출처 : http://blog.naver.com/itexpert2007?Redirect=Log&logNo=30076940473
우누(Unu)는 보안 회사 웹사이트의 취약점을 발견하고 이를 이슈화함으로써, 결과적으로는 보안성 강화를 유도하는 이른바 화이트 해커로 알려져 있다.
우누(Unu)는 그의 온라인 닉네임이다.
그는 해커스 블로그로 알려진 루마니아의 윤리적 해킹그룹의 일원으로, 이 그룹은 세계적으로 주요한 웹사이트 뿐만 아니라 몇 몇 안티바이러스 벤더사들의 웹사이트 SQL 인젝션 취약점을 지속적으로 밝혀내서 공지하고 있다.
이번에 문제가 제기된 SQL 인젝션 공격은 웹페이지의 로그인 창 등에 SQL 구문을 넣어, 정당한 사용자로 속여 데이터베이스(DB)의 정보를 빼내거나 홈페이지를 변조해 악성코드를 유포하는 해킹 수법이다. 내노라하는 보안전문업체들이 SQL 인젝션 공격에 의해 침해가 가능하고
민감한 정보들의 유출이 가능하다는 것을 보여주었다.
[그림 1] 해커스 블로그 (http://www.hackersblog.org)
우누는 11월 23일, 시만텍 한국과 일본의 고객지원 웹사이트를 해킹한 데 이어 12월 18일에는 EMEA (Europe, the Middle East and Africa : 유럽, 중동, 아프리카) 지역의 시만텍 웹사이트를 또다시 해킹했다.
이에 앞서 지난 2월 7일과 12월 10일, 두차례에 걸쳐 카스퍼스키랩의 홈페이지를 해킹한 바 있으며, 국내 보안기업으로는 11월 27일, 잉카인터넷 B2C 고객지원 웹사이트의 MYSQL DB를 SQL 인젝션 공격으로 해킹하기도 했다.
카스퍼스키랩이나 시만텍, 잉카인터넷 모두 해킹당한 사실을 인정했다.
업체들마다 자사 웹사이트에 허점이 있다는 것을 인정했고, 취약점이 보완됐다는 사실도 공지했다.
그리고 업체들마다 필요한 암호화 조치가 돼 있었다거나 개인정보 수집을 최소화해 고객 개인정보가 유출되지 않았다고 밝혔다. 그런데 문제는 지금까지도 SQL 인젝션(Injection) 취약점으로 인해 지속적으로 해킹을 당하고 있다는 사실이다.
[그림 2] 12월 18일 해킹당한 EMEA 시만텍 웹사이트의 캡처 화면
해킹 등 보안 위협을 막는 기술을 개발하는 내노라하는 보안전문업체들이 SQL 인젝션(Injection) 취약점으로 자사 웹사이트가 잇달아 뚫리면서 망신을 당했다.
또한 관리 소홀로 인해 고객들에게 불안감을 주고 있다는 비난도 피할 수 없게 됐다.
웹사이트나 고객 DB관리가 취약해 고객정보(아이디, 비밀번호, 이메일 등)를 유출당하는 사고가 발생한다면 누가 이 업체들을 믿을 수 있겠는가?
신뢰성과 이미지 타격은 물론, 아무리 훌륭한 보안기술을 개발해 각종 보안위협을 막을 수 있는 제품을 내놓아도 고객으로부터 외면당하게 될 것이다.
우누는 자신의 블로그에 “보안업체들이 정작 자신들의 취약점은 간과하고 있고, DB관리도 엉망이다. 그래서야 보안업체로서 명분이 서는가. 조심하라”는 경고 메시지를 지속적으로 전하고 있다.
우누는 취약점을 일반에 공개하는 이유에 대해 기업이 자신들의 시스템을 보호하기 위해 더 많은 보안투자를 해야 한다는 의식을 일깨워 주기 위한 것이라고 밝히고 있다.
[그림 3] 루마니아 해커 우누의 블로그 (http://unu123456.baywords.com)
보안업체들은 이와 같은 문제를 결코 쉽게 간과해서는 안된다. 차제에 다른 유명 보안업체들도 이같은 구설수에 오르지 않도록 자사가 운영하는 웹사이트에 보안취약점은 없는지 다시 한 번 점검해보고, 보안관리를 더욱 강화해야 한다.
그런 점에서 우누는 자신의 주장대로 해를 끼치려는 게 아니라 허점을 알려줘 보안업체들에게 경각심을 높이고 이를 보완할 수 있게 하는 계기를 마련한 셈이다.
언론에서는 우누가 해커인지, 크래커인지 대해 의견이 분분하다. 해외에서도 우누에 대한 평판들이 나오고 있다. 해커는 컴퓨터나 네트워크에 대해 탐구를 즐기는 사람들로서, 다른 컴퓨터에 불법으로 침입해 자료의 불법 열람 · 변조 · 파괴 행위를 하는 크래커와 구별한다.
우누는 화이트 해커를 자처한다. 그러나 객관적으로 봤을 때 그는 grey hat hacker라는 평을 받고 있다. 그레이 해커는 화이트 해커와 블랙 해커 (크래커)의 중간적 위치에 존재한다.
우누는 여러 사이트의 웹 취약점을 찾아내고 이에 대한 공격을 감행하고 확인했으나, 고객 DB를 빼내 제3자에게 팔거나 취약점을 이용해 돈을 요구하는 등 실제로 피해를 입힌 것이 아니라 자신의 블로그에 공개했다는 점에서 그레이 해커라 할 수 있다.
우누가 화이트 해커든, 그레이 해커든, 또는 크래커든, 그건 별로 중요하지 않다.
그가 지속적으로 유명 웹사이트들을 해킹하여 공개하는 진짜 이유가 무엇일까? 그는 해를 끼치려는 게 아니라 허점을 알려줘 보안업체들에게 경각심을 높이고 이를 보완할 수 있게 하는 계기를 마련하기 위해서라고 한다.
또한 그는 security 테스팅, penetration을 좋아하는 사람이며, 일종의 취미라고 말한다.
물론 우누가 SQL 인젝션 공격으로 보안업체들의 보안 취약점을 알림으로써 이를 보완하는데 일조했다는 긍정적인 측면도 있기는 하지만, 문제는 그가 제기한 웹사이트 SQL 인젝션 취약점이 악의적인 목적으로 이용될 경우 대량의 개인정보 유출로 이어질 수 있다는 데 있다.
최근 유명 회사 또는 보안 관련 기업에 대한 해킹이 만연해 있다. 그리고 다양한 해커들이 자신의 이름을 알리기 위해 유명 사이트를 해킹한 후, 인터넷 상에 해킹한 내용을 경쟁적으로 공개하고 있다.
우누 역시 잘 알려진 보안업체들의 웹사이트를 잇달아 해킹해 공개함으로써 자신의 실력을 과시하여 유명세를 얻기 위함은 아닐까? 일련의 해킹 사건들을 보면서 필자는 진정 그의 속내가 궁금하다.
