홈페이지 취약점 분석 이야기 파일 지도 사진 깨알
Kali Linux 2024.2 설치 (VMware Fusion, Apple Silicon)

웹 해킹 훈련장 172.16.15.116 40080/tcp 대상 공개용 도구 기반의 홈페이지 취약점 점검 실습 (20200507)

Kali Linux 2020.1b 64bit 설치 설명서 (MS 윈도우 10, VMware 플레이어) (20200325)

VirtualBox 가상머신으로 GSM CE 6.0.2 설치 설명서 (OpenVAS) (20200125)

Kali Linux 2019.4 64bit Light 배포판 설치 설명서 (권장) (20191202)

Kali Linux 2019.3 64bit Large 배포판 설치 및 한글 설정 설명서 (20191129)

[과제] WH-MissAuth-1 웹해킹훈련장: 접속자 권한인증 후 출력 제어 취약점 (20180619)

[과제] WH-WebEditor-SE2 웹해킹훈련장: 취약한 PHP 버전에서 원래 파일이름을 저장하는 웹에디터의 취약점을 이용한 시스템 침투 (20170827)

[과제] WH-FILEDOWN-01 웹해킹훈련장: 파일다운로드로 서버침투 (20170810)

[과제] WH-COOKIE-02 웹해킹훈련장: 쿠키 오용 취약점 (20170809)

Apache Tomcat /manager/html 무작위대입공격 도구 작성 - PHP (20170721)

칼리 리눅스를 이용한 From SQL Injection to Shell 공략 (20170404)

단순한 방어법(../ 제거)의 파일 다운로드 취약점 진단 사례 (20170329)

WH-WebEditor-CH 라이브 ISO: 이미지 검증 기능을 우회하여 PHP 웹쉘 생성 (20170130)

오늘의 웹서버 공격 로그: MySQL 관리 인터페이스 자동탐색 도구 - Jorgee Scanner (20170125)

WH-WebEditor-GM 라이브 ISO: 이미지 검증 기능을 우회하여 PHP 웹쉘 생성 (20170123)

오늘의 웹서버 공격 로그: Apache ProxyAbuse 탐지 시도 (20170122)

오늘의 웹서버 공격 로그: Bash 쉘쇼크 취약점을 이용한 Perl Ircbot 삽입 시도 (20170122)

오늘의 웹서버 공격 로그: phpMyAdmin 취약점 자동탐색 도구 - ZmEu Scanner (20170121)

오늘의 웹서버 공격 로그: 워드프레스 취약점 자동탐색 도구 (20170118)

WH-PathTrav-01 라이브 ISO: 파일 다운로드 취약점으로 서버 침투 (20170116)

WH-Webshell-Loc-01 라이브 ISO: 서버 내 웹쉘 저장경로 알아내기 (20170114)

WH-ImgShell-01 라이브 ISO: 이미지에 덧붙인 웹쉘 취약점 웹해킹훈련장 (20170113)

SSH 무작위 대입 공격으로 root권한을 탈취한 침해사고 사례 (20170112)

WH-IllInst-WordPress 워드프레스 웹해킹훈련장 소개 (20170110)

WH-IllInst-WordPress 워드프레스 웹해킹훈련장 실습 설명서 (20170110)

MSSQL과 MySQL의 SQL구문삽입을 이용한 OS 명령어 실행 (20170109)

WH-CommInj-01 원격 운영체제 명령어 삽입 취약점 훈련장(라이브 ISO) 소개 및 실습 설명서 (20170106)

WH-Deface-01 기능별 권한인증 취약점 훈련장(라이브 ISO) 소개 (20170104)

WH-Deface-01 웹해킹훈련장 실습 설명서 (20170104)

WH-Account-01 회원가입 취약점 훈련장(라이브 ISO) 소개 (20170102)

WH-Account-01 웹해킹훈련장 실습 설명서 (20170103)

WH-Account-02 회원정보수정 취약점 훈련장(라이브 ISO) 소개 (20170103)

WH-Account-02 웹해킹훈련장 실습 설명서 (20170104)

저장형 XSS 공격을 이용한 홈페이지위변조 공격 사례 (20161231)

로그인한 상태에서 웹취약점스캐너의 자동점검 위험성 (20161228)

DBMS Fingerprinting (데이터베이스 관리시스템 탐지) (20161222)

FCKeditor를 대상으로 한 자동화 공격툴의 침해사례 (20161220)

