현재 위치

›› Forums ›› 이슈 ›› 뉴스, 새소식

옥션 어떻게 공격당했나...범죄의 재구성

se4rhg의 이미지
글쓴이: se4rhg / 작성시간: 목, 2008/04/24 - 9:50오전

직원중 여러명이 ‘fuckkr’이 삽입된 메일 열어봤을 것 발표내용상 웹해킹은 아닌듯...모든 기업들 타산지석으로 삼아야

옥션 정보유출 사건에 대한 경찰 조사 결과 발표를 분석해 보면 옥션이 받은 공격은 해외 크래커가 ‘fuckkr’이라는 악성코드를 옥션 직원을 대상으로 무작위로 뿌렸고 이에 감염된 직원의 관리자 계정을...

http://www.boannews.com/media/view.asp?idx=9481&kind=13


Forums: 
뉴스, 새소식
lkjt의 이미지

글쓴이: lkjt / 작성시간: 목, 2008/04/24 - 10:52오전

이번에 발생한 익스플로잇과 관련있지 않을까요???

화이팅입니다...

mycluster의 이미지

글쓴이: mycluster / 작성시간: 목, 2008/04/24 - 12:51오후

이번에 논란이 된 청와대의 이지원 보안 사고도 그렇고, 옥션도 그렇고 실제 보안사고가 웹서버 혹은 Production서버에 대한 공격보다는 사용자들의 데스크탑의 보안 취약으로 인해 발생하는 경우가 많더군요. 제가 블로그에 생각을 올린 글이 있는데, 여러분들은 이에 대해서 어떻게 생각하세요? 이 내용은 리눅스, 윈도의 보안 장단점에 대한 글이 아니라, 과연 데스크탑은 얼마나 보안에 취약한가에 대한 생각으로 그냥 단상을 적은 글이니, 그냥 각자 생각을 한번 논해보면 좋을 거 같네요.

-----------------------------------------------

Quote:
예전에 리눅스 관련 일을 할 때, 기업 고객을 만나면 이런 이야기를 심심찮게 들을 수 있었다. "리눅스는 보안에 너무 취약해서 도입하기가 꺼려진다"

그 때 이런 이야기를 들었을 때 속으로는 항상 "리눅스가 보안에 취약해? 윈도는 맨날 바이러스에 당하고, 서비스는 뻥뻥 뚤리는데? 도대체 어디서 저런 이야기를 들었을까?" 라고 생각하곤 했다. 그리고는, 관리자의 무식함(?)을 뒤에서 씹기도 했었다.

그런데, 요즘 들어서 생각해보면 똑같은 이야기를 두고 그 고객과 나는 전혀 다른 관점에서 바라보고 있었다는 것을 느끼곤 한다. 왜 보는 관점이 달랐을까?

먼저, 내가 생각했던 대로, 리눅스가 윈도보다 보안에 결코 취약하지 않다고 주장하는 것은 '서비스 시스템'에 관한 내용이었다. 웹서비스나 DB를 리눅스로 사용할 경우 보안은 흔히 우리가 알고 있는 수준과 무관하지 않다. 여기에 대해서는 적어도 내 생각이 맞았다고 본다.

반면, 그 관리자들이 생각했던 것은 사용자 시스템(특히 데스크탑 및 기업 내부 시스템)을 통한 데이터 유출 관점에서 리눅스는 별 대책이 없는 시스템이라는 것이다. 극단적인 예를 들자면 개발자들이 사용하고 있는 리눅스 머신이나, 웹서비스 혹은 ERP용으로 사용하고 있는 리눅스 시스템의 데이터나 DB내용 등을 내부 직원 또는 접속자가 무단 유출하는데 있어서 리눅스에서는 관리자가 감지할 방법이 전혀(물론 그렇지는 않다) 없다고 여기는 것이었다.

내가 아는 어떤 회사는 개인별로 Windows 데스크탑과 개발용 리눅스 머신을 1대 씩 지급하고 있다. 회사에서는 개인 데스크탑에 데이터 유출 방지 등을 위해 DRM 프로그램 및 인xx라는 개인 보안 프로그램을 의무적으로 설치하여 인터넷 접속 및 USB, Printer 사용을 중앙에서 제어하고 있다. 이를 통해 직원들이 데이터를 불법으로 유출하거나 USB에 담아서 가지 못하도록 하고 있다고 한다.

