크트립과 다른 유출 사건에서 터져 나온 어두운 구름의 기원은 무엇인가요?

2014년 3월 23일 오후 6시, 우윈 취약점 플랫폼(Wuyun.com)이 노출되었습니다트립보안 결제 서버 인터페이스는 사용자의 결제 기록(카드 소지자 이름, 신분증, 은행 카드 번호, 카드 CVV 코드, 6자리 카드 빈 및 기타 정보)을 저장할 수 있는 디버깅 기능을 갖추고 있습니다. 개인 금융 정보 유출로 인해 각계각층에서 강한 우려가 불러일으켰고, 다른 언론들도 이를 보도하기 위해 서둘렀으며, 의견도 분분합니다.

Ctrip 로그에 민감한 사용자 정보를 저장하는 것은 분명히 잘못되고 어리석은 일이며, 대중의 여론이 Ctrip을 전면에 내세웠을 때 저자는 Wuyun.com 에 대한 강한 호기심을 가졌습니다. Wuyun.com 의 취약점 공개 역사를 살펴보면 충격적입니다:

2013년 10월 10일,집처럼그리고 기타 호텔 객실 개방 정보가 유출되었고; 11월 20일,텐센트7천만QQ그룹 사용자 데이터가 유출되었다는 비난을 받았고; 11월 26일,360임의의 사용자가 비밀번호를 변경하는 취약점; 2014년 2월 17일, 알리페이/위에바오의 임의 로그인 취약점으로 네티즌 계정이 위험에 처했습니다; 2014년 2월 26일, 위챗의 민감한 정보가 취약점으로 유출되어 다수의 사용자 영상이 유출되었으며, 그 영향은 XX 게이트와 견줄 만했습니다......

일련의 유출 사건으로 Wuyun.com 과 이 원래 알려지지 않았던 웹사이트가 유명해졌습니다. 관련 기업들의 무책임한 성과에 의문을 제기하는 한편, Wuyun.com 에 대해서도 질문이 많습니다: 이게 어떤 플랫폼인지, 왜 여러 차례에 걸쳐 주요 기업들의 취약점을 드러낼 수 있는가? 어두운 구름 뒤에는 얼마나 많은 비밀이 있을까?

어두운 구름 뒤에서

우운은 2010년 5월에 설립되었으며, 주요 창립자는 바이두의 전 보안 전문가이자 1987년생의 유명한 국내 해커 '지안신'으로, 2010년 2월 후난성 TV의 '매일 위상' 프로그램에 로빈 리와 함께 참여했으며, 여자친구가 노래를 불러 이름을 알리게 된 팡 샤오둔이다. 그 이후로 팡샤오둔은 보안 커뮤니티 내 여러 인사들과 힘을 합쳐 Wuyun.com 을 설립했으며, 이를 목표로 '자유롭고 평등한' 취약점 신고 플랫폼이 되겠다는 것을 목표로 하고 있습니다.

바이두 백과사전에서 우윈은 자신을 다음과 같이 설명합니다: 제조업체와 보안 연구자 간에 위치한 보안 문제 피드백 플랫폼으로, 인터넷 보안 연구자들을 위한 공공 복지, 학습, 소통 및 연구를 위한 플랫폼을 제공하며, 동시에 피드백 처리 및 보안 문제에 대한 후속 조치를 담당합니다.

우윈은 공공복지의 제3자 조직으로 이미지를 구축해 백인과 사회의 신뢰를 얻었다. 하지만 검증 결과, Wuyun.com 는 공개 제3자 기관이 아니라 순수한 민간 기업이며, 수익은 취약점 공개 규칙에서 나옵니다.

