분석(9) iphone , cyber war and application attack flow

바다란입니다.

 

8월이 다 가고 있습니다. 시간은 흐르고 issue도 변화하고 있습니다. 그러나 올해 초에 예상 했던 근본 취지에서는 아직 벗어나지 않고 있습니다. 주요 이슈는 무엇이고 지금에 발생 하고 있는 세계적인 이슈들과 어떤 관계가 있을까요?

 

 

 

올해 초에 Web 2.0 관련된 보안 이슈들을 전망하고 향후 예측을 한 큰 주제는 네 가지 입니다. 한 가지 더 세계적인 추세(?)라고도 볼 수 있는데 정보 유출의 수단으로 Office 계열의  문서에 Zeroday 공격코드를 심은 사회공학적인 해킹의 증가도 추가 할 수 있겠습니다. 물론 Application에 대한 공격 증가로 포함 시킬 수 있는 범주이지만..~ 

 

1. Application에 대한 공격 증가

2. Ubiquitous Attack

3. 특정 서비스에에 대한 공격

4. Various platform attack

 

위의 네 가지 이슈를 향후에도 지속될 위협이라고 전망 하였습니다. 가장 큰 이슈는 Application에 대한 공격의 일반화 라고 할 수 있습니다. 다양한 플랫폼을 공격하는 유형도 Application이 그 중심에 있기에 가능한 것입니다. 또한 Application은 특정 서비스에 종속 되는 형태이고 유/무선을 가리지 않고 발생 하므로 Ubiquitous Attack이 됩니다.

 

크게 Application Attack과 관련하여 나타난 큰 흐름은 IE에 대한 공격 ( 사용자 정보 유출을 위한 트로이 목마기능 - BHO 사용),Zeroday 악성코드가 포함된 MS Office Attack, Opera에 대한 공격( Apple)을 들 수 있습니다. Opera의 경우에는 유무선 장비에서 사용이 되도록 되어 있어서 iPhone은 물론 Mac까지도 관통하는 Application이라 할 수 있습니다. Virus의 경우에도 Application의 취약성을 이용한 바이러스도 증가를 하고 있습니다. 무차별적인 유포를 위한 바이러스가 아닌 특정 대상에만 한정된 특화된 Zeroday attack을 시도하고 있습니다.

 

 

##########1*

<source kaspersky lab>

 

그렇다면 최근 기사화된 내용을 보면서 살펴볼까요?

 

http://www.etnews.co.kr/news/sokbo_detail.html?id=200708240054

 

몬스터 닷컴의 개인정보가 유출 되었다는 기사입니다. 기사에는 자세히 나오지 않았지만 사후 대응의 한계를 느낄 수 있는 기사입니다. 여기에 나오는 트로이 목마 바이러스 유형은 알려진 바이러스 유형이 아닐 것입니다. 추측성 기사로 임원의 로그인 정보를 알아내어서 내부를 유출 하였다고 하나 전체적인 측면으로 보면 몬스터 닷컴의 해킹 가능성 및 BHO (Browser Helper Object) 와 같은 유형의 IE Plugin 형식으로 메모리 상의 키입력 값을 가로챘을 가능성이 높습니다. 또 한가지 가능성은 Office 계열의 문서에 악성코드( 대부분 Zeroday)를 넣어서 특정 대상자들에게만 받도록 하고 원격에서 컨트롤 하도록 하였을 수도 있습니다.  이 경우에는 몬스터 닷컴의 운영진들이 단체 메일을 받았을 가능성이 높습니다.

 

 

http://news.kbs.co.kr/article/world/200708/20070826/1414392.html

 

독일의 주요 정부부처의 PC에서 악성코드가 발견 되었다는 내용입니다. 물론 초기 발견도 매우 어려웠을 것으로 예상 됩니다. 최근의 악성코드는 운영체제와 하드코어한 형태의 결합이 이루어 지는 형태라서 발견 하기가 매우 어렵습니다. 국가간에 이루어지는 집중적인 첩보전이 이제는 일반적으로 사이버 상에서 이루어 집니다. 모든 문서및 정보들은 파일 형태 혹은 data의 형태로 컴퓨터에 보관 되고 있어서 더욱 집중적인 공격의 대상이 됩니다. 물론 전자정부 비율이 매우 높은 대한민국의 경우에도 상상하기 힘들 정도의 위협에 시달리고 있다고 보는 것이 정답일 것입니다. 이 경우에도 zeroday 악성코드 (Office 계열 - Word ,ppt , excel )를  통한 특정 대상자 침입과 확산이 이루어 졌을 것으로 보입니다. 기사화가 될 정도라면 매우 많은 수의 위험 시그널이 있었다는 것이죠. 물론 이면에 보이지 않는 침입과 사실은 엄연히 많을 것입니다. 드러나는 것은 거대 빙산의 아주 조그마한 꼭지 정도일뿐.

