'security'에 해당되는 글 2건

  1. 2011.01.20 좀비PC 양산체제와 DDoS 공격 (4)
  2. 2009.11.30 nProtect 웹사이트, SQL Injection공격 당해 (17)
IT이야기2011. 1. 20. 22:48
DDoS공격은 꾸준했지만, 최근 12월과 1월에 DDoS 공격량이 증가하고, 공격도 심해졌다는 얘기를 한다.

최근 몇몇 업체가 DDos공격을 받았다. 이들 업체도 DDoS 공격 피해자인데, 고객들에게 그것도 못 막냐~라는 얘기를 듣게 되고, 고객에게 미안한 마음까지 생긴다. 하지만 이들 업체가 노력하지 않아서 못 막는게 아니다. 차단위한 인프라 구축에도 한계가 있다. 만약 50G, 아니 100G가 들어온다면 일반적인 국내 환경에서 이 트래픽을 감당할 인프라를 갖춘 곳이 얼마나 되겠는가.

1. 폭우가 쏟아져 상류댐에서 대량의 물을 방류하게 되면 하류에서는 대비를 하더라도 피해를 입을 수밖에 없다.

이런 경우 해결할 방법은 상류댐(IDC나 연동망 등)에서 물길을 막아주는 것 밖에 없다.(이를 IP null routing이라고 한다. 공격받는 IP로 들어오는 트래픽을 상단에서 버리는 것이다.) 그러나 이 댐은 특이해서 물을 한방울도 흘러보내지 않거나 대량의 물을 그대로 방류하거나 둘중 하나만 선택할 수 있다. 어쩔 수 없이 물을 한방울도 흘러보내지 않는 것을 선택하게 된다. 대량의 물은 막았지만 식수난을 겪게 된다. (IP null routing을 하게 되면 공격 트래픽은 막아지지만 해당 IP로는 서비스를 할 수 없다. 인프라는 보호했지만 서비스는 못하는 현실)

DDoS

[ 이미지 출처 : 구글 이미지 검색 -> make.to ]


※ DDoS공격 유형은 여러가지가 있는데, 위는 UDP유형으로 대역폭을 초과하는 공격을 예로 든 것이다.
※ DDoS공격은 유형에 따라 차단할 수 있다. 그리고, 인프라를 초과하더라도 상단과의 협조와 내부 DDos방어장비를 이용해 단계별 처리로 피해를 줄일 수 있다. 먼저 DDoS방어장비 구축과 인프라 개선은 해야하는 것은 당연하다.


2. 최근 공격량이 증가했다는 것은 좀비 PC가 늘었다는 이야기가 된다. '선' 좀비 PC 구축 -> '후' DDoS공격의 형태이기 때문이다.

'하우리의 맞춤전용백신 목록'에서도 Trojan/DDoSAgent 전용백신이 작년 11월부터 증가했다. 좀비 PC도 늘어 났다는 것이다.
인터넷침해대응센터(KRCERT)의 보안공지( http://www.krcert.or.kr/ )를 보면 12월말부터 국내 주요 오픈소스 게시판의 취약점이 줄줄이 발표되었다. (당시 대량의 서버에 설치된 제로보드를 자동 패치하느라 고생한 커피닉스 분이 생각난다. ^^) 이들 3개 게시판이면 국내 공개 게시판의 대부분을 커버한다고 보면 된다.
취약점을 이용해 악성코드만 심으면, 공장에서 찍어내듯 좀비 PC를 만들 수 있는 대량 양산 체제를 구축한 것이다. 밤낮이 필요없는 24시간 양산 체제. 게시판 사용하는 사이트는 널려있으니, 악의적인 사람 입장에서는 원감절감(노력절감) 체제. 우리 나라 좀비 PC들은 네트웍도 빵빵하고, 성능은 날아다닌다. 그만큼 막강한 공격력을 자랑(?)하게 된다.

