태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

안녕하세요. 바다란 입니다.

 

금일자에 발견된 새로운 기사들을 모니터링 하다보니 다음과 같은 기사가 눈에 띄입니다.

일부 주요 부분을 발췌하면 다음과 같습니다.

 

http://www.donga.com/fbin/output?f=todaynews&code=b__&n=200702260116&main=1

 

《국제 금융 사기단이 ‘파밍(pharming)’이라는 신종 해킹 기법을 이용해 세계 65개 이상의 금융회사와 전자상거래 업체 고객들의 PC를 공격하고 개인정보를 훔치는 대형 금융사고가 일어났다. 25일 국내외 인터넷 보안 전문가와 금융계에 따르면 이 같은 해킹은 19일 호주에서 처음 일어났으며 급속히 확산돼 하루 평균 1000명 이상의 PC 접속자를 위장 사이트로 유도한 뒤 인터넷뱅킹 ID와 비밀번호 등의 정보를 빼갔다. 이런 사실은 22일 미국 보안업체인 ‘웹센스’에 의해 뒤늦게 밝혀졌으며 가짜 사이트들은 폐쇄됐다.》

 

파밍이라는 용어 자체는 기사에 잘 나타나 있기 때문에 특별히 설명을 하지는 않도록 하겠습니다만 부분적인 이해를 위해 개념적으로 설명을 하도록 하겠습니다..

 

 

DNS와  Internet

 

DNS [Domain Name server] 와 사용자의 PC에 존재하는 Host 파일과의 관계를 아시면 충분히 이해가 됩니다. 웹사이트에 접근하는 방법은 두 가지가 있습니다.

하나는 IP Address를 통한 접근 방법이고 또 다른 하나는 URL을 통한 접근 방법입니다. 특정 IP에 특정 URL을 매핑 시킨 정보를 가지고 있는 것이 DNS 이고 우리가 IP Address 설정시에 DNS IP를 지정하는 것도 입력하는 URL 과 URL이 위치한 실제 IP Address를 매칭 시킨 정보를 전달하여 해당 사이트로 이동하게 하기 위한 과정입니다.

 

DNS에 대한 공격이 주요하게 되는 것들도 모든 사용자들이 IP를 기억하여 특정 사이트에 접근 하기는 어렵습니다. 사용자가 인지하기 쉬운 것은 Naming 이죠. 따라서 DNS 서비스가 되지 않을 경우에는 인터넷 망에는 지장이 없으나 URL을 이용한 사이트 접근이 안되어 문제가 생기는 것입니다.

 

IP 주소로는 접근이 되지만 사용자가 인지하는 접근 방법은 URL을 통한 접근 방법이고 URL 주소가 실제 IP 주소로 매칭되는 정보를 찾아내어 DNS가 알려 주어야 하는데 알려 주지 않으니 접근이 안된다고 하는 것입니다.

 

현재 발생되는 인터넷 불통 및 연결 관련된 문제는 대부분 DNS 관련된 문제들이 많습니다. 원인이야 웜이나 바이러스에 의한 트래픽 증대도 있고 다양하지만 최종 사용자에게 미치는 영향은 원하는 사이트에 접근이 안되는 문제가 가장 크며 이 문제의 핵심에는 DNS가 존재합니다.

 

개인 PC에 존재하는 DNS의 기능을 Host 파일이 수행을 합니다. URL에 해당하는 IP Address를 개인 PC의 Host 파일에 넣어 두는 것이죠. 이럴 경우 DNS 서버에 문제가 있더라도 Host 파일에 등록된 URL은 문제없이 접속이 됩니다.

 

그럼 모든 IP Address의 매핑을 Host 파일에 저장을 한다면 문제는 없는가? 라는 질문에 원칙적으로는 그렇다라고 말 할 수 있습니다. 그러나 전 세계의 IP Address 전체와 URL 정보를 어떻게 얻을 수 있나요? 불가능 합니다. 유기적으로 갱신하고 URL을 기준으로 변경이 되는 IP 정보를 갱신 하기 위해 DNS 시스템이  존재합니다.

 

최상위 Root DNS 라고 불리는 것 부터 하위 DNS 까지 계층 구조를 이루고 있으며 갱신 시점은 일정 시간이 지난 이후 상위로 전달이 되고 최상위 Root DNS에서 일정 시간 이후 하위로 전달이 되는 구조로 되어 있습니다.

 

만약 새로운 URL과 IP를 전달 한다면 정확한 시간을 예정하는 것은 어렵지만 며칠 이내에 전 세계 시스템에서 URL을 통해 접근 할 수 있도록 계층적으로 구성이 되어 있습니다.

DNS의 이용은 이러한 유기적 구조를 통해 접근성을 확보하기 위해 필수적으로 사용이 됩니다.

 

파밍을 이야기 하다 부연설명이 길어졌습니다. 파밍이 사용하는 방법은 무엇일까요?

사용자 PC의 Host 파일을 조작하는 것은 어떤 의미 일까요?  서비스 하는 기업들은 URL을 등록하고 URL을 이용하는 사용자는 그 기업의 서비스를 신뢰하고 사용을 합니다. DNS에 등록이 된 URL과 IP Address는 어느정도 신뢰가 가능하다는 이야기 입니다.  이 신뢰를 이용하는 것이 파밍이라 할 수 있습니다.

 

사회공학적 해킹

 

사용자는 익숙한 URL을 입력하여 일반적으로 Web에 접근을 합니다. 이런 일반성을 이용하는 것이 파밍이며 DNS 서버에 URL에 대한 IP Address 질의를 던지기 이전에 사용자 PC의 Host 파일 설정이 우선순위가 높습니다. Host 파일을 먼저 확인한 이후 URL 목록이 없을 경우 DNS 서버에 질의를 합니다. 만약 Host 파일을 변경한다면?

 

당연히 Host 파일에 등록이 된 URL에 매핑된 IP Address가 실행이 됩니다. 즉 DNS에 존재하는 신뢰가 되는 Ip Address가 아닌 임의의 IP Address에 접근이 되는 것입니다. 은행 사이트도 마찬가지 이고 모든 사이트가 마찬가지 입니다. 이런 Host 파일을 변조하여 공격자가 사용자의 정보를 빼내가기 위한 사이트로 유도를 하려 합니다.

 

DNS 서버에 등록된 주소: www.xxx.com 111.111.111.XXX 

실제 DNS에 앞에서와 같이 기술이 되어 있다면 이 내용을 공격자가 바꾸는 것이지요. 사용자의 PC에 존재하는 Host 파일에 이렇게 바꿉니다.

사용자 PC의 HOST 파일:  www.xxx.com  222.222.222.xxx

이렇게 되었을 경우 DNS 서버에는 정상이지만 사용자 PC의 Host 파일이 변경된 경우 URL 입력창에 www.xxx.com 을 입력할 경우 222.222.222.xxx 사이트로 이동이 됩니다.

 

문제는 www.xxx.com 과 유사한 사이트 이미지를 만들어서 사용자 입력을 받도록 한다는 것이죠. 사용자는 자신이 매일 방문을 하는 사이트 이므로 의심없이 입력을 하게 됩니다. 피해가 대량으로 발생을 하죠. 우리나라의 경우 공인인증서가 활성화 된 상태라 공인인증서까지 가져가야 하기 때문에 피해가 거의 없었다고 할 수 있습니다.

 

올해 초에 발생된 신형의 경우 악성코드를 통해 Host 파일의 변조 , 공인인증서 파일의 외부 유출등을 실행 하였고 사용자가 해당 은행 접근 시에 위조된 사이트로 접근을 하게 된 경우입니다.

위조된 사이트에서 공인인증서 패스워드까지 입력하도록 함으로써 수상하다라는 인식을 빨리 하게 되어 문제가 커지기 전에 차단이 된 내용입니다.

 

그렇다면 해외는 어떨까요? 기사에 나타난 내용대로라면 다수의 사용자에게 실질적인 피해가 발생 하였을 것입니다. 실제 거래의 피해 및 금전적인 피해가 발생 하였을 것입니다. 개인에게 직접 영향을 미치는 것이죠.

 

국내의 금융권 보안 강화 방안과 해외의 보안 강화 방안

 

<개념적인 그림입니다. 현재 전체적으로 봤을때 주요 관점이 다르다는 의미입니다.>

 

- 국내는 공인인증서를 사용하여 추가적인 입력 장치가 필요하고 비록 단종된 ActiveX 기술이기는 하나 다양한 보안 기능을 활용 하고 있습니다. 따라서 금융기관 공격이 매우 어려우며 사용자 정보의 유출이나 금전적인 피해가 상당히 적다고 할 수 있습니다. 가장 기본적인 원칙은 사용자의 PC 수준을 우선 불안전한 상태라고 보고 이후의 모든 단계를 강제적으로 진행 하는 개념입니다.

 

- 해외는 기본원칙이 다릅니다. 사용자의 PC 수준을 우선 신뢰하고 있으며 신뢰된 내용으로 부터 들어온 거래에 대해 비정상적인 행위를 찾아내는데 중점을 두고 있습니다. Fraud  검출과 관련된 기능과 인력에 중점을 두고 있습니다. 그리고 인터넷 상에서 피싱된 사이트에 대한 정보를 찾고 해당 정보에 대한 전체적인 차단과 대응에 중점을 두고 있습니다.

 

두 원칙이 다르다 보니 발달된 부분도 다릅니다. 국내는 PC보안 및 보안요소 기술, 공인인증 관련 기술이 발전 하였고 해외는 피싱관련된 협력 모델 , Fraud 검출 기술이 장점입니다.

 

어느 부분이 바람직 할까요? 저 개인적으로는 향후의 위협을 고려하여 보면 국내의 방향이 맞다고 봅니다. 안정성 측면에서 바람직한 접근이라 할 수 있습니다. 인터넷은 통제가 가능한 부분이 아니며 그동안 여러번 이야기 하였지만 위험요소를 걸러내어 안전해 질 수 있는 부분이 아니며 Protection의 개념으로 접근을 하여야만 합니다. 

 

해외는 앞으로 많은 위협에 직면하게 될 것입니다.  공격 기술은 보안 기술과의 격차를 계속 벌리고 있는 상황이라 향후 많은 "소 잃고 외양간 고치기"를 해야 할텐데.. 외양간이 어디인지를 잘 살펴야 할 것입니다.

 

격리와 Protection 관점의 변화는 매우 어려운데 해외는 개념 및 발상의 전환상 상당 시일이 소요될 것으로 보이며 향후 난관이 예상됩니다.

vista도 protection 관점에서 진화된 내용이기는 하나 침입 가능 경로중의 일부만을 차단하고 있으며 또한 취약성 분석의 전문화와 대중화로 인해 문제가 지속 될 것입니다. 물론 zeroday 및 MS의 관련 Application 문제도 상당히 많고 오랫동안 계속될 문제입니다.

 

* 개인의 의견입니다.

 


 
Posted by 바다란

* 본 포스트는 왜 그렇게 밖에 할 수 없었는가에 대해 생각해본 내용입니다.

 

안녕하세요. 바다란입니다.

 

ActiveX에 대한 논란이 가열 되고 있습니다. 그러나 표준을 지켜야 한다..그리고 기술종속이다 라는 측면에서의 문제점 부각만 되고 있는 것 같습니다. slashdot을 비롯한 해외 블로그 포스팅들이 MS에만 집중화된 환경에 대해서 조롱하는 뉘앙스가 많이 보이고 있는데 조금 다른 시각에서 보도록 하겠습니다. [ 지난번 포스트에서 약속(?)한 ActiveX에 대한 글입니다.]

 

결론을 먼저 말씀 드리면  목적에 맞는 활용이 가장 중요한 부분이며 그러한 활용을 대한민국은 가장 효율적으로 활용 했다고 할 수 있습니다. 

Vista에서의 ActiveX가 왜 문제가 되는가 하는 부분은 보안적인 이슈가 가장 크다고 봅니다. 사실상 잘못된 인식의 오류가 Vista에서는 모든  ActiveX가 실행이 되지 않는다고 생각하는 점이 오류라고 볼 수 있습니다. ActiveX가 실행은 됩니다. 코드의 수정이 이루어 지면 충분히 가능합니다. 그러나 명확한 본질은  시스템의 권한을 이용하는 ActiveX의 사용에 문제가 있는 것입니다. 권한 문제는 보안의 문제라고 볼 수 있습니다.  왜 보안의 문제이고 왜 지금의 상황이 초래 되었는지에 대해서 이야기 해보겠습니다.

 

 

http://it.slashdot.org/article.pl?sid=07/01/26/1455224

http://www.kanai.net/weblog/archive/2007/01/26/00h53m55s#003095

 

위의 링크는 해외 이슈에 대한 블로그 및 의견 관련된 글입니다.

 

사견을  말씀 드리면 해외의 상황과 지금 우리의 상황은 다르다는 이야기를 드리고 싶습니다. 그리고 해외 언론이나 의견에 대해  일희일비할때는 충분히 지나지 않았는가 생각 됩니다.   

IT강국이라는 의미는 OS의 다양성에 대한 인정 보다는 IT라는 하나의 도구를 활용하여 얼마나 많은 생활에 접목을 시키고 활용을 하고 실생활을 낫게 만드느냐 하는 점에서 바라 보아야 한다고 생각 됩니다.

 

인터넷 뱅킹을 예를 들면.. 이제 더 이상 금전 납부 및 이체를 위해 은행을 방문 하지 않습니다. 분명히 생활상의 개선과 편리, 비용의 절감이 이루어 졌습니다. 뱅킹을 이용하기 위해 분명한 본인 확인이 필요했고 본인확인의 과정에서 공인인증서라는 것이 이루어 졌습니다. 이런 안전하다고 보장된 인증매개체를 통해 금전 거래가 이루어 지는 것입니다. 물론 정책상 특정 OS 및 특정 환경에 의존된 부분은 분명한 문제라고 여깁니다.

