[º¸¾È´º½º ±è°æ¾Ö] ÇÑ ÁÖ°£ À¥»çÀÌÆ® ȸéÀ» º¯Á¶ÇÏ´Â µðÆäÀ̽º ÇØÅ·À» ºñ·ÔÇØ Æ¯Á¤ ÀÚµ¿Â÷ ȸ»ç °ü·Ã »çÀÌÆ®¿¡¼ ¾Ç¼ºÄڵ尡 ÀÕµû¶ó Æ÷ÂøµÆ´Ù. ¶ÇÇÑ, ±¹³» ÀϺΠÀ¥»çÀÌÆ®°¡ ÇÇ½Ì »çÀÌÆ®·Î ¾Ç¿ëµÇ°í ÀÖÀ¸¸ç, º¸¾ÈÀÌ Ãë¾àÇÑ À¥»çÀÌÆ®´Â ¹Ýº¹ÀûÀ¸·Î °ø°ÝÀ» ´çÇÏ´Â µî ¼ö³À» °Þ°í ÀÖ´Ù. ´ÙÀ½Àº ¾Ç¼º¸µÅ©°¡ ¹ß°ßµÈ ±¹³» À¥»çÀÌÆ® ÇöȲÀ» ºÐ¼®ÇÑ °á°ú´Ù.
¡ãÁö³ 3ÀÏ µðÆäÀ̽º ÇØÅ·ÀÌ Æ÷ÂøµÈ XX·¹ÀÌ³Ý »çÀÌÆ® ȸé
1. XX·¹ÀÌ³Ý »çÀÌÆ®
Áö³ 3ÀÏ¿¡´Â ¸ðµ© Àü¿ë¼± Á¢¼Ó ¼ºñ½º ¾÷ü XX·¹ÀÌ³Ý »çÀÌÆ®¿¡¼ µðÆäÀ̽º ÇØÅ·À» ºñ·ÔÇØ À¥¼Ð »ðÀÔ ¹× ¾Ç¼ºÄÚµå À¯Æ÷ Á¤È²ÀÌ Æ÷ÂøµÆ´Ù.
ÀÌ¿Í °ü·Ã ÇϿ츮 ÃÖ»ó¸í CERT ½ÇÀåÀº ¡°º¸¾ÈÀÌ Ãë¾àÇÑ ±¹³» »çÀÌÆ®°¡ ´Ù¾çÇÑ »çÀ̹ö¹üÁËÀÚµé·ÎºÎÅÍ °ø°ÝÀ» ¹Þ°í ÀÖ´Ù¡±¸ç ¡°°øÁö»çÇ× °Ô½ÃÆÇ¿¡´Â µðÆäÀ̽º ÇØÅ·À» ´çÇØ ¡®HACKED BY MR ABAN¡¯À̶õ ¹®±¸°¡ °ÔÀçµÆ°í, Áö³ 3ÀÏ¿¡´Â À¥½©ÀÌ »ðÀÔµÈ Á¤È²µµ Æ÷ÂøµÆ´Ù, »Ó¸¸ ¾Æ´Ï¶ó ÇØ´ç ¼¹öÀÇ °æ¿ì ¾Ç¼ºÄÚµå À¯Æ÷Áö·Î ¾Ç¿ëµÈ Á¤È²µµ ¹ß°ßµÆ´Ù¡±°í ¹àÇû´Ù.
À̺¸´Ù ¾Õ¼ Áö³ 2ÀÏ¿¡´Â XX¸¶ÄÉÆà »çÀÌÆ®¿¡¼ µðÆäÀ̽º ÇØÅ·À» ´çÇÑ Á¤È²ÀÌ °¨ÁöµÆ´Ù. ÇØ´ç »çÀÌÆ®´Â ¡®HACKED BY YASARTIM AF YOK SIZE¡¯¶ó°í Ç¥±âµÅ ÀÖ´Ù.