반면, 개발용 리눅스 머신인데, 여기에는 DRM이나, 기타 보안 프로그램이 마땅치가 않아서 (물론 찾으면 있겠지만) 리눅스 머신을 통해서 데이터를 유출하는 것을 중앙에서 관리하기가 상당히 난해한 실정이라고 한다.

과연 이런 상황에서 전후 사정에 대한 공감이 없는 상태에서, "리눅스는 보안에 취약하다"라는 말만을 주고 받는다면, 누구 말이 맞는 것일까?

P.S. 최근에 기업 보안에서 꽤 많은 유출 사례로 보고되는 것이 주요 시스템에 대한 해킹 등으로 인한 유출이 아니라, 직원들이 자신의 데스크탑에서 데이터를 복사해서 경쟁 업체나 이직하는 업체로 가져가는 것이라고 한다.

--------------------------------
윈도위의 리눅스 윈도위의 윈도우 리눅스위의 익스플로러

--------------------------------
윈도위의 리눅스 윈도위의 윈도우 리눅스위의 익스플로러

linlin의 이미지

글쓴이: linlin / 작성시간: 목, 2008/04/24 - 3:31오후

그런데 인XX라는 프로그램을 설치하면 어느 정도까지 정보 유출을 방지할 수 있나요? 아마도 이메일 첨부파일 정도는 콘트롤이 가능하겠지만 sftp로 전송해버린다든가 혹은 ssl 작동중인 웹 저장공간에 80포트를 이용해서 업로드 하는 것은 어떻게 체크하나요?

리눅스를 쓰면 일단 /var/log 쪽에 쌓이는 로그만 잘 분석해도 사용자 행동 패턴은 분석이 될 것 갈고... 솔직히 개인인 경험으로는 리눅스를 쓸 때 내 흔적이 남는게 윈도우를 쓰면서 내 흔적이 남는 것 보다 더 신경이 쓰이거든요. 생각없이 .bash_history 파일을 놓아두었는데 어드민한테 메일이 와서 "너 수업에 쓸 위키 돌린다고 계정 만들어줬더니 왜 자꾸 서버에 들어와 명령어로 matlab 때리고 다른 컴퓨터로 자꾸만 ssh 하고 다니니?" 오해당한 경험도 있고 해서 남 기계 쓸때는 오히려 윈도우가 더 안전한(?) 것 같아요. 어드민이 서버 하나야 맨날 로그 분석하고 있겠지만 수십대 데스크탑 중 하나인 내 컴퓨터 로그에 특별히 신경 쓸 이유도 없을 것이구요. 그런데... 서버를 통해 나가는 패킷도 윈도우보다는 리눅스가 분석하기 좋을 것 같은데 이걸 통합적으로 관리하는 툴이 없어서 불편하다고 생각하는 것인지... 뭐 하여간 저도 궁금하군요. 오래전 저나 다른 리눅스 관리자들이 잘 하고 놀던 짓거리(?)가 서버의 텔넷 23번 포트에 패킷 스니퍼 돌려놓고 사용자들 패스워드 구경하기였던 기억이 나네요. 호호호.

mycluster의 이미지

글쓴이: mycluster / 작성시간: 목, 2008/04/24 - 3:38오후

일단 인XX의 경우, 윈도시스템의 각종 디바이스(USB, Floppy, CD 등)의 Write Protection을 걸 수 있다고 하고,
이에 대한 Access 시도가 발생하면 관리자에게 통보를 해줍니다. 그리고, 네트워크의 경우는 첨부파일이나 SFTP
같은 것을 체크하는 것이 아니라, 특정 사용자에게서 일정량 이상의 패킷이 일정 주소로 날라가면 바로 관리자에게
알람을 쳐서 그 사람이 어떤 사이트로 무슨 포트로 접속해서 데이터를 날리고 있는지를 알려줍니다.

인XX에서 체크하지 못하는 상세한 첨부파일이나, 웹에 대한 접속은 NAC(Network Access Control)을 이용해서
특정사이트에 첨부를 못하게 막을 수도 있고 그렇죠.

문제는 리눅스의 경우는 네트워크 접속때문에 그러는 것이 아니라, 윈도에서 자기자리의 리눅스로 파일을 카피하고,
(이건 옆자리니까 Cross Cable만 있어도 되죠) 리눅스에서 USB로 Write를 하면 중앙에서는 체크가 안된다는 것이
보안 담당자들의 문제라는 것이지요.

