(3)-IT서비스 보호를 위한 제안 , 최종

좀 길어 졌습니다.

쓰다보니 중복되는 내용들도 다수 있지만 그냥 올립니다.

 

언제나 그렇듯이 블로그에 올리는 모든 의견들은 제 개인의 의견입니다. 이점 유념 하여 주셨으면 합니다.  이 긴글을 읽어낼 인내심이 당신과 함께 하기를..

 

--

대응

변화를 보라. 변화를 볼 수 없고 느끼지 못하면 도태만이 있을 뿐이다.

 

 

작금의 변화는 언제부터였을까? 지금과 같은 상황은 언제 예견 되었을까? . 전략과 시대를 통찰하는 시각의 부족은 고대부터 항상 있어왔고 지금에도 마찬가지이다. 빠르게 변화하는 세상과 문화의 흐름을 예측하기는 어렵다. 더욱이 지금과 같은 직접교류와 인간과 인간과의 관계가 급속도로 가깝게 연결 되는 시대에는 더 어려울 수 밖에 없다. 현상도 이러할진대 현상에서 촉발되는 많은 문제들 중 IT서비스에 대한 문제와 Security라는 측면에서는 더 큰 어려움이 존재 할 수 밖에 없다.

<?xml:namespace prefix = o /> 

변화를 보려 하고 준비한자는 어디에 있을까?

 

이제 변화의 흐름을 쫓아보자.

작금의 Security 환경의 가장 큰 위협은 전 세계적인 이슈라고 할 수 있다. 세계적인 보안 이슈는 지금까지 Botnet , Phishing 으로 인한 대규모적인 악성 시스템 그룹의 운영과 사기에 초점이 맞춰져 있었다. 거기에 최근 2~3년 사이에 악성코드가 결합한 형태가 나타나서 새로운 흐름이 만들어 지고 있다. 전 세계적인 이슈는 세계 평균적인 서비스의 발전에 따라 나타난다. IT서비스의 발전이란 접점의 확대 ( 이른바 다양한 UCC를 통해 사용자와 교류하고 소통하는 Web 2.0 의 현상이라 할 수도 있다.)와 IT 인프라의 발전과 발맞추어 나아간다고 할 수 있다. 인프라의 밀집과 고가용성 상태로 보면 세계 최고 수준을 유지하고 있는 한국으로서는 선도적인 서비스 문화들이 많이 발생 하였고 이를 통해 온라인 게임이나 사용자와 교류하는 Web 2.0 모델의 할아버지 격이 될 수 있는 서비스들이 다수 출현되어 현재도 활발하게 서비스 중인 상황이다.

 

세계의 발전도 인프라의 고가용성으로 나아가며 사용자와의 교류가 높아지는 서비스가 주류를 이루어 가고 있다. 점차 Security에 대한 위협도 세계적인 이슈가 될 수 밖에 없다.

 

한국에 최초 출현한 위협들은 악성코드에 대한 위협과 Web Application에 대한 직접 공격을 들 수가 있고 이 위협들은 여전히 현재 진행형이다. 2005년에 최초 출현한 위협들은 이후 확대되어 세계적으로 퍼지고 있는 상황이나 한국만큼 악성코드의 유포 및 활용성이 높은 곳은 아직 미비하다. 향후 몇 년간 전 세계 IT 서비스 부분에 대해 명확한 이슈로 등장할 것이며 그 근본에는 대표적으로 중국이 등장 할 것이다.

 

왜 이런 예상을 하는지 잠시 최근의 근거를 살펴보자. 드러난 것은 전체의 1/10도 되지 않는다는 점에 염두를 두고 살펴 보면 된다.

 

http://blog.naver.com/p4ssion/50002005359  2006년 2월에 작성한 글에서 향후 위험성에 대해서 의견 피력을 했고 지금은 1년이 휠씬 더 지난 상황이다.

 

처음 중국으로부터의 해킹 분석을 한 것이 2002년 이였고 이후에도 간헐적으로 의견 제시를 했었지만 지난해 초에는 세계적인 이슈가 될 것이라는 전망을 하였었다.

 

현재는 커뮤니티 문화 및 인터넷 문화가 확산되어 금전 거래 및 문화로도 연결이 된 우리 나라에 대해서만 피해가 크게 보이지만 인터넷 문화의 확산에 따라 유비쿼터스 환경의 빠른 확대에 따라 세계 각국으로도 중국의 공격은 유효하게 발생이 될 것입니다.  – 본문중

 

본문중에서 발췌한 내용이며 해당 내용의 유효성이 얼마나 실현 되었는지 2007년 9월 이후에 언론에 나타난 흔적들을 통해 한번 되새겨 보자.

