반응형

내가.. 해킹을 당하다니..

어릴적부터 IT 업계에 입문해 보안의 중요성을 깨닫고,

누구보다 계정관리와 PC관리를 철저히 해왔는데 정확히 어제, 

필자도 블로그 해킹을 당하는 어처구니없는 일이 발생했다..


블로그해킹회사에서 아무생각 없이 블로그 접속하다가 깜놀, 이게 뭔가 놀란가슴 진정하고 다시 블로그에 들어가봤더니 또 다시 이상한 사이트로 이동....


블로그해킹왜그런가 했더니, itnamu.com 으로 접속시 이상한 URL로 연결 되는게 아닌가!! 처음엔 방명록이나 덧글로 유해 코드를 심어놨나 해서 댓글, 트랙백, 방면록 등을 확인해보는데 큰 이상이 없었다. 블로그에 직접 접속하면 자꾸 사이트 이동이 되어 esc를 연타해서 사이트를 멈춘후 관리자 화면으로 겨우 들어왔다.


블로그해킹설마 했는데 맙소사... 2차주소가 이상한 사이트로 변경되어 있다. 이말인즉 누군가가 티스토리 계정 로그인을 하여 변경했단 말인데 눈으로 보면서도 믿기지 않았다.


블로그해킹그런데, 곰곰히 생각해보니 2차주소를 내가 직접 입력하고 들어와야 하는곳인데, 사이트 이동과는 별 상관이 없는게 아닌가 라는 생각이 들어 itnamu.com 을 치고 들어올때 좌측하단의 이동되는 주소를 확인 해봤다.


역시.. 블로그 해킹을 할정도면 보통내기가 아니겠지, 결국 이동하는 소스를 티스토리 스킨에 심어놨다는 얘기가 된다.



블로그해킹티스토리는 HTML/CSS를 자유롭게 다룰수 있어 커스텀이 용이한 반면, 이런 단점도 있다. 예상했던것처럼 skin.html 소스에 meta태그로 사이트이동 코드를 심어놨다. 제길... 아까 그 주소와 일치한다.


티스토리 블로그가 해킹당했다면 skin.html 파일을 꼼꼼히 봐야한다. 해당 소스를 제거해주면 문제는 해결된다.

필자야 태그속성이나 문제점을 보는데 큰 어려움이 없었지만, 만약 IT관련해서 잘 모르는 블로그 주인이 당한다면

계속 광고가 노출되고 결국 블로그 운영에 치명적인 데미지가 발생할 수 있는 상황이다.


블로그 해킹의 가장 무서운점은 기존에 대형포털 검색에서 노출되고 있는 본인의 콘텐츠가, 

한순간에 광고콘텐츠로 변해버리고(블로그 접속시 자동으로 광고사이트로 이동 되니까..) 신고라도 당했다면 

그 블로그는 검색결과에 노출되지 않거나 폐쇄까지도 될 수 있는 상황이었다.




IP추적하기. whois

결국 분을 이기지 못해 도대체 누가 이런짓을 했는지 알아보기로 했다.

티스토리에서는 로그인기록을 볼 수 있는 기능이 있다. (환경설정 -> 기본정보 -> 로그인기록)

본인이 쓰는 IP 외에 낯석 IP하나가 눈에 띈다.

그것도 한방에 "성공" 으로. (필자도 로그인할때 한번씩 틀리는데..)


블로그해킹오전 11시 49분. 다행히 해킹 한시간만에 발견했다. 그런데, 접속IP가 대한민국으로 찍힌다!! 보통 블로그 해킹이 해외에서 이루어지는거에 반해 특이해서 IP추적을 진행했다.


블로그해킹IP추적은 whois.kisa.or.kr 에서 손쉽게 할 수 있다. 단순한 IP추적은 불법행위가 아니다. ip추적 으로 검색해도 첫번째에 나오는 사이트며 한국인터넷진흥원에서 운영하는 사이트다.


블로그해킹해킹도 멍청하게 하면 손발이 고생한다. 물론 이 기관 PC들에게 좀비코드가 설치되어 있을수도 있지만 이상하게 여기가 진원지인것 같은 의심이 강하게 든다. 그 이유는 뒤에서 설명하겠다. 여튼 IP추적을 진행하면 해당기관의 기본적인 정보를 바로 확인 할 수 있다. 특히 회사같은 곳이라면 빼도박도 못하게 주소와 전화번호까지 나올 수 있다. 윗부분은 IP를 제공한 업체고, 아래부분이 실제로 IP를 할당받은, 즉 사용중인 업체 정보다.


블로그해킹그리고, 혹시 몰라서 예전 로그인 기록을 보니.. 맙소사.............. 이제 로그인 기록도 꼼꼼히 살펴봐야 겠다. 안타깝게 티스토리는 해외접속 IP 차단 기능이 없는듯하다..


블로그해킹그리고, 후이즈에서 도메인명으로도 ip추적이 가능한데, ip정보가 필요하다면 윈도우 cmd창을 이용, ping 명령어로 아이피를 확인할 수 있다. 시작->실행->cmd 엔터를 치면 검은 도스창이 나오고 ping 해당도메인을 입력하면 ip주소 확인이 가능하다.


블로그해킹역시, 해당 도메인을 추적해보니 중국 광저우로 지역으로 나온다. 후우...

블로그해킹실제로 이어지는 사이트. 피해블로그->중개사이트->광고사이트로 넘어가는 식이다. 나름 꼼꼼하게 준비했지만 "넷" 이라는게 작정하고 파고들면 어느정도 흐름파악은 가능하다. 물론 vpn이나 기타 기술을 사용했다면 조금 번거롭긴 하겠지만 세상에 불가능한건 없다.