이중 서버스크립트 혼용을 이용한 웹방화벽/확장자검증 우회 (실제 사례) (20161219)

HTTP/HTTPS 혼용에 따른 관리자로그인 페이지 접근 우회 (실제 사례) (20161214)

경로재지정 취약점: 자바스크립트를 이용한 검증과 그 우회, 그리고 XSS (실제 사례) (20161214)

웹해킹 사례: 유명 홈페이지를 악성코드 배포 경유지로... (20161213)

HTML 삽입, XSS 공격 탐지방법 (20161211)

오늘의 웹서버 공격 로그, Axis2, 공개프록시 (20161210)

오늘의 웹서버 공격 로그, XML-RPC, Open Proxy (20161208)

nikto와 owasp-zap 연동 (20161206)

미라이 IoT DDoS 봇넷이 사용한 61개 비밀번호 (20161205)

오늘의 웹서버 공격 로그, SOAP 원격코드실행, D-Link 명령어 삽입, muieblackcat (20161205)

오늘의 웹서버 공격 로그, w00tw00t (DFind) (20161204)

기억하기 쉽고 안전한 비밀번호 만들기 (20161203)

2016.12.01-02 웹서버 공격 로그, armgg DDoS 악성코드 (20161202)

KISA의 랜섬웨어 예방 수칙 (20161202)

WH-DVWA-1.9 Damn Vulnerable Web App 웹해킹훈련장 (20161201)

DVWA Brute Force 실습 설명서 (20161205)

DVWA Command Injection 실습 설명서 (20161207)

DVWA CSRF (low, high level) 실습 설명서 (20161208)

DVWA File Inclusion 실습 설명서 (20161215)

DVWA File Upload 실습 설명서 (20161221)

DVWA SQL Injection (low, medium, high level) 실습 설명서 (20161224)

DVWA SQL Injection medium level - OWASP-ZAP과 sqlmap 실습 설명서 (20161222)

DVWA Blind SQLi (high level) 수동점검을 통한 '눈먼'SQL 구문삽입의 이해 (20161227)

DVWA Blind SQL Injection (low, medium level) sqlmap 실습 설명서 (20161226)

DVWA Reflected Cross Site Scripting (XSS) 실습 설명서 (20161227)

DVWA Stored Cross Site Scripting (XSS) 실습 설명서 (20170101)

SVG 이미지의 ECMAscript를 이용한 악성코드 배포 (20161201)

WH-WebGoat-7.0.1 웹해킹훈련장 라이브 ISO (20161130)

WebGoat: Bypass a Path Based Access Control Scheme (20161207)

WebGoat, LAB: DOM-Based cross-site scripting (20161208)

WebGoat, Authentication Flaws: Multi Level Login 2 (20161209)

WebGoat, Code Quality: Discover Clues in the HTML (20161210)

WebGoat XSS: Phishing with XSS (20161211)

WebGoat: OS Command Injection (20161215)

WebGoat: Numeric SQL Injection (20161216)

WebGoat: String SQL Injection (UNION기반 SQL 구문삽입의 이해) (20161217)

WebGoat: Blind Numeric SQL Injection (추리기반 SQL 구문삽입의 이해) (20161218)

2016.11.30 웹서버 공격 로그 (20161130)

OWASP TOP 10 (2013) 문서의 각종 해킹 시나리오 모음 (20161129)

WH-LFI-01: 널바이트삽입과 내부파일실행 웹해킹훈련장 (20161126)

WH-LFI-01 웹해킹훈련장의 취약점 분석 결과보고서 (20161128)

인터넷(Internet)과 보안에 대해 짧게 생각해보다 (20161125)

PHP Easter Egg의 이해와 조치방안 (20161125)

WH-COOKIE-01: 잘못된 쿠키 사용 사례를 보여주는 웹해킹훈련장 (20161124)

WH-COOKIE-01 웹해킹훈련장 홈페이지 취약점분석 결과보고서 (20161126)

웹해킹 공격/방어 일람 (20161121)

webhack.dynu.net 문자배너 만들기 - toilet (20161121)

MIME 형식의 보안위협 완화: X-Content-Type-Options 헤더 (20161120)

X-XSS-Protection헤더 시험 페이지 (20161119)

방화벽을 노리는 블랙너스(Black Nurse) DoS 공격 (20161118)

클릭재킹 방지를 위한 X-Frame-Options 헤더 (20161117)

X-Frame-Options헤더 시험 페이지 (20161118)

