http://idchowto.com/?p=35203
위 내용에서 일부 발췌한것입니다.
‘인터넷 나야나‘의 서버 150여대가 일시에 공격에 무력화 된 이유로 가장 의심이 되는 부문은 APT 공격의 성공과 패스워드 관리의 보안적인 허점 때문으로 추정 합니다.
대부분의 호스팅 회사들이 패스워드 관리를 엑셀 파일로 작성하여 암호화하여 관리 하고, 서버 접근시 엑셀파일의 패스워드를 입력하여 열어 보고 있습니다. 서버 패스워드가 무작위 대입 공격을 방어하기 위해 특수 문자를 포함 하고 있는 매우 복잡한 패스워드 체계를 사용합니다.
정말 환장할 만한 방법으로 당한 거군요.
역시 너무 빠르게 진행 된다고 생각 했습니다.
smb로 됬다면 그래도 뭔가 손 쓸 시간이라도 있어서 일부는 괜찮았어야 정상일텐데요.
완전히 날아가신 분들 보다는 비교적 피해가 적은 편이지만 .. 피해 당사자로서 허탈합니다.
다들 피해 복구 잘 되시길 바라겠습니다.
어느 직원이든지 서버 하나라도 관리하려면 엑셀 파일 전체의 암호를 풀어야 하니, 직원 PC에 미리 악성코드를 심어놓았다가 비번을 입력하는 순간 엑셀 파일과 비번을 빼돌리면 모든 서버를 다 털 수 있게 됩니다. 파일을 빼돌릴 수 있는 악성코드라면 키보드 해킹도 식은 죽 먹기일 테니...
게다가 파일 하나에 모든 비번이 다 들어 있고 모든 직원이 같은 파일을 공유한다면 해커뿐 아니라 회사에 앙심을 품은 직원의 행동도 전혀 방어할 수 없게 됩니다. 며칠 전 네덜란드의 어느 호스팅 회사에서 해고당한 전직 서버 관리자가 갖고 있던 비번으로 모든 서버를 포맷해 버린 사건이 있었어요. 이직이 잦은 업계에서는 직원마다 계정을 따로 주고, 퇴사 즉시 해당 직원의 계정을 정지시키는 정책이 필요합니다.
개인키/공개키 조합을 사용해서 비번 저장 없이 다수의 서버를 관리하는 기법도 10여년 전부터 있었고 (이거 익숙해지면 비번 복사해서 쓰는 건 더이상 불편해서 못 합니다) 최근에는 ssh 로그인시 OTP를 사용하도록 하는 기술까지 나왔으니 저렇게 엑셀 파일을 전직원이 공유하지 않으면 관리가 안 된다는 것은 보안 강화하기 귀찮다는 핑계에 불과하지요.