사이버수사대 신고

이제 남은건 사이버수사대에 피해상황을 신고하는 일이다.

티스토리 해킹을 당한 후 증거자료는 스샷으로 확보했고, 기본적인 내용도 파악이 됐기 때문에

사이버수사대 홈페이지에서 민원을 접수하면 된다.


블로그해킹네이버에서 사이버수사대로 검색하면 사이버테러대응센터가 바로 나온다.


블로그해킹사어버 범죄신고를 누르면 바로 신고가 가능하다. 단, 회원가입 후 신고가 가능하다. 사이버수테러대응센터에는 넷두루미라는 사기꾼 정보를 볼 수 있는 별도의 콘텐츠도 제공하고 있다.

신고할때 본인의 피해상황, 용의자 관련정보를 간략하게 제출하면 신고접수는 완료된다. 단, 온라인으로 신고접수를 할 경우 접수일부터 수사진행까지 약 2주간의 시간이 소요될 수 있으며, 급박한 상황이라면 주변 경찰서를 방문하는게 훨씬 빠르게 진행이 가능하다.


블로그해킹사이버테러형 범죄부터 인터넷사기, 사이버 폭력등 웬만한 온라인 범죄유형을 신고 할 수 있다.


블로그해킹신도고 끝났겠다, 비밀번호도 바꿨겠다 혹시나 계속 시도했을까 싶어서 로그인 기록을 찾아봤더니...


독한놈들...  만약 빠르게 대처하지 못했다면 블로그가 얼마나 오염되었을지..

까닥하면 열심히 가꿔온 블로그가 한순간 폭파 당할뻔 했다...


그럼, 지금까지 내용을 간단하게 요약하며 티스토리 해킹시 대처방법을 정리하면서 포스팅을 마치고자 한다.


0. (신고를 생각한다면 증거자료 확보, 이동되는 사이트 등 진행과정 스크린샷 확보)

1. 티스토리 메인서비스에서 로그인이나 블로그 접속하자마자 ESC를 연타해서 사이트 이동 제지.

2. 관리자 메뉴에서 로그인 계정정보 변경

3. 2차도메인을 사용중이라면 정상정보로 변경

4. skin.html 소스안의 다른사이트이동 코드를 제거

5. 노출된지 시간이 흘렀다면 대형포털에 1:1문의를 올려 해킹상황을 얘기하고 적잘한 조치요청

6. 로그인 정보를 확인하여 증거자료 확보

7. 사이버수사대 신고

8. 지속적인 비밀번호 변경과 개인PC에 설치되어있을지 모르는 스파이웨어, 바이러스 검사실시


서비스 운영자의 책임

여담으로, 위에서 잠깐 언급했는데 이번건을 국내에서 진행한걸로 추정하는 이유는, 필자의 티스토리 계정이 예전 네이트 계정정보와 일치했고, 그당시 블로그 활동을 활발히 하지 않아 "설마"하는 마음으로 그대로 두었던 것이 화근인것 같기 때문이다.

필자는 집과 회사를 제외하곤 어떠한 상황에도 로그인을 하는 행위 자체를 하지 않으며, 사용하는 PC는 기본적인 백신검사부터 실시간 포트검사까지 진행하고 있기 때문에 개인PC를 해킹해서 정보를 가져간다는게 쉽지많은 않을거다.


그렇다면, 결국 의심되는건 지난 2011년 7월경에 유출된 네이트 계정정보를 이용 했다는건데 그당시 필자는 개인정보가 유출되지 않았다는 메일을 받긴 했었다. 물론 믿진 않았지만.


네이트 해킹사태란?


2011년 7월경 네이트 내부직원PC를 해킹하여 네이트 서버에 저장된 가입자 3,500만명의 아이디와 비밀번호, 이름 주민등록번호부터 연락처 등의 개인정보등이 유출된 사건이 있었다. 대한민국 인구가 약 5,000만명인점과 인터넷을 이용하는 대부분이 사람들이 싸이월드, 네이트온을 가입하고 있었던것을 감안하면 뭐 인터넷을 이용하는 대한민국 국민의 개인정보가 다 털렸다고 볼 수 있는 초대형 해킹사건이다. (뭐, 네이트 내부직원이 돈받고 팔았다는 음모론도 있지만)


당연히 집단소송과 책임을 지라는 여론이 형성 됐지만, 결국 대부분 패소했고 변호사들의 배만 채워주는 우스꽝스러운 2차현상까지 발생했다.


즉, 개인의 보안관리도 중요하지만 서비스를 운영하고 있는 서비스 운영자의 보안관리도 정말 중요하다. 다행히 그 사건 이후로 개인정보보호법이라던지 회원가입시 꼭 필요한 기본정보만 받는다던지 조금씩 인식이 변화되고는 있지만 개인의 보안책임만 묻지말고 기업측에서도 회원들의 개인정보를 보호할수 있는 안전장치 마련이 시급한것 같다. 

티스토리도 해외로그인 시도시 자동차단을 할 수 이는 옵션이라던지 이런게 추가되면 좋을것 같다.


여튼, 이번사건으로 개인정보 보안의 중요성을 다시한번 깨닫게 되는 계기가 되었다.

그런데 이런 심리를 이용한 다양한 신종사기수법도 그만큼 발전되고 있어서 다음에 내용을 한번 정리해야 겠다.


일단, 이 포스팅을 보았다면 비밀번호를 한번쯤 변경해서 해킹을 미리 예방하자.



반응형

+ Recent posts