태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'분석'에 해당되는 글 39건

  1. 2012.09.20 9월 2주차 한국 인터넷 위협 분석 브리핑 ( DDos )
  2. 2010.08.17 세계 50만대 이상의 웹 서비스 봇넷 배포지로.. 그리고.. 의견
  3. 2010.07.06 [컬럼] 7.7 DDos 핵심은 무엇인가?
  4. 2010.04.27 분석(8) 다이하드4.0 과 Cyber Terror
  5. 2010.04.27 분석 (2)- 북한 해커부대 다 뚫을 수 있다.
  6. 2010.04.27 wmf 이미지 공격을 통한 대규모 피해 우려
  7. 2010.04.27 Threat of china 공격 분석 및 대책
  8. 2010.04.27 RPC Worm 관련 문서
  9. 2010.04.27 IT 보안 현황과 위협에 대한 전망
  10. 2010.04.27 Cyber Storm - US의 보안 대응
  11. 2010.04.27 CSI 컨퍼런스 참가 후기
  12. 2010.04.27 해킹시의 기업의 피해에 대한 생각
  13. 2010.04.27 중국 해커에 대해 그리고 분석.. 2006
  14. 2010.04.27 예고) 국가 IT 서비스 보호를 위한 제안
  15. 2010.04.27 브라질 해킹 그룹 분석
  16. 2010.04.27 보안정보는 공개적으로 논의 되어야 한다.
  17. 2010.04.27 기반시설에 대한 보안 (SCADA & DCS)
  18. 2010.04.27 2005년 공격 유형의 변화 -Application Attack
  19. 2010.04.27 2003년 1.25 대란을 분석한 글
  20. 2010.04.27 3) Google security strategy-결론
  21. 2010.04.27 2) Trustworthy web - Google online security
  22. 2010.04.27 zeroday worm (침해사고 유형의 발전)
  23. 2010.04.27 wmf 이미지 공격을 통한 대규모 피해 우려
  24. 2010.04.27 Threat of china 공격 분석 및 대책
  25. 2010.04.27 RPC Worm 관련 문서
  26. 2010.04.27 IT 보안 현황과 위협에 대한 전망
  27. 2010.04.27 Cyber Storm - US의 보안 대응
  28. 2010.04.27 CSI 컨퍼런스 참가 후기
  29. 2010.04.27 해킹시의 기업의 피해에 대한 생각
  30. 2010.04.27 중국 해커에 대해 그리고 분석.. 2006

빛스캔과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스 9 2주차 국내 인터넷 환경의 위협 분석내용이며 본 보고서는 PCDS( Pre Crime Detect System )의 탐지역량과 KAIST정보보호대학원의 분석역량이 결집된 분석 보고서입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응 방안 제시를 하고 있습니다.

본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영되고 있습니다.

본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.

1. 악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

2. 악성링크가 공격에 활용에 활용하는 주된 취약성에 대한 내부 보안 강화 정책  패치

3. 내부 감염된 APT 공격의 확인 및 제거에 활용(기술 분석 문서 참고)

보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술되어 있습니다. 각각은 별개이므로 악성링크(사용자 PC에 악성코드를 내리기 위한 공격코드)에 대한 분석과 실제 악성코드 행위와 기능에 대한 분석 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다.


 




금주 공격의 특징은 다중 취약성을 공격하는 공격 세트가 대거 증가한 현상이 발견 되고 있습니다. 단일 취약성이 아닌 여러 취약성 (IE, Java, Flash)을 동시에 공격하여 성공률을 높이는 형태가 계속 증가된 형태를 보이고 있으며, 전주 대비 100% 이상 증가한 악성링크 수치가 발견 되었습니다. 탐지 회피와 우회를 위해 유포통로를 계속 변화시키고 있으며, 이에 반해 최종 설치되는 악성코드의 형태는 많은 증가가 없어서 동일한 악성코드 유포를 위해 여러 악성링크가 계속 변화하면서 이용이 되고 있습니다. 기술분석 보고서의 내용 중 봇 에이젼트와 추가 공격을 위한 다운로더들의 유포에 이용된 링크들은 대규모 유포망을 통해 다수 배포 된 상태이므로 추가적인 사건 발생과 이슈에 대해서 주의를 기울이셔야 합니다. 또한 국내 게임 아이템 거래 사이트들에 대한 계정 탈취 목록이 추가 발견 되어 피해가 예상 됩니다.
 

금주 악성링크 분석 내용 중에는 구글코드 사이트에 악성코드를 올려두고 이용하는 내용들도 발견 되었으며 해당 악성코드의 행위는 MBR 이 포함된 영역을 읽는 부트킷 유형의 악성코드로 파악이 되고 있습니다. 7.7 DDoS 공격, 3.4 DDoS 공격, 농협 사태에서 공통적으로 등장하는 단어가 있습니다.  마스터부트레코드(Master Boot Record, 이하 MBR) 영역에 관련된 내용입니다. 이들 사건을 비롯해 최근 발생한 사이버 공격에서는 MBR 영역을 파괴해 하드디스크 데이터를 못 쓰게 만드는 기능 이른바 '하드디스크 파괴' 기능을 포함하고 있습니다. MBR의 특성상 백신으로 진단/치료가 어렵기 때문에 감염되지 않도록 주의를 기울이셔야 할 것입니다.  
 
본 이슈의 경우 일회적인 악성코드 유포가 아닌 빛스캔에서 예의 주시 하고 있는 다단계 유포통로 여러 곳을 통해 악성코드 감염이 시도 되었기에 정확한 피해 규모를 파악하기가 매우 어려운 상황이며, 다수의 악성링크가 활용 한 정황이 발견되어 보고서 발간 이전에 기사화를 통해 이슈를 환기 시켰습니다.  관련기사 : http://www.boan.com/news/articleView.html?idxno=7427
 

마스터부트레코드(Master Boot Record, 이하 MBR) 에는 운영체계가 어디에 어떻게 자리 잡고 있는지를 식별하여 컴퓨터의 주기억장치에 적재될 수 있도록 하기 위한 정보들이 있으며, 하드디스크의 첫 번쨰 섹터에 저장되어 있습니다. 이런 MBR을 감염시키는 경우 일반적인 PE(Portable Executable) 파일을 감염시키는 경우보다 흔하게 발견되지는 않습니다. 왜냐하면 MBR은 복잡하고 크기 또한 제한적이라 이를 타깃으로 한 악성코드 제작 자체가 힘들기 때문입니다.

또한 이러한 악성코드를 유포한 곳이 구글코드(Googlecode) 임을 감안할 때 주의 깊게 살펴봐야 합니다. 구글코드에서는 개발과 관련한 파일과 소스코드 등을 다른 개발자들과 공유하고 협업할 수 있는 공간입니다. 특히, 구글에서 직접 운영하고 있어서 매끄러운 운영뿐 아니라 보안과 같은 여러 안정성까지 제공받을 수 있는 장점을 가집니다.

구글코드라는 신뢰받는 서비스 사이트에서 내려오는 파일들의 경우 화이트리스트 형식으로 등재되어 탐지 및 보호 도구들을 우회하는 사례가 많으며 구글코드 사이트의 경우 2007년에도 악성코드를  호스팅한 사례가 있으나, 피해는 극히 제한적인 상황 이였습니다. 그러나 이번에 발견된 구글코드 유포 이슈는 단발적인 공격이 아닌 다단계 유포망(MalwareNet)에 의해 대규모로 악성코드 유포에 이용된 사례이며, 국내 도메인 다수가 악성코드 유포에 활용된 지금껏 사례가 없는 경우 입니다. 따라서 현재 상황의 심각성은 높다고 판정을 하고 있습니다.

※ 부트킷: 컴퓨터 하드디스크의 부트 섹터(Boot Sector)를 감염시키는 악성코드의 일종입니다.
※ 부트섹터: 컴퓨터 프로그램이 제일 먼저 실행되는 부분으로 이 부트킷에 감염되면 정상적인 부팅과정을 거치지 않고 부트킷에 의한 부팅동작을 하게 됩니다.

<부트킷 악성코드의 역할>



<구글코드(Googlecode)에서 악성코드 유포 – 다단계 유포망 (MalwareNet) 한 곳에서의 유포 이미지>


또한 금주에는 예전 EBS 분산서비스거부DDoS) 공격 때 사용된 다크쉘 악성코드가 탐지 되었습니다. 해당 악성코드는 곰플레이어 아이콘으로 위장하고 있으며, C&C 서버 (gomupdate.dnip.net)에 접속하여 명령을 대기하게 되어 있습니다. HTTP 서버를 대상으로 하는 DDoS 공격이 가능하므로 명령 연결이 되지 않도록 즉시적인 차단이 필요합니다.
 
 
9월 1주차에 실제 사용되었던 Flash 취약점인 CVE-2012-1535를 활용한 공격이 금주에도 지속 되었습니다. CVE-2012-1535 Adobe Flash Player Font Parsing Code Execution 취약점은 Adobe Flash Player 11.3.300.271 버전 이전의 ActiveX 모듈에서 발견되는 취약점으로 SWF 파일에서 사용되는 폰트 파일의 충돌을 통해서 악의적인 코드를 실행 가능하게 합니다.

아직까지 사용 비율은 높지 않지만 다중 취약점을 이용한 대규모 공격에 충분히 활용될 가능성이 존재하고 있습니다. 지난 8월 14일 Adobe사에서 해당 취약점에 대한 패치를 발표하여 제공하고 있기 때문에, Adobe Flash Player 11.3.300.270 이전 버전을 사용하고 있는 사용자의 경우 반드시 최신 버전으로 업데이트하여 이로 인한 피해를 최소화하길 당부 드립니다.


<CVE-2012-1535 - SWF 파일에서 취약점이 발생하는 Action Script의 일부>



8월 5주차부터  간간히 출현하였던 취약성 공격 세트가 대거 출현 하고 있으며, 공격자는 감염 비율 증가를 위해 적극적으로 활용 하는 것으로 판단 되고 있습니다. 기존의 Java 취약성과 MS XML , MS IE, Flash 취약성이 묶여서 활용 되고 있는 상태가 관찰 되고 있습니다.

다단계 유포통로 (MalwareNet)을 활용한 악성코드 유포 시도도 매우 활발 하였으며, 이제는 유포통로의 확산 이후의 과정인 적극적인 활용 단계에 돌입한 것으로 판정하고 있습니다. 백도어 및 루트킷 형태의 악성코드들도 다단계 유포통로를 이용하여 유포 된 정황이 발견 되었으므로 향후 추가적인 이슈 및 사건.사고 발생이 예상 되고 있습니다. 각 기업 및 기관에서는 주의가 필요합니다.

현재 빛스캔에서 탐지하는 유형은 단순히 이메일을 통한 타켓형 APT가 아닌 웹서비스를 방문하는 모든 방문자를 대상으로한 대규모 유포이며, 확산도가 높아서 위험성이 높은 상태입니다. 따라서 기업/기관별로 인터넷 접근 시에많은 보호대책을 적극 반영 하여 대응을 하셔야 할 것으로 보입니다.

기존 악성코드들의 분석 결과도 단순 게임계정 탈취에서 계속 변화하는 형태를 보이고 있어 앞으로의 변화를 가늠하기 어려운 상황입니다. 이미 농협의 사례를 통해 APT나 내부망을 공격 하는악성코드가 가진 위험성과 파괴력은 충분히 경험을 한 상태이므로 현재 웹서비스를 통해 감염시도를 하는 악성코드 자체의 위험성은 높은 수준이라 할 수 있습니다.



금주 공격의 특징을 정리하면 다음과 같습니다.

  • MBR 읽는 부트킷 유형 악성코드 발생(백신 탐지 어려움)
  • EBS DDoS 때 사용되었던 다크쉘 모듈 탐지. 향후 DDoS 사건 예상 가능
  • 신뢰할 수 있는 사이트인 구글코드 사이트에서의  악성코드 유포 활용
  • 8월 3주차에 대규모 유포가 이루어졌던 루트킷, 백도어 유형의 경우 금주 차 활동 계속 – 부가적인 위험 증가 ( 감염된 좀비PC들을 활용한 추가 위험이 발생 할 수 있는 상태)
  • APT 형태의 악성코드 유포 계속 - 권한 획득, 내부망 스캔 , 추가 코드 다운을 위한 다운로더 다수 확인 지속
  • MalwareNet( 다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화
  • 9월 1주차 신규 생성된 MalwareNet의 신속한 유포 통로 활용 관찰 
  • 최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 확대계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨
  • 백신에 탐지 되지 않는 다운로더  백도어 형태의 악성코드 유포 계속
  • 전주 대비 대폭 증가한 공격 ( 단기간에 집중되어 계속 유지되는 형태. 9.14일 오후 8~12시 사이 대거 공격 활용)
  • 게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속
  • 백신 업데이트 주소 목록을 내장한 악성코드 발견 계속. 향후 추가적 피해 예상됨

* 최근 언론상에 많이 나타나고 있는 은행권에 대한 Host file 변조를 통한 피싱 공격은 이미 5.6 정보제공 서비스에서 언급을 드렸던 부분으로서 당시 상당수의 악성코드가 유포 되었을 것으로 추정이 되며, 이후 피해가 지금에서야 계속 드러나는 것으로 볼 수 있습니다. 백신들에 대한 업데이트 주소 변경 내용들도 마찬가지 입니다. 근 시일 내에 ARP Spoofing에 의한 피해도 언급이 될 것임을 알려드리며 이 모든 것들은 이미 악성코드의 유포 단계에서 사전 분석되어 정보 제공이 된 내용이 될 것입니다.

 

본 서비스에서 제공되는 정보들은 시일이 지날 수록 영향력이 계속 커질 수 밖에 없는 정보들에 대한 분석이 주된 내용입니다. 항상 한달 가량의 보고서 내용들을 살피시고 계속적으로 대응을 하시면 문제 부분을 줄일 수 있습니다. 모든 부분에 있어서 사후 대응 아닌 사전 대응으로 해를 예방 하도록 하는 것이 핵심 입니다.

 
 

*MalwareNet ( 범위와 변화)


- MalwareNet: 공격자들이 공격효과를 높이고 탐지를 회피하기 위해 활용하고 있는 악성코드 유포 네트워크를 의미합니다. 일반적인 사이트에 악성링크를 직접 입력 하는 것이 아닌 몇 단계를 거친 링크들을 입력하여 추적을 회피하고 악성코드 유포 효과를 극대화 하기 위해 사용 되는 프레임을 MalwareNet으로 정의 하고 있습니다. 즉 단 한번 악성링크의 내용을 변경하면 최대 300에서 최소 10여 곳에 이르기까지 동시에 동일한 악성코드 유포가 발생 되는 상황을 나타내고 있습니다.


본 정보제공 서비스에서는 MalwareNet의 특성상 대규모 피해가 상시적으로 발생 될 수 있으므로 상위 리스트에 한해 부분 공개를 하고 있습니다.

