마라톤대회 홈페이지에 웹쉘 공격코드 발견...주의

서버 시스템 장악 및 대회 참가자 PC에 악성코드 유포 위험

부산지역 모 마라톤 대회 홈페이지에 웹쉘 공격코드가 삽입된 이미지 파일이 업로드된 것이 발견됐다. 5월에 열리는 이번 마라톤 대회는 해당 지여 지자체와 교육청, 경찰청이 후원하는 대회로 많은 지역 시민들이 참여하는 행사다. 이러한 웹사이트에 웹쉘이 탐지됨에 따라, 참가자 PC가 악성코드에 감염될 수 있는 위험성이 커 신속한 보안조치가 이루어져야 한다.
 

<위 게시판에 올라온 이미지에서 웹쉘 공격 발견. 제보자>

해당 취약점을 발견하고 데일리시큐에 제보한 병무청사이버안전센터(이글루시큐리티) 공인영 씨는 “해당 홈페이지에 게시물을 클릭하자, 병무청사이버안전센터로 웹쉘 공격이 탐지되어 발견하게 됐다”며 “웹쉘 코드가 삽입된 이미지 파일이 업로드된 것이다. 게시판 특정 게시물에 쉘 코드가 삽입된 이미지가 업로드 된 것으로, 타인이 작성한 게시물을 수정한 것으로 보인다. 즉 권한 인증 취약점이 존재하는 것으로 판단되며 쉘 코드가 삽입된 이미지 파일이 업로드 된 것으로 파일 업로드 취약점도 존재한다”고 설명했다.
 
이러한 공격을 통해 공격자는 서버시스템을 장악할 수 있으며 사용자PC를 공격하는데 악용할 수 있다. 또 해당 사이트를 이용해 악성코드 유포지로 악용할 수도 있어 주의해야 한다.
 
대응방안에 대해 제보자는 “우선 모든 페이지에서 세션을 검증하도록 설정, 적용해야 하며 인증 값 암호화로 세션변조를 차단해야 한다. 또 파일 업로드는 화이트리스트 방식으로 허용 가능한 목록만 정의하고 나머지는 모두 차단하는 조치를 우선 취해야 한다”고 밝혔다.
 
가장 적절한 방법은 사이트에 대한 전수검사를 실시해 추후 이러한 취약점이 발생하지 않도록 근본적인 조치를 취하는 것이 안전하다.
 
데일리시큐는 해당 취약점을 KISA에 전달해 보안조치가 이루어질 수 있도록 할 예정이다.