안녕하세요.
이호스트데이터센터 IDC컨설턴트 지게꾼입니다.
요즘들어 보안에 대한 침해사고가 많이 발생하는 것 같습니다. 수천대를 운영하는 저희 입장에서 보안관제 모니터링에 수집도 되고, 외부 사이버수사대에서도 요청이 오고, 고객사를 통해서 페이지가 변조되었다.식의 침해사고들이 끊이지 않고 있습니다.
오늘은 서버호스팅 , 코로케이션 고객들 중에서 보안관련해서 문의내용 중 빈도수가 높은 키워드로 "웹쉘"에 대해서 알아보도록 하겠습니다.
웹쉘은 웹취약점의 한 종류인 업로드 취약점을 통한 시스템 접근권한에 따른 명령을 내릴 수 있는 코드를 말하며,
대상 웹 서버에 명령을 수행 할 수 있도록 작성한 웹스크립트(asp, jsp, php, cgi) 파일로, 웹 브라우저를 이용하여 원격에서 대상 웹 서버(WAS포함) 공격하며, 홈페이지 위변조, 데이타베이스 개인정보 탈취, 웹 서버 파일 시스템 공격 등의 심각한 피해를 줄 수 있는 악성코드 입니다.
좀더 자세하게 기본정의를 짚어보고 넘어가도록 하겠습니다.
웹 셸(web shell)은 업로드 취약점을 통하여 시스템에 명령을 내릴 수 있는 코드를 말한다. webshell은 간단한 서버 스크립트 (jsp,php,asp ..)로 만드는 방법이 널리 사용되며 이 스크립트들은 웹서버의 취약점을 통해 업로드 된다. 웹셀 설치시 해커들은 보안 시스템을 피하여 별도의 인증없이 시스템에 쉽게 접속 가능하다.
(웹이 서버에서 구동되고 있다 하여도 취약점이 존재하지 않으면, 수행되지 않으며 만약 업로드되었다 하더라도 실행 권한이 없으면, 실행이 되지 않는다. 하지만 취약점과 실행권한이 존재할 때는 서버 내부에 명령을 수행할 수 있으므로 침해 범위가 넓어 질 수 있다.) - 위키백과 참조
보안이 해킹보다 선행되어 갈 수 없는 것이 새로운 해킹기법 및 어플리케이션이 업데이트 되면서 발생하는 취약점을 통해 "제로데이 Attack"이 발생하고 침해사고가 발생과 동시에 보안패치가 발표되기 때문에 보안이 우선하여 방어할 수 없는 부분은 있습니다.
하지만, 우리가 할 수 있는 보안의 정책들을 수립하면서 웹취약점 웹쉘을 방어하시길 바랍니다.
Web Shell(웹쉘) 업로드 취약점 보안방안
1. 업로드 확장자 제어
가장 쉽고, 빠르게 적용할수 있는 방법으로, 기본적은 보안 설정이라고 하겠습니다.
파일 업로드가 불필요할 경우 업로드 기능을 완전히 제거하고 업로드가 필요한 경우 확장자를 제한합니다. 이미지 게시판인데,
굳이 웹스크립트파일에 대해서 업로드 허용할 필요가 없게 됩니다.
확장자를 제한 할시에는 특정 확장자를 막는 것 보다 특정 확장자만 되게 하는 것이 더 안전합니다.
하지만, 이또한 확장자 변조를 통해 업로드 성공 후 웹스크립트 웹셀파일로 변경이 가능하므로, 완벽한 보안은 아니지만,
기본적으로 수행해야하는 보안수립정책입니다.
2. GeoIP를 활용한 해외아이피 차단
만약, 웹서비스를 국내에서만 하신다면, 굳이 해외아이피를 모두 허용하실 필요는 없습니다. 그렇지않고, 해외비지니스도 하고
계시다면 어쩔 수 없지만, 국내 유저들 대상으로 WWW서비스를 운영하신다면, 지금 당장이라도 해외아이피에 대해서 차단하는
것이 효과적이라고 생각됩니다. GeoIP는 간단하게 서버단에 설치할 수 있는 무료데몬입니다. 호스팅을 받고 계신 사업자를
통해 기술지원 요청을 하시면 어렵지않게 설치가능합니다. (IDC업체마다 기술지원료를 받는 곳도 있으니 참고 바랍니다.)
