본문 바로가기

Security Indicator/Insight

(2) 상상하기 어려운 위협- digital pest

 

왜 상상하기 어려운 위협인가? - Digital pest!

  - 바다란

   * 1편은   http://p4ssion.com/110여기를 참고 하세요.

 

왜 상상하기 어려운 위협인가? 상상하기 어려운 위협이라는 의미는 개별적인 서비스에 대한 공격에서 이제는 전역적인 대규모 서비스 공격으로 확산되고 있기 때문에 그러합니다. 더군다나 문제점들이 단기간에 개선될 가능성은 전혀 없으므로 앞으로도 전역적인 공격이 계속 될 것입니다. 상상하기 어려운 위협. 위협의 실현. 그리고 확산

 

그 동안 Web Application에 대한 공격은 지속적으로 되어 왔습니다. 그러나 최근에 발견된 공격 유형은 산발적인 공격이 아닌 대규모적인 공격을 의미합니다. 대규모적인 공격에 사용된 도구도 유추가 가능합니다.

아래 이미지 참고 하세요.

 

<ref : Attack structure 0804- made by p4ssion>

 

위의 이미지는 지난 몇 년 동안 공격 유형을 추적하면서 갱신한 공격의 흐름도 입니다. 여기에 새로 추가가 된 부분이 0번에 해당하는 내용입니다. 이제는 개별적인 Famous web service를 공격하는 것이 아니라 무작위적인 Target search 이후 공격이 이루어집니다. 공격 시에는 Google이나 기타 검색엔진을 통해 기본자료 추출 (특정 코드로 개발 ASP , 특정 DB 사용 MSSQL)을 통해 공격하는 기초적인 루틴이라 볼 수 있습니다. 무작위적인 Target search에는 전세계 모든 도메인에 대한 자료를 기반으로 공격을 하는 것도 예상 할 수 있습니다. 피해의 규모가 그 동안에는 특정 서비스에 방문하는 유저로 한정 되었다면 이제는 전 세계적인 확산 범위를 갖추고 있다고 보아야 됩니다.

 

공격대상: 전 세계의 Web service를 공격하여 악성코드를 확산

공격목표: 전 세계의 개인 Client PC에 대한 권한 획득 및 중요정보 탈취

 

위와 같은 전제에 가장 충실한 필요충분 조건이 완료 되었다고 볼 수 있습니다. 그 결과가 이번에 나타난 것이며 실제적으로는 조금 더 오래 되었다고 판단 합니다. 악성코드의 발전 방향에 있어서 보안이라는 부분은 전역적으로 이루어 지지 못하고 있습니다. 특정 국가에만 한정하여서도 전역적으로 이루어 지기 어려운 것이 현실이지만 이미 공격자는 전 세계의 영역을 범위에 두고 있습니다.

 

새로운 공격코드의 출현과 새로운 zeroday exploit의 출현은 피해를 기하급수적으로 늘릴 것입니다. 지금까지와 같은 몇 만대, 몇 십 만대의 규모가 아닌 몇 천만대를 기본으로 가지게 될 것입니다.

 

전 세계의 IT 산업 자체가 위험에 빠지게 된 것이라 할 수 있습니다. 특히 글로벌 서비스를 진행하는 금융 및 IT 서비스 업체에게는 직접적인 공격 대상이 될 수 있으며 위험성이 부가가 될 것입니다. 이 의미는 금전적인 관련이나 직접 거래가 발생 할 수 있는 모든 전자 상거래 부분에 있어서 중대한 위협의 출현과 동일합니다.

 

공격자의 예상대로의 시나리오를 대략적으로 유추하면 다음과 같습니다.

 

공격시나리오:

 

1.       신규 Zeroday exploit을 발견 혹은 구매 ( MS 운영체제가 가장 효율적이므로 MS 계열에 집중할 것이 당연함)

