한날의 낙서 [Hannal's scribbling]

싸이월드는 해킹 당하고 있는 중

[ 2004년 11월 27일, 11시 48분] [ 글 갈래 : 나른한 오후에 써봄직한 가벼움 ]

꽤 오래 이렇다할 큼직한 해킹 사고 없이 버텨오던 싸이월드가 얼마 전부터 해킹 사건이 이곳 저곳에서 터지고 있다. 꽤 여러 사람들이 이 해킹 방법을 이용하여 악용하는 사례가 발생하는 걸 보니 이 보안 문제를 발견하여 사용하던 재야의 고수들은 제법 오랜 시간 동안 이 문제가 방치되었던 걸로 판단된다.

모르는 사람에게 도토리를 이용하여 선물을 했다는 사람이 있는가하면 친구놈은 아는 사람이 자신의 미니룸에 특정 기능이 작동되는 자바 스크립트를 넣음으로써 싸이월드 해킹이 가능하다는 걸 보여주었다고 한다. 확인해보니 정말 미니룸을 출력하는 html 문서 안에 싸이월드에 방문한 사람의 쿠키를 가로채서 아이디를 친구놈의 로그 기록 파일로 날리도록 하는 자바 스크립트가 들어가 있었다.

섣부른 판단일지 모르겠지만 나는 위 사건들이 동일한 해킹 방법에 의해 일어난 것으로 보고 있다. 꼭 동일하지는 않더라도 유사한 형태로 이뤄진 것으로 보고 있다. 아직까지 싸이월드측에서는 이에 대한 공식적인 움직임이 없는 것으로 보아 조용히 문제를 해결하고 있는 듯 싶다. 설마 지금까지 모르고 있을 거 같지는 않고.

나는 예전에 네이버 블로그의 보안 버그를 발견한 적이 있다. 그때의 버그는 아주 단순한 것이어서 하는 방법만 공개되면 누구나 아주 쉽게 치명적인 짓거리를 할 수 있었다. 이에 대해 블루문님의 적절한 움직임으로 좋게 일이 마무리 되었다. 그의 요구인 좋은 재질의 네이버 머그컵은 받지 못했지만 말이다.

뜬금 없이 내 지난 얘기를 하는 이유는 싸이월드의 이번 문제가 그 당시 내가 발견했던 네이버 블로그의 문제와 비슷해보이기 때문이다. 그리고 상황 역시 비슷하기 때문이다. 아주 간단한 조작만으로 여러 가지 불법 행위를 할 수 있는 상황. 네이버 블로그는 남의 게시물 내용을 날려버릴 수 있다면, 싸이월드는 주요 수익 모델 중 하나인 도토리를 원하는대로 훔쳐쓸 수 있다. 내 입장에서는 지난 기억이 떠오를 수 밖에 없다.

아직 이번 싸이월드 보안 문제에 대해 문제 발견자나 이용했던 사람들이 싸이월드에 제보를 하지 않은 것 같다. 아직도 은밀하게 이번 보안 문제를 악용하고 있으며, 친구놈의 지인인 그 사람처럼 싸이월드에 알려져서 일이 해결되기를 원하지 않는 분위기다. 만일 싸이월드가 아직까지 이 사건들에 대해 모르거나, 사용자가 비밀 번호를 제대로 관리하지 않아서 그렇다는 헛소리를 하고 있거나, 혹은 싸이월드 설계상의 문제 때문에 짧은 시간 안에 문제를 해결할 수 없다면 문제는 점차 커질 것이다. 이 문제는 단순히 일촌 공개 사진을 훔쳐보는 정도가 아닌 돈이 걸린 문제이기 때문이다. 한마디로 싸이월드 큰일났다.

덧쓰기 : 싸이월드 보안 문제를 악용할 생각이 없는 나로서는 어떤 방법으로 해킹에 성공했는지 궁금했지만 가르쳐주지 않는 그 사람이 야속하고 얄미워서 어느 정도 규모의 이용자들이 오가는 이곳에 공개적으로 글을 쓰는 건 절대 아니다. 나는 순전히 싸이월드 이용자들이 피해를 보는 것이 안타까워서 … (늑대다~~ 늑대가 나타났어요! 양치기 소년, 한날 살려~~)

꼬리표 (tags) :

Comment RSS - Trackback URI : http://www.hannal.net/blog/568/trackback/

« 구독자 여러분, 고맙습니다.
글의 소재가 없을 때는 리퍼러를 이용하자. »

14개의 댓글과 엮인글이 있습니다.

