주요 웹 해킹 공격

1. 웹쉘 (Web Shell)

• 개념: 공격자가 원격에서 웹 서버를 제어하고 관리자 권한을 획득하기 위해 업로드하는 악성 스크립트 파일(ASP, JSP, PHP 등).
• 특징: 정상적인 파일 업로드 기능의 취약점을 악용하여 서버에 침투함. 시스템 명령어 실행, 파일 열람/수정/삭제 등 백도어(Backdoor) 역할을 수행.
• 대응: 파일 업로드 확장자 제한(화이트리스트 방식), 업로드 디렉터리의 실행 권한 제거.

 

2. 루트킷 (Rootkit)

• 개념: 시스템에 무단 접근하기 위해 설치되는 악성 프로그램의 모음으로, 공격자의 존재를 숨기는 데 특화된 도구.
• 특징: OS의 커널이나 시스템 핵심 영역에 기생하여 백도어, 트로이목마, 시스템 변조 파일 등을 백신이나 관리자의 눈에 띄지 않게 은닉함.
• 대응: 무결성 검사 도구(Tripwire 등) 활용, 루트킷 탐지 전용 도구 사용.

 

3. 드라이브 바이 다운로드 (Drive-by Download)

• 개념: 사용자가 변조된 웹사이트를 방문하는 것만으로도(사용자의 클릭이나 다운로드 동의 없이) 백그라운드에서 취약점을 악용해 악성코드가 자동 다운로드 및 실행되는 기법.
• 특징: 주로 웹 브라우저, 자바(Java), 플래시(Flash) 등의 취약점을 노림. 랜섬웨어 유포의 주요 경로로 활용됨.
• 대응: 브라우저 및 주요 소프트웨어 최신 보안 패치 유지.

 

4. 워터링 홀 (Watering Hole)

• 개념: 표적 집단(특정 기업 직원 등)이 자주 방문하는 웹사이트를 사전에 파악하여 해당 사이트에 악성코드를 심어두고 표적이 방문하기를 기다리는 표적형 공격.
• 특징: 사자가 물웅덩이(Watering Hole) 근처에서 먹잇감을 기다리는 모습에서 유래. 주로 '드라이브 바이 다운로드' 기법과 결합하여 사용됨.

 

5. CSRF (Cross-Site Request Forgery, 크로스 사이트 요청 위조)

• 개념: 특정 사용자를 대상으로 하지 않고, 불특정 다수를 대상으로 인증된 사용자가 자신의 의지와 무관하게 공격자가 의도한 행위(비밀번호 변경, 결제, 송금 등)를 특정 웹사이트에 요청하게 만드는 공격.
• 특징: **'웹 서버가 사용자의 웹 브라우저(세션/쿠키)를 신뢰하는 점'**을 악용함.
• 대응: 캡챠/OTP, CSRF 토큰(난수) 검증, 재인증 요구, Referer(이전 페이지 주소) 검증.

 

6. SQL Injection (SQL 삽입)

• 개념: 웹 애플리케이션의 입력창에 악의적인 SQL 구문을 삽입하여, 백엔드 데이터베이스를 비정상적으로 조작하거나 데이터를 탈취하는 공격.
• 특징: 인증 우회(관리자 로그인 성공), 데이터 유출, DB 파괴 등 치명적인 피해 발생.
• 대응: 입력값 검증(Prepared Statement/바인딩 변수 사용), 특수문자 필터링.

 

7. XSS (Cross-Site Scripting, 크로스 사이트 스크립팅)

• 개념: 웹사이트에 악의적인 스크립트(주로 JavaScript)를 삽입하여, 해당 페이지를 열람하는 다른 사용자의 브라우저에서 스크립트가 실행되도록 하는 공격.
• 특징: **'사용자가 웹 서버(게시판 등)를 신뢰하는 점'**을 악용함. 사용자의 세션 쿠키 탈취, 악성 사이트 리다이렉션 등에 사용됨. (종류: Stored, Reflected, DOM-based)
• 대응: 출력값 인코딩(HTML 엔티티 치환: <를 &lt;로 변경 등), 입력값 길이/형식 제한.

 

8. XPath Injection

• 개념: XML 기반의 데이터를 조회할 때 사용되는 XPath 쿼리에 악의적인 구문을 삽입하여, 인가되지 않은 데이터를 열람하거나 인증을 우회하는 공격.
• 특징: SQL Injection과 원리가 매우 유사하나, 공격 대상이 관계형 DB가 아닌 **XML 문서(데이터)**라는 점이 다름.
• 대응: 입력값에 대한 특수문자(', ", /, * 등) 필터링, 매개변수화된 쿼리 사용.