공시생 성적조작 사건, 물리보안과 정보보안 (20161117)

ID/PW 평문전송, 정말 그렇게 큰 취약점인가? (20161116)

[웹해킹훈련장] 취약한 비밀번호: WH-weak-root-pw 실습 설명서 (20161116)

weak-root-pw 훈련장 웹취약점 분석 보고서 (20161117)

슬리타즈 리눅스 4.0 설치와 웹해킹훈련장 Live ISO 만들기 (20161115)

버추얼박스 가상머신에서 Tails OS 설치 (20161114)

Kali Linux에 Tor Browser 설치하기 (20161114)

인터넷익명성 - VPN과 Tor (20161114)

Kali Linux, open-vm-tools, Shared Folder (20161113)

SSL Strip 공격과 HSTS (20161112)

모든 꼬리표 모아보기(태그 클라우드) (20161111)

HTTP 세션 탈취와 IP보안 (20161111)

HTTP TRACE method와 XST 공격 (20161111)

세션쿠키와 HttpOnly (20161110)

HTTP 메소드 수동점검 방법 (20161110)

파일업로드(웹쉘) 방어하기 (20161109)

파일다운로드/경로조작 방어하기 (20161109)

XSS, SQL Injection 방어하기 (20161109)

길찾기(sitemap) (20161109)

웹취약성분석 관련 파일 목록 (20161108)

SQL 인젝션 공격도구 sqlmap의 간단한 사용법 (20161107)

웹취약점 분석 도구로서의 THC Hydra (20161107)

웹취약점 분석 도구로서의 cURL (20161107)

[웹해킹훈련장] CVE-2014-6271: Bash Shellshock 실습 설명서 (20161104)

[PentesterLab] CVE-2014-6271 Shellshock 훈련장 웹취약점 분석 보고서 (20161106)

무료 웹해킹 교육장 목록 (20161103)

칼리 리눅스(Kali Linux) 설치 (20161030)

가상머신 버추얼 박스(VirtualBox) 설치 (20161029)

가상머신 VMWare Workstation Player 설치 (20161028)

[웹해킹훈련장] Drunk Admin Web Hacking Challenge 실습 설명서 (20161027)

스마트에디터(SmartEditor) 2.0 Basic의 웹쉘 업로드 취약점 (20160719)

<< 목록숨기기
#물리보안 #정보보안 #USB 부팅 #CMOS 비밀번호 #윈도우 비밀번호 초기화 #공시생성적조작사건 #침해사고 #포이즌탭

물리보안이 무너지면? 정보보안은 끝이다!

2016년 4월, 공무원시험에 응시한 한 청년이 저지른 과감한 "보안뚫기 행위" 때문에 전국이 떠들썩했던 적이 있다. "공시생 성적조작 사건"이라고 알려져있으며 (물리보안+정보보안)을 모두 뚫은 획기적인 사건이다.

4월 8일자 JTBC 보도를 살펴보자.

[JTBC]

어제(7일) 아침 정부종합청사 앞에는 사람들이 100m 넘게 줄을 섰다고 합니다. 신분을 확인하고 소지품을 검사하다 보니 이렇게 지체된 건데요. 이런 낯선 상황을 만들어낸 건 대한민국 정부종합청사의 보안을 허무하게 무너뜨린 26살 공무원시험 준비생 송씨였습니다. 불경기, 청년실업, 지방대 출신의 어려움, 어쩌면 이 모든 것들이 집합 되어있는 사건이 아닌가 싶은데요. 경찰은 송씨의 단독범행으로 잠정 결론지었습니다.
강신후 기자가 전해드립니다.

