해킹이 하도 심하다보니 해킹에 대한 문의가 많이 오고 있습니다. 그래서 자주 문의를 받는 몇가지 사항을 정리해볼까 합니다.

1. 해킹을 한 주소를 알수 없는지요?
   

   대부분의 해킹은 중국쪽에서 들어옵니다. 간혹 유럽쪽이나 미국에서도 걸리긴합니다만, 중국 이외의 국가라 할지라도 해킹하는 기본적인 방법을 대부분 비슷합니다.

   중국에서도 특히 베이징과 몇몇 대도시인 경우가 많습니다. 그러나 이 IP주소를 찾는다 할지라도 국가가 어디다는 것만이 의미가 있지 그 이상의 의미는 없습니다. 왜냐하면, IP를 막는 것으로 해결을 보실려는 분이 계시는데, IP는 유동을 사용하는 경우가 많으므로 결코 답이 되지 않습니다. 제 경험상 해당 IP를 하나 막았더니, 다른 IP에서 동일한 행동이 보이더군요. 막을려면 IP 한두 개를 막아서 처리될 것이 아니라, 해당 국가의 IP를 찾아서 모두 막으셔야 합니다. 이 작업을이렇게 하다보면 나중에 남는건 한국 IP들 뿐인데, 최근 1년 내에의 일을 보면 한국 IP를 가졌다 할지라도 동일한 해킹 수법이 발견됩니다. 이는 한국서버에 있는 서버가 해킹당한 후에 이 서버를 통해 다른 서버를 해킹하는데 쓰이기 때문으로 예상됩니다.
    

2. 해킹을 하였다면 어느 정보를 해킹하였는지 알수 있나요?
   

    어느 정도의 기술로 어떤 내용을 해킹을 당했는지는 알 수 없습니다. 최근의 웹 해킹의 경우 해킹 전후 시간 쯤을 기준이면 웹사이트의 구조 정도는 다 파악하고, 해킹을 위해서 몇몇 테이블의 구조는 완벽하게 파악합니다. 이후에는 DB를 백업받아서 통채로 전송시키는 행동까지 보이므로 어느 정도의 정보가 얼마나 해킹당했는지는 알 수 없습니다. 속 편하게 그냥 서버에 관련된 모든 정보(ID, 암호, Administrator 암호, SQL에 있는 SA암호 및 SQL 계정정보, DB전체, 웹소스 모두)라고 생각하시는게 좋지 않을까 싶군요.
    

3. 현재 사용중인 웹서버의 취약점은 무엇이며 보안을 위해서는 어떠한 조치를 해야하는지요?
   

    요즘의 해킹은 SQL Injection과 XSS를 활용하는 방법으로 기술적인 문제이므로 패치 같은 간단한 수단이 없습니다. 그렇기 때문에 더 큰 문제입니다. 이런 해킹에 대응하는 가장 기본적인 방법은 방화벽, IPS, 웹방화벽 등과 같은 보안 장비를 모두 구비하여 사용하는 방법입니다만, 비용상의 이를 모두 수용할 수 있는 회사는 거의 없으리라 생각됩니다. 보다 높은 수준을 원하신다면 모든 로그를 남기시고 이를 분석하시는 겁니다만, 로그를 모두 본다는 것이 비 정상적이며 높은 비용이 들기 때문에 사실상 사용할 수 없지요.

    따라서 최소한의 비용을 들여서 해결하기 위해 하드웨어적인 방화벽 사용이 안되신다면, 윈도우에 내장되어 있는 방화벽과 백신, 공개 웹방화벽(WebKnight)를 설치하여 사용하시는 방법 밖에는 없습니다.
    

4. 매일 웹서버를 점검해 보았지만 해킹을 당하고 있다거나 해킹툴이 설치되어 있는지를 몰랐습니다. 웹서버 점검시 특히 어느 부분을 먼저 주의해서 점검해야 하는지 알려 주실수 있나요?

    해킹이라는게 대부분은 정형화된 툴을 사용합니다만, 해킹하는 사람에 따라 남기는 흔적이나 방법이 다릅니다. 또한 조합 가능한 툴도 대단히 많습니다. 툴이라는 점에서 어느 정도 규칙이 있다고 생각할 수는 있습니다만, 해킹에 대해서 뚜렷하게 어떤 증상이 나오고 하는게 아닙니다. 그에 따라 완벽하게 막는 것이 아닌, 어느 정도 공통되며 치명적인 부분을 찾아서 막고, 그 이후의 해킹 진행을 막는 작업입니다.

    저의 경우는 네트워크 접속을 모두 확인하고, 띄워져 있는 모든 프로그램을 추적하며, 서버에 생성되는 모든 기록을 남기고 이를 토대로 분석한 것입니다. 이런 로그 분석의 예를 들면, 웹해킹을 시도하는 부분은 웹로그를 분석하여 해킹 수법이나 방법을 얻을 수 있는데, 이는 로그 분석기와 같은 프로그램으로 가능한 것이 아니라, 정상적인가 아닌가를 사람이 한줄한줄 눈으로 읽고 해석하여 문제가 되는 부분을 찾은 것입니다. 웹해킹 이후의 작업은 일반적인 해킹의 수법과 동일하므로, 이후의 작업은 비교적 쉬운편입니다.

 뭐, 알고보면 요즘 해킹 별거 아닙니다. 그냥 다 복사해갈 뿐이니까요. 가끔 소스에 이상한거가 끼어들 수 있다는 것도 조금 빼면 말이죠.