태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

5 3주차 국내 인터넷 위협 동향입니다.

 

서비스의 제공은 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 있도록 하기 위한 것이 주된 목적입니다.

 

금주의 특징으로는 공격에 이용되는 취약성 종류의 변화에 따라 공격 기법들도 변화가 되고 있음을 있으며, 가장 특징은 신규 악성링크는 줄어든 비율을 보이고 있으나, 악성링크로부터 감염이 되는 악성코드들은 전주 대비 대폭 증가 되었습니다결론적으로 보면 지금까지 사용 되어진 악성링크들을 반복해서 재활용을 하고 있으며 최종 설치되는 악성코드들만 변경하는 형태를 보이고 있습니다.  대응이 되지 않고 있어서 계속 악성링크를 재활용 하고 있다는 가장 원인이 것입니다.

 

금주의 특징은 다음과 같습니다.

 

 

특징

 

·   악성코드 유포자들의 전략적 행위 증가 범위 확대

·   악성코드 분석 자체를 방해하기 위한 가상머신 우회기술 적용

·   4월부터 사용되었던 주요 악성링크의 대규모 재활용 계속

·   주말에 집중된 공격에서 벗어나 주중에도 일상적인 악성코드 유포 시도들이 계속 이어짐

·   악성링크 탐지 혼선을 위한 백신과 유사한 도메인 활용 배너 

·   APT 유형 ( 악성 코드 감염 이후 내부망 스캔 활동) 꾸준히 유포

·  Mass sql i 유형 국내 유입 시작social-stats.info/ur.php 5.19 ( 해외에는 있었으나 국내로 최초 유입이 감지됨)

 

5 3주차의 공격에 이용된 취약성들을 전주와 비교해 보면 공격자들의 전략과 악성코드 전파 기법의 변화에 대해서 확인이 가능합니다.

금주의 주된 공격 취약성은  주요 취약성 6 가량에 집중이 되어 있으며 이중 여전히 패치가 더딘 것으로 보이는 Oracle Java 취약성에 대한 공격 비율이 높아지고 있는 있습니다. 사내 해당 기관이나 기업에 강력한 보안패치 권고를 해야만 하는 이유입니다. MS 패치뿐 아니라 java Flash 대한 기본 패치 정보를 제공하고 타이트 하게 관리 해야 위험을 줄일 있을 것입니다.

 

특징들을 하나씩 짚어 보면 가장 특징은 전략적 움직임을 공격그룹이 보이고 있다는 부분입니다.

 

·  전략적 변화를 하는 공격자들

악성링크의 수치는 줄었지만 기존에 정상적인 웹서비스들에 추가해둔 악성링크 ( 악성코드는 내려 오지 않는 비정상 링크 ) 대규모로 활용 하였고 그중 한곳의 경우에는 분석보고서에는 정황이 기술되어 있지만 빛스캔에서 관찰되는 변화를 보면 대규모 움직임을 보이고 있습니다.   하나의 악성링크를 이용하여 대규모로 악성코드 유포에 활용 하고 있으며 이전 사용 되었던 링크들의 재사용 비율이 대폭 증가하고 있습니다. 대응이 시급한 상황입니다.

 

말로서는 설명이 어려워 그림으로 보면 다음과 같습니다.

 

1. 공격자는 사전에 악성링크 A B,C 여러 서비스들에 넣어 둡니다. 이때에는 악성코드 유포는 발생하지 않습니다. ( 빛스캔 관측결과 최소 4 이상의 사전에 심어진 악성링크 활동이 감지 되었으며 해당 링크의 내용은 공격 시작과 동시에 동일한 악성코드 호스팅 주소로 변경이 되었습니다. - 최소 연결된 공격네트워크만 40여곳 이상이 해당 되는걸로 감지 되고 있습니다.)

 

2. 공격 시점에 도달 하여서 공격자는 악성링크 A B, C 내용을  악성링크로 변경 합니다.

 

3. 이미 공격자가 확보하여 가지고 있는 악성코드 유포 네트워크( 최소 수십여개 이상 ) 하나의 악성링크를 방문자들에게 중계하게 됩니다.

 



 

·  백신 도메인으로 가장한 형태의 악성링크 발견  (ky.alyacc.com )

·  시스템 드라이버를 대체하는 형태의 루트킷은 APT 형태이며 감염 이후 내부망을 스캔하고 정보를 수집하는 형태를 보이고 있습니다. 해당 형태는 몇주간 계속해서 나타나고 있어서 강도 높은 주의가 필요합니다.

·  악성코드 분석시에는 항상 가상머신을 이용하여 분석을 진행하고 있습니다만 금주에 발견된 악성코드 중에는 가상머신 실행을 감지하고 종료하거나 분석을 회피하도록 설계된 악성코드가 대량 유포 되었습니다. 내용은 향후 전문분석을 통해 상세하게 전달이 예정입니다.

·  게임 계정을 해킹 하는 코드들이 대량으로 유포 되고 있으며 대상 게임은  엔씨 -리니지 , 한게임 -테라 , 넥슨 -메이플스토리,엘소드, 블리자드-와우, CJ인터넷 - 피파온라인, 네오플-던파 이며 디아블로에 대한 계정 탈취 유형도 발견 것으로 보입니다.

·  항상 말씀드리지만 루트킷 또는 APT 유형은 감염 즉시 심각한 피해를 장기적으로 유발 있으므로 심각한 주의가 필요합니다. 더군다나 보고서에 기술되는 내용들은 이메일등을 이용한 소규모 침투가 아니라 웹서비스를 통한 대량 유포 감염입니다.  APT 형태가 사용하는 유포 취약성은 대부분 Java 취약성에 집중 되고 있습니다.  대응에 참고 하십시요.

 

사용된 취약성

 

- CVE 2011-3544 ( 26.4%)  Java Applet 취약성 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544

- CVE 2012-0507 ( 24.5%) Java Applet 취약성 - Java Web start 취약성

- CVE 2012-0003 ( 20.7%) Windows Midi 취약성http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003 3월의 전문분석보고서를 참고 

- CVE 2012-0754 (16.9%)  Flash 취약성http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754

- CVE 2010-0806 (10.3%)  IE 취약성 ( IE 6,7 대상http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806

- CVE 2011-2140 (0.9%)   Flash 취약성  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2140

 

 

전주 대비 특이 사항으로는 Java applet 취약성을 노린 공격이 대폭 증가 하였고 한동안 소강 상태를 보였던 Windows Midi 관련된 공격이 급증세를 보이고 있습니다.또한 오랜된 취약성으로 분류되고 있는 IE 취약성 CVE-2010-0806 공격이 드물게 활성화 되어 이용이 되고 있습니다. MS 관련 보안패치 Oracle, Flash 업데이트를 시급하게 보완해야 부분이며 불가피한 경우 현재 공격에 주로 이용 되고 있는 취약성들에 대해서만이라도 패치를 별도 설치 하도록 유도해야 위험을 줄일 있습니다.

 

전주와 대비해 달라진 취약성 비율과 공격의 자세한 변화들에 대해서는 5 3주차 동향분석 보고서를 참고 하십시요.

 

 

금주의 차단 추가 영역은 다음과 같습니다. 아래 영역은 이미 공격자가 권한을 통제하고 있는 IP 대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재활용이 되고 있습니다. 기업 기관에서는 해당 IP 대역 차단이후 ( 업무 관련성 여부에 대해서는 각기관 기업별 검토 필요) 차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 있으시며 매우 높은 수치임을 아실 있습니다.

 

 

 

차단 권고 대역

 

 

서비스를 구독 하고 계시는 기업 기관에게는 메일 상에 적어 드렸으며 4월부터 5 2주차까지의 차단 영역은 그대로 유지, 금주에 추가된 영역은 2 클래스가 추가 되었습니다.

 

 

현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공할 예정이며 기본 동향에 대해서만 알려 드립니다.

시설 확장을 통해 동안 국내 도메인 추가 확보된 도메인과 해외 도메인을 추가하여 악성링크의 움직임에 대해 폭넓은 관찰을 예정하고 있습니다. 보다 정확성 있고 현실적인 위협정보들을 제공 있도록 하겠습니다.

 

*시범 서비스는 순차적으로 1개월 경과시 종료 됩니다.

* 정식 구독 서비스 가입 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한하여 한달간 제공 됩니다.

 

* 분석은 악성링크 자체의 수집은 빛스캔에서 수행하며, 악성링크에 분석은 KAIST 사이버보안센터,  KAIST 정보보호대학원과 공동협력으로 운영 되고 있습니다.

 



< 5 3주차 주간 동향 요약 보고서>

Posted by 바다란

zdnet 연재 컬럼입니다. 컬럼에서는 축약되고 생략된 부분들이 있습니다만 전체적인 맥락은 유사합니다.
여기에는 축약되지 않은 원문을 게재 합니다. 
- 앞선 애플과 보안-1편과 연계하면 이해가 좀 쉽습니다. 그래도 지금편 만으로도 이해는 충분 하실듯.
더불어 Safari 브라우저에 대한 취약성 발견 비율 증가는 애플에 대한 만만치 않은 공격들이 계속 이어 질 것임을 예고 하고 있습니다. cross platform에 대한 문제는 계속 될듯. 또 SNS의 구조적 어뷰징에 관한 문제는 zdnet 컬럼중 small world의 security 편을 참조 하시면 됩니다. http://p4ssion.com/205  이미 지금의 문제는 예상 되어 왔었고 징후는 존재 하고 있었다는점 항상 잊지 않으셨으면 합니다. 다음 편에 좀 더 상세하게 해보도록 하겠습니다.


현재 문제가 되고 있는 어뷰징은 어디에서부터 시작 되는 것일까?

 

어뷰징이라는 관점은 비정상 행위라는 관점에서 볼 수 있다. 9월에 있었던 트위터의 xss취약성의 경우에도 몇십만에 달하는 피해자가 발생 할 수 있었던 근본은 서비스 구조를 이용한 어뷰징이라 할 수 있다. 단순하게 사용자 계정을 활용한 정보탈취와 오용과도 연결이 되어 있다.

사용자의 계정정보가 유출 되었고 또 서비스의 구조적인 문제와 결합될 때 문제는 확산되고 커진다. 단순한 서비스의 취약성을 이용하였을 뿐임에도 불구하고 수십만의 사용자에게 짧은 시간에 확산된 공격은 피해의 심각성을 나타내 주고 있다.

 

구조적인 문제와 개인정보의 유출로 인한 어뷰징으로 분류 할 수 있고 구조적 문제는 서비스의 특성을 이용한 유형이며 개인정보는 유출된 계정정보를 활용하여 서비스에 혼선을 주는 것을 의미한다. 현재 유포되는 대부분의 악성코드는 사용자의 온라인 활동에 관한 중요 정보를 빼내어 가는 것이 주된 목적이다.  대규모로 계정정보를 빼낸 이후 특정 서비스에 대량으로 로그인을 한다.  여기에서 서비스 구조를 이용하여 공격을 지속적으로 확대 시켜 나가는 것이다. 이런 유형을 다른 말로는 서비스웜이라고 부를 수도 있다. 특정 서비스에 국한된 웜이라는 의미로도 볼 수 있다. 트위터에 등록된 팔로워에게 자동적으로 DM이 발송 되도록 하고 친구 혹은 메신저에 등록된 사용자에게 자동적으로 악성코드의 링크나 악성파일이 전달되는 행위 모두가 서비스 웜의 형태에 해당 된다고 볼 수 있다. 애플의 북스토어에서 판매량을 늘리기 위해 순위를 조작한다던가 하는 사안들도 가볍게 포함이 될 수 있다.

 

어뷰징의 시작은 취약한 서비스로 인한 확산 ( 트위터에 대한 XSS 공격- SNS  서비스에는 치명적인 결과를 초래한다. 금융기관에 대한 피싱공격으로 주로 사용되는 XSS 취약성은 SNS 서비스에서는 또 다른 결과를 초래 할 수 밖에 없다. ) 과 대규모 정보 유출로 인한 서비스 혼란과 연결 되어 있다. 취약한 서비스로 인한 확산은 차후에 다시 정리 하도록 하고 현재 TGIF ( Twitter, Google,  Iphone,  Facebook) 로 대변되는 글로벌 혁신의 충돌에서 가장 위험성이 높으며 현재까지 대비가 안되고 있는 부분을 먼저 살펴 보도록 하자.

 

TGIF 서비스 모두 (Iphone 의 경우는 앱스토어의 사례가 해당된다.) 서비스를 운용하고 있으며 모든 인증 기반은 사용자가 입력하는 계정정보에 따라 직관적으로 구분되어지고 영역을 가지고 있다. 즉 로그인 하는 ID/ Password 기반의 정보를 가지고 사적인 영역이 구분되어 있으며 활용이 이루어 지고 있다. 무상으로 활용 할 수 있는 서비스가 아닌 유상으로 이용 할 수 있는 서비스들이 확대되고 있는 상황에서 단순한 ID/Password 인증 이외에 활용하는 보조적인 도구들은 PC에 대한 인증 외에는 없다. 사실상  PC에 대한 인증조차도 또 한번의 확인절차에 지나지 않으며 제한적이고 구속적인 영향력을 가지지는 않는다.

 

해외의 서비스는 개인정보(이른바 주민번호)가 포함되지 않기 때문에 유출 되어도 영향력이 없을 것이라고 이야기 한다. ActiveX로 대변되는 보안도구나 서비스들도 운영 되지 않기 때문에 편리하고 표준을 준수한다고 이야기 하기도 한다.  과연 그럴까?

온라인상의 서비스에 또 다른 아이덴티티를 가지지 않은 사람은 인터넷 서비스 사용자 중에는 거의 없다. 기업의 입장에서도 마찬가지이다. 온라인상의 활동이 중요해지고 영향력을 가지는 지금에 이르러 온라인 상의 가치를 평가절하 할 수 있는 사람은 별로 없을 것이다.  유료결제가 가능한 서비스들이 활성화 되고 결제 모듈들은 단순한 사용자 정보 입력에 의해 거래가 이루어진다.  공격자에 의해 권한이 모두 획득 당한 PC에서 입력하는 모든 정보들은 공격자에게 고스란히 전해진다.  공격자는 그 정보를 분류하고 정리한 이후 어떤 방식으로 활용 할 것인지 결정 하기만 하면 된다.

 

해외의 모든 서비스들은 현재 사용자가 입력하는 정보를 일단 신뢰한다는 가정하에서 운용이 되고 있으나 그리 오래 갈 수는 없을 것이다. 도용과 오용으로 인한 사고와 문제 발생은 서비스의 입장에서도 문제가 될 수 밖에 없어서 다양한 대책들을 강구 할 수 밖에 없게 될 것이다.  대규모 공격의 피해는 국내에서 가장 극심하게 발생이 되었었다.  메신저나 블로그, 카페, 미니홈피 등에서 자신과 연결된 사람으로부터 사기성 메시지나 광고글, 악성코드 링크를 받아 보지 못한 사용자가 얼마나 될까?   활동이 활발한 사람일수록 위험에 노출 되는 횟수가 잦을 수 밖에 없다.  그 결과로 국내의 금융기관에는 악성코드의 행위를 통제하거나 정보 수집을 방해 하기 위한 다양한 도구와 서비스들이 부착 되었고 로그인 과정에서도 단계별로 나뉘어진 과정들을 지금도 충분히 확인 할 수 있다.   TGIF 로 대변되는 서비스들 모두 그 과정을 따를 수 밖에 없다. 이것은 당연히 예상 될 수 밖에 없는 흐름이다.  애플이 보안을 잘해서 안전한 것이 아니라 공격자들에게 그만큼 이득이 될 가치가 없었기 때문에 실제적인 공격이 발생하지 않은 것이다. 애플에서 만든 사파리 브라우저는 애플의 전체 제품군에 활용이 되고 있고 iphone 에도 기본장착이 되어 있다. 이 의미는 사파리 웹 브라우저의 취약성을 찾게 되면 핸드폰부터 맥OS까지의 모든 라인업을 공격 할 수 있는 도구를 가지게 됨을 의미한다. 그 이후에는 금전적인 이득의 창출로 이어질 것이다.

 

앞으로 금전적 이득을 얻기 위한 공격은 증가 할 것이다. 그만큼 가치가 있고 영향력이 있기 때문에 당연히 증가 할 수 밖에 없다. 그 예는 단순하게 사파리 브라우저에 대한 취약성 발견 빈도만 보아도 확인 할 수 있다.

 

Tippingpoint 에서 발간한 2010 상반기 보고서 참조 - http://dvlabs.tippingpoint.com/toprisks2010

 

2008년부터 부분적으로 문제들이 발견되기 시작하다 2010년에 이르러서는 폭발적으로 증가하는 비율을 볼 수 있다. 애플에서 운용하는 플랫폼이 세계적인 영향력을 발휘하는 시점에 이르러서야 이제 공격자들은 직접적인 활용 방안을 찾으려 함을 볼 수 있다. 취약성은 본래부터 있었으나 다만 비용대비 효과 측면에서 찾아내지 않았을 뿐이다. 여전히 매력 있는 공격 대상은 IE 브라우저이나 최근에는 Adobe사의 PDF Flash player에도 상당히 많은 공격이 발생 되고 있다. 이젠 제로데이가 두려워 PDF 문서도 제대로 읽지 못하고 Flash 도 위험성을 안고 보아야만 하는 상황에 직면해 있다. 공격자들이 형세적으로 압도하고 있는 형국을 느낄 수 있다.

 

Flash player에 대한 취약성 발견도 급증하고 있으며 IE 브라우저에 대한 신규 취약성 발견도 2009년에 급증 하였으며 현재는 소강 상태임을 볼 수 있다. 이 모든 취약성 발견이 사용자의 개인정보를 획득하고 개인 PC를 좀비PC로 만들기 위한 노력으로 완전하게 연결이 된다.


* 악성코드 유포 현황이나 취약성 발견 비율을 살펴 보면 지금의 흐름을 이해 할 수 있다. 어떤 문제들이 심각하게 대두되고 있고 문제가 될 수 있는지에 대해 손쉬운 이해가 가능해 진다.


이제는 바야흐로 개인PC를 공격하여 점유하고 서비스를 혼란케 하여 이득을 취하고자 하는 공격자들의 시대이다. 서비스를 완전하게 만든다 하여도 개인의 입력을 신뢰할 수 없다면 위험은 계속 될 수 밖에 없다. 구조적 해킹으로 볼 수 있는 서비스에 대한 어뷰징 시도는 사용자 정보의 유출과 밀접하게 관련되어 영향을 미칠 것이다. 더불어 트위터의 사례에서 볼 수 있듯이 SNS 서비스의 취약성은 사용자에게 직접적인 영향을 줄 것이다.