[기자] 경찰 조사에 따르면 (1) 송 씨는 지난 2월 28일, 주말 휴가에서 복귀하는 의경들 틈에 끼어 청사에 들어갑니다.
그리곤 보안카드가 필요없는 체력단련실로 들어가 신분증을 훔칩니다.
송 씨는 이날 시험 문제지를 훔치려 했지만 실패합니다. 필기시험일은 3월 5일이었습니다.
(2) 필기시험 다음 날 다시 청사에 나타난 송 씨.
이번엔 자신이 치른 시험 답안지를 조작하려고 했지만 사무실 진입에 실패했습니다.
(3) 지난달 24일에는 필기 합격자 명단을 담당하는 인사혁신처 사무실이 있는 16층으로 올라갑니다.
도어록 옆에 적혀있던 비밀번호로 문을 열고 내부진입에 성공하지만 담당 공무원의 컴퓨터를 여는 데는 실패했습니다.
(4) 이틀 뒤 다시 청사 CCTV에 포착된 송 씨는 9시간이나 사무실에 머물며 담당자 2명의 컴퓨터 보안을 뚫고 서류를 조작합니다.
당시 그는 공무원증을 목에 걸고, 슬리퍼를 신고, 카디건 등 편안한 복장으로 오래된 직원처럼 태연하게 청사를 활보했습니다.
심지어 인사혁신처가 합격자 명단이 조작된 것을 알고 (5) 경찰에 수사를 의뢰한 지난 1일에도 5시간 동안 청사에 머물렀습니다.
하지만 경찰이 밝힌 것처럼 송 씨가 다섯 번만 청사를 출입했는지에 대해선 의문이 남습니다.
정부청사 CCTV 녹화 영상은 한 달만 보관하기 때문에 3월 이전 송 씨의 행적을 정확히 파악하긴 힘들기 때문입니다.
제주의 한 대학 졸업반인 송 씨는 2~3년 전부터 공무원 시험을 준비한 것으로 알려졌습니다.
올해 '지역인재 7급 공무원' 시험에 응시해 대학 추천을 받았고 이번이 마지막이라는 절박한 마음에 범행을 저질렀다고 경찰에 진술했습니다.

이 공시생은 다섯번에 걸쳐서 정부서울청사에 침입하여 결국 인사혁신처 공무원 2명의 PC를 장악한 후 합격자 명단을 조작했다고 한다. 신문기사 내용을 보면 첩보전 수준이다.

한국일보 기사의 일부를 살펴보자.

[한국일보]

6일 경찰청과 인사혁신처 등에 따르면 '2016년 국가공무원 지역인재 7급 필기시험'에 응시한 송모(26)씨는 지난달 26일 오후 9시5분께 정부서울청사 16층 인사혁신처 사무실에 몰래 침입해 시험 담당자의 개인용 컴퓨터(PC)에 접속해 합격자 명단을 조작한 것으로 파악됐다.

경찰 “청사 침입은 단독 범행”
외박 복귀하는 의무경찰들 따라
후문 민원실 통해 청사 첫 출입
방호원은 신분증 검사도 안해
혁신처, 사건 은폐 시도 의혹
사무실 벽에 도어록 비번 있었지만 경찰 수사 의뢰때 알리지 않아
컴퓨터 보안시스템 CMOS 암호 “설정 불구 가동 안돼” 거짓 해명도
행자부 관계자는 "패스워드를 우회하는 소프트웨어를 쓰려면 일단 컴퓨터를 켜야 하는데, 보안지침이 지켜졌다면 켜기가 힘들었을 것"이라며 "행정망을 비롯한 보안시스템 자체의 허점인지 아니면 이를 운영하는 절차의 문제에서 비롯된 인적 과실인지는 수사가 더 진행돼야 드러날 것"이라며 말을 아꼈다.
인사처 직원은 이튿날 비밀번호가 해제된 사실을 확인했다고 한다. 그럼에도 보안이 뚫렸다는 사실은 몰랐다고 하니 의문은 꼬리를 문다.

합격자 명단을 조작했다는 내용에서 기술적인 부분을 언급하고 있다. CMOS 암호 이야기도 있고 "보안지침이 지켜졌으면 켜기가 힘들었을 것"이라는 말도 있다.

정말 보안지침이 지켜졌으면 PC를 켜기가 힘들었을까? 이것은 사실이 아니다. PC 자체에 시건장치를 하여 접근을 막지않는 한 PC를 켜지 못할 이유가 없다. 그런데 PC에 자물쇠를 달고 출퇴근할 때마다 열고 닫는 사무실이 있을까?

다음은 공시생 성적조작 사건이 벌어지고 난 이후에 전달된 어느 기관의 보안강화 조치이다. 