2. XX¿©´ë °ü·Ã »çÀÌÆ®
Áö³ 3ÀÏ XX¿©´ë °ü·Ã »çÀÌÆ®¿¡¼´Â ºí·¢È¦ ÀͽºÇ÷ÎÀÕ Å¶(Blackhole Exploit Kit) °ø°ÝÀÌ Å½ÁöµÆ´Ù. ÇØ´ç »çÀÌÆ®¿¡¼´Â Àǽɽº·¯¿î ¾Ç¼ºURL°ú ½ºÅ©¸³Æ®°¡ ŽÁöµÆÀ¸¸ç, »ç¿ëÀÚ Á¤º¸ ¹× ÄíÅ°¸¦ È®ÀÎÇÏ´Â °ÍÀ¸·Î ºÐ¼®µÆ´Ù.
¡ãÁö³ 3ÀÏ XX¿©´ë °ü·Ã »çÀÌÆ®¿¡¼ ºí·¢È¦ ÀͽºÇ÷ÎÀÕ Å¶ °ø°ÝÀÌ Å½ÁöµÈ ȸé
Áö³ 1ÀÏ¿¡´Â ƯÁ¤ ´ëÇб³¿¡¼ ¿î¿µÁßÀÎ ´ëÇпøÀ» ºñ·ÔÇØ XXX¾ÆÆ® ½ÉÆ÷Áö¾ö, XXXÆÇŸÁö °ÔÀÓ »çÀÌÆ®¿¡¼ ¿öµåÇÁ·¹½º Ãë¾àÁ¡À» ÀÌ¿ëÇÑ ¾Ç¼ºÄÚµå À¯Æ÷ÇàÀ§°¡ Æ÷ÂøµÆ´Ù.
ÀÌ¿¡ ´ëÇØ Á¦·Î¼Æ® ÃøÀº ¡°È£½ºÆà ¾÷ü¿Í ¿öµåÇÁ·¹½º ±â¹Ý À¥»çÀÌÆ®¸¦ Ÿ±êÀ¸·Î ¾Ç¼ºURLÀÌ ÀÕµû¶ó Æ÷ÂøµÇ°í ÀÖ´Ù¡±¸ç ¡°À¥»çÀÌÆ® °ü¸®ÀÚ´Â ¿öµåÇÁ·¹½º ¾÷µ¥ÀÌÆ® À¯¹«¿Í À¥»çÀÌÆ® ÀÌ»ó À¯¹«¸¦ È®ÀÎÇÏ°í Á¡°ËÇØ¾ß ÇÑ´Ù¡±°í ´çºÎÇß´Ù.
3. XXÀÚµ¿Â÷³ëµ¿Á¶ÇÕ ¾Æ»ê°øÀåÀ§¿øȸ »çÀÌÆ®
Áö³ 1ÀÏ¿¡´Â XXÀÚµ¿Â÷³ëµ¿Á¶ÇÕ ¾Æ»ê°øÀåÀ§¿øȸ »çÀÌÆ®¿¡¼, 1¿ù 30ÀÏ¿¡´Â Àü±¹±Ý¼Ó³ëµ¿Á¶ÇÕ XXÀÚµ¿Â÷ÁöºÎ ¾Æ»ê°øÀåÀ§¿øȸ »çÀÌÆ®¿¡¼ ¾Ç¼º½ºÅ©¸³Æ®°¡ ŽÁöµÆ´Ù.
¡ã Áö³ 1¿ù 30ÀÏ ¾Ç¼º½ºÅ©¸³Æ®°¡ ¹ß°ßµÈ Àü±¹±Ý¼Ó³ëµ¿Á¶ÇÕ XXÀÚµ¿Â÷ÁöºÎ ¾Æ»ê°øÀåÀ§¿øȸ »çÀÌÆ®
À̸¦ º»Áö¿¡ Á¦º¸ÇÑ ¸Þ°¡Åæ(´Ð³×ÀÓ)Àº ¡°°ø°ÝÀÚ°¡ º¸¾ÈÀÌ Çã¼úÇÑ À¥ÆäÀÌÁö¿¡ »ç¿ëÀÚ ¸ð¸£°Ô ¾Ç¼ºÄڵ带 »ðÀÔÇß´Ù¡±¸ç ¡°À¥ÆäÀÌÁö¸¦ Á¢¼ÓÇϸé ÀÚ¹Ù½ºÅ©¸³Æ®(Java Script)°¡ ¾ÏȣȵŠÀÖ°í, ÀͽºÇ÷ÎÀÕ Ãë¾àÁ¡À» ÀÌ¿ëÇÑ ºí·¢È¦ ÀͽºÇ÷ÎÀÕ Å¶ °ø°ÝÀ¸·Î ¾Ç¼ºÄڵ带 ´Ù¿î·ÎµåÇϵµ·Ï µÅ ÀÖ´Ù. ƯÈ÷, ÇØ´ç »çÀÌÆ®´Â Áö¼ÓÀûÀ¸·Î °ø°ÝÀ» ´çÇÑ Á¤È²ÀÌ Æ÷ÂøµÅ À¥»çÀÌÆ®ÀÇ Ãë¾àÁ¡ Á¦°Å¿Í ¼¹ö Á¡°ËÀÌ ÇÊ¿äÇÏ´Ù¡±°í ´çºÎÇß´Ù.
