이런 해킹 유형을 파악하기 위해서 몇가지 필요한 툴이 있다. 그리고 HTTP 프로토콜에 대한 약간의 지식이 있으면 훨씬 이해하기 편할 것이다.
1. Firefox
2. Live HTTP (Firefox add in)
3. Modyfy Headers (Firefox add in)
4. Web Developer (Firefox add in)
구글 검색 결과를 확인해 보자.
위 링크를 클릭하고 처음 나오는 오리엔탈드림 사이트 가 원래의 사이트 주소와 뭐가 다른가?
그리고 그 결과와 뭐가 다른지 확인해보기 바란다.
/XcFU6NGk0V.gif”>/XEWj3FWSeF.gif” width=”644″ border=”0″ />
검색 결과로 나오는 사이트와 그냥 쿼리릴 입력해서 가본 사이트가 영 다른 결과를 보여준다.
1. 검색 결과를 통해 사이트를 들어간 화면
/XKlIvPjzuV.gif”>/XPQL2Z0iQO.gif” width=”644″ border=”0″ />
2. 그냥 바로 브라우저에 주소를 넣어 들어간 화면
/XRJMulSLit.gif”>/XXwR0aRBy1.gif” width=”644″ border=”0″ />
이 현상은 야후,MSN, 구글과 같은 글로벌 검색 사이트에 한정된 결과이고, 네이버나 다음과 같은 국내 포털은 큰 상관이 없어 보인다.
조사해본 결과 위 사이트는 해킹이 되었고 검색 결과로만 나오는 사이트의 경우 해킹된 스파이웨어가 깔리는 사이트로 이동이 된다.
위 해커는 referer를 체크해 이 사이트에 들어노는 트래픽중에 야후, 구글, MSN 검색 결과인 것들만 해킹된 사이트로 유도한다.
게다가 이 해커가 똑똑하다고 생각한 이유가 있는데, 바로 referer에서 검색 쿼리를 추출해 해킹된 사이트의 제목으로 박아 버린다는 것이다.
내가 제시한 위 툴들을 사용해서 web developer를 사용해 referer를 diable로 해서 해보면 정상적으로 사이트가 들어가는것을 확인할 수 있고, modyfy Headers를 사용해 검색 쿼리를 fuck!으로 바꾸면 아래와 같은 화면이 나오는것을 확인 할 수 있다
/XXKTlv0Zwv.gif”>/XNdW7037x0.gif” width=”644″ border=”0″ />
오리엔탈드림을 클릭했으나, fuck! 라고 제목이 찍힌다. ㅋ
해킹된 사이트로 들어가는 과정은 Live HTTP를 사용하면 쉽게 확인할 수 있다.
이런 사이트 해킹 기법은 굉장히 지능적이여서 사이트 관리자도 자칫 일런 결과를 검색 서비스를 제공하는 포털들에게 문제점을 전가 시킬수 있다. 게다가 잘 모르는 사이트 관리자는 왜 referer를 넣느냐고 항의 할 수 있지만 이 referer는 IE를 포함한 거의 모든 브라우저 고유의 기능이다. 또한 많은 사이트 통계분석툴이 이런 referer를 기반으로 한 사이트 통계자료를 만들어내 자신의 사이트에 사용자들이 어떤 경로를 통해 들어오는지 확인하는 창구가 된다.
사실 이런 사이트들은 사용자들의 항의가 들어오면 더 이상 스파이웨어에 의한 피해자를 줄이기 위해 검색 서비스를 제공하는 포털은 위와 같은 사이트는 제한을 걸어버리는 작업이 필요할 듯 하다. (아니면 한정적으로 referer를 NULL로 해버리던가.
위의 작업정도가 포털에서 가능한 작업이고 나머지 작업은 사이트를 관리하는 관리자 측면에서 해킹된 시스템을 정상화 하고 다시 해킹이 되지 않도록 관리/감독을 철저히 해야 할 것이다.
스팸머을 비롯해서 이와같이 기발한 해커들을 보니 역시 해커들이 돈을 잘 버는 이유가 이곳에 있는거 같다. 사이트 관리자에게 최대한 들키지 않고 해킹된 도메인을 효과적으로 이용하는 이 기발함에 놀라움을 금치 못했다.
결론은 이런 유형의 사이트 해킹 뿐만아리나 다른 잠재적인 해킹에 철저히 대비할 수 있는 사이트 운영자의 관리가 필요하다는 것이다.
검색 결과를 타겟으로 하는 해킹 사이트 by from __future__ import dream is licensed under a Creative Commons Attribution-NonCommercial 4.0 International License.