 

http://news.naver.com/main/read.nhn?mid=etc&sid1=104&mode=LPOD&oid=001&aid=0001799299  ( 중국내에서도 심각한 문제가 되고 있음을 볼 수 있습니다. )   http://www.donga.com/fbin/output?n=200709210153 ( 해킹 동향에 대한 일반론) http://news.naver.com/news/read.php?mode=LSD&office_id=001&article_id=0001752161&section_id=102&menu_id=102 (뉴질랜드 정부기관 해킹 관련 보도) http://weekly.hankooki.com/lpage/business/200709/wk2007091012524537060.htm  (펜타곤 및 미 정부망 해킹 관련 보도) http://news.mk.co.kr/news_forward.php?no=481939&year=2007 (프랑스 총리실 해킹) http://news.naver.com/news/read.php?mode=LSD&office_id=003&article_id=0000553689&section_id=104&menu_id=104  (미,독,영국 해킹 관련 보도) http://www.ytn.co.kr/_ln/0104_200709051801337415

 

간략하게 2007년 9월 이후 기사화 된 것만을 추려도 위의 항목과 같이 나타나고 있다. 대부분 피해 사실을 숨기고 공개적으로 언급하기를 극도로 꺼려 하는 점을 감안하면 각국 정부의 반응은 예상을 넘어선다. 이 것은 예상을 넘어선 피해가 존재 한다는 의미와 동일하다 할 수 있다.. 가장 처음의 링크를 주의 깊게 볼 필요가 있다. 현재 발생되는 사이버 테러의 가장 큰 피해자는 중국 스스로이며 정보를 가장 많이 얻기도 하지만 가장 많은 공격의 대상이 되기도 한다. 그러나 기질상 금전과 과도한 국수주의 기질로 무장한 공격자들에게 대외적인 이슈가 발생 한다면 국가적인 혹은 산업적인 적대 대상에 대해 집중적인 공격이 발생 할 수 있다. ( 국가망에 대한 공격은 Zeroday Attack이 주로 이용되며 MS Office 계열의 문서를 활용한 백도어류가 주류를 이루고 있다. 백도어의 행위가 매우 지능적이고 찾기가 어려움에 따라 향후 강도 높은 주의가 필요한 부분이다.)

 

Security의 패러다임은 계속 변화하고 있다. 장기간의 변화 방향을 짚기는 어려워도 1~2년 정도의 변화는 누구나 손쉽게 짚어 낼 수 있다. 지금까지의 패러다임을 주관적으로 한번 보면 다음과 같다.

 

모두 2000년 이후의 변화만 기술한 내용이다. 그 이전의 변화는 지금의 흐름과 관계가 없으므로 언급할 필요가 없고 network 단위의 웜의 최초 출현과 그 이후의 변화를 주로 살펴 보면 된다.  Worm이 발생 부분은 전 세계적으로 동일하게 발생 하였고 이후의 Botnet으로의 진화와 변화도 세계적인 흐름이지만 이후의 Web을 통한 Pc의 공격은 중국에서 단연 주도하고 있는 상황이다.  물론 그 이전에 Application에 대한 Attack 흐름은 나타났으나 실제 피해를 입히는 영향도로 보아서는 Web서비스를 통한 악성코드 유포 이슈가 단연 높다고 할 수 있다.

 

Worm 발생 이전에는 격리의 단계에서 이후에는 보호단계로 진입하고 지금에 이르러서는 불특정 다수의 PC환경 까지도 보호해야만 되는 그런 상황으로 나아간다. Web을 통한 전파 가능성만큼 확실하고 대규모적인 악성코드 설치가 가능한 환경도 존재하지 않는다. 따라서 향후에도 Web을 통한 악성코드 전파 및 유포 행위는 전 세계적으로 이슈가 될 것이며 단지 한국의 상황은 조금 빨리 부딪힌 것뿐이다. 위기 상황은 기회를 만들기도 한다. 그러나 정작 국내의 보안산업은 위기 상황에서 어떤 고민들을 했나? 창조적인 준비, 역동성, 열정 이 모든 것들이 결합되지 못하였고 근 미래조차 예상 하지 못하는 근시안적인 판단으로 지금까지 버텨왔다고 보는 것이 필자만의 개인적인 생각일까?.

 

최초 서비스는 많으나 최초의 창의적인 제품들이나 보안 서비스들은 어디에 있을까? 이처럼 독특한 위협들을 몸으로 겪으면서 보안이라는 산업 자체는 최소한 한국 내에서는 위기를 맞게 되었을 것이다. 현업의 서비스 담당자들 보다 떨어지는 실무경험으로 무엇을 가이드 할 수 있단 말인가?  더 이상 정보의 가치는 없다. 누구나 접근 가능하고 취득이 가능한 정보는 그 가치를 잃고 만다. 경험으로 체득한 지혜만이 혜안을 밝힐 수 있으나 그 경험을 누적 시키지 못하고 인재를 양성하지 못한 대가는 향후의 방향성을 가름하게 될 것이다. 세계적인 IT 회사들이 왜 보안에 집중을 하는지 또 끊임없이 인력 확보를 위해 노력하는 지에 대해서 진지한 성찰과 고민이 필요한 시점이다.  단일화된 시장이 될 수 밖에 없는 Global IT 서비스에서 지역적으로 성장 할 수 있는 기회는 더 이상 존재하지 않을 것이다. 위협은 Global로 다가오는데 눈을 뜨지 않은 자가 어찌 대응 할 수 있을 것인가? 단지 생명 연장을 조금 더 오래할 뿐이며 그 명운은 이미 판가름이 났다고 할 수 있다.

