룰즈섹(LulzSec)이 대수인가?

 “룰즈섹(Lulz Sec)이 대수인가?” -zdnet

 

미 상원과 CIA, FBI를 해킹하고 PBS 방송국을 공개적으로 해킹하여 전 세계적인 이슈를 불러 왔던 룰즈섹이 50일간의 활동을 접고 해체한다고 한다. 세계적인 관심을 불러 일으켰던 해킹그룹은 여러 측면에서 현재 인터넷의 위험한 상황을 잘 전달 했다고도 볼 수 있다. 그렇다면 세계 여러 언론들이 언급한대로 룰즈섹은 특별한 기술을 가지고 있고 전 세계 어디든 마음대로 공격이 가능한 집단일까? 또 최고의 멤버로 구성이 되어 있어서 세계적인 화제가 되었을까?

 

의문을 가져야 한다.

 

진짜 위급한 상황에 처했을 경우 나타날 수 있는 공격자들도 룰즈섹 정도 일까? 결론적으로 룰즈섹 부류의 공격자들은 지금 이 순간에도 전 세계적인 활동을 하고 있으며 너무나도 일반적이라는 것이다. 진짜는 따로 있다. 이번 컬럼에서는 그 리얼한 모습의 일부분을 제시 하고자 한다.

 

글로벌 하며 대담하고 체계적인 구성을 갖춘 수준높은 조직들과 언제든지 맞설 수 밖에 없는 상황에서 과연 우리는 어떤 준비가 되어 있는가? 상대의 수준도 모른다면 농협과 같은 혼란상황은 불을 보듯 뻔하다. 먼저 컬럼의 제목대로 룰즈섹의 공격기법과 행위에 대해서 살펴보고 진짜 공격자들의 수준을 가늠할 수 있는 일면을 엿보도록 하자.

 

 

룰즈섹 해킹 사례 정리

 

5월 7일 – 미국 오디션 프로그램 참가자 정보 공개

5월 10일 - 폭스방송 홈페이지 가입자 정보공개

5월 23일 - 소니뮤직(일본) 해킹

5월 30일 – PBS 방송국 홈페이지 변조

6월 2일 – 소니 픽쳐스 정보공개

6월 3일 – 미 FBI 산하의 인프라가드 정보탈취

6월 3일 – 일본 닌텐도 서비스 공격 및 정보 획득

6월 13일 – 미국 상원 홈페이지 정보 획득 및 공개

6월 15일 – Tango Down – 미 CIA 홈페이지 접속차단

 

5월부터 6월까지 50일 가까운 활동기간동안 언론에 언급된 주요한 팩트들만 9건 이상이 언급이 되고 있다. 물론 더 많은 사례가 있지만 큰 이슈들만 나열 하였다. 정말 특별한 기술을 가진 그룹이기에 세계적인 관심을 끌었을까?

 

공격과 정보탈취는 이미 인터넷 상에서 일상적으로 일어나는 활동이고 지금도 매우 심각한 상태로 발생 되고 있으며 수없이 많은 서비스들이 권한을 탈취 당한다. 단지 룰즈섹의 경우는 SNS를 이용한 이슈화에 성공 하였을 뿐이며 특별하지는 않다. 9건 가량의 주요 공격을 살펴보면 대부분 웹서비스에 대한 직접 공격 ( SQL Injection이 대부분)과 DDos ( CIA에 대한 공격) 외에 특별한 기술을 발견하기는 어렵다.  이 두가지 기술 모두 현재 일상적으로 발생 되고 있는 공격에 지나지 않는다. 웹서비스에 대한 취약성을 타이트하게 관리하는 CIA의 경우에는 DDoS 공격 정도로 이슈화를 시켰으며 그외의 공격들은 웹서비스의 코딩은 수시로 변경되고 적용이 되고 있어서 엄격한 관리가 어려운점을 이용하여 웹서비스를 공격하여 권한을 획득하고 데이터베이스의 정보를 획득한 것이라 볼 수 있다.

( SQL Injection을 이용한 공격기법의 변화는 여기를 참고 - http://p4ssion.com/207 )

 

n  난이도 있는 공격?

 

일상적인 수준의 공격이지만 왜 막기가 어려운 것일까? DDoS의 경우는 대량의 좀비 PC를 이용한 트래픽을 발생 시킬 경우 홈페이지 서비스는 차단 될수 밖에 없다. 상징적인 의미이지 실질적인 정보의 유출은 없는 경우라 할 수 있다. 단 에스토니아처럼 모든 것이 IT화된 국가의 경우 행정업무가 마비되는 것은 큰 문제라고 할 수 있을 것이다.

 

그렇다면 SQL Injection은 왜 막기가 어려울까? 이미 문제점에 대해서는 최초 알려진것이 10년도 휠씬 이전이다. 그때와 지금의 다른점은 자동화된 도구가 많아졌고 매우 정교해 졌다는 점뿐일 것이다. 그럼에도 불구하고 막기가 어려운 것은 변화무쌍한 웹페이지 코드의 변화때문이기도 하다. 잦은 개발과 수정이 일상적으로 일어나는 웹서비스의 경우 보안적인 안정상태를 유지한다는 것이 매우 힘들다. 다양한 보안도구들이 있으나 모두 한계를 지니고 있으며 결정적으로 개발기간보다 길게 소요되는 문제 해결기간과 우회가 가능한 패턴매칭의 한계가 있기 때문에 소스코드 보안이든 웹보안 장비를 이용한 차단이든 문제가 될수 밖에 없는 것이다.

