관리자 권한 오지정 및 이메일 정보 유출 관련 사과 및 조치 안내 (1차)
2013.05.16 01:08
안녕하세요.
이번 KPUG의 운영 플랫폼인 XE를 업그레이드하면서 관리자들의 운영 미숙으로 인하여 신규 가입회원의 권한이 관리자로 지정되는 문제가 발생하였고, 이로 인하여 일부 스패머들이 관리자 권한으로 광고 코드를 일부 게시판(현재 확인한 것은 1개 ID와 한줄메모 게시판입니다)에 인젝션한 흔적도 발견되었습니다. 현재는 관련 문제가 모두 수정되었으나 사이트 운영에 가장 중차대한 문제인 보안 관련 문제를 소홀히하여 최악의 상황을 유추한 것에 대하여 무한한 책임감을 느끼며 사죄 말씀을 올립니다. 결론적으로 다행히 각 회원들의 비밀번호, 전체 DB 등의 보안은 원천적으로 방어되어 있어 이상이 없으나 이메일 정보가 유출되었을 가능성이 있습니다. 상세 사항은 아래와 같습니다.
- 문제 :
1) 4/25일 XE 업그레이드 이후 신규가입자 권한이 관리자로 지정되었음.
2) 이를 악용한 스패머가 관리자 권한으로 광고 코드를 페이지 상하단 헤더/풋터에 인젝션함
3) 확인된 악용 스패머는 1개 ID이며, 대상 게시판은 한줄메모 1개임
- 인지 :
1) 5/15 자정경 발생한 스팸에 대한 처리 중 문제 발견
2) 가입 일시를 확인하여 해당 문제가 XE 업그레이드 시점부터 발생한 점을 확인함
- 조치 :
1) 신규가입자 기본 권한을 새내기로 정정
2) 잘못된 권한이 부여된 계정의 권한을 일괄적으로 일반 회원 등급으로 조정함
- 기타 :
1) 해당 문제에 따른 접속 암호, DB 등은 유출되지 않음
2) 단 이메일 정보는 노출되어 있으므로 유출되었을 가능성 있음
3) 관리자라 하여도 접속 암호를 확인할 방법이 없으며 DB 접근 불가능하므로 이들은 안전함
4) 관리자 사이트의 권한을 탈취당한 것은 아니며, 각 게시판별 관리 기능이 활성화된 것임
5) 이메일 정보를 포함한 회원 정보를 일괄 다운로드할 수는 없으나 이들 각 회원 정보에서 노출되고 있음
6) 따라서 공격자가 악의적으로 수집하려 햇다면 장시간 소요되나 회원들의 이메일 정보를 탈취할 수 있음
다시금 사과를 드리며 이에 대하여 운영진은 담담 운영자 사임 등을 비롯한 자체적인 문책 등 후속조치를 논의한 후 추가 공지하도록 하겠습니다. 실력이 일천한데다 스스로 관리 능력이 부족해 전임 운영진들의 도움을 받는 것도 모자라 이렇게 큰 사고를 발생시킨 것에 대하여 무한한 사과를 거듭 올리면서 마칩니다.
감사합니다.
코멘트 14
-
왕초보
05.16 02:24
-
산신령
05.16 08:29
사임이라뇨.....
피해가 크기전에 조치되어 다행입니다.
토닥~~ 토닥~~!! -
푸른솔
05.16 09:13
비 온뒤에 땅이 굳어지는 법입니다. 고의가 아닌 선의로 인한 실수인데 너무 과한 조치라고 생각됩니다. 수고 하시는 관리자님들께 항상 감사함을 느끼고 있습니다. -
하얀강아지
05.16 09:44
훨씬 강한 육군과 해군을 가진 카르타고가 로마에 결국 진 이유를 들어보셨지요?
카르타고는 패장을 참수시켰고 로마는 패배원인을 기록으로 남기고 패장에게 재기의 기회를 주었기 때문이랍니다.
수습하느라 고생하셨어요. 늘 애써주셔서 감사합니다. -
iris
05.16 11:32
사이트가 '완전히 털린것'만 아니면 상관이 없는 것입니다. 이걸로 문책하면 아무도 이제 운영진을 못하겠다고 할겁니다. 즉, 막으면 된 것이지 그 이상 누군가의 책임을 물을 필요가 없다는 것이 제 생각입니다.
-
냠냠
05.16 13:57
토닥토닥
-
yohan666
05.16 14:33
여기도 공지가 있네요 =_=;;
이 일 관련으로 카카오톡으로 운영진과 대화를 했습니다.
약간 사실보다 과장되고 왜곡되어진 내용이 있어서 리플로 첨언 합니다.
1. 25일 이후 가입된 신규가입자 총 3명중 3명이 "가입후 기본 지정 그룹이 게시판 관리자"로 긍급 지정이 되었음.
2. 게시판 관리자는 게시판 글 내용을 삭제, 수정할수 있는 권한을 갖고 있음.
