Chapter 4 - Case Study
À¥ º¸¾È ¼Ö·ç¼Ç, ÀÌ·¸°Ô È°¿ëÇ϶ó
À¥ ½ºÄ³³Ê·Î Ãë¾àÁ¡ Á¡°Ë
À¥ ¹æȺ®°ú À¥ ½ºÄ³³Ê ÇÔ²² ±¸Ãà Áõ°¡
ÀϹÝÀûÀ¸·Î ¼¹ö Ãø¸é¿¡¼ À¥ º¸¾ÈÀ» °í·ÁÇÒ ¶§ À¥ ¹æȺ®°ú À¥ ½ºÄ³³Ê¸¦ ÇÔ²² °í·ÁÇÑ´Ù. º¸È£ÀÇ ¼º°Ý°ú ÇüÅ°¡ ´Ù¸£Áö¸¸, À¥ ¼¹ö¸¦ ¿ÜºÎÀÇ ÇØÅ· °ø°ÝÀ¸·ÎºÎÅÍÀÇ ½Ã½ºÅÛ º¸È£¶ó´Â °øÅëµÈ ¸ñÀûÀ» °¡Áö°í Àֱ⠶§¹®¿¡ ¾ó¸¶ Àü±îÁö¸¸ Çصµ ÀÌ µÎ °¡Áö Áß¿¡ ÇÑ °¡Áö¸¸ ¼±ÅÃÇØ µµÀÔÇÏ´Â °æ¿ì°¡ ¸¹¾Ò´Ù. ±×·¯³ª ÃÖ±Ù¿¡´Â À¥ º¸¾È ½Ã½ºÅÛÀ» ±¸ÃàÇÒ ¶§¿¡ À¥ ¹æȺ®°ú À¥ ½ºÄ³³Ê¸¦ ÇÔ²² µµÀÔÇϰųª ÀÌ¹Ì À¥ ¹æȺ®À» µµÀÔÇÑ °æ¿ì¿¡ À¥ ½ºÄ³³Ê¸¦ Ãß°¡·Î µµÀÔÇÏ´Â °æ¿ì°¡ ´Ã°í ÀÖ´Ù. PS ScanW3BÀÇ ±¸Ãà »ç·Ê Áß¿¡ Á¤º¸Åë½ÅºÎ, Áõ±Ç¼±¹°°Å·¡¼Ò(KRX), ´ëÇÑÁÖÅðø»ç, ¾çõ±¸Ã», »ï¼ºÀüÀÚ, KT, »ï¼ºÀüÀÚ, CJ½Ã½ºÅÛÁî µîÀÌ ¹Ù·Î ÀÌ µÎ °¡Áö¸¦ ÇÔ²² ±¸ÃàÇÑ °æ¿ìÀÌ´Ù.
±ÝÀ¶±Ç, À¥ Ãë¾àÁ¡ Á¡°Ë°ú ¼Ò½ºÄÚµå ¼öÁ¤
±ÝÀ¶±Ç¿¡¼´Â ÀÎÅͳݹðÅ·°ú °°ÀÌ À¥ ¼ºñ½ºÀÇ ¾ÈÁ¤¼ºÀÌ Áß¿äÇϱ⠶§¹®¿¡ ´ëºÎºÐÀÇ ±â°ü¿¡¼ À¥ ¹æȺ®ÀÌ µµÀÔµÇÁö ¸øÇÏ°í À¥ ½ºÄ³³Ê·Î Ãë¾àÁ¡À» Á¡°ËÇÏ´Â ÇüÅ·ΠÀ¥ º¸¾ÈÀÌ ÀÌ·ç¾îÁö°í ÀÖ´Ù. Áï, Æ®·£Àè¼ÇÀÌ ¿©·¯ ´Ü°èÀÎ °æ¿ì ȤÀº HTMLÀÇ ¾Ï¡¤º¹È£È°¡ ÀÌ·ç¾îÁö´Â °æ¿ì µî Ưº°ÇÑ °æ¿ì À¥ ¹æȺ®À» ÅëÇÑ º¸¾ÈÀº ¼ºñ½º Àå¾ÖÀÇ ¿äÀÎÀÌ µÉ ¼ö Àֱ⠶§¹®¿¡ À¥ ½ºÄ³³Ê·Î Ãë¾àÁ¡À» Á¡°ËÇØ ¼Ò½ºÄڵ带 ¼öÁ¤ÇÏ´Â ÇüÅ·ΠÀ¥ º¸¾ÈÀÌ ÀÌ·ç¾îÁö°í ÀÖ´Ù.
