태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

 

[빛스캔+KAIST] 12월 1주차 브리핑

 

 

한국 인터넷 위협분석 보고서( 대선 D-7, DDoS 공격 경보 )

 

빛스캔과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스 12월 1주차 국내 인터넷 환경의 위협 분석내용이며 본 보고서는 PCDS (범죄사전탐지체계, Pre-Crime Detect System)의 탐지역량과 KAIST 정보보호대학원의 분석역량이 결집된 분석 보고서입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응 방안 제시를 하고 있습니다.

본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영되고 있습니다. 본 보고서의 활용 용도는 다음과 같습니다.

 

    1.    악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

    2.    악성링크가 공격에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 – 패치

    3.    내부 감염된 APT 공격의 확인 및 제거에 활용(기술 분석 문서 참고)

 

보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술되어 있습니다. 각각은 별개이므로 악성링크(사용자 PC에 악성코드를 내리기 위한 공격코드)에 대한 분석과 실제 악성코드 행위와 기능에 대한 분석 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다.

 

Summary

 

12월 1주차에는 악성코드 유포시도 관찰 결과 비정상적인 악성파일의 감염과 시도가 확대되고 있고 최종 악성코드의 분석 결과 국내 주요 백신 우회 및 분산서비스거부공격(DDoS, Distributed Denial of Service attack) 공격 기능을 가진 악성파일들이 대규모로 유포된 정황이 발견되어 공동 대응을 하고자 제안을 드립니다.

 

<악성코드 유형중 봇에이전트, 다운로더, 트로이목마 수치 급증>

 

12월 1주차 발견된 악성코드 유형에서 보듯 봇에이전트와 다운로더의 발견이 증가한 상황이며 해당 에이전트와 다운로더들 중 다수가 DDoS 공격용 모듈을 갖추고 있는 것으로 확인된 상황이라 긴급한 대응이 요구되는 시점입니다. 이에 대한 자세한 설명은 다단계유포망(MalwareNet)에서 살펴 보겠습니다.

 

<12월 1주차 날짜별 신규 악성링크 현황>

 

12월 1주차의 경우 월요일과 12.9일 일요일 유포 사례가 전주 대비 급증한 추세를 보이고 있어서 향후 상황도 예의 주시가 필요한 상황입니다.

최대 300여 곳 이상의 국내 주요 웹서비스를 통해서 대량 감염 시도(방문자 10명중 6명 이상 감염 예상)가 발생하였고 방문자가 극히 많은 커뮤니티를 통해서도 유포된 사례가 발견됨에 따라 대응을 위해 빛스캔㈜에서 발견하고 보유하고 있는 대량 감염 샘플을 공유 함으로써 사건.사고 발생을 미연에 방지하고자 제안을 합니다.

 

중복 감염 시도 하는 다수의 동일 파일을 포함하여 DDoS 공격 모듈이 확인된 악성코드는 총 12종이며 이중 국내 주요 백신 모두에서 탐지가 된 악성파일은 4종이며, 부분 감지 2종에 불과하며 심각한 상황입니다. 부분 탐지는 국내 주요 백신회사 3곳 중 한 곳 이상에서 탐지한 경우를 말합니다. 그 외 6종류의 악성파일에 대해서는 VirusTotal에도 보고된 바 없는 악성파일이며 당연히 모두 미탐지 영역이라 할 수 있습니다.

 

<ViruslTotal에 최종악성코드 보고된 바 없음>

 

 

제공내용: 12월 1주차 발견된 주요 DDoS 공격 기능 탑재된 최종 악성파일 샘플 -12종

제공시기: 요청 시 검토 후 발송 (12월 2주차도 관찰 결과 제공 될 수 있다. )

대상: Antivirus 기업 및 자체 바이너리 분석과 대응이 가능한 기관 한정 – 개인차원은 불가

 

제공 받기를 희망하는 기업 및 기관은 info@bitscan.co.kr / p4ssion@bitscan.co.kr 두 메일 주소로 기관/기업명 , 담당자 연락처 기재 이후 메일 요청 바랍니다.

 

기술분석 보고서에 언급된 부분이지만 금융권을 직접 노린 악성코드 이외에도 C&C Agent 봇넷에이젼트, 트로이 목마들 모두가 금융 관련된 공격에 직접 이용 되는 사례도 있으며 원격에서 통제가 가능하며 사용자 PC의 정보를 유출하는 행위를 하고 있습니다. 모든 악성코드가 게임관련된 계정 유출 이외에도 금융 정보등을 유출하고 있으므로 보고서를 참고하여 차단 및 대책 수립에 적극 활용 하여야만 합니다. 대량 유포된 트로이 목마 사례를 살펴 보면 다양한 금융기관을 목표로 하고 있음을 알 수 있습니다. 그 절차와 내용은 다음과 같습니다.

 

1. 방문자 브라우저 취약성 공격 및 권한 획득

2. 신뢰 할 수 있는 아이콘 ( V3Lite 아이콘) 이용한 V3upgade.exe 파일을 다운로드

3. Host 파일에 공격자 통제하의 IP와 목표 금융기관 등록

 

60.237.179.210 kbstar.com, www.kbstar.com, obank.kbstar.com

125.199.139.254 nonghyup.com, www.nonghyup.com, banking.nonghyup.com

118.18.174.4 wooribank.com, www.wooribank.com, pib.wooribank.com, spd.wooribank.com

<국민, 농협, 우리 인터넷 뱅킹 사용자를 대상으로 한 피싱 악성코드의 호스트 파일 변조 내역>

 

170.144.32.7 vaccine.dn.naver.com

208.58.64.7 explicitupdate2.alyac.co.kr

206.16.78.7 liveupdate2.alyac.co.kr

68.200.93.7 explicitupdate.alyac.co.kr

135.238.110.7 ko-kr.alupdatealyac.altools.com

206.226.125.7 su.ahnlab.com

124.42.141.7 su3.ahnlab.com

33.133.154.7 gms.ahnlab.com

99.32.168.7 update.ahnlab.com

<네이버 백신, 알약, 안랩 업데이트 서버 주소의 변조 내역>

 

이외에도 다수의 금융기관을 노린 공격들이 발생 되었습니다. 공격은 주요 백신들의 업데이트 주소를 변경하여 패턴 업데이트를 통한 탐지를 방지하도록 하고 있으며 현재도 주요 백신사들에서 탐지 되지 않는 악성코드들은 다수가 존재하고 있는 상황입니다. 동향보고서에 언급된 대표적인 사례는 위에 언급된 주소 이외에도 여러 유형들이 있으며 본 보고서에서는 간략히 정리하였습니다.

 

11월 3주차 브리핑에 언급하였듯이 탐지를 회피하기 위해 해외 사이트를 이용하는 것이 아닌 국내 사이트를 직접 악성코드 유포에 사용되는 비율이 점차 높아지고 있습니다.

 

<국내 게임커뮤니티인 데일리게임에 직접 악성코드 업로드 현황>

 

<국내 웹하드 업체인 다이하드에 직접 악성코드 업로드 현황>

 

해외사이트가 아닌 국내 사이트를 이용시에는 악성링크의 탐지 및 차단이 어려운 부분들이 있어서 공격자들의 국내 사이트를 이용하는 공격 비율이 계속 증가하는 양상을 보이고 있어서 주의깊은 관찰이 요구되고 있습니다.

지금까지 제로보드 및 공용 어플리케이션에 대해 자주 경고를 보내드렸지만 다시 제로보드 4.X 버전 취약성을 이용한 Mass SQL Inejction이 발생하고 있습니다. 서버자체의 권한 획득문제를 떠나 모든 방문자에게 감염이 될 수 있으므로 앞으로도 심각한 경계가 필요한 부분입니다.

 

<제로보드 취약점 이용한 공격으로 국내 웹사이트에 다수 삽입, 악성코드 DDoS 공격 모듈>

 

제로보드 4.X 이전 버전을 사용하는 곳들은 관리든 무엇이든 통제가 심각하게 요구 되고 있으며 상세 내용은 제로보드 4.X 악성코드 유포를 위한 공격 다수 발생(절차와 후폭풍)이란 글에 쓰여져 언급 되어 있습니다. 더불어 국내 해킹의 심각성은 겉으로 드러나지 않는 부분이 많아서 심각한 사례에 비추어 언급을 드립니다.

  • 자세한 내용은 생략합니다.

지난 보고서에서 언급했듯이 악성코드를 유포하는 것은 DB에 있는 내용은 유출되었을 확률이 크며 가장 마지막에 활용가치가 없을 때 사용자 PC를 감염시키기 위해 사용하는 목적이 가장 큰 이슈 입니다.

 

현재 빛스캔에서 탐지하는 유형은 단순히 이메일을 통한 타켓형 APT가 아닌 웹서비스를 방문하는 모든 방문자를 대상으로 한 대규모 유포이며, 확산도가 높아서 위험성이 높은 상태입니다. 따라서 기업/기관별로 인터넷 접근시에 많은 보호대책을 적극 반영 하여 대응을 하셔야 할 것으로 보입니다. 기존 악성코드들의 분석 결과도 단순 게임계정 탈취에서 계속 변화하는 형태를 보이고 있어 앞으로의 변화를 가늠하기 어려운 상황입니다. 이미 농협의 사례를 통해 APT나 내부망을 공격 하는 악성코드가 가진 위험성과 파괴력은 충분히 경험을 한 상태이므로 현재 웹서비스를 통해 감염시도를 하는 악성코드 자체의 위험성은 높은 수준이라 할 수 있습니다.

 

금주 공격의 특징을 정리하면 다음과 같습니다.

 

  • 9월 4주차, 10월 2주차, 11월 1주차, 11월 3주차, 11월 4주차, 11월 5주차 이후 또다시 DDoS 공격 수행 악성코드 유포, 금주에는 대선을 앞두고 대규모 유포되어 분석가능한 업체와 최종 악성코드 공유 예정
  • 국내 도메인에 악성코드 업로드 비율 급속 증가(탐지 회피하기 위한 용도)
  • 한국경제, 미스터피자 배너 사이트 및 국내 대표 커뮤니티 사이트가 지속적으로 해킹당해 악성코드 유포에 이용됨.
  • 8월 3주차 대거 관찰된 루트킷, 백도어 유형의 경우 금주 차 활동 계속 – 부가적인 위험 증가(감염된 좀비PC들을 활용한 추가 위험이 발생할 수 있는 상태)
  • APT 형태의 악성코드 유포 계속 - 권한 획득, 내부망 스캔, 추가 코드 다운을 위한 다운로더 다수 확인 지속
  • MalwareNet( 다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화 적극적 으로 이용됨
  • 3.4 및 7.7 DDos 형태와 유사성을 지니는 다운로더 발견 ( 긴장을 늦춰선 안되겠습니다. 당장이라도 발생 가능한 상황입니다. 1:29:300 하인리히의 법칙을 상기하시기 바랍니다. 이미 대형사고가 발생하기 위한 전제조건은 모두 갖추어진 상황입니다. )
  • 최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 확대 계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨
  • 백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 계속
  • 게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속
  • 백신 업데이트 IP 주소 목록을 내장한 악성코드 발견 계속. 향후 추가적 피해 예상됨

 

* 사용자가 특정은행 접속 시에 피싱 사이트로 유도하거나 HTML 내용을 변경하여 정보를 획득하는 형태의 악성코드들도 현재 다수 유포 되고 있는 온라인 게임 계정 탈취형 악성코드에 붙여진 부가기능이며 해당 기능들은 매우 적극적으로 이용이 되고 있습니다. 악성코드 확산을 통제할 수 있는 근본적인 대안과 대책들이 집중적으로 필요한 부분이라 할 수 있습니다.

 

* 최근 언론상에 많이 나타나고 있는 은행권에 대한 Host file 변조를 통한 피싱 공격은 이미 5, 6월 정보제공 서비스에서 언급을 드렸던 부분으로서 당시 상당수의 악성코드가 유포 되었을 것으로 추정되며, 이후 피해가 지금에서야 계속 드러나는 것으로 볼 수 있습니다. 백신들에 대한 업데이트 주소 변경 내용들도 마찬가지 입니다. 예상대로 직접적인 ARP 스푸핑 공격코드 출현하였으므로 피해 발생이 예상되며, 지금까지 설명한 사항 모두 이미 악성코드의 유포 단계에서 사전 분석되어 정보 제공이 된 내용입니다.

 

MalwareNet ( 범위와 변화)

 

상세한 내용은 생략합니다.

 

현재의 상황은 사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있는 현 상황에서 웹 서핑만 해도, 웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐하고 있습니다. 기본적인 문제를 해결할 수 있는 보안패치는 반드시 적용해야만 위험을 줄일 수 있으니 반드시 기관/ 기업 내부적으로 강력한 권고가 되어야 합니다. Oracle Java취약성, Adobe Flash 취약성, MS의 XML, Midi 및 IE 취약성이 복합적으로 사용되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.

 

기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록 등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰되고 있어서 위험성이 높습니다. 또한 백도어 기능의 설치 시에는 시스템상의 백신 프로세스 Kill 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제하여 정체를 은폐하고 있으므로 사전 대응에 만전을 기하시기 바랍니다.

 

기술 분석 보고서에 전체 URL이 공개된 국내 사이트들은 악성링크로 직접 이용 되거나 최종 악성코드가 다운로드 된 곳들의 주소는 여과 없이 공개가 되고 있으니 참고하시고 금주 차에는 언론사 및 국내 기업, 기관들의 주소가 직접 기술 되어 있습니다.

 

기술분석보고서에 언급된 게임계정 유출 악성코드들은 전체 악성코드의 80% 이상이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있습니다. 현재 가장 다수를 차지하는 게임계정 탈취형 악성코드들이 계속 변화된 형태를 보이고 있으며 위협적인 형태로 변화하고 있는 상황입니다. 또한 수시로 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 계속 되고 있습니다. – 8월 2주차 부터 관찰된 변화는 금주 차에도 계속 강도가 높아지고 있어서 즉시적인 대응책이 지금 당장 필요합니다.

 

PCDS(Pre-Crime Detect System) 탐지 내역

 

PCDS 상에서는 최초 악성링크 탐지와 MalwareNet에 대한 추적, 최종 악성파일에 대한 수집까지 체계적으로 통합 운영이 되고 있습니다.

 

본 PCDS에 탐지된 내용을 바탕으로 하여 공격자들의 전략을 확인해 보면, 비정기적이고 수시로 악성링크와 최종 악성코드를 바꾸고 있습니다. 변경하는 이유는 백신 탐지 회피를 하기 위한 목적이 가장 크며, 때로는1시간에 한 번씩 최종 악성코드를 변경하는 지금의 상황에서 대응이 가능한 보안체계는 거의 없습니다. 백신은 백신만의 역할 부분이 있으며, 현재 상태의 문제 해결을 위해서는 확산 이전에 대응을 할 수 있어야 합니다. 최종 설치되는 바이너리의 변화는 계속 되고 있으므로, 대응적인 측면에서 한계를 보일 것으로 판단됩니다.

