요즘 많이 뉴스꺼리가 되는 것 중 좀 말해보고자 하는 점이 있어 연재로 올려보려고 한다.

(짧게 쓰려고 했는 데 길어지는 상황...ㅜ.ㅜ)

개인적인 생각이 많이 내포되어 반론의 여지가 충분할 테지만

반론은 되도록이면 댓글이 아닌 트랙백으로 해주시길~~^^*

옥션, 네이버, 다음, LG텔레콤, 하나로, 청와대 ....

요즘 위와 관련 있는 낱말은 모두 아래에 있다.

"해킹", "크래킹", "보안", "개인정보유출"

그 중 해킹에 대해서 먼저 말해볼까 한다.

현재 웹2.0 까지 오면서 해킹 기법이 많이 오픈되어 있다고 보면 된다.

구글에서 해킹과 관련된 정보는 얼마든지 찾아 낼 수 있고, 구글에서 검색으로 개인정보를 찾아낼 수 있는 정도다.

단지 여기서 그런 정보를 취득할 수 있는 사람의 수가 예전보다는 많아졌다지만 그래도 일부일 수 밖에 없다.

그런 정보와 관련된 임직원, 개발자, 해커, 해킹에 관심이 많은 사람, 개인정보 판매(구매)자....

위에 나와 있는 정도의 사람들이 그런 정보에 접근할 수 있을 것이다.

여기서 해킹은 어떤 걸까?(일반적인 관점)

웹 이전에는 관리자 권한이 없는 자가 어떤 서버의 관리자 계정을 취득하여 서버의 어떠한 정보를 취득하는 행위 가 일반적인 해킹이라고 해야되나?

사실 요즘은 이것보다는 웹을 통해서 해킹을 하는 방법을 많이 사용한다.

사실 웹을 이용하더라도 결국 원하는 서버의 관리자 계정을 취득하여  원하는 정보를 취득하는 것이다.

그런데 관리자 계정을 취득한다라....그냥 물어보면 당연히 안 알려 주겠지...

(그런 정보와 관련된 임직원, 개발자는 알고 있다...ㅡ.ㅡ++)

그래서 해킹을 할때 웹상에서 취약점을 찾아서 그걸 이용하여 원하는 정보(계정)를 취득하는 것이 웹해킹의 기본인 것이다.

그런데 관리자 계정 정보를 취득 안하고 원하는 정보를 취득한 경우는 어떻게 되는 걸까?

내 개인적인 생각엔 해킹에 포함이 된다...ㅡ.ㅡ

해킹의 목적은

"정보에 대한 권한을 가지지 않은 자가 정보 제공자가 제공하기를 원하지 않는 정보를 취득하는 것이다."

즉, 제공자가 원하지 않는 정보를 취득하는 것 자체가  해킹인 것이다.

여기서 제공의 범위가 문제 인데 웹에서 본다면 브라우저의 화면에서 그대로 보여주는 것들이 제공에 범위에 들어간다.

그런데 문제는 화면이 아닌 주소입력창 부분이 좀 문제가 된다.

일반적인 화면상에서 보면 주소입력창은 보여주게 되는데...웹에서 보다 보면 팝업(POP-UP) 창으로 화면을 띄우는 경우가 있다.

그 경우 주소입력창 및 메뉴바 등을 보여주지 않고 화면만 보여주는 경우가 있다.

이 경우는 정보제공자는 당연히 URL과 브라우저의 다른 기능은 화면을 보고 있는 자에게 제공하는 것이 아니라고 할 수 있다.

즉 화면 안에서 보여주는 정보만을 제공 한 것이다.

그런데,

화면을 보고 있는 자가 지적 호기심으로 해당 화면의 소스보기나 속성보기로 소스 내역이나 URL을 취득했다라고 한다면?

여기서 문제는 브라우저의 소스보기와 속성보기 기능을 제공한다라는 점이다.

사실 개발자나 관심이 있는 자라면 당연히 이 기능을 이용하여 자기가 원하는 정보를 보게 된다.

그래서 소스보기 라든가 마우스 오른쪽 클릭 자체를 거부시키기도 한다.

원래대로라면 일반 사용자는 소스보기나 속성보기는 해당 정보 개발자가 아닌 이상 볼 정보가 아닌 것이다.

그런데 왜 브라우저는 그런 기능을 기본으로 제공하는 것 일까?

그건 초창기 웹 브라우저를 출시했을 때는 웹이라는 새로운 환경을 개발자에게 널리 확산시켜야 한다는 생각으로

그런 기능을 오픈시켰고, 그래서 HTML과 SCRIPT가 진짜 널리 확산될 수 있었다.

그런데 문제는 WEB의 발전 속도가 빠르고 확산 또한 넓게 되어 버리면서 HTML코딩이나 SCRIPTING정도는

개발자가 아닌 일반인(?) 정도 수준까지 내려가 버렸고 그에 따라 웹 브라우저의 그런 기능은 계속 오픈한 상태로

SCRIPT로 제거 할 수 있는 옵션만 추가 해놨다.

여기까지는 너무 좋아...그런데 화면에 SCRIPT를 이용해서 열심히 그런 옵션을 사용 못하게 처리해야 하는데...

보통 현실은 디자이너+HTML 코더+개발자의 합작품으로 보통 그런 화면을 만들어 내고 있다.

그런데 그 기능을 쓰질 않지....왜냐구? 우선 귀찮아...ㅡ.ㅡ

여기서 취약점을 만들어내는 것이다....해킹을 할 수 있는 취약점

그래서 보통 HTML 소스 보기와 속성보기는 웹 해킹이 시작점이지!

여기서 해킹의 완성은 권한이 없는 정보 취득인데 소스보기는 정보를 취득하기는 했지만 권한이 없지는 않았잖아....ㅡ.ㅡ

소스보기나 속성보기로는 해킹이 완성되지 않아...당연하지!

그러나, URL 정보나 소스 정보 중 일부를 변경 처리하여 또 다른 정보를 취득하고자 할 경우 바로 해킹을 하는 것이지.

웹 해킹에서 말하는 취약점이라는 건 그렇게 거창한 것만 있는 것이 아니라 아주 단순한 경우가 많다.

예로 한번 들어 볼까?   ==> 다음 연재로 이어집니다...ㅡ.ㅡ

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

(0) (0)