2013.03.07

KISA, 해킹 서버의 주요 증상과 해킹 확인법 안내

편집부 | CIO KR
한국인터넷진흥원(KISA)이 서버 관리자를 대상으로 해킹을 당한 홈페이지에서 나타나는 주요 증상과 해킹 여부 확인법 등을 안내했다.

KISA에 따르면 해킹을 당한 서버는 내부 기밀 및 개인정보 유출, 악성코드 유포, 공격 조종서버 등으로 악용되고 있다. 최근에는 DDoS 공격의 명령과 공격을 동시에 수행하는 좀비 서버로 악용되는 등 피해의 범위와 규모가 큰 폭으로 증가하고 있는 추세다.

그러나 해킹을 당한 서버에서 홈페이지 이용 및 관리 상 특별한 이상이 나타나지 않아 해킹을 당한 사실을 알아채기 어렵다. 많은 경우 정보 유출 및 악성코드 유포, DDoS 공격 수행 등 피해가 확산된 후에야 해킹 사실을 인지하게 되어, 무엇보다 서버 관리자들의 수시 점검이 중요하다.

KISA에 따르면, 2012년 한 해동안 신고된 홈페이지 해킹사고 약 200여건을 분석한 결과, 해킹당한 홈페이지에서 발견되는 주요 증상은 ▲웹쉘* 설치 ▲리눅스 서버 시큐어쉘* 백도어* 설치 ▲웹서버 동기화 프로그램*을 통한 감염 및 정보유출 ▲관리자용 PC 감염 ▲가상 사설망 서비스*의 자동실행 설정 ▲윈도우 서버 고정키 기능*을 이용한 악성프로그램 실행 등인 것으로 나타났다.

서버 관리자들이 직접 점검해 볼 수 있는 해킹 탐지 및 예방 방법으로, ▲웹쉘(Web Shell)은 KISA의 ‘휘슬(WHISTL)*’ 프로그램을 이용해 쉽게 탐지 할 수 있다. 웹쉘은 해커가 설치해 놓은 비밀통로 역할을 하는 악성 프로그램으로, 최근 몇 년간 해킹당한 웹서버 중 90% 이상에서 발견될 정도로 많은 피해를 입히는 해킹도구다.

박순태 KISA 해킹대응팀장은 “홈페이지 해킹은 큰 피해를 낳을 수 있는 반면 악용 여부를 알아채기 쉽지 않으므로, 서버 관리자들이 수시로 점검하고 관리하는 것이 중요하다”며 “해킹 증상이 있을 경우, 신속히 국번없이 118번으로 전화 또는 홈페이지(www.krcert.or.kr)로 신고하여 공격자의 최초 침투경로 및 피해 규모 확인을 위한 추가분석을 해야 한다”고 강조했다. ciokr@idg.co.kr



2013.03.07

KISA, 해킹 서버의 주요 증상과 해킹 확인법 안내

편집부 | CIO KR
한국인터넷진흥원(KISA)이 서버 관리자를 대상으로 해킹을 당한 홈페이지에서 나타나는 주요 증상과 해킹 여부 확인법 등을 안내했다.

KISA에 따르면 해킹을 당한 서버는 내부 기밀 및 개인정보 유출, 악성코드 유포, 공격 조종서버 등으로 악용되고 있다. 최근에는 DDoS 공격의 명령과 공격을 동시에 수행하는 좀비 서버로 악용되는 등 피해의 범위와 규모가 큰 폭으로 증가하고 있는 추세다.

그러나 해킹을 당한 서버에서 홈페이지 이용 및 관리 상 특별한 이상이 나타나지 않아 해킹을 당한 사실을 알아채기 어렵다. 많은 경우 정보 유출 및 악성코드 유포, DDoS 공격 수행 등 피해가 확산된 후에야 해킹 사실을 인지하게 되어, 무엇보다 서버 관리자들의 수시 점검이 중요하다.

KISA에 따르면, 2012년 한 해동안 신고된 홈페이지 해킹사고 약 200여건을 분석한 결과, 해킹당한 홈페이지에서 발견되는 주요 증상은 ▲웹쉘* 설치 ▲리눅스 서버 시큐어쉘* 백도어* 설치 ▲웹서버 동기화 프로그램*을 통한 감염 및 정보유출 ▲관리자용 PC 감염 ▲가상 사설망 서비스*의 자동실행 설정 ▲윈도우 서버 고정키 기능*을 이용한 악성프로그램 실행 등인 것으로 나타났다.

서버 관리자들이 직접 점검해 볼 수 있는 해킹 탐지 및 예방 방법으로, ▲웹쉘(Web Shell)은 KISA의 ‘휘슬(WHISTL)*’ 프로그램을 이용해 쉽게 탐지 할 수 있다. 웹쉘은 해커가 설치해 놓은 비밀통로 역할을 하는 악성 프로그램으로, 최근 몇 년간 해킹당한 웹서버 중 90% 이상에서 발견될 정도로 많은 피해를 입히는 해킹도구다.

박순태 KISA 해킹대응팀장은 “홈페이지 해킹은 큰 피해를 낳을 수 있는 반면 악용 여부를 알아채기 쉽지 않으므로, 서버 관리자들이 수시로 점검하고 관리하는 것이 중요하다”며 “해킹 증상이 있을 경우, 신속히 국번없이 118번으로 전화 또는 홈페이지(www.krcert.or.kr)로 신고하여 공격자의 최초 침투경로 및 피해 규모 확인을 위한 추가분석을 해야 한다”고 강조했다. ciokr@idg.co.kr

X