MalwareNet 통해 영향력을 가지는 악성링크들은 탐지 회피를 위해 비정기적이고 수시로 변경됩니다.  차에서는 사후 대응으로는 탐지할  없는 형태인 MalwareNet 활용 사례를 살펴 보겠습니다. 공격자의 의도에 의해 조종당하고 있는 현실에서 대응 사전대응의 이는 매우  차이를 가질   으며 , 선제적인 사전대응이 얼마나 중요한지 확인   있습니.

 

MalwareNet 자체를 여러 곳 활용 하는 형태도 전주에 이어 계속 발견 되고 있으며, PCDS 상의 추적된 데이터로 살펴보면 악성링크는 25곳 가량에만 추가가 되었지만 이중 2 곳이  MalwareNet으로 사용이 되고 있습니다. Impact Factor로 보면 위험성과 파급력은 72에 이를 정도로 높은 상태를 보이고 있습니다. 공격자는 단 한번의 클릭 만으로 전체 72 이상에서 동시에 악성코드 감염을 시킬 수 있는 상황이며, 최종 악성코드들에 대한 탐지율도 높지 않아 항상 위험에 노출 되어 있는 상태라 볼 수 있습니다. www.xxxxxxxx.com/main.htm 링크의 경우 공격에 가장 적극적으로 활용된 링크이므로 향후 활용도도 계속 될 것으로 관찰 되고 있습니다. 또한 단기간에 대규모 유포망 구축을 하는 형태가 끊임없이 관찰이 되고 있습니다. 주중에는 통계정보를 수집하고 간헐적으로 공격에도 이용 되고 있는 형태를 보이고 있습니다.

 

*PCDS Impact Factor는 내부 수집된 체계에서 전파 범위를 고려한 내부 위험지수이며 MalwareNet의 추적과 영향도 추적을 위해 활용 되는 수치입니다. 높을 수록 은밀하면서도 파급력이 높은 상태라는 점을 의미하고 있습니다.


8월 5주차에 출현 하였던 'www.xxxxxx.com/main.htm' MalwareNet은 금주에도 활발한 활동이 계속 되고 있습니다. 이 MalwareNet도 구글코드 사이트에 존재하는 최종 악성파일을 중계 하는데 활용 되었습니다.



<MalwareNet 2곳을 하위 유포 링크로 가지고 있는 상위 MalwareNet- PCDS 추적데이터>



현재의 상황은 사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있는 현 상황에서 웹 서핑만 해도, 웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐하고 있습니다. 기본적인 문제를 해결 할 수 있는 보안패치는 반드시 적용 해야만 위험을 줄일 수 있으니 반드시 기관/ 기업 내부적으로 강력한 권고가 되어야 합니다. 
Oracle Java 취약성, Adobe Flash 취약성 , MS XML , Midi  IE 취약성이 복합적으로 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰 되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.



특히 자바의 경우 크로스 플랫폼이므로 동일 취약성을 이용한 다양한 기기와 운영체제에서 문제가 발생 될 수 있습니다. PC 이외에도 여러 체제를 사용하는 기업/기관의 경우 전체적인 보호 플랜을 적극 실행 하셔야만 합니다. 30억 개의 장치에서 사용하는 자바는 취약성을 이용하여 공격 할 수 있는 대상도 30억 개 라는 의미입니다.

 
  • 자바 제로데이 취약점은(CVE-2012-4681) 현재 오라클에서 공식 패치를 배포하였습니다. 반드시 업데이트를 적용 하시기 바랍니다.

  • MS XML (CVE 2012-1889) 취약성의 경우 업데이트를 하지 않은 분은 반드시 업데이트를 적용 하시기 바랍니다.

              참고 내용:http://technet.microsoft.com/ko-kr/security/bulletin/MS12-043

  • Adobe Flash (CVE 2012-1535) 취약성의 경우 금주 공격 출현 되었으므로 패치 바로 적용 하셔야 합니다.
  • 7 3주차부터 사용률이 급상승한 Java 취약점인 CVE-2012-1723 도 반드시 패치를 하시기 바랍니다. 금주에는 1723만 단독으로 사용된 것들이 많이 포착되었습니다. 반드시 업데이트를 적용하시기 바랍니다.

             참고 내용: http://www.oracle.com/technetwork/topics/security/javacpujun2012-1515912.html )

  • 기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록 등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 높습니다.또한 백도어 기능의 설치 시에는 시스템상의 백신 프로세스 Kill 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제하여 정체를 은폐하고 있으므로 사전 대응에 만전을 기하세요.

 


* 기술분석보고서에 언급된 게임계정 유출 악성코드들은 전체 악성코드의 80% 이상이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내. 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있습니다. 현재 가장 다수를 차지하는 게임계정 탈취형 악성코드들이 변화된 형태를 보이고 있으며 외부 도메인 연결과 업데이트를 통해 다른 형태로전환이 계속 되고 있습니다. – 8월 2주차 부터 관찰된 변화는 금주 차에도 계속 되고 있습니다.

 


PCDS 상에서는 최초 악성링크 탐지와 MalwareNet에 대한 추적, 최종 악성파일에 대한 수집까지 같이 운영이 되고 있습니다.

 PCDS에 탐지된 내용을 바탕으로 하여 공격자들의 전략을 확인해 보면, 비정기적이고 수시로 악성링크와 최종 악성코드를 바꾸고 있습니다. 변경하는 이유는 백신 탐지 회피를 하기 위한 목적이 가장 크며, 때로는1시간에 한 번씩 최종 악성코드를 변경하는 지금의 상황에서 대응이 가능한 보안체계는 거의 없습니다. 백신은 백신만의 역할 부분이 있으며, 현재 상태의 문제 해결을 위해서는 확산 이전에 대응을 할 수 있어야 합니다. 최종 설치되는 바이너리의 변화는 계속 되고 있으므로, 대응적인 측면에서 한계를 보일 것으로 판단됩니다.

지금 분석되고 예상되는 모든 내용들은 지금 이 순간에도 발생 하고 있는 현실입니다. 사건이 발생 된 이후에는 돌이키기 어렵듯이 사전 탐지와 사후 대응은 전혀 다른 범위입니다. 사전에 얼마나 대응을 하느냐가 가장 중요하며, 빠른 정보를 확보하여 대규모로 유포된 악성코드에 대응 할 수 있도록 사후대응 측면에서도 현재 수준 보다는 강도 높은 방안들이 절실히 요구됩니다.



*게임 계정 탈취 및 백신 Kill , 게임 머니 계속 ( BHO ) , 아이템 거래 사이트 추가 발견

 

* 본 내용은 최근의 악성코드들이 기본적으로 탑재하고 있는 기능이며 6 4주차 까지 발견 되었던 백신과 게임 계정 탈취 이외에도 문화상품권과 게임 머니 사이트에 대한 계정 탈취 기능이 추가 되었습니다. 모든 기능은 BHO 관련된 공격에 연관 되어 있으며 해당 문제들은 이전 보고서에 첨부된 BHO 공격에 대한 전문분석 자료를 참고 하세요. ( 정식구독 기업/ 기관 대상)신규 가입 및 최근 가입으로 인하여 전문분석 보고서를 받지 못한 곳들은 본 메일로 회신을 주시면 전달 드리겠습니다.


금주에 신용정보 조회, 아이템 매니아, 아이템 베이 사이트까지 계정 탈취 기능이 추가 되었습니다. 신용정보 조회 사이트에서 자신의 신용정보를 검색하다가는 자신의 개인정보가 노출될 수도 있습니다. 또한 아이템 매니아, 아이템 베이 사이트는 온라인 게임 아이템 거래 사이트입니다. 게임 계정을 탈취해서 아이템을 판매하던 공격자들이 이제는 게임 계정 탈취 이외에도 게임 아이템 거래 사이트까지 노리고 있습니다. 돈이 되는 곳은 모두가 대상이 되어 있는 상태입니다. 다른 모든 기기와 장비들에서도 금전화가 가능한 순간부터 현재의 공격 수준은 그대로 확장이 될 것입니다. 아직은 때가 안되었을 뿐입니다.


분 류

프로세스명

프로그램명

백 신

sgbider.exe, vcsvc.exe, vcsvcc.exe

바이러스체이서

NVCAgent.npc, Nsvmon.npc, Nsavsvc.npc, NVC.npc, NaverAgent.exe

네이버백신

V3sp.exe, V3svc.exe, V3up.exe, MUpdate2.exe, SgSvc.exe, Sgui.exe,

SgRun.exe, InjectWinSockServiceV3.exe,

V3Light.exe, V3LTray.exe, V3Lsvc.exe, V3LRun.exe

AhnLab V3

AhnLab V3 Lite

AhnLab SiteGuard

AYUpdSrv.aye, AYRTSrv.aye, SkyMon.exe,

AYServiceNT.aye, AYupdate.aye, AyAgent.aye

알약 (ALYac)

avp.exe

Kaspersky

avgnt.exe, avcenter.exe, avguard.exe, avscan.exe, avupgsvc.exe

Avira AntiVirus

avwsc.exe, AvastSvc.exe, ashUpd.exe, AvastUI.exe

avast!

shstat.exe, Mctray.exe, UdaterUI.exe

McAfee

msseces.exe

MSE

egui.exe, ekrn.exe

ESET NOD32

ccSvcHst.exe, Navw32.exe

Symantec Norton

updatesrv.exe, vsserv.exe, seccenter.exe, bdagent.exe, bdreinit.exe

BitDefender

avgam.exe, avgemc.exe, avgnsx.exe, avgrsx.exe

avgfrw.exe, avgwdsvc.exe, avgupd.exe

AVG

PCOTP.exe

넥슨 OTP

게 임

gamehi.co.kr

게임하이

hangame.com, id.hangame.com

한게임

laspoker.exe

한게임 라스베가스포커

duelpoker.exe

한게임 맞포커

hoola3.exe

한게임 파티훌라

highlow2.exe

한게임 하이로우

poker7.exe

한게임 7포커

baduki.exe

한게임 로우바둑이

ExLauncher.exe, TERA.exe, tera.hangame.com

테라

netmarble.net

넷마블

pmang.com

피망

ff2client.exe, fifaonline.pmang.com

피파 온라인2

Raycity.exe

레이시티

www.nexon.com, login.nexon.com

넥슨

df.nexon.com, dnf.exe

던전 앤 파이터

DragonNest.exe, dragonnest.nexon.com

드래곤 네스트

baramt.exe, WinBaram.exe, baram.nexon.com

바람의 나라

mabinogi.nexon.com, heroes.nexon.com, heroes.exe

마비노기 영웅전

MapleStory.exe, maplestory.nexon.com

메이플 스토리

x2.exe, elsword.nexon.com

엘소드

dk.halgame.com, dkonline.exe

DK 온라인

clubaudition.ndolfin.com

클럽 오디션

www.capogames.net, samwinfo.capogames.net

삼국지w

fairyclient.exe

로한

plaync.co.kr

엔씨소프트

bns.plaync.com

블레이드 & 소울

lin.bin

리니지

AION.bin, aion.plaync.jp

아이온

kr.battle.net

블리자드 배틀넷

wow.exe

월드 오브 워크래프트

Diablo III.exe

디아블로III

게임 머니&

게임 아이템

&문화상품권

www.booknlife.com

북앤라이프

www.cultureland.co.kr

컬쳐랜드

www.happymoney.co.kr

해피머니

www.teencach.co.kr

틴캐시

auth.siren24.com

신용정보 조회

itemmania.com

아이템 매니아

www.itembay.com

아이템 베이

 
 

*금주 공격에 사용된 취약성 비율





전주 대비 증가한 내역을 볼 수 있으며 MS XML 취약성을 이용한 CVE 2012-1889 취약성에 대한 공격코드가 대폭 증가하였고 Java 제로데이로 이용되었던 CVE 2012-4681 취약성이 대거 재사용 되는 현상을 볼 수 있습니다. 패치의 불안정성 및 신규 취약성 출현 부분에 대해서는 계속 모니터링을 하고 있습니다. CVE-2012-1875, CVE-2012-0806 같은 IE를 노리는 취약점도 같이 발견 되었습니다. 현재 한국 인터넷을 위협하는 공격자들은 세계적 수준의 역량을 보유 하고 있으며, 한국은 그 대상이 되어 있는 상태입니다.


∎ CVE-2012-4681 (Java Applet 취약점) 
     - 
http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html

∎ CVE-2012-1889 (MS XML 취약점) 
     - 
http://technet.microsoft.com/ko-kr/security/bulletin/MS12-043

∎ CVE-2012-1875 (MS IE 취약점) 
     - 
http://technet.microsoft.com/ko-kr/security/Bulletin/MS12-037

∎ CVE-2012-1723 (Java Applet 취약점)
     - 
http://www.oracle.com/technetwork/topics/security/javacpujun2012-1515912.html

∎ CVE-2012-1535 (Adobe Flash Player 취약점)
     - 
http://www.adobe.com/support/security/bulletins/apsb12-18.html

∎ CVE-2012-0507 (Java Applet 취약점)
     - 
http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html

∎ CVE-2011-3544 (Java Applet 취약점)
     - 
http://www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html

∎ CVE-2011-1255 (MS IE 취약점)
     - 
http://technet.microsoft.com/ko-kr/security/bulletin/ms11-050

∎ CVE-2010-0806 (MS IE 취약점)
     - 
http://technet.microsoft.com/ko-kr/security/bulletin/MS10-018


현재 MS 취약성 및 1723,0507,3544, Zeroday(4681) 공격과 같은 Java 취약성이 결합된 공격세트가 다수 발견 되었습니다. Java 관련된 취약성의 해결에 높은 수준의 주의가 필요하며 전체적인 패치 수준 유지 및 관리가 요구 됩니다.



*차단 권고 대역


.. 브리핑 생략..

 


*악성코드 감염 이후 접속 URL - 차단 및 모니터링 필요한 부분


 .. 생략..
 

현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다. 금주의 총평으로는 MBR 읽는 부트킷 유형 악성코드, 신뢰할 수 있는 사이트인 구글코드에서조차 악성코드 유포, EBS DDoS 때 사용되었던 다크쉘 모듈 탐지 향후 추가적인 DDoS 피해 예상, 다단계 유포 통로의 적극 활용 단계 진입 입니다.
 
2년 이상을 온라인상에서 꾸준히 공격을 시도하고 있는 공격자들을 모니터링 한 결과에 따르면 공격기법과 기술은 한 주가 다르게 변화하고 진화하고 있습니다. 그 반면에 대응 기술 측면에서는 발전은 지지부진함을 보이고 있습니다. 공격은 적극적인 유포망 확대, 감염 기술의 고도화, 최고 공격기법들의 즉시적인 실전투입으로 귀결이 됩니다.


빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보 , 최종 악성파일 보관 , 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있으며 각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로 문의를 주시면 답변 드리겠습니다. 보고서의 정식 구독 문의도 메일로 문의 주시면 됩니다. (info@bitscan.co.kr)

 

감사합니다.





*본 정보제공 서비스는 공개, 재배포 금지( 내부에서만 활용), 비영리 목적으로만  가능합니다.


* 정식 구독 서비스 가입  시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다.  서비스의 권리는 빛스캔에 있으므로 공개적 활용 리적 목적으로 활용 하실  없습니다.


*시범 서비스는 순차적으로 1개월 경과  종료 됩니다. 4 이상을 보고서를 받으셨다면  이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다.


*  분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre crime detect system) 통해 수집하며, 악성링크  악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행합니다.

 
 

Posted by 바다란

세계 50만대 이상의 웹 서비스 봇넷 배포지로.. 그리고..

 

관련기사: http://www.thetechherald.com/article.php/201033/6024/TTH-Labs-New-SQL-Injection-attack-hits-thousands-of-sites

 

일상적인 일중의 하나로 치부되고 있는 대규모 해킹은 지금도 맹위를 떨치고 있다.

Mass SQL Injection 도구에 의한 해킹 피해는 나날이 도를 더해가고 있는 상황에서 우리가 할 수 있는 일은 무력하기만 하다. 규모가 있는 사이트들은 자체 역량 및 외부 보안업체의 도움을 통해 보안성을 강화하고 문제를 해결 하지만 현재 피해를 입는 사이트들은 일부 보안이 된 사이트들을 포함하여 역량이 부족한 사이트들이 피해를 입고 있다.

 

결국 피해는 개인에게로 돌아오고 사회적 도구로서 자리매김을 확고히 한 IT 서비스의 근간을 흔들게 될 것임은 자명하다.

 

피해의 순서는 웹 서비스 정보 유출 -> 웹 서비스를 통한 악성코드 유포 -> 개인정보 유출 -> 다시 웹 서비스에 대한 Abusement로 이어진다. 유출된 사용자 정보는 금융 정보 및 ID/PW를 막론하고 다시 재활용되고 혼란스러워진다.

 

이미 지난 글에서 (http://p4ssion.com/241) “웹 서비스 보안의 불편한 진실이라는 항목으로 피해의 심각성과 향후의 문제들에 대해서 기술한 바 있다. 동일한 상황은 계속해서 이어 질 수 밖에 없다. 구글에 의해 표시된 악성코드 감염 수치는 55만개 이상의 웹 서비스에서 악성코드가 유포되고 있음을 나타내고 있다.

 

Malware count

Malware count

또한 국내의 사이트로 한정을 하면 1만대 이상의 웹 서비스를 통해 악성코드가 유포되는 현실을 볼 수 있다.

사용자 삽입 이미지

악성코드의 특성에 대한 내용은 이미 별도의 블로그(http://www.moonslab.com/1072)에 정리된 내용이 있어서 상세한 분석은 생략하며 특징만을 간략하게 언급 하도록 한다. 기술적인 분석에 대해서는 SANS의 분석 내용을 참고 하면 된다. (http://isc.sans.edu/diary.html?storyid=9397)

 

특징

 

현재 악성코드가 연결된 사이트는 .ru 라는 러시아 도메인을 가지고 있다. 그러나 등록된 주소는 중국으로 되어 있으며 실제 주소도 중국으로 판명이 되고 있다. 일차적인 특징으로 볼 수 있는 내용인데 중국의 공격자들이 이제는 도메인을 위장하여 손쉽게 판별되는 .cn 도메인을 넘어서 타 국가의 도메인을 활용하고 있음을 볼 수 있다.

 

두 번째로는 설치되는 악성코드의 다양함을 들 수 있다. 실제 분석은 되지 않았지만 구글에서 파악된 기본적인 내용을 살펴 보면 13개의 Trojan 9개 이상의 Exploit 코드들이 유포 되었음을 알 수 있다.  (http://www.google.com/safebrowsing/diagnostic?site=nemohuildiin.ru/&hl=en )

 

세번째로는 봇넷 채널을 직접 연결하여 Zeus Botnet과 연결된 가능성이 매우 높다는 점이다. 웹을 통해 악성코드를 유포하고 감염된 개인 PC들은 봇넷 Agent로 활용이 되는 것이다. 금융정보 및 키입력 정보, 화면 정보를 모두 유출 시키며 원격에서 직접 통제가 가능한 도구로 손쉽게 활용이 된다는 점이다.

 

Zeus Botnet은 국내에는 일반인들에게 잘 알려져 있지는 않지만 해외에서는 금융적인 피해가 직접 발생 하고 있어서 신경을 많이 쓰고 있는 Botnet이라 할 수 있다.

 

Black Market에서 가장 순도 있고 가치 있는 정보를 빼내고 직접 활용이 가능하다는 점에서 가치가 높은 BotNet 이라고도 불려 진다.

 

기존에 존재하던 웹 보안 장비들은 대부분 공격패턴을 인식하여 차단하는 유형으로 구성이 되어 있다. 그러나 공격기법은 계속 변화한다. 대소문자를 섞어서 쓴다든지 ASCII 코드값을 직접 입력 하는 유형등과 같은 변형된 공격기법은 헤아릴 수도 없이 많이 존재한다. 수없이 많은 패턴을 유지하는 보안장비들은 그만큼 속도가 느려질 수 밖에 없으며 보안적인 위협을 막기 위한 목적으로 도입한 장비들이 본 서비스의 접근 속도를 느리게 하는 요소로서 작용 할 수도 있다.

 

국내의 보안 현실 및 세계적인 보안의 근본적인 문제점은 대중과는 어느 정도 거리가 있는 사후 대응의 측면에만 집중하는 것이 현실이다. 근본적인 유포망을 없애지 않고서는 악성코드로 인한 개인 정보 유출의 피해와 또 유출된 개인정보로 인한 서비스망의 교란과 혼란은 개인과 서비스를 운영하는 기업 모두에게 큰 손실이 될 수 밖에 없고 문제는 점차 더 커질 수 밖에 없다.

 

 

 

빈익빈 부익부

 

빈익빈 부익부의 현실은 깊어만 간다. 현재의 IT서비스의 현황을 살펴보면 빈자들의 서비스에는 보안을 신경 쓸 여력이 없고 서비스 운영에만 중점을 두고 있어서 실질적인 이득 창출과는 약간 거리가 있게 느껴지는 보안 분야는 등한시 되고 있는 실정이다.

그러나 조금 만 더 멀리 보면 보안은 기업의 이익을 보호하고 신뢰를 형성하여 장기적인 안정성을 유지할 수 있게 한다는 점에서 큰 이득이 될 수 밖에 없다.

 

국내 및 해외의 보안 현실과 IT 환경을 맞추어 보면 가난한 기업들은 계속 해서 위험에 노출 되고 여력이 있는 곳들은 빠르게 문제점을 보완하고 비용을 적극 투자한다.  보안 관련된 기업측면에서는 모두가 수익을 창출 할 수 있는 사후 대응에 머물러 있으며 사전 대응과 위험요소에 대한 관리라는 측면에서는 활동이 미미할 뿐이다.

 

오래도록 가지고 있는 잘못된 편견중의 하나는 사고가 발생 한 뒤에야 중요성을 인지한다는 점이다. 그래서 국내외를 막론하고 수없이 많은 보안회사들은 사후대응에만 중점을 두고 있는지도 모른다. 이제 시대는 충분히 바뀌었고 많은 변화가 있었다. 변화를 따라가지 못한다면 소도 잃고 외양간의 기둥마저 무너질 수도 있다.

 

개인 PC를 공격하는 공격도구가 윈도우 시스템에 IE 사용자만으로 한정이 될까? 이미 작은 흐름에서는 타 운영체제 및 별개의 도구를 사용하는 시스템에도 충분한 시도들이 있었고 현재 공격이 눈에 띄게 드러나지 않는 것은 노력 대비 성과가 부족하기 때문일 것이다.

 

가난한 기업과 서비스 운영주체들은 힘이 없다. 역량이 부족하고 전문적인 지식의 도움을 얻고자 해도 돈이 없다. 또 문제를 수정 하고자 해도 어디가 문제인지 어떻게 고치면 되는지에 대한 협력은 절대적으로 부족하다. 비단 국내만의 문제가 아닌 전 세계적인 문제이다.

 

이젠 시대의 흐름에 맞게 변화를 크게 주어야 할 때이다.

 

역량이 있는 기업들 조차도 잦은 횟수로 변경이 되는 웹 서비스의 관리와 보안성에 대해 어려움을 겪고 있는데 하물며 가난한 기업과 서비스들은 무엇을 할 수 있겠는가?

 

국가나 산업차원에서 저렴하고도 신뢰 할 수 있으며 접근성이 높은 서비스는 반드시 제공 되어야만 하고 이제 머지 않아 출현 해야만 현재의 인터넷과 IT 서비스의 위기 상황을 개선 시켜 나갈 수 있을 것이다.

 

 

앞으로 발생 될 수 있는 위험들은 위험수준을 잘 관리하고 있는 기업들에게도 동일한 영향을 미칠 것이다. 대규모 웹 서비스 해킹을 통해 악성코드를 유포하는 행위와 서비스에 공통적인 요소를 공격하여 대규모 유포를 하는 유형으로 나눌 수 있을 것이다.  기발한 공격 기법은 이제 상상력의 한계에만 그치지 않는다.

 

http://www.eweek.com/c/a/Security/Infected-Widget-Compromises-Parked-Domains/

위의 기사는 Network Solution사에서 운영하는 Widget을 해킹하여 악성코드를 유포한 기사이며 현재는 중지 되었지만 단순히 Widget 배포처를 해킹함으로써 최소 50만개에서 최대 500만개 이상의 도메인을 통해 악성코드가 유포 되었음을 보여 준다.

 

빈익빈 부익부의 틀은 IT사회에서도 정확하게 적용이 된다.

그러나 이제 피해는 빈자와 부자를 가리지 않을 것이다.

시스템과 체계를 정비 하지 않는다면 앞으로도 오랜 기간 지속 될 수 밖에 없다.

 

특정 서비스의 구조적인 문제를 공격하는 웜이나 공격코드들은 2005년부터 있어 왔다. 앞으로 트위터나 페이스북의 서비스에서 문제가 생긴다면 그 피해 대상은 얼마나 될까? 더불어 공격코드가 스마트폰별 공격코드와 OS별 공격코드를 가지고 있을 때 피해 양상은 얼마나 될까?

 

상상하기 어려울 것이다. 그러나 아무도 눈을 뜨고 보려 하지 않는다.

 

빈자를 위한 도구가 결국엔 모든 것을 살리게 될 것이다. 거기에서부터 시작을 해야 하는데 아직 세계는 손쉽게 정보를 얻고 일정 수준이상의 기본지식이 필요함을 인식하지도 못하고 있다.

 

다음 블로그 글은 아마도 구조적 해킹 ( 일반적으로 서비스 어뷰징으로 불리워 지는 것)에 대한 것과 국외기업들의 서비스 연관, 악성코드와의 관련 등에 대해서 한번 정리해 볼 생각이다.

 

 

 -twitter: @p4ssion  -바다란 세상 가장 낮은 곳의 또 다른 이름

Posted by 바다란

[zdnet 컬럼 게재글입니다.]

DDos
문제의 핵심과 변화 (에스토니아, 7.7) - 바다란

7.7 DDos 관련된 의견들이 1년이 지난 지금 시점에 다시금 많은 분야에서 회자 되고 있다. 문제에 대한 분석과 적절한 대응 체계에 대한 논의가 계속 되고 있는 시점에 DDos 논란의 핵심은 무엇인가 하는 명제에 대해서 명확한 설명은 아직 잘 설명 되지 않고 있는 듯 하다.

 

DDos에 대한 핵심적인 이해 분야에 대한 접근 방법도 상이한 점이 많이 있다. 공격 주체는 분명히 개인의 PC이며 공격을 받는 대상은 기업 및 기관의 서비스를 대상으로 하고 있다. 그러나 현재 논의 되고 있는 대책의 대부분은 공격 받는 대상의 보호대책을 강화하는 측면에만 머물러 있다. DDos 대응 장비의 도입과 체계의 도입은 단기적으로 타당한 방향이다. 그러나 근본적인 원인제거를 하지 않는 다면 미봉책에 머물 뿐이다. 공격자들은 보다 더 많은 공격자원을 더 은밀하게 모집하고 더 대량의 자원을 동원하여 공격을 할 것이다. 실제로 은밀하게 모집 하려고도 하지 않는다. 일반적인 웹 서비스를 해킹하여 악성코드를 사용자 PC에 설치하는 행위는 너무나도 일반적으로 발생하는 현상일 뿐이다.

 

DDos 공격에 대해 보다 더 많은 대응자원을 투입하고 대응 실무인력을 투입하는 것은 무제한적인 공격도구 확보가 가능한 공격자들에 비한다면 수술이 필요한 환자에게 붕대만을 처방하는 행위가 될 뿐이다.

 

비근한 예로 2007년에 발생된 에스토니아의 DDos 사례와 7.7 DDos의 차이점에 대한 근본적인 고찰도 부족한 현 상황에서 대책이라는 부분은 지속되는 공격에 대한 소모성 대책과 다를 바가 없다.

본 컬럼에서는 근본적인 DDos 공격의 변화를 간략하게 살펴 보고 앞으로의 대응에 중점이 되어야 할 부분에 대해서 짚어 볼 수 있도록 한다.

 

먼저 에스토니아를 향한 공격의 전체적인 동향은 다음과 같다.

 

사용자 삽입 이미지

일반적인 cyber 공격 유형이라 할 수 있는 통신 대역폭을 가득 채우는 공격과 함께 일반적인 혼란을 초래 할 수 있는 spam메일, Phishing, Web 변조 등이 동시 다발적으로 발생할 것을 확인 할 수 있다.

 

왜 에스토니아는 외부와 완벽하게 고립된 섬처럼 2~3주간에 걸쳐서 지속적인 피해를 입을 수 밖에 없었을까? 그만큼 취약한 국가였을까? 아니면 취약한 대응능력을 지니고 있었을까?

일반적으로 언론 기사를 통해서는 정확한 면모를 확인하는 것이 어렵다. 단순히 작은 국가가 대규모 공격에 의해 대응능력이 없이 무너졌다고 보는 측면이 강하다. 그러나 IT세상에서는 크고 작음의 판단 기준이 영토에 준하지는 않는다. 

 

에스토니아 국가 자체가 IT화를 통해 국가 발전을 도모한 결과 EU NATO 2004년 동시 가입될 정도로 동유럽에서는 발전화된 시도를 많이 한 국가로 볼 수 있다.  또한 전세계 최초로 인터넷을 통한 선거를 실시함으로써 실험적인 시도를 많이 한 동유럽의 정보통신 강국의 하나였다.

