롯데카드 해킹 악성코드 정체는…좀비PC 만드는 웹셸

(서울=뉴스1) 윤주영 기자 = 최근 롯데카드 해킹 사태에서 신원 불상의 공격자는 서버 원격제어·탈취의 첫 단추라 할 수 있는 '웹셸' 공격을 활용했다. 이후 카드사 온라인 결제 서버에까지 접근 흔적이 발견, 금융 당국의 조사로 이어졌다.

2일 롯데카드에 따르면 회사는 지난달 26일 전체 점검을 통해 3개 서버에서 2종의 악성코드와 5종의 웹셸을 발견했다. 이는 즉시 삭제조치됐다.

웹셸은 asp, cgi, php, jsp 등 서버 명령 스크립트를 통해 만들 수 있는 작은 악성코드 조각이다. 공격자는 웹 서버의 업로드 취약점을 파고들어 웹셸을 심는다.

웹셸을 통해 만들어진 침투 경로는 보안 시스템도 우회한다. 공격자는 별도의 인증 절차 없이 피해 시스템에 손쉽게 접속할 수 있다.

이후 공격자는 웹 서버에서 명령을 실행해 관리자 권한을 획득한다. 그러면 웹 페이지 소스 코드 열람은 물론 서버 내 자료 유출, 백도어 프로그램 설치까지 가능해진다. 상대방 서버나 기기를 장악해 조정하는 구조다.

이 때문에 웹셸은 최초 감염 시점을 알려주는 중요한 단서가 된다. SK텔레콤(017670)유심해킹 사태에서도 웹셸 1종이 발견됐으며, 이는 해커의 공격시점을 유추하는 데 쓰였다.

보안업계 관계자는 "랜섬웨어 공격에서도 웹셸 업로드가 침투 경로로 많이 쓰인다"며 "이를 통해 서버의 정상적인 서비스가 방해받을 수 있다. 개인정보 유출, 인접한 타 시스템 공격 등도 우려된다"고 설명했다.

또 업계에 따르면 롯데카드 공격자는 웹 애플리케이션 서버 '오라클 웹로직'의 취약점(CVE-2017-10271)을 악용했다. 이를 파고들어 악성코드를 감염시킨 뒤 웹셸을 업로드했다.

웹셸 공격은 기본적으로 파일 업로드인 만큼, 기업은 웹 방화벽 등을 통해 업로드되는 파일을 제어할 수 있어야 한다. 업로드된 파일이 실행 권한을 가지지 못하도록 환경을 설정해야 한다.

또 롯데카드 사례에서 알 수 있듯, 사용 중인 보안·서버 설루션의 최신 패치도 중요하다.

한편 롯데카드서 유출된 데이터양은 약 1.7기가바이트(GB) 정도인 것으로 알려졌다. 다만 롯데카드는 현재까지 고객 정보 등 주요 정보의 유출, 랜섬웨어 감염까지는 확인되지 않았다는 입장이다.

금융감독원·금융보안원은 사실 확인을 위한 현장점검에 나선 상태다.

legomaster@news1.kr