1년새 2배 된 '웹셀 공격' 비중…SK쉴더스 "초기침투만 집중 안 돼"
2023.05.24 19:47
수정 : 2023.05.24 19:47기사원문
(서울=뉴스1) 오현주 기자 = 지난해 '웹셀'(Webshell) 활용 공격 비중이 전년 대비 2배로 증가한 것으로 나타났다. '웹셀'은 공격자가 원격으로 웹서버를 제어할 수 있는 악성코드를 말한다.
김성동 SK쉴더스 탑서트(Top-CERT) 담당은 24일 오후 SK쉴더스 판교 사옥에서 보안 세미나를 열고 "(사이버 공격) 거점 확보단계에서 웹쉘을 활용한 공격이 매년 늘고 있다"며 "(웹셀 공격 비중이) 2020년 20%, 2021년 26%에서 2022년에는 52%로 크게 증가했다"고 말했다.
'웹쉘'은 △jsp △php △asp 같은 명령어 코드로 구성된다. 따라서 해커가 웹 서버에 명령을 실행해 관리자 권한을 획득한 뒤 기업 내 중요정보를 확보할 수 있다.
'웰쉡' 활용 공격은 전통적인 해킹 수법이다. 2021년 서울대병원 개인정보 유출 사고 역시 '웹쉘 공격'에서 비롯됐다.
'웹쉘' 공격이 계속되는 배경으로는 기업들이 '초기 침투'에만 집중하는 점이 꼽혔다.
김성동 담당은 "현재 기업들은 '초기 침투가 아예 들어오면 안 돼'라는 가정하에 (초기 침투만) 막아내려고 하고 있다"며 "이제 클라우드 전환이 계속되는 만큼 (해커의) '거점확보'부터 '지속실행' 단계까지 모두 신경 써야 한다"고 말했다.
일반적으로 APT(지능형 지속위협) 공격은 △초기 침투 △거점 확보 △권한 상승 △내부 정찰 △내부 이동 △지속 실행 △목표 달성 순으로 흐른다. 기업이 침해 사고의 전반적인 과정을 살펴야 한다는 게 SK쉴더스 측 설명이다.
김 담당은 "여러 애플리케이션(앱)이 계속 늘어나면서 '초기 침투'는 가장 막기 어려운 영역이 됐고, 큰 기업도 뚫릴 수 밖에 없다"며 "(침해 사고 과정을) 조금 더 면밀하게 볼 수 있어야 한다"고 말했다.
또 기업들은 신규 취약점과 국내 솔루션 취약점 급증을 주목해야 한다.
취약점 분석 사이트인 씨브이 디테일스(CVE Details)에 따르면, 지난해 취약점(2만5727건)수는 전년(2만171건)대비 25% 증가했다. 또 SK쉴더스 탑서트가 맡은 침해사고에서도 지난해 취약점 악용 공격이 전년 대비 50% 상승했다.
랜섬웨어 공격 역시 주의가 요구된다. 랜섬웨어는 랜섬(ransom·몸값)과 멀웨어(malware·악성 코드)를 합친 말로, 컴퓨터 데이터에 암호를 걸어 사용 불능 상태로 만든 뒤 현금 또는 암호화폐를 뜯어내는 공격이다.
최근에는 'Go'(고)·'Rust'(러스트) 처럼 보기 드문 언어로 개발된 랜섬웨어가 나올 만큼, 수법이 치밀해지고 있다. 'C/C++' 같은 유명 언어와 결이 다르다.
김 담당은 "해커가 개발 언어를 재활용하지 않고 별도의 노력을 들이는 이유는, (침해 대응 전문가가) 분석을 어렵게 하도록 하기 위한 것"이라며 "지난해 국내 기업만을 타깃으로 한 '귀신'(GWISIN) 랜섬웨어가 맹위를 떨치기도 했고, 랜섬웨어가 계속 증가할 것"이라고 말했다.