한국 사이트 해킹 예고 중국 해커, 숙명여대 공격 ShellShock(CVE-2014-6271)

한국 사이트 해킹 예고 중국 해커, 숙명여대·순천향대 등 교육·기관 무차별 공격

중국 해커 니옌이 국내 교육기관과 국내 정부 사이트를 타깃으로 무차별 공격을 예고한 가운데, 이번에는 숙명여자대학교 사이트를 타깃으로 취약점 공격을 실행한 정황이 포착됐다.

m.boannews.com

한국사이트를 해킹 예고를 하고 해킹을 한 해커가 숙명여대 등 교육기관을 대상으로 삼았는데..

중요한건 숙명여대가..

사실 숙명여대는 작년(2023년) 6월경에도 해킹으로 2015·2016·2018년 수시모집 지원자 이름, 주민등록번호, 수험번호, 지원 전형명, 지원 모집단위, 출신고교명, 졸업(예정)년도가 유출되었었다...

숙명여대, 해킹으로 개인정보 유출... 2015·2016·2018년 수시모집 지원자 이름 등 7개 항목

숙명여자대학교(총장 장윤금, 이하 숙명여대)에서 해킹으로 인한 개인정보 유출사고가 발생했다. 숙명여대는 29일 홈페이지를 통해 ‘개인정보 유출에 대한 안내 및 사과문’을 올렸다.

m.boannews.com

노후화된 시스템 속에서 지속적으로 기존 시스템에 의존하다보니.. 자연스레 취약점의 성지가 되고 있는 듯 하다...

사실 숙명여대만의 문제가 아니다.. 해커는 타켓으로 삼았을 뿐..

다른 대학 및 기관의 상황도 똑같다...

보통 웹은 5년 주기로 리뉴얼을 권고하고 있는데.. 다들 예산문제로 하지 않고 있다..

당장의 투자에 아까워서 훗날을 버리는 사고방식이.. 마치 골목식당에서 종종 보는 사업방식이다...

웹에 돈을 쓰기가 아까워하는 기업 및 기관을 굉장히 많이 봐왔다..

매년 몇백 몇천억의 매출을 내면서 수많은 직원들의 연봉을 올려주고, 임원들의 배를 불리고 하면서..

왜 웹에는 몇백만원조차도 아까워하는가...

충치가 생겨서 치아에 아말감이나, 레진으로 치료하기에 돈이 아까워서 방치하다가..

치아를 잃고. 임플란트를 하는 격이다..

무튼 이번 공격방식은 2014년 9월에 발견된 취약점인 ShellShock(CVE-2014-6271) 취약점이다.

결론적으로 CGI 스크립트 로 인해 발생하는데..

사용하지 않는다면 WebServer에서 apache로 가정하면.. httpd.conf에서 아래를 주석으로 처리해주고 재시작을 하면 된다.

# LoadModule cgi_module modules/mod_cgi.so

해당 취약점의 상세한 내용은 아래 굉장하신 분의 블로그를 보면 됨.

ShellShock(CVE-2014-6271) 취약점

개요 2014년 9월 유닉스(UNIX) 운영체제의 Bash Shell에서 발생한 취약점입니다. 같은 해에 OpenSSL의 문제로 발생한 Heartbleed 보다 파급효과가 더욱 컸던 사건이었습니다. 쉘 쇼크의 경우 UNIX 이외에도 MA

guleum-zone.tistory.com

레거시 스프링 프레임워크에서 환경변수를 주입받아서 properties를 관리하는 방법 (2)	2024.07.23
그누보드가 탈 php를 하고 python의 옷으로 새롭게 갈아입다. (feat. 그누보드6) (0)	2024.02.01
Custom Search Site Restricted JSON API 종료 예정. (Vertex AI Search로 대체 예정) (0)	2024.01.04
OpenAI API (ChatGPT) 응답결과를 채팅처럼 가공해보자. (1)	2024.01.03
atlassian / jira software webhook setting. (지라 웹훅) (2)	2023.11.09

# let's do something!