 

그렇다면 왜 특정 OS 및 특정 환경에 의존하게 되었을까요?. 이 부분은 지원 문제와 대중성 , 접근성 때문이라고 정의 할 수 있습니다.

 

MS의 시행착오도 많지만 가장 큰 성과는 컴퓨터라는 도구를 생활속에서 보다 친숙하고 쉽게 접근 하도록 운영체제를 만들었다는 것에 있습니다. 보다 뛰어난 운영체제는 지금껏 있어 왔으나 대중에게 접근이 쉬운 운영체제는 현재로서도 MS의 윈도우즈 플랫폼이 뛰어 나다고 봅니다. 프로그래머나 IT 관련 기반지식이 있는 사용자들에게는 리눅스 플랫폼이 더 뛰어나고 개방성이 있고 조율이 가능하나 모든 사용자에게 해당이 되는 것은 아닙니다.

 

http://news.naver.com/news/read.php?mode=LSD&office_id=034&article_id=0000346696&section_id=105&menu_id=105

[ 2.1일자 기사 입니다. 인터넷 인구는 3400만 이고 4~50대의 사용비가 증가 하였다고 합니다. 이런 사용비의 증가가 과연 대중성이 없는 운영체제 상에서 가능 하였겠습니까? 과연 리눅스로 이 정도의 대중성을 확보 하는 것이 가능 하였을까요?  ]

 

보다 쉽고 보다 접근이 쉬운 부분. 그 요소를 파악 했기 때문에 대중화가 이루어 진 것이고 한국의 발전 과정에서 보듯 IT 부분에서도 상당한 압축성장이 이루어 졌고 그 매개체는 대중화가 가능한가? 그리고 지원체제의 일원화를 통해 효과가 가장 큰 부분은 무엇인가에 역점을 두었습니다.  그래서 대중성이 높은 운영체제에 대한 지원체제 일원화가 이루어 진 것이죠.

 

90년대 후반 국내의 상황에서 기술의 깊이 보다는 대중성을 통한 적용 범위의 확대 -> 적절한 도구의 선택 [ 대중성 측면에서 MS 솔루션 선호] -> 지원의 집중 [ 이부분에서 다양한 경로를 차단한 것이 실책일 수도 있습니다.]  기반기술을 완벽하게 지닌 것도 아니고 그렇다고 투입 가능한 자원이 무한정인 것도 아니여서 지원에 대한 집중은 어쩔 수 없는 면도 있지 않았을까 생각 됩니다.

 

 

설명이 길었습니다.  정책에 대한 옹호도 아니며 발생된 상황에 대해 왜 그렇게 되었는지에 대해 설명을 하다보니 길어 졌습니다. 본래는 ActiveX , Vista ,보안은 어떤 관계인가에 대해서 설명을 하고자 하였는데... 

 

가장 큰 책임의 주체는 Web을 통한 Active한 컨텐츠의 표현과 기능 구현을 위해 고안된 ActiveX 의 많은 권한 허용입니다. MS의 사상적인 기반과 관련이 있겠지만 인터넷을 통해 모든 것이 가능하게 만드는 방향성과 관련이 밀접한 기반기술중 하나 였을 것입니다. 

 

그 다음은 특정 OS에 한정된 실행 한계의 설정이라고 할 수 있습니다. [ 이 부분은 지원의 집중 차원에서 초기에는 큰 방향에서 타당성이 있다고 보입니다. ]

 

 - to be continue..

 

*보안부분과 Vista , ActiveX에 대한 내용은 길어져서 글을 분리하여 다음 포스팅에 게시 하도록 하겠습니다. 인터넷 뱅킹 , 대중성 , 보안 이 이슈로 묶이는 포스트라 상황에 대한 설명이 필요 한 부분이라 적었습니다.

 

 

Posted by 바다란

공인인증서 및 ActiveX 보안도구들에 대한 컬럼을 게재할 예정입니다.

 

쓰다보니 길어져서 두편 정도로 나뉘어 질 것 같습니다.

 

개인의 의견들이 투사 될 것이고 문제 부분들과 각 도구들이 대략적으로 어떤 역할을 하고 있는지에 대해서 설명이 될 겁니다.

 

그 외 비난하는 측에서 언급하는 SSL +OTP 조합이 그걸 막을 수 있는지도 언급 하게 될 것 같습니다.

 

현재 2/3정도 다 썼는데 빠르면 금주중 게재 합니다.

 

 

공인인증서 사용에 대한 제한을 철폐한다는 공식 입장이 나온 상태라 게으르게 쓸려다가 조금 타이트하게 빨리 쓸 예정입니다.

 

그럼 컬럼에서 뵙겠습니다.

Posted by 바다란

http://openweb.or.kr/?p=2928  <- 엮인 글로 다셔서 의견 답니다.

댓글로 달았는데 너무 길어서..직접 게시글로 답니다. ..으. 트랙백으로 엮을려 했더니 이것도 안되네요. 헐

 

 

제가 위 컬럼에서 해결과제로 직시한 내용에 대해서 먼저 답해야 할 것으로 봅니다.
그 내용에 대한 답변은 되지 않은 상태에서 세부적인 조건만을 언급하는 것은 자세가 아니라고 봅니다. 전체적으로 공인인증서를 옹호한 것도 아니지만 SSL + OTP 조합이 매우 허망한 것임을 논의했고 그게 정답이 아니라는 이야기를 하는 것입니다.

그리고 보안 도구들은 뱅킹 시에만 활용되는 것 당연히 알고 있고 인증서 패스워드와 여러 패스워드가 같다는 부분은 인정합니다만 비약이 심한 논리입니다. 여러 키 입력을 빼내 감으로서 유출을 할 수 있다라고 들립니다. 공인인증서 체계 외에도 다양한 도구들을 설치하는 것이 그런 정보 유출을 막기 위한 목적입니다. 정확하게 공인인증서에 대한 암호를 모르더라도 다른 계정 정보를 빼내어 감으로써 충분히 시도를 할 수 있다는 논의는 문제가 있어 보입니다. 말씀 하시듯 PC에서 모든 정보가 유출 되는 것으로 가정한 후에 동일한 패스워드 유형일 것이므로 활용이 가능하다라는 말은 무리가 있습니다. OTP는 나갈 염려가 없으므로 문제가 없다인데 PC의 권한이 나간 상태에서 컨텐츠를 조작하는데 해결 방안 있습니까? 이런 기본적인 질문들에 대해 답변이 되지 않은 상태에서 논지를 펴는 것은 궤변입니다. 가정의 근거도 틀린 것이구요.


인증서 유출 가능성 항상 있습니다. 인정합니다. 이것은 PC에 대한 권한을 가지고 있기 때문에 그런 것이지요. PC에 대한 권한이 유출 되었다 함은 MITM이라 부를 수 있는 사용자가 보는 화면이 조작 될 수 있음도 동일한 의미 입니다. 컬럼중에 게재 했지만 계좌번호만 화면상에 보이는 것과 전송 되는 것이 다를 경우 어떻게 할까요?. 확인 방법 있습니까? 인증서를 통하면 부수적으로 한번 더 체크 하는 것이 가능하기 때문에 보조적인 기능을 한다는 것입니다.

역할에 중점을 두고 서로 보완적인 모델을 가져 가야 하는 것인데 한방향만 바라보는 것은 심각한 오류를 나타낼 수 밖에 없습니다.

제가 주장하는 것은 OTP도 아니고 공인인증서도 아닙니다. 목적을 달성 하기 위해서는 보완이 필요하고 보강해야 될 부분이 분명 있지만 선을 그어서 이건 이거고 저건 아니다.. 이분법 적인 논리는 전혀 도움이 되지 않는다는 점입니다.

ActiveX로 설치되는 보안도구와 공인인증서 체계이던 각각 역할에 맞게 서로 보완해주는 역할을 하고 있다고 컬럼에서 그림까지 그려서 설명을 드렸건만 개별 사안에만 집중하는 것은 진중하지 못한 모습입니다. ssl +otp로 제가 그린 그림의 위험성을 보완 할 수 있는 부분을 언급해 주시면 더 감사할 것 같습니다. 아마 할 수 있을꺼라 생각 하신다면...

마지막으로 국내의 피해 사례는 조사된적이 없어서 신뢰할 수 없다고 하는데 해외라고 제대로 조사된 적이 있을 것 같습니까? 다만 언론에 발표되는 내용은 그중의 극소수라고 할 수 있고 실제 피해를 입은 사례를 따져 보아도 노출대비 나오는 것으로 추정을 합니다. 피해자가 나서지 않으면 모르는 것은 해외나 국내나 마찬가지입니다. 해외에 비해 금융피해의 규모가 사례가 미미한 것은 그만큼 피해가 적기 때문인 것은 왜 인정하지 않는지요?. 명확한 현실 바탕위에야 합리적인 대안 논의가 가능합니다. 현재 논의 하시는 부분은 어긋난 것으로 보입니다. 기본 반박의 전제가 부족합니다.

폭넓은 시각과 인식을 가졌으면 합니다. 지금 국내나 해외나 PC환경이 처한 현실은 상상이상입니다. 이상으로 해결 하기엔 난제가 너무 많다는 의미이며 가볍게 이상적으로 생각 할 부분은 절대로 아니라는 말 끝으로 드립니다. 그럼.

Posted by 바다란

-zdnet 게재 컬럼 입니다.

 

생각하는 방향은 전체적으로 주욱 언급 했습니다. 기본 문제들에 대해서도..

앞으로 조금 더 강하게.. 점진적으로 강하게.. 그렇게 해야죠.

 

 

----------------------

 

빗나간 공인인증서 논란

 

 

브라우저 편향성

 

공인인증서에 대한 비난 중에 브라우저의 편향성을 지적하는 요구는 타당하다. 그러나 국내에서 유독 문제되고 있는 IE만의 문제일까?  2009년 하반기의 데이터를 종합하여 발표한 Cenzic의 자료를 살펴보면 브라우저 별 취약성 동향을 일부 유추 할 수 있다.

 

 <참고 : http://www.cenzic.com/downloads/Cenzic_AppsecTrends_Q3-Q4-2009.pdf >

 

일반적으로 국내의 많은 인터넷 이용자들은 IE를 많이 사용 한다. 그리고 비난하는 측의 초점도 공공기관 및 금융기관이 강제하여 문제가 되고 있다고 주장하기도 한다. 문제점이 많이 발견되고 치명적인 SW IE를 계속 사용하거나 ActiveX의 취약성을 이용해 더 큰 문제가 발생 할 수 있다고도 한다.   그러나 cenzic에서 내놓은 통계치에서는 다른 결과를 살펴 볼 수 있다. Firefox Chrome 그리고 iPhone에서 활용하는 Safari 브라우저에서 발생되는 문제점들도 전체 사용비율에 거의 비례하는 수준으로 나타남을 알 수가 있다. 브라우저에서 발생되는 문제점들은 직접적으로 사용자의 PC나 스마트폰에 영향을 미칠 수 있다.

 

Safari 브라우저의 취약성을 이용해 탈옥을 하지 않은 iPhone의 권한을 획득한 CanSecWest 2010 컨테스트의 결과 (링크 - http://zastita.com/index.php?det=56629)를 보더라도 앞으로의 위험요소를 예측할 수 있다. 결론적으로 브라우저 편향성을 벗어난다고 해서 문제점으로부터 벗어나는 것은 아니며 그 순간부터 또 다른 집중적인 공격의 목표가 하나 더 생기는 것뿐이라고 필자는 생각한다.

 

다양한 브라우저를 지원하고 위험성을 제거하기 위해서는 상당히 많은 노력과 지원이 필요하다. 각 브라우저들마다 지원하는 표준이 미세하게 다른 부분들이 존재하고 제작 철학조차 다른 곳들이 많다. 철학이 다르다는 이야기는 근본적인 제품 설계가 다르다는 관점이며 문제점이 생기는 부분을 다 제거 하기 위해서는 정말 많은 노력이 필요하다는 것을 의미한다. 모든 브라우저를 지원하면서도 근본적인 문제를 탐지하고 제거 할 수 있느냐 하는 점에서는 정말 회의적이라 할 수 밖에 없다. 공인인증서가 문제가 되는 부분도 특정 브라우저에 편향된 부분을 사용량의 변화에 따라 상위 2~3개 정도로 한정하여 지원을 하도록 하고 새로운 개선점들을 주기적으로 논의 하였다면 지금과 같은 논란은 생기지 않았을 것이다. 

 

국내의 환경에서 다양한 종류의 접근성 보다는 다수가 사용하는 분야에 대해 안정성을 확보하는 것이 우선일 수밖에 없음은 인정한다. 또한 영세한 보안업체의 특성상 다양한 브라우저를 지원하고 다양한 운영체제를 지원하면서 근본적인 PC나 스마트폰에 존재하는 악성코드를 제거하며 거래의 안정성을 높이는 것은 사실상 불가능에 가깝다.  다양한 운영체제는 그만큼 다른 방식의 접근을 해야 하고 별개의 개발을 진행 해야 한다. 또한 금융거래에서 피해가 발생 했을 경우 금융기관이 책임을 져야 하는 현재의 상황에서 안정성과 피해 발생 가능성을 낮추는 것이 가장 우선시 될 수 밖에 없고 그 결과 브라우저 편향성이 출현 했다고 볼 수 있다.