왜 동유럽의 정보통신 강국은 고립된 섬이 될 정도로 심각한 피해를 입었을까?

 

사용자 삽입 이미지

<http://www.riso.ee/en/information-policy/projects/x-road>

 

위의 이미지는 에스토니아의 기반 정보 시스템에 대한 간략화된 이미지 이다. X-road라는 정보시스템을 인터넷 기반으로 유지하고 있음을 볼 수 있다. 또한 국가 예산 및 운영에 필요한 가장 자원이라 할 수 있는 인구 통계와 차량등록, 건강보험 관련된 내용이 통합되어 300여 개 이상의 국가기관과 연동되어 서비스 되고 있으며 금융기관과도 연동된 형태로 서비스 되고 있음을 알 수 있다. 각 연결지점에는 해킹이나 데이터 유출에 대비하여 암호화된 지점들을 모두 운영 하고 있음에도 불구하고 연결 자체가 되지 않도록 하는 DDos 공격에는 무차별적으로 무너질 수 밖에 없는 구조를 가지고 있었다.

 

에스토니아의 사례는 국가나 한 산업 자체가 밀접한 연관을 가지고 있고 공개된 통로를 이용할 경우에 치명적인 피해를 입을 수 있는 Cyber war의 전형적인 모습을 관찰 할 수 있다. 이 당시에 활용된 DDos 공격은 일반적인 DDos 공격 세트라고 할 수 있는 각 프로토콜별 자원 고갈형의 공격이 지속 되었으며 공격에 대한 대응은 외부 유입되는 트래픽을 일시적으로 모두 차단 함으로써 일차적인 회복을 할 수 있었다. 국가 내부의 망은 정상화 시킬 수 있었으나 외부와 연결 되는 모든 통로를 차단한 채로 지낼 수 밖에 없어서 고립된 섬으로 불려진 것이다.

 

 

2007년에 발생된 에스토니아의 공격이 일반적인 DDos 공격 이외에도 다양한 공격이 병행되어 진행된 것을 볼 때 이후 3년의 시간이 지난 지금에 이르러서는 더 치명적인 내용으로 전개 될 수 밖에 없음은 명확하다.

 

2009 7.7일에 발생된 DDos 공격의 경우 일반적인 DDos 공격과는 차이점이 존재하고 있으며 그 변화상을 일면 짐작 할 수 있다.  KISA의 자료를 통해 7.7 DDos의 현황을 살펴 보면 다음과 같은 이미지로 간략하게 요약이 된다.

 

사용자 삽입 이미지

< ref: KISA >

 

1, 2, 3차로 세분화된 공격의 특징은 지정된 일시에 지정된 목표를 향해 예정된 공격을 수행 했다는 특징이 있다. 단순한 트래픽 소모를 위한 DDos 공격과는 별개로 서비스 자원 소모를 위한 DDos 공격도 병행되어 활용이 되었으며 해외로부터 유입되는 공격의 경우 손쉽게 차단되는 점을 이용하여 국내에 존재하는 대량의 좀비PC를 활용 했다는 점이 눈에 띄게 달라진 점이라고 판단된다. 

 

일반적인 DDos 발생시에 대응은 좀비PC를 조종하는 C&C ( Command & Control) 서버를 찾아 연결을 차단함으로써 좀비 PC에 설치된 공격도구를 무력화 시키는 방식으로 진행이 이루어 진다. 그러나 7.7 에서는 왜 예정된 3일의 공격을 무력화 시키지 못했을까?

 

그 이유는 이미 3일간의 공격이 세분화 되어 예정이 되어 있었기 때문이며 좀비 PC를 직접 통제하는 형태가 아닌 좀비 PC에서 명령이 존재하는 서버로 연결을 하고 추가적인 명령을 확인 하는 형태로 구성이 되어 있기 때문이다.

 

중요한 차이점은 기존의 DDos 공격 방식에 대한 대응으로는 어려울 수 밖에 없는 이미 예정된 공격이었다는 점이다.

 

사용자 삽입 이미지

간단하게 정리한 DDos 형태의 변화이다.

DDos 공격 유형은 공격 형태에 따라 기술적인 분류가 가능하나 현재 나타난 여러 유형의 DDos 현상을 형태적으로 분석해 보면 연결타입과 공격유입소스라는 부분을 통해 구분을 할 수가 있다. 각 연결 형태와 공격유입 소스의 출발점에 따라 대응은 모두 달라질 수 밖에 없다.

 

에스토니아

연결타입 : Active – 해외의 Botnet을 이용한 공격

공격유입소스: Outside – 해외에 존재하는 좀비 PC 활용

 

일반적 DDos

연결타입: Active – Botnet을 이용한 공격

공격유입소스: Inside – 국가 내의 PC를 공격하여 획득한 좀비 PC Agent를 활용한 봇넷 공격 (알려진 유형의 공격이 일반적임)

7.7 DDos

연결타입: Semi Active – Botnet C&C 서버가 직접 통제하는 것이 아닌 좀비PC들이 여러 서버들에 접근하여 공격정보를 획득하는 유형

공격유입소스: Inside – 국가내의 PC를 공격하여 좀비 PC 획득 (알려지지 않은 유형의 공격 기법 사용으로 사전탐지 안되었음)

각 형태별 대응방식의 변화를 간단하게 도식화 하면 다음과 같다.

사용자 삽입 이미지

 

DDos 공격에 대한 기본적인 기술대응은 논외로 하더라도 형태의 변화에 따른 심각성은 충분하게 나타난다고 볼 수 있다. 백신에서 사전탐지가 되지 않는 Malware성의 도구 유포와 반능동방식의 조정을 통한 공격 효과는 7.7 DDos에서 보듯이 명확한 효과를 나타내고 있다. 만약 1년이 지난 지금 시점에도 동일한 공격이 더 대규모로 발생 된다면 기술적인 대응을 일정수준 이상 끌어 올린 기업들 조차도 어려움을 겪을 수 밖에 없을 것이다.

 

근본적으로 DDos 대응의 과제는 이제 일반적인 PC 환경을 얼마나 클린하게 만들고 사전에 위험을 인지 할 수 있고 또 즉각적인 협력과 대응을 통해 피해를 최소화 할 수 있느냐 하는 점에 집중이 되어야 한다.

 

24시간이 지나면 몇 만대 이상의 웹서비스들이 자동화된 도구에 의해 해킹을 당하고 악성코드를 유포하는 상황에서 좀비 PC의 확보는 더 이상 어려운 일도 아니고 너무나도 쉬운 과제임에는 명확하다. 근본적으로 악성코드가 손쉽게 퍼지는 환경을 개선하는 것이 가장 시급한 과제이며 대응장비의 증설과 대응인력의 확대는 눈 앞의 위험만을 피하고자 하는 대책일 뿐이다. 근본 환경의 개선은 현상적인 문제가 드러난 7.7 이후 달라진 점은 없다고 본다.

 

앞으로도 근본 환경의 개선 없이는 사태는 점차 심각한 국면으로 진입 할 수 밖에 없을 것이다.

다음 컬럼에는 Mass sql injection에 대한 컬럼을 게재할 예정이다.

 

* 좀 더 상세한 자료 및 관련 발표 자료는 블로그에서 찾을 수 있습니다.

http://p4ssion.tistory.com/entry/에스토니아-77-DDos-그리고-미래

http://p4ssion.tistory.com/attachment/cfile10.uf@165F670E4C16F178AE44ED.pdf  <- 발표자료

twitter:  @p4ssion

Posted by 바다란
 

바다란 입니다.  색이 다른 부분은 전부 2002년의 공개 문서의 내용을 발췌한 내용입니다. ^^

 

 

<http://movie.naver.com/movie/bi/mi/photo.nhn?code=40133&mb=c&page=1#ps 참고>

 

항간에 다이하드 4.0의 직접적인 해킹 이슈가 화제가 되고 있습니다. 이미 여러 게시물들에서 관련 내용이 언급 되어 추가적인 언급이 불필요한 상황이 되었습니다만 전체적으로 어떤 이슈들이 있는지 살펴 보는 것도 의미 있는 일이 아닐까 생각 됩니다. 지금에 이르러서는 이러한 공격 유형 들이 실제적으로 피해를 입힐 수도 있다고 봅니다. 그렇다면 대응방안은 무엇이고 무엇을 고려해야 하는지에 대해서도 알아야 된다고 생각 됩니다.

 

영화상에서 보면 주요 기반시설(에너지 ,전력 ,교통)에 대한 통제가 나옵니다. 이게 불가능한 것이냐? 그렇지 않다고 봅니다.

간단한 예들도 이미 존재하고 있으며 그만큼 위험한 상황속에서 ( 몇몇만 인지하는 위험) 불안한 안정상태를 유지하고 있다고 봅니다.  실제로 IT화로 집중화된 통제방안을 도입하여 운영할 경우 영화상에서 나온 위험에 직접 노출이 될 수도 있다고 봅니다. 별도의 네트워크망이라 하여도 어딘가에는 연결이 가능한 접점이 존재하고 사용자의 PC를 공격하던 어떤 유형이든 접근 가능한 경로가 존재 할때에 반드시 발생될 문제입니다.  예전의 간단한 기반시설의 위험에 대한 예를 들면 다음과 같습니다.

 

침해사례

------------------

1.Counterterrorism analysts have known for years that terrorists often prepare for attacks with elaborate "targeting packages"of photographs and notes. But, in January, U.S. forces in Kabul, Afghanistan, found something new. A computer seized at an al Qaeda office contained models of a dam, made with structural architecture and engineering software, that enabled the planners to simulate its catastrophic failure. Bush administration officials, who discussed the find, declined to say whether they had identified a specific dam as a target. The FBI reported that the computer had been running Microstran, an advanced tool for analyzing steel and concrete structures; Autocad 2000, which manipulates technical drawings in two or three dimensions; and software "used to identify and classify soils,"which would assist in predicting the course of a wall of water surging downstream. To destroy a dam physically would require "tons of explosives,"Assistant Attorney General Michael Chertoff said a year ago. To breach it from cyberspace is not out of the question.

http://www.washingtonpost.com/ac2/wp-dyn?pagename=article&node=&contentId=A50765-2002Jun26&notFound=true

 

지난 아프가니스탄 전쟁 중 알카에다의 기지로 보이는 곳에서 알카에다 조직원의 소유로 보이는 노트북에서 cyber terror에 이용될 수 있는 소프트웨어와 댐의 모형물을 발견했다. 노트북에서 발견된 소프트웨어는 금속과 콘크리트 구조물을 분석하기 위한 툴인 Microstran 프로그램과 댐의 모형을 2D, 3D 형태로 구축하여 가장 피해를 많이 입히기 위한  물의 흐름을 예상하기 위해 사용한 autocad 2000 프로그램을 발견 하였다. 실제 댐을 폭파 시키기 위해서는 수백톤의 폭약과 삼엄한 경계를 뚫어야 하는 위험 부담이 있었지만  Cyber 에서는 그럴 필요가 없었다.  이 사건을 계기로 지난 9월 경에 발표된 미 대통령 직속의 기반시설 보호팀에 의해 중요기반시설에 대한 보안책을 발표 하게 된 계기로 볼 수 있다.

 

 

2. In 1998, a 12-year-old hacker, exploring on a lark, broke into the computer system that runs Arizona's Roosevelt Dam. He did not know or care, but federal authorities said he had complete command of the SCADA system controlling the dam's massive floodgates. Roosevelt Dam holds back as much as 1.5 million acre-feet of water, or 489 trillion gallons. That volume could theoretically cover the city of Phoenix, down river, to a height of five feet.

http://www.itsa.org/ITSNEWS.NSF/4e0650bef6193b3e852562350056a3a7/3f141fc26dcebd5a85256be600617016?OpenDocument

 

1998 12세의 해커는 장난 삼아  애리조나의 루즈벨트 댐의 컴퓨터 시스템에 침입을 했다. 연방기관은 12세의 해커는 댐의 수문을 조종하는 SCADA system에 대한 완전한 제어 명령을 알고 있었다고 발표했다.  루즈벨트 댐은 489조 갤런의 물을 담고 있었으며  이정도의 양은 400만 이상이 살고 있는 피닉스 시티와 그 일대를 5 피트 정도의 높이로 덮고 흐를 수 있는 양이다.

 

 

3. In Queensland, Australia, on April 23, 2000, police stopped a car and found a stolen computer and radio transmitter inside. Using commercially available technology, Vitek Boden, 48, had turned his vehicle into a pirate command center for sewage treatment. Boden's arrest solved a mystery that had troubled the area's wastewater system for two months. Somehow the system was leaking hundreds of thousands of gallons of putrid sludge into parks, rivers and commercial properties. Until Boden's capture -- during his 46th successful intrusion -- the utility's managers did not know why. Specialists in cyber-terrorism have studied Boden's case because it is the only one known in which someone used a digital control system deliberately to cause harm.

http://www.theregister.co.uk/content/4/22579.html

 

앞의 1,2 번 예는 실행 되기 전의 예이지만  호주의 퀸즈랜드에서 2000 4월에 발생한 사건은 실제적인 SCADA 시스템에 대한 침입으로써 중요한 사례를 제시하고 있다.

 훔친 컴퓨터와 무선전송기와 자동차를 전송매개체로  사용하는 방법을 이용하여  폐기물 처리 회사의 자동화된 시스템을 제어하여 호수와 공원 , 상업지역외에 여러 곳을 오염시킨 혐의로 체포 되었다. 체포되기 이전까지  2달 동안 40여회 이상의 침입을 하여  폐기물을 싣고 가는 차량을 제어하여 폐기물을 쏟아 붓도록 만들었는데 시스템 관리자는 이런 침입 사실 조차도 몰랐다고 한다.  이 경우는  성공한  제어시스템에 대한  첫번째 공격으로 기록되어 있으며 앞으로 많은 사건들이 일어날 가능성을 예고하고 있다.

------------------

 

추가적으로 4번의 예를 들면 올해들어 발생된 에스토니아의 경우를 들 수 있습니다.

http://www.hankyung.com/news/app/newsview.php?aid=2007062556301

소국이다 보니 전체적으로 IT화 비율이 높았는데 대규모 DDos 공격으로 몇 주간 모든 상업 및 경제 활동이 전면마비 상태로 돌입된 기사입니다. 미국의 국토안보부나 FBI에서 분석인력을 파견한다는 기사도 있었습니다.

 

위와 같은 샘플 케이스들이 이미 존재하고 있습니다.  7~8년 전의 상황에서도 이미 문제들이 발견 되었는데 그 동안의 IT 기술의 발전은 전 사회의 영역에 영향을 크게 미치고 있습니다. 변화상도 많고 다양할 것이고 지금에 이르러서는 샘플 케이스 보다 더 심각한 상황들이 다수 나타날 수 있을 것 같습니다.

