본문 바로가기

Security Indicator

12.25 1998 X-mas

12.25 1998   -p4ssion@gmail.com zdnet

 

 

2009년의 연말에 뜬금없이 10년도 더 지난 날짜의 크리스마스를 언급한다. 1998 12.25일에는 RFP (Rain Forest Puppy)에 의해 최초로 DB 웹애플리케이션간의 SQL Injection 대한 발표가 이루어 졌다. 해당 발표는 프랙이라는 해커들의 온라인 잡지를 통해 이루어 졌다. 현재의 인터넷 서비스를 곤경에 처하게 하는 SQL Injection 문제는 벌써 11년이나 된 문제인 것이다. 오래된 이 문제는 지금 어떤 모습이고 어떤 영향을 미치고 있을까? 우리는 어디쯤에 있는가?

 

그 당시에는 누구도 지금과 같은 사태를 예견하지 못했었다. 불과 3~4년 전만해도 전문가들은 전문가들 나름대로 관심을 두지 않았고 비전문가들은 전혀 모르는 상태였었다. 단 하나의 권한을 획득하기 위해서는 수없이 많은 시행착오와 쿼리를 던져야만 일정 수준의 결과를 가져 오는 것에 대해 누구도 심각성을 인지하지는 못했다. 중요성이나 심각성이 최초로 드러난 것은 대량으로 자동화된 공격 도구가 출현한 이후이다.

 

단일 웹사이트에 대한 자동화된 공격도구의 출현과 대규모 웹사이트에 대한 Mass sql injection 공격 도구의 출현이 지금의 상황을 만들고 있다. 상황은 점점 어려워 지고 있다.

시기별로 SQL Injection공격의 변화와 흐름은 지난 해에 정리한 글을 참고 하면 된다.

 

최초 출현 이후의 변화는 지난해에 작성한 글을 참고하면 되고 현재의 상황은 어떤 상황인지 살펴 보도록 하자.

IBM X-Force에서 2009 상반기 위협 동향과 리스크에 대해 종합한 보고서가 있다. 해당 리포트에서 요약 부분만을 보면 다음과 같은 동향을 관찰하고 있다.

 

1 .2009년 상반기중 발표된 전체 취약성의 50% 이상이 웹 애플리케이션에 대한 취약성이며 상반기중 발표된 취약성중 절반 가량이 패치가 발표되지 않은 취약성이다.

 

2. 웹사이트의 취약성을 공격하는 비율이 급증하고 있다. 2009 1Q의 공격 비율의 두 배 가량이 2Q에는 관찰이 되었다.

 

3. 일반적으로 사용자들이 안전하다고 생각되는 문서유형에 악성코드를 결합시키는 것이 늘고 있으며 어도비의 PDF 취약성은 최초로 Top 5 취약성 항목에 선정 되었다. MS Office 취약성과 PDF를 이용한 취약성이 일반적으로 사용이 되고 있으며 웹서비스를 통한 악성코드유포, 이메일을 통한 전파가 2009년 상반기 급증 하였다.

 

4. 2009년 상반기 악성코드를 유포하는 URL 링크는 508%로 폭증 하였다.

 

5. 스팸메일은 상반기에 40% 증가 하였다.

 

간단한 요약상으로 보면 웹애플리케이션의 관점으로 본 취약성 및 동향 보고서로 보이지만 실제 상반기 동향을 전체적으로 살펴보고 내린 종합 보고서라는 점에 의미를 두어야 한다.

 

특징적인 점은 웹 애플리케이션에 대한 공격은 시간이 지날수록 줄어 드는 것이 아니라 시기, 사안, 목적에 따라 급증 할 소지를 매우 많이 가지고 있다는 점이다. 얼마 전 있었던 중국 내 공공기관 및 교육기관에 대한 대규모 악성코드 유포 행위는 그 동안 공격자로만 인식 되어 왔던 중국 조차도 심각한 국면임을 생각하게 한다. 총 18여만개의 gov.cn, edu.cn 기관의 웹사이트에서 악성코드가 유포 되는 사례가 발견이 되었다.

 

단 기간에 몇 십만 대의 PC가 아닌 웹서비스에 대한 공격이 성공적으로 이루어 지고 도구로서 활용이 되는 것이 일상적인 인터넷 상황이라는 점이 가장 우려할 만한 점이고 향후에는 더 심각한 국면으로 전환이 될 것이다.

 

내부망에 대한 침입을 하는 도구로서 웹 애플리케이션을 직접 공격하는 행위와 무차별적인 악성코드 유포를 위해 웹 애플리케이션을 공격하는 행위는 동시에 발생 될 것이며 전자는 기업이나 기관의 내부망에 침입하여 자료를 탈취 하거나 금전적인 이득을 얻는 것에 사용이 되고 있으며 후자는 개인 PC의 금전 거래 관련 정보와 온라인 정보를 절취함으로써 이득을 얻는 것이 일상적인 현실이다.

 

국가 기반시설이라고 할 수 있는 기반시설망(전력, 가스, 통신, 교통)에 대해서도 심각성이 높으며 향후 강도 높은 주의가 필요하다는 점은 외부와 연결된 접촉지점을 가질 수 밖에 없기 때문에 경고를 하는 것이다. 앞으로의 위험은 더 크고 치밀한 양상으로 치달을 것은 명확하다.

 

IBM X-Force에서 발표된 자료를 조금 더 살펴보자.

