태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.


http://cartoon.media.daum.net/webtoon/viewer/18259  미생 72수중


이번 화는 많은 생각이 들게 한다. 15년차 만년 팀장으로서 ( 다닌 회사는 많아도 이 위로 올라가본 적은 없다. 그럴 생각도 없었고.. - 아직도 한쪽편엔 팀장이라는 별칭이 여전히 따라 다니고 있다.) 절절한 감정이 우러 나오는 것은 어쩔 수가 없다.


미생속의 오과장의 운명은 만년 과장이다.

한번의 계기로 그는 팀장이 된다. 팀장이라봐야 거기서 거기다. 실무자.


만년 과장인 오과장을 살펴보면 게임을 원치 않는다. 

여기서의 게임은 회사에서 말하는 사내정치쯤 될 것이다. 

사내 정치라는 것은 힘과 힘의 줄타기를 하는 것쯤이라 봐야 하는데 여기서의 맹점은 본말이 전도된다는 것이다. 세를 과시하는 것이 전체를 좌우 하는것으로 여기게 된다.


본 72수에서 말하듯이 게임에 몰입하게 되고 그 게임속에서 빠져 나오지 못하는 상태가 되고만다. 그 상태에 이르면 회사 혹은 일은 나중이 되고 게임 자체를 회사와 동일시 하는 형국이 되고 만다.  


직장인들에게는 사내정치를 잘해야 인정받고 출세하고 성공한다고 모두가 이야기 한다. 그러나 직장이라는 것이 무엇이던가? 항상 어렸을 때부터 생각하던 자신이 하고 싶어 하는 일들을 하고 기회를 펼치기 위한 것이라 위인전이나 도덕책에서 많이 읽지 않았었나? . 그런건 개뿔도 없다.  사내정치를 잘하라는 이야기는 줄을 잘 서라는 이야기와 동일하다. 


누군가의 목적이 있어 손.발이 필요 할때 앞뒤 가리지 않는 행동대원 혹은 똘마니가 되어 주는 것이 사내정치라고 해야 할 것이다.  물고 물리는 먹이사슬 구조에서 누가 더 강하고 더 쎈 줄을 가지고 있느냐에 따라 세력의 흥망은 달라진다.  


패한 세력은 일거에 삼대까지 발본색원 되어 끝까지 홀대를 받을 수 밖에 없다.


지금도 직장인들은 커피를 마시며, 담배를 피우며 잡담 하지 않는가? 누구누구 임원이 이렇게 되어서 이런,저런 사람들이 앞으로 영향을 받을 것이라고.. 지금 상황이 이러니 어떤 사람이 더 힘이 있고 말고 하면서 술자리 안주 삼지 않던가? 


비겁한 것이 사람이다.  현실을 인정하고 보다 강한쪽에 붙어야만 편하다는 것을 아는 것이 사람이다.  


그리고  게임을 거부하는 사람은 철저하게 배제된다.   게임에 참여하지 않는 사람은 서서히 때로는 급격하게 현업의 주요업무에서 빠지게 되고 떨거지쯤으로 취급되게 된다.


..


안타깝지만 이 사회가 경쟁으로 내몰면서 그렇게 키웠을 뿐이고 그게 계속 되고 있을 뿐이다. 만년 오과장, 아니 오팀장은 그 자리로 끝이다. 이 만화는 현실을  일정 부분 잘 표현 하고 있으며 그 연장선에서 보면 절대적으로 오팀장은 이게 끝이다. 앞으로 비참한 몰락만이 남아 있을 뿐이다. 


같이 일하는 사람들에게는 그 누구 보다도 잘하며 , 신뢰를 주고 보호를 하지만 스스로는 게임에서 배제되어 저~~위에서 부터 따돌림을 당하고 결국에는 무너지게 된다.


게임에 참여하기를 거부한 자로서 보기에 위의 결과는 당연한 과정이라 할 수 있다.

글이 길어진다... 어느 나라든 동일한 문제가 있지만 유독 이 나라에서만 극심한 것은 사실이다.


결국엔 승자 ( 남을 밟고 서는 승자 - 피라미드의 정점이나 그 윗부분쯤에 서기 위한 것) 가 되기 위한 목적으로 좋은 학교가 목적이 되고 그 목적을 위해 어려서 부터 애들을 혹사 시킨다. 그래야 게임에 이길 수 있고 좋은 자리를 차지 할 수 있다고 수도 없이 쇄뇌를 시킨다.  좋은 자리.. 그래 좋은 자리다. 결국엔 좋은 학교를 가고 좋은 직장을 가면 인생은 끝날까? 거기엔 진짜 사회의 게임이라는 인간들간의 편가르기가 진행이 되고 헛발을 디디는 순간 나락에 떨어진다.


만약 게임을 거부한다면 철저히 배제된다. 아주 철저하게.. 아주 특출나고 탁월한 무언가를 가지고 있지 않은 이상 비참의 끝에 도달하게 된다.


특출나고 탁월한 자라고 해봐야 용빼는 재주 없다. 단지 현상 유지만 할 뿐이고 뒤로는 "저 놈은 다 좋은데 싹아지가 없어..그래서 안돼.." 라는 말을 일상다반사로 듣게 된다. 그리고 시간이 지나고 결국엔 안주한 만년 과장, 만년팀장의 모습으로 한 순간의 바람에도 흔들리는 낙엽이 되고야 만다.


지금까지 게임을 거부한 일인으로서 가장 중요한 것은 일이라고 생각 했다. 그리고 그 생각은 변함 없다. 회사를 위한 일이 아닌 지금 이 순간에 내가 가장 하고 싶어하는 일, 그리고 가장 필요한 일. 단지 나는 필요한 능력을 제공하고 그 댓가를 받는  지식 노동자일 뿐인 것이지, 피고용인으로서 정신과 영혼까지 현실에 볼모로 잡힌 것은 아닌 것이다.  


게임을 거부 할때는 몰입을 할 수 있어야 한다. 자신의 인생에 대한 몰입. 본인이 넘어야 할 벽들에 대한 규모를 헤아릴 줄 알아야 한다. 그래야 사이즈에 맞는 장대를 준비할 것이 아닌가?  계란으로 벽을 넘어 갈땐 장대를 이용 할 줄 알아야 한다. 각자 자신에게 맞는 장대를 준비해야 하고 어느 누구도 가본 적이 없는 스스로의 길을 가야만 한다. 그래야만 스스로의 인생을 살아 갈 수 있다.


게임은 그냥 게임이다. 인생이 아니다. 게임의 승자가 인생의 승자가 되는 것은 아니다. 

긴 호흡으로 스스로를 준비하고 단련해야 사막을 건널 수 있다.


지금 이 순간에도 게임에 몰입한 당신들.. 그런것쯤은 하고 썩소 한번 날릴 수 있는 용기와 배짱 있는자만이 게임의 법칙을 뭉갤 수 있다.  그리고 인생을 살아 가는 것이다. 


안됐지만..오팀장은 여기서 끝이고 종래에는 자영업으로 몰릴 것이다. 그게 이 시스템이 가진 가장 비인간적인 지옥이다. 눈에 보이기엔 완전체로 보이나 매우 불안한 상태의 지속은 무너질 수 밖에 없다. 


스스로가 되어야만 넘을 수 있을 것이다. 그 길은 쉽지 않다. 


* 98년쯤 부터 이런 게임에 대한 이야기를 마주치는 모든 회사마다 겪었던 것 같다. 이게 성공의 비결이라느니 누구의 라인이 가장 좋다느니.. 등등. 다 부질없는 이야기다. 넘어서지 못하면 개인의 인생은 희미해진다.  넘어서는 것도 더 강해져서 넘는 것이 아니라 시작부터 다른 싸움을 해야만 가능하다.  더 큰 범주를 보고 통찰하며, 전체를 아우룰 수 있는 다양한 역량.. 그리고 강력한 추진력과 인내만이 스스로의 길을 만들어 준다. 그 누구도 만들어 주지 않는다. 편하게 만들 수 있는 길과 삶은 어디에도 없다. 스스로가 움직이고 노력하지 않는다면 그 길은 찾을 수 없다.  살아가는 것 자체를 존재의 의미를 찾아가는 과정과 같은 구도의 길로 살아야만 찾을 수 있다. 


그리고 그 길에서만 인간의 존재는 자체의 만족감과 희열을 느낀다. 누군가의 위에서 조정한다 하지만 결국엔 또 다른 누군가에게 조정 당하는 그런 뭐 같은 것들이 아닌 스스로에 대한 자긍심이 생기는 것이다. 


인간의 길이란 무엇인가? 사람의 삶이 인생인데 삶은 대체 무엇이란 말인가?  스스로가 살아가기 위해서는 기존의 달콤함을 버릴 수 있는 강력한 열정이 있어야 될 것이다.



열정이란..그리고 바다란..


Posted by 바다란
도를 닦다. !!!


일반적인  오해와 달리 가장 인간으로서의 삶에 통찰한 구절이라 할 수 있다. 도라는 것은 길이다  스스로가  걸어가는 길을 밝히는 것이 도이며 스스로가 걸어 가야할 가치임을 말한다. 모든 인간은 각자의 길을 가지고 있으며  그 길을 가며 조화롭게 상호존중 하는것이 세상의 궁극이다.

때론 오솔길을 만나고, 험난한 절벽을 만나기도 하며  누군가 닦아 놓은 포장도로를 만나기도 한다. 인간의 보물은 쉽게 손에 닿지 않는 곳에 있다. 또한 자신의 길은 오직 자신만이 밝히고 찾아 갈 수 있다. "나를 따르라" 부류들은 오직 길을 참고 할 수 있는 가로등일뿐이지 반드시 따라야만 하는 것이 아니다.

목적지에 도달 하기를 주저하고 험난한 길을 마다하는 많은 사람들은 순례자가 될 수 없다. 신을 절대적으로 따르는 모든자들도 자격은 없다 신은 단지 어두운 밤길의 등불일뿐이지 가이드가 아니기 때문이다. 길을 밝히라 했더니 등불을 따라가는 꼴과 같기 때문이다.

스스로의 보물을 얻기 위해선 스스로의 길을 가야만 한다. 목적지가 다른 포장도로는 편한길처럼 보여도 반대방향으로 질주 하는 코스이다. 지금의 많은 교육과 계층의 문제도  미어터지는 포장도로위의  줄세우기일 따름이다  본시 인간의 가치는 스스로를  알아가고 찾아가는 것에 있는데 지금은 인간위에 서기만을 바란다.

변화보단 혁명적인 자아성찰이 필요한 당신.  지금 어느길 위에 있는가.. 

고통은 당신을 좀 더  단단하게 만들뿐인  우주의 진리를 깨우치지 못하는 자들에게  눈 앞의 길은 절대로  보이지 않을 것이다.  

길 위에서 길을 묻다! 도를 닦아라 스스로를 위한길을
Posted by 바다란
TAG , , 순례자

가장 바닥의 모습에 직면한 자신을 돌아보고 죽음과 대면하여 얻어낸 가치를 가지고 있던 동료.

고통을 이겨내는 방법을 알고 있던 몇 안되는 동료를 떠나 보낸다.
고통이란 무릇 즐길 수 있는 자에게만 쾌락이 되고 기쁨이 된다. 즐길 줄 아는 몇 안되는 동료.

세상에 가장 중요한 것이 무엇인가?
죽음과 직면하여 그가 건진 화두는 무엇 이였을까?

작은 이익에 연연하지 않으며 세상을 보다 더 낫게 만들고자 한 정신적 가치의 실현.
그 끝에서 정점을 찍었던 동료가 떠난다.

그가 세상에 남긴 가치는 세상 사람들의 가슴에 남아 있을 것이다.
그를 폭압적인 독재형 CEO로 기억 하는 사람도 있고 새로운 지평을 열었다는 평가자들도 존재한다. 그러나 한가지 분명한 것은 그는 스스로의 가치를 입증 했다는 점이다.

기존의 질서에 만족하지 않으며 스스로의 질서를 만들어간 초인.


가슴에 유언을 담고 항상 마지막이라는 생각으로 혼신의 힘을 다했던 장인,
죽음 앞에서 덤덤한 스스로를 마주했을 그 사람.

깊고 깊은 심연 속에서 스스로의 삶에 가치를 부여 해야만 했던 고독한 자.

40대 중반에 그를 철저하게 변화 시킨 것은 죽음이라는 화두 였고 이전의 모든 경험들이 그를 한 차원 높게 만들어 버렸다. 그가 죽음과 직면 하지 않았다면 그는 다음 단계로 가지 못했으리라.
죽음과 직면하여 그는 무엇이 더 중요하고 어떠한 것이 가치가 있는 것인가에 대해 심각한 번뇌와 고민을 했으리라..
죽음앞에 마주서면 가장 중요한 것들만 직시하게 된다.
세상과 타협하지 않으며 스스로의 가치를 만들 수 있는 혜안과 두려움 없는 도전. 이 모든 것들은 가장 바닥에서 건진 그의 자산 이였으리..


이미 2005년에 그는 죽음 속에서 건진 스스로의 화두를 내뱉었다.
알든 모르든 그는 이미 그 삶의 화두를 던졌다.

Stay hungry, Stay foolish.

그가 죽음에서 건진 화두이고 무엇을 추구하던 치열하고  집착이 있어야 하며 스스로에게 가장 충실하라는 말이 될 것이다. 세상이 어리석다 손가락질 할지라도 스스로의 가치를 볼 수 있다면, 그것이 결국엔 자신에게 돌아온다는 의미가 된다.

열정의 또 다른 의미.

맹자의 인물론에 보면 하늘이 사람에게 일을 맡길 때에는 그 일을 감당 할 수 있을만큼의 시련과 고통을 준다고 했다. 아주 오래된 이야기이나 지금이나 미래의 인간 세상에서도 동일한 가치를 가진다.

새로운 질서를 만들고 지형을 바꾸어 나간 동료의 떠남에 애도하며 
Stay p4ssionable.. 
Posted by 바다란

1997년 무렵에 해커의 길이라는 글을 쓴 적이 있습니다. 시간이 한참 지난 지금에 이르러서도 시류에 흔들리는 많은 사람들을 보게 됩니다. 시류라는 것은 항상 지나가는 것이며 그 근원을 볼 수 있어야 진짜의 길에 이르게 됩니다.

발표 내용중 장자의 고사중 하나인 木鷄(목계- 나무로 만든 닭)의 사례를 들었습니다. 인생을 살아가는 것과 전문 분야의 깊이에 다다르는 길은 항상 유사함을 가지고 있습니다. 각 단계별로 1~4단계가 있는데 저 조차도 3~4단계의 어디쯤엔가에서 헤매고 있을 뿐입니다만 방향성에 도움이 되셨으면 합니다.


마지막 부분의 SSM ( Special Security Manager) 부분의 내용은 지금까지 명확하게 제시된적이 없는 자료로서 참고적으로 활용하시면 됩니다.  정해진 길을 가기 위한 지도는 없습니다. 따라서 거칠게 보는 관점에서의 로드맵이 있을 뿐이지 정확한 길이란 없다는 것이죠. 그래서 그 길을 가기 위한 준비물과 대략의 방향성만을 제시 할 수 있을 뿐입니다.


좁은 범주에서의 해커라는 의미를 벗어나 좀 더 생활력있고 사회에서의 역할, 문제 제기와 대책의 제시라는 측면에서의 역할을 제대로 할 수 있는 보안전문가라는 부분으로 매핑을 하시기를 바랍니다.

발표시에도 언급 했지만 어떠한 일에 열과 성을 다하고 최선을 다해 한계를 넘으려고 하는 시도 자체가 해킹이라 할 수 있고 해커라 할 수 있습니다. 부정적인 의미에서 벗어나 최초의 문제제기만을 하는 것을 해커라고 부르는데 잘못된 의미라고 봅니다. 전문가라는 관점에서의 로드맵은 매우 달라야 하며 단기간에 관심을 받는 것을 벗어나 스스로의 역할로 전체를 변화 시킬 수 있을때 진짜가 될 수 있을 것입니다.


문제제기는 기술에 의해 할 수 있으나 대책과 범위, 적용의 단계에서는 보다 큰 노력과 다양한 분야에서의 협력이 필요합니다. 이 부분을 끌어 낼 수 있는 Expert가 되어야 인생이라는 긴 길에서 자신의 길을 갈 수 있습니다.  단순한 테크니션이나 엔지니어가 아니고 말입니다.

기술에 종속된 테크니션이나 엔지니어가 아닌 어느 분야이든지 간에 스스로의 길을 갈 수 있는 expert를 가는 방향과 마음의 준비에 대한 짧은 PT라고 생각 하시고 보세요.


1. 개인적으로 국내의 환경이나 세계의 환경에서 보자면 각 분야별 전문가 ( 취약성 리서쳐, 관제, 모의해킹, 시스템 보안) 분야의 길은 기술의 흐름과 변화에 항상 민감하게 따라 갈 수 밖에 없습니다. 이 부분에서 리더를 하려면 오랜기간의 집중과 노력이 필요한데 사실 제약 환경이 많다보니 어려움이 있을 수 밖에 없는 현실이구요..

2. 나아가 한 회사의 보안관리자나 담당자로서 할 수 있는 범위도 전체의 부분을 커버하다보면 변화에 뒤쳐 지고 새로운 기술의 적용과 채택에 어려움을 겪을 수 밖에 없습니다. 일단은 일에 적응을 하기 때문에 리딩이라는 부분에 대해서는 한계를 지닐 수 밖에 없죠.  절벽에 매달려서도 떨어지는 한방울의 꿀을 음미한다고나 해야 할까?.. 

3. 전문적인 기술영역과 적게라도 전체의 부분을 볼 수 있고 실제 업무를 해본 경험이 결합된다면 더 큰 범위의 길을 갈 수가 있고 그 길에서 새로움을 찾을 수 있습니다. 이게 변화를 이끌어 내는 길이죠. 

누가 딱 정할 수 있는 부분은 아니지만 지금껏 세상은 이렇게 돌아가고 있습니다. 보안 분야가 아닌 사회의 모든 분야에서 말입니다. 




전문가를 꿈꾸시는 분. 자신의 길을 가고자 하시는 분. 해커라는 말에 현혹 되시는 분들 모두..눈에 보이는 것에만 집중 하지 마시고 이면의 많은 부분을 보시길 바랍니다. 큰 노력 없이 될 수 있는 것은 아무것도 없습니다.

쓰이는 범위에 따라 . 동네 푸줏간의 소잡는 칼이 되기도 하고 세상을 바꾸는 칼이 되기도 합니다. 둘다 칼은 잘 쓰는 것이지만 쓰이는 범위와 철학이 다른 것이죠. 큰 길에서의 자신을 상상 하시길 바랍니다. 



-바다란 세상 가장 낮은 곳의 또 다른 이름

Posted by 바다란

木鷄

기성자는 왕을 위해 싸움닭을 훈련시키는 사람이었다.

그는 훌륭한 닭 한 마리를 골라 훈련을 시켰다.

열흘이 지나자 왕은 닭이 싸움할 준비가 되었는가를 물었다.

 

[단계 1]

조련사는 대답했다.

아직 안 됐습니다. 아직 불 같은 기운이 넘치고 어떤 닭과도 싸울 자세입니다. 공연히 뽐내기만 하고 자신의 기운을 너무 믿고 있습니다.”

 

[단계 2]

다시 열흘이 지나 왕이 또 문자 그는 대답했다.

아직 안 됐습니다. 아직도 다른 닭의 울음소리가 들리면 불끈 성을 냅니다.”

 

[단계 3]

또다시 열흘이 지났으나 왕의 물음에 여전히 그는 대답했다.

아직 멀었습니다. 아직도 상대를 보기만 하면 노려보고 깃털을 곤두세웁니다.”

 

[단계 4]

또 열흘이 지나서 왕이 묻자 기성자는 마침내 대답했다.

이제 거의 준비가 되었습니다. 다른 닭이 울어도 움직이는 빛이 안 보이고,

먼 데서 바라보면 마치 나무로 조각한 닭과도 같습니다.

이제 성숙한 싸움닭이 되었습니다.

어떤 닭도 감히 덤비지 못할 것이며, 아마 바라보기만 해도 도망칠 것입니다.”

 --------------------

나는 어디쯤이던가? 장자의 고사는 분명하면서 명쾌하다.
무언가 빈듯 하면서도 새는 곳이 없는 세상의 진리를 이야기 한다.

단계2와 단계 3의 어디쯤에서 홀로 자라는 싸움닭과도 같다.

그 길의 고독함이야 말해서 무엇 할까?

가이드가 있어서 길이 있는 것도 아니고 스스로 알아서 모든 것을 만들어 가야 하는 길이다. 그 길은 때론 포장길이고 때론 비포장이다. 지금까지는 비포장이 더 많았던것 같다.

굴곡 많은 인생의 길을 걸으면서 삶은 예정된 무엇이 아닌 살아야 할 신비라는 점에 백퍼센트 동감 한다.


기다릴줄 아는 왕과 시기의 적절성과 훈련을 시킬 수 있는 기성자의 조합. 그 둘의 조합에서 싸움닭은 나무로 만든 닭이 되어 간다. 스스로를 준비하고 스스로를 다독이며 스스로가 준비된자. 자연이란 말 자체가 스스로 그러한 것이 아니던가.

단계 1은 확실하게 벗어났지만 아직도 걸어야 할 길들은 많이 남았다. 스스로 그러할 때까지 말 그대로 자연인이 될 수 있을때까지 노력해 보고 세상을 관찰하며 흐름을 볼 수 있어야 하겠다.

이번에 준비된 서비스들은 시류에 편승 할 것이다. 오랜기간 이때가 반드시 올 것이라 여기며 준비한 것들이다. 그 준비 단계가 어떠 했는지, 또 시의 적절한지는 세상에서 평가를 받게 될 것이다.

- 바다란 세상 가장 낮은 곳의 또 다른 이름 

 

Posted by 바다란

바다란입니다.

 

* 작은 방향을 가르키는 전략은 변화무쌍하게 구사하고 있으나 큰 미래와 방향성을 결정하는 Strategy 측면에서는 모두가 보는 부분이 부족하지 않나 생각 됩니다.


지난달 말 부터 IT서비스에 대한 위험과 대응에 대한 글들을 작성 하였습니다.

한번에 집중하여 작성을 못한 관계로 글이 길어졌습니다. 따라서 현안들에 대한 요약이 필요할 것 같습니다.

 

상세한 내용은 첨부한 파일을 참고 하시기 바랍니다.

 

현재의 위험 상황

 

-> 웹을 통한 악성코드 유포 및 DDos 공격 , 개인 PC에 대한 완벽 제어

   http://www.etnews.co.kr/news/detail.html?id=200711070178

-> 안전하지 못한 웹 서비스를 통한 악성코드 유포의 일반화

 

-> IT서비스 환경 근간을 위협하는 트래픽 공격

 

-> 백신 및 보안 서비스의 전역적인 대응 효과 미비

 

-> 인터넷 환경의 급격한 개선에 따라 향후 위험성은 전 세계 서비스로 확대 될 것임

    현재는 가장 빠르고 구조적인 인프라를 보유한 국내를 대상으로 지속적인 해킹 시도

 

-> 국내 개인 PC 인프라 장악 이후 공격에 이용 : 탐지 및 차단의 어려움

 

 

향후를 위한 대응

 * 방향성: 단기간의 공격에는 당할 수 밖에 없으나 그 이상은 당하지 않으며 공격도구의 분석을 통한 전역적인 대응으로 도구의 상실을 기획 하여야 함

 

-> 전역적인 대응 체제 구성의 절대적 필요성

   사용자 개개인에게 보안패치와 백신의 설치 권고만으로는 해결이 불가능함

 

-> ISP 와 분석기관 , 대응 기관의 절대적 협업 필요

    정보획득 -> 분석 -> 대응의 일원화된 프로세스 필요

 

-> 개인 PC 환경의 획기적인 보안성 강화 필요

    트래픽 이상유무 감지 혹은 과다 증가 검출 루틴 필요

    전국적인 대응 체제가 가능한 협의체 ( AV 업체의 연합) 또는 무료백신의 필요성

 

-> Secure한 웹서비스를 위한 Validation check 서비스의 일반화

   국내 웹 App의 80% 이상이 URL 인자 단위의 문제를 포함하고 있음

  ( XSS , SQL Injection 등) 따라서 악성코드 유  포지로서 이용되지 않도록 IT서비스 차원의 특화된 대응 필요

  단기: Validation check 서비스 활성화를 통한 일정규모 이상의 서비스 검수

  장기: Secure programming 의 일반화를 위한 Awareness 확대 - 서적 , 교육 등등

 

이상과 같이 정리가 됩니다.

