웹 서비스 2곳의 오픈소스 공격해 4K 웹사이트 침해
(아래 Notion 사이트에 정리되어 있습니다.)
- Notion 사이트 URL : https://www.notion.so/byounghee88/2-4K-8152cc7578db46e9bdc10a2371f55db1
웹 서비스 2곳의 오픈소스 공격해 4K 웹사이트 침해
웹 서비스 2곳의 오픈소스 공격해 4K 웹사이트 침해
www.notion.so
웹 서비스 2곳의 오픈소스 공격해 4K 웹사이트 침해
- 기사 본문 : http://www.boannews.com/media/view.asp?idx=79479
웹 서비스 2곳의 오픈소스 공격해 4K 웹사이트 침해
해커들이 두 가지 서비스를 침해해 자바스크립트 코드를 조작함으로써 4600개가 넘는 웹사이트들을 멀웨어로 감염시키는 데 성공했다. 이를 제일 처음 발견한 건 보안 전문가 빌렘 드 그루트(Willem de Groot)다. 그는 트위터를 통해 이 사건의 전모를 공개했다.
www.boannews.com
- 기사 요약
보안 전문가 빌렘 드 그루트(Willem de Groot)는 해커들이 두 가지 서비스를 침해해 자바스크립트 코드를 조작함으로써 4600개가 넘는 웹사이트들을 멀웨어로 감염시키는 데 성공했다고 밝혔다.
공격에 당한 두 개의 서비스는 피크릴(Picreel)과 클라우드 CMS(CloudCMS) 이며, 피크릴은 방문자들의 행동을 분석할 수 있게 해주는 데이터 분석 서비스이고, 클라우드CMS는 콘텐츠 배포 네트워크(CDN)의 일종이다.
해커들이 어떤 방식으로 서비스를 침해했는지 확인되지 않았으며, 드 그루크는 피크릴(Picreel)과 클라우드 CMS(CloudCMS)서비스 내 악성코드를 삭제하여 조치했음을 확인했다.
보안 전략가인 팀 맥키(Tim Mackey)는 사용자들에 제공하는 코드를 조작하는 공격은 공급망 공격으로까지 이어질 수 있으므로, 오픈소스를 사용하기 전에 소스코드를 점검하는 책임감이 필요하다고 강조했다.
- 개인 의견
생각해보면 나도 편리함에 의해 오픈소스를 아무 의심없이, 당연하게 사용하고 있다.
그러나 오픈소스를 사용하다가 침해사고가 발생 시 그 책임은 오픈소스를 사용하는 사용자에게 있으므로, 앞으로 오픈소스 이용 시 VirusTotal 등과 같은 최소한의 확인 절차를 거쳐 사용하는 습관을 들여야 겠다고 생각했다.
- 관련 기사
· 구글의 오픈소스 자바스크립트 라이브러리에서 XSS 취약점 발견
· 여전히 사이버 범죄자들에게 악용되는 IoT와 오픈소스