 

의도적인 브라우저 편향성은 아니며 PC에 대한 위험요소들이 증가하고 피해가 증가함에 따라 각 단계별 문제해결을 위해 추가적인 도구들이 필요 했을 뿐이다. 해외라고 별반 다를 것은 없다. 봇넷으로 은행계좌를 조정하는 악성코드들의 출현과 최대 2천만대의 PC를 원격 조정하여 정보를 빼내고 거래를 한 사례들은 전 세계적인 이슈라고 볼 수 있다. 뚜렷한 문제 해결 방안은 오로지 백신을 사용하는 것뿐이다. 온라인 거래의 안정성을 유지하려면 PC를 보호 할 수 있는 여러 방안을 고민 할 수 밖에 없을 것이다. 현재의 보안수준에서 해외의 인터넷 뱅킹과 상거래가 만약 국내의 상황과 같은 수준으로 활성화가 된다면 상상 이상의 피해규모를 확인 하게 될 것이다. 현재도 카드를 이용한 거래가 일반적인 해외에서 카드도용에 대한 피해사례는 너무나 일반적인 사례이다.

 

국내의 현실로 돌아오면 국내의 IT 산업 환경에서 위험들을 줄이면서 모든 브라우저를 지원하는 것은 불가능 하였을 것이다. 제한된 자원과 제한된 인력을 가지고 각 브라우저 마다 발생 되는 위협들을 제거 하고 문제를 해결 하는 것은 사실상 불가능한 영역에 속한다. 목적성을 가지고 점진적인 확대 외에는 대안이 없는 실정이다. 그러나 조금 늦은 측면은 문제가 있다고 본다.

 

ActiveX로 설치되는 보안도구

 

앞서 ActiveX로 설치되고 활성화 되는 보안도구들은 다양한 위험들을 제거하여 안정성을 확보하기 위한 목적이라고 기술 했다. 그렇다면 각 도구들의 역할은 어떻게 되어 있을까?

 

 

현재 상태에서 설치 되는 보안도구들과 금융권에서 사용되는 보안적인 기능들을 대부분 열거한 경우이다. 각 케이스마다 역할이 배분되어 있음을 볼 수 있다. 키보드 입력을 탈취하는 것을 방지하기 위한 키보드 보안 솔루션과 악성코드가 활성화 되어 있다면 제거하기 위한 백신의 역할, 비정상적인 외부 연결을 차단하기 위한 방화벽의 역할, 위조된 사이트 여부를 확인하는 피싱 방지 솔루션등 다양한 보안도구들이 각 역할을 수행하고 있다. 핵심은 PC에서 서비스로 전달되는 거래를 안전하게 보호하기 위한 것이다.

 

금융거래로 넘어가면 OTP,보안카드 외에 공인인증서를 사용 하도록 했다. 공인인증서 영역에는 별개의 악성코드를 만들어 백신에 탐지가 되지 않으며 동시에 키보드 보호 솔루션을 회피하면서 키입력을 가로채는 유형이 있어야만 키입력을 가로챌 수 있다. 키 입력 이외에도 OTP 또는 보안카드를 사용하여 추가적인 인증수단을 사용해야만 한다. 최종적으로는 공인인증서의 본인확인 기능 및 부인방지 기능을 서버의 키와 비교하는 방식으로 이루어진다.

 

절차적으로도 상당히 많고 번거롭게 느껴진다. 그러나 각 영역별로 다양한 보호 고민들이 있었으며 그 역할은 충분히 합당하다고 본다. 본래의 목적인 안전성을 기준으로 잡으면 당연한 일이라 할 수 있다.

 

공격자들의 의도를 어렵게 하고 실제 공격 발생 비율을 낮추기 위해서는 단계를 많이 거치도록 하고 여러 조건을 모두 만족해야 하는 상태로 만들어서 어려움을 주어야만 한다.

 

백신에 탐지 되지 않는 악성코드를 만들어야 하고 외부 연결은 숨겨야만 하며 키보드 입력 보호 솔루션을 우회해야만 한다. 이 조건 외에 추가적으로 OTP 혹은 보안카드의 키입력 또한 가로채야만 한다. 최종적으로 공인인증서도 탈취해야 하고 공인인증서의 패스워드까지도 별도로 탈취를 해야만 하는 상황이다. 이 정도의 노력과 실력을 가지고 충분히 다른 이득을 얻을 수 있기 때문에 공격을 하지 않는 것뿐이다. 

 

세상에 완벽한 보안이란 존재하지 않는다. 다만 발생 가능성을 줄여주고 사고가 발생 될 경우에 피해를 최소화 하는 일들이 보안의 업무라고 할 수 있다. 사고 발생 가능성을 줄이기 위해서는 공격이 어렵거나 조건이 많아 지도록 만드는 것은 기본이다.

 

 

OTP의 경우 일회적인 패스워드 사용으로 알고 있으나 현재 발견되는 문제점은 다른 위험으로 출현 할 수 있다. OTP의 경우 화면상의 계좌 정보를 실제 전송시에는 다른 계좌로 바꿔치기 할 수도 있을 것이다. 피싱 방지 솔루션이나 백신은 이런 유형의 악성코드나 코드 변조에 대해서 알려줄 수 있는 기능이 부분적으로 존재한다.  또한 최종적으로 공인인증서를 통해 전송 계좌 및 금액에 대해서 추가 확인이 가능하다. 물론 암호화된 내용으로 전달이 되어 중간에 내용을 가로챈다 하여도 특별한 의미를 가질 수는 없는 상황이다.

 

현재 논의 되고 있는 공인인증서 사용에 대한 규제 철폐 및 ActiveX를 통한 보안도구들의 설치 및 기능이 무력화 될 경우에 발생 될 수 있는 위험성은 상상이상이다. 만약 체계적이고 계층적인 대안 없이 진행 된다면 IT 서비스 산업 자체의 위험레벨은 매우 높은 수준을 계속 유지 하게 될 것이다. 대규모 금융 관련 사고가 터진다 해도 이상치 않을 것으로 본다.

 

 

SSL+OTP ?

 

공인인증서 사용에 대한 규제 철폐를 주장하는 측에서 대안으로 제시하는 것은 SSL +OTP 조합이다. 여러 기술적인 설명이야 차지하고서 보안이라는 관점에서 PC에서 발생되는 이슈를 이 단순한 조합으로 보호 할 수 있다는 것은 넌센스다.

 

 

개념적으로 각 부분별로 발생 될 수 있는 문제들을 간략하게 정리해 보았다. 기존의 보안도구를 설치하지 않는 상황과 인증서에 대한 사용이 선택으로 바뀌게 될 경우 위험 요소들은 충분히 더 있을 수 있다. 현재 간단하게 고민한 문제 부분은 위의 그림과 같다.

 

개인 PC에 설치된 악성코드들은 어떻게 해결 할 것이며 특정 은행이나 기업만을 대상으로 한 악성코드의 대응은 어떻게 할 수 있을 것인가? 또 최근 많이 발견 되고 있는 특정 사이트의 보안 수준을 인위적으로 낮추기 위해 HTML을 변조하여 화면상에 표시하는 경우 대책은 무엇인가?

 

OTP를 입력 한다 하여도 화면상의 계좌와 실제 전송되는 계좌가 다르다면 어떻게 거래 내역을 입증 할 수 있을까? 현재 나타나는 악성코드들로도 충분히 가능한 상황이다. 해외 은행의 거래정보를 탈취하는 Zeus bot의 경우 현재 미국에만 360만개의 Agent Pc가 존재한다.

(http://en.wikipedia.org/wiki/Zeus_(trojan_horse) )

키입력을 가로채는 악성코드가 몇 백만대가 기본으로 설치된 상황에서 만약 미국내의 은행에서 자유로운 타인, 타행계좌로의 입출금이 웹을 통해 가능하게 된다면 재앙을 맞이하는 것은 한 순간이다. 이제는 금융거래를 활성화 하기 위해서는 보호방안을 먼저 고려한 이후에 활성화 해야 하는 상황에 직면한 것이다.  앞으로 상당기간 국내 수준으로 활성화 되기는 어려울 것으로 보고 있다.

 

해외에서는 현재도 금융거래에서 피해가 발생 되고 있으며 향후 피해 규모는 더 확대될 것으로 본다. 2000만대의 PC를 움직인 Mariposa botnet의 경우도 금융거래 정보를 탈취하고 있으며 알려지지 않은 많은 botnet들은 지금도 열심히 각 금융기관을 이용하는 사용자 정보를 부지런히 수집하고 있다. 피해는 앞으로 당연히 더 커질 것이다.

현재 해외 금융기관의 대응수준으로 보면 피해는 더 확대될 수 밖에 없으며 금융거래의 발전과 활성화를 위해서는 PC에 일정수준의 제한을 가해야 하는 것은 필연적이라 보고 있다.

 

해외의 개인PC에 대한 피해상황과 비교하여 국내의 PC 환경도 충분히 나쁜 환경에 처해있다. PC의 권한이 탈취되고 악성코드에 의해 조정이 됨에도 불구하고 금융거래의 피해상황은 미미하다. 이 역할은 보안도구들이 일정수준의 역할을 하고 있고 최종적으로 보안카드,OTP, 공인인증서 조합에 의해 피해를 여러 단계에 걸쳐서 막기 때문에 가능하다.

 

SSL+OTP 조합을 사용 했을 경우 아래의 경우에 대책들이 있어야 한다.

 

키보드 입력 보호는 하지 않는가?

MITM(Man in the Middle attack)을 통한 거래내용의 변경을 하는 악성코드 유형은 대안 있는가?

OTP를 사용할 경우 페이지 변조 여부에 대해서 신뢰 할 수 있는가?

한 지역 혹은 ISP 단위의 침해사고가 발생하여 중간 경유 장비에서 트래픽을 전환할 경우 신뢰성을 확보할 방안은?

또한 ARP Spoofing등을 통해 위조된 주소로 접근 한다면?

DNS 변조로 인해 역시 위조된 주소로 사용자가 접근한다면?

또한 인증서를 위조한 경우에는?

(모든 케이스들이 다 발견된 사례들이다. )

 

이 경우 조작된 거래라는 것을 서비스 서버에서 알 수 있는 방법이 존재하는가? 실제 거래가 발생된 이후에도 거래를 본인이 했다는 것을 확인 할 수 있는 확실한 방안은 존재하는가? 위조되거나 잘못된 거래를 찾아내기 위해서 서비스 업체에서 할 수 있는 방법은 무엇이 있을까? 해외 카드 업계에서 하듯이 특정 장소에서만 허용이 되고 별도의 장소로 이동 했을 경우에는 위험이라고 인식을 하고 알리는 Fraud 판별 시스템을 써야 하겠지만 인터넷에서 위치가 아닌 IP기반으로 움직이는 곳에서 그게 과연 의미가 있을까를 고민해야 한다.

개인의 금융거래에도 문제가 발생 되지만 금융 서비스를 제공하는 측에서도 사실관계 확인을 위한 정보는 거의 얻을 수 없는 상태가 된다. 이 경우 문제 해결이 되지 않는 피해사례들은 속출 할 수 밖에 없다.

 

신뢰성을 기반으로 하여 안전성을 추가하는 것이 금융거래의 선결과제이다. 현재의 SSL+OTP 조합은 상당히 많은 부분에서 취약성을 가진다. 모든 것이 안전하고 치명적인 문제가 없다는 전제하에 추진 할 수 있는 것을 너무 쉽게 주장하고 있다. 현실은 그리 만만한 것이 아니다.

 

 

접근성을 확대 하려는 시도는 보편타당하다. 그러나 금융거래에 있어서는 안전성과 신뢰성이 우선이다. 대안과 방안을 마련하지 않은 상태에서의 무조건적인 접근성 강화는 치명적인 결과를 초래할 것이다. 일단 본인확인이 되지 않는 경우에는 금융거래를 제한하는 것이 필요하고 다양한 보안 방안들을 고려 해야만 한다.

 

Pc에 설치되는 악성코드들을 제거하는 공통적인 대응 방안도 없으며 유포되는 주된 경로인 웹서비스의 안정성 확보도 되지 않은 상태에서 문제인식은 너무 부족한 현실이다.

 

스마트폰에서 접근하는 웹은 웹이 아니고 다른 종류라서 안전할까? 웹서비스의 활용도는 앞으로 더 증가할 수 밖에 없다. 사용자나 공격자나 더 매력적인 내용이다.  앞으로는 웹서비스에서 아이폰용, 안드로이드용 악성코드들도 유포가 될 것이다. 당연한 일이다. 국내는 물론이고 세계적으로도 웹서비스의 변조 및 웹을 통한 데이터베이스 정보의 유출은 여전히 계속 되고 있다. 아이폰이나 안드로이드에서 보는 웹도 동일한 웹이기에 위험성도 동일하다. 거기에 금전적인 이득까지 직접 취할 수 있다면 최초 혹은 처음 발견되는 스마트폰용 악성코드들의 성지가 될 것임은 명확하다.

 

현 상태대로 제한이 철폐되고 접근성이 확대된다면 장담하건대 스마트폰용 악성코드의 출현은 매우 빨리 질 것이다. 오랜 기간 관찰해온 바에 의하면 공격자들에게 그것보다 더 유혹적인 이득은 없을 것이기 때문이다. 

 

 

현재의 인터넷 뱅킹이나 금융거래 모델이 문제점을 가지고 있는 것은 사실이나 문제점을 개선하고 발전 시켜야할 부분이지 없애야 하는 수준은 절대로 아니라고 본다. 당연히 장점을 발전 시켜서 수출을 하거나 전 세계 전자 상거래의 활성화를 위해 기여할 부분이 매우 많은 모델임에도 불구하고 하향평준화를 요구 받고 있는 현실은 어리둥절 하기만 하다.

