네이버클라우드 “웹 쉘, 사전 예방과 빠른 대응 필요해”

“웹 쉘은 사전 예방과 탐지가 필요하고, 만약 업로드 됐다면 탐지 후 대응하는 것이 중요합니다”

바이라인네트워크가 주최한 ‘클라우드 네이티브 시큐리티& 제로트러스트 컨퍼런스 2023’에서  이영훈 네이버클라우드 시큐리티 레드 팀 (Security Red Team) 시큐리티 애널리스트는 ‘클라우드 시대의 웹 서버 보안 : 웹 쉘 공격 위험과 대응 필요성’ 발표에서 이같이 말했다. 

웹 쉘은 웹 서버 내에서 시스템 명령을 내릴 수 있는 서브 스크립트 파일이다. 이 애널리스트는 “웹 서버에서 동작시킬 수 있는 프로그래밍 언어로 작성이 돼 있어 확장자가 프로그래밍 명이다”며 “다양한 확장자가 있어 공격자는 다양한 확장자로 변조해 업로드를 시도하고 있다”고 설명했다. php가 가장 많지만 공격자는 jsw, asp 등 다양한 확장자를 시도한다. 

웹 쉘을 주시해야 하는 이유에 대해 이 애널리스트는 “침해 사고에서는 대부분 웹 쉘이 포함돼있다”고 말했다. 그의 설명에 따르면 시스코 보안 부서 탈로스팀은 2023년 1분기 제일 많이 발견된 위협이 웹 쉘 위협인 것을 확인했다. 

또 “웹 쉘 악성코드가 랜섬웨어보다도 더 많이 발견된다”며 최근 많은 공격자들이 사용하고 있는 악성코드라고 설명했다. 랜섬웨어와 달리 만들기도 쉽고 만드는 데 드는 리소스 탭이 큰 효율을 낼 수 있기 때문이다. 그는 “생성AI 시대에 해커가 악성 코드를 쉽게 제작해 공격 효율을 극대화할 수 있다”며 웹 쉘에 대한 경각심을 높일 것을 촉구했다. 

공격자들은 주로 웹 애플리케이션 취약점을 이용해 업로드를 시도한다. 이 애널리스트는 “첫 번째로 웹 서버에 있는 웹 애플리케이션은 외부에서 접근이 가능하고 두 번째로는 접근 가능할 때 회원 가입이나 게시판 등 기능에서 제공하는 취약점을 이용해 웹 쉘을 언제 어디든지 쉽게 올릴 수 있다”고 말했다. 

이 때 웹 애플리케이션 취약점은 ▲필터링 기법을 역이용한 파일 업로드 ▲특정 파일명이나 사이트명을 입력 받아 하는 로딩을 역이용한 LFI/RFI 취약점 ▲데이터 SQL 내 파일 작성 쿼리를 악용한 SQL Injection 기법으로 정리된다.

이 때 웹 쉘이 웹 서버에 업로드되면 첫째로 내부망이동(Lateral Movement)이 가능하다. 공격자는 웹 쉘에서 시스템 명령을 수행, 웹서버와 통신할 수 있는 네트워크 구역을 스케일링할 수 있고, 이 때 얻은 정보를 기반으로 디스플레이도 가능하다. 더해 네트워크가 성공하면 웹 서버가 데이터베이스(DB) 서버에 있는 데이터 정보도 추출할 수 있다. 또 랜섬웨어까지 일으킬 수 있다.

이 때 보안 담당자들은 방화벽을 이용해서 웹 쉘을 탐지한다. 대개 일반적인 방화벽은 룰 기반이기 때문에 룰이 존재하는 웹 쉘에 대해서만 탐지 가능하다. 이 애널리스트는 공격자가 새로운 기술을 발견하면 룰을 기반으로 탐지할 수 없는 한계점이 존재한다”고 지적했다. 공격자들은 글로벌 변수 난독화, 함수 난독화 등으로 탐지를 우회하고 있다. 또 크게 IIS 모듈 방식의 웹 쉘과 DB 내 데이터 실행 방식의 웹 쉘로 나눠지는 파일리스 기법이 많이 사용되고 있다.

이 애널리스트는 웹 쉘의 위협에 대응하기 위한 네 가지 방법으로 ▲웹 애플리케이션 보안 패치 ▲웹 서버 보안 패치 ▲AV/IDS/WAF 보안 솔루션 적용 ▲웹 쉘 전용 보안 솔루션 적용을 소개했다. 이중 웹 쉘 전용 보안 솔루션은 실시간으로 알려지지 않은 웹 쉘을 탐지할 수 있다.

네이버클라우드에서도 웹 쉘 대응을 위해 ‘웹 쉘 비헤이비어 디텍터(Webshell Behavior Detector)’를 운영하고 있다. 지난 2021년 8월 처음으로 서비스를 출시해 멀티 환경을 지원, 최근에는 CSAP 인증을 받기도 했다. 이 애널리스트는 바퀴벌레 한 마리가 발견되면 더 많은 바퀴벌레가 있을 수 있다는 바퀴벌레 이론을 예시로 들며 IT 인프라에서도 적용 가능하다고 강조했다. 그는 웹 서버에서 php라는 웹 쉘이 발견됐다면 다른 서버 또한 침해 당할 가능성이 높고 악성 코드가 추가 설치될 가능성이 높다”고 설명했다.

웹 쉘 비헤이비어 디텍터는 룰 기반으로 탐지 가능한 타 보안 솔루션과 달리 기존 잘 알려진 웹 쉘에 더해 새롭게 제작한 웹 쉘까지 효과적으로 탐지가 가능하다고 강조했다. 이 애널리스트는 웹 쉘이 시행되면 웹 쉘 의심 행위가 발생되기 때문에 그 행위를 기반으로 신규 패턴을 가진 웹 쉘에 대해서도 효과적으로 초기 탐지가 가능하다”고 말했다. 이에 더해 악성 행위를 사전 탐지해 암호화가 적용된 웹 쉘이라도 모두 탐지가 가능하다고 설명했다. 그는 웹 쉘 비헤이비어 디텍터에 대해 네이버클라우드 콘솔에서 버튼만으로 손쉽게 대응 가능하고 오픈 API를 제공하기 때문에 효율적으로 자동 탐지할 수 있다”며 도입을 권유하는 대상에 대해서는 ▲웹 쉘 서버를 운영하는 이들 ▲결제 위험을 우려하는 이들 ▲비싼 솔루션 장비가 부담스러운 이들에게 추천한다고 덧붙였다.

 글. 바이라인네트워크
<성아인 기자> aing8@byline.network 

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다