2.       Malware에 키보드 후킹 및 중요 사이트에 대한 접근 시 정보 탈취 코드 탑재

A.       S.korea 에서 발견된 DDos 가능한 Agent의 탑재 가능

B.       A항과 동일한 기능이지만 대규모 Botnet의 구성 가능

3.       Malware를 유포할 숙주 도메인에 코드 추가

A.       Malware를 유포하는 링크 도메인으로서 08.4월에 발견된 경우 처럼 1.htm ,1.js등의 코드로 특정 사이트 해킹 이후 해당 파일의 추가를 할 것임

B.       국가에 따라 수십에서 수백여 개의 링크 도메인을 확보 할 것임

4.       대규모 도메인 스캔도구를 활용 주요 도메인에 대한 악성코드 유포루틴 Add

A.       검색엔진 활용 또는 자체 보유한 도메인 리스트를 활용하여 순차적으로 공격을 시행

B.       공격 시 취약성이 발견되면  자동적으로 DB권한 획득 및 획득한 DB의 권한을 이용하여 웹 소스코드의 변조 시행

C.       현재 발견된 코드는 DB 테이블의 내용에 악성코드를 추가하는 루틴 이였으나 조금 더 코드가 갱신되면 충분히 웹페이지 소스코드에 교묘하게 위장하는 것이 가능함

5.       대규모로 유포된 악성코드를 활용한 금전적인 이득 취득

A.       특정 사이트에 대한 대규모 DDos 공격 현재 상태의 malware 유포 규모라면 대응 불가

B.       특정 온라인 게임 ( 세계적인 게임- Wow? ) 및 금융 관련 사이트에 대한 키보드 입력 후킹 ( 사용자의 정보 유출 )

                                     i.              온라인 게임 및 온라인 증권사에 대한 위험성이 높음 . 부수적인 인증 수단을 가지고 있는 경우 ( ex : otp , secure card )를 제외하고는 모든 대상에 대한 위험성 존재

 

* 4번 항목에서 발견된 악성코드 유포를 위한 웹사이트 변조가 08.4월에 발견된 카운트만 전 세계적으로 50만개의 개별 웹서비스(일부 중복 결과라 하여도 예상 결과는 변하지 않음)에 해당됩니다. 악성코드 유포 규모는 최소 천만 단위를 상회할 것으로 추정되며 Zeroday exploit에 따라 그 규모는 몇 십배로 늘거나 백만 단위 규모로 확대 될 것으로 예상됩니다.

 

위와 같이 시나리오가 예상됩니다. DB에 들어 있는 개인정보는 이미 우리 것이 아니죠. 한국뿐 아니라 전 세계 모든 내용이 마찬가지 입니다.

 

왜 상상하지 못할 위협인지 아무도 인지를 못하고 있습니다. 세계 어느 누구도 또 어떤 회사도 심각성에 대해서 그다지 인지를 못하고 있는 것으로 보입니다. 두렵습니다. 이젠 해결책도 제안 할 수 있는 범위를 넘어서 버렸습니다. 한국 내에서 발생하는 이슈들에 대해서도 몇 년 전부터 해결책을 직접 제안하고 다각도로 방안을 제시 했었는데 그 범주와 동일한 해결 방안들이 전 세계적으로 제안이 되어야만 가능한 상황이 되어 버렸습니다.

 

얼치기 Security product들만 또 근본 문제 해결 없는 땜빵 들만 전 세계적으로 출몰하게 생겼습니다. 안타까운 일입니다.

 

 

제품으로 해결될 부분은 없습니다. 단지 현 상태를 잠시 피할 수만 있을 뿐입니다. 근본적인 문제를 수정하지 않는 한 문제는 계속 될 수 밖에 없습니다. 근본 문제를 수정 한다는 것은 전 세계적인 Web Application 취약성 부분에 대해 수정이 되는 것을 의미합니다. 과연 가능할까요?

 

2005년에도 국가 전체적인 대응 방안을 제시한 적이 있습니다. 그 내용은 지금도 여전히 유효하며 지금부터 전 세계적인 영향력을 가집니다.

지금의 상황은 전체 Web Application의 위기이며 또한 IT산업 (장치산업 제외)의 위기입니다. 전 세계 거의 모든 Web application 개발 관련 서적에서 URL 인자에 대한 필터링을 강조하는 서적은 없습니다. 최근에 나온 Security 관련 개발서적 외에는 찾을 수가 없습니다. 이 문제는 앞으로도 계속됨을 의미합니다. 문제는 MS 관련 제품뿐 아니라 모든 Web 개발언어에도 동일하게 적용됩니다. 기대효과 측면에서 MS 제품에 대한 코드가 먼저 실현 된 것 뿐입니다.

 

문제의 근본원인은 SQL Injection XSS 취약성과 같은 Web application 소스의 필터링 부족 문제입니다. SQL Injection DB로 전달되는 인자에 대한 필터링 부족이 문제이며 XSS는 사용자 입력에 대한 특수문자 혹은 실행가능 스크립트에 대한 필터링 부족이 문제입니다. 모든 문제가 필터링에서 비롯되고 있습니다. 이후의 공격에 대한 차단은 별개 문제입니다. 중환자의 근본 원인을 제거하지 않고 부수적으로 나타나는 현상에만 집착을 하고 있습니다. 속에서는 암이 퍼지고 있는데 열이 난다고 밴드를 머리에 붙인 형국입니다. 이제 그 암은 전체에 영향을 미치는 범주로 확대 되었습니다. 밴드를 붙이고 해열제를 놓는다고 해결될 문제가 아닙니다. 근본 체질을 변경하고 지속적이고 꾸준한 노력만이 개선을 할 수 있습니다.  Pest는 이미 확산된 상황입니다. ( 여기서의 pest는 해충이 아닌 흑사병입니다. 치명적이므로..)

