[버그 바운티?] LG CNS 블로그 수정 신고 & 경희대 피싱 메일 경고

지난주에는 LG CNS 블로그에 잘못된 정보에 대한 수정 신고를 했고, 경희대 웹메일 관리자에게 피싱 메일을 신고를 했습니다. 이 사건에 대한 포스팅을 남깁니다.

버그 바운티?????

버그 바운티(Bug Bounty)란 보안 취약점을 발견하면 해당 회사에 신고하여 포상금을 받는 제도입니다. (알약 블로그에서 자세한 설명 보기)
오늘은 버그 바운티는 아니지만,

1. LG CNS 블로그에 잘못 소개된 정보의 수정 요청을 한 경험과
2. 경희대 웹메일 계정으로 온 피싱 메일을 신고한 경험을 소개하려고 합니다.

사건1. LG CNS 블로그에 올라온 잘못된 정보!

현재 본 포스팅에서 말하는 LG CNS 블로그 글은 비공개되었습니다!

평소 저는 RSS Feed를 통해 여러 기업의 기술 블로그와 개인 블로그, 관심있는 분야(임베디드, 보안, DevOps 등)의 글을 수집하여 살펴봅니다. 지난 주(9월 6일) LG CNS 블로그에는 ‘자바(Java)와 자바스크립트(Javascript)의 차이는?’이라는 카드뉴스 형식의 글이 올라왔습니다.

하지만! 해당 포스팅을 보고 의문이 생겼습니다.

뭐야 이건! 왜 잘못된 내용을 당당히 소개했지?????

그 의문은 자바와 자바스크립트 언어의 4가지 차이점 중 두 가지가 잘못되지 않았나? 하는 생각입니다.

이 부분이 잘못된거 같아요! ①

먼저, ‘자바는 서버 측에서 컴파일 되는 언어이다~자바스크립트는 인터프린트 언어다~’라는 문장이 잘못됐다고 생각합니다. 물론 웹 서버를 자바언어를 사용해서 제작한다면(JSP, Spring, Spring boot 등) 이 문장은 잘못되지 않습니다. 하지만 서버-클라이언트가 구분된 환경이 아니라면(예를 들어 사용자 데스크탑에서 단독으로 동작하는 프로그램을 만든다면), 자바는 서버 측에서 컴파일 되는 언어가 아닙니다.

이 부분이 잘못된거 같아요! ②

다음으로, ‘자바스크립트는 상속성이나 클래스가 존재하지 않는다’라는 문장이 잘못됐다고 생각합니다. 기존의 자바스크립트는 클래스가 존재하지 않았지만, ES6부터 클래스가 추가되었습니다. (참고. ECMAScript 6 New Features: Classes)

따라서 당연히 클래스의 선언을 할 수 있고 상속이 가능합니다.

LG CNS 그 후!

이렇게 잘못된 점을 지적하며 LG CNS 블로그 관리자에게 메일을 보냈습니다. 하지만 빨리 처리가 되고 답이 올 것이라는 예상과 달리 이틀(9월 8일까지)이 지나도 답이 없었습니다.

내가 너무 조급하게 생각한 것일까? 잘못된 정보가 대기업, 그것도 글로벌 기업의 블로그에 올라왔는데 대처가 너무 늦다고 생각했다. 그래서 이틀밖에 안 지났지만 재문의를 했다.

이번엔 페이스북 메신저를 통해, ‘메일에 답이 없어서 다시 문의한다~’라고 보냈습니다.
그 후, 오늘 오전! 페이스북 메신저로 답이 왔습니다.

자세한 피드백을 원했지만, 그렇게까지 답을 못받은거에 대해선 아쉬웠습니다. 하지만 대학생의 의문을 무시하지 않고 받아줬다는 점이 고마웠습니다.

사건2. 경희대 메일 계정으로 온 피싱메일!