¡Ü ±ÝÀ¶°áÁ¦¿ø : °øÀÎÀÎÁõ ±â°ü YesSignÀÇ ÁÖüÀÎ ±ÝÀ¶°áÁ¦¿ø ISAC½Ç¿¡¼ Á¡°Ëµµ±¸·Î »ç¿ëÇÏ¸ç ±ÝÀ¶°áÁ¦¿øÀÇ µµ¿òÀ¸·Î °øÀÎ ÀÎÁõ¼ ±â¹Ý »çÀÌÆ® (PKIȯ°æ)ÀÇ ºÎºÐ ¾ÏÈ£È À¥ ÆäÀÌÁö¿¡ ´ëÇÏ¿© Á¡°ËÀÌ °¡´ÉÇϵµ·Ï ¿©·¯ °¡Áö PKI ¼Ö·ç¼Ç°úÀÇ ¿¬µ¿ Ä¿½ºÅ͸¶ÀÌ¡ÀÌ ÀÌ·ç¾îÁ® ±ÝÀ¶±Ç Á¡À¯À² 1À§ÀÇ ¼º°ú¿¡ ¹Ø¹ÙÅÁÀÌ µÆ´Ù.
¡Ü »ï¼ºÈÀç : ¸¹Àº ÀοøÀÌ ¼ÓÇØ ÀÖ´Â °³¹ßºÎ¼¿¡¼ ¼öÁ¤/°³¹ß µÇ´Â À¥ ¾ÖÇø®ÄÉÀ̼ÇÀÇ Ãë¾àÁ¡ Á¡°ËÀ» À§ÇØ PS ScanW3B CS Á¦Ç°ÀÌ µµÀÔµÇ¾î ¿©·¯ ´ã´çÀÚµéÀ» ÅëÇÑ »ó½Ã Á¡°Ë ¹× Ãë¾àÁ¡ °ü¸®¸¦ Áö¿øÇÏ°Ô µÆ´Ù. Áï, ¿©·¯ °³¹ßÀÚ°¡ À¥À¸·Î Ãë¾àÁ¡ Á¡°Ë ¼¹ö¿¡ Á¢¼ÓÇÏ¿© Áß¾ÓÀÇ Á¡°Ë¼¹ö¿¡¼ Á¡°Ë ´ë»ó À¥ ¼¹ö¸¦ Á¡°ËÇÏ°í ¸®Æ÷Æ® »ý¼º ¹× À̷°ü¸®¸¦ ÇÒ ¼ö ÀÖ´Ù. ¶ÇÇÑ XÀÎÅͳݿ¡ ´ëÇÑ Áö¿ø ¸ðµâÀ» Ãß°¡ °³¹ß·Î Á¦°øÇß´Ù.
¡Ü Á¦ 1±ÝÀ¶±Ç(ºÎ»êÀºÇà, ±¹¹ÎÀºÇà µî)°ú Á¦ 2±ÝÀ¶±Ç(»ï¼ºÄ«µå, LGÄ«µå, ´ëÇÑ»ý¸í µî) : ¿©·¯ PKI ¼Ö·ç¼Ç°úÀÇ ¿¬µ¿À» ÅëÇØ ÀÎÁõ¼¸¦ ÅëÇÑ ·Î±×ÀÎ °úÁ¤À» °ÅÄ£ ÈÄ ÀÎÁõµÈ »óÅ·ΠÀ¥ »çÀÌÆ®¸¦ Á¡°Ë °¡´ÉÇϵµ·Ï ±¸ÃàµÆ´Ù. ¶ÇÇÑ ¸®½ºÅ© °ü¸®½Ã½ºÅÛ(RMS)°úÀÇ DBÂ÷¿ø¿¡¼ÀÇ ¿¬µ¿À̳ª ÀÌÁß ·Î±×ÀÎ( ID/PWD ·Î±×ÀÎ ÈÄ ´Ù½Ã ÀÎÁõ¼ ·Î±×ÀÎ) ȯ°æ, ±×¸®°í ¿©·¯ °¡Áö ActiveX ȯ°æ¿¡¼ Á¡°ËÀÌ °¡´ÉÇϵµ·Ï Ä¿½ºÅ͸¶ÀÌ¡ µÆ´Ù.
