본문 바로가기

Security Indicator

Digital pest ( 디지털 흑사병)

zdnet 컬럼 기고 글입니다.

 

디지털 페스트

 

 

디지털 페스트라는 용어 자체는 존재하지 않는다. 비유적인 의미에서 사용된 용어라고 할 수 있다. 빠른 전염속도와 중세의 유럽을 공포에 가까운 치명적인 상황까지 밀어 넣은 전염병과 같은 상황에 인터넷이 놓여져 있음을 비유하고자 2008년 5월에 처음으로 디지털 페스트라는 제목으로 블로그에 글을 쓴 적이 있다.

(http://blog.naver.com/p4ssion/50031227899)

 

왜 디지털 페스트인가?

접촉에 의해 무차별적으로 감염이 되는 현상이 있고 인터넷 상의 생활을 치명적인 상황까지 이끌고 인터넷으로 촉발된 문화와 경제활동에 치명적인 영향을 주기 때문에 디지털 페스트라 할 수 있다.  중세와 달라진 것은 없다. 단지 활동 무대가 실제의 생활이 아닌 인터넷의 생활로 옮겨졌을 뿐이다. 실생활과 밀접한 연관을 가질 수 밖에 없고 앞으로 더 커질 수 밖에 없는 인터넷의 영향력은 두말할 필요가 없다. 그만큼 위험성도 높을 수 밖에 없으며 앞으로 더 많은 영향을 미치게 될 것이다.

 

2008년 5월의 디지털 페스트 인식의 시작은 2008년 4월에 있었던 전 세계적인 웹서비스 변조 사건과 맞물려 있다. 세계적으로 50만대에 달하는 웹서비스가 변조를 당해 악성코드를 유포한 사례는 치명적인 결과를 초래 할 수 있으며 앞으로 그 결과를 목격하게 될 수밖에 없음을 밝힌 바 있다. 이제 그 빙산의 일각을 만나보자.

 

 

2010년 3월 스페인에서 발견된 사상 최대의 봇넷 조직은 개연성을 태연하게 증명하고 있다. 누구나 할 수 있는 예상이고 예상된 규모라고 할 수 있다. 

(http://www.abc.net.au/news/stories/2010/03/04/2835930.htm?section=world)

간략하게 기사를 살펴보면 1800만대의 PC에 설치된 악성코드를 원격에서 조정 할 수 있으며 이 모든 악성코드들은 개인PC에 대한 원격조정뿐 아니라 계정, 비밀번호와 같은 키 입력을 가로채고

모든 권한을 수행 할 수 있는 기능이라 알려져 있다. 현재 출현하는 대부분의 악성코드가 가진 특성과 동일한 특징을 가지고 있다. 운영자는 3~4명으로 알려져 있고 적발 당시 80만명에 해당하는 개인정보들이 발견 되었다고 한다. 다른 기사에서는 이 그룹들은 1800만대의 PC중의 일부들을 임대해 주고 비용을 받는 등의 목적으로도 활용 되었다고 한다. 1800만대의 좀비 Pc들은 포춘 1000 리스트의 절반에 해당하는 기업들과 40개 이상의 메이저 은행들의 네트워크에도 존재 하고 있었다고 한다. 공격자들이 과연 신비로운 기술을 이용해 1800만대의 PC를 감염시키고 운영했을까?

 

간략한 기사를 통해 우선 인식해야 될 부분들은 몇 가지가 있다.

규모적인 측면에서 1800만대에 해당하는 좀비 PC들의 네트워크를 어떻게 가질 수 있었느냐 하는 것이고 이 거대한 규모를 3~4명 정도가 운영 하고 있었다는 점 그리고 부분적인 임대를 통해 수익을 추구했다는 점이 가장 큰 특징으로 볼 수 있다. 개인정보의 전면적인 유출은 규모를 추산하기 어려울 정도이다.

 

그렇다면 1800만대를 어떤 방식으로 감염 시킬 수 있었는가 하는 점을 살펴 보아야 하고 보안 설정과 장비들이 고도로 도입된 세계적인 기업들과 폐쇄적 네트워크 환경을 갖춘 은행권에는 어떻게 침입과 전파가 가능했는지도 궁금 해야 한다.

 

일반적인 바이러스와 웜의 형태로는 1800만대라는 규모를 감염 시키기가 매우 어렵다고 볼 수 있다. 무작위적인 바이러스와 웜 전파 형태는 반드시 주요 감시망에 걸리기 마련이고 대규모로 확산 하는 것이 매우 어렵다. 그렇다면 유포나 전파 방식은 어떤 방식을 썼을까?

