그러니까 어제, 즉 1월 20일, 한국정보보호진흥원(KISA, http://www.kisa.or.kr)에서 웹해킹방어도구인 'CASTLE'을 공식 발표 및 배포하기 시작했습니다.

현재 인터넷침해사고대응지원센터(KRCERT, http://www.krcert.or.kr) 웹사이트의 공지사항 쪽을 통해 배포되고 있는데 ASP, PHP, JSP 등 각 프로그래밍언어 별로 분류되어 별도의 설치 패키지가 제공되고 있으며 물론 친절한 설치 가이드와 사용자 설명서 그리고 간단한 FAQ는 기본적으로 함께 제공되고 있습니다.

# 어디서 많이 뵌 분 같은데…-_-;;

위의 그림과 같이 CASTLE의 기본 인터페이스는 흡사 제로보드를 연상케 합니다. 그래서 그런지 왠지 모르게 친숙한 느낌도 들고 -_-; 무엇보다 사용자 설명서만 충분히 탐독하면 실제 사용 방법을 터득하는데까지 그리 오랜 시간이 걸리지 않습니다. 즉, 초심자도 쉽게 적용할 수 있다는 말씀입니다.

기본 구동 방법 역시 제로보드나 기타 설치형 솔루션과 크게 다르지 않습니다. 웹사이트 상에서 매번 불러와지는(include) 헤더 파일에 CASTLE 동작 소스만 삽입해 주면 그걸로 더이상 사용자가 웹소스를 손 볼 일은 없습니다.

단, ASP 용 CASTLE의 경우, 서버에 capicom.dll 파일이 미리 등록되어 있어야지만 CASTLE이 정상 작동합니다. 직접 서버를 운영하고 있는 경우라면 크게 문제되지 않겠습니다만, 웹호스팅 서비스 등 타인이 관리하고 있는 서버의 일정 공간을 임대하여 사용하고 있다면 관리자 또는 관리 업체가 지원해 주지 않는 이상 아쉽게도 사용할 수 있는 방법이 없겠습니다…

앞으로 조금 더 지켜봐야겠지만요. 웹나이트와 CASTLE의 조합으로 웹 해킹 방어율이 한층 상승했음에는 이의가 없습니다.

흙… 이 자리를 빌어 KISA 사랑합니다. 전 WHISTL 때부터 사랑했어요. -_-;;;

올해는 무엇보다도 SQL 인젝션과 그리고 DDOS 공격이 큰 화제를 불러 모았던 것 같습니다. 결과적으로 아직 종식되거나 완벽하게 해결된 것은 아무것도 없는 상황이지요. 올해 발생했던 침해사고 목록을 정리하면서 새삼 느낀 거지만 해킹 공격도 역시 '주기'라는 것이 존재하는 것 같습니다. 따라서 절대 긴장을 늦춰서는 안 될 것 같네요. 특히 SQL 인젝션은 언제 새로운 Exploit이 공개될지 알 수 없는 상황이고 더구나 기존 SQL 인젝션 툴들이 이미 이쪽저쪽 널리 퍼진 상태라 거의 매일 같이 공격이 들어오고 있다 해도 무방합니다. 잠시라도 긴장을 늦추면 바로 침해사고를 당할 수 있는 마치 지뢰밭 위를 거니는 느낌이랄까요…

그리고 DDOS 공격은 개인적으로 참… 답이 없는 공격이라고 생각합니다. DDOS를 방어할 수 있는 장비들이 있긴 합니다만, 현재 워낙 고가에 거래되고 있는데다가 제어할 수 있는 트래픽 량도 한계가 있다고 합니다.(정확하진 않지만 SISCO 장비도 3G 정도까지 제어할 수 있다고 들은 바 있습니다. 무엇보다 가격이 ㅎㄷㄷ…) 특히 예전에는 불법 웹사이트 또는 현금 거래가 비일비재하게 일어나는 웹사이트를 목표로 이루어졌던 DDOS 공격이 최근에는 무차별적인 경우도 있고 때로는 기업 홈페이지나 심지어 일반 쇼핑몰에도 피해가 발생한 적이 있었습니다. 추가로 '해킹'하면 당연히 '중국'을 떠올렸던 것이 지난번 반크 웹사이트에 발생했던 DDOS 사례로 조금은 다각화 되었죠. 일본도 이제 주요 경계 대상입니다. ㅋㅋ 뭐, 그래도 중국과 일본 사이에는 아직 넘사벽(넘을 수 없는 사차원의 벽)이 존재하므로…-_-;;