 

개인적으로 위와 같은 예상에 대해 뼈아프게 생각 하지만 이미 오래 전부터 실무에서 부딪히며 의견을 제시하고 방향성을 제시한 적이 있으나 들으려 한 곳은 없다. 지금이라도 좀 더 큰 방향성을 보고 와신상담 하기만을 바랄 뿐이다.

 

 

잡설이 길었다. 다시 최종적인 IT 서비스를 위한 보호 제안에 접근해 보자.

 

현재의 IT서비스가 지닌 위험을 정리하면 큰 목차는 다음과 같이 정리가 된다.

 

1.       웹서비스를 통한 악성코드 유포

2.       악성코드를 이용한 DDos 공격 ( IDC , ISP , 대규모 Service Provider 등 모든 부분 영향)

3.       Zeroday 위험 ( 신규 백도어를 이용한 정보 절취 및 기간 서비스 위험)

A.       기간 서비스 부분은 http://blog.naver.com/p4ssion/50001878886 Article의 Scada & DCS 시스템의 위험요소를 참고

B.       신규 백도어를 통한 리모트 컨트롤 및 정보 절취는 국가전략적인 차원에서도 매우 중요한 위험요소라 할 수 있다.

4.       Botnet ( IRC Botnet과는 차별화된 HTTP를 이용한 Malware net이 향후 위험요소가 될 것이고 이번 아이템 거래 업체에 대한 DDos 유형도 Malware net이 사용 되었다고 할 수 있다.)

5.       웹서비스 자체의 취약성 ( 1,2 항의 근본 요인으로 지목한다.)

 

다섯 가지 정도로 큰 위험성을 잡을 수 있으며 이중 1,2,5 항에 대해서는 시급한 대응 방안이 고려되어야만 한다.  Zeroday 위험은 계속 존재 하는 문제이며 1,2,5 항에 대해서는 보다 더 적극적인 대책이 진행 되지 않는다면 IT서비스 차원이나 국가 전략 차원에서 문제가 될 사안들이 지금 보다 더욱 많아 질 것이다.

 

주된 항목에 대해 하나하나 짚어 보면 다음과 같다.

 

< 웹서비스를 통한 악성코드 유포>

 

위의 이미지는 웹서비스를 통한 악성코드 유포에서 문제 부분을 정리한 내용이다. 각 표시부분별로 대책 부분을 정리한다.

 

1.      웹서비스 사이트

 -> 웹 서비스 사이트 부분은 대부분의 웹서비스가 URL 인자에 대한 validation check를 하지 않음으로써 발생하는 문제이며 대부분 SQL Injection을 이용한 권한 획득이나 XSS 취약성을 이용한 악성코드 유포로 사용이 되고 있는 점을 들 수 있다. 이 부분에 대한 대책을 위해서는 웹 서비스 URL 전체에 대한 인자들의 유효성 체크를 하여야만 하며 우선 대규모 사이트 혹은 방문자 규모가 일정 규모 이상인 사이트를 대상으로 집중적으로 이루어 져야만 할 것이다. 그래야 웹을 통한 대규모 사용자에게 악성코드 유포를 근본적으로 줄일 수 있다.

 

기본적으로 공격자들은 자동화된 툴을 이용하는 것이 일반적이며 일부 공격자가 직접 조작을 하여야만 하는 취약성들은 서비스 자체적으로 보안 강화를 하는 것 외에는 없다.

악성코드의 유포를 위해서는 소스코드를 변조 하거나 게시물에 악성코드를 첨부 혹은 실행 스크립트 형태로 올려두는 것이 대부분이므로 권한 관리 및 외부에서 직접 권한 획득이 가능한 부분을 확인 하여 차단 하여야만 한다.

현재 한국 내에서 문제가 지속 되고 있는 부분은 Web URL 인자를 필터링 하지 않아 발생하는 SQL Injection 부분이 심각하며 해당 문제의 상세한 내용은 여기를 참고 한다.

http://blog.naver.com/p4ssion/40017941957

http://blog.naver.com/p4ssion/40015866029

부족하지만 위의 Article을 참조 하면 되며 이외에 여러 공개 발표된 문서들이 있으므로 참고 하면 충분한 이해가 될 것으로 판단된다.

 

큰 방향성에서는 전체 웹 서비스에 대한 validation check를 검증 할 수 있는 솔루션이나 제품을 도입 하여 안정성을 강화 하여야 하나 현존하는 모든 웹 Application 보안제품들이 나름대로 한계를 지니고 있어서 대용량 서비스 및 여러 URL을 빠르게 진단하는데 문제를 지니고 있다. 이 부분은 향후 적극 개선이 필요하며 필수적인 부분만을 빠르게 진단하는 경량의 고속 스캐너류를 통해 근본적인 해결을 하는 것이 필요하다.

