XETOWN

분수 광장

특정한 주제 없이 자유로운 이야기를 나눌 수 있습니다.
조회 수 197 추천 수 0 댓글 9
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
Extra Form

http://idchowto.com/?p=35203

위 내용에서 일부 발췌한것입니다.

 

‘인터넷 나야나‘의 서버 150여대가 일시에 공격에 무력화 된 이유로 가장 의심이 되는 부문은 APT 공격의 성공과 패스워드 관리의 보안적인 허점 때문으로 추정 합니다. 

 

대부분의 호스팅 회사들이 패스워드 관리를 엑셀 파일로 작성하여 암호화하여 관리 하고, 서버 접근시 엑셀파일의 패스워드를 입력하여 열어 보고 있습니다. 서버 패스워드가 무작위 대입 공격을 방어하기 위해 특수 문자를 포함 하고 있는 매우 복잡한 패스워드 체계를 사용합니다.

 

정말 환장할 만한 방법으로 당한 거군요.

역시 너무 빠르게 진행 된다고 생각 했습니다.

smb로 됬다면 그래도 뭔가 손 쓸 시간이라도 있어서 일부는 괜찮았어야 정상일텐데요.

 

완전히 날아가신 분들 보다는 비교적 피해가 적은 편이지만 .. 피해 당사자로서 허탈합니다.

다들 피해 복구 잘 되시길 바라겠습니다.

  • profile
    제이엔지 2017.06.16 18:44:33
    구름이님은 피해가 적다 하셔서 웬지 다행이다 싶어요.
  • profile
    f1help 2017.06.16 18:53:42
    ??????? 대부분이라니 참 대단하네요.
    몇 년 전에 ivyro 호스팅을 사용하다가 접은 이유가 암호 평문 저장이었는데ㅋㅋ
    호스팅 계정(ssh/sql) 암호 평문 저장과 홈페이지 계정 암호 특수문자 사용 제한에 대해 문의를 했을 때 개선할 계획이 없다는 답변을 보고 사용하지 말아야겠다 생각했었네요.
    홈페이지, ssh, sql 암호를 전부 따로 설정해봤자 홈페이지 암호만 털리면 전부 털리는데 불안해서 못 쓰죠.
    나야나는 작년에 풀매니지드(ssl 443)를 사용하려다 뭔가 찜찜해서 귀찮아도 계속 외국 가상서버를 사용했는데 계속 사용하길 잘 한 거 같네요.
  • profile
    화랑 2017.06.17 00:15:09
    흐음... 중요파일은 다 암호걸어놓고 항상 백업에 더 신경을 써야겠네요
    이번 일을 계기로 백업의 중요성과 보안 중요성을 다시한번 느낍니다 . .
    부지런히 일하고 부지런히 정리 해야겠네요 ㅜㅅㅜ
  • ?
    민우 2017.06.17 07:14:40
    헐 무섭다. ㅠ.ㅠ
  • ?
    짤막한글 2017.06.18 20:45:30
    암호화된 엑셀 파일을 뚤 수가 있을까요? 비밀번호를 알지 않는한 쉽지 않을듯한데... 그리고 뭔가 이상해보여도 사실 저렇게 안하면 관리 자체가 안될거에요.
  • profile
    기진곰 2017.06.18 23:01:31

    어느 직원이든지 서버 하나라도 관리하려면 엑셀 파일 전체의 암호를 풀어야 하니, 직원 PC에 미리 악성코드를 심어놓았다가 비번을 입력하는 순간 엑셀 파일과 비번을 빼돌리면 모든 서버를 다 털 수 있게 됩니다. 파일을 빼돌릴 수 있는 악성코드라면 키보드 해킹도 식은 죽 먹기일 테니...

    게다가 파일 하나에 모든 비번이 다 들어 있고 모든 직원이 같은 파일을 공유한다면 해커뿐 아니라 회사에 앙심을 품은 직원의 행동도 전혀 방어할 수 없게 됩니다. 며칠 전 네덜란드의 어느 호스팅 회사에서 해고당한 전직 서버 관리자가 갖고 있던 비번으로 모든 서버를 포맷해 버린 사건이 있었어요. 이직이 잦은 업계에서는 직원마다 계정을 따로 주고, 퇴사 즉시 해당 직원의 계정을 정지시키는 정책이 필요합니다.

    개인키/공개키 조합을 사용해서 비번 저장 없이 다수의 서버를 관리하는 기법도 10여년 전부터 있었고 (이거 익숙해지면 비번 복사해서 쓰는 건 더이상 불편해서 못 합니다) 최근에는 ssh 로그인시 OTP를 사용하도록 하는 기술까지 나왔으니 저렇게 엑셀 파일을 전직원이 공유하지 않으면 관리가 안 된다는 것은 보안 강화하기 귀찮다는 핑계에 불과하지요.

  • ?
    짤막한글 2017.06.19 07:20:37
    제가 보안에 대해 자세히 몰라서 그러는데, 개인키도 결국 컴퓨터가 털리면 끝 아닌가요?

    계정을 따로 주고, OTP를 사용하는 방법은 조금 불편해도 보안을 생각하면 해볼만한 것 같군요.
  • profile
    기진곰 2017.06.19 10:46:44
    각자 자기 개인키에 암호를 걸어서 쓰니까, 전직원이 엑셀 파일로 암호를 공유할 필요는 없게 되지요. 키보드 해킹으로 암호를 털어가는 것은 여전히 못 막습니다만, 그걸 대비해서 OTP를 쓰는 거고요.
  • ?
    짤막한글 2017.06.20 10:37:03
    설명 감사합니다~ 완벽한 것은 없어도 이런 저런 대비가 가능하긴 하군요.

위로
서버에 요청 중입니다. 잠시만 기다려 주십시오...