| 쉿! 자동해킹툴의 위험한 비밀 | 2010.04.02 |
누구나 해커가 될 수 있다?
구글은 1999년부터 시작해 현재 가장 크고 빠른 검색엔진으로 자리를 잡았다. 이후, 검색 포탈 사이트의 영향력이 점점 커지면서 검색 하나로 개인의 신상정보, 취약점이 있는 사이트들까지도 누구나 쉽게 찾을 수 있게 됐다. 이에 대한 논란도 끊이지 않고 있다.
포탈 사이트들은 검색의 속도와 양면에서 타 사이트들과 경쟁하기 위해 크롤링 봇을 통해 다양한 사이트들, 그 속의 게시물까지 스캔한다. 이렇게 오랜 기간 동안 캐쉬돼 검색엔진에 저장된 목록들은 포털사이트에서 검색으로 고스란히 드러나게 된다.
이 과정에서 어떤 사람의 아이디를 검색했을 때 그 아이디로 활동한 사이트, 게시물, 홈페이지 블로그 등이 검색 결과로 나타나기 때문에 개인의 신상정보에 대해 위협하는 결과를 초래하게 됐다. 이 때문에 구글은 프라이버시 침해 논란에 휩싸인 적도 있다.
개인의 신상정보 뿐만 아니라 간단한 구글링으로 계정과 비밀번호를 알아낼 수 있고 해킹이 가능한 사이트 또는 해킹이 이미 당한 사이트를 구글링으로 찾아서 재해킹을 시도해 볼 수 있다. Directory Listing Vulnerability 웹 서버에서 홈페이지의 속성을 설정하는 사이트 등록 정보에 인터넷 사용자에게 디렉토리 및 파일 목록 열람 권한이 주어져 모든 파일이 적나라하게 드러나게 되는 취약점이다. 디렉토리를 보여주게 되면서 ‘in○○○ of’라는 문자로 페이지가 시작하게 된다. 위 취약점을 이용해서 디렉토리 리스팅 취약점을 가지는 사이트를 찾아보면 홈페이지에 있는 파일들에 접근이 아주 자유롭다는 것을 알 수 있다. 검색어: ‘in○○○ of’ or inti○○○: ‘in○○○ of’ 구글에서 위 검색어를 통해 디렉토리 리스팅 취약점이 있는 페이지들을 많이 볼 수 있다. 취약점이 있는 사이트를 여러번 클릭해보면서 중요한 파일을 찾을 수 있고 간단한 검색어로 2억개 가까이 검색 결과가 나온다.
검색어: in○○○le: ‘in○○○ of’ intext:pas○○○.txt 이 검색 결과로 디렉토리 리스팅 취약점이 있는 페이지를 찾고 검색페이지 안에 pas○○○.txt라는 파일이 있는 검색 결과를 가져온다. 중요한 파일 관리를 잘못하게 됐을 때 발생될 결과를 쉽게 볼 수 있다. 위 검색 목표를 개인의 신상으로 향하게 한다면 어떻게 될까?
개인정보가 나올만한 검색어를 이용해 충분히 많은 개인정보를 획득할 수 있다. 디렉토리 리스팅 취약점이 존재하지 않더라도 filet○○○를 이용해 , doc, pdf등 문서파일 형식을 조사하면 중요한 문서를 찾아낼 수도 있다. 홈페이지의 아이디와 비밀번호도 검색에 의해서 노출될 수 있다. inc 파일은 해당 페이지에 다른 파일을 불러들이는 역할을 하는 include 파일이다. 이 역할은 php와 asp 등 다양한 형식의 파일도 할 수 있다. 차이는 다음과 같다.
이들이 검색에 의해 노출된다면 소스 내에 있는 my○○○_conn○○○ 부분에서 아이디와 비밀번호가 검색자에게 노출될 수 있는 여지를 제공하게 된다.
또한 이미 해킹 당한 사이트를 검색해서 찾아볼 수 있다. 대표적으로 해커가 업로드 취약점을 이용해 홈페이지에 올린 웹쉘을 들을 수 있다. 홈페이지에 등록된 웹쉘은 해커가 원하는 작업을 수행하도록 하는데 그 영향은 서버의 로컬까지 영향을 미치기 때문에 영향력이 대단하다. 웹쉘과 같은 해커들에 의한 파일들을 구글로 검색해 실행시킨다면 사이트를 직접 해킹한 해커들과 동일한 권한을 서버에 행사할 수 있다.
예전부터 구글에 의해 해킹당할 수 있는 사실은 언제나 언급되고 있었지만 개인의 정보 관리가 없다면 해결되지 않는 문제들이다. 홈페이지 관리자는 중요한 문서나 내용을 철저히 관리하고 사용자는 자신의 개인정보가 검색에 의해 노출되는지 여부를 확인하는 것이 좋다. <글:이정훈 인하대학교 IGRUS(sosal@hanmail.net)> [월간 정보보호21c 통권 제115호(info@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|
 |
인클루드 파일은 페이지의 내용이 있을때는 다운로드가 되더라도 큰 문제는 없지만 데이터베이스 연결, 호출 등 보안관련 소스가 있다면 해킹이 쉽게 당할 여지를 제공한다.
이처럼 구글은 해커들에게 ‘웹해킹툴’이라 불리울 정도로 검색 능력이 대단하다. 크롤링봇은 많은 사이트들을 돌면서 마치 ‘악성코드’처럼 크롤링한다. 미국 전체 검색량의 70% 이상을 차지하고 세계 최고의 검색 엔진 사이트인 구글이 기밀정보를 배출하는 역할을 하고 있다고 반측해 볼 수 있겠다.