2015.07.13

웹사이트의 해킹 방어력을 높이는 3단계 방법

Robert Lemos | PCWorld
레노버와 같은 대형 웹사이트가 해킹되면 뉴스가 된다. 그러나 대부분의 해킹 공격은 스스로를 보호할 기술이나 시간이 없는 작은 사이트를 대상으로 소리없이 이뤄진다. 지난해에는 워드프레스 기반의 사이트 수천 개가 해킹당했다.

자사의 웹사이트가 이렇게 해킹 당하는 사이트 가운데 하나가 되는 걸 원하는 이는 아무도 없다. 워드프레스를 사용하지 않는 사람이라도 부실한 웹사이트가 어떤 과정으로 해킹되는지 살펴보면 중요한 교훈을 얻을 수 있을 것이다.

사이트 유지 보수
호스팅되는 서버에 워드프레스 사이트를 만들어 올리기는 정말 쉽고 간편하다. 그러나 사용자는 워드프레스 사이트에도 정기적인 관리가 필요하다는 점을 알아야 한다. 사이버 범죄자와 해커는 관리자가 뻔한 비밀번호를 사용하는 사이트, 무심코 잘못 구성한 사이트 또는 최신 패치를 적용하지 않은 사이트를 찾는다.

예를 들어 올해 초 보안업체 Z스케일러(Zscaler)는 감염된 워드프레이스 웹사이트가 방문자의 로그인 신원 증명을 공격자 소유의 사이트로 전달한다는 사실을 발견했다.

지난해 '속속(SoakSoak)'이라는 악성 프로그램은 인기있는 한 플러그인의 취약점을 이용해 10만 개 이상의 워드프레스 사이트를 감염시켰다.

수쿠리(Sucuri) CEO 토니 페리즈는 "이런 애플리케이션의 장점은 사용하기 쉽고 웹사이트를 구축하기 편하다는 것이지만 그 장점이 곧 양날의 검이 된다. 사용자가 안전하게 사이트를 관리한다고 장담할 수 없다"고 경고했다.

보안 전문가들은 일반적으로 보안에 신경을 많이 쓰는 콘텐츠 관리 시스템(Content Management Systems, CMS)을 문제의 원인으로 지적하진 않지만 웹 기술 업체 W3테크(W3Techs)에 따르면 워드프레스 사이트는 전체 웹사이트의 24%를 차지한다.

줌라(Joomla)와 드루팔(Drupal) 사이트도 5%에 달한다. 공격자들은 이런 소프트웨어를 집중적으로 찾는다. 보통 공격자들은 CMS에 대해 가장 먼저 무차별(brute-force) 암호 대입 공격을 시도하고, 그 다음은 발견된 지 얼마 안 된 취약점을 발빠르게 이용한다.

워드프레스 보안업체 워드펜스(Wordfence) CEO 마크 먼더는 ":비밀번호의 경우 사용자가 쉽게 해결할 수 있는 문제지만 끊임없이 나오는 취약점을 파악하고 이에 따라 패치를 적용하려면 상당한 노력이 필요하다"고 말했다.

다음과 같은 세 가지 모범 사례는 공격자를 물리치는 데 도움이 될 것이다.

1. 최대한 신속하게 업데이트
웹사이트를 소유하고 관리하는 사람이라면 누구나 CMS 업데이트를 관리하는 호스팅 서비스를 사용하거나 자신의 사이트에 해당되는 취약점에 대한 정보를 지속적으로 파악할 수 있는 프로세스를 구축해야 한다.

그러나 취약점에 대한 정보를 지속적으로 파악하는 일이란 만만치 않다. CMS 또는 플러그인의 취약점을 신속하게 패치하기 위해서는 소프트웨어와 플러그인 취약점 피드에 가입해야 하지만 수쿠리의 페레즈는 밀려드는 피드를 감당하지 못하게 되기 쉽다고 지적했다.

페레즈는 "개발자가 취약점에 일일이 대응하기란 거의 불가능하다"면서, "사이트를 운영하면서 모든 패치를 확인해 적용하기는 어렵다"고 말했다. 수쿠리, 클라우드플레어(Cloudflare), 인캡슐라(Incapsula)와 같은 웹 보안 서비스는 알려진 공격을 차단해주므로 이런 서비스를 사용하면 사이트를 패치할 시간을 벌 수 있다.

