Ãë¾àÁ¡ Á¡°Ë ¹× ÆÐÄ¡ Àû¿ë, µðµµ½º ¹æ¾î µî KISA º¸È£³ª¶ó °¡À̵å Âü°íÇØ Ã¶ÀúÈ÷ ´ëºñÇؾß
[º¸¾È´º½º ±è°æ¾Ö ±âÀÚ] ¿ì¸®³ª¶ó À¥»çÀÌÆ®¸¦ ÁýÁß °ø°ÝÇÏ°í ÀÖ´Â Áß±¹ ÇØÄ¿ ´Ï¿ºÀÌ ±¹³» 90°³ »çÀÌÆ® µ¥ÀÌÅͺ£À̽º °èÁ¤Á¤º¸¸¦ ³ëÃâÇÏ°í, ¡®Á¦ÁÖƯº°ÀÚÄ¡µµ ³ó¾÷±â¼ú¿ø Á¦ÁÖ³ó¾÷±â¼ú¼¾ÅÍ¡¯, ¡®°æ±âµµ ¾î¸°ÀÌÁý °ü¸®½Ã½ºÅÛ¡¯ µîÀ» ÇØÅ·ÇÑ Á¤È²À» ÅÚ·¹±×·¥¿¡ Ãß°¡ °ø°³Çß´Ù. °Ô´Ù°¡ Áß±¹ ÇØÄ¿°¡ ´Ù°¡¿À´Â ¼³ ¿¬ÈÞ¿¡µµ °ø°ÝÀ» ¿¹°íÇØ Ãë¾àÁ¡ ÆÐÄ¡, ħÀÔŽÁö ¹× ¸ð´ÏÅ͸µ °È, Çѱ¹ÀÎÅͳÝÁøÈï¿ø º¸¾È °øÁö ¹× °¡ÀÌµå µîÀ» ¹ÙÅÁÀ¸·Î öÀúÇÑ ´ëºñ¸¦ ÇØ¾ß ÇÒ °ÍÀ¸·Î º¸ÀδÙ.
¡ãÁß±¹ ÇØÄ¿ ´Ï¿ºÀÌ °ø°ÝÇß´Ù°í ÁÖÀåÇÑ ¡®°æ±âµµ ¾î¸°ÀÌÁý °ü¸®½Ã½ºÅÛ¡¯ »çÀÌÆ® ȸé[À̹ÌÁö=º¸¾È´º½º]
Áö³ 30ÀÏ Áß±¹ ÇØÄ¿ ´Ï¿ºÀÌ ¡®°æ±âµµ ¾î¸°ÀÌÁý °ü¸®½Ã½ºÅÛ¡¯À» °ø°ÝÇÑ Á¤È²À» ÅÚ·¹±×·¥¿¡ °ø°³Çß´Ù. <º¸¾È´º½º>°¡ ÇØ´ç »çÀÌÆ®¿¡ Á¢¼ÓÇÑ °á°ú, °æ±âµµ ¾î¸°ÀÌÁý °ü¸®½Ã½ºÅÛ »çÀÌÆ®¿¡´Â ¡®±ä±Þº¸¾ÈÁ¡°Ë¿¡ µû¸¥ ¼ºñ½º ÀϽà Áß´Ü ¾È³»¡¯ °øÁö¿Í ÇÔ²² ¡®ÇöÀç °æ±âµµ ¾î¸°ÀÌÁý °ü¸®½Ã½ºÅÛ ±ä±Þº¸¾ÈÁ¡°ËÀ» ÁøÇà Áß¡¯À̶ó¸ç ¡®1¿ù 30ÀÏ ¿ÀÈÄ 3½ÃºÎÅÍ ¿Ï·á½Ã(¹ÌÁ¤, ÃßÈÄ °øÁö)±îÁö ½Ã½ºÅÛ Á¢¼ÓÀÌ ºÒ°¡´ÉÇÏ´Ù¡¯°í ¹àÇû´Ù.
ÀÌ¾î ¡®Á¦ÁÖƯº°ÀÚÄ¡µµ ³ó¾÷±â¼ú¿ø Á¦ÁÖ³ó¾÷±â¼ú¼¾ÅÍ¡¯ »çÀÌÆ®¸¦ XSS Ãë¾àÁ¡À» ÀÌ¿ëÇØ °ø°ÝÇß´Ù°í ÁÖÀåÇÏ¸ç °ø°Ý Á¤È²À» ÅÚ·¹±×·¥¿¡ °ø°³Çß´Ù.
