우키의 보안이야기

아래 글은  보안뉴스의 12월 1일자 기사를  정리한 것입니다….
원문참조: << 보안뉴스 >>

  루마니아 해커 ‘Unu’(우누)에 대한 관심이 높습니다.국내 해커들은 “이름은 들어봤지만 그렇게 유명한 해커는 아니다”라는 반응도 있고 “SQL인젝션(injection) 공격에 있어서는 굉장한 실력가”라는 반응도 나오고 있습니다. 그럴만한 이유가 있습니다.우누는 올해 들어 보안 분야에서 세계적으로 실력을 인정받고 있는 카스퍼스키랩, 빗디펜더, 시만텍 등 쟁쟁한 밴더사들을 SQL인젝션 공격으로 제압했기 때문입니다.또 지난달 27일에는 국내 업체로 잉카인터넷 B2C 고객지원 웹사이트를 SQL인젝션 공격으로 해킹한 바 있습니다.관련 내용들은 그의 블로그와 외신 등에 올라와 있습니다.
  그는 자신의 블로그에 “보안업체들이 정작 자신들의 취약점은 간과하고 있고 DB관리도 엉망이다. 그래서야 보안업체로서 명분이 서는가. 조심하라”는 경고 메시지를 지속적으로 전하고 있습니다.

▶ 우누의 최근 취약점 공개 기록

1.2009년 2월
  1) usa.kaspersky.com : 지난 2월 9일 ‘usa.kaspersky.com’(미국 카스퍼스키) 사이트가 루마니아 해커 ‘Unu’(우누/ 해커의 온라인 닉네임)에 의해 해킹을 당해 대량의 데이터가 노출되는 사건이 발생했습니다.그는 2월 9일 밤 늦게 해당 사이트에 SQL인젝션(injection) 공격을 시도해 해킹에 성공했다고 밝혔습니다.그 공격으로 그는 활성화 코드와 유저 정보, 버그 리스트 등등을 볼 수 있었다고 했으며 매개변수 하나만 바꿔도 유저 정보와 활성화 코드, 관리자, 숍 정보까지 모든 것에 액세스가 가능했다고 말했습니다.덧붙여 그는 시큐리티와 안티바이러스 분야에서 이름있는 기업이 정작 자신들의 데이터 베이스를 보호하는데는 소홀했다고 꼬집었습니다.

2. 2009년 8월
  1) Yahoo! 지역 토론게시판 =8월에 그는 야후가 2007년 서비스한 지역 커뮤니케이션 사이트를 SQL인젝션과 cross-site scripting (XSS) 취약점을 이용해 공격했습니다.이 공격으로 관리자와 이용자의 계정 정보를 읽을 수 있었고 서버(MySQL 5 server)에 쉘을 업로드할 수도 있었습니다.뿐만 아니라 야후 이용자들의 ID, 주소, 국가, 이메일 정보뿐만 아니라 서버에 load_file까지 가능하다는 것을 밝혀냈습니다.그는 “이 사이트에서 우리가(우누의 해킹팀) 원하는 모든 것을 할 수 있었습니다.쉘 업로드, 리다이렉츠, 트로이목마 드롭, 심지어 사이트 전체를 파괴할 수도 있었다”며 “이러한 위험한 취약점에 대해 야후 측에 모두 말해줬다”고 밝혔습니다.

3. 2009년 9월
  1) 벨기에 ING 기프트숍 : 우누는 벨기에 ING 기프트숍 웹사이트의 취약점을 공격해 관리자 계정을 포함한 해당 웹사이트의 모든 계정 패스워드를 알아냈고 이용자 이메일과 풀네임 정보 등도 알아냈습니다.또 서버에 PHP 쉘을 업로드 할 수 있다고 지적했습니다.

  2) 벨기에  Dexia 사이트 : 우누는 동일한 방법으로 Dexia의 취약점을 공격했고 대량의 데이터 베이스에 접근했습니다.물론 이용자들의 정보와 평문 패스워드를 빼내 올 수 있다는 것을 확인했습니다.

  3) HSBC France 웹사이트:  우누는 해당 사이트의 모든 데이터 베이스 접근 권한을 획득했으며 파일 시스템에 접근권한도 얻을 수 있었습니다.또한 SQL인젝션 공격으로 전체 서버(MS SQL)에 손상을 입힐 수 있는 취약점도 발견했습니다.

4.2009년 11월
  1) 일본 시만텍 사이트: 11월 23일 일본 시만텍 사이트가 우누의 블라인드 SQL인젝션 공격에 뚫렸습니다.그는 “off-the-shelf tools (Pangolin and sqlmap)을 사용해 시만텍 서버의 모든 계정에 접근이 가능했으며 서버에 저장된 많은 민감한 데이터들에 접근도 가능했다”며 “시만텍의 노턴이 우리를 막아 주기 원했지만 그들은 자신들의 데이터베이스를 지키지 못했다”고 지적했습니다.

