Q1. 해킹을 당한 주소를 알 수 없는지요?
A1. 대부분의 해킹은 중국을 통해서 들어옵니다. 간혹 유럽이나 미국에서도 들어오기도 하지만 중국 이외의 국가라 할지라도 해킹하는 기본적인 방법들은 대부분 비슷합니다.
중국 중에서도 특히 베이징과 몇 몇 대도시인 경우가 많은데 이 IP 주소를 찾는다 할지라도 어느 나라 IP인 것만이 의미가 있지 그 이상의 의미는 없습니다. 왜냐하면 유동 IP일 경우 IP를 막는 것만으로는 결코 답이 될 수 없기 때문입니다. IP 한 두개를 막으면 될 것으로 판단하고 한 두개의 IP를 막아 보았지만 또 다른 IP로 동일한 해킹을 당한 경험은 누구나 한번쯤 경험해 보았을 것입니다. 막으려면 IP 한 두개로 막아서 처리될 것이 아니라, 해당 국가의 IP를 모두 찾아서 막아야 합니다. 이 작업을 이렇게 하다보면 나중에 남는 것은 한국의 IP들 뿐인데 한국 IP를 가졌다 할지라도 동일한 해킹 수법이 발견될 것입니다. 이는 한국에 소재하는 서버가 해킹 당한 후에 이 서버를 통해 다른 서버를 해킹하는데 이용되기 때문입니다.
Q2. 해킹을 하였다면 어느 정보를 해킹하였는지 알 수 있나요?
A2. 어느 정도의 기술로 어떤 내용을 해킹을 했는지는 알 수 없습니다. 최근의 웹 해킹을 보면 해킹 전후의 시간을 기준으로 웹사이트의 구조와 몇 몇 테이블 구조를 완벽하게 파악을 하고 있었습니다. 이후에는 DB를 백업받아서 통채로 전송시키는 행동까지 보이므로 어느 정도의 정보가 얼마나 해킹당했는지는 아무도 알 수 없습니다. 해킹을 당했다면 적어도 서버에 관련된 모든 정보(ID, 암호, Administrator 암호, SQL에 있는 SA 암호 및 SQL 계정 정보, DB 전체, 웹 소스 모두)가 노출된 것이라고 생각하면 틀리지 않을 것입니다.
Q3. 현재 사용 중인 웹서버의 취약점은 무엇이며 보안을 위해서 어떤 조치를 해야 하는지요?
A3. 요즘의 해킹은 SQL Injection과 XSS를 활용하는 방법과 같은 기술적인 문제이므로 패치를 통해서 사전에 예방하는 방법 밖에 없습니다. 그 다음으로 이런 해킹에 대응하는 가장 기본적인 방법은 방화벽, IPS, 웹방화벽 등과 같은 보안 장비를 모두 구하여 대비하는 것입니다. 비용적인 문제로 인해 위에서 나열한 모든 방법을 수용할 수 있는 회사 또는 개인은 많이 없을 것입니다. 보다 높은 수준의 보안을 원한다면 모든 로그를 남기고 이를 분석하는 것인데 모든 로그를 본다는 것은 현실적으로 불가능하며 가능하다 하더라도 높은 비용이 들기 때문에 사실상 사용할 수가 없습니다.
따라서 최소한의 비용을 들여서 해결하기 위해서는 하드웨어적인 방화벽 사용이 안 되는 업체나 개인은 윈도우 내에 내장된 방화벽과 백신, 그리고 공개 방화벽(WebKnight)를 설치하여 사용하는 방법 밖에 없습니다.
Q4. 매일 웹서버를 점검해 보았지만 해킹을 당하고 있다거나 해킹툴이 설치되어 있는지 몰랐습니다. 웹서버 점검시 특히 어느 부분을 먼저 주의해서 점검해야 하는지 알려 주시면 감사하겠습니다.
A4. 해킹 수법에는 대부분 정형화된 툴을 사용합니다만 해킹하는 사람에 따라 흔적이나 방법이 다릅니다. 또한 조합 가능한 툴도 상당히 많습니다. 툴이라는 점에서 어느 정도 규칙이 있다고 생각할 수 있지만 해킹 당한 서버에 뚜렷하게 어떤 증상이 있는 것은 아닙니다. 그에 따라 어느 정도 공통되고 치명적인 부분을 찾아서 막고, 그 이후의 해킹 진행을 막는 작업 순으로 막는 것이지 완벽하게 막을 수 있는 것은 아닙니다.
해킹 여부를 확인하는 가장 기본적인 방법으로는 네트워크 접속을 모두 확인하고, 띄워져 있는 모든 프로그램을 추적하며, 서버에 생성되는 모든 기록을 토대로 이를 분석하는 것입니다. 이런 로그 분석을 예로 들면, 웹해킹은 웹로그를 분석하여 해킹 수법이나 방법을 얻을 수 있는데, 이는 로그 분석기와 같은 프로그램으로 가능한 것이 아니라, 정상적인가 아닌가를 관리자가 한 줄 한 줄 읽고 해석하여 이상한 점을 발견하여 찾는 작업입니다. 웹해킹의 이후의 작업은 일반적인 해킹의 수법과 동일하므로 이후의 작업은 쉬운 편입니다.
|