728x90
KT의 홈페이지 보안 취약점이 심각한 것으로 나타났다. 해커가 3개월간 1천200만, 하루 34만번 이상 접속했음에도 시스템이 감지하지 못했을 뿐만 아니라 KT가 운영 중인 또 다른 홈페이지 9개서도 취약점이 확인됐다.
미래창조과학부는 KT 홈페이지 해킹 경로 및 해킹 수법에 대한 민관합동조사단의 조사결과, 최근 3개월간 해커가 홈페이지에 약 1천266만번 접속한 기록(로그)을 확인했다고 25일 밝혔다.
해커의 해킹 절차는 ①해커 ID 로그인→②타인 고객번호 변조→③취약 홈페이지 접속→④타인 개인정보 수집 등 총 4단계로 이뤄졌다. 해커는 짧은 시간 동안 많은 개인정보 해킹을 위해 자동화된 프로그램을 제작, 사용한 것으로 나타났다.
해킹은 사용자의 ‘고객서비스계약번호’에 의해 조회되는 KT의 홈페이지 프로그램에서 타인의 ‘고객서비스계약번호’ 변조 여부를 확인하지 않는 취약점을 악용해 이뤄졌다.
원문보기
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20140325151844
---
국내 인터넷 서비스의 터줏대감이라 할 수 있는 KT가 연일 정보유출로 홍역을 치르고 있다.
돈이 없는 회사도 아니고, 남들 운용하는 IPS도 운용하였다고 한다.
사용된 해킹기법이 제로데이 취약점을 기초한 특별한 기법이어서였을까 ? 전혀 아니다 !
KT 홈페이지 고객정보유출에서 주목해야할 팩트는 고객이 자신의 정보를 검색하는 과정에 대한 웹 구조상의 부적절한 인증방법이며, 이러한 헛점을 단순한 해킹툴과 약간의 자동화코드를 사용해서 힘들이지 않고 대량의 정보를 유출시켰다는 점일뿐이다.
이러한 문제는 어디서나 일어날 수 있는 문제이고, 웹개발과정에서 자칫 간과될 수 있는 부분이기에, 결국, 지속적인 모니터링과 자사 웹의 취약점 분석을 통해 해결해 나가야 할 문제라 할 수 있겠다.
IPS 정책을 설정하면서 한계점이상의 특정 IP접속 정보를 걸러내서 분석하고 조치하는 과정은 비단, DDOS공격 정보를 확인하기 위해서 뿐만 아니라, 망운용상 자원을 낭비하는 트래픽제거를 위해서도 필수적이고 기본적인 과정이다.
그런데, IPS(Intrusion Prevention System: 침입방지시스템)에서 특정 IP에서의 과도한 접속기록에 대한 이상 로깅내역을 관리자에게 경고하지 않았단다.
이러한 사실은 우리나라의 보안업무에 대한 현주소를 적나라하게 보여주고 있는 단면이며, 여러가지 시사점을 던져준다.
보안의식이 없는 직원이 벤더로부터 장비나 구입할 줄 알지, 운용은 할 줄 몰라 시스템이 정지하지 않는 한, 손가락만 빨고 있었다는 이야기이다. 아니, 설령 시스템이 정지되었더라도, 벤더에 전화할 줄만 알았을 것이다.
최신 장비만 갖다가 붙이면, 이후 이루어져야 할 업무가 일사천리로 알아서 OK라고 생각하는 최고경영자의 느슨한 마인드부터 뜯어고쳐야한다.
"닭이 먼저인가 ? 알이 먼저안가 ?" 라는 질문에 답할 자신은 없어도 "장비가 먼저인가 ? 운용인력이 먼저인가 ?" 라는 질문에는 자신있게 답할 수 있다. 운용인력이 먼저인 것이다. !
IT장비는 아무리 고가의 최신 장비라도 수년내에 그 성능연한이 다하고 만다. 짧은 가동 시간동안 장비의 특성을 제대로 파악하고 유지할 수 있는 인력이 존재하여야 장비는 비로소 업무지원을 제대로 할 수 있다.
그런데, 장비는 최신에 비싼 걸로 가져다 놓고, 정작 운용인력은 쥐꼬리만한 급여쥐어짜기 신공으로 연연하고 있으니, 원활한 업무지원은 커녕 사고가 안나는 것이 오히려 이상한 것이다.
IT장비는 사다가 전기코드만 꽂으면 잘돌아가는 텔레비전이 아니다.
지속적으로, 유지하고 관리할 수 있는 고급인력이 장비의 나머지 반쪽의 역할을 담당한다는 것을 잊지 말아야 한다.
근시안적인 안목으로, "지금 당장 사고가 발생하지 않는다고...또한, 저수준의 인력은 얼마든지 구할 수 있다라고..." 섣부른 판단을 하여, 제대로 된 처우를 통해 장기적인 고급인력을 키워낼 줄 모른다면, 제2, 제3의 KT사태는 이미 예약상태라고 단언할 수 있겠다.
지금까지 보안영역을 없어도 그만, 있어도 그만이고 사고가 나면 책임질 총알받이수준이라고 인식하고 있었다면,
앞으로는, 보안은 한방에 훅 갈 수 있는 가능성에 대한 유일한 보장이라는 믿음을 갖고, 격에 맞는 대우를 해야 한다고 생각해 본다.
미래창조과학부는 KT 홈페이지 해킹 경로 및 해킹 수법에 대한 민관합동조사단의 조사결과, 최근 3개월간 해커가 홈페이지에 약 1천266만번 접속한 기록(로그)을 확인했다고 25일 밝혔다.
