고객정보 유출 주범 ‘웹쉘’ 잡아라

스크립트파일 몰래 심어 원격조정
안철수 연구소, 보안솔루션 내놔

최근의 잇따른 대규모 개인정보 유출사고 대부분이 기업들의 웹서버에 몰래 심어진 해킹도구 ‘웹쉘’에 의한 것이라는 사실이 해킹서버에 대한 조사를 통해 하나 둘씩 드러나면서, 이에 대한 대비책이 요구되고 있다. 지난 2008년 2월 발생한 오프마켓 옥션 전체 회원 1863만명 개인정보 해킹, 지난 3월의 신세계백화점 인터넷 쇼핑몰 회원 등 2000만건 개인정보 유출, 지난 4월 발생한 국내 대출 사이트 등 1300만건 개인정보 유출 및 유통 사건 등 최근 2~3년 사이 일어난 대부분의 개인정보 유출사건에는 빠짐없이 웹쉘이라는 해킹도구가 등장했다.

‘웹쉘’(WebShell)은 웹문서(HTML)와 동일한 형식의 웹 프로그래밍 언어로 이뤄진 스크립트 파일로, 관리자 몰래 웹서버에 설치된 뒤 이를 심어놓은 공격자가 원격으로 명령을 내릴 수 있게 해주는 해킹도구다. 공격자는 웹서버에 몰래 웹쉘을 심어놓고, 한참 뒤에 이를 작동시켜 개인정보 유출이나 스팸메일 발송 등의 명령을 실행시킨다. 기존 보안시스템은 방화벽이나 침입차단 시스템 등 웹서버 앞단계에서의 공격 차단에만 주력한 탓에 이미 몰래 심어진 웹쉘 등이 활동하지 않은 채 잠복해 있으면 그 존재를 탐지해내기 어려웠다.

이와 관련해 안철수연구소는 웹쉘을 미리 탐지해 제거하는 기술을 국내 처음으로 개발한 보안업체 유엠브이(UMV)기술과 협력해, ‘쉘클린’이라는 보안솔루션을 내놓는다고 최근 밝혔다. 안철수연구소의 한 관계자는 “보안관제 서비스를 받고 있는 500여 기업들을 대상으로 한 최근 공격의 80~90%가량이 웹쉘로 이뤄지고 있다”며 “기존의 해킹방지 시스템에서는 완벽한 예방이 어려웠다”고 말했다.

방윤성 유엠브이기술 대표는 “그동안 웹쉘 감염사실을 제대로 알기 힘들었고, 발견한 이후에도 삭제 등의 미봉책으로 마무리해 피해가 되풀이됐다”며 “새로 개발한 기술은 실시간으로 웹쉘을 탐지하고 실행 흔적을 탐지해 모니터링할 수 있는 웹쉘 전용보안 대책”이라고 설명했다.

개인정보 유출사고를 예방하기 위해서는 주민등록번호 대신에 아이핀(iPIN)을 사용하는 것은 물론, 개인정보의 암호화, 보안서버 등의 도입과 더불어 웹서버를 겨냥한 웹쉘 등 새로운 침입 수단에 대해서도 기업 보안담당자들과 당국의 각별한 대책이 요구되고 있다. 구본권 기자