보안의 관점에서 청와대 홈페이지 취약점 살펴보기

in #security6 years ago (edited)

국가간 감정이 악화되면 그 나라의 대표적인 홈페이지는 공격을 받습니다.

미국의 이라크 침공 전에 미군은 이라크 군 네트워크를 마비시키기 위한 사이버 공격을 했다는 보도가 있었습니다. 스턱스넷이라는 악성코드는 국가 인프라를 공격하기 위한 정교한 사이버전 무기라는 주장이 강력하게 힘을 얻고 있습니다.

대표적인 예가 일본 정치인의 망언이나, 8.15 광복 때의 야스쿠니 신사를 비롯한 일본의 주요 사이트들이 융단 폭격을 당하는 것입니다. 핵티비즘적인 성격의 공격은 평화를 지향하는 현대 민주주의 사회에서 좋은 의사 표현은 아닙니다.

하지만, 때로는 얼마나 분노하는지를 보여주는 강력한 메시지가 될 수 있습니다.

한국은 북한으로 추정되는 많은 해킹이 있었습니다.

2009년. 7월 7일 디도스 공격

스크린샷 2018-03-03 오후 11.03.29.png

7.7 디도스 사태는 국가 인프라를 공격하는 사이버 전쟁의 성격을 가졌습니다. 코드는 단순 무식했지만 파괴적이였습니다.

스크린샷 2018-03-03 오후 11.05.19.png

디도스 공격이 사회 혼란과 금융, 경제, 정치에 이를 정도로 치밀하게 설계되었습니다. 여러 밝혀진 정황, 비공개 정보는 '북한'의 사이버 공격으로 알려졌습니다.

단지, Visual C++ MFC DLL에 디팬던시가 있어서 일부 PC에는 영향이 없었던 것으로 기억합니다. OS와 컴파일러의 특성을 모르는 모 보안 전문가와 받아쓰기를 하는 언론은 '개발자 PC'를 노린 것이다라는 오보를 저지르기도 했었습니다.

더 말하지 않겠지만 'sbs.exe', 'mbc.exe' 등 무안 단물 급 오보도 있었습니다. 코딩 못하는 보안 전문가들은 스크립트 키드와 다를 바 없다는 것을 여지없이 보여준 사건입니다.

2011년 3.4 디도스 대란은 2009년 공격의 업그레이드였지만 실제적인 파괴력은 약했습니다.

그래서 한국은 국가 기관의 홈페이지의 보안 수준을 상당한 수준으로 높이는 계기가 되었습니다.

지난 몇 년 동안 '청와대' 홈페이지(http://www.president.go.kr/)를 종종 들어가 유심하게 관찰했습니다. 물론 해킹 툴을 돌리거나 부적절한 행동을 하지 않고 웹 브라우저 수준에서 관찰만 했습니다.

[주요 특징]

  1. HTTP를 지원합니다. 물론 크롬 브라우저에서 요즘 경고를 띄웁니다.
  2. www1 이라는 것을 사용합니다. 이유는 모르겠습니다. 대표적인 페이지가 https://www1.president.go.kr/live-speeches 입니다.
  3. NginX를 사용합니다.

이 중에서 NginX를 사용하는 것을 알게 된 것은 우연이였습니다.

http://www.president.go.kr/ 청와대 페이지에서 오타를 냈습니다. 제가 난독증이 있어 글자를 꺼구로 읽거나 잘못 기억하는 경우가 있습니다. 그래서 외국어 배우는데 참 어려움을 겪습니다.

덕분에 청와대가 NginX를 사용하는 것을 알게 되었습니다.

스크린샷 2018-03-03 오후 10.54.29.png

Nginx HTTPS를 리다이렉션할 때 www와 www1은 제대로 넣었고 https://president.go.kr/ 는 넣지 않은 것입니다.

에러 페이지는 큰 문제는 아니지만 NginX를 사용하고 생각있는 사람이라면 NginX의 취약점 버전인지를 찾아볼 것입니다. 참 3년 넘게 dns와 NginX를 제대로 관리하지 않은 것입니다.

웹은 내부망 침투의 거의 유일한 게이트웨이입니다. 청와대 홈페이지 정도 되면 이 정도는 디테일해야할 것이라 믿습니다.

스크린샷 2018-03-03 오후 11.48.17.png

다른 페이지의 경우 에러 페이지를 특정 WAS를 추정하지 못하게 잘 처리했습니다. 이것이 기본이지요.

아... 이상한 것도 있네요 ^^-;;

스크린샷 2018-03-03 오후 11.29.44.png

HTTP는 곧 구글 크롬이 강력하게 퇴출 유도를 할 것입니다. 청와대 홈페이지도 곧 시대에 맞춰서 퇴출하지 않을까싶습니다.

고지 하다시피 한국에서는 보안 스캐닝도 불법이라 더 자세한 조사는 불가능합니다. 아쉽다...

마지막 정리.

  1. 보안은 디테일에 집착해야 합니다.
  2. NginX 홍보로 올리면 좋을 것 같습니다
  3. DNS 관리도 잘 부탁 드립니다.

[email protected] 메일은 악성코드 방어가 잘 되어 있고 망분리가 잘 되어 있을까요?

미군 부대를 상대로 경쟁 국가의 사이버 부대가 '야동' 사이트를 운영했던 것으로 유명합니다. 혈기 왕성한 '남자 사람' 군인이 스팸 메일이던, sms을 통해서 무차별적으로 타겟팅 당한 후 무료한 야밤을 넘기려다가 접속하다가 당한 것입니다. 그래서 미군 핵운영 부대의 각종 기밀이 유출되었다는 이야기도 있습니다

매우 궁금해지는 밤입니다 ^^

보안은 빛과 그림자입니다. 심연을 바라보다가 심연에 잠식 당할 때도 있습니다. 다크 사이드는 참 매력적이지만 라이브 서비스에서 테스트를 하면 안됩니다.

*PS - VPN을 사용해서 스캐닝하려는 시도도 조심하십시오. VPN 역시 완벽한 것이 아닙니다.

testcode~

표 및 참고 자료
http://www.kisa.or.kr/uploadfile/201310/201310071957453995.pdf

#hacking #nginx #dns #kr
6 years ago in #security by
$0.00
    2 votes
    Reply 0

    Coin Marketplace

    STEEM 0.18
    TRX 0.11
    JST 0.027
    BTC 65422.12
    ETH 3433.90
    USDT 1.00
    SBD 2.31