대응체제 정립이 안될 경우 이제 더 큰 위험들에 IT서비스 부분이 직접 노출이 될 것으로 예상 됩니다.

이 위협은 전 세계의 모든 서비스가 해당이 될 것입니다.

IT서비스의 위험과 향후 대응 -20071101-p4ssion.pdf

IT 서비스의 위험과 향후 대응 PDF

 

* 첨부한 파일을 끝까지 읽을 수 있는 무한한 인내심을 지니신 분에게 경의를 표합니다. ^^;

 

감사합니다.

Posted by 바다란
해커의 길 그리고 나의 길 - 바로 뒤의 글에 언급된 해커의 길 I 탄입니다. 98년에 썼으니 무려 8년가량 된글이네요..

원본: www.nmrc.org

위의 URL 에 언급된 내용이지만 내용이 귀담아 들어야 할 내용이 있기에 이렇게 요약을 해봅니다

.
( 원문의 내용을 축약하고 간단히 하려고 했기에 의미가 손상되었을 수도 있습니다.)

=
[ 이 글은 수많은 사람들에게 똑같은 것을 말하기에 지쳐서 쓰는 글이라기 보다는 흥미있는 정보

를 지니고 있어서 쓰는 것이다. 만약 한명의 사람이 궁금해 하는 것을 묻는다면
거기에는 아마도 10여명의 묻지 못하는 사람들이 있을 것이라 생각된다. 그런 이유에서 이글을 쓴

다.]

이 문서는 지속적으로 갱신이 될 것이다.

최근에 다양한 주제에 대해서 묻거나 추천하는 프로그래밍 언어는 무엇이고 당신이 생각하기엔 어

떤 책을 먼저 보면 좋겠느냐 그리고 일반적으로 보안 부분에서 최고가 되기 위해서는 어떻게 하여

야 하는지와 그 위치에 도달하기 위해서 얻어야 하는 지식에 대해서 수많은 요청을 받고 있다
. 여기에서 나는 모두를 위해 그것에 대해서 털어 놓는다.

-----------------------------
어디서 시작하는가?
-----------------------------
이점에 대해서 나는 상당히 다른 의견을 제시한다. 만약 당신이 처음 시작 하는것이라면 당신에게

Technotronic,Bugtraq,Packetstorm,Rootshell , 등 의 소스를 보지 말 것을 제안한다.

그곳에서 시작하지 말라. ( 물론 그곳들은 좋은 사이트이고 내가 말한 것이 그곳을 당신이 방문해

서는 안된다는 것을 의미하지는 않는다. :=)

이유는 간단하다: 만약 당신이 아는 보안에 대한 생각이 최신 exploits을 아는것이라고 생각한다

면 당신은 많은 것을 알지못하는 당신 자신을 발견하게 될 것이다. 어떤 것이 서버권한을 얻고

얻지 못하고 하는것에 대해 아는 것은 좋은 것이다 그러나 그것이 지식의 굳건한 기초를 쌓는 것

을 제공하지는 못할 것이다. 당신이 RDS 가 최신의 에러요소를 지니
고 있다는 것을 안다고 할 때 당신은 어떤식으로 다운로드를 받고 스크립트를 실행시키는지를 알

고 그것을 패치 하는법을 만약 안다고 한다면 ; 지금으로부터 3개월 뒤면 그 패치는 널리 퍼져

있을 것이고 그 주제는 낡은 것이 될 것이다. -- 지금 당신이 가지고 있는 지식에서 무엇이 좋

은것인가? 잠시 생각해 보자. 얼마나 많은 주제에 대해서 당신은 이해를
했는가?

익스플로잇에 대한 당신의 지식인가 아니면 익스플로잇 자체인가?

상당수의 사람들이 만약 최신 exploits을 안다면 그들은 보안을 안다고 생각한다. 그러나
절대 !절대! 로 아니다. 당신이 exploits을 아는 것은 보안과는 다른 것이다.

Example: 당신이 phf,showcode.asp, Count.cgi , 그리고 test-cgi. 에 대하여 안다고 할 때
당신은 일반적으로 무엇이 CGI를 위험요소로 만드는지 아는가? 당신은 안전한 CGI의 코
딩을 어떻게 하는지 아는가? CGI 기반으로 작성된 다른 것에서 어떻게 피해를 줄 수 있는
지 당신은 아는가? 또는 PHF,showcode.asp , Count.cgi , test-cgi 등도 당신이 아는것과 다
른것인가?

그래서 나는 익스플로잇으로 시작 하지 말 것을 제안한다. 익스플로잇이 존재한다는 것을
무시하라 ( 물론 내가 어떤 의미로 말을 하는지는 당신도 알꺼다.) . 초보적인 사용자로 시
작하기 위해서 당신에게 필요한 것은 무엇이 있겠는가.


===============================

Becoming a User
===============================

만약 당신이 Web 해킹을 하려 한다면 당신은 web을 어떻게 이용하는지 알고 있는가?
좋다. 당신은 넷스케이프와 익스플로러를 이용할 수 있고... 또 URL을 타이프 할 수 있으
며 .html 파일이 웹페이지 파일인 것을 안다. 당신은 파워유저가 되기 위해서는 이과 같
은 과정을 거쳐야만 한다. .asp 와 .cgi 가 동적인 것은 분명하다. .php 는 또 무엇인가?
redirect thing 은 또 무엇인가?. cookies? SSL ? 이 모든 것 들은 normal user 가 마주 치
는 것들이다. EXPLOITS 없이 다만 정상적으로 이용하라. 기초적인 것들을 무시하면 당
신은 엘리트가 될 수 없다. 절대 공짜란 없는 법이다.

유닉스를 해킹하기 위해서는 최소한 로그인과 로그아웃 그리고 쉘 명령어를 이용 할 수 있
어야 되며 mail, ftp , web, 등의 애플리케이션 실행 시킬 수 있어야 한다. 당신은 기초를 아
는 것이 필요하다 그래야 관리자가 될 수 있을 것이다.

==============================

Becoming an admin
=============================

지금 당신은 사용자의 영역을 넘어서 조금 더 복잡한 사용에 익숙 해져야 한다.
좀 더 명확하게 말하자면 웹서버가 될 것이다. 서버의 타입은 무엇인가? 각각의 차이점은
무엇인가? 어떤식으로 당신은 그것을 구분 할 수 있을 것인가?
정답은 그것들이 어떤 식으로 작동하는 지와 무엇을 하는지를 알아야 한다. HTTP 가 무
엇인지 아는가? HTTP1.0 과 HTTP1.1 의 차이점은 무엇인가? 어떻게 HTTP 1.1 가상 호
스팅이 작동하는 지를 안다면 웹서버의 설치에 도움을 줄 것이다. 좀 더 깊이 들어가 보
자.

운영체제에 대해서. NT를 구분 할 수 없다면 어떻게 해킹을 할 것인가? 당신은 아마도 관
리자 패스워드를 크랙 하려 할 것이다. 어떤 식으로 rdisk를 실행시키고 사용자명과 패스워
드 등등의 관리 조차 하지 못하면서 말이다. 이제 당신은 관리자에서 power-admin 으로
격상 되어야함을 느낀다. .. 당신은 이제 GUI환경에서 사용자추가를 할 수 있다. GUI를 이
용하여 추가하는 방법이외에는 방법은 없는가? 커맨드 라인은 무엇을 말하는가? 어쨋든
이 모든 실행 파일들이 당신의 system32 디렉토리 내에 있는가? 이것들은 도대체 무엇을
하는가? 왜 usernetctl 이 suid를 필요로 하는지 아는가? 단지 usernetctl 이 필요한가?
좀 더 깊어져라. 좀더..

친밀하게 되라 이것이 핵심이다. 대충 알아서 되는 것은 없다. 당신이 찾아 낼 수 있을 만큼
을 알아 내라 그리고 초 절정고수 (guru ) 가 되라.~~

==============================

당신은 모든 것을 알수는 없다.
==============================
위의 말은 진실이다.. 할수 있다고 생각하지 마라. 만약 당신이 할수 있다고 생각한다면 당
신은 스스로를 어리석게 만들고 당신의 지식을 얇게 만들어 버릴 것이다. 당신이 무엇을 필
요로 하고 흥미가 있는지를 골라내고 더 배우라.

사용자가 되고 관리자가 되고 .. 초절정 고수가 되고..그리고... 사실상의 그 주제와 관련된
부분에 있어서는 오직 당신 이외에는 없는 넘버 1이 되어라.
웹을 사용하는 것과 CGI를 어떻게 쓰는지를 배울 필요는 없다. 기초에 충실하라.. HTTP를
알라. 웹서버가 어떤 식으로 작동하는지에 대해서 알고 어디에서 관찰하는지를 알아라.
이것이 동작하지 않을 때 에는 무엇이 그 원인 인가를 깨달아야 한다.

당신의 관심 분야에 대해서 친숙하게 알아 갈수록 자연스럽게 어떤 식으로 exploit을 하
는지를 알게 될것이다.

간단하지 않은가?.. 만약 당신이 모든 입력과 출력에 대해서 안다면 , 보안은 이 입력과
출력의 범주에 속한다. 최신의 exploits 에 속하는 것 물론 과거의 것과 미래의 exploits 은
보안에 포함 되지 않는다. 당신이 초절정 고수가 되어가는 과정에서 당신은 알려지지 않은
작은 사실들을 발견 할 수도 있다. .. 대단 하지 않은가?.. 이것이 exploits 이다. 조작을 하
기 전에 당신이 본 것과 어떻게 그것이 작동하는지에 대한 이해가 필요 하다.

자.. 가서 CGI 가 실제로 무엇인지, 어떻게 HTTP 에 영향을 미치는지, 어떻게 웹서버가 그
것을 실행하는지에 대해서 배우라.. 그러면 당신은 무엇을 하는지 이해 할수 있을 것이다.

들어서 아는 것과..이해하는 것의 차이는 명확하다!!!!

==========원문 끝==========


>사견 첨가

해킹을 하기 위해선.. exploit 이전에 HTTP 가 무엇인지 TCP/IP 가 어떤식으로 작동 되는
지에 대한 이해가 우선 되어야 한다. 해킹이 목적이 되어선 결코 배울 수가 없을 정도로 따
분하고 지루할 수 있지만 이 과정을 넘어야.. 당신은 당신이 하려는 것이 무엇인지 알 수 있
을 것이다.

기초가 없이는 종속 될 뿐이다.

HTTP, TCP/IP 등의 기초적이고 지루한 이론 에 충실 하지 못하기에 거의 대부분의 해킹
기법과 exploits 이 외국에서 나오는 지도 모른다. 어쩌면 우리에게 OS를 만든 역사가 없
다는 것이 시스템 프로그래머의 사장과 그 이론의 구체화와 전파에 지장을 주었을 것이다.
이제 리눅스라는 걸출한 영물이 하나 우리에게로 던져 주었다.
이제 우리는 무엇을 할것인가?..
우리손으로 OS를 조작 할 수 있게 되었다. 그런데도.. 외국에서 만든 익스플로잇이나 돌리
면서 잔머리 굴리기를 언제까지 할것인가?.. 진정한 해킹이란.. 툴이나 기존에 완성된것이라
기 보단.. 창의적인 작업이다... 바로 이것이 무기이자 경쟁력이 되는 세상이다.
우리에게는 창의 성이 없다. 다만 응용만이 있을 뿐이다. 기초가 없는 응용은 발전에 한계를
가진다. 창조 하지 못하면 곧 죽음이 되는 시대가 올 것이다. 그러나 우리는 기초를 보려
하지 않는다. 단순히 가장 빠른 exploits을 적용해 가며 으쓱하는게 자랑인가?..
어느 서버를 해킹해서 어떻게 했다.. 이게 자랑인가?.. 물론 자랑일수 있다. 그러나 그것이
다는 아니다. 기초를 무시해서 망가진 것을 우리는 수도 없이 봐왔다. 삼풍, 성수, 정치,경
제 ... 이 모든 것을 목격한 우린 다르다고 말을 하지만.. 알고 보면.. 판만 바뀌었다 뿐이지
똑같지 않은가?.. . 바뀐 세대들이여.. 그대들이 말하고자 하는 것은 무엇인가?..
깊이 이해 하려 하지 않고 흐름을 쫓기 좋아 하지만.. 그래선 언제나 쫓아 가기만 할뿐이다.
생각을 바꾸면 우리 길을 만들 수 있다...우리 윗세대가 우리에게 밥굶지 않는 생활을 만들
어 주기 위해 그렇게 고생을 하였다면 이제 우리는 다음세대에게 어떤 모습으로 비춰 질것
인가?..또 어떤길을 갈 것인가?.. 우리가 우리의 길을 갈 수 있다면 그것 부터가 최초의 길
이 아니겠는가?.... 마음을 편안히 가져라.!!.. 당장 오늘 결판이 나는 것은 아니다. 오늘 나온
exploits을 알지 못한다 하여 불안해 하지 마라.. 해킹 기법이라면 무조건 익혀야 된다는 생
각을 버려라.. 기초를 알면.. 화려함으로 포장된 이면을 볼 수 있다... 알고 보면.. 아무 것도
아닌 것이다.!!!

개인적인 경험을 말하자면

나는 프로그래머다.. 지금 8년째 공부를 하고 있으며 그 중에서도 5년 이상의 기간을 C 언
어 라는것만 집착했다... 고집스럽게도 이해하기 전에는 넘어 가지 않으려 했다... 처음엔 답
답하고 아무리 해도 끝이 보이지 않던 것들이.. 바닥으로 바닥으로 계속 파헤치다 보니 컴퓨
터 구조 까지 공부하게 되었다. 그리고 다시 C 언어를 공부했다.. 그래도 모르겠더군..
솔직히 머리가 나빠도 이 정도로 나쁠수 있을까 하는 의심 조차 들었었다. 그런 시간을 인
내하며 끝없이 바닥에서 다시 시작 하고 또 시작 했다. 컴맹으로 시작해서 2년의 시간이 지
날때쯤에야 머리속에서 프로그램을 컴파일 시키고 문제가 생길 수 있는 부분을 예상 할 수
가 있게 되었다. 그리고 군대에서.... 컴 퓨터를 접할 수 없었던 나는 머리속으로 생각 하고
또 생각 하게 되었다. 어느 순간 모든 것이 명확해 지더군.. 수백번도 더 보았던 구절이 명
확하게 이해가 되고 내 나름대로의 방식을 가질 수 있게 되었다... 그 때에도 수많은 화려
한 언어들이 명멸하고 이름을 날렸지만 불행인지 다행인지.. 고집스럽게 그거 하나에만 매달
렸었다... 그리고 지금.. 한달의 기간이면 하나의 언어를 내 식대로 다를 수 있게 되었다. 또
그렇게 사용하고 있다. 어차피 한정된 자원을 이용하는 것은 마찬가지이기에 겉으로 드러나
는 화려함 보다는 내부의 자원을 이용하는 것을 보는 것이다.. 그러면 사용할 수 있는 방법
이나 책에 나와 있지 않은 방법. 매뉴얼에 언급되어 있지 않은 새로운 것들을 활용 하고 가
공 할 수 있는 상태가 되었다.. 이제 나는 GURU 의 길로 간다.... 내가 남긴 글이 당신들에
게 도움이 되기를 바라며.. 절대 조급하지 말기를 바란다.. 해킹이란 것은 오히려 프로그래밍
보다 유행주기가 훨씬 짧다.. 그러기에 더더욱 보이는 현상에 집착하지 마라... 기초를 알면
모든 것은 자연히 이해가 된다... 오늘 애써 익힌 소스일지언정 며칠 아니 몇시간이 지나면
써먹을 수 없을지도 모른다.~~.. 당신은 한순간의 자만을 위해 당신의 귀중한 시간과 인생을
낭비할 것인가?... ..

기초를 익혀라..

그것이 진정한 해커의 길이다.!!

창의력으로 승부하는 진정한 해커의 길이다.!!

winsnort@hotmail.com : 바다란
- 지난 98년 쯤에 썼던 글입니다.
Posted by 바다란

아주 오래된 글을 우연찮게 찾았다.  읽다보니 그 당시의 심정을 알 것 같은 느낌이 새록새록

2000년이 되기전에 쓴 것 같은 기억이 ~~ 지금도 해당될까? 하는 궁금증은 들기는 하지만 그냥 무시하고 올려본다. 아마 해커의 길을 처음 쓰면서 같이 썼던것 같은데 아무튼 오래된 글이다. 아직까지 남아 있다는게 신기한 정도

 

지금의 프로그래머란 정의는 딱 한줄로 될 수 있을 것 같다.

" 스스로가 생각하는 것을 그대로 구현 할 수 있는자 "

그리고 내용중 귀를 엷게 만들지 말라는 지금도 당연한 사실. 시류에 흔들리다보면 언어의 유행에 흔들리다 보면 외딴섬에 난파된듯한 자신을 발견 할 수 있을 것이다. ^^

 

------------------------------------------

..
솔직히 말해서.되는 방법이란 것은 없다.

다만 자신이 진실로 원하느냐 원하지 않느냐가 문제일 것이다.

프로그래머라고 불리어 지기를 원하느냐 아니면.. 스스로 자칭을 하느냐...

어느쪽이든 간에 나쁘다 좋다를 떠나서...

밥벌이의 수단이나.. 혹은 그냥 보기 좋아서 선택한다 하면...

일단은 내 기준에서 보기엔..제외하겠다..( 주관적인 의견..)


자신의 의지와 열정을 굽히지 아니하고 어려운 생활을 스스로 감내하면서도

스스로의 창의성을 살리고 창조의 욕구를 해소 시키는 자.


우선..쓸데없는 서론은 관두고..정신적인 자세와..공부매체에 대한 것으로 나누어서 보도록 하겠다. 우선은 정신적인 자세부터...지극히 주관적인 것이니. 객관적이지 못하다라는 필요없는 반론은 그만 두기 바란다. 그럼 시작한다.

 


==============================================================================


@@@@  프로그래머가 되기위한 정신적인 방법

==============================================================================


1. 하나를 잡고 끝까지 고민하고 그 모르는 하나의 근본이 무엇일지 생각해 보라.


대개 보면..C 언어에서는 포인터 부분을 잘 몰라서.. 포기 하는 부류가 가장 많은 것 같다. 그러나 근본원리라는 것은 변하지 않고 모양만 변하는 것일뿐인데..
이용하는 자원은 정해져 있다는걸 명심하고.. 가장 근본이 되는 모습을 보고 어느정도 이해 하려고 하면 처음은 어려워도 시간이 지날 수록 쉽게 다가옴을 명심하시길..

 


2. 하나의 언어에 대해서 자신이 있다고 말할 정도

또..스스로 생각하는 걸..그것이 작던지 크던지 간에 창의적으로 구현을 할 수 있다면 어느정도 자신이 있는것 아닐까?.. 언어의 유행과 주기를 떠나서.. 스스로가 공부를 하기 위해서 선택한 것이라면 스스로가 생각하는 창의성을 제약하지 말고..마음껏..노력하고 마음껏 다듬어.. 스스로 애지중지 할 수 있는 하찮은(?) 프로그램이라도 개발해 보는 것이 순서이리..

 

3. 귀를 엷게 만들지 말라.

이것이 유행한다..저것이 유행한다 하여..이리로 타고 저리로 옮겨타구..하는 것은 시류에 가장 잘 적응 하는 것일수도 있지만.. 좀 길게 생각해 보면.. 시간들여서.헛짓 하는 것일 수 있다. 또. 깊이가 없는 앎은 언제나 결정적인 때에 시들어 버리고 마는법이다.

 

4. 사회의 어느부분에 도움이 되고 싶다는 열망을 가져라.

이 부분은 나 같은 성격에는 잘 맞지는 않는다고 생각하지만. 개인적으로 생각하기에.. 스스로가 바꾸고 이런쪽으로 이끌었으면 좋겠다고 생각하는 부분을 두고 구체적으로 생각하고 고민한 후에 직접 실천해보라.. B2B 솔루션에서 획기적인 생각을 하였고..또 그걸 구체화 하기 위해서는 어떤것들이 필요한지.주위에서 습득을 하고..노력을 기울여라

 

5. 이제 그대가 할 수 있는것은 창조 뿐이다.

마지막..단계이다.. 창조성을 살려야 한다. 십수년의 갇힌 교육으로..강요 되어져온 창의적인 야수성을 살려라.. 그리고 나아가라. 그대의 길로.. 그것이 guru 의 길.


===============================================================================

@@@ 프로그래머가 되기 위해  학습을 하는 방법 @@@@@

===============================================================================


1. 우선 초보책을 산다. 프로그래밍 초급.. ( 아무래도 근간은 C 일듯..)
 
 언제나 말하지만..책 사고.배우려고 하는데 돈을 절대 아끼지 마라.. 지금 당장이든 언제는 돌아오지 않을 듯 보여다..깊어지고 깊어지면 반드시 돌아오는 법.
초급에 관련된 책들을 여러권 사서 보면서 그 책들에 기술되어 있는 부분에 있어서..
분명히 같은 개념을 말하지만..말이 어렵거나 다르게 쓰여져 있는 부분이 반드시 존재한다. 이런 부분에 대한 궁금증과 호기심을 가지고 골똘히 생각해보라.

 

2. 분야별로 전문적이거나 중급수준의 교재를 나름대로 선정한다.

누구나..초급을 벗어났을때..교재의 선정에 애로점을 지닌다. 그러나 발로 돌아다녀보구..여러군데 쇼핑몰을 돌아다니면서..찾아보라..이때에 선정해야할 책의 내용으로는 개인적으로 생각하기에는 초급에서 알았던 내용과 모르는 내용이  50:50으로 섞인것 을 보는 것이 적절히 흥미를 유지하면서 하기에 좋았던것 같다.

전문적인 부분에 있어서는 1번 단계에서 말한 내용중에 같은 것을 설명하면서도 다르게 풀이가 된 부분을..집중적으로 생각하고.. 스스로가 정의를 한번내려 보라..

ex) 포인터의 사용법과 쓰임에는 선언과 정의가 있다. 이 선언과 정의에 대하여 스스로가 정의를 내려보라.
간단히..선언은  이런것이 있다고 알리는 것..
정의는 이런것을 이렇게 쓰는것..뭐 이런 식의 스스로의 해석이 있어야 될 것이다.

 


3. 다독을 하라.

프로그래밍의 근간은 모방과 많은 소스 코드를 보고 이해하려는 노력들이 모여야만 한다.
노력이 없이는 되는 것이 없는 법이다.
많은 책을 읽고 그 차이점과.. 책의 오류에 대해서 나름대로의 판단기준으로..의견을 낼 정도로  많은 책을 보라.. 굳이 돈 없다는 이야기 하지 마라..
학교 도서관이나. 공공 도서관 가도 요즘 프로그래밍 책들 예사롭지 않게 만날 수 있다. 예전과는 다르게....
또..웹사이트는 폼인가?.. 돌아다니면서..잘 찾아보라..

 

4. 다독을 하면 반드시 한계를 지니게 된다. 그걸 넘어서라.

외국어를 알아야 한다. 최소한..우물안 개구리가 안 될려면..회화를 알아야 한다는 것이 아니다. 읽을 줄 알아라.. 정확한 문법이고 이런거 필요없다. 그대가 만약 토익이나 토플등에 관심이 있다면.. 문법을 따지겠지만. 그대가 지식을 익히려는 목적은 프로그래밍이 아니던가??.. 차이를 가져보라.. 우리나라의 책들이 말하는 지식과.. 다른 나라에서 만든 책들중에서..차이를 느껴보고.. 전문성을 보려고 하라.

