본문 바로가기

Security Indicator

중국발 해킹을 끝내고 싶은가? . Mass sql injection

오랜만입니다.

 

여러 개인 사정으로 인해 글을 쓸 여유가 없었습니다.

앞으로도 상황은 마찬가지 일 것 같습니다.

 

SQL Injection . 지금에 와서 이 공격의 유형을 모르는 한국이나 전 세계의 웹 개발자 혹은 보안 전문가는 없으리라 봅니다. 3~4년 전만 하여도 일선의 재빠른 사람들에게만 인지 되는 사안들이 이제는 글로벌화된 상황이라 할 수 있습니다.

 

이전에 존재 하였던 SQL Injection 유형과 현재 발생하는 유형의 차이점은 이 블로그의 Mass sql injection 관련 글을 찾아 보시면 좀 더 쉽게 이해가 되시리라 봅니다.

 

현재는 상황 그대로 세계적인 불황입니다. 얼마전 글에서 예측 하였듯이 앞으로 노골적인 공격들이 더욱 거세 질 것 이고 보다 전문화된 공격들도 직접 이용이 될 것입니다. 최근 MS에서 긴급패치가 이루어진 MS08-067의 경우에도 PoC( Proof of concept - 공격 개념코드)가 나오기 이전에 계정정보 유출을 위한 실제 Trojan이 배포 된 이후에 MS 측에서 대응을 한 내용입니다.

 

앞으로 이와 같은 상황은 더욱 거세질 것입니다.  공격의 전문성도 높아지고 유포되는 범주도 지속 되고 있습니다. 지금도 하루에 수 십차례 이상 공격을 받는 곳들이 대다수 일 것이고 문제가 심각한 기업들은 웹보안 장비들의 도입에 열을 올리고 있을 것입니다. 이런 웹 보안장비들의 근본적인 한계에 대해서는 본 블로그에서 여러 차례 지적한 바가 있습니다.

 

 

 

공격의 전문성 강화

 

공격의 전문성이 높아지는 것은 비단 이번의 MS08-067의 예를 들지 않더라도 2년 전 부터 나타난 현상입니다. 하나의 Trojan을 설치하기 위해 수 십가지 이상의 여러 Application에 대한 공격코드들이 최적화 되어 있고 주변으로 전파를 하고 있습니다. 심지어는 ARP spoofing까지도 이루어 지죠. ( SQL Injection 이든 Arp spoofing의 경우에도 기존의 공격 개념과는 다른 관점으로 상당히 발전적인 응용이라 할 수 있습니다. )  공격자들은 그만큼 기존의 공격 기법과 새로운 취약성의 접합과 연구에 적극적입니다.

 

그리고 그들은 이제 전문 영역을 지니게 되었습니다. 이 의미는 하나의 산업으로 존재할 만큼의 기술적인 (?) 공격 역량과 숙련도를 보유하고 있다는 것이라 할 수 있습니다. 이런 기술을 이용하여 이득을 취하기 위한 또 다른 산업 영역도 개척을 한 상태입니다. 즉 소비채널과 유통채널의 구축이 완료된 상태라 할 수 있습니다.  앞으로 더욱 심해 질 것입니다.

 

새로운 Exploit의 최초 발견과 적용이 연구자들 사이에서 나오는 것이 아니라 이제는 공격자들에게서 직접 발생이 되고 있습니다. 이 추세는 향후에도 증가 할 것으로 예상 됩니다. 더불어 SQL Injection의 경우에도 여러 번 거듭 말씀 드렸지만 단순 패턴매칭으로 차단하는 보안장비에서는 해결이 되지 않습니다. 지금도 정말 많은 우회 기법들이 나오고 있고 바로 적용이 되고 있습니다. 공격자는 코드 한번만 바꾸면 되지만 방어자는 수 천, 수 만 아니 그 이상의 장비들에 대해 개별적인 설정이 되어야만 합니다. 

 

이 싸움에서 이길 것이라 보십니까?  저는 진다고 봅니다.

 

 

(Mass sql injection)양식장을 손에 쥔 상어떼

 

이 표현이 적당한 가 모르겠습니다만 제 머리속에 그려지는 이미지로는 이 표현외에는 더 적당한 표현을 할 수가 없습니다. 양식장은 전 세계의 웹 서비스가 해당이 됩니다.