ÀÌ »Ó¸¸ÀÌ ¾Æ´Ï´Ù. ±¹³» À¥»çÀÌÆ® 90¿©°÷ÀÇ µ¥ÀÌÅͺ£À̽º °èÁ¤Á¤º¸¸¦ ¿¢¼¿ÆÄÀÏ·Î ÅÚ·¹±×·¥¿¡ °øÀ¯Çß´Ù. ¿¢¼¿ÆÄÀÏ¿¡´Â ȨÆäÀÌÁö À̸§°ú URL ÁÖ¼Ò, IP, Port, ¾ÆÀ̵ð, Æнº¿öµå µîÀÌ Æ÷ÇԵŠÀÖ´Ù.
À̹ø ¿¢¼¿ ÆÄÀÏ °øÀ¯¿Í °ü·ÃÇØ À͸íÀ» ¿äûÇÑ º¸¾ÈÀü¹®°¡´Â ¡°À¯ÃâµÈ °èÁ¤Á¤º¸°¡ ¸¸¾à »ç½ÇÀ̶ó¸é ¹®¼ ¾È¿¡ Port°¡ 3306Àε¥, SQL ÀÎÁ§¼Ç Ãë¾àÁ¡À» ¾Ç¿ëÇØ µ¥ÀÌÅͺ£À̽º °èÁ¤Á¤º¸¸¦ À¯ÃâÇÑ °Í °°´Ù¡±°í ¼³¸íÇß´Ù.
ÀÌ¾î ±×´Â ¡°ÇØ´ç ÇØÄ¿´Â º¸º¹½É°ú À¯¸í¼¼¿¡ ÀÚ±Ø¹Þ¾Æ ±¹³» À¥»çÀÌÆ®¸¦ ÇØÅ·ÇÑ´Ù°í ¹àÈ÷°í Àִµ¥, Áß±¹ÀÇ °æ¿ì ÇØÅ·¿¡ ´ëÇØ ÀÚ±¹¸¸ ¾Æ´Ï¸é °ü´ëÇÑ ºÐÀ§±â¡±¶ó¸ç ¡°Áß±¹°úÀÇ °øÁ¶³ª ÇùÁ¶°¡ ½±Áö ¾ÊÀº ¸¸Å ÇØÄ¿µµ ½±°Ô ÀâÈ÷Áö ¾ÊÀ» °ÍÀ¸·Î »ý°¢ÇÏ´Â °Í °°´Ù¡±°í ¹àÇû´Ù.
¹®Á¦´Â ÇØÄ¿ÀÇ Ãë¾àÁ¡ °ø°Ý¿¡ ±¹³» ±â°ü ¹× ±â¾÷ÀÌ ¼ÓÀý¾øÀÌ ´çÇÏ°í ÀÖ´Ù´Â Á¡ÀÌ´Ù. ƯÈ÷, Ãë¾àÁ¡ °ø°ÝÀÇ °æ¿ì ÀÌ¹Ì °ø°³µÈ Ãë¾àÁ¡ÀÌ ´ë´ë¼öÀÌ´Ù´Ù. ÆÐÄ¡¸¸ ÀßÇصµ ¹æ¾îÇÒ ¼ö ÀÖ¾î Ãë¾àÁ¡ Á¡°Ë ¹× ÆÐÄ¡°¡ ¹«¾ùº¸´Ù Áß¿äÇÏ´Ù´Â ÁöÀûÀÌ´Ù.
ÀÌ·¯ÇÑ °¡¿îµ¥ Çѱ¹ÀÎÅͳÝÁøÈï¿øÀº ¡®Ãֱ٠ħÇØ»ç°í Áõ°¡¿¡ µû¸¥ ±â¾÷º¸¾È °È ¿äû¡¯À» °øÁöÇß´Ù. °øÁö ³»¿ëÀº ´ÙÀ½°ú °°´Ù.
¡âÀ¥ ¼¹ö µî ÁÖ¿ä ½Ã½ºÅÛ¿¡ ´ëÇÑ º¸¾È ÆÐÄ¡, Ãë¾àÁ¡ Á¡°Ë¡¤º¸¿Ï
¨ç OS ¹× ¼ÒÇÁÆ®¿þ¾îÀÇ ÃֽŠº¸¾È ¾÷µ¥ÀÌÆ® Àû¿ë
KISA´Â ¡°»ç¿ë ÁßÀÎ OS ¹× ¾îÇø®ÄÉÀ̼ǿ¡ ´ëÇÑ ÃֽŠº¸¾È ¾÷µ¥ÀÌÆ®¸¦ Àû¿ëÇØ¾ß ÇÑ´Ù¡±¸ç ¡°Æ¯È÷ ¾ÆÆÄÄ¡-ÅèĹ ±â¹ÝÀÇ ÀÚ¹Ù ¼Ö·ç¼Ç(¿À¶óŬ À¥·ÎÁ÷, ¾ÆƲ¶ó½Ã¾È ÄÁÇ÷ç¾ð½º, ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷2 µî)Àº ¹Ýµå½Ã ÃֽŠº¸¾È ¾÷µ¥ÀÌÆ®¸¦ Àû¿ëÇØ ¿î¿µÇÏ°í, GNU ¹è½Ã ¼Ð¿¡ ´ëÇÑ ÃֽŠÆÐÄ¡ Àû¿ë¡±À» ´çºÎÇß´Ù.