 

<DDoS 공격 기능을 가진 악성코드 유포 변화 추적도>

 

www.nfile.co.kr/cron.xxxxxxxx.xxxx 파일에 대한 최종 악성코드 변화 내역 추적도이다. 지난주까지만 해도 게임계정 탈취하는 악성코드를 유포하였지만 금주에는 kill.exe 라는 DDoS 공격기능을 가진 악성코드로 변하였습니다. 어떤 공격을 하느냐는 공격자의 마음에 달려있다는 것을 대변하고 있습니다. 조용히 움크리고 있던 공격자들이 언제든 새로운 대상을 목표로 할 수 있는 것이 지금의 현실 입니다.

 

* 최종 바이너리 수집의 경우 체크섬 값이 다르거나 변경이 되었을 때 수집이 되도록 되어 있으며 위의 항목은 빠르면 1시간 이내에도 최종 파일을 변경하는 형태를 직접 볼 수 있습니다. 이와 같은 악성코드들이 순식간에 수십여 곳의 서비스를 통해 즉시 감염을 시키고 있는 것이 현실입니다. 공격자들의 전술과 기동력은 타의추종을 불허합니다. 그 반면 대응은 어떤가요? 현재의 실상은 과연 어떤 수준에 있는 것인지 겸허하게 돌아볼 필요가 있을 것 입니다.

 

지금 분석되고 예상되는 모든 내용들은 지금 이 순간에도 발생하고 있는 현실입니다. 사건이 발생 된 이후에는 돌이키기 어렵듯이 사전 탐지와 사후 대응은 전혀 다른 범위입니다. 사전에 얼마나 대응을 하느냐가 가장 중요하며, 빠른 정보를 확보하여 대규모로 유포된 악성코드에 대응 할 수 있도록 사후대응 측면에서도 현재 수준 보다는 강도 높은 방안들이 절실히 요구됩니다.

 

게임 계정 탈취 및 백신 Kill, 게임 머니 및 아이템 거래 사이트 계정탈취 계속

 

* 본 내용은 최근의 악성코드들이 기본적으로 탑재하고 있는 기능이며 6월 4주차 까지 발견 되었던 백신과 게임 계정 탈취 이외에도 문화상품권과 게임 머니 사이트에 대한 계정 탈취 기능이 추가 되었습니다. 모든 기능은 BHO 관련된 공격에 연관 되어 있으며 해당 문제들은 이전 보고서에 첨부된 BHO 공격에 대한 전문분석 자료를 참고 하세요. ( 정식구독 기업/기관 대상)신규 가입 및 최근가입으로 인하여 전문분석 보고서를 받지 못한 곳들은 본 메일로 회신을 주시면 전달 드리겠습니다.

 

9월 1주차부터 신용정보 조회, 아이템 매니아, 아이템 베이 사이트까지 계정 탈취 기능이 추가 되었습니다. 신용정보 조회 사이트에서 자신의 신용정보를 검색하다가는 자신의 개인정보가 노출될 수도 있습니다. 또한 아이템 매니아, 아이템 베이 사이트는 온라인 게임 아이템 거래 사이트입니다. 게임 계정을 탈취해서 아이템을 판매하던 공격자들이 이제는 게임 계정 탈취 이외에도 게임 아이템 거래 사이트까지 노리고 있습니다. 돈이 되는 곳은 모두가 대상이 되어 있는 상태입니다. 다른 모든 기기와 장비들에서도 금전화가 가능한 순간부터 현재의 공격 수준은 그대로 확장이 될 것입니다. 아직은 때가 안되었을 뿐입니다. 그 때는 머지 않았습니다.

 

 

프로세스명

프로그램명

sgbider.exe, vcsvc.exe, vcsvcc.exe

바이러스체이서

NVCAgent.npc, Nsvmon.npc, Nsavsvc.npc, NVC.npc, NaverAgent.exe

네이버백신

V3sp.exe, V3svc.exe, V3up.exe, MUpdate2.exe, SgSvc.exe, Sgui.exe, SgRun.exe, InjectWinSockServiceV3.exe, V3Light.exe, V3LTray.exe, V3Lsvc.exe, V3LRun.exe

AhnLab V3

AhnLab V3 Lite

AhnLab SiteGuard

AYUpdSrv.aye, AYRTSrv.aye, SkyMon.exe, AYServiceNT.aye, AYupdate.aye, AyAgent.aye

알약 (ALYac)

avp.exe

Kaspersky

avgnt.exe, avcenter.exe, avguard.exe, avscan.exe, avupgsvc.exe

Avira AntiVirus

avwsc.exe, AvastSvc.exe, ashUpd.exe, AvastUI.exe

avast!

shstat.exe, Mctray.exe, UdaterUI.exe

McAfee

msseces.exe

MSE

egui.exe, ekrn.exe

ESET NOD32

ccSvcHst.exe, Navw32.exe

Symantec Norton

updatesrv.exe, vsserv.exe, seccenter.exe, bdagent.exe, bdreinit.exe

BitDefender

avgam.exe, avgemc.exe, avgnsx.exe, avgrsx.exe, avgfrw.exe, avgwdsvc.exe, avgupd.exe

AVG

PCOTP.exe

넥슨 OTP

 

 

프로세스명

프로그램명

gamehi.co.kr

게임하이

hangame.com, id.hangame.com

한게임

laspoker.exe

한게임 라스베가스포커

duelpoker.exe

한게임 맞포커

hoola3.exe

한게임 파티훌라

highlow2.exe

한게임 하이로우

poker7.exe

한게임 7포커

baduki.exe

한게임 로우바둑이

ExLauncher.exe, TERA.exe, tera.hangame.com

테라

netmarble.net

넷마블

pmang.com

피망

ff2client.exe, fifaonline.pmang.com

피파 온라인2

Raycity.exe

레이시티

www.nexon.com, login.nexon.com

넥슨

df.nexon.com, dnf.exe

던전 앤 파이터

DragonNest.exe, dragonnest.nexon.com

드래곤 네스트

baramt.exe, WinBaram.exe, baram.nexon.com

바람의 나라

mabinogi.nexon.com, heroes.nexon.com, heroes.exe

마비노기 영웅전

MapleStory.exe, maplestory.nexon.com

메이플 스토리

x2.exe, elsword.nexon.com

엘소드

dk.halgame.com, dkonline.exe

DK 온라인

clubaudition.ndolfin.com

클럽 오디션

www.capogames.net, samwinfo.capogames.net

삼국지w

fairyclient.exe

로한

plaync.co.kr

엔씨소프트

bns.plaync.com

블레이드 & 소울

lin.bin

리니지

AION.bin, aion.plaync.jp

아이온

kr.battle.net

블리자드 배틀넷

wow.exe

월드 오브 워크래프트

Diablo III.exe

디아블로III

 

 

 

사이트 주소

사이트 이름

www.booknlife.com

북앤라이프

www.cultureland.co.kr

컬쳐랜드

www.happymoney.co.kr

해피머니

www.teencach.co.kr

틴캐시

auth.siren24.com

신용정보 조회

itemmania.com

아이템 매니아

www.itembay.com

아이템 베이

 

* URL의 경우는 브라우저 상에서 BHO (Browser Helper Object)로 등록이 되어 모니터링을 하다가 해당 URL로 주소가 입력이 되거나 접속이 될 경우에 html 내용을 변조 하거나 계정에 관련된 키 입력값을 빼내도록 제작되었습니다.

 

차단 권고 대역

 

아래 영역은 이미 공격자가 권한을 통제하고 있는 IP대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재 활용이 되고 있습니다. 기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각 기관 및 기업별 검토 필요) 차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다. 악성링크에 이용 되는 미국의 EGI Hosting 사의 IP 대역 상당수를 직접 악성링크로 활용한 사례가 발견 되어 해당 IP 대역에 대해 강력한 차단을 유지하실 것을 권고 합니다.

 

  • 기술 분석 보고서에는 별도의 차단 대역들을 제공하고 있으므로 참고하시기 바라며, 사안별로 모니터링 및 차단에 적극 활용 바랍니다.
  • 국내 통신사의 경우 C Class가 아닌 직접 IP를 등록 하였으며 이미 공격자가 권한을 가진 상태에서 악성코드 유포 경로로 직접 활용하고 있는 상태여서 제한적인 차단이 필요하며, 업무와 연관성이 있는지 여부는 각 기업 및 기관에서 잘 판단 하셔서 차단에 활용하시기 바랍니다. 9월 4주차부터 차단 권고 대역은 최근 1~2개월을 기준으로 전달 드리도록 하겠습니다. 이전의 차단 목록이 필요한 기업 및 기관은 info@bitscan.co.kr 로 요청해 주세요.

 

- 112.213.118.X Hong Kong, SUN NETWORK (HONG KONG) LIMITED 12/1

 

악성코드 감염 이후 접속 URL - 차단 및 모니터링 필요한 부분

 

본 내용은 악성코드가 PC에 감염된 이후에 외부로 연결 시도를 하고 명령을 받는 주소들입니다. 즉 C&C 연결 을 시도하는 봇넷과 같은 개념으로 볼 수 있습니다. C&C 서버의 차단과 관련된 핵심적인 내용입니다. 차후 별도 차단 서비스를 기획하고 있으며 해당 내용은 별도 서비스 확산 시에 보고서 상에서만 일부 제공될 예정입니다. 실험적으로 Outbound 연결 시에 Destination IP가 본 URL일 경우는 100% 좀비 PC및 백도어, 루트킷 등에 감염된 것이므로 직접 내부망에서 감염된 좀비 PC를 찾아내는 것이 가능해 집니다. 기술 분석 보고서 내에는 추가적인 차단 정보들이 존재함으로 확인 하시고 적용 하시는 것이 필요합니다.

 

* 본 차단 정보들은 12월을 기점으로 더 이상 제공 되지 않습니다. 참고 하십시요.

 

※ 특정 URL로 접속하여 추가 명령 대기

dk.rnnnb.com(Port:9999)

상세한 내용은 생략합니다.

* 붉은색으로 선택된 도메인들은 모두 현재 다수가 국내 환경에 뿌려져 있는 다운로더 및 C&C 서버로 이용되는 파일 및 도메인들입니다. 해당 도메인은 불시에 활성화 되어 추가적인 피해가 계속 될 수 있으므로 본 메일을 받으시는 기관 및 기업에서는 그에 맞는 대응을 하시기 바랍니다. 기업은 해당 도메인으로 접속하는 PC가 있을 경우 이미 좀비 PC화가 되었으므로 절차에 맞게 처리를 하시면 되고 국가기관 차원에서는 차단 정책을 즉시 수행 하여야 할 것으로 보입니다.

 

현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다. 민감한 시기입니다. 적극적인 대응과 노력으로 피해를 예방해야 합니다. MalwareNet의 활용과 위험에 대해 계속 언급 하였습니다. 그리고 지금 관찰되는 상태는 최종 악성코드의 성격과 범위 모두 일정 수준의 임계치를 넘은 상황입니다.

 

2년 이상을 온라인상에서 꾸준히 공격을 시도하고 있는 공격자들을 모니터링 한 결과에 따르면 공격기법과 기술은 한 주가 다르게 변화하고 진화하고 있습니다. 그 반면에 대응 기술 측면에서는 발전은 지지부진함을 보이고 있습니다. 공격은 적극적인 유포망 확대, 감염 기술의 고도화, 최고 공격기법들의 즉시적인 실전투입으로 귀결이 됩니다.

 

 

발전적인 협력

 

빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종 악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있으며 각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로 문의를 주시면 답변 드리겠습니다. (info@bitscan.co.kr)

감사합니다.

 

  • 본 정보제공 서비스는 공개, 재 배포 금지(내부에서만 활용), 비영리 목적으로만 활용 가능합니다. 공익적인 목적으로 기관에 제공되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.
  • 시범 서비스는 순차적으로 1개월 경과 시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다.
  • 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/담당자/연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다.
  • 본 서비스의 권리는 빛스캔에 있으므로 공개적 활용 및 영리적 목적으로 활용 하실 수 없습니다.
  • 본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre-Crime Detect System)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행합니다.
Posted by 바다란

디지털 페스트 II

  • 본 컬럼은 지디넷 게재 컬럼입니다.

 

중세 유럽 인구 감소의 결정적인 원인. 통계에 의하면 전체 유럽 인구의 최대 절반에서 1/4 가량이 페스트의 영향으로 죽은 것으로 발표 되고 있다. 단 5년 만에..

 

< https://coursewikis.fas.harvard.edu/aiu18/Decameron >

 

인간 세상의 페스트와 같은 인터넷상의 악성코드들은 대규모 감염 매개체를 통해 확산을 거듭하고 있는 현재의 상황은 페스트가 종횡무진 활약 하였던 중세유럽과 다를 바가 없다.

피부가 검은색으로 변하는 흑사병이라 불리던 페스트와 지금의 악성코드 이슈는 인터넷상에서 공통점을 가지고 있고 인터넷 생활 비중이 높은 지금의 사회는 직접적인 영향을 받는 상황에 놓여 있다.

 

페스트의 사망률보다 높은 최소 60% 이상의 치사율을 가지는 공격코드가 난무하고 때론 제로데이라도 나올라 치면 그 비율은 상상이상의 비율로 높아진다.  공기를 통해 감염 되는 것이 가장 무섭고 대책이 없듯이, 생활 속에서 무심결에 하는 웹서핑 만으로도 감염이 되는 현재의 상황은 더 나을 것이 하나도 없다. 

 

공격기법은 극기야 자동화된 도구로 인해 사용자의 브라우저와 어플리케이션을 직접 공격하는 형태로 변경이 되고 있다. 사용자 PC를 공격하는 기법은 이제 운영체제를 넘어서 어플리케이션까지도 직접 공격하는 형태로 전환 된지 오래 전이며 지금은 나날이 강력해 지고 있음을 알 수 있다. IE 브라우저와 Flash, Java를 공격대상으로 하는 공격도구들은 단 한 순간이라도 빈틈이 보일 경우 완벽하게 권한을 장악한다. 패치를 다한다 하여도 수시로 출현하는 Zeroday ( 패치가 없는 취약성 공격) 공격코드들은 강력한 영향력을 행사하고 있다. 아래의 이미지는 사용자 PC를 공격하는 자동화된 공격도구의 구조도를 나타내고 있다.

< 자동화된 공격도구가 공격에 이용하는 취약성리스트 ( IE, Java, Flash 버전별 공격코드) >

 

대응은 점진적이고 느리게 진행되고 공격은 급진적으로 기술을 향상시켜 전체에 영향을 미치도록 하고 있다. 어디를 지켜야 하고 무엇을 보호해야 하는 최전선의 개념조차 없는 일선에서 진내사격을 뜻하는 Broken arrow가 난무 할 수 밖에 없는 지금의 상황은 어쩌면 스스로가 초래 했는지도 모를 일이다.

