리눅스 서버 보안 비상: 쿠키로 조종하는 PHP 웹쉘 분석 (MS 보고서)

,
리눅스 서버의 크론 작업을 악용해 자가 치유되는 PHP 웹쉘을 통해 쿠키 기반 공격을 하는 이미

리눅스 서버 보안 비상: 쿠키로 조종하는 PHP 웹쉘 분석 (MS 보고서)

Author: umvcass5
Published Date: April 8, 2026

최근 마이크로소프트(MS)가 발표한 보고서에 따르면, 리눅스 서버의 크론(Cron)을 악용해 끈질기게 상주하며 쿠키 데이터로 원격 제어되는 신종 PHP 웹쉘 위협이 급증하고 있습니다.

지난 2026년 4월 3일, Microsoft Defender 보안 연구팀은 리눅스 서버를 타겟으로 한 매우 정교한 PHP 웹쉘 공격 방식에 대한 보고서를 발표했습니다.

오늘은 정상적인 웹 구성 요소를 악용하여 스텔스 상태를 유지하고, 삭제해도 끈질기게 살아남는 이 위협에 대해 자세히 알아보겠습니다.

1. 공격자가 PHP 웹쉘 제어에 HTTP 쿠키를 사용하는 이유와 보안 우회 전략

대부분의 웹쉘은 URL 파라미터나 요청 본문(Body)에 명령어를 노출합니다. 그래서 웹 애플리케이션 방화벽(WAF)에 쉽게 감지됩니다. 그 결과 공격자들은 이제 제어 로직을 $_COOKIE 변수 안에 숨기가 시작했습니다.

전략적 장점

  • 은밀한 실행: 악성 코드는 평상시 ‘휴면’ 상태를 유지합니다. 그러다가 특정 특정 쿠키 값이 포함된 요청이 올 때 작동합니다.
  • 자연스러운 위장: 쿠키 값은 일반적인 세션 데이터와 구분이 어려워 웹 트래픽 속에 완벽하게 녹아듭니다.
  • 추가 파싱 불필요: PHP는 쿠키를 자동으로 처리합니다. 즉, 경고를 발생시킬 수 있는 별도의 코드 없이 서버에 직접 명령을 전달할 수 있습니다.

2. 탐지 회피를 위한 쿠키 기반 PHP 웹쉘의 3가지 주요 배포 방식

Microsoft는 공격자들이 웹쉘을 배치하는 세 가지 주요 모델을 확인했습니다.

  1. 난독화된 로더: 이 모델은 여러 겹의 인코딩을 사용합니다. 특정 쿠키가 들어올 때까지 기다린 후, 더 강력한 두 번째 공격을 실행합니다.
  2. 분할 데이터 재구성: 공격자는 쿠키를 통해 작은 데이터 조각들을 보냅니다. 웹쉘 스크립트는 이 조각들을 모아 파일 관리자와 같은 작동 도구로 재조립합니다.
  3. 마커 트리거: 단순하지만 효과적인 ‘스위치’ 방식입니다. 특정 쿠키 값이 확인되면 스크립트가 즉시 파일을 업로드하거나 명령을 실행하도록 지시합니다.
cPanel 취약점 및 예약 작업(Cron Job)을 통한 웹쉘 상주 및 악성 페이로드 실행 과정 다이어그램
cPanel 침해를 통한 초기 접근부터 쿠키 제어 방식의 웹쉘 실행까지 이어지는 다단계 공격 아키텍처

3. 리눅스 크론(Cron)을 이용한 웹쉘의 ‘자기 치유’ 및 공격 지속성 원리

이 웹쉘들이 무서운 이유는 스스로를 ‘치유’하여 삭제가 매우 어렵다는 점입니다.

  • 초기 침투: 유출된 비밀번호나 패치되지 않은 취약점을 통해 서버에 침투합니다.
  • 크론 작업 루프: 리눅스의 예약 작업 시스템인 크론(Cron)을 설정하여 일정 주기마다 악성 코드를 실행합니다.
  • 자동 재생성: 관리자가 PHP 웹쉘을 찾아 삭제할 수도 있습니다. 하지만, 크론 작업이 나중에 악성코드의 복사본을 다시 만들어냅니다. 이는 공격자에게 영구적인 뒷문을 열어주는 꼴이 됩니다.

4. 웹쉘 탐지 솔루션으로 지속형 웹쉘 실시간 탐지 및 대응

기존의 기본적인 보안 체계는 이러한 ‘자가 치유’ 위협을 막기에 역부족입니다. 웹쉘 탐지 솔루션(WSS)는 이러한 지속적인 공격을 무력화하는 웹쉘 탐지 솔루션입니다.

실시간 모니터링 (Real-Time Monitoring)

WSS(Web Server Safeguard)는 웹 서버를 24시간 365일 실시간으로 감시합니다. 크론 작업이 삭제된 웹쉘을 다시 생성하려고 시도하는 즉시 WSS가 이를 탐지하여 악순환의 고리를 끊어버립니다.

하이브리드 탐지 (Hybrid Detection)

웹 서버 내 파일의 소스코드를 하이브리드 방식으로 스캔합니다. 시그니처 탐지와 AI 탐지를 결합하여, 기존 웹쉘은 물론 쿠키를 악용하는 최신 변종 공격 패턴까지 높은 정확도로 식별합니다.

보안 인텔리전스 (LLM 기반 지능형 브리핑)

UMV가 직접 파인 튜닝한 보안 전용 LLM을 탑재했습니다. 시스템은 “이 파일이 왜 탐지되었는가?”라는 질문에 논리적 근거를 인간의 언어로 즉시 제시합니다. 마치 일류 보안 분석가가 24시간 곁에서 보고하는 것과 같은 최상의 관제 환경을 경험할 수 있습니다.

5. 리눅스 서버 보안 체크리스트: 지속형 PHP 웹쉘 예방 및 대응 수칙

Microsoft팀은 다음 단계를 권장합니다.

  • MFA 사용: 호스팅 패널과 SSH 접속에 항상 다요소 인증(MFA)을 활성화하세요.
  • 크론 작업 감사: 예약된 작업 목록을 정기적으로 확인하세요. 직접 만들지 않은 루틴이 있는지 점검하세요.
  • 설정 강화: 웹 서버의 동작 범위를 제한하고 불필요한 쉘 명령어 실행을 차단하세요.
  • AI 기반 실시간 탐지 체계 도입: 악성 웹쉘이나 URL을 지능적으로 식별하고 격리할 수 있는 AI 기반 실시간 대응 시스템을 구축하십시오. 이를 통해 외부 방어선을 통과한 고도화된 위협까지 실시간 분석을 통해 즉각 차단하고 제어할 수 있습니다.

6. 리눅스 웹쉘 방어의 핵심, AI 기반 실시간 탐지 솔루션 WSS

오늘날의 공격자들은 더 이상 복잡한 취약점에만 의존하지 않고, 서버의 자체 도구들을 역이용해 침투합니다. WSS(Web Server Safeguard)는 AI 기반의 실시간 모니터링을 통해 이러한 스텔스 위협을 실시간 탐치 및 처리하며, 반복적으로 생성되는 악성코드의 사각지대를 제거합니다.

이제 위협보다 한발 앞선 선제적 방어 체계를 구축하십시오.

7. 출처