바로 관리자들이 싫어하는 것이, "수십대 데스크탑 중 하나인 내 컴퓨터 로그에 특별히 신경 쓸 이유도 없을 것이구요" 요 것 때문에 리눅스를 싫어하는 것이라더군요. 윈도는 로그에 신경을 안써도 인XX가 알아서 수시로 보고해
주는데, 리눅스는 무슨 짓을 하는지 들어와서 볼 수가 없어서 문제라는 거죠... root권한을 사용자가 갖고 있어서..

(참고로, 인XX를 막는 팁은 인터넷에 하나씩 늘어납니다. 늘어나자마자 그 다음날 되면 다시 인XX에 기능이 첨부
되어서 막혀버리곤 하죠)

--------------------------------
윈도위의 리눅스 윈도위의 윈도우 리눅스위의 익스플로러

--------------------------------
윈도위의 리눅스 윈도위의 윈도우 리눅스위의 익스플로러

samjegal의 이미지

글쓴이: samjegal / 작성시간: 목, 2008/04/24 - 8:53오후

좋군요 군대에서는 아스테지에 종이랑 도장찍어서 막던데 -_-;;

만능입니다. 보안도 되요. ㅋㅋ

그러고보니 울트라에디트 깔아서 행정실 컴터로 코딩하고 있는데 전화와서 지우라고 하더라구요..
그 당시엔 무지 신기했었는데.. 그래서 랜선 뽑았어요 (-- )( --)

/*
* 한순간에 불과한 인생에서 내가 있었다는 증거를
* 기록해두고 싶기에 사람은 외부기억에 그걸 맡긴다.
*/


/*
* 한순간에 불과한 인생에서 내가 있었다는 증거를
* 기록해두고 싶기에 사람은 외부기억에 그걸 맡긴다.
*/

Necromancer의 이미지

글쓴이: Necromancer / 작성시간: 목, 2008/04/24 - 9:09오후

지우라는 얘기는 라이선스 문제도 걸려있을겁니다. 울트라에디트도 공짜는 아니죠.

Written By the Black Knight of Destruction

Written By the Black Knight of Destruction

linlin의 이미지

글쓴이: linlin / 작성시간: 토, 2008/04/26 - 5:05오전

오. 그렇군요. 그렇다면 관리자들이 여기서 요구하고 있는 기능은 사용자들의 활동을 로그하는 것보다는 소프트웨어가 알아서 문제 있는 로그를 "리포트"해 주는 기능을 원하는 것이라고 볼 수 있네요. 차로 비유하면 본넷트를 안열어보고 차 내부에 고장 문제가 있는지 없는지를 판단할 수 있기를 원한다는 얘기이네요.

이렇게 되면 리눅스나 특히 오픈소스 솔루션들이 별로 위력을 발휘하지 못하죠. 역시 이러한 "모니터링" 패키지들은 수요를 보고 개발사가 개발에 뛰어드는게 자연스러운데 이걸 하려면 리눅스보다는 윈도우 환경이 제격이죠. 일단 수요 측면에서는

* 윈도우는 로그 분석이 쉽지 않고
* 게다가 윈도우 머신은 한두대가 아닌 수십 수백대를 관리해야 하고
* 또 사람들이 많이 쓰니 사용자들의 스킬이 좋고 따라서 exploit 될 가능성이 역시 높고
* 외부에서 침투할 수 있는 툴도 많으니

당연히 수요가 많을 수 밖에 없고 비싼 가격에라도 모니터링 솔루션을 사려고 하겠죠.

그런데 리눅스쪽은

* 로그 분석이 상대적으로 쉽고
* 서버 한두대 혹은 몇대 관리하는 경우가 많지 데스크탑 수십대를 쓸 일이 잘 없고
* 사람들이 많이 안쓰니 exploit이 어려우니

모니터링 솔루션 수요는 그다지 없겠군요.

따라서 개발자마다 윈도우 기계 한대 리눅스 기계 한대씩 주어 놓은 경우같으면 회사 입장에서 윈도우가 보안측면에서 관리하기 뛰어나다는 얘기가 나올 수 있겠군요. 재밌는 현상입니다.

그런데 사실 리눅스도 root로 들어오면 사용자가 무슨 짓을 하는지 볼 수 없는 것은 아니죠. 사용자에게 root권한을 준다고 해도 sudo 같은 기능을 간단히 셋업해 두면 어떤 계정이 무슨짓을 했는지 로그가 남으니까요. 이걸 사용자가 수정하지 못하게 셋업잡는게 어렵지 않을테고.... 어쨌든 비용이 많이 들거나 혹은 노동력 투입 여유가 없어서 리눅스의 보안 도구를 써먹을 여유가 안나오더라.... 가 아니고 리눅스는 아예 모니터링이 안된다... 식으로 생각하는 관리자들의 반응이 참 재미있네요.