¨è À¥ °ü¸®ÀÚ °èÁ¤ º¸¾È °È
- À¥ °ü¸®ÀÚ ºñ¹Ð¹øÈ£¸¦ º¹Àâµµ ÀÖ°Ô ¼³Á¤ÇÏ°í ÁÖ±âÀûÀ¸·Î º¯°æÇØ¾ß ÇÑ´Ù.
- °ü¸®ÀÚ ·Î±×ÀÎ ½Ã¿¡´Â ÀÌÁß ÀÎÁõÀ» ¼³Á¤(SMS, OTP µî)ÇØ¾ß ÇÑ´Ù.
- °ü¸®ÀÚÆäÀÌÁö Á¢±Ù IP¸¦ Á¦ÇÑ(ƯÁ¤ IP¸¸ Á¢¼Ó °¡´ÉÇϵµ·Ï ¼³Á¤)ÇØ¾ß ÇÑ´Ù.
ƯÈ÷ °ü¸®ÀÚ Àü¿ë ´Ü¸»À» ¼±Á¤ÇØ Á¢±ÙÀ» Á¦ÇÑÇÏ°í, ´Ü¸»Àº °ü¸® ¾÷¹« ÀÌ¿Ü »ç¿ëÀ» ±ÝÁö(À¥, ¸ÞÀÏÈ®ÀÎ µî)ÇØ¾ß ÇÑ´Ù. ¶ÇÇÑ OS¿Í ¹é½ÅÀº ÃֽŠ¹öÀüÀ¸·Î »ç¿ëÇÏ´Â °Ô ¹Ù¶÷Á÷ÇÏ´Ù.
¨é À¥ ¼¹ö Ãë¾àÁ¡ Á¡°Ë ¹× º¸¿Ï
- À¥ ¹æȺ® ¹× IPS µî º¸¾È ¼Ö·ç¼ÇÀ» ÅëÇÑ À¥ °ø°ÝÀ» ŽÁö¡¤Â÷´ÜÇØ¾ß ÇÑ´Ù.
- ÆÄÀÏ ¾÷·Îµå¿Í °ü¸®ÀÚ ·Î±×ÀÎ ÆäÀÌÁö µîÀ» ÁýÁßÀûÀ¸·Î Á¡°ËÇØ¾ß ÇÑ´Ù.
¾÷·Îµå °¡´É ÆÄÀÏŸÀÔ °ËÁõ°ú ¾÷·Îµå Æú´õÀÇ ½ÇÇà±ÇÇÑ ¿©ºÎ Á¡°Ë µîÀº KISAȨÆäÀÌÁö ¡æ Áö½ÄÇ÷§Æû ¡æ ¹ý·É¡¤°¡À̵å¶óÀÎ ¡æ °¡À̵å¶óÀÎ ¡æ ¼ÒÇÁÆ®¿þ¾î º¸¾È¾àÁ¡ Áø´Ü°¡À̵带 Âü°íÇÏ¸é µÈ´Ù.
Áß¼Ò±â¾÷ÀÇ °æ¿ì, ¹«·á Á¡°Ë½ÅûÀ¸·Î º¸¾È°È¸¦ ÇØ¾ß ÇÑ´Ù. KISA°¡ ¿î¿µÇÏ´Â »çÀÌÆ® º¸È£³ª¶ó ¡æ Á¤º¸º¸È£ ¼ºñ½º ¡æ ¼ºñ½º ½ÅûÇϱ⠡æ Áß¼Ò±â¾÷ ȨÆäÀÌÁö º¸¾È°È ½ÅûÀ» ÅëÇØ Á¡°ËÀ» ¹ÞÀ» ¼ö ÀÖ´Ù.
- °³ÀÎÁ¤º¸ À¯Ãâ °ø°Ý(SQL injection) ´ëÀÀÀ» À§ÇÑ º¸¾ÈÀ» °ÈÇØ¾ß ÇÑ´Ù. ÀÔ·Â °ª °ËÁõ ¹× ¿¹¿Üó¸®, ÇÊÅ͸µ ±ÔÄ¢ Àû¿ë µî º¸¾È°È´Â º¸È£³ª¶ó ¡æ ¾Ë¸²¸¶´ç ¡æ º¸°í¼¡¤°¡ÀÌµå ¡æ À¥¼¹ö º¸¾È°È ¾È³»¼¸¦ Âü°íÇÏ¸é µÈ´Ù. Áß¼Ò±â¾÷ÀÇ °æ¿ì, º¸¾È³ª¶ó¿¡¼ ¹«·á Á¡°Ë ½ÅûÀÌ °¡´ÉÇÏ´Ù.