 

오래 전부터 경고한 내용이지만 지금껏 그에 대한 대비나 대처도 방향성 측면에서 변화를 따라가지 못한 면이 있다. 이 링크의 컬럼 조차도 2010년에 작성된 것이며 컬럼내에 언급된 대책은 2008년에 언급된 내용이다. ( http://www.zdnet.co.kr/column/column_view.asp?artice_id=20100307155931 )

 

 

2010년의 디지털페스트 컬럼의 경우 추정을 통해 상당히 높은 수준의 위험이 계속 되고 있음을 알렸으나 2012년 상반기에 수집된 공격자의 로그를 통해 치명적인 공격 성공률에 대한 데이터를 확보 할 수 있었다. 그 결과는 사뭇 충격적인 현실을 나타내고 있다.

 

< 특정일시의 새벽 3시간 동안 국내 사이트 두 곳을 통해 유포된 악성코드 감염 실태>

통계데이터를 살펴보면 다양한 공격 기법들이 사용자 PC에 영향을 미쳤고 최종 결과로는 새벽 3시간 동안이지만 전체 57000명 가량의 순수 방문자들중 3400명 이상의 유니크한 PC의 권한을 장악한 것으로 나타나고 있다. 즉 공격 성공률은 60% 가량 됨을 알 수 있다.

 

기간상이나 감염 비율상으로 볼 때 인터넷상의 페스트라 불릴 수 있는 악성코드의 전파력과 전염력은 이미 중세의 치명적인 페스트를 한참 앞서고 있는 상황이다. 중세의 페스트는 공기로 감염된다 하였으나 지금의 디지털 페스트는 웹서핑 만으로도 감염이 된다. 일상생활에 밀접한 인터넷 어디에도 악성코드는 존재하고 있고 불특정 다수를 향해 수시로 공격코드는 실행이 된다.

 

윈도우 패치를 제때에 하는 사람들은 얼마나 있을 것이며? Java와 Flash의 패치를 매번 확인하여 적용하는 사람들은 얼마나 있을까? 그리고 그 패치들은 얼마나 자주 나왔던가?

 

프로그램의 문제를 없애주는 패치를 적용해도 무용지물인 공격코드들도 난무하는 세상에서 안전한 곳은 어디에도 없다. 지금의 문제는 대량감염이 가능하게 된 것이 가장 큰 문제이고 그 감염의 도구로 이용 되는 곳은 대부분의 웹서비스들이 된다. 그리하여 방문만 하여도 공격코드는 자동으로 사용자 PC로 내려와 실행이 되고 결국 권한을 획득하게 된다. 이후에는 공격자의 의도대로 모든 것이 이루어 지는 상황이다.

 

공격자들은 현명하게도 과시보다는 이득을 택했으며 그 결과 웹페이지의 화면을 바꾸거나 하는 짓들은 하지 않는다. 웹서비스의 모든 권한을 가지고 있으면서도 단지 한 줄의 소스를 변경 하거나 추가 할 뿐이다. 그 결과는 해당 웹서비스를 방문하는 모든 사용자들에게 공격코드의 실행으로 돌아간다. 10명중 6명이 감염이 되고 새로운 공격기법이라도 추가 되는 날에는 당장 90% 가량이 직접적인 영향을 받을 수 밖에 없는 현재의 위험은 상상 이상의 위협이 현실화된 것을 보여주고 있다.

 

경험으로부터 배우지 못하고 애써 외면하며 등 돌린 결과는 부메랑이 되어 겁 없이 세상을 지배하고 있다.

페스트라는 용어 이외에 더 적절한 의미를 찾을 수는 없는 상황이 지금의 상황이다. 악성코드는 지금 이 순간에도 너무 가까운 곳에 존재한다. 마치 공기처럼!

 

 

하나의 새로운 취약성을 발견하거나 공격기법이 발견되면 이젠 눈 깜짝할 사이에 전체가 영향을 받는 구조를 공격자들은 만들고 선보이고 있다. 모든 것이 네트워크로 구축되어 조종이 되는 BotNet 처럼 악성코드를 유포하는 네트워크 체계를 MalwareNet이라 할 수 있다. MalwareNet의 심각성과 전략에 대해서 알아보면 다음과 같다.

< 공격 전략의 도식화>

 

여러 악성링크를 사전에 만들어 두고 취약성이 있는 다수의 서비스나 광고를 이용하는 언론사 등등에 침입을 한다. 침입 이후에는 웹 소스를 변경하여 화면상으로는 아무런 징후를 느낄 수 없으나 자동실행이 되어 사용자의 브라우저를 통해 직접 공격을 하도록 만들어 둔다. 일반적인 예로 다음과 같이 변경을 하는 사례들이 많이 발견 된다.

< 공용 함수 역할을 하는 Js 파일 내에 사용자가 인지 할 수 없는 사이즈의 링크를 추가하여 실행>

 

Js 파일의 경우 웹서비스 방문 시에 자동으로 사용자 PC로 불려지며 사용자의 브라우저상에서 서비스의 기능들을 수행하도록 만들어 주는 역할을 한다. 아주 쉽게 웹페이지에서 주민번호 입력을 체크하거나 전화번호를 체크하여 잘못된 숫자나 범위가 입력 되는 것을 검토하고 방지하도록 하는 기능들도 대부분 공용 JS 파일에 넣어두고 활용 한다. 사용자가 회원가입을 위해 서비스를 방문하는 순간 숫자의 범위나 입력 값을 체크하는 기능들도 기본적으로 사용자 PC에 내려진 상태에서 실행이 됨을 말한다. 그 상태에서 위의 코드가 실행이 된다는 것은 악성링크를 사용자 PC로 불러와서 실행 하라는 것과 동일한 의미가 된다.

 

A라는 웹서비스에 악성링크가 들어 있다면 방문하는 모든 사용자들은 그 내부의 악성링크를 찾아서 클릭하지 않더라도 자동으로 실행이 되고 영향권 내에 들어가 있는 상태라 할 수 있다.

 

만약 A라는 웹서비스 이외에도 수없이 많은 웹서비스에 동일한 악성링크를 넣어둔다면? 그리고 공격자는 위의 이미지처럼 S.asp 라는 악성링크의 내용만 변경 한다면 어떻게 될까? .. 순식간에 수십에서 수백여 개 이상의 웹서비스들은 또 다른 형태의 악성코드들을 즉시 전송하는 새로운 패러다임이 형성된다. 디지털 페스트라고 부를 수 있는 강력한 영향력은 여기에서부터 출발이 된다고 할 수 있다.

 

일반적으로 바이러스나 공격이라고 하는 것들은 기존의 관념대로라면 이메일을 통해서 바이러스를 받거나 이상한 프로그램을 다운 받아서 설치할 경우에 발생하는 것이라고 지난 오랜 시간 동안 알려져 왔었다. 그러나 그 시기에도 대규모 유포 시도들은 산발적으로 계속 되어 왔으며, 지금에 이르러서는 네트워크를 구성한 다단계 유포 형태로 고착화 된 상황이라 할 수 있다.

 

 

 

사실상 전 국민의 PC에 대해 동시에 각 어플리케이션과 운영체제에 대해서 패치를 한다는 것은 불가능하다. 현재 공격자들의 전술상으로 살펴 볼 때 대규모 유포에 이용 되는 악성링크를 빠르게 발견하고 선제적으로 차단하여 감염이 확산 되지 않도록 하는 것이 최선이라 할 수 있을 것이다.

 

1. 공격 링크의 조기 발견 및 피해 범위 최소화

2. 근본적인 문제 원인이 되고 있는 취약한 웹 서비스들의 주기적 관리 체계 및 보호 방안

3. 보안이라고 하는 것은 이제 일상 생활에 직접적인 영향을 미치므로 전체적인 지식 강화

 

단계별로 1,2,3 단계로 나누어서 진행이 되어야 하며 가장 급한 것은 피해 범위의 최소화가 될 것이다. 2008년에 제시한 해결책은 여전히 유효하다. 그리고 아직도 상황은 그대로이다. 전자 상거래의 기반이 되는 공인인증서 부분에서도 인증 관련 서비스에서 조차도 악성코드 유포가 발생 되는 지금의 현실은 공포감을 넘어선 심각한 상황이라 할 것이다.

 

상대를 알아야 이길 수 있고 최소한의 통제력은 지니고 있어야만 조절이 가능하다. 그러나 지금의 상태는 그 어느 것도 하지 못한 상태이다. 디지털 페스트는 날이 갈수록 더 강력해 지고 있다. 지금 이 순간에도..

 

www.facebook.com/bitscan 에 더 많은 한국 인터넷 위협에 대한 자료와 설명들이 공개 되어 있습니다.

Posted by 바다란

5.1일 Mayday . 

보안분석 보고서 발송 되었습니다. 

서비스 구독 기업 및 기관들께서는 확인이 필요한 내용들이 많이 있습니다. 


이런 정보들 어디에서 보실 수 있으시겠습니까?

기술분석 보고서에는 악성링크로 활용된 국내 유명 도메인 및 국내 도메인들도 원칙에 따라 공개 되어 있습니다. 저희의 원칙은 악성링크는 공개한다 입니다. 온라인상 공개는 어렵고 오프라인상의 보고서에서만 가능합니다. 보고서상에는 공개되어 있습니다.


한 주간의 국내 인터넷상의 위험에 대한 실체적 진실과 대응 방향등이 기술 되어 있습니다. 문제는 날이 갈수록 강도가 강해지고 있고 위험성이 더 높아지고 있다는 점입니다.


현실은 참혹합니다.  수면위는 평안해도 수면 아래는 폭풍이 치는 형국입니다.

준비 되지 않고 대응하지 않는다면 앞으로는 더 힘든 상황으로 계속 갈 수 밖에 없음을 보고서를 통해서 직접 느낄 수 있습니다.





4월 5주차 보고서 전체에 대한 간략한 요약은 다음과 같습니다.

-------------------------------------------------------------

본 서비스는 빛스캔의 비트파인더를 통한 악성링크 탐지와 KAIST 사이버보안연구센터의 분석을 통해 산출된 보고서 입니다. 국내에서 발생되는 악성링크와 악성 코드에 대한 구조와 기능에 대한 분석을 가장 빨리 진행 하고 있으며 악성링크에 대한 정보는 가감없이 오픈을 하고 있습니다. 전문 기술인력과 역량의 결합을 통해 국내에서 자체적으로 생산되고 있는 보고서이며 상당히 많은 리소스와 기술이 투입 되고 있음을 유념해 주십시요.



악성링크에 대한 카운트는 동일한 악성링크가 수십곳 이상의 서비스에 들어가 있어도 저희쪽에서는 1로 카운트 됩니다. 즉 60여개 이상의 악성링크를 발견 했다는 것은 수십~수백곳 이상의 서비스들에서 동시에 유포를 하고 있다는 의미와 동일합니다. 그만큼 파급력이 크고 위험도가 높으므로 적극적인 대응이 필요한 부분이 되겠습니다.



금주의 특징으로는 새로운 공격기법의 적극적 활용 ( CVE 2012-0507) 이 출현과 동시에 대규모 활용이 되고 있습니다. 또한 해외 호스팅을 통한 활발한 공격 ( IP 변경을 통해 차단 우회 및 정체를 은닉)이 계속 되고 있습니다.


유명 도메인 자체 및 파일공유 사이트, 대학의 전산원 페이지 까지도 악성파일이 직접 올려져 유포에 활용 하는 형태의 과감함도 나타나고 있어서 향후 어떤 방향으로 위협이 나타날 것인지 심각한 우려를 표합니다. 지금껏 악성코드 유포를 위한 변조들이 있던 서비스들이 직접적으로 악성코드를 서비스 하는 형태로 변경 된 것에 대해 심각성이 높습니다.



4월 5주차 공격 특징: 


- CVE 2012-0507 ( Java Applet 신규 취약성) 공격 출현 및 급증 

- 해외 호스팅 영역을 통한 IP 변경된 공격 지속 관찰

- 국내 유명 도메인 및 파일 공유 사이트 자체를 악성링크로 활용

- 언론사 기사 항목으로 위장한 악성링크 유포시도 다수 발견 ( 정상 언론사 기사)

- 이전 출현 하였던 악성링크의 재활용 다수 증가 ( 차단이 되지 않으니 계속 활용 되고 있습니다.)

- 배너, 태그 광고 링크에 대한 공격 지속 증가 ( 태그 광고 1곳, 배너 광고 2곳 이상)

- Mass sql injection 최초 유형 발견 ( njukol.com/r.php )


대응:

 
- CVE 2012-0507 공격기법에 대한 전문분석 완료, 필요시 신청해 주세요.
- 해외 호스팅 영역 . 4월 3주,4주차 차단 권고 영역 유지 및 추가 차단 필요
  본 영역들은 공격자가 통제하는 영역이므로 향후 지속적으로 피해가 발생 될 수 있습니다.
  1. 211.100.253.0/24 (China)
  2. 205.164.0.0/24 (USA)
  3. 69.4.224.0/24 (USA)
  4. 209.73.156.0/24 (USA)
  5. 174.127.79.0/24 (USA)
- 유명 서비스가 직접 악성링크에 활용된 케이스는 다음과 같습니다. 

온라인 상에서는 생략합니다. 상세한 정보는 첨부 기술보고서들을 참고 하십시요.


.....후략



상세한 내용들은 보고서를 참고 하십시요. 보고서의 시범서비스 신청은 기업 및 기관명 / 성명/ 연락처 를 적어서 info@bitscan.co.kr 로 신청 하시면 됩니다. 개인 차원에서는 받으실 수 없습니다. 

Posted by 바다란


- 오늘자 보안인 기고글입니다. 전 주현씨야  인식개선을 위해 워낙 많은 노력을 기울여 오고 계신 분이라 도움을 드리고 싶었는데 이런 형태로 밖에는 아직 안되네요. 참고하세요.


Malware Launch Detected!

바다란 보안컬럼니스트

 

어찌 보면 지금의 Malware는 인터넷 인프라에서 핵과 같은 폭발력을 지니고 있을 수도 있다. 작은 단초를 무시하면 큰 사고로 이어지는 것은 언제나 당연한 일이다.

 

1930년대 초 미국의 한 보험회사의 관리자였던 하인리히는 교통사고를 분석해 독특한 법칙을 발견 하였다고 한다. 한번의 대형 사고가 나기 이전에 29번 이상의 경미한 사고와 300번 가량의 징후가 발견 된다는 이른바 하인리히의 법칙을 발표하게 된다. 이 논리의 핵심은 모든 큰 사고가 발생 되기 이전에는 반드시 징후가 있으며 조짐들이 존재한다는 것이다. 갑작스런 대형 사고는 없다는 점이다이 규칙은 지금의 인터넷 세상과 공격자들의 역량에도 동일하게 적용이 될 수 있다.