 

5. 많은 자료를 웹사이트에서 찾아보고..반드시 생각해보거나..써보아라.

공부하라.. 인터넷의 세계는 양면의 칼날이다. 잘 쓰면 쓸수록 깊이를 지니는 도구일뿐.
그리고..스스로의 아는 지식의 빈약함에 대해.. 반성하라.
이제 상업적으로도 성공하거나 완전한 제품..혹은 그럴리 없겠지만. 사회에 기여하고 싶다면 제대로된 프로그램을 짜야한다..이러기 위해서 그대는 많은 소스와 공개된 오픈 소스들을 분석하고 필요한 것이 무엇인지 잘 생각해 보라..

 

6. 아마도.. 데이터 베이스나 넷트웍에 대해서 알아야 된다고 생각 할꺼다.. 아닌가?

그래..데이터베이스는 알게 모르게 우리

우리 주위에 깊숙히 존재한다. 그러나 잘 아는 사람은 그리 많지 않다.. 이게 없으면 많은 것들이 힘들어 지고 할 수 없게 된다.
DB 에 보면 Schema 라고 하는게 있다. 이 모든 근간에 프로그램 코딩은 맞추어 지고..
데이터의 흐름을 가지고 프로그램은 살아있게된다.
이런 데이터의 흐름을 스스로 디자인 해보라.이를 DFD 라고 한다. (Data Flow Diagram)
DFD 를 만들면 작성해야 하는 프로그램의 전체 구조를 일목요연하게 볼 수 있다.
이걸 할줄 알고 볼 수 있어야 만이 진짜 프로그램의 세계를 만날 수 있다.
솔직히 그대들은 아직 간단한 코딩 테크닉의 활용들을 보고 아직 프로그램이라 하는가?
테크닉은 테크닉 나름대로 존재의 이유가 있지만. 프로그램은 인간을 이롭게 만들고 생활을 유리하게 만들기 위함이 목적이 아닌가?.. 목적에 충실하려면.. 그대가 알아야 할 것은 아직도 많다.


7. 개인용을 만들어 봤다면 이젠 상업용을 개발해 보라.


네트웍은 기본적인 것이겠지?.. 잘 생각해보고. 깊이있는 공부 혹은 스스로가 아는 방법으로 해볼려고 시도해 보라.. 깨놓구 말하지만. 머리를 벽에다 많이 박아야 홀로 알 수 있을 것이다... 그런 후.. 상업용제품을 만든다는 생각으로. 일반 쉐어웨어나 상용제품을 꼼꼼히 생각해 보면서 실행 시켜보라..무엇을 느끼는가?..

 

8.아마도.. UI (User Interface ) 를 느낄 것이다.

그대가 불편하면 사용자도 불편한것.. 이..User Interface 를 위해 더욱 더 많은 테크닉과 기술을 우린 집결해야만 한다.

 

9. 이제 그대가 생각하는것을 창조할 만큼 노력하고 창의성을 지니는 것만 남았다.


winsnort@hotmail.com

Posted by 바다란

보안전문가와 보안관리자의 차이와 구분에 대해

 

 

안녕하세요. 바다란입니다.

 

일전에 보안전문가에 대해서 한번 써보기로 했었는데 생각해 보니 범위도 매우 넓고 세부기술 단위도 많은 문제가 있었습니다. 그리고 보안이라는 부분이 모든 IT 관련된 기술 부분과 연관되다 보니 적용의 범위와 산업의 범위를 어디까지로 두어야 할지 경계가 모호하여 적지 못한 적이 있습니다.

오늘은 IT서비스 부분에 대해 전체의 범주는 아니지만 많은 부분 포함이 되는 범위 안에서 보안전문가와 보안관리자에 대해 써보도록 하겠습니다.

 

보안전문가와 보안관리자에 대해서 상당히 애매하게 접근을 하고는 합니다. 그러나 일반적으로 알려진 상식으로 구분을 해보면 보안전문가는 보안 관련된 기술을 깊이 있게 이해하고 있고 실제 적용이 가능한 상태로 만들 능력을 지니고 있는 자를 의미합니다. 보안관리자는 보안정책에 대한 집행과 이행 , 시스템에 대한 관리 등등 다양한 부분을 책임지고 있는 자라고 할 수 있습니다.

전문가는 기술에 대한 전문가이고 관리자는 관리능력과 책임을 지닌 담당자라고 일반 경계를 그을 수 있을 것 같습니다. 보안전문가와 보안관리자는 Specialist Generalist라고 볼 수 있으며 일반 기업에서는 보안관리자는 Generalist여도 되나 IT서비스를 주된 업종으로 삼는 곳에서는 특정 부분[기술적인 부분]에서 Special한 능력을 일정수준이상 보유한 Generalist가 보안관리자라고 할 수 있습니다. 세부적인 기술에도 익숙하고 전체적인 부분에 대해서도 이해가 가능하며 책임의식이 있는 부류를 보안관리자라 칭할 수 있을 것입니다. 보안관리자는 또 두 가지 큰 부류로 나눌 수 있습니다. Manager Officer의 차이점이라고 할 수 있는데 후반부에 기술 하도록 하겠습니다. Security Manager의 속성에는 지켜야 할 대상에 따라 두 가지 부류로 나눌 수 있습니다. 고정 자산에 대한 보호를 위한 정책적인 보안관리자와 서비스에 대한 보호를 위한 Special Security Manager로 나눌 수 있습니다. 지켜야 할 대상이 무엇인가에 따라 부류가 달라진다고 보면 됩니다. General Security Manager Special Security Manager에 대한 차이는 보안관리자 부분에서 다루도록 하겠습니다.

 

IT 서비스를 구성하는 요소는 시스템 , 네트워크 , 서비스로 한정할 수 있습니다. 시스템과 네트워크는 이미 기본으로 갖추어야 하는 능력이며 서비스 [  , 게임 , Application 등등 ]에 대한 능력은 새롭게 강조되고 요구되는 능력입니다. 사실상 가장 중요하고 IT서비스에 막대한 영향을 미칠 수 있는 부분이기도 합니다. Web 2.0에서 사용자와의 인터페이스가 가장 중요한 부분인 IT 서비스 부분에서는 서비스에 대한 보안기술 능력은 더욱 중요한 부분이 됩니다. 범위를 한정하여 IT 서비스를 주된 업종으로 삼고 있는 업계에 한정하여 보안전문가가 갖추어야 할 요건은 다음과 같습니다.

 

보안전문가 [ IT Service 부분]

 

해커의 길에 유사한 내용들이 포함 되어 있습니다.

해커의 길 I : http://p4ssion.com/233

해커의 길 II: http://p4ssion.com/228

 

-         네트워크 보안 기술 : 네트워크 분야의 기본적인 보안 구성에 대한 이해가 가능하며 네트워크 구성도에 대한 이해가 명확해야 합니다. 취약지점과 보완해야 될 부분에 대해서 정확하게 지적할 수 있을 정도의 능력이 요구 됩니다. 또한 네트워크 보안장비에 대한 기본 이해도 충분해야만 합니다.

 

-         시스템 보안 기술:  각 서비스 하위 단위를 구성하고 있는 물리적인 단위인 각 개별 시스템 및 운영체제들에 대한 이해도가 충분하게 높아야 됩니다. 운영체제의 종류도 여러 가지가 있지만 대체로 *BSD 계열과 Windows 계열에 대한 충분한 이해와 일반 운영인력들 보다 나은 능력을 보유하여야만 됩니다.

 

-         Application 보안기술: 다양한 부분이 있습니다만 만들어진 부분에 대한 보안요소를 강조하는 의미에서 Web , Database에 대한 보안 기술과 구성요소에 대한 이해가 되어야만 합니다. Game의 경우에는 게임 내에서 발생하는 Abusing에 대한 분석능력도 충분하여야 하며 Service의 경우에는 Service에 대한 Abusing 대응과 분석이 가능한 능력이 있어야만 합니다. 이 부분에서 다양한 요소기술이 요구 됩니다.

 

n         Programming 능력: 개발이 가능한 능력이 있어야만 본질적인 보안상의 문제 이해와 지적이 가능합니다.

 

n         구조에 대한 이해: 오랜 시간이 소요되지만 서비스의 구성과 구조, Process에 대한 이해가 있어야만 게임이든 서비스든 Abusing에 대한 분석과 대응이 가능합니다.

 

n          Application [ 상용 또는 자체개발 ] 보안 취약성의 동향과 흐름에 대해 신속한 정보 수집과 전파 , 가공 능력을 지녀야만 합니다.

 

n         Reverse Engineering : 현상에 대한 분석을 위해 Binary 분석 능력을 갖추고 있어야 하며 최소한 이해는 할 정도는 되어야만 됩니다. Game의 분석을 위해서는 Binary 분석 및 Reverse Engineering 능력은 필수적인 부분입니다. 물론 어셈블리에 대한 이해도도 충분한 수준 이여야 겠죠?

 

-         Penetration Test 능력: 일반적으로 모의해킹이라고 부릅니다. 시스템 / 네트워크/ Application을 총체적으로 이해하는 상황에서 각 분야별로 침입을 시도합니다. 현재에는 시스템 및 네트워크 부분에 대해서는 상당부분 강화가 많이 되고 차단이 되는 상태라 주된 초기 침입지점은 Web을 통한 침입지점이 많습니다만.. 침입 이후에 진단되는 부분은 시스템/ 네트워크 /Application 영역을 막론하고 모두 해당이 되므로 모든 부분에 대한 능력을 보유하고 있어야 됩니다. 최소한 어느 곳에 어떤 정보가 있고 이런 유형에는 어떤 문제가 있다라는 Feeling이라도 지니고 있어야 됩니다.

 

간략하게 살펴보면 나열된 유형의 지식이 존재하여야만 됩니다. 물론 이상적인 경우입니다. 최소한 언급한 네 가지 기술에서 2가지는 필수이고 다른 두 가지는 중급 이상의 능력을 지녀야만 어느 곳에서도 역량 발휘를 할 수 있습니다.

 

필수는 시스템/네트워크 보안기술이며 Application 보안기술과 Penetration Test 의 경우 중급 이상의 능력을 보유하여야만 합니다. 시스템/네트워크 보안 기술만 보유하여도 충분한 기술이라 할 수 있지만 장기적인 안정성은 부족하며 현재의 공격기술 발전상황을 따라 갈 수 없는 상황이라 할 수 있습니다.

모의해킹과 Application 보안 기술 각각만 하여도 충분히 인정 받을 수 있으나 장기적으로는 세부 기술에 대한 이해와 범위를 확대 하고 끊임없이 노력하여야만 장기적인 발전 통로를 확보 할 수 있습니다. 작금의 국내 보안인력들은 인력풀은 매우 협소하나 충분한 역량 발휘가 가능한 인력들이 다수 있다고 볼 수 있으며 각 세부부분에 너무 치중하여 전체적인 균형이 부족한 부분이 작은 흠이라고 봅니다. [ 물론 제가 이런 말을 할 입장은 아닙니다만 ^^ ; 사견이므로  용서가 되리라 봅니다.]

 

 

보안관리자 [Security Manager]

 

보안관리자라는 용어에는 앞서 서두에서 GSM[General Security Manager] SSM[Special Security Manager]라고 구분을 지을 수 있다고 하였습니다. 대상이 무엇이냐에 따라 달라집니다만.. General Security Manager의 구성요소는 일반적으로 많이 아시는 자격증을 생각 하시면 됩니다. CISA , CISSP등과 같은 유형은 보안의 폭넓은 부분을 다루고 있으며 깊이보다는 넓이에 치중을 하고 있습니다. 물론 물리적인 보안 부분도 넓게 다루고 있습니다. 지켜야 할 대상의 범주에 따라 구분을 하시면 됩니다. 서비스의 제공이 아닌 제품의 제조 또는 연구결과물에 대한 보호가 필요한 기업이나 굴뚝형 기업[지켜야 할 그 무엇이 있는 기업? ]의 경우 GSM[ General Security Manager 이후 약어로 GSM이라 칭함]의 역할이 필요합니다. 물리적인 보안 조치 및 정책적인 보호 이슈 등에 대해서 대비를 하고 준비를 하면 일정 수준 이상의 보안 대응이 가능합니다. 물론 일부 IT 관련된 보호 대책도 논의가 되고 있으나 그다지 특화된 서비스라 보기는 어렵습니다.

 

 

GSM[General Security Manager]

 

상당히 폭넓은 분야에 대한 상대적으로 가벼운 지식[?]이 필요합니다. 그 동안의 ISO 인증이나 정통부의 인증 부분도 유사유형이라고 볼 수 있으며 이런 인증들이 IT서비스의 위험을 막을 수는 없습니다. 그러나 최소한의 대응과 준비는 할 수 있게 해준다는 점에서 의의를 찾을 수 있습니다. 외부와의 접촉 통로가 물리적인 방식 외에는 없을 경우 이 부분에 대한 대책을 진행 하면 됩니다. 이 부분도 심도 있게 들어갈 경우에는 많은 고민이 필요합니다만 지켜야 할 그 무엇에 대한 관점에 따라 달라집니다. GSM이 관장하는 영역을 일반보안이라고 칭하기도 하고 산업보안이라고도 할 수 있을 것입니다. [ 대략적인 업무에 대해서는 알고 있으나 상세 발전 내용에 대해서는 자세히 알고 있지 못하므로 표현에 대해 넓은 양해를 바랍니다.]  물리적인 보안 및 PC 보안에 대한 부분과 통제 부분이 주된 부분이 되며  BCP [ Business Continuity Planning] 영역으로 넘어가 전사적인 비즈니스 연속성 관점에서 이루어 지기 위해서는 GSM 영역도 매우 사려 깊고 심도 있는 지식과 이해가 필요한 부분이 됩니다. 그러나 이해를 하기 위해서 필요한 지식 부분은 GSM 보다는 SSM 영역에서 BCP에 접근하는 것이 더욱 손쉬운 길이며 또한 BCP를 수행 하기 위해서는  보안전문가 영역의 수준을 이해 할 수 있어야 됩니다. 이제는 자연재해만이 재해가 아니며 대규모 해킹이나 지속적인 DDoS에 따른 장애도 BCP에 포함이 되어야 하기에 더욱 그렇습니다.

 

 

 

SSM [ Special Security Manager]

 

Special Security Manager라 불릴 수 있는 보안관리자는 이제 걸음마 단계라고 할 수 있습니다. 보안전문가 수준에서 올라 갈 수 있는 레벨이라고 보시면 됩니다. GSM이 다른 영역에서도 보다 손쉽게 초기에 진입을 할 수 있다면 SSM은 매우 어렵습니다. 상당한 기간의 보안전문가 수준을 거쳐야만 가능하기 때문입니다. GSM은 시장에 초기 진입은 쉬우나 발전 양상에 따라 매우 어려운 상황에 처할 수 있으며 중대 사고 발생시에 빠른 판단과 대응을 하지 못함에 따라 문제가 심각해 질 가능성이 있습니다.

 

보안전문가와 Special Security Manager와의 차이점은 몇 가지 안됩니다.

 

보안 전문가 영역에 대한 이해를 기본 바탕으로 하고 현재의 공격이나 위협의 흐름에 대한 인식과 배움을 게을리 하지 않은 SSM들에게 요구되는 것은 현상에 대한 판단능력과 위협에 대한 대응 능력이 가장 필요합니다.. 보안 전문가들이 개별 사안에 대해 문제점을 진단하고 위협을 나타낸 것을 가지고 전체 서비스 분야에서 이 문제가 어떤 파급효과를 가져 올 수 있고 향후에 어떤 위험이 될 수 있다는 것을 판단하고 과감하게 행동에 옮길 수 있어야만 SSM 이라 할 수 있습니다. 자리를 차지 하고 있다고 관리자가 아니며 판단과 책임이 동반됨을 인지하고 기민하게 움직이고 판단/ 대응 하는 능력.. 이런 능력을 지닌 자가 Special Security Manager라 할 수 있습니다.

 

한국의 IT서비스 역사는 일천합니다. 좋게 봐도 10년이 한계입니다.  IT서비스 역사에서 보안이라는 기술 부문은 매우 거친 환경에서 자생 할 수 밖에 없었고 더욱이 서비스에 대한 이해를 하고 있는 보안관리자는 거의 없다고 볼 수 있습니다. 이제서야 보안전문가들이 보안관리자 영역에 접근을 하고 있는 시점에서 보면 좀 더 많은 시간이 지나야 각 IT 서비스 부문에 대해 특화된 전문적인 보안관리자들을 만날 수 있을 것입니다.

 

대규모 해킹 사고가 나거나 백도어가 발견 되었을 때 취할 수 있는 행동에 따라 GSM SSM의 행동 동선과 사고의 동선도 다르며 손쉽게 구분이 될 수 있습니다. 실효적인 대응 조치가 무엇이고 당장 무엇을 해야만 하는지 또 보안대책의 이행에 따른 서비스의 장애가 충분히 감내 할만 하고 그만큼의 가치가 있는 작업인지에 대해서 기술적으로 판단을 하여야 합니다. 이런 판단은 SSM 만이 명쾌하게 내릴 수 있습니다. GSM의 경우는 IT 서비스 부문에서 현상에 대한 판단 능력과 위협에 대한 대응 능력이 느릴 수 밖에 없으며 서비스 부문에서의 대응에서 느림이라는 것은 종말과도 같은 결과를 가져오게 됩니다.

 

Global 부문에서도 마찬가지 입니다. IT 서비스를 하는 모든 기업들 [ 사용자와의 인터페이스를 중시하고 사업모델인 모든 기업]에게 SSM은 매우 필요한 존재이며 이런 존재는 보안전문가와 함께 전문가집단을 구성함으로써 완전함을 이룰 수 있습니다. 완벽하게 방어하는 것이 아닌 공격기술과의 격차를 최소화 하고 빠르게 대응하는 체제만이 향후의 IT 서비스에 긍정적인 역할을 할 수 있고 최선의 결과를 가져 올 수 있습니다

 

Web2.0이 화두입니다.

Web2.0의 기본 모토는 사용자와의 호흡입니다. 호흡을 하기 위한 도구로 Internet이 사용됩니다. Web2.0을 표방하는 기업은 이 호흡에서 이익을 창출합니다. 사람들은 모두 위험성은 외면한 채로 이득만을 바라봅니다. 그러나 이런 이득은 오래 지속 될 수 없습니다. 위험에 대한 대비가 없고 준비가 없는 상태에서는 기껏 이루어 놓은 것들 조차도 순식간에 사라질 수 밖에 없습니다

 

 

 

Security Manager Security Officer

 

보안관리자와 CSO [ Chief of Security Officer]의 차이는 경영을 보는 눈에 있습니다. 보안관리자는 현실에서의 최선을 추구합니다. 그러나 경영을 보는 관점에 따라 ..회사의 수익구조와 발전방향을 이해하고 있는 CSO에게서는 적절한 수준의 대응과 미래에 대한 준비를 고민 할 수 있습니다. 수익에 기여 할 수 있는 부분을 찾고 보안이라는 역할을 수익에 직접 기여 하고 가장 큰 위험요소를 전략적으로 선별하여 제거 하도록 하는 관점이 있습니다. 모든 부분에 힘을 쏟을 수 없으므로 중요한 부분을 찾아서 선별적으로 힘을 집중하여 대응을 하는 큰 그림을 그릴 수 있는 능력이 있습니다. 보안관리자와 CSO의 차이는  경영을 보는 관점과 수익창출에 기여 할 수 있는 부분을 가려내는 능력에 있다고 봅니다. 물론 CSO의 경우에도 기술적인 의견들에 대해서는 판단을 하여야만 합니다. 서비스의 중지라는 극단적인 선택을 택하면서도 이러한 선택이 장기적인 관점에서 이익임을 이해 할 수 있어야만 합니다. 서비스의 중지가 필요한 사안인지에 대한 판단능력을 CSO가 가지고 있어야만 함은 당연한 이야기입니다. 최소한 보안전문가와 보안관리자의 의견을 종합하여 분석하고 판단할 수 있는 능력은 있어야 CSO라 할 수 있을 것 같습니다.

 

Security Manager Security Officer는 아직 경험해 보지 못한 영역[물론 앞으로도.. ^^]입니다. 따라서 단편적으로 제가 보는 시각에서 논의 하는 것이 부적절 할 수 있습니다만 개인의 관점에서 바라본 입장임을 양해 바랍니다..

 

이상과 같이 Security Specialist  Manager [ GSM  SSM] , Officer에 대해서 나름대로 생각하는 부분을 정리해 보았습니다. 자판 가는 대로 쓰다 보니 어설픔이 곳곳에 배여 있습니다 GSM [ General Security Manager ]은 물리적인 보안 부분과 정책적인 보안 부분에 대한 집중도가 높습니다. SSM [ Special Security Manager]는 기술과 동향에 대한 이해도가 높으며 집중도가 높습니다. Specialist Generalist의 영역 관점에서 보았을 때 최소한 IT 서비스 보안이라는 부분에서는 Specialist가 더 중요한 존재입니다. SSM의 중요성이 GSM의 중요성 보다 더욱 크다는 이야기 입니다.

 

SSM은 키우기도 어렵고 서비스에 대한 이해도가 높아지기 위해서는 많은 시간이 필요한 부분입니다.보안전문가와 Special Security Manager의 조합은 변화무쌍한 Web 2.0 환경과 그 이상의 복잡한 환경에서 기업의 안정성을 보장하고 빠르게 변화하는 공격 기술로부터 IT서비스를 지킬 수 있는 조합이라 할 수 있습니다.

 

IT 서비스 측면에서 보안전문가와 보안관리자[SSM]의 필요성과 차이, 구분에 대해서 느끼는 대로  적어 보았습니다 마지막으로 국내의 IT서비스 환경에서도 보안전문가의 중요성과 각 서비스 환경에 능숙한Special Security Manager의 양성에도 많은 관심이 있었으면 합니다.

 

좋은 하루 되세요.   2007.3.6

 

* 사족으로 그 동안 여러 회사에서  Security manager들과 많은 일들을 해보았습니다만 보안은 행동하지 않으면 아무것도 없는 허상입니다. 말과 문서로 이루어 지는 것은 실제의 서비스에 많은 영향을 주지 못함은 당연한 사실입니다. 보안전문가의 말이 통하지 않고 판단이 늦어지는 문제는 IT서비스 부분에서 치명적인 결과를 가져온 것을 종종 보았습니다. ^^;

Posted by 바다란

베토벤 바이러스 그리고 보안전문가  - 2008. p4ssion *본 글은 zdnet 컬럼 기고글입니다.

 

베토벤 바이러스가 화제가 되고 있다. 드라마와 보안은 무슨 상관이 있을까? 바이러스라는 단어 외에는 보안이라는 용어와 관련이 없는데도 불구하고 이야기 하고 싶은 것은 전문가에 대한 단상 때문이다. 

 

하나의 완성을 위해 끊임 없이 자신을 갈고닦고 스스로를 담금질 하는 모습과 때로는 사회와 격리된 듯한 이질감을 지니게끔 만드는 주인공의 모습을 보며 환호하는 것은 현실에서는 보기 어려운 모습이라고 여기기에 대리 만족을 하는 것은 아닌가 하는 생각이 든다. 그러나 실제 전문가로 살아 가고 열정을 다한다는 것은 동일한 고통과 노력이 있어야만 가능할 것이다.

 


< www.imbc.com>

 

드라마를 보면서 전문가에 대한 생각이 교차하는 것은 베토벤 바이러스 처음이 아닐까 생각 된다. 특히 오케스트라의 지휘자에 대한 생각이 많이 달라지게 되었다.

 

오케스트라 지휘를 하고 연습을 하면서 여러 악기들이 모여 연주를 하는 과정에서 중간중간 연주를 중단 시키며 개별 악기들을 언급하며 어느 부분이 부족하다고 직접적인 언급을 하는 것을 보면서 보안 전문가라는 분야에 대해서도 깊은 생각을 하게 되었다.

