2011년에 발생한 굵직 굵직한 보안사고를 자세히 살펴보면 두가지 형태의 보안사고로 나뉘는 것을 알 수 있다. 첫째는 개인정보를 획득하기 위해 인터넷에 공개된 웹서버를 공격하여 서버에 침투한 뒤 개인정보를 탈취하는 형태의 전통적인 해킹이고.... 둘째는 다양한 기법을 이용하여 내부의 PC를 거점으로 확보하고 그 PC를 이용하여 내부의 서버에 침투하는 해킹을 수행하는 APT 공격이다. 그 중에서도 두번째의 APT 공격은 사회공학적 기법의 해킹 기술부터 최신 해킹기술을 총 망라하여 지속적으로 해킹을 시도하는 무척이나 지능적인 공격기법이다. APT 공격의 특징은 직접 서버를 공격하지 않는데 있다. 외부에서 내부망에 존재하는 수많은 PC들 중 보안에 취약한 특정 PC를 해킹하고 해킹된 PC를 이용해 서버에 접근..
2011년 7월 26일, 대한민국 IT 역사상 최대 규모의 개인정보 해킹 사고가 발생했다. 대한민국의 중딩(?) 이상 국민이라면 하나쯤 ID를 갖고 있는 네이트닷컴과 싸이월드에서 발생한 보안사고 이기에 그 심리적인 충격은 상상하기 어려울 만큼 크다. "공지확인"을 타고 들어가면 다음과 같이 개인정보 유출 여부를 확인할 수 있다. 아무짝에도 쓸모없는 패스워드 암호화 ? SK컴즈는 유출된 정보에 ID와 패스워드가 포함되어 있으나 패스워드는 암호화되어 있으므로 아무문제가 없다고 말한다. 하지만 SBS의 기자가 테스트한 결과 숫자와 알파벳으로 구성된 6자리의 패스워드의 경우 짧으면 3초, 길면 30여초 내에 패스워드를 확인할 수 있다고 한다. (남들 다 쓰는 단순한 hashing알고리즘만을 썼다면 당연한 결과다..
최신 Unix 운영체제들은 서버의 보안을 강화하기 위해 내부적으로 Firewall Module을 기본적으로 탑재하고 있다. Solaris, HP-UX와 같은 상용 Unix의 경우 오픈소스인 IP Filter를 자신들의 운영체제에 최적화하여 기본 운영체제 패키지 안에 포함시켜 설치되도록 하고 있다. HP-UX에도 기본적으로 탑재되어 있는 IPF는 무척 강력한 패킷필터링 기능을 갖고 있으며 다양한 옵션에 의해 상용 네트워크 방화벽 못지않은 성능을 발휘한다. IPF를 사용하기 위해서는 다음 두 개의 서비스모듈이 커널에 로드되어야 한다. - ipf - pfil 이 두개의 커널모듈이 커널에 적재(load)되어 있는지 여부는 kcmodule 명령으로 확인할 수 있다. (HPUX 11.23 이상) 이 두개의 커널모듈..
농협의 보안 사고에 대한 검찰의 수사 결과가 어처구니 없게도 "북한의 소행"으로 몰려가는 듯 한 분위기다. 대부분의 전산 전문가들은 검찰의 수사 결과에 고개를 갸우뚱~~하고 있지만 누구도 대놓고 의문제기를 하지 못하고 있다. 그랬다간.... 빨간 딱지가 터억~~하고 붙여질 것이 뻔하기 때문이다. 자칫, 21세기에 20세기 중반 미국에서 일었던 "메카시 광풍"이 다시 일어날지도 모른다는 내 기우가 그저 기우로 그치기를 바랄 뿐이다. 만약 농협 서버들의 보안사고가 진정 북한의 소행이라면 우리나라의 주요 대북 기밀정보가 보유되어 있는 정부기관과 금융기관의 시스템들은 이미 북한이 대부분 훓고 지나갔다고 볼 수 있다. 그만큼 농협에서 발생한 서버 침투 및 파일 삭제를 중국을 거치는 인터넷을 통해 외부에서 자행한 ..