여기서 상상력을 좀 더 전개해보면... 윈도우가 오히려 로그 분석도 어렵고 한번에 데스크탑 수십대 관리해야 하는 악조건이 오히려 보안 모니터링 솔루션 개발을 촉진하게 되었다는 얘기가 되는데... 참 아이러니 하지만 나름대로 또 이유가 되네요. 역시 많이 쓰인다는.. 혹은 많이 써야 한다는 게 무섭습니다.

아 그리고 참고로 요즘 웬만한 랜카드는 케이블을 auto-detection합니다. 크로스 케이블 없어도 컴퓨터 두대 랜선으로 연결하면 왠만한 경우는 그냥 연결이 됩니다. 힘들게 크로스 케이블 만들 필요가 별로 없어요.

rein의 이미지

글쓴이: rein / 작성시간: 토, 2008/04/26 - 9:53오후

사실 상 막을 수 있는게 전무합니다.

* SSL / SSH 접속을 딱히 막는 것도 아니고
* USB에 쓰는 걸 "제대로" 막는 것도 아닙니다 -- 회사에서 PC간 파일 옮길 때 인캅스 우회해서 USB 복사하고 있습니다. 64bit 머신에선 아예 설치도 안되는 쓰레기 프로그램이기도 하고,

제가 예전에 블로그에 http://rein.upnl.org/wordpress/archives/625 에 글을 썼었는데, 사용자에게 주는 불편에 비해서 사실상 뭔가 해주는게 없습니다.

warpdory의 이미지

글쓴이: warpdory / 작성시간: 금, 2008/04/25 - 8:46오후

예를 들어 저희 회사에서 사용하는 아이xx 라는 프로그램을 설치하면 ...
외부로 자료 보내는 것 자체가 거의 불가능합니다.

쉽게 설명하면 회사에서 허가한 곳 외에는 접속이 불가능하고, 접속이 되더라도 로그인/자료 보내는 것 등등 이런 것이 모두 불가능합니다.
회사 컴퓨터에서 kldp 에 오는 것은 가능하지만, 로그인이 안됩니다. - 제가 낮에 kldp 에 올리는 글이 거의 없는 이유이기도 하구요... 네이버 접속 됩니다. 하지만, 네이버 메일 보겠다고 id 입력하고 pw 입력해서 login 하는 순간 웹브라우저는 꺼져버립니다.

말씀하신 sftp, ssl 등은 물론 다 막혀 있습니다.
Active directory 와 연계 되어서 모든 자료는 로컬 컴퓨터에 저장되지 않습니다.
회사에서 생성되는 모든 문서든 뭐든 ... 하여간에 모든 건 모두 서버에 저장되고, 서버는 외부에서 접속이 블가능합니다.
불법 소프트웨어 또는 회사에서 인증받지 않은 소프트웨어, 인증 받은 것이라도 자신의 업무와 관계 없는 소프트웨어는 모두 설치할 수도 없고, 설치하더라도 3분 이내에 화면에 '경고' 라고 큼직하게 창이 뜨면서 마우스가 마구 움직이면서 지혼자 막 지웁니다.

그리고, 혹시 저런 걸 피해서 뭘 깔더라도 하드디스크 보안관 류의 보안 카드가 컴퓨터 PCI 슬롯에 꽂혀 있어서 컴퓨터를 껐다가 켜면 회사에서 처음에 나눠준 상태로 돌아갑니다. 혹시라도 저 카드를 빼고 네트웍에 연결하면 역시나 한 3분 쯤 뒤에 보안요원이 뛰어와서 잡아갑니다. 이거 3번 누적되면 삼진아웃제 ... 로 해고됩니다.

즉, 회사에서 사용하는 컴퓨터는 '업무용 사무기기' 이지 인터넷을 서핑한다거나 온라인 게임을 한다거나 사적인 메일을 보낸다거나 ... 하는 용도는 불가능합니다.
그리고 회사 어느 곳에서건 아무 컴퓨터에서나 자신의 계정으로 로그인 하면 자신의 화면이 뜹니다. 윈도즈긴 한데... 터미날이라고 보면 됩니다. 그래서 자신의 계정으로 접속하면 그때서야 어떤 프로그램이든 실행시킬 수 있고, 자기에게 주어진 권한으로 프로그램을 실행할 수 있습니다. 계정으로 접속하기 전엔 하다못해 노트패드도 실행시킬 수 없습니다.