 

현재 상태의 보안도구들도 통일된 도구들이나 공통적인 규약을 가지고 있지 않은 것은 문제라고 할 수 있다. 공통적인 모듈을 활용 하여 다른 사이트를 가더라도 공통적인 기준을 활용 하여 추가적인 설치를 최소화 하거나 비슷한 기능을 다른 브라우저나 운영체제에서도 할 수 있도록 노력을 해야 할 것이다. 그만큼의 투자는 필요하고 충분한 비용은 지급 되어야 할 것이다. 또한 공인인증서 체계의 접근성을 확대하는 것은 지속적으로 노력을 해야 시대의 변화를 따라 갈 수 있다고 본다.  점진적인 발전 모델로서 가치를 가지는 것이지 현 상태의 유지가 정답은 아닐 것이다.

 

 

 

-       바다란 세상 가장 낮은 곳의 또 다른 이름

 

ps:  

一終無終一 -  이 의미대로 살고자 합니다. 오늘 부터가 되겠죠. 두렵지만 더 큰 꿈과 열정은 항상 있었기에 이젠 다른길로..

조금 정리되면 소회를 한번 올려 볼께요.

Posted by 바다란

지디넷 컬럼 입니다. 문맥들은 일부 수정 될 수 있습니다.

하나의 컬럼으로 썼는데 기술적인 내용들이 들어가다 보니 내용이 좀 길어 졌습니다.

두편 정도로 게재 될 예정입니다.

 

 

현재의 공인인증서 논란이 근본적인 환경 변화에 대한 고려가 없이 졸속 진행 되고 방향성을 못잡는듯 하여 심히 우려 스럽습니다.

앞으로도 이런 방식이라면 정말 근본적인 체계가 흔들릴 수도 있다고 봅니다.

 

누가 전문가이고 누가 현실을 아는지 헷갈릴때가 있습니다.

자신만이 보는 것이 전부인 것으로 아는 것이 가장 큰 문제를 일으킵니다.

이제 피해는 모두가 보게 되겠죠. 두편다 작성은 하였으나 컬럼 게재 시기에 맞추어 하편을 올리도록 하겠습니다.

여기에는 컬럼에 정제된 것이 아닌 제가 쓴 원본을 게재 합니다.

 

그럼

 

-------------

 

빗나간 공인인증서 논란   바다란 2010.3.31

 

 

스마트폰이 대중화의 길을 걸으며 사용자가 급증하고 있는 현실에서 많은 서비스 분야들은 체질적인 변화를 맞이 할 수 밖에 없는 상황에 직면했다. 그 과정에서 오랜 시간 동안 논쟁의 중심에 있었던 운영체제 편향적인 부분과 ActiveX에 대한 활용, 웹에 대한 접근성, 공인인증 서비스 체계에 대해 다양한 이슈들이 직접 나타나고 있다.

 

개인적으로는 특정 OS에 편향되고 종속된 기술을 계속 유지 하는 것은 바람 직하지 않다고 생각한다. 접근성 확대 의견에 대해서도 상당부분 동의한다. 단 기본적인 상황인식과 전제는 반드시 필요하다.  상황의 악화에 대해 책임을 질 수 없을 바에야 현실에 대한 분명한 인식이 되어야 함은 당연하다. 그러나 지금의 공인인증서 논란은 많이 벗어나 있다.

 

상황인식에는 접근성을 해치는 시스템과 체계들이 왜 출현 하게 되었으며 어떤 필요에 의해서 도입이 될 수밖에 없었는지에 대해서 인식하는 것이 가장 먼저이다. 현재 어떤 문제들이 있는가에 대해서 명확한 인식이 있은 후에 문제를 보완 할 수 있는 대안을 제시해야만 한다. 그러나 현재는 명분에 앞서서 정확한 현실의 인식에는 많은 문제가 있는 것으로 보인다.

 

필자가 보는 관점에서는 현재의 ActiveX로 설치되는 보안도구와 공인인증서의 역할은 지금껏 대형 금융사고의 발발을 막을 수 있었던 하나의 보조적이고 유효한 수단 이였다고 할 수 있다. 지금껏 국내에서 발생된 인터넷 뱅킹 및 금융관련 사고로 발생된 피해 금액은 해외와 비교하기가 어려운 수준이다. 또한 인터넷 뱅킹 및 금융거래 모델과 활용 방법에 있어서도 해외와는 큰 차이를 보이는데 해외의 금융거래 모델을 기준으로 평가를 한다는 것조차 말이 되지 않는다.

 

일일 인터넷 뱅킹 거래 금액은 29조원이고 상거래에 이용되는 금액은 5조원 남짓이라고 한다. 엄청난 규모라고 할 수 있다. 그렇다면 실 거래 금액 대비하여 지금까지의 금융사고가 발생되어 피해가 발생된 규모는 얼마나 될까?  사용자의 부주의에 의한 것을 포함하더라도 직접적인 침해로 인해 발생된 사고 비율은 상당히 낮은 비율을 유지하고 있다. 이 것은 분명한 사실이다.

 

금융보안 연구원에서 작성한 해외 인터넷뱅킹 보안현황 조사 보고서를 필자도 읽어 보았다. 그러나 중요한 기반 설명들이 빠졌음은 지적하고 싶다. 각 국가별 현황에서 한국에서의 보안 강도와도 같은 레벨을 가지고 있는 국가는 중국을 꼽을 수 있다. 다른 국가들은 상당히 가벼운 모델을 가지고 인터넷 뱅킹을 운영하고 있는 것을 볼 수 있다.

 

그러나 활용도는 어떻게 될까? 각 국가별 활용도를 살펴 보고 위험레벨을 살펴 보는 자료들을 넣었다면 보다 신뢰 받을 수 있는 자료가 되었을 것이라고 생각한다.  해외의 인터넷 뱅킹은 제약이 많으며 실시간으로 금전거래가 일어나기에는 상당히 많은 제약들이 존재한다.  정체 불명의 타인에게 직접적인 금전 이체가 가능한 국가는 많지 않다. 또한 금전 이체를 떠나서 은행의 계좌를 이용해 쇼핑몰에서 물건을 구매하는 것조차도 불가능하다. 해외는 대부분 신용카드를 이용한 거래를 사용한다. 따라서 신용카드에 대한 부정 사용을 감시하기 위한 Fraud 판별 시스템은 상당히 발전되어 있음을 알 수 있다.

 

중국과 한국의 인터넷 환경은 해외의 환경보다 더 직접적인 위험에 노출이 되어 있다. 온라인 주식거래 및 상거래가 일반적이고 온라인 계좌이체가 자유롭다.  이 상황에서 공격자들의 목표는 금융분야가 되는 것은 당연하다. 경제활동 인구 대부분의 주민번호와 거주 정보, 신상정보들도 유출되어 거래가 되고 있는 것이 현실이며 다양한 악성코드들과 백도어로부터의 직접적인 침입을 받고 있는 현실에서 금융거래를 보호하기 위한 다양한 도구들은 필요악이 될 수 밖에 없다. 금융거래에 있어서 가장 최우선은 안전성이다. 편리성은 뒤로 밀릴 수 밖에 없다. 편리하게 사용 하는 정도만큼 공격자들의 공격 편리성도 높아진다. 당연한 진리이다.

 

 

정책 당국을 옹호하고 싶은 생각은 없지만 지금까지 유지해온 보호 정책과 기본적인 보안 모델은 현재 안정적인 상태를 유지하고 있다고 본다. 다만 새로운 시대 변화에 따라 다양한 가능성을 열고 보안성을 유지한 상태에서 여러 위험들로부터 보호할 수 있는 방안을 만들고 접근 할 수 있는 접근성을 확대 시켰다면 지금과 같은 논란은 발생 하지도 않았을 것이다. 또한 현재 조사되거나 분석된 위험들에 대해 정확한 사실들을 알리고 협조를 당부 하였다면 보다 무리 없고 발전적인 방향의 논의가 가능했을 것이다.

 

접근성 확대의 가장 큰 장애물로 ActiveX를 예로 든다. 특정 브라우저에 한정된 설치 도구를 통해 타 OS 및 여러 브라우저에서 접근을 못한다는 점이 가장 큰 이슈이며 그 이후로는 더 나아가 보안 도구들의 무용론과 기능적인 결함까지도 언급을 하고 있다.  이제는 필자가 보기에 그나마 전자상거래라고 할 수 있는 환경을 유지 할 수 있게 해준 공인인증서 마저 족쇄를 풀고자 한다. 문제에 대한 심각한 고려 없이 단편적인 생각만으로 논의를 하고 있다는 생각을 지울 수가 없다.  (본 의견은 2007년에 작성한 Vista ActiveX 관련 글에서도 동일한 언급을 하였다. )

http://blog.naver.com/p4ssion/50013835648  - Vista ActiveX 그리고 보안-1

http://blog.naver.com/p4ssion/50013870250  - Vista ActiveX 그리고 보안 -2

http://blog.naver.com/p4ssion/50016331817  - Online Game Vista이슈와 보안이슈 하편

 

Vista ActiveX관련 하여 언급들을 많이 하였었고 기본적인 개념 설명만으로는 제대로 전달 되지 않는 듯 하여 온라인 게임상에서 위험요소들이 어떻게 나타나고 있는 지에 대해서 논문으로 작성하여 정보보호학회에 기고하기도 하였다. 실제 위험은 일반인들 또는 IT전문가라 불리는 사람들이 생각하는 범주를 2007년에도 휠씬 넘어서 있는 상황이고 지금은 더 악화된 상황이다.

 

일례로 온라인 게임에서는 안정적인 상태를 유지하기 위해 다양한 보안도구들을 사용하고 접근성을 극도로 제약한다. (특정 브라우저에서만 실행 되거나 특정 OS에서만 실행 되는 것도 당연하다. ) 극도의 제약이 존재하는 상황에서도 공격은 항상 발견되고 집중이 되고 있다. 인터넷 뱅킹에서 사용되는 보안도구들을 거의 대부분 사용함에도 불구하고 문제는 항상 발견이 되었다. 2007년에 분석된 온라인 게임에서의 보안이슈들과 대응역량을 주관적으로 표시한 내용이나 현재 공격 기술의 발전은 더 빠르고 깊게 진행이 되었을 것으로 예측된다. 각종 보안도구들로 도배가 되었음에도 불구하고 공격은 난이도가 높게 진행이 되고 있다. 계정유출을 위한 새로운 시도는 끊임없이 출현을 하고 있으며 매번 대응책을 마련할 수 밖에 없는 상황이다.

 

 

2007년에도 심각성에 대해서 언급을 하고 공개적으로 논의를 하였으나 그로부터 4년이 지난 지금에 이르러 문제는 더 심각해 진 상황에서 무장해제를 논의 하는 것은 상상 밖의 일이다. 그만큼 보안 전문가들에 의해 현실적인 문제들과 위험상황이 많이 알려 지지 못했기 때문이라는 자책도 할 수 있는 상황이다. 무엇보다도 피해에 둔감하며 사건 사고로부터 교훈을 얻고 개선 하지 못한 체계의 문제가 가장 크다고 본다.

 

사건과 사고는 덮는다고 묻혀지는 것이 아니다. 눈덩이처럼 불어나 다음 번에는 더 감당하기 어려운 이슈로 다가오는 것이 지금껏 겪은 일반적인 상황이다. 경험에서 배우고 개선을 하여 나아가야 하는데 지금껏 개선에 대한 논의는 지지부진 했고 발전도 미약했다고 본다.

 

인터넷 뱅킹 및 온라인 거래에 있어서 공인인증서와 ActiveX는 단지 도구이다. 사고를 방지 하기 위한 도구로서 활용이 된 것이고 도구로서의 역할은 부족한 점이 있지만 충분한 역할을 지금껏 수행해 왔다고 생각한다. 도구는 목적을 달성하기 위해 도입된 것이다. 도구에 대해 대안을 제시 할 때는 근본적인 목적을 충분히 달성 할 수 있는지가 핵심이 되어야 한다. 지금의 논란은 목적과는 동떨어진 방향으로 진행 하고 있어서 심각한 우려를 자아내게 한다.

 

ActiveX로 설치되고 실행성을 가지는 보안도구들과 공인인증서의 역할들을 앞으로 간단하게 살펴 보고 공인인증서의 무용론을 주장하는 측에서 주장하는 SSL+OTP 모델의 문제점도 살펴 보도록 하자. 과연 지금 현실 속에서의 문제를 해결 할 수 있는지도 포함해서

 

인터넷 접근과 보안

 

일반적인 인터넷 액세스는 개인 PC에서 브라우저를 활성화 한 이후 URL을 입력하여 웹서비스에 접근을 한다. 이후 웹 서비스에서 HTML 컨텐츠를 브라우저로 가져온 이후 사용자가 보는 브라우저에 보여주는 형태를 가지게 된다.

 

 

위의 이미지는 일반적인 접근 모델을 의미한다. 네트워크적인 구성을 제외하고 개인PC에서 보여지는 상관관계를 나타내고 있고 개인PC에서는 보안모델 설명을 위해 키보드까지 표시가 되어 있다. 이제 문제가 발생 되는 부분들을 살펴 보자

 

 

주요 문제 발생 부분은 표시된 1,2,3,4와 같은 부분으로 나뉘어 진다. 각 문제 부분은 간략하게 다음과 같이 설명이 된다.

 

1. 키 입력을 가로채는 키보드 해킹 후킹 방식을 이용하여 키보드 시그널을 가로챈다.

2. 익스플러러 브라우저에 플러그인 형식으로 탑재된 BHO (Browser Helper Object) 영역의 값을 가로채는 악성코드

3. 전송 단계에서 평문으로 전송되는 내용을 가로채는 스니퍼 형태의 악성코드

4. 개인 PC를 조정 할 수 있는 백도어 권한을 가진 공격자에 의해 컨텐츠가 조정되는 유형의 백도어형 악성코드 ( 이 형태는 HTML 페이지 조작 및 화면 보기, 특정 키입력 가로채기, DDos 공격용 Agent로 활용하기 등 다양한 형태로 활용이 가능하다. 일반적으로 봇넷 에이전트도 여기에 속한다. )

 

자 크게 분류하여 네 단계의 위험요소들이 존재한다. 각 부분별로 들어가면 더 많은 소분류가 가능하겠으나 개념적인 차원에서 현재 존재하는 위험들은 크게 4가지 정도의 위험요소를 가지고 있다고 임의적으로 정리 했다.

