태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

해킹사례 (4)


엄청나게 많은 가정과 소규모 매장에서 사용중인 인터넷 공유기가 해킹을 당하기 시작했다. 지금까지 비교적 공유기에 대한 해킹시도가 많지는 않았다. 하지만 인터넷에 접속되어 있는 모든 컴퓨터와 컴퓨터에서 실행중인 프로그램들은 해킹에서 자유로울 수는 없다.


최근 브라우저에서 네이버에 접속하면 생뚱맞게도 금융감독원을 위장해서 보안카드 정보를 빼내려는 시도가 빈번하게 발생하고 있다. 금융기관의 인터넷 뱅킹에 접속한 것도 아닌데 말이다.



버젓이 포탈의 액티브엑스 콘트롤을 가장하여 악성프로그램을 설치하려고 한다. 아..지겨운 ActiveX 콘트롤... 그래서 크롬이나 파이어폭스를 써야 한다.



공유기를 해킹하면 몇몇 공격이 가능할 거으로 예상된다.


아마도 먼저 DNS 쿼리 요청을 가로채는 DNS Spoofing을 통해 파밍이 가능할 것이다. 파밍공격을 시도한다면 www.naver.com 이 입력될 경우  자신들이 미리 준비한 IP로 바꿔치기(DNS Soofing) 하여 위와 같은 페이지를 보여줄 것이다.


또 하나의 예상할 수 있는 공격은 패킷 스니핑에 의한 트래픽변조 공격이다. 이 트래픽 변조 공격은 DNS 스푸핑이 아닌 ARP 스푸핑을 이용하거나 게이트웨이인 공유기의 관리자 권한을 얻어 단순한 스니핑(Sniffing)을 통해 특정 웹사이트로 향하는 HTTP 프로토콜의 패킷을 가로채 웹페이지의 중간에 위 화면에서 보이는 팝업창을 띄우고 악성프로그램을 다운로드 하게 하는 Script를 삽입한다.


이러한 공유기 해킹에 의한 파밍이나 피싱 공격은 컴퓨터나 인터넷에 대한 지식이 부족한 사용자에게는 치명적인 피해를 줄 수 있는 공격이다. 


공유기가 공격을 당해 발생하는 앞의 해킹은 공유기 자체의 취약점으로 인해 발생하는 것이기 때문에 제조사에서 공유기의 운영체제를 패치하여 해결하여야 한다.  그리고 아래와 같이 공유기 제조사들은 신속하게 보안취약성 패치를 진행하고 있다. 



하지만 불특정 다수의 사용자들에게 일일히 연락을 취해 패치를 권고하거나 자동으로 패치를 해줄 수 없기 때문에 앞으로도 이러한 피해는 지속적으로 발생할 것으로 보인다. 결국 사용자가 책임질 수 밖에 없는 것이다.



  • 쭈니러스 2014.05.29 21:59 신고

    보안이 참 문제네요...

    • taeho Tae-Ho 2014.05.30 08:56 신고

      나의 중요한 정보가 다른 사람과 연결되어 내 허락없이 유출될 수 있는 통로가 컴퓨터와 통신의 발전으로 엄청나게 다양해졌죠. 기업도 마찬가지구요. 그래서 보안은 생활의 일부가 되어야 하는데 아직 사람들의 보안 마인드는 초보적인 수준에 그치고 있는게 현실입니다. 당연히 보안 기술에 대한 이해도도 낮구요.


홈페이지를 운영하는 많은 쇼핑몰들과 인터넷신문사 홈페이지는 수시로 홈페이지 위변조 및 자바스크립트 위변조 공격에 시달린다. 최근 방문했던 한 인터넷 뉴스사이트도 그런 공격이 너무도 많다는 고충을 토로하기도 했다. 때문에 여러 솔루션들을 사용하지만 보안정책 수립의 어려움, 실시간 모니터링의 어려움 등으로 인해 제대로 대응하지 못하는 경우가 많다고 한다.

사고가 발생하면 다음과 같은 사항들을 해킹이 발생한 서버내에서 신속하게 파악하고 취약성을 제거하고 모니터링을 해야지만 솔루션 부재로 인해 대부분 정확한 경로를 파악하지 못하는 경우가 많다. 