 

지금까지 우리가 겪은 수많은 사건 사고들 중 근래 5~6년간 겪었던 공격이나 피해 유출의 사례는 이전과 비교해 얼마나 더 심각성을 띄고 있는지 우리는 인지하고 있을까? 매번 반복되는 피해와 공격에 대해 무감각해진 상태는 아닌지 돌아 봐야 한다. 하인리히의 법칙에서 의미 하듯이 1:29:300의 징후와 사고들에서 우리는 1에 해당하는 대형 사고를 얼마나 많이 겪었던가? 1.25 대란, 3.4 DDoS, 7.7 DDos, 농협의 사고, 그 외 헤아릴 수 없이 많았던 정보 유출 사고들은 모두 사소한 징후라고 볼 수 있을까?

 

수많은 대형사고들에 앞서 징후들은 분명히 있었고 그 징후를 제대로 보지 못한 문제와 실제 영향을 가지는 대응을 못했기에 계속 발생 되고 있는 상황 속에서 지금 우리는 무엇이 먼저 이고 어떤 것을 중요하게 놓고 진행 해야 하는지에 대해 판단도 어려운 상황이라 할 수 있다.

 

2007년에  작성하여 공개한 IT서비스의 위험과 향후 대응 의 공개문서에서 언급된 많은 문제들은 그 이후 5년의 시간이 흐른 지금 개선은 말할 것도 없이 공격 기술과의 더 큰 격차 발생으로 심각한 상황에 직면해 있다.

 

시일이 지난 이야기이지만 지금의 상황도 달라진 것이 없다. MS Malware Protection Center의 통계치를 보면 국내의 환경이 어떤 상황인지 좀 더 쉽게 인식 할 수 있다. 이 표에서 언급된  CVE 2011-2110 Flash Player의 취약성을 이용한 공격으로서 관련 정보는 다음에서 확인 할 수 있다. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2110

 

 2011 6월에 조사된 데이터이며 그 데이터를 살펴보면 지금 어떤 상황에 처해 있는지 한 단면을 통해 분명하게 확인 할 수 있다.

 

<ref:http://blogs.technet.com/b/security/archive/2011/07/18/a-very-active-place-the-threat-landscape-in-the-republic-of-korea.aspx  >

 

본 조사결과가 의미하는 바는 Flash 취약성을 이용한 공격에 대해 전 세계의 탐지 데이터를 가지고 비교해 보았더니 한국에서 발생된 공격이 전 세계의 거의 90% 가량을 차지함을 보이고 있다. 또한 모든 급등 기간들은 주말에 집중됨을 알 수 있다. ,,일에 걸친 공격의 급등이 전 세계 모든 국가들에 비해 월등함을 확인 할 수 있고 수치 또한 매우 높은 비율을 차지하고 있는 상태이다. 2011 6월의 조사결과이나 이 현상은 지금도 달라지지 않았고 더 심화되고 있다.

 주말마다 급증하는 악성코드에 대한 현상은 일상적인 이야기이지만 MS외에 Kaspersky lab에서 운영하는 Securelist를 통해서 보는 국내의 위험도 동일함을 볼 수 있다.

 


<ref: securelist.com>

모든 악성코드의 급증한 기간은 주말을 표시하고 있으며 악성코드의 대부분이 트로이쟌 및 백도어, 계정 탈취형 악성코드가 다수를 차지하고 있다. 해외기업들이고 또한 백신에 관련된 기업들의 한계는 명확하다. 악성코드가 발견된 이후에 통계가 누적 될 수 밖에 없으며 최초의 공격코드들이나 백신에 탐지되지 않는 악성코드들에 대한 누계는 심각할 정도로 빠져 있을 수 밖에 없다. 위의 MS Kaspersky의 통계가 의미하는 점은 알려진 악성코드에 의한 공격도 주말 집중이 심각할 정도로 높으며 또한 한국 내에 대한 공격이 전 세계에서 가장 높은 비율을 차지함을 보여 주고 있다또 다른 통계치는 국내 보안업체인 빛스캔㈜에서 수집한 통계 정보로서 동일한 경향을 확인 할 수 있다

 


빛스캔에서 수집된 정보는 악성코드의 종류에 관계 없이 정상적인 웹서비스의 소스코드를 공격자가 변경하여 모든 방문자들에게 악성코드가 배포 되게끔 만들어 주는 Malware link에 대한 통계치 이다. 즉 신규 Flash 공격 코드나 IE, Windows Media, Java에 대한 공격들이 발생 되는 것과 관계없이 위험성에 대해서 인지 할 수 있는 통계라고 할 수 있다. 빛스캔의 통계에서도 주말에 집중된 공격들을 볼 수 있으며 하나의 악성링크에서는 다양한 공격들이 사용자 환경에 맞추어서 발생이 된다.

 



< 2011.12.1~ 2012.2.4일간의 웹서비스에 추가된 악성링크 발견 수치 >

2011.12.1일부터 2012.2.4일까지의 악성링크에 대한 발견 수치만 보아도 주말 공격은 여전히 계속 되고 있다. 악의적인 링크중 하나에서 사용자 PC로 내려오는 악성코드에 대해서 Virus total을 이용해 탐지여부를 확인한 화면을 보면 43개의 주요 백신에서 5개만 탐지됨을 볼 수 있다.



 

최근의 공격 동향을 보면 웹서비스에 특정 링크를 실행 되도록 넣어두고 ( 일반적으로는 JS 파일 혹은 html 내에 직접 넣기도 한다. ) 사용자 PC의 환경에 맞춰서 다양한 공격코드를 맞춤 형식으로 공격하여 실제 악성코드를 사용자 PC에 설치한다맞춤형식의 공격에 이용되는 취약성들이 IE 취약성, Java 취약성, Windows Media 취약성, Flash 취약성 들이며 현재 공격 성공률은 60%라고 분석 되어 있다. (http://www.boan.com/news/articleView.html?idxno=6335) 10명의 방문자중 무조건 6명 이상은 감염이 된다는 것이다이런 악성링크들이 일 평균 방문자가 최소 십만 이상인 사이트들 수십 곳에서 동시에 뿌려진다면 감염 수치는 얼마나 될까상상하기 힘든 수치가 나올 것임은 분명하다.



< 공격코드의 구조>

백신에 탐지도 되지 않는 악성코드들이 순식간에 웹 서비스 이용자들 다수에게 전파가 되고 감염이 되는 지금의 시점은 사건의 필요충분 조건을 완벽히 갖추고 있다고 볼 수 있다. 하인리히 법칙에서 말하는 1:29:300에서 1이 발생될 가능성이 매우 높다는 것이다. 이미 300번 가량의 징후와 29번 이상의 경미한 사고들은 이미 발생한지 오래 되었으며 이제 언제 사건사고가 발생해도 이상하지 않은 상황에 처해 있다.

 

빠른 인터넷 속도와 인터넷을 이용한 상거래의 활성화가 일반적인 한국에서 어쩌면 악성코드의 공격이나 유포가 활발한 것은 당연할 수 밖에 없다. 그렇다면 대응은 어떻게 해야 하는가?

 

대응을 하는 가장 기본적인 자세는 상태에 대한 인식이 먼저 되어야만 한다. 또한 문제 해결을 위해서는 전략이 있어야 한다. 가장 중요한 것은 문제가 무엇인지를 아는 것부터 일 것이다.

 

문제는 몇 가지로 간추려 질 수 있다. 취약한 웹서비스 (대규모 유포 방안으로 활용) , 정교해진 악성코드 유포 기술 , 탐지를 우회하는 악성코드 정도이고 이 문제의 해결은 기존의 방안과는 다른 차원에서 접근을 해야 한다. 이미 문제의 해결책과 노력들은 충분히 있었으나 지금까지의 노력으로는 문제를 극복하기가 어려워 보인다. 따라서 방향성 차원에서 변화가 필요해 보인다.

 

장기적으로는 웹서비스의 안정성 강화가 필수적이지만 잦은 변경과 다양한 서비스 환경은 일정수준의 안정성 강화라는 목표와는 괴리감이 크다. 또한 악성코드의 유포 범위의 제한은 일단 대규모적인 유포를 막고 범위를 좁힌다는 관점이지만 웹서비스를 통한 대규모 유포라는 현재의 상황에서는 현실적인 어려움이 있다두 가지 전략적 목표 모두 어려움에 처한 상황을 넘어 설 수 있는 기본적인 대안을 제시하고는 있으나 서비스의 확산이나 인식개선에는 부족함이 있을 수 밖에 없다. 이 문제의 해결을 위해 오랫동안 노력해 왔으나 지금도 부족함이 있다.  가장 중요한 점은 아직도 대부분의 사람들이 현재 상태의 심각성과 위험성에 대해 제대로 인지를 못하고 있다는 점이다. 본 기고 글로 현재 우리가 처한 상황에 대해 진지하게 인식을 하였으면 한다.

 - 바다란 세상 가장 낮은 곳의 또 다른 이름


*현재 빛스캔에서는 유포지 확인 서비스 ( 인위적으로 공격자가 추가한 악성링크의 존재 유무 확인 서비스), 취약성 진단 서비스를 온라인에서 제공하고 있으며 각 서비스 모두 단순한 회원가입과 클릭만으로 확인 할 수 있도록 되어 있다. 특히 공익적인 목적을 위해 유포지 확인 서비스의 경우는 무상으로 오픈 되어 있으므로 본인이 관리하는 사이트가 악성코드 유포에 이용 되고 있지는 않은지? 자신도 모르는 외부 링크들이 연결 되어 있지는 않은지에 대해서 확인을 하는데 요긴하게 사용 할 수 있다.

취약성 진단 서비스의 경우 DB 훼손이나 서비스 장애가 발생되지 않도록 구성 되어 있으며 온라인 상에서 모든 URL내의 인자들에 대해서 진단이 가능하도록 되어 있다. 현재 서비스 제공은 유상으로 되어 있으나 서비스 금액 자체는 공익성을 목적으로 하고 있어서 비교하기 어려울 정도로 저가에 제공 되고 있다. 서비스의 이용은 scan.bitscan.co.kr 에서 확인 할 수 있다.

대규모 유포에 대한 탐지 시스템을 내부에서 운영하고 있으며 탐지 내역에 대한 분석은 KAIST 사이버보안연구센터가 담당하고 있으며 분석된 내용들은 연간 서비스 가입 고객에 한해 유상으로 제공 되고 있다. 국내의 심각한 현실과 실질적인 공격에 대한 분석이 이루어 지고 있으며 본 정보제공 서비스에 대한 문의는 info@bitscan.co.kr 로 요청 할 수 있다.

Posted by 바다란

History of p4ssion (바다란) - 2011.12.06 (계속 갱신 예정)

 

15년 가까이 이 분야를 보면서 여러 활동을 했었습니다. 본 컨텐츠는 여기저기 흩어져 있는 기록과 문서를 종합하기 위해 작성 합니다. 또 지난 십 년 이상의  IT관련 중요 이슈들에 대한 Security 측면의 내용들과 거기에 대한 기록들도 일부 보실 수 있을 것입니다. 공개문서나 컬럼만을 기준으로 정리 하도록 하겠습니다.

 

1998.해커의 길 그리고 나의 길  http://p4ssion.com/233

1999. 프로그래머가 되는 길http://p4ssion.com/232

2002.8 Threat of china – 중국발 해킹에 대한 최초 보고서. 이때부터 향후 중국의 공격기술에 대해 심각한 주의를 기울여야 된다고 경고함. (이 당시만 해도 중국은 체계적이고 고급화된 역량을 보유 하지는 못했으며 외부 공개된 공격기술의 집합을 이용 했습니다. 지금은 독자적인 도구와 공격기법으로 무장하고 있죠. 10년 가까운 시간이 흐른 지금은 전 세계 누구도 부정하지 못할 사안입니다만 과연 2002년에도 그랬을까요?)


2002.8 브라질 해킹 그룹분석 중국에 이어 브라질 해킹 그룹에 대한 분석과 영향에 대한 문서

 

2002.10 Critical Alert for Cyber terror – 이 또한 국내외를 포함하여 최초의 SCADA & DCS 기반시설에 대한 문제와 대응 방안을 설명한 종합문서. ( 이 당시 국내외를 막론하고 SCADA DCS에 대해서 이해하는 사람도 매우 극소수이고 더군다나 보안의 관점에서 보는 사람은 거의 없었습니다. 전 세계적으로 매우 극소수.. 그러나 이건 2010년의 Stuxnet과 현재의 듀큐로 인해 확실하게 증명이 되죠. 너무 빠른 것도 문제이긴 합니다. )

 

2003.1.25 대란 – 1.25 대란의 최초 신고자 및 분석자 ( 최초 신고자 맞습니다. ^^)

1.25일 당일의 1차 분석 문서 
 

1.26일의 2차 분석 문서

1.27 . 최종 시나리오 분석 문서

 

2005– 1.25대란에 대한 최종 의견 -http://p4ssion.com/117  KT 내부망에서 시작

 
 
2003.8 RPC Worm 확산에 따른 분석 문서


 

2005.1 Application Attack 에 대한 문서 – PHP Mass Attack에 대한 분석과 대응방안

 

2005.3 해커의 길 II - http://p4ssion.com/228

2005.4 Zeroday 웜에 대한 발표, 공격기법 분석과 향후의 발전 예상

 

2005.10 Threat of China 공격 분석 및 대책 발표 향후 웹 공격에 대한 집중도가 높아지고 자동화 되어 위험성이 높을 것임을 예상하고 분석한 발표자료, 대응 방안으로 2006 SourceForge에 등록한 Gamja가 처음 선을 보임.


2006.2 Winamp Application 문제의 현황 및 해결

 

2006.6 개인사용자를 위한 정보보호 실천가이드 문서

 

2006.10 해킹의 발전과 대응 발표 내용은 항상 유사합니다.


2006.11  중국발 해킹 분석 및 대응, (기업차원의 방안) 발표자료.


2007.4 게임산업에서의 Vista 파급효과와 보안의 이슈 문서

 

2007.6 Web 2.0 위험요소와 대비. 발표자료

 

2007.11  IT서비스의 위험과 향후 대응 문서

DDos와 악성코드 확산 모델, 대응 방안에 대해서 기술한 문서.. 대책이 제대로 되었다면 이후의 7.7 DDos 3.4 DDos도 헤프닝으로 끝날 수도 있었을텐데현재까지도 매우 부족한 부분들이 되겠습니다. 앞으로도 많이 해야 하는 부분이기도 하구요.

 

2008.01 Enhanced web, Enhanced Risk –발표자료. Web 2.0의 위험에 대한 발표

 

2008년 이후는 컬럼을 주로 활용 하였습니다. 

Bloter.net  - http://www.bloter.net/archives/author/p4ssion

Zdnet - http://www.zdnet.co.kr/column/column_list.asp?column=0135

이외 보안뉴스, 전자신문이 있습니다.