 

더불어 장기적으로는 프로그래밍 서적이나 개발시의 참고 사항에 보안과 관련된 validation check 부분을 강조함으로써 향후 개발 되는 Application에 대한 안정성을 반드시 확보 하여야만 할 것이다.

 

2.      개인 사용자 PC

-> 개인 사용자 PC 환경에 대해서는 현재의 제한된 유료 사용자만이 영향을 받는 백신 부분으로는 절대적이 한계를 지닐 수 밖에 없다. 웹이라는 매개체를 통해 불특정 다수에게 대량의 악성코드가 유포되는 상황에서 IT서비스 차원에서는 궁극적인 해결책을 모색할 수 밖에 없으며 해외의 온라인 서비스 업체들이 왜 지금에 와서 보안 서비스를 무상으로 제공하는지 염두에 두는 것이 바람직하다.

 

한국은 2005년부터 위기가 시작 되었음에도 불구하고 별다른 움직임 없이 모든 피해를 당할 수 밖에 없었으나 2006년부터는 세계적인 서비스 업체들에도 다양한 문제들이 발견이 되고 있어서 적극적인 대책을 강구 할 수 밖에 없는 부분이다.

아래의 reference를 간략히 참고 하고 더 많은 실례들이 존재함을 알아야 할 것이다. IT서비스 기업의 특정 서비스를 노리고 있는 웜들이 급증 추세에 있는데 IT서비스 기업으로서 취할 수 있는 대응 방안은 무엇이 있을까? 서비스를 사용하는 모든 사용자들에게 피해가 가지 않도록 하는 방안은 무엇일까?. 결론적으로 서비스를 보호하기 위해서는 빠른 업데이트 및 서비스에 대해 특화된 대응이 가능한 보안서비스를 선택 할 수 밖에 없다.  보안 서비스는 이제 IT 서비스의 생존을 위한 필수적인 요소가 되었지만 아직 국내에는 갈 길이 멀었다. 가장 큰 피해를 입었고 현재도 입고 있음에도 불구하고 아직 갈 길이 너무나도 멀다.

 

서비스 전체 사용자 및 산업적인 차원에서 대규모 보안성 강화 노력이 절실히 필요하며 대응 방안은 이미 글속에 있으나 개인이 제안 할 수 있는 범위는 아니라 판단되며 향후 주된 이슈가 될 부분이라 보고 있다. 국가적 차원의 IT서비스 경쟁력 강화에 필수적인 부분이 될 것이며 최종 결론 부분에 다시 정리 하고자 한다.

 

Ref:

http://namb.la/popular/tech.html -> myspace application worm에 대한 설명

http://news.softpedia.com/news/The-First-Yahoo-Messenger-Worm-That-Installs-Its-Own-Browser-24366.shtml  -> yahoo 메신저 웜

http://www.crime-research.org/news/20.09.2006/2250/ -> AOL IM worm

 

 

3.      Secure한 전송

 

Secure한 전송은 지난 편의 글에서 제시한 BHO 부분과 연동이 된다. 지금까지는 키보드에서 발생하는 하드웨어 이벤트를 가로채는 키로거등이 주로 사용이 되었으나 해킹툴 차단 및 보안 서비스 사용자가 늘어남에 따라 공격자들 ( 주로 중국 ^^)의 공격 유형이 변경 되었다. 현재 변경된 방식은 BHO 방식을 이용하여 키보드 암호화가 풀리고 SSL 등을 이용한 네트워크 암호화 단계 직전의 Browser가 지니고 있는 값을 유출 시키는 유형으로서 기술적인 대안은 백신과 암호화를 유지하는 것 외에는 없다고 할 수 있다. 여러 번 언급 하였지만 신규 악성코드를 만드는 것은 매우 쉬우며 빠르다. 그리고 대응은 더디다. 유출된 정보는 이미 정보로서의 가치를 상실하고 사용자의 개인정보를 통한 추가 침입에 이용될 뿐이다. 따라서 가장 근본적인 대안으로 End To End 단 까지 이어지는 암호화를 연결 시키는 것이 필요하며 가장 완전하게는 키보드 보안에서 암호화 된 것이 직접 서비스 서버로 전달이 되고 해당 서비스 서버에서 복호화가 되는 유형을 진행이 되어야 해결이 된다. 최소한 Browser 단위에서 평문으로 전환되고 SSL로 전송되는 문제는 피해야만 한다. 평문 전환 시점을 노리는 악성코드는 지금도 날마다 만들어진다.

 

SSL ( Secure Socket Layer)은 전송 단계에서의 보호를 의미하나 스니핑이나 중간 네트워크 트래픽을 가로채어 정보를 절취하는 유형은 거의 찾아보기 어려운 형국이다. 따라서 새로운 패러다임에 맞게 보호 수준을 높일 필요가 있고 세계적인 흐름과 동일하게 하향 평준화 되어서는 안될 것이다. 아직도 SSL 만으로 보안이 다 된다고 생각 하는 곳은 인터넷 서비스로 말하자면 석기시대 사고 방식이라 할 수 있을 것이다.