본 포스팅을 보고 호기심에 피싱 사이트에 들어가지 않도록 합니다!

다음으로 소개할 내용은, 제가 받은 피싱메일에 대한 소개입니다. (피싱이란? -위키피디아)

9월 9일 새벽, 학교 메일 계정으로 이상한 메일이 한 통 왔습니다.

자세히 살펴보면 이상한 점을 찾을 수 있다!

이상한 점 ①

경희대학교는 지메일을 학교 메일 서비스로 이용 중입니다. 그런데 지메일 서비스에서 해당 메일을 보낸 사람의 계정이, 메일을 보내온 도메인과 다르다고 알려주고 있었습니다.

지메일은 kangwon.ac.kr(강원대학교)이 실제 메일을 보낸 도메인이라고 알려주었다. 하지만 그렇다고 강원대학교에서 공격이 들어왔다고는 볼 수 없다. 강원대를 다니는 피해자가 계정을 탈취당했고, 이를 통해 경희대로 메일을 보낼 수도 있다.

이상한 점 ②

그리고 외부 링크로 연결된 부분을 보면 ‘khu.ac.k/블라블라블라’ 라고 쓰여있습니다. 경희대학교의 도메인이 khu.ac.kr인데 r을 교묘하게 뺀 것입니다.

다시 한번! 본 포스팅을 보고 호기심에 피싱 사이트에 들어가지 않도록 합시다!

이상한 점 ③

마지막으로 Copyright를 보면 All R!ights Reserved라고, 또 교묘하게 느낌표를 추가하여 피싱을 하고 있습니다.

이런 점들이 보이자, 이 메일은 해킹을 유도하는 거구나!!! 라는 생각이 들었다.

그래서 어떻게 했나?

경희대 정보지원처 관리자에게 신고를 하고, 동시에 사이버경찰청에도 신고를 해야겠다는 생각이 들었습니다. 그리고 피싱 메일이 온 경로를 알기위해 분석을 시도했습니다.

흔한 보안 공부를 하는 학생의 자세. 하지만 전 네트워크 보안이 아니라 시스템 보안을 공부 중입니다.

메일에서 온 경로를 따라 들어가보니, 경희대 웹 메일 페이지를 캡쳐해서 똑같이 보이게 한 피싱 페이지가 나타났습니다. 물론 아이디와 패스워드의 입력을 받는 input 부분은 POST를 사용하여 해킹서버로 전송되게 하였습니다.

실제 서비스를 캡쳐한 이미지를 입혔기 때문에, 어색함이 없다.

관리자 도구를 사용하여 분석을 시도했지만, 해킹 서버와 관련된 정보를 찾지 못했습니다. 아쉽지만 알아낸 내용만 가지고 학교 정보지원처 관리자에게 메일을 보냈고, 용인지역 사이버경찰청에 신고도 하였습니다.

어디로 전송되는지 알아보려고 했지만…결국은 실패하였다.

경희대 피싱 메일 그 후!

그리고 오늘 오전! 학교 메일 계정에 전체 공지가 왔습니다.

#일처리 #빠름 #경희대 #좋아요

그래서 하고 싶은 말이 뭐야?

위 두 사례는 버그 바운티에 해당하지 않습니다. 하지만 적당한 단어가 떠오르지 않아 버그 바운티라는 표현을 이용했습니다.

이 두 사건을 통해 저는 ‘내가 그래도 발전했구나~’라는 생각이 들었습니다. 글로벌 대기업 블로그에 잘못된 점을 지적했고, 경희대 메일을 사용하는 전 사용자(학생, 교수, 직원)에게 경고 메일을 보내는 역할을 했으니깐요.

그리고 또한 ‘잘못된 정보를 제공하는 블로거가 되어선 안되겠다’, ‘보안 공부를 더 열심히 해야겠다’라는 다짐도 하게된 계기가 되었습니다.

앞으로도 재밌게 공부하자!!!!!