 

필자가 보는 방식은 다양한 제로데이 익스플로잇을 통하는 것과 불특정 다수에 대한 감염을 가능 하게 할 수 있는 웹 서비스를 통한 전파가 복합적으로 일어 날 때 가능할 것으로 보고 있다.

 

모든 문제점들이 공개적으로 논의 되지는 않는다. 문제가 있는 부분은 일정기간을 거쳐 패치나 보완 형식을 통해 문제점이 제거가 된다. 단 문제가 알려졌을 때만이다.

문제가 알려지지 않는다면 또 발견되지 않는다면 계속 진행이 된다.

 

 

< 참고 - http://blog.naver.com/p4ssion/50031227899 디지털페스트 중>

 

위의 참고 이미지는 2008년 4월에 작성한 개요를 나타내고 있다. 이 당시의 50만대 가량의 웹서비스 변조 이슈가 향후 어떤 문제를 초래 할 수 있고 어떤 영향을 미칠 수 있는지에 대한 문제의식은 높지 않았고 지금도 별반 달라지지는 않았다. 조금 더 많은 사람들이 알아가고 있는 중이라는 의미 외에는 특별한 교훈도 주지 못한 상태이다.

 

순서적으로 대량 SQL 삽입 공격 (Mass sql injection) 공격을 통해 무차별적으로 웹서비스를 해킹을 하여 악성코드를 유포 하도록 하고 이 악성코드는 Zeroday 공격코드를 포함하도록 한다. 그리고 웹서비스를 방문하는 모든 사용자들은 감염이 된다. 이후에는 공격자가 운영하는 봇넷에 연결이 이루어 지고 그 이후에는 모든 개인적인 비밀을 잃어 버린 좀비의 상태가 된다.

 

2008년의 상황과 달라진 상황들도 현재의 악성코드 유포 현황을 관찰해 보면 존재 하고 있다.

 

현재 관찰 되고 있는 바로는 공격자들도 다운로드 되는 악성코드를 실시간으로 관찰하고 변경 하는 것을 볼 수 있다. 신규 악성코드 유형이나 제로데이 취약성이 발견되면 불과 몇 시간 내에 다운로드 되는 악성코드의 특징이 바뀌고 있다. 이것은 실시간으로 운영이 되는 유포 관리 봇넷이 별도로 관리되고 있음을 의미 한다. 공격자들의 진보는 상당히 빠르게 움직인다. 일반 웹서비스를 침입하여 특정 악성코드만을 다운로드 되게 하는 방식을 벗어나 유포되는 악성코드도 실시간으로 변경 하도록 구성이 되어 있다고 확신 한다.

 

유포관리 소규모봇넷 -> 악성코드 다운로드 서버 -> 악성코드 유포 서비스 -> 일반 사용자

일반사용자 PC에 설치된 악성코드들은 대규모 봇넷으로 다시 활용이 된다.

 

악성코드를 유포하는 서비스를 구축하기 위해 대량 공격을 감행하고 다운로드 하는 서버의 주소를 페이지 소스에 첨가 시킨다. 공격자들은 다운로드 서버에 올려지는 악성코드를 실시간으로 관리하면서 변경을 한다. 즉 새로운 공격은 공격코드가 출현하면 3~12시간 이내에 업데이트가 발생 되게 되고 일반사용자들에게도 직접적인 영향을 미치는 구조를 가지고 있다.

 

모든 악성코드는 이제 단 하루 정도면 갱신이 되고 업데이트 및 배포 구조를 가질 수 있는 상황인 것이다.

 

보안장비 및 보안도구들 조차도 하지 못하는 구조를 이미 구축한 상황에서 인터넷 자체는 심각한 상황에 처해 있음은 두말 할 필요가 없다. 디지털 페스트는 이미 현실에 깊숙이 들어온 형국이며 1800만대라는 수치도 빙산의 일각일 뿐이다. 댓수의 규모 보다 봇넷 그룹을 운영하는 자들은 얼마나 많을 것이며 중복된 봇넷 이외에도 얼마나 많은 수치의 봇넷이 존재 할지는 상상하기 어렵다. 악성코드를 유포할 수 있는 대규모 공격도구를 갖추고 인터넷 서비스를 공격하며 무차별적으로 악성코드를 사용자들에게 유포한다. 스마트폰 이나 IPTV등을 가리지 않고 인터넷을 보거나 연결이 되어 있는 대부분의 기기들에게도 동일한 위험성이 존재한다.