 

영화에서 나타난 전체적인 컨트롤은 현재 상태에서는 불가능 하나 일부 부분적인 문제들은 나타날 수 있다고 봅니다. 단 환경의 변화에 따라 중앙통제가 일반화될 경우에는 문제의 양상이 달라질 것이고 실제화된 위협으로 나타날 수 있습니다.

 

기반시설을 통제하는 장비들은 일반적으로 DCS SCADA라는 용어로 총칭을 합니다. 예를 들면 Embedded Platform을 사용하는 장비라고 볼 수도 있을 것입니다.  ( DCS: Distributed control system , SCADA: Supervisory Control And Data Acquisition )  영화에 나오는 시설물에 대한 제어는 하위에 존재하는 DCS SCADA를 통제하는 상위 기능에서 사용하는 패널들을 주로 보게 됩니다.

 

기반시설을 통제하는 장비에 대해서 일반인들이 가지는 오해는 다음과 같은 오해가 있습니다.

 

오해

 

1.      제어시스템은 물리적으로 분리된 독자적 네트워크 상에 존재한다

 

일반적으로 분리된 독자적 네트워크 상에 존재하는 것은 사실이다. 그러나 아주 적게나마 원격에서 접속이 가능한 지점이 존재하고 기업정보시스템과의 연동의 필요성으로 인해 통합된 지점이  거의 존재한다.

 

2.      SCADA 시스템과  기업정보 시스템과의 연결에는  강한 접근제어 정책으로 보호되고 있다.

 

대부분의 경우에 SCADA시스템은 방화벽과 보호장치가 이중으로 되어 있는 구조 이나 정보시스템으로부터 혹은 외부로부터 접속이 가능한 몇몇 개의 접속지점이 반드시 존재한다. 중대사고 발생시의 Hot Line 혹은 외부에서 연결을 통한 연결지점, 정보시스템에서 정보의 활용을 위해 제어시스템과 연결이 되는 부분이 반드시 존재한다.

 

3.      SCADA 시스템을 운용하기 위해서는 특별한 지식이 필요하며 침입자가 접근하고 제어하기가 어렵게 만든다.

 

SCADA 시스템의 운영에 사용하는 소프트웨어나 제어장치에 대한 매뉴얼은 이미 전체의 70프로 이상이 인터넷 상에 공개가 되어 있다.  그러므로 이전과 같이  정보가 없어서 지식을 획득하지 못하는 일은 없다.  SCADA시스템을 제작하는 회사는 사후지원과 Update등을 위해 인터넷을 통해 다운로드 받는 형태로 매뉴얼을 제공하는데 이를 통해 충분한 지식의 습득이 가능하다.

 

위의 3가지 경우가 일반인들이 가지는 오해라고 할 수 있습니다. 인터넷이 활발하게 보급 되기 이전에야 별도의 Protocol과 외부와 격리된 구조에서 드러날 문제는 내부자에 의한 문제 사례외에는 없었으나 이제는 외부로 부터도 안전하지 못하다고 볼 수 있습니다.

 

그렇다면 SCADA & DCS로 구성되는 기반시설 운영시스템들의 문제점은 무엇이 있을까요?

 

 

l기반시설 취약성   

 

대표적인 취약성 항목은  항목별로 보면 다음과 같다.

 

l취약한 접근제어

l취약한 인증모드

l부적절한 서버간 혹은 시스템간의 트러스팅

l보안에 취약한 소프트웨어의 사용

l보안이 고려되지 않은 빈약한 시스템의 설계

l적당하지 않은 백업시스템의 사용

 

 

영역으로 나누어 보면 다음과 같이 나눌  있다.

 

-일반적 보안취약성:

 

1.      Web site  외부 공개된 시스템의 경우 침입자에게 회사구조  이름, 이메일 주소, 정보시스템의 이름과 같은 다양한 정보를 제공하고 있다. 사회공학적인 해킹에 의한 침해  개인정보를 이용한 해킹과 바이러스 공격을 당할  있다.

 

2.      DNS Server  Zone-Transfer 허용하는데 IP  서버명 , 이메일 정보를 제공하게 되면  Transfer  가능한 구조로 이루어져 있으므로 획득한 정보를 이용하여 변경이 가능할  있다. 웹사이트를 통하거나 사회공학적인 해킹을 통해 획득한 정보를 이용하여 공격 당할  있다.

 

 

-안전하지 않은 네트워크 구조:

 

1.      FTP, WEB , Mail Server 설정이 부적절하거나 불필요하게 내부정보망에 대한 접근을 허용하는 경우 침해가능성이 존재한다.

 

2.      파트너나 시스템 제작업체와의 네트워크 연결이 방화벽, IDS , VPN 등을 사용하지 않아서 안전하지 않을 경우 우회공격을 통한 침해가능성 존재

 

3.      원격에서 접속하는 다이얼업 모뎀 연결이 불필요하게 허용이  경우

 

4.      서로 다른 네트워크 세그먼트 사이에 분리가 되어 있지 않아서 방화벽이나 네트워크 연결의 통제가 내부적으로 이루어 지지 않을 경우의 취약점

 

 

-실시간 모니터링의 부족:

 

 

1.      많은 네트워크 장비를 이용하다 보니 과다한 로그 발생으로 인하여 중요 정보를 확인하기가 어렵다.

 

2.      IDS  존재하여도  보안관리자는 개별적인 공격만 인지함으로써 종합화 되거나 복잡화된 공격을 인지하지 못하여  위험여부를 판별하지 못한다.

 

 -최근 SCADA 제어 시스템의 변화경향:

                  

1.      User Interface 위해 VB, 델파이 등의 RAD 툴로 개발되는 경향이 많으며 데이터 연결을 위해 ODBC 인터페이스를 이용하는 경우가 많다.

A.     해커나 공격자들이 쉽게 익힐  있다.

2.      기업 정보시스템에 일정부분 연결이 가능하도록 TCP/IP 망을 기본적으로 지원한다.

A.     일반화된 프로토콜이므로 쉽게 접근이 가능하다.

 

전체적인 범주로 보았을때 위의 항목과 같은 문제점들을 가지고 있습니다. 또한 지금에 이르러서는 외부에서의 통제 및 접근 할 수 있는 경로 자체가 더욱 다양해 짐으로 인해 문제는 더 심화 되었다고 보는 것이 정답입니다.

 

 

생활을 영위할 수 있게 해주는 기반시설들에 대한 보안을 위해서는 무엇이 필요할까요?

전체적으로 안정성을 높여주고 위험 포인트를 줄여주는 작업이 진행 되어야 하고 모니터링에 대한 방안이 필요합니다. 보안성 검수 (하드웨어 및 소프트웨어)도 필수적인 부분이 될 것 입니다.

 

대책 방안:

 

SCADA 시스템의 구축 시에 고려해야  사항.

  

1.      현재까지의 관리나 제어 시스템은 폐쇄 환경에 맞추어서 개발이 되어 있으므로 접근제어  인증에 대한  고려가 되어 있지 않다.

현재의 구축 환경은 폐쇄 환경으로 구축되는 경우는 예외적인 경우에만 구축이 되도록 빠르게 변하고 있다.

 

2.      RTU  IED  IP 통신을 지원하는 형태로 변경이 되어가고 단순한 기능에서 점점  많은 기능을 포함해서 복잡해져 가고 있다. 이에 따른 보안구조도 변경 되어야 하나 이에 따른 고려사항은 부족한 현실이다.

 

RTU: remote terminal unit

IED: Intelligent Electronic Device

 

3.      새롭게 나오고 있는 Device Protocol ( ex . UCA /MMS & DNP )  보안기능을 가지고 있고 보안 속성을 지원하는지 여부를 확인

 

OSI 모델을 지원하며 네트워크 연결을 가능하게 해준다.

UCA: Utility communication  Architecture

MMS: Manufacturing Message Specifications

DNP: Distributed Network Protocol

  

4.      Legacy 시스템과의 연결이 필요하므로  보안의 범위를 Legacy 시스템과의 연동까지도 고려하여 구축이 되어야 한다.

  

5.      실시간 정보 제공을 위해 예측 못한 요구 사항이 생길  있으므로 기반구조 설계 시에는  실시간 정보의 제공을 위한 새로운 요구사항과 이에 따른 보안 사항을 다루도록 고려 되어야 한다.

 

6.      침입 탐지 시스템은  제어 Utility Protocol  이해   없다는 것을 알고  보안 구조가 고려 되어야 한다. TCP/IP 망이 아닌 PLC 라인을 이용하여 제어명령이 내려 지므로  침입탐지 시스템에서 찾아내는 패턴과 일치하는 패턴을 찾을  없으며 탐지도 불가능한 형태이다.

 

공개문서에 기술된 보안 강화 대책은 여전히 유효하고 앞으로도 일정기간 유효할 가이드라 할 수 있을 것이다.

 

Security Plan

_____________________________________________________________________________

 

Security Policy

 

1.      Cyber Terror Cyber war   대비하여 국가단위의 기반시설 보호 기구 설립

2.      미래 발생 가능한 바이러스 및 해킹에 대한 연구

3.      기반시설에 대한 외부 접속지점의 최소화 및  엄격한 관리 및 보안정책 필요.

4.      기반시설의 외부 정보 제공 부분이나  연결지점의 엄격한 관리

5.      기반시설 제어 시스템을 원격에서 직접 제어 시스템에 접근을 하지 못하도록 정책 설정

6.      기반시설과 연결된 내부 사용 PC와 서버군에 대한 바이러스 및 해킹 대책 완비

7.      내부 사용자에 대한 보안교육강화 및 보안 조직 강화

8.      기반시설 시스템 제작 업체에서의 원격지원 최소화

9.       기반시설 제어시스템 내의 원격접속 허용여부 검사

10.  기반시설 제어 시스템에 대한 대외 정보 유출 금지

11.   솔루션 도입시의 보안 방안에 대한 철저한 검토

 

Security Technic

 

 

n        외부 접속이 필요할 경우의 엄격한 제한 및 권한제어 필요

n        DMZ 내의 시스템에 대한 보안강화 뿐 아니라 내부망에 대한 자체 보안성을 높일 것을 권고

n        VPN 의 사용 뿐 아니라 서버자체에 대한 무결성 도구를 이용하여 보안을 높일 것

n        내부망에 대한 접속 경로의 최소화와 모니터링 집중도 높일 것을 권고

n        이메일의 암호화 및 파일 및 디렉토리에 대한 Locking 을 강화할 것

n        정기적이고 철저한 보안성 검사 및 취약성 점검을 수행할 것

n        SCADA 장비의 비 정상적인 움직임이 나타나는 경우의 제어방법 강구 및 모니터링 방안에 대한 고려

          

Virus :

1.      알려지지 않은 바이러스 의 침투에 대해 대비할 수 있도록 Anomaly Detection 이나 Heuristic Logic 을 적용한  방어책이 가능하도록 대비

2.      파일의 다운로드나 첨부파일 오픈시에 무조건적인 주의를 기울이며 바이러스 엔진의 가동이 필수적임

3.      이메일 전체에 대해 메일 필터링 Gateway 등을 설치하여 걸러서 받도록 설정

4.      웹 컨텐츠에 대한 검사를 수행하여 위험요소의 적극적인 차단

 

해킹

A.       IDS  , Firewall ,  Router 등의 보안 장비에 대한 종합적인 로그 진단

B.       수많은 로그에서 중요 침입 정보만을 필터링 할 수 있는 고급 ESM 의 도입이 필요

C.       주기적인  취약점 점검 및 검사

D.       해킹을 당한 후에도 피해가 최소화 되도록 전문적인 정보보호 구조의 설계 및 구현

E.       전문화된 인력이 없을 경우 신뢰할 수 있는 기관이나 국가설립 기관에서 Managed Security를 시행

F.       해킹관련 보안 전문가의 확충

 

Security for Future

 

 

보안 전문인력의 확충 및 능력을 향상 시켜야 되며 거시적인 안목에서 국가 안보를 생각 하고 대책을 수립해야 하는 시점이 아닌가 생각한다. 다음세대를 좌우할 보안제품의 안목을 거시적인 안목으로 설계하고 구현하도록 조언하는 전문가 집단 혹은 능력을 지닌 인력들을 양성해야 되며 이와 같은 인력과 조직을 통해 미래 발생 가능한 위협에 대한 분석과 대처 능력을 향상 시키는 것이 우선시 되어야 할 것이다. 인터넷 인구의 비율과 초고속 망의 일반화 또 무선인터넷의 활용도가 높아 지고 있는 시점에서 당장 수익이 나지 않는다는 이유 만으로 보안부문을 등한시 할 경우 많은 문제점을 가질

수 있음을 인식하고 노력하여야 할 것이다.

 

사소한 부주의와 실수로 인해 기반시설의 피해와 오류가 발생한다면 그 피해는 당장 실감할 수 있는 정도의 큰 규모가 될 것이므로 미리 알고 대책을 수립하고 방안을 구체화 한다면 진정한 사이버강국으로서의 면모를 일신하게 될 것이다. 이익에 집착하여 제품의 구상과 구현에 많은 노력과 투자를 하지 않는다면 세계적인 회사의 대열에 진입할 수 없을 뿐 아니라 1,2 위만 살아 남는 현실에서 많은 어려움을 겪을 것이라고 짐작할 수 있으며 기업이 가지고 있는 모든 에너지와 자원에서 일정비율 만이라도 다음세대를 선도할 모델이나 제품 개발에 힘을 쏟음으로써 경쟁력을 만회하고 한 획을 그을 수 있다는 결론은 당연해 진다.

해킹과 바이러스의 결합을 통해 새로운 보안모델이 필요함을 깨달았다면 이젠 피해대상의 한계와 그 여파에 대해서도 미리 알고 준비하는 것이 필요하다고 생각한다.

해킹과 바이러스의 경계를 구분하는 것 조차 무의미한 시대에서 지난 시대의 경험도 소중한 자산이지만 흐름을 놓치지 않고 맥을 잡아서 효율적이고 유리하도록 만드는 안목도 중요한 자산이 될 것이다.

 

항목으로 보자면 다음과 같다.

 

1. 보안 전문인력풀의 확대 및 수준 향상

2. 국가나 신뢰할 수 있는 기관에서 체계적으로 관리할 수 있는 위기관리 혹은 Security 팀의 조직 및 활동

3. 해킹 및 바이러스의 동향 뿐 아니라 미래에 발전 가능한 양상 까지도 추측하고 대응할 수 있도록 준비하는 조직이나 문화의 형성

4. 정기적인 취약성 점검

5. 기업체나 관공서의 보안조직 활성화 및 권한 부여

6. 국익을 위한 전략 보안기술에 대한 연구

이외에도 많은 사항들이 있겠지만 차차 지적이 되고 개선이 되리라 생각한다

 

 

조금 다른 부분의 이야기 이지만  모든 사람이 영화상에 나오는 위험이 실제로 일어날지에 관심을 기울이고 있는데 보다 다른 방식에서 어떻게 하면 문제가 되는 부분을 줄이고 최소화 할 수 있는 지에 대한 고민도 있어야 됩니다. 문제는 이미 예전 부터 있어왔고 앞으로는 더욱 심화될 것입니다. 에스토니아의 사례에서 보듯이 정보화가 진행되고 고도화가 진행 될 수록 더 심각한 피해를 입을 수 있습니다.