 

 ( 글에서 언급하는 보안전문가는 특정 부분의 Specialist 언급하는 것은 아니며 SSM- special security manager 언급한다. 의미는 기술적인 부분에 한정하여 설명함을 의미한다. 용어에 대한 개별적인 정의는 다음을 참고한다. http://blog.naver.com/p4ssion/50014996901 - 보안전문가와 보안 관리자의 차이와 구분)

 

지휘자와 보안전문가의 공통점은 상당히 많다. 지휘자는  여러 악기들을 전부 빼어나게는 연주하지 못하지만 악기에 대해서는 수준급의 연주를 있으며 전체에 대한 균형을 인식하고 있다. 조화를 위해 전체의 부분을 균일하게 가다듬고 스스로가 이해한 정도에 따라 개별 악기들에게 느낌을 강요하도록 한다. 어쩌면 개별 악기의 연주자들은 지휘자에게 소모품일 수밖에 없다. 지휘자가 생각하고 이해하는 음악에 도달하기 위한 도구일 뿐이기에 소모품이라 여길 있다. 

 

드라마상에서 강마에가 노골적으로 내뱉는 소모품이라는 말은 표현하기 힘든 금기시 되는 말과도 같다. 그러나 본질적으로는 동의할 밖에 없는 말이다.

 

음악은 지휘자의 이해의 정도에 따라 해석이 달라지고 새로운 방향으로 전환이 된다. 스스로가 창조주가 되기도 하고 새로운 것에 대한 도전을 하기도 한다. 새로운 것을 창조하고 독자적으로 해석하려는 시도를 하는 지휘자를 필자는 마에스트로라고 이해 하고자 한다. 그런 의미에서 드라마의 주인공인 강마에는 재현된 마에스트로에 가깝다고 있다.  다른 관점에서 원전의 해석에 충실 하고자 하는 강마에의 모습과 새로운 변화와 시도를 하고자 하는 작은 강건우는 다른 비교가 있다. 보안전문가의 현재 모습과 적절한 비교가 가능할 이다.

 

 

보안전문가

 

네트워크/시스템/Application 겹겹이 둘러 쌓여서 이루고 있는 IT시스템에서의 보안전문가의 역할은 무엇일까? 그리고 지금의 시대가 요구하는 모습은 강마에혹은 작은 강건우 역량이 요구 될까 하는 점은 고민이 필요한 부분이다. 지금의 보안 전문가의 모습은 전체 혹은 이상의 시스템들이 겹겹이 모여 하나의 방향성을 위해서 움직이는 것은 기업이나 시스템이 이루고자 하는 목적하에 이루어 진다. 또한 이러한 목적을 위협하는 지금의 가장 요소는 Security라고 있다. 글에서는 세계와 경쟁 밖에 없는 기술적인 보안 부분에 대한 것만을 논의한다. 다른 보안 부분은 별도 컬럼에서 차후에 기회가 된다면 언급해 보겠다.

 

 

Security 기반되지 않는 인터넷 비즈니스는 이제 생존을 보장 하기 어려운 상황이라 있으며 보안 전문가의 역할은 야수들의 세상에서 목적과 방향성을 유지하도록 보호하는 것이 주된 역할 이라 있다. 

보호를 하기 위해서 필요한 것들은 무엇이 있을까? 일단 기본적인 시스템들의 구성과 네트워크 환경, Application 대한 구조의 이해가 필요하다. 또한 침해사고에 대한 대응 능력도 필요하다. 간단하게 위의 가지 정도의 능력이 필요함은 명확하다. (blog.naver.com/p4ssion article 참고)

 

지휘자는 오케스트라의 완성도를 위해 전체의 부분을 조율한다. 보안 전문가는 서비스의 보호를 위해 시스템/네트워크/Application/Policy 조율한다. 곳이라도 빈틈이 생기면 일정 수준의 완전함에 도달하지 못한다. 극도의 스트레스와 부담을 지니는 것은 모두 명확하다. 즐기지 못하면 어떤 것도 이룰 수가 없다. 오케스트라가 엉망이 되면 지휘자가 욕을 먹는다. 보안전문가도 마찬가지 이다. 아무리 개별 부분이 뛰어나게 잘한다 하여도 전체적인 균형이 맞지 않으면 연주는 엉망이 되는 것이다. 보안도 마찬가지이다.

 

 

다양한 운영체제와 다양한 Application에서 발생하는 취약성은 날마다 발견이 되고 시급성을 다투기도 하며 실제적인 사고로 이어 지는 상황에서 기술적인 보안 전문가는 눈을 시간은 없다. 날마다 발생 되는 이슈들을 해결 하기 위해 일정 수준 이상의 안정화된 체제를 구축 하여야 하는 것이 지상 최대의 과제라 있다.

 

 

안정화된 체제의 구축은 위험으로부터 안전한 것이 아니라 위험에 대한 빠른 대응과 파괴력을 최소화 하는 구조를 갖추는 것을 의미하며 모든 것이 야생의 세계에 맞추어져서 계획되고 이루어 져야만 한다. 때로는 단호함도 갖추어야 하며 전체적인 관점에서 하나의 구멍이 전체를 무너뜨릴 있음을 분명히 인지하기 때문에 예외의 상황을 두어서는 안되는 것도 마찬가지이다. 이런 문제로 인해 고지식 혹은 타협이 불가능 하다는 오해를 사는 경우도 많은 경우에 발생한다.

 

안정화된 체제를 유지 하기 위해서 가장 염두에 두어야 하는 것은 댐이 무너지는 손가락 마디 크기의 균열과 같은 부분을 가장 주의 하여야 한다. 보안전문가는 엄격하여야 한다. 앞의 허용이 작게 보이는 부분이라도 부분을 시작으로 전체가 무너지는 빌미가 있다. 사명감을 지닌 보안전문가라면 당연히 사수 하여야 하는 지점이고 그렇지 않다면 타협을 해야만 하는 부분이 된다.  중요한 것과 그렇지 않은 것을 구분 하여 물러서고 물러서지 않을 부분을 고르는 것도 중요한 능력이라 있다.

 

아는 사람이 부탁해서?  상위 부서장이 지시를 해서? 서비스의 관리를 편리하게 하기 위해서?  등등 모든 것이 불합리해 보이는 것은 없다. 적당하게 타협을 하고 적당히 유지 하면 되는 부분들이 세상의 상당히 많은 부분을 차지한다. 그러나 보안만큼은 그러해서는 안된다고 믿는다. 세계와 경쟁하고 세계에서 제한 없이 접근이 가능한 IT 서비스 부분에 있어서만은 보안 전문가는 고집과 통찰력을 지니고 있어야만 한다. 그래야 변화무쌍한 지금의 환경에서 서비스가 명맥을 유지 있다고 믿는다. 지금 당장 욕을 먹기를 두려워 하기 보다는 변화를 따라 잡지 못하고 통찰력과 역량이 떨어짐을 두려워 해야 한다.

 

지휘자는 스스로의 만족도에 도달 해야 몰입이 가능하고 불후의 명작을 만들 있다. 보안 전문가는 세계의 변화를 보는 눈을 뜨고 통찰력을 지니고 준비 하여야만 진정함에 도달 있다. 모두 스스로의 만족도가 함께 하여야만 즐기는 것이 가능하다. 일이 일로서 무게를 가진다면 그것은 넘어 수가 없다.

 

 

 

마에스트로와 Guru

 

 

예술 분야의 거장을 일컫는 말로 명지휘자를 의미하는 마에스트로가 있다. 우리 말로는 장인이라 부를 있을 것이다. 장인이라는 의미는 철학을 이룬다는 의미이며 독창성을 지니고 있다는 것과도 유사하다고 있다. Security라는 관점 혹은 IT 관점에서의 고수를 지칭하는 용어로 Guru라는 것이 있다. 자아를 터득한 신성한 스승이라는 의미로 있다. Guide 제시하고 가고자 하는 길에 스승이 있는 그런 존재를 칭한다 있다. 천재를 마에스트로와 Guru라고 칭하지 않는다. 무모하면서도 무지막지한 열정과 노력만이 그들을 경지에 이르게 뿐이다.

 

어디에나 가지 충돌이 있다. 근본을 중요시 하고 해석을 중요시 하는 부류와 사안에 대한 통찰로 변화를 중요시 하는 부류의 충돌이 것이다. 마에스트로와 Guru 부분에도 충돌은 분명히 존재한다. 특별히 어느 것이 잘못 것이다라고 수는 없다. 부분 모두 중요한 부분이라 있다.  베토벤 바이러스의 예를 들면 원전의 해석과 작곡가의 의도에 충실하여 감정이입이 상태까지를 느끼고 재현 하고자 하는 강마에와 곡에 대한 독자적인 해석과 스스로의 의견을 투영하는 작은 강건우의 충돌은 부류의 충돌을 극명하게 보여 준다.

 

보안 부분에도 동일한 관점들이 존재하고 부분 모두 중요함을 지니고 있다. IT 서비스라는 관점에서 보안전문가 (SSM) 관점은 작은 강건우의 측면이 중요하지 않을까 하고 필자는 생각한다. 하루가 다르게 변화하는 환경과 위험요소들에 대해 기본에 대한 해석은 엇갈리고 시간이 늦어질 밖에 없다. 따라서 진취적인 보안 전문가 만이 능동적으로 대응하고 통찰 함으로써 가이드를 제시 있다고 본다.

기본에 대한 해석과 충실함이 미래의 위험으로부터 보호를 해주지는 않는다. 다만 알려진 것에 의한 최소한의 피해를 보장할 뿐이다. 알려지지 않은 것들이 많이 출현하는 야생의 시대에서 생존은 절대명제이다. 선과 후가 어떻게 되는지는 정확해야 것이다.

 

최소한 음악 분야가 아닌 IT서비스 세상에서는 진취적이고 능동적인 보안전문가가 미래의 위협에 대해 안정적이라 있다. 때로는 고집불통이고 사회 비적응자처럼 보이는 모습의 그들일지는 몰라도 변화하는 세상에 대한 통찰과 노력으로 IT 서비스의 미래 위험과 당장 내일의 위협을 버티게 해줄 것이다.  

 

 

 

사막을 건너는 자는 별을 사랑해야만 한다. 살아 남기 위해서

땅의 강마에와 강건우, 분야의 전문가가 되기를 희망하는 열정이 있는 사람들에게 별은 자기 자신이 되어야만 한다. 개인과 산업의 생존을 위해서

 

 p4ssionable security explorer

 

 

Posted by 바다란

안녕하세요. 바다란입니다. 2006년 작성내용입니다.

 

XSS 진단 및 SQL Injection 진단 스크립트를 공개 합니다.

특별한 것은 아니구요.. 지난해에 급하게 작성하여 사용 했던 스크립트이니 참고 하시면 될 것 같습니다.

 

국내에서는 아직도 많은 사이트들이 해킹을 당하고 있는 실정입니다.

지금의 해킹은 페이지 변조가 아닌 내부 침입을 통해 정보를 가져 가거나 악성코드를 심는 형태로 나타나고 있는데 진입점을 막지 못하기 때문에 계속 문제가 될 수 밖에 없습니다.

 

이 스크립트는 완전하지는 않으나 100% 중에서 80% 이상의 문제 발견이 가능하므로 대응에 도움이 될 것입니다. 대기업이나 여력이 있는 기업에서는 상용 스캐너를 통해 문제의 진단 및 수정을 진행 하고 있으나 소규모 사이트들은 그런 여력이 없는 상황입니다.

 

따라서 지난해(2005) 부터 공개를 추진 하였으나 메인 몸이라 힘들었구요.. 1년 이상의 시간이 흘러서 이제는 공개를 해도 되지 않나 하는 생각에 공개 합니다. 허접한 스크립트이고 손을 안 본 상태라 개인 메일 주소만 딸랑 넣어 놨습니다. 

 

실행 시간은 사이트 구조에 따라 오래 걸릴 수 있는데..이럴 경우 1~5Mega 정도의 결과 파일이 생성 되면 Ctrl+c 눌러서 중지 시키고 결과에 나와 있는 문제들을 수정하고 다시 돌리시면 과다한 결과 생성 및 중복 생성 문제가 해결이 됩니다.

 

이름도 감자 입니다. ~~

 

참고하세여.... 국내의 수많은 웹서버들에 도움이 조금 되었으면 합니다.

 

현재 sourceforge에도 project 등록은 되어 있습니다. 향후에는 이쪽에도 일부 업데이트 할 예정입니다.

http://sourceforge.net/projects/gamja

 

Posted by 바다란
해커의 길 II
 
해커의 육성 부분에 대해서는 할 말이 많습니다. 90년대 후반 부터 2000년 초반 까지 약 2~3년간 활발하게 활성화 되어 인력들이 척박한 환경에서도 많이 나왔습니다. 지금 그 인력들 뭐하고 있을까요?..
 
해커로서가 아니라. 조직에 동화된 이후에 조직에 끌려 갈 수 밖에 없고 또 가장 중요한 연구문화가 활성화 될 수 없는 환경 때문에 다들 떠납니다. 또 그런 여유를 허가 하지도 않고. 연구가 없이 어찌 취약성을 발견할 수 있고 미래 위협을 대처할 수 있나요?..
 
자격증 많이 가진 사람을 보안분야의 유능인력이라고 할 수 있을까요?. 막상 사고나면 전부 나몰라라 하는 판국에..
참 재밌습니다. 정보의 제공이나 동향의 예측은 이제 많은 인력이 투입된 국가기관에서 해야 할 것으로 봅니다.  음지에 존재하는 해커들도 그리 많지 않고 이제는 그 레벨도 참 말하기 뭐한 상태죠.
 
변화의 폭은 크고 매우 빠르게 나타나고 있습니다. 특히 보안 분야는 더욱 그렇죠. 기술의 진보도 빠르지만 더욱 빠르게 변화하는 것은 공격기술의 변화입니다. 이걸 파악하고 대책을 수립하고 예측 할 수 있을만한 인력이 자랄 수 있는 환경인가 하는 문제를 제기 합니다.
 
학생때에는 노력하는 것이 가능합니다. 관심을 가지고 각 분야를 조금씩 깊이있게 보는 것이 가능합니다. 그러나 업으로 삼고 하기에는 너무 가혹한 환경이죠. 우리나라와 같은 IT 발전 상황이 빨라서 실험적인 공격이나 장애들이 발생하고 이런 문제를 해결하고 또 공격에 대한 대처를 하고 방향을 수립하고 권고하고 하는 많은 일들...그리고 끊임없이 발전하는 많은 지식 부분을 커버해야 하고 몸은 바쁘고 마음도 급하고 뜻대로 나아가지는 않는 진퇴양난의 상황.
아마 실무에 계신분들이 계시다면 처절히 느끼실 것이고 제가 하는 말에 공감하는 부분들이 있을 것입니다.
 
눈에 보이는 것과 실무에서 느끼는 벽의 차이는 대단합니다. 기술의 차이가 아니라 기본적인 input/ output을 강조하는 단기성과만을 보는 문화적인 이질감의 차이도 상당하죠. 하나의 결과를 내기 위해 몰입하는 구조자체가 될 수가 없죠. 해외의 자본이 넉넉한 보안업체에서 운용하는 security team의 예를 봐도 그러하구요. 그나마 인력을 투입하고 그 인력이 가져오는 장기적인 시너지 효과와 파급효과를 이용할 정도의 규모가 되는 회사는 세계적으로 몇 개 되지 않습니다. 여력이 있어야 되는거죠. 그리고 장기적인 비전이 있어야 되는 것이구요. 우리나라내에서는 쉽지 않은 일입니다. 취약성 하나를 발견하기 위해 하다 못해 6개월간이라도 집중할 시간이 주어 질까요? .. 빠른 변화에 대처하는 것 조차 어렵습니다.
 
 
적응하는 것 쉽습니다. 그리고 적응을 하고 또 보안의 기술을 따라가는 것은 엄청난 희생을 강요합니다.
 
필요한 지식을 언급해 볼까요?..
 
 
프로그래밍 ( C , C++ , Perl , CGI , script [asp , jsp ,php 등] ,Assembly...)
- Exploit도 작성해야 하고 분석도 해야 하며 간단한 exploit 변환 및 가장 많이 발생하는 웹해킹에 대한 분석과 대책을 위해서 스크립트 레벨까지도 익히고 알고 있어야 됩니다. Assembly는 또 각 머신이나 CPU에 따라 다르죠. Spac , X86 등에 대한 Assembly 구조 및 사용법을 능숙하게는 몰라도 익히고는 있어야 됩니다.  한번 intel 사를 방문해서 Assembly에 관련된 매뉴얼을 한번 보시지요. 좀 더 관심 있으시면 구조까지도.. 이 CPU의 구조만도 무어의 법칙을 능가하고 파괴해 가면서 변화하고 있습니다. ^^
 
 
시스템 ( Windows NT / 2000 / 2003 , Linux , Unix , SunOS ,Irix 등등 )
- 최소한 Windows 계열과 Linux 계열은 확실하게 보안대책까지 알고 있어야 됩니다. 다른 운영체제도 기본적인 사항들은 알고 있어야 되죠. 그래야 공격이 가능하고 또 공격이 되었을 경우 대책이 가능합니다. 웜과 바이러스의 경우도 여러 가지의 취약성을 한꺼번에 이용하는 추세입니다. 이걸 알려면 공격자체만이 중요한 것이 아니라 시스템에 어떤 영향을 미칠지를 판단 할 수 있어야 되고 추적할 수 있어야 됩니다. 또 나아가서 네트워크 영역에 어떤 영향을 미칠지 까지도 파악할 수 있어야 되죠. 이런 인력이 없음은 지난 2년전의 1.25때에도 분명하게 입증이 되었습니다. 지금은 나아 졌을까요?. ^^;
 
네트워크 ( TCP/IP 뿐 아니라 802.X 대역에 대한 무선 프로토콜에 대한 이해 )
- 무선 관련 네트워크 및 테스팅 , 네트워크 상에서 발생하는 장애들에 대한 이해 ( 최소한 장애와 해킹에 의한 DDOS 상황쯤은 구분할 수 있어야 되며 문제를 해결 할 수 있어야 됨 ) . 전 세계 무선 AP중 무시할 수 없는 수치가 국내에 설치가 되어 있습니다. 이런 AP를 이용한 문제점들이나 해킹등에 대한 고려는 지금껏 충분히 있어 왔는지요..^^;
 
장비에 대한 이해 ( IDS -수십종 , IPS , Firewall , Router , Switch 등등)
- 네트워크 및 각 장비들의 특성과 로그에 대한 이해 취약성에 대한 이해 등등
네트워크 장비는 2000년 초반을 기해 메가 단위에서 기가 단위로 넘어 왔습니다. 국내의 네트워크 환경도 몇 년 사이에 급격하게 바뀌었고 보안장비들도 대부분이 기가급을 사용합니다. 이런 장비에 대한 기본적인 이해 그리고 근본적인 이해가 되어 있는지요?.. 아주 바쁘게 해야 됩니다. ^^; 장비 회사도 많고 장비 출시도..또 여러 종류의 장비를 쓰는 곳이 기본입니다.
 
 
영어 능력 ( 대부분의 정보 획득을 하기 위한 노력)
 
- bugtraq , vulnwatch 등의 메일링 수시 점검 및 해외 보안 관련 사이트에서의 이슈사항 점검 및 exploit 이나 vulnerability에 대한 서치 능력이 있어야 됩니다.
 
대표적으로 위의 5가지 부분만 들겠습니다.
위의 네 가지 중 한 가지 만이라도 제대로 하는 것이 어렵습니다.  위의 요소에서 상위권인 것이 2개 정도는 되어야 하며 나머지는 남들 하는 수준은 되어야 됩니다. 그래야 가능성이 있습니다.  하나 정도만 제대로 해도 전문가 소리 듣습니다. 그러나 모의해킹은 이 전분야를 몇몇은 깊이 있게 몇몇은 남들 정도는 알고 있어야 됩니다. 이런 난이도와 기술적인 요구를 누가 알까요?
 
요소를 보면  거의 IT 발전의 모든 부분에 끼여 있고 중요요소가 됩니다. 이걸 개인 차원에서 하기에는 이젠 속도가 따라주지 않습니다. 클럽 단위로도 한계가 있구요. 대대적으로 활성화 하려면 지금의 예를 봐야 됩니다. 지금은 어떻게 변화 되었는지.. 아니면 예전에 활동하던 사람들이 지금은 무엇을 하고 있는지를... 왜 그렇게 되었고 문제는 무엇인지를 ..
 
 
왜 그렇게 되었는지에 대한 이해가 필요하죠. 압축성장이 제품의 선정 및 대량 생산을 통해서 이루어 지고 대표적인 우리의 성장 방식입니다. IT 부분도 압축성장입니다. 그러나 인력의 축적이나 문화의 축적은 아주 오랜 기간이 걸릴 것입니다. 이 말은 갭이 생길 수 밖에 없고 이 갭의 부분을 상당기간 의존 할 수 밖에 없다는 이야기 입니다.
 
그렇다고 인력을 육성하지 않을 수도 없습니다. 대표적으로 자격증을 통해 인력 양성하는 것은 최소한 다른 분야는 몰라도 보안분야에서만은 쉽게 되지 않습니다. 관리적 보안 분야는 단기간 대량의 인력이 양성 가능하고 일정 시점 이나 프로젝트 경험 이후에 숙성이 될 수 있다고 봅니다. 그러나 시스템 이나 기술적인 분야의 보안 분야 인력 양성은 매우 시간이 많이 걸릴 것이고 자발적으로 할려는 의지가 있는 사람이 없는 이상 어렵습니다. 대대적으로 포럼을 가지고 활성화 하고 상호간의 교류가 되어야 하는데 거의 교류가 없죠.
이런 문제들을 짚어 보아야 할 것 같습니다.
 
98년 쯤에 해커의 길이라는 글을 쓴 적이 있습니다. 그때와 비교하여 지금의 진보는 매우 빠릅니다. 기술의 진보가 매우 빠르고 변화의 폭이 큰 상태라 참 어렵다고 할 수 있습니다. 지금 해커의 길 II 를 쓰라고 한다면 정말 ..취미가 가장 좋을 것 같습니다. 한 가지 부분에서의 취미로 깊이를 이루는 것이 가장 좋은 길이 아닐까요?..  가장 쓰라리고 인내가 필요한 길이고 만족도는 있으나 세월이 지나면서 부딪히는 벽이 많이 있다는 점 ... 
이런 글을 쓰면서도 저는 아직 현역에 있습니다. 모의해킹 뿐 아니라 CERT 영역까지 폭넓게 운신을 하고 있지만 마음이 상당히 아프고 상하는 것은 어쩔 수 없네요. ^^; 저 조차도 위에 언급한 5가지의 영역에서 자유롭지 못한 부분들이 있습니다. 그리고 몇몇 분야에서는 깊이조차 없어서 허덕이는 것들도 있구요. 게을리 하지 않고 한 눈 팔지 않았음에도 이렇습니다.
 
 
언젠가는 쓰임이 있을 것입니다. 그때에 이르기 까지는 한순간도 호흡을 늦춰서는 안되는 것이구요. 그 언젠가가 올지 안올지는 모르지만 말입니다.
 
우리의 IT 산업 그리고 그중에 보안 분야는 시간이 지나고 보다 많은 쓰라린 경험들이 있게 되면 자연치유력에 의해 부족한 부분들이 보완이 될 것입니다. 그러나 아직 우리는 기술적인 스페셜리스트를 지니기엔 부족한 사회문화입니다.  이게 정답이라고 봅니다. 그렇다고 노력을 안할 수는 없겠죠. 이 노력을 인력 자체가 노력해서 채우라고 하기에는 너무 가혹하지 않나 하는 생각입니다.
 
 
물론 전부 제 생각입니다. 많은 의견 부탁합니다.
Posted by 바다란

. p4ssion입니다.


지난 글에서 ( 한참 됐습니다. ^^) Mass sql injection 관련된 내용에 대해서 언급을 드린 적이 있습니다.

그 이후 업데이트를 할려고 생각 하다가 개인적인 사정으로 작성하지 못했습니다.