아무튼 매년 연말과 새해에는 DDOS 공격이 발생했던 사례가 많습니다. 특히 주요 기관 홈페이지를 관리하고 계신 관리자 분들 내지는 호스팅 업체 관계자 분들은 최근 기관 홈페이지들이 주요 목표 대상으로 낙인 찍혀있다고 하니 각별히 조심하셔야 될 것 같습니다.

그럼, 끝으로 새 복 많이 받으세요!

최근 SK인포섹에서 발표한 자료 중에 MSSQL의 'sp_replwritetovarbin' 확장 저장 프로시저의 힙 오버플로우 취약점을 악용한 원격코드 실행(Heap Overflow Exploit)과 관련된 내용이 있었습니다.(길기도 하지…)

'오버플로우' 라는 대목에서 이미 예견하셨겠지만, 당하면 해당 서버의 최상위 권한을 탈취당합니다. -_ㅠ

제가 알기로는 마소에서는 MSSQL 2005 이하 버전에 대해서는 업데이트를 중단했습니다. 저희 회사에서도 그렇지만 아직은 그래도 MSSQL 2000을 가장 많이 사용하고 있는데… 과연 이와 관련해서 패치가 나올지 모르겠습니다. 참고로 현재 위 내용에 해당되지 않는 MSSQL 버전은 MSSQL 7.0 SP4와 MSSQL 2005 SP3, MSSQL 2008이라고 합니다.

아무튼 SK인포섹에서는 급한대로 'sp_replwritetovarbin' 확장 저장 프로시저의 퍼블릭 실행 권한을 제거하길 권고하고 있습니다.

전 일단 혹시나 몰라서 웹나이트 룰에 'sp_replwritetovarbin' 과 'replwritetovarbin' 부분만 아스키코드로 변경해서 '7265706C7772697465746F76617262696E' 를 추가해 두었습니다. 그리고 그 동안 눈덩이 처럼 쌓여있던 웹나이트 로그를 오랜만에 뒤적여 보았습니다. 동일한 또는 비슷한 공격이 있었는지 확인해 보고 싶었는데 아쉽게도 없더군요. MSRC에서도 Exploit는 웹 상에 공개되었지만 실질적인 공격은 아직 확인된 바 없다고 했었지요.

아무튼 뭔가 찝찝 합니다. 항상 그랬지만 MSSQL과 관련된 Exploit들은 SQL Injection에 힘을 실어 주니까요.

아참! 'sp_replwritetovarbin' 확장 저장 프로시저의 권한을 설정하는 방법은 아래 링크를 참고해 주세요. 제가 굳이 스샷을 찍지 않아도 되겠네요. 잘 정리 되어 있습니다. 물론 영문입니다. 하지만 그림 파일만 보신다면… 후후~ -_-…

http://blogs.technet.com/swi/archive/2008/12/22/more-information-about-the-sql-stored-procedure-vulnerability.aspx

'sp_replwritetovarbin' 확장 저장 프로시저에 대한 퍼블릭 권한을 제거하였을 경우, 대부분 별문제 없으나 업데이트 가능한 구독 설정을 가진 트랜잭션 복제를 사용할 때 문제가 생긴다고 합니다. '구독' 그리고 '트랜잭션 복제' 라고 하니 SQL 서버 두 대를 가지고 트랜젝션 로그 배포 서버와 구독 서버를 설정했던 기억이 어렴풋이 나네요.

일단 일반 SQL 유저 계정으로는 액세스가 불가능 함을 확인하였습니다. 문제는 웹소스에서 DB서버를 액세스 할 때 SA 계정을 사용하는 웹사이트들 입니다. 시한폭탄을 안고 있는 거지요.