4. XXC°ü·Ã ÇÏÀ§ »çÀÌÆ®
À̾î Áö³ 1ÀÏ XXC °ü·Ã ÇÏÀ§ »çÀÌÆ®¿¡¼ ¾Ç¼ºÄڵ尡 ¹ß°ßµÆ´Ù. ÇØ´ç »çÀÌÆ®´Â ÀÚµ¿À¸·Î ¾Ç¼ºÄڵ尡 »ðÀÔµÈ »çÀÌÆ®·Î ¿¬°áµÇµµ·Ï ¼³°èµÈ °ÍÀ¸·Î ºÐ¼®µÆ´Ù.
¡ãÁö³ 1ÀÏ XXC °ü·Ã ÇÏÀ§ »çÀÌÆ® Á¢¼Ó½Ã Â÷´ÜȺ ȸé
ÀÌ¿¡ ´ëÇØ ¸Þ°¡ÅæÀº ¡°º¸¾È Ãë¾àÁ¡À¸·Î ÀÎÇØ Áö¼ÓÀûÀ¸·Î ¾Ç¼ºÄڵ尡 »ðÀԵǰí, À¥»çÀÌÆ®°¡ °ø°Ý´çÇß´Ù¡±°í ÁöÀûÇß´Ù.
5. XX¹Ù³ª³ª »çÀÌÆ®
Áö³ 1¿ù 29ÀÏ ±Í±Ý¼Ó µî ´ãº¸´ëÃâÀ» ¾È³»ÇÏ´Â XX¹Ù³ª³ª »çÀÌÆ®°¡ ÇÇ½Ì »çÀÌÆ®·Î ¾Ç¿ëµÆ´Ù.
¡ãÁö³ 1¿ù 29ÀÏ ¾ÖÇà Çǽ̻çÀÌÆ®·Î ¾Ç¿ëµÈ XX¹Ù³ª³ª »çÀÌÆ®
ÀÌ¿¡ ´ëÇØ ¸Þ°¡ÅæÀº ¡°ÇØ´ç »çÀÌÆ®ÀÇ °æ¿ì ¾ÖÇÃÀ» »çĪÇÑ Çǽ̻çÀÌÆ®·Î ¾Ç¿ëµÆÀ¸¸ç, È£½ºÆà °èÁ¤°ú Æнº¿öµå°¡ À¯ÃâµÅ Áö³ 1¿ù 2ÀϺÎÅÍ 29ÀϱîÁö ¼öÂ÷·Ê °ø°ÝÀ» ´çÇß´Ù¡±°í ¼³¸íÇß´Ù.
6. XXXXƯÀüµ¿Áöȸ »çÀÌÆ®
Áö³ 1¿ù 29ÀÏ XXXXƯÀüµ¿Áöȸ»çÀÌÆ®¿¡¼µµ ¾Ç¼ºÄڵ尡 Æ÷ÂøµÆ´Ù. ÇØ´ç »çÀÌÆ®´Â °ú°Å¿¡µµ ¿©·¯ ¹ø ¾Ç¼ºÄڵ尡 »ðÀÔµÈ ¹Ù Àִµ¥, À̹ø¿¡´Â SQL »ðÀÔ ¹× ¿¡·¯ ³ëÃâ, ½ºÅ©¸³Æ® »ðÀÔ, ÆĶó¹ÌÅÍ º¯Á¶ µîÀÇ Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ´Ù.