 

사용자 정보유출을 위한 공격 방식의 변경은 기업이나 서비스망에 대한 직접적인 해킹에서 사용자의 PC에서 정보를 빼내어 가는 것으로 변화하고 있다. 기업과 서비스망에 대한 보호 절차 강화와 저장 데이터의 암호화 등으로 침입이 어려워지고 직접적인 데이터의 활용이 어려워 짐에 따라 개인 PC를 공격 하는 방식으로 변경 되었다. 이 과정에서 핵심요소는 얼마나 많은 사용자에게 효과적으로 악성코드를 유포 할 수 있느냐 하는 유포 방식에 대한 것이 핵심이다.

 

지지금의 악성코드 유포 방식은 바이러스나 웜, 스팸메일과 같은 고전적인 공격 보다는 SNS와 같은 신뢰를 가진 서비스를 통한 전파나 웹사이트에 방문만 하여도 감염이 되는 웹 사이트를 통한 악성코드 유포가 일반적인 유포방식으로 대두되고 있다.

 

신뢰하는 자에게서 온 링크를 클릭 할 비율은 높아진다. SNS를 통한 악성코드 유포는 신뢰에 기반한 서비스를 무너뜨린다. 웹사이트에 방문하여 기사나 게시물을 읽기 위해 접근만 하여도 PC에 설치된 백신들은 알려진 악성코드 일 경우 악성코드 발견을 경고한다. 그러나 새로운 취약성들은 계속 발견이 되고 제로데이라 불리는 대책 없는 공격들은 계속 증가 할 수 밖에 없다.

사용자 PC에 설치된 악성코드들은 헤아릴 수 없이 많은 개인정보들을 직접 유출 하고 이 정보를 이용해 공격자는 서비스에 대한 직접적인 어뷰징을 가하고 때로는 오프라인에서의 도용을 하기도 한다. 어눌한 말투의 보이스 피싱 전화나 메시지의 폭발적인 증가가 대규모 정보 유출 이후부터가 아니였을까? 단순한 보이스 피싱에서부터 신상정보를 알고 있는 듯한 정확성을 가진 보이스피싱이나 메신저 피싱까지 모두가 아무런 정보도 없는 상태에서 시작 되었을까? 금융기관의 예금이 사라져 기업이 파산의 위기에 내몰리는 해외의 사례는 정말 개인정보 취급의 문제일까?

근본적인 고민을 해야 할 때 이다.

 

대책과 관련해서는 2007년에 작성해 둔 향후 나타날 위험과 대응 방안에 관한 문서를 참고 하는 것이 좀 더 실상을 알 수 있게 해줄 것이고 문제가 어떤 부분인지 조금 더 자세히 알 수 있을 것이다. . http://p4ssion.com/199 (IT 서비스의 현재 위험과 대응에 대해- 첨부문서 참고)

 

이미 현재의 상황은 예상 되었던 바이고 준비는 그에 미치지 못하는 부분들이 있을 뿐이다.

 

-       바다란 세상 가장 낮은 곳의 또 다른 이름

Posted by 바다란




급하게 땜빵으로 ( 전문? ) 맡아서 휴가중에 발표자료 작성 했습니다.
중요한 포인트 하나 정도만 알려 드리고 싶어서 정리를 하긴 했는데 하고 보니 ^^;
 
포인트 하나는 이겁니다. 공격의 변화를 보라는 거죠.
 
에스토니아 : Outside , Active
7.7 : Inside , Semi Active
 
이후의 방향은 효과를 주려면 7.7의 방향이 확실하게 사용이 될겁니다.
지금 언론에서 나오는 에스토니아 스타일 ( Outside , Active - Botnet) 은 절대 위협이 안되는 거죠.
왜냐.. 차단하면 끝이니깐.. - 여러 단계별 감쇄 방안들이 많이 있습니다. sinkhole 이라든지 IDC 단위의 대책들도 많이 있는 상태죠.
 
그러나 내부에서 발생하는것은 어떻게 할까요?
차단을 무슨수로 합니까? 이건 Botnet C&C (조정 서버)를 차단하는 것 외에는 방안이 없습니다.
 
Semi Active란 의미는 조정서버가 없다는 이야기죠. 반능동 이라고 봐야 됩니다.
초기에는 어느정도 Active한 연결이 되나 연결이 안될 경우에는 자체적으로 반응을 하는거죠.
 
내부에서 공격을 하려면 국내의 좀비 PC들을 많이 수집해야 합니다. 수집이 어렵냐구요? 매우 쉽습니다.
얼마전 제레미 님이 블로그에 간략히 언급한 Mass sql injection은 지금도 엄연한 사실입니다.
정확한 통계인지는 모르겠으나 국내에서 주간 단위로 악성코드를 유포하는 웹 URL이 만여개가 넘더군요. ( Ahnlab 통계) .
 
이 통계가 알려진 유형들만 제한된 범위에서 탐지된다고 볼때 국내의 현실은 상상을 초월할 정도라고 봐야 됩니다.
이게 엄연한 현실이죠. 돈 있는 회사야 웹방화벽 도입하고 소스코드 컨설팅 받고 3~4개월 이상 소스코드 수정하고 하지만 그렇다고 해결이 되는것도 아니죠.
(웹 사이트 개편 안합니까? 코드 수정 한번도 없다고 보장 할 수 있습니까? )
 
국내 활성화된 URL이 대략 180~200만개 가량으로 봅니다. 이중 최소치로 잡아 절반 이상은 치명적인 문제점을 가지고 있습니다.
아직 Mass sql 도구가 타 DB 및 개발 언어로까지 적극적으로 확대 되지는 않은 것 같으나 시간 문제죠. 징후도 이미 나오구 있구요.
 
국내의 환경은 이미 초토화 될 때까지 진행된 상태입니다.
알고서도 이야기를 안하는 건지 몰라서 이야기를 못하는 것인지 모르겠으나 현실 인식은 명확해야죠.
 
해결 방안은 몇 해전 부터 계속 주장해 오던 바가 그대로 적용 됩니다.
 
1. 웹사이트의 치명적인 문제점을 손쉽게 찾을 수 있는 접근성 있는 도구의 출현 - 웹 베이스?
 
2. 컨설팅과 같은 주기가 긴 플랜은 비효율적이므로 웹서비스의 문제점을 해결 할 수 있는 빠른 SDLC 점검 패턴의 출현
( 저는 이걸 WDLC라고 부를껍니다. ) 소프트웨어와 서비스는 다른 관점이기에 다른 유형의 점검 패턴이 필요하죠.
이걸 하기 위해서 1번과 같은 도구가 필요한 것이구요.
 
3. 근본적인 문제 해결을 위한 적극적인 노력과 인식 전환 필요 ( 정부?) , 현 상태는 대규모 캠페인으로도 단기 해결이 어려운 정도 입니다.
 
4. 리더쉽 발휘가 가능한 컨트롤 타워의 존재와 수직이 아닌 수평적 관계를 가지고 협력 할 수 있는 전문가 집단의 활성화 ( 공짜로 할려면 될려는 것도 안되겠죠.)
 
5. 여러 문서들에 언급해온 종합적인 해결 및 방안에 대한 노력  ( 요건 많이 써놨습니다. 찾아들 보시길)
 
6.  여러분들의 노력 ^^;
 
 
국내만 이럴까요?
만약 7.7이 미국내의 PC를 동원해서 한국까지도 공격하는 형태가 되었다면 어떻게 되었을까요?
한국은 멀쩡.. 미국은 주요 사이트 초토화 됩니다. 당연한 이야기죠. 이제 사이버전은 시작됩니다.
집단속 제대로 못하면 털리는 건 매 순간이 될껍니다.
 
책임있는 국가기관 모두와 업계가 심각성을 알아야 하고 앞으로가 더 위험하다는걸 알아야 됩니다.
경험을 하고도 지금껏 뭉기적 대는걸 보면 앞으로도 갈 길은 까마득해 보입니다.
 
바다란~
Posted by 바다란

바다란입니다. 근래에 피싱 관련된 이슈들이 국내외를 막론하고 발생이 되었습니다.

 

해당 유형에 대한 기사중 국내에서 발생된 기사의 경우 제가 특별히 언급을 할만한 내용은 없어 보이고 [ 이미 많은 설명이 되었기 때문 ] 해외 기사중 스웨덴에서 발생된 대규모 예금 인출 사건등과 묶어서 설명하는 것이 좋을 듯 싶습니다.

 

http://www.zdnet.co.kr/news/internet/hack/0,39031287,39154804,00.htm

 

국내의 특정 사이트로 가도록 유도한 이슈와 스웨덴에서 발생한 두 가지 케이스 모두 악성코드 기능을 이용하여 전문적인 정보를 빼내도록 했다는 것입니다.

 

연관 관계 및 진행 및 발전 상황을 기술적으로 설명을 하는 방향으로 간략히 기술해 보겠습니다.

국내에서 발생된 이슈 및 해외 발생 이슈의 공통점인 악성코드 설치 유형은 약간의 차이가 있습니다. 국내 발생된 이슈의 경우 시스템의 취약성을 이용하여 [MS 06-014 취약성] 악성코드를 설치하고 사용자 시스템의 Host 파일 설정을 변경 하여 특정 URL 입력시 특정 IP로만 전달 되도록 한 내용이며 스웨덴의 경우는 기사상으로만 본다면 약간의 사회공학적인 해킹 [ 사람을 속이는 기술]을 이용하여 악성코드들을 제거해 준다는 Utility 형태로 사용자에게 정상 설치토록 진행 한 것으로 보입니다. 또한 악성코드 자체는 일반적인 키로깅 기능을 사용하도록 되어 있습니다.

 

형태와 난이도로만 본다면 국내에서 발생된 피싱 사건이 조금 발전적인 형태이며 스웨덴의 경우는 난이도가 높지 않은 경우입니다만 실제 피해 사례가 대규모로 발생 하였다는 점에서 큰 차이가 있습니다.

 

이 부분에 대한 관점은 다를 수 있으나 국내 은행들이 그동안 해외에 무수하게 난무하던 피싱 관련 피해 및 직접적인 개인정보를 이용한 예금 인출등의 피해가 매우 적었던 것은 공인인증서의 사용이 가장 큰 영향이라고 개인적으로 보고 있습니다.

 

해외 은행의 경우 ActiveX의 사용을 피하고 사용자의 입력에 의한 단순 인터넷 뱅킹들을 다수 사용하고 있어서 2000년대 이후 지속적인 공격 대상이 되었습니다. 금전과 연계된 증권 관련 회사들도 마찬가지 입니다. 관련 부분은 본 블로그의 분석 제목에 연계된 글이 있으므로 해당 글을 참조 하시면 됩니다.  키로깅 기능에 따른 사용자 정보 노출 피해가 발생하자 화면상에 가상 키보드를 올려두고 마우스로 클릭하는 형태로 일부 해외 금융권이 보안을 강화 하였으나 이 부분도 마우스의 클릭 좌표 및 이벤트를 로깅 하는 형태로 발전된 피싱이 이미 일반화 된 상태입니다.

 

해외 은행들의 경우 피싱으로 인한 피해가 적은 수준은 아니며 해외 관련 피싱 메일 및 피싱 사이트 탐지 현황에서도 손쉽게 확인이 가능합니다. 실제 브랜드 이미지 뿐 아니라 금전적인 피해사례도 직접 발생하고 있는 상황이죠.

 

그 동안 국내 은행에서도 유사 피해 사례가 없었던 것은 아니나 유형은 차이가 있으며 피해 규모도 오프라인과 연계된 제한적인 피해들이 발생 하여..해외의 경우와는 많은 차이를 보이고 있습니다.

 

그렇다면 국내의 은행들을 대상으로한 이번 해킹의 중요성은 무엇일까요?

 

이번에는 공인인증서 자체의 습득도 목표로 한 것을 확인 할 수 있습니다.

악성코드의 유포부분은 지난해 까지 일반적으로 게임의 계정등을 획득하기 위해 특정 유명 사이트를 해킹한 이후 해킹한 사이트에 악성코드 설치 모듈을 숨겨 두는 유형으로 진행을 하고  해당 사이트 방문자는 방문 하는 순간 취약성을 이용한 악성코드가 방문자의 시스템에 설치가 됩니다.  알려진 취약성을 이용할 경우 보안패치가 된 사용자는 피해가 없으나 그렇지 않은 사용자에게는 피해가 있습니다. 또한 Zeroday 취약성 [ 공개되지 않은 취약성]을 이용할 경우에는 거의 방문자 모두에게 피해를 입히게 됩니다.

 

악성코드를 설치 [ MS 06-014 취약성 이용] -> 사용자 PC의 공인인증서 가져감 -> 사용자 PC의 Host 파일 변조 -> 사용자의 개인정보를 빼내가기 위해 변조된 Host 정보를 통해 특정은행과 공격자가 변조한 사이트 IP 주소를 등록하고 사용자가 해당 은행 이나 금융기관 접근시 -> 개인 신상정보 및 공인인증서 비번 ,보안카드 등을 입력하도록 유도

 

위와 같은 과정으로 국내 은행의 피싱이 이루어 졌습니다. 실제로 외국의 은행에 비해 어려운 점이 공인인증서 및 보안카드의 결합 사용으로 인하여 몇 단계가 더 추가가 되었고 사용자에게 기본 금융권 사이트와 다른 입력 정보를 입력하도록 유도함에 따라 쉽게 발각이 되었다고 할 수 있습니다.

 

그렇다면 외국의 은행은 어떨까요? 공인인증서 사용 없으며 보안카드도 일반적이지는 않습니다. 따라서 일반적인 개인정보 입력을 통해서만 거래가 가능하므로 피싱에 매우 큰 영향을 받을 수 있습니다. 보안 기술은 항상 공격 기술의 뒤에 따라 갈 수 밖에 없으므로 피해가 발생한 이후에야 보완이 가능하며 발전이 됩니다.

 

이번 스웨덴에서 발생된 실제 예금 인출 사태는 온라인 무장강도라고 해도 됩니다. 예전처럼 총을 들고 터는 것이 아닌 사용자 PC를 조정 할 수 있는 악성코드를 이용한 온라인 무장강도이죠.

 

기사에 언급된 내용을 바탕으로 추려보면 다음과 같이 간단한 순으로 처리가 됩니다. 물론 알려지지 않은 내용은 더욱 많을 것이며 스웨덴 은행의 경우 가장 기초적인 내용에 당한 것이라고도 볼 수 있습니다.

사용자에게 악성코드 제거용 프로그램이라고 속이고 다운로드 받도록 유도 -> 사용자 PC에 해당 프로그램의 설치 -> 사용자가 입력하는 키보드 정보를 기록 -> 특정 위치로 전송 [ 기사대로라면 미국으로 전송 그 이후 러시아쪽으로 전달 ] -> 노출된 정보를 이용하여  온라인 뱅킹을 통한 계좌 이체 시도 -> 계좌의 금액을 반복적으로 옮겨..추적을 어렵게 한다음 인출

 

이렇게 해서 발생된 피해가 확인이 된 부분만 10억 이상이라고 합니다. ^^;

 

그 동안의 피싱의 발전을 보면 국내에서는 관련된 공격이 이미 2~3년전 부터 있었으며 악성코드와의 결합 가능성도 매우 높은 상태 였습니다. 그러나 해외는 이제 시작입니다.

 

피싱의 발전

 

단순 이메일 링크 클릭을 통한 피싱 사이트 접속 -> 혼동하기 쉬운 사이트의 개설을 통한 사용자 혼동유도 -> XSS 취약성등을 이용하여 Popup 창 생성 이후 정보 유출 -> 이번에 나온 직접 PC에 설치된 악성코드 [저레벨]를 통한 사용자 정보 도용 [키로깅 이용] -> (?) 앞으로의 발전은 국내에 나온 유형이 발전적으로 적용 될 것입니다. 신규 악성코드 나 신규 취약성을 통해 사용자 PC의 원격제어 및 키로깅 또는 마우스 이벤트 훅킹등을 통해 정보 유출 시도가 증가하고 실제 피해를 입힐 것입니다.

 

국내에는 조금 다른 이야기가 되겠죠. 실제 예금인출까지 가는 온라인 무장강도는 가능성이 낮습니다. 그러나 기본적인 ActiveX 실행구조가 변경이 되는 Vista 상에서는 문제가 있을 것 같습니다.

 

사실 ActiveX의 전면적인 시스템 권한 비허용 부분에 대해서는 큰 방향에서는 바람직하나 국내의 사안으로 보면 좀 더 다른 위험에 노출 시킬 수 있다는 부분에서 우려를 하고 있습니다. 이 부분에 대해서는 적절한 시점에 별도의 칼럼으로 만들어 보도록 하겠습니다.

 

좋은 하루 되세요.

 

 -
p4ssion
Posted by 바다란

아.. 별건 아닙니다.

 

그냥 객관적으로 생각 할 수 있는 부분까지 생각을 해보고 가다듬어 보고자 하는 차원에서 간단하게 글 써봅니다.

어제 올린 해커 관련 기사에 붙은 글에 추가적으로 예전에 읽었던 기사와 관련된 부분도 있어서 한번 더 추가적인 내용이 필요할 것 같아서 올립니다.

 

http://www.donga.com/docs/magazine/shin/2005/10/24/200510240500033/200510240500033_1.html

 

신동아 2005년 11월호에 나온 기사입니다.

 

 

이 기사에 나온 내용으로 유추를 할 수 있는 부분과 폐쇄되고 고립된 환경에서 선택할 수 있는 방안들에 대해서 언급을 간단히 하도록 하겠습니다.

 

일단 폐쇄된 환경이라는 점은 공격에 유리한 점을 가지게 마련입니다. 그 어떤 제약도 없고 정부 및 기관 자체에서도 그런 면을 독려하게 되죠. 기사에서 보면 MS와 숨결을 같이 한다라는 내용이 있습니다. 이 부분의 의미는 Reverse Engineering을 의미합니다.

 

모든 Binary에 대해서 분석을 한다는 의미이죠. 충분히 가능합니다. 실행 프로그램을 구하는 것도 어렵지 않고 중국을 통해서도 아주 손쉽게 구할 수 있을 것입니다.

 

90년대 후반 부터 시작했으니 GUI 계열의 Window 시리즈 부터 시작 했겠죠. 그리고 Linux도 마찬가지이고.. 소수의 영재들에게 무한한 자원과 자유를 주고 마음껏 해보도록 하였으니 공격 기술 및 분석 기술에 관한한 최고의 레벨에 도달 했을 것이라 유추 하는 것이 가능합니다. 또한 정보의 습득이야 모든 것을 인터넷을 통해 얻고 배울 수 있는 시점이니 간단한 영어 독해 정도만 하여도 충분히 가능할 것입니다.

 

Windows 의 모든 구조 및 하부 실행 단위까지 깊숙하게 진행 되었을 수 있으며 단위별로는 Binary를 리버싱 하여 어셈블리 단위 -> 어셈블리 코드를 pseudo code 단위의 C 레벨 코드 까지 생성해 두었을 것입니다. 그리고 리버싱을 하면서 기본적으로 알려진 취약성들에 대해서 다양한 방안에 대해서 찾아 보았을 것이므로 충분히 많은 문제점들을 발견하고 이용을 할 수 있을 것입니다.

