PHP-SSH `해킹 주의보`

　개방형 스크립팅 언어인 PHP(Personal Home Page)와 암호화 전송기법을 도입한 프로토콜인 SSH(Secure Shell)의 취약성을 이용한 해킹이 늘고 있어 이를 막기 위한 조치가 시급한 것으로 나타났다.

　24일 한국정보보호진흥원(KISA)내 침해사고대응팀(CERTCC-KR)은 올들어 PHP에 대한 취약성이 널리 알려지면서 PHP를 사용하고 있는 웹서버를 대상으로 원격침입과 도스공격이 꾸준히 시도되고 있으며 폭넓은 스캔현상까지도 발견되고 있다고 밝혔다. 또 정보보호업체인 시큐브(대표 홍기융)의 해킹DB팀은 최근 SSH를 설치할 때 사용자 확인 절차상 패스워드가 누출되는 취약성이 드러나면서 이를 이용한 해킹공격이 확대되고 있어 각별한 주의가 필요하다고 밝혔다.

　CERTCC-KR는 역동적 웹페이지를 구현하기 위해 사용되는 개방형 스크립팅 언어인 PHP 중에서 4.2.0버전이나 4.2.1버전이 취약점을 가지고 있는 것으로 나타났으며 해커들은 PHP의 버전 정보를 웹서버의 배너광고를 통해 입수한다고 설명했다.

　해커들은 PHP의 버전 정보를 확인한 다음 원격 공격자들을 통해 인터넷프로토콜(IP) 주소를 스캔해 취약한 서버들의 위치를 파악하고 집중적으로 공격, PHP가 사용하는 내부 데이터 구조를 파괴하는 것으로 드러났다. 또 이 취약점은 로컬과 원격지에서 모두 공격할 수 있으며 웹서버의 권한을 획득해 임의의 명령어를 실행시키거나 도스 공격도 가능한 것으로 나타났다.

　CERTCC-KR는 이같은 공격을 막기 위해 시스템 관리자들에게 시스템공급업체로부터 취약성 패치정보를 구해 패치를 행하거나 취약점을 해결한 PHP 4.2.2 버전을 다운로드(http://www.php.net/downloads.php)해 업그레이드할 것을 권고했다.

　시큐브는 SSH의 취약성을 이용한 해킹기법이 지난달 미국에서 보도됐다고 밝혔다. SSH는 주로 특정 인증방식을 적용할 경우 발생하는 오버플로를 이용해 침입자가 임의명령을 수행할 수 있는 취약성이 있는 것으로 알려졌으며 이 경우 관리자 권한을 획득할 수 있어 시스템의 피해정도가 매우 큰 것으로 알려졌다. 시큐브는 이를 같은 SSH의 취약성을 방지하기 위해서 패치(http://www.openssh.com/txt/preeavth.adv)를 적용하는 것이 가장 좋고, 또다른 차단방안으로는 단방향 해시 함수를 이용해 사용자 ID와 패스워드를 추측할 수 없는 ‘원타임 패스워드’ 기법이나 단방향 함수를 여러번 적용해 사용자 인증 암호를 매번 변경하는 ‘에스/키(S/Key)’ 기법 등이 있다고 설명했다.

　<서동규기자 dkseo@etnews.co.kr>