오늘 생각나서 잠시 써봅니다.


http://www.itjungle.com/two/two082708-story05.html 

http://www.technewsworld.com/story/Mass-SQL-Attack-a-Wake-Up-Call-for-Developers-62783.html?welcome=1209498513&welcome=1210717878 

http://www.theregister.co.uk/2008/05/21/china_sql_injection_attack/ 

http://blogs.zdnet.com/security/?p=1150

http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1314697,00.html 

http://ddanchev.blogspot.com/2008/05/malware-attack-exploiting-flash-zero.html 

http://searchsecurity.techtarget.com/tip/0,289483,sid14_gci1317069,00.html


Mass sql injection에 관련된 기사들을 이 블로그에 글을 쓰지 않은 이후로 모아 봤습니다.


2005년 부터 활발하게 이루어진 SQL Injection 공격에 대해 이제서야 세계적으로 인지를 하고 부분 대응이 진행 되고 있습니다. 공격의 현황은 어떤 식으로 이루어 지고 있으며 또한 대응은 어떤 방식으로 이루어 지고 있는지 주마간산 식으로 살펴 보겠습니다.


* 이전에 알려진 SQL Injection 공격과는 조금 다른 범주라고 봐야죠. Login 창에 손으로 입력하여 인증을 우회하는 방식은 오래전에 알려졌으며 또 이후의 각 URL 인자마다 문제가 발생하는 부분에 대해서도 알려져 왔습니다. 현재의 SQL Injection이 다른 관점은 Automated SQL Injection 이라는 것입니다.


손으로 직접 수십~수백개의 조합을 통해 DB의 정보를 빼내가는 것이 아니라 특정 DB에 맞추어서 특정 쿼리들을 미리 준비해 놓은 이후 클릭 한번으로 진행을 합니다. 현재의 Mass sql은 여기에서 한 걸음 더 나아가 단일 사이트에 대해 이루어 지는 것이 아니라 수십개 이상의 사이트에 대해 일시적으로 발생 할 수 있도록 범위가 확산된 것입니다.


입력창에 대한 SQL Injection ( ' Or 1=1-- )  ->

수동에 의한 URL 인자의 SQL Injection (시간 오래 소요) ->

자동화된 툴의 쿼리에 의한 정보 유출 및 페이지 변조 (악성코드 유포 목적) ->

대규모 스캔 및 공격이 가능한 Automated Mass attack 기법 및 도구의 출현 ( 이것도 현재는 ASP+MSSQL만 공격 하지만 향후 타 언어 및 다른 종류의 DB로 확대 예상)


위와 같이 순서의 정리가 가능합니다.

대상규모가 한정적일 경우에는 장비의 도입 및 소스코드에 대한 컨설팅으로 문제의 해결이 가능하였으나 이제는 그 범주를 벗어나 악성코드가 범람하는 세상에 살게 될 수 밖에 없는 상황입니다. ( 전 세계의 웹 서비스의 문제를 한번에 없앨 수는 없으므로 )


악성코드에 대한 감염은 브라우저 ( 구글의 크롬, FireFox , IE ..)에 구애받지 않습니다.  악성코드가 사용자 PC에 특정 프로그램을 설치하기 위해 필요한 공격 코드들은 매우 다양하며 운영체제의 한계를 벗어나 여러 Application에 대한 권한 획득 코드들을 이용하는 것이 일반적입니다.  즉 브라우저와는 관계 없이 이 문제는 계속 되며 전 세계의 일반 PC 및 웹서비스가 영향권 내에 들어와 있다고 보는 것이 정답입니다.


< 어쩌면 지금의 상황은 Matrix 구조 같은 거대한 위협속에 놓은 것과 같지 않나 생각 됩니다.>

 

묻습니다.


1. 사용자 PC에 설치된 모든 Application의 취약성을 수시로 확인하고 문제가 있는지 여부를 확인 하는 것이 가능합니까?

2. 수시로 업데이트되고 갱신되는 ( 악성코드의 유형은 대부분 다운로드 형태를 지니고 있습니다. 즉 한 사이트나 몇 개의 악성코드 다운로드 사이트의 샘플만 변경해 주면 새로이 다운로드가 되는 클라이언트는 신종 악성코드에 감염이 됩니다. )  유형의 악성코드에 대한 대응이 가능합니까?

3. 방문하는 사이트가 안전한 웹사이트임을 확인 할 수 있습니까?



간단하게 위의 세 가지 질문입니다.

위의 답변은 1번은 불가능 , 2번도 수동적인 대응외에는 불가능 , 3번도 직관적인 신뢰가 없다가 정답이 아닐까 생각됩니다.


1번의 경우 운영체제를 벗어나 사용자가 사용하는 모든 Application 문제가 없다는 것은 보증하기가 매우 어렵습니다. 사실 불가능한 이야기 이구요. 이 문제는 웹 서비스를 통해 유포되는 악성코드의 전염을 막을 방도가 매우 부족함을 의미합니다.


2번의 경우에는 전 세계의 많은 AV 벤더들에서 대응을 하고 있지만 사실상 공격자의 행동에 대해 대응력은 부족하며 산발적인 대응만을 하고 있어서 노력대비 효과는 미미한 수준이라 할 수 있습니다. 발견을 못한 AV 벤더는 업데이트가 없이 그냥 가죠. 그리고 발견하여 대응을 한다고 하여도 이미 공격자는 또 다른 내용으로 손쉽게 변경하는 것이 가능합니다. 전 세계에 널리 자사의 AV 제품이 사용되고 있다면 최소 시차를 고려 하여도 1일 이상의 시간이 소요 되는 것이 현실 적입니다.

그러나 공격자는 단 몇 분이면 새로운 악성코드의 유포가 가능하며 사용자에게 전파가 가능한 유형이 됩니다. 따라서 뚜렷한 대응방안이라고 보기가 곤란한 상태라 할 수 있습니다.


3번은 더 말씀 드리지 않겠습니다.


이미 대책 부분과 필요한 부분에 대해서는 이전의 몇몇 Article에서 충분히 언급한 상황입니다.

[ 상상하기 어려운 위협 - http://p4ssion.com/112 , http://p4ssion.com/152   ]

[ IT 서비스의 현재 위험과 대응 종합 , 첨부파일 참고 - http://p4ssion.com/199 ]


전 세계적인 대응 현황을 간략하게 살펴 본 주관적인 의지로 정의하면 빈익빈 부익부, 근본에 도달하지 못한 미봉책..

이 정도로 정의를 할 수 있습니다.


며칠전 MS에서는 웹 서비스에 대한 SQL Injection을 막기 위해 IIS의 Plugin 형식인 URLscan Filter 3.0를 배포 하고 있습니다.

[ http://www.microsoft.com/downloads/details.aspx?FamilyID=ee41818f-3363-4e24-9940-321603531989&displaylang=en ]

현재 타켓화 되고 있는 ASP+MSSQL+IIS 조합에 활용이 가능한 유형입니다.


물론 실제 적용 시에는 개발된 서비스의 소스에 따라 설정의 변경등이 필요한 상황이 되겠습니다.


또한 HP의 WebInspect and QAInspect라는 제품과 IBM의 Appscan , WVS의 Acunetix 라는 웹 취약성 스캐너들이 현재  전세계 시장의 다수를 차지하고 있습니다. 이 제품들의 특징은 스캔 할 수 있는 도메인이 한정 되어 있다는 점, 과도한 취약성 점검을 위해 컨텐츠를 다운로드 (?) 받아서 재현을 하다보니 대용량 사이트에 대해서는 진단의 한계를 보이는 점들이 있습니다.

가장 중요한 점은 가격이 후덜덜입니다.


왠만한 IT기업에서 제품군을 도입하려면 많은 전문인력 및 도구 구입에 상당한 비용을 들여야 할 것으로 보입니다.


자 위의 두 가지와 같은 대응 흐름이 있습니다. 솔루션을 이용한 근본 취약 부분을 찾아서 소스코드의 문제를 수정하는 방향과 현재 발생되는 공격이 유효하지 않도록 무력화 시키는 Filter 부분이 있는데 두 가지 모두 한계를 지니고 있습니다. Filter의 경우에는 우회가 가능한 패턴 유형이 발견 될 수 있다는 점과 기존의 정상 서비스 트래픽에 대한 제한을 지닐 수 있다는 점입니다.


또한 솔루션을 이용한 취약 부분 진단에 대해서는 고비용, 대형 사이트 진단 불가 , 도메인 스캔의 제한 , 속도의 문제로 인해 사용이 어려운 측면이 발생 합니다.


( Web Firewall 등에 대해서는 별도 언급 하지 않겠습니다. 도입시 마다 설정 변경이나 Customizing 없이 사용 가능한 제품이 없지 않나요? 어쩌면 소스코드 수정이 휠씬 빠를 수도 있는 Customizing이며 공격 패턴이 변경 되면 처음 부터 다시 설정 해야만 합니다. - 근본 문제 제거와는 관련 없는 부분이며 임시방책일 뿐이라 논의 하는 것은 부적절하다는 개인 판단입니다. )



빈익빈 부익부.


가난한 기업들과 여력이 없는 기업들을 위한 해결 방안은 어디에도 없습니다. 그나마 전문성을 지닌 인력이라도 있다면 이런 문제를 해결해 보겠으나 인력도 없으니 설상가상인 상태가 되겠죠. 앞으로도 오랜 기간 동안 대상이 될 것으로 예상 됩니다.


개인적인 예상으로는 향후 2~3년간은 이러한 대규모 악성코드의 유포에 의해 매우 시끄러울 것이고 특별한 해결책도 찾기 어려운 상황이 계속 될 것입니다. 그 이후에는 또 다른 부분으로 전이가 되겠지만...


부유한 기업들은 많은 비용을 투입하여 장비를 도입하고 소스코드에 대한 진단과 컨설팅등을 받습니다. 그러나 빈자들의 서비스를 통해 유포되는 악성코드들은 주로 부유한 서비스 기업을 노리고 있습니다. 이 점에 대해서는 간과를 하는 면이 많은 편입니다.


문제의 해결을 하기 위해서는 세계의 인터넷 환경을 일시에 ( 상당히 빠른 시간) 클린한 상태로 올려 줄 수 있는 부분이 필요하며 자신만의 서비스를 벗어나 전체적인 시각을 가지고 움직일때 자신의 서비스에게로 오는 위험을 줄 일 수 있습니다.


말그대로 네트웍 환경은 위협도 연결이 되어 있기 때문이죠.


빈자들을 위한 보안도구들은 언제쯤 출현 할까요? 상용도구의 정확성 만큼을 보유한 저렴하고 접근성이 뛰어난 도구의 출현이 현재의 상황을 좀 더 빠른 시기에 진화 할 수 있을 유일한 방안이라 생각 합니다.


전술과 전략이 있습니다. 개개의 싸움을 하는 전략은 현재대로 진행 하고 상호협력을 강화할 방안을 찾아야 하며 ( AV의 대응 , Scanner , Web Firewall, Vendor의 대응) 더불어 가장 중요한 전술적인 차원의 큰 방향성이 필요 합니다.


큰 방향성 차원에서 공격의 범주를 최대 확산이 불 가능 하도록 일정 수준 이하로 묶음으로써 피해의 광역화를 막는 것이 가장 큰 이슈가 될 것이고 가장 필요한 관점이 아닐까 생각 합니다. 전술적으로 확산 범주를 좁히기 위해서는 가장 필요한 것이 문제점을 찾을 수 있는 접근성 뛰어난 저렴한 비용의 도구의 확산이나 서비스화가 우선 되어야 할 것이구요.


전술과 전략은 구분되어야 하며 현재의 전략도 부족한 면들이 있으며 커버 가능한 범위를 더욱 넓힐 수 있는 도구와 서비스의 출현들이 심각하게 필요하며 전술적인 관점에서는 거대한 악성코드 유포 네트웍을 소규모 단위로 분산 시킬 수 있는 정책적인 방향성이 필요합니다. 수많은 이해가 상충되는 야생의 시대에 이런 협력이 필요한 전술과 전략은 구사되기 어려운 점들이 많을 것입니다.


따라서 앞으로도 위기는 계속 지속 될 것입니다. 모든 프로그래머가 Secure한 코딩이 일상화 되기 전까지는 상당히 오랜 시간 위기는 지속 될 것이고 이제 세계적인 시작은 큰 흐름이 벌써 시작된 상황이라 예측 됩니다.


- p4ssion. 2008.9




Posted by 바다란

2002년에 Critical Alert for cyber terror ( sub: Scada & DCS Security)라는 제목의 기초적인 문서를 발표 한 적이 있습니다. (http://blog.naver.com/p4ssion/50001878886 )

 

이때 당시에는 발생 될 수도 있는 문제에 대해서 알려주는 역할을 하기 위해 작성을 한 내용입니다. 이후 오랜기간 동안 관련 분야를 주기적으로 관찰 하였고 주시 하고 있었습니다.

 

7년이 지난 시점이죠. 2009년 10월쯤에 추가적인 내용의 발표를 고려 하였고 하루 정도 시간을 내어서 만들었습니다.

 

사이버전 시나리오 공모전에 보낼 용도로 ( 상금 보다는 널리 알리고 싶었습니다. ^^) 급하게 작성을 했는데.. 등수에도 못들었죠. 아무래도 보는 관점이 많이 달라서 인듯 싶습니다.

 

전체적인 내용은 현재의 상황은 많이 급변하고 있다. 또한 충분한 시간이 지나고 그 만큼의 위험성이 실현될 가능성이 매우 높아졌다라는 점을 알리고 싶었습니다.

 

더불어 모 방송사의 관련 내용을 자문해 주면서 한번 전체적으로 정리도 하고 싶었구요.

 

문서의 구성은 전체적인 위협의 변화, SCADA에 대한 환경의 변화, 위협은 어떤 식으로 출현하는지?, 가상적인 시나리오 등과 같은 내용으로 구성 되어 있습니다. 실현 가능성이 높은 부분으로 구성을 하였고 이후의 저강도나 고강도 분쟁 발생 시에는 필수적으로 사용이 될 것이라는 개념입니다.

 

피할 수 없는 사이버 전장이고 Inevitable Cyber warfare 입니다. 현재 상태에서도 문제가 많이 드러나 있어서 정말 체계적인 준비가 필요하고 대응이 필요한데 대응은 수박 겉

Posted by 바다란

Terrorists Don't Do Movie Plots


 

http://www.schneier.com 사이트에 가시면 많은 Security 관련된 칼럼 들을 만날 수 있습니다.

브루스 슈나이어는 오래전 부터 익숙한 이름입니다. 암호 부분에 정평이 나있죠. 그러나 한 영역을
고집하지 않고 큰 부분을 보려고 많이 노력한 사람이기도 합니다.
예전 보안 관제 관련 회사에 여러해 동안 근무한 적이 있습니다.
이때에도 슈나이어의  관점과 동일한 컨셉을 가지고 많은 부분을 설계하기도 하였는데
이 글을 읽다보니 사고 방식이나 보는 관점 등에서 동질감을 많이 느끼게 합니다. ^^ 물론 본 적은 없죠..

카운터 페인이라는 회사는 2000년 초기에 설립된 Security Monitoring 관련된 회사 입니다.
미국내 중요 국가 기관들에 대한 IT 보안 이슈를 체크하고 모니터링 해주는 곳이며 전문적인 영역을 지니고 있는 회사입니다.
IT 보안과 물리적 보안은 영역이 매우 다르지만 보는 관점에 따라 동일하게 볼 수도 있습니다.
한 분야의 전문가 영역에서 다른 부분을 비유하여 보는데 아래의 글은 다음과 같이 해석하면
IT 보안 부분에도 동일하게 적용이 됩니다.

테러 -> 해킹 , 크래킹
표적 ( 공항 , 버스 , 지하철  ... ) -> 중요 IT 자산

 

오래전 부터 알고 있던 분야의 전문가가 상당히 관점이 다를 수도 있는 물리적 보안 의 관점에 대해
거시적인  문제를 제기 하고 있는데 이 부분은 IT 부분에도 동일하게 적용이 될 수 있습니다.
테러에 대한 대비책에 있어서 단편적인 대책과 일방향적인 업무처리 , 책임회피를 위한 생색내기 활동등 여러가지 부분들이 상존하는 위협을 없애지 못하는 원인이며 향후에도 지속될 문제라고 지적하는데 일면 타당하다고 보여집니다.
매번 미국의 영화에 단골로 등장하는 스탤론이나 브루스 윌리스는 현실에서는 존재하지 않습니다. 이것이 진정한 현실입니다.


상상과 현실을 혼돈 하지 않는 것에서 모든 것이 출발해야 하죠. 문제의 인식과 원인에 대한 것들 까지도...
미국의 테러에 대한 근본적인 해결은 물론 힘으로 해결하고 자신의 의견을 무력으로라도 관철하려는 의지가 사라지지 않는한 또 주위국가와 함께 가려고 하지 않는 한 해결 되지 않겠지만 IT 보안 부분에 대해서는 많이 다른 관점이 되겠죠.

우리도 이제는 지켜야 할 자산이 매우 많아 졌고 또한 지금까지 여타 회사나 기업체들이 그러하였듯
Security 관련 결정이 단편적이고 매우 낮은 수준에서 이루어 진 것이 현실 입니다.
침입 탐지 시스템을 설치하고 방화벽을 설치하면 보안이 다 되고 웹 관련 방화벽과 스캐너를 구비하면 모든 것이 다 이루어지는 것인양 생각하는 기업들이 많았습니다만 현실은 그렇지 않습니다.

현실과 이상의 괴리는 생각하는 대로 발생하지 않는다는 점에 있습니다. 눈에 보이는 부분이라도
어떻게 강화를 해야 책임추궁을 피하고 면피할 일들이 생기는 것이긴 하나 근본적인 문제의 해결과는 매우 다른 이야기가 됩니다.

여기에서 현업 담당자의 딜레마가 시작이 되는 것이죠. 어떤 방향을 추구하느냐에 따라
허우대만 번쩍하는 것이냐 내공이 있는 그 무엇이 되느냐가 됩니다. ( 개인적으로는 내공을 추구합니다. 물론 어려움이 많지만...)

어떤 방향이 옳을까요?. 단기적인 성과 혹은 장기적인 안정 . 또 그만큼의 시간을 줄만큼 여유와 인내가 있을런지..

연휴동안 보안 관련된 기사나 글들을 읽다보니 느끼는 점이 많은 글이여서 올려 봅니다.


이하 기사는 URL을 참조 하십시요.

 

http://www.schneier.com/essay-087.html  ( English )

http://wired.daum.net/business/article00350.shtm (Korean)

 

Posted by 바다란

이미 한참도 전에 발표한 자료입니다. 앞으로의 예상에 대해서 1년도 이전에 예상을 했으나 앞으로도 이런 문제가 지속

될 수 밖에 없다는 점이 가장 큰 문제가 아닐까 싶습니다. 2006년 연말에 작성한 글이지만 첨부 파일을 보시면 지금도 또 앞으로도 유효한 내용들이 있습니다. 대책은 더욱 그러하죠. 참고하시고 보다 안전한 환경이 되었으면 합니다. 올바른 의견의 확산도..

-----------------------------------------------------------------------------------------------

안녕하세요. 바다란입니다.

 

지난해 부터 급격하게 이슈화된 중국발 해킹에 대해 일정 수준 종합이 필요한 것 같습니다.

현재 게시물에 첨부된 문서는 지난 11.30일에 있었던 민.관 전문가 조사단에서 요청하여 발표한 자료입니다.

 

* 기업에 대한 내용 및 문서 중 정보 노출이 있는 부분은 삭제 하였습니다. 그러므로 결론 부분에 집중하시면 될 것 같습니다.

 

중국발 해킹에 대한 기술적인 내용 보다는 기업차원의 대응 수준 및 향후 필요 요구 사항 그리고 정책적인 대응이 필요한 부분들에 대해서 정리를 한 부분입니다.

 

대개 이슈화 되기에는 악성코드의 유포만이 이슈가 되고 있는데 그 동안 악성코드 유포로 지적이 되었고 언론에 발표 되었던 다수의 사이트들을 많이 알고 계실 것입니다. 그러나 악성코드 유포를 통해 게임이나 온라인 서비스를 이용하는 사용자의 정보만을 가로채어가는 것으로 인식이 되고 있는데 가장 중요한 부분을 간과하고 있는 면이 매우 크다고 볼 수 있습니다.

가장 중요한 점은 악성코드를 유포하기 위해서는 서버 단위에서 소스를 수정할 권한이 있어야 되며 수정할 권한을 지니고 있을 경우에는 모든 연결된 Database의 자료를 빼내어 가는 것이 가능하다는 것이죠.

 

지금까지 해킹을 통해 악성코드 유포로 이용이 된 곳들은 단순한 악성코드 유포를 목적으로 한 곳도 있지만 더 이상 가져갈 자료가 없다고 판단되어 최종적으로 악성코드를 유포하는 유포지로 이용한 의미가 크다고 할 수 있습니다.

 

지난해 10월의 중국발 해킹 대응 세미나를 통해 처음 위험요소를 알렸고 여러 차례의 세미나 및 발표를 통해 충분한 위협을 알렸지만 현재도 향후 발생될 위협에 대한 정확한 인지는 없다고 볼 수 있을 것 같아 조금 정리를 해본 자료 입니다. 중복된 내용 많이 있습니다. ^^;

 

뒷부분의 결론 부분에 들어 있는 내용이 향후 발생될 위험 요소 및 새로운 위협에 대해서 정리를 한 의견이며 앞으로는 기 유출된 수십억건 이상의 개인정보 [ 상세화의 차이는 있는 정보]를 도용한 IT 서비스의 혼란이 주된 요소가 될 수 있을 것 같습니다.

 

전체적인 대응 방안도 꾸준하고 지속적인 계정 관리의 이슈 제기 및 강력한 캠페인 등등 여러 요소가 구비되어야만 가능할 것이며 대응은 느리나 꾸준하게 진행이 되어야 할 것이고 피해는 지속 될 것으로 예상 됩니다.

 

간단한 참고자료 .. 향후 각 서비스별 위험요소에 대한 대비를 통해 일정 수준 대비를 하는 것이 필요할 것 같습니다.

 

의견 있으시면 언제든지 의견 주십시요.

Posted by 바다란

인터넷 뱅킹 해킹의 이면 바다란 세상 가장 낮은 곳의 또 다른 이름 zdnet 컬럼

 

1~2년 전 부터 인터넷 뱅킹에 대한 해킹이 간간히 언론의 지면을 장식하고 있다. 과연 인터넷 뱅킹은 안전한가? 라는 질문이 나올법하다. 그러나 정작 중요한 것은 논의가 되지 않는다. 단지 어느 은행의 인터넷 뱅킹이 해킹을 당했다라는 단발성 기사만 활자화 되고 논의가 되고 있다. 인간은 단순하지 않다. 사실도 단순하지 않다. 사건이란 우연히 일어나는 것이 아니라 발생할 환경이 조성이 되면 그제서야 발생이 되는 것이다. 현재의 인터넷 뱅킹에 대한 해킹은 인터넷 환경의 현주소를 의미하는 것과 동일하다. Security라는 관점에서 다시 한번 이야기를 할 필요는 분명하게 있다. 이제 몇 년 전 이야기 했던 이야기를 다시 한번 해본다.

 

 

이면에 숨겨진 이야기는 한참 이전부터 필자가 이야기 해온 인터넷 환경의 위치를 보여주고 있다.  위험요소는 이미 2~3년 전부터 나타나고 있었으며 그 상황이 여전히 지속되고 있음을 의미한다. 지금의 위험요소는 어떤 상황으로 나타나고 있을까? 언론에 나타나지 않는다 하여 피해가 없는 것일까? 하는 의문은 끝내야 될 시점이고 현실적이고 종합적인 대책이 나타나지 않는다면 앞으로의 웹에 대한 접근성은 더 복잡하고 어려워 질 것이고 인터넷 환경의 위험은 더욱 깊숙하게 실생활에 영향을 미칠 것이다.

 

2007년에 작성한 국내의 인터넷 환경의 위험요소와 대응에 관한 문서에서 다음과 같은 관점을 기술한 바 있다.