5. 기타 해킹한 웹사이트들…
  우누는 영국 ‘The Telegraph’사와 ‘British Telecom’ 사이트를 해킹해 홈페이지를 손상시킨 바 있으며 영국 의회 사이트와 National Lottery 사이트 그리고 안티바이러스 업체인 F-secure, BitDefender, 한국의 잉카인터넷 B2C 고객지원 웹사이트 등도 SQL인젝션 취약점을 이용한 공격방법을 통해 중요 데이터베이스들이 노출될 수 있다는 것을 공개했습니다.

그는 모든 해킹 과정에 대해 신뢰성을 주기 위해 자신의 블로그에 스크린샷으로 증명하고 있습니다.하지만 정확하게 어떻게 공격을 하는지 그 방법에 대해서는 구체적으로 말해주지 않고 있습니다.물론 악용될 소지가 있기 때문이습니다.”Unu”는 해커스 블로그로 알려진 루마니아의 윤리적 해킹그룹의 일원으로 알려져 있습니다.이 그룹은 세계적으로 주요한 사이트 뿐만 아니라 몇 몇 안티바이러스 벤더사들의 웹사이트 SQL인젝션 취약점을 지속적으로 밝혀내고 공지하고 있습니다.

 ▶ 보안취약점 공개?  한국에서는….

한편 한국에서는 우누의 취약점 발표 방법을 두고 말들이 많습니다.혹자는 “취약점이 발견되면 해당 업체에 우선 알려야 한다”고 말한습니다.하지만 그건 한국의 현실을 모르고 하는 말이라는 반응이 많습니다. 우선 한국 사회는 취약점을 알려주는 것에 대해 색안경을 끼고 본다는 것이습니다.모 유명 해커는 “해당 업체에 취약점 알려줬다가 그걸 당신이 어떻게 알았냐며 오히려 욕을 먹었다.그리고 알려줘도 고마워할 줄도 모르고 제대로 수정이 됐는지 답변도 없다”고 지적하고 있습니다. 그래서 국내 해커들은 대부분 취약점을 혼자만 알고 숨겨버리거나 해외 유명 보안사이트에 닉네임으로 올리고 있는 것이 한국 보안의 현실입니다.그래서 기업간 기관간 정보공유가 안되고 계속 살아있는 취약점 때문에 공격받고 또 공격받고 있는 상황입니다. 해커에게 “왜 업체에 먼저 알려줄 것이지 자기 블로그나 언론에 공개하느냐” 탓하기 전에 우리 사회가 그러한 오픈된 문화가 형성돼 있나를 살펴봐야 합니다. 보안정보 공유 과정에서 문제가 있다면 국가 전반적인 보안환경 개선을 위해서라도 해커와 보안담당자 그리고 정부가 나서 하나씩 개선해 나가는 노력들이 필요할 것입니다.

  지난 11월 23일과 27일, 루마니아 해커 우누(Unu)가 시만텍 일본 고객지원 웹사이트와 잉카인터넷 B2C 고객지원 웹사이트를 SQL인젝션 공격으로 해킹했다고 자신의 블로그에 공개하였습니다.  우누는 그레이해커로 알려져있습니다.  실제로  피해를 입히기위한 것이라기 보다는  내노라하는  보안전문업체들도  SQL인젝션 공격에 의해 침해가 가능하고 민감한 정보들의 유출이 가능하다는 것을 보여주었다고 할 수 있습니다 .  잉카인터넷은  엔프로텍트로 유명한 업제이지요..  인터넷뱅킹시에 많이 보셨을 것입니다….

    SQL인젝션 공격은 새로울 것이 없는 공격방법임에도 불구하고 여전히 대비가 안된 사이트가 많아서   관리자들의  주의가 많이 요구되고 있습니다.  한국이 좋은 공격대상이 되는 것은 발달된 IT인프라와  아직 낮은 보안의식등이  한 몫을 하고 있다고 할 수 있겠네요..  사실 새삼스러울게 없는 내용이지만   그래도 주의가 요구되니  아직 보호대책이 없는 관리자님들은  시급히 대책을 세우시길 바랍니다.

   루마니아 해커 우누의  블로그에 가보세요…   지속적으로 유명사이트들을 해킹하고 있으며  취약점을  자신의 블로그를 통해서  소개하고 있는 것을 보실 수가 있습니다.  자신이 해킹한 사이트들의 스크린샷과   사용한 해킹툴등을 소객하고 있더군요…

Unu의 블로그:   http://unu123456.baywords.com/

 << 우누의 블로그: 잉카인터넷 웹사이트 해킹에 관한 글 보기 >>


 << 우누의 블로그: 시만텍 일본 웹사이트 해킹에 관한 글 보기 >>