2. 플러그인과 테마를 잊지 말 것
주력 CMS를 최신 상태로 유지하기도 어렵지만 모든 플러그인을 빠짐없이 패치하는 것은 더욱 어려운 일이다. 게다가 최근 공격자들은 웹사이트를 감염시키기 위해 플러그인과 테마의 취약점을 집중적으로 노리는 추세다.

워드펜스의 먼더는 "일반적으로 공격자는 제로데이 취약점 또는 최근 발견된 취약점을 이용해 최대한 많은 워드프레스 사이트를 점유한 다음, 그렇게 점유한 사이트를 다음 공격에 사용한다"고 말했다.

보안 기능을 제공하는 워드프레스 플러그인은 많다. 워드펜스, 불렛프루프 시큐리티(BulletProof Security), 아이테마 시큐리티(iThemes Security)는 웹사이트 침해 검사, 가장 일반적인 공격에 대한 방어력을 높이는 워드프레스 사이트 보안 설정 등 다양한 보안 관련 기능을 수행한다.

3. 정기적인 웹사이트 관리
호스팅되는 웹사이트를 소유하는 경우, 책임이 뒤따르며 부지런한 유지 관리도 필요하다. 관리자는 사이트를 백업하고 백업을 웹 서버에서 복사해 따로 보관해야 한다. 먼더는 경험이 부족한 많은 관리자가 두 번째 단계를 간과한다고 지적했다.

그럴 시간이 없다면 완전히 관리되는 사이트를 선택한다. 워드프레스닷컴(Wordpress.com)은 다양한 템플릿과 폭넓은 유연성을 제공한다. 줌라, 드루팔과 같은 다른 CMS의 경우 호스팅 서비스 제공업체가 서버에서 해당 CMS를 관리하면서 지속적인 웹사이트 패치를 지원할 수 있다. editor@itworld.co.kr


2015.07.13

웹사이트의 해킹 방어력을 높이는 3단계 방법

Robert Lemos | PCWorld
레노버와 같은 대형 웹사이트가 해킹되면 뉴스가 된다. 그러나 대부분의 해킹 공격은 스스로를 보호할 기술이나 시간이 없는 작은 사이트를 대상으로 소리없이 이뤄진다. 지난해에는 워드프레스 기반의 사이트 수천 개가 해킹당했다.

자사의 웹사이트가 이렇게 해킹 당하는 사이트 가운데 하나가 되는 걸 원하는 이는 아무도 없다. 워드프레스를 사용하지 않는 사람이라도 부실한 웹사이트가 어떤 과정으로 해킹되는지 살펴보면 중요한 교훈을 얻을 수 있을 것이다.

사이트 유지 보수
호스팅되는 서버에 워드프레스 사이트를 만들어 올리기는 정말 쉽고 간편하다. 그러나 사용자는 워드프레스 사이트에도 정기적인 관리가 필요하다는 점을 알아야 한다. 사이버 범죄자와 해커는 관리자가 뻔한 비밀번호를 사용하는 사이트, 무심코 잘못 구성한 사이트 또는 최신 패치를 적용하지 않은 사이트를 찾는다.

예를 들어 올해 초 보안업체 Z스케일러(Zscaler)는 감염된 워드프레이스 웹사이트가 방문자의 로그인 신원 증명을 공격자 소유의 사이트로 전달한다는 사실을 발견했다.

지난해 '속속(SoakSoak)'이라는 악성 프로그램은 인기있는 한 플러그인의 취약점을 이용해 10만 개 이상의 워드프레스 사이트를 감염시켰다.

수쿠리(Sucuri) CEO 토니 페리즈는 "이런 애플리케이션의 장점은 사용하기 쉽고 웹사이트를 구축하기 편하다는 것이지만 그 장점이 곧 양날의 검이 된다. 사용자가 안전하게 사이트를 관리한다고 장담할 수 없다"고 경고했다.

