hi.pe.kr 날으는물고기·´″°³о♡

해킹당한 웹서버 중 90% 이상 웹서버에서 웹셸 발견 
웹 보안의 기본은 웹셸 탐지 및 방어...웹셸 방어 솔루션 살펴보니

http://www.boannews.com/media/view.asp?idx=46468&kind=0

KISA 인터넷침해대응센터에 따르면, 해킹당한 웹서버 중 웹셸이 발견된 웹서버는 90% 이상이다. 지난해 2월 26일 의사협회 8만명, 치과의사협회 5만 6천명, 한의사협회 2만명 등 총 15만 6천명의 개인정보가 유출됐다. 이 3개 협회 홈페이지는 공격자가 악성코드를 웹사이트에 심어서 관리자 권한을 획득한 후, 웹셸을 이용해 개인정보를 탈취한 것으로 조사됐다. 지난해 3월 7일 113만명의 개인정보가 유출된 티켓몬스터의 경우에도 공격자가 홈페이지 게시판 등에 웹셸을 심어 해킹했다.

이와 같은 웹셸을 탐지하고 방어하기 위해서는 웹셸전용 보안 솔루션을 사용하는 것이 보다 효과적이다. 기존 네트워크와 서버 보안 체계에서 웹셸 탐지가 쉽지 않기 때문. 그 이유는 여러 가지인데, 일례로 방화벽의 경우에는 허용된 IP나 포트로부터의 공격은 방어하기 어렵다. 또 네트워크 계층에서의 유해성 검사를 진행하는 IDS/IPS의 경우에는 애플리케이션 취약성 공격에 대해서는 방어가 거의 불가능하다.

이에 많은 사람들이 이용하는 공공기관의 홈페이지는 웹 보안 강화는 필수적이다. 웹셸에 효과적으로 대응하기 위해서는 웹 애플리케이션 파일의 임의 생성 및 변조를 실시간으로 탐지해야 하고 탐지 즉시 처리할 수 있어야 한다. 특히 ASP, JSP, PHP 등 다양한 웹 스크립트 탐지를 지원하고 지속적인 R&D를 통해 진화하는 웹쉘 탐지 패턴을 보유할 수 있어야 한다. 또한, 상시 모니터링으로 취약점을 제거하고 웹사이트의 개발·운영 전반에 걸쳐 보안을 강화해야 한다.

▲ 국내 주요 웹셸 탐지·방어 솔루션 업체 및 제품(업체명 가나다순)

출처 : 보안뉴스

사물인터넷의 구글인 쇼단, 취약점 노출로 인해 해커와 테러리스트의 놀이터가 되다

http://www.itworld.co.kr/news/91437

쇼단(Shodan) 검색엔진을 이용하면 백도어가 노출된 라우터, 안전하지 못한 웹캠, 기본값 비밀번호를 사용하는 산업 제어 시스템 등을 찾을 수 있다.

쇼단은 사물인터넷을 위한 '구글'이자, 해커와 테러리스트의 놀이터이며, (어쩌면) 기업들이 자신의 환경을 잠글 때 유용하게 이용할 수 있는 툴이다.

쇼단의 창업자인 존 메테리는 5년 전, 기업들에게 제품이 사용되는 장소와 방법에 대한 정보를 제공하는 시장 정보 툴(Market intelligence tool)로 이 검색엔진을 발표했다.

메테리는 "물론 실증적 데이터를 이용, 경쟁 업체의 시장 포지셔닝을 더 잘 이해할 수 있는 정보를 질의해 얻을 수도 있다"고 설명했다.

그러나 발표 이후 이 검색엔진은 '스스로의 삶'을 살기 시작했다.

이에 대해 메테리는 "보안 전문가들이 인터넷을 더 잘 이해하는데 유용한 툴이 됐다"고 말했다.

공개 웹사이트는 쇼단이 검색할 수 있는 많은 것 가운데 일부에 불과하다. 기업 고객들은 수집하는 데이터 일체에 대한 실시간 액세스를 구입할 수 있다. 예를 들어, 쇼단을 이용해 기업 내부 네트워크를 검색할 수 있다.

메테리는 "대기업에는 도급업체나 협력업체가 제대로 설정하지 못한 상태에서 온라인에 연결된 자동화 시스템이나 텔넷이 실행되는 컴퓨터들이 있다. 게다가 클라우드 컴퓨팅이 증가하면서, 인증 체계가 없어 콘텐츠가 인터넷에 유출될 수 있는 클라우드 서버가 크게 증가하고 있다"고 말했다.

기업들은 또 쇼단을 이용해 함께 사업을 할 계획을 갖고 있거나, 인수를 하고자 하는 회사의 보안을 점검할 수도 있다.

