본문 바로가기

Security Indicator/Insight

대형포털 노리는 해킹 그리고 보안 전문가

바다란입니다.

 

이 블로그에도 대책을 올렸는데 여전하군요.

가히 안전불감증이 만연되었다고 할 수 있습니다. ( 솔직히 그동안 신경 안썼죠. )
공격된 사이트들도 과감하게 기술 했네요.

sportschosun, joins.com , nate.com , mnet.com , 투니버스 , mbcespn , ohmynews.com 등 대규모 사용자들을 지닌 사이트가 해킹을 당하고 있습니다. 물론 일회성이 아닌 연속적으로 당하고 있죠. 즉 하나가 아닌 여러개를 동시에 하기도 하고 백도어를 심어서 재공격을 하기도 합니다. 위의 사이트 전체의 공통점은 무엇일까요?.

 

MSSQL DB를 사용하고 Web language는 asp , aspx 등을 사용합니다.
각 게시판 및 링크물에 대한 인자등에 대해 Validation Check 가 제대로 이루어 지지 않음으로 인해 DB 단위까지 SQL Injection 기법을 이용해 DB 권한을 획득합니다. 그 이후 Web Shell 혹은  Web Injection Scanner + Web Entry Detector 등을 이용하여 소스 코드를 변조 하게 됩니다.

추가 되는 악성 코드는 iframe등을 이용하여 자동으로 시스템에 설치 되도록 하는 것이 대다수 유형 이였죠.

 

피해는 점점 커져 가고 그동안 보안 분야에 대해 등안시 하고 중요하게 생각하지 않고 IT 부분이 발전해온 만큼 그 만큼의 댓가를 치루게 될 것 같습니다. 대책이나 대안을 제시해도 이해하고 실행할 만한 인력이 없다는게 가장 충격적이죠.

 

 

그 많던 치즈들은 어디에 갔을까요?.
널린게 보안 전문가 인데..다들 어디로 간거지 하고 찾는 분들은 다시 한번 생각해 보셔야 될 것 같습니다.
자랄 환경도 없는데.. 그 가치를 인정 받지도 못하는데 오랜 동안의 스트레스 및 극도의 긴장을 누가 감내할 수 있을까요?. 사람들은 다 떠나고 몇 안되는 사람들도 격무에 시달려 앞으로 달려 나가지 못하는데 과연 무엇을 위해?.. 의무감에서 무엇을 하는 것이 맞지 않나는 완전히 다른 이야기 입니다.  세상에 그 누가 의무감으로 일을 할까요?. 즐겨서 하는 것이고 지금껏 그래 왔지만 등을 떠밀며 돌리게 만든 환경에서 그 책임을 손가락질 한다면 과연 누가 앞으로 나설 수 있을까요?

 

진작 금년 5월 경에 공개적으로 내용을 오픈 하고 관련 진단 스크립트들도 공개하고자 했지만 처한 입장이 입장이다 보니 공개도 제대로 못하고 대응에 관련된 내용들만 공개를 하였습니다.. 뭐 대단한 것도 아니지만 먹고 살 기를 곤란하게 하고 의무감에 의해 공개를 할까요?. 그동안 많은 공개 문서 및 툴을 오픈 했지만 또 앞으로도 여전히 그럴테지만 현재로서는 위험을 감수하면서 까지 공개하고 싶지는 않습니다.  자체 제작한 툴은 아니여도 드러난 문제가 분명하므로 그 문제를 해결 하기 위한 전반적인 프로세스를 수립하면 되는데.. 사고에 따른 몇 몇 대규모 회사들의 대응을 보면 일시적인 땜빵에 또 머무르고 있습니다. 물론 보안 전문가들을 족쳐서요.. 마음이 싹 사라집니다.  이런 방식이라면 의미 없다고 생각 됩니다.

 

굴뚝 같은 마음이 들지만..그래도... 

 

 

특단의 조치가 과연 무엇일 될런지..궁금 합니다.
일괄적인 Secure coding을 강제화 할 것인지.. 아님 패치를 강제화 할 것인지.. 무엇으로 향할까요?
그 어떤 것을 하던지 간에 일시적인 미봉책에 다름이 아닐 것입니다.

근본적인 방향을 보려 하지 않고 오랜 동안 외면해오고 현실에 적응 만을 이야기 하며 훈계한 댓가라면 너무 냉소적인가요?.

앞으로도 많은 말들이 나올 것 같습니다.
졸지에 보안 전문가들도 도매금으로 욕먹는 그런 상황이 올지도.. ^^;.


http://news.naver.com/news/read.php?mode=LSS2D&office_id=008&article_id=0000580163&section_id=105&section_id2=283&menu_id=105