많지는 않지만, 저번 처럼 해킹에 대한 언급을 하면 그 이후에 몇가지 질문이 들어오는 것이 있습니다. 예를 들면 다음과 같이 데이터 유출에 대한 이야기 입니다.

<질문>
저희 회사가 얼마 전에 웹해킹을 당했습니다. 웹에서 찾다보니 WebKnight를 설치하라고 해서 저희가 어떻게 WebKnight를 설치하려 했지만, 잘 되지 않는군요. 그리고 데이터가 얼마나 유출되었는지 알 수 있을까요?

 위 질문은 두가지 도움을 요청하고 있습니다. 첫번째는 웹해킹을 막기 위해 WebKnight를 설치하려 하는데, 잘 되지 않아서 생기는 문제를 물어보는 것이고, 두번째 사항은 데이터의 유출 부분입니다.

<답변>
 WebKnight의 설치 지원에 대해서는 현재 유료로 지원해드리고 있으며, 관련 내용은 NTFAQ의 공지사항(웹방화벽 유료 설치 지원 서비스 제공, http://www.ntfaq.co.kr/notice/4127)을 참고하여 주십시오.

 그리고 데이터 유출에 대해서는 얼마나 되었는지 정확하게 찾기란 꽤 어려운 일이지만, 아주 불가능하지는 않습니다. 데이터 유출 여부를 찾는건 의외로 쉽습니다. 실제 데이터는 웹서버가 아닌 DB에 있고, 이 DB에 있는 내용을 갖고가기 위해서는 세가지 방법이 있습니다.

1. DB서버의 백업 후 해당 데이터의 전송
2. 일부의 내용만을 text로 빼낸 후 전송
3. DB 파일 자체(.mdf, .ldf)의 복사

 위 세가지 방법 중에서 실제 해킹시 쓰이는 것은 1번의 방법으로 최근에 전체백업된 날짜를 찾으시면 됩니다. 백업 날짜가 이상하다 싶으시면, 최근에 생성된 파일 중에서 크기가 큰 파일을 찾으시면 됩니다.

 다행히 DB의 백업 파일과 웹서버의 소스 전체를 동시에 유출하는 경향은 없습니다. 다만, DB에 접속하는 계정의 ID와 비밀번호가 담긴 파일은 함께 유출될 수 있습니다. 

 이를 조금 더 쉽게 찾으실려면, 웹서버의 네트워크 트래픽이 의심되는 시간에 갑자기 비 정상적으로 높지 않았나를 찾아보시면 됩니다. (때로는 너무 순식간에 일어나는 일이라 잡히지 않을 수도 있습니다) 만약 해킹한 IP를 알고 있다면, 웹서버 로그에 기록되었을 가능성도 있습니다.

 서버를 운영하는 입장에서 해킹을 당했다는 사실과 데이터 유출이 있다는 사실은 모두 공포스러운 사건입니다. 외부에 유출된 데이터가 소중한 것이라면 미리 보안에 신경써서 이런 사건이 발생하지 않도록 신경을 쓰셨어야만 합니다. 한번 유출된 데이터는 이미 조정할 수 있는 수준을 벗어났으며, 어디론가 복제되고 떠돌다가 삭제가 되겠지요.