 

 

이상으로 웹서비스를 통해 유포되는 악성코드의 흐름과 이에 대한 대책을 간략히 설명 하였다. 그럼 이번에는 올해 하반기에 새로 등장한 Hybrid DDos 관련된 이슈에 대해서도 알아보자.

 

<DDos 공격과 관련된 이슈>

각 문제 지점에 대해서는 붉은색 원으로 별도 표시가 되어 있다. 여기에서 1,2번 항목은 앞서의 악성코드 유포 이슈와 동일한 부분이다.  틀린 점은 3,4번 항목이 되며 3번 항목은 과도한 트래픽이 몰리는 것을 의미하고 4번 항목은 중간 명령 전달 서버가 된다. 설명이 필요한 부분과 대책이 필요한 부분은 3,4번 항목이다.

 

3. 과도한 트래픽의 집중

       -> 특정 서비스 대역으로 과다한 트래픽이 정형화된 패턴이 없이 집중 될 때 IDC나 서비스 제공자 입장에서 대응 할 수 있는 부분은 그리 많지 않다. 단 시간내에 집중 되는 경우에는 장비의 증설 및 트래픽 우회로 커버가 가능하나 지속적으로 증가하는 유형에 대해서는 마땅한 해결책이 없다. 전체 서비스 구역을 보호하기 위해서 대상이 되고 있는 서비스를 서비스 항목에서 제외 ( DNS 리스트에서 삭제 ^^) 하는 것 외에는 특별한 대안이 없다고 본다.

대응을 하기 위해서는 긴밀한 협력이 필요하며 협력은 개인 PC 단위의 보호를 진행하는 백신 업체등과 연계가 필요하다. IT 서비스 프로바이더 입장에서는 근본 원인 추적을 위해 정형화된 패턴 방향을 찾을 필요성이 있으며 지속적인 유형에 대해 정보 제공이 이루어져야만 한다. 또한 일시적인 시점에 급격하게 늘어나는 DNS 쿼리등을 주시할 필요성이 있다. ( 이 부분에 대한 모니터링을 피하기 위해 명령 전달을 위한 경유지 서버를 사용한 것으로 추정됨) Botnet 등의 탐지를 위해서도 특정 IRC 서버나 채널 혹은 서버군으로 다수의 쿼리가 몰릴 경우에는 일시적으로 주의 수준을 높이는 것이 필요하며 방향성을 예의 주시 하여야 한다. 기존의 botnet 등과 연계된 탐지에는 효율이 있을 것으로 판단되며 이번에 새로 발견된 유형에 대해서는 제한적인 효과를 지닐 수 있을 것으로 보인다.

 

정보의 폐쇄적인 활용은 피해를 더 크게 만들 뿐이므로 유관기관과의 긴밀한 협력을 통해 공격 대상 IP 및 공격 서비스, 주요 패턴 등에 대해서 상시적인 교류가 필요하다. 경우에 따라서는 공격을 진행하는 클라이언트 파악도 필요할 것으로 예상이 된다.

 

장기적으로는 트래픽에 대한 비정상 증가 치 혹은 비정상 패턴을 탐지하는 유형을 목록화 하여 수시로 업데이트 함으로써 위험요소의 사전 판별에 도움이 될 수 있을 것으로 판단 된다. 이유 없는 트래픽 증가는 없으며 비정상 패턴의 증가도 있을 수가 없다.

 

4.      경유지 명령 전달 서버

-> 경유지 서버에 대한 판별에는 어려움이 있다. 이 부분은 실제 개인 PC를 찾아낸 이후 하나하나 단계를 밟아서 경유지 서버를 찾아내는 것이 필요하며 방대한 시간이 걸릴 수 있을 것이다. 그러나 이미 기존에 유포된 악성코드들에 대한 흔적을 찾아 냄으로써 일괄적이고 대규모적인 제거 작업이 일시에 이루어 진다면 경유지 서버에 대한 의미를 줄일 수 있다고 본다.

 

 

전체적으로 사안을 정리한다는 것은 쉽지 않으며 지금과 같은 대규모 이슈에 대해 다양한 부분에 대해 대안을 개인이 생각 한다는 것도 어려움이 있다. 다소 틀린 부분과 잘못된 오류 부분에 대해서는 개인 의견이므로 너그러운 양해를 당부 드린다.

 

세계 모든 국가들이 피해를 입고 있다. 정보를 탈취하여 돈을 획득 할 수 있다면 무엇이든지 할 수 있는 공격자들은 얼마든지 있다. 또한 그들은 스스로간에 정보를 공유하고 공격 가능성을 논의한다. 이에 반해 보안업체 혹은 IT 서비스 업체들은 어떤지를 돌아봐야 한다.

Cyber Terror 혹은 정보 절취를 통한 첩보거래와 실 거래가 동반이 되는 IT서비스에 대한 공격을 통한 금전적인 이득의 취득, 사용자를 유인하여 금전을 취득하는 Phishing등 모든 문제가 연계되어 있다.