일반적인 취약점에 대한 Wuyun.com 규칙은 다음과 같습니다:

1. 화이트햇이 취약점을 제출하고 검토를 통과한 후, Wuyun.com 취약점 제목, 관련 공급업체, 취약점 유형, 간략한 설명을 포함한 취약점 요약을 게시합니다

2. 제조업체는 5일 확인 기간을 가지고 있습니다(5일 이내에 확인되지 않으면 무시되지만, 공개되지 않고 직접 2에 입력됩니다);

3. 확인 후 3일 후 보안 파트너에게 공개;

4. 핵심 및 관련 분야 전문가에게 10일 후 공개;

5. 20일 후, 일반 흰 모자에게는 공개됩니다;

6. 40일 후 인턴에게 공개;

7. 90일 후 일반에 공개됨;

일부 보안 서비스 회사가 Wuyun.com 에 일정 비용을 지불하면 고객 모두의 취약점을 미리 볼 수 있으며, 고객의 허락 없이 취약점 정보를 유출하는 것이 합법인지 알고 있습니다. Wuyun.com 가 공개한 취약점 제목들은 전적으로 화이트햇 제출물에서 나온 것으로, 검토나 수정 없이 작성된 것이고, "1,000대 이상의 서버가 다운될 수 있다"거나 "거의 1,000만 명의 사용자 데이터가 유출 위험에 처한다"와 같은 위협적인 제목들이 넘쳐납니다.

저자는 오랜 기간 보안 업계에서 일해온 친구에게서 몇 가지 이야기를 들었습니다:

1. 처음부터 어두운 구름의 존재는 모든 당사자의 안전에 대한 주의를 불러일으키기 위한 것이며, 이는 분명히 중요합니다.

2. 발전 과정에서 내부자의 가치 지향성 불일치에서 비롯된 어두운 구름에 특정한 차이가 있을 수 있습니다; 사진의 이름, 이익, 혹은 명성과 부의 사진이 있을 수 있습니다;

3. 이 의견 차이는 취약성 공개를 한 종류로 만듭니다위장된 강요 (칩), 그리고 심지어 PK들이 서로 함께 콜로세움이 되기도 했다;

4. 2에서 3으로 이어지는 과정에서 해당 산업 당국(감독)은 다소 어두운 구름의 존재를 묵인(지지)했다.

취약점 공개는 더욱 축제와 같다

일반 대중의 마음속에서 신비와 위험은 해킹과 동의어입니다. 하지만 해킹 세계에서 모든 해커는 주로 화이트햇과 블랙햇, 즉 기업에 취약점을 공개하고 악의적으로 악용하지 않는 해커가 화이트햇이고, 블랙햇은 정보를 훔쳐 이익을 얻으며 생계를 유지하는 사람입니다.

"우윈은 취약점 공개에 비밀유지 기간이 있지만, 사실 나는 취약점의 세부 사항을 볼 필요가 없다. 경험 많은 해커라면 취약점 제목과 설명만 읽으면 표적을 맞춰 테스트할 수 있으므로, 대부분의 경우 취약점이 발표되면 가능한 한 빨리 취약점의 세부 정보를 얻는 것이 어렵지 않습니다. Wuyun에서 수십 개의 취약점을 제출한 해커 서클 멤버 Z는 저자에게 "사실, 당신이 보는 것이 우리가 플레이하는 것입니다."라고 말했습니다. ”

크트립의 취약점을 발견한 '피그 맨'은 다크 클라우드에서 가장 높은 순위의 화이트 햇으로, 최대 125개의 취약점이 공개되었다. 3월 22일 저녁, 피그맨은 연속으로 크트립과 관련된 심각한 보안 취약점 두 개를 공개했으며, 이전 기록에서는 텐센트, 알리바바, 넷이즈, 유쿠, 레노버 등 유명 기업들의 취약점을 공개했으며, 진정한 해커이기도 하다. "돼지 인간"이 누구인지에 관해서는 Z가 더 이상 말하고 싶지 않고, 작가에게 돼지 인간이 사실 Wuyun.com 의 내부자였다는 것만 밝혔다.

