최근 PHP기반의 bbs 취약점이 속속들이 공개되고 있습니다. 제로보드 4, 테크노트, rgboard 등 PHP 기반 게시판을 사용하는 분들은 올라오는 패치를 꼭 설치하세요.

지난 한주간의 보안 관련 이슈를 정리하여 살펴보시죠.

취약점 소식

• 제로보드 4 PL 8 취약점 - milw0rm
  2007년 12월 18일에 마지막으로 업데이트 된 제로보드 4 PL 8의 다양한 취약점이 공개되었습니다. 공개된 취약점은 SQL injection, XSS, 숨긴 글 보기 등 여러가지 입니다. 취약점을 공개했던 make0day도 했던 이야기지만, 제로보드 XE로 업그레이드 하는 것을 추천합니다.
• metabbs 취약점 - SecurityFocus
  metabbs의 관리자 인증 취약점이 공개되었습니다.
• grboard 취약점 - milw0rm
  grboard 1.8 버전의 원격 파일 포함 취약점이 공개되었습니다. grboard를 사용하시는 분을은 개발자 블로그를 참고하시어 1.8.1 버전으로 업데이트 하시기 바랍니다.

국외 소식

• 카스퍼스키 랩 해킹 - hummingbird
  the register에 따르면 미국 카스퍼스키 사이트에서 고객 및 라이센스 등 다양한 정보가 유출 되었다고 합니다. 그러나 카스퍼스키 랩에선 공격이 발생한 후에 바로 대처하여 중요한 정보가 공개되지 않았다고 합니다.
• PHPBB.com - zdnet
  PHP 기반 포럼인 phpbb를 배포하는 phpbb.com 사이트가 해킹당했습니다. 공격방법은 이곳에 정리되어 있습니다.

국내 소식

• 최근 해킹당한 사이트 - 보안뉴스
  최근의 흐름을 반영하듯 rgboard, 제로보드등의 구버전을 사용한 홈페이지들이 많습니다. 사고를 당하지 않기 위해선 적절히 업데이트 하는 센스가 필요합니다.
• 기업 이메일중 90%는 스팸 - zdnet
  기업 이메일중 90% 정도는 스팸이라고 합니다. 이 글을 보시는 분들은 얼마나 많은 스팸을 받는가요?

어느덧 2008년의 마지막 주가 되었습니다. 여러분, 한 해를 후회없이 잘 보내셨나요? ^^ 내년에도 모두 건강하시고 원하시는 일 성취하시길 바랍니다. 이번 주 뉴스레터는 연말 특집으로 올해의 주요 사건을 정리해보는 시간을 가져보겠습니다.

다수의 개인 정보 유출

올해 유난히 대형 개인 정보 유출 사건이 많이 발생했습니다. 옥션 유출 사건은 해외까지 소문났고, 아예 통신 업체에서 대놓고 팔아먹은 경우도 있었고, 하도 개인 정보 유출 사고가 많이 터지다보니 소송에서 떨어지는 돈으로 한 몫 잡아볼 생각으로 언론에 개인 정보가 담긴 시디를 흘렸다가 구속된 사람도 있었죠.

1. 옥션 개인 정보 유출 사건 (2월, 1080만 규모)
2. 하나로텔레콤 개인 정보 유용 사건 (4월, 600만 규모)
3. 다음 한메일 유출 사건 (7월, 55만 규모)
4. GS 칼텍스 개인 정보 유출 사건 (9월, 1100만 규모)

이에 대응하여 각 대형 포털마다 암호 변경 캠페인을 진행했고, KISA에서 개인정보 클린 캠페인도 진행했습니다. 이 사건들을 교훈 삼아 앞으로는 웹사이트에서 불필요한 개인 정보를 요구하지 않았으면 합니다.