  1. 떡이떡이:

    글 잘 읽었습니다. 특히 모르는 사람이 도토리를 선물했다는 부분은 유심히 지켜봐야 할 부분이네요… 죄송한데.. 글에 소개하신 싸이월드 쿠키 스니핑 관련 링크(자바스크립트를 이용한 사이월드 해킹)이 열리지 않네요. 내용을 좀 옮겨주시거나 소개해주시면 감사하겠습니다.^^ 제 홈피 게스트북에 남겨 주셔도 좋습니다~^^


    comment at 2004/11/27
  2. lumme:

    싸이월드가 보안면에서는 많이 허술했죠. 숨긴글도 글 번호만 알면 볼 수가 있었으니. 최근에는 많은 부분이 보완되긴 했었는데, 미니룸에서는 여전히 스크립트가 먹히나 보군요. 사실 스크립트를 사용해서 쿠키만 가로채면 도토리뿐만 아니라 별짓을 다할수 있겠죠. 하지만, 이번에 돈이 관여되었으니 큰 문제가 될지도….


    comment at 2004/11/27
  3. 피빛장미:

    블루문님과 한날님의 네이버 시한폭탄 사건이 꽤나 많은 시간이 흘렀네요. 그때 참 재밌었는데..^^ 그나저나 싸이월드는 참 재밌게 되었네.ㅎㅎㅎ…


    comment at 2004/11/27
  4. 까만마녀:

    하하… 장미말처럼 나도 그 사건 기억나네요. 블로그하면서 제일 기억에 남는 사건 중 하나! ^^
    암튼, 저도 싸이월드를 하곤 있는데, 거기 이용하면서 드는 생각은… '이 곳 이용자들은 싸이에 상당히 관대하구나~' 였답니다. 그리고, 고객센타의 어이없고도 불편한 답변들을 보며 '네이버'는 양반이구나~도 느꼈다죠. ^^


    comment at 2004/11/27
  5. sentimental [sèntméntl] a.:

    안녕하세요? 한 달에 한 번 최신 해킹 기법을 소개하고 있는 포항공대 플러스의 조성현입니다. LGNSYS와 함께 일반인들의 보안 마인드 확산을 위해 본 코너를 진행하고 있습니다.

    이번 달에는 두 달전에 소개한 쿠키 스니핑과 관련된 이야기를 쿠키 스푸..


    trackback at 2004/11/27 이 의견은 엮인글(Trackback)이며, 모든 내용을 읽으시려면 이곳을 누르세요.
  6. 띠용:

    므흐흐.. 흥미진진한 사건이 되겠네요.
    저도 한날님이 발견한 그 스크립트가 뭘까 하고 상당히 궁금했었고 시한폭탄같은 포스트들 때문에 즐거웠었답니다~냐하하


    comment at 2004/11/28
  7. 토끼군:

    전 작년에 제로보드에 대해서 어떤 php 코드도 실행할 수 있는 치명적인(서버 사양을 약간 타지만) 보안 버그를 발견한 적이 있습니다. (이 버그가 어떻게 일어 나는 일인 지 알아 내는 게 쉬운 건 아닙니다만, php를 조금만 배우면 안에서 어떻게 돌아 가는 지 몰라도 악용하는 건 쉬운 일입니다!)
    근데 리포팅을 해 봐도 별 얘기가 없더군요. 결국 한 달 정도 있다가 시한 폭탄 터뜨리려다가 마음이 약해져서 그냥 패치만 내 놓았는데, 그 때부터 지금까지 제로보드 자체는 업데이트 된 게 없습니다. :( (그래서 제가 발견한 버그는 아직도 먹힙니다. 물론 이거 말고 injection 버그라던지 하는 게 발견된 것만 10개 가까이 되는 걸로 알고 있습니다.)
    그 때부터 이미 제로보드에 정이 완전히 떨어져 버렸죠. 당시 고치겠다는 메일 or 쪽지를 받긴 했습니다만 1년이 지난 지금도 업데이트가 없다는 건, 분명 많은 사람들이 사용하는 프로그램에 대해서 책임을 지지 않겠다는 거 아니겠어요. 저작권에 업데이트할 책임이 없다고 써 있기는 하지만 제로보드가 널리 사용되고 있다는 현실에서 그런 책임 회피가 보안 버그 같은 것까지 이어져서는 절대 안 된다고 보고요. (게다가 제가 발견한 버그 같은 경우 1줄만 고쳐도 되는 건데 말이죠. -_-)
    생각해 보면 그 때 네이버 블로그 버그 시한 폭탄처럼 그냥 공개해 버렸다면 어떤 일이 일어 났을까 하는 생각도 들고요. :( 이래 저래 기분만 상한 일이었네요.


    comment at 2004/11/28
  8. 한날:

    떡이떡이님/ http://www.plus.or.kr/wikix/index.php?display=LGNsys200408 로 방문해보세요. 원 출처 같습니다.

    lumme님/ 여전히라는 표현을 쓰신 걸로 보아 역시 예상대로 이 문제는 꽤 오래 전부터 이용되고 있었군요. 흠.

