현대의 사이버 위협 환경은 그 어느 때보다 역동적이고 다각화되어 있다. 공격자들은 인공지능(AI)과 같은 신기술을 활용하여 악성스크립트 제작, 피싱 메일 작성 등 공격의 초기 단계를 자동화하고 있으며, 이는 방어자에게 더 큰 부담으로 작용한다. 이러한 환경에서 단일 보안 솔루션에 의존하는 전통적인 방어 체계는 한계를 드러내고 있다.
SK쉴더스의 2024년 연례 보고서에 따르면, 공격자들은 보안이 상대적으로 취약한 협력사나 서드파티를 통해 목표 기업의 내부망에 침투하는 공급망 공격을 다변화하고 있다. 또한 합법적인 원격 관리 도구(RMM)를 악용하여 초기 침투 후 랜섬웨어를 배포하는 등 전략을 고도화하고 있다. 이글루코퍼레이션은 2024년과 2025년의 주요 위협으로 국가 지원 기반의 공급망 공격과 고도화된 랜섬웨어 전략을 지목하며, 이에 대응하기 위한 보안 운영 자동화(NextGen Automation SOC)의 중요성을 강조했다. 즉, 수많은 인프라와 자산에서 발생하는 보안 이벤트를 통합적으로 분석하고, 위협에 자동 대응할 수 있는 차세대 보안관제 센터의 필요성이 대두되고 있는 것이다.
최근 대표적인 대규모 침해사고인 롯데카드 개인정보 유출 사건은 RCE(Remote Code Execution, 원격 코드 실행) 취약점을 통한 공격 사례로, 매우 심각한 보안 사고의 현실을 잘 보여준다. 이 사건은 Oracle WebLogic 서버의 미패치된 취약점을 이용해 공격자가 악성 웹쉘을 설치하고, 이를 통해 수백만 명의 개인정보를 탈취하는 데까지 성공한 사례였다. 이는 RCE 공격이 단순한 웹 취약점을 넘어서 기업의 중추 인프라 전체를 위협하는 중대한 보안 문제임을 강조한다.
본 프로젝트에서 시뮬레이션하는 원격 코드 실행(Remote Code Execution, RCE) 공격의 탐지는 이러한 거시적인 위협 환경에 대응하는 핵심적인 첫걸음이다. RCE는 공격자가 시스템에 초기 발판을 마련하고 랜섬웨어와 같은 추가 악성코드를 배포하는 주요 통로로 활용된다. 따라서 웹 애플리케이션의 취약점을 통해 발생하는 RCE 이벤트를 정확히 탐지하고 분석하는 파이프라인을 구축하는 것은, 단순히 하나의 웹 공격을 막는 것을 넘어, 기업 전체를 마비시킬 수 있는 대규모 랜섬웨어 공격의 연결고리를 사전에 차단하는 중대한 의미를 가진다. 이는 최신 공격 체인의 가장 중요한 초기 단계를 무력화시키는 실질적인 방어 역량을 증명하는 것이다.
오늘날 웹 애플리케이션은 기업의 핵심 비즈니스를 수행하는 관문이자, 공격자들의 최우선 목표가 되었다. 수많은 공격 기법 중에서도 원격 코드 실행(RCE)은 가장 치명적인 위협으로 분류된다. RCE는 공격자가 원격에서 대상 시스템의 권한으로 임의의 명령어를 실행할 수 있게 하는 공격으로, 성공 시 시스템 완전 장악, 중요 데이터 탈취, 내부망 확산을 위한 교두보 확보 등 막대한 피해를 초래할 수 있다.
RCE 공격은 **SQL 인젝션, Insecure Deserialization(**안전하지 않은 역직렬화), 버퍼 오버플로 등 다양한 공격 벡터를 통해 발생할 수 있다. 본 프로젝트에서는 '파일 관리' 취약점을 악용한 웹쉘(Web Shell) 업로드 방식의 공격 시나리오를 다룬다. 웹쉘은 PHP, JSP, ASP 등의 스크립트 언어로 작성된 악성 파일로, 웹 서버에 업로드되면 공격자가 웹 브라우저를 통해 서버에 시스템 명령을 내릴 수 있는 백도어 역할을 한다. 한국인터넷진흥원(KISA)의 2025년 상반기 사이버 위협 동향 보고서에 따르면, 서버 해킹 사고의 상당수가 보안 관리가 미흡한 중소기업을 대상으로 한 웹쉘 공격이며, 전전년 동기 대비 약 65% 증가했다. 이러한 통계는 웹쉘 기반 RCE 공격이 이론적 위협이 아닌, 현재 가장 빈번하게 발생하는 실제적 위협임을 보여준다.
웹쉘 업로드 성공은 단순히 하나의 보안 설정 실패가 아니라, 개발, 운영, 보안 정책 전반에 걸친 다층적 방어 체계의 붕괴를 의미하는 '탄광 속의 카나리아'와 같다. 첫째, 파일 업로드 기능에서 입력값 검증 부재는 시큐어 코딩 원칙이 지켜지지 않았음을 보여준다. 둘째, 웹 서버 프로세스(예: apache, www-data)가 특정 디렉터리에 파일 쓰기 권한을 가진 것은 최소 권한 원칙에 기반한 서버 강화(Hardening)가 미흡했음을 나타낸다. 셋째, 업로드된 파일이 실행 가능한 스크립트로 해석된 것은 콘텐츠 유형 관리에 대한 설정 오류를 의미한다. 따라서 SIEM을 통한 웹쉘 관련 이상 행위 탐지는 즉각적인 사고 대응 뿐만 아니라, 조직의 보안 개발 수명 주기(Secure SDLC)와 서버 운영 정책을 재점검하고 강화할 수 있는 중요한 계기를 제공한다.
KISA 2025년 상반기 사이버 위협 동향 보고서
본 프로젝트에서는 VMware Workstation을 가상화 플랫폼으로 사용하여 격리된 네트워크 환경을 구성하고, 공격자와 방어자 역할을 수행할 가상 머신을 배치했다.
방어 측 서버이자 SIEM(Security Information and Event Management) 플랫폼이 설치될 기반 시스템으로 Rocky Linux 9을 선택했다. 이 서버에는 고정 IP 주소 192.168.168.20/24를 할당하여 네트워크 내에서 안정적인 식별이 가능하도록 설정했다.
먼저 네트워크 인터페이스를 확인하고, ens224 인터페이스에 IP를 할당한다.
# 네트워크 인터페이스 목록 확인
[sch@lcoalhost ~]$ ip addr
네트워크 인터페이스 목록 확인 결과 스크린 샷