‘휴대폰만 있으면 누구든지 해커가 될 수 있다(?)’
휴대폰으로 인터넷에 접속한 후 간단한 조작만 하면 서버를 제어할 수 있다는 사실이 밝혀져 충격을 주고 있다.
대부분의 사이트가 공격을 방어하기 위해 웹 방화벽 등을 갖추고 있지만, 휴대폰 웹서버라고 할 수 있는 WAP서버는 이러한 공격에 대비하고 있는 경우가 거의 없기 때문이다. WAP 파일 업로드를 이용하면 서버를 제어할 수 있는 웹쉘을 설치할 수 있어 이 프로그램을 설치한 후에는 아무 때나 휴대폰으로 웹서버를 조작할 수 있게 된다.
지난 주말 보안전문가들의 커뮤니티인 시큐어연구회(www.sislab.or.kr)는 서울 둘로스소극장에서 세미나를 열고 휴대폰으로 파일을 업로드해 서버를 조작하는 해킹을 시연했다.
시연에서 이경태 시큐어연구회장은 ‘WAP파일 업로드를 이용한 해킹’을 시연하기 위해 세미나 참석자 중 한 사람의 휴대폰을 빌려 웹쉘을 사용할 수 있는 사이트에 접속했다.
이 웹쉘은 자기가 원하는 대로 웹사이트 모습을 얼마든지 바꿔놓을 수 있는 해킹 프로그램이다. 일반 웹사이트의 경우 이를 막아놓지만 WAP서버는 이를 막아놓지 않아 쉽게 설치됐다. 이 쉘을 곧바로 웹 서버에 올리자 관리 권한을 취득하게 됐다.
문제는 웹쉘이 인터넷 검색만으로도 손쉽게 구할 수 있어 마음만 먹으면 누구나 쉽게 웹을 해킹을 할 수 있다는 점이다.
더욱 충격적인 것은 휴대폰을 이용해 침투할 경우 로그조차 남지 않았다는 점이었다. 이 때문에 해킹 자체는 물론 해커를 찾아내기도 쉽지 않다. WAP공격은 중국에 이어 일본에서도 확산되는 등 이에 대한 대비책이 심각한 상황이다.
이경태 회장은 “WAP을 공격할 경우 초등학생도 단 몇 분만에 서버 내용을 볼 수 있지만 그 누구도 WAP 보안책은 제시하지 않고 있다”며 “파일 업로드 금지하는 등의 정책을 세워야 할 것”이라고 말했다.
문보경기자 okmun@etnews.co.kr