이런 곳이 ... 이바닥(제가 다니는 회사는 컴퓨터 회사가 아닙니다... )의 대부분입니다.

회사에 mp3 플레이어를 들고 들어간다거나 ... usb 메모리 들고 들어가거나 ... 이거 역시 금지 사항이고 .. 사실 USB 에 뭐 꽂아 봐야 인식도 안됩니다. 대체 윈도즈에 뭔 짓을 해 놓은 건지는 모르겠지만 ... 저렇게 돕니다.

---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.
http://akpil.egloos.com


---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.

mycluster의 이미지

글쓴이: mycluster / 작성시간: 화, 2008/04/29 - 7:43오전

혹시 회사에서 인터넷 뱅킹은 문제없이 되나요?
AD와 연계해서 사용하는 대부분의 회사들은 Local Machine의 사용자들에게
Local Administrator의 권한을 안주는 경우가 대부분으로 알고 있어서,
인터넷 뱅킹용 Active X가 설치가 안될거 같은데, 어떤까요?

--------------------------------
윈도위의 리눅스 윈도위의 윈도우 리눅스위의 익스플로러

--------------------------------
윈도위의 리눅스 윈도위의 윈도우 리눅스위의 익스플로러

warpdory의 이미지

글쓴이: warpdory / 작성시간: 화, 2008/04/29 - 7:26오후

회사에서는 kldp 로그인이 불가능해서 .. 이제서야 글을 남기네요.

activeX 는 안됩니다.
... 인터넷 뱅킹도 안되죠.

물론, 업무적으로 인터넷 뱅킹이 필요한 부서들 ... 재경팀이라든가 구매팀이라든가 ..
이런데서는 권한을 받아서 사용하고 있습니다.

---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.
http://akpil.egloos.com


---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.

Necromancer의 이미지

글쓴이: Necromancer / 작성시간: 목, 2008/04/24 - 4:35오후

이걸 초가집에 철문을 단 꼴이라고 하죠.

옥션이나 청와대 등등의 핵심 장비들이 수십가지 각종 보안정책으로 잘 보호받고 있는 것으로 보이지만 (자물쇠 잠긴 철문)
주변의 담(윈도우가 깔린 직원 컴퓨터)이 허술하기 때문에 그곳으로 간단히 우회해서 들어가버리는거죠.

Written By the Black Knight of Destruction

Written By the Black Knight of Destruction

appler의 이미지

글쓴이: appler / 작성시간: 목, 2008/04/24 - 5:04오후

어떤 비유가 좋을까요?

쇼핑몰이니 그거랑 비슷하겠네요

택배입니다.~!!

하고 문을 열어줬더니

강도가 들어왔다??


laziness, impatience, hubris

不恥下問 - 진정으로 대화를 원하면 겸손하게 모르는 것은 모른다고 말하는 용기가 필요하다.
하지만 모르는것에 대해서


laziness, impatience, hubris

不恥下問 - 진정으로 대화를 원하면 겸손하게 모르는 것은 모른다고 말하는 용기가 필요하다.

rein의 이미지

글쓴이: rein / 작성시간: 토, 2008/04/26 - 11:36오후

어제(금요일)까지도 수정안되고 있는건 뭐라고 생각해야할까요.
USB 장치로 모든 파일을 "그냥" 복사할수 있게 해주는 구멍이 있습니다. (한마디로 아무 프로그램 설치 없이 윈도우즈 로그인만 되면 되는 걸로)

// 댓글에 대한 답글이어야하는데 밑에 와서 붙었네요 :(
인캅스 업데이트가 바로바로 된다는데 대한 답글입니다;

junilove의 이미지

글쓴이: junilove / 작성시간: 화, 2008/04/29 - 9:02오후

요즘 군대에서는 보통 백신체계의 에이전트 프로그램이 수집하는 정보를 통해서 불법적으로 실행되거나 설치되어 있는 프로그램을 감시합니다. 그외 ids를 통해서도 하구요. USB나 플로피 등도 별도의 통제프로그램이 개발되어서 운용되고있습니다. 인터넷 단말PC는 상업용 프로그램이 도입되어 있구요.

둘러보기