 

본 게시물의 거의 모든 내용은 2002 10월에 작성된 공개문서에서 따왔습니다. 문제 개요 및 대책 부분에 대한 내용들 모두가 2002년의 공개문서에서 차용을 하였습니다. SCADA DCS라는 용어 자체도 익숙하지 않을 때 작성한 것이라 영양가가 없었는데 5년 가량 지난 시점에서 동일한 문서를 참고 한다는 것이 아이러니컬 합니다.  2002년 이나 지금이나 달라진 것은 많이 없고 문제가 발생 할 수 있는 가능성만 더 증가 하였기에 문맥상에서 많은 부분을 고칠 필요가 없지 않나 판단 하였습니다.

 

SCADA DCS의 기본적인 구성은 아마 컨트롤 패널 같은데 이 게시물에 처음의 이미지에서 여성분 뒤의 배경을 보시면 대충 인지가 가능 할 것 같습니다. 2002년의 문서는 여기를 참고 하시면 됩니다.  http://blog.naver.com/p4ssion/50001878886

 

스스로의 만족과 욕구 충족을 위해 만든 것이기는 하나 감히 최초의 종합화된 문서가 아닐까 예상해 봅니다. ^^ ( 참 쓸데 없는 일들 많이 했죠. )

 

Posted by 바다란

http://news.naver.com/news/read.php?mode=LSD&office_id=213&article_id=0000003507&section_id=100&menu_id=100

 

위의 기사입니다. 시사매거진 2580에서 방송을 하였었죠. 저도  잠시 봤었습니다만..^^; 생각보다 근본적인 내용은 없고 두리뭉실한 내용만이 있다고 판단 됩니다.

 

오늘도  가볍게 생각나는대로 자판가는대로 한번 더 써보도록 하겠습니다.

 

기사내용을 보면 북한 해커 부대가 존재하고 공격이 다수 있었다고 하였습니다. 또 유형을 보면 [ 기사 면면을 살펴보면 ] 이메일을 통한 악성코드 [ 신규 취약성을 이용한 것이겠죠.. ^^ 알려지지 않은..새로운 취약성] 전파를 통해 개인 PC를 조정하는 것으로 볼 수 있습니다. 즉 중요시스템에 대한 침입은 일정부분 커버가 되고 있다보니 개인PC를 통한 주된 공격이 발생 하는 것이죠.

 

어제 올려 드린 KISA에서의 발표자료에서 보듯이 공격대상이나 범위가 많이 달라졌습니다. 온라인 게임을 예로 들면 직접 게임사를 공격하는 범주에서 보안이 강화되고 여러 절차를 통과해야 하다보니 [ 사실은 전문 인력들이 투입 되어 상당부분 변경이 되고 전문성이 높아져서 난이도가 매우 어려워졌다는 점에 있습니다.] 개인 PC 단위를 집중공격하는 것이 늘어난 현상을 지난해 부터 볼 수 있습니다. 이 부분은 중요 시설에 대한 공격 동향의 변화에도 진작에 적용이 되었을 것입니다. 중요 인물에 대한 개인 PC 공격 및 정보 유출하기에 가장 좋은 방안은 이메일을 통한 악성코드 설치 유도 이고 설치 이후의 특정단어를 검색하여 중요 문서들을 외부에 전송하게 만드는 방식이 가장 효율적이라 볼 수 있을 것입니다.

 

비슷한 유형에 대한 테스트를 2~3년전쯤..모 보안회사에 근무할때 모사를 위해 제작을 한 적이 있습니다. 그 내용은 여기에서 처음 말씀 드리면 다음과 같습니다.

 

1. 각종 백신들을 설치한 이후 바이러스 코드를 작성한 이후 테스트 한다.

2. 바이러스 코드의 내용은  스크립트 혹은 자동 실행 되는 유형으로 작성한다. [ 이때 작성한게 워드의 매크로 , 스크립트 , 최근엔 mhtml 유형]

3. 백신 4~5가지 정도에서 감지 결과를 확인 한다.[ 백신만 더 있다면 다 테스트 합니다. ^^ .. 조금만 변형해도 안걸리는 유형 다수]

4. 감지 안될 경우 조금씩 변형을 하여 여러 유형을 만들어 둔다.

5. 해당 스크립트의 내용은 개인 PC에서 특정 단어를 검색하여 단어가 포함된 문서를 지정된 이메일 및 FTP 서버로 올려둔다..

6. 해당 PC에는 취약성 존재하며 개인 사용자의 보안의식 부재라는 표식을 남겨둔다.

 

이중에서 5번에 해당되는 내용은 너무 무리하는듯 싶어.. 실제 실행시에는 제거를 하였죠.

그때 당시 제작만 했었고 [ 이것도 3일동안 날림으로 만들었습니다. ㅠ,ㅠ] 테스트는 직접 못하였는데 매년마다 정기적으로 보안의식 점검 수행시에 사용을 한다고 합니다. 그 결과를 한 술자리에서 들을 수 있었는데 자극적인 제목이나 중요정보라고 표시된 메일의 경우 6~70% 가량의 문제점이 초기에 발생 되었다고 합니다. 이 의미는 그 PC에 대한 전체 제어권을 언제든 가질 수 있다는 내용이겠죠.

 

국내에서도 을X훈련이라고 국가기관에 대해 시행하는 사이버 훈련이 존재 합니다. 이 훈련기간에는 보안 관련 업체들은 매우 바쁘죠. 어떤 업체는 테스트를 하기도 하고.. 국가기관을 모니터링 하는 업체는 대응을 하기도 하고 하느라 매우 바쁩니다. 이 훈련기간중에도 유사 내용이 메일을 통해 테스트 되기도 합니다. [ 몇 해전 모 국가기관에서 ORG를 사칭한 메일로 인해 기사화 되기도 하고 사과를 하기도 한 기사도 있습니다. ^^]

 

자 위와 같이 개인에 대한 PC 공격을 제가 알고 경험한 범위 내에서 정리를 해보았습니다.

현재에는 과연 어떨까요?.

 

보안의식을 지니지 못한 개인에게는 거의 재앙과도 같은 결과가 나옵니다. 보안제품이 아무리 뛰어나다 하여도 이런 제품들은 기본적으로 signature base 입니다. 즉 공격코드의 기본 유형 검사를 통해 진단을 한다는 점입니다. 따라서 걸러지는 것은 알려진 위험에 대해서만 100% 처리가 될 뿐이고 알려지지 않은 신형의 위험에 대해서는 0% 입니다.

 

최근들어 MS Office 군에 대한 신규 취약성 발표가 매우 증가 하고 있습니다. 이 부분도 시사할 점들이 있습니다. Office 군에 대한 취약성은 대부분 개인 PC 공격에 사용이 될 수 있습니다. 개인 PC에 대한 제어권 획득에 중요한 역할 을 할 수 있습니다.  취약성은 어떻게 찾아낼까요?. 개발업체가 똑똑해서 스스로 문제를 찾을까요?.. 절대 그렇지 않습니다.

외부의 제보 혹은 문제가 발생된 이후 사안을 분석한 결과 새로운 취약성이라고 판단되어 취약성에 대해 패치가 이루어 지고 취약성이 있다고 인정하게 되는것이 대부분입니다.  그만큼 많은 위험에 처해 있다고 볼 수 있을 것 입니다.

 

기밀의 보호를 위해서는 문서보안 솔루션등 다양한 방안들이 고민되고 현재 사용이 되는 것도 마찬가지 맥락이라 볼 수 있을 것입니다.

 

아.. 사설이 길었습니다. 가볍게 쓴다는 것이..그만...

 

북한해커 부대에 대해 나온 기사중에 의미 있는 기사는  단 한 부분입니다. 각 영역별로 담당자가 존재한다는 점. 이 부분은 참 매서운 내용입니다. 회사내의 또 기관내의 그 누구도 한 부분에서 지속적으로 관찰하고 대응한다는 점은 어렵습니다. 그러나 공격자들은 그런 부분을 한다는 것이죠. 네트워크 단위의 미묘한 변화나 설정 변경 그리고 작업 내역등에 대해서 오랜기간 작업을 하고 작업자의 사고까지도 추측을 하고 추정을 합니다.  이런 전문인력이 전담을 하고 오랜기간 관찰 하였다면 이 부분은 헛점이 드러날 수 밖에 없는 부분입니다.

 

어디든 완벽한 시스템과 완벽한 보안체계는 없습니다. 미 국방성의 경우도 보안의식을 지니고 체계적인 프로세스 및 방안을 인지하는 직원 비율이 30%를 갓넘는 다고 합니다. 하물면 일반기업은 오죽 하겠습니까?.. 그런 빈틈 하나가 큰 구멍을 만들고 중요한 시국에는 댐을 무너뜨리는 역할을 하는 것이겠죠.

 

그렇다면 대안은?..

 

Security라는 점을 전술적으로 이해를 하는 것이 필요합니다. 단기전술과 장기전술이 있고 또 전략적으로 안정적인 포지셔닝을 하기 위해 가장 중요한 요소라는 점을 인지해야만 가능합니다. 기업이든 국가든 기관이든 마찬가지 입니다. 공격자의 입장이 아닌 방어자의 입장에서 보면 그렇습니다. 전술적으로 가치를 지니는 지점에는 강화되고 전문화된 인력집단을 활용하여 체계적인 대응 및 일사분란한 Process 만이 위험요소를 줄이게 될 것입니다.

새로운 취약성에 대한 연구도 하여야 하고 지속적인 위험 노출 범위를 위해 내부직원들에 대해 불편을 감수하게도 만들어야 하고 그리고 욕도 먹어야 합니다. 그러나 절대 뜻을 굽혀서는 안되는 이중적인 상황에 처할 수도 있습니다. 그리고 그 누구에게도 인정받지 못할 수도 있습니다. 그러나 해야만 생존이 가능합니다.  ~~

 

왠지 과격한 헤드라인을 보니 대안 부분도 조금 과격하게 나가는 것 같습니다만... 기술적인..즉 계량이 가능한 대책만 가지고는 어려우며 전략적이고도 강력한 의지가 있는 상황에서 전반적인 대응체제를 갖추는 것이 해결책이 될 수 있다고 봅니다. 그러기 위해서는 뛰어난 인력은 필수 이겠지만.. 현재 국내의 상황은 그다지 좋아 보이지만은 않습니다.

 

^^;.  오늘은 여기까지 입니다.

Posted by 바다란

안녕하세요. 바다란입니다.

 

 

wmf 관련된 IM웜 (sdbot ) 및 이메일 전파 웜 , 악성코드 설치 유형이 급격하게 증가하고 있습니다. 12월 말을 기점으로 대폭 증가된 형태로 발견이 되고 있으며 위험성이 높습니다. 현재의 악성코드 루틴과 결합시에 국내 사용자들의  대규모 피해가 우려 됩니다. 공격코드 자체가 그리 어렵지 않다보니 상당히 많은 변형도 출현이 가능하고 피해 노출 방법도 다양한 방식으로 가능하므로 향후 변화가 많을 것으로 판단됩니다.

 

해외 최대 보안관련 사이트인 sans.org 에서는 wmf 취약성을 이용한 웜 및 바이러스에 대해 투표도 진행하고 있습니다. 그냥 사라질 것인가? 아님 2006년을 빛나게(?)할 취약성인가?..하는.. 투표입니다. ㅠ,ㅠ

이슈가 된 메신저 전송 jpg 파일에 대해서 직접 분석을 해본 결과 실제 jpg 파일은 아니며 HTML 컨텐츠 입니다. 내부 소스는 아래와 같은 링크 코드가 존재합니다. 

 

-----------------------------------
<body>
<P ALIGN=center><IFRAME SRC="foto.wmf" WIDTH=0 HEIGHT=0></IFRAME></P>
</body>
-----------------------------------

여기에서 WMF 파일이 악성코드를 실행 시키고 외부 사이트에서 다운로드 하는 역할을 맡고 있습니다.
또한 제가 앞서 말씀드린 대로 이미지 파일 및 팩스 미리 보기 기능과 연관된 DLL 이 문제가 있는 관계로 WMF 파일에 마우스만 올려 두어도 미리보기 기능이 동작하여 바이러스가 감염이 됩니다.
즉 웹사이트 방문 만으로도 감염이 되며 해당 악성코드의 업로드 시에 대량의 피해자가 발생 할 수 있을 것 같습니다.

 

추가적으로 jpg, gif 등 모든 이미지 파일 포맷으로 이름 위장이 가능하며 윈도우 시스템의 특성상 해당 이미지를 보기 위한 최적 DLL을 자동으로 찾는 과정에서문제가 발생할 것으로 예상이 됩니다. 그러므로  우선적으로 wmf 파일의 업로드를 금지하고 내부에 wmf 파일 링크를 지는 URL을 탐지하며 장기적으로는 파일 헤더 검색을 통한 검출루틴이 필요한 부분으로 판단이 됩니다.

제가 판단하기에는 현재의 악성코드를 통한 정보 유출 이슈와 결합시 국내에 폭발적인 피해가 발생 할 것 같습니다.


서비스 제공자 단위 대책:

1. WMF 파일의 업로드 금지 설정

2. WMF 파일을  내부 컨텐츠로 포함시킨 ( Iframe , 링크 등 ) 링크의 검출 및 제거

3. 파일 헤더 검사를 통한 WMF 파일 검출 ( 좀 시일이 걸릴듯 )

 

 

클라이언트 단위 대책:

*.  DLL 등록해제를 통한 임시 해결 방안
  - Microsoft는 보안권고에서 다음과 같이 임시 해결방안을 제시함
    * Windows XP SP1, XP SP2, Server 2003, Server 2003 SP1 사용자의 경우, Windows 사진 및      팩스 뷰어(shimgvw.dll)의 등록을 해제한다.
     step) 윈도우 시작버튼 클릭 -> 실행(R) 클릭
               regsvr32 -u %windir%\system32\shimgvw.dll 입력하고 확인 버튼 클릭
               ※ 이 작업은 이미지 파일을 더블클릭해도 Windows 사진 및 팩스 뷰어로 볼 수 없게 만드는 것임 또한 미리보기 기능이 안됩니다.