 

전 세계 모든 IT 서비스 및 국가가 향후 방향성에 대해서 심도 있는 논의를 해야만 하고 자체적인 준비를 해야만 한다. 국내 IT서비스의 지속적인 발전과 국가 보호를 위한 미래 전략 차원에서 준비를 해야만 될 것이다. 앞으로 IT서비스는 보다 더 생활에 밀접해 질 것이고 생활 상의 모든 것들이 연계 되는 상황에서 우리는 지켜야 할 대상에 대해서 명확하게 지켜야 될 것이다. 그럼 정리하자.

 

< 단계별 대책>

 

각 위험요소로 지적한 부분에 대해 단계별 대책은 무엇이 있을지 확인해 보자. 큰 목차로는 3가지 정도가 있을 수 있으며 3번째 대책에는 몇 가지 소 부류가 있을 수 있다.

 

1. 웹 서비스 보안성 강화

앞으로의 웹은 어떨까? 하는 고민을 먼저 해보자. 사용을 안 하게 될 것인지 아니면 더 밀접하게 사용을 하게 될 것인지.. 웹 2.0이 버블이든 아니든 중요한 것은 사용자와 더 밀접해졌다는 것이 중요하지 않을까 생각 된다.

 

단기- URL 인자별 validation check solution의 개발 및 보급 확대

장기- Secure programming에 대한 awareness 확대 – 서적, 홍보 및 활용이 가능한 템플릿의 제작으로 장기적인 안정성을 강조

 

웹 서비스의 보안성 강화는 근래 2005년부터 서비스 부분의 화두로 대두되고 있다. 세계적으로 국내 서비스 부분에서 최초(아마도) 발견되고 공식 피해가 확인된 케이스 라고 할 수 있다.

웹서비스의 보안성 강화를 위해서는 지속적이고도 연속성이 보장되는 프로세스가 존재 하여야 하며 이 부분을 해결 하기 위해서는 전문 보안업체나 Security관련 유관기관의 노력이 필요한 부분이다.

더불어 전체적으로 Secure coding에 대한 awareness를 강조함으로써 근본적인 문제 해결을 장기적으로 유도 하여야만 할 것이다. 현재 상황에서의 문제는 URL 인자별 validation check가 가능한 scanner가 몇 종 되지 않으며 그나마 존재하는 솔루션들도 대용량이나 대규모의 사이트에는 부족한 부분이 있다. 다수의 사이트를 일시에 진단하기에도 속도 및 성능 면에서 문제가 있어서 대략 110만여 개 이상으로 추정되는 한국내의 웹서비스들에 대해 일괄적인 대응이나 진단을 수행 하기에는 무리가 있을 것으로 예상된다. 따라서 단계별 진단 및 보안강화 노력이 이루어 져야 될 것으로 보인다.

 

공격자들의 대상이 방문자가 많거나 연관도가 높은 웹서비스를 목표로 하고 있으므로 우선순위를 정해 일정 규모 이상에 대해서는 기준을 만족하는지 점검 하거나 혹은 내부적인 노력을 하고 있는지 정도는 검토 되어야 할 것이다.

 

악성코드의 유포 행위를 모니터링 하는 것도 바람직 하나 근본문제의 수정을 할 수 있도록 원천적인 가이드를 진행 하는 것이 더욱 중요하므로 근본적인 소스 수정이 이루어 질 수 있도록 노력 해야 할 것이다.  Validation 검증을 위한 도구 개발이 현재로서는 절실하다고 할 수 있으며 단기적으로 최선의 노력을 기울여야 될 것으로 판단된다.

 

2. 개인 PC 단위의 보호

 

개인 PC 단위의 보호 관점에 대해서는 명확하게 한 가지를 지적하고자 한다. 악성코드의 전파수단으로 불특정 다수에게 유포 될 수 밖에 없는 웹 서비스가 이용이 되고 있다. 이처럼 불특정 다수에게 무차별적으로 유포가 되는 악성코드에 대한 처리는 체계화 되고 전역적인 대응이 필요하다.

 

지금과 같은 제한된 사용자에게만 제공되는 서비스로는 현재의 위험성을 절대로 막을 수 없으며 정보에 대한 공유 및 위험에 대한 상호 정보 교류가 없이는 향후에도 매우 힘들 것으로 보인다.

 

앞서 IT 서비스 기업들이 서비스를 보호하기 위해 보안서비스를 도입 할 수 밖에 없는 이유에 대해서 간략히 설명을 하였고 향후에도 지속 확대 될 수 밖에 없는 부분이다. PC를 보호하는 AV 업체들은 발상의 전환을 할 필요가 있을 것이다. 전문적인 부분에 대한 대응만을 특화 시키거나 특정 기능의 악성코드 ( MS Office계열의 Zeroday 취약성을 이용한 백도어)의 실행을 근본적으로 막을 수 있는 제품들로 시선을 돌릴 필요가 있다.