 

현재의 위험 상황

 

웹을 통한 악성코드 유포 및 DDos 공격 , 개인 PC에 대한 완벽 제어

 

안전하지 못한 웹 서비스를 통한 악성코드 유포의 일반화

 

IT서비스 환경 근간을 위협하는 트래픽 공격

 

백신 및 보안 서비스의 전역적인 대응 효과 미비

 

인터넷 환경의 급격한 개선에 따라 향후 위험성은 전 세계 서비스로 확대 될 것임

    현재는 가장 빠르고 구조적인 인프라를 보유한 국내를 대상으로 지속적인 해킹 시도

 

국내 개인 PC 인프라 장악 이후 공격에 이용 : 탐지 및 차단의 어려움

 

 

향후를 위한 대응

 * 방향성: 단기간의 공격에는 당할 수 밖에 없으나 그 이상은 당하지 않으며 공격도구의 분석을 통한 전역적인 대응으로 공격 도구의 상실을 기획 하여야 함

 

전역적인 대응 체제 구성의 절대적 필요성

   사용자 개개인에게 보안패치와 백신의 설치 권고만으로는 해결이 불가능함

 

ISP 와 분석기관 , 대응 기관의 절대적 협업 필요

    정보획득 -> 분석 -> 대응의 일원화된 프로세스 필요

 

개인 PC 환경의 획기적인 보안성 강화 필요

    트래픽 이상유무 감지 혹은 과다 증가 검출 루틴 필요

    전국적인 대응 체제가 가능한 협의체 ( AV 업체의 연합) 또는 무료백신의 필요성

 

Secure한 웹서비스를 위한 Validation check 서비스의 일반화

   국내 웹 App 80% 이상이 URL 인자 단위의 문제를 포함하고 있음

  ( XSS , SQL Injection ) 따라서 악성코드 유  포지로서 이용되지 않도록 IT서비스 차원의 특화된 대응 필요

  단기: Validation check 서비스 활성화를 통한 일정규모 이상의 서비스 검수

  장기: Secure programming 의 일반화를 위한 Awareness 확대 - 서적 , 교육 등등

[출처] IT서비스의 현재 위험과 대응에 대하여 - 종합|작성자 바다란

 

 

문제가 되고 있다고 지적한 6가지 부분에 대해 현재까지도 명확한 대응을 하는 부분은 거의 없다. 일부 있다고 하여도 전체로의 적용은 한참 더 먼 길을 가야만 하는 상황이다. 대책 부분에서도 기술한 내용들은 동시에 진행이 되었어야만 2년의 시간이 지난 지금쯤 나은 환경에 이르렀을 것이다. 그러나 지금 변한 것은 아무 것도 없다. DDos의 위험은 예전에도 있었고 지금도 마찬가지 이다. 달라진 것이 있다면 인터넷 서비스 기업의 생존과 사용자의 불편함이 전보다 더 증가해서 더 두드러지게 나타날 뿐인 상황이다. 

 

 

DDOS

 

DDos공격이 어떤 방식으로 이루어 지는지에 대해서 논하는 것은 이 컬럼의 논지를 벗어난다. 다만 DDos의 공격이 예전에는 특정 지역이나 국가에서 집중하여 전달이 되었다면 상위 네트워크 관리 기관에서 해당 지역의 차단과 트래픽 우회 등을 통해서 문제를 해결하는 것이 가능하였으나 지금은 국내의 수많은 개인 PC(좀비 PC라고 칭한다.)에 설치된 악성코드를 이용하여 DDos 공격을 한다.

 

예전엔 출발지점이 일정하여 일원화된 대응 방안들이 효과적 이였으나 지금은 전국에서 서로 다른 네트워크 망에서 유사한 특징을 가진 트래픽들이 한 지점으로 집중이 된다. 이 방식에서의 대응은 집중되는 지점에서 해결 할 수 밖에 없다. 이 점에서 문제가 발생된다. 이전에 발생된 DDos와 현상적인 차이점이 존재하는 것이다. 출발지를 특정 할 수 없는 불특정 다수의 지점으로부터 유입되는 유사한 특성의 트래픽은 도착지에서 해결 할 수 밖에 없다.

 

천 여대의 PC에서 공격이 발생 된다고 하였을 때 가장 막기 쉬운 방법은 천 여대의 PC가 일정한 규칙을 가지고 있을 때 막는 것이 쉽다. 동일한 IP 대역을 사용 하고 있거나 특정 ISP만을 사용하고 있거나 할 때 처리하는 것이 어느 정도 용이하고 간편하다. 그러나 지금의 DDos 공격은 그렇지 않다. 규칙을 정할 수 없는 천 여대의 각자 다른 PC에서 동일한 사이트로 접속을 하는 것이다.

그리고 그 전달속도는 전 세계에서 가장 빠르다. 속도라도 느린 곳은 일시에 과다한 트래픽을 모으는 것이 어렵다. 전달경로가 제 각각이기에 큰 효과를 내기 위해서는 많은 PC를 동원해야 한다. 그러나 국내의 인터넷 환경은 전송 경로상의 미세한 차이는 눈에 보이지도 않을 만큼 빠른 속도를 자랑한다. 그럼 이제 이 모든 트래픽들이 전달되는 곳에서는 이 문제를 처리해야만 한다. 공격자에 대한 처리는 힘들어 지고 방어하는 곳은 더 높게 성을 쌓아야만 한다. 성을 쌓는 비용도 만만치 않다. 큰 흐름을 잡을 수 없기 때문에 이 문제는 향후에도 더 심각해질 것임은 당연한 일이다.

 

불황기의 공격은 더 악독해 지는 것이 사실이고 빈익빈 부익부의 현상은 인터넷 환경의 서비스 업체에서는 더 실감나게 다가올 것이다. 누가 더 성을 크게 쌓고 넓게 쌓느냐에 따라 흥망성쇠가 달라 질 수 있다. 성을 제외한 환경은 초토화가 될지라도 말이다.

 

지금 시점의 DDos가 문제가 되는 것은 공격 출발지의 분포도가 매우 다양하다는 점과 과도한 트래픽이 문제 해결을 어렵게 만드는 부분이다. 또한 불특정 다수의 공격자들을 모집하는 방법에서 이전의 DDos 공격과 큰 차이를 보인다. 현재 문제가 되는 부분은 불특정 다수라는 측면에서 문제가 가장 크다고 볼 수 있다. 과정을 간략히 살펴보면 다음과 같다.

 

자동화된 공격도구를 이용한 취약한 웹사이트 해킹 -> 악성코드 유포를 위한 웹 소스코드 변조 -> 사이트 방문자에 대한 악성코드 유포-> 악성코드 자체의 업데이트 혹은 다운로드 -> 완벽한 Remote Control  (이 시점이 되면 Botnet Client 이던 사용자 PC의 정보이던 무엇이든지 유출 및 이용이 가능한 상태라 할 수 있다.)

 

불특정 다수에게 악성코드를 유포하는 방법으로 웹서비스 해킹을 사용하고 있으며 2005년 이전의 특정 사이트에 대한 단발성 공격이 아닌 불특정 사이트 다수를 대상으로 한 Mass Attack이 주를 이루고 있다. 현재 드러나는 추세로는 점차 악성코드의 유포 자체도 은폐 시도를 하고 있어서 공격 흔적을 찾기가 쉽지 않다. 악성코드의 은닉화와 정교함도 깊이를 더해 어느 정도의 깊이가 있지 않고서는 대응이 어려운 실정이다.

 

 

정보유출

 

정보유출의 관점도 사용자 PC에 설치되는 악성코드의 특징과 긴밀한 관련이 있다. 현재 유포되고 있는 대다수의 악성코드는 키입력 로깅 및 화면 캡쳐 등 사실상 개인 PC의 모든 권한을 원격에서 마음대로 좌우 할 수 있는 형태이다. 이와 같은 유형의 백도어들은 국내 관측은 2005년쯤부터 관찰이 되고 있는 상태이고 이후 2006년 이후에 이르러서는 정교함이 더 깊어졌고 불특정 다수에 대한 악성코드 유포와 결합하여 피해를 높이고 있는 상황이다. 현재의 상황은 그 보다 더 진전 되었을 것으로 유추가 된다. 사용자가 입력하는 키보드 정보를 모두 가져가는 공격을 막기 위해 키보드 보안 및 다양한 보안 솔루션들이 설치가 되고 있으나 알려진 악성코드의 제거와 하드웨어 입력을 노출이 안되도록 암호화 하는 역할만을 할 수 있을 뿐이며 현재의 상황을 넘기기엔 부족함이 있음을 의미한다.

 

 

2005년 무렵에 발견된 일부 악성코드 유형은 전송 단계에서 IE Browser에서 전송 직전에 변환되는 암호화된 정보를 가로채는 BHO (Browser Helper Object) 유형의 악성코드가 존재 하였으며 현재는 그 비율은 거의 대부분이라고 할 정도이다. 보안솔루션으로는 해결하기 어려운 범주이며 온라인 서비스 자체의 구조변경 외에는 뚜렷한 답이 없다. BHO 유형의 정보탈취를 막기 위해서는 서비스 차원에서의 암호화와 암호화된 정보가 서버 단위까지 전송되는 유형이 필요하며 이 것은 전체적인 서비스의 개편을 의미 한다. 상세내용은 곳의 첨부파일을 참고하기 바란다.

 

현재의 인터넷 뱅킹에서 일부 사건이 발생 되고 있는 것은 많은 정보가 유출 되었지만 여러 단계의 인증수단과 각 단계별 보호 대책에 온라인이 아닌 오프라인 메소드들이 존재하기에 문제가 이 정도에 그치고 있는 것이다. OTP의 활용 및 오프라인 보안카드의 활용 등은 인터넷뱅킹의 해킹을 어렵게 만들고 있다. 그러나 반대로 생각하면 몇 가지 방안 외에는 모든 것이 다 넘겨진 상태라 보아도 무방한 상황인 것이다. 만약 보안솔루션을 사용하지 않았다면 지금 보다 더 심각한 상황에 일찌감치 도달 하였을 것임은 명확하며 거의 대다수 국내 인터넷 사용자들이 활용하고 있는 인터넷 뱅킹과 전자 상거래 부분은 꽃을 피우지도 못하였을 것이다. 해외의 은행들은 아직 온라인 계좌 이체 부분에 있어서 자유도가 극히 낮다. 인터넷 뱅킹의 용도가 잔액 확인과 사전에 확인되고 알려진 계좌에 대한 제한적인 이체 외에는 사용빈도가 높지 않다. 따라서 공격자들은 다른 방식의 정보 활용을 통해 이득을 얻고 있는 상황이다. 이 중 일부 기사화된 내용은 다음의 분석을 참고 하면 된다. 직접적인 금액의 인출이 아니라 사용자의 계좌를 도용하여 쓰레기 주식을 매입한 이후 시세를 조작하여 대규모 이득을 얻은 사례에 대한 내용이다. 만약 인터넷 상의 계좌 이체 등이 활발하고 자유로웠다면 이런 유형의 공격은 발생하지 않았을 것이다. 단지 번거롭고 손이 많이 간다는 이유만으로도 빈도는 대폭 낮았을 것이다.

 

 

문제의 근원을 보아야 한다.

 

인터넷 뱅킹에 대한 문제는 이제 금융사 단위에서 해결을 하기 위한 범주는 넘지 않았나 생각 된다. 사용자 PC에 대한 보호대책의 한계가 있고 모든 웹 서비스의 보호에도 한계가 있다. 그러나 공격자들에게 주어진 한계란 없다. 새롭게 발전 하고 새로운 취약성의 즉시적인 이용에도 능숙하다. 반면 대응은 느리고 미숙하다. 항상 사고 발생 이후에야 느린 대응을 할 수 있고 어느 정도 대응이 완료 되는 시점에는 또 다른 위험요소에 직면 할 수 밖에 없다. 사용자에 대한 보안의식 고취로도 사회 공학적인 기법의 해킹과 고 난이도로 무장된 악성코드에는 당해낼 사람이 없다. 하물며 보안전문가 조차도 처리에 어려움이 있는 상태이니 말이다. 가장 처음의 시작은 자동화된 공격도구에 의해 손쉽게 당하는 취약한 웹 서비스들을 어떤 방식으로 고도화 시킬 것이고 단계적으로 강화를 시킬 것인가 하는 것이 핵심이다. 그러나 아직 방안도 계획도 없어 보인다. 금융기관에 대한 비난도 사용자의 보안적인 무지함에 대한 논의도 범주를 벗어난 이야기이다. 현실에 기반하여 냉철하게 다음 단계를 예상하고 종합적인 대책을 고려 하여야 함은 전문가의 숙명이다.

 

공격자의 효율적인 공격통로를 차단하는 것이 가장 기본이며 공격의 대상이 무엇인지에 중점을 두어야 한다. 효율적인 유포 수단으로 사용되고 있는 웹서비스의 취약성을 빠르게 없애지 않는다면 현재의 혼란은 끝도 없이 계속 될 수 밖에 없다. 그것도 점차 복잡하고 큰 규모로 이루어 질 것이다. 악성코드의 문제는 단지 빙산의 일각일 뿐이다. 앞으로 더욱 생활과 밀접한 Web 2.0의 실험적인 공격들과 사회공학적인 속임수들이 창궐할 것이다. 이미 예상 되었던 것 그 이상도 이하도 아니다.

 

대책은 이미 여러 해 전에 종합적으로 제시를 한 바 있다. 이제는 국내만의 문제가 아닌 전 세계적인 인터넷 서비스의 문제가 된 상황에서 기회가 될 수도 있고 좌절이 될 수 있다. 온 세상에서 녹색을 이야기 한다. 그러나 필자의 눈에는 인터넷 세상은 잿빛이다. 그것도 검은색에 가까운...

 

 

 

사람 사는 세상을 꿈 꾼 인터넷 대통령의 서거를 깊은 슬픔으로 애도합니다.

Posted by 바다란

 

위기의 인터넷

 

현재의 인터넷이 위기의 상황이라고 인지를 하는 사람들은 그리 많지 않아 보인다. 본 컬럼에서 말하고자 하는 인터넷은 한국에 국한된 것이 아니라 전 세계적인 범주에서의 인터넷 산업을 의미한다. 인터넷이라는 기술과 정보 창출의 도구는 이제 뗄 수 없는 고리를 지닌 도구가 되어 버렸다.  왜 위기 상황인가? 지금의 상황은 어떤 상태인가? 등에 대해서 각 분야별로 다른 의견들이 있을 수 있으나 보안이라는 관점에서 인터넷에 구축된 신뢰 관계가 무너지는 것 자체가 심각한 위기상황이라고 보고 있다. 신뢰관계가 무너지는 것은 산업과 서비스의 고난을 의미한다.

 

지금과 같은 디지털시대에서의 보안은 생각보다 더  일상생활에 심각하고 밀접한 영향을 미치는 부분임은 명확하다.

 

사실 2007 무렵에 IT서비스 전체에 대한 위험요소들을 언급한 적이 있다. 그 때 지적한 위험들은 지금도 동일하며 파급력만 더 커진 상태이다. 국내에만 한정된 위험이 아니라 세계적인 부분에서도 통용되는 위험을 언급 하였으나 지금의 상황은 더 심각한 국면에 치달아 있다.

 

문제의 해결을 위해서는 근본적인 문제의 원인이 무엇인지 아는 것이 가장 첫 번째 이고 그 다음은 상황에 맞는 해결책을 적용 하는 것이 상식이다. 지금의 상황은 아직 문제의 원인도 명확하게 파악을 못하고 있는 실정이다. 필자가 보는 가장 크게 문제가 되는 부분은 다음과 같다.

 

 

- 악성코드 (Malware )

- DDos & Botnet

- 개인 정보의 유출

- 서비스 기반의 신뢰성 상실 ( ID 도용)

 

 

간단하게 4가지 정도의 이슈들이 현재의 인터넷을 위기라고 보는 사안들이다.. 국내의 상황을 벗어나 세계적인 상황에서도 동일한 관점에서 볼 수 있을까 하는 의문이 있을 수 있으나 필자의 관점과 결론은 동일하다. 오히려 한국 내에서도 보다 세계 속에서 더 절망감을 느낀다.

 

 

문제들은 사소한 단서만을 남기고 수면아래로 잠겨간다. 그러나 현상이 사라지는 것도 아니며 다가올 일이 다가 오지 않는 것도 아니다. 형태를 달리 하여 나타난다고 하여 다른 상황이 되는 것도 아니다.

 

 

앞서 언급한 주된 문제 부분 4가지의 경우에도 대부분 근원적인 문제에서 기인한다. 문제의 해결을 위해서는 근원적인 문제에 대한 인식이 가장 중요하다. 이것이 문제 해결을 위한 가장 처음이다. 전 세계 어디에도 국내 어디에서도 이런 목소리는 들리지 않는다. 이것은 앞으로도 문제가 오랫동안 장기화 될 것임을 의미한다.  필자가 보는 근본적인 문제의 원인은 다음과 같다.

 

 

- 취약한 웹서비스 개발

- 대규모 공격이 가능한 해킹도구의 일반화

- 경제적 불황으로 인한 Black Market의 활성화

- 불특정 다수에게 대량 전파가 가능한 악성코드 유포 매커니즘

 

 

문제의 현황과는 다른 관점에서 보아야 할 사안들이다. 각 사안별로 논의할 이야기는 많으나 이미 오래 전부터 논의해 오던 사안들이 대부분이다. 3~4년 이상을 일관되게 문제점이라고 지적한 부분이기도 하다.

 

 

 

악성코드 유포 매커니즘은 이전에는 ARP를 이용한 같은 네트워크 단위 및 지역 단위의 악성코드 유포가 가장 일반적인 대량 유포 매커니즘 이였으나 이제는 그렇지 않다. 빠른 확산과 신뢰도를 보장하고 있는 Web 2.0 사이트 (Facebook , Twitter…) 를 이용한 공격 이외에도 도구를 이용한 대규모 웹 서비스 해킹 이후 일반 방문자에 대한 무차별적인 악성코드 유포 등 상당히 파괴력 있는 매커니즘이 확보된 상태이다. 이 매커니즘은 앞으로도 상당기간 인터넷 서비스를 곤경에 빠뜨릴 수 있는 도구가 될 것이다.

 

 

악성코드의 유포에 연관을 두어야 하는 것은 최근의 Botnet 구성을 위한 Bot Agent의 유포에도 동일한 매커니즘이 사용 되고 있다는 점이다. Botnet Agent 뿐 아니라 사용자의 PC를 원격에서 조정 할 수 있는 다양한 기능들이 악성코드에 기본적으로 올려져 있다. 모든 사이트에 접근하는 계정 정보 뿐 아니라 개인 PC에 저장된 많은 정보들도 직접적인 조작과 핸들링이 가능한 상태로 유지되고 있는 상태이다.

 

 

최근의 악성코드에는 Botnet으로 이용될 수 있는 악성코드 형태 이외에도 개인정보 유출 기능, DDos 공격이 가능한 악성코드들도 심심치 않게 발견이 되고 있다. 즉 가장 심각한 위협이 되고 있다고 알려진 많은 요소들이 대규모적인 유포 매커니즘으로 인해 발생 되고 있는 것이다.

 

 

일련의 사례로 올해 10월에 발견된 Gmail, Yahoo, Hotmail 수만명 가량의 ID/Password 유출과 관련하여 분분한 추측들이 해외 사이트에 난립하고 있다. 그러나 필자가 보는 의견은 명확하다. 개인 PC에 설치된 악성코드로 인해 유출된 개인 정보가 명확하다. 해외의 언론 블로거들은 직접적인 해킹 피싱등을 언급하고도 있으나 거리가 이야기이다. 또한 쉬운 패스워드를 사용 했기 때문에 문제가 되었다고 하는 기사들도 관계가 없는 사안이라고 본다. 동일 계정을 사용해서 문제가 되었다는 부분도 직접적인 연관은 없는 사안이다. 악성코드와 특별한 관련이 없어 보이는 사안들이지만 경제적 불황의 시기에는 금전과 연결 있는 모든 부분은 철저하게 이용이 된다. 앞으로 불황의 시기는 더 지속이 될 것으로 보이고 노출과 위험의 강도도 점차 더 강하게 나타날 것이다.

 

 

ID와 패스워드 유출에 관련된 부분은 서두에 링크해둔 IT서비스의 현재 위험과 대응에 대하여 컬럼의 참고문서를 보면 쉽게 이해 할 수 있다. 대부분의 최근 악성코드들은 일반적인 키로그 이외에도 전송 직전 단계의 평문화된 패스워드들을 빼내어 갈 수 있다. (BHO : Browser Helper Object) 만약 악성코드의 정체가 발견 되지 않는다면 그 어떤 보안도구 ( 모든 백신 및 개인 PC의 보안도구)들로도 탐지 할 수 없으며 유출 여부에 대해서도 확인 할 수가 없는 상태이다. 아주 극소소의 인터넷 서비스를 제외하고는 현재의 악성코드에게 계정 및 패스워드 정보를 빼앗기지 않는 서비스는 없다. 상당히 수준 높은 고민이 필요하나 현재의 공격자들은 대체 공격 방안까지도 찾아낸 상태이다.

 

 

한국내의 사이트들에는 기본적인 보안 도구들도 설치가 되어 있으나 해외의 경우는 처참하다 싶을 정도이다. 인터넷의 자유화를 언급하기 이전에 안정성을 더 시급하게 논의해야만 할 것이다. 악성코드 및 보안에 관련된 이슈가 국내의 문제를 넘어서 세계적인 문제가 된다는 것도 이미 다룬 사안이다. 이제는 현실화되었고 전 세계의 인터넷 서비스를 기획하거나 운영하고 보안을 고민하고 있는 모든 사람들이 고민해야 될 사안이라 할 수 있다.

 

 

 

위기의 인터넷이라는 관점은 사안을 보는 눈에 따라 다를 수 있다. 필자가 보는 관점은 이미 위기 상태에 상당 부분 진입을 했다는 것을 기정사실화 한다. 사전의 징후가 발견 되었을 때에 움직여도 늦었을 부분이나 이미 커질 만큼 커진 덩치 큰 공룡들은 아주 느리게 움직인다.

 

 

웹 서비스에 악성코드를 심어 둔다는 점은 절반 이상은 XSS ( Cross Site scripting ) 이슈와 SQL Injection 이슈로 인한 것이다. 여기에서 SQL Injection 이라는 부분은 웹서비스의 취약한 코딩을 이용하여 DB 서버의 권한을 획득 하는 것으로서 웹 서비스에 악성코드가 유포 되고 있다는 의미 자체가 DB의 모든 내용이 유출 되었다는 것과 동일한 것이다.

 

 

위기상태를 호전 시킬 수 있는 많은 계기들도 근본적인 흐름에서 시작 되어야 한다. 이 근본적인 흐름은 가장 근원적인 대규모 악성코드 유포의 매커니즘을 끊는 것에서 시작 되어야만 한다. 이 문제를 끊기 위해서는 가장 먼저 웹서비스들의 안정성을 빠르게 회복 시키고 종합적으로 위험을 컨트롤 할 수 있어야만 산업의 생존이 가능하다. 웹서비스의 안정성을 회복 시키는 방안도 길고도 험한 길이 될 수 밖에 없다. 결론적으로 지금의 위기와 어려움은 전 세계적으로 상당기간 오래 지속 될 것임을 공언 할 수 밖에 없다. 위기상황이라고 보는 근본적인 이유이다.

 

 

대책과 실행방안은 2년 전의 공개문서에 일정부분 기술 되어 있다. 지금의 대응방안도 유사한 관점에서 이루어 져야 할 것으로 생각 된다. 언제쯤 될지는 알 수 없으나!

 

 

인터넷 생태계의 생존이 자신의 생존임을 인지하는 인터넷 서비스 기업들은 세계에 얼마나 될 것인지 궁금할 따름이다.

 

-       바다란 세상 가장 낮은 곳의 또 다른 이름

 

Posted by 바다란

기사에서 밝힌 것은 작게 축소해서 본 부분입니다.

실제로는 validation 체크가 안된 사이트는 국내 사이트의 2/3이상일 것입니다. 또한 이중에서 직접 해킹이 가능한 서버가 절반정도 될 것이구요.

앞으로도 계속될 사안입니다.

 

 

[머니투데이 성연광 기자]

"대한민국 인터넷 보안에 심각한 구멍이 뚫렸다"

유수 웹사이트를 해킹해 악성코드 유포지로 악용하는 신종해킹수법(일명 '중국發 해킹')을 두고 한 말이다.

