클리앙 운영자입니다.
지난 8월 4일 00시 경부터 검색을 통해 클리앙을 접속 시 이상한 사이트로 리다이렉트 된다는 보고를 받았습니다.
확인 결과, 해커가 게시판 설정 값을 위변조하여, 구글에서 클리앙을 검색 한 경우에만 해당 사이트로 리다이렉트 하는 코드를 삽입한 것을 확인해였습니다.
해당 내용을 확인 즉시 추가 피해 발생 가능성을 우려하여 서비스를 중지하였습니다. (03:06 ~ 12:30)
리다이렉트된 페이지는 단순 광고코드가 있는 페이지로, 분석결과 사용자에게 악성코드를 삽입하거나 피해를 주는 케이스는 아닌 것으로 파악되었습니다.
게시판 설정값을 변경할 수 있었던 원인으로는, 클리앙의 개인정보수정에서 올릴 수 있는 "내 사진" 기능에 보안 취약점이 있었고 이를 통해 악의적인 코드가 포함된 파일을 올려 다른 기능을 수행할 수 있었던 것으로 파악되고 있습니다.
로그분석결과 8월 2일 새벽에도 일시적으로 해당 기능이 수행되었던 것으로 파악됩니다.
이러한 일이 다시 발생하는 것을 방지하기 위해,
취약했던 "내 사진" 기능을 정지하였고, 기존에 업로드된 모든 파일에 대한 검사를 수행하고 의심되는 파일을 제거하였습니다.
파일업로드시 검사를 강화하였습니다.
기존에도 관리자페이지는 분리 운영되며 제한된 환경에서만 접속 가능하였으나 통합 변수를 사용하는 그누보드4 특성상 그누보드를 잘 알고있는 해커라면 완전한 분리가 어려워 잠재적인 위협 가능성이 있었습니다.
그래서 상당수의 운영/관리의 기능을 아예 제거 및 수동 전환하여 취약한 부분 자체를 제거하는 작업을 수행하였습니다.
지난 7월 3일 소스 위변조로 인한 긴급작업 이후 소스 위변조에 대해서는 충분한 조치를 취하였습니다만, DB 위변조에 대해서는 미흡한 부분이 있었습니다.
연이어 이러한 일이 발생하여 정말 죄송합니다.
빠른 개편작업에 모든 리소스를 쏳고 있다보니 놓치는 부분이 있었습니다.
현재 단기 외주인력을 상당히 추가하여 개편일정에 맞출 수 있도록 작업이 진행중이지만, 기존 사이트에 대한 보수 및 모니터링도 보다 더 강화하겠습니다.
기존 사이트에 대해서 외부업체를 통해 보안관제 등의 서비스 도입도 고려중입니다.
또한 개편될 사이트에는 파일서버 / 서비스 / DB가 완전히 분리 운영되고 모든 통신을 암호화하여 보안 위협이 최소화 할 것으로 예상되지만, 예상치 못한 부분이 없는지 다시한번 검토하겠습니다.
다시 한번 고개 숙여 사과드립니다.
#CLiOS
from CV
from CV
from CV
8월 4일
9월 5일 남았나...
from CV
#CLiOS
from CV
기술적인 면에 더해서 이용자의 사용규정 준수 등에 대해서도 관리 개선이 분명 필요한 시점을 이미 넘어섰다고 생각합니다.
지금 제대로 안되면 클리앙도 또다른 이상한 사이트의 하나로 전락하지 않을까 하는 생각이 드는 요즘입니다.
#CLiOS
확인해였습니다
열정을 쏳고
고생이 많으십니다. 덧붙여 Cliann, Clios 개발자님께 다시 한 번 감사합니다.
+1
앱 개발자분들 감사합니다!!!
#CLiOS
덩치가 커지니 표적이 되나 봅니다.. *
from CV
from CV
외양간도 무너지리...
from CV
고생은 하시는데 한달 걸러 계속 이러면 그 고생은 뭔가 싶네요.
from CLIEN+
수고많으셨습니다
오랜만에 보는 오타네요.
그동안 못봐서 서운했었습니다
#CLiOS
이제 슬슬 사이트의 규모에 맞는 개편이 필요한게 아닐까 합니다.
예전의 소규모 커뮤니티와는 길이 많이 달라졌지요.
개인 혼자서 감당하기에는 너무 커져버린게 아닌가 합니다.
이미지의 경우 매직바이트(헤더), 확장자, 컴프레션으로 비교한다고해도 마찬가지입니다.
특정 디렉터리에서의 header를 전부 날려놓는게 좋고, 그누보드4라면 %00의 null by injection 문제점이 확인이 필요합니다. (일반 아스키 범위를 초과하는 %80 ~ %ff 보안처리도 확인할 필요가 있습니다.)
업로드 취약점으로인한 shell injection은 safe_mode_exec_dir을 개선한 모듈들이 몇개 있으니 safe_mode가 아닌 상태에서도 도입이 가능하고, open_basedir과 realpath_cache_force를 설정해두면 업로드 컴포넌드 등으로 취약점이 발생하더라도 shell에서의 액션이 불가능 하게 됩니다. (커맨드를 바이패스 하는 경우도 있으므로, 디렉터리 내에서 테스트가 필요합니다.)
또한, static하게 사용되는 리소스나 업로드 데이터들은 외부의 오브젝트 스토리지로 이동한다면 유사 피해는 발생할 가능성이 희박할거라 봅니다.