대규모 SQL 인젝션과 DDoS 사건

이제 대규모 공격이 일상적으로 발생하고 있습니다. 특히 ASP와 MS-SQL 데이터베이스로 구성된 웹사이트가 가장 많이 공격을 받는 것으로 보입니다. 수십만이 넘는 웹사이트가 SQL 인젝션에 당하면서 악성 코드를 유포하는 사이트가 되어버렸습니다. 이 때문에 감염된 사이트들을 방문하는 컴퓨터들이 악성 코드에 감염되어 좀비가 되는 일이 반복되었습니다. 좀비들은 스팸 발송이나 DDoS 공격에 이용됩니다. 웹 방화벽을 도입한 경우는 그나마 나았지만, 웹 방화벽도 우회하려는 시도가 계속 발견되었습니다. %를 이용한다든지 POST 매개변수 대신 쿠키에 인젝션 코드를 삽입하는 등 공격 방식이 계속 진화하는 양상을 보였습니다.

특히 올해는 DDoS 공격이 예전과 달리 대범해지는 경향을 보였습니다. 예전에는 주로 공격 당해도 신고가 어려운 불법 사이트를 먹잇감으로 삼았으나, 이제는 가리지 않고 공격을 하고 있습니다. 돈을 뜯어내는게 목적인 경우도 있지만 경쟁사를 고사시키려는 목적을 가지고 공격하는 경우도 늘어나고 있습니다. 올해 발생한 주요 사건 목록을 한 번 살펴보시죠.

• 미래에셋 DDoS 피해, 검거 소식 (3월)
• 겜짱, 아레오닷컴 DDoS 피해 (10월)
• 아이템베이 DDoS 피해 (12월)

결국 금융권에서도 DDoS 대응 장비를 줄줄이 도입했고, DDoS 장비 시장이 열리는 계기가 되었습니다.

기반 시스템 취약점

올해는 인터넷의 기반을 이루는 요소에서 굵직굵직한 취약점이 많이 발견되었습니다.

1. Dan Kaminsky의 DNS 포이즈닝 취약점: 원래 블랙햇 컨퍼런스에서 발표할 예정이었지만, 예정보다 일찍 DNS 캐시 포이즈닝 취약점이 유출되면서 난리가 났었죠. DNS 프로토콜 수준의 취약점이라 프로토콜 자체를 수정할 수는 없고 출발지 포트를 랜덤하게 바꾸어 공격을 어렵게 하는 방식으로 패치되었습니다. DNS 서버가 한 두 대가 아니다보니 패치를 진행하는 도중에도 산발적인 공격이 있었지요. 일부 공격자들은 구글 같은 검색엔진으로 가는 트래픽을 가로채서 광고 클릭을 올리는데 활용하기도 했습니다. 컨퍼런스 자료를 보시려면 이 링크를 참조하세요.
2. SMB RPC 취약점 (MS08-067): 올해 10월 말 서버 서비스에서 RPC 취약점이 발견되면서 엄청난 후폭풍이 있었습니다. 한동안 은밀한 공격만 이어졌지만, 11월 말이 되면서 대규모 공격으로 이어졌습니다. 방화벽만 제대로 설치해뒀어도 막을 수 있는 일이었지만, 개인 PC까지 상당한 피해를 입었습니다.
3. 데비안 OpenSSH 생성 키 취약점: 올해 5월에 2006년 9월부터 2008년 5월 13일 사이에 데비안 계열 (우분투 포함) 리눅스에서 생성한 모든 키와 인증서가 취약한 것으로 드러나 긴급 경보가 발령되었습니다. 이 시점에 SSH 키를 기반으로 인증하는 시스템을 목표로 하는 SSH Bruteforce 공격이 크게 증가했었습니다. 인증서는 신뢰의 근본인만큼 한 번 깨지면 막대한 피해가 발생할 수 있는데 다행히 큰 일 없이 지나갔습니다.
4. Net-SNMP HMAC 취약점: 올해 6월에 공개된 것으로 HMAC의 길이를 클라이언트가 보내준대로 믿고 사용하면서 발생한 취약점입니다. 길이를 1로 보내면 최대 256개의 패킷만 때려부으면 되기 때문에 간단하게 인증을 우회할 수 있습니다. 특히 SNMP를 지원하는 여러 네트워크 및 보안 장비들이 Net-SNMP 라이브러리를 그대로 가져다 썼기 때문에 문제가 확대되었습니다. 이 취약점이 공개된 직후 한동안 UDP 161, 162 포트를 대상으로 한 SNMP 스캔이 증가했었습니다. 피해가 적었던 것은 대부분 SNMP 접근이 가능한 IP 대역을 제한해놨기 때문이지요.