상어떼는 아시다 시피 공격자들이구요. 양식장에 갇힌게 아니라 언제든 잡을 수 있는 그물을 상어떼가 가지고 있는 모양새 입니다.  이 그물을 어떻게 끊을 수 있을까요? 

 

개별 웹 서비스들에 대해서는 가능하겠지만 전 세계적인 범주에서 보면 정말 어려운 일일 것입니다.  전 세계 웹 서비스의 인자 각각에 유효성 체크가 되어야만 하는데 현실적으로 어렵습니다. 스캐너를 이용한 진단의 경우에도 여러 한계가 있음을 지적한 바 있습니다. 앞으로도 오랜 시간이 흘러야 범위가 줄어들 것이고 그 이전까지는 광범위한 Trojan의 유포와 악성코드에 의해 전 세계의 개인 PC가 시달릴 것입니다. 윗 절의 공격의 전문성 강화와 겹쳐져 공격의 전문성과 파급력은 지속이 될 것이고 PC에 설치되는 다양한 Application에 대해 공격이 이루어 질 것입니다.

 

현재의 공격은 서비스에 대한 공격인 DDos 공격과 금전을 목적으로 한 Trojan 유포에 중점이 맞추어져 있습니다. Trojan 유포는 웜과 바이러스를 통한 유포의 범주보다 웹서비스를 통한 광범위한 유포가 일반화 되어 있습니다. 지금의 공격자들의 특성은 자신을 과시하지 않습니다. 오로지 금전적인 정보가 목적일 뿐입니다.

 

전 세계 모든 보안 채널 및 보안 관련 회사들이 새로운 유형의 공격기법이나 취약성이 출현 할때 마다 예전보다 휠씬 더 긴밀하게 협력을 하고 있습니다. 그래도 모자람이 너무 많습니다.

 

 

이런 그물을 끊어야만 하며 끊기 위해서는 개발자를 위한 자가진단이 가능한 저가 웹서비스 혹은 Open source 형태의 서비스가 필요하고 점진적으로 개선을 시킬 수 밖에는 없는 상황입니다.

 

현재 큰 범주에서 문제를 해결 하기 위한 해결책은 한정적입니다. 지역적인 측면이나 기업 측면에서는 비용을 투입하여 해결이 가능하나 웹서비스의 개편시 마다 비용 부담과 끊임없는 지속성을 유지 해야 하는 것이 관건입니다.  Penetration Test ( 모의해킹이라 부르며 시스템에 피해를 입히지 않는 범위에서 공격자의 입장에서 서비스 취약성을 사전 진단하는 유형 )를 할 수 있는 인력들도 한정이 되어 있습니다. 전문기술을 보유하고 있음에도 불구하고 돌쇠타입의 마당쇠로 전방위로 혹사 당하는 것이 지금의 보안 인력 혹은 보안 팀들이라 할 수 있습니다. 언제까지 버틸 수 있을까요? 또 언제까지 혹사를 강요할 수 있을까요? 인력으로 버틸 수 있는 정도는 절대로 아니기에 어려움이 충분히 예상 됩니다. ( 아닌 곳들이 있나요? )

 

 

결론적으로 앞으로 오랜 시간 문제는 지속되고 심화 될 것이고 이 문제를 줄여나가기 위해서는 악성코드 유포의 숙주로 활용되고 있는 웹서비스들의 안정성을 시급하게 보완하고 지속성을 가질 수 있도록 하는 것이 키라고 할 수 있습니다. 이렇게 하여야만 문제를 끝낼 수 있습니다. ( 기술적인 해결책이나 여러 방안들은 http://blog.naver.com/p4ssion 의 여러 Article들을 참조 하시면 됩니다. )   개별 서비스에 대한 해결책의 논의가 아니라 큰 범주에서의 해결 방안은 어떤 성격을 지녀야만 문제 해결에 다가 설 수 있는지를 언급하였습니다.

 

1년 이상을 이런 관점에서 계속적인 의견을 제시하였으나 아직 이런 형태의 서비스나 문제해결 시도는 출현 하지 않았습니다. 그러나 머지 않은 시일 내에 유사한 서비스들이 출현하여 문제점들을 줄여가고 세계적인 방향성을 선도할 것으로 믿어 의심치 않습니다. 누구도 하지 않는다면  저라도..~~

 

 

그럼 .

 

p4ssionable security explorer . 바다란