 

중국의 자유 분방함과 통제의 어려움으로 인한 집중 , 인력풀의 다양함 등은 많은 Geek들을 탄생 시켰을 것이고 또한 이러한 geek들은 금전과 결합된 부분 또는 지켜야할 것들이 많은 곳으로 자리를 옮겨 새로운 시도를 하느라 전문성이 다소 무뎌졌을 수 있습니다.

 

* Geek - 출처 네이버 영어사전 : geek

 n.
1 괴한 짓을 하는 흥행사
2·속어괴짜, 기인, 변태[이상(異常)](pervert)
3컴퓨터 (通)[(狂)]

 

그러나 완벽하게 통제된 사회에서는 어떻게 될까요?. 기사에서 언급하듯이 그런 업무에 종사한다는 것조차 조직 및 국가에서 영예라고 생각하는 곳에서는 당연히 보다 더 깊숙하게 또 끊임없이 파고 들었을 것이라 손쉽게 예측이 가능합니다.

 

새로운 취약성에 대한 발견과 이를 이용한 공격등 .. 다양한 부분으로 발현이 되겠죠.

 

최소한 MS 의 패치 시점에 나온 패치 내용에 대한 분석과 회피 방안.. 어떤 유형으로 패치가 되었다 정도는 나오는 시점과 시간 차이 얼마 없이 알아낼 정도가 될 것입니다.  분석을 하면 되니 말입니다. 숙달된 전문가에게는 그리 어렵지 않은 작업이고 단순한 업무일 뿐일 것입니다.

 

가히 공격이나 분석에는 통달한 geek들이 다수 분포해 있을 것으로 보입니다. 전략화된 무기급이라 볼 수 있을 것입니다.

 

지켜야할 대상이 많은 곳들은 그만큼 어려움이 있을 수 밖에 없습니다. 보안전문가와 리버싱 전문가..그리고 공격에 특화된 전문 인력들간의 차이는 점차 켜져 갑니다. 기술의 차이는 차이대로 벌어지고 보는 관점도 달라질 수 밖에 없습니다.

 

정리합니다.

 

폐쇄되고 목적이 분명한 집단에서의 발전 가능성이 있는 부분은 다음과 같이 예상됩니다.

리버싱에 특화된 인력 집단 , 취약 부분에 대한 정보를 습득하고 지속적으로 찾는 집단 , 공격 기법의 발달을 추구하는 집단 ..

위의 세부류로 규정이 가능할 것 같습니다. 부대라고 칭하기에는 뭐하지만 세 집단이 체계적으로 움직여서 군을 이루고 있을 가능성이 가장 높지 않나 생각 됩니다.

 

C가 중요하다는 점은 기반 프로그래밍의 중요성을 언급하는 것과 마찬가지 이며 C를 완전히 분석한다는 의미는 시스템 및 시스템 기반위의 시스템 프로그래밍에 대한 이해가 일정 수준을 만족한다는 이야기 입니다. 최적화 그리고 체계화된 프로그래밍 구조를 가지고 있는 C는 하드웨어 접근 및 가독성이 높은 체계화된 소프트웨어를 구축하는데 기본이 됩니다. 하나의 컴퓨터 언어를 이해한다는 것은 하드웨어 레벨의 시스템 프로그래밍 + 활용 구조의 이해 + 네트워크의 구조 이해 등이 함께 이루어 져야만 가능합니다. 마찬가지 관점에서 기사의 논조를 이해하면 될 것 같습니다.

 

보안전문가란 무엇일까요? ..여러 부류가 있을 수 있습니다만.. 가장 이상적인 보안전문가는 공격에 대한 이해 , 프로그래밍 능력, 네트워크 구조 및 기능에 대한 이해 , 합리적인 판단 능력 및 결단력 , 추진력, 공격자 수준에 합당하는 추적 능력 및 대응 능력의 보유가 아닐까 생각 됩니다.

 

지원이 없고 단순한 생계 유지를 위한 방편으로 보안전문가의 길을 간다는 것은 매우 어렵습니다. 커버해야될 범위의 넓음은 차지하더라도 매우 빠르게 변하는 흐름을 따라가는 것 조차도 벅찹니다. 그러나 세분화된 역할을 지니고 충만한 자부심 그리고 지원이 따른다면 많은 발전도 가능하겠지만 특수한 환경에서나 그럴 수 있을 것입니다. 그 특수한 환경이 발달된 곳이 기사에서 언급한 곳의 집단이라 생각 됩니다.

 

그렇다면 우리에겐 그런 전문가가 없느냐?.. 그렇지 않습니다.

충분히 많은 수의 전문가들이 자생적으로 태어났고 현재도 각 분야에서 일을 하고 있습니다만 지켜야할 분야가 너무 많다보니 눈에 보이지 않을 뿐입니다. 지켜야할 대상이 많다는 것은 그만큼의 어려움을 가중 시키고 집중도 어렵게 만듭니다. 

 

공격집단의 역할 세분화 및 기술의 진보는 여전히 빠르고 향후의 근 미래에서는 더욱 큰 위험요소로 전세계에 대두 될 것입니다. 대응은 여전히 미미한 상황일 뿐이고..

 

대책은 과연 무엇이 있을까요?

 

최소한의 규칙을 지키는 자유분방한 토론의 장 ? 그리고 전문가에 대한 대우? .. 똑 같은 이야기를 몇년전 부터 계속 해오고 있지만 여전히 한계의 벽은 존재합니다.  국가차원에서도 전문 인력들의 소통 통로와 정보 교류의 자리 그리고 활발한 학문적 또는 실제적인 토론이 가능한 채널이 존재해야만 일정 수준 이상의 전문가 확보가 가능할 것이고 활발한 전문가들의 활동에 따라 리딩이 되어야만 유사시의 대응이 달라질 수 있을 것으로 보입니다. 이미 기술로서 해결 할 수 있는 단계는 한참 지나지 않았나 하는 생각입니다.

 

 

기업 차원에서도 마찬가지 이겠죠. 지켜야 할 것들이 존재하는 한 전 세계에 존재하는 사이버 위협으로 부터 대비를 하고 준비를 하기 위한 노력이 필요할 것입니다. 보안장비는 기본이고 변화하는 위협을 준비하는 그런 자세도 필요 할 것입니다.

 

좀 더 상세하고  심층적으로 쓰고 싶지만 .. 다음 기회에 또 다른 내용으로 뵙도록 하겠습니다.

 

해커의 길이란 오래전에 쓴 글을 보시면 위에 언급한 학습의 내용 및 방향에 대해서 일정정도 이해가 가능할 것입니다.

 

http://blog.naver.com/p4ssion/40013433481  - 해커의 길 I

http://blog.naver.com/p4ssion/40013433456  - 해커의 길 II

 

어딘가 검색해서 찾아 보시면 프로그래머의 길 이란 별도 컬럼도 있을 것입니다. 그런 내용들을 보시면 일정 수준 이상의 요구 사항 및 위의 장황한 기사에서 언급된 내용들에 대해 보실 수 있을 것으로 보입니다.

 

좋은 하루 되세요.

 

 

* 이제 보안전문가의 길 이란 컬럼을 쓸 때가 된 것 같네요..


Posted by 바다란
< O'Reily의 Web 2.0 Image>

 

 

4.12일의 ICAT 2007 워크샵에서 'Web 2.0 Security'라는 article로 발표를 하게 되었습니다. 아래의 내용은 그 발표자료의 골격을 구성하는 내용입니다. 발표 이후 발표자료를 올리도록 하겠습니다. 지금의 Web 2.0의 열풍과 변화에는 간과되고 있는 부분이 너무 많다는 것이 개인 소견입니다.

 

 

 

최근 UCC라 불리는 저작물에 대해서 여러 가지 문제가 발생 하고 있고 사용자 친화 환경의 변화에 따라 많은 위험요소들이 도출 되고 있습니다. 한번쯤 위험요소를 실례로 보고 대책과 대안은 무엇이 있는지 그리고 방향은 어떤 방향으로 가는 것이 맞는 지에 대해서 의견을 피력 하였습니다. 관련 내용 참고 하시면 될 것 같습니다.

 

UCC의 정의부터 다시 해야 할 것 같은데 사용자가 저작하는 모든 유형의 매개물을 UCC라 정의 할 수 있습니다. 사실상 Web2.0이라는 것은 현상을 정의 하기 위한 용어일 뿐입니다. 인터넷을 이용한 부분적인 정보 참고와 정보 획득의 수단으로서의 도구 측면의 접근이 이전 까지의 접근이라면 이제는 생활과 연결 되는 부분에 직접 영향을 미치는 단위까지 인터넷이 확장 되고 있습니다.

정확하게는 확장이 아니며 인터넷의 활용에 숙달이 된 사용자들이 생활 단위와 행동 양식까지도 깊숙하게 끌어 들이고 생활을 변화 시키고 그 변화의 중심에 인터넷이 존재하는 것이죠. 생활과 관련 이 있으니 이제는 IT 서비스 기업들도 직접적인 영향력을 지니게 됩니다. 조금의 시간이 더 지나게 되면  각 분야별로 눈에 보이게 되겠죠.

 

일반 TV를 예로 들면 오로지  3채널 뿐인 것에서   -> 케이블 TV , 위성방송 채널 등 다수의 채널 등장 -> 주문형 TV의 일반화로 볼 수 있습니다. 이 과정에 방송사들의 다시보기 서비스와 같은 것들은 또 밀려 나겠죠. 실시간으로 저장을 하고 사용자가 원하는 시간대에 보도록 할 수 있으니 말입니다.

 

Web2.0은 새로운 기술이 아니며 사용자의 참여를 통해 적극적으로 생활이 변화해 가는 과정의 일부를 지칭하는 용어일 뿐입니다. 패러다임의 전환기를 정의하기 위한 요소 명칭일 뿐인 거죠.

 

차후에 좀 더 개념에 대한 정리를 해보도록 하겠습니다. 지금은 보호 관점에서 생활에 밀접하게 연관되도록 서비스를 제공하고 활용하는 사용자와 기업 두 측면에서 필요한 것들이 무엇이 있을지 간략하게 정리 해 본 수준입니다.

 

실제 문제 사례 :

 

-        Myspace script 코드를 활용한 서비스 내의 사용자 정보의 유출과 전파

-        Yahoo Messenger를 통한 웜의 출현

-        Web 2.0 서비스 기업을 타켓팅화한 Application 취약성 공개의 일반화 [ XSS 등]

-        Youtube , Yahoo ,naver등의 동영상 저작권 및 국가간 규정에  따른 불법적인 동영상  [ 음란 , 폭력  등등 ] 을 통한 사회적인 파급효과 , 3.19일 야후 음란 동영상 게재로 인해 동영상 서비스의 일시 중단 시행.

-        동영상을 파일을 통한 악성코드 유포 [ ActiveX 설치 이외에 사용자 정보를 유출 하기 위한 Script 코드등 다수 해당] Flash , 이미지 파일을 통한 정보 유출

-         사용자 계정의 도용 [ 아바타 및 아이템의 분실, 강탈 증가]

-        부정확한 게시물을 통한 광고 [ 게시물 , 덧글 등]

-        광고를 하기 위한 목적 혹은 사용자 PC를 조정하기 위한 ActiveX [ 사회공학적인 해킹 부분]

-        악성코드의 문제 [ 사용자 접근성 확대에 따른 악성코드 노출 영역의 극대화]

 

 

-서비스 기업으로서의 보호:

 

UCC에 대한 보안성 검증 : 기술적인 보안성을 검증 하여야 함. 게시물에 포함된 악성코드 및 HTML을 허용하여 사용자의 자유도를 높이는 만큼 그 위험성 ( XSS 및 Code Running)에 대해서 보호 방안을 수립 하여야 함. 보호 방안으로서는 Filtering 메소드의 필수적인 환경 구축 및 활용이 필요.  

 

n   Filtering Method

u 개인정보 침해 관련 사안의 조정  댓글 ,게시글

u 악성코드 실행 부분  게시물 , HTML 파일 , Image , Flash , 동영상

u 악성코드 위험 요소 판별을 위한 자동 판별 시스템 도입 및 수작업에 의한 모니터링 필수 [ 모니터링 대상 항목  성인, 개인정보 침해 , 악성코드 설치 , 광고글 , 개인정보 유출 관련 실행 코드 , Virus , Worm ]

 

n    Platform 의 체계화

u Filtering 시스템에 대한 체계적인 구성

u 전체 사용자 입력에 대한 Filtering 구조의 수립

u 전문 보안인력에 의한 Filtering Rule의 추가 및 빠른 변화에 대한 대응 능력 재고 필요

u 사용자의 직접 입력 시에 빠른 모니터링이 안될 경우 기업 입장에서는 치명적인 문제에 노출 될 가능성 증대 됨

 

n    개인정보 보호 관련 대응 방안 수립 필요

u  개인정보 관련 이슈는 기술적 방안으로 최소화 시키는 것이 필요 . Filtering과 연계하여 구성 하는 것이 필요

u  개인 정보 오남용 관련된 모니터링 필수

u  개인정보 오남용시의 필수 대응 프로세스의 수립  고객센터부터 실 서비스 부서까지 빠른 대응 필요

 

n        Web service에 대한 기술적인 보호

u  보안성 검수 프로세스의 일반화  전문인력 및 보안 전문가 집단을 활용한 최신 취약성에 대한 검수 체제 수립

u  Web Service를 구성하는 최신 기술 동향에 대한 취약성 연구

u  Web 2.0의 요소 기술간의 정보 전달 부분의 암호화 및 외부 노출 최소화

u  비정상 행위 탐지를 위한 Anomaly Detection 부분의 구축

u  현재 당면한 SQL Injection 및 XSS [ Cross Site Scripting]에 대한 전면적인 대책 수립 이후의 프로세스화

u  서비스 보호를 위한 전문가 집단의 수시 활용 또는 전문가 집단의 보유 필수

u  사용자 ID/ Password에 대한 보호 방안 수립과 시행 [ ex : password의 단방향 암호화등 ]

 

n        사용자에 대한 Security awareness 강화

u  서비스 차원에서의 게시물에 대한 악성코드 , 위법성 여부에 대한 Awareness 강화

u  불법 악성코드 및 개인정보 유출 관련된 사용자에 대한 합리적인 처벌 방안 마련

u  보안상의 문제 해결을 위한 서비스 기업 차원의 정보 제공 확대 및 위험 여부 , 법적인 위배 사항에 대한 명확한 가이드 수립

 

 

-        사용자 관점에서의 보호

 

사용자 관점에서의 보호는Client 상에서의 Web 2.0관련된 일련의 기술 흐름에 대한 보호 대책을 언급 한다. 향후 발생 가능할 부분에 대한 Security Awareness 측면에서의 사용자 보호 방안

 

n   개인 PC 차원의 보호 방안 수립

u  메일 및 게시물의 링크 선택 시 접근에 유의

u  첨부 파일등에 의한 바이러스, 웜등의 감염 주의

u  AV 백신 및 각 운영 체제별 보안패치 및 설정

u  ActiveX 의 시스템 설치 제한 및 확인

u  주기적인 보안설정 검사 [ AV 체크 , 보안설정 체크 ]

 

n   사용자 정보 보호

u  주기적인 패스워드의 변경

u  사이트별 분류에 따른 등급 관리 및 ID / 패스워드의 분리 활용

u  사이트 가입시의 보안 등급의 확인 [ 일정 수준 이상의 정보보호 수준을 인증  기존의 안전진단 및 보안컨설팅 , ISMS 인증 등에 네트워크 보안 및 ID/PASS 보호 방안에 대한 확인 이후 일정수준의 등급 부여 필요]

u  정부기관 및 신뢰된 사이트로부터 배포되는 보안 솔루션에 대한 선별 설치 필요 [ 키보드 보안 , 보안패치 , AV 솔루션 등등]

 

 

위와 같이 정리가 됩니다.  거칠게 정리한 내용이며 필요한 항목에 대해서만 기술이 되어 있습니다. 어느 정도 단계에 이르면 보다 체계적이고 다양한 방면으로 정리가 될 것 같습니다.

의견 있으신 분들은 적극적으로 의견 주세요.

 

좋은 하루 되세요.

 

Posted by 바다란

바다란입니다.

 

항상 블로그에 쓰는 글은 생각을 오랜동안 해서 쓰는 글들도 있지만 대부분이 즉석에서 가지고 있는 생각을 풀어서 쓰는 형태로 진행이 됩니다. 따라서 표현상의 어색한 부분이나 오타들도 발견 되지만 쓸데없는 귀차니즘으로 인해 한번 쓰고 난 뒤에는 그대로 올려 버리는 우를 범하기도 합니다.

그래도 그냥 올립니다.

 

따라서 읽으시기에 불편한 내용들도 있을 것 같습니다.

 

이번에 그냥 생각이 나서 쓰려는 내용은 현재 IT 기반의 기업들과 서비스가 활발하게 진행이 되고 해외 사업도 진행이 되고 있는데 security 측면에서 근간을 위협하는 요소가 많이 증가 하였고 향후 뚜렷한 대응 방안도 없다는 점에 대해 논해 보고자 합니다.

 

--------------------------------

 

security라는 관점에서 현재의 상황은 시대적 발전 상황과 맞물려 매우 중요한 축을 차지 하고 있다.  시대적 발전상황이라는 부분은 IT를 이용한 새로운 가치 창출과 생활의 변화가 전환되는 시점에서 [ 전 세계적인 이슈에서 우리나라는 좀 더 빠른 부분들이 명확히 존재한다 ] 위험요소와 위험요소를 방어하고 주요 자산을 보호한다는 관점에서 대응 측면에 많은 문제들이 노출 되고 있다.

 

새로운 공격 유형은 매우 빠르게 발전하고 있으며 보다 많은 Application들이 나올 수록 또 이런 Application들이 네트워크로 연결이 되고 표준화를 지향하면 할 수록 더욱 문제점은 많이 발견된다. 지구상에 존재하는 수많은 보안회사들의 각개전투에 대해 공격자들 및 어뷰저들은 연합으로 대응을 하여 많은 발전이 있었다.

 

연합으로 대응이라는 의미는 .. 정보의 공유와 악성코드 제작 프레임워크의 표준화 , 다양한 동시 공격 능력의 결합 [ 표준 서비스 취약성 , OS에 관계 없는 프리 플랫폼 형식의 App 공격 , 기본 탑재인 DDos 공격 등 ] , 은밀성 [ 각 OS 단위의 커널 통제까지 가능한 ]을 지닌 백도어를 통한 컨트롤 공격등 다양한 의미를 지니고 있다.

대응 하는 보안 분야쪽은 월등한 인력과 장비 , 환경을 보유하였으면서도 각개 대응 및  정보 공유에 대한 문제로 인해 지지부진한 면이 몇 년간 지속 되어 왔다. 이 상황에서도 공격자들은 별도의 채널을 통해 의사소통을 함으로써 현재로서는 압도할 만한 능력을 지니고 있다 판단된다. 물론 전체의 공격자들은 아니며 소수의 공격자들이다.