▣ CMOS 비밀번호 설정
    ․PC 및 노트북 CMOS 비밀번호        ․부팅관련 조치사항 설정변경 방지

▣ 부팅디스크 우회 방지
    ․이동식 저장장치 부팅 비활성화     ․로컬디스크로만 부팅 가능하도록 설정

▣ OS 비밀번호 설정 및 변경
    ․OS 로그온 비밀번호                ․영문,숫자,특수문자 포함 9자 이상 설정
    ․3개월마다 변경 조치 (사용자PC수준진단 시스템 활용)
    ․화면보호기 비밀번호 
    ․영문,숫자,특수문자 포함 9자 이상 설정 (사용자PC수준진단 시스템 활용)

▣ 사용자 보안프로그램 점검
    ․네트워크접근제어                  ․매체제어시스템
    ․사용자 PC수준진단 프로그램        ․백신업데이트

소잃고 외양간을 고쳐도 제대로 고쳐야 한다. 공시생 성적조작 사건의 본질은 "물리보안"이다. 근본적으로는 출입통제를 제대로 하지 않았기 때문에 발생한 문제다. 위의 보안강화조치에 출입통제에 대한 사항이 언급조차 안되어 있는 것은 외양간을 제대로 고치지 않겠다는 말이다.

"CMOS 비밀번호만 설정되어 있었어도 윈도우로 부팅하지 못했을 것"이라고? 간단하게 풀 수 있는 문제다. 컴퓨터의 뚜껑을 열고 주기판(메인보드)에서 수은전지를 찾아서 뺴버리면 된다. 5분 쯤 후에 다시 넣고 켜면 CMOS는 초기화되어버린다. 윈도우 비밀번호 초기화 도구(예: chntpw)가 포함된 리눅스 배포판을 부팅 USB로 만들어서 가지고 있으면 윈도우 비밀번호도 없애는 것이 간단하다.

따라서 위 기관의 보안조치 강화 방법에는 "출입통제 철저", "PC 시건장치 마련" 등과 같은 물리보안 강화조치가 먼저 언급되었어야 한다. 원래 조치사항을 제대로 적용해봐도 침입자가 물리적으로 접근할 수 있으면 PC를 켤 수 있고 윈도우 운영체제의 비밀번호도 초기화할 수 있다.

물리적 보안이 실패하면 - 현실적으로 - 정보보안이 막을 수 있는 것은 없다.

공시생 성적조작 사건이 주는 교훈이다.

덧붙임: 포이즌탭

새미 캄카(Samy Kamkar)라는 화이트햇 해커가 5달러짜리 라스베리 파이 제로(Raspberry Pi Zero)로 만든 포이즌탭(PoisonTap)이라는 장비를 선보였다.

이 장비를 윈도우나 맥 장비에 USB로 연결하면 장비가 자동으로 인식되고 모든 HTTP 통신을 공격자가 감청하거나 조작할 수 있다고 한다. 강제로 부팅할 필요도 없고 윈도우나 맥에 로그인할 필요도 없다.

그저 USB 포트에 포이즌탭을 - 피해자 눈에 잘 안보이게 - 대상 PC에 슬쩍 꽂으면 공격 끝!!!

이 사례는 공격자가 피해자의 PC에 직접 접근만할 수 있으면 된다. 역시나 물리보안이 무너지면 정보보안은 지킬 수 없다는 또다른 사례이다.

덧붙임: 중앙집중형 가상화

이러한 물리보안의 문제를 일부 회피할 수 있는 방법이 중앙집중형 가상화이다. 업무 관련 문서는 전산실에 위치한 가상화된 장비에서 취급함으로써 - 물리적으로는 - 사용자의 PC와 단절시키는 방식이다. 사용자 PC는 단말기로서만 사용하기 때문에 물리적으로 장악된다 하더라도 업무 내용은 다른 곳에 위치하기 때문에 물리적인 침투에도 보다 안전한 방식이라고 할 수 있다. - 하지만, 다수의 사용자가 네트워크로 동시에 접속해야 할 때 발생하는 업무효율성 저하와 가상화 서버에 침해사고가 발생했을 때를 대비한 보안 문제 등을 해결해야 하므로 매우 큰 비용문제가 발생한다.

[처음 작성한 날: 2016.11.17]    [마지막으로 고친 날: 2016.11.25] 

> 이 글을 목록없이 인쇄하기 편하게 보기

< 이전 글 : X-Frame-Options헤더 시험 페이지 (2016.11.18)

> 다음 글 : ID/PW 평문전송, 정말 그렇게 큰 취약점인가? (2016.11.16)

크리에이티브 커먼즈 라이선스 이 저작물은 크리에이티브 커먼즈 저작자표시 4.0 국제 라이선스에 따라 이용할 수 있습니다.
잘못된 내용, 오탈자 및 기타 문의사항은 j1n5uk{at}daum.net으로 연락주시기 바랍니다.
문서의 시작으로 컴퓨터 깨알지식 웹핵 누리집 대문