IT이야기2009. 11. 30. 19:18

'보안뉴스'에 '[단독] 엔프로텍트, 해킹당해 100만 고객 DB와 ID/PW 유출!' 이라는 기사가 올라왔다. 며칠전 Symantec Japan 사이트를 해킹했던 루마니아 해커 우누(Unu)가 SQL Injection 공격을 사용해서 http://www.nprotect.com/ 웹페이지를 해킹했다. ID, 메일주소, 비밀번호가 유출됐을 가능성이 있다.

공격한 해커의 블로그를 보면 다음과 같은 사항을 알 수 있다.
  • MySQL 5.0.x 버전 사용
  • DB데이터는 별도 내부망이 아닌 공인 IP를 통해서 통신 (211.200.28.x)
  • MySQL load_file() 함수를 사용할 수 있도록 되어 있어 시스템의 파일들도 쉽게 볼 수 있었다.
  • 비밀번호는 암호화 되어 있지 것으로 보인다. (추측)
  • 유저 DB건수는 약 108만여건

[+] Gathering MySQL Server Configuration …
Database: ??????
User: ????????@211.200.28.???
Version: 5.0.41-log
... 생략 ...
[+] Number of Rows: 1079630

nProtect는 홈페이지에 비밀번호 변경 공지가 띄워진 상태이고, '엔프로텍트 보안강화 조치를 위한 개인정보 변경 안내'라는 메일을 고객들에게 발송했다. 해킹에 대한 이야기는 없고, '고객님의 정보보호 강화를 위하여 패스워드(비밀번호)를 변경해 주세요'라는 내용으로 변경을 권고하고 있다. 개인정보가 유출되지 않았기를 바라지만, 가입된 사용자라면 빨리 변경하시길...

nProtect 비밀번호 변경 공지

[ nProtect웹사이트에 올라온 비밀번호 변경 공지 ]


이 번 nProtect 웹사이트 해킹을 보니 다음과 같은 생각이 든다.

  • 유저들의 보안강화를 위해 노력은 했지만, 정작 본인의 웹사이트 보안에는 구멍이 생겼다.
  • 중이 제 머리 못 깍는다 격이다.
  • 비교적 빨리 조치를 취해서 다행일지도 모르겠다.
  • 그럴지라도, nProtect 관계자분들은 이번 사건을 심각하게 생각해야 하고, 후속조치(망분리, 비밀번호 암호화 등)가 필요하다.

Posted by 좋은진호

댓글을 달아 주세요

  1. 엔프로텍트.....악성코드보다 더 악성코드스러운 녀석으로 원체 싫어했고 절대 설치도 안하는 녀석입니다 ㅎ

    2009.11.30 19:26 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • ㅎㅎ 다행입니다.
      주 PC는 리눅스라서.. ^^

      2009.11.30 19:29 신고 [ ADDR : EDIT/ DEL ]
    • 저는 메인을 매킨토시로 두고 써서 PC를 따로 켜지 않는 한 저런 녀석들하고 마주할 일이 없어서 좋습니다 ^-^;

      2009.11.30 19:31 신고 [ ADDR : EDIT/ DEL ]
    • 예. 메인이 맥이군요.

      엔프로텍트를 싫어하시는 분들이 많긴합니다만(딱히 저는 싫어할 일은 없어요.^^), 기존에 유저들이 싫어했던 부분을 벗어나는 방향으로 전환하기위해 애쓰시는 분들이 그 회사에 많을실 거라 믿습니다.

      물론 별개로 이번 웹사이트 보안 문제는 좀 심각하게 생각해야할 사항이구요.

      2009.12.01 00:08 신고 [ ADDR : EDIT/ DEL ]
  2. 정말 자기 본진도 못지키면서 동맹 헬프나간 꼴이군요;;
    그나저나 액티브x 없는 보안은 할수록 없는건가요;;

    2009.11.30 20:04 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • ^^ 안타깝긴 하지만, 웹사이트도 더 신경쓰게 되는 좋은 기회가 되기를 바래야죠.

      국내 웹사이트가 표준에서 점점 벗어나는 방향으로 가려다 보니깐, 액비트X를 더 써야만 하는 상황으로 변질되가고 있는 것 같습니다. https 등 SSL암호화만 잘 활용해서 걷어낼 수 있는 액티브X들이 많은데 말이죠..

      2009.12.01 00:03 신고 [ ADDR : EDIT/ DEL ]
  3. bugfree

    흠... 어찌 DB에 공인IP를 물려서... 그걸로 통신을 하다니...
    기본적인것도 안지키는것인가...ㅠ.ㅠ

    2009.12.01 00:44 [ ADDR : EDIT/ DEL : REPLY ]
    • 그러게요. 별도 내부망으로 운영했어야 하는데...

      2009.12.01 12:42 신고 [ ADDR : EDIT/ DEL ]
    • 내 맞습니다.
      그 점이 가장 아쉽습니다.
      이 기사 보자 마자, 제 대문부터 문제없는지 단속했습니다.

      2009.12.01 16:04 [ ADDR : EDIT/ DEL ]
  4. 외부에서 DB서버로 바로 접근 가능한거는 쫌...

    2009.12.01 02:01 [ ADDR : EDIT/ DEL : REPLY ]
    • 방화벽, ACL 등 으로 외부에서 직접 접근할 수 있도록 해두지는 않았겠지만,
      사무실에서는 ssh 접근하게 열어뒀을 수도 가능성은 있을 것 같네요. ^^

      2009.12.01 12:42 신고 [ ADDR : EDIT/ DEL ]
  5. 정말 중이 제 머리 못깎는 격이군요.

    2009.12.06 22:43 [ ADDR : EDIT/ DEL : REPLY ]
  6. cinsw

    정말 시원합니다.
    우리 다같이 공격합시다.
    키보드보안업체와 activx보안업체들이 망하고 금결원과 금감원도 망해야 대한민국이 산다.

    2010.01.24 19:24 [ ADDR : EDIT/ DEL : REPLY ]
    • 시원하신가요? 저는 안타까운데요. ^^
      망하기를 바라지는 않습니다. 방향 전환이 필요할 뿐...

      2010.01.25 12:41 신고 [ ADDR : EDIT/ DEL ]
  7. 익명

    비밀댓글입니다

    2010.07.03 00:08 [ ADDR : EDIT/ DEL : REPLY ]
    • '초나라의 창과 방패 장사꾼'이 생각나는게 해킹과 보안이겠죠. 하늘위에 또다른 하늘이 있다는 생각으로 자만과 방심을 하지 말고, 꾸준한 대응이 필요.

      2010.07.03 01:18 신고 [ ADDR : EDIT/ DEL ]