국내 IP로도 물론 해킹시도가 발생하지만, 글로벌 국가에서의 공격 유입 건수가 상당량 많은것이 객관적인 사실입니다. 따라서,
해외IP에 대해서 차단하는 것이 효과적이라고 생각됩니다.
3. 웹방화벽을 통한 실시간 탐지, 차단
웹셀뿐만 아니라 OWASP TOP10, 국정원 8대 취약점등 80프로토콜을 통한 다양한 웹취약점 공격을 실시간으로 방어할 수 보안
솔루션 입니다. 제가 웹방화벽에 대한 포스팅을 게시한 내용이 있기에 여기서 더이상 자세한 설명은 하지 않도록 하겠습니다.
(웹보안 관련 포스팅 : 오늘도 웹서버는 웹공격시도를 당하고 있다는 사실~ 링크 : http://webzero.tistory.com/801 )
4. 쉘모니터 보안을 통한 차단
쉘모니터(ShellMonitor)는 APT 공격을 통해 대량 공격을 가능하게 해주는 웹 서버 악성코드(웹쉘) 및 악성 URL을 실시간으로
탐지 및 검역하여 웹 서버 및 WAS를 최종 보호해 주는 보안 솔루션 입니다.
서버호스팅, 코로케이션 고객들이 웹서버 침해를 당할만큼 당한 상태에서 웹보안 서비스로 웹방화벽 서비스를 받는 경우가 대부
분입니다. 그렇게 되면 아무리 고가의 웹방화벽 장비를 구축하더라도 차단하기 어렵습니다. 서버호스팅 고객분들은 웹방화벽 설
치하면 다 막는다고 해놓고 왜 또 침해사고가 있느냐라고 말씀주십니다. ㅠ.ㅠ 그때부터 통화는 길어지게 됩니다.ㅋㅋ
물론, 자세하게 설명을 드리면 이해는 하시면서 어떻게 해야하냐고 여쭤보게 됩니다.
웹쉘등을 통해서 웹방화벽을 거치지 않고 웹서버로의 우회 접근경로를 확보했기 때문입니다. 우린 개구멍이라고
부르죠..^^
웹방화벽을 도입전 서버 내의 악성코드를 찾아서 제거한 후 서버포맷과 함께 재설치 후 웹방화벽 적용이 가장 이상적이라고
생각됩니다. 포맷과 함께 재설치가 어려운 상황이 분명 많이 있습니다.
그때는 쉘모니터 서비스를 통해 숨어있는 웹셀 코드를 찾아냄과 동시에 악성코드 유포지URL탐지, 개인정보 탐지,
공격자 IP 탐지, 위변조 탐지등을 수행하게 됩니다.
쉽게 말해서 페이지 변조가 발생하면 자동으로 원복시키는 기능이 있습니다.
*** 한줄 광고 ***
*귀사의 서버에 보안침해를 경험하셨거나, 보안취약점 점검을 받아보시고자 하시는
고객사는(이호스트IDC 고객을 포함한 모든 서버를 보유한 고객대상)
-
언제든지 전화 및 메일주시면 보안취약성 점검을 통한
보안레포트를 제공해드리겠습니다.
'[IT 알아보기] > 보안 이슈' 카테고리의 다른 글
| Venom 가상화 임의코드 취약점 보안업데이트 권고 (0) | 2015.06.03 |
|---|---|
| 이호스트IDC, 2015년 5월 MS 보안 업데이트 (0) | 2015.05.20 |
| 이호스트IDC, 리눅스 Ghost취약점 보안 업데이트 권고 (0) | 2015.01.29 |
| 이호스트IDC, MS 보안 업데이트 보안 공지 (0) | 2015.01.15 |
| 실사례를 통해 보는 디도스공격 방어 story~ (0) | 2015.01.12 |