 

현재의 악성코드는 시스템을 못쓰게 만드는 바이러스가 아니며 정보 유출과 조정을 위한 도구로서 이용이 되고 있다. 따라서 정보 유출을 막기 위한 부분이 주가 되어야지 시스템을 복원하는 부분이 주가 되어서는 안될 것으로 본다. 물론 복원 하고 치료하는 부분도 반드시 존재 하여야 하는 부분이나 관점을 달리 생각 할 필요가 있다.

 

결론적으로 폭넓은 악성코드 유포 행위에 대한 대응을 하기 위해서는 광범위하고도 체계적인 대응 플랜이 있어야만 한다. 해외의 무료백신을 이용할 수도 있고 아니면 국내의 백신들을 저렴하게 이용하는 방안들도 있을 수 있을 것이다. 개인이 언급하기에는 부적절한 부분들이 있으나 대책은 반드시 광범위한 사용자에게 즉시 영향을 미칠 수 있을 만큼의 파급력이 존재해야 함에는 변함이 없다.

 

공격은 다방면으로 대상을 가리지 않고 발생을 하는데 보호를 하는 대상자는 유료 대상자만 보호하고 그것도 정보 유출 이후에 분석을 통해 보호를 한다는 것은 현재의 위험 상황에 부합하지 않는다.

보안산업의 생존을 이야기 한다. 그러나 서비스가 사라지는데 무슨 보안이 존재 할 수 있을까? 서비스의 생존이 존재해야만 보안이 존재한다. 패러다임의 전환기에 변화를 외면한 보안 서비스들이 IT서비스의 생존에 오히려 장애물이 되어서는 안될 것이다. 지금은 일부 그런 모습으로 비춰지는 부분이 있다. 사용자를 볼모로 잡는 것이 아닌 IT서비스의 생존을 볼모로 잡고 있는 형국이며 종래에는 모든 비난을 받게 될 수도 있을 것이다. 현명한 방향성이 빠른 시일 내에 Security 부분에서 도출이 되어야 할 것이며 그렇지 않을 경우에는 사면초가의 상황에 직면 할 수도 있을 것이다.

 

 

3. DDos 징후 판별 및 Alert 체계

 

DDos 관련된 부분은 모든 대책이 집약 되어야 하는 종합적인 부분이다. 이전까지의 DDos와는 다른 유포 방식부터 경유지 서버의 활용, Hybrid DDos 패턴등 특이하고 특징적인 사안들이 다수 발견이 되는 경우이다.  실제 공격 유형은 올해 초 혹은 지난해부터 이루어 졌을 것으로 보이나 드러나지 않게 소규모 혹은 신고가 어려운 업종에 대해 Ransom 형 공격을 시도 하여 금전적인 이득을 취하였고 지난 9월에는 대규모 사이트에 대해서 집중적인 공격을 시도하여 3주 가량 서비스를 중지 시킨 경우가 발견된다.

 

만약 대규모로 공격을 시도하지 않았다면 대응도 없었을 것이고 또한 이런 대응 방안을 고민 하지도 않았을 것이다. 이제 유형이 드러난 이상 대비책은 준비하여야만 할 것이다. 대비책이 없다면 IT 서비스 전 부분이 영향성을 받을 수 밖에 없을 것이다. 시기는 오래 걸리지 않을 것이다.

 

DDos 징후 판별의 최초 지점은 IDC혹은 Server Farm이 가장 최초 인지가 가능한 지점이 될 수 있다. 그러므로 초기적인 대응이 상당히 중요하다. 특별히 과다한 트래픽을 막을 수 있는 DDos 솔루션의 경우에도 제한적인 효과만을 볼 수 있으며 만약 도입을 한다 하여도 서비스들에 영향을 미칠 수도 있을 것이다.  장비나 설정등을 이용한 DDos 대응 방안은 일정 수준 이하라면 충분한 고려가 될 수 있으나 지금의 공격 트래픽은 장비가 감당할 임계치를 넘는 수준이라서 장비 및 설정을 이용한 대응은 한계에 도달했다고 판단된다.

 

대응은 구조적이고 체계적인 대응 외에는 방안이 없을 것이다. 본문 중에 언급 하였지만 IDC 간의 실시간 위험 정보 교류, 과다 트래픽 발생 지점의 확인, 공격 트래픽의 특징 확인 , 내부 IDC Server에서 외부로 급격하게 증가하는 트래픽의 발견  등등 .. 비정상행위에 대해 모니터링이 가능해야 하며 모니터링 도중 이상 증세 발견 시에는 IDC간의 업무 협조 혹은 분석 및 대응이 가능한 기관과의 빠른 공조를 통해 사전에 위험성을 제거 해야만 한다.

 

이후 악성코드에 의한 영향인지를 판단하고 악성코드의 위험도를 판정한다. 그 이후 악성코드에 대한 업데이트를 대규모 사용자 집단이 존재하는 보안서비스 혹은 국내 백신업계에 업데이트를 요청하여 일괄적으로 차단 할 수 있도록 한다. 