또한 번의 보안사고가 전산업계를 뒤흔들고 있다. 하지만 이전의 보안사고들과는 달리 외부(인터넷을 통해)에서 침입하여 현대캐피탈 고객 42만명의 개인정보는 물론 일부 금융정보까지 빼내어간 완벽(?)한 해킹사고라는 점에서 충격의 여파는 상당히 크고 오래 지속될 것으로 보인다. 비록 1금융권이 아닌 대출전문 캐피탈 업체이긴 하지만 업계 1위의 업체인데다가 "현대그룹" 이라는 간판으로 인해 1금융권도 보안에 취약한 것이 아니냐는 우려마저 나오고 있다. = 대캐피탈 해킹사건의 전말. (이데일리 기사 발췌)= ◇ 해킹 피해 `42만명+α`..신용정보도 새나가 현대캐피탈 고객정보보호를 담당하는 황유노 부사장은 10일 서울 여의도 본사에서 열린 기자회견에서 "해킹 당한 고객 정보가 더 있을 수 있다고 판단하고 있다"고..
결론부터 말하자면 "끊임없이 다시 발생한다" 이다. 엊그제 발생한 대대적인 DDOS 공격... 아니나 다를까 또 백신타령이다. 역시나 좀비PC가 된 불특정 다수의 죄없는 일반인들이 해커 대접(?)을 받고 있다. 그나마 이번엔 좀비PC를 양산(?)한 중간 감염 사이트가 운좋게 밝혀졌다. 인터넷 다운로드 사이트인 쉐어박스와 수퍼다운이 해킹되어 이 두 사이트에 접근한 사용자들의 PC에 공격도구를 감염시켰다고 한다. 이전의 국가적인 DDOS 공격이 있었을 때도 분명 이렇게 매개체가 되는 웹사이트가 무척 많았을 것이다. 이번 공격에도 어쩌면 더 많은 웹사이트가 해킹되어 더 많은 PC를 좀비PC로 만들었을 지도 모른다. 다만 밝혀진 웹사이트가 2곳일 뿐일지도 모른다. 이제는 더이상은 많은 피해자(좀비PC의주인들)를..
웹쉘.... 지난번 포스팅에 올린 글을 보고 몇몇 분들이 문의를 해왔다. 그리고... 끝이다. 관심은 있으나 어떻게 해야하는지..무얼 해야하는지.. 과연 비용을 지불하고도 해야할만한 가치가 있는 것인지... 보안에 비용을 지불하는 것이 아깝기도 하고... 온통 의문 투성이이기 때문에 결국 접고 만다. 필수가 아닌 선택이며 선택 중에서도 저~어~기~ 바닥에 깔려 잘 보이지도 않는 선택사항이다. 대한민국에서 보안은 그런 것으로 치부되는 것이 현실이다. 그리고 그것은 다름 아닌 바로 우리 모두의 책임이다. 출처 : http://www.etnews.co.kr/news/detail.html?id=201005090139 연관 포스트 보기 : 웹쉘 방어 방법, 홈페이지 소스 변조 방어 방법
관련 포스트 : 웹서버 소스파일 위변조 차단을 위한 SecureOS 적용웹쉘(web-shell)은 서버를 해킹하는 가장 훌륭한 도구 중에 하나다. 웹서버에 웹쉘을 업로드 하고 웹브라우저를 통해 웹쉘을 호출할 수 있다면 해커는 그 서버를 마음대로 조종할 수 있는 권한을 90%쯤 갖게 된다고 볼 수 있다. 많은 서버관리자와 보안관리자들이 웹쉘이 업로드된 서버를 발견하게 된다면... 눈 앞이 캄캄해질 것이다. 웹쉘이 발견되었는데도 눈앞이 캄캄해지지 않는 관리자라면 둘중하나다. 확실한 웹쉘 실행 차단 대책이 이미 적용되어 있는 훌륭한 관리자이거나 웹쉘이 뭔지도 모르는 초보 관리자 둘 중 하나다. 둘다 아니라면..?? 거기까진 말하고 싶지 않다. 먼저 웹쉘의 동작 과정을 시연 화면을 통해 살펴본다. 이 화면은 웹..