 

2009. 07 . 7.7 DDos에 대한 내용. DDos 악성코드 유포에 대한 추론과 사실 문서

 

2009.11 Inevitable Cyber warfare – 7년만에 내 놓은 SCADA & DCS 위협에 대한 갱신문서 사이버 아마겟돈 시나리오 가이드 하면서 갱신판을 작성함. 이후 2010 Stuxnet 출현

 

2009.11 Change of global threat – 컬럼

 

2010.07 DDos문제의 핵심과 변화에 대하여 문서

 

2010.11 네트워크 단위 보안 솔루션의 미래와 전략 발표자료 - Concert

 

2010.11 에스토니아 7.7 그리고 미래대응 발표자료 – Ddos 공격과 국가간 사이버전에 대한 분석

 

2011.3 위기의 인터넷 (현재의 위협과 미래 대응) – 발표자료

 

2011.07 해커의 길, 전문가의 길 발표자료 방향성 제시를 위한 자료

 


현재까지 검색을 통해 확인한 발표자료와 문서들입니다
. 제가 만들었던 자료를 검색을 통해 찾아야 하는 상황이 어이없긴 하지만 ^^; 아직 찾지 못한 문서들도 있고 수록 되지 않은 발표자료들도 있습니다. 이 부분은 차후 계속 갱신 하도록 하겠습니다. 이외에도 프로그램이나 의미 있는 변화를 가져왔던 내용들도 있는데 기업에서 시행 했던 것들 중 대외적으로 영향이 있었던 두 가지만 언급 하도록 하겠습니다.

 

2005 . 온라인 보안패치 서비스 실시 이전까지의 보안 업데이트는 패치를 MS 웹사이트에서 방문하여 다운로드 받아 설치하는 유형이였으며 이 당시 국내 기업 (소프트런? )과 처음으로 웹서비스에서 자동으로 설치되는 서비스를 운영 하였습니다. 최종 기억으로는 1200만대 가량의 PC에 보안패치를 깔았던 것으로 기억 합니다. 이후 2006년 부터는 MS의 패치 정책이 자동업데이트 방식으로 변경 하는데도 영향을 주지 않았을까 싶습니다.  공격자들이 가장 많이 활용하는 취약성에 대해서 패치를 함으로써 공격자들에게도 영향을 미쳤다고 보고 있습니다. –  http://blog.naver.com/p4ssion/50004629544  관련 기사입니다. 이 블로그도 폐쇄 했지만 자료보관 용도로 남겨 두고 있습니다. 

 

2007. End to End 단계의 키입력 보호 시스템  - 이 당시까지 가장 유행하던 공격기법은 BHO를 이용한 계정 탈취 기법 이였고 이것을 막기 위해 제안한 보호 시스템입니다. 이건 네이버에서 지금도 운영 되고 있죠. 1,2,3 단계 각각마다 의미가 있고 보호율이 매우 높은 체계 였습니다. 이후에는 다수의 기업들에서 모방이랄까? 뭐 그렇더군요. 현재도 유효한 방안입니다.

 

회사의 경력은 너무 지저분(?) 하여 따로 기술하기가 민망합니다. 쓰다보니 요즘 유행하는 나꼼수의 깔때기 성향이신 분하고 비슷한 스타일이 되었네요.

 

정리하면서 보니 정말 유사한 말을 많이도 했네요. 그래도 세상은 아주 조금씩 밖에 변하지 않았고 위험들은 그대로 입니다. 앞으로는 말이나 글보다는 직접적으로 보여 줄 생각입니다. 이미 일정궤도에 오른 상태이고 어떤 식으로 눈 덮인 길을 헤쳐 나가는지 진지하게 보실 수 있으실 것입니다. 

 
바다란 세상 가장 낮은 곳의 또 다른 이름

Posted by 바다란

* Facebook에 올렸던 촌평을 묶어서 게시한 내용입니다. - p4ssion

Chinese Military Suspected in Hacker Attacks on U.S. Satellites - Businessweek
 

http://www.businessweek.com/news/2011-10-27/chinese-military-suspected-in-hacker-attacks-on-u-s-satellites.html

블룸버그 뉴스보도 입니다. 2007년과 2008년에 미국의 기상관측 위성과 지형관찰 위성에 4회 정도의 침입이 있었다는 보도 입니다. 

항상 오해를 하는 것이 위성을 해킹한다는 것은 위성에 직접 침입한다는 것이 아니고 위성을 조정하는 지상의 시스템을 권한 획득 했다는 것이죠. 마찬가지 결과 입니다만 항상 오해를 하죠.

실제 위성에 대한 권한 획득이나 외부조정의 배경에는 중국 군부가 있을 것으로 당연히 예측 되었으나 중국은 부인 하죠.

실제 사이버전의 배경도 마찬가지 입니다. 외부세력에 의해 분쟁이 조정 될 수도 있고 또 다른 세력에 의해 사이버전이 조장 될 수도 있습니다. 그만큼 실체와 정체를 확인 하기가 어려운 전장임은 분명합니다.

또 상대방을 조작하기에도 손쉬운 전장이구요. 미국에서 사이버전을 제 5의 전장으로 정의하고 물리적 전투력을 투입 하겠다는 것은 그래서 위험한 발상입니다. 위험한 발상이지만 그만큼 극도로 위협을 받고 느끼고 있다는 것의 반증이기도 하죠.

그럼 우리나라는??. 

흐 손이 아프니 그만 하도록 하죠.




China a minimal cyber security threat: Paper

관련 기사 및 Report 입니다. 한번 일독은 필요한 부분 입니다.
http://www.computerworld.com.au/article/405767/china_minimal_cyber_security_threat_paper/

http://www.securitychallenges.org.au/ArticlePDFs/vol7no2Ball.pdf   

중국의 단점은?. 한쪽으로 너무 치우쳐진 불균형적인 사이버전 전력.

극단적인 공격 측면에만 치우쳐져 있고 실상 방어에는 무기력한 면을 보이고 있다는 점. 단순한 기사들과 관련 기사들을 묶어서 종합적인 의견을 도출해낸 페이퍼 정도. 그냥 일상적으로 알고 있는 내용을 묶었다고 생각 하면 될듯.

공격에는 극한대로 올려진 공격력을 가지고 있으나 좀 더 복잡하고 하이브리드한 공격에는 약하며 ( 뭐 시간이 해결해 주겠지만.) 방어 측면에서는 상당히 취약함을 보임. 그러나 가장 두려워 해야 할 곳들은 어디인가를 살펴야 하는데 그게 부족한듯.


ICT가 활성화 되어 활발하게 활용되고 있는 모든 국가들 ( 아마 선진국이나 그 문턱에 걸려 있는 모든 국가가 해당됨), 즉 지켜야 할 것이 많은 국가들은 반드시 방어와 보호에 역량을 갖추어야 된다. 무조건 공격이나 탐지 되면 미사일 쏘겠다는 엄포로는 씨알도 안먹힌다는걸 알아야 되는데 안타까움.

일정수준 이상의 대응 경험, 계속 갱신되는 환경과 정보에 대한 업데이트, 다양한 대응수단, 일정 수준 이상을 항상 유지 할 수 있는 도구나 서비스의 자체 운영 등등.. 해야할 과제들이 이렇게 많은데 그냥 넋을 놓고만 있다.

일단 당하면 시작하자 ..이기도 하고 너무 무지해서 이기도 하며 정보통신은 그저 사회를 유지하는 도구일뿐이라고 생각하기 때문이기도 하다. 

인간의 단어는 사람 사이이고 사람 사이는 관계를 의미한다. 이 관계가 사회를 이룬다. 지금의 ICT 는 관계를 시.공간적으로 단축하고 즉시적 반응을 끌어내는 핵심적 도구다. 즉 사회의 기반이라는 말이다. 왜 SNS 인가? 부터..

허긴 당하고서도 허송세월 하기도 하는데 .. 다른 나라들을 말할때가 아니기도 하지.



Process, not just product, will save your IT department • The Register

http://www.theregister.co.uk/2011/10/26/rtfm_process/
 

일단 여기에 대한 의견은 많음. Grossman 의 의견도 맞지만 프로세스가 모든걸 해결 하지 않으며 그 프로세스가 또한 정답이 될 수 없음. Intermediate 한 도구 및 프로세스가 결합되어야 하는데 현재는 그것과 거리가 있음. ITIL 이나 Cobit , ISO27K 등도 모두 유용한 프로세스이나 이 프로세스를 도입하여 적용 하기에는 성숙도가 너무 떨어짐.


부유하고 여유가 있는 자들만이 이 세상을 가치있게 만드는 것이 아님.
모든 사람들에게 공정한 기회가 주어져야 하고 보안도 마찬가지 여야 된다고 생각함.

지금까지는 가진자들에게만 모든 보호 방안들이 주어졌으나 이제는 그렇게 되어서는 사회 나 시스템 전체를 레벨업 할 수가 없다고 보고 있슴.

그래서 본인의 선택은 ..모든 것을 자세하고 완벽하게 하기 보다는 가장 시급하고 손쉽게 공격당하는 부분들에 대해서 체크하고 아주 저가에 진단이 가능하며 실질적인 코딩 가이드까지 된다면 일차적인 문제는 해결을 할 수 있다고 봄.

빈자나 부자에게나 공정한 기회. 그 기회는 서비스로서 주어질 수 있다.

항상 보안을 한다고 하면 비싼 장비를 먼저 도입하는 것이 순서이고 당연한 것처럼 여겨졌으나 이 문제들은 앞으로도 공격기술의 빠른 진보에 의해 손쉽게 무너질 모래성임. 그렇다고 도입 하지 말자는 아니며 도입하되 더 중요한 가치를 어떻게 지키고 전체의 수준을 어떻게 유지 할 수 있을 것인가에 대한 고민이 필요하다는 점.

부자는 전체를 살펴 볼 수 있게 해주고 빈자에게는 당장의 시급한 문제를 해결 할 수 있게 해준다가 빛스캔의 서비스 컨셉임.

다만 한국에는 실정상 맞지 않는 부분이 있고 이미 알고 있는 부분이며 지금의 서비스 오픈은 차후를 대비한 명분축적용. 이미 글로벌 적용은 눈앞에 온 상황이고 거기에 포커싱이 되어 있을 뿐임.

제대로 되었을 경우의 뒷일에 대해선 언급 불필요.
알아서 느낄리도 없겠지만 댓가는 비싼 댓가를 치룰 것임.

이미 오래된 이야기이고 생각일뿐. 이젠 구체화의 타임.
앉아서 세상을 본다. 이게 인터넷이고 평등한 세상. 모두가 위협을 받는 평등한 세상에서 기회란 접근성의 확대와 시대적 문제를 해결 할 수 있느냐 이고 아직 이런 개념을 가지고 준비하는 곳은 없다. 오로지 돈이 목적일뿐.

이상과 방향이 없는 기업이나 서비스 모델은 이래저래 바뀌고 변경 되다 누더기가 되게 마련이고 종래에는 흔적없이 사라지게 마련이다. 그렇게 만들지는 않을 것이다. 어차피 대상은 여기가 아니니까..



Strong increase in hacker attacks targeting retailers - Security Park news

http://www.securitypark.co.uk/security_article266904.html

Dell Secure works에서 소매점 대상으로 분석한 공격의 증가 현상과 원인에 대한 내용. 의미 있는 내용들이 있슴. 이제 해외에서도 상황에 대한 기본 인지가 되어 간다고 봐야 할듯. 그러나 해답은 저기 먼 안드로메다에 여전히 가 있는 상태. 어쩌면 말그대로 자포자기 상태로 가는지도 모르겠다. 

지금껏 그 완벽한 보안솔루션 ( 최초 혹은 완벽 이라는 말이 안 붙은 솔루션이 있던가? .. 단지 현혹을 위한 단어 선택이라면 앞으로 계속 후회하게 될듯) 들의 역사는 그리 오래 되었음에도 불구하고 문제는 계속 더 커지고 확산 되는가 .. 고민이 필요하다.

간단하게 요약하면 전년대비 소매점으로 부터 들어오는 의심 트래픽에 대한 차단이 거의 43%가량 증가 했다는 이야기이고 이 근간에는 세 가지 주요 요인들이 존재 한다고 분석 .

1. SQL Injection에 의한 직접 정보 탈취 및 권한 탈취 -서비스 영역 

2. Web kit에 의한 대규모 확산 - 뭐 별거 아니다. Web으로 조정이 가능한 Web bot 정도 생각 하면 된다. 예전 Botnet은 저리 가라 할 정도..

3. Web을 통한 Download action에 의한 감염 - 이건 기본 보호 솔루션들을 통과하여 발생 하고 이후 Web kit을 전파하거나 다양한 공격 도구 및 권한 획득 도구를 시스템에 설치한다. 

이 세가지 항목 모두 사용자 베이스 및 서비스 베이스에 동일하게 발생이 된다는 것이고 근본적인 것은 단 하나다.

취약한 웹 애플리케이션에 의한 정보 유출 및 악성코드의 대규모 유포가 핵심!.
그리고 이 문제점을 수정 ,보완 하는 것은 매우 어렵다는 것을 의미한다. 수없이 많은 도메인 , 언제든 수시로 변경 되고 갱신되는 Web app 차원에 상시적인 보안을 유지 한다는것은 매우 어려운 과제이다. 앞으로도 계속 될 문제라는 것. 

앞으로 더 증가 할 것은 불을 보듯 뻔한 것 아니겠는가?
기존 도구들로 최대한 노력을 해보길~ 자신 이외에 주변 것들 까지도 같이 수준을 올려야 할 것이다. 듣기좋은 말 하지 않겠다. 할 수 있으면 해볼 것.

  
Posted by 바다란

FB에 올린 450자 짜리 단상을 묶어서 게재 합니다.
별도 컬럼으로 정리가 필요한 것들도 있지만 fb에만 자주 쓰다보니 블로그에는 자주 못 쓰는 경향이 있네요. 또한 450자로도 표현하기 힘든 많은 내용과 생각들이 있어서 아쉬움에 여기에 옮깁니다.
페북 주소


Recruiting and developing the 21st century cyber warrior

http://www.scmagazineus.com/recruiting-and-developing-the-21st-century-cyber-warrior/article/210230/


이 글은 미국방 분야에서 사이버 보안 인력을 뽑을때 문제가 되는 부분들과 비교가 되는 부분들에 대해서 잘 정리가 된 컬럼 이다. 정확하게 문제가 되는 부분들에 대해서 지적하고 있고 이 내용은 국내도 동일하다.

글을 읽어야 할 사람들은 도구로서 이용만 하려 하거나, 숫자만 채우면 된다고 생각 하거나, 시키면 할 것이다라는 모든 사람들에게 해당 된다. 일반 회사도 마찬가지 상황일 것이다. 
컬럼 자체는 정책결정 가능한 고위직, 군간부, 기업의 경영진이 꼭 봐야 할 내용이다. 물론 보안을 생각한다면..

