본론에 앞서,

웹사이트에 대한 공격은 보안사고의 대부분을 차지하고 있으며, 웹페이지 위변조 사건도 끊이지 않고 있습니다. 이로 인해 최근에는 웹방화벽(WAF)과 같이 보안사고를  사전에 예방하는 솔루션 뿐만 아니라, 웹 공격이 성공적으로 수행되었다는 것을 전제로 웹페이지의 위변조를 탐지하여 곧바로 복구하는 등의 사후 대책으로서 위변조 탐지 서비스를 도입하는 경우가 많아지고 있습니다. 이러한 웹페이지 위변조 탐지 서비스에는 웹사이트를 어떻게 모니터링할 것인지, 위변조를 어떻게 탐지해낼 것인지에 따라 다양한 종류가 존재하고, 각 종류별로 탐지해낼 수 있는 위변조의 범위나 정확도가 다릅니다. 또한 웹사이트의 구성도 다양하여 구성에 적합한 위변조 탐지 서비스을 선택하지 않으면 위변조를 정상적으로 탐지해낼 수 없게 되어, 서비스 도입의 목적을 전혀 달성할 수 없을 가능성이 큽니다.

본 문서에서는 웹페이지 위변조의 탐지 방법과 원리 그리고 다양한 웹사이트의 구성과 적합한 서비스에 대해서 설명하고자 합니다.

먼저 웹사이트 위변조란 무엇인지 정의하고자 합니다.

웹사이트 위변조란, 사이버 공격으로 인해 웹사이트의 파일이나 DB레코드에서 웹사이트의 관리자 또는 컨텐츠 관리자가 의도하지 않은 추가, 변경, 삭제가 발생한 것을 의미합니다.

위변조의 종류

위변조는 기본적으로 어떠한 악의를 가지고 행해지는 경우가 많습니다. 본 문서에서는 그 행위를 2가지로 분류하고자 합니다.

1. 단순 시각적인 위변조

문구의 변경, 이미지 교체 등 사람의 눈으로 확인이 가능한 위변조

2. 공격적인 행위를 하는 위변조

멀웨어의 삽입이나 프로그램 조작, Javascript 변조를 통해 웹사이트 사용자의 정보 탈취(아래 그림의 접합점)

위변조 탐지의 프로세스는 웹컨텐츠를 수집하는 단계와 검사하는 단계로 구성됩니다.

1. 웹컨텐츠 수집

웹컨텐츠를 수집하는 것에는 2가지의 방법이 있습니다.

• HTTP프로토콜을 통한 웹 크롤링
  • 웹서비스를 통해 컨텐츠에 접근한다.
  • DB에 저장된 컨텐츠는 웹서비스의 어플리케이션에 의해 가공되어 제공되는 경우가 많은데, 이를 수집하는 것이 가능하다.
  • 최상위 URL을 지정하는 것만으로도 모든 컨텐츠를 수집할 수 있다.
• Source IP를 지정하여 특정 행위를 유도하는 방식의 공격이 행해진 경우에는 탐지가 불가능한 경우가 있음
• 웹 서버 환경에 로드밸런스가 구성되어있는 경우, 탐지 시간이 느린 경우가 있다.
• 로그인 등 인증된 사용자만 접속할 수 있는 컨텐츠에 접근하기 어렵다.
• 최상위 페이지에 하위 페이지로의 링크가 존재하지 않는 경우 컨텐츠를 수집할 수 없다.
• CMS 등의 프로그램 파일에 직접 접근할 수 없다.
• .htaccess 등의 숨겨진 파일에 접근할 수 없다.
• FTP프로토콜 (ftp, sftp, FTPS 등)을 통한 컨텐츠 수집
  • HTML 링크에 의존하지 않고, 컨텐츠가 저장된 폴더에 직접 접근할 수 있으므로, 접근권한만 있다면 모든 파일을 수집할 수 있다.
  • 파일의 속성 정보도 수집이 가능하다.
• DB에 저장된 컨텐츠는 테이블이나 레코드를 지정하여 직접 접근하는 것이 불가능하다.
• 외부에 공개된 컨텐츠라고 하더라도 수집을 위해 전용 유저 계정 생성이 필요하다.
• 과거 FTP 프로토콜의 취약점을 이용한 공격이 많았기 때문에 많이 선호되지 않는다.

2. 위변조와 정상적인 파일 변경을 판단하는 방법

일반 사용자가 정상적으로 컨텐츠를 변경하는 것과 공격 행위로 인해 컨텐츠가 변경된 것을 판단하는 것에는 ‘파일 원본비교 방식’과 ‘멀웨어 탐지 방식’이 존재합니다.

• 파일 원본비교 방식

파일 원본비교 방식은 오래전부터 사용된 원초적인 위변조 탐지 방법입니다. 컨텐츠 관리자가 컨텐츠를 편집하고 외부에 공개하기 전에 해당 컨텐츠를 별도의 위치에 보관해두었다가 웹서비스 중인 검사 대상 서버에서 수집한 컨텐츠와 직접 비교하여 다른점이 있는 경우 변조되었다고 판단합니다.