 

 

입력단계 –> PC내 실행단계 -> 어플리케이션 탑재 단계 -> 전송 단계 별 문제

 

네 단계 정도로 사용자 입력이 실제 서비스로 전송 될 때 위험을 가지고 있는 부분이 있으며 실제로 심각한 피해를 일으키고 있다. 2009년까지의 악성코드 유형은 4번과 같이 백도어 형태를 가지고 있는 악성코드가 3~40%의 비율을 나타내고 있으며 2번 단계의 BHO 영역의 입력 값을 가로채는 유형의 악성코드 기능도 전체 악성코드에서 60% 가량은 탈취기능을 가지고 있는 것으로 판단된다.  (참고 http://download.ahnlab.com/asecReport/ASEC_Report_200912.pdf )

 

BHO 영역의 값은 키보드 입력된 값이 전송 되기 직전에는 브라우저에 정상적인 값을 넘겨 주어야 하므로 암호화된 키보드 입력을 정상으로 되돌려 브라우저에 탑재를 하고 브라우저는 이 값을 BHO 영역에 평문으로 넣어서 SSL 및 암호화 통신을 활용하여 암호화한 형태로 전달을 한다.

 

공격자들은 2005년 무렵부터 BHO 유형의 악성코드들을 유포하기 시작 하였으며 세계적으로도 가장 처음이자 가장 많은 사례가 유포된 곳이 한국이고 그 다음이 중국이다. 현재는 전 세계적으로도 확산 비율은 높을 것으로 예상된다. BHO 유형의 악성코드가 일반적이게 된 것은 키보드 보안 프로그램들이 금융거래 서비스나 온라인 게임등에 일반적으로 사용됨에 따라 일반적인 키보드 입력을 가로채는 악성코드로는 정보유출이 불가능해 지자 BHO 영역의 값을 탈취하는 형태의 악성코드가 개발이 되고 확산이 된 것으로 보고 있다. BHO 영역의 값을 탈취하는 악성코드 유형의 출현과 국내 키보드 보안 프로그램의 도입과 활성화를 매치 시켜 보면 유사한 결과를 얻을 수 있을 것이다.

 

악성코드들은 대부분 온라인 게임의 계정을 탈취하기 위한 목적으로 사용이 되었으며 이 시기를 기점으로 하여 국내의 온라인 게임사들 대부분에 점진적으로 키보드 보안 솔루션 외에도 부수적인 보안도구 및 기능들이 설치되고 확대되는 동향도 살펴 볼 수 있다. 사용자의 계정정보를 보호하기 위해서 다양한 도구를 활용해야만 피해를 줄일 수 있기 때문이다.

(BHO 영역에 대한 악성코드 내용은 여기를 참고  - http://blog.naver.com/p4ssion/50023916686 )

 

 

키보드 입력을 가로채는 악성코드는 90년대부터 계속 있어 왔던 내용이며 현재 안티바이러스 업체들에서도 대부분 탐지를 하고 있는 부분들이다.  키보드 입력을 가로채는 악성코드가 일반화 됨에 따라 마우스로 화면상의 키패드를 누르는 형태로 변경 하기도 하였으나 그 즉시 마우스 이벤트와 좌표값을 계산한 악성코드에 의해 무력화 된 케이스가 있다.

 

브라우저영역에 해당하는 BHO 영역의 악성코드는 개별 악성코드를 백신에서 제거하는 방안들 외에는 대안이 없는 상태이다. IE외에 다른 브라우저를 사용한다면 BHO 영역으로 인한 문제는 해결 될 수 있으나 또 다른 문제들은 금새 출현 한다.

 

네트워크 전송영역에서의 스니핑 되는 이슈들은 다양한 방안으로 해결이 가능하며 단편적인 이슈로만 보면 SSL로도 충분히 해결이 가능하다고 본다. 다만 복잡화된 공격이 일반화된 지금의 상황에서는 좀 더 다른 시각이 요구된다.

 

백도어 관련 항목은 현재 너무 많은 이슈들이 존재하고 있고 봇넷 및 개인 PC에 대한 완벽한 제어를 차지하고라도 IT서비스에 치명적인 영향을 주는 이슈들이 많이 존재한다. 현재 발견되는 백도어의 기능에는 pc로 다운로드 되어 브라우저에 보여지는 html 내용까지도 변경하여 보안도구들을 회피하고 사용자 정보를 유출 하는 기능들도 종종 발견되고 있다.

 

심각성은 날이 갈수록 더해가고 있으며 백도어들에 의해 조정되는 개인 PC의 수치는 계속 증가하고 있다. 앞으로는 스마트폰도 예외일 수는 없다. 지금의 시기는 제거 및 확산 방지, 근본적인 문제 제거등에 혁신적인 대책이 필요한 시기이고 안정성을 확보한 이후 편리성을 추구해야 하는 것이지 순서가 바뀔 경우 지금까지의 금융거래 피해를 단기간에 넘어 설 수 있을 것이다.

 

글이 길어져서 다음편으로  넘깁니다. -

 

 

 

Posted by 바다란

* 본 포스트는 왜 그렇게 밖에 할 수 없었는가에 대해 생각해본 내용입니다.

 

안녕하세요. 바다란입니다.

 

ActiveX에 대한 논란이 가열 되고 있습니다. 그러나 표준을 지켜야 한다..그리고 기술종속이다 라는 측면에서의 문제점 부각만 되고 있는 것 같습니다. slashdot을 비롯한 해외 블로그 포스팅들이 MS에만 집중화된 환경에 대해서 조롱하는 뉘앙스가 많이 보이고 있는데 조금 다른 시각에서 보도록 하겠습니다. [ 지난번 포스트에서 약속(?)한 ActiveX에 대한 글입니다.]

 

결론을 먼저 말씀 드리면  목적에 맞는 활용이 가장 중요한 부분이며 그러한 활용을 대한민국은 가장 효율적으로 활용 했다고 할 수 있습니다. 

Vista에서의 ActiveX가 왜 문제가 되는가 하는 부분은 보안적인 이슈가 가장 크다고 봅니다. 사실상 잘못된 인식의 오류가 Vista에서는 모든  ActiveX가 실행이 되지 않는다고 생각하는 점이 오류라고 볼 수 있습니다. ActiveX가 실행은 됩니다. 코드의 수정이 이루어 지면 충분히 가능합니다. 그러나 명확한 본질은  시스템의 권한을 이용하는 ActiveX의 사용에 문제가 있는 것입니다. 권한 문제는 보안의 문제라고 볼 수 있습니다.  왜 보안의 문제이고 왜 지금의 상황이 초래 되었는지에 대해서 이야기 해보겠습니다.

 

 

http://it.slashdot.org/article.pl?sid=07/01/26/1455224

http://www.kanai.net/weblog/archive/2007/01/26/00h53m55s#003095

 

위의 링크는 해외 이슈에 대한 블로그 및 의견 관련된 글입니다.

 

사견을  말씀 드리면 해외의 상황과 지금 우리의 상황은 다르다는 이야기를 드리고 싶습니다. 그리고 해외 언론이나 의견에 대해  일희일비할때는 충분히 지나지 않았는가 생각 됩니다.   

IT강국이라는 의미는 OS의 다양성에 대한 인정 보다는 IT라는 하나의 도구를 활용하여 얼마나 많은 생활에 접목을 시키고 활용을 하고 실생활을 낫게 만드느냐 하는 점에서 바라 보아야 한다고 생각 됩니다.

 

인터넷 뱅킹을 예를 들면.. 이제 더 이상 금전 납부 및 이체를 위해 은행을 방문 하지 않습니다. 분명히 생활상의 개선과 편리, 비용의 절감이 이루어 졌습니다. 뱅킹을 이용하기 위해 분명한 본인 확인이 필요했고 본인확인의 과정에서 공인인증서라는 것이 이루어 졌습니다. 이런 안전하다고 보장된 인증매개체를 통해 금전 거래가 이루어 지는 것입니다. 물론 정책상 특정 OS 및 특정 환경에 의존된 부분은 분명한 문제라고 여깁니다.

 

그렇다면 왜 특정 OS 및 특정 환경에 의존하게 되었을까요?. 이 부분은 지원 문제와 대중성 , 접근성 때문이라고 정의 할 수 있습니다.

 

MS의 시행착오도 많지만 가장 큰 성과는 컴퓨터라는 도구를 생활속에서 보다 친숙하고 쉽게 접근 하도록 운영체제를 만들었다는 것에 있습니다. 보다 뛰어난 운영체제는 지금껏 있어 왔으나 대중에게 접근이 쉬운 운영체제는 현재로서도 MS의 윈도우즈 플랫폼이 뛰어 나다고 봅니다. 프로그래머나 IT 관련 기반지식이 있는 사용자들에게는 리눅스 플랫폼이 더 뛰어나고 개방성이 있고 조율이 가능하나 모든 사용자에게 해당이 되는 것은 아닙니다.

 

http://news.naver.com/news/read.php?mode=LSD&office_id=034&article_id=0000346696&section_id=105&menu_id=105

[ 2.1일자 기사 입니다. 인터넷 인구는 3400만 이고 4~50대의 사용비가 증가 하였다고 합니다. 이런 사용비의 증가가 과연 대중성이 없는 운영체제 상에서 가능 하였겠습니까? 과연 리눅스로 이 정도의 대중성을 확보 하는 것이 가능 하였을까요?  ]

 

보다 쉽고 보다 접근이 쉬운 부분. 그 요소를 파악 했기 때문에 대중화가 이루어 진 것이고 한국의 발전 과정에서 보듯 IT 부분에서도 상당한 압축성장이 이루어 졌고 그 매개체는 대중화가 가능한가? 그리고 지원체제의 일원화를 통해 효과가 가장 큰 부분은 무엇인가에 역점을 두었습니다.  그래서 대중성이 높은 운영체제에 대한 지원체제 일원화가 이루어 진 것이죠.

 

90년대 후반 국내의 상황에서 기술의 깊이 보다는 대중성을 통한 적용 범위의 확대 -> 적절한 도구의 선택 [ 대중성 측면에서 MS 솔루션 선호] -> 지원의 집중 [ 이부분에서 다양한 경로를 차단한 것이 실책일 수도 있습니다.]  기반기술을 완벽하게 지닌 것도 아니고 그렇다고 투입 가능한 자원이 무한정인 것도 아니여서 지원에 대한 집중은 어쩔 수 없는 면도 있지 않았을까 생각 됩니다.

 

 

설명이 길었습니다.  정책에 대한 옹호도 아니며 발생된 상황에 대해 왜 그렇게 되었는지에 대해 설명을 하다보니 길어 졌습니다. 본래는 ActiveX , Vista ,보안은 어떤 관계인가에 대해서 설명을 하고자 하였는데... 

 

가장 큰 책임의 주체는 Web을 통한 Active한 컨텐츠의 표현과 기능 구현을 위해 고안된 ActiveX 의 많은 권한 허용입니다. MS의 사상적인 기반과 관련이 있겠지만 인터넷을 통해 모든 것이 가능하게 만드는 방향성과 관련이 밀접한 기반기술중 하나 였을 것입니다. 

 

그 다음은 특정 OS에 한정된 실행 한계의 설정이라고 할 수 있습니다. [ 이 부분은 지원의 집중 차원에서 초기에는 큰 방향에서 타당성이 있다고 보입니다. ]

 

 - to be continue..

 

*보안부분과 Vista , ActiveX에 대한 내용은 길어져서 글을 분리하여 다음 포스팅에 게시 하도록 하겠습니다. 인터넷 뱅킹 , 대중성 , 보안 이 이슈로 묶이는 포스트라 상황에 대한 설명이 필요 한 부분이라 적었습니다.

 

 

Posted by 바다란

공인인증서 및 ActiveX 보안도구들에 대한 컬럼을 게재할 예정입니다.

 

쓰다보니 길어져서 두편 정도로 나뉘어 질 것 같습니다.

 

개인의 의견들이 투사 될 것이고 문제 부분들과 각 도구들이 대략적으로 어떤 역할을 하고 있는지에 대해서 설명이 될 겁니다.

 

그 외 비난하는 측에서 언급하는 SSL +OTP 조합이 그걸 막을 수 있는지도 언급 하게 될 것 같습니다.

 

현재 2/3정도 다 썼는데 빠르면 금주중 게재 합니다.

 

 

공인인증서 사용에 대한 제한을 철폐한다는 공식 입장이 나온 상태라 게으르게 쓸려다가 조금 타이트하게 빨리 쓸 예정입니다.

 

그럼 컬럼에서 뵙겠습니다.

Posted by 바다란

http://openweb.or.kr/?p=2928  <- 엮인 글로 다셔서 의견 답니다.

댓글로 달았는데 너무 길어서..직접 게시글로 답니다. ..으. 트랙백으로 엮을려 했더니 이것도 안되네요. 헐

 

 

제가 위 컬럼에서 해결과제로 직시한 내용에 대해서 먼저 답해야 할 것으로 봅니다.
그 내용에 대한 답변은 되지 않은 상태에서 세부적인 조건만을 언급하는 것은 자세가 아니라고 봅니다. 전체적으로 공인인증서를 옹호한 것도 아니지만 SSL + OTP 조합이 매우 허망한 것임을 논의했고 그게 정답이 아니라는 이야기를 하는 것입니다.