해커가 운영자 공지 올리고 할거같군요....
#CLiOS
더욱더 보안강화애 신경 써주세요
고생많으십니다 ^^
from CV
어떤분 말씀대로...
"에이... 그래서 클량 안할거야? ㅎㅎ " 마인드로 운영하는건 아니길 빕니다.
저번도 그렇고 이번도 그렇고... 해커가 봐주면서 스파링해주는 느낌이네요. 9월이 기대됩니다.
만
대한민국 대표 it 커뮤니티 다운 모습이 필요해보입니다.
맨날 해킹당하면 서버 끌순 없잖아요..
from CV
아침에 출근해서 딱 들어가야할 클량이 안되니까 영 불안한것이..^^
from CV
해킹은 언제나 당할수있는건데 너무 비판만 하지 맙시다. 보안은 누가 알아주지도 않으며 잘해봤자 본전이기도 하고..
fileupload injection인가요? 초급기술인데 누가 테스트한답시고 그런건지는 모르겠으나 암튼 운영팀들도 고생많으시네요 *
from CV
감성적인 쉴드보단 면밀한 사후점검과 냉혹한 비판이 오히려 더 필요하지 않나 싶네요.
제가 볼땐 이정도 규모의 사이트에 과연 ISMS 인증 같은 보안인증심사라도 취득하려고 노력을 기울였는지 궁금하거든요..
그런 노력이 있었는지를 먼저 확인하고 나서 쉴드를 쳐도 늦지 않습니다.
그리고 이런 보안사고는 공지로 띄워야 하는거 아닌지...
#CLiOS
제 컴에서 보다가 이 댓글을 마지막으로 폰으로 옮겨야 하겠네요.
클리앙은 케퍽 시절부터 종종 들리던 사이트였다가, 케퍽이 흐드러지면서 주로 들리는 사이트가 되었는데요.
안타깝고 슬프네요.
이러한 일들이 발생 되면서 지불하게 될 유무형의 댓가들에 대한 대비는 분명히 해 두셔야 할 듯 하고요, 어서 빨리 좀 더 나은 형태의 사이트로 거듭나시길 바랍니다.
주인장님의 답답함도 느끼지만, 그 문제를 근본적으로 해결 하려고 하는 모습이 아직 보이지 않는 것 같아서 저 또한 답답함을 느끼네요.
근본적인 개선책 좀 마련하면 안될까요?
공지 하나로 끝내지 말구요.
from CV
from CV
다만, 몇몇분 말씀처럼 국내 최대 IT커뮤니티라는 명성에 비하면, 보안수준이 너무한 듯 합니다.
소잃고 외양간고치려다가, 집도 절도 다 잃어서 고칠수도 없는 상황이 발생할까봐 걱정스럽네요. 보안전문인력을 두고 운영해야 하는 시점이 이미 넘었지 싶습니다.
from CV
제발 투자좀 하세요.
from CLiOS
from CV
모든 업로드 파일은 업로드 서버로 올라가고 해당 서버에는 php를 아예 설치를 하지 않으면 해킹파일 업로드를 통한 해킹을 막을수 있습니다.
내사진 업로드시 웹에서 접근가능한 경로로 파일이업로드 되고 그걸 외부해커가 실행할 수 있어서 발생한 문제이고, 그누보드 뿐만이니라 모든 웹프로그램에서 지양해야할 부분입니다.
#CLiOS
근데 운영 중 발생하는 장애 내용이나 대처 내용이나 수준은 아마추어 수준이네요 ㅜㅜ
고생은 고생대로 하고, 욕은 욕대로 먹기보단 네이버나 다음 까페로 옮기시는게 차라리 고생은 덜하실듯 싶습니다..
그누보드 이제 벗어날때 한참은 더 되었고..
사이트 규모에 비해서 운영이 너무 아마추어 입니다. 개인사이트 급으로요..
돈이 부족해서 그런거라면 솔직하게 회계공개하고 후원금 받으시고요..
그게 아니라면 너무 방만하다고 볼 수 밖에 없습니다
사태의 심각성을 인지못한 분들보면 답답
w.ClienS
사이트 규모에 비해 이게 말이 되는 일인지 궁금합니다
작어도 보안 담당자는 정규직으로 채용 좀
사이트 규모는 커져 가는데
언제까지 개인적인 차원의 대응만 하실는지
기획도 하고 그에따라 수익도 창출해야지
광고가 이정도니까 여유가 없어서 확장을 못하면 평생 이정도 운영에만 그칠겁니까
KISA나 여러 보안 단체로부터 정보보호 관련 지침이나 인증을 받기 위해 노력은 하고 있는지 궁금하기도 하고, 또한 정보보호 담당자가 있는지도 궁금합니다.
설마 정보보호 최종 책임자가 없는건 아니겠죠?
소잃고 외양간 고친다고 할 수도 있지만, 모든 경우의 수를 대응할 수도 없으니, 한 번 털린 방식으로는 더이상 안털리게 개선하는 것이 차선이라고 생각합니다.
인터파크 털려도 북한이 했다면 아무일도 없는 것처럼 흐지부지되는 현실에서...이미 내 정보는 공공재...라는 체념도 약간 있고요 ㅋ
인터파크 욕도 안하시겠죠?
#CLiOS
from CV
#CLiOS