바로 문의 : 010-2907-7622

당신의 홈페이지는 초등학생도 해킹할 수 있다.

당신의 홈페이지는 초등학생도 해킹할 수 있다.

제목이 조금 과장되어 보일 수 있습니다만, 실제로 이런 일이 일어나고 있습니다.
전문 지식을 가지고 있는 해커가 아닌, 일반인 또는 초보 해커에게 여러분의 홈페이지가 언제든 뚫릴 수 있습니다.
이번 포스팅은 해킹 기초 강좌가 아니라, 해킹으로부터 좀 더 안전한 홈페이지를 제작하기 위한 정보공유입니다.
‘지피지기 백전불태(知彼知己 百戰不殆)’ : 적을 알고 나를 알면 백번 싸워도 위태롭지 않다


누구나 쉽게 배우는 해킹?

어떻게 비전문가도 해킹이 가능할까요? 답은 간단합니다.
인터넷에는 수많은 해킹 프로그램 및 보안 취약점 스캐너가 있으며 누구나 쉽게 다운로드 할 수 있습니다. 또, 많은 사람들이 해킹하는 방법에 대한 정보를 공유하고 있기 때문입니다.
그렇기에 컴퓨터에 대한 기초 지식만으로도 해킹하는 것이 가능하게 되었습니다.

아래 이미지는 웹사이트 보안 취약점 스캐너 프로그램을 이용하여 샘플 사이트를 분석한 결과 화면입니다.
이런 프로그램들은 해당 웹사이트의 링크, URL, Robots.txt 파일 등을 통해 사이트의 구조를 파악하고, 각종 파라미터(GET, POST)의 값을 변경해 봄으로써 보안이 취약한 부분을 찾아냅니다.
해커는 당연히 보안이 취약한 부분을 통해 해킹을 시도하게 됩니다.

 웹사이트 보안 취약점 스캐너


가장 흔한 웹사이트 보안 취약점은?

최신 CMS(제로보드, 그누보드, 워드프레스 등)에서는 아래와 같은 취약점에 대해 이미 대책을 마련되어있지만, 직접 웹서버를 운영하고 홈페이지를 제작하는 경우라면 주의가 필요한 부분입니다.
아래와 같은 취약한 코드나 기능은 가능한 사용하지 않도록 하고, 사용해야 하는 경우에는 php.ini 파일 설정 및 사용자가 정상적인 값을 입력했는지 서버단에서 확인하는 절차가 필요하겠습니다.

1. SQL 인젝션 (SQL Injection) : 사용자 입력 값을 그대로 DB 쿼리로 이용하는 경우, 작은따옴표 등을 사용하여 SQL 코드 삽입

2. 크로스 사이트 스크립팅 (Cross-site Scripting) : 사용자 입력 값을 그대로 보여주는 경우, 글 등록 시 자바스크립트 코드를 삽입

3. 원격 코드 실행 (Remote Code Execution) : 파라미터로 넘어온 파일명을 소스코드에서 include 함수 등을 통해 실행하는 경우, 다른 서버의 파일을 실행

4. 파일 시스템 공격 (File System Attacks) : 파일 다운로드 기능을 이용하여 서버의 파일을 다운로드

5. 코드 인젝션 (Code Injection) : 이미지 업로드 기능을 이용, 이미지에 악의적인 코드를 삽입하여 등록 후 실행

개인정보 암호화로 2차 피해 줄이기.

해커가 단순히 특정 웹사이트를 싫어해서 해킹을 하는 경우라면 시스템 내부의 자료를 모두 지워버리거나 먹통으로 만들고 말테지만, 정보 취득이 목적이라면 이로 인해 2차적인 피해가 발생할 수 있습니다.
특히 많은 사용자들이 여러 사이트에서 동일한 아이디와 비밀번호를 사용하기 때문에 우리 사이트에 특별한 개인정보가 없다고 해서 안심할 일은 아닙니다.
프로그래머로서 개인정보를 보호하는 가장 좋은 방법은 물론 최신 기술을 사용하여 데이터를 암호화하고 관리하는 것입니다. 또, 사용자들이 비밀번호를 설정할 때 영문, 숫자, 특수문자의 조합을 사용하도록 하는 것도 좋은 방법입니다.

웹사이트를 제작한지 조금 오래되었거나 최신 CMS를 사용하지 않았다면 아마도 개인정보 암호화에 MD5, SHA1, MySQL password() 등을 사용했을 가능성이 많습니다.
이러한 암호화 기법들은 복호화를 하는 도구를 손쉽게 구할 수 있으며, 심지어 온라인상에서 복호화 해주는 서비스도 있을 정도입니다.
아래 이미지는 간단한 암호를 온라인 상에서 복호화 해본 결과입니다. 만약 사용자가 'test', '1234' 처럼 비밀번호를 간단하게 만들었다면 이를 알아내는 것은 1초도 채 걸리지 않습니다.

비밀번호 복호화 서비스


얼마나 많은 프로그래머들이 해킹으로부터 안전한 홈페이지를 만들 수 있을까요?
작정하고 뚫으려는 해커로부터 웹사이트를 보호하기란 결코 쉬운일이 아니지만, 조금만 더 신경쓴다면 해킹으로부터 좀 더 안전한 홈페이지를 만들 수 있을 것입니다.

댓글 달기

   

컴러버 로고

 

  • 전화

    010-2907-7622

  • 카카오톡

    hshmac / webejoa

  • 주소

    서울 마포구 새창로 11, 1314호 / 더디렉터

  • 본 사이트는 웹이조아에서 정보 공유를 위해 제작 및 운영하고 있습니다