우누, SQL인젝션 공격으로 보안업체 보안취약점 알리는데 일조
자만하고 있는 보안벤더사들에게 일침...'보안'말 할 자격을 갖춰야!
취약점 공유 안되는 한국...해커들은 알아도 “쉬~쉬”

루마니아 해커 'Unu'(우누)에 대한 관심이 높다. 국내 해커들은 “이름은 들어봤지만 그렇게 유명한 해커는 아니다”라는 반응도 있고 “SQL인젝션(injection) 공격에 있어서는 굉장한 실력가”라는 반응도 나오고 있다.

그럴만한 이유가 있다. 우누는 올해 들어 보안 분야에서 세계적으로 실력을 인정받고 있는 카스퍼스키랩, 빗디펜더, 시만텍 등 쟁쟁한 밴더사들을 SQL인젝션 공격으로 제압했기 때문이다. 또 지난달 27일에는 국내 업체로 잉카인터넷 B2C 고객지원 웹사이트를 SQL인젝션 공격으로 해킹한 바 있다. 관련 내용들은 그의 블로그와 외신 등에 올라와 있다. 

해외에서도 해커 ‘우누’에 대한 평판들이 나오고 있다. 우누는 자신을 ‘윤리적 해커’라고 칭하지만 객관적으로 봤을 때 그는 ‘grey hat hacker’라는 평을 받고 있다.

‘그레이 해커’는 화이트 해커와 블랙 해커의 중간적 위치에 존재한다. 국내 모 유명 해커는 “그레이(grey)는 취약점을 발견하고 공격코드를 만들어 공격실행까지 완료한 후 공격 실행코드는 빼고 취약점만 공개해 보완할 수 있도록 조치하는 정도로 볼 수 있다”며 “아마도 대부분 해커들이 화이트와 그레이 사이 정도에 위치해 있지 않을까 생각한다”고 말했다.

우누 또한 여러 사이트의 웹 취약점을 찾아내고 이에 대한 공격을 감행하고 확인한 후, 자신의 블로그 등에 공개했다는 점에서 그레이 해커라 할 수 있다. 명백한 것은 그가 크래커(블랙)와 같이 고객 DB를 빼내 3자에게 팔거나 취약점을 이용해 돈을 요구하는 등 ‘사이버 갱스터’적인 인물은 아니라는 것이다.

그는 자신의 블로그에 “보안업체들이 정작 자신들의 취약점은 간과하고 있고 DB관리도 엉망이다. 그래서야 보안업체로서 명분이 서는가. 조심하라”는 경고 메시지를 지속적으로 전하고 있다.  

우누의 최근 취약점 공개 행적을 살펴보자. 

◇usa.kaspersky.com 해킹=지난 2월 9일 ‘usa.kaspersky.com’(미국 카스퍼스키) 사이트가 루마니아 해커 'Unu'(우누/ 해커의 온라인 닉네임)에 의해 해킹을 당해 대량의 데이터가 노출되는 사건이 발생했다. 그는 2월 9일 밤 늦게 해당 사이트에 SQL인젝션(injection) 공격을 시도해 해킹에 성공했다고 밝혔다.

그 공격으로 그는 활성화 코드와 유저 정보, 버그 리스트 등등을 볼 수 있었다고 했으며 매개변수 하나만 바꿔도 유저 정보와 활성화 코드, 관리자, 숍 정보까지 모든 것에 액세스가 가능했다고 말했다. 덧붙여 그는 시큐리티와 안티바이러스 분야에서 이름있는 기업이 정작 자신들의 데이터 베이스를 보호하는데는 소홀했다고 꼬집었다.

◇유럽 ING, Dexia, HSBC 해킹=지난 9월 그는 SQL인젝션 공격을 이용해 유럽의 대형 금융사인 ING, Dexia 그리고 HSBC 등을 해킹한 바 있다. 

우누는 벨기에 ING 기프트숍 웹사이트의 취약점을 공격해 관리자 계정을 포함한 해당 웹사이트의 모든 계정 패스워드를 알아냈고 이용자 이메일과 풀네임 정보 등도 알아냈다. 또 서버에 PHP 쉘을 업로드 할 수 있다고 지적했다. 

벨기에에 위치한 보험 사이트인 Dexia 사이트도 그의 공격에 무너졌다. 우누는 동일한 방법으로 Dexia의 취약점을 공격했고 대량의 데이터 베이스에 접근했다. 물론 이용자들의 정보와 평문 패스워드를 빼내 올 수 있다는 것을 확인했다.

HSBC France 웹사이트도 당했다. 우누는 해당 사이트의 모든 데이터 베이스 접근 권한을 획득했으며 파일 시스템에 접근권한도 얻을 수 있었다. 또한 SQL인젝션 공격으로 전체 서버(MS SQL)에 손상을 입힐 수 있는 취약점도 발견했다.