그리고 보안 도구들은 뱅킹 시에만 활용되는 것 당연히 알고 있고 인증서 패스워드와 여러 패스워드가 같다는 부분은 인정합니다만 비약이 심한 논리입니다. 여러 키 입력을 빼내 감으로서 유출을 할 수 있다라고 들립니다. 공인인증서 체계 외에도 다양한 도구들을 설치하는 것이 그런 정보 유출을 막기 위한 목적입니다. 정확하게 공인인증서에 대한 암호를 모르더라도 다른 계정 정보를 빼내어 감으로써 충분히 시도를 할 수 있다는 논의는 문제가 있어 보입니다. 말씀 하시듯 PC에서 모든 정보가 유출 되는 것으로 가정한 후에 동일한 패스워드 유형일 것이므로 활용이 가능하다라는 말은 무리가 있습니다. OTP는 나갈 염려가 없으므로 문제가 없다인데 PC의 권한이 나간 상태에서 컨텐츠를 조작하는데 해결 방안 있습니까? 이런 기본적인 질문들에 대해 답변이 되지 않은 상태에서 논지를 펴는 것은 궤변입니다. 가정의 근거도 틀린 것이구요.


인증서 유출 가능성 항상 있습니다. 인정합니다. 이것은 PC에 대한 권한을 가지고 있기 때문에 그런 것이지요. PC에 대한 권한이 유출 되었다 함은 MITM이라 부를 수 있는 사용자가 보는 화면이 조작 될 수 있음도 동일한 의미 입니다. 컬럼중에 게재 했지만 계좌번호만 화면상에 보이는 것과 전송 되는 것이 다를 경우 어떻게 할까요?. 확인 방법 있습니까? 인증서를 통하면 부수적으로 한번 더 체크 하는 것이 가능하기 때문에 보조적인 기능을 한다는 것입니다.

역할에 중점을 두고 서로 보완적인 모델을 가져 가야 하는 것인데 한방향만 바라보는 것은 심각한 오류를 나타낼 수 밖에 없습니다.

제가 주장하는 것은 OTP도 아니고 공인인증서도 아닙니다. 목적을 달성 하기 위해서는 보완이 필요하고 보강해야 될 부분이 분명 있지만 선을 그어서 이건 이거고 저건 아니다.. 이분법 적인 논리는 전혀 도움이 되지 않는다는 점입니다.

ActiveX로 설치되는 보안도구와 공인인증서 체계이던 각각 역할에 맞게 서로 보완해주는 역할을 하고 있다고 컬럼에서 그림까지 그려서 설명을 드렸건만 개별 사안에만 집중하는 것은 진중하지 못한 모습입니다. ssl +otp로 제가 그린 그림의 위험성을 보완 할 수 있는 부분을 언급해 주시면 더 감사할 것 같습니다. 아마 할 수 있을꺼라 생각 하신다면...

마지막으로 국내의 피해 사례는 조사된적이 없어서 신뢰할 수 없다고 하는데 해외라고 제대로 조사된 적이 있을 것 같습니까? 다만 언론에 발표되는 내용은 그중의 극소수라고 할 수 있고 실제 피해를 입은 사례를 따져 보아도 노출대비 나오는 것으로 추정을 합니다. 피해자가 나서지 않으면 모르는 것은 해외나 국내나 마찬가지입니다. 해외에 비해 금융피해의 규모가 사례가 미미한 것은 그만큼 피해가 적기 때문인 것은 왜 인정하지 않는지요?. 명확한 현실 바탕위에야 합리적인 대안 논의가 가능합니다. 현재 논의 하시는 부분은 어긋난 것으로 보입니다. 기본 반박의 전제가 부족합니다.

폭넓은 시각과 인식을 가졌으면 합니다. 지금 국내나 해외나 PC환경이 처한 현실은 상상이상입니다. 이상으로 해결 하기엔 난제가 너무 많다는 의미이며 가볍게 이상적으로 생각 할 부분은 절대로 아니라는 말 끝으로 드립니다. 그럼.

Posted by 바다란

-zdnet 게재 컬럼 입니다.

 

생각하는 방향은 전체적으로 주욱 언급 했습니다. 기본 문제들에 대해서도..

앞으로 조금 더 강하게.. 점진적으로 강하게.. 그렇게 해야죠.

 

 

----------------------

 

빗나간 공인인증서 논란

 

 

브라우저 편향성

 

공인인증서에 대한 비난 중에 브라우저의 편향성을 지적하는 요구는 타당하다. 그러나 국내에서 유독 문제되고 있는 IE만의 문제일까?  2009년 하반기의 데이터를 종합하여 발표한 Cenzic의 자료를 살펴보면 브라우저 별 취약성 동향을 일부 유추 할 수 있다.

 

 <참고 : http://www.cenzic.com/downloads/Cenzic_AppsecTrends_Q3-Q4-2009.pdf >

 

일반적으로 국내의 많은 인터넷 이용자들은 IE를 많이 사용 한다. 그리고 비난하는 측의 초점도 공공기관 및 금융기관이 강제하여 문제가 되고 있다고 주장하기도 한다. 문제점이 많이 발견되고 치명적인 SW IE를 계속 사용하거나 ActiveX의 취약성을 이용해 더 큰 문제가 발생 할 수 있다고도 한다.   그러나 cenzic에서 내놓은 통계치에서는 다른 결과를 살펴 볼 수 있다. Firefox Chrome 그리고 iPhone에서 활용하는 Safari 브라우저에서 발생되는 문제점들도 전체 사용비율에 거의 비례하는 수준으로 나타남을 알 수가 있다. 브라우저에서 발생되는 문제점들은 직접적으로 사용자의 PC나 스마트폰에 영향을 미칠 수 있다.

 

Safari 브라우저의 취약성을 이용해 탈옥을 하지 않은 iPhone의 권한을 획득한 CanSecWest 2010 컨테스트의 결과 (링크 - http://zastita.com/index.php?det=56629)를 보더라도 앞으로의 위험요소를 예측할 수 있다. 결론적으로 브라우저 편향성을 벗어난다고 해서 문제점으로부터 벗어나는 것은 아니며 그 순간부터 또 다른 집중적인 공격의 목표가 하나 더 생기는 것뿐이라고 필자는 생각한다.

 

다양한 브라우저를 지원하고 위험성을 제거하기 위해서는 상당히 많은 노력과 지원이 필요하다. 각 브라우저들마다 지원하는 표준이 미세하게 다른 부분들이 존재하고 제작 철학조차 다른 곳들이 많다. 철학이 다르다는 이야기는 근본적인 제품 설계가 다르다는 관점이며 문제점이 생기는 부분을 다 제거 하기 위해서는 정말 많은 노력이 필요하다는 것을 의미한다. 모든 브라우저를 지원하면서도 근본적인 문제를 탐지하고 제거 할 수 있느냐 하는 점에서는 정말 회의적이라 할 수 밖에 없다. 공인인증서가 문제가 되는 부분도 특정 브라우저에 편향된 부분을 사용량의 변화에 따라 상위 2~3개 정도로 한정하여 지원을 하도록 하고 새로운 개선점들을 주기적으로 논의 하였다면 지금과 같은 논란은 생기지 않았을 것이다. 

 

국내의 환경에서 다양한 종류의 접근성 보다는 다수가 사용하는 분야에 대해 안정성을 확보하는 것이 우선일 수밖에 없음은 인정한다. 또한 영세한 보안업체의 특성상 다양한 브라우저를 지원하고 다양한 운영체제를 지원하면서 근본적인 PC나 스마트폰에 존재하는 악성코드를 제거하며 거래의 안정성을 높이는 것은 사실상 불가능에 가깝다.  다양한 운영체제는 그만큼 다른 방식의 접근을 해야 하고 별개의 개발을 진행 해야 한다. 또한 금융거래에서 피해가 발생 했을 경우 금융기관이 책임을 져야 하는 현재의 상황에서 안정성과 피해 발생 가능성을 낮추는 것이 가장 우선시 될 수 밖에 없고 그 결과 브라우저 편향성이 출현 했다고 볼 수 있다.

 

의도적인 브라우저 편향성은 아니며 PC에 대한 위험요소들이 증가하고 피해가 증가함에 따라 각 단계별 문제해결을 위해 추가적인 도구들이 필요 했을 뿐이다. 해외라고 별반 다를 것은 없다. 봇넷으로 은행계좌를 조정하는 악성코드들의 출현과 최대 2천만대의 PC를 원격 조정하여 정보를 빼내고 거래를 한 사례들은 전 세계적인 이슈라고 볼 수 있다. 뚜렷한 문제 해결 방안은 오로지 백신을 사용하는 것뿐이다. 온라인 거래의 안정성을 유지하려면 PC를 보호 할 수 있는 여러 방안을 고민 할 수 밖에 없을 것이다. 현재의 보안수준에서 해외의 인터넷 뱅킹과 상거래가 만약 국내의 상황과 같은 수준으로 활성화가 된다면 상상 이상의 피해규모를 확인 하게 될 것이다. 현재도 카드를 이용한 거래가 일반적인 해외에서 카드도용에 대한 피해사례는 너무나 일반적인 사례이다.

 

국내의 현실로 돌아오면 국내의 IT 산업 환경에서 위험들을 줄이면서 모든 브라우저를 지원하는 것은 불가능 하였을 것이다. 제한된 자원과 제한된 인력을 가지고 각 브라우저 마다 발생 되는 위협들을 제거 하고 문제를 해결 하는 것은 사실상 불가능한 영역에 속한다. 목적성을 가지고 점진적인 확대 외에는 대안이 없는 실정이다. 그러나 조금 늦은 측면은 문제가 있다고 본다.

 

ActiveX로 설치되는 보안도구

 

앞서 ActiveX로 설치되고 활성화 되는 보안도구들은 다양한 위험들을 제거하여 안정성을 확보하기 위한 목적이라고 기술 했다. 그렇다면 각 도구들의 역할은 어떻게 되어 있을까?

 

 

현재 상태에서 설치 되는 보안도구들과 금융권에서 사용되는 보안적인 기능들을 대부분 열거한 경우이다. 각 케이스마다 역할이 배분되어 있음을 볼 수 있다. 키보드 입력을 탈취하는 것을 방지하기 위한 키보드 보안 솔루션과 악성코드가 활성화 되어 있다면 제거하기 위한 백신의 역할, 비정상적인 외부 연결을 차단하기 위한 방화벽의 역할, 위조된 사이트 여부를 확인하는 피싱 방지 솔루션등 다양한 보안도구들이 각 역할을 수행하고 있다. 핵심은 PC에서 서비스로 전달되는 거래를 안전하게 보호하기 위한 것이다.

 

금융거래로 넘어가면 OTP,보안카드 외에 공인인증서를 사용 하도록 했다. 공인인증서 영역에는 별개의 악성코드를 만들어 백신에 탐지가 되지 않으며 동시에 키보드 보호 솔루션을 회피하면서 키입력을 가로채는 유형이 있어야만 키입력을 가로챌 수 있다. 키 입력 이외에도 OTP 또는 보안카드를 사용하여 추가적인 인증수단을 사용해야만 한다. 최종적으로는 공인인증서의 본인확인 기능 및 부인방지 기능을 서버의 키와 비교하는 방식으로 이루어진다.

 

절차적으로도 상당히 많고 번거롭게 느껴진다. 그러나 각 영역별로 다양한 보호 고민들이 있었으며 그 역할은 충분히 합당하다고 본다. 본래의 목적인 안전성을 기준으로 잡으면 당연한 일이라 할 수 있다.

 

공격자들의 의도를 어렵게 하고 실제 공격 발생 비율을 낮추기 위해서는 단계를 많이 거치도록 하고 여러 조건을 모두 만족해야 하는 상태로 만들어서 어려움을 주어야만 한다.

 

백신에 탐지 되지 않는 악성코드를 만들어야 하고 외부 연결은 숨겨야만 하며 키보드 입력 보호 솔루션을 우회해야만 한다. 이 조건 외에 추가적으로 OTP 혹은 보안카드의 키입력 또한 가로채야만 한다. 최종적으로 공인인증서도 탈취해야 하고 공인인증서의 패스워드까지도 별도로 탈취를 해야만 하는 상황이다. 이 정도의 노력과 실력을 가지고 충분히 다른 이득을 얻을 수 있기 때문에 공격을 하지 않는 것뿐이다. 

 

세상에 완벽한 보안이란 존재하지 않는다. 다만 발생 가능성을 줄여주고 사고가 발생 될 경우에 피해를 최소화 하는 일들이 보안의 업무라고 할 수 있다. 사고 발생 가능성을 줄이기 위해서는 공격이 어렵거나 조건이 많아 지도록 만드는 것은 기본이다.

 

 

OTP의 경우 일회적인 패스워드 사용으로 알고 있으나 현재 발견되는 문제점은 다른 위험으로 출현 할 수 있다. OTP의 경우 화면상의 계좌 정보를 실제 전송시에는 다른 계좌로 바꿔치기 할 수도 있을 것이다. 피싱 방지 솔루션이나 백신은 이런 유형의 악성코드나 코드 변조에 대해서 알려줄 수 있는 기능이 부분적으로 존재한다.  또한 최종적으로 공인인증서를 통해 전송 계좌 및 금액에 대해서 추가 확인이 가능하다. 물론 암호화된 내용으로 전달이 되어 중간에 내용을 가로챈다 하여도 특별한 의미를 가질 수는 없는 상황이다.

 

현재 논의 되고 있는 공인인증서 사용에 대한 규제 철폐 및 ActiveX를 통한 보안도구들의 설치 및 기능이 무력화 될 경우에 발생 될 수 있는 위험성은 상상이상이다. 만약 체계적이고 계층적인 대안 없이 진행 된다면 IT 서비스 산업 자체의 위험레벨은 매우 높은 수준을 계속 유지 하게 될 것이다. 대규모 금융 관련 사고가 터진다 해도 이상치 않을 것으로 본다.