보안 전문가들은 일반적으로 보안에 신경을 많이 쓰는 콘텐츠 관리 시스템(Content Management Systems, CMS)을 문제의 원인으로 지적하진 않지만 웹 기술 업체 W3테크(W3Techs)에 따르면 워드프레스 사이트는 전체 웹사이트의 24%를 차지한다.

줌라(Joomla)와 드루팔(Drupal) 사이트도 5%에 달한다. 공격자들은 이런 소프트웨어를 집중적으로 찾는다. 보통 공격자들은 CMS에 대해 가장 먼저 무차별(brute-force) 암호 대입 공격을 시도하고, 그 다음은 발견된 지 얼마 안 된 취약점을 발빠르게 이용한다.

워드프레스 보안업체 워드펜스(Wordfence) CEO 마크 먼더는 ":비밀번호의 경우 사용자가 쉽게 해결할 수 있는 문제지만 끊임없이 나오는 취약점을 파악하고 이에 따라 패치를 적용하려면 상당한 노력이 필요하다"고 말했다.

다음과 같은 세 가지 모범 사례는 공격자를 물리치는 데 도움이 될 것이다.

1. 최대한 신속하게 업데이트
웹사이트를 소유하고 관리하는 사람이라면 누구나 CMS 업데이트를 관리하는 호스팅 서비스를 사용하거나 자신의 사이트에 해당되는 취약점에 대한 정보를 지속적으로 파악할 수 있는 프로세스를 구축해야 한다.

그러나 취약점에 대한 정보를 지속적으로 파악하는 일이란 만만치 않다. CMS 또는 플러그인의 취약점을 신속하게 패치하기 위해서는 소프트웨어와 플러그인 취약점 피드에 가입해야 하지만 수쿠리의 페레즈는 밀려드는 피드를 감당하지 못하게 되기 쉽다고 지적했다.

페레즈는 "개발자가 취약점에 일일이 대응하기란 거의 불가능하다"면서, "사이트를 운영하면서 모든 패치를 확인해 적용하기는 어렵다"고 말했다. 수쿠리, 클라우드플레어(Cloudflare), 인캡슐라(Incapsula)와 같은 웹 보안 서비스는 알려진 공격을 차단해주므로 이런 서비스를 사용하면 사이트를 패치할 시간을 벌 수 있다.

2. 플러그인과 테마를 잊지 말 것
주력 CMS를 최신 상태로 유지하기도 어렵지만 모든 플러그인을 빠짐없이 패치하는 것은 더욱 어려운 일이다. 게다가 최근 공격자들은 웹사이트를 감염시키기 위해 플러그인과 테마의 취약점을 집중적으로 노리는 추세다.

워드펜스의 먼더는 "일반적으로 공격자는 제로데이 취약점 또는 최근 발견된 취약점을 이용해 최대한 많은 워드프레스 사이트를 점유한 다음, 그렇게 점유한 사이트를 다음 공격에 사용한다"고 말했다.

보안 기능을 제공하는 워드프레스 플러그인은 많다. 워드펜스, 불렛프루프 시큐리티(BulletProof Security), 아이테마 시큐리티(iThemes Security)는 웹사이트 침해 검사, 가장 일반적인 공격에 대한 방어력을 높이는 워드프레스 사이트 보안 설정 등 다양한 보안 관련 기능을 수행한다.

3. 정기적인 웹사이트 관리
호스팅되는 웹사이트를 소유하는 경우, 책임이 뒤따르며 부지런한 유지 관리도 필요하다. 관리자는 사이트를 백업하고 백업을 웹 서버에서 복사해 따로 보관해야 한다. 먼더는 경험이 부족한 많은 관리자가 두 번째 단계를 간과한다고 지적했다.

그럴 시간이 없다면 완전히 관리되는 사이트를 선택한다. 워드프레스닷컴(Wordpress.com)은 다양한 템플릿과 폭넓은 유연성을 제공한다. 줌라, 드루팔과 같은 다른 CMS의 경우 호스팅 서비스 제공업체가 서버에서 해당 CMS를 관리하면서 지속적인 웹사이트 패치를 지원할 수 있다. editor@itworld.co.kr


X