 - 향후 마이크로소프트의 패치버전을 설치하면 원래 상태로 되돌릴 수 있다.
      step) 윈도우 시작버튼 클릭 -> 실행(R) 클릭
               regsvr32 %windir%\system32\shimgvw.dll 입력하고 확인 버튼 클릭

 

 *. 비공식 패치의 설치 ( 그다지 권고 하지는 않습니다.)

  http://isc.sans.org/diary.php?date=2005-12-31 - 게시물 항목
  http://handlers.sans.org/tliston/wmffix_hexblog13.exe  - Unofficial Hotfix

 

피해가 우려되는 버전은 다음과 같습니다. ( MS의 KB Article 참조)

Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 
Microsoft Windows Server 2003 for Itanium-based Systems
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME)
 

 

관련 정보 사이트:

http://www.certcc.or.kr/intro/notice_read.jsp?NUM=107&menu=1   - 그래픽 렌더링 엔진 취약점

권고 파일
http://www.microsoft.com/technet/security/advisory/912840.mspx
http://www.f-secure.com/weblog/archives/archive-122005.html#00000752
http://isc.sans.org/diary.php?storyid=972

Posted by 바다란

2002년 8월 초에 작성한 내용입니다.

 

2006년인 지금도 중국으로 부터의 위협은 대단히 심각한 상황이지만 그 시작은 2002년 부터라고 보는 것이 정답일껍니다.

이때 처음으로 중국 사이트들 돌아다니면서 현황 파악해보길 향후 심각한 위협이 될 것이라고 판단 했었는데..

 

문서의 근간은 침해사고를 당한 서버에 올려진 공격툴등을 분석한게 기본 모체인데.. 사고 분석을 하다보니 종합선물세트처럼 되어 있더군요.

 

이런 문서를 만들면서 나름대로 공부가 많이 되었던 것 같습니다.

가르쳐 주는 사람이 없어도.. 스스로가 배우는 것이 공부이고 배움이라고 생각 되네요.

가르침이 없어도 좋다. 내가 가르침이 된다. 뭐 이런 궤변인가?..

아무튼 스스로가 배우고자 하고 덤벼들어야만 무언가를 할 수 있는 것이 아닐런지요.

 

이때 여러 사이트에 글을 썼었는데 앞으로 홍커가 온다고 이야기 하던 기억이 나네요.

이제 실감나게 2005년 부터 오고 있으니.. 틀린말은 아닌 것 같습니다.

 

그럼. - 아..하루 업로드 파일 용량 제한이 있네요..이 파일은 다음에 생각나면 다시 올리겠습니다.

Threat of china 로 검색 하시거나 winsnort 또는 바다란 으로 검색하시면 PDF 파일 보실 수 있을 겁니다. - v파일은 올렸습니다.

 

--

아.. 명의 도용의 시작이라기 보다는 명의도용은 오래된 일이고 악성코드를 금전적인 이득을 위해 유포하거나 사이트 해킹을 직접 시도하여 이익을 취하고자 하는 행위는 2005년 부터가 시작이죠. 공격은 2002년 경 부터 시작이 되었다는 이야기 입니다. 뭐 출발지는 똑같죠. 최근의 악성코드 해킹에도 상당히 고수준의 공격자 및 공격툴 제작자들도 돈벌이에 나서는 판이니... 똑같은 뿌리라고 볼 수 있을겁니다.

 

Posted by 바다란

2003년 8월 작성.

RPC 관련 대형 취약성 출현시에 위험성을 알리고 대책을 권고하기 위해 간단히 만든 문서.

 

Posted by 바다란

 

 

 

2005년 현재의 취약성 및 위협 동향 과 향후의 위협 과 대응

 

 

최근 동향을 보면 다음과 같이 요약이 가능합니다.

 

* 클라이언트 단위의 위험 증가 ( 개인 PC 에 대한 중점적인 공격 )

해외에서는 피싱등을 이용한 공격이 증가하고 있고 국내에는 직접적인 클라이언트 PC 공격 및 취약성을 이용한 악성코드 설치가 주된 유형입니다.

 

* 일반 Application에 대한 공격 증가
( 버그트랙이나 기타 메일링을 보아도 운영체제 등에 대한 취약성 보다는 운영체제 기반하에서 영리 목적이나 운영을 목적으로 코딩된 솔루션에 대한 취약성이 집중되고 있습니다.)

http://www.securitymap.net/sdm/docs/attack/Application-Attack-Analysis-PHP.pdf

 

 

* 보다 더 집중화된 Bot의 공격 

( 일전에 Bot 관련된 언급을 하면서 Monster Bot 이라는 용어를 언급한 적이 있습니다. 취약성이 나올때 마다 공격 기능이 하나씩 더 추가가 되어 하나의 Bot이 공격하는 공격의 가지수가 지속적으로 늘어나는 유형이죠. 또한 운영체제의 구분 없이 Application 에 대한 공격 유형도 첨가 되는 형태라 가히 Monster bot으로의 지속적인 진화가 예상 됩니다. )

 

* Application Worm의 일반화 가능성 매우 증대

( 특정 국가 , 특정 지역 , 특정 회사에 기반하여 사용되고 있는 Application 자체의 취약성을 통해 전파되고 통신망을 무력화 하는 공격이 매우 증가할 것으로 판단 됩니다. 무선 관련이나 블루투스 관련된 웜의 전파도 동일 유형이라고 보시면 됩니다.)

http://www.securitymap.net/sdm/docs/virus/Zeroday-worm.pdf

 

 

 

위와 같이 요약이 됩니다.

 

또한 향후 발생할 위협을 정리 해보면 다음과 같이 정리가 됩니다.

 

향후 지속될 위협

 

* 오래전 부터 언급한 기반시설의 IP 전환 및 온라인 노출이 많아 짐으로 인한 위협의 현실화 ( 기반시설의 위협에 관한 문서를 참고 하시면 됩니다.)

너무 빨리 문제제기를 한 면이 있지만 향후 지속적으로  일반화 될 것으로 예상 됩니다.

http://www.securitymap.net/sdm/docs/attack/internetcrisis_conspiracy%20.pdf

http://www.securitymap.net/sdm/docs/general/Critical_Alert_for_Cyber_Terror.pdf

 

* 무선 및 WiBro , DMB의 활성화를 통한 웜 전파

( IP 기반의 모든 머신에 해당이 될 것이며 이 경우에는 프로토콜 간의 Gateway의 보안설정 이나 허용 조건에 따라 보다 많은 편리성을 제공할 경우 광범위하게 전파가 될 것으로 판단됩니다. )

 

* 보안 인력의 부재 지속

( 전문성이 지속적으로 떨어지고 있는 현실에서 각 영역을 종합적으로 대처할 수 있는 보안 인력은 수요는 급증하나 인력은 계속 부재한 상황이 지속 될 것입니다. )

 

시스템 , Application , 네트워크 , 종합적인 대응 , 보안 체계 수립 이 모든 분야를 컨트롤 할 수 있는 마스터급의 보안 인력은 향후 매우 부족하게 될 것으로 판단 됩니다. 또한 Penetration Test의 영역이 매우 확장이 되어 상당히 많은 부분을 커버하게 될 것으로 예상이 됩니다.  물론 수요도 많이 있을테지만 국내의 현실상 오랜기간 숙달된 인력이나 전문성을 유지하고 있는 인력의 부재로 힘겨운 상태가 지속이 될 것 같네요. 협상력만 잘 보완 한다면 적절한 전문성을 유지한 인력의 경우 상당히 좋은 대우를 받을 수도 있을 것 같습니다.

 

* Application 취약성 발견 지속 및 클라이언트 공격 , 피싱 공격을 통한 이익 추구 일반화

( 올해도 지속이 되었듯이 향후에도 지속이 될 가능성이 높습니다. 또한 신규 프로토콜 상의 문제를 이용한 새로운 유형의 공격들이 나올 가능성이 높다고 판단됩니다. 특히 무선 관련된 802.X 대역에 대한 문제 출현 가능성이 높습니다. )

 

* Bot Network의 복잡화 및 일반화

( Bot 공격의 복잡성은 향후 지속적으로 증가 될 것이고 말 그대로 MonsterBot으로의 진화가 진행 중이며 더욱 심화 될 것으로 판단됩니다. 또한 일반적으로 알려지는 고유명사화 될 정도로 피해를 입힐 수 있을 것 입니다.)

 

* 수정 할 수 없는 Application 결함의 증가

( 취약성을 수정하거나 보완의 책임이 없는 공개 소프트웨어 혹은 개발사의 몰락으로 인한 위험성 증가 )

 

위와 같이 예상이 가능합니다.

이에 대한 대응 및 보안 활동으로는 다음과 같은 행위가 이루어 질 수 있습니다.

 

대응 및 보안활동에 따른 현상

 

*Application 개발 프로세스 단계에서의 보안성 검토 일반화

 

*Application 취약성 진단 도구의 활성화

 

*웜의 일반 PC 침투에 따른 PC 보안 강화

( 패치 및 PC 솔루션 회사들 기회가 될 수도..)

 

*바이러스 및 웜 제작의 일반화에 따른 보안의 어려움 따라서 능력이 있는 회사의 경우 자체 제작이나 변형의 요구에 따른 매뉴얼 보안 툴의 출현 가능성  ( clam 백신처럼...)

 

* 공격에 대응하는 속도를 따라가지 못함으로 인해 지속적인 피해 속출 가능성

 

* 보안 전문 인력의 이탈 가속화

( 노력에 대한 성취도가 매우 낮아 질 것으로 보임.. 노력을 기울여야 하는 부분은 매우 많아 질 것이나 그에 따른 성취도는 낮으며 업무강도 및 피로도는 급증 할 것으로 예상됨 )

 

* 위의 항과는 반대로 보안 인력풀은 산업의 요구에 의해 지속적으로 증가 요청이 있을 것임. 그러나 전반적인 하향 평준화는 어쩔 수 없을 것으로 예상됨.

 

 

기타.

 

*MS 등의 OS 벤더의 기타 사업 진출 가속화

( 보안 및 기타 영리 분야로의 대대적 진출)

 

* 구글등에 의한 Contents 제공 회사의 인프라 점유 확대 및 인프라에 대한 비용이 아닌 컨텐츠 제공에 따른 비용을 청구 받을 가능성 매우 증대

( 이런면에서 구글의 인프라 사업 진출 및 무선망 확대 사업은 매우 중요한 의미를 지님)

 

*손쉬운 IT 기업의 창업이 어려워짐

( 일정 규모 이상의 IT 대기업 출현으로 아이디어를 통한 신규 진출 및 창업이 어려워 질 것이며 인프라 및 보안 분야에 대한 일정 수준 이상의 요구를 맞추어야 함으로 더욱 더 어려워 질 것임. 보안 취약성은 기업의 규모를 가리지 않고 발견이 되고 있으며 일반 Application 발견 비율이 매우 높아 안전한 보안성을 지닌 소프트웨어 설계에는 매우 많은 비용이나 시간이 소요 되고 있음 )

 

* 세계적인 보안 부분 대기업 출현

시만텍 등의 보안 전문 출발 회사 부터 네트워크 부분의 시스코등에 의한 보안 분야 흡수 합병을 통한 거대 기업 출현으로 한 분야의 전문회사는 독창성이나 기술 모방성에 대해 독보적인 영역을 지니지 않는 이상 견디기 힘든 환경 지속될 것임.

 

 

위와 같이 아침에 번뜩 든 생각을 정리해 봤습니다.

짧은 생각이지만 참고 하시고 좋은 의견 있으시면 붙여 주세요.

감사합니다.

 

 

보안 전문가에게 듣는 해킹 프로화에 대한 대처 - 아래 글을 읽다 보니 문득 생각이 나서 써봤습니다.

 

http://www.zdnet.co.kr/itbiz/reports/trend/0,39034651,39134824,00.htm

 

딱 부러지는 답변은 없습니다. 그나마 간략한 발전 방향 및 향후 증가되는 유형에 대한 설명만 있을뿐.. 참고 삼아 읽어 보시면 될 것 같습니다.

 

Posted by 바다란

http://www.zdnet.co.kr/news/internet/hack/0,39031287,39144768,00.htm

 

전체적인 기관의 보안 대응 및 사고 발생시의 프로세스를 점검 하기 위한 cyber storm 프로젝트가 1주일간에 걸쳐 이루어 졌다고 합니다.

 

실제 공격 보다는 공격시의 대응 및 전달 체계 구축에 목표를 둔 것으로 보이고 해당 프로세스에 따라 유기적인 대응 조직 구성에 가장 신경을 쓴 것으로 보이네요.

 

향후 부분적으로 실제 공격 단위의 테스트가 이어질 수 있을 것으로 보입니다.

이 사이버 스톰과 관련하여서는 국내에는 을지훈련이 있으며 보다 더 효과적으로 시행이 되고 있는 것으로 보입니다. 지난 몇 년간의 을지훈련 프로세스를 지켜보면 프로세스 및 연결 체계에 있어서 효율성이 보다 더 나은 것으로 보입니다.

 

상당히 많은 조직과 큰 규모를 움직이기 위해서 필요한 프로세스 점검 차원에서 주목할 필요성은 있을 것 같습니다.

 

Posted by 바다란
몇 가지 느낀점이 있는데 간단하게 언급을 하면 다음과 같습니다.
차후 다시 정리를 해볼께요.

CSI  컨퍼런스 :
- 각국 보안 전문가 들이 참가를 하며 주로 미국 인력 ( 정부 기관 및 보안 담당자, 보안 업체 인력 )들이 참여를 합니다. 제품 전시회와 컨퍼런스를 같이 개최를 하며 상당히 조직적으로 운영이 됩니다.

* 보안이라는 전 분야에 걸쳐 ( Policy , 기술 , 개발 , Forensic , Web ,감사 ,해킹 등 ) 기술 단계별로 분류한 후  이슈에 대해 세션을 가지고 운영을 합니다. 3일간의 기간 동안 각 섹터별로 세션을 계속 끌고 가더군요.

* 각 단계별로 발표하는 자료에는 구라들도 상당 부분 있었고 가장 마음 아팠던 부분은 정부 기관에서 주도적으로 지원을 하고 있으며 한 분야의 전문가라도 상당히 많은 인지도를 지니고 인정을 받는 것이 속 쓰리더군요.

* 전체적인 기술 수준은 최상위 수준의 경우에도 그다지 이해하기 어렵지는 않았으며 기술레벨이나 세미나의 내용도 그리 높은 수준은 아니였습니다. 그러나 종사 인력이 많아서 그런지 분야에 대해 깊이 있는 이해를 하는 인력들을 종종 볼 수 있었습니다. 우리 처럼 만능 슈퍼맨은 못 봤습니다. ㅠ,ㅠ

* 질문할 내용도 많았고 궁금한 사안도 많았지만 그들만의 리그이고 또 네이티브가 아니다 보니 애로사안들이 돌출 하더군요.. 때론 조잡한 세션들도 많이 있었습니다.