- ½ÃÅ¥¾î ÄÚµù Àû¿ëÀ» °ËÅäÇØ¾ß ÇÑ´Ù. ½ÃÅ¥¾î ÄÚµù Àû¿ë °ËÅä´Â KISAȨÆäÀÌÁö ¡æ Áö½ÄÇ÷§Æû ¡æ ¹ý·É¡¤°¡À̵å¶óÀÎ ¡æ °¡À̵å¶óÀÎ ¡æ ¼ÒÇÁÆ®¿þ¾î °³¹ßº¸¾È °¡À̵å, JavaScript ½ÃÅ¥¾îÄÚµù °¡ÀÌµå µîÀ» Âü°íÇÏ¸é µÈ´Ù.
- ±âŸ ¿î¿µÈ¯°æÀÇ º¸¾È¼º¿¡ ´ëÇØ Á¡°ËÇØ¾ß ÇÏ´Ù. SW º¸¾ÈÆÐÄ¡ Àû¿ë, DB °èÁ¤ °ü¸®, DB ·Î±× ¼³Á¤ µîÀ» ÇØ¾ß ÇÑ´Ù. ÀÌ´Â º¸È£³ª¶ó ¡æ ¾Ë¸²¸¶´ç ¡æ º¸°í¼¡¤°¡ÀÌµå ¡æ Áß¼Ò±â¾÷ ¼ºñ½º °³¹ß ¿î¿µÈ¯°æ ÁÖ¿ä º¸¾È Ãë¾à »ç·Êº° ´ëÀÀ ¹æ¾È, À¥¼¹ö º¸¾È°È ¾È³»¼, À¥ ¿¡µðÅÍ º¸¾È°¡ÀÌµå µîÀ» Âü°íÇÏ¸é µÈ´Ù.
- ¿î¿µ ½Ã½ºÅÛÀÇ Ä§ÇØ»ç°í ÈçÀû ¹ß°ß ½Ã¿¡´Â Çѱ¹ÀÎÅͳÝÁøÈï¿ø¿¡ ½Å°íÇØ¾ß ÇÑ´Ù. ºñÁ¤»ó °ü¸®ÀÚ ·Î±×ÀÎ ÀÌ·Â, ºñÁ¤»ó ÆÄÀÏ »ý¼º ¹× DB ÁúÀÇ È®ÀÎ µîÀ» ÇØ¾ß Çϸç, ħÇØ»ç°í È®ÀÎ ½Ã º¸È£³ª¶ó ¡æ ħÇØ»ç°í ½Å°í ¡æ ½Å°íÇϱ⸦ Ŭ¸¯ÇØ ½Å°íÇÏ¸é µÈ´Ù.
¨êµðµµ½º °ø°Ý ´ëºñÇÑ ¸ð´ÏÅ͸µ °È
- µðµµ½º °ø°Ý¿¡ ´ëºñÇÑ ¸ð´ÏÅ͸µ °È´Â µðµµ½º ¹æ¾î ¼Ö·ç¼Ç µµÀÔ°ú ¸Á»ç¾÷ÀÚ ¼ºñ½º¸¦ ÅëÇØ ´ëÀÀÇØ¾ß ÇÑ´Ù. Áß¼Ò±â¾÷ÀÇ °æ¿ì, KISA DDoS ¹æ¾î¼ºñ½º¸¦ ÀÌ¿ë(¡®º¸È£³ª¶ó ¡æ Á¤º¸º¸È£ ¼ºñ½º ¡æ ¼ºñ½º ½ÅûÇϱ⠡æ Áß¼Ò±â¾÷ ȨÆäÀÌÁö º¸¾È°È ¡æ »çÀ̹ö ´ëÇǼҡ¯ ½Åû)ÇÏ¸é µÈ´Ù.
Çѱ¹ÀÎÅͳÝÁøÈï¿ø ÀÓäÅ ´ÜÀåÀº ¡°¾÷µ¥ÀÌÆ®¿Í ÆÐÄ¡¸¸ ÀßÇصµ ¸¹Àº ºÎºÐ ÇÇÇظ¦ ´çÇÏÁö ¾ÊÀ» ¼ö ÀÖ´Ù¡±¸ç ¡°º¸¾È´ã´çÀÚµéÀº º¸¾È±Ç°í»çÇ×À» ÂüÁ¶ÇØ Àû±ØÀûÀ¸·Î ¿¹¹æÁ¶Ä¡¸¦ ¼öÇàÇÏ°í ÀÌ»ó¡ÈÄ ¹ß°ß½Ã KISA·Î ¿¬¶ôÇϸé Áö¿ø ¹ÞÀ» ¼ö ÀÖ´Ù¡±°í ´çºÎÇß´Ù.
[±è°æ¾Ö ±âÀÚ(boan3@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>