    피빛장미님/ :D

    까만마녀님/ 네이버 블로그를 귀찮게 한 저의 마지막 행위였지요. 하하. 그 이후에는 이글루스로 옮겼으니.
    어떤 면에서는 관대하지만 어떤 면에서는 사악하다고 생각됩니다. 핫핫.

    띠용님/ 하하. 제가 발견했던 네이버 블로그의 보안 문제는 간단합니다. 방문수 이벤트에 당첨되면 팝업창이 뜨지요? 그게
    popup.jsp?id=hannal&hits=9999&p=10
    뭐 이런 식으로 접근한 것인데, 여기서 id와 hits를 임의로 수정할 수 있습니다. post method로 접근한게 아니라 get method 접근이었기 때문에 popup.jsp?id=ddiyong&hits=11111&p=30 형태로 할 수 있는 거지요. 문제는 이벤트 당첨되는 순간 이벤트를 개최한 사람의 블로그에 새로운 글이 insert 된 후 글 내용을 update 하는 과정에서 발생합니다. 위와 같이 이벤트 개최자를 조작하면(hannal에서 ddiyong으로) 제가 지정한 글 내용이 조작되어 버립니다. 원래는 hannal의 10번글(p=10)이 '누구님이 XX방문수에 당첨되었습니다'라고 되어야할 것이 ddiyong 이용자의 30번글(p=30)에 들어가는 것이지요. 만일 id를 </xmp> 라고 해놓으면 그 사람의 블로그는 깨져보이겠죠? :D
    현재는 막혀있습니다만, 그때는 너무 잘 됐었지요. :D

    토끼군님/ 공개된 소스이니만큼 제로보드의 버그는 무척 많이 발견되었습니다. 물론 정석적이라기보다는 기능 구현에 충실한 소스 코드라서 아주 기본적인 문제에서 발생하는 버그도 많았지요. 오래 전에 업데이트가 중지된 이후 개발자분의 보수도 중단되었고, 최근에는 유지조차(홈페이지 방문이 안되고 있지요) 이뤄지고 있지 않아 안타깝더군요.
    토끼군님께서 말씀하신바와 같이 그런 면에서 가끔은 정체된 개발자를 위해 상큼한 자극제를 주듯 시한 폭탄 하나 터뜨리는 것도 좋을 듯 싶군요. 다만, 제로보드는 소스가 공개되어 있고 이용자층이 많아 한 영웅이(초보자 입장에서는 영웅) 나타나 심각한 문제를 해결해주어 시한 폭탄의 의미가 많이 퇴색할 거라는 우려(?)가 듭니다. :)


    comment at 2004/11/29
  9. 토끼군:

    제로보드가 만약 지금도 활발히 업데이트된다면 제로보드의 고질적인 문제들도 많이 고쳐질 것 같은데 아깝습니다. :p 아는 분께서는 이 얘기를 들으시고 "구글을 통해서 제로보드를 검색하고 자동으로 감염되는 제로보드 웜"을 만들면 대박 나겠다는 얘기를 하시더군요. -_-;;; (근데 불가능한 것도 아니긴 합니다.)


    comment at 2004/12/01
  10. 띠용:

    오호~ 그런 내막이 있었군요~!

    그래서였던지 프로그래밍을 처음 배웠을때(정말 컴맹인 상태에서 배우는 프로그래밍은 정말 죽을맛이었어요~! 지금도 아예 안됨 ㅡㅜ)지금까지도 가장 남는 문구는 모든 프로그래밍은 get 방식보다는 post방식이 최고다~!라는 말이예요~므흐흐

    그런데 저는 한날님이 발견한 부분이 남의 포스트를 완전히 지울 수 있다는 부분인줄 알았는데,그것보다 범위가 더 넓은 심각한것이었군요~!ㅋㅋ


    comment at 2004/12/01
  11. 한날:

    토끼군님/ 하하. :D

    띠용님/ 전 get method 가 좋아요~ post 는 너무 거창해요~


    comment at 2004/12/01
  12. 두잇:

    melong18noma@hotmail.com 이분이 싸이월드해킹 시연하는것을 본적있는데…여러가지 방법이더군요…


    comment at 2007/04/07
  13. fgsgs:

    지금 메인 스크립트 추적 되는 상태인가요?


    comment at 2008/11/11
  14. 한날:

    글쎄요. 지금은 모르겠군요.


    comment at 2008/11/11

댓글을 남기시면 좋은 일이 생길 겁니다.



XHTML: 옆의 HTML 태그를 사용할 수 있습니다 : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>