[ 인터넷침해대응센터(KRCERT)의 보안공지 ]


* 국내 공개 웹 게시판(제로보드) 취약점 주의 (2010/12/21)

  o 국내 PHP 기반의 공개 웹 게시판 제로보드에서 XSS, CSRF 및 RFI 취약점이 발견됨[1, 2]
  o 해당 취약점을 이용한 홈페이지 변조 및 원격 실행 위협이 발생함에 따라, 취약한 버전 사용자의 주의 및 조속한 패치가 요구됨

* 국내 공개 웹 게시판(테크노트) 취약점 주의 (2011/01/06)

  o 국내 PHP기반의 공개 웹 게시판인 테크노트에서 SQL인젝션 취약점이 발견됨 [1]
  o 취약한 버전을 사용하고 있을 경우, 홈페이지 해킹에 의한 내부정보(개인정보 등)유출 등의 피해를 입을 수 있으므로 웹 관리자의 적극적인 조치 필요

* 국내 공개 웹 게시판(그누보드) 취약점 주의 (2011/01/07)

  o 국내 PHP기반의 공개 웹 게시판인 그누보드에서 XSS, CSRF 취약점이 발견됨[1]
  o 취약한 버전을 사용하고 있을 경우, 홈페이지 해킹에 의한 관리자 계정 탈취 및 악성코드 유포지로 악용되는 등의 피해를 입을 수 있으므로 웹 관리자의 적극적인 조치 필요

게시판 취약점 이용한 악성코드 심기, 유명사이트 해킹으로 악성코드 심기, 웹브라우저의 zeroday취약점 등으로 좀비 PC 양산체제 구축은 꾸준할 것이다. DDoS공격 증가와 좀비 PC 양산체제 여건 마련은 무관하지 않다.

PC점검 철저히 하시라. 그리고 IE에만 의존하지 말고, 파이어폭스나 크롬 등도 이용하시라.
내가 이용자이면서 그들에게 공격자일 수도 있다. 누구를 욕할 처지가 아닐 수 있다.
Posted by 좋은진호

댓글을 달아 주세요

  1. 알 수 없는 사용자

    깊이 공감합니다.

    2011.01.22 00:52 [ ADDR : EDIT/ DEL : REPLY ]
  2. 옹이

    댐..좋은비유네요^^

    2011.02.07 15:37 [ ADDR : EDIT/ DEL : REPLY ]

IT이야기2009. 11. 30. 19:18

'보안뉴스'에 '[단독] 엔프로텍트, 해킹당해 100만 고객 DB와 ID/PW 유출!' 이라는 기사가 올라왔다. 며칠전 Symantec Japan 사이트를 해킹했던 루마니아 해커 우누(Unu)가 SQL Injection 공격을 사용해서 http://www.nprotect.com/ 웹페이지를 해킹했다. ID, 메일주소, 비밀번호가 유출됐을 가능성이 있다.

공격한 해커의 블로그를 보면 다음과 같은 사항을 알 수 있다.
  • MySQL 5.0.x 버전 사용
  • DB데이터는 별도 내부망이 아닌 공인 IP를 통해서 통신 (211.200.28.x)
  • MySQL load_file() 함수를 사용할 수 있도록 되어 있어 시스템의 파일들도 쉽게 볼 수 있었다.
  • 비밀번호는 암호화 되어 있지 것으로 보인다. (추측)
  • 유저 DB건수는 약 108만여건

[+] Gathering MySQL Server Configuration …
Database: ??????
User: ????????@211.200.28.???
Version: 5.0.41-log
... 생략 ...
[+] Number of Rows: 1079630

nProtect는 홈페이지에 비밀번호 변경 공지가 띄워진 상태이고, '엔프로텍트 보안강화 조치를 위한 개인정보 변경 안내'라는 메일을 고객들에게 발송했다. 해킹에 대한 이야기는 없고, '고객님의 정보보호 강화를 위하여 패스워드(비밀번호)를 변경해 주세요'라는 내용으로 변경을 권고하고 있다. 개인정보가 유출되지 않았기를 바라지만, 가입된 사용자라면 빨리 변경하시길...

nProtect 비밀번호 변경 공지

[ nProtect웹사이트에 올라온 비밀번호 변경 공지 ]


이 번 nProtect 웹사이트 해킹을 보니 다음과 같은 생각이 든다.

  • 유저들의 보안강화를 위해 노력은 했지만, 정작 본인의 웹사이트 보안에는 구멍이 생겼다.
  • 중이 제 머리 못 깍는다 격이다.
  • 비교적 빨리 조치를 취해서 다행일지도 모르겠다.
  • 그럴지라도, nProtect 관계자분들은 이번 사건을 심각하게 생각해야 하고, 후속조치(망분리, 비밀번호 암호화 등)가 필요하다.