 

더 중요한 것은 전체적으로 해당 패턴으로 감지가 되어 차단된 케이스가 얼마나 되는지 조사를 하여 ( 통계치만 제공되면 되는 수준.) 전체적인 위험 수준을 관리 할 수도 있고 급증한 시기에는 새로운 취약성이 나타났거나 공격 유형이 발생 하여 대비를 해야 한다는 국가나 산업단위의 위험지표를 나타내고 Active한 예방과 대응 활동을 할 수 있다.

 

DDos에 대한 대응과 악성코드에 대한 대응은 현재 본질적으로 동일한 지점에 위치해 있다. 근본적인 원인 제거(Web service application)가 우선 되어야 하며 이후에는 악성코드에 대한 일괄적인 삭제 및 대응이 되어야 (거의 전국민을 대상? ) 피해 규모를 줄 일 수 있고 예방이 가능하다고 본다. 초기 탐지를 위해서는 IDC나 서버군 혹은 네트워크 장비에서의 변화들에 대해서도 일정 기준 이상일 경우에는 반드시 확인을 하여야 하고 사안에 따라서는 유관기관들과 협력하여 분석을 하여야만 할 것이다.  특정 IP나 주소로의 과다한 집중과 Dns 쿼리의 급증과 같은 주요 지표를 나타낼 수 있는 이벤트들에 대해서는 일정수준의 임계치를 주고 강력하게 검토를 한다면 좀 더 빠른 사전 인지가 가능할 것이다. 

 

 

 

전체의 관점

 

 

사전인지 ( 현재로서는 IDC나 Infra 부분) -> 분석 -> 대응 (악성코드 제거? )

 

사전인지 : 개인 PC에서 사전인지를 한다는 것은 기대하기 어렵다. 다만 IDC내의 서비스나 ISP의 장비 부분에서 특정 동향을 체크하고 검토해야 한다. 일정 트래픽 이상이 발생하는 부분에 대해서도 alert은 가능해야 될 것으로 보인다.

 

분석: 유관기관 혹은 전문가 집단에서 시행을 하는 것이 바람직하며 상시적으로 IDC & ISP와의 정보 교류가 있어야 하며 악성코드에 대한 분석 과 대응 부분에 대해서도 판단이 가능할 정도의 지식을 지녀야 한다. 관련 지식을 통해 ISP& IDC에서 제공된 정보를 분석하고 추적하여 전체적인 위험도까지를 판정 할 수 있어야 한다.

 

대응: 대규모로 유포된 악성코드를 제거하기 위해서는 전역적인 보호 수단이 강구 되어야 하며 악성코드의 유포 방식과 유사하게 거의 무차별적(?)으로 배포가 되는 보호 수단이라야 대응이 될 수 있다. 개인 성향에 따라 다른 문제이나 본인이 보기에는 이 방안 이외에는 대응할 수단이 이제는 없다고 본다. IDC나 ISP 단위에서 통제를 할 수 있는 범위는 이제는 아니기 때문에 더욱 그러하다.

분석 단계에서 전달이 되는 악성코드 및 위험도에 따라 과감하고 일괄적인 대응을 통해 분석 완료 이후 1~3일 이내에 전체적인 대응이 완료 될 수 있도록 한다.

 

 

단계별로 진행이 되고 최종적으로 대응이 완료 된다면 지금과 앞으로 몇 년간이 될지 모를 근 미래에 발생되는 위협들에 대해서 Active한 대응체제를 완비 하는 계기가 될 수 있다. 아직 전 세계 어디도 해볼 엄두를 낼 수 없는 일이나 현재 상태에서는 최초가 될 가능성이 가장 높다.  앞으로 시간이 지날수록 경쟁력이라는 측면은 좀 더 다르게 보아야 될 때가 올 것이다. 전체적인 위험요소를 얼마나 빨리 제거하고 체계적으로 대응을 하느냐에 따라 세계적인 위험요소로부터 빠르게 회복하고 보호 할 수 있는 유일한 방안이다.

앞으로 점점 더 인터넷이나 네트워크와 연결이 더 복잡해 지고 생활과 밀접한 관계를 맺을 것은 분명하며 거부 할 수 없는 흐름이다.  경쟁력은 무엇인가 고민이 필요하다. 제품을 만드는 것만이 경쟁력은 아니며 이제는 지키는 것도 또 체계화 하는 것도 경쟁력이다.

 

만약 이런 대규모적인 대응이 가능한 체제가 이루어 진다면 보안 서비스 업체 및 ISP 그리고 IT 서비스 업체 모두에게 새로운 기회가 될 수 있고 사업 모델 혹은 비즈니스 모델이 새로 탄생 할 수 있을 것이다.  이제 공격자들과 공격기법에 대응을 하기 위해서는 체계적이고 유기적이며 거대한 대응 체제의 필요성을 고민 해야 할 때다.

 

 

지금 사막의 어디쯤을 걷고 있는지 별을 바라봐야 하지 않을까?