 

 

대량 공격의 일반화에 대해 IBM에서 모니터링이 가능한 사이트들에서 발견된 공격로그들만을 살펴 보면 현황을 알 수 있다. 일단위로 2008년에는 평균 10만에서 20만 정도의 SQL 공격로그들을 관찰 할 수 있었으나 2009 5월에는 최고 70만건의 일별 공격로그가 관찰 되는 것을 볼 수 있다.

 

 

웹 애플리케이션에 대한 공격로그에서 공격기법 별 분류를 한 자료이다. XSS 취약성과 Injection 공격이 사실상 대부분을 차지하고 있다고 볼 수 있다. 그러나 여기에 공격의 파급도를 판단하면 Injection 공격은 사실상 월등히 높은 가중치를 지닐 수 밖에 없다.

물론 위의 데이터 자체는 IBM에서 판매하고 있는 침입탐지 장비에서 탐지된 로그를 기반으로 하고 있을 것이다. 지난 글로벌 보안 위협에 대한 분석에서 언급 하였듯이 전체적인 동향과 흐름을 인지하는 방식으로 참고를 할 수 있을 뿐이다.

 

해외 언론에서 언급하는 ‘New’ 라는 용어에 너무 겁먹을 필요 없다. 공격 방식은 동일하다. 약간의 변형들이 있을 뿐이다. 해외언론에서 언급하는 New SQL Injection 이라는 용어 자체는 단지 새로운 악성코드를 유포하는 링크가 변경 되었다는 점 외에는 없다. 따라서 새로운 유형의 공격은 아니라는 점이다.

 

국내의 모회사에 대한 해킹과 해외의 보안 회사들의 웹 서비스에 대한 해킹을 통해 위험성을 알리는 Unu라는 친구의 공격이 지금 시점에 중요한 것은 아니다. 공명심에 그러한 행동을 하는 것은 뒤에 더 큰 문제를 보이지 않게 만든다. 공개된 공격도구를 이용하여 특정 목표에 대해 꾸준하게 문제점을 찾고 공격 시도를 하는 것은 일반적인 스크립트 키드에 지나지 않는다.

 

정말 중요한 사안은 분 단위로 권한을 획득 당하고 소스코드가 변조되는 웹서비스들이다. 또 웹서비스들을 숙주 삼아 .정체를 전부 파악 하기 어려운 악성코드들이 전 세계를 대상으로 무작위로 유포가 된다는 점이 더 치명적인 사안이다.  오래된 이야기 이지만 준비는 어디에도 없다. 너무 많은 곳들이 당하다 보니 일상적인 상황이 되어 버렸다. 그만큼 치명적인 위험들도 더 가까이에 와 있다.

 

 

필자가 보는 관점은 명확하다.

문제가 될 것임은 이미 예측 되어온 바다. 그러나 어디에도 장기적인 해결책이나 방안을 마련 하려는 곳들은 없다. 이미 한 기업이나 조직에서 해결 하기에는 범위가 너무 커져 버렸다. 시간이 지날수록 점점 더 커져 갈 수 밖에 없을 것이다. 문제의 해결을 위해서는 현실을 직시하고 장기적인 방안을 마련 해야만 한다.

 

사이버 상의 스팸과 광고, 정보거래를 통해 금전적인 이득을 얻던 검은 그룹들은 이제 공개적으로 침입을 하고 권한을 획득하고 내부에 침입하여 노골적인 이득을 취하고 있다. 이러한 행위는 Heartland 대한 침입 7 eleven 대한 침입, 지난해에 있었던 Citibank에 대한 침입들이 모두 해당이 된다. 최근에 있었던 독일 대학생들의 국내 IT기업의 내부 기밀을 해킹한 이후 협박을 웃지 못할 경우도 동일한 사례이다. 국내의 사례는 뭐라 평하기 어려울 정도로 당혹스럽다.

 

독일에서 한국으로 접속해 느린 속도에도 불구하고 750기가나 되는 양을 빼내어 갈 그 많은 시간 동안 무얼 했을까? 문제점들은 찾아서 해결을 했을까? 하는 여러 단상들이 있다.

 

언급한 여러 사건들 중 상당 부분의 침입들이 내부망에 침입하기 위한 통로로서 웹 애플리케이션 공격을 선택 하였고 실제 성공 하였다는 점이다. 앞으로 더 많은 사례들을 볼 수 있을 것이다. 더 치명적이고 더 위험한 사례들은 머지않아 출현 할 수 밖에 없다.

 

11년이나 된 공격의 유효성은 지금에 와서야 대규모 피해를 입고서 인식이 된다. 그러나 해결책은 쉽지 않다. Secure Programming도 어려운 과제이고 보안도구들의 대량 도입도 난관이 많다. 풀어야 할 프로세스들도 산재해 있다. 무엇보다 중요한 것은 기업이나 산업에 보안은 치명적인 요소로 작용 한다는 것을 이해 하는 것이 먼저 일 것이다. 필자가 생각하는 해결방안에 대해서는 근 시일 내에 정리 하도록 하겠다.

 

중요성에 대한 인식은 너무 먼 곳에 있다. 세상이 어수선하다. 보이지 않는 인터넷 세상은 더 큰 좌절이 존재한다. 문제 해결까지는 정말 많은 시간이 소요 될 것이다. 가장 효율적인 도구가 존재 한다 하여도 최소 3~5년 이상은 이 어플리케이션의 문제로 치명적이 될 것이다. 모바일도 예외가 될 수는 없을 것이다. 모든 것은 이어져 있다. 이것이 인터넷이다.

 

사람 사는 세상에도 어둠이 짙듯이 인터넷에도 어둠이 짙다.

다음 컬럼은 연계된 내용으로 기반시설에 대한 (SCADA) 문제를 다룬다.