Posted by 좋은진호

댓글을 달아 주세요

  1. 엔프로텍트.....악성코드보다 더 악성코드스러운 녀석으로 원체 싫어했고 절대 설치도 안하는 녀석입니다 ㅎ

    2009.11.30 19:26 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • ㅎㅎ 다행입니다.
      주 PC는 리눅스라서.. ^^

      2009.11.30 19:29 신고 [ ADDR : EDIT/ DEL ]
    • 저는 메인을 매킨토시로 두고 써서 PC를 따로 켜지 않는 한 저런 녀석들하고 마주할 일이 없어서 좋습니다 ^-^;

      2009.11.30 19:31 신고 [ ADDR : EDIT/ DEL ]
    • 예. 메인이 맥이군요.

      엔프로텍트를 싫어하시는 분들이 많긴합니다만(딱히 저는 싫어할 일은 없어요.^^), 기존에 유저들이 싫어했던 부분을 벗어나는 방향으로 전환하기위해 애쓰시는 분들이 그 회사에 많을실 거라 믿습니다.

      물론 별개로 이번 웹사이트 보안 문제는 좀 심각하게 생각해야할 사항이구요.

      2009.12.01 00:08 신고 [ ADDR : EDIT/ DEL ]
  2. 정말 자기 본진도 못지키면서 동맹 헬프나간 꼴이군요;;
    그나저나 액티브x 없는 보안은 할수록 없는건가요;;

    2009.11.30 20:04 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • ^^ 안타깝긴 하지만, 웹사이트도 더 신경쓰게 되는 좋은 기회가 되기를 바래야죠.

      국내 웹사이트가 표준에서 점점 벗어나는 방향으로 가려다 보니깐, 액비트X를 더 써야만 하는 상황으로 변질되가고 있는 것 같습니다. https 등 SSL암호화만 잘 활용해서 걷어낼 수 있는 액티브X들이 많은데 말이죠..

      2009.12.01 00:03 신고 [ ADDR : EDIT/ DEL ]
  3. bugfree

    흠... 어찌 DB에 공인IP를 물려서... 그걸로 통신을 하다니...
    기본적인것도 안지키는것인가...ㅠ.ㅠ

    2009.12.01 00:44 [ ADDR : EDIT/ DEL : REPLY ]
    • 그러게요. 별도 내부망으로 운영했어야 하는데...

      2009.12.01 12:42 신고 [ ADDR : EDIT/ DEL ]
    • 내 맞습니다.
      그 점이 가장 아쉽습니다.
      이 기사 보자 마자, 제 대문부터 문제없는지 단속했습니다.

      2009.12.01 16:04 [ ADDR : EDIT/ DEL ]
  4. 외부에서 DB서버로 바로 접근 가능한거는 쫌...

    2009.12.01 02:01 [ ADDR : EDIT/ DEL : REPLY ]
    • 방화벽, ACL 등 으로 외부에서 직접 접근할 수 있도록 해두지는 않았겠지만,
      사무실에서는 ssh 접근하게 열어뒀을 수도 가능성은 있을 것 같네요. ^^

      2009.12.01 12:42 신고 [ ADDR : EDIT/ DEL ]
  5. 정말 중이 제 머리 못깎는 격이군요.

    2009.12.06 22:43 [ ADDR : EDIT/ DEL : REPLY ]
  6. cinsw

    정말 시원합니다.
    우리 다같이 공격합시다.
    키보드보안업체와 activx보안업체들이 망하고 금결원과 금감원도 망해야 대한민국이 산다.

    2010.01.24 19:24 [ ADDR : EDIT/ DEL : REPLY ]
    • 시원하신가요? 저는 안타까운데요. ^^
      망하기를 바라지는 않습니다. 방향 전환이 필요할 뿐...

      2010.01.25 12:41 신고 [ ADDR : EDIT/ DEL ]
  7. 익명

    비밀댓글입니다

    2010.07.03 00:08 [ ADDR : EDIT/ DEL : REPLY ]
    • '초나라의 창과 방패 장사꾼'이 생각나는게 해킹과 보안이겠죠. 하늘위에 또다른 하늘이 있다는 생각으로 자만과 방심을 하지 말고, 꾸준한 대응이 필요.

      2010.07.03 01:18 신고 [ ADDR : EDIT/ DEL ]