2011.06.07

FBI까지 조롱하는 연쇄 해킹 공격...기본 보안 점검 필요

Woody Leonhard | InfoWorld
만약 자신의 이메일 주소와 비밀번호가 현재 공개된 상태인지 아직도 확인해보지 않았다면, 자신의 정보를 확실히 해두는 데 시간을 투자하는 것이 좋을 것이다. 확실한 한 가지는 기본적인 보안 조치를 지키면, 거의 보안 공격을 막을 수 있기 때문이다.  

간단한 보기로, 4월 17일에 일어난 7,700만 고객의 데이터를 훔쳐간 플레이스테이션 네트워크 침입 사건을 살펴볼 수 있다. 소니 온라인 엔터테인먼트는 5월 2일에 공격이 시작됐고, 미국외 지역에서 12,700개의 신용 카드 번호 등을 포함해 2,500백만 고객의 정보가 노출됐다고 밝혔다. 5월 22일에는 소니 BMG 그리스가 8,500개의 이메일 어드레스와 비밀번호가 섞인 정보를 해킹당했다.

그 이후로, 5월 23일 이 사건의 핵심 조직인 룰섹은 소니 뮤직의 일본 사이트에서 데이터를 훔쳤다고 밝혔다. 소포스에 따르면, 데이터는 이름, 비밀번호와 다른 개인 정보는 포함돼 있지 않다고 발표했다.

5월 24일 소니 에릭슨 캐나다는 2,000개의 이메일 어드레스와 비밀번호를 도난당했다. 이 데이터는 파스테빈(pastebin) 사이트에 올라왔지만, 사이트는 곧 멈췄다. 만약 개인 정보가 손상됐다면, 아마도 소니는 통보했을 것으로 보인다.  

이후 사건은 커졌다. 6월 2일 룰츠섹은 100만 개 이상의 사용자 이름과 비밀번호, 이메일 어드레스, 생일 등이 담긴 정보를 소니 픽쳐스의 홈페이지에서 훔쳤다고 주장했다. 사실, 정보는 모두 암호화되지 않은 텍스트여서 문제가 더욱 커진 것이다.

손상된 수백만의 데이터에서 5만 1,000개의 선택된 항목에서 토렌트가 쏟아져나오고 있다. 룰츠는 파스테빈에 유사한 약어 목록을 올렸놨지만, 이는 곧 없어졌다. 트로이 헌트(Troy Hunt)는 자신의 블로그에 가장 일반적인 암호의 목록을 포함한 토렌트를 자세히 밝혔다.
 
이같은 일련의 사고를 통해, 사용자들은 확인할 것이 있다. 사용자들은 지금까지 소니 픽쳐스 웹사이트에서 로그인할 때와 같이, 이메일 주소와 비밀번호를 해당사이트에서 광범위하게 사용하고 있다. 만약 다른 곳에서 같은 비밀번호를 사용한 적이 있다면, 모두 변경해야한다.

하지만 이것이 전부가 아니다.  

자칭 파키스탄 사이버 군대라고 부르는 그룹은 에이서 유럽 데이터베이스에서 사용자 이름, 실제 주소, 전화번호, 이메일 어드레스를 포함해 4만개의 사용자 정보를 훔쳐갔다. 다행히 여기에는 패스워드는 없었다. 해커 뉴스는 훼손당한 고객들의 정보를 담은 흐릿한 화면 사진을 올렸다. 데이터를 훔친 그룹은 3년간 서버에 포스팅된 로그온 이름과 비밀번호를 찾아냈다.

만약 에이서와 동일하게 소니 사이트에 로그온한다면, 지금 당장 수정해야 한다. 지금 다시 로그온한다면, 지금이 독특한 자신의 비밀번호로 변경하는 매우 좋은 시점이기도 하다.

그리고 룰츠섹은 PBS를 해킹한 데 이어 마침내는 미국 FBI 산하의 인프라가드(InfraGard)를 해킹했다고 주장하고 있다. 이유는 미국과 NATO가 해킹을 전쟁 행위로 취급하고 있다는 것.이같은 사건은 지난 몇 년동안 사용자들에게 경고한 좋은 예가 될 것이며, 특히 사용자에게 비밀번호를 재사용하지 말아야 한다는 경고이기도 하다.

언론은 복잡한 공격과 광범위한 사이버 혼란의 이야기를 떠들어대고 있다. 필자는 이같은 공격이 간단한 SQL 인젝션과 일부 요령있는 스피어 피싱보다 복잡하다고 단언할 수 없다. 다만, 놀란 것은 취약한 데이터베이스의 수이고, 민감한 데이터를 암호화되지 않은 외부와 직면한 데이터베이스에 저장된다는 것이다.