- 침입 경로

- 칩입 후 실행한 명령어

- 수정한 파일

- 작업 과정

대부분 서버내에서는 해킹에 성공하여 수정한 파일"만 원상복구하고 네트워크에서 해당 출발지 IP를 차단하는 정도의 응급조치만을 하게된다. 해커는 공격지IP를 변경하여 재공격을 수행할 수 있고 사고는 다시 발생한다.

2013년 1월 5일... 국내의 대형 인터넷서점 홈페이지의 Java Script 파일이 변조되어 악성코드가 해당 인터넷 서점에 접속한 웹브라우저를 통해 접속자의 PC에 감염되는 심각한 보안사고가 발생했다. 

웹페이지 악성코드

이 사고는 해킹당한 홈페이지의 소스파일 위변조를 통해 웹브라우저를 통해 접속한 사용자의 PC가 악성코드에 감영되는 전형적인 사고사례다. 워낙 유명한 대형 인터넷 서점이고 비교적 모니터링 체계가 잘되어 있어 장시간 유표되는 사태는 막을 수 있었지만 사용자의 접속이 많지 않은 홈페이지의 경우 장시간에 걸쳐 많은 PC에 악성코드를 감염시키게 된다.



이러한 사고를 근본적으로 방지하기 위해서는 서버내의 주요 자산인 홈페이지 소스파일에 대한 철저한 보안이 필요하다. 

1. 웹서버의 취약성에 의해 서버내의 계정 권한이 탈취되는 것을 차단해야하고

2. 웹서버 혹은 WAS 서비스에 웹쉘이 업로드되어 운영체제의 명령어를 실행하지 못하도록 해야하며

3. 만에 하나라도 서버의 웹서버 혹은 WAS서비스의 계정 권한이 탈취되더라도 운영체제의 임시디렉토리에 스크립트 파일을 생성하고 실행하는 것을 차단해야하며

4. 홈페이지 소스가 웹서버 혹은 WAS서버의 구동 계정으로 수정되지 않도록 통제하여야 한다.

이 몇가지 보안정책만 준수할 수 있다면 홈페이지 위변조에 의한 보안사고는 대부분 예방할 수 있을 것이다.


관련포스트

웹쉘의 위험성과 서버보안SW를 이용한 웹쉘 실행 차단

서버보안SW를 이용한 웹서버보안 강화 방안

웹해킹방어사례 - 남다른 끈기를 보여준 해커



  • kmk 2013.01.10 21:57

    사기조직동두천경찰 폭파 Naver ckmk1

  • 1 2013.03.27 20:11

    홈페이지개발자와 작업의뢰인의 거래사이트 "오투잡"

    오투잡은 현재 하루 접속자 3000명이 접속하는 재능거래 사이트 입니다.
    오픈한지 얼마되지 않았지만 부업분야 전체 점유율 2위, 국가지원을 받고있습니다.

    오투잡에서 판매자 대모집 중입니다.
    카테고리 활성화가 시작 되니, 많은 판매 등록 바랍니다.
    오투잡은 네이버에서 "오투잡" 으로 검색 하세요.


이번에는 SK Telecom과 KT가 주인공이다. 바로 개인정보 유출 보안사고의 주인공들이다. 그리고 이번 사고는 유출된 개인정보가 건당 1~2백원이 아닌 최고 수십만원에 거래가 이루어진 명확한 증거까지 경찰이 확보한 모양이다. 게다가 유출된 개인의 위치정보가 거래되어 사용된 곳이 심부름센터였고 목적은 불륜현장 포착이었다고 하니 어이가 없을 뿐이다. 그런데도 정작 이동통신사는 자신들의 책임이 아니라고 발뺌하는 뻔뻔함까지 보이고 있는 모양이다.

이번 사고에서 유출된 정보는 개인의 위치정보다. 얼마전 미국에서 애플과 구글이 스마트폰 사용자들의 위치정보를 수집하다 손해배상 소송에 휘말리고 소송에서 패소하는 상황까지 연출되었던 바로 그 "위치정보"가 유출되어 건당 최고 수십만원에 거래가 이루어졌다고 하니 자칫 소송에 휘말리면 손해배상 청구도 있을 수 있을 것으로 보인다.

어떻게 개인의 현재 위치 정보가 유출되었나 ?