 

Zeroday 관련 exploit 및 Monster worm의 가능성이 이미 현실화된 주제이며 현재는 개별 서비스를 위협할 수 있는 단계에 도달한 것으로 판단된다.

개별 회사 및 서비스 단위에서 적극적인 대응으로는 한계가 있으며 일정정도의 기밀유지가 필요한 동종 산업에서 활발한 정보의 공유 및 토론은 심각한 제약을 받을 수 밖에 없다. 심각한 제약의 의미는 발전과정의 부진을 의미하며 향후 공격자와 대응자의 스킬 및 시나리오에는 격차가 더 벌어질 것을 의미한다.

 

개별 과정에 대한 특수 분야의 비교가 아닌 전체적인 관점에서의 비교로서 참고 하는 것이 필요할 것 같다.

 

온라인 문화가 발달 할 수록 다양한 부분에서 보안의 중요성은 매우 높다. 그러나 인력의 한계는 명확히 존재하며 산발적인 대응은 필연적인 숙명이다. 공동 대응이라는 기치는 그만큼의 의미를 지니지 못할 것이며 피해는 지속 될 것이다.

 

국가와 국가간의 처벌 규정의 모호함과 네트웍 세상에서의 침입자의 탐지와 처벌이 어려운 관계로 인가관계와 금전을 이용한 포상규정이 일부 힘을 발휘 하고 있으나 더욱 더 은밀해진 활동으로 전이 됨을 느끼게 될 것이다.

 

 

오프라인에서 국경을 지닌 것은 더 이상 의미를 지니지 못하고 전 세계의 초고속 인프라가 확산 될 수록 더욱 경계선의 의미 및 거리의 의미는 없다. 장비간의 호환이 강조 될 수록 [ IPv6 로 전환 된다 하여도 향후 십년 이상은 IPv4와 호환 모드를 가질 수 밖에 없으며 PDA 및 휴대폰 , PC 간의 경계가 무너질 수록 더욱 심할 것이다. ] 문제는 지속되고 심각해 진다.

 

개별대응의 한계는 명확하다. 규모의 경제가 가동되는 산업 및 회사에는 일정 수준의 보호 능력이 주어질 것이고 그렇지 않은 부분에는 가혹하리만치 시련이 있을 수 있다.

 

예전에 언급 하였던 Infra structure 부분 및 Ubiquituous 환경에서의 위험 요소는 향후를 예상 한 것이나 이제 부터 실전에 돌입 할 것으로 보인다. 이래저래 드러나는 수면위의 흔적들이 충분한 근거를 가질 수 있게 만들 것이다.  [ 본 블로그 상의 게시물중 2003년쯤 작성되어 게시한 SCADA & DCS 보안 문서를 참고 하면 손쉽게 이해 될 수 있을 것이다.]

 

대안 및 협력 모델의 구축을 위해 그렇게도 위세당당한 거대 기업들이 보안 부분에 힘을 쏟고 M&A를 통해 덩치와 규모의 경제를 만들려는 것도 동일선상에서 이해가 되어야 할 것이다.

 

개별대응의 덩치를 키워 대규모 대응이 가능한 모델을 만드는 것이 몇 안되는 대안이 될 수 있으나 또 나름의 문제를 지니게 될 것이다.

 

개인에게는 미치지 않으면 다다를 수 없는 불광불급의 시간이 스트레스를 가중 시킬 것이다.

한계 상황은 쉽게 다가올 것이고.........

 

 - 2006  9월  바다란

 

 

 

Posted by 바다란
 
- 이번 단락에서는 게임내의 Abusing 유형과 악성코드로 인한 피해를 간략하게 살펴보는 장입니다.
 

 

 

 

2.3.                        게임내의 Abusing유형

 

직접적인 해킹 이외에도 온라인 게임에 영향을 미칠 수 있는 보안적인 이슈로는 Abusing을 예로 들 수 있으며 각 Abusing유형은 특정 온라인 게임에 한정되어 발전이 되는 경향을 보이고 있다. 즉 특정 온라인 게임에만 특화된 Abusing 솔루션들을 통해 선의의 게임 사용자에게 영향을 미칠 수 있고 피해를 입힘으로써 사용자의 접근성을 떨어뜨리게 되고 정상적인 게임 사용자가 피해를 입음으로써 사용자의 이탈까지도 유발하게 되는 중요한 이슈가 된다.

게임 내에서 이루어지는 Abusing 영역은 다음과 같이 세분화 하여 나열 할 수 있다.

기술적인 부분과 작동 방식에 따른 분류이다. 가장 기본적인 부분은 온라인 게임의 실행 클라이언트 프로그램에 대한 Binary 분석과 실행구조의 분석을 통해서 이루어 지며 간단한 기술부터 전문적인 기술 영역까지 혼재하고 있다.

 

Memory Hack : 온라인 게임 클라이언트 프로그램에서 사용하는 메모리 주소를 조작함으로써 게임의 아이템 비율을 조작하거나 승부를 조작할 수 있는 유형

Macro: 사용자의 입력 없이 자동으로 게임을 진행 하도록 하는 유형

Speed Hack: 클라이언트 PC의 속도를 조작하여 게임의 속도를 조작하는 유형

Debugging: 게임의 로직을 분석하고 게임 클라이언트 내의 숨겨진 정보를 분석하여 활용 하는 유형

Packet Hack: 게임 클라이언트와 서버간에 주고 받는 패킷을 조작하여 게임을 컨트롤 하는 유형

Client Manipulation: 게임 클라이언트 프로그램의 변경 및 조작을 통한 컨트롤을 하는 유형

 

1. Abusing 방식과 대응

Abusing 유형

방식

대응

Memory Hack

Memory를 외부 프로세스에서 접근하여 조작함, 커널레벨에서는 타 프로세스 접근 가능한 점을 이용하여 조작

Memory Hack 관련 process의 접근 차단 , Memory I/O 관련 함수 Hooking 차단

Macro

키보드 및 마우스 이벤트를 프로그램적으로 발생 시키고 발생된 이벤트에 의해 게임이 반응

Port IO 모니터링 , Filter Driver 사용 , System Function call 차단 방식을 활용

Speed Hack

PIT (Programmable Interval Timer)변조 , Time 관련 함수의 Hooking

Time 관련 함수 Hooking 차단 , CPUClock을 검사하여 변조 감시

Debugging

OllyDbg SoftIce와 같은 Debugging 도구를 이용하여 조작

게임 실행 process hiding , 실행파일 변조여부 확인 , 실행파일 protect를 통한 차단

Packet Hack

Socket 관련 함수 Hooking , TDI , NDIS 등의 packet filter 활용

악의적인 process 접근 차단 , API Hooking 차단

Client Manipulation

Client에 다운된 게임 관련 파일의 직접조작 , 파일 관련 함수를 Hooking하여 조작

게임 실행 파일의 Checksum 검사 , 중요 기능에 대한 검토 이후 실행 루틴 적용등

 

Abusing 유형에 대해 대응 하는 방식은 표 1. Abusing 방식과 대응에서 기술된 것과 같은 유형으로 대응을 진행하고 있다. 그러나 표 1과 같은 다양한 Abusing 유형에 대해 대응 하기 위해 게임 클라이언트 프로그램 차원에서 protect를 하는 것은 매우 어려운 일이며 게임을 위한 게임 프로그램보다 차단을 하기 위한 프로그램적인 기능이 더욱 구현하기 어렵고 큰 영역을 지니고 있다. 따라서 일반적으로 다양한 Abusing 위험을 제거 하고 게임 클라이언트를 보호하기 위해 게임보안툴을 적용하는 것이 일반적이다. 게임보안툴의 적용은 게임 실행 초기에 실행이 되고 정상 상태를 확인 한 이후 게임실행 중의 Abusing 행위를 방어하는 역할을 수행한다.

 

 

그림 4 packet 조작을 위한 send 함수

 

그림 5. packet 조작을 위한 send 함수 변경

 

그림 4 packet 조작을 위한 send 함수, 그림 5. packet 조작을 위한 send 함수 변경에서는 packet hack을 위해 packet 전송을 하는 루틴을 debugger로 확인을 한 내용이다. 그림 4 packet 조작을 위한 send 함수에서 선택된 send 함수가 그림 5. packet 조작을 위한 send 함수 변경에서 packet을 가로채어 전송하는 packet manipulation 도구의 send 함수로 바뀌어 진 것을 볼 수 있다. 위와 같은 Packet Hack의 기능은 게임 실행 프로세스에 packet 전송을 가로채는 도구를 간단하게 Attach만 시키면 되는 조작 기법이다.

 

게임보안툴의 사용을 통해서 표 1. Abusing 방식과 대응에 기술된 다양한 영역의 Abusing을 방어하여 게임을 보호하고 있으나 공격 기술의 발전이 빨라 대응에 어려운 점이 있다. 게임보안툴의 사용 이외에도 게임의 구조를 서버 단위의 실행 구조로 변경 함으로써 대응을 하고 있으나 전체의 기능을 변경 할 수 없는 게임의 특성상 발전하는 Abusing에 대해 모니터링을 통한 감시와 게임보안툴과 게임 실행 구조의 변경을 통한 안정성 확보만이 주된 방안이라 할 수 있다.

 

1. Abusing 방식과 대응 의 대응 방식에서 보듯이 게임클라이언트는 사용자가 클라이언트 프로그램을 사용자의 PC에 다운로드 받고 설치 한 이후에 실행을 하는 구조이다. 따라서 사용자 시스템의 주요 기능들을 이용할 수 밖에 없다. Abusing 유형에서도 보듯이 시스템의 기능들을 이용하여 실제 클라이언트의 기능이나 효과를 변경 함으로써 게임에 영향을 미치는 것을 볼 수 있다. 게임보안툴의 사용은 사용자의 시스템에 일정부분에 대해 제한을 가하는 구조이며 시스템의 하위 권한까지도 충분히 부여가 되어야만 한다. Vista와의 충돌은 시스템 권한의 부여에서 시작된다.

 

2.4.                        악성코드를 이용한 사용자 정보 도용 위험

 

2005년 이후 온라인 게임업체 및 IT 관련 서비스 업체에 영향을 미치는 중요요소로서 사용자 정보를 유출 하기 위한 악성코드의 설치를 들 수 있다. 현재까지도 줄어들지 않고 있는 상황이며 향후에도 지속될 것으로 예상이 된다.

주된 악성코드의 유형은 사용자의 계정정보를 유출하기 위한 Key logging 기능이 일반적이며 사용자의 ID Password를 공격자가 지정된 장소로 전달 되도록 하는 유형이 가장 큰 피해를 입히고 있다.

Key logging 을 시도하는 악성코드를 유포하기 위해 국내 대규모 사이트를 해킹하여 다수의 사용자에게 유포하도록 함으로써 피해를 입힌 경우가 다수 존재 하였다. 사이트를 해킹한 이후 사용자 정보를 유출하는 악성코드를 해당 사이트에 접근 하는 사용자에게 Windows 취약성을 이용하여 자동 실행 되도록 하였으며 사용자의 ID/ Password를 유출하도록 동작 되었다. 그림 6. 악성코드 제거 결과 Hangame 전용백신은 한게임에서 제공하는 온라인 게임백신에서 탐지된 한게임 관련된 악성코드 제거 결과로서 한게임 사용자를 대상으로 한 악성코드를 제거한 결과이다.

그림 6. 악성코드 제거 결과 Hangame 전용백신

 

그림 6. 악성코드 제거 결과 Hangame 전용백신의 결과는 2006 9월에서 10월까지의 한달 가량의 탐지 결과로서 특정 기간에 탐지 횟수가 급증하는 것을 확인 할 수 있다. 결과가 급증된 구간은 대규모 사이트를 통해 악성코드가 사용자에게 유포된 이후 악성코드에 대한 분석이 완료 된 이후  한게임 전용백신을 통해 온라인 상에서 사용자의 PC의 악성코드를 탐지 및 제거한 내용이다.  최초 악성코드 발견 이후 평균 이틀 정도의 시간 간격으로 악성코드를 제거 하도록 업데이트를 하였는데 탐지 결과가 대폭 증가하는 것을 확인 할 수 있다. 그림 6과 같은 증가 유형은 전용백신 서비스를 시작한 2006 1월 이래 줄곧 반복되어온 유형이며 대규모 사이트가 해킹 되어 악성코드가 유포될수록 매우 많은 탐지 및 제거 결과가 나오는 것을 확인 할 수 있다.

 

현재에도 온라인 게임에 직접적인 위협이 되는 사용자 계정 유출 악성코드는 변형이 계속 나오고 있으며 기법적으로도 다양하고 수준 높은 공격유형들이 출현하고 있어서 대응이 어려운 면이 존재한다. 사용자의 PC에 설치된 백신의 경우 탐지 및 업데이트까지 걸리는 주기가 길어 실제적인 효과를 보는 것이 어려운 경우도 있다. 규모가 큰 온라인 게임사 이외에도 주요 온라인 게임 전체를 대상으로 하고 있어서 지금도 많은 계정 유출 피해가 우려 되고 있다.

 

그림 7. 온라인 게임에 대한 악성코드 공격 분석

 

그림 7. 온라인 게임에 대한 악성코드 공격 분석은 사용자 정보 탈취를 위한 악성코드의 실행 과정 및 진행 상황을 도식화한 것이다. 그림 7. 온라인 게임에 대한 악성코드 공격 분석의 설명에서 볼 수 있듯이 2006년 하반기 이후에는 신규 취약성 및 백신에 탐지가 되지 않는 형식의 악성코드를 유포하여 보안패치와 보안 솔루션을 사용하는 사용자에게도 일부 피해가 발생하고 있는 실정이다.

악성코드를 이용한 사용자 정보 유출로 인해 온라인 게임업체들은 많은 비용과 전문인력을 투입하여 게임을 보호하고 사용자를 보호하는 방안을 고민 할 수 밖에 없는 상황이다.

현재 유포되고 있는 악성코드는 종결형이 아닌 현재 진행형이고 앞으로도 끊임 없이 나타날 현상이라 할 수 있다.  키보드보안 솔루션과 보안패치서비스, 온라인게임 전용백신서비스 등 다양한 보호방안을 만들어 전체 위험요소의 대다수를 제거하여도 새롭게 발전하는 공격기술의 진화속도를 따라 가는 것은 어려움이 따를 수 밖에 없다. 일부 피해는 계속 발생할 것이고 피해를 줄이기 위한 노력도 계속 될 수 밖에 없다.

 --Continue

* 다음장에서 Vista의 보안과 최종 결론을 도출합니다. 그건 내일..

Posted by 바다란

최근들어 상당히 의미 있는 움직임들이 있습니다.

 

2001년 부터 시작된 패러다임 전환기에 보안업계들은 대규모 업체들이 소규모 전문 보안 기술 업체를 인수하고 덩치를 키우는 작업들이 지금까지 계속 되어 왔습니다. 약간 분야를 달리한 부분으로 시만텍의 베리타스 인수를 들 수 있죠.

 

현재의 모습은 어떨까요?

 

현재는 각 글로벌 기업들 모두가 보안이라는 부분이 미치는 치명적인 영향과 글로벌적인 이슈 파급효과를 불러 일으키는 보안 강화 부분을 인지하고 보안기업의 인수 열풍이 불고 있습니다.

 

IBM의 컨설팅 업체인 PwC의 인수도 보안 서비스 강화 측면 에서 이해 할 수 있고 최근들어 활발해진 활동으로는 MS의 Sysinternal 사이트 인수 ( Sysinternal의 경우 윈도우와 관련된 여러 시스템 유틸리티 및 보안 관련 툴을 개발해온 전문 영역을 지닌 업체라 할 수 있다.) , IBM의 ISS의 인수 등등. 이외에도 MS에서는 작은 보안 전문 기업들의 인수를 계속 진행 하고 있으며 HP의 시만텍 인수설도 심심치 않게 나오죠.오라클의 RSA 인수도 마찬가지 범주이구요. 각 인수한 기업들의 성격을 보면 향후 발전 방향이나 기업의 운영 방향이 눈에 보입니다만.. 개인적으로는 오라클의 RSA 인수는 시대상을 반영하지 못한 [ 단기적인 예상입니다. 앞으로 한 십년정도] 인수가 아닌가 생각 됩니다. 물론 지켜 보아야 하지만 성격적으로 가장 보수적인 운영이라 문제가 있을 것 같습니다. 인수에 따른 시너지 효과도 글쎄요...

 

최근의 동향을 보면 보안기업들중 규모를 적시에 키운 시만텍만이 유일하게 M&A의 어려움이 있을 정도의 덩치를 지니고 있고 [ 그러고 보면 보안 분야에서는 거대 재벌과도 같았던 시만텍도 다른 글로벌 기업들에 비하면 왜소할 수 밖에 없더군요] 다른 모든 기업들은 대상에 올려져 있는 상황입니다.

 

앞으로의 변화는 어떤 방향으로 지속 될까요?

 

보안과 관련된 이슈와 업무들도 거대 기업들의 한 영역 [ 예전과는 사뭇 다른 핵심의 위치]을 차지하고 거대기업들도 몇 개의 기업군들로 재편될  것 같습니다.

 

각 기업군들에는 일련화된 프로세스를 제공하는데 그동안 핵심에서 배제되었던 보안 부분이 대거 핵심 프로세스로 부상이 된 상태입니다.

악성코드 개발하는 한명이 거대 기업을 수렁에 몰아 넣을 수도 있는 상황에서 숙달된 보안인력과 전문성을 지닌 인력의 확보는 매우 필수적이며 손쉽게 인력 확보가 가능한 M&A를 통해 부족한 부분에 대해 확실하게 재편을 하는 과정이 진행 중입니다.

 

국내의 시장을 본다는 것은 이쯤에서는 무의미할 것 같습니다.

국내의 시장에서는 이제는 의미 있는 시장이라고 보기가 무안할 정도이니 말입니다.

 

큰 틀에서 보자면 보안 분야의 인력들에게는 더 많은 업무와 기회가 주어 질 수 있을 것 같으나 보안 기업들에게는 그리 많은 기회가 주어지지 않으며 격렬한 생존 경쟁을 펼쳐야만 할 것입니다.

 

취약성의 발견과 공격 측면에서도 대거 중심 이동이 이루어진 상태에서 기업들은 개별 단위의 대응으로는 부족하다는 점을 알고 거대 기업군을 이루어 대응을 하고자 하는 모양새를 취합니다. 운영체제와 소프트웨어 제공 업체인 MS 조차 이제는 서비스 대열에 합류 하였고 그 서비스의 핵심에는 Onecare 가 있습니다.

 

이제는 무엇을 향하고 무엇을 해야 할까요?

전문적이고 독창적인 영역은 점차 줄어 들어 가는 것 같으면서도 기회는 많아지고  [ IT의 발전에 따라 ] 거대 기업의 조직적인 힘은 나날이 막강해져 갑니다.

 

단언하건대.. 이 모든 변화들은 IT 환경의 변화에 기인합니다.