결론적으로 가장 중요한 한마디만 요약하면 사이버 보안을 담당하는 인력들을 유인하기 위해 가장 중요한 하나는 동기부여 및 새로운 것에 대한 지적호기심 자극이 가능 중요하다고 할 수 있다. 별도 정리 예정


* 인력을 뽑는 다는 측면에서 고려해야 할 점이 많음을 볼 수 있다. 급여 및 다른 제반조건이 아무리 좋다고 하여도 다른 방향을 보는 사람을 포용하여 공동의 이익을 얻기 위해서는 서로가 같이 맞추어야 할 부분이 많다는 것이다. 가장 중요한 포인트는 두가지. 동기부여 측면과 공격을 강화 하는 것은 보호를 강화하는 것과는 다른 측면이라는 인식이 절대적으로 필요하다는 점이다. 

보안분야를 강화하기 위해 인력 양성이나 인력 확보를 노력 하는 모든 기업이나 기관, 국가에서 귀담아 들어야 할 내용이라 생각 된다.


구글을 이용한 정보 유출에 관련된 내용. 특별할 것은 없다. 여기에서 언급된 FTP 검색과 같은 경우 민감한 데이터들이 보호되지 않은 상태에서 나타날 경우 언제든지 외부에 의해 검색 될 수 있다는 점이고 . 예일대의 개인정보 유출 사건과 같이 FTP에 올려진 데이터가 검색에 의해 드러나는 경우를 예로 들고 있다. 


구글을 이용한 공격정보 획득은 이미 오래전 부터 이루어 지고 있고 지금도 활발하게 이루어 지고 있다. 고급검색을 통해 특정 URL과 인자를 조회하고 그 부분에 대해서 공격하는 기법, 파일 검색을 통한 정보 유출들은 일상적으로 있어온 일이다. 고급검색을 통한 URL 검출과 인자 검출 부분을 대응하기 위해서는 전체를 검사해야 하는 문제가 있고 이 문제는 앞으로도 오랜기간 지속 될 것이다. .

* 이 구글 해킹은 상당히 오래된 내용이며 단일 도메인에 대해서 공격을 하는 것은 이미 2005년에 출현을 하였다. 이 이전에 있던 것은 구글 도메인이 아닌 다른  유형의 php worm 이나 악성코드들이 있었으나 구글이 검색에서 주도권을 쥔 이후에는 이제 모두 이걸 이용한다. 그렇다고 구글에서 차단을 해 보았자 일정기간내의 횟수를 초과할 경우에만 제한이 걸리는데 이걸 공격자들은 가볍게 우회한다. 프락시 이용으로...

2005년에 출현한 것인 단일 도메인에 대한 공격 이였다면 2008년 무렵부터 지금까지 출현하는 대부분의 공격도구들은 전체를 대상으로 하고 있다. 불특정 도메인 ( 검색 조건에 맞는 모든 도메인이 해당된다. 특정 확장자에 특정 인자 사용 ..) 을 대상으로 공격과 악성코드 유포 시도를 반복하고 있다.

분명한 것은 지금의 공격 양상은 이 글을 읽는 분들이 생각하시는 것보다 휠씬 더 대규모이고 정교하다는 점이다. 이래서 대응이 어려운 것이기도 하고...

< 공격도구의 한 예이다. >

Epson, HSBC Korea, domain registrar hacked: 100,000 domains affected

http://www.zdnet.com/blog/btl/epson-hsbc-korea-domain-registrar-hacked-100000-domains-affected/55864
 

잭 휘태커에 의해 리스트된 가비아 해킹 사고. 해외에서 이런 기고를 보는 친구들은 어떻게 볼까?. 레지스타가 해킹 되어 주요 도메인을 포함한 10만개 이상의 도메인이 해킹 당한것으로 보이는 현실에서 단순한 문제라고 치부할 것인가? 근원적인 문제를 고민 해야 한다. 1.25때에도 DNS 가 문제가 되어 전체 서비스 연결이 안되었듯이 ( 서비스는 다 살아 있었다. 주소 매핑만 안되었을 뿐이지.) 앞으로도 동일한 현상은 심각한 문제라고 봐야 된다.


덧붙여 SK 컴즈의 해킹 사고에 대해서도 언급을 하고 있다. 해외에서 국내의 이슈에 대해 직접 언급 하는 것으로 볼때 이제 세상에 비밀이란 없고 우리끼리만 아는 것도 없는 것 같다. 


공격과 수비의 조합은 절묘해야 팀이 이루어 진다. 공격보다 수비가 어려운 것은 지금의 축구에서도 당연한 일이다.


* 이 부분에 대해서는 별도 언급을 할 필요조차 없다. 공격을 하는 것은 한 지점과 한 부분을 노려서 목적을 달성 할 수 있지만 수비를 한다는 것은 성을 수비하는 것과 같다. 항상 꾸준하고 전술의 변화를 볼 수 있어야 하고 공격 전술의 변화에 따라 능동적으로 대응을 해야 한다.

말이 쉽지.. 전체의 수준을 일정 수준이상 올린 이후에 변화를 따라가고 수성을 한다는 것은 최소한 공격보다 열배 이상.. 아니 그 이상의 노력과 진지함이 필요하다는 것이다.
공격진의 헛발질은 애교이지만 수비진의 헛발질은 자멸이다. 그렇다고 모두가 다 공격일변도로 나갈 것인가? 정말 어려운 것은 공격이 아닌 막는다는 게 더 어렵다는 것을 인식 해야 한다.  우리에게 정말 필요한 것은 이런 막을 수 있는 전략가의 부재와 인력풀의 협소함, 경영층의 인식 부족이 가장 큰 걸림돌이 될 것이다.

 

Android-becoming-windows-of-mobile-hacking-world
 

http://www.itpro.co.uk/635725/android-becoming-windows-of-mobile-hacking-world 

 

안드로이드를 Windows에 비교한 기사. 정확하게는 현재의 윈도우 시스템이 아닌 2000년 초반기의 윈도우쯤 될 것이다. 시스템 서비스의 문제로 인한 웜의 범람이 극대화 되었던 그 당시의 윈도우 시스템쯤 될 것이다. 안드로이드가 확대 되면 될수록 공격은 더 진지해 질 것이고 대응은 더 어려워 질 것이다. 대응을 위해서는 기존에 실험하지 못한 새로운 방안들이 도입이 되어야 할 것이다. 패턴 매칭은 이제 규모에 밀려 한계를 가지게 될 것이고 사전 대응이 아닌 사후 처리 용으로 사용하게 될 것이다.


지금의 백신들이 사전대응이라고 생각 하면 오산이다. 이미 확산되고 정체가 확인된 것들을 제거 하는 사후 처리용. 악성코드의 생존기간이 짧고 확산은 빠르고 대규모인 특징이 전세계 AV 업계 전체를 패전처리용으로 몰고 있다. 갈길은 아직 멀었다.

 


* 사용자가 몰리고 제한이 허술하면 당연히 공격은 증가하게 마련이다. 애플도 안심 할 수 있을까? 그나마 애플은 전수검사라도 하지 안드로이드는 안습니다.  전수검사를 해도 한계가 있고 심각한 문제들이 발생 하는데 그렇지 않은 곳은 계속 문제가 발생 된다. 

안드로이드도 마찬가지 상황이 되겠지만 현재의 인터넷 상황은 공격자들의 일방적인 학살과 다름이 없다. 보호를 받고 노력을 기울이는 곳들은 방문자들의 환경 (즉 PC)이 초토화 되어 서비스적인 위험에 노출되어 있고 그렇지 않은 노력을 기울이지 않는 곳들은 그냥 열려 있는 상태이다.  그렇다면 일반 사용자의 환경은 언급하기 어려울 정도로 피폐해진 상황이라 볼 수 있다.

누가 백신을 사전대응이라 하는가? 지금의 양상은 단상에 언급했듯이 전세계 AV 업체 모두가 패전처리용에 몰린 상태라고 봐야 된다. 공격자들의 도구의 활용과 전술의 변화는 AV 뿐 아니라 대부분의 보안업체를 규모에서 압도하고 관찰까지 하는 여유를 보이고 있다. 관찰의 의미는 대응여부를 확인하고 바로바로 변화를 준다는 의미이다.

3일만에 대응이 가능한 AV 업체가 있을까? 구글의 stopbadware는? 날마다 바뀌는 코드의 종류를 탐지가 가능할까? .. DNA를 이용한 검증 조차도 무력화 시키는 도구들이 일상적으로 사용 되고 있는데 앞으로 보안업체 모두가 고난의 시간을 걸어야 할 것이다. AV는 물론이고 정통적인 보안업체들도 마찬가지 이리라.

결론은 지금의 짧은 호황을 좋아 하기에는 상황이 심각하다는 점을 알아야 된다는 이야기이다.

- 바다란 세상 가장 낮은 곳의 또 다른 이름



Posted by 바다란



디지털 데일리 인터뷰 기사 입니다.
제가 보는 모바일 분야의 위협은 인터뷰 기사 내용 그대로 입니다.
현재로서는 단편적인 대책외에는 없고 종합적인 시각은 없다 입니다.

종합적으로 향후 발생 될 수 있는 위협을 찾아내야 하고 그걸 막을 수 있는 방안과 문제점을 최소화 할 수 있는 도구들을 찾고 만들어야 할 때입니다.

스마트 시대의 보안 대처법과 대응전략이라는 주제로 인터뷰를 했는데 김홍선 대표와 같이 실렸네요. 제가 보는 위협의 임계점은 모바일이나 스마트폰으로 금전적인 거래나 이익 창출이 가능한 시점에 도달 했을때 폭발적으로 늘어날 것이라는 점입니다.
티핑 포인트에서 발간한 위협 분석 보고서에서 보듯이 사파리 브라우저에 대한 공격과 취약성 발견 비율은 2009년 부터 급증하고 있습니다. 이 이야기는 아이폰의 서비스 활성화 시기와도 일치한다고 봐야죠. 전 세계적으로 활용 할 가치가 있을때 그 때부터 공격과 취약성 발견은 시작 됩니다. 

애플의 보안적인 문제가 없다고 하는 것은 착각이라고 할 수 있습니다. 지금껏 공격이 다양하게 발생 하지 않은 이유는 그만큼의 가치가 없었기 때문이죠. ( 공격을 통해 얻을 수 있는 수익이 적기 때문에 발생 하지 않았다고 봅니다.)

이제는 충분히 이득을 창출 할 만큼의 시장이나 가치가 있기 때문에 지금 이 순간에도 새로운 취약성들과 알려지지 않은 문제점들을 활용한 공격들이 충분히 나올 것입니다.

운영체제의 문제와 관련해서는 모바일 분야에서 왜 우리가 주도적인 보호 역할을 할 수 없느냐 하는 것은 PC의 운영체제와도 비교해 보아야 합니다. 윈도우 운영체제의 경우 시스템 레벨에 접근하여 작업을 하거나 변경을 하는 것들이 가능해 진지는 몇년 되지 않습니다. 문서화 되지 않은 코어 부분에 대해서는 SW 대기업 몇몇 곳들만 협력하여 정보를 공유했었죠. 국내의 보안업체의 경우에도 MS와 협력을 통해 시스템단위의 정보 공유를 하기 시작한 것이 몇년 되지 않으며 업체도 많지 않습니다. 문제를 근본적으로 막는 구조적인 보호대책은 MS만 할 수 있습니다.  여러가지 문제들이 있기 때문이죠.



모바일 분야에서는 예를 들어 애플의 IOS 시스템 단위에서 작동하는 보호도구를 만들 수 있을까요? 시스템과 밀접하게 연결되어 상호 보완적인 역할 을 하는 보안도구를 설치 할 수 있을까요? 아마 어려울껍니다. 앞으로도 아주 오랫동안 어려울 것으로 보입니다. 주도적인 역할은 어렵다고 보며 잘해야 보조적인 역할을 할 수 있는 것이죠.

그래서 근본적인 보안 위협에 대한 대책은 단편적으로 흐를 수 밖에 없습니다.
이게 현실인거죠.

앞으로의 위협들은 지금까지와는 다른 양상으로 발전을 할 것입니다.
대처 방안도 그리 많지 않아서 꾸준한 협력과 체제의 구축이 일정 부분 발생 가능한 위협을 줄일 수 있을 것으로 보고 있습니다.



한편, 전상훈 팀장은 지금이 “향후 나타날 수 있는 스마트폰 보안위협을 보다 종합적인 관점에서 분석하고 전망해야 할 때”라고 강조했습니다. 

“아직은 스마트폰으로는 공격자들이 얻을 가치가 떨어져 그 보안위협이 현실화되지 않았지만, 앞으로 스마트폰을 이용한 상거래, 금융거래가 활성화되는 시점이 오면 위험이 폭발적으로 증가할 것”이란 게 그의 전망입니다. 

스마트폰 금융거래가 일반화되는 시점에 PC만큼, 아니 그보다 더 강력한 보안위협이 다가올 것이라고 전 팀장은 확언했습니다. 스마트폰 가입자가 폭증하는만큼 스마트폰 기반 전자금융서비스 가입자도 매달 폭발적으로 증가하는 추세인데요. (참고 - 금융감독원 집계) 

모바일 운영체제를 직접 국내에서 개발하고 있지 않기 때문에 기본적으로 한계가 존재하겠지만, 현재 우리가 접근하고 있는 스마트폰 보안 대책은 “단편적”이라는 것이 전 팀장의 지적입니다.

전 팀장은 “스마트폰 보안은 백신 위주의 단말기 보안이나 웜, 악성코드 대책과 같은 단편적인 방식으로는 종합적인 대책을 마련할 수 없다”면서, “스마트폰 단말기와 와이파이, 3G/4G 등 통신망, 인터넷 기반 금융거래 환경, 웹 등 모든 서비스 구성요소까지 포괄해 향후 발생가능한 보안위협과 위험 시나리오를 예상해야 하고, 그에 따른 세부 대책을 수립해야 한다”고 강조했습니다. 
   
미래 위협을 전망한다는 것이 쉬운 일은 아닐텐데요. 전 팀장은 “PC와 인터넷에서 경험한 위협에서부터 시작해 이를 바탕으로 스마트폰에서 발생 가능한 것을 찾아내는 것이 하나의 방법이 될 수 있다”고 제시했습니다. 

현재 전 팀장은 카이스트 사이버보안센터에서 미래 발생가능한 보안위협에 대처할 도구와 체계, 서비스를 만드는 일을 직접 하고 있습니다. 

그는 미래 위협을 예상하는데 있어 올해 등장, 전세계적으로 이슈화된 두가지 악성코드에 주목하고 있습니다. 하나는 지난 8월 이슈화됐던 아이폰 운영체제(iOS) 취약점을 악용해 강제로 탈옥시킬 수 있는 악성코드와 원자력발전소 등 폐쇄된 산업시설을 감염시키는 악성코드 ‘스턱스넷’입니다.