 

인터넷에 연결 되어 있으면서 위험으로부터 안전한 기기는 존재하지 않는다. 지금껏 문제가 발생 되지 않은 소프트웨어들은 존재하지 않으며 안전한 운영체제도 존재하지 않는다.  이것은 현실이다. 디지털 흑사병은 그 전파력만큼이나 심각성이 높으며 앞으로 영향력은 더 커질 것으로 예상 할 수 밖에 없다. 2년 전의 위기감은 그리 멀지 않은 미래에 현실화 될 수 밖에 없다는 위기감이나 막상 현실에 도달한 상황에서는 개인으로서 어찌 할 수 없는 현실에 좌절감을 느낄 뿐이다.

 

대책은 짧게 세 가지 정도의 큰 줄기를 가진다.

-                    Web application에 대한 취약성 제거

-                    Malware 유포에 대한 신속한 협의체 구성

협의체 구성도 해당 되지만 통일된 프로세스 및 대응체계를 만드는 것이 가장 중요하다. 2010년 들어 미국의 백악관에서 아인슈타인2 라는 일괄 대응이 가능한 장비를 전 기관에 배포 하는 움직임도 동일한 관점의 노력이다. 아직 그 누구도 제대로 시작하지 못했다.

-                    서비스 단위 정보유출 방지를 위한 노력

 

대책은 빠를수록 좋다. 이 대책 조차도 2008년에 작성한 글에 존재하고 있다. 디지털 페스트라는 글에서 작성된 내용을 간략하게 아래에 인용한다. 원문은 블로그를 참고 하시면 된다.

 

아무도 없는 길에서의 외로움은 상상 이상이다. – 바다란

 

  ----------------------------------------------------------------------------------------------------------------

 

공격대상: 전 세계의 Web service를 공격하여 악성코드를 확산

공격목표: 전 세계의 개인 Client PC에 대한 권한 획득 및 중요정보 탈취

 

 

새로운 공격코드의 출현과 새로운 zeroday exploit의 출현은 피해를 기하급수적으로 늘릴 것입니다. 지금까지와 같은 몇 만대, 몇 십 만대의 규모가 아닌 몇 천만대를 기본으로 가지게 될 것입니다.

 

 

공격시나리오:

 

1.       신규 Zeroday exploit을 발견 혹은 구매 ( MS 운영체제가 가장 효율적이므로 MS 계열에 집중할 것이 당연함)

2.       Malware에 키보드 후킹 및 중요 사이트에 대한 접근 시 정보 탈취 코드 탑재

       S.korea 에서 발견된 DDos 가능한 Agent의 탑재 가능

      동일한 기능이지만 대규모 Botnet의 구성 가능

3.       Malware를 유포할 숙주 도메인에 코드 추가

    Malware를 유포하는 링크 도메인으로서 08.4월에 발견된 경우처럼 1.htm ,1.js등의 코드로 특정 사이트 해킹 이후 해당 파일의 추가를 할 것임

      국가에 따라 수십에서 수백여 개의 링크 도메인을 확보 할 것임

4.       대규모 도메인 스캔도구를 활용 주요 도메인에 대한 악성코드 유포루틴 Add

       검색엔진 활용 또는 자체 보유한 도메인 리스트를 활용하여 순차적으로 공격을 시행

      공격 시 취약성이 발견되면 자동적으로 DB권한 획득 및 획득한 DB의 권한을 이용하여 웹 소스코드의 변조 시행

      현재 발견된 코드는 DB 테이블의 내용에 악성코드를 추가하는 루틴 이였으나 조금 더 코드가 갱신되면 충분히 웹페이지 소스코드에 교묘하게 위장하는 것이 가능함

5.       대규모로 유포된 악성코드를 활용한 금전적인 이득 취득

- 특정 사이트에 대한 대규모 DDos 공격 현재 상태의 malware 유포 규모라면 대응 불가

-      특정 온라인 게임 ( 세계적인 게임- Wow? ) 및 금융 관련 사이트에 대한 키보드 입력 후킹 ( 사용자의 정보 유출 )

 

온라인 게임 및 온라인 증권사에 대한 위험성이 높음 . 부수적인 인증 수단을 가지고 있는 경우 ( ex : otp , secure card )를 제외하고는 모든 대상에 대한 위험성 존재

 

* 4번 항목에서 발견된 악성코드 유포를 위한 웹사이트 변조가 08.4월에 발견된 카운트만 전 세계적으로 50만개의 개별 웹서비스(일부 중복 결과라 하여도 예상 결과는 변하지 않음)에 해당됩니다. 악성코드 유포 규모는 최소 천만 단위를 상회할 것으로 추정되며 Zeroday exploit에 따라 그 규모는 몇 십 배로 늘거나 백만 단위 규모로 확대 될 것으로 예상됩니다.