NOTICE


 2017년 02월 20일 특정 항공사 홈페이지 접속이 정상적으로 이뤄지지 않은 사고가 발생했습니다.

 해당 사고에 대해 확인되는 사항을 정리해보았습니다.


 일반 사용자의 입장에서 눈으로 확인한 것을 정리한 것입니다.

 특정 DNS에 문제가 있다거나 특정 공격 시도에 의한 것과 같이 확인되지 않은 사항들에 대해서는 파악하지 못했습니다.


 먼저 항공사 홈페이지에 접속해보겠습니다. DNS 서버 IP가 “168.126.63.1”로 되었을 때의 접속 화면입니다.


 

 기사에서 확인한 것과 같이 항공 홈페이지는 '정의도 평화도 없다'는 문구와 함께 "***항공에는 유감이지만, 알바니아가 세르비아인들에게 저지른 범죄를 세계가 이해할 필요가 있다"는 해커의 메시지가 영어로 출력됩니다.

 URL 쿼리에 대한 IP 주소 응답이 “217.174.152.174”인 것을 확인할 수 있습니다.



 “217.174.152.174”로 접속되는 주소는 불가리아 입니다. 즉 DNS 서버 IP를 “186.126.63.1”로 설정해 놓고 항공사 홈페이지로 접근을 시도하면 엉뚱한 웹페이지로 접속이 되는 것입니다.


 

 DNS 서버 IP를 구글 DNS인 “8.8.8.8”로 설정해 놓고 다시 접속해 보겠습니다.



 해당 항공사 홈페이지에 정상적으로 접속이 됩니다. URL 쿼리에 대한 IP 응답 역시 항공사 웹서버 정보를 반환해줍니다. 




 해당 항공사 측에서는 도메인네임시스템(DNS)을 관리하는 외주 웹호스팅 업체가 공격을 받아서 발생한 문제이기 때문에 고객 개인정보 등 자료는 유출되지 않은 것으로 파악됐다"고 밝히고 있습니다.


 이상으로 '[2017.02.20] 항공사 홈페이지 해킹 사고 정보_ver 2017.02.20'에 대한 포스팅을 마치겠습니다.




  1. no picture 피로써라 2017.02.20 10:41

    Kornet 네임서버 아이피 오류입니다.

  2. no picture IP 2017.02.20 11:22

    DNS 서버를 168.126.63.1 (Kornet DNS) 로 설정해두신거 같은데 본문에는 모두 186.126.63.1 이라고 쓰셨네요.
    오타나신거 아닌가요? 실제로 CMD 에서 nslookup 결과 입력하신거 보면 168.126.63.1 이라고 나오고 있습니다.

    잘못된 정보를 제공하고 계신거 같습니다.

    • no picture BlogIcon 이슝 itseeyou 2017.02.20 11:29 신고

      죄송합니다. 글을 쓰고 다시 한번 확인을 해봤어야 했는데 실수로 오타가 생긴것 같습니다. 확인 후 수정했습니다.

  3. no picture 지나가던사람 2017.02.20 11:39

    좀더 자세히는 도메인 관리 업체인 도xx 의 홈페이지 취약점을 이용하여 도메인의 네임서버를 해커의 것으로 변경하였고 그로인해 발생하였습니다. DNS정보는 일정시간 캐싱을 하기에 두개의 DNS서버에 질의했을때 다르게 나온 것이고요. 구글 퍼블릭DNS, KT DNS 와 이번 건은 무관합니다.

    • no picture 추가 2017.02.20 11:44

      내용을 추가하자면 이번 공격은 DNS스푸핑, ARP스푸핑 등등과 무관하다는 것입니다. 여러 사이트 댓글이나 페이스북에서 이것저것 추론하지만, 확실한건 웹취약점을 통해 도메인 관리업체 홈페이지가 털렸고 네임서버주소를 새로 업데이트 인데, 중요한 가치가 있는 도메인인 만큼 도메인 업체에서도 정보 변경시 2차 인증 절차를 도입하던가 보완 대책을 마련하는것이 시급해 보입니다.

    • no picture BlogIcon 이슝 itseeyou 2017.02.20 12:39 신고

      일반 사용자 입장에서 눈으로 확인한 것을 정리해서 올렸습니다. 제가 확인할 수 없는 사항들 예를 들어 KT DNS에 문제가 있다거나 특정 공격 시도에 의한 것이라는 언급을 하지는 않았지만 오해가 있을 수 있을 것 같습니다. 중요한 정보 감사합니다.