[공지] 관리자 권한 오지정 및 이메일 정보 유출 관련 사과 및 조치 안내 (1차)
2013.05.16 01:07
안녕하세요.
이번 KPUG의 운영 플랫폼인 XE를 업그레이드하면서 관리자들의 운영 미숙으로 인하여 신규 가입회원의 권한이 관리자로 지정되는 문제가 발생하였고, 이로 인하여 일부 스패머들이 관리자 권한으로 광고 코드를 일부 게시판(현재 확인한 것은 1개 ID와 한줄메모 게시판입니다)에 관인젝션한 흔적도 발견되었습니다. 현재는 관련 문제가 모두 수정되었으나 사이트 운영에 가장 중차대한 문제인 보안 관련 문제를 소홀히하여 최악의 상황을 유추한 것에 대하여 무한한 책임감을 느끼며 사죄 말씀을 올립니다. 결론적으로 다행히 각 회원들의 비밀번호, 전체 DB 등의 보안은 원천적으로 방어되어 있어 이상이 없으나 이메일 정보가 유출되었을 가능성이 있습니다. 상세 사항은 아래와 같습니다.
- 문제 :
1) 4/25일 XE 업그레이드 이후 신규가입자 권한이 관리자로 지정되었음.
2) 이를 악용한 스패머가 관리자 권한으로 광고 코드를 페이지 상하단 헤더/풋터에 인젝션함
3) 확인된 악용 스패머는 1개 ID이며, 대상 게시판은 한줄메모 1개임
- 인지 :
1) 5/15 자정경 발생한 스팸에 대한 처리 중 문제 발견
2) 가입 일시를 확인하여 해당 문제가 XE 업그레이드 시점부터 발생한 점을 확인함
- 조치 :
1) 신규가입자 기본 권한을 새내기로 정정
2) 잘못된 권한이 부여된 계정의 권한을 일괄적으로 일반 회원 등급으로 조정함
- 기타 :
1) 해당 문제에 따른 접속 암호, DB 등은 유출되지 않음
2) 단 이메일 정보는 노출되어 있으므로 유출되었을 가능성 있음
3) 관리자라 하여도 접속 암호를 확인할 방법이 없으며 DB 접근 불가능하므로 이들은 안전함
4) 관리자 사이트의 권한을 탈취당한 것은 아니며, 각 게시판별 관리 기능이 활성화된 것임
5) 이메일 정보를 포함한 회원 정보를 일괄 다운로드할 수는 없으나 이들 각 회원 정보에서 노출되고 있음
6) 따라서 공격자가 악의적으로 수집하려 햇다면 장시간 소요되나 회원들의 이메일 정보를 탈취할 수 있음
다시금 사과를 드리며 이에 대하여 운영진은 담담 운영자 사임 등을 비롯한 자체적인 문책 등 후속조치를 논의한 후 추가 공지하도록 하겠습니다. 실력이 일천한데다 스스로 관리 능력이 부족해 전임 운영진들의 도움을 받는 것도 모자라 이렇게 큰 사고를 발생시킨 것에 대하여 무한한 사과를 거듭 올리면서 마칩니다.
감사합니다.