모든 것들이 연결되고 소통되는 통신의 세상에서 또 정보의 대용량화된 흐름에서 문제가 발생 하고 있고 정보의 소통을 통해 수익을 창출 하는 모델들이 안정화 됨으로 인해 문제의 치명적인 요소들이 드러난 것이죠.

 

예전에는 단편적이고 경원시 하던 전문 분야가 이제는 핵심 분야가 될만큼의 시기가 무르익었다고 볼 수 있을 것 입니다. 파문의 물결이 해안에 닿기에는 아직 시간이 있을 수 있으나 이미 진행형이고 빠르게 밀려 오므로 곧 실감을 하게 될 것 입니다.

 

왜 예상을 못했을까요?. 이런 변화를 .. 눈뜨고 있다면 볼 수 있었던 이런 변화를?...

이재에 밝지 못한 저로서는 변화를 알고 예상이 가능함에도 어쩔 수 없다라는 판단을 합니다.

 

앞으로의 IT의 미래는 ... 그리고 IT와 연계되어 움직이게될 세상의 보다 큰 미래는 어찌 될까?

보안이라는 틀에서 바라본 세상이 이제는 좀 더 큰 부분으로 이어지고 .. 또 다른 기회를 만들지도..

 

비지니스 환경의 변화는 발생 요인에 의해 점쳐 질 수 있고 이러한 예상은 이미 5년 전 부터 예상이 되었던 바이고.. 전체 기업군으로 확대되는 것은 시일이 걸릴 것으로 예상 되었으나 벌써 성큼 다가온 느낌이다.

 

보안의 영역에도 많은 영역이 있으나.. 그 중에서도 기술과 관련된  [ 관리적 부분은 상대적으로 지키기에 중요하나 향후 기술적 영역의 발전이 과도하여 한계가 있을 것임 ] 부분의 연구와 대응 측면에서 큰 폭의 변화와 발전이 예상된다.

 

오로지 개인의 예상과 상념..

 

- posted by p4ssion 바다란

 

 

Posted by 바다란

본 논문은 정보보호학회에 기고한 논문입니다. 며칠전 예고한 대로 3 부분으로 나누어서 올릴 예정입니다.

Vista의 출시에 따른  IT 산업별 이슈에 대해 종합적인 시각이 없는데 그 처음으로 온라인 게임산업 부분에 대해 작성된 내용입니다. 향후 여유가 허락하는 대로 다른 분야 혹은 MS의 의중등에 대해서 전체 IT산업과 연관하여 풀어보도록 하겠습니다.

 

현재 업로드되는 부분은 총 3단락중 첫번째로 온라인게임의 직접적인 해킹과 위험요소에 대해서 기술한 부분입니다. 다음 단락은 게임내의 어뷰징 유형과 악성코드를 통한 정보유출 유형이 소개 됩니다. 마지막 최종 단락에서는 Vista에서 강조된 보안 부분이 온라인 게임산업에 어떤 영향을 미칠지를 분석한 내용입니다. Abusing의 극심한 증가와 대응책의 부재가 문제라는 점을 지적할 것입니다.

의견 있으신분 언제든 의견 주세요.

 

 

 

1.     서론

현재의 게임의 환경에서 운영체제가 가지는 의미는 중요한 요소를 포함하고 있다. 온라인 게임의 개발에는 특정 운영체제에 한정되어 개발되는 부분이 많았으며 다양한 운영체제로부터의 접근성을 보장하지는 않는다. 따라서 운영체제의 실행 환경이 변경 된다면 다양한 구조적인 변화를 할 수 밖에 없다. 2007 Vista 의 출시와 함께 촉발되고 현실화된 온라인 게임의 위험요소와 보안의 관점에서 바라본 Vista 출시로 인한 문제점들을 짚어보고 향후 방안에 대해서 고민을 하는 과정이 필요하다.

 

2.     온라인 게임의 환경과 위험요소

2.1.                       게임의 환경

게임의 환경 측면에서는 보안적인 이슈와 관련이 있는 부분에 대해서 한정하여 살펴보고 전체적인 게임의 환경에 대해서는 언급을 하지 않도록 한다. 게임에서 운영체제의 급격한 정책 변경은 큰 영향을 받을 수 밖에 없다. 운영체제에 부여된 일반적인 기능과 접근 방법을 통해 실행이 된다는 점에서 보면 정책의 변경은 큰 영향을 미칠 수 밖에 없다. 국내의 온라인 게임 상황에서는 대부분의 게임이 Windows 베이스의 게임을 제작하고 있으며 온라인 상에서 실행을 시키는 메소드를 활용 함으로써 사용자의 접근을 유도하고 있는데 IE7 Vista로 인해 변경된 정책은 큰 영향을 미칠 수 밖에 없다.

 

성공적인 게임의 런칭 이후에 운영에서 가장 중요한 영향을 미치는 이슈가 보안이며 단계별 보안이 이루어 지지 않는 게임은 안정적인 운영을 하기 어려운 상황에 쉽게 처할 수 밖에 없다.  IE7 Vista에서 가장 중요하게 강조되는 기능이 보안 기능의 강화라는 측면에서 온라인 게임은 영향을 받을 수 밖에 없으며 다소간의 긍정적인 효과와 부정적인 효과를 동시에 받을 수 밖에 없다. 본 논문에서는 긍정적인 효과와 부정적인 효과를 찾아보고 영향력과 파급효과는 어느 정도 인지 확인을 하도록 한다.

 

온라인 게임에 직접적인 영향을 미치는 보안적인 이슈 측면에서는 크게 세 가지 유형으로 살펴 볼 수 있다. 직접 해킹을 통한 게임의 피해 , 게임내의 Abusing을 통한 피해 , 악성코드를 이용한 사용자 정보의 유출로 구분을 할 수 있다.

 

 

2.2.                       직접 해킹을 통한 게임의 피해       

 

게임의 웹서버 및 Database서버와 같은 Game Infra 구성요소에 대한 직접 해킹을 시도 함으로 인해 발생하는 피해를 총칭하며 2005년부터 급증하기 시작한 웹 서버에 대한 해킹 시도 및 Database에 대한 직접 해킹 시도들이 다 포함이 된다. 웹 서버의 웹 어플리케이션의 취약성을 이용한 (SQL Injection , File Upload / Download , Privilege Escalation ) 공격 유형이며 공격을 통해 웹서버의 관리자 권한을 획득한 이후 자유자재로 조작하는 것을 의미하며 Database 서버에 대해 직접 Query 등을 통해 사이버 머니 혹은 아바타 획득과 같은 인위적인 조작을 가하는 것을 의미한다. 직접 해킹으로 인한 피해는 단계별 보안 대책 수립과 웹 어플리케이션 보안성 강화에 따라 점차 감소 추세를 보이고 있으나 여력이 부족한 신규 게임업체나 중소 게임업체에는 여전한 위협이 되고 있는 실정이다.

그림 1. SQL Injection Attack Example

 

그림 1. SQL Injection Attack Example의 경우는 웹 어플리케이션의 취약성을 이용하여 웹서비스의 권한을 획득한 이후 데이터베이스에 접근하는 계정을 통해 데이터베이스의 내용을 가져오는 공격도구의 모습이다. 웹 어플리케이션에서 사용되고 있는 URL의 인자에 대해 Validation 검증이 제대로 되지 않은 취약성을 이용하여 SQL Query를 실행 시킴으로써 권한을 획득하는 SQL Injection 공격 기법을 사용 하였다.

 

그림 1. SQL Injection Attack Example에서 보인 SQL Injection 공격 이외에도 다양한 공격 기법으로 웹 서버와 서비스를 공격하여 권한을 획득하거나 제어 함으로써 직접적인 피해를 입히는 경우는 일반적인 유형이라 볼 수 있다.

2005년 이후의 공격 유형의 특징을 보면 시스템 및 운영체제에 대한 직접적인 해킹은 줄어드는 경향을 보이고 있으며 Application에 대한 공격 유형이 일반화 되는 경향을 보이고 있다. 즉 운영체제를 이용하여 동작을 하는 Application의 취약성을 이용하여 공격하는 동향을 볼 수 있으며 공개 소프트웨어의 취약성을 이용하는 Application Attack의 일반화를 확인 할 수 있다.

그림 2. Attack flow

 

그림 2. Attack flow 에서 전체 해킹 동향의 변화 흐름을 보이고 있다. 2004년 이후부터 개별 Application에 대한 공격이 증가됨을 볼 수 있으며 2005년에 이르러 자동화된 Application 공격이 나타나고 2006년 이후로 계속 Application에 대한 공격이 증가 되는 경향을 나타내고 있다. 전체 취약성의 발견 비율에서도 Application 취약성에 대한 발견 비율은 급증 함을 볼 수 있다.

그림 3. securityfocusMS 관련 취약성

 

그림 3. securityfocus MS 관련 취약성에서 Securityfocus ( www.securityfocus.com) 사이트에 보고된 Microsoft 사의 제품 취약성에서도 운영체제가 아닌 개별 Application에 대한 취약성 보고가 증가됨을 확연하게 확인 할 수 있다.

 

Application 취약성은 계속 증가하고 있으며 취약성에 따른 웹서버와 서비스에 대한 해킹은 계속 증가하는 것을 확인 할 수 있다. 온라인 게임 서비스에서도 동일한 규칙이 적용 되고 있으며 부실한 웹 서비스 코딩 과 게임 관련된 데이터베이스 서버의 관리의 부실로 인해 전체적인 취약성과 공격 동향에 따른 위험성은 계속 증가되고 있는 상황이다.  특히 웹 어플리케이션을 통해 온라인 게임 유저와의 접촉을 유지하고 있는 온라인 게임사의 경우 웹 어플리케이션의 문제는 대외적인 신뢰도 하락 및 게임사의 인프라 내부망까지 침입을 입을 수 있다는 개요를 포함하고 있어서 치명적인 이슈가 될 수 있다.

 

- Continue...
* Application 취약성 관련 하여서는 본 논문 작성 이후 바로 나온 Ani Cursor 취약성이 있습니다. ^^

 

 
Posted by 바다란

안녕하세요. 바다란입니다.

 

지난 10.24일에 KISA에서 주최한 침해사고 대응 세미나가 있었습니다.

해당 세미나에서 침해사고의 발전 유형과 대응 방안에 대해서 고민하고자 했는데 제대로 전달이 되었는지 모르겠네요.

 

가장 중요한 팩트는 이미 취약점 및 공격 유형은 커버가 가능한 범위를 넘어 섰다는 점입니다.

기본적으로 지금까지 알고 있던 유형의 대비책만으로는 한계가 있으며 정량적인 대책으로는 해결 되지 않고.. 정성적인 대책이 있어야만..또 꾸준히 진행 되어야만 문제가 일정 수준 이하로 감소 됨을 확인 할 수 있습니다.

 

현재의 공격유형은 매우 치밀하고도 집요합니다.

기존의 모든 보안솔루션을 무력화 시키고도 가볍게 전파가 됩니다.

그만큼 공격 기술의 전파가 빠르게 또 깊이 있게 공유가 된 탓이라 볼 수 있습니다.

 

보안 기술의 전파는 이에 비하면 거북이 걸음이지요.

 

작은 기술이나.. 작은 시각이나마 여러 방면에서 조망을 하여 보다 더 체계적이고 완전한 구성을 만들었으면 합니다.

 

꾸준한 투자가 들어가야만 산업을 유지 할 수 있는데.. 이제는 이 것이 필수 인데.. 이 것을 인정하지 않는 기업이나 산업은 점차 쇄락할 수 밖에 없을 것 입니다.

이제부터는 보안이라는 측면은 최소한 IT 비지니스를 하는 회사에서는 가장 필수적인 중심요소입니다.

 

자료 참고 하세요.

 

 

Posted by 바다란

12.25 1998   -p4ssion@gmail.com zdnet

 

 

2009년의 연말에 뜬금없이 10년도 더 지난 날짜의 크리스마스를 언급한다. 1998 12.25일에는 RFP (Rain Forest Puppy)에 의해 최초로 DB 웹애플리케이션간의 SQL Injection 대한 발표가 이루어 졌다. 해당 발표는 프랙이라는 해커들의 온라인 잡지를 통해 이루어 졌다. 현재의 인터넷 서비스를 곤경에 처하게 하는 SQL Injection 문제는 벌써 11년이나 된 문제인 것이다. 오래된 이 문제는 지금 어떤 모습이고 어떤 영향을 미치고 있을까? 우리는 어디쯤에 있는가?

 

그 당시에는 누구도 지금과 같은 사태를 예견하지 못했었다. 불과 3~4년 전만해도 전문가들은 전문가들 나름대로 관심을 두지 않았고 비전문가들은 전혀 모르는 상태였었다. 단 하나의 권한을 획득하기 위해서는 수없이 많은 시행착오와 쿼리를 던져야만 일정 수준의 결과를 가져 오는 것에 대해 누구도 심각성을 인지하지는 못했다. 중요성이나 심각성이 최초로 드러난 것은 대량으로 자동화된 공격 도구가 출현한 이후이다.

 

단일 웹사이트에 대한 자동화된 공격도구의 출현과 대규모 웹사이트에 대한 Mass sql injection 공격 도구의 출현이 지금의 상황을 만들고 있다. 상황은 점점 어려워 지고 있다.

시기별로 SQL Injection공격의 변화와 흐름은 지난 해에 정리한 글을 참고 하면 된다.

 

최초 출현 이후의 변화는 지난해에 작성한 글을 참고하면 되고 현재의 상황은 어떤 상황인지 살펴 보도록 하자.

IBM X-Force에서 2009 상반기 위협 동향과 리스크에 대해 종합한 보고서가 있다. 해당 리포트에서 요약 부분만을 보면 다음과 같은 동향을 관찰하고 있다.

 

1 .2009년 상반기중 발표된 전체 취약성의 50% 이상이 웹 애플리케이션에 대한 취약성이며 상반기중 발표된 취약성중 절반 가량이 패치가 발표되지 않은 취약성이다.

 

2. 웹사이트의 취약성을 공격하는 비율이 급증하고 있다. 2009 1Q의 공격 비율의 두 배 가량이 2Q에는 관찰이 되었다.

 

3. 일반적으로 사용자들이 안전하다고 생각되는 문서유형에 악성코드를 결합시키는 것이 늘고 있으며 어도비의 PDF 취약성은 최초로 Top 5 취약성 항목에 선정 되었다. MS Office 취약성과 PDF를 이용한 취약성이 일반적으로 사용이 되고 있으며 웹서비스를 통한 악성코드유포, 이메일을 통한 전파가 2009년 상반기 급증 하였다.

 

4. 2009년 상반기 악성코드를 유포하는 URL 링크는 508%로 폭증 하였다.

 

5. 스팸메일은 상반기에 40% 증가 하였다.

 

간단한 요약상으로 보면 웹애플리케이션의 관점으로 본 취약성 및 동향 보고서로 보이지만 실제 상반기 동향을 전체적으로 살펴보고 내린 종합 보고서라는 점에 의미를 두어야 한다.

 

특징적인 점은 웹 애플리케이션에 대한 공격은 시간이 지날수록 줄어 드는 것이 아니라 시기, 사안, 목적에 따라 급증 할 소지를 매우 많이 가지고 있다는 점이다. 얼마 전 있었던 중국 내 공공기관 및 교육기관에 대한 대규모 악성코드 유포 행위는 그 동안 공격자로만 인식 되어 왔던 중국 조차도 심각한 국면임을 생각하게 한다. 총 18여만개의 gov.cn, edu.cn 기관의 웹사이트에서 악성코드가 유포 되는 사례가 발견이 되었다.

 

단 기간에 몇 십만 대의 PC가 아닌 웹서비스에 대한 공격이 성공적으로 이루어 지고 도구로서 활용이 되는 것이 일상적인 인터넷 상황이라는 점이 가장 우려할 만한 점이고 향후에는 더 심각한 국면으로 전환이 될 것이다.

 

내부망에 대한 침입을 하는 도구로서 웹 애플리케이션을 직접 공격하는 행위와 무차별적인 악성코드 유포를 위해 웹 애플리케이션을 공격하는 행위는 동시에 발생 될 것이며 전자는 기업이나 기관의 내부망에 침입하여 자료를 탈취 하거나 금전적인 이득을 얻는 것에 사용이 되고 있으며 후자는 개인 PC의 금전 거래 관련 정보와 온라인 정보를 절취함으로써 이득을 얻는 것이 일상적인 현실이다.

 

국가 기반시설이라고 할 수 있는 기반시설망(전력, 가스, 통신, 교통)에 대해서도 심각성이 높으며 향후 강도 높은 주의가 필요하다는 점은 외부와 연결된 접촉지점을 가질 수 밖에 없기 때문에 경고를 하는 것이다. 앞으로의 위험은 더 크고 치밀한 양상으로 치달을 것은 명확하다.

 

IBM X-Force에서 발표된 자료를 조금 더 살펴보자.

 

 

대량 공격의 일반화에 대해 IBM에서 모니터링이 가능한 사이트들에서 발견된 공격로그들만을 살펴 보면 현황을 알 수 있다. 일단위로 2008년에는 평균 10만에서 20만 정도의 SQL 공격로그들을 관찰 할 수 있었으나 2009 5월에는 최고 70만건의 일별 공격로그가 관찰 되는 것을 볼 수 있다.

 

 

웹 애플리케이션에 대한 공격로그에서 공격기법 별 분류를 한 자료이다. XSS 취약성과 Injection 공격이 사실상 대부분을 차지하고 있다고 볼 수 있다. 그러나 여기에 공격의 파급도를 판단하면 Injection 공격은 사실상 월등히 높은 가중치를 지닐 수 밖에 없다.

물론 위의 데이터 자체는 IBM에서 판매하고 있는 침입탐지 장비에서 탐지된 로그를 기반으로 하고 있을 것이다. 지난 글로벌 보안 위협에 대한 분석에서 언급 하였듯이 전체적인 동향과 흐름을 인지하는 방식으로 참고를 할 수 있을 뿐이다.

 

해외 언론에서 언급하는 ‘New’ 라는 용어에 너무 겁먹을 필요 없다. 공격 방식은 동일하다. 약간의 변형들이 있을 뿐이다. 해외언론에서 언급하는 New SQL Injection 이라는 용어 자체는 단지 새로운 악성코드를 유포하는 링크가 변경 되었다는 점 외에는 없다. 따라서 새로운 유형의 공격은 아니라는 점이다.

 

국내의 모회사에 대한 해킹과 해외의 보안 회사들의 웹 서비스에 대한 해킹을 통해 위험성을 알리는 Unu라는 친구의 공격이 지금 시점에 중요한 것은 아니다. 공명심에 그러한 행동을 하는 것은 뒤에 더 큰 문제를 보이지 않게 만든다. 공개된 공격도구를 이용하여 특정 목표에 대해 꾸준하게 문제점을 찾고 공격 시도를 하는 것은 일반적인 스크립트 키드에 지나지 않는다.