 

국내에서 발생된 여러 정보탈취 사건사고들도 별반 다르지 않다. 모두가 정문만을 바라보고 있고 철통같은 경계를 취한다. 그러나 웹서비스가 위치한 지역은 성으로 볼수 있다. 원형의 성에는 외부와 연결되는 여러지점들을 가지고 있으며 이 지점들에는 항상 다른 곳과 연결 될 수 있는 통로가 있다. 즉 어느 곳 한 곳이라도 뚫리게 된다면 내부의 은폐된 정보에 이르는 길은 다 똑같다는 점이다.  모든 웹서비스의 수준을 일정수준이상 유지한다는 것은 매우 어려운 과제가 될수 밖에 없고 공격자들은 이미 전체 노출 범위에 대해 상시적인 공격도구를 보유하고 활발하게 활용하고 있어서 계속적인 위험에 노출되는 것이다.

 

룰즈섹의 경우에도 정보탈취의 경우는 대부분 웹서비스의 인자값들이 완벽하게 필터링 될 수 없다는 점을 이용하여 성공한 사례일 뿐이다. 이미 오래전 부터 겪어왔던 일의 한 부분일뿐이며 지금 이 순간에도 발생되는 사례일 뿐이다. 룰즈섹의 뛰어난점은 허세와 광고에 능했을 뿐.. 진짜 위기의 순간에 맞닥뜨릴 대상들은 지금도 조용히 웃고 있을 뿐이다.

 

n  진짜 우리의 상대는?

 

이제 숨어 있고 잘 알려져 있지 않은 조금 더 수준 높은 자들의 형태를 살펴보자. 공격자들의 역량은 위급상황에 언제든지 태세를 전환하여 큰 피해를 입힐 수 있다는 점을 우리는 농협사태에서 충분히 느낄수 있다. 이면을 살펴 보도록 하자. 먼저 지금까지 공개된바 없는 데이터를 제시한다.

 

< 공격자들이 인위적으로 웹서비스에 추가한 악성코드 다운로드 경로 및 발견일시>

 

올해초 부터 국내 사이트를 통해 대규모로 사용자에게 악성코드를 유포하는데 이용된 경유지들의일부이다. 특히 파일공유 사이트 및 주요 서비스들의 웹서비스 소스를 수정하여 인위적인 외부경로를 추가함으로써 웹서비스 방문자에게 악성코드를 설치하도록 하는데 이용된 주소들이며 최근의 어도비의 플래쉬 플레이어 업데이트가 잦은 이유도 바로 이 주소들로 부터 사용자들에게 설치되는 악성코드들이 거의 제로데이에 해당되는 수준으로 사용자 PC 대부분에 (맥 제외) 설치된 어도비  플래쉬 플레이어를 공격했기 때문이기도 하다.

< 공격 및 감염에 대한 개요도>

최근 공격자들의 공격 방식을 보면 국내의 경우 개별 사이트의 해킹을 통한 정보유출은 사실상 종료 되었다고 봐야 한다. 물론 여전히 발생되고 있고 중요정보를 얻기 위한 수단으로 이용이 되고 있으나 현재는 더 큰 범위로 진화를 했다고 보아야 할 것이다. 개별 사이트가 아닌 동시에 수십여개 이상의 웹서비스에 동일한 악성코드 서버링크를 추가하고 모든 방문자들에게 악성코드 감염을 시도한다. 현재 공격코드의 특성(플래쉬 플레이어 공격)으로 보면 개인 PC에 대한 권한 획득 비율은 50% 이상은 넘을 것으로 예상이 된다. 파일공유 사이트 및 언론사, 커뮤니티 사이트등 수십여개의 주요 사이트들에 대해 공격코드를 가지고 있는 주소를 웹소스에 추가함으로써 자연스럽게 좀비 PC를 확산 시키고 있다.

 

현재까지 공격자들의 목적은 오로지 금전적인 이득이다. 규모와 전략적 차원에서도 비교하기 어려운데 더군다나 국제적이기까지 하다. 악성코드를 뿌리기 위한 수단으로는 국내의 주요 웹서비스를 이용하고 유포하는 주소는 미국의 ISP를 휩쓸다시피한다. 올해 초 부터 관찰되는 데이터에서도 공격자들의 강력함은 여실히 느낄 수 있다. 현재 미국은 정체파악도 못한 상태로 보인다.

 

사용자들에게 악성코드를 뿌리기 위한 수단 : 파일공유, 언론, 커뮤니티외 다수 웹서비스

웹서비스 소스에 추가하는 악성코드 다운로드경로: 해외 ISP 및 국내의 취약한 웹서비스

 

단 하루만에 수십에서 수백여개의 웹서비스를 통해 몇십만대의 PC의 권한을 획득 하고 있는 이들이야 말로 진짜 상대가 아닐까? 해외 ISP를 통채로 이용하는 이들에 비하면 룰즈섹은 피래미가 아닐까? 어쩌면 이것도 빙산의 일각일 수 있다. 우리가 위급한 상황에 처했을때 진정으로 상대해야 할 자들중 일부가 지금은 잠시 돈벌이를 할 뿐이 아닐까? 전 세계는 지금 이들의 정체 조차도 잘 모르고 있는 상황이다. 앞으로 “위기의 인터넷”은 더 심각한 국면에 직면 할 것이다. 당신이 어디를 방문하든 그들은 지켜보고 있다. 농협사태의 단초가 이들로 부터 시작 했음을 잊지 마라.

 

–바다란 세상 가장 낮은 곳의 또 다른 이름