-
웹 서비스 2곳의 오픈소스 공격해 4K 웹사이트 침해IT News 2019. 5. 17. 09:57
(아래 Notion 사이트에 정리되어 있습니다.)
- Notion 사이트 URL : https://www.notion.so/byounghee88/2-4K-8152cc7578db46e9bdc10a2371f55db1
웹 서비스 2곳의 오픈소스 공격해 4K 웹사이트 침해
- 기사 본문 : http://www.boannews.com/media/view.asp?idx=79479- 기사 요약
보안 전문가 빌렘 드 그루트(Willem de Groot)는 해커들이 두 가지 서비스를 침해해 자바스크립트 코드를 조작함으로써 4600개가 넘는 웹사이트들을 멀웨어로 감염시키는 데 성공했다고 밝혔다.
공격에 당한 두 개의 서비스는 피크릴(Picreel)과 클라우드 CMS(CloudCMS) 이며, 피크릴은 방문자들의 행동을 분석할 수 있게 해주는 데이터 분석 서비스이고, 클라우드CMS는 콘텐츠 배포 네트워크(CDN)의 일종이다.
해커들이 어떤 방식으로 서비스를 침해했는지 확인되지 않았으며, 드 그루크는 피크릴(Picreel)과 클라우드 CMS(CloudCMS)서비스 내 악성코드를 삭제하여 조치했음을 확인했다.
보안 전략가인 팀 맥키(Tim Mackey)는 사용자들에 제공하는 코드를 조작하는 공격은 공급망 공격으로까지 이어질 수 있으므로, 오픈소스를 사용하기 전에 소스코드를 점검하는 책임감이 필요하다고 강조했다.
- 개인 의견
생각해보면 나도 편리함에 의해 오픈소스를 아무 의심없이, 당연하게 사용하고 있다.그러나 오픈소스를 사용하다가 침해사고가 발생 시 그 책임은 오픈소스를 사용하는 사용자에게 있으므로, 앞으로 오픈소스 이용 시 VirusTotal 등과 같은 최소한의 확인 절차를 거쳐 사용하는 습관을 들여야 겠다고 생각했다.
- 관련 기사
· 구글의 오픈소스 자바스크립트 라이브러리에서 XSS 취약점 발견
· 여전히 사이버 범죄자들에게 악용되는 IoT와 오픈소스'IT News' 카테고리의 다른 글
MS, 단종시킨 윈도XP에 이례적 보안 패치 (0) 2019.05.21 현재 사이버 공격자들이 가장 선호하는 공격 툴은 파워셸 (0) 2019.05.20 개방형 OS 도입 추진, 정부 PC 환경에 새로운 변화 예고 (0) 2019.05.16 MS, 업계 첫 탈중앙 신원인증 선봬…’글로벌 인증창구 될까’ (0) 2019.05.15 CISO와 DPO의 역할, 어떻게 나누고 정해야 하나 (0) 2019.05.14