 

정말 중요한 사안은 분 단위로 권한을 획득 당하고 소스코드가 변조되는 웹서비스들이다. 또 웹서비스들을 숙주 삼아 .정체를 전부 파악 하기 어려운 악성코드들이 전 세계를 대상으로 무작위로 유포가 된다는 점이 더 치명적인 사안이다.  오래된 이야기 이지만 준비는 어디에도 없다. 너무 많은 곳들이 당하다 보니 일상적인 상황이 되어 버렸다. 그만큼 치명적인 위험들도 더 가까이에 와 있다.

 

 

필자가 보는 관점은 명확하다.

문제가 될 것임은 이미 예측 되어온 바다. 그러나 어디에도 장기적인 해결책이나 방안을 마련 하려는 곳들은 없다. 이미 한 기업이나 조직에서 해결 하기에는 범위가 너무 커져 버렸다. 시간이 지날수록 점점 더 커져 갈 수 밖에 없을 것이다. 문제의 해결을 위해서는 현실을 직시하고 장기적인 방안을 마련 해야만 한다.

 

사이버 상의 스팸과 광고, 정보거래를 통해 금전적인 이득을 얻던 검은 그룹들은 이제 공개적으로 침입을 하고 권한을 획득하고 내부에 침입하여 노골적인 이득을 취하고 있다. 이러한 행위는 Heartland 대한 침입 7 eleven 대한 침입, 지난해에 있었던 Citibank에 대한 침입들이 모두 해당이 된다. 최근에 있었던 독일 대학생들의 국내 IT기업의 내부 기밀을 해킹한 이후 협박을 웃지 못할 경우도 동일한 사례이다. 국내의 사례는 뭐라 평하기 어려울 정도로 당혹스럽다.

 

독일에서 한국으로 접속해 느린 속도에도 불구하고 750기가나 되는 양을 빼내어 갈 그 많은 시간 동안 무얼 했을까? 문제점들은 찾아서 해결을 했을까? 하는 여러 단상들이 있다.

 

언급한 여러 사건들 중 상당 부분의 침입들이 내부망에 침입하기 위한 통로로서 웹 애플리케이션 공격을 선택 하였고 실제 성공 하였다는 점이다. 앞으로 더 많은 사례들을 볼 수 있을 것이다. 더 치명적이고 더 위험한 사례들은 머지않아 출현 할 수 밖에 없다.

 

11년이나 된 공격의 유효성은 지금에 와서야 대규모 피해를 입고서 인식이 된다. 그러나 해결책은 쉽지 않다. Secure Programming도 어려운 과제이고 보안도구들의 대량 도입도 난관이 많다. 풀어야 할 프로세스들도 산재해 있다. 무엇보다 중요한 것은 기업이나 산업에 보안은 치명적인 요소로 작용 한다는 것을 이해 하는 것이 먼저 일 것이다. 필자가 생각하는 해결방안에 대해서는 근 시일 내에 정리 하도록 하겠다.

 

중요성에 대한 인식은 너무 먼 곳에 있다. 세상이 어수선하다. 보이지 않는 인터넷 세상은 더 큰 좌절이 존재한다. 문제 해결까지는 정말 많은 시간이 소요 될 것이다. 가장 효율적인 도구가 존재 한다 하여도 최소 3~5년 이상은 이 어플리케이션의 문제로 치명적이 될 것이다. 모바일도 예외가 될 수는 없을 것이다. 모든 것은 이어져 있다. 이것이 인터넷이다.

 

사람 사는 세상에도 어둠이 짙듯이 인터넷에도 어둠이 짙다.

다음 컬럼은 연계된 내용으로 기반시설에 대한 (SCADA) 문제를 다룬다.

Posted by 바다란
< O'Reily의 Web 2.0 Image>

 

 

4.12일의 ICAT 2007 워크샵에서 'Web 2.0 Security'라는 article로 발표를 하게 되었습니다. 아래의 내용은 그 발표자료의 골격을 구성하는 내용입니다. 발표 이후 발표자료를 올리도록 하겠습니다. 지금의 Web 2.0의 열풍과 변화에는 간과되고 있는 부분이 너무 많다는 것이 개인 소견입니다.

 

 

 

최근 UCC라 불리는 저작물에 대해서 여러 가지 문제가 발생 하고 있고 사용자 친화 환경의 변화에 따라 많은 위험요소들이 도출 되고 있습니다. 한번쯤 위험요소를 실례로 보고 대책과 대안은 무엇이 있는지 그리고 방향은 어떤 방향으로 가는 것이 맞는 지에 대해서 의견을 피력 하였습니다. 관련 내용 참고 하시면 될 것 같습니다.

 

UCC의 정의부터 다시 해야 할 것 같은데 사용자가 저작하는 모든 유형의 매개물을 UCC라 정의 할 수 있습니다. 사실상 Web2.0이라는 것은 현상을 정의 하기 위한 용어일 뿐입니다. 인터넷을 이용한 부분적인 정보 참고와 정보 획득의 수단으로서의 도구 측면의 접근이 이전 까지의 접근이라면 이제는 생활과 연결 되는 부분에 직접 영향을 미치는 단위까지 인터넷이 확장 되고 있습니다.

정확하게는 확장이 아니며 인터넷의 활용에 숙달이 된 사용자들이 생활 단위와 행동 양식까지도 깊숙하게 끌어 들이고 생활을 변화 시키고 그 변화의 중심에 인터넷이 존재하는 것이죠. 생활과 관련 이 있으니 이제는 IT 서비스 기업들도 직접적인 영향력을 지니게 됩니다. 조금의 시간이 더 지나게 되면  각 분야별로 눈에 보이게 되겠죠.

 

일반 TV를 예로 들면 오로지  3채널 뿐인 것에서   -> 케이블 TV , 위성방송 채널 등 다수의 채널 등장 -> 주문형 TV의 일반화로 볼 수 있습니다. 이 과정에 방송사들의 다시보기 서비스와 같은 것들은 또 밀려 나겠죠. 실시간으로 저장을 하고 사용자가 원하는 시간대에 보도록 할 수 있으니 말입니다.

 

Web2.0은 새로운 기술이 아니며 사용자의 참여를 통해 적극적으로 생활이 변화해 가는 과정의 일부를 지칭하는 용어일 뿐입니다. 패러다임의 전환기를 정의하기 위한 요소 명칭일 뿐인 거죠.

 

차후에 좀 더 개념에 대한 정리를 해보도록 하겠습니다. 지금은 보호 관점에서 생활에 밀접하게 연관되도록 서비스를 제공하고 활용하는 사용자와 기업 두 측면에서 필요한 것들이 무엇이 있을지 간략하게 정리 해 본 수준입니다.

 

실제 문제 사례 :

 

-        Myspace script 코드를 활용한 서비스 내의 사용자 정보의 유출과 전파

-        Yahoo Messenger를 통한 웜의 출현

-        Web 2.0 서비스 기업을 타켓팅화한 Application 취약성 공개의 일반화 [ XSS 등]

-        Youtube , Yahoo ,naver등의 동영상 저작권 및 국가간 규정에  따른 불법적인 동영상  [ 음란 , 폭력  등등 ] 을 통한 사회적인 파급효과 , 3.19일 야후 음란 동영상 게재로 인해 동영상 서비스의 일시 중단 시행.

-        동영상을 파일을 통한 악성코드 유포 [ ActiveX 설치 이외에 사용자 정보를 유출 하기 위한 Script 코드등 다수 해당] Flash , 이미지 파일을 통한 정보 유출

-         사용자 계정의 도용 [ 아바타 및 아이템의 분실, 강탈 증가]

-        부정확한 게시물을 통한 광고 [ 게시물 , 덧글 등]

-        광고를 하기 위한 목적 혹은 사용자 PC를 조정하기 위한 ActiveX [ 사회공학적인 해킹 부분]

-        악성코드의 문제 [ 사용자 접근성 확대에 따른 악성코드 노출 영역의 극대화]

 

 

-서비스 기업으로서의 보호:

 

UCC에 대한 보안성 검증 : 기술적인 보안성을 검증 하여야 함. 게시물에 포함된 악성코드 및 HTML을 허용하여 사용자의 자유도를 높이는 만큼 그 위험성 ( XSS 및 Code Running)에 대해서 보호 방안을 수립 하여야 함. 보호 방안으로서는 Filtering 메소드의 필수적인 환경 구축 및 활용이 필요.  

 

n   Filtering Method

u 개인정보 침해 관련 사안의 조정  댓글 ,게시글

u 악성코드 실행 부분  게시물 , HTML 파일 , Image , Flash , 동영상

u 악성코드 위험 요소 판별을 위한 자동 판별 시스템 도입 및 수작업에 의한 모니터링 필수 [ 모니터링 대상 항목  성인, 개인정보 침해 , 악성코드 설치 , 광고글 , 개인정보 유출 관련 실행 코드 , Virus , Worm ]

 

n    Platform 의 체계화

u Filtering 시스템에 대한 체계적인 구성

u 전체 사용자 입력에 대한 Filtering 구조의 수립

u 전문 보안인력에 의한 Filtering Rule의 추가 및 빠른 변화에 대한 대응 능력 재고 필요

u 사용자의 직접 입력 시에 빠른 모니터링이 안될 경우 기업 입장에서는 치명적인 문제에 노출 될 가능성 증대 됨

 

n    개인정보 보호 관련 대응 방안 수립 필요

u  개인정보 관련 이슈는 기술적 방안으로 최소화 시키는 것이 필요 . Filtering과 연계하여 구성 하는 것이 필요

u  개인 정보 오남용 관련된 모니터링 필수

u  개인정보 오남용시의 필수 대응 프로세스의 수립  고객센터부터 실 서비스 부서까지 빠른 대응 필요

 

n        Web service에 대한 기술적인 보호

u  보안성 검수 프로세스의 일반화  전문인력 및 보안 전문가 집단을 활용한 최신 취약성에 대한 검수 체제 수립

u  Web Service를 구성하는 최신 기술 동향에 대한 취약성 연구

u  Web 2.0의 요소 기술간의 정보 전달 부분의 암호화 및 외부 노출 최소화

u  비정상 행위 탐지를 위한 Anomaly Detection 부분의 구축

u  현재 당면한 SQL Injection 및 XSS [ Cross Site Scripting]에 대한 전면적인 대책 수립 이후의 프로세스화

u  서비스 보호를 위한 전문가 집단의 수시 활용 또는 전문가 집단의 보유 필수

u  사용자 ID/ Password에 대한 보호 방안 수립과 시행 [ ex : password의 단방향 암호화등 ]

 

n        사용자에 대한 Security awareness 강화

u  서비스 차원에서의 게시물에 대한 악성코드 , 위법성 여부에 대한 Awareness 강화

u  불법 악성코드 및 개인정보 유출 관련된 사용자에 대한 합리적인 처벌 방안 마련

u  보안상의 문제 해결을 위한 서비스 기업 차원의 정보 제공 확대 및 위험 여부 , 법적인 위배 사항에 대한 명확한 가이드 수립

 

 

-        사용자 관점에서의 보호

 

사용자 관점에서의 보호는Client 상에서의 Web 2.0관련된 일련의 기술 흐름에 대한 보호 대책을 언급 한다. 향후 발생 가능할 부분에 대한 Security Awareness 측면에서의 사용자 보호 방안

 

n   개인 PC 차원의 보호 방안 수립

u  메일 및 게시물의 링크 선택 시 접근에 유의

u  첨부 파일등에 의한 바이러스, 웜등의 감염 주의

u  AV 백신 및 각 운영 체제별 보안패치 및 설정

u  ActiveX 의 시스템 설치 제한 및 확인

u  주기적인 보안설정 검사 [ AV 체크 , 보안설정 체크 ]

 

n   사용자 정보 보호

u  주기적인 패스워드의 변경

u  사이트별 분류에 따른 등급 관리 및 ID / 패스워드의 분리 활용

u  사이트 가입시의 보안 등급의 확인 [ 일정 수준 이상의 정보보호 수준을 인증  기존의 안전진단 및 보안컨설팅 , ISMS 인증 등에 네트워크 보안 및 ID/PASS 보호 방안에 대한 확인 이후 일정수준의 등급 부여 필요]

u  정부기관 및 신뢰된 사이트로부터 배포되는 보안 솔루션에 대한 선별 설치 필요 [ 키보드 보안 , 보안패치 , AV 솔루션 등등]

 

 

위와 같이 정리가 됩니다.  거칠게 정리한 내용이며 필요한 항목에 대해서만 기술이 되어 있습니다. 어느 정도 단계에 이르면 보다 체계적이고 다양한 방면으로 정리가 될 것 같습니다.

의견 있으신 분들은 적극적으로 의견 주세요.

 

좋은 하루 되세요.

 

Posted by 바다란

바다란입니다.

 

항상 블로그에 쓰는 글은 생각을 오랜동안 해서 쓰는 글들도 있지만 대부분이 즉석에서 가지고 있는 생각을 풀어서 쓰는 형태로 진행이 됩니다. 따라서 표현상의 어색한 부분이나 오타들도 발견 되지만 쓸데없는 귀차니즘으로 인해 한번 쓰고 난 뒤에는 그대로 올려 버리는 우를 범하기도 합니다.

그래도 그냥 올립니다.

 

따라서 읽으시기에 불편한 내용들도 있을 것 같습니다.

 

이번에 그냥 생각이 나서 쓰려는 내용은 현재 IT 기반의 기업들과 서비스가 활발하게 진행이 되고 해외 사업도 진행이 되고 있는데 security 측면에서 근간을 위협하는 요소가 많이 증가 하였고 향후 뚜렷한 대응 방안도 없다는 점에 대해 논해 보고자 합니다.

 

--------------------------------

 

security라는 관점에서 현재의 상황은 시대적 발전 상황과 맞물려 매우 중요한 축을 차지 하고 있다.  시대적 발전상황이라는 부분은 IT를 이용한 새로운 가치 창출과 생활의 변화가 전환되는 시점에서 [ 전 세계적인 이슈에서 우리나라는 좀 더 빠른 부분들이 명확히 존재한다 ] 위험요소와 위험요소를 방어하고 주요 자산을 보호한다는 관점에서 대응 측면에 많은 문제들이 노출 되고 있다.

 

새로운 공격 유형은 매우 빠르게 발전하고 있으며 보다 많은 Application들이 나올 수록 또 이런 Application들이 네트워크로 연결이 되고 표준화를 지향하면 할 수록 더욱 문제점은 많이 발견된다. 지구상에 존재하는 수많은 보안회사들의 각개전투에 대해 공격자들 및 어뷰저들은 연합으로 대응을 하여 많은 발전이 있었다.

 

연합으로 대응이라는 의미는 .. 정보의 공유와 악성코드 제작 프레임워크의 표준화 , 다양한 동시 공격 능력의 결합 [ 표준 서비스 취약성 , OS에 관계 없는 프리 플랫폼 형식의 App 공격 , 기본 탑재인 DDos 공격 등 ] , 은밀성 [ 각 OS 단위의 커널 통제까지 가능한 ]을 지닌 백도어를 통한 컨트롤 공격등 다양한 의미를 지니고 있다.

대응 하는 보안 분야쪽은 월등한 인력과 장비 , 환경을 보유하였으면서도 각개 대응 및  정보 공유에 대한 문제로 인해 지지부진한 면이 몇 년간 지속 되어 왔다. 이 상황에서도 공격자들은 별도의 채널을 통해 의사소통을 함으로써 현재로서는 압도할 만한 능력을 지니고 있다 판단된다. 물론 전체의 공격자들은 아니며 소수의 공격자들이다.

 

Zeroday 관련 exploit 및 Monster worm의 가능성이 이미 현실화된 주제이며 현재는 개별 서비스를 위협할 수 있는 단계에 도달한 것으로 판단된다.

개별 회사 및 서비스 단위에서 적극적인 대응으로는 한계가 있으며 일정정도의 기밀유지가 필요한 동종 산업에서 활발한 정보의 공유 및 토론은 심각한 제약을 받을 수 밖에 없다. 심각한 제약의 의미는 발전과정의 부진을 의미하며 향후 공격자와 대응자의 스킬 및 시나리오에는 격차가 더 벌어질 것을 의미한다.

 

개별 과정에 대한 특수 분야의 비교가 아닌 전체적인 관점에서의 비교로서 참고 하는 것이 필요할 것 같다.

 

온라인 문화가 발달 할 수록 다양한 부분에서 보안의 중요성은 매우 높다. 그러나 인력의 한계는 명확히 존재하며 산발적인 대응은 필연적인 숙명이다. 공동 대응이라는 기치는 그만큼의 의미를 지니지 못할 것이며 피해는 지속 될 것이다.

 

국가와 국가간의 처벌 규정의 모호함과 네트웍 세상에서의 침입자의 탐지와 처벌이 어려운 관계로 인가관계와 금전을 이용한 포상규정이 일부 힘을 발휘 하고 있으나 더욱 더 은밀해진 활동으로 전이 됨을 느끼게 될 것이다.

 

 

오프라인에서 국경을 지닌 것은 더 이상 의미를 지니지 못하고 전 세계의 초고속 인프라가 확산 될 수록 더욱 경계선의 의미 및 거리의 의미는 없다. 장비간의 호환이 강조 될 수록 [ IPv6 로 전환 된다 하여도 향후 십년 이상은 IPv4와 호환 모드를 가질 수 밖에 없으며 PDA 및 휴대폰 , PC 간의 경계가 무너질 수록 더욱 심할 것이다. ] 문제는 지속되고 심각해 진다.

 

개별대응의 한계는 명확하다. 규모의 경제가 가동되는 산업 및 회사에는 일정 수준의 보호 능력이 주어질 것이고 그렇지 않은 부분에는 가혹하리만치 시련이 있을 수 있다.

 

예전에 언급 하였던 Infra structure 부분 및 Ubiquituous 환경에서의 위험 요소는 향후를 예상 한 것이나 이제 부터 실전에 돌입 할 것으로 보인다. 이래저래 드러나는 수면위의 흔적들이 충분한 근거를 가질 수 있게 만들 것이다.  [ 본 블로그 상의 게시물중 2003년쯤 작성되어 게시한 SCADA & DCS 보안 문서를 참고 하면 손쉽게 이해 될 수 있을 것이다.]

 

대안 및 협력 모델의 구축을 위해 그렇게도 위세당당한 거대 기업들이 보안 부분에 힘을 쏟고 M&A를 통해 덩치와 규모의 경제를 만들려는 것도 동일선상에서 이해가 되어야 할 것이다.

 

개별대응의 덩치를 키워 대규모 대응이 가능한 모델을 만드는 것이 몇 안되는 대안이 될 수 있으나 또 나름의 문제를 지니게 될 것이다.

 

개인에게는 미치지 않으면 다다를 수 없는 불광불급의 시간이 스트레스를 가중 시킬 것이다.

한계 상황은 쉽게 다가올 것이고.........

 

 - 2006  9월  바다란

 

 

 

Posted by 바다란
 
- 이번 단락에서는 게임내의 Abusing 유형과 악성코드로 인한 피해를 간략하게 살펴보는 장입니다.
 