우누는 취약점을 일반에 공개하는 이유에 대해 “기업이 자신들의 시스템을 보호하기 위해 더 많은 보안투자를 해야 한다는 의식을 일깨워 주기 위한 것”이라고 밝히고 있다.

◇Yahoo! 지역 토론게시판 해킹=8월에 그는 야후가 2007년 서비스한 지역 커뮤니케이션 사이트를 SQL인젝션과 cross-site scripting (XSS) 취약점을 이용해 공격했다. 이 공격으로 관리자와 이용자의 계정 정보를 읽을 수 있었고 서버(MySQL 5 server)에 쉘을 업로드할 수도 있었다. 뿐만 아니라 야후 이용자들의 ID, 주소, 국가, 이메일 정보뿐만 아니라 서버에 load_file까지 가능하다는 것을 밝혀냈다.

그는 “이 사이트에서 우리가(우누의 해킹팀) 원하는 모든 것을 할 수 있었다. 쉘 업로드, 리다이렉츠, 트로이목마 드롭, 심지어 사이트 전체를 파괴할 수도 있었다”며 “이러한 위험한 취약점에 대해 야후 측에 모두 말해줬다”고 밝혔다.

◇일본 시만텍 사이트 해킹=11월 23일 일본 시만텍 사이트가 우누의 블라인드 SQL인젝션 공격에 뚫렸다. 그는 “off-the-shelf tools (Pangolin and sqlmap)을 사용해 시만텍 서버의 모든 계정에 접근이 가능했으며 서버에 저장된 많은 민감한 데이터들에 접근도 가능했다”며 “시만텍의 노턴이 우리를 막아 주기 원했지만 그들은 자신들의 데이터베이스를 지키지 못했다”고 지적했다.

◇이외에도 여러 사이트 해킹=우누는 영국 ‘The Telegraph’사와 ‘British Telecom’ 사이트를 해킹해 홈페이지를 손상시킨 바 있으며 영국 의회 사이트와 National Lottery 사이트 그리고 안티바이러스 업체인 F-secure, BitDefender, 한국의 잉카인터넷 B2C 고객지원 웹사이트 등도 SQL인젝션 취약점을 이용한 공격방법을 통해 중요 데이터베이스들이 노출될 수 있다는 것을 공개했다. 

그는 모든 해킹 과정에 대해 신뢰성을 주기 위해 자신의 블로그에 스크린샷으로 증명하고 있다. 하지만 정확하게 어떻게 공격을 하는지 그 방법에 대해서는 구체적으로 말해주지 않고 있다. 물론 악용될 소지가 있기 때문이다.

"Unu"는 해커스 블로그로 알려진 루마니아의 윤리적 해킹그룹의 일원으로 알려져 있다. 이 그룹은 세계적으로 주요한 사이트 뿐만 아니라 몇 몇 안티바이러스 벤더사들의 웹사이트 SQL인젝션 취약점을 지속적으로 밝혀내고 공지하고 있다.

“취약점? 업체에 먼저 말하지!”...한국 보안현실 모르는 소리
한편 한국에서는 우누의 취약점 발표 방법을 두고 말들이 많다. 혹자는 “취약점이 발견되면 해당 업체에 우선 알려야 한다”고 말한다. 하지만 그건 한국의 현실을 모르고 하는 말이라는 반응이 많다. 

우선 한국 사회는 취약점을 알려주는 것에 대해 색안경을 끼고 본다는 것이다. 모 유명 해커는 “해당 업체에 취약점 알려줬다가 그걸 당신이 어떻게 알았냐며 오히려 욕을 먹었다. 그리고 알려줘도 고마워할 줄도 모르고 제대로 수정이 됐는지 답변도 없다”고 지적하고 있다.

그래서 국내 해커들은 대부분 취약점을 혼자만 알고 숨겨버리거나 해외 유명 보안사이트에 닉네임으로 올리고 있는 것이 한국 보안의 현실이다. 그래서 기업간 기관간 정보공유가 안되고 계속 살아있는 취약점 때문에 공격받고 또 공격받고 있는 상황이다. 

해커에게 “왜 업체에 먼저 알려줄 것이지 자기 블로그나 언론에 공개하느냐” 탓하기 전에 우리 사회가 그러한 오픈된 문화가 형성돼 있나를 살펴봐야 한다. 
 
보안정보 공유 과정에서 문제가 있다면 국가 전반적인 보안환경 개선을 위해서라도 해커와 보안담당자 그리고 정부가 나서 하나씩 개선해 나가는 노력들이 필요할 것이다.
[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>