이러한 방식을 이용할 때에는 컨텐츠 관리자가 편집하기 전의 컨텐츠 취급을 더욱 철저히할 필요가 있습니다.

• 멀웨어 탐지 방식

멀웨어 탐지 방식은 검사 대상 서버에서 수집한 컨텐츠를 안티 바이러스 패턴이나 행위 분석, 링크URL의 평판 정보 등 다양한 지표와 대조하여 비정상적인 상태를 탐지했을 경우 변조된 것으로 판단합니다.

이러한 탐지 방식은 웹컨텐츠를 업데이트 할때마다 별도의 시스템에 업로드해야하는 원본비교 방식에 비해 별도의 컨텐츠 업로드 작업이 불필요하다는 장점이 있으나,

아직 알려지지 않은 신형 공격이나, 알려지고 얼마 지나지 않은 악의적인 페이지로의 유도는 탐지하지 못하는 경우가 있을 수 있습니다. 또한, 단순히 문구를 변조하거나 이미지 파일을 교체하는 등과 같이 웹사이트 방문자에게 공격적인 행위를 하지 않는 변조는 탐지할 수 없습니다.

3. 실제 존재하는 위변조 탐지 서비스의 타입

현재 웹위변조 탐지 서비스 업계에서 제공되고 있는 서비스는 아래와 같이 2가지의 타입으로 한정되어 있습니다.

• HTTP 기반 멀웨어 탐지형
  • 모니터랩의 WMD서비스가 이에 해당합니다.
• FTP / rsync 기반 원본비교형

4. 웹사이트의 구성

웹사이트에는 웹 서버의 구성이나 컨텐츠의 종류에 따라 다양한 패턴이 존재하며, 각 패턴에 적합한 위변조 탐지 방식 또한 다릅니다. 하나의 방식만으로는 웹사이트의 모든 컨텐츠를 검사하는 것이 불가능한 경우도 있습니다. 여기서는 다양한 웹 서버의 구성과 그에 적합한 위변조 탐지 방법을 설명합니다.

• 정적 컨텐츠로만 이루어진 웹사이트

단순히 클라이언트 PC에서 작성한 HTML이나 이미지 파일을 웹서버에 업로드하는 타입입니다.

이러한 웹사이트의 경우, FTP / rsync기반 원본비교형 검사 방식이 적합합니다.

• 정적CMS 사이트

컨텐츠 관리자가 CMS를 통해 컨텐츠를 HTML이나 이미지 파일로 자동 으로 생성하여 공개 영역이나 공개 서버에 업로드하는 타입입니다..

이러한 CMS의 경우, 공개 서버와 CMS서버를 따로 구축하여 더욱 안전성을 강화시키는 것이 가능합니다.

대표적인 CMS인 MoyableType이 생성된 파일을 시스템적으로 분리하여 보관하는것이 용이하기 때문에, FTP / rsync기반 원본비교형 검사 방식이 적합합니다.

• 동적 CMS 사이트

웹사이트 방문자에 웹페이지를 열람할 때 마다 동적으로 컨텐츠를 응답하는 구조로,  공개 서버 상에 CMS 프로그램이 탑재되어있는 형태의 사이트입니다.

동적 CMS의 경우, 서버 상에 두가지 타입의 데이터가 존재합니다.

첫 번째는 컨텐츠 데이터 입니다. 컨텐츠 데이터란, DB 테이블의 레코드로서 저장되는 HTML 등의 웹페이지 데이터 및 웹페이지에 사용되는 이미지 와 같은 미디어 파일입니다. 편집자는 임의의 순간에 CMS 관리화면에서 HTTP를 통해 업로드합니다.

두번째는, 시스템 파일입니다. CMS의 컨텐츠 관리를 목적으로 PHP나 Perl 등의 프로그래밍 언어로 쓰여진 시스템 파일입니다. 기본적으로 버전 업데이트나 패치 적용 시에 계획적으로 갱신됩니다.

컨텐츠 데이터는 DB에서 CMS 프로그램을 경유하여 HTTP를 통해 취득할 수 밖에 없으며, 필연적으로 HTTP 기반 멀웨어 탐지형으로 검사할 수 밖에 없습니다.

반면에 시스템 파일의 경우, HTTP를 통해 접근하더라도 파일을 실행할 수 없거나 실행 결과가 반환될 뿐, 파일의 데이터는 확인할 수 없습니다. 때문에, FTP / rsync 기반 원본비교형을 사용할 수 밖에 없습니다.

정리

전 세계 웹사이트의 60%가 CMS를 이용하고 있는 것으로 알려져 있습니다. 그 중에서도, WordPress가 60%를 차지하고 있으며, 동적 CMS에 대응하는 위변조 탐지 시스템은 없어서는 안될 상태입니다. 본 문서에서는 위변조 탐지 시스템에도 여러 종류가 있으며, 구조적으로 대응할 수 있는 범위가 제한되어있다는 것을 설명하였습니다. 무엇을 위협으로 생각하고, 어디를 검사하고 싶은지를 꼼꼼히 살펴서 서비스를 선택하는 것이 중요합니다.

전 세계 CMS 점유율

출처 https://w3techs.com/technologies/overview/content_management

위변조 탐지 방법 별 사이트 구성 비교 표