Posted by 바다란

얼마전 Facebook에서 대량의 메시지 및 어뷰징들이 있었습니다.
최근 판결난 기사를 보니 개인으로서는 상상하기 힘든 금액의 벌금을 부과 했더군요.

http://media.daum.net/digital/view.html?cateid=100031&newsid=20101007021016130&p=yonhap

최근에도 관련 이슈들이 계속 있어 왔습니다만 본 사건은 2008년에 있었던 사건입니다. 400만건이 넘는 스팸성 메시지를 페이스북 유저들에게 발송한 케이스로 벌금 부과액은 8억 달러가 넘습니다. 엄청난 금액이죠.

한가지 주의 깊게 볼 부분은 기사 내용중의 법원 판결 부분입니다.

"법원 기록에 따르면 페이스북은 쿠티에레즈가 피싱(phishing)을 통해 암호를 훔친 뒤 봇넷(botnet) 컴퓨터들을 이용해 페이스북 계정에 침입했다고 주장했다. 봇넷은 해커들에 의해 사용자도 모르는 사이에 스팸이나 바이러스 등을 전파하도록 하는 악성코드 봇(bot)에 감염된 컴퓨터 네트워크를 말한다. "

2008년에도 "애플과 보안 컬럼에서 설명 하였던 구조적 어뷰징은 존재하고 있었습니다. 이미 그 이전 부터 관련 현황을 살펴 보고 있었던 필자의 입장으로서는 좀 더 다른 해석이 가능합니다. 
문제가 되는 부분만 살펴 보겠습니다.

1.피싱을 통해 얼마만큼의 암호를 훔칠 수 있었을까요? 
2.봇넷을 이용해 페이스북 계정에 침입 할때 어떤 식으로?
3.단순한 스팸 메일 이였을까요?

위의 세가지 내용이 대표적인 문제라고 보입니다.
첫번째는 서구권에서는 아직 악성코드에 의한 정보 유출과 계정 정보의 획득에 대해 이해도가 그리 높지 않은 편입니다. 하다못해 보안 분야의 기업들 조차도 심각성에 대해 인지를 잘 못하고 있는 상황인데 법원등에서 이해를 할리 만무합니다.  일반적으로 피싱이란 메일등을 보내어 사용자가 클릭 하였을 경우 임의의 사이트로 이동을 하도록 하고 그곳에서 입력되는 정보를 공격자가 빼내어 가는 것을 말합니다. 실상 성공 비율이 높지 않으며 그 정체가 빨리 드러납니다.  그래서 Facebook에 접근하기도 전에 이미 정체가 파악이 되었을 가능성이 높습니다.

제가 보는 관점은 PC에 설치된 악성코드들을 이용해 페이스북 로그인 시에 입력되는 이메일과 패스워드를 확보 하였을 것으로 보입니다.  로그인 시의 키입력등을 가로채는 방안이 주로 사용 되었을 것입니다. ( 가로채는 방법은 하드웨어적인 키입력을 가로채는 것 이외에도 전송단계에서 가로채기, 브라우저에 올려지는 단계에서 가로채기등 다양한 기법들이 활용 되고 있습니다.) 

해외에서도 zeus 와 같은 봇넷이 활성화 되어 있고 수백만대 이상의 감염수치를 가지고 있음은 의심 할 수 없는 사실입니다.

두번째로 페이스북 계정에 침입 할때 봇넷을 이용하였다는 부분도 설명이 필요합니다. 이 부분은 첫번째 부분과 문제가 충돌 되는데 제가 보는 관점은 일단 정보 확보에만 봇넷을 이용하였을 것이고 이렇게 확보된 정보를 활용하여 몇몇 지점을 통해 페이스북에 로그인 하는 자동적인 프로그램을 활용 하였을 것입니다.

이런 자동 로그인 유형의 프로그램은 개발이 쉽고 간단한 유형이라서 그리 어렵지는 않습니다. HTTP로 전달되는 패턴만을 맞춰 주면 되기 때문이죠. facebook에 유효한 로그인 패턴을 만들고 여기에 사용자 계정 정보를 실어서 전달 하였을 것입니다. 더불어 http 상에서 동작하는 facebook 서비스의 구조 파악이 그리 어려운 것도 아니기에 간단하게 파악을 하고 어떤 식으로 활용 될지도 프로그래밍 되어 있었을 것으로 예상 됩니다.

이전의 사고조사나 샘플 수집을 통해서도 유사 사례를 많이 발견 했었기에 충분한 내용으로 보입니다.

세번째는 스팸메일 발송이라고 했지만 Facebook에서 단순히 타켓이 불분명한 대상에게 보내진 스팸을 가지고 문제를 제기 했을리는 없습니다. 이것은 내부 구조. 즉 Facebook에 등록된 Friends list를 바탕으로 facebook이 위험을 느낄만큼의 타켓화된 메시지 발송이 이루어 졌기 때문에 문제가 된 것입니다.


최종 정리하면 개인 PC에 설치된 악성코드를 통해 개인의 접속정보를 빼내어 가고. ( 비단 facebook만일까요? ..절대 아니죠.) 빼낸 정보를 가지고 facebook 로그인 절차 및 내부 친구 리스트를 이용한 메시지나 쪽지 , 게시물등을 일거에 쓰거나 발송 하는 프로그램을 돌렸을 것입니다. 

Facebook의 대응은 한 계정이나 한 IP에서 과다한 접속이 발생 했을때 통제를 가하는 방법도 하고 있을 것이고 또 경고의 의미로 소송을 걸기도 한 것이구요.. ( 그러나 악성코드를 유포 했을 경우는 소송은 무의미 하겠죠? 누가 만들고 했는지도 모를테니..)  서비스 보호를 위한 어뷰징 대응은 시간이 지날 수록 강화 될 수 밖에 없습니다. 그만큼 사용자 불편도 증가하는 현실이 되겠지만 말입니다.

기사 자체만을 보면 문제는 없지만 내용상의 전개 오류가 많이 보이고 현실을 대변하지 못하는 듯 하여 부연 설명 해 보았습니다. 구조적 문제를 이용한 어뷰징도 앞으로는 더 문제가 깊어질 것으로 보입니다. 한국내에서 유행하는 해외서비스들 대부분이 대응책이 확실하지 않기 때문에 앞으로도 장기간은 문제가 계속 될 것으로 예상됩니다.


- 바다란 세상 가장 낮은 곳의 또다른 이름







Posted by 바다란

zdnet 연재 컬럼입니다. 컬럼에서는 축약되고 생략된 부분들이 있습니다만 전체적인 맥락은 유사합니다.
여기에는 축약되지 않은 원문을 게재 합니다. 
- 앞선 애플과 보안-1편과 연계하면 이해가 좀 쉽습니다. 그래도 지금편 만으로도 이해는 충분 하실듯.
더불어 Safari 브라우저에 대한 취약성 발견 비율 증가는 애플에 대한 만만치 않은 공격들이 계속 이어 질 것임을 예고 하고 있습니다. cross platform에 대한 문제는 계속 될듯. 또 SNS의 구조적 어뷰징에 관한 문제는 zdnet 컬럼중 small world의 security 편을 참조 하시면 됩니다. http://p4ssion.com/205  이미 지금의 문제는 예상 되어 왔었고 징후는 존재 하고 있었다는점 항상 잊지 않으셨으면 합니다. 다음 편에 좀 더 상세하게 해보도록 하겠습니다.


현재 문제가 되고 있는 어뷰징은 어디에서부터 시작 되는 것일까?

 

어뷰징이라는 관점은 비정상 행위라는 관점에서 볼 수 있다. 9월에 있었던 트위터의 xss취약성의 경우에도 몇십만에 달하는 피해자가 발생 할 수 있었던 근본은 서비스 구조를 이용한 어뷰징이라 할 수 있다. 단순하게 사용자 계정을 활용한 정보탈취와 오용과도 연결이 되어 있다.

사용자의 계정정보가 유출 되었고 또 서비스의 구조적인 문제와 결합될 때 문제는 확산되고 커진다. 단순한 서비스의 취약성을 이용하였을 뿐임에도 불구하고 수십만의 사용자에게 짧은 시간에 확산된 공격은 피해의 심각성을 나타내 주고 있다.

 

구조적인 문제와 개인정보의 유출로 인한 어뷰징으로 분류 할 수 있고 구조적 문제는 서비스의 특성을 이용한 유형이며 개인정보는 유출된 계정정보를 활용하여 서비스에 혼선을 주는 것을 의미한다. 현재 유포되는 대부분의 악성코드는 사용자의 온라인 활동에 관한 중요 정보를 빼내어 가는 것이 주된 목적이다.  대규모로 계정정보를 빼낸 이후 특정 서비스에 대량으로 로그인을 한다.  여기에서 서비스 구조를 이용하여 공격을 지속적으로 확대 시켜 나가는 것이다. 이런 유형을 다른 말로는 서비스웜이라고 부를 수도 있다. 특정 서비스에 국한된 웜이라는 의미로도 볼 수 있다. 트위터에 등록된 팔로워에게 자동적으로 DM이 발송 되도록 하고 친구 혹은 메신저에 등록된 사용자에게 자동적으로 악성코드의 링크나 악성파일이 전달되는 행위 모두가 서비스 웜의 형태에 해당 된다고 볼 수 있다. 애플의 북스토어에서 판매량을 늘리기 위해 순위를 조작한다던가 하는 사안들도 가볍게 포함이 될 수 있다.

 

어뷰징의 시작은 취약한 서비스로 인한 확산 ( 트위터에 대한 XSS 공격- SNS  서비스에는 치명적인 결과를 초래한다. 금융기관에 대한 피싱공격으로 주로 사용되는 XSS 취약성은 SNS 서비스에서는 또 다른 결과를 초래 할 수 밖에 없다. ) 과 대규모 정보 유출로 인한 서비스 혼란과 연결 되어 있다. 취약한 서비스로 인한 확산은 차후에 다시 정리 하도록 하고 현재 TGIF ( Twitter, Google,  Iphone,  Facebook) 로 대변되는 글로벌 혁신의 충돌에서 가장 위험성이 높으며 현재까지 대비가 안되고 있는 부분을 먼저 살펴 보도록 하자.

 

TGIF 서비스 모두 (Iphone 의 경우는 앱스토어의 사례가 해당된다.) 서비스를 운용하고 있으며 모든 인증 기반은 사용자가 입력하는 계정정보에 따라 직관적으로 구분되어지고 영역을 가지고 있다. 즉 로그인 하는 ID/ Password 기반의 정보를 가지고 사적인 영역이 구분되어 있으며 활용이 이루어 지고 있다. 무상으로 활용 할 수 있는 서비스가 아닌 유상으로 이용 할 수 있는 서비스들이 확대되고 있는 상황에서 단순한 ID/Password 인증 이외에 활용하는 보조적인 도구들은 PC에 대한 인증 외에는 없다. 사실상  PC에 대한 인증조차도 또 한번의 확인절차에 지나지 않으며 제한적이고 구속적인 영향력을 가지지는 않는다.

 

해외의 서비스는 개인정보(이른바 주민번호)가 포함되지 않기 때문에 유출 되어도 영향력이 없을 것이라고 이야기 한다. ActiveX로 대변되는 보안도구나 서비스들도 운영 되지 않기 때문에 편리하고 표준을 준수한다고 이야기 하기도 한다.  과연 그럴까?

온라인상의 서비스에 또 다른 아이덴티티를 가지지 않은 사람은 인터넷 서비스 사용자 중에는 거의 없다. 기업의 입장에서도 마찬가지이다. 온라인상의 활동이 중요해지고 영향력을 가지는 지금에 이르러 온라인 상의 가치를 평가절하 할 수 있는 사람은 별로 없을 것이다.  유료결제가 가능한 서비스들이 활성화 되고 결제 모듈들은 단순한 사용자 정보 입력에 의해 거래가 이루어진다.  공격자에 의해 권한이 모두 획득 당한 PC에서 입력하는 모든 정보들은 공격자에게 고스란히 전해진다.  공격자는 그 정보를 분류하고 정리한 이후 어떤 방식으로 활용 할 것인지 결정 하기만 하면 된다.

 

해외의 모든 서비스들은 현재 사용자가 입력하는 정보를 일단 신뢰한다는 가정하에서 운용이 되고 있으나 그리 오래 갈 수는 없을 것이다. 도용과 오용으로 인한 사고와 문제 발생은 서비스의 입장에서도 문제가 될 수 밖에 없어서 다양한 대책들을 강구 할 수 밖에 없게 될 것이다.  대규모 공격의 피해는 국내에서 가장 극심하게 발생이 되었었다.  메신저나 블로그, 카페, 미니홈피 등에서 자신과 연결된 사람으로부터 사기성 메시지나 광고글, 악성코드 링크를 받아 보지 못한 사용자가 얼마나 될까?   활동이 활발한 사람일수록 위험에 노출 되는 횟수가 잦을 수 밖에 없다.  그 결과로 국내의 금융기관에는 악성코드의 행위를 통제하거나 정보 수집을 방해 하기 위한 다양한 도구와 서비스들이 부착 되었고 로그인 과정에서도 단계별로 나뉘어진 과정들을 지금도 충분히 확인 할 수 있다.   TGIF 로 대변되는 서비스들 모두 그 과정을 따를 수 밖에 없다. 이것은 당연히 예상 될 수 밖에 없는 흐름이다.  애플이 보안을 잘해서 안전한 것이 아니라 공격자들에게 그만큼 이득이 될 가치가 없었기 때문에 실제적인 공격이 발생하지 않은 것이다. 애플에서 만든 사파리 브라우저는 애플의 전체 제품군에 활용이 되고 있고 iphone 에도 기본장착이 되어 있다. 이 의미는 사파리 웹 브라우저의 취약성을 찾게 되면 핸드폰부터 맥OS까지의 모든 라인업을 공격 할 수 있는 도구를 가지게 됨을 의미한다. 그 이후에는 금전적인 이득의 창출로 이어질 것이다.

 

앞으로 금전적 이득을 얻기 위한 공격은 증가 할 것이다. 그만큼 가치가 있고 영향력이 있기 때문에 당연히 증가 할 수 밖에 없다. 그 예는 단순하게 사파리 브라우저에 대한 취약성 발견 빈도만 보아도 확인 할 수 있다.

 

Tippingpoint 에서 발간한 2010 상반기 보고서 참조 - http://dvlabs.tippingpoint.com/toprisks2010

 

2008년부터 부분적으로 문제들이 발견되기 시작하다 2010년에 이르러서는 폭발적으로 증가하는 비율을 볼 수 있다. 애플에서 운용하는 플랫폼이 세계적인 영향력을 발휘하는 시점에 이르러서야 이제 공격자들은 직접적인 활용 방안을 찾으려 함을 볼 수 있다. 취약성은 본래부터 있었으나 다만 비용대비 효과 측면에서 찾아내지 않았을 뿐이다. 여전히 매력 있는 공격 대상은 IE 브라우저이나 최근에는 Adobe사의 PDF Flash player에도 상당히 많은 공격이 발생 되고 있다. 이젠 제로데이가 두려워 PDF 문서도 제대로 읽지 못하고 Flash 도 위험성을 안고 보아야만 하는 상황에 직면해 있다. 공격자들이 형세적으로 압도하고 있는 형국을 느낄 수 있다.