해커들을 위한 유토피아

"무단 블랙박스 보안 테스트가 불법이기 때문에, 해커들이 웹사이트를 해킹해 정보를 훔치고, 결국 Wuyun.com 에 취약점을 제출하는 한 백인세탁을 당할 수 있다는 것이 대중적이다."

Z는 또한 저자에게 Wuyun.com 의 비공개 포럼을 보여주었는데, 이는 검증된 화이트 햇만 접근할 수 있는 곳입니다. 저자는 이 비밀 포럼에서 흑인 산업, 온라인 수익, 사이버 전쟁 같은 주제에 대한 특별 토론 섹션을 발견했습니다. 2013년 12월 시나 테크놀로지가 발표한 기사 "Revealing Wuyun.com"에서 Wuyun.com "중국 최대 해커 훈련 기지"로 질문받았으며, 아래 그림에서 확인할 수 있습니다:

비슷한 주제들이 포럼에 넘쳐나고, 많은 백인 모자가 착취 기법, 이 허점을 이용해 흑인 산업을 만드는 방법, 그리고 법의 회색 지대를 헤매는 온실처럼 변모했다.

보안 침해가 인터넷 시대에 가장 강력한 홍보 무기가 될까요?

인터넷의 급속한 발전과 함께 국내 암흑 산업 체인도 점점 커지고 있으며, 보안 취약점이 모두의 실제 이익을 위협하고 있습니다.

2014년 2월 17일 알리페이/월바오의 임의 로그인 허점이 드러난 후, 알리바바 PR은 신속히 공격을 감행해 여론을 덮기 위해 500만 위안의 현상금을 받았습니다. 그 이후로 위챗 페이의 보안이 불안정하고 알리페이의 상호 책임에 관한 끝없는 홍보 자료가 이어졌다. 보안이라는 이름으로 인터넷 비즈니스 전쟁의 금지와 반 금지, 흑인 홍보, 반흑인 사건들이 심화되고 있으며, Wuyun.com 이 사건들이 이를 부추기는 데 역할을 했습니다.

Wuyun.com 가 지속적으로 공개한 보안 사고로 인해 전례 없는 사회적 우려가 커지면서, 최근 일부 전문가들은 Wuyun.com 의 취약점 공개 규칙이 합법적인지 의문을 제기하기 시작했습니다. 언론은 Wuyun이 발표한 취약점 제목과 간략한 설명을 근거로 미친 듯이 보도하고 있습니다. 따라서 누군가가 고의로 허위 허점을 공개한다면, 기업에 매우 나쁜 영향을 미칠 수밖에 없는데, 그 책임은 누가 지게 될까요? 보안 취약점이 많고 취약점 공개를 비즈니스 모델로 사용하는 민간 기업이 법의 회색 지대를 밟는 것일까요?

인터넷 워킹 그룹RFC2026 책임 있는 취약점 공개 절차 초안에서 "기자들은 취약점이 진짜인지 확인해야 한다"고 언급하고 있습니다. "하지만 취약점이 Wuyun.com 에서 공개되고 기업이 확인하면, 취약점의 진위와 정확성을 알 수 없습니다. 책임 있는 보안 취약점 공개는 엄격해야 하며, 취약점을 발견한 기술 담당자는 불필요한 공공 공황을 피해야 합니다. 예를 들어 Ctrip 신용카드 출입문과 같은 불필요한 공공 혼란을 피할 수 있습니다. 이는 Wuyun.com 가 자체 필요로 언론 노출과 과장을 원하더라도 말입니다. 또한 유출된 정보가 암호화되었는지, 영향 범위가 무엇인지도 설명해야 하며, 이른바 '헤드라인 파티'가 되어 보안을 명목으로 기업을 인질로 잡는 것이 아닙니다.

보안 취약점 공개는 사용자뿐만 아니라 기업 보안 감독에도 책임이 있지만, 진정으로 책임 있는 취약점 공개를 달성하는 방법은 깊이 고민할 가치가 있습니다.