윈스테크넷 해킹 원인은 그룹웨어 ‘웹셸 취약점’

국내 보안 기업 윈스테크넷이 20일 IT조선이 보도한 해킹 공격으로 인한 정보 유출 사고의 원인이 그룹웨어 내부의 ‘웹셸(WebShell) 취약점’으로 확인됐다. 침입방지시스템(IPS)과 차세대 방화벽, APT(지능형지속공격) 방어시스템 등 20여종의 보안 솔루션을 공급하는 기업이지만 업무용 소프트웨어 취약점이 공격 지점이 되면서 내부 운영보안의 중요성이 다시 제기되고 있다.

윈스테크넷은 D사의 그룹웨어에서 웹셸 취약점이 악용돼 전·현직 직원 1000여명의 정보가 유출됐다. 웹셸 취약점은 공격자가 웹서버에 악성 스크립트 파일을 업로드해 서버 내부 명령을 원격으로 실행할 수 있는 대표적인 웹 애플리케이션 보안 문제다. 

윈스테크넷은 지난해 10월 D사 측으로부터 그룹웨어 취약점 패치 안내를 받고 조치를 완료했다. 하지만 한달여 뒤인 11월 초 추가 패치 공지를 다시 받았다. 회사 관계자에 따르면 두 패치 시점 사이의 기간에 공격이 발생한 것으로 추정된다.

공격자는 웹 애플리케이션의 웹셸 취약점을 악용했고, 이를 통해 웹로그 등 일부 정보가 외부로 반출됐다. 회사 측은 “내부 데이터베이스(DB)는 침해되지 않은 것으로 파악된다”고 밝혔다.

이번 사고를 두고 업계에서는 두 가지 엇갈린 평가가 나온다.

먼저 보안 기업으로서 기본적인 웹 애플리케이션 보안 조치가 미흡했던 것 아니냐는 비판이다. 웹셸 공격은 오래전부터 알려진 방식으로 확장자 필터링, 파일 업로드 검증, 웹방화벽(WAF) 설정 등 기본적인 보안 절차만 갖춰도 차단이 가능하다는 주장이다. 그룹웨어 취약점 패치가 연이어 제공됐더라도 웹서버 모니터링, 비정상 파일 탐지, 권한 분리 등 2차 방어 절차가 제대로 작동했는지 검증이 필요하다는 지적도 나온다. IPS와 방화벽 등 고급 보안 솔루션을 공급하는 기업이라는 점에서 내부 운영 시스템 보호 역시 일정 수준 이상이어야 한다는 견해다.

반면 일부에서는 옹호론도 제기된다. 웹셸 공격은 웹 애플리케이션 취약점을 기반으로 한 운영보안 영역 문제로, 네트워크 경계에서 동작하는 IPS나 방화벽과는 성격이 다르다. 또한 그룹웨어·ERP·문서 시스템 등 기업 내부에서 사용하는 업무용 소프트웨어는 대부분 외부 공급사에 의해 유지·보수되며, 취약점 공지와 패치 적용 사이의 ‘패치 공백기(patch gap)’는 단일 기업이 완전히 통제하기 어렵다는 점도 현실적인 한계로 꼽힌다. 보안 기업이더라도 외부 소프트웨어의 패치 라이프사이클 전체를 주도할 수 없고, 공격자가 패치 공백 시점을 노리는 것은 일반적인 공격 패턴이라는 설명이다. 또 보안 기업이라고 해서 그룹웨어를 사용하는 직원들 모두가 보안 전문가는 아니라는 현실적인 한계도 있다.

보안 전문가들은 이번 사고의 핵심이 직원들이 사용하는 업무용 소프트웨어의 보안성, 패치 관리, 운영 체계가 전체 보안 수준을 결정한다는 점에 있다고 평가한다. 이번과 같은 사고를 방지하기 위해서는 웹셸 업로드 탐지, 파일 무결성 점검, 업로드 경로 제한, 서버 접근 권한 최소화 등 웹 기반 시스템의 운영 보안 절차가 강화돼야 한다고 조언한다. 외부 공급사의 패치 공지를 자동으로 모니터링하고, 내부 로그를 통해 이상 징후를 신속히 탐지하는 체계 또한 필수로 꼽힌다.

한 보안 기업 대표는 “보안 기업이라 하더라도 내부 운영 시스템은 모두 외부 소프트웨어에 의존한다”며 “제품의 기술력과 내부 시스템에 대한 운영보안은 별개의 영역인 게 사실이다. 다만 지금은 분야를 가리지 않고 모든 기업이 보안 강화에 힘써야 할 시점이며, 이번 사건으로 보안 기업들은 특히 더 경계를 강화하는 분위기”라고 말했다. 이어 그는 “업무용 소프트웨어를 통한 침해를 방지하기 위해서는 계정 및 비밀번호 관리부터 시작해 사내 업무 시스템의 전반적 운영 절차와 점검 체계를 강화할 필요가 있다”고 조언했다.

정종길 기자

jk2@chosunbiz.com