 

 

 

2.3.                        게임내의 Abusing유형

 

직접적인 해킹 이외에도 온라인 게임에 영향을 미칠 수 있는 보안적인 이슈로는 Abusing을 예로 들 수 있으며 각 Abusing유형은 특정 온라인 게임에 한정되어 발전이 되는 경향을 보이고 있다. 즉 특정 온라인 게임에만 특화된 Abusing 솔루션들을 통해 선의의 게임 사용자에게 영향을 미칠 수 있고 피해를 입힘으로써 사용자의 접근성을 떨어뜨리게 되고 정상적인 게임 사용자가 피해를 입음으로써 사용자의 이탈까지도 유발하게 되는 중요한 이슈가 된다.

게임 내에서 이루어지는 Abusing 영역은 다음과 같이 세분화 하여 나열 할 수 있다.

기술적인 부분과 작동 방식에 따른 분류이다. 가장 기본적인 부분은 온라인 게임의 실행 클라이언트 프로그램에 대한 Binary 분석과 실행구조의 분석을 통해서 이루어 지며 간단한 기술부터 전문적인 기술 영역까지 혼재하고 있다.

 

Memory Hack : 온라인 게임 클라이언트 프로그램에서 사용하는 메모리 주소를 조작함으로써 게임의 아이템 비율을 조작하거나 승부를 조작할 수 있는 유형

Macro: 사용자의 입력 없이 자동으로 게임을 진행 하도록 하는 유형

Speed Hack: 클라이언트 PC의 속도를 조작하여 게임의 속도를 조작하는 유형

Debugging: 게임의 로직을 분석하고 게임 클라이언트 내의 숨겨진 정보를 분석하여 활용 하는 유형

Packet Hack: 게임 클라이언트와 서버간에 주고 받는 패킷을 조작하여 게임을 컨트롤 하는 유형

Client Manipulation: 게임 클라이언트 프로그램의 변경 및 조작을 통한 컨트롤을 하는 유형

 

1. Abusing 방식과 대응

Abusing 유형

방식

대응

Memory Hack

Memory를 외부 프로세스에서 접근하여 조작함, 커널레벨에서는 타 프로세스 접근 가능한 점을 이용하여 조작

Memory Hack 관련 process의 접근 차단 , Memory I/O 관련 함수 Hooking 차단

Macro

키보드 및 마우스 이벤트를 프로그램적으로 발생 시키고 발생된 이벤트에 의해 게임이 반응

Port IO 모니터링 , Filter Driver 사용 , System Function call 차단 방식을 활용

Speed Hack

PIT (Programmable Interval Timer)변조 , Time 관련 함수의 Hooking

Time 관련 함수 Hooking 차단 , CPUClock을 검사하여 변조 감시

Debugging

OllyDbg SoftIce와 같은 Debugging 도구를 이용하여 조작

게임 실행 process hiding , 실행파일 변조여부 확인 , 실행파일 protect를 통한 차단

Packet Hack

Socket 관련 함수 Hooking , TDI , NDIS 등의 packet filter 활용

악의적인 process 접근 차단 , API Hooking 차단

Client Manipulation

Client에 다운된 게임 관련 파일의 직접조작 , 파일 관련 함수를 Hooking하여 조작

게임 실행 파일의 Checksum 검사 , 중요 기능에 대한 검토 이후 실행 루틴 적용등

 

Abusing 유형에 대해 대응 하는 방식은 표 1. Abusing 방식과 대응에서 기술된 것과 같은 유형으로 대응을 진행하고 있다. 그러나 표 1과 같은 다양한 Abusing 유형에 대해 대응 하기 위해 게임 클라이언트 프로그램 차원에서 protect를 하는 것은 매우 어려운 일이며 게임을 위한 게임 프로그램보다 차단을 하기 위한 프로그램적인 기능이 더욱 구현하기 어렵고 큰 영역을 지니고 있다. 따라서 일반적으로 다양한 Abusing 위험을 제거 하고 게임 클라이언트를 보호하기 위해 게임보안툴을 적용하는 것이 일반적이다. 게임보안툴의 적용은 게임 실행 초기에 실행이 되고 정상 상태를 확인 한 이후 게임실행 중의 Abusing 행위를 방어하는 역할을 수행한다.

 

 

그림 4 packet 조작을 위한 send 함수

 

그림 5. packet 조작을 위한 send 함수 변경

 

그림 4 packet 조작을 위한 send 함수, 그림 5. packet 조작을 위한 send 함수 변경에서는 packet hack을 위해 packet 전송을 하는 루틴을 debugger로 확인을 한 내용이다. 그림 4 packet 조작을 위한 send 함수에서 선택된 send 함수가 그림 5. packet 조작을 위한 send 함수 변경에서 packet을 가로채어 전송하는 packet manipulation 도구의 send 함수로 바뀌어 진 것을 볼 수 있다. 위와 같은 Packet Hack의 기능은 게임 실행 프로세스에 packet 전송을 가로채는 도구를 간단하게 Attach만 시키면 되는 조작 기법이다.

 

게임보안툴의 사용을 통해서 표 1. Abusing 방식과 대응에 기술된 다양한 영역의 Abusing을 방어하여 게임을 보호하고 있으나 공격 기술의 발전이 빨라 대응에 어려운 점이 있다. 게임보안툴의 사용 이외에도 게임의 구조를 서버 단위의 실행 구조로 변경 함으로써 대응을 하고 있으나 전체의 기능을 변경 할 수 없는 게임의 특성상 발전하는 Abusing에 대해 모니터링을 통한 감시와 게임보안툴과 게임 실행 구조의 변경을 통한 안정성 확보만이 주된 방안이라 할 수 있다.

 

1. Abusing 방식과 대응 의 대응 방식에서 보듯이 게임클라이언트는 사용자가 클라이언트 프로그램을 사용자의 PC에 다운로드 받고 설치 한 이후에 실행을 하는 구조이다. 따라서 사용자 시스템의 주요 기능들을 이용할 수 밖에 없다. Abusing 유형에서도 보듯이 시스템의 기능들을 이용하여 실제 클라이언트의 기능이나 효과를 변경 함으로써 게임에 영향을 미치는 것을 볼 수 있다. 게임보안툴의 사용은 사용자의 시스템에 일정부분에 대해 제한을 가하는 구조이며 시스템의 하위 권한까지도 충분히 부여가 되어야만 한다. Vista와의 충돌은 시스템 권한의 부여에서 시작된다.

 

2.4.                        악성코드를 이용한 사용자 정보 도용 위험

 

2005년 이후 온라인 게임업체 및 IT 관련 서비스 업체에 영향을 미치는 중요요소로서 사용자 정보를 유출 하기 위한 악성코드의 설치를 들 수 있다. 현재까지도 줄어들지 않고 있는 상황이며 향후에도 지속될 것으로 예상이 된다.

주된 악성코드의 유형은 사용자의 계정정보를 유출하기 위한 Key logging 기능이 일반적이며 사용자의 ID Password를 공격자가 지정된 장소로 전달 되도록 하는 유형이 가장 큰 피해를 입히고 있다.

Key logging 을 시도하는 악성코드를 유포하기 위해 국내 대규모 사이트를 해킹하여 다수의 사용자에게 유포하도록 함으로써 피해를 입힌 경우가 다수 존재 하였다. 사이트를 해킹한 이후 사용자 정보를 유출하는 악성코드를 해당 사이트에 접근 하는 사용자에게 Windows 취약성을 이용하여 자동 실행 되도록 하였으며 사용자의 ID/ Password를 유출하도록 동작 되었다. 그림 6. 악성코드 제거 결과 Hangame 전용백신은 한게임에서 제공하는 온라인 게임백신에서 탐지된 한게임 관련된 악성코드 제거 결과로서 한게임 사용자를 대상으로 한 악성코드를 제거한 결과이다.

그림 6. 악성코드 제거 결과 Hangame 전용백신

 

그림 6. 악성코드 제거 결과 Hangame 전용백신의 결과는 2006 9월에서 10월까지의 한달 가량의 탐지 결과로서 특정 기간에 탐지 횟수가 급증하는 것을 확인 할 수 있다. 결과가 급증된 구간은 대규모 사이트를 통해 악성코드가 사용자에게 유포된 이후 악성코드에 대한 분석이 완료 된 이후  한게임 전용백신을 통해 온라인 상에서 사용자의 PC의 악성코드를 탐지 및 제거한 내용이다.  최초 악성코드 발견 이후 평균 이틀 정도의 시간 간격으로 악성코드를 제거 하도록 업데이트를 하였는데 탐지 결과가 대폭 증가하는 것을 확인 할 수 있다. 그림 6과 같은 증가 유형은 전용백신 서비스를 시작한 2006 1월 이래 줄곧 반복되어온 유형이며 대규모 사이트가 해킹 되어 악성코드가 유포될수록 매우 많은 탐지 및 제거 결과가 나오는 것을 확인 할 수 있다.

 

현재에도 온라인 게임에 직접적인 위협이 되는 사용자 계정 유출 악성코드는 변형이 계속 나오고 있으며 기법적으로도 다양하고 수준 높은 공격유형들이 출현하고 있어서 대응이 어려운 면이 존재한다. 사용자의 PC에 설치된 백신의 경우 탐지 및 업데이트까지 걸리는 주기가 길어 실제적인 효과를 보는 것이 어려운 경우도 있다. 규모가 큰 온라인 게임사 이외에도 주요 온라인 게임 전체를 대상으로 하고 있어서 지금도 많은 계정 유출 피해가 우려 되고 있다.

 

그림 7. 온라인 게임에 대한 악성코드 공격 분석

 

그림 7. 온라인 게임에 대한 악성코드 공격 분석은 사용자 정보 탈취를 위한 악성코드의 실행 과정 및 진행 상황을 도식화한 것이다. 그림 7. 온라인 게임에 대한 악성코드 공격 분석의 설명에서 볼 수 있듯이 2006년 하반기 이후에는 신규 취약성 및 백신에 탐지가 되지 않는 형식의 악성코드를 유포하여 보안패치와 보안 솔루션을 사용하는 사용자에게도 일부 피해가 발생하고 있는 실정이다.

악성코드를 이용한 사용자 정보 유출로 인해 온라인 게임업체들은 많은 비용과 전문인력을 투입하여 게임을 보호하고 사용자를 보호하는 방안을 고민 할 수 밖에 없는 상황이다.

현재 유포되고 있는 악성코드는 종결형이 아닌 현재 진행형이고 앞으로도 끊임 없이 나타날 현상이라 할 수 있다.  키보드보안 솔루션과 보안패치서비스, 온라인게임 전용백신서비스 등 다양한 보호방안을 만들어 전체 위험요소의 대다수를 제거하여도 새롭게 발전하는 공격기술의 진화속도를 따라 가는 것은 어려움이 따를 수 밖에 없다. 일부 피해는 계속 발생할 것이고 피해를 줄이기 위한 노력도 계속 될 수 밖에 없다.

 --Continue

* 다음장에서 Vista의 보안과 최종 결론을 도출합니다. 그건 내일..

Posted by 바다란

최근들어 상당히 의미 있는 움직임들이 있습니다.

 

2001년 부터 시작된 패러다임 전환기에 보안업계들은 대규모 업체들이 소규모 전문 보안 기술 업체를 인수하고 덩치를 키우는 작업들이 지금까지 계속 되어 왔습니다. 약간 분야를 달리한 부분으로 시만텍의 베리타스 인수를 들 수 있죠.

 

현재의 모습은 어떨까요?

 

현재는 각 글로벌 기업들 모두가 보안이라는 부분이 미치는 치명적인 영향과 글로벌적인 이슈 파급효과를 불러 일으키는 보안 강화 부분을 인지하고 보안기업의 인수 열풍이 불고 있습니다.

 

IBM의 컨설팅 업체인 PwC의 인수도 보안 서비스 강화 측면 에서 이해 할 수 있고 최근들어 활발해진 활동으로는 MS의 Sysinternal 사이트 인수 ( Sysinternal의 경우 윈도우와 관련된 여러 시스템 유틸리티 및 보안 관련 툴을 개발해온 전문 영역을 지닌 업체라 할 수 있다.) , IBM의 ISS의 인수 등등. 이외에도 MS에서는 작은 보안 전문 기업들의 인수를 계속 진행 하고 있으며 HP의 시만텍 인수설도 심심치 않게 나오죠.오라클의 RSA 인수도 마찬가지 범주이구요. 각 인수한 기업들의 성격을 보면 향후 발전 방향이나 기업의 운영 방향이 눈에 보입니다만.. 개인적으로는 오라클의 RSA 인수는 시대상을 반영하지 못한 [ 단기적인 예상입니다. 앞으로 한 십년정도] 인수가 아닌가 생각 됩니다. 물론 지켜 보아야 하지만 성격적으로 가장 보수적인 운영이라 문제가 있을 것 같습니다. 인수에 따른 시너지 효과도 글쎄요...

 

최근의 동향을 보면 보안기업들중 규모를 적시에 키운 시만텍만이 유일하게 M&A의 어려움이 있을 정도의 덩치를 지니고 있고 [ 그러고 보면 보안 분야에서는 거대 재벌과도 같았던 시만텍도 다른 글로벌 기업들에 비하면 왜소할 수 밖에 없더군요] 다른 모든 기업들은 대상에 올려져 있는 상황입니다.

 

앞으로의 변화는 어떤 방향으로 지속 될까요?

 

보안과 관련된 이슈와 업무들도 거대 기업들의 한 영역 [ 예전과는 사뭇 다른 핵심의 위치]을 차지하고 거대기업들도 몇 개의 기업군들로 재편될  것 같습니다.

 

각 기업군들에는 일련화된 프로세스를 제공하는데 그동안 핵심에서 배제되었던 보안 부분이 대거 핵심 프로세스로 부상이 된 상태입니다.

악성코드 개발하는 한명이 거대 기업을 수렁에 몰아 넣을 수도 있는 상황에서 숙달된 보안인력과 전문성을 지닌 인력의 확보는 매우 필수적이며 손쉽게 인력 확보가 가능한 M&A를 통해 부족한 부분에 대해 확실하게 재편을 하는 과정이 진행 중입니다.

 

국내의 시장을 본다는 것은 이쯤에서는 무의미할 것 같습니다.

국내의 시장에서는 이제는 의미 있는 시장이라고 보기가 무안할 정도이니 말입니다.

 

큰 틀에서 보자면 보안 분야의 인력들에게는 더 많은 업무와 기회가 주어 질 수 있을 것 같으나 보안 기업들에게는 그리 많은 기회가 주어지지 않으며 격렬한 생존 경쟁을 펼쳐야만 할 것입니다.

 

취약성의 발견과 공격 측면에서도 대거 중심 이동이 이루어진 상태에서 기업들은 개별 단위의 대응으로는 부족하다는 점을 알고 거대 기업군을 이루어 대응을 하고자 하는 모양새를 취합니다. 운영체제와 소프트웨어 제공 업체인 MS 조차 이제는 서비스 대열에 합류 하였고 그 서비스의 핵심에는 Onecare 가 있습니다.

 

이제는 무엇을 향하고 무엇을 해야 할까요?

전문적이고 독창적인 영역은 점차 줄어 들어 가는 것 같으면서도 기회는 많아지고  [ IT의 발전에 따라 ] 거대 기업의 조직적인 힘은 나날이 막강해져 갑니다.

 

단언하건대.. 이 모든 변화들은 IT 환경의 변화에 기인합니다.

모든 것들이 연결되고 소통되는 통신의 세상에서 또 정보의 대용량화된 흐름에서 문제가 발생 하고 있고 정보의 소통을 통해 수익을 창출 하는 모델들이 안정화 됨으로 인해 문제의 치명적인 요소들이 드러난 것이죠.

 

예전에는 단편적이고 경원시 하던 전문 분야가 이제는 핵심 분야가 될만큼의 시기가 무르익었다고 볼 수 있을 것 입니다. 파문의 물결이 해안에 닿기에는 아직 시간이 있을 수 있으나 이미 진행형이고 빠르게 밀려 오므로 곧 실감을 하게 될 것 입니다.

 

왜 예상을 못했을까요?. 이런 변화를 .. 눈뜨고 있다면 볼 수 있었던 이런 변화를?...

이재에 밝지 못한 저로서는 변화를 알고 예상이 가능함에도 어쩔 수 없다라는 판단을 합니다.

 

앞으로의 IT의 미래는 ... 그리고 IT와 연계되어 움직이게될 세상의 보다 큰 미래는 어찌 될까?

보안이라는 틀에서 바라본 세상이 이제는 좀 더 큰 부분으로 이어지고 .. 또 다른 기회를 만들지도..

 

비지니스 환경의 변화는 발생 요인에 의해 점쳐 질 수 있고 이러한 예상은 이미 5년 전 부터 예상이 되었던 바이고.. 전체 기업군으로 확대되는 것은 시일이 걸릴 것으로 예상 되었으나 벌써 성큼 다가온 느낌이다.

 

보안의 영역에도 많은 영역이 있으나.. 그 중에서도 기술과 관련된  [ 관리적 부분은 상대적으로 지키기에 중요하나 향후 기술적 영역의 발전이 과도하여 한계가 있을 것임 ] 부분의 연구와 대응 측면에서 큰 폭의 변화와 발전이 예상된다.

 

오로지 개인의 예상과 상념..

 

- posted by p4ssion 바다란

 

 

Posted by 바다란

본 논문은 정보보호학회에 기고한 논문입니다. 며칠전 예고한 대로 3 부분으로 나누어서 올릴 예정입니다.

Vista의 출시에 따른  IT 산업별 이슈에 대해 종합적인 시각이 없는데 그 처음으로 온라인 게임산업 부분에 대해 작성된 내용입니다. 향후 여유가 허락하는 대로 다른 분야 혹은 MS의 의중등에 대해서 전체 IT산업과 연관하여 풀어보도록 하겠습니다.

 

현재 업로드되는 부분은 총 3단락중 첫번째로 온라인게임의 직접적인 해킹과 위험요소에 대해서 기술한 부분입니다. 다음 단락은 게임내의 어뷰징 유형과 악성코드를 통한 정보유출 유형이 소개 됩니다. 마지막 최종 단락에서는 Vista에서 강조된 보안 부분이 온라인 게임산업에 어떤 영향을 미칠지를 분석한 내용입니다. Abusing의 극심한 증가와 대응책의 부재가 문제라는 점을 지적할 것입니다.

의견 있으신분 언제든 의견 주세요.

 

 

 

1.     서론

현재의 게임의 환경에서 운영체제가 가지는 의미는 중요한 요소를 포함하고 있다. 온라인 게임의 개발에는 특정 운영체제에 한정되어 개발되는 부분이 많았으며 다양한 운영체제로부터의 접근성을 보장하지는 않는다. 따라서 운영체제의 실행 환경이 변경 된다면 다양한 구조적인 변화를 할 수 밖에 없다. 2007 Vista 의 출시와 함께 촉발되고 현실화된 온라인 게임의 위험요소와 보안의 관점에서 바라본 Vista 출시로 인한 문제점들을 짚어보고 향후 방안에 대해서 고민을 하는 과정이 필요하다.