지난 5월 한국MSN, 코리아닷컴 등 쟁쟁한 국내 상당수 인터넷 사이트들이 연이어 중국發 해킹에 당해 온라인 게임사용자의 아이디와 비밀번호를 노리는 악성코드가 유포되는 신종 해킹 사건이 터지면서 국내 인터넷보안의 최대 이슈로 대두된 지 반년이 다됐다.

당시부터 정부기관과 민간 보안업계가 이에 대한 권고문, 취약점 진단서비스 등 대책 마련에 나서고 있지만, 언론사 뉴스포털, 케이블방송, 심지어는 국가연구기관까지 가릴것없이 연일 중국발 해킹에 속수무책으로 당하고 있다. 지난 6월부터 현재까지 중국발 해킹수법에 당해 한국정보보호진흥원(KISA)에 공식 집계된 국내 사이트 수만 이미 1000여곳을 넘어섰다.

전문가들은 "자칫 방심했다가는 과거 1.25대란보다 더욱 큰 보안사고에 직면할 수 있다"고 경고하고 있다. 2003년 1.25대란의 경우, 일시적인 네트워크 소통 마비 정도에 국한됐지만, 이번 중국發 해킹수법의 경우, 위협적인 악성코드를 보다 광범위하고 은밀하게 유포시킬 수 있다는 점에서 훨씬 위험하다는 게 이들의 지적이다. 무엇보다 1.25대란의 경우, 근본적인 처방이 가능했지만, 이번 신종해킹수법의 경우, 아직까지 이렇다할 국가차원의 대응책이 없다는 게 큰 문제다.

◇점점 대담해지는 중국發 해킹

지난 6개월 사이 중국발 해킹에 대한 국내 보안대책은 여전히 제자리를 맴돌았던 반면, 공격자들의 수법은 빠른 속도로 교묘해지고 있다. 무엇보다 공격자들의 해킹방식이 보다 용이주도해졌다. 얼마전까지만 해도 보안이 취약한 웹사이트들을 무작위적으로 공격하던 방식에서 벗어나 최근에는 방문자수가 많거나 많을 것으로 추정되는 특정 분야의 웹사이트들을 순차적으로 공격하고 있다.

뉴스포털과 케이블방송이 대표적이다. 네이트닷컴 뉴스포털과 오마이뉴스, 스포츠조선 등 주요 뉴스 사이트들이 일제히 공격을 받은데 이어 최근에는 모 지상파 방송 한곳과 경제일간지도 같은 피해를 입은 것으로 알려졌다.

지난달에는 엠넷, 홈CGV, 내셔널지오그래픽, XTM 등 주요 케이블방송들과 교육방송(EBS) 등 방송 미디어들이 줄줄이 공격받았다.

악성코드를 유포하는 수법 또한 보다 지능화되고 있다. 7월 모 보안업체 웹사이트에 유포된 악성코드의 경우, 감염된 사용자 PC에 만들어진 실행파일 아이콘이 이 회사에서 배포하는 스파이웨어 퇴치 프로그램을 흉내내 제작됐다. 심지어는 온라인 게임에서 기본적으로 깔아주는 키보드 방지 프로그램명을 흉내낸 악성코드도 발견됐다.

지난 9월 모 만화 케이블방송사의 경우, 공격자는 기존 익스플로러 브라우저의 취약점을 이용한 유포방법 대신 액티브 엑스(Active X)를 이용했다. 또 게임 사용자 정보를 빼내는 악성코드는 미디어 웹사이트에서 흔히 내려받을 수 있는 '플래시' 파일로 위장됐다. 이처럼 교묘히 사용자들을 속이기 시작한 것이다.

과거엔 사용자의 온라인 게임 아이디와 비밀번호를 훔쳐내는 트로이목마가 주로 유포됐으나, 최근에는 해커가 사용자 PC에 직접 접속해 정보를 빼갈 수 있는 백도어와 애드웨어도 같은 방식으로 유포되고 있다. 지난달 해킹을 당한 한국전자통신연구원 게임기술지원센터(ETRI GTSC) 사이트에도 온라인 게임정보 탈취용 트로이목마와 함께 백도어가 발견됐으며, O사 미디어 관련 사이트에서는 중국 애드웨어가 유포된 바 있다.

◇악성코드 탐지도 어렵다

이뿐 아니다. 악성코드도 기존 보안제품이 탐지하기 어렵게 만들어지고 있다. 초기 해킹당한 사이트에 검출된 악성코드의 경우, 대부분의 백신제품들이 이를 탐지해냈으나, 최근에는 어느 백신제품으로나 탐지가 어렵게 제작돼 있다. 공격자들이 계속해서 변종을 만들어내기 때문이다.

악성코드를 숨겨놓는 일명 '숙주서버' 해킹도 갈수록 교묘해지고 있다. 숙주서버란 공격자가 자신을 노출시키 않기 위해 또다른 웹 서버를 해킹에 악성코드를 몰래 숨겨놓는 곳을 말한다.

최근에는 국내 보안이 허술한 중소 웹사이트뿐만 아니라 중국 현지 사이트, 심지어는 멀리 독일에 소재한 사이트까지 해킹해 몰래 숨겨놓고 있다. 해외에 소재한 사이트의 경우, 우리나라 보안당국이 이를 제거하기 쉽지 않다는 점을 노린 것이다.

◇피해 규모는 상상초월할 듯

아직까지 공식적인 피해규모는 발표되지 않았다. 그러나 중국발 해킹과 악성코드 유포방법이 갈수록 은밀해지다보니, 의외로 그 피해규모가 상상을 초월할 수 있다는 지적이다.

실제, 지난달 KISA가 악성코드가 숨겨져 있는 숙주 서버를 분석한 결과, 한곳에서만 1000여명 이상이 악성코드를 받아간 것으로 알려졌다. 현재 이같은 숙주서버만 수백개가 있다. 물론 보안패치가 완료된 사용자 PC에선 실행되지 않지만, 적잖은 네티즌들이 실제적인 피해를 본 것으로 추정된다. 최신 보안패치 적용률이 상대적으로 미미하기 때문이다.

또 올들어 국내 온라인 게임 아이템 거래를 둘러싼 한중 조직간 불법 커넥션이 실제 두차례나 적발된데다, 한국 게이머들을 겨냥한 중국발 해킹이 갈수록 기승을 부리고 있다는 점에 비춰, 실제 이같은 공격이 효과가 있고, 이로인해 피해규모 또한 상당한 것으로 추정된다.

문제는 이같은 중국발 해킹피해가 장기화될 가능성이 높다는 것.

현재 중국발 해킹수법이 방화벽, 침입탐지시스템(IDS) 등으로 방어가 불가능한 웹 애플리케이션의 취약점을 이용하는데, 상당수 국내 웹사이트들이 이같은 취약점에 그대로 노출돼 있는 것으로 지적됐다.

NHN 보안담당자인 전상훈 과장은 "국내 웹사이트의 50% 이상이 이같은 웹 애플리케이션 취약점을 안고 있다"며 "이를 막기 위해선 개별 사이트마다 일일이 보안 체크(인자값 유효성 점검)을 해줘야하는데, 현실적으로 불가능하다"고 말했다.

또 현재까지 주로 국내 유명 온라인 게임 아이디와 비밀번호 유출을 목적으로 하고 있으나, 금융정보 등 앞으로 다른 중요 정보유출에 악용될 가능성도 크다는 게 전문가들의 지적이다.

보안업체인 지오트의 문종현 바이러스분석실장은 "현재 중국발 해킹은 기존 웹사이트 변조사고처럼 단순한 장난이나 실력과시 차원이 아닌, 금전취득과 직결되고 있다는 점에 유념해야한다"며 "인터넷 보안은 앞으로 인터넷서비스 운영업체뿐 아니라 인터넷을 사용하는 국민 스스로 재산을 지키는 필수요소로 이미 자리잡고 있다"고 지적했다.

성연광기자 saint@

Posted by 바다란

-zdnet 컬럼 입니다.

 

피할 수 없는 사이버전.  –p4ssion

Inevitable Cyber warfare II  2010.01

 

7년 전의 최초 문제제기는 주의와 관심을 촉구하는 것이었다면 지금의 문서는 경고의 의미를 담고 있다. 2002년에 공개문서를 처음 제작한 이후 7년이 넘는 시간 동안 상당히 빠르면서도 한편으로는 생각보다는 느리게 인터넷 세상은 발전해 왔다. 2010년이 되어 이제 전체적인 현황들과 문제들은 충분히 무르익었고 언제든 사고가 발생 된다 하여도 이상하지 않을 상황이 되었다. 이제는 지금의 상황과 지금까지의 사건들에 대해 정리하고 논의를 하는 것이 필요하다

 

2010년의 시작을 알린 보안이슈들은 국내와 국제의 이슈가 상당히 다른 차이점을 보이고 있다.

인터넷상에서의 위험은 동일한데 왜 차이가 있는 것인지 궁금할 따름이다. 국내에서는 자극적인 이슈들이나 실제적인 위험도는 극히 낮으며 이미 노출된 상태에서 자연스럽게 벌어질 수 밖에 없는 단편적인 일들이 대형 문제인양 보도가 되고 있다.

국제적으로 발생하는 이슈들은 지금 국가간의 분쟁 격화와 사이버 상의 위협으로 인해 많은 이목과 관심이 쏠리고 있으며 또한 미국은 사이버 보안을 중점적으로 추진하기 위한 핵심센터를 메릴랜드에 설립하고 본격적으로 운영을 시작하려는 시기에 뒤로 후진하는 모습이 태연하게 언론에 등장하는 것에 대해 자괴감을 느낄 뿐이다.

 

최근 몇 달간 연말연시를 기해 발생 되었던 이슈들에 대해 간략하게 정리해보자.

 

 

1. 구글 및 어도비를 포함한 30여 개 이상의 주요 회사에 대해 고도화된 공격으로 정보를 빼내가고 일부 탈취한 사건들이 있었다. 힐러리 국무장관을 통해 중국에 공식항의가 제기 되고 중국내에서의 검색사업 철수도 언급되는 등 사이버 이슈가 국가간의 논쟁으로 비화한 이슈가 있다. 새로운 취약성 즉 알려지지 않은 소프트웨어의 취약성을 이용한 공격이 국가기관이나 군사 분야에서만 이루어 지던 것이 일반기업단위로도 전이된 케이스로 볼 수가 있다. 앞으로 더 심각한 국면에 접어들 것으로 예상이 된다.

 

2. 영국의 Vispa ISP 3만 여 고객을 지니고 있는데 1월초 DDos 공격으로 인해 12시간 이상을 전면적인 운영중단 상태에 빠졌다. 이 경우는 ISP 단위에서도 처리하기가 어려울 만큼의 대규모적인 트래픽 공격이 지속 유입 되었음을 의미 한다고 볼 수 있다(http://www.theregister.co.uk/2010/01/08/vispa_ddoa/ )

 

3. 지난해 말 트위터 사이터를 마비시키고 트래픽을 전환시켜 정상서비스를 불가능하게 했던 이란의 일부 단체는 이번에 중국내 점유율 60% 이상을 가지고 있는 Baidu 검색을 대상으로 동일한 공격을 감행하여 서비스가 중단되는 사례도 발생 하였고 이 결과 중국과 이란간의 감정적인 대립이 예상 되고 있다. 제 삼자의 개입으로 인한 우호체제 혼란으로도 비춰지기도 할 만큼 국제관계에 직접적인 영향을 미치고 있다.

 

4. Citibank 내부망에 침입하여 수백만불의 예금을 인출한 사고에 대해 조사한 FBI는 러시아마피아에 의해 발생 된 것임을 확인 한 이슈도 있다. 만약 금전적인 이득을 목적으로 한 것이 아니라면 어떤 일들을 했을 수 있을까? 데이터의 소멸 혹은 뒤섞임 등등.. 혼란을 일으킬 수 있는 일들은 매우 많을 것이다.

 

 

5. 공격에 대한 대응은 늦지만 몇 년의 시간을 앞선 경험을 한 국가들이 헛힘을 쓰는 동안 ( 아쉽게도 한국도 당연히 포함된다.) 그나마 가장 빠른 대응과 체계를 구축해 가고 있는 곳은 미국이다. 해외로부터 집중되는 공격을 가장 많이 받는 곳이며 내부망까지도 자유자재로 공격을 당하는 상황을 지켜 보고서 국가차원의 대응책을 수립하고 있는 중이다. 싸이버짜르라 불리는 사이버 보안 조정관을 임명하고 FBI는 사이버 보안 전문가를 워싱턴의 책임자로 발령을 냈다.

 

수 천명에 달하는 보안 전문가를 정부 각 분야에 고용 하기 위해 채용 공고를 내고 각 분야별로 전문적인 요구 사항을 직시하여 채용을 진행 하고 있다. 보안전문가라 할지라도 모든 부분을 다 한다는 것은 불가능 하기 때문에 당연한 일이지만 분야를 세분화 하여 전문적인 기능을 살릴 수 있도록 한 것이다. 만능을 요구하고 실제로 하는 일은 동떨어진 곳과는 심각한 차이를 가지고 있다.

 

 

사이버 보안과 관련된 핵심적인 기관들을 모두 모아 중앙 통제가 가능한 형태의 센터를 메릴랜드에 세우기로 하고 협조체제를 갖추어 가고 있다. NSA, FBI, CIA 등등 미국 내의 사이버 보안 관련 모든 기관의 집합체라 불릴 수도 있을 것이다.

 

오바마 대통령은 취임이전부터 사이버 보안과 관련된 위원회를 운영하고 각 단계별로 달성 하고자 하는 플랜을 만들도록 하였다. 현재의 보안 강화 움직임은 보고서에 기반한 내용들이 실현 되는 것이다. 대통령 후보자 시절의 홈페이지의 해킹 사고를 겪은 이후 사이버 보안에 대해 막대하고 지대한 관심을 기울여 왔다. 최소한 사이버 보안에 관해서는 가장 많은 관심을 기울이고 있는 것만은 확실한 사실이다. 관심 있는 분들께서는 보고서를 살펴 보시고 앞으로의 변화를 살펴 보시는 것도 좋은 기회가 될 수 있다. 특히 Cyberspace Policy Review 보고서는 정책을 결정 하거나 판단해야 할 필요성이 있는 많은 분들에게 참고가 될 수 있는 보고서라 할 수 있다.

 

명확한 자료를 준비하도록 하고 현상을 파악한 이후 장기적인 방향성을 확인한다. 그 이후 단계적으로 이루어야 하는 과제들을 진행하여 큰 방향성을 이루어 가도록 한다. 참 쉬운 이야기 이지만 실제로 실행하기는 매우 어렵다. 확신과 의지가 없다면 절대 할 수 없다. 그런 면에서 우리의 상황은 한심하다고 조차 말하기 어렵다.

 

 

간단하게 지난해 연말부터 올해 1월 초까지 발생된 굵직한 사건들과 이슈들만 보아도 국제정세의 상당부분에 사이버 공격이 이용이 되고 있음을 볼 수 있다. 산업이나 기업의 흥망성쇠 이외에도 국가와 민족간의 분쟁을 일으키는 다양한 도구로 이용이 되고 있다. 앞으로도 계속 이럴까?

 

필자는 모든 공격기술은 그만큼 전체적인 영향력을 가진다고 생각하고 있다. 보이는 공격기술과 보이지 않는 공격기술의 개발도 충분히 이루어지고 있고 지금 이 시간에도 많은 부분들이 만들어 지고 있을 것이다. 향후의 경쟁의 승패는 공격기술 보다는 체계적인 대응에서 승부가 갈릴 수 밖에 없을 것이다.

 

저강도 혹은 고강도 분쟁에서 이제 장식용 혹은 동기 부여용의 사이버 공격이 아니라 실제적인 피해를 일으키는 공격으로 반드시 선회 할 수 밖에 없을 것이다. 7년이라는 오랜 시간 동안 종합된 문서를 작성 하지 않은 것도 때가 충분하지 않았기 때문이다. 그러나 지금은 충분하고도 넘친다.

 

 

-       기반시설 그리고 SCADA

 

2002년 이후 얼마나 많은 기반시설의 문제들과 사례들이 발견 되었는가? 관심을 가지지 않은 사람들은 모를 수 있다. 그리고 일반적으로 기반시설에 대한 문제들은 공개적으로 논의 되지 않는다. 시일이 지난 후 단편적으로 드러난 모습에 의해 개연성을 짐작할 뿐이다.

 

2003년의 블래스터웜이 인터넷 세상에 미친 영향은 기반시설 분야에도 큰 영향을 줄 수 밖에 없었다. 그리 많이 알려지지는 않았지만 오하이오 핵 발전소의 모니터링 장비들이 마비되어 핵발전소 운영이 중단된 사례는 완벽하게 분리된 망에서 존재한다는 근본전제가 맞지 않음을 의미한다. 수천, 수만 곳의 연결 통로를 일일이 다 통제하고 제한 할 수 있는 곳은 없다. 또한 완벽한 보안도 있을 수가 없다. 일부 방송으로도 알려진 항공 예약시스템의 마비, 국가 전체를 무력하게 만들었던 에스토니아 이슈들..

 

과연 우리는 지금 어디쯤에 있을까?

 

위협은 변화한다. 공격 기술도 진보한다. 데이터에 기반한 분석은 쉽다. 예상과 예측은 데이터에 기반할 때 신뢰가 생긴다. 그러나 발생되지 않은 위협에 대해 경고를 하는 것은 개인적으로는 위험을 감내해야만 한다. 그럼에도 의견을 제시하는 것은 반드시 필요한 부분들이기 때문이다. 공공의 이익, 산업적인 균형을 위해서는 경고의 소리도 귀를 기울여야 하지 않을까?

 

필자는 지난해의 글로벌 보안 위협의 변화라는 컬럼에서 변화되고 있는 위협들과 실제적인 환경들이 어떻게 달라졌는지를 설명 했었다. 그 모든 내용들은 위협이 실제 생활에 영향을 미칠 가능성이 매우 높음을 증명한다.

 

타켓화된 공격이 일반화 되고 있고 공격 도구들은 자체적인 QA (Quality Assurance – 품질관리) 를 일반적으로 한다. 여기서 QA는 백신 및 여러 다양한 침입 탐지 도구로부터 탐지가 되지 않는지 여부를 체크 하는 것을 말한다. 최소 2~30여종 이상의 백신들에 대해 테스트를 하는 것은 일반적이다. 

 

내부자에 대한 타켓화된 공격도 일반적으로 발생 되고 있고 ( 지금 구글의 케이스를 보라) 외부망에 연결된 서비스들에 대해 직접적인 공격의 강도들도 높아지고 있다. 보통 공격과 수비는 3배수의 차이가 있어야 된다는 것이 필자가 느낀 경험적 원칙이다. 공격과 수비는 일정범위내의 동일한 경험과 역량을 가지고 있을 때 방어하는 쪽은 공격자 보다 3배 이상 더 많은 신경을 쏟아야만 한다. 한 지점만을 공격하는 공격자와 수백 가지 이상의 서비스들과 구성요소들에 대한 문제 제거 방안을 강구하는 것은 차원이 다른 이야기 이다.

 

지금은 공격과 방어의 기술 격차도 있는 상황에서 제대로 막는 것은 어려울 수 밖에 없다. 정말 키워야 될 것은 경험과 역량을 갖춘 보안 전문가들이 대거 필요한 것이다. 기업에서의 실제적인 대응경험을 가지고 있고 기술적인 발전을 관찰하고 일정수준 깊이 있는 이해가 가능한 인력들을 어떻게 키우는 가에 따라 앞으로의 향방은 갈릴 수 밖에 없을 것이다.

 

보안전문가로 성장을 시키기 위해서는 정말 오랜 기간과 경험, 개인의 노력이 필수적이다. 지금 세상을 흔들고 있는 것은 기술적인 분야의 보안전문가들의 대거 출현이 필요함을 의미한다. 우리는 그 동안 얼마나 많은 보안 인력들을 키웠을까? 대응경험이 없는 전문가들.. 체계적인 방안 구축을 경험해 보지 못한 전문가들이 넘친다.

 

배는 깊은 산속으로 들어간다. 회항 하기도 어려운 골짜기 어디쯤엔가 닻을 내리고 노를 저으라 한다. 사이비 전문가들, 언론, 역량을 갖추지 못한 보안업체들 모두 문제가 생겼을 때는 외면한다. 그러다 해결의 기미 혹은 잠잠해 지기라도 할라치면 온 세상을 시끄럽게 한다. 10년 전이나 지금이나 달라진 것이 없다. 시대는 이렇게 변했는데도 말이다.

 

사실을 알려면 보이는 대로 믿어서도 안되고 들리는 대로 들어서도 안 된다. 각 분야에서의 현명한 성찰만이 지금을 보다 더 나은 상태로 만들어 갈 수 있을 것이다. 치밀한 관찰과 꾸준함만이 깊이를 만들 수 있을 것이다. 해커가 아닌 보안전문가들이 성장 할 수 있는 체계와 구조를 기대한다.

 

-       바다란

      피할 수 없는 사이버전 Inevitable Cyber warfare II

 문서 링크 (http://blog.naver.com/p4ssion/50080182814 -첨부파일)

Posted by 바다란

새 밀레니엄을 맞이 한 것이 엊그제 같은데 벌써 10년 이라는 시간이 훌쩍 흘렀다.

세월의 흐름과 같이 기술의 발전도 폭을 같이하고 인터넷도 더 깊숙이 생활 속으로 들어왔다.

 

사람과 사람 사이를 이어주고 연결해주며 정보를 교환해주는 주된 통로 역할을 하며 가상의 현실을 실제로 가능하게 해주는 인터넷은 그 친밀성만큼 위험성을 항상 가지고 있었다. 친밀성이 더욱 높아지고 실제생활과도 밀접한 관련을 가지게끔 된 생활에서 위험요소는 이제 네트워크상에만 존재하는 위험이 아니다.

 

생활 구석구석 인터넷과 연관 되지 않은 부분을 찾는 것이 더 어렵고 전산화, 자동화 되지 않은 부분을 찾는 것이 더 어려울 정도다. 일반적인 인터넷 서핑 속에서도 생활 속에서도 전기, 가스, 발전, 문화, 전화 등등 모든 것은 연결 되어 있다. 더불어 위험들도 동일한 가치로 연결 되어 있다.

 

2010년의 시작을 전후 하여 1월이 채 가기도 전에 수많은 위험 관련 뉴스와 이슈의 홍수를 직면한다. 이미 시작은 오래 전부터 되어 왔던 것이고 지금에야 모습을 나타내는 것뿐이다. 정보를 얻기 위한 해킹, 권한을 획득하여 자료를 유출하고 내부망에 침입을 하는 백도어들.. 경쟁국가, 경쟁산업, 정치적 견해를 달리하는 집단에 대한 사보타지 등등.. 이쯤에 대량의 트래픽을 발생 시키는 DDos 공격 정도는 애교로 느껴질 정도다.

 

모든 보안회사들과 커뮤니티들은 앞다투어 스마트폰의 보안 위협과 DDos 공격을 가장 큰 위험으로 꼽는 보고서들을 연신 발표 하고 있다. 이미 예정된 것에 지나지 않는다. 이제는 좀 더 다른 방향에서 가치를 부여해야만 하고 관찰 해야만 한다.

 

기술에 능숙한 자는 기술의 관점에서만 사안을 바라보아서는 안 된다. 기술에 익숙한 자는 기술을 바탕으로 하여 세상의 변화를 볼 수 있어야 하고 지금과 같은 상황에서는 왜 국제관계에서 사이버전이 큰 이슈가 되고 있는지도 명확하게 알아야 한다. 그래야 새로움이 있고 예측이 가능해 진다. 눈에 보이는 예상은 실패할 가능성이 없는 정해진 사실일 뿐이다. 모두가 똑 같은 이야기를 한다. 그러나 이면을 통찰 하는 시야는 부족하다.