클라이언트 취약점

올해도 각종 인터넷 익스플로러 취약점, ActiveX 취약점과 오피스 취약점이 공개되었습니다. 특히 12월에 터졌던 인터넷 익스플로러 XML 취약점은 버전에 관계없이 공격 가능한 것으로 드러나 큰 이슈가 되었습니다. 어도비 플래시 취약점은 SQL 인젝션과 연계하여 대규모 공격이 발생하면서 국내에서도 많은 피해를 입혔습니다. 어도비 리더와 아크로뱃의 취약점도 새로 발견되었구요.

일반인 여러분의 경우 특히 오피스나 PDF 리더의 취약점을 이용하는 악성 문서를 열어보기 쉽습니다. 실행 파일이 첨부된 경우는 보통 의심을 한 번씩 하지만, 문서인 경우에는 의심하지 못하고 열어보게 되니까요. 일상적으로 사용하는 OA 프로그램은 꼭 패치 나올 때마다 패치를 바로 하셔야 안전합니다.

끝맺음

이제 2008년 한 해를 되돌아보는 시간을 마치겠습니다. 금융위기로 어려운 시기이지만 힘 내시길 바랍니다. NCHOVY도 내년에 더 나은 모습을 보일 수 있도록 노력하겠습니다. 화이팅!

지난 목요일(18일)엔 12월을 달궜던 IE의 제로데이 취약점 패치가 공개되었습니다. 윈도우를 사용하시는 분들은 꼭 다운로드 받아서 패치하세요.

지난 1주간의 중요 소식을 살펴보시죠.

취약점

• 플래시 취약점 - Security Focus
  원격에서 공격할 수 있으나, 구체적인 내용은 확인되지 않은 취약점입니다. 10.0.15.3 혹은 9.0.152.0 이전의 플래시를 사용하는 분들은, 꼭 업데이트 하세요.
• 파이어폭스/썬더버드/씨몽키 취약점 - Security Focus
  파이어폭스/썬더버드/씨몽키 등에서 공통적으로 발견된 취약점입니다. 이 취약점을 이용해 공격자가 중요한 정보를 빼내거나, 임의의 코드를 실행할 수 있다고 합니다. 썬더버드 2.0.19, 씨몽키 1.1.14, 파이어폭스 3.0.5, 2.0.19 이전 버전이 해당됩니다. 파이어폭스 2는 더이상 업데이트가 안된다고 하니, 이참에 파이어폭스 3으로 갈아타는 것은 어떨까요?

국내 소식

• 거물 웹사이트 잡는 DDoS, 또 '기승' - 쿠키뉴스
  얼마전 아이템베이에 DDoS 사고가 발생했습니다. 날이 가면 갈수록 DDoS 사고가 증가하고 있는데, DDoS가 줄어들 기미는 요원해 보입니다.
• 유가환급금 보이스피싱 - 보안뉴스
  최근 유가환급금과 관련된 보이스피싱이 발생하고 있습니다. 유가환급금을 돌려준다고 하면서 계좌번호를 알려달라고 하는 전화를 조심하세요.
• V3 Lite 정식 서비스 개시 - 보안뉴스
  안철수연구소가 개인용 무료백신 V3 Lite의 정식 서비스를 시작했습니다. 이로써 개인사용자는 알약과 더불어 V3 Lite도 무료로 사용할 수 있게 되었습니다.

 국외 소식

• Cisco 2008 Security Annual Report
  2008년의 위협 정보와 경향이 정리된 보고서입니다. 실무자이거나, 보안에 관심있다면 MUST READ