 

 

SSL+OTP ?

 

공인인증서 사용에 대한 규제 철폐를 주장하는 측에서 대안으로 제시하는 것은 SSL +OTP 조합이다. 여러 기술적인 설명이야 차지하고서 보안이라는 관점에서 PC에서 발생되는 이슈를 이 단순한 조합으로 보호 할 수 있다는 것은 넌센스다.

 

 

개념적으로 각 부분별로 발생 될 수 있는 문제들을 간략하게 정리해 보았다. 기존의 보안도구를 설치하지 않는 상황과 인증서에 대한 사용이 선택으로 바뀌게 될 경우 위험 요소들은 충분히 더 있을 수 있다. 현재 간단하게 고민한 문제 부분은 위의 그림과 같다.

 

개인 PC에 설치된 악성코드들은 어떻게 해결 할 것이며 특정 은행이나 기업만을 대상으로 한 악성코드의 대응은 어떻게 할 수 있을 것인가? 또 최근 많이 발견 되고 있는 특정 사이트의 보안 수준을 인위적으로 낮추기 위해 HTML을 변조하여 화면상에 표시하는 경우 대책은 무엇인가?

 

OTP를 입력 한다 하여도 화면상의 계좌와 실제 전송되는 계좌가 다르다면 어떻게 거래 내역을 입증 할 수 있을까? 현재 나타나는 악성코드들로도 충분히 가능한 상황이다. 해외 은행의 거래정보를 탈취하는 Zeus bot의 경우 현재 미국에만 360만개의 Agent Pc가 존재한다.

(http://en.wikipedia.org/wiki/Zeus_(trojan_horse) )

키입력을 가로채는 악성코드가 몇 백만대가 기본으로 설치된 상황에서 만약 미국내의 은행에서 자유로운 타인, 타행계좌로의 입출금이 웹을 통해 가능하게 된다면 재앙을 맞이하는 것은 한 순간이다. 이제는 금융거래를 활성화 하기 위해서는 보호방안을 먼저 고려한 이후에 활성화 해야 하는 상황에 직면한 것이다.  앞으로 상당기간 국내 수준으로 활성화 되기는 어려울 것으로 보고 있다.

 

해외에서는 현재도 금융거래에서 피해가 발생 되고 있으며 향후 피해 규모는 더 확대될 것으로 본다. 2000만대의 PC를 움직인 Mariposa botnet의 경우도 금융거래 정보를 탈취하고 있으며 알려지지 않은 많은 botnet들은 지금도 열심히 각 금융기관을 이용하는 사용자 정보를 부지런히 수집하고 있다. 피해는 앞으로 당연히 더 커질 것이다.

현재 해외 금융기관의 대응수준으로 보면 피해는 더 확대될 수 밖에 없으며 금융거래의 발전과 활성화를 위해서는 PC에 일정수준의 제한을 가해야 하는 것은 필연적이라 보고 있다.

 

해외의 개인PC에 대한 피해상황과 비교하여 국내의 PC 환경도 충분히 나쁜 환경에 처해있다. PC의 권한이 탈취되고 악성코드에 의해 조정이 됨에도 불구하고 금융거래의 피해상황은 미미하다. 이 역할은 보안도구들이 일정수준의 역할을 하고 있고 최종적으로 보안카드,OTP, 공인인증서 조합에 의해 피해를 여러 단계에 걸쳐서 막기 때문에 가능하다.

 

SSL+OTP 조합을 사용 했을 경우 아래의 경우에 대책들이 있어야 한다.

 

키보드 입력 보호는 하지 않는가?

MITM(Man in the Middle attack)을 통한 거래내용의 변경을 하는 악성코드 유형은 대안 있는가?

OTP를 사용할 경우 페이지 변조 여부에 대해서 신뢰 할 수 있는가?

한 지역 혹은 ISP 단위의 침해사고가 발생하여 중간 경유 장비에서 트래픽을 전환할 경우 신뢰성을 확보할 방안은?

또한 ARP Spoofing등을 통해 위조된 주소로 접근 한다면?

DNS 변조로 인해 역시 위조된 주소로 사용자가 접근한다면?

또한 인증서를 위조한 경우에는?

(모든 케이스들이 다 발견된 사례들이다. )

 

이 경우 조작된 거래라는 것을 서비스 서버에서 알 수 있는 방법이 존재하는가? 실제 거래가 발생된 이후에도 거래를 본인이 했다는 것을 확인 할 수 있는 확실한 방안은 존재하는가? 위조되거나 잘못된 거래를 찾아내기 위해서 서비스 업체에서 할 수 있는 방법은 무엇이 있을까? 해외 카드 업계에서 하듯이 특정 장소에서만 허용이 되고 별도의 장소로 이동 했을 경우에는 위험이라고 인식을 하고 알리는 Fraud 판별 시스템을 써야 하겠지만 인터넷에서 위치가 아닌 IP기반으로 움직이는 곳에서 그게 과연 의미가 있을까를 고민해야 한다.

개인의 금융거래에도 문제가 발생 되지만 금융 서비스를 제공하는 측에서도 사실관계 확인을 위한 정보는 거의 얻을 수 없는 상태가 된다. 이 경우 문제 해결이 되지 않는 피해사례들은 속출 할 수 밖에 없다.

 

신뢰성을 기반으로 하여 안전성을 추가하는 것이 금융거래의 선결과제이다. 현재의 SSL+OTP 조합은 상당히 많은 부분에서 취약성을 가진다. 모든 것이 안전하고 치명적인 문제가 없다는 전제하에 추진 할 수 있는 것을 너무 쉽게 주장하고 있다. 현실은 그리 만만한 것이 아니다.

 

 

접근성을 확대 하려는 시도는 보편타당하다. 그러나 금융거래에 있어서는 안전성과 신뢰성이 우선이다. 대안과 방안을 마련하지 않은 상태에서의 무조건적인 접근성 강화는 치명적인 결과를 초래할 것이다. 일단 본인확인이 되지 않는 경우에는 금융거래를 제한하는 것이 필요하고 다양한 보안 방안들을 고려 해야만 한다.

 

Pc에 설치되는 악성코드들을 제거하는 공통적인 대응 방안도 없으며 유포되는 주된 경로인 웹서비스의 안정성 확보도 되지 않은 상태에서 문제인식은 너무 부족한 현실이다.

 

스마트폰에서 접근하는 웹은 웹이 아니고 다른 종류라서 안전할까? 웹서비스의 활용도는 앞으로 더 증가할 수 밖에 없다. 사용자나 공격자나 더 매력적인 내용이다.  앞으로는 웹서비스에서 아이폰용, 안드로이드용 악성코드들도 유포가 될 것이다. 당연한 일이다. 국내는 물론이고 세계적으로도 웹서비스의 변조 및 웹을 통한 데이터베이스 정보의 유출은 여전히 계속 되고 있다. 아이폰이나 안드로이드에서 보는 웹도 동일한 웹이기에 위험성도 동일하다. 거기에 금전적인 이득까지 직접 취할 수 있다면 최초 혹은 처음 발견되는 스마트폰용 악성코드들의 성지가 될 것임은 명확하다.

 

현 상태대로 제한이 철폐되고 접근성이 확대된다면 장담하건대 스마트폰용 악성코드의 출현은 매우 빨리 질 것이다. 오랜 기간 관찰해온 바에 의하면 공격자들에게 그것보다 더 유혹적인 이득은 없을 것이기 때문이다. 

 

 

현재의 인터넷 뱅킹이나 금융거래 모델이 문제점을 가지고 있는 것은 사실이나 문제점을 개선하고 발전 시켜야할 부분이지 없애야 하는 수준은 절대로 아니라고 본다. 당연히 장점을 발전 시켜서 수출을 하거나 전 세계 전자 상거래의 활성화를 위해 기여할 부분이 매우 많은 모델임에도 불구하고 하향평준화를 요구 받고 있는 현실은 어리둥절 하기만 하다.

 

현재 상태의 보안도구들도 통일된 도구들이나 공통적인 규약을 가지고 있지 않은 것은 문제라고 할 수 있다. 공통적인 모듈을 활용 하여 다른 사이트를 가더라도 공통적인 기준을 활용 하여 추가적인 설치를 최소화 하거나 비슷한 기능을 다른 브라우저나 운영체제에서도 할 수 있도록 노력을 해야 할 것이다. 그만큼의 투자는 필요하고 충분한 비용은 지급 되어야 할 것이다. 또한 공인인증서 체계의 접근성을 확대하는 것은 지속적으로 노력을 해야 시대의 변화를 따라 갈 수 있다고 본다.  점진적인 발전 모델로서 가치를 가지는 것이지 현 상태의 유지가 정답은 아닐 것이다.

 

 

 

-       바다란 세상 가장 낮은 곳의 또 다른 이름

 

ps:  

一終無終一 -  이 의미대로 살고자 합니다. 오늘 부터가 되겠죠. 두렵지만 더 큰 꿈과 열정은 항상 있었기에 이젠 다른길로..

조금 정리되면 소회를 한번 올려 볼께요.

Posted by 바다란

지디넷 컬럼 입니다. 문맥들은 일부 수정 될 수 있습니다.

하나의 컬럼으로 썼는데 기술적인 내용들이 들어가다 보니 내용이 좀 길어 졌습니다.

두편 정도로 게재 될 예정입니다.

 

 

현재의 공인인증서 논란이 근본적인 환경 변화에 대한 고려가 없이 졸속 진행 되고 방향성을 못잡는듯 하여 심히 우려 스럽습니다.

앞으로도 이런 방식이라면 정말 근본적인 체계가 흔들릴 수도 있다고 봅니다.

 

누가 전문가이고 누가 현실을 아는지 헷갈릴때가 있습니다.

자신만이 보는 것이 전부인 것으로 아는 것이 가장 큰 문제를 일으킵니다.

이제 피해는 모두가 보게 되겠죠. 두편다 작성은 하였으나 컬럼 게재 시기에 맞추어 하편을 올리도록 하겠습니다.

여기에는 컬럼에 정제된 것이 아닌 제가 쓴 원본을 게재 합니다.

 

그럼

 

-------------

 

빗나간 공인인증서 논란   바다란 2010.3.31

 

 

스마트폰이 대중화의 길을 걸으며 사용자가 급증하고 있는 현실에서 많은 서비스 분야들은 체질적인 변화를 맞이 할 수 밖에 없는 상황에 직면했다. 그 과정에서 오랜 시간 동안 논쟁의 중심에 있었던 운영체제 편향적인 부분과 ActiveX에 대한 활용, 웹에 대한 접근성, 공인인증 서비스 체계에 대해 다양한 이슈들이 직접 나타나고 있다.

 

개인적으로는 특정 OS에 편향되고 종속된 기술을 계속 유지 하는 것은 바람 직하지 않다고 생각한다. 접근성 확대 의견에 대해서도 상당부분 동의한다. 단 기본적인 상황인식과 전제는 반드시 필요하다.  상황의 악화에 대해 책임을 질 수 없을 바에야 현실에 대한 분명한 인식이 되어야 함은 당연하다. 그러나 지금의 공인인증서 논란은 많이 벗어나 있다.

 

상황인식에는 접근성을 해치는 시스템과 체계들이 왜 출현 하게 되었으며 어떤 필요에 의해서 도입이 될 수밖에 없었는지에 대해서 인식하는 것이 가장 먼저이다. 현재 어떤 문제들이 있는가에 대해서 명확한 인식이 있은 후에 문제를 보완 할 수 있는 대안을 제시해야만 한다. 그러나 현재는 명분에 앞서서 정확한 현실의 인식에는 많은 문제가 있는 것으로 보인다.

 

필자가 보는 관점에서는 현재의 ActiveX로 설치되는 보안도구와 공인인증서의 역할은 지금껏 대형 금융사고의 발발을 막을 수 있었던 하나의 보조적이고 유효한 수단 이였다고 할 수 있다. 지금껏 국내에서 발생된 인터넷 뱅킹 및 금융관련 사고로 발생된 피해 금액은 해외와 비교하기가 어려운 수준이다. 또한 인터넷 뱅킹 및 금융거래 모델과 활용 방법에 있어서도 해외와는 큰 차이를 보이는데 해외의 금융거래 모델을 기준으로 평가를 한다는 것조차 말이 되지 않는다.

 

일일 인터넷 뱅킹 거래 금액은 29조원이고 상거래에 이용되는 금액은 5조원 남짓이라고 한다. 엄청난 규모라고 할 수 있다. 그렇다면 실 거래 금액 대비하여 지금까지의 금융사고가 발생되어 피해가 발생된 규모는 얼마나 될까?  사용자의 부주의에 의한 것을 포함하더라도 직접적인 침해로 인해 발생된 사고 비율은 상당히 낮은 비율을 유지하고 있다. 이 것은 분명한 사실이다.

 

금융보안 연구원에서 작성한 해외 인터넷뱅킹 보안현황 조사 보고서를 필자도 읽어 보았다. 그러나 중요한 기반 설명들이 빠졌음은 지적하고 싶다. 각 국가별 현황에서 한국에서의 보안 강도와도 같은 레벨을 가지고 있는 국가는 중국을 꼽을 수 있다. 다른 국가들은 상당히 가벼운 모델을 가지고 인터넷 뱅킹을 운영하고 있는 것을 볼 수 있다.

