사이버안전센터 운영

2024년 상반기 사이버 위협 동향 - KISA
제목 2024년 상반기 사이버 위협 동향 - KISA
작성자 사이버보안팀 등록일 2024-08-23 조회수 959
내용

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C.png
침해사고신고현황(출처: KISA 2024년상반기사이버위협동향보고서)  

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C2.png
유형별침해사고신고현황(출처: KISA 2024년 상반기사이버위협동향보고서)  

2024년 상반기 사이버 위협 동향 보고서 


한국인터넷진흥원에서 발표한 연도별 침해사고 신고 건수에 따르면 2024년 상반기 침해사고 신고 건수는 899건으로 2023년 상반기 대비 35% 증가하였습니다. 이는 Web shell 및 악성 URL 삽입, DDoS 공격 등이 크게 증가했기 때문입니다. 


2024년 상반기 유형별 침해사고 신고 통계를 보면 서버 해킹이 전년 상반기 대비 58%가 증가한 504건으로 가장 많이 증가했습니다. 이는 상대적으로 보안관리가 취약한 중소기업 등을 대상으로 홈페이지 웹 취약점을 악용한 Web shell 공격 등이 증가한 것으로 보입니다. 그 다음으로는 DDoS 공격이 153건으로 전년 상반기 대비 23% 증가했습니다. 

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C3.png
웹쉘공격의흐름도 

Web Shell 공격의 흐름도


• 파일 업로드 시도

  파일 업로드 기능을 가진 피해자의 웹 페이지에 Web shell 파일 업로드 시도


• 피해 서버에 파일 저장

  피해자 웹 페이지에 업로드 요청된 Web shell 파일이 업로드에 성공한다면, 서버에 해당 Web shell 파일이 저장


• 업로드 된 Web shell 파일에 접근

  공격자는 서버에 업로드 된 Web shell 파일에 접근하여 공격명령어를전달


• 공격 수행

  명령어를 전달 받은 Web shell 파일은 공격자가 유도하는 악의적인행위를 수행 

Web shell 공격으로 인한 피해


최근 웹 해킹에서 자주 사용되는 기법이 Web shell 공격입니다. 기본적인 Web shell 공격은 피해 웹사이트의 파일 업로드 기능을 악용 하여 수행됩니다. Web shell 이 서버에 상주하게 되면 서버의 모든 권한을 장악하고 그 이후 동일 네트워크의 다른 서버에 2차 공격을 가하거나 멀웨어를 업로드해 서버 상에 큰 피해를 입힐 수 있습니다. 


KISA의 2024년 상반기 사이버 위협 동향 보고서를 살펴 보면 전년 상반기 대비 가장 많이 증가한 공격이 바로 서버 해킹이었습니다. 이런 서버 해킹의 다수가 상대적으로 보안관리가 취약한 중소기업 등을 상대로 Web shell 을 사용한 웹취약점 공격 시도인 것으로 분석 되었습니다. 


Web shell 은 JSP, ASP, PHP등과 같은 스크립트로 작성 되어 있으며, 다양한 취약점 공격에 활용되고 있습니다. 지난4월엔 국내 기업의 ERP 서버가 MS-SQL 서비스를 공격 당해 Web shell 이 설치 되었고, 이후 Web shell 을 이용해지속성을 유지하며 감염 시스템들이 제어 되었으며, 감염 시스템을 VPN 서버로 활용한 정황까지 밝혀진바 있습니다. 

결론

Web shell 공격은 Web shell 파일이 서버에 업로드 되면 서버의 모든 권한을 장악할 수 있고, 웹 서버 내 모든 자료를 열람할 수있을 뿐만 아니라 웹 페이지 변환, 추가 악성코드 업로드 등 치명적인 피해를 입힐 수 있습니다. 더 나아가 동일 네트워크의 모든 서버들 까지 위협하는 등 한번의 공격으로 끝나는 것이 아니라 2차, 3차 피해까지 발생할 수 있는 치명적인 위협입니다. 그렇기에Web shell 공격을 사전 예방에 서버를 보하는 것이 중요합니다. 


Web shell 공격 예방법


 • 홈페이지 중 파일 업로드가 불필요한 게시판은 업로드 기능을 완전히 제거, 파일 업로드가 필요한 게시판의 경우 파일의 확장자(asp, cgi, php, jsp 등의 확장자 차단) 검증을 수행해야 합니다.


 • 파일 업로드 폴더의 실행 제한이 필요합니다. 웹 서버 상에서 파일 업로드 폴더를 따로 만들고 해당 폴더에서 스크립트 파일 실행을 제한해 파일 업로드 폴더에선파일이 실행되지않도록 방지합니다.


 • SQL Injection 방지 또한 필요합니다. Web shell 은 파일 업로드 취약점 뿐만 아니라 SQL Injection을 이용한 공격도 가능하므로 DB 쿼리 관련된특수 문자들을 필터링 하도록 설정, 해당 특수 문자들이 입력 값에 포함되어 있으면 에러를 발생시켜 악의 쿼리가 실행되지 않도록 방지해 예방 할 수있습니다. 

이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. 
이전 글&다음 글
이전 글 중소기업 침해사고 피해지원서비스 동향 (2024년 1분기)
다음 글 악성 CrowdStrike 도메인 분석: 영향을 받는 대상과 향후 발생할 수 있는 문제


  • 담당부서 : 사이버보안팀
  • 전화번호 : 02-6908-8235
  • 담당자 : 심재인

Q. 이 페이지에서 제공하는 정보에 대하여 어느 정도 만족하셨습니까?

평균 4.4점 / 24명 참여