 

 

해결방안은 간단하면서도 어렵습니다.

 

1. Web application에 대한 취약성의 제거 제거를 위해서는 정확한 진단이 필요합니다. 현재 상용화된 Web app scanner로는 감당이 어렵습니다. Web security product에 대한 내용은 차후에 별도로 설명 합니다.  또한 제품의 가격도 만만치 않으며 지속적인 문제의 발견과 갱신이 어렵습니다. 한마디로 현재 상태로는 국소적인 혹은 여력 있는 기업들에서나 일부 주기적인 대응이 가능하나 문제는 계속 될 것으로 보입니다.

 

 - Web security 관련 scanner 제품이 효율성을 지니려면 다음과 같은 질문에 해답을 지니고 있어야 됩니다.

URL 수백 개 이상 혹은 그 이상의 도메인 리스트에 대해 짧은 시일 내에 효율적인 진단이 가능한 스캐너가 존재합니까?

대규모 연결구조를 가지는 도메인에 대한 효율적인 진단이 가능합니까?

웹 서비스의 개발속도는 빠르며  유지보수 횟수는 매우 많습니다. 매번 마다 효율적인 진단이 가능합니까?

웹서비스의 개발 비용 및 유지보수 비용 보다 낮은 비용으로 진단이 가능합니까?

수정 해야 될 코드 부분과 문제 발생 부분을 정확하게 직시 합니까?

 

여기에서 효율적인 진단이라는 의미는 최소한 공격도구보다 빠른 시간 내에  문제점을 찾아내는 것을 의미합니다. 도메인 하나당 최대한 1일을 경과 하여서는 효율성은 없다고 봐야 할 것입니다.

 

2. Malware 유포에 대응하기 위한 신속한 협의체 구성 주로 전 세계 백신 업체들

각 회사간의 이해관계로 어려움이 있을 것입니다. 그러나 전 세계를 대상으로 일관성을 가지고 유포되는 악성코드에 대한 대응에는 글로벌 보안 협의체가 필요하며 빠른 정보교환으로 사후 발생 문제를 최소화 하여야 합니다.

 

백신업체들 간에 대응책을 구비하려면 다음과 같은 질문이 필요합니다.

문제의 발생은 전역적으로 발생하고 있습니다만 해결책은 최초 발견 백신 범주에서만 제공 되고 있지 않습니까?

새로운 zeroday 유형의 백도어를 얼마나 발견하고 있습니까? ( system , web )

Heuristic method의 효율성은 얼마나 될까요? (오탐비율은 얼마나 줄었습니까? )

타 백신 개발사들과의 샘플 교환 및 정보 교류는 얼마나 활발 합니까?

 

3. 서비스 단위의 정보 유출의 방지를 위한 노력 키보드 후킹등에 의해 사이트 로그인 정보들이 노출 되지 않도록 End to End 단위의 암호화 전송 수준을 전체적으로 높여야만 합니다.  이 부분은 개별 기업들에서 진행을 하여야 하며 상당 수준의 노력이 필요하여 향후 어려움이 계속 될 부분입니다. 더불어 서구권역에서는 매우 힘들 것으로 보입니다.

 

키보드 입력부터 BHO (IE Plugin) -> 전송단계까지의 크게 3단계에 이르는 보안성을 완전하게 한 서비스 기업은 전 세계에 얼마나 될까요?

 

각 단위에 대한 해결책의 상세한 내용이나 전개는 이미 여러 해 전에 기술해 둔 바 있습니다. http://p4ssion.com 에 올려둔 최근 발표자료를 참고 하시면 됩니다.

(IT 서비스의 현재 위험과 대응에 대하여- http://p4ssion.com/199  첨부파일 참고)

 

 

세계적이며 전역적이고 포괄적인 대응책이 이루어 져야만 문제를 점차 줄여가고 해결 할 수 있습니다. ( 지구방위대라 불리는 상상의 기관이라도 동원 해야 가능할까요? )

 

저만 느끼는 공포였으면 했는데 이제는 눈 앞에 정체가 드러났네요. 어떤 식으로 풀어 갈 수 있을지 혼돈의 세상입니다.