'안철수연구소'에 해당되는 글 2건

  1. 2010.06.22 안연구소의 '웹쉘 탐지 관제 서비스', 방향이 틀렸다! (5)
  2. 2007.09.20 V3, CC 인증 획득. 축하~
결론: 돈을 버는 수단일 뿐, 고객의 위한 목적은 아니다. 고객은 여전히 문제점에 직면해 있을 것이고, 해결이 요원하다.

필자가, 서두에 결론을 내린 이유는 무엇인지 이제 하나씩 설명하고자 한다. 좀더 간단하게 설명하기 위해 플랫폼은 윈도우(서버군)로 한정한다.

먼저 웹쉘이 무엇인지 알아 보자.

웹쉘이란 공격자가 원격에서 대상 웹서버에 명령을 수행할 수 있도록 작성한 웹 스크립트 (asp, jsp, php, cgi) 파일이다. 이때 zip, jpg, doc와 같은 데이터 파일종류 이외에 악의적으로 제작된 스크립트 파일인 웹쉘을 업로드하여 웹 서버를 해킹하는 사고가 빈번히 발생하고 있다. 최근에는 파일 업로드뿐만 아니라 SQL Injection과 같은 웹 취약점을 공격한 후 지속적으로 피해시스템을 관리할 목적으로 웹쉘을 생성 한다.

(출처: http://dolhead.springnote.com/pages/1813084 무단 발췌)

즉, 웹쉘은 서버 상에 파일을 업로드하는 것으로 서버의 파일 시스템 입장에서 살펴 볼 때에는 단순히 파일이 생성 또는 변경되는 것으로 여겨진다.


자, 그렇다면 이 웹셀을 탐지하기 위해서는 어떤 서비스 제품이 가장 적격일까?

정답은 바로 안티바이러스(보통 백신)이다. 안티바이러스 제품에는 실시간으로 파일 시스템을 감시하는 실시간 보호(상주 보호) 기능을 제공한다. 안티바이러스에서 웹쉘의 패턴을 인식하여 이를 악성 프로그램(바이러스)라고 진단하여 처리(삭제 및 관리자에게 통보)하면 그만일 뿐이다.

이러한 응용 방식에 대해서는 아래의 자료를 참고하도록 한다.

바이러스 발견시 관리자에게 이메일 경고 전송
http://www.avast.co.kr/625

이러한 예로 국내 네이버카페에 최근에 올라온 웹셀 코드에 대한 어베스트! 안티바이러스 제품의 진단 화면이다.


http://www.virustotal.com/analisis/d98aa10d5116d69f727dce093858e3b184fbedc0c13e8e5006343c49f45fcbf3-1275711219 (이 검사는 6월 5일 진행된 것으로, 최근에 진단 결과가 추가됐을 수도 있음)


자, 지금까지 언급한 웹쉘 코드에 대한 해결책에 대해 정리해 보자.

  •  웹쉘의 진단 및 해결은 안티바이러스 수준에서 처리해야 한다.
  •  웹쉘은 소스이므로, 간단히 변조가 가능하다. 따라서 안티바이러스 수준에서 100% 처리한다는 것은 불가능하다.

필자는 결론적으로 불가능하다고 앞서 언급했다. 그렇다면 어떻게 해야 보다 완벽하게 웹쉘을 차단할 수 있을까? 라는 의문을 가질 수 밖에 없다. 가장 먼저 고민해야 할 부분이 바로 웹쉘이 어떠한 방식으로 업로드되는지 원인인 침투 경로를 검토해 보자.


<이 화면은 모 웹쉘탐지 솔루션의 제안서에서 무단 발췌하여 올렸으나, 해당 사의 요청으로 인해 삭제하였음.>
 

자세히 살펴보면 결론이 딱 보인다.

바로 소스 상의 문제를 해결하면 웹쉘의 문제점을 거의 대부분 해결할 수 있다. 즉,  웹 애플리케이션을 개발할 때에 보안에 염두를 둔 시큐어 코딩(Secure Coding)를 염두에 두고 애플리케이션을 개발해야 한다는 것이 필자의 결론이다.

보안 관제 서비스. 좋은 상품이고 서비스이다. 하지만, 소스 상의 문제점에 대해서 등한시 하는 보안 관제 서비스는 하나마나한 상품임을 명심해야 할 것이다. 물론, 보안 관제 회사도 이러한 부분을 모르고 있지는 않다. 그렇지만 해결하려고 하지 않는다. 돈벌이 감이 떨어지는 것을 우려하는 것은 아닌지 모르겠다.

PS: 악성 코드를 삽입하는 침투 경로에는 위에서 언급한 사항 이외에도 많으며, 예를 들면, 파일 시스템의 권한에서 부적절한 설정 등이 원인이 될 수 있다는 점을 알려 드립니다.


reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    요즘 안철수 연구소가 빛자루를 내놓고 야심차게 사업을 전개하다가 네이버의 무료 백신으로 인해 약간 머뭇거리는 모습을 보였습니다만,

    이번에 EAL4 등급으로 CC 인증을 획득했다는 반가운 소식입니다. 자세한 내용은 아래 링크를 참고하세요.

    기사: 뉴스와이어


    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus


      Web Analytics Blogs Directory