지만, 스마트폰이 개발된 이후에는 장소에 구애받지 않고 스마트폰을 통해서도 사용할 수 있게 되었다. 여기까지는 많은 사람들이 알고 있는 내용이지만, 인터넷 익스플로러, 크롬, 사파리와 같은 인터넷 브라우저 뿐만이 아니라 카카오톡, 라인, 다음 카페, 모바일 게임 등과 같은 모바일앱들 또한 모두 웹을 통해 통신이 이루어지고 있다는 사실을 알고 있는 사람은 그리 많지 않다. 스마트폰에서 사용되는 모바일앱들은 각각 모양은 다르지만, 모두 기존의 인터넷과 동일한 웹을 기반으로 통신하고 있다.

결국 우리가 사용중인 스마트폰이나 태블릿의 통신은 모두 웹을 통해 이루어지고 있고, 이런 모바일 기기들이 대중화된 지금, 웹은 더이상 우리와 뗄레야 뗄 수 없는 관계가 되었다.

웹의 대중화와 더불어 기존의 오프라인 서비스들도 하나둘씩 온라인 서비스를 지원하게 되었고, 그 결과, 현재는 인터넷 뱅킹과 같은 금융 거래부터 등록증 발급 등의 민원 처리까지, 다수의 업무들이 모두 웹을 통해 서비스가 가능해졌다. 웹은 기존의 편리한 서비스라는 개념에서 벗어나 이제 우리 생활의 일부가 되었다.

하지만 웹이 대중화 되고, 많은 기업들이 웹을 통해 서비스를 제공하면서 기업의 자산을 노리는 사이버 공격 또한 웹을 주요 타겟으로 삼게 되었다. 이는 최근 이슈가 되고 있는 해킹들이 대부분 웹을 통해 이루어지고 있는 사실을 통해서도 확인할 수 있다. 웹은 기업의 중요 자산으로 연결되는 통로와 같기 때문에, 웹이 공격당하는 순간 개인정보 유출, 금전적 피해, 내부 시스템 파괴등 심각한 2차 피해로 이어질 수 있다.

또한 웹 공격의 경우 검색엔진에서 조금만 검색해봐도 손쉽게 공격을 시도할 수 있는 툴과 공격 방법까지 친절히 가이드가 되어 있는 동영상들을 확인할 수 있어, 웹 공격에 대해 잘 모르는 사람도 매우 쉽게 따라할 수 있기 때문에 그 위험도는 매우 치명적이다.

많은 기업들이 네트워크 방화벽이나 IDS/IPS와 같은 네트워크 보안 장비들을 중요하게 생각하고 이를 구비함에 따라 공격자들이 시스템에 직접 접근하기는 어려워졌다. 하지만 기업이 서비스를 제공하는 통로인 웹 서비스는 열어놓을 수밖에 없고, 이는 3년간 웹 애플리케이션에 대한 침해공격이 가장 많다는 결과를 통해 웹 보안의 중요성을 깨달을 수 있다. 하지만 많은 경영자들, 보안관리자들이 늘 새로운 보안 트렌드에 대해서 궁금해하면서도 정작 이 웹 보안을 잘 구축한 경우는 많지 않다. 웹이 생활의 일부가 된 지금, 웹보안은 선택이 아닌 필수이다.

이런 웹 보안을 잘 구축하기 위해서는 먼저 웹 위협의 유형이 어떤 것들이 있고, 해당 유형으로 공격을 당했던 해킹 사례들에 대해서 이해할 필요가 있다.

웹 위협 유형

웹 위협은 크게 외부망을 통한 1차 해킹과 내부망에서의 2차 해킹으로 분류된다.
1차 해킹을 통해 내부 시스템에 접근이 가능하도록 한 후, 내부 시스템을 통한 2차 해킹을 시도하는 식이다.
1차 해킹인 외부망을 통한 위협에는 크게 웹 서버 해킹과 내부 PC 해킹이 있다.