해커의 해킹 절차는 ①해커 ID 로그인→②타인 고객번호 변조→③취약 홈페이지 접속→④타인 개인정보 수집 등 총 4단계로 이뤄졌다. 해커는 짧은 시간 동안 많은 개인정보 해킹을 위해 자동화된 프로그램을 제작, 사용한 것으로 나타났다.
해킹은 사용자의 ‘고객서비스계약번호’에 의해 조회되는 KT의 홈페이지 프로그램에서 타인의 ‘고객서비스계약번호’ 변조 여부를 확인하지 않는 취약점을 악용해 이뤄졌다.
원문보기
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20140325151844
---
국내 인터넷 서비스의 터줏대감이라 할 수 있는 KT가 연일 정보유출로 홍역을 치르고 있다.
돈이 없는 회사도 아니고, 남들 운용하는 IPS도 운용하였다고 한다.
사용된 해킹기법이 제로데이 취약점을 기초한 특별한 기법이어서였을까 ? 전혀 아니다 !
KT 홈페이지 고객정보유출에서 주목해야할 팩트는 고객이 자신의 정보를 검색하는 과정에 대한 웹 구조상의 부적절한 인증방법이며, 이러한 헛점을 단순한 해킹툴과 약간의 자동화코드를 사용해서 힘들이지 않고 대량의 정보를 유출시켰다는 점일뿐이다.
이러한 문제는 어디서나 일어날 수 있는 문제이고, 웹개발과정에서 자칫 간과될 수 있는 부분이기에, 결국, 지속적인 모니터링과 자사 웹의 취약점 분석을 통해 해결해 나가야 할 문제라 할 수 있겠다.
IPS 정책을 설정하면서 한계점이상의 특정 IP접속 정보를 걸러내서 분석하고 조치하는 과정은 비단, DDOS공격 정보를 확인하기 위해서 뿐만 아니라, 망운용상 자원을 낭비하는 트래픽제거를 위해서도 필수적이고 기본적인 과정이다.
그런데, IPS(Intrusion Prevention System: 침입방지시스템)에서 특정 IP에서의 과도한 접속기록에 대한 이상 로깅내역을 관리자에게 경고하지 않았단다.
이러한 사실은 우리나라의 보안업무에 대한 현주소를 적나라하게 보여주고 있는 단면이며, 여러가지 시사점을 던져준다.
보안의식이 없는 직원이 벤더로부터 장비나 구입할 줄 알지, 운용은 할 줄 몰라 시스템이 정지하지 않는 한, 손가락만 빨고 있었다는 이야기이다. 아니, 설령 시스템이 정지되었더라도, 벤더에 전화할 줄만 알았을 것이다.
최신 장비만 갖다가 붙이면, 이후 이루어져야 할 업무가 일사천리로 알아서 OK라고 생각하는 최고경영자의 느슨한 마인드부터 뜯어고쳐야한다.
"닭이 먼저인가 ? 알이 먼저안가 ?" 라는 질문에 답할 자신은 없어도 "장비가 먼저인가 ? 운용인력이 먼저인가 ?" 라는 질문에는 자신있게 답할 수 있다. 운용인력이 먼저인 것이다. !
IT장비는 아무리 고가의 최신 장비라도 수년내에 그 성능연한이 다하고 만다. 짧은 가동 시간동안 장비의 특성을 제대로 파악하고 유지할 수 있는 인력이 존재하여야 장비는 비로소 업무지원을 제대로 할 수 있다.
그런데, 장비는 최신에 비싼 걸로 가져다 놓고, 정작 운용인력은 쥐꼬리만한 급여쥐어짜기 신공으로 연연하고 있으니, 원활한 업무지원은 커녕 사고가 안나는 것이 오히려 이상한 것이다.
IT장비는 사다가 전기코드만 꽂으면 잘돌아가는 텔레비전이 아니다.
지속적으로, 유지하고 관리할 수 있는 고급인력이 장비의 나머지 반쪽의 역할을 담당한다는 것을 잊지 말아야 한다.
근시안적인 안목으로, "지금 당장 사고가 발생하지 않는다고...또한, 저수준의 인력은 얼마든지 구할 수 있다라고..." 섣부른 판단을 하여, 제대로 된 처우를 통해 장기적인 고급인력을 키워낼 줄 모른다면, 제2, 제3의 KT사태는 이미 예약상태라고 단언할 수 있겠다.
지금까지 보안영역을 없어도 그만, 있어도 그만이고 사고가 나면 책임질 총알받이수준이라고 인식하고 있었다면,
앞으로는, 보안은 한방에 훅 갈 수 있는 가능성에 대한 유일한 보장이라는 믿음을 갖고, 격에 맞는 대우를 해야 한다고 생각해 본다.
728x90
'보안칼럼정리' 카테고리의 다른 글
| 피싱 공격 가장 많이 받은 곳은 '금융과 SNS' (0) | 2014.04.05 |
|---|---|
| 대기업들이 1억에 모신다는데 해커들이 시큰둥한 이유 (0) | 2014.03.28 |
| 4월 8일 서비스 지원 중단을 앞둔 윈도우 XP에 대한 점검과 대책 (0) | 2014.03.23 |
| 왜 프로그래밍 언어를 만드는가 (0) | 2014.03.22 |
| 왜 미국은 인터넷 관리를 포기했을까 (0) | 2014.03.21 |