그리고 범죄자들이 이용하는 악성코드 C&C 서버(Command and Control Server)를 발견할 수도 있다. 이 작업은 통상적으로 집중적인 시간 투자가 필요한 프로세스다. 메테리는 "그러나 쇼단을 이용하면 아주 쉽게 파악할 수 있다"고 설명했다.

미국 미네아폴리스에 본사를 둔 매니지드 보안 서비스 공급업체인 넷시큐리스(Netsecuris Inc.) 대표이자 CEO 레오나르드 제이콥스는 "쇼단이 위협이 된다고 생각하지는 않는다. 우리는 쇼단을 고객들에게 유용한 도구로 활용한다. 다른 기법을 통해 발견한 것을 확인하는데 쇼단을 이용하고 있다"고 말했다.

원칙적으로, 기업은 인터넷에 노출된 장치와 시스템을 전부 파악해야 한다. 그러나 편리함을 추구하느라 이런 원칙을 무시하는 경우가 있다. 제이콥스는 "실제 사례를 보면 놀랄 것이다"고 말했다.

쇼단, 악의 축?
공격자들 또한 쇼단을 통해 특정 장비나 특정 소프트웨어를 재빨리 발견할 수 있다.
캐나다의 보안 컨설팅 업체인 택티컬 인텔리전스(Tactical Intelligence Inc.)의 파트너 쉐인 맥두갈은 "예를 들어, 해커들은 전체 인터넷을 뒤지지 않아도, 쇼단에서 특정 시그내처를 찾아 웹에 연결된 모든 퍼비(Furby)를 재빨리 발견할 수 있다"고 말했다.

바르엘은 "쇼단은 단지 취약점을 알려줄 뿐이다. 물론 해킹 공격에서 취약한 노드를 감지하는 것이 중요하다는 점에는 이견이 있을 수 없다. 그러나 해커들은 쇼단이 개발되기 훨씬 이전부터 자동화된 크롤러(Crawlers)로 이를 수행할 수 있었다"고 말했다.

또한 대다수 보안 전문가들은 취약점을 발견하고 난 이후에는 이를 숨기기보다 공개하는 것이 낫다는 점에 동의했다.

바르엘은 "취약한 시스템을 이용하는 사람들은 이런 취약점을 알 권리를 갖고 있다"고 강조했다. 그래야만 취약한 시스템을 제공한 개발업체를 교체하는 등 조치를 취할 수 있기 때문이다.

바르엘은 "상용 제품에서 발견된 취약점을 공개하는 것은 개발업체들이 이를 고치도록 유도할 수 있는 효과적인 방법이 된다"고 덧붙였다. 또한 "개발업체들이 제품의 보안 문제를 몇 달 또는 몇 년 동안 무시했다가, 공개가 되고 난 이후에야 이를 바로잡았던 사례가 많았다. 사실 해결되지 않은 취약점은 시한폭탄이나 다름없다"고 덧붙였다.

쇼단의 메테리는 "범죄자들은 이미 가용한 툴들을 보유하고 있다"고 말했다. 쇼단 웹사이트는 사용자가 계정을 등록하도록 요구하고 있다. 또한 첫 검색만 무료다.

출처 : itworld.co.kr

개요

• 최근 미국 영화社 해킹 사고에서 SMB 웜 도구를 이용하여 공유 폴더 및 시스템의 아이디 및 패스워드가 
  유출됨에 따라 국내 출현 가능성에 대비 주의 필요[1]

영향 받는 소프트웨어

• Microsoft Windows 모든 운영체제

해결 방안

• 사용자의 경우, 악성코드로 인한 피해 예방을 위해 백신을 설치하고 최신 업데이트 상태로 유지
• 취약점을 통해 악성코드가 전파되는 것을 방지하기 위해 운영체제와 응용 프로그램을 최신 업데이트
  상태로 유지
• 공유 폴더 사용을 자제하고 취약한 패스워드보다는 영문, 숫자, 특수문자를 조합한 8자리 이상의 
  비밀번호 설정 권고
• 기업 시스템 관리자의 경우, 444번 및 445번 포트 모니터링 및 해당 SMB 웜 도구를 이용하여 전파되는 
  하드디스크 파괴형 악성코드에 의한 시스템 파괴에 대비하여 정보자산 접근통제, 모니터링, 복구 등 침해
  사고 예방 및 대응 방안 마련 필요(US-CERT 권고 사항 참조[2])
   ※ SMB 웜 도구를 통해 유포되는 악성코드 유형별 스노트 룰은 US-CERT권고사항 참조[1] 

용어 정리

• SMB(Server Message Block) : Microsoft社 윈도우즈 및 도스 운영체제에서 폴더 및 파일 등을 공유하기 위해 사용되는 메시지 형식

기타 문의사항

• 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] https://www.us-cert.gov/ncas/alerts/TA14-353A
[2] https://www.us-cert.gov/ncas/tips/ST13-003

(참고자료)