보안 사고 대응 준비 조치 - 서버 로그 유지

0 Comments
보안 사고 대응 준비 조치 - 서버 로그 유지 2

호미로 막을 것을 가래로 막는다

영어 속담에 'An ounce of prevention is worth a pound of cure'라는 것이 있습니다. 우리 말로 그대로 옮기면 '1온스면 대비할 수 있는 것도 고치려고 하면 1파운드가 필요하다' 정도가 됩니다.

1온스는 1/12파운드에 해당하는 단위로서 '소량'을 의미하고 있습니다. 따라서 이 영어 속담은 '예방이 치료보다 낫다'는 것을 의미하며 우리나라 속담의 '호미로 막을 것을 가래로 막는다'와 일맥상통하는 표현 같습니다.

실제로 '호미로 막을 것을 가래로 막는' 경우를 종종 봅니다. 전 세계 웹사이트의 1/4이 워드프레스로 제작될 정도로 워드프레스가 인기가 높음에 따라 워드프레스를 대상으로 하는 악성코드도 증가하고 있습니다.

워드프레스는 지속적으로 보안 취약점을 해결하는 패치를 제공하고 있기 때문에 워드프레스 코어를 비롯하여 테마, 플러그인을 모두 최신 버전으로 유지하면 봇(bot)을 통해 이루어지는 공격을 대부분 막을 수 있습니다.

워드프레스를 오랫동안 업데이트를 하지 않으면 보안에 취약해져서 멀웨어에 감염되거나 해킹을 당할 수 있습니다. 멀웨어에 감염되거나 해킹을 당하면 치료하는 데 시간과 비용이 들 뿐만 아니라 사이트 평판에도 손상을 입을 수 있습니다.

워드프레스 보안 플러그인을 제공하는 Wordfence에서는 "Three Incident Response Preparations You Should Be Making"이라는 최근 글을 통해 보안 사고 대응 준비를 위해 취해야 할 3가지 조치에 대해 설명하고 있습니다. 세 가지를 요약하면 다음과 같습니다.

  1. 로그 유지
  2. 2중 3중으로 백업
  3. 최악의 상황을 가정하여 계획 수립

백업의 중요성은 이 블로그에서 지속적으로 강조해왔기 때문에 잘 알고 계시리라 생각됩니다. Wordfence에서는 3가지 데이터 사본을 2가지 미디어에 보관하되 하나는 오프사이트(외부)에 보관하도록 제안하는 3-2-1 규칙이 일반적으로 통용된다고 하네요. 개인이나 소규모 업체에서 이렇게 백업을 하는 경우는 거의 없을 것 같습니다.

서버 로그 확인

보안 사고가 발생할 경우 가장 먼저 하는 질문이 '어떻게 침투했지?'일 것입니다. 시간대별로 이벤트 로그를 제공하는 서버 로그를 확인하면 공격이 어떤 식으로 발생했는지 파악하는 데 도움이 됩니다. 웹호스팅 업체를 선택할 때 서버 로그 유지 정책에 대해 문의해보면 좋을 듯 합니다.

cPanel을 제공하는 호스팅(예: 블루호스트, 사이트그라운드 등)을 이용하는 경우 cPanel에서 서버 로그를 확인할 수 있습니다. 웹호스팅 홈페이지에서 서버 로그를 확인하는 메뉴가 없는 경우 호스팅 업체에 문의해보면 제공받을 수 있을 것 같습니다.

사이트그라운드의 경우 cPanel > VISITOR STATS > Raw Access Logs에서 서버 로그를 다운로드할 수 있습니다.

사이트그라운드 서버 로그 확인

블루호스트의 경우 cPanel > Statistics > Access Logs(혹은 Metrics > Raw Access)에서 서버 로그를 다운로드할 수 있습니다.

블루호스트 서버 로그 확인

압축된 로그 파일을 다운로드하여 압축을 풀어서 텍스트 편집기에서 로그를 볼 수 있습니다. 몇 개 사이트의 로그를 확인해보니 시간순에 따라 접속 IP 주소와 접근한 파일이 나열되어 있네요.

서버 로그

그리고 검색 봇의 활동도 확인해볼 수 있습니다. 어떤 사이트에는 네이버 봇인 Yeti가 7월 한 달 동안 한 번도 방문하지 않았네요.

이 블로그의 경우 이번 달에 구글봇(Googlebot)이 272,463번 방문했지만 네이버의 Yeti는 1293번 방문했네요. 네이버봇의 방문이 별로 없어서 그런지 네이버 유입 방문수는 일 평균 150회 내외로 미미한 편입니다. 그래도 고무적인 것은 지난 몇 달 동안 네이버 유입 비율이 3% 미만이었지만 오늘 확인해보니 지난 30일 기준으로 네이버 유입 비중이 4.1%가 되었습니다.ㅎㅎ

구글 네이버 유입 비율

이 사이트는 구글 유입 비율이 83.1%로 구글에 지나치게 의존하고 있습니다. 네이버는 일 평균 500세션까지 유입되었지만 작년 말부터 급락하여 3% 이하로 떨어졌다가 지금은 아주 조금씩 늘어나고 있지만 무시할 만한 수준입니다.

하지만 올해 7월 10일경에 네이버에서 검색 노출 정책을 변경하여 외부 블로그들이 네이버에서 뒤로 밀려나고 있습니다. 특히 네이버 의존도가 높은 티스토리 블로그들이 많은 타격을 입어서 많게는 절반 이하로 유입이 줄어들기도 했습니다. 네이버는 네이버 블로그 등 네이버 종속 콘텐츠를 우선적으로 노출시키는 정책을 강화하고 있기 때문에 장기적으로는 네이버보다는 구글을 타겟으로 하는 것이 바람직할 것 같습니다.

※ Bluehost의 경우 PHP 에러가 발생 error_log 파일이 워드프레스가 설치된 폴더에 생성됩니다. 많은 에러가 발생하는 경우 이 파일의 크기가 과도하게 커져서 웹 서버 공간이 부족해질 수도 있습니다. ftp에 접속 시에 가끔 error_log 파일이 비정상적으로 커지지 않은지 체크해보시기 바랍니다. error_log 파일을 분석하여 문제를 시정할 수 있습니다. 그리고 과도하게 커지는 경우 삭제하시기 바랍니다. "해외 호스팅 Bluehost VPS에서 공간이 부족해지는 경우"를 참고해보세요. Bluehost VPS뿐만 아니라 공유호스팅에서도 error_log 파일이 생성됩니다.

마치며

워드프레스에서는 기본적인 보안조치를 취해 대부분의 공격을 막을 수 있습니다. 그리고 백업을 철저히 하면 만약의 사태가 발생해도 복구가 가능합니다.

참고로 카페24에서는 지난 7일 동안의 백업본을 제공하고 있지만 자동 백업 기능을 전적으로 신뢰하지 말고 가급적이면 한 번씩 수동으로 백업을 받아놓는 것이 좋습니다. 드물지만 카페24의 자동 백업본이 손상되는 경우를 가끔 목격합니다.

참고:

일부 글에 제휴 링크가 포함될 수 있으며 파트너스 활동으로 일정액의 수수료를 받을 수 있습니다.

댓글 남기기

* 이메일 정보는 공개되지 않습니다.