3. 현재는 광고를 목적으로 가입한 아이디 1개는 삭제, 나머지 2개의 경우 일반 회원으로 등급 조정
DB가 털린것도 아니고 FTP가 털린것도 아니고 암호가 유출된것도 아니고... 관리자 페이지에 접근이 가능한것도 아닙니다.
내용을 보면 다 털린 회사가 다 털리지 않았다고 발뺌하는 뉘양스라서 =_=;; 리플을 답니다.
원래 XE앤진의 경우 최고관리자로 기본지정하는 옵션은 없어요. 하지만 가입시 기본 지정하는 그룹은 설정이 가능합니다. 우리 KPUG에서는 그룹들 중에 가장 권한이 높은 그룹은 게시판 관리자 이고요.
왜 그렇게 되었는지는 이야기 중이지만, 아마도 제 생각에는 기본지정 그룹을 누군가 실수로 변경한것 같네요.
-
웹마스터1호기
05.16 16:41
요한님 감사합니다. 그러나 이건은 지금 요한님께서 말씀하신 사이트 업그레이드 부분과는 전혀 관계가 없는 쪽의 이슈입니다. 정확히는 아래와 같은 상황입니다.
- 운영진의 조작 및 확인 미숙 등의 원인으로 회원의 기본 권한이 '관리'로 설정된 상태였음.
- 4/25 이후 약 60명의 회원(삭제된 스패머 포함) 들의 권한이 모두 관리로 지정
- 관리 권한 부여된 스패머가 한줄 메모 게시판 관리 기능을 이용해 상하단에 광고 HTML 코드를 인젝션함
- 상기 문제를 금일 01:00 경 인지하고 해당 권한 모두 새내기 권한으로 변경하는 등 후속 조치 및 공지 알림
즉 요한님이 작업하신 내용 및 임시 관리 권한을 부여하신 ID 등과 전혀 무관한 일입니다. 이 점은 전달에 있어 문자로 하다보니 오해가 있었던 것 같습니다. 또한 말씀하신 것과 같이 DB, 최고 관리자 계정, 관리자단 접속 권한 등은 탈취되지 않았으며 이에 대하여서도 본문에 언급하였습니다. 걱정해주시고 격려주심에 몸둘 바를 모르겠습니다만, 이번 건은 분명 현 운영진 중 서버관리 담당자들이 잘못한 것이 맞습니다. 이 부분에 대하여 핑계를 델 수 없으며 명명하게 잘못을 알리고 사죄함이 옳다 판단하여 공지한 것입니다.
감사합니다.
-
yohan666
05.16 16:51
이번 일은 차후 운영진이 바뀌더라도 발생하지 않도록 별도 보안 메뉴얼을 작성해서 인수인계 해야 할것 같네요.
관련 내용은 저도 고문 자격으로 참여해서 문서화 하도록 하겠습니다.
-
yohan666
05.16 14:35
킁.. XE보안에 대한 내용을 문서로 만들어 차기 운영진의 경우에는 이런경우 이런경우에는 문제가 생길수 있다고 고지를 해야 겠네요.
-
인포넷
05.16 21:27
운영진분들은 사람이지 기계나 로봇이 아닙니다...
실수를 안하는 사람은 없어요...
실수를 거름으로 하여 더욱 발전하면 되는 것입니다...
이 일로 인하여 운영진분들이 의기소침해지지 않기를 바랍니다...
맘 고생 많으셨습니다...
-
새참
05.17 04:36
너무 의기소침 하신거 같습니다.
잘 마무리 되었고 재발방지 역시 잘 되도록 조치 된거
같은데요.
힘내세요! -
星夜舞人
05.17 16:22
어차피 관리하는데 실수는 나오기 마련입니다. 그걸 숨기지 않고 대응방향을 마련하는게 중요한것이죠. 사퇴 혹은 사임 이런 이야기 하지마시고 힘네세요. -
이재성
05.20 18:12
사람인데 실수할 수 있죠. KPUG이 크리티컬한 시스템도 아니구요.
실수했을 때. 실수했다고 솔직하게 이야기하고. 사고났을 때. 바로 사고났다고 공지하고 원인파악하고 조치하고 다시 사고가 발생하지 않도록 리뷰한다면 회원님들이 이해해 주실 겁니다.
금융권들도 북한소행으로 뻥뻥 뚫리는데요 뭐. ^^
토닥토닥.
담당운영자 사임 같은 짓은 ㅂ정권같은데서나 가능한 일이지요. 실수였다면 실수로 배운 것이 가장 뼈에 사무치는 지식이라 이번 일이 생긴 원인이 된 운영자님이 사임하는 것은 그렇게 배운 중요한 지식을 KPUG에는 사용하지 않겠다는 그런 말도 안되는.. ( '')
그나저나 걱정많이 하셨겠습니다. 앞으로도 조심 더 조심 하시기 바랍니다.