2011년 5월 4일 수요일

농협 전산망 장애사건 수사결과
















암호키가 가장 유력한 증거고.
공격확장자 동일은 대체 뭔소린지 모르겟음.
윈도 확장자야 뻔하지 않나? 보이는거 보면 doc docx zip인데
이게 윈도우에서 가장 흔한 파일들 아닌가요? 이게 공격이 일치한다고 같은 파일이라고 보기엔.
뭐 결론만 쓰면 DDOS 공격때 쓰던 공격 파일 그대로 갔다가 썻다는 이야기임
그리고 DDOS가 북한꺼니까 이것도 북한꺼라는 주장임.

아무튼 경찰의 주장을 요약한 시나리오는 이렇습니다.

1. 직원이 업무용 노트북으로 웹하드 접속
2. 그 직원노트북엔 백신이 하나도 없음. 고로 좀비 피시로 전환
3. 그 직원이 그 노트북을 그대로 농협 전산망에 접속
4. 그 직원이 최고 권리자로 접속할 수 있는 직원임
5. 농협도 우연찬게 MS사 서버 제품군을 사용하는지라 DDOS 소스가 전파. 농협PC좀비화
6. 물론 농협 서버컴도 백신 따윈 안씁니다.
7. 농협은 보안 업데이트도 설치하지 않기 때문에 연결된 농협 서버컴 전체에 좀비 PC프로그램 소스가 전파,백업 서버까지 좀비화
7. 무려 농협의 고객과 돈을 처리하는 망은 방화벽을 통해 인터넷에 연결되어 있지만 해당 방화벽은 연결된 컴이 농협 안에서 외부로 어디로 접속하든 관심 없음.
8. 추가로, 방화벽은 좀비 피시의 공격 패킷을 차단하지 않음.
9. 좀비 피시 자폭 프로그램 가동, 파일 삭제시작
10. 농협 사태 발생

다 쓰고 보니 농협은 유닉스엿네요? 돈처리하는 유닉스 서버에 doc파일 지우는 소스가 왜 필요한지 의문. MS Windows에서 돌아간 악성코드가 유닉스에도 막힘없이 돌아가는 크로스 플랫폼을 구현한 신기의 소스.

댓글 없음:

댓글 쓰기