 

앞으로의 사이버 세상은 더 밀접해진 실생활을 대변하고 있고 세계 무대에서의 중심도 이전 보다는 더욱 더 밀접하게 연관되어 돌아가고 있다. 실생활에 충격적인 영향을 줄 수 있는 부분들도 사이버 세상을 통해서 거래가 되고 전달이 된다. 여기에 영향을 미치는 것은 실제 국제관계, 국가간의 관계도 차갑게 돌변 시킨다. 지금 미국과 중국의 사례를 보라. 서로간의 사이버전을 중재하자는 미국과 러시아의 협력을 보라. 미래 세상을 준비하기 위해 가장 중요한 점은 대응 능력이라는 점을 강하게 표방하고 있는 영악한 미국정부의 대응을 보라.

 

어디쯤에 와 있는가?

 

대량 공격이 일반화 되어 있고 작은 구멍으로도 전체가 공격을 받는다. 내부에 중요한 정보들은 겹겹이 둘러 쌓인 성곽에서 철통 같은 경비로 보관이 되고 있으나 모두가 정문만 철통같이 지킨다. 구중궁궐에 들어가는 방법은 정문이 아니라도 된다. 철통같이 비용을 들이고 인원을 늘려 보호를 한다 하여도 세상을 평안하게 하는 만큼의 태평성대는 구가하기 어렵다.  턱 밑에서 방심하기만을 기다리고 비수를 겨누는 지금의 상황에서는 언제든 털릴 수 밖에 없으리라.

 

자산은 다시 평가 되어야 한다. 중요한 정보를 담고 있는 곳을 데이터베이스라 하고 이 데이터베이스에 접근 할 수 있는 모든 장비와 서비스들은 단계별로 중요도를 다시 산정해야만 한다. 가지고 있는 정보에 의해 중요도를 평가하기도 하지만 여기에 덧붙여 접근 가능성에 따라 기술적인 보호조치들은 달라져야 한다.

 

TJMaxx 에 대한 해킹과 Heartland (한국으로 따지면 대규모 PG)의 정보 유출은 유효한 카드 일억 건 이상의 직접적인 유출이 있었다. 7/11의 내부망 침입 후 현금인출, F-35 설계도의 유출, 이란 사이버 아미라는 단체에 의한 트위터와 바이두의 DNS 변조사건들.. 오래된 일들이 아니다. 지금 이 순간에도 국내에서는 또 다른 문제들이 벌어지고 있고 언제든 수면위로 나타날 수 밖에 없다. 미국내 서른개가 넘는 주요 회사들에 대한 타켓화된 공격은 이미 오래 된 이야기 이다. 다만 대상 영역이 민간부분까지 대폭 확대된 경향이 변화되었을 뿐이다. 제로데이 공격이라는 말의 역사는 최소 5년 이전에 발생된 말이며 오늘 당장 나온 용어가 아님을 잊지마라.

 

종래에는 모든 PC를 포기하는 정책이 나올지도 모르겠다. 모든 PC들은 껍데기이고 중앙에서 통제하는 형태로 진행이 될 수도 있다. Network computer의 꿈은 아직 끝나지 않았다. 비록 바람직한 방향에서의 접근이 아니라 어쩔 수 없는 선택이라는 방안이겠지만.. 적극적인 보호는 공조가 안되어 힘들고 제약들이 많다. 수동적인 보호는 아무리 걸어 잠근다 하여도 한 순간의 헛점들이 전체를 위태롭게 만든다. 그 헛점들은 항상 출현하게 마련이다.

 

개인PC에는 더 이상 개인적인 자료를 담을 수 없다. 신뢰할 수 없는 인터넷의 위기는 앞으로도 더 확산이 될 것이고 더 충격적인 모습으로 영향을 미치게 될 것이다.

 

어쩌면 인류역사상 인간의 지적능력의 진보와 정보 획득 수준을 최대치로 확장케 해준 인터넷은 가장 유용한 도구이며 한 단계 이상을 인류 전체의 지식과 인식체계를 개선 시킬 수 있는 가능성을 지녔다고 할 수 있다. 그러나 현재는 오염 되어 가고 있다. 권력을 쥔 자들은 도구의 활용이 극대화 되기를 두려워할 수도 있을 것이다. 모든 것이 공개되고 비밀은 사라져 가게 되고 권력자들의 입지는 좁아지게 된다. 그래서 오염으로 방치 하는 것일 수도 있다.

 

방치 하기에는 주어진 기회가 너무 아깝고 안타깝다.

사람과 사람 사이를 더 가깝게 만들지 못하는 인터넷, 불신을 초래하는 문화, 지식 수준은 극도로 확장이 되어 버스를 타나, 지하철을 타나 몰입하게 만든다. 방향성을 제대로 잡으면 큰 도움이 되는 도구가 될 수 있으나 그렇지 않다면 손쉽게 나락으로 떨어져 간다.

 

세상을 이롭게 만드는 도구로서 충실하도록 하려면 적극적인 대응이 필요하고 뜻 있는 자들의 모임도 필수적이다. 또한 한 국가에서 시작을 한다면 향후의 새로운 분야에서의 입지도 강화 될 수 밖에 없을 것이다.  세상을 널리 이롭게 하려면 무엇을 해야 하는지부터 생각을 해야 할 것이고 가깝게는 위험을 회피 하려 하기 보다는 근본적인 문제를 없애려고 노력해야 한다. 무엇이 핵심적인 문제인지를 파악 하는 것이 제일 먼저 이겠지만..

 

 

지금의 핵심 문제는 무엇인가?

 

 

개인PC에 대한 해킹이라는 의미는 운영체제의 권한을 획득하여 자유자재로 활용한다는 용어와 동일하다. 개인 PC에 대한 해킹을 하기 위해 타켓화된 공격을 감행하고 인터넷을 통해 감염을 시킨다. 대량으로 감염이 된 PC들은 또 다른 이득과 목적을 위해 이리저리 이용 당한다.

 

사이버 세상을 클린 하게 만들려면 지금의 관점에서 보다 더 장기적인 관점으로 접근을 해야 한다. 당장 눈 앞의 일에 연연해서는 큰 방향성을 잡을 수가 없다. 이슈가 되는 것만을 해결 하기 위해 따라가는 것은 어쩌면 당연한 현상일 수 밖에 없다. 그러나 중심이 없다. 어떤 문제를 해결 하는 것이 가장 먼저이고 그 문제 해결을 위해 어떤 작업들을 순차적으로 해야 하는지에 대한 로드맵이 없다.

 

이버 경우도 현상의 문제만을 기술하고 해결 하기 위한 프로세스, 지원, 방향들을 담았을 뿐이다. 근본적으로 클린한 순방향 도구의 인터넷으로 전환, 확대 시키기 위한 방안으로 언급 된 것은 아니다.

 

변화하는 인터넷의 위협들은 이제 실생활 구석구석까지 난입한다. 이제 그 실체도 확인을 해보기 바란다.

 

-       바다란 세상 가장 낮은 곳의 또 다른 이름.

 

 

 

Posted by 바다란

sign in p4ssion.

 

이른바 세계적 불황의 시기이다.

금융의 한 부분에서 시작된 불황은 거미줄 같은 연결 구조를 가지고 모든 경제의 부분에 영향을 미치고 있고 도미노 적인 효과로 견실한 기업들 조차 스러져 가고 있는 현장에 직면해 있다.

 

현재의 위기 상황은 앞으로도 오랜기간 계속 될 것이다. 또한 글로벌적인 연동을 가지고 있는 세계적 상황에서 고립된 국가는 세계적으로 몇 곳 없으며 모든 세계의 국가 경제가 영향을 받게 될 것이다. 모든 것이 네트웍으로 이루어 진다.

 

네트웍으로 시작하는 것은 IT 서비스 부분은 더욱 분명하다.

실물과 연동이 없는 상태에서 발생한 것이 90년대 말의 IT 버블이였으며 버블의 진화에 따라 IT는 실제의 생활에 강력하게 접목이 되어왔다. 이제는 IT가 실 생활에 미치는 것이 먹고 사는 것 만큼 많은 비중을 차지하는 요소라는 것에는 의심의 여지가 있을 수 없다.

 

경제의 불황과 위기에 IT 서비스는 어떤 관련이 있을 것이고 위험은 또 무엇이 있을 것인가?

 

경기의 호황과 불황은 서비스의 특징에도 영향을 미치는 것이 당연하며 특히 불황의 시기에는 더욱 악독한 범죄들을 만나게 될 것이다. 위험은 더욱 확대되고 범위를 무차별적으로 넓히게 될 것으로 예상 한다.

 

가장 크게 볼 수 있는 IT 서비스의 보호를 위한 Security Industry는 어쩌면 장기 침체의 국면으로 진입할 것이다. 세계적으로 IT 관련 예산의 많은 부분이 Security 부분에 사용이 되고 있으나 이제는 생존 경쟁 모드 이기에 Security는 소흘히 할 가능성이 높다 할 수 있다.

 

나타날 수 있는 현상으로는  고가의 IT Security 제품의 판매부진, 컨설팅 서비스의 부진 (해외는 매우 고가이다.) , 경기 불황으로 인하여 적정한 예산을 보유한 고객 확보의 어려움으로 인해 시장은 전반적인 침체에 돌입 할 것으로 보인다.

 

위의 리스트는 간단하게 예상이 가능한 내용이라 할 수 있다.

그러나 현재의 상황이 과연 간단하게 정리가 가능한 상황이라 할 수 있을까? 하는 관점에 대해서는 동의하지 않는다.

 

IT 서비스는 과거보다 몇 십배나 더 많이 생활과 밀접해 졌으며 생활에 막대한 영향을 미치고 있다. ( 특히 초고속 환경의 보급율이 높은 국가에서는 다양한 부가 서비스로 인해 밀접도는 더욱 높다.) 

 

영향력은 더욱 확대 되었으나 보호할려는 의지는 더 줄어드는 현재의 상황은 향후 심각한 위협을 지속적으로 초래 할 것이고 IT서비스에 편중된 서비스 업체나 산업에 대해서는 종말과도 같은 결과를 초래할 것으로 예상 한다.  Security에 대한 투자는 축소 될 것이나 중요성은 더욱 높아진 현재의 시기에 인식의 전환을 한 경영진이나 CEO들은 어디에 있을까?

 

당장의 생존을 위해서는 과거의 경험에 기댈 수 밖에 없으며 비용절감과 경영의 효율성을 높이고자 할 것이다. 그리고 비용절감은 현재의 우선순위에서 미래를 위한 보호인 보안 서비스의 입지는 1순위 삭감이 될 가능성이 높다. 눈에 보이는 효율과 개선을 요구하는 시기이지 보이지 않는 위협에 대한 투자는 일단 뒤로 미루어 진다. 이 것은 당연한 수순이다.

 

 

공격자들의 현재 동향으로 짐작해 보면 실제적인 금융 관련 사고가 상당히 급증할 것으로 예상된다.

더불어 심도 있는 공격의 비중이 현재 보다는 높아 질 것이며 Black Market의 규모는 급팽창 할 것으로 예상된다.  한국내에만 한정해서 본다면 진흙탕과 같은 현재의 Security industry의 상황은 보다 더 심각한 양상을 뛸 것으로 예상된다.

 

기존의 Security 인력들에 대한 압력도 증가 할 것이다. 비용투입 없이 이제는 전부 자체 해결로 가려는 것이 습성이다.  아마도 한국내의 인력들에게는 어마어마한 강도의 일들이 서슴없이 주어질 것이다. 아마 전 세계에서 수행하는 거의 대부분의 Security 관련 프로젝들이 아주 극소수의 비용으로 모양만을 답습하는 양상이 반복될 것이다.  양자간에 도움이 안되는 모양새가 속출 할 것이다. 인력에게도 회사에게도..

 

 

산업의 침체와 불황국면은 비용의 절감을 요구하고 미래를 위한 비용이라 인식되는 Security Industry는 현재의 심각한 위협에도 불구하고 (현업에서만의 심각도 인식 단  MBA들은 인식하지 못한다.) 축소될 것이다.  그리고 기업의 운명도 짧아질 것이다.

 

< http://cartoonistsindia.com/htm/marioC3.htm REF>

 

 

세계적 현상을  예상하고 정리하면

 

 1. 개인의 금전거래에 대한 치밀한 공격 증가 - 이미 빼내갈 만큼의 정보는 나간 상태이므로 ( 세계 포함) 세계적인 스팸의 팽창과 voice phishing 등과 같은 사기 행위의 증가 예상, 정밀도 높은 금전거래 정보의 유출의  대폭 확대

 

2. 악성코드 제작의 고급화 예상 - 보안 서비스의 축소는 인력풀의 범위를 좁혀 뛰어난 사람들의 음지 입성의 계기가 되기도 할 것이다. 또한 새로운 Genius들의 갈 곳 없는 출구가 되기도 할 것이다.

 

3. Security Industry의 침체

  - 고급 서비스의  침체 예상 ( 고비용 , 많은 인력 투입, 컨설팅,고가의 소프트웨어 , 장비 등등 ) , 반대 급부로 저가 서비스 시장은 일정 수준이상 활성화 예상

 

4. 전 세계적인 개인정보 거래의 활성화 및 악성코드 공격 대상의 확대 - 이제는 돈 되는 것이라면 무엇이든 다한다. Black Market의 확장은 끝이 없을 것으로 보인다.

 

5. Ransom 형태의 공격 유형 일반화

- 그동안 음지에서 돌던 Botnet 및 대규모 Agent들이 공개적으로 드러날 것으로 보이며 이에 따라 망하는 회사들도 나올 것으로 보인다.

 

6. 기밀정보의 거래 및 개인정보의 거래등이 이루어지는 거대 Black Market의 세계화 예상

- 악성코드의 은밀성의 확대와 공격 가능성의 확대로 인해 국가간 기밀 유출을 통한 거래 시장의 범위가 큰 폭으로 확대 될 것이다. 아마 통 큰 거래가 일반화 될 것으로 보인다.

 

* 경제 활동에서 유추가 가능한 변화의 상은 매우 다양할 수 있으나 불황의 국면에는 보다 더 잔인하고 지독한 유형의 출현이 예상된다. 그나마 구성되고 있는 Security Industry에도 영향은 있을 것으로 예상된다.

 

 

 

한국내의 서비스 전망을 위한 요약

 

- 현재의 개인정보보호들은 생색내기에 그칠 것이다. 실질적인 기술적인 개선은 상당히 오랜기간이 걸릴 것으로 보인다. 수박 겉

Posted by 바다란

바다란입니다. 오랜만에 뵙습니다.

 

* 디지털 액자에 숨겨진 악성코드가 사진 변경이나 추가를 위해 직접 연결되는 PC에 감염을 시키는 유형의 출현

<imgref: http://www.techgadgets.in/images/bestbuy-frame-infected.jpg >

 

 

악성코드 유포의 새로운 유형이 출현 하였습니다.

디지털 액자를 통한 악성코드의 유포 유형인데 해외 언론에서도 특이함에 주목을 하고 있지만 다른 관점에서 보아야 할 이슈들이 있습니다. 한국내의 현실에서는 그다지 새로울 것이 없는 유형이지만 시사하는 점이 여럿 존재하고 있습니다. 악성코드의 유형은 온라인 게임(특히 MMO- 아마 WoW가 아닐까 예상 됩니다.)의 계정정보를 유출하기 위한 형태이지만 근래에 발견되는 악성코드의 특징대로 사용자의 모든 개인정보에 대한 유출이 가능한 형태라 할 수 있습니다. -* 모든 개인정보에 대한 유출이 가능 하다는 의미는 시스템에 대한 완벽제어가 가능하다는 것과 동일함.

 

 

1. On/Offline 연계를 통한 악성코드의 유포

 

2. 공격 기술의 진보 가속화 (Quality Assurance ??) - Vaccine evasion

 

3. Application Attack의 일반화 및 영향력 확대 - 세계화

 

 

주요 시사점은 위의 세 가지 정도로 볼 수 있습니다.

일반적으로 판매되고 있는 디지털 액자를 통해 Worm 유형의 악성코드 유포를 한 사안인데 심각한 사안은 제조공정에서나 탑재가 가능한 Application에 악성코드가 심어져 있는 것이 발견이 된 것입니다.

 

문제가 된 버젼은 insignia 사에서 제조한 10.4inch의 디지털 액자이며 2007년에만 디지털 액자가 미국 내에서 천만개 가량 팔린 것으로 조사가 되고 있습니다. 이중에 몇 개나 문제가 되고 있는지는 파악하기는 어렵지 않을까 싶습니다.

 

미국 내 대형 유통 업체인 Bestbuy( Sam's club, Costco 등에서도 판매가 되었다고 함)를 통해 Offline 판매가 되었으며 올해의 신년 Holiday 기간 중에 판매된 제품들 중에서 문제가 최초 발견이 된 것으로 보고가 되고 있습니다. 공식적으로 Bestbuy에서는 해당 제품의 판매수치에 대해 언급 하지는 않고 있습니다. 또한 이와 같은 이슈에 대해 제품에 대한 Recall도 없는 상태이구요.

( 그렇다면 Worm을 어떻게 제거 할까요? 디지털 액자에도 AntiVirus를 설치해야 하는 것인지 아니면 PC 연결 이후 해당 디지털 액자에 대해 Storage 검사를 해야 하는 것인지 궁금하네요. 아마도 후자일 것 같습니다.)

 

http://fatmatrix.com/digital-frames-infected-with-virus.html

기사를 확인하여 보면 Insignia와 Bestbuy측은 최초 웜의 발견 이후에 발표된 논평에서 일반적인 바이러스 이며 대부분의 Anti Virus 소프트웨어를 통해 탐지 및 제거가 가능한 유형이라고 해명을 하였으나 이후 전문 AntiVirus 업체인 CA의 분석결과는 또 다른 유형으로 나오고 있습니다.

 

http://www.eurogamer.net/article.php?article_id=92900

온라인 게임 관련 매거진의 내용대로라면 Antivirus 제품에 의한 탐지를 피하고 Windows Firewall ( 이 의미는 외부 연결 제한을 우회 할 수 있다는 의미로서 조금 더 확장하여 보면 독자적인 정보 전달 통로를 제한 없이 이용 할 수 있음을 의미합니다.)의 제한 회피등이 가능하다고 되어 있습니다.

 

좀 더 자세하게 나타난 자료를 찾아 보니 다음과 같습니다. 공신력이 있는 UPI를 통한 언론 보도이니 신뢰가 가능할 것 같습니다.

http://www.upi.com/NewsTrack/Science/2008/02/18/digital_frame_virus_traced_to_china/9409/

위의 기사에서는 좀 더 상세한 내용들이 나오고 있습니다.

 

최소 100여 개 이상의 Antivirus 제품으로 부터 탐지를 회피하고 있으며 Windows system의 보안기능을 우회하는 기능을 가지고 있습니다. 더불어 추적이 힘들도록 구성이 되어 있다고 CA의 제품개발 담당이 이야기를 하고 있습니다. Nuclear  bomb 이라고 언급을 하기도 합니다. 이 의미에는 악성코드의 유포방식, 보안제품에 대한 탐지 우회, 시스템의 제한 우회, 추적 회피 등과 같은 다양한 이슈가 포함 되어 있다고 보입니다.

 

 

언론이나 온라인의 기사만으로 사실 추론은 위와 같이 가능합니다. 그렇다면 이슈가 되는 부분들은 무엇이 있을까요?

 

가장 먼저는 insignia 사의 제품 제조 공정까지 침입한 공격자를 들 수가 있습니다. 제품제조 공정시에 탑재되는 Application을 변조 시킬 정도라면 해당 회사의 전체 시스템도 매우 위험한 상태에 놓여 있으며 이미 공격자가 시스템 대다수의 권한을 가지고 있다고 볼 수 있습니다. 공격이 가능한 지점은 내부 담당자에게 악성코드가 담긴 이메일 전송을 통해 ( 최근엔 Office 계열 파일이 다수 사용됨) 권한 획득을 하였을 경우와 외부로부터 직접 웹 서비스의  Application 취약성을 공격하여 차근차근 권한 획득을 한 두 가지 경우로 볼 수 있습니다.

 

중요한 관점은 사용자들에게 배포되기 직전 단계의 Application 변조가 일어났다는 것이며 그 어떤 AV 제품으로도 탐지가 되지 않는 신형 악성코드가 추가 되었다는 점입니다. 더불어 주변기기를 통한 전파를 노린 점도 향후의 위험성을 증대 시킵니다. 그 어디에도 이런 의미를 논하고 있지는 않습니다.  실제 우리가 사용하고 있는 모든 디지털 관련 제품들이 향후 더욱 큰 위협들에 노출 될 수 밖에 없음을 실증적으로 보여주는 사례라 할 수 있으며 악성코드 전파 방법의 특이성 또한 염두에 둘만 합니다.

 

두 번째로는 악성코드의 진화입니다. 최소 100여 개 이상의 Antivirus 제품으로부터 탐지를 회피한다는 의미는 공격자들이 공유하고 있는 기술 수준이 높음을 의미합니다. 또한 곧 일반화 될 것으로 예상됩니다. 한 해에 몇 천개 혹은 몇 만개 정도씩 만들어 지는 중국발 악성코드의 기능들이 대폭 업그레이드 될 가능성을 내포하고 있다고 볼 수 있습니다. 운영체제의 보호기능 정도는 당연히 더 쉬운 상태라 할 수 있습니다.

 

세 번째로는 Online 상의 방문자가 많은 사이트를 통한 악성코드 유포 이외에도 Offline상의 Digital 주변기기를 통한 전파 방식입니다. 기존에는 방문자가 많은 사이트를 공격하여 소스코드를 변조함으로써 악성코드를 유포하는 방식을 일관되게 사용하였으나 이제는 주변기기 제조회사 등을 공격하여 Offline상에서도 배포가 되는 방향도 시도가 되었다는 점은 여러 가지를 생각하게끔 합니다.

 

 

앞으로의 예상은 중국발 해킹의 세계화와 온라인게임의 risk 지속 확대, 온라인 생활(금융, SNS 등)의 위험 증가가 일반적인 상황이라고 할 수 있습니다.

 

중국발 해킹은 2005년부터 위험요소를 언급 하고 세계적으로 확대 될 것이라고 개인적으로 여러 자리에서 공언 하였습니다. 현재의 상황은 그 공언을 실증적으로 보여주고 있습니다. 앞으로도 상당기간 지속될 것이고 전 세계적인 Risk가 될 것으로 보입니다.  온라인 게임 혹은 금융과 같은 다양한 온라인의 생활은 금전적인 가치와 결부되는 순간에 공격의 대상이 됩니다. 시대의 변화는 온라인에 가치를 부여하는 것이 당연한 것이므로 앞으로의 위험은 모든 부분에 걸쳐 나타날 것으로 예상 됩니다.

 

 

중국발 해킹의 근본적인 부분은 현재 상태에서 두 가지에 기인합니다.  Office 파일을 이용한 신규 백도어 설치 방법 ( 주로 이메일을 활용) , Web Application Attack을 통한  권한획득과 웹 Application 소스코드의 변조를 통한 악성코드 유포입니다.

근본적으로 백도어를 활용한 방식 (주로 폐쇄적인 망을 공격합니다. 주요 국가들의 국가기관들의 공격, 산업기밀의 유출등..) 과 Web Application Attack이 일반적입니다. 아니 이 두 가지가 전부라 할 수 있습니다.

 

백도어를 활용한 방식 부분은 운영체제적인 면과 Antivirus 측면에서 충분한 대응 방안들이 나올 수 있습니다. 그러나 사람이 제작하는 Web Application에 대한 공격은 향후에도 많은 어려움이 있을 수 밖에 없습니다. 아직 중국발 해킹은 2라운드 초반입니다. 이제 겨우 세계로 진출한 것이라 할 수 있습니다.  Web Application의 공격 방식을 유추하여 모든 사이트에서 공격에 사용될 근본 원인을 제거 하지 않는 한 문제는 계속 됩니다.

 

URL에 사용되는 모든 인자들에 대한 Validation check가 문제 해결의 시작이 될 것입니다.

 

국내의 상황을 한번쯤 생각해 보시죠 어떤 위험들이 앞으로 다가 올 것인지... ( IPTV, 유.무선연동 등등 무궁무진 하겠네요..)

 

감사합니다.

 

Posted by 바다란