±â¾÷, ±â´É Ãß°¡ µî Ä¿½ºÅÍ ¸¶ÀÌ¡
¡Ü KT, Çϳª·ÎÅÚ·¹ÄÞ, CJ½Ã½ºÅÛÁî, »ï¼º³×Æ®¿÷½º : °³¹ßºÎ¼¿Í º¸¾ÈºÎ¼ »çÀÌÀÇ ¿öÅ©ÇÃ·Î¿ì °ü¸® ¹× À̷°ü¸®¸¦ À§Çؼ º°µµ Áö¿ø ¸ðµâÀÌ Ä¿½ºÅ͸¶ÀÌ¡ µÇ¾úÀ¸¸ç ¿©·¯ °è¿»çÀÇ À¥ ¼¹ö¸¦ Á¡°ËÇÒ ¼ö ÀÖµµ·Ï È®´ë Àû¿ëµÆ´Ù.
¡Ü »ï¼ºÀüÀÚ : PS ScanW3B Á¦Ç°À» ´Ù·® ±¸¸ÅÇÏ¿© Àü±¹ÀÇ °¢ »ç¾÷Àå¿¡ µµÀÔÇÏ°í »ï¼ºÀüÀÚ ³»ºÎÀÇ º¸¾È Á¤Ã¥¿¡ µû¶ó ±â´ÉÃß°¡ ¹× Ä¿½ºÅ͸¶ÀÌ¡(DBMS¸¦ MS SQL Server·Î º¯°æ) ÇÏ¿© Àû¿ëÇß´Ù. ƯÈ÷ ±¹³»¿Ü ¸ðµç Á¦Ç°¿¡ ´ëÇØ 9°³¿ù µ¿¾ÈÀÇ ¾ö°ÝÇÏ°í ÀÚ¼¼ÇÑ 3Â÷ ºñ±³Å×½ºÆ®(BMT)¸¦ Åë°úÇÏ¿© PS ScanW3BÀÌ ¼±Á¤µÆÀ¸¸ç ÀÌ°ÍÀº »ï¼º±×·ìÀÇ °¢ °è¿»ç¿¡ °ø±ÞµÇ´Â °è±â°¡ µÆ´Ù.
°ø°ø¡¤±³À°, À¥ Ãë¾àÁ¡ Á¡°Ë ¹× °ü¸®
¡Ü Á¤º¸Åë½ÅºÎ : 2005³â Á¤º¸º¸È£ ¼±ÁøÈ »ç¾÷ÀÇ ÀÏȯÀ¸·Î µµÀԵǾî ÇöÀç±îÁö ¿î¿ëµÇ°í ÀÖÀ¸¸ç °³ÀÎÁ¤º¸ÀÇ ³ëÃâ ¿©ºÎ¸¸ Á¡°ËÇϱâ À§ÇØ SpiderWebµµ Ãß°¡·Î Á¦°øÇß´Ù. ¶ÇÇÑ ¿ìü±¹(¿ìÁ¤»ç¾÷ºÎ) ¹× ÀüÆÄ¿¬±¸¼Ò µîÀÇ »êÇϱâ°ü¿¡¼ À¥ Ãë¾àÁ¡ Á¡°ËÀ» À§ÇØ ÁÖ±âÀûÀÎ Á¡°ËÀÌ ÀÌ·ç¾îÁö°í ÀÖ´Ù.