룰츠섹은 지난 2주 동안 여섯 번이나 소니를 해킹했다. 만약 기업이 외부와 접해있는 데이터를 가지고 있다면, 그것을 보호하고 보안 단계를 검토하는데 아주 적절한 시점이 될 것으로 보인다. editor@itworld.co.kr




2011.06.07

FBI까지 조롱하는 연쇄 해킹 공격...기본 보안 점검 필요

Woody Leonhard | InfoWorld
만약 자신의 이메일 주소와 비밀번호가 현재 공개된 상태인지 아직도 확인해보지 않았다면, 자신의 정보를 확실히 해두는 데 시간을 투자하는 것이 좋을 것이다. 확실한 한 가지는 기본적인 보안 조치를 지키면, 거의 보안 공격을 막을 수 있기 때문이다.  

간단한 보기로, 4월 17일에 일어난 7,700만 고객의 데이터를 훔쳐간 플레이스테이션 네트워크 침입 사건을 살펴볼 수 있다. 소니 온라인 엔터테인먼트는 5월 2일에 공격이 시작됐고, 미국외 지역에서 12,700개의 신용 카드 번호 등을 포함해 2,500백만 고객의 정보가 노출됐다고 밝혔다. 5월 22일에는 소니 BMG 그리스가 8,500개의 이메일 어드레스와 비밀번호가 섞인 정보를 해킹당했다.

그 이후로, 5월 23일 이 사건의 핵심 조직인 룰섹은 소니 뮤직의 일본 사이트에서 데이터를 훔쳤다고 밝혔다. 소포스에 따르면, 데이터는 이름, 비밀번호와 다른 개인 정보는 포함돼 있지 않다고 발표했다.

5월 24일 소니 에릭슨 캐나다는 2,000개의 이메일 어드레스와 비밀번호를 도난당했다. 이 데이터는 파스테빈(pastebin) 사이트에 올라왔지만, 사이트는 곧 멈췄다. 만약 개인 정보가 손상됐다면, 아마도 소니는 통보했을 것으로 보인다.  

이후 사건은 커졌다. 6월 2일 룰츠섹은 100만 개 이상의 사용자 이름과 비밀번호, 이메일 어드레스, 생일 등이 담긴 정보를 소니 픽쳐스의 홈페이지에서 훔쳤다고 주장했다. 사실, 정보는 모두 암호화되지 않은 텍스트여서 문제가 더욱 커진 것이다.

손상된 수백만의 데이터에서 5만 1,000개의 선택된 항목에서 토렌트가 쏟아져나오고 있다. 룰츠는 파스테빈에 유사한 약어 목록을 올렸놨지만, 이는 곧 없어졌다. 트로이 헌트(Troy Hunt)는 자신의 블로그에 가장 일반적인 암호의 목록을 포함한 토렌트를 자세히 밝혔다.
 
이같은 일련의 사고를 통해, 사용자들은 확인할 것이 있다. 사용자들은 지금까지 소니 픽쳐스 웹사이트에서 로그인할 때와 같이, 이메일 주소와 비밀번호를 해당사이트에서 광범위하게 사용하고 있다. 만약 다른 곳에서 같은 비밀번호를 사용한 적이 있다면, 모두 변경해야한다.

하지만 이것이 전부가 아니다.  

자칭 파키스탄 사이버 군대라고 부르는 그룹은 에이서 유럽 데이터베이스에서 사용자 이름, 실제 주소, 전화번호, 이메일 어드레스를 포함해 4만개의 사용자 정보를 훔쳐갔다. 다행히 여기에는 패스워드는 없었다. 해커 뉴스는 훼손당한 고객들의 정보를 담은 흐릿한 화면 사진을 올렸다. 데이터를 훔친 그룹은 3년간 서버에 포스팅된 로그온 이름과 비밀번호를 찾아냈다.

만약 에이서와 동일하게 소니 사이트에 로그온한다면, 지금 당장 수정해야 한다. 지금 다시 로그온한다면, 지금이 독특한 자신의 비밀번호로 변경하는 매우 좋은 시점이기도 하다.

그리고 룰츠섹은 PBS를 해킹한 데 이어 마침내는 미국 FBI 산하의 인프라가드(InfraGard)를 해킹했다고 주장하고 있다. 이유는 미국과 NATO가 해킹을 전쟁 행위로 취급하고 있다는 것.이같은 사건은 지난 몇 년동안 사용자들에게 경고한 좋은 예가 될 것이며, 특히 사용자에게 비밀번호를 재사용하지 말아야 한다는 경고이기도 하다.

언론은 복잡한 공격과 광범위한 사이버 혼란의 이야기를 떠들어대고 있다. 필자는 이같은 공격이 간단한 SQL 인젝션과 일부 요령있는 스피어 피싱보다 복잡하다고 단언할 수 없다. 다만, 놀란 것은 취약한 데이터베이스의 수이고, 민감한 데이터를 암호화되지 않은 외부와 직면한 데이터베이스에 저장된다는 것이다.

룰츠섹은 지난 2주 동안 여섯 번이나 소니를 해킹했다. 만약 기업이 외부와 접해있는 데이터를 가지고 있다면, 그것을 보호하고 보안 단계를 검토하는데 아주 적절한 시점이 될 것으로 보인다. editor@itworld.co.kr


X