"서버 관리자, 이것만은 꼭 확인하세요"

입력: 2013-03-07 13:17 신동규 기자

폰트

한국인터넷진흥원(원장 이기주)은 7일 서버 관리자를 대상으로 해킹을 당한 홈페이지에서 나타나는 주요 증상과 해킹 여부 확인법 등을 안내하고, 주기적인 서버 점검 방법을 소개했다.

해킹을 당한 서버에서 홈페이지 이용 및 관리상 특별한 이상이 나타나지 않아 해킹을 당한 사실을 알아채기 어렵다. 많은 경우 정보 유출 및 악성코드 유포, 분산서비스거부(DDoS) 공격 수행 등 피해가 확산된 후에야 해킹 사실을 인지하게 돼 무엇보다 서버 관리자들의 수시 점검이 중요하다는 지적이다.

인터넷진흥원에 따르면, 2012년 한해 진흥원에 신고된 홈페이지 해킹사고 200여건을 분석한 결과, 해킹당한 홈페이지에서 발견되는 주요 증상은 △웹쉘(해커가 설치한 비밀통로 역할 수행 악성 프로그램) 설치 △리눅스 서버 시큐어쉘(원격관리에 이용되는 프로그램) 백도어 설치 △웹서버 동기화 프로그램을 통한 감염 및 정보유출 △관리자용 PC 감염 △가상 사설망 서비스의 자동실행 설정 △윈도우 서버 고정키 기능을 이용한 악성프로그램 실행 등인 것으로 나타났다.

우선 서버 관리자들은 웹쉘 등 악성파일 및 공격 프로그램 파일이 존재하는지를 점검해 관련 파일을 제거하고, 반드시 인터넷진흥원에 내용을 신고해 추가 해킹 범위 등을 분석해 봐야 한다. 웹쉘 예방을 위해서는 사용 중인 웹에디터 프로그램을 취약점이 없는 최신 버전으로 업데이트하고, 인터넷진흥원의 웹취약점 모니터링 점검 서비스 등으로 도움을 받을 수 있다.

또 시큐어쉘(SSH, Secure Shell) 백도어는 리눅스 서버에서 간단한 명령어를 통해 확인할 수 있다. 시큐어쉘은 원격관리에 사용되는 프로그램으로 공격자가 서버를 해킹해 관리자 권한을 획득한 후, 시큐어쉘 변조로 자신만의 비밀번호를 설정해놓아 언제든 쉽게 해당 서버에 원격으로 접속할 수 있다.

특히 관리자가 비밀번호를 변경해도 공격자는 시큐어쉘 백도어를 통해 관리자 권한을 획득할 수 있기 때문에, 시큐어쉘 백도어 설치 여부를 확인하고, 평상시 서버에 대한 보안 강화를 위해 지속적으로 노력해야 한다.

또 관리자용 PC가 해킹될 경우, 공격자는 관리자 권한을 획득해 다수 서버에 접속해 다양한 공격을 수행할 수 있어 큰 피해로 이어질 수 있다. 평소 백신 검사, 보안업데이트 등 관리자용 PC에 대한 보안점검을 철저히 하는 것이 중요하다.

박순태 인터넷진흥원 해킹대응팀장은 "홈페이지 해킹은 큰 피해를 낳을 수 있는 반면 악용 여부를 알아채기 쉽지 않아 서버 관리자들이 수시로 점검하고 관리하는 것이 중요하다"며 "해킹 증상이 있을 경우 신속히 국번없이 118번으로 전화 또는 홈페이지(www.krcert.or.kr)로 신고해 공격자의 최초 침투경로 및 피해 규모 확인을 위한 추가분석을 해야 한다"고 강조했다.

인터넷진흥원 툴박스 홈페이지(toolbox.krcert.or.kr)를 방문하면 웹쉘 탐지 프로그램 `휘슬(WHISTL)' 및 `원격 홈페이지 취약점 점검 서비스' 등을 무료로 신청할 수 있다.

신동규기자 dkshin@

서울특별시 중구 새문안로22
☎ 02) 3701-5500
등록번호 : 서울 아01699
등록일자 : 2011.07.15
발행일 : 2000.03.03
발행인/편집인 : 박학용

"서버 관리자, 이것만은 꼭 확인하세요"

이 시간 핫클릭

핫 이슈!