¡Ü Çѱ¹Á¤º¸º¸È£ÁøÈï¿ø, Çѱ¹°úÇбâ¼úÁ¤º¸¿¬±¸¿ø, Çѱ¹±³À°ÇмúÁ¤º¸¿ø : PS ScanW3B Á¦Ç°À» µµÀÔÇÏ°í 2005 À»ÁöÈƷÿ¡ »ç¿ëÇß´Ù. ÀÌÈÄ¿¡µµ ½Å±Ô Ãë¾àÁ¡ ´ëÀÀÃ¥¿¡ ´ëÇØ Çù·ÂÇØ¿À°í ÀÖ´Ù. ¿¹¸¦ µé¾î Áß±¹ ÇØÄ¿µéÀÌ »ç¿ëÇÏ´Â SQL Injection ÀÚµ¿ °ø°Ý µµ±¸, Google-Dork µµ±¸ µîÀ» °³¹ßÇÏ¿© PS ScanW3BÀÇ ºÎ°¡¸ðµâ·Î Ãß°¡Çß´Ù.
¡Ü ¼¿ï´ëÇб³ : Çб³ ¸ÁÀ» »ç¿ëÇÏ´Â ±³³» À¥ ¼¹ö ÀüüÀÇ À¥ Ãë¾àÁ¡ Á¡°ËÀ» À§ÇØ PS ScanW3B CS Á¦Ç°ÀÌ µµÀÔµÇ¾î ¼ö¹é ¸í¿¡ ´ÞÇÏ´Â °¢ ¼¹ö ´ã´çÀÚµéÀ» ÅëÇÑ »ó½Ã Á¡°Ë ¹× Ãë¾àÁ¡ °ü¸®¸¦ Áö¿øÇÏ°Ô µÆ´Ù. Áï, °ø°ú´ë, Àι®´ë, °æ¿µ´ë, ¹ý´ë, ÀÚ¿¬´ë, ¿¹Ã¼´É´ë µî ´Ü°ú´ë º°·Î µû·Î °ü¸®µÇ´Â º¹ÇÕÀûÀΠȯ°æ¿¡¼ Áß¾ÓÀÇ ¿©·¯ Á¡°Ë¼¹ö¸¦ ÅëÇØ Á¡°Ë°ú À̷°ü¸® µîÀÌ ÀÌ·ç¾îÁö°í ÀÖ´Ù.
¡Ü ´ëÇÑÁÖÅðø»ç, Çѱ¹Àü·Â°ø»ç : Àüü À¥ ¼¹ö¿¡ ´ëÇÑ À¥ Ãë¾àÁ¡ Á¡°ËÀ» À§ÇØ PS ScanW3B CS Á¦Ç°ÀÌ µµÀÔµÇ¾î ¿©·¯ ´ã´çÀÚµéÀ» ÅëÇÑ »ó½Ã Á¡°Ë ¹× Ãë¾àÁ¡ °ü¸®¸¦ Áö¿øÇÏ°Ô µÆ´Ù. ±×¸®°í ÁÖÅðø»çÀÇ Á¤Ã¥¿¡ µû¶ó DBMS¸¦ MS SQL Server·Î º¯°æÇÏ¿© Àû¿ëÇß´Ù. ƯÈ÷ Çѱ¹Àü·Â°ø»çÀÇ °æ¿ì ½Ã½ºÅÛ/³×Æ®¿öÅ© ½ºÄ³³Ê¿ÍÀÇ ¿¬µ¿À» ÅëÇØ ¸ðµç Ãë¾àÁ¡À» ÇÑ´«¿¡ º¼ ¼ö ÀÖµµ·Ï ±¸¼ºµÆ´Ù.
ÀÌ ¿Ü¿¡µµ ¼¿ïƯº°½Ã, °æ±âµµÃ», ¿µµ¿±ºÃ», ÀǼº±ºÃ», ¾çõ±¸Ã» µîÀÇ °ø°ø±â°ü°ú Æ÷ÅÐ, °ÔÀӻ翡¼µµ ±× ¼º´ÉÀ» ÀÎÁ¤¹Þ¾Ò´Ù.
<±Û¡¤Á¶Àϼ® ÆднÃÅ¥¸®Æ¼ °úÀå(cho@panicsecurity.com)>
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>