¡ã1¿ù 29ÀÏ XXXXƯÀüµ¿Áöȸ»çÀÌÆ®¿¡¼ °¢Á¾ Ãë¾àÁ¡ÀÌ ¹ß°ßµÈ ȸé
ÇØ´ç »çÀÌÆ®¿¡ ´ëÇØ ¸Þ°¡ÅæÀº ¡°À§Çè¼öÁØÀÌ ³ôÀº Ãë¾àÁ¡ °Ç¼ö´Â CRLF »ðÀÔ 8°Ç, SQL ¿¡·¯ ³ëÃâ 11°Ç, SQL »ðÀÔ 143°Ç µî Ãë¾àÁ¡ °Ç¼ö´Â 162°ÇÀ¸·Î ³ªÅ¸³µÀ¸¸ç, À§Çè¼öÁØÀÌ Áß°£ Á¤µµÀÎ Ãë¾àÁ¡Àº Æнº¿öµå ÀÚµ¿ ¿Ï¼º ±â´É 5°Ç, XSS »ðÀÔ 53°Ç, ÆĶó¹ÌÅÍ º¯Á¶ 15°Ç µî Ãë¾à°Ç¼ö°¡ ÃÑ 73°ÇÀÌ ¹ß°ßµÆ´Ù¡±°í ¹àÇû´Ù.
7. XXXû¼Ò³â»ó´ãº¹Áö¼¾ÅÍ »çÀÌÆ®
Áö³ 1¿ù 28ÀÏ¿¡´Â XXXû¼Ò³â»ó´ãº¹Áö¼¾ÅÍ »çÀÌÆ®¿¡¼µµ ¾Ç¼º¸µÅ©°¡ ¹ß°ßµÆ´Ù.
¡ã1¿ù 28ÀÏ ¾Ç¼º¸µÅ©°¡ ¹ß°ßµÈ XXXû¼Ò³â»ó´ãº¹Áö¼¾ÅÍ »çÀÌÆ®
ÇØ´ç »çÀÌÆ®¿¡¼´Â SQL ÀÎÁ§¼ÇÀÌ »ðÀԵŠÀÖ¾úÀ¸¸ç, Å©·Î½º »çÀÌÆ® ½ºÅ©¸³ÆÃ(XSS: Cross Site Scripting)µµ Æ÷ÂøµÆ´Ù. ÀÌ¿Í ÇÔ²² º¸¾È»ó ¾ÈÀüÇÏÁö ¾ÊÀº ÇÁ·ÎÅäÄÝ Áö¿øÇÏ´Â °ÍÀ¸·Î ºÐ¼®µÆ´Ù.
8. XXX¸£±×ÄÚ¸®¾Æ »çÀÌÆ® èâ
Áö³ 1¿ù 28ÀÏ¿¡´Â XXX¸£±×ÄÚ¸®¾Æ, XXÀüÀÚ, XX»ê¾÷»çÀÌÆ®¿¡ ¶È°°Àº ¾Ç¼ºÄÚµå ¹ÙÀ̳ʸ®°¡ À¥»çÀÌÆ®¿¡ ¿Ã¶ó°£ Á¤È²ÀÌ Æ÷ÂøµÆ´Ù.
¡ã1¿ù 28ÀÏ ¶È°°Àº ¾Ç¼ºÄÚµå ¹ÙÀ̳ʸ®°¡ Æ÷ÂøµÈ XXX¸£±×ÄÚ¸®¾Æ, XXÀüÀÚ, XX»ê¾÷»çÀÌÆ®
ÀÌ¿¡ ´ëÇØ Auditor Lee´Â ¡°XXÀüÀÚ, XX»ê¾÷»çÀÌÆ®¿¡ ¶È°°Àº ¾Ç¼ºÄÚµå ¹ÙÀ̳ʸ®°¡ ¿Ã¶ó°¡ ÀÖ´Ù¡±¸ç ¡°¹ÙÀÌ·¯½º ŽÁö¸¦ ¿ìȸÇϱâ À§ÇØ ¾Ç¼ºÄڵ带 ¾à°£¾¿ º¯°æÇß´Ù¡±¸ç ÀÌ¿ëÀÚµéÀÇ ÁÖÀǸ¦ ´çºÎÇß´Ù.
[±è°æ¾Ö ±âÀÚ(boan3@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>