본문 바로가기

Security Indicator/Insight

구글 악성링크 차단 공개 ( 궤도위성의 탐지와 새로운 대안에 대해 ..)

구글 크롬 보안 기능, 파이어폭스서도 쓴다

새로운 세이프 브라우징 API 공개

http://www.zdnet.co.kr/news/news_view.asp?artice_id=20150327103601


이걸 하기 위해 무려 10년 가까운 준비를 한 구글.

이게 그냥 공짜일꺼라 생각하면 착각.

개인에게는 주어져도, 기업은 ?? 

게다가 몇년전 이야기 했듯이 제품제조하는 기업과 서비스 제공하는 기업에서 사용하려면 사용료는 ?...


근데 이 모든걸 제쳐두고 근원적인 질문인데!  구글이 경고하는게 과연 Just on time 일까? 2~3일의 차이는 온라인에선 광년과도 같은 차이이다.


누가 대응 할 수 있을까?

무엇을 준비 했을까?



아무도 안했다. 아니 못했다.!


게다가 엄청난 노력과 비용이 들어가는 서비스가 아닌 모두 그 당시의 기술로만 해결하려 했을 뿐이다.(국내의 사례를 들 필요도 없다.)

빠른 접속과 빠른 분석 그리고 거대한 스케일.  이제 경쟁 기업들은 넘을 수 없는 벽이다. 



그렇다면 과연 현실에서도 구글의 방식이 적합한가를 살펴 보는 것은 당연한 일이다. 

누구도 엄두를 내지 못하는 상황이 지금인데, 그래도 제한적 영역에서는 확인할 수 있는 내용은 있다. 그 제한적 영역이 전 세계에서 가장 강도높은 실험이 발생하는 한국이라면 의미가 없다고는 할 수 없다. 지금까지 사이버 보안 사고 Top 10을 꼽으면 그 중 3~4개는 항상 랭크되는 곳이 이곳이다.



구글의 문제는 "스피드"


 1.모든 클라이언트 단말까지 내려가는 정보( 언제 내려가나? )  

 2.탐지 정보의 신속성 부족 ( 2~3일 지연이다. 궤도위성을 생각해보면..)

    물론 전혀 몰랐던 자들에게는 늦었다는 것 조차도 모르고, 신선할 것이다.



구글의 생각과 기술보다 앞서 있는 공격자들을 넘기 위해서는 대규모도 필요하지만 무엇보다 중요한것은 "스피드"다. 2~3일 뒷북을 넘을 수 있는 스피드.


관찰을 기준으로 살펴보자. 지구를 관찰 하듯이 전 세계 인터넷을 관찰한다면 유형에는  두 가지가 있다. 궤도를 따라도는 궤도위성과 정지위성으로 나눌 수 있고, 그 위성의 용도와 같이 전 세계 인터넷을 관찰하는 것도 똑같다. 사이버 미사일을 요격하는데 주기적으로 도는 위성이 무얼 할 수 있을까? 미사일은 머리위에 있거나 이미 폭파 되었는데 요란한 사이렌만 울리는 것과 다를 것이 없다.



"궤도위성""정지위성"의 쓰임과 활용은 다르다. 


" 전 세계를 대상으로 서비스를 제공하는 구글의 입장에서는 서비스 신뢰성 차원에서 뒤늦은 정보일지라도 궤도위성이 정확한 판단이다. 그러나 서비스 제공이 아닌 생존의 목적이라면 달라야 할 것이다. 위험을 경고 하고 대응해야 하는 입장에서는 정지 위성이 존재해야만 한다."


인터넷 사용이 해외 사이트 사용 비율이 높다면 궤도위성 관찰이 도움될 것이고, 국내 사용 비율이 높다면 정지위성이 활용성 높다.  국내에서의 국내 서비스 사용 비율은 줄잡아  98% 이상 아닐까?   그렇다면 궤도위성으로 탐지되는 위험이 더 빠르고 정확할까? 정지위성으로 탐지하는 위험이 더 빠를까?  물으나 마나한 이야기다. 실생활에서도 


구글은 Bottom-up  방식이다. 모든 정보가 단말로 내려가서 대응을 하는 체계. API를 사용한다 해도 동일하다. 현재 문제 해결을 위해서는 Top -down 방식이 스피드 부족을 극복할 수 있는 방향에 가깝다.  



만약.. 정말 만약에  정지위성을 주요 포인트 국가에 올려 두고 관찰하는 개념이 된다면 다른 승부가 가능해진다. 


도위성이 관찰하는 사이버 공격과 위험은 공격 발생 이후 한참이 지나야 사이렌이 울린다.  정지위성은 공격 시점에 사이렌이 울린다. 초동대처의 중요성은 누구나 알 것이다.  



사이버 공간에서의 역량은 앞으로 "정지위성"의 확보를 하고 있는 것에 따라 확연한 차이를 보이게 될 것이다. 공격과 위험을 인지하는 역량이 전체에서 90% 이상이다. 궤도위성으로 탐지가 될 수 있을 것이라는 생각은 하지 않는 것이 바람직하다. 그나마 피해가 있었구나 정도의 사후 확인 정도일 뿐.  대응을 하고 싶다고? 그럼 현실을 직시하라.


현재처럼 네트웍 레벨에서의 IDS/IPS 관찰로 커버되지 않는 위협, 파일 단위의 악성코드 대응 ( 요즘은 몇초에 몇만개라고 하더라..)과 같은 것은 이미 대응의 범주에서 가장 낮은 영역에 있다. 관찰되지 않는 위협은 현실이 된다. 이미 한국은 현실이다.  미사일 요격으로 유명한 이스라엘의 아이언돔도 핵심 기반은 정확한 관찰이다.  관찰 정보가 부실하다면 여기저기 불바다는 당연한 일일 것이다. 지금까지 한국에서 발생된 대규모 사이버 보안 사고에서 언제 불이 안난 적이 있었나? 아니면 위험 경고의 목소리라도 있었던가? 


사이버 대응체계의 구축은 "사이버돔" 상공 위에서 날라오는 미사일을 볼 수 있어야 가능해 질 것이다. 지금처럼 머리 위에 보인 후에 대응하는 것으로는 날마다 새로워지는 공격기술과 전략을 넘을 수 없다.  아이언돔의 사례와 같이 정확한 관찰을 하고 정확한 지점으로 요격을 하는 것이 보호의 기본 전략이다.  



< 대응 개념도 및 정지위성의 관찰 중요성>



이제 구글은 거대한 결과물을 수확하려 한다. 경쟁자가 없다. 공격에 맞춰 고민한 새로운 전략은 아직 꽃피지 못하였다. 


춘래불사춘이나 봄은 반드시 오리라! -바다란


**구글의 준비 시작은 http://p4ssion.com/8 , http://p4ssion.com/10, p4ssion.com/11 

2007년에 작성하여 공개한 내용을 보시면 지금의 스탠스는 이미 예상된 것이죠.  근 8~9년 이상 다들 뭐 했더라?  Google online security strategy