[공지] 관리자 권한 오지정 및 이메일 정보 유출 관련 사과 및 조치 안내 (1차)
2013.05.16 01:07
안녕하세요.
이번 KPUG의 운영 플랫폼인 XE를 업그레이드하면서 관리자들의 운영 미숙으로 인하여 신규 가입회원의 권한이 관리자로 지정되는 문제가 발생하였고, 이로 인하여 일부 스패머들이 관리자 권한으로 광고 코드를 일부 게시판(현재 확인한 것은 1개 ID와 한줄메모 게시판입니다)에 관인젝션한 흔적도 발견되었습니다. 현재는 관련 문제가 모두 수정되었으나 사이트 운영에 가장 중차대한 문제인 보안 관련 문제를 소홀히하여 최악의 상황을 유추한 것에 대하여 무한한 책임감을 느끼며 사죄 말씀을 올립니다. 결론적으로 다행히 각 회원들의 비밀번호, 전체 DB 등의 보안은 원천적으로 방어되어 있어 이상이 없으나 이메일 정보가 유출되었을 가능성이 있습니다. 상세 사항은 아래와 같습니다.
- 문제 :
1) 4/25일 XE 업그레이드 이후 신규가입자 권한이 관리자로 지정되었음.
2) 이를 악용한 스패머가 관리자 권한으로 광고 코드를 페이지 상하단 헤더/풋터에 인젝션함
3) 확인된 악용 스패머는 1개 ID이며, 대상 게시판은 한줄메모 1개임
- 인지 :
1) 5/15 자정경 발생한 스팸에 대한 처리 중 문제 발견
2) 가입 일시를 확인하여 해당 문제가 XE 업그레이드 시점부터 발생한 점을 확인함
- 조치 :
1) 신규가입자 기본 권한을 새내기로 정정
2) 잘못된 권한이 부여된 계정의 권한을 일괄적으로 일반 회원 등급으로 조정함
- 기타 :
1) 해당 문제에 따른 접속 암호, DB 등은 유출되지 않음
2) 단 이메일 정보는 노출되어 있으므로 유출되었을 가능성 있음
3) 관리자라 하여도 접속 암호를 확인할 방법이 없으며 DB 접근 불가능하므로 이들은 안전함
4) 관리자 사이트의 권한을 탈취당한 것은 아니며, 각 게시판별 관리 기능이 활성화된 것임
5) 이메일 정보를 포함한 회원 정보를 일괄 다운로드할 수는 없으나 이들 각 회원 정보에서 노출되고 있음
6) 따라서 공격자가 악의적으로 수집하려 햇다면 장시간 소요되나 회원들의 이메일 정보를 탈취할 수 있음
다시금 사과를 드리며 이에 대하여 운영진은 담담 운영자 사임 등을 비롯한 자체적인 문책 등 후속조치를 논의한 후 추가 공지하도록 하겠습니다. 실력이 일천한데다 스스로 관리 능력이 부족해 전임 운영진들의 도움을 받는 것도 모자라 이렇게 큰 사고를 발생시킨 것에 대하여 무한한 사과를 거듭 올리면서 마칩니다.
감사합니다.
코멘트 2
-
yohan666
05.16 14:30
-
웹마스터1호기
05.16 16:40
요한님 감사합니다. 그러나 이건은 지금 요한님께서 말씀하신 사이트 업그레이드 부분과는 전혀 관계가 없는 쪽의 이슈입니다. 정확히는 아래와 같은 상황입니다.
- 운영진의 조작 및 확인 미숙 등의 원인으로 회원의 기본 권한이 '관리'로 설정된 상태였음.
- 4/25 이후 약 60명의 회원(삭제된 스패머 포함) 들의 권한이 모두 관리로 지정
- 관리 권한 부여된 스패머가 한줄 메모 게시판 관리 기능을 이용해 상하단에 광고 HTML 코드를 인젝션함
- 상기 문제를 금일 01:00 경 인지하고 해당 권한 모두 새내기 권한으로 변경하는 등 후속 조치 및 공지 알림
즉 요한님이 작업하신 내용 및 임시 관리 권한을 부여하신 ID 등과 전혀 무관한 일입니다. 이 점은 전달에 있어 문자로 하다보니 오해가 있었던 것 같습니다. 또한 말씀하신 것과 같이 DB, 최고 관리자 계정, 관리자단 접속 권한 등은 탈취되지 않았으며 이에 대하여서도 본문에 언급하였습니다. 걱정해주시고 격려주심에 몸둘 바를 모르겠습니다만, 이번 건은 분명 현 운영진 중 서버관리 담당자들이 잘못한 것이 맞습니다. 이 부분에 대하여 핑계를 델 수 없으며 명명하게 잘못을 알리고 사죄함이 옳다 판단하여 공지한 것입니다.
감사합니다.
이 일 관련으로 카카오톡으로 운영진과 대화를 했습니다.
약간 사실보다 과장되고 왜곡되어진 내용이 있어서 리플로 첨언 합니다.
1. 25일 이후 가입된 신규가입자 총 3명중 3명이 "가입후 기본 지정 그룹이 게시판 관리자"로 긍급 지정이 되었음.
2. 게시판 관리자는 게시판 글 내용을 삭제, 수정할수 있는 권한을 갖고 있음.
3. 현재는 광고를 목적으로 가입한 아이디 1개는 삭제, 나머지 2개의 경우 일반 회원으로 등급 조정
DB가 털린것도 아니고 FTP가 털린것도 아니고 암호가 유출된것도 아니고... 관리자 페이지에 접근이 가능한것도 아닙니다.
내용을 보면 다 털린 회사가 다 털리지 않았다고 발뺌하는 뉘양스라서 =_=;; 리플을 답니다.
원래 XE앤진의 경우 최고관리자로 기본지정하는 옵션은 없어요. 하지만 가입시 기본 지정하는 그룹은 설정이 가능합니다. 우리 KPUG에서는 그룹들 중에 가장 권한이 높은 그룹은 게시판 관리자 이고요.
왜 그렇게 되었는지는 이야기 중이지만, 아마도 제 생각에는 기본지정 그룹을 누군가 실수로 변경한것 같네요.