 

2.     온라인 게임의 환경과 위험요소

2.1.                       게임의 환경

게임의 환경 측면에서는 보안적인 이슈와 관련이 있는 부분에 대해서 한정하여 살펴보고 전체적인 게임의 환경에 대해서는 언급을 하지 않도록 한다. 게임에서 운영체제의 급격한 정책 변경은 큰 영향을 받을 수 밖에 없다. 운영체제에 부여된 일반적인 기능과 접근 방법을 통해 실행이 된다는 점에서 보면 정책의 변경은 큰 영향을 미칠 수 밖에 없다. 국내의 온라인 게임 상황에서는 대부분의 게임이 Windows 베이스의 게임을 제작하고 있으며 온라인 상에서 실행을 시키는 메소드를 활용 함으로써 사용자의 접근을 유도하고 있는데 IE7 Vista로 인해 변경된 정책은 큰 영향을 미칠 수 밖에 없다.

 

성공적인 게임의 런칭 이후에 운영에서 가장 중요한 영향을 미치는 이슈가 보안이며 단계별 보안이 이루어 지지 않는 게임은 안정적인 운영을 하기 어려운 상황에 쉽게 처할 수 밖에 없다.  IE7 Vista에서 가장 중요하게 강조되는 기능이 보안 기능의 강화라는 측면에서 온라인 게임은 영향을 받을 수 밖에 없으며 다소간의 긍정적인 효과와 부정적인 효과를 동시에 받을 수 밖에 없다. 본 논문에서는 긍정적인 효과와 부정적인 효과를 찾아보고 영향력과 파급효과는 어느 정도 인지 확인을 하도록 한다.

 

온라인 게임에 직접적인 영향을 미치는 보안적인 이슈 측면에서는 크게 세 가지 유형으로 살펴 볼 수 있다. 직접 해킹을 통한 게임의 피해 , 게임내의 Abusing을 통한 피해 , 악성코드를 이용한 사용자 정보의 유출로 구분을 할 수 있다.

 

 

2.2.                       직접 해킹을 통한 게임의 피해       

 

게임의 웹서버 및 Database서버와 같은 Game Infra 구성요소에 대한 직접 해킹을 시도 함으로 인해 발생하는 피해를 총칭하며 2005년부터 급증하기 시작한 웹 서버에 대한 해킹 시도 및 Database에 대한 직접 해킹 시도들이 다 포함이 된다. 웹 서버의 웹 어플리케이션의 취약성을 이용한 (SQL Injection , File Upload / Download , Privilege Escalation ) 공격 유형이며 공격을 통해 웹서버의 관리자 권한을 획득한 이후 자유자재로 조작하는 것을 의미하며 Database 서버에 대해 직접 Query 등을 통해 사이버 머니 혹은 아바타 획득과 같은 인위적인 조작을 가하는 것을 의미한다. 직접 해킹으로 인한 피해는 단계별 보안 대책 수립과 웹 어플리케이션 보안성 강화에 따라 점차 감소 추세를 보이고 있으나 여력이 부족한 신규 게임업체나 중소 게임업체에는 여전한 위협이 되고 있는 실정이다.

그림 1. SQL Injection Attack Example

 

그림 1. SQL Injection Attack Example의 경우는 웹 어플리케이션의 취약성을 이용하여 웹서비스의 권한을 획득한 이후 데이터베이스에 접근하는 계정을 통해 데이터베이스의 내용을 가져오는 공격도구의 모습이다. 웹 어플리케이션에서 사용되고 있는 URL의 인자에 대해 Validation 검증이 제대로 되지 않은 취약성을 이용하여 SQL Query를 실행 시킴으로써 권한을 획득하는 SQL Injection 공격 기법을 사용 하였다.

 

그림 1. SQL Injection Attack Example에서 보인 SQL Injection 공격 이외에도 다양한 공격 기법으로 웹 서버와 서비스를 공격하여 권한을 획득하거나 제어 함으로써 직접적인 피해를 입히는 경우는 일반적인 유형이라 볼 수 있다.

2005년 이후의 공격 유형의 특징을 보면 시스템 및 운영체제에 대한 직접적인 해킹은 줄어드는 경향을 보이고 있으며 Application에 대한 공격 유형이 일반화 되는 경향을 보이고 있다. 즉 운영체제를 이용하여 동작을 하는 Application의 취약성을 이용하여 공격하는 동향을 볼 수 있으며 공개 소프트웨어의 취약성을 이용하는 Application Attack의 일반화를 확인 할 수 있다.

그림 2. Attack flow

 

그림 2. Attack flow 에서 전체 해킹 동향의 변화 흐름을 보이고 있다. 2004년 이후부터 개별 Application에 대한 공격이 증가됨을 볼 수 있으며 2005년에 이르러 자동화된 Application 공격이 나타나고 2006년 이후로 계속 Application에 대한 공격이 증가 되는 경향을 나타내고 있다. 전체 취약성의 발견 비율에서도 Application 취약성에 대한 발견 비율은 급증 함을 볼 수 있다.

그림 3. securityfocusMS 관련 취약성

 

그림 3. securityfocus MS 관련 취약성에서 Securityfocus ( www.securityfocus.com) 사이트에 보고된 Microsoft 사의 제품 취약성에서도 운영체제가 아닌 개별 Application에 대한 취약성 보고가 증가됨을 확연하게 확인 할 수 있다.

 

Application 취약성은 계속 증가하고 있으며 취약성에 따른 웹서버와 서비스에 대한 해킹은 계속 증가하는 것을 확인 할 수 있다. 온라인 게임 서비스에서도 동일한 규칙이 적용 되고 있으며 부실한 웹 서비스 코딩 과 게임 관련된 데이터베이스 서버의 관리의 부실로 인해 전체적인 취약성과 공격 동향에 따른 위험성은 계속 증가되고 있는 상황이다.  특히 웹 어플리케이션을 통해 온라인 게임 유저와의 접촉을 유지하고 있는 온라인 게임사의 경우 웹 어플리케이션의 문제는 대외적인 신뢰도 하락 및 게임사의 인프라 내부망까지 침입을 입을 수 있다는 개요를 포함하고 있어서 치명적인 이슈가 될 수 있다.

 

- Continue...
* Application 취약성 관련 하여서는 본 논문 작성 이후 바로 나온 Ani Cursor 취약성이 있습니다. ^^

 

 
Posted by 바다란

안녕하세요. 바다란입니다.

 

지난 10.24일에 KISA에서 주최한 침해사고 대응 세미나가 있었습니다.

해당 세미나에서 침해사고의 발전 유형과 대응 방안에 대해서 고민하고자 했는데 제대로 전달이 되었는지 모르겠네요.

 

가장 중요한 팩트는 이미 취약점 및 공격 유형은 커버가 가능한 범위를 넘어 섰다는 점입니다.

기본적으로 지금까지 알고 있던 유형의 대비책만으로는 한계가 있으며 정량적인 대책으로는 해결 되지 않고.. 정성적인 대책이 있어야만..또 꾸준히 진행 되어야만 문제가 일정 수준 이하로 감소 됨을 확인 할 수 있습니다.

 

현재의 공격유형은 매우 치밀하고도 집요합니다.

기존의 모든 보안솔루션을 무력화 시키고도 가볍게 전파가 됩니다.

그만큼 공격 기술의 전파가 빠르게 또 깊이 있게 공유가 된 탓이라 볼 수 있습니다.

 

보안 기술의 전파는 이에 비하면 거북이 걸음이지요.

 

작은 기술이나.. 작은 시각이나마 여러 방면에서 조망을 하여 보다 더 체계적이고 완전한 구성을 만들었으면 합니다.

 

꾸준한 투자가 들어가야만 산업을 유지 할 수 있는데.. 이제는 이 것이 필수 인데.. 이 것을 인정하지 않는 기업이나 산업은 점차 쇄락할 수 밖에 없을 것 입니다.

이제부터는 보안이라는 측면은 최소한 IT 비지니스를 하는 회사에서는 가장 필수적인 중심요소입니다.

 

자료 참고 하세요.

 

 

Posted by 바다란

12.25 1998   -p4ssion@gmail.com zdnet

 

 

2009년의 연말에 뜬금없이 10년도 더 지난 날짜의 크리스마스를 언급한다. 1998 12.25일에는 RFP (Rain Forest Puppy)에 의해 최초로 DB 웹애플리케이션간의 SQL Injection 대한 발표가 이루어 졌다. 해당 발표는 프랙이라는 해커들의 온라인 잡지를 통해 이루어 졌다. 현재의 인터넷 서비스를 곤경에 처하게 하는 SQL Injection 문제는 벌써 11년이나 된 문제인 것이다. 오래된 이 문제는 지금 어떤 모습이고 어떤 영향을 미치고 있을까? 우리는 어디쯤에 있는가?

 

그 당시에는 누구도 지금과 같은 사태를 예견하지 못했었다. 불과 3~4년 전만해도 전문가들은 전문가들 나름대로 관심을 두지 않았고 비전문가들은 전혀 모르는 상태였었다. 단 하나의 권한을 획득하기 위해서는 수없이 많은 시행착오와 쿼리를 던져야만 일정 수준의 결과를 가져 오는 것에 대해 누구도 심각성을 인지하지는 못했다. 중요성이나 심각성이 최초로 드러난 것은 대량으로 자동화된 공격 도구가 출현한 이후이다.

 

단일 웹사이트에 대한 자동화된 공격도구의 출현과 대규모 웹사이트에 대한 Mass sql injection 공격 도구의 출현이 지금의 상황을 만들고 있다. 상황은 점점 어려워 지고 있다.

시기별로 SQL Injection공격의 변화와 흐름은 지난 해에 정리한 글을 참고 하면 된다.

 

최초 출현 이후의 변화는 지난해에 작성한 글을 참고하면 되고 현재의 상황은 어떤 상황인지 살펴 보도록 하자.

IBM X-Force에서 2009 상반기 위협 동향과 리스크에 대해 종합한 보고서가 있다. 해당 리포트에서 요약 부분만을 보면 다음과 같은 동향을 관찰하고 있다.

 

1 .2009년 상반기중 발표된 전체 취약성의 50% 이상이 웹 애플리케이션에 대한 취약성이며 상반기중 발표된 취약성중 절반 가량이 패치가 발표되지 않은 취약성이다.

 

2. 웹사이트의 취약성을 공격하는 비율이 급증하고 있다. 2009 1Q의 공격 비율의 두 배 가량이 2Q에는 관찰이 되었다.

 

3. 일반적으로 사용자들이 안전하다고 생각되는 문서유형에 악성코드를 결합시키는 것이 늘고 있으며 어도비의 PDF 취약성은 최초로 Top 5 취약성 항목에 선정 되었다. MS Office 취약성과 PDF를 이용한 취약성이 일반적으로 사용이 되고 있으며 웹서비스를 통한 악성코드유포, 이메일을 통한 전파가 2009년 상반기 급증 하였다.

 

4. 2009년 상반기 악성코드를 유포하는 URL 링크는 508%로 폭증 하였다.

 

5. 스팸메일은 상반기에 40% 증가 하였다.

 

간단한 요약상으로 보면 웹애플리케이션의 관점으로 본 취약성 및 동향 보고서로 보이지만 실제 상반기 동향을 전체적으로 살펴보고 내린 종합 보고서라는 점에 의미를 두어야 한다.

 

특징적인 점은 웹 애플리케이션에 대한 공격은 시간이 지날수록 줄어 드는 것이 아니라 시기, 사안, 목적에 따라 급증 할 소지를 매우 많이 가지고 있다는 점이다. 얼마 전 있었던 중국 내 공공기관 및 교육기관에 대한 대규모 악성코드 유포 행위는 그 동안 공격자로만 인식 되어 왔던 중국 조차도 심각한 국면임을 생각하게 한다. 총 18여만개의 gov.cn, edu.cn 기관의 웹사이트에서 악성코드가 유포 되는 사례가 발견이 되었다.

 

단 기간에 몇 십만 대의 PC가 아닌 웹서비스에 대한 공격이 성공적으로 이루어 지고 도구로서 활용이 되는 것이 일상적인 인터넷 상황이라는 점이 가장 우려할 만한 점이고 향후에는 더 심각한 국면으로 전환이 될 것이다.

 

내부망에 대한 침입을 하는 도구로서 웹 애플리케이션을 직접 공격하는 행위와 무차별적인 악성코드 유포를 위해 웹 애플리케이션을 공격하는 행위는 동시에 발생 될 것이며 전자는 기업이나 기관의 내부망에 침입하여 자료를 탈취 하거나 금전적인 이득을 얻는 것에 사용이 되고 있으며 후자는 개인 PC의 금전 거래 관련 정보와 온라인 정보를 절취함으로써 이득을 얻는 것이 일상적인 현실이다.

 

국가 기반시설이라고 할 수 있는 기반시설망(전력, 가스, 통신, 교통)에 대해서도 심각성이 높으며 향후 강도 높은 주의가 필요하다는 점은 외부와 연결된 접촉지점을 가질 수 밖에 없기 때문에 경고를 하는 것이다. 앞으로의 위험은 더 크고 치밀한 양상으로 치달을 것은 명확하다.

 

IBM X-Force에서 발표된 자료를 조금 더 살펴보자.

 

 

대량 공격의 일반화에 대해 IBM에서 모니터링이 가능한 사이트들에서 발견된 공격로그들만을 살펴 보면 현황을 알 수 있다. 일단위로 2008년에는 평균 10만에서 20만 정도의 SQL 공격로그들을 관찰 할 수 있었으나 2009 5월에는 최고 70만건의 일별 공격로그가 관찰 되는 것을 볼 수 있다.

 

 

웹 애플리케이션에 대한 공격로그에서 공격기법 별 분류를 한 자료이다. XSS 취약성과 Injection 공격이 사실상 대부분을 차지하고 있다고 볼 수 있다. 그러나 여기에 공격의 파급도를 판단하면 Injection 공격은 사실상 월등히 높은 가중치를 지닐 수 밖에 없다.

물론 위의 데이터 자체는 IBM에서 판매하고 있는 침입탐지 장비에서 탐지된 로그를 기반으로 하고 있을 것이다. 지난 글로벌 보안 위협에 대한 분석에서 언급 하였듯이 전체적인 동향과 흐름을 인지하는 방식으로 참고를 할 수 있을 뿐이다.

 

해외 언론에서 언급하는 ‘New’ 라는 용어에 너무 겁먹을 필요 없다. 공격 방식은 동일하다. 약간의 변형들이 있을 뿐이다. 해외언론에서 언급하는 New SQL Injection 이라는 용어 자체는 단지 새로운 악성코드를 유포하는 링크가 변경 되었다는 점 외에는 없다. 따라서 새로운 유형의 공격은 아니라는 점이다.

 

국내의 모회사에 대한 해킹과 해외의 보안 회사들의 웹 서비스에 대한 해킹을 통해 위험성을 알리는 Unu라는 친구의 공격이 지금 시점에 중요한 것은 아니다. 공명심에 그러한 행동을 하는 것은 뒤에 더 큰 문제를 보이지 않게 만든다. 공개된 공격도구를 이용하여 특정 목표에 대해 꾸준하게 문제점을 찾고 공격 시도를 하는 것은 일반적인 스크립트 키드에 지나지 않는다.

 

정말 중요한 사안은 분 단위로 권한을 획득 당하고 소스코드가 변조되는 웹서비스들이다. 또 웹서비스들을 숙주 삼아 .정체를 전부 파악 하기 어려운 악성코드들이 전 세계를 대상으로 무작위로 유포가 된다는 점이 더 치명적인 사안이다.  오래된 이야기 이지만 준비는 어디에도 없다. 너무 많은 곳들이 당하다 보니 일상적인 상황이 되어 버렸다. 그만큼 치명적인 위험들도 더 가까이에 와 있다.

 

 

필자가 보는 관점은 명확하다.

문제가 될 것임은 이미 예측 되어온 바다. 그러나 어디에도 장기적인 해결책이나 방안을 마련 하려는 곳들은 없다. 이미 한 기업이나 조직에서 해결 하기에는 범위가 너무 커져 버렸다. 시간이 지날수록 점점 더 커져 갈 수 밖에 없을 것이다. 문제의 해결을 위해서는 현실을 직시하고 장기적인 방안을 마련 해야만 한다.

 

사이버 상의 스팸과 광고, 정보거래를 통해 금전적인 이득을 얻던 검은 그룹들은 이제 공개적으로 침입을 하고 권한을 획득하고 내부에 침입하여 노골적인 이득을 취하고 있다. 이러한 행위는 Heartland 대한 침입 7 eleven 대한 침입, 지난해에 있었던 Citibank에 대한 침입들이 모두 해당이 된다. 최근에 있었던 독일 대학생들의 국내 IT기업의 내부 기밀을 해킹한 이후 협박을 웃지 못할 경우도 동일한 사례이다. 국내의 사례는 뭐라 평하기 어려울 정도로 당혹스럽다.

 

독일에서 한국으로 접속해 느린 속도에도 불구하고 750기가나 되는 양을 빼내어 갈 그 많은 시간 동안 무얼 했을까? 문제점들은 찾아서 해결을 했을까? 하는 여러 단상들이 있다.

 

언급한 여러 사건들 중 상당 부분의 침입들이 내부망에 침입하기 위한 통로로서 웹 애플리케이션 공격을 선택 하였고 실제 성공 하였다는 점이다. 앞으로 더 많은 사례들을 볼 수 있을 것이다. 더 치명적이고 더 위험한 사례들은 머지않아 출현 할 수 밖에 없다.

 

11년이나 된 공격의 유효성은 지금에 와서야 대규모 피해를 입고서 인식이 된다. 그러나 해결책은 쉽지 않다. Secure Programming도 어려운 과제이고 보안도구들의 대량 도입도 난관이 많다. 풀어야 할 프로세스들도 산재해 있다. 무엇보다 중요한 것은 기업이나 산업에 보안은 치명적인 요소로 작용 한다는 것을 이해 하는 것이 먼저 일 것이다. 필자가 생각하는 해결방안에 대해서는 근 시일 내에 정리 하도록 하겠다.

 

중요성에 대한 인식은 너무 먼 곳에 있다. 세상이 어수선하다. 보이지 않는 인터넷 세상은 더 큰 좌절이 존재한다. 문제 해결까지는 정말 많은 시간이 소요 될 것이다. 가장 효율적인 도구가 존재 한다 하여도 최소 3~5년 이상은 이 어플리케이션의 문제로 치명적이 될 것이다. 모바일도 예외가 될 수는 없을 것이다. 모든 것은 이어져 있다. 이것이 인터넷이다.

 

사람 사는 세상에도 어둠이 짙듯이 인터넷에도 어둠이 짙다.

다음 컬럼은 연계된 내용으로 기반시설에 대한 (SCADA) 문제를 다룬다.

Posted by 바다란