 

Flash player에 대한 취약성 발견도 급증하고 있으며 IE 브라우저에 대한 신규 취약성 발견도 2009년에 급증 하였으며 현재는 소강 상태임을 볼 수 있다. 이 모든 취약성 발견이 사용자의 개인정보를 획득하고 개인 PC를 좀비PC로 만들기 위한 노력으로 완전하게 연결이 된다.


* 악성코드 유포 현황이나 취약성 발견 비율을 살펴 보면 지금의 흐름을 이해 할 수 있다. 어떤 문제들이 심각하게 대두되고 있고 문제가 될 수 있는지에 대해 손쉬운 이해가 가능해 진다.


이제는 바야흐로 개인PC를 공격하여 점유하고 서비스를 혼란케 하여 이득을 취하고자 하는 공격자들의 시대이다. 서비스를 완전하게 만든다 하여도 개인의 입력을 신뢰할 수 없다면 위험은 계속 될 수 밖에 없다. 구조적 해킹으로 볼 수 있는 서비스에 대한 어뷰징 시도는 사용자 정보의 유출과 밀접하게 관련되어 영향을 미칠 것이다. 더불어 트위터의 사례에서 볼 수 있듯이 SNS 서비스의 취약성은 사용자에게 직접적인 영향을 줄 것이다.

 

사용자 정보유출을 위한 공격 방식의 변경은 기업이나 서비스망에 대한 직접적인 해킹에서 사용자의 PC에서 정보를 빼내어 가는 것으로 변화하고 있다. 기업과 서비스망에 대한 보호 절차 강화와 저장 데이터의 암호화 등으로 침입이 어려워지고 직접적인 데이터의 활용이 어려워 짐에 따라 개인 PC를 공격 하는 방식으로 변경 되었다. 이 과정에서 핵심요소는 얼마나 많은 사용자에게 효과적으로 악성코드를 유포 할 수 있느냐 하는 유포 방식에 대한 것이 핵심이다.

 

지지금의 악성코드 유포 방식은 바이러스나 웜, 스팸메일과 같은 고전적인 공격 보다는 SNS와 같은 신뢰를 가진 서비스를 통한 전파나 웹사이트에 방문만 하여도 감염이 되는 웹 사이트를 통한 악성코드 유포가 일반적인 유포방식으로 대두되고 있다.

 

신뢰하는 자에게서 온 링크를 클릭 할 비율은 높아진다. SNS를 통한 악성코드 유포는 신뢰에 기반한 서비스를 무너뜨린다. 웹사이트에 방문하여 기사나 게시물을 읽기 위해 접근만 하여도 PC에 설치된 백신들은 알려진 악성코드 일 경우 악성코드 발견을 경고한다. 그러나 새로운 취약성들은 계속 발견이 되고 제로데이라 불리는 대책 없는 공격들은 계속 증가 할 수 밖에 없다.

사용자 PC에 설치된 악성코드들은 헤아릴 수 없이 많은 개인정보들을 직접 유출 하고 이 정보를 이용해 공격자는 서비스에 대한 직접적인 어뷰징을 가하고 때로는 오프라인에서의 도용을 하기도 한다. 어눌한 말투의 보이스 피싱 전화나 메시지의 폭발적인 증가가 대규모 정보 유출 이후부터가 아니였을까? 단순한 보이스 피싱에서부터 신상정보를 알고 있는 듯한 정확성을 가진 보이스피싱이나 메신저 피싱까지 모두가 아무런 정보도 없는 상태에서 시작 되었을까? 금융기관의 예금이 사라져 기업이 파산의 위기에 내몰리는 해외의 사례는 정말 개인정보 취급의 문제일까?

근본적인 고민을 해야 할 때 이다.

 

대책과 관련해서는 2007년에 작성해 둔 향후 나타날 위험과 대응 방안에 관한 문서를 참고 하는 것이 좀 더 실상을 알 수 있게 해줄 것이고 문제가 어떤 부분인지 조금 더 자세히 알 수 있을 것이다. . http://p4ssion.com/199 (IT 서비스의 현재 위험과 대응에 대해- 첨부문서 참고)

 

이미 현재의 상황은 예상 되었던 바이고 준비는 그에 미치지 못하는 부분들이 있을 뿐이다.

 

-       바다란 세상 가장 낮은 곳의 또 다른 이름

Posted by 바다란

아주 오래된 글을 우연찮게 찾았다.  읽다보니 그 당시의 심정을 알 것 같은 느낌이 새록새록

2000년이 되기전에 쓴 것 같은 기억이 ~~ 지금도 해당될까? 하는 궁금증은 들기는 하지만 그냥 무시하고 올려본다. 아마 해커의 길을 처음 쓰면서 같이 썼던것 같은데 아무튼 오래된 글이다. 아직까지 남아 있다는게 신기한 정도

 

지금의 프로그래머란 정의는 딱 한줄로 될 수 있을 것 같다.

" 스스로가 생각하는 것을 그대로 구현 할 수 있는자 "

그리고 내용중 귀를 엷게 만들지 말라는 지금도 당연한 사실. 시류에 흔들리다보면 언어의 유행에 흔들리다 보면 외딴섬에 난파된듯한 자신을 발견 할 수 있을 것이다. ^^

 

------------------------------------------

..
솔직히 말해서.되는 방법이란 것은 없다.

다만 자신이 진실로 원하느냐 원하지 않느냐가 문제일 것이다.

프로그래머라고 불리어 지기를 원하느냐 아니면.. 스스로 자칭을 하느냐...

어느쪽이든 간에 나쁘다 좋다를 떠나서...

밥벌이의 수단이나.. 혹은 그냥 보기 좋아서 선택한다 하면...

일단은 내 기준에서 보기엔..제외하겠다..( 주관적인 의견..)


자신의 의지와 열정을 굽히지 아니하고 어려운 생활을 스스로 감내하면서도

스스로의 창의성을 살리고 창조의 욕구를 해소 시키는 자.


우선..쓸데없는 서론은 관두고..정신적인 자세와..공부매체에 대한 것으로 나누어서 보도록 하겠다. 우선은 정신적인 자세부터...지극히 주관적인 것이니. 객관적이지 못하다라는 필요없는 반론은 그만 두기 바란다. 그럼 시작한다.

 


==============================================================================


@@@@  프로그래머가 되기위한 정신적인 방법

==============================================================================


1. 하나를 잡고 끝까지 고민하고 그 모르는 하나의 근본이 무엇일지 생각해 보라.


대개 보면..C 언어에서는 포인터 부분을 잘 몰라서.. 포기 하는 부류가 가장 많은 것 같다. 그러나 근본원리라는 것은 변하지 않고 모양만 변하는 것일뿐인데..
이용하는 자원은 정해져 있다는걸 명심하고.. 가장 근본이 되는 모습을 보고 어느정도 이해 하려고 하면 처음은 어려워도 시간이 지날 수록 쉽게 다가옴을 명심하시길..

 


2. 하나의 언어에 대해서 자신이 있다고 말할 정도

또..스스로 생각하는 걸..그것이 작던지 크던지 간에 창의적으로 구현을 할 수 있다면 어느정도 자신이 있는것 아닐까?.. 언어의 유행과 주기를 떠나서.. 스스로가 공부를 하기 위해서 선택한 것이라면 스스로가 생각하는 창의성을 제약하지 말고..마음껏..노력하고 마음껏 다듬어.. 스스로 애지중지 할 수 있는 하찮은(?) 프로그램이라도 개발해 보는 것이 순서이리..

 

3. 귀를 엷게 만들지 말라.

이것이 유행한다..저것이 유행한다 하여..이리로 타고 저리로 옮겨타구..하는 것은 시류에 가장 잘 적응 하는 것일수도 있지만.. 좀 길게 생각해 보면.. 시간들여서.헛짓 하는 것일 수 있다. 또. 깊이가 없는 앎은 언제나 결정적인 때에 시들어 버리고 마는법이다.

 

4. 사회의 어느부분에 도움이 되고 싶다는 열망을 가져라.

이 부분은 나 같은 성격에는 잘 맞지는 않는다고 생각하지만. 개인적으로 생각하기에.. 스스로가 바꾸고 이런쪽으로 이끌었으면 좋겠다고 생각하는 부분을 두고 구체적으로 생각하고 고민한 후에 직접 실천해보라.. B2B 솔루션에서 획기적인 생각을 하였고..또 그걸 구체화 하기 위해서는 어떤것들이 필요한지.주위에서 습득을 하고..노력을 기울여라

 

5. 이제 그대가 할 수 있는것은 창조 뿐이다.

마지막..단계이다.. 창조성을 살려야 한다. 십수년의 갇힌 교육으로..강요 되어져온 창의적인 야수성을 살려라.. 그리고 나아가라. 그대의 길로.. 그것이 guru 의 길.


===============================================================================

@@@ 프로그래머가 되기 위해  학습을 하는 방법 @@@@@

===============================================================================


1. 우선 초보책을 산다. 프로그래밍 초급.. ( 아무래도 근간은 C 일듯..)
 
 언제나 말하지만..책 사고.배우려고 하는데 돈을 절대 아끼지 마라.. 지금 당장이든 언제는 돌아오지 않을 듯 보여다..깊어지고 깊어지면 반드시 돌아오는 법.
초급에 관련된 책들을 여러권 사서 보면서 그 책들에 기술되어 있는 부분에 있어서..
분명히 같은 개념을 말하지만..말이 어렵거나 다르게 쓰여져 있는 부분이 반드시 존재한다. 이런 부분에 대한 궁금증과 호기심을 가지고 골똘히 생각해보라.

 

2. 분야별로 전문적이거나 중급수준의 교재를 나름대로 선정한다.

누구나..초급을 벗어났을때..교재의 선정에 애로점을 지닌다. 그러나 발로 돌아다녀보구..여러군데 쇼핑몰을 돌아다니면서..찾아보라..이때에 선정해야할 책의 내용으로는 개인적으로 생각하기에는 초급에서 알았던 내용과 모르는 내용이  50:50으로 섞인것 을 보는 것이 적절히 흥미를 유지하면서 하기에 좋았던것 같다.

전문적인 부분에 있어서는 1번 단계에서 말한 내용중에 같은 것을 설명하면서도 다르게 풀이가 된 부분을..집중적으로 생각하고.. 스스로가 정의를 한번내려 보라..

ex) 포인터의 사용법과 쓰임에는 선언과 정의가 있다. 이 선언과 정의에 대하여 스스로가 정의를 내려보라.
간단히..선언은  이런것이 있다고 알리는 것..
정의는 이런것을 이렇게 쓰는것..뭐 이런 식의 스스로의 해석이 있어야 될 것이다.

 


3. 다독을 하라.

프로그래밍의 근간은 모방과 많은 소스 코드를 보고 이해하려는 노력들이 모여야만 한다.
노력이 없이는 되는 것이 없는 법이다.
많은 책을 읽고 그 차이점과.. 책의 오류에 대해서 나름대로의 판단기준으로..의견을 낼 정도로  많은 책을 보라.. 굳이 돈 없다는 이야기 하지 마라..
학교 도서관이나. 공공 도서관 가도 요즘 프로그래밍 책들 예사롭지 않게 만날 수 있다. 예전과는 다르게....
또..웹사이트는 폼인가?.. 돌아다니면서..잘 찾아보라..

 

4. 다독을 하면 반드시 한계를 지니게 된다. 그걸 넘어서라.

외국어를 알아야 한다. 최소한..우물안 개구리가 안 될려면..회화를 알아야 한다는 것이 아니다. 읽을 줄 알아라.. 정확한 문법이고 이런거 필요없다. 그대가 만약 토익이나 토플등에 관심이 있다면.. 문법을 따지겠지만. 그대가 지식을 익히려는 목적은 프로그래밍이 아니던가??.. 차이를 가져보라.. 우리나라의 책들이 말하는 지식과.. 다른 나라에서 만든 책들중에서..차이를 느껴보고.. 전문성을 보려고 하라.

 

5. 많은 자료를 웹사이트에서 찾아보고..반드시 생각해보거나..써보아라.

공부하라.. 인터넷의 세계는 양면의 칼날이다. 잘 쓰면 쓸수록 깊이를 지니는 도구일뿐.
그리고..스스로의 아는 지식의 빈약함에 대해.. 반성하라.
이제 상업적으로도 성공하거나 완전한 제품..혹은 그럴리 없겠지만. 사회에 기여하고 싶다면 제대로된 프로그램을 짜야한다..이러기 위해서 그대는 많은 소스와 공개된 오픈 소스들을 분석하고 필요한 것이 무엇인지 잘 생각해 보라..

 

6. 아마도.. 데이터 베이스나 넷트웍에 대해서 알아야 된다고 생각 할꺼다.. 아닌가?

그래..데이터베이스는 알게 모르게 우리

우리 주위에 깊숙히 존재한다. 그러나 잘 아는 사람은 그리 많지 않다.. 이게 없으면 많은 것들이 힘들어 지고 할 수 없게 된다.
DB 에 보면 Schema 라고 하는게 있다. 이 모든 근간에 프로그램 코딩은 맞추어 지고..
데이터의 흐름을 가지고 프로그램은 살아있게된다.
이런 데이터의 흐름을 스스로 디자인 해보라.이를 DFD 라고 한다. (Data Flow Diagram)
DFD 를 만들면 작성해야 하는 프로그램의 전체 구조를 일목요연하게 볼 수 있다.
이걸 할줄 알고 볼 수 있어야 만이 진짜 프로그램의 세계를 만날 수 있다.
솔직히 그대들은 아직 간단한 코딩 테크닉의 활용들을 보고 아직 프로그램이라 하는가?
테크닉은 테크닉 나름대로 존재의 이유가 있지만. 프로그램은 인간을 이롭게 만들고 생활을 유리하게 만들기 위함이 목적이 아닌가?.. 목적에 충실하려면.. 그대가 알아야 할 것은 아직도 많다.


7. 개인용을 만들어 봤다면 이젠 상업용을 개발해 보라.


네트웍은 기본적인 것이겠지?.. 잘 생각해보고. 깊이있는 공부 혹은 스스로가 아는 방법으로 해볼려고 시도해 보라.. 깨놓구 말하지만. 머리를 벽에다 많이 박아야 홀로 알 수 있을 것이다... 그런 후.. 상업용제품을 만든다는 생각으로. 일반 쉐어웨어나 상용제품을 꼼꼼히 생각해 보면서 실행 시켜보라..무엇을 느끼는가?..

 

8.아마도.. UI (User Interface ) 를 느낄 것이다.

그대가 불편하면 사용자도 불편한것.. 이..User Interface 를 위해 더욱 더 많은 테크닉과 기술을 우린 집결해야만 한다.

 

9. 이제 그대가 생각하는것을 창조할 만큼 노력하고 창의성을 지니는 것만 남았다.


winsnort@hotmail.com

Posted by 바다란