민·관 홈페이지를 해킹한 후 해커가 홈페이지 서버를 관리자처럼 마음껏 조정하기 위해 심어놓은 해킹도구인 웹셀(web-shell)에 감염된 국내 도메인수가 약 4만여개에 달한 것으로 조사됐다. 또, 국내 약 9000여대 이상의 서버들이 웹쉘에 감염된 채 웹 호스팅 서비스를 제공, 개인정보 사각지대로 지목되고 있다. 최근 중국 해커와 공모해 1300만건 이상 개인정보를 유출시킨 사고에도 웹쉘이 이용된 바 있기 때문이다.
e메일 스팸 차단전문 솔루션 업체인 이월리서치(대표 김종모)는 지난달 말 기준으로 실제 해커의 공격이 들어왔던 IP를 대상으로 웹쉘 감염여부를 조사한 결과, 유명 통신사업자, 케이블사업자, 대학, 쇼핑몰 등 다양한 기관에서 이같은 결과를 얻었다고 9일 밝혔다. .
이중 통신사업자 IP가 특히, 웹셸에 심각하게 노출됐다. 국내 최고 통신사업자인 A통신사업자의 경우 웹셸에 감염된 IP가 약 1225개에 이르며 B통신사의 경우도 약 1177개에 달하는 것으로 나타났다. 이외에도 웬만한 통신사업자들은 평균 약 200여개 이상의 웹셸에 감염된 IP로 웹 호스팅을 서비스하고 있다.
물론 인터넷데이터센터(IDC)에 입주한 개별 기업 IP가 감염된 경우 입주 기업명이 드러나지 않고 통신사업자 IP만 드러나는 경우가 많기 때문에 이러한 결과가 나왔지만 그만큼 국내 웹셸 감염 상태가 심각하다는 방증이다.
또, 국내 대부분의 대학교에서도 20여개 이상 IP에서 웹셸이 발견됐다. 또 쇼핑몰, 포털 등들 전 산업 분야에서 웹셸에 의한 피해가 심각한 수준인 것으로 나타났다.
이월리서치 황건순 부사장은 “국내 인터넷사용자들의 심각한 위험요소중에서 별다른 대책없이 방치되고 있는 것중의 하나가 바로 웹셸이라 불리는 웹 서버 해킹”이라며 “웹셸은 대부분 게시판의 취약성을 이용해 침투하거나 보안을 고려하지 않은 자료업로드 기능을 통해 침투하기 때문에 공개 게시판 소프트웨어가 많이 사용되는 국내의 경우 세계에서 웹셸 보유량이 단연 많다”고 설명했다.
하지만 문제는 웹셸이 안티 바이러스 프로그램 등으로도 감염 사실을 알아낼 수 없어 관리자들이 쉽게 감염 사실을 눈치채기 어렵다는 점이다.
황 부사장은 “대부분 웹셸에 대해 심각하게 생각하지 않고 서버에서 웹셸이 발견되도 파일 한두개 삭제하는 등의 조치로 마무리되는 경우가 많다“며 “그러나 이런 단순조치는 다시 공격의 대상이 돼 얼마 지나지 않으면 다시 해킹되는 경우가 무한반복된다”고 경고했다.
그는 “현재 한국인터넷진흥원 등에서 웹셸을 막을 수 있는 ‘휘슬’이란 솔루션 등을 배포하고 있지만 근본적인 치유가 불가능하고 제거 기능이 약하다”며 “게시판 개발자 등을 대상으로 전반적인 교육이 시급하다”고 말했다.
황 부사장은 “최근 문제가 된 개인정보 보호 문제나 각종 공격에서 웹셸의 문제를 없애기 위해서는 웹서버에 대하여 전문적인 보안 관리 조치가 절실한 상황”이라며 KISA에서 안티 웹셸 기능을 강화한 솔루션을 내놓아야 하다고 지적했다. 나아가 안티 바이러스 업체같은 안티 웹셸 전문 솔루션도 필요하다는 지적이다.
◆용어설명=웹셸
서버를 해킹하는 가장 훌륭한 도구중 하나로 공격자가 원격에서 대상 웹서버에 명령을 수행할 수 있도록 작성한 웹 스크립트(asp, jsp, php, cgi) 파일이다. 공격자는 웹셸을 대상 서버에 업로드한 후 웹을 이용하여 시스템 명령어를 수행하므로 네트워크 방화벽의 영향을 받지 않고 서버를 제어할 수 있다. 웹셸은 웹페이지 소스코드 열람, 악성스크립트 삽입, 파일 업로드, 서버 및 데이터베이스 자료 유출 등의 다양한 공격이 가능하다.
분산서비스거부(DDoS) 공격에 동원되는 좀비 PC의 경우 PC에 봇넷 등의 악성코드가 설치돼 원격에서 공격자의 명령대로 특정 사이트를 마비시킬 정도의 트래픽을 발생시키는 것이다. 반면 웹셸은 홈페이지 서버 등에 설치돼 공격자가 원격에서 개인정보 유출 및 스팸메일 발송 등이 가능하다.
장윤정기자 linda@etnews.co.kr