웹 서버 해킹은 일반적으로 웹사이트를 통해 이루어진다. SQL Injection등의 웹 공격을 통해 웹 서버를 해킹, 관리자 계정을 확보하여 내부 시스템으로 침투할 수 있는 발판을 만들 수 있다.

내부 PC 해킹은 내부 사용자의 실수로 웹사이트나 메일을 통해 악성코드가 설치되는 것이 일반적이다. 이외에 내부 PC에서 사용중인 특정 애플리케이션의 업데이트 서버가 해킹당한 경우, 이 업데이트 서버 접속을 통해 내부 PC가 해킹 당하는 경우도 존재한다.

웹 서버나 내부 PC가 감염당하게 되면, 이를 통해 기업 내부 시스템에 접속이 가능하기 때문에 DB서버나 업무 서버 접속을 통한 정보 유출, 통합 서버 존 접속을 통한 내부 시스템 장악 및 파괴등 의 내부망을 통한 2차 해킹이 발생하게 된다.

해킹 사례들을 얼핏 보면 다양한 경로를 통해 해킹이 이루어지는 것 같지만, 막상 분류를 정리해보면 이 분류를 크게 벗어나지 않는다.웹 위협 사례그럼 그동안 이슈가 되었던 주요 해킹 사례들을 이 유형들과 비교하여 한번 살펴보도록 하자.

2008년 2월 1000만건 이상의 개인정보 유출이 발생한 옥션 해킹 사건의 경우, 웹을 통한 웹 서버 해킹 후 DB 서버에 접속, 개인정보를 유출한 것으로 밝혀졌다.

(출처 : 전자뉴스 ‘[100대 사건_077] 대규모 개인정보 유출 사고 <2008년 2월>’)

2011년 7월 3500만건의 개인정보가 유출되었던 네이트(SK 컴즈) 해킹 사건의 경우, 해킹된 알집 업데이트 서버에 웹을 통해 접속한 내부 PC들이 감염되고, 이 내부 PC로부터 DB 서버 접속을 통해 개인정보가 유출된 것으로 밝혀졌다.
(출처 : ZDNET ‘네이트 해킹…네티즌 정보 거의 다 털렸다’)

2012년 5월 200만건의 개인정보 유출이 발생한 EBS 해킹 사건의 경우, 웹사이트 게시판 취약점을 통한 웹 서버 해킹(웹을 통한 웹쉘 업로드)을 통해 공격이 이루어졌다.
(출처 : 이데일리 ‘EBS, 홈페이지 해킹으로 400만 회원 개인정보 유출’)

또 최근에 금융, 언론사 해킹으로 크게 이슈가 되었던 2013년 3월 20일에 발생한 3.20해킹의 경우에는 1차 해킹 방식으로 웹을 통한 웹 서버 해킹 및 내부 PC 해킹 방식이 모두 사용된 것으로 추정된다. 먼저 웹사이트 게시판 취약성을 이용한 웹서버 해킹으로 1차 및 2차 C&C(명령제어) 서버를 확보하였고, 동시에 악성코드를 통해 목표 기업의 내부 PC를 감염 시킨 것으로 확인되었다. 다음으로는 C&C 서버를 통해 내부 정보 수집을 위한 추가 악성코드를 감염시킨 내부 PC에 배포하였고, 그 후 업데이트 관리서버를 감염시켜 파괴 악성코드를 배포, 기업 내부 시스템을 파괴하였다.
(출처 : NSHC ‘3.20 사이버테러 사고 분석 보고서’)

웹보안 위협의 유형 및 최근 사례들을 살펴보았는데, 여기서 확인할 수 있듯이 최근 이슈가 되었던 사이버 공격들의 경우 모두 웹을 통해 공격이 이루어지고 있다는 것을 알 수 있다.
우리는 이어지는 연재 기사들을 통해 웹 보안을 잘 구축하기 위해 보안 담당자들이 꼭 알아야 할 정보들을 공유하고, 기업내 웹 보안을 잘 구축할 수 있도록 도와줘 보다 신뢰할 수 있는 열린 웹 공간을 만드는데 일조하고자 한다.