 

 

해외의 경우에도 SSL을 이용한 전송 단계의 암호화는 신경을 씁니다만.. 하드웨어 인터럽트와 BHO 영역의 보호에는 미비한 것이 사실입니다. 또한 백신의 경우에도 발견된 단계에서 처리를 할 수 밖에 없음에 따라 알려진 유형 이외에는 처리가 안됩니다. Heuristic method (경험적인 위험요소 진단)의 경우에도 오진 발생 가능성 및 신규 유형에는 무기력한 면이 있습니다. 머지 않아 해외에서도 키입력의 보호와 사용자의 정보 유출 방지를 위해 다른 방안들이 많이 출현하겠죠. ( 생체인식과 같은 부분이 아마 활발한 것도 유사한 위험인식 때문일 것 같습니다.)

 

그리고 특정 대상에게만 현혹할 만한 문구의 Office 문서를 전달 할 경우의 성공률은 매우 높은데 이런 경우에 대한 처리는 공개적으로 발생하는 상황이 아니며 제한적으로 발견 되는 상황이여서 백신을 통한 대응은 상당히 어려운 측면에 들어 갈 수 밖에 없습니다. 샘플 수집이 안되는 한 AV 벤더에서의 처리는 불가능한 상황입니다.

 

 

http://www.etnews.co.kr/news/sokbo_detail.html?id=200708270151

 

iphone에 대한 해킹도 현재 세계적으로 이슈화가 되고 있는데 이 부분은 code reversing과 관련된 내용이라 할 수 있습니다. iphone을 구동하는 OS 및 Application에 대해 다양한 보호조치가 취해졌을 것이나 이 보호 단계를 깨고 리버싱을 한 이후 코드를 조작하는 기법들을 통해 특정 기능의 변경이 이루어 지도록 한 것이죠. 여기에서는 AT&T의 통신망 과 제한적으로 연결 되도록 한 부분을 다른 통신망과도 연결이 되도록 구조를 바꾼 것이라 할 수 있습니다. 조금 더 보면 일단 AT&T와 제한을 하는 부분을 깨고 그 이후에 인증 및 다른 여러가지 요소를 받아야만 가동되도록 하는 부분을 무력화 시켰을 것으로 보입니다. 일정 수준 이상의 능력자들에게 시간만 주어진다면 가능한 일이라 할 수 있습니다. Application에 대한 분석과 공격은 계속 됩니다. 그리고 플랫폼을 넘나드는 공격은 Application을 통해 손쉽게 이루어 질 것입니다.

 

8월에 발생된 주요한 World wide issue는 이 정도 선에서 정리가 될 수 있을 것 같습니다. Application에 대한 Attack이 치밀해 졌고 Zeroday 악성코드를 이용한 사회공학적 (Fake)인 해킹이 국가단위에 까지도 영향을 미치는 정보전으로 격상이 되었으며 세계적인 이슈가 되고 있는 상황입니다. 서비스 부분에 미치는 영향은 말할 것도 없구요. ^^;  물론 앞으로도 지속 됩니다. 계속

 

앞서 말씀 드린 4가지 주요 이슈는 앞으로도 지속될 것입니다. Application에 대한 공격은 향후 더 치밀해 지고 더 적극적으로 나타날 것이고 종래에는 전체 IT 서비스의 방향성을 조금씩 바꿔 나갈 수도 있을 것 입니다. 조금 더 강해지고 조금 더 악랄해 지고...

 

대안은?.. 글쎄요.

꾸준한 노력과 신경질적이라고도 할 수 있는 체계의 구축과 모니터링, 집요함, 인내, 노련한 전문가  정도로 축약이 됩니다만. 정리 하고픈 생각이 든다면 전체적인 방안을 정리해 보도록 하겠습니다.

 

좋은 삶 되십시요.

 

- p4ssionable security explorer 바다란