DB에 관해서라면 XE는 철옹성입니다. SQL injection 공격이 불가능에 가까운 DB 쿼리 방식을 사용하고 있거든요. XSS 관련 취약점은 가끔 패치가 되곤 하지만, DB를 털어갈 수 있는 취약점은 최근에는 거의 본 적이 없어요.

그래도 털린다면 원인은 다른 곳에 있겠죠. FTP 비번을 123456 이렇게 해두고 쓰면 당연히 털립니다. 관리자 비번도 마찬가지고요. 서드파티 모듈이나 애드온이 문제인 경우도 있겠고, 호스팅 업체에서 phpmyadmin을 제때 업데이트하지 않아 털리는 경우도 있습니다. XE가 아무리 보안에 신경써도, 서버 제공업체부터 최종 사용자까지 모든 레벨에서 받쳐주지 않으면 소용없습니다.

백신 만드는 보안전문업체마저 털리는 실정인데, 대부분의 사이트는 마음만 먹으면 어딘가 취약점 하나쯤은 찾을 수 있겠죠. 그러니까 저렇게 대놓고 어느 사이트를 털어주겠다고 약속하는 사람도 있는 거고요...

어제 뽐뿌가 털려서 난리가 났네요.

예전 제로보드를 개조해서 쓰던 사이트라고 하는데... 다행히 XE는 웬만해선 SQL injection으로는 털리지 않습니다만, 위에 쓴 것처럼 다른 부분에 취약점이 있을 수 있으니 항상 주의해야 합니다. 특히 업데이트!! 며칠 전에도 보안패치가 나왔죠? 정 불안하신 분은 쉬운설치 쓰지 말고 안전하게 FTP나 SSH로 접속해서 업데이트하세요.

이번 뽐뿌 해킹사건에서 가장 충격적인 점은 비번까지 고스란히 털려버렸다는 점입니다. XE도 보안이 취약한 MD5 방식을 벗어난 지 얼마 되지 않았기 때문에 안심하기 힘듭니다. 1.8을 신규설치하면 보안이 훨씬 강화된 PBKDF2/SHA256 방식으로 기본 셋팅되지만, 예전 버전에서 업데이트하신 분은 여전히 MD5로 셋팅되어 있을 수 있으니 회원설정 화면에서 꼭 바꿔주시기 바랍니다. (설정을 변경하더라도 앞으로 가입하거나 로그인하거나 비번을 변경하는 회원에게만 적용되니, 장기간 로그인하지 않은 회원이 많은 사이트는 여전히 MD5로 암호화된 비번이 남을 수 있습니다. 이 경우에는 휴면회원을 정리하거나, 한번씩 로그인할 것을 요청해야 합니다.)

보안... 참 어렵죠. 난감합니다.

털려는 놈이 마음 먹고 털면, "절대 안털려요" 라고 말하기 어려워지죠...
* 클리앙이 한번 털려서, 아니 클리앙이 쓰던 광고 서비스 업체가 털려서 클리앙 유저들이 피본 일이 생각나네요...

그러니 개인들이 운영하시려면, 스스로 개발 하시는 것 보다 패치가 자주 이루어지는 오픈소스 쓰시는게 가장 최선이 아닌가 합니다.
(물론 최신 버전으로 꼬박 꼬박 업데이트 하셔야 하구요)