[ICT시사용어] 웹셸(web shell)

ⓒ게티이미지뱅크

웹 서버의 취약점을 이용해 헤커가 원격에서 서버를 조종할 수 있도록 만든 악성 스크립트다. 웹 브라우저를 통해 원격에서 명령어를 실행하거나 시스템을 제어할 수 있다.

웹셸이 설치되면 해커는 권리자 권한을 획득해 외부에서 웹 브라우저만으로 서버에 접속하고 민감한 정보를 탈취할 수 있다. 소스코드 열람은 물론 내부망으로 침투해 다른 시스템까지 해킹하는 등 추가 공격도 가능하다.

웹셸은 보안이 약한 웹사이트나 웹 애플리케이션을 공격해 설치된다. 파일 업로드 기능이 있는 웹 게시판 및 홈페이지에서 확장자 필터가 없거나 잘못 구현된 경우 해커는 업로드 취약점을 이용해 악성 스크립트를 서버에 올릴 수 있다.

주로 asp, cgi, php, jsp 등의 확장자명을 가진 웹셸을 이용해 웹서버상에서 커맨드 셸을 실행한다. 이후에 웹페이지를 변조해 악의적 행위를 하거나 소스코드 열람, 서버내 자료 유출, 백도어 설치 등 다양한 공격이 가능하다. 개인정보 유출 등 심각한 피해가 발생한다.

웹셸이 이용된 국내 대형 해킹 사례는 2008년부터 지속적으로 발생됐다. 대규모 해킹사고의 상당수가 기업의 웹 서버에 몰래 심어진 웹셸에 의한 것이다.

지난 4월 발생한 SK텔레콤 유심정보 유출 사고도 웹셸 공격으로 시작됐다. 민관합동조사단에 따르면 SK텔레콤에 최초로 악성코드가 설치된 시점은 2022년 6월이다. 이때 SK텔레콤 웹 서버에 심어져 감염의 통로 역할을 한 것이 웹셸이다. 이후 BPF도어 계열의 악성코드가 설치됐다.

웹셸 공격을 예방하려면 허용된 확장자만 업로드 가능하도록 허용해 업로드 취약점을 제거하고 웹셸 대응 보안 솔루션을 도입해야 한다.

박준호 기자 junho@etnews.com