시간 참 빠르게 흘러간다. 7.7 대란 (DDOS공격)이 있었던 지도 벌써 4개월이 지났다. “DDOS 공격”이란 용어가 일반인들 사이에서 이제 점점 잊혀져 가고 있을 그런 시간이 되었다. 그런데 조금 전 웹서핑을 하다가 아직도 DDOS 공격이 계속되고 있다는 기사를 보게 되었다. 제목이 무척이나 비장하게 느껴지는 건 아마도 내가 관련업종에서 일하고 있기 때문이리라.. “DDoS 공격 ‘아직 끝나지 않았다’” 그렇다. DDoS 공격은 7.7 이전에도 계속 있어왔고 그 이후에도 계속 있었으며 앞으로도 영원히 계속될 것이다. 그 이유는 무었일까…? 많은 사람들이 DDoS 공격을 막아야 한다는 데에는 모두 공감한다. 하지만 어떻게 막아야 하는가에 대해서는 의견이 분분하다. DDoS 공격을 차단하기 위해 이러쿵..
해커들 마저도 반발하고 있다. 미국 쇠고기 수입에 반발한 어느 해커가 한나라당의 홈페이지를 해킹했다. 홈페이지 해킹의 대표적인 사례다. 서버보안 교육할 때 홈페이지 위변조 해킹 사례로 활용하기에 너무 좋은 자료가 될 것 같다. 졸고 있는 교육생들을 깨우기에 너무 좋은 자료를 준 한나라당과 이명박 대통령께 감사한다.
이번엔 은행이었다.. 금융권... 전산망에 관한한 가장 철저한 보안이 유지되고 있다고 "스스로들.." 자부하는 곳이다. 은행 임직원의 직장에 대한 자부심은 정말 대단하다. 그리고 스스로의 보안은 철저하다고 생각하고 있다. 그리고 실제로도 가장 철저한 보안을 유지하고 있는 곳이 바로 금융권이다. "루트 권한 획득" "루트"는 root 이다. 해커에게 root 사용자 계정의 권한이 탈취당했다는 것은... 서버에게는... 사망선고다. 복구..?? 포렌식..?? 다 필요없다. root 계정이 탈취당했다는 사실은 해킹의 흔적도 이미 삭제되고 없다는 것과 마찬가지다. root 계정을 해킹할 정도의 해커라면 게다가 아무리 헛점이 있었다 하더라도 은행의 네트웍을 해킹하고 서버의 root 권한을 획득한 해커라면... 서..
최근 해킹사고가 늘고 있다. 서버보안 S/W의 기술지원과 서버 보안 컨설팅 업무를 약 5년여 동안 하면서 고작 1년에 두 세건 정도 접할 수 있던 서버 해킹 사고가 최근 두여 동안에만 벌써 세 건이나 발생했다. 이런 보안 사고를 접하면서 지금까지 접한 해킹 형태를 문서로 정리해보고 싶은 충동이 생겨 실제 사례 중 하나를 분석하여 이 문서를 작성한다. ★ A사 웹 서버 해킹 방어 사례를 통해 본 해커들의 해킹 동선 분석 - 서버 환경 OS : RedHat Linux, Kernel 2.6.9-42 ELsmp (AS 4 up 4) AP : Apache 2.x, MySQL 5.x, PHP 4.x, Tomcat 5 일반적으로 해커가 Root의 계정 권한 획득에 성공하게 되면 해당 서버에는 사망 선고가내려진 것과 ..