필자가 IT업계에서 처음으로 직장생활을 하면서 했던 일은 데이터베이스(RDBMS)의 기술지원이었다. 그때는 처음 PCS 서비스가 시작되던 시절이었고 함께 문자메시지(SMS) 서비스가 시작되던 시기였다. 휴대폰에서 보낸 문자메시지는 수신자 휴대폰으로 전송되는 과정에서 이통사의 문자메시지 서버에 저장된다. 그리고 그 문자메시지는 상당히 오랫동안 서버의 데이터베이스에 보관되어 진다. 따라서 서버에 직접 접속하는 엔지니어들은 간단한 데이터베이스 프로그래밍 만으로 문자메시지를 조회해 볼 수 있다. 그 시절 이통사에 기술지원을 갔다가 명령어 뒤에 휴대폰번호만 주어 실행하면 해당 번호로 전송된 문자메시지가 주루룩~~~ 출력되는 것을 보고 어이가 없었던 기억이 있다. (십수년도 훨씬 전 일이다.) 

마찬가지로 개인의 위치정보도 이통사의 어느 서버엔가 당연히 저장되어 위치정보 서비스에 활용되어질 것이다. 그리고 이통사 서버 엔지니어 혹은 해당 서버에서 위치정보를 활용하는 앱을 개발하는 엔지니어는 손쉽게 위치정보를 조회할 수 있을 것이 뻔하다.

위치정보를 사용할 수 있도록 이통사의 협력사에 제공하였을 것이고 그 협력사의 엔지니어가 인터넷을 통해 전화번호만 입력하면 위치를 파악할 수 있도록 응용프로그램을 작성한 것이다. 그리고 이 프로그램을 이용해 "불륜"을 전문으로 추적하는 흥신소에  건당 수십만원을 받고 개인의 위치정보를 팔았던 것으로 경찰 조사결과 드러난 것이다.

누구의 책임인가 ?

이통사의 시스템은 철저한 보안속에 운영되지만 이러한 경우 당연히 속수무책으로 당할 수 밖에 없다. 더 나아가 개인의 위치정보가 고가에 거래되는 것을 전혀 알 수 없었던 것이다. 왜냐하면 이번 사고는 외부자의 해킹이 아닌 "내부자의 악의적 정보 유출"에 해당되기 때문이다.

하지만 이통사에서는 "협력사"에서 저지른 사고 이기 때문에 자신들은 책임이 없다고 발뺌하고 있는데 "협력사"에 위치정보를 사용할 수 있도록 "승인"해준 것은 바로 이통사이며 그에 대한 관리적인 책임을 다하지 못하였으므로 이통사에 2차적인 책임이 있는 것이다. 차를 빌려주었고 차를 빌린 사람이 사고를 내면 차를 빌려준 차주에게도 책임을 묻는 것과 같은 이치다.



해킹이나 DDOS 공격보다 더 치명적인 "내부자"의 악의적 공격

이번 사건은 개인정보 중 하나인 실시간 위치 정보를 즉각적으로 현금한 매우 지능적이고 악의적인 보안사고의 좋은(?) 사례다. 게다가 지금껏 발생했던 단순 주민번호, 전화번호와 같은 개인정보가 아닌 아직까지 국내에서는 사례가 없었던 위치정보가 유출되어 불법적으로 사용된 보안 사고 사례다.

또한 외부에서의 공격이나 해킹이 아니라 시스템에 정상적인 접근권한을 갖고 있는 내부 사용자에 의해 발생한 사고라는 점에서 이번 사건은 시사하는 바가 크다.  그것은 바로 서버 자원(파일, 명령어, 서비스 등)에 대한 내부자의 접근 통제가 필요하다는 점이다.

지금껏 보안은 네트워크에 촛점이 맞춰져 있었다. 서버에 접근하기까지의 경로를 통제하면 보안은 끝이라고 여겨져왔다. 하지만 서버에 접근할 수 있는 내부자가 바로 보안 상 가장 심각한 위협이자 취약점이라는 이슈를 이번 사건은 보여주고 있다.



해커들 마저도 반발하고 있다.

미국 쇠고기 수입에 반발한 어느 해커가 한나라당의 홈페이지를 해킹했다.
홈페이지 해킹의 대표적인 사례다.  서버보안 교육할 때 홈페이지 위변조 해킹 사례로 활용하기에 너무 좋은 자료가 될 것 같다.

졸고 있는 교육생들을 깨우기에 너무 좋은 자료를 준 한나라당과 이명박 대통령께 감사한다.

사용자 삽입 이미지


사용자 삽입 이미지



사용자 삽입 이미지



사용자 삽입 이미지



사용자 삽입 이미지



사용자 삽입 이미지