 

그러나 활용도는 어떻게 될까? 각 국가별 활용도를 살펴 보고 위험레벨을 살펴 보는 자료들을 넣었다면 보다 신뢰 받을 수 있는 자료가 되었을 것이라고 생각한다.  해외의 인터넷 뱅킹은 제약이 많으며 실시간으로 금전거래가 일어나기에는 상당히 많은 제약들이 존재한다.  정체 불명의 타인에게 직접적인 금전 이체가 가능한 국가는 많지 않다. 또한 금전 이체를 떠나서 은행의 계좌를 이용해 쇼핑몰에서 물건을 구매하는 것조차도 불가능하다. 해외는 대부분 신용카드를 이용한 거래를 사용한다. 따라서 신용카드에 대한 부정 사용을 감시하기 위한 Fraud 판별 시스템은 상당히 발전되어 있음을 알 수 있다.

 

중국과 한국의 인터넷 환경은 해외의 환경보다 더 직접적인 위험에 노출이 되어 있다. 온라인 주식거래 및 상거래가 일반적이고 온라인 계좌이체가 자유롭다.  이 상황에서 공격자들의 목표는 금융분야가 되는 것은 당연하다. 경제활동 인구 대부분의 주민번호와 거주 정보, 신상정보들도 유출되어 거래가 되고 있는 것이 현실이며 다양한 악성코드들과 백도어로부터의 직접적인 침입을 받고 있는 현실에서 금융거래를 보호하기 위한 다양한 도구들은 필요악이 될 수 밖에 없다. 금융거래에 있어서 가장 최우선은 안전성이다. 편리성은 뒤로 밀릴 수 밖에 없다. 편리하게 사용 하는 정도만큼 공격자들의 공격 편리성도 높아진다. 당연한 진리이다.

 

 

정책 당국을 옹호하고 싶은 생각은 없지만 지금까지 유지해온 보호 정책과 기본적인 보안 모델은 현재 안정적인 상태를 유지하고 있다고 본다. 다만 새로운 시대 변화에 따라 다양한 가능성을 열고 보안성을 유지한 상태에서 여러 위험들로부터 보호할 수 있는 방안을 만들고 접근 할 수 있는 접근성을 확대 시켰다면 지금과 같은 논란은 발생 하지도 않았을 것이다. 또한 현재 조사되거나 분석된 위험들에 대해 정확한 사실들을 알리고 협조를 당부 하였다면 보다 무리 없고 발전적인 방향의 논의가 가능했을 것이다.

 

접근성 확대의 가장 큰 장애물로 ActiveX를 예로 든다. 특정 브라우저에 한정된 설치 도구를 통해 타 OS 및 여러 브라우저에서 접근을 못한다는 점이 가장 큰 이슈이며 그 이후로는 더 나아가 보안 도구들의 무용론과 기능적인 결함까지도 언급을 하고 있다.  이제는 필자가 보기에 그나마 전자상거래라고 할 수 있는 환경을 유지 할 수 있게 해준 공인인증서 마저 족쇄를 풀고자 한다. 문제에 대한 심각한 고려 없이 단편적인 생각만으로 논의를 하고 있다는 생각을 지울 수가 없다.  (본 의견은 2007년에 작성한 Vista ActiveX 관련 글에서도 동일한 언급을 하였다. )

http://blog.naver.com/p4ssion/50013835648  - Vista ActiveX 그리고 보안-1

http://blog.naver.com/p4ssion/50013870250  - Vista ActiveX 그리고 보안 -2

http://blog.naver.com/p4ssion/50016331817  - Online Game Vista이슈와 보안이슈 하편

 

Vista ActiveX관련 하여 언급들을 많이 하였었고 기본적인 개념 설명만으로는 제대로 전달 되지 않는 듯 하여 온라인 게임상에서 위험요소들이 어떻게 나타나고 있는 지에 대해서 논문으로 작성하여 정보보호학회에 기고하기도 하였다. 실제 위험은 일반인들 또는 IT전문가라 불리는 사람들이 생각하는 범주를 2007년에도 휠씬 넘어서 있는 상황이고 지금은 더 악화된 상황이다.

 

일례로 온라인 게임에서는 안정적인 상태를 유지하기 위해 다양한 보안도구들을 사용하고 접근성을 극도로 제약한다. (특정 브라우저에서만 실행 되거나 특정 OS에서만 실행 되는 것도 당연하다. ) 극도의 제약이 존재하는 상황에서도 공격은 항상 발견되고 집중이 되고 있다. 인터넷 뱅킹에서 사용되는 보안도구들을 거의 대부분 사용함에도 불구하고 문제는 항상 발견이 되었다. 2007년에 분석된 온라인 게임에서의 보안이슈들과 대응역량을 주관적으로 표시한 내용이나 현재 공격 기술의 발전은 더 빠르고 깊게 진행이 되었을 것으로 예측된다. 각종 보안도구들로 도배가 되었음에도 불구하고 공격은 난이도가 높게 진행이 되고 있다. 계정유출을 위한 새로운 시도는 끊임없이 출현을 하고 있으며 매번 대응책을 마련할 수 밖에 없는 상황이다.

 

 

2007년에도 심각성에 대해서 언급을 하고 공개적으로 논의를 하였으나 그로부터 4년이 지난 지금에 이르러 문제는 더 심각해 진 상황에서 무장해제를 논의 하는 것은 상상 밖의 일이다. 그만큼 보안 전문가들에 의해 현실적인 문제들과 위험상황이 많이 알려 지지 못했기 때문이라는 자책도 할 수 있는 상황이다. 무엇보다도 피해에 둔감하며 사건 사고로부터 교훈을 얻고 개선 하지 못한 체계의 문제가 가장 크다고 본다.

 

사건과 사고는 덮는다고 묻혀지는 것이 아니다. 눈덩이처럼 불어나 다음 번에는 더 감당하기 어려운 이슈로 다가오는 것이 지금껏 겪은 일반적인 상황이다. 경험에서 배우고 개선을 하여 나아가야 하는데 지금껏 개선에 대한 논의는 지지부진 했고 발전도 미약했다고 본다.

 

인터넷 뱅킹 및 온라인 거래에 있어서 공인인증서와 ActiveX는 단지 도구이다. 사고를 방지 하기 위한 도구로서 활용이 된 것이고 도구로서의 역할은 부족한 점이 있지만 충분한 역할을 지금껏 수행해 왔다고 생각한다. 도구는 목적을 달성하기 위해 도입된 것이다. 도구에 대해 대안을 제시 할 때는 근본적인 목적을 충분히 달성 할 수 있는지가 핵심이 되어야 한다. 지금의 논란은 목적과는 동떨어진 방향으로 진행 하고 있어서 심각한 우려를 자아내게 한다.

 

ActiveX로 설치되고 실행성을 가지는 보안도구들과 공인인증서의 역할들을 앞으로 간단하게 살펴 보고 공인인증서의 무용론을 주장하는 측에서 주장하는 SSL+OTP 모델의 문제점도 살펴 보도록 하자. 과연 지금 현실 속에서의 문제를 해결 할 수 있는지도 포함해서

 

인터넷 접근과 보안

 

일반적인 인터넷 액세스는 개인 PC에서 브라우저를 활성화 한 이후 URL을 입력하여 웹서비스에 접근을 한다. 이후 웹 서비스에서 HTML 컨텐츠를 브라우저로 가져온 이후 사용자가 보는 브라우저에 보여주는 형태를 가지게 된다.

 

 

위의 이미지는 일반적인 접근 모델을 의미한다. 네트워크적인 구성을 제외하고 개인PC에서 보여지는 상관관계를 나타내고 있고 개인PC에서는 보안모델 설명을 위해 키보드까지 표시가 되어 있다. 이제 문제가 발생 되는 부분들을 살펴 보자

 

 

주요 문제 발생 부분은 표시된 1,2,3,4와 같은 부분으로 나뉘어 진다. 각 문제 부분은 간략하게 다음과 같이 설명이 된다.

 

1. 키 입력을 가로채는 키보드 해킹 후킹 방식을 이용하여 키보드 시그널을 가로챈다.

2. 익스플러러 브라우저에 플러그인 형식으로 탑재된 BHO (Browser Helper Object) 영역의 값을 가로채는 악성코드

3. 전송 단계에서 평문으로 전송되는 내용을 가로채는 스니퍼 형태의 악성코드

4. 개인 PC를 조정 할 수 있는 백도어 권한을 가진 공격자에 의해 컨텐츠가 조정되는 유형의 백도어형 악성코드 ( 이 형태는 HTML 페이지 조작 및 화면 보기, 특정 키입력 가로채기, DDos 공격용 Agent로 활용하기 등 다양한 형태로 활용이 가능하다. 일반적으로 봇넷 에이전트도 여기에 속한다. )

 

자 크게 분류하여 네 단계의 위험요소들이 존재한다. 각 부분별로 들어가면 더 많은 소분류가 가능하겠으나 개념적인 차원에서 현재 존재하는 위험들은 크게 4가지 정도의 위험요소를 가지고 있다고 임의적으로 정리 했다.

 

 

입력단계 –> PC내 실행단계 -> 어플리케이션 탑재 단계 -> 전송 단계 별 문제

 

네 단계 정도로 사용자 입력이 실제 서비스로 전송 될 때 위험을 가지고 있는 부분이 있으며 실제로 심각한 피해를 일으키고 있다. 2009년까지의 악성코드 유형은 4번과 같이 백도어 형태를 가지고 있는 악성코드가 3~40%의 비율을 나타내고 있으며 2번 단계의 BHO 영역의 입력 값을 가로채는 유형의 악성코드 기능도 전체 악성코드에서 60% 가량은 탈취기능을 가지고 있는 것으로 판단된다.  (참고 http://download.ahnlab.com/asecReport/ASEC_Report_200912.pdf )

 

BHO 영역의 값은 키보드 입력된 값이 전송 되기 직전에는 브라우저에 정상적인 값을 넘겨 주어야 하므로 암호화된 키보드 입력을 정상으로 되돌려 브라우저에 탑재를 하고 브라우저는 이 값을 BHO 영역에 평문으로 넣어서 SSL 및 암호화 통신을 활용하여 암호화한 형태로 전달을 한다.

 

공격자들은 2005년 무렵부터 BHO 유형의 악성코드들을 유포하기 시작 하였으며 세계적으로도 가장 처음이자 가장 많은 사례가 유포된 곳이 한국이고 그 다음이 중국이다. 현재는 전 세계적으로도 확산 비율은 높을 것으로 예상된다. BHO 유형의 악성코드가 일반적이게 된 것은 키보드 보안 프로그램들이 금융거래 서비스나 온라인 게임등에 일반적으로 사용됨에 따라 일반적인 키보드 입력을 가로채는 악성코드로는 정보유출이 불가능해 지자 BHO 영역의 값을 탈취하는 형태의 악성코드가 개발이 되고 확산이 된 것으로 보고 있다. BHO 영역의 값을 탈취하는 악성코드 유형의 출현과 국내 키보드 보안 프로그램의 도입과 활성화를 매치 시켜 보면 유사한 결과를 얻을 수 있을 것이다.

 

악성코드들은 대부분 온라인 게임의 계정을 탈취하기 위한 목적으로 사용이 되었으며 이 시기를 기점으로 하여 국내의 온라인 게임사들 대부분에 점진적으로 키보드 보안 솔루션 외에도 부수적인 보안도구 및 기능들이 설치되고 확대되는 동향도 살펴 볼 수 있다. 사용자의 계정정보를 보호하기 위해서 다양한 도구를 활용해야만 피해를 줄일 수 있기 때문이다.

(BHO 영역에 대한 악성코드 내용은 여기를 참고  - http://blog.naver.com/p4ssion/50023916686 )

 

 

키보드 입력을 가로채는 악성코드는 90년대부터 계속 있어 왔던 내용이며 현재 안티바이러스 업체들에서도 대부분 탐지를 하고 있는 부분들이다.  키보드 입력을 가로채는 악성코드가 일반화 됨에 따라 마우스로 화면상의 키패드를 누르는 형태로 변경 하기도 하였으나 그 즉시 마우스 이벤트와 좌표값을 계산한 악성코드에 의해 무력화 된 케이스가 있다.

 

브라우저영역에 해당하는 BHO 영역의 악성코드는 개별 악성코드를 백신에서 제거하는 방안들 외에는 대안이 없는 상태이다. IE외에 다른 브라우저를 사용한다면 BHO 영역으로 인한 문제는 해결 될 수 있으나 또 다른 문제들은 금새 출현 한다.

 

네트워크 전송영역에서의 스니핑 되는 이슈들은 다양한 방안으로 해결이 가능하며 단편적인 이슈로만 보면 SSL로도 충분히 해결이 가능하다고 본다. 다만 복잡화된 공격이 일반화된 지금의 상황에서는 좀 더 다른 시각이 요구된다.

 

백도어 관련 항목은 현재 너무 많은 이슈들이 존재하고 있고 봇넷 및 개인 PC에 대한 완벽한 제어를 차지하고라도 IT서비스에 치명적인 영향을 주는 이슈들이 많이 존재한다. 현재 발견되는 백도어의 기능에는 pc로 다운로드 되어 브라우저에 보여지는 html 내용까지도 변경하여 보안도구들을 회피하고 사용자 정보를 유출 하는 기능들도 종종 발견되고 있다.

 

심각성은 날이 갈수록 더해가고 있으며 백도어들에 의해 조정되는 개인 PC의 수치는 계속 증가하고 있다. 앞으로는 스마트폰도 예외일 수는 없다. 지금의 시기는 제거 및 확산 방지, 근본적인 문제 제거등에 혁신적인 대책이 필요한 시기이고 안정성을 확보한 이후 편리성을 추구해야 하는 것이지 순서가 바뀔 경우 지금까지의 금융거래 피해를 단기간에 넘어 설 수 있을 것이다.

 

글이 길어져서 다음편으로  넘깁니다. -

 

 

 

Posted by 바다란