* 전체적으로 풍족하게 컨퍼런스를 진행 하더군요 ( 참가비를 비싸게 받으니..쩝 )  식사 제공 및 기업들의 스폰서 후원이 매우 상당한 수준이였습니다.  - 국방 관련 및 국가 관련 프로젝트에 있는 인력들이 많다보니 기업들의 공식적인 로비 수준으로 접근을 하더군요.

* 개발 및 웹 , 포렌식 , 정책 등의 각 분야별로 폭넓은 저변인력을 가지고 있는 것에 매우 부러웠다는....

* 해킹 관련 세션들도 있었으나 그 수준은 그다지 높지 않았으나 일반적인 보안 인력들에게는 매우 호응도가 높았습니다. 이런 해킹 세션들은 최근의 컨퍼런스 붐에 따른 부가적인 장착이 아닌가 하는 생각도 들더군요.

-------------------
결론적으로 보안이라는 큰 테두리에서 움직이는 역량을 볼 수 있었습니다.  전반적인 기술레벨은 그다지 높지 않았으며 개인적인 평가로 보면 국내 인력들도 각 분야 인력들이 회사 제품 선전하는 설명회 할 여력을 다 모아서 럭셔리 하게 세션 스케쥴 잡아서 진행하면 독자적인 역량을 지닐 수 있을 것을 판단 됩니다.  또 그만큼의 실력도 충분히 됩니다. 각 분야별로 다 일정정도의 전문 영역에 국내 보안 인력들은 도달한 것으로 보입니다. 다만 문제는 세계적인 흐름을 주도하기 위해서는 영어권역에 속해 있는 것이 매우 좋았을 것이나 이 문제로 인하여 향후에도 흐름 주도는 힘들어 보입니다.

성격상 여러 회사를 전전한 까닭에 많은 부분을 보고 느꼈지만 국내도 역량의 결집시 상당히 높은 수준으로 집합이 될 것으로 보입니다. 다만 정책적인 지원이나 주도적인 리딩이 없다는 것이 문제가 되겠죠. Concert와 같은 기회가 좋은 찬스이나  이 세션을 보다 확대하고 다양한 분야에서 참여 하도록 하여야 하며 사전에 일정 수준 이상으로 거를 수 있다면 아주 좋은 기회가 될 듯 싶습니다. 물론 리딩을 하는 그룹의 의지가 있어야 겠지요.

아무튼 가서 궁금증을 해소하든 새로운 주제를 던지든 회화는 자유자재로 해야 할 것 같습니다. 생활영어 말구요..  레벨이나 전문 분야에 대한 내용은 오래지 않아 다시 정리해 보도록 하겠습니다.
간단하게 의견 피력이 필요 할 것 같아. 급히 써 봅니다.

좋은 하루 되세요.
Posted by 바다란

 

안녕하세요 바다란입니다.

 

 

금일자 해킹/바이러스 뉴스를 보다보니 다음과 같은 의미 있는 수치가 발견이 되었습니다.

그동안 막연하게 해킹을 당할 경우 이미지 손실이나 매출액에 부정적인 영향을 미친다고만 알고 있었는데  본격적인 수치로 측정이 된 사례는 이번이 처음인 것 같습니다.

 

해킹 및 크래킹으로 인한 피해 대비 보안 투자 비용은 언제나 고민 스러운 부분이지만 현재 상황에서 IT 기업의 연속성을 유지 하기 위해서는 필수비용이라고 판단이 됩니다. 관련된 소식은 해당 기사를 참조 하시면 될 것 같습니다.

 

http://news.naver.com/news/read.php?mode=LSS2D&office_id=030&article_id=0000131518&section_id=105&section_id2=283&menu_id=105

 

기사에서 언급하듯이 기업의 이미지는 25% 하락하고 매출액에도 12% 이상 영향을 미치는 것으로 발표가 되었습니다.

발표주체는 CONCERT ( Consortium of CERT ) 이며 국내 기업들에 존재하는  침해사고 대응팀의 협의체 입니다.

 

침해사고 대응팀이라는 것이 명목상으로 존재하는 곳들도 있지만 실제 국내 대기업 및 주요 기업들은 다 포함이 되어 있으며 해당 이슈에  미루어  짐작을 해볼때  중요한 의미를 파악 할 수 있습니다.

 

특히 IT 자산을 기반으로 하는  회사의 경우 기사에서 언급된 내용 보다 더욱 심할 것으로 예상이 됩니다. 매출액에 영향을 주는 점은 순간적이나 장기적으로 브랜드 이미지의 하락의 만회는 상당한 시일이 걸린다는 점에서 더욱 중점을 두어야 될 것 같습니다.

 

 

보안의 실행 부분에 대해서

 

예전 부터 보안은 보험이다 라는 이야기를 많이들 했었습니다.

그러나 이제는 바뀌게 되었죠. 보안은 성장을 위한 필수요소로....

 

국내의 많은 기업들 특히 IT 기반의 기업들의 대부분은 침해사고에 대한 사실을 공개하지 않고 있습니다. 그만큼 영향력이 있다는 반증이기도 합니다.  최근 침해 사고를 보게되면 한번 침입 발생 이후  원인제거가 아닌 현상의 제거를 통해 ( 단순히 웹소스의 부분 수정 이나 악성코드의 제거 ) 문제 해결을 하려는 시도를 많이 봐왔습니다. 또 이런 기업들은 어김없이 추가 침입을 당한 사례도 많이 있습니다.

 

개발 프로세스의 문제 혹은 외주 개발사의 문제 등등 발생 될 수 있는 문제는 많고  명확하게  처리 할 수 있는 인력은 없고...

 

지금도 그러하고 앞으로도 그럴 것으로 생각이 되지만  명확한 현상에 대한 처리 및 추가 대응책. 문제의 원인을 짚어서 그 원인을 원천적으로 제거하고 사전 예방이 되도록 만드는 많은 행위는 기존의 구성원들과 많은 대화 및 구성원들의 도움이 없이는 되지 않습니다.

 

국내에도 많은 보안업체들이 있습니다. 전문 서비스를 받는 것도 일시적으로 효과를 볼 수 있습니다. 그러나 적합한 대책 및 이슈에 대한 리딩은 한계가 있을 수 밖에 없습니다.  단기적인 비용을 투자해 순간적인 효과를 볼 수 있으나 깊이 있는 대응 및 리딩을 위해서는 여력이 되는 기업에 한해 보안  조직 구성은 필수의 시대인 것 같습니다. 다른 기업들에게도 많은 부담외 되겠죠

 

브랜드 가치의 하락 및 매출에 직접적인 영향을 줄 수 있다는 점. 이제는 보안이라는 이슈가  보조가 아닌 주된 역량을 기울여야만 되는 영역이라는 점을 알 수 있게 해주는 수치 인 것 같습니다.

 

Posted by 바다란

기사를 보다보니 중국발 해킹 100만 해커라는 글이 있네요. 그나마 이쪽 부분을 조금 들여다본 사람으로서 조금은 책임있는 글을 써야 하지 않나 하는 생각에 짧게 간략해 보겠습니다.
 
http://news.naver.com/news/read.php?mode=LSS2D&office_id=011&article_id=0000121048&section_id=105&section_id2=283&menu_id=105
 
 
일전 2002년 쯤에 중국으로 부터의 침입 관련 문서를 만들면서 그동안 너무 국내의 현실에만 안주한 것 아니냐는
자기 반성 차원에서 중국쪽의 관련 사이트에 대해서 많은 조사를 한 적이 있습니다.
 
그때 추정 되기를 향후 상당한 위협이 될 것이고 상위그룹의 수준이 빠르게 높아져 가고 있다고
진단을 한 적이 있는데 해당 이슈가 3년이 지난 지금 더욱 폭발적으로 증가를 하고 있네요.
 
지금의 조사와 차이가 있겠지만 2002년 당시에 제가 조사를 하면서 느꼈던 점을 기술 하면 다음과 같습니다.
 
상위레벨 : 취약성을 발견하고 해당 취약성에 대한 공격 코드 작성 가능자
중위레벨:  발견된 취약성에 대한 공격코드 작성이 가능한 자
하위레벨:  취약성에 대한 이해는 부족하나 공격코드의 활용이 가능한자.
무급레벨:  공격코드의 자동화된 툴의 이용자
 
2002년 분석 결과:

기술적 상위레벨 : 전체 인원대비 1% 미만 - 대략 2개 정도의 상위 그룹이 활동 하고 있었고 해당 인원도 10여명 내외의 고수가 존재한 것으로 파악이 되었습니다.
 
중위레벨 :  상위레벨의 10배수 가량이 존재하는 것으로 파악이 되었으며 부분적인 공격코드의 변형 및 작성이 가능한 자로 판단이 됨.
                   게시판 활동내역으로 보면 2~300여명 정도가 활동한 것으로 보임
 
하위레벨: 공격코드의 활용이 가능한자는 프로그래밍에 대한 이해가 조금이라도 있고 기본적인 공격에 대한 개념이 있는자로 몇천 단위로 파악이 되었습니다.
 
무급레벨: 가장 다수의 인력을 보유하고 있으며 가장 무서운 존재이죠. 대략 사용자 수는 미상. 몇십만 이상으로 추정됨.


위의 2002년 판단하에 1~2년 정도 관찰한 결과 대외적인 이슈 발생시 마다 상위레벨을 중심으로
몇개의 그룹화가 되고 분화가 되어 상위레벨에서 대표적인 공격 코드 몇개를 작성을 합니다. 그리고 공유를 하죠. 그룹원들에게만..
그리고 중위레벨이 해당 공격코드를 가지고 자동화된 툴을 작성합니다.
하위레벨은 발표된 공격코들 변화 시키거나 다른 유형을 공격 할 수 있도록 붙이죠.
최종적으로 공개되거나 약속된 사이트에 만들어진 자동화된 툴을 올립니다.
 
가장 무서운 무급레벨에서 만들어진 자동화 툴을 이용하여 무작위로 공격을 시행하죠.
이들에게는 IDS이고 침입에 대한 경고가 먹히지 않습니다. 오로지 공격이지.. IIS 공격 툴을 이용해
Apache에 무작위로 공격 하기도 하고 상당히 많은 공격이 이루어 집니다.
공격이 성공된 후에는 세트로 구성된 권한 획득 툴 및 타 서버의 취약성 스캔 , 공격툴들을 세트 단위로 업로드 합니다. 해당 거점을 이용해 지속적으로 영역을 확장해 나가죠.
 
상위에서 부터 무급레벨까지의 연결 통로에 제한이 없으며 무제한적으로 상호간에 공유가 되고 정보의 교류가 이루어 지고 있습니다.
연결 통로가 되는 사이트만 제한을 해도 피해는 대폭 줄어 들 것이지만 해당 사이트에 대한 제한은 중국 당국만이 열쇠를 쥐고 있을뿐입니다. 우리는 제 3자일뿐인거죠.
 
2002년 이후 2년간의 관찰결과 상위레벨은 3~4배수 정도 증가 하였고 ( 지난해에 중국에서 있었던 Xcon 세미나 및 해당 세미나에 대한 토론 및 기타 논의들을 가지고 추정 ) 중위레벨 및 하위레벨은 매우 폭넓게 확대 된 상태입니다.


2002년만 해도 보안 관련된 정보가 논의되는 일정 수준 이상의 사이트는 몇십개 였으나
지금은 몇 천개 이상으로 보이며 고급정보가 논의되고 배출 되는 사이트도 몇 백개 가량으로 확대된 것으로 파악이 되고 있습니다.  그만큼 저변이 폭넓게 확대 되었다는 반증이죠.
 
현재 시점에서 일정정도 미루어 보면 위에서 언급한 프로세스가 그대로의 유형을 지니고 있고 다만 공격코드 및 자동화된 툴을 만드는 중위레벨에서 해당 툴을 유상으로 판매하는 움직임이 2005년 부터 활발하게 출현을 하였습니다.
상위레벨은 각자 회사를 차리거나 중국내의 IT 인프라 확장에 따른 보안 관리자 및 보안 전문가로 활동을 하고 있죠. 이중 일부가 온라인 게임의 Abusing 및 직접 공격을 통해 부를 축적 하는 것으로 판단이 되고 있습니다.
 
여러 기사에서 보듯이 중국에서의 온라인 게임 공격은 상당히 활발한 상황이며 현재 상황에서 두 가지 정도의 그룹으로 나눌 수 있을 것 같습니다.
크래킹 및 직접 공격을 통한 온라인 게임 공격 , 악성코드 유포를 통한 사용자 정보를 획득한 상태에서의 게임 공격과 같이 부류를 나눌 수 있고 현재 상태에서 범위나 공격 가담 인력은 유추하기 어려운 상태입니다.
 
중국내에서 일어나는 사이버 범죄에 대해서는 중국 공안이 강력하게 대응을 하고 있지만 국외에 대한 공격에는 그다지 강력한 대응을 하지 않고 있습니다.
이런 현상은 몇년전 부터 지속되어오던 현상이지만 현재 상태에서는 공격 거점이나 공격 인원이 추정 불가능할 정도로 늘어난 상태라 단속에도 어려움이 지속 될 수 밖에 없습니다. 이 이야기는 공격에 대한 대응을 하는 것도 한계가 있고 IT 인프라가 확대 될 수록 계속 될 수밖에 없는 문제일 것입니다.
 
앞으로도 IT 산업의 크래킹으로 인한 위협은 계속 될 것이고 증가될 것으로 판단됩니다.
여력있는 기업 및 여력이 있는산업 차원에서만 효율적인 대응으로 일정정도의 효과를 보게 될 것이고  효과의 유지를 위해서도 지속적인 노력 및 비용 투자가 계속 될 수 밖에 없을 것입니다.
 
전체적인 대응 방안을 큰 범주에서 이야기 하면 다음과 같은 유형으로 줄일 수도 있으나
효과가 나오기 까지는 상당기간이 소요될 것으로 판단됩니다.
 
1. 각 기업 마다의 서비스 오픈 및 신규 서비스 , 개편 서비스에 대한 강력한 보안성 검수 - 기존 웹 애플리케이션 및 내부 보안 취약성의 제거를 목적으로 함.
 
2. 일괄적인 자원의 관리를 통해 커널이나 Application 버전의 일률적인 갱신 프로세스
 
3. 개발 프로세스 단위 부터의 보안성 강화 - Secure Programming  - 현재 상태에서는 향후에도 웹관련된 부분에 대한 위험성이 증가할 것이므로  웹 관련 코딩에 대한 절차 이행 여부를 중시해야 함.  실제적으로 현재 까지 출간된 웹 프로그래밍 서적의 보안 부분 강화 및 개편이 되어야 겠죠. ^^
 
4. 내부 중요 Data에 대한 보호 방안 수립 및 강력한 유출 방지 방안의 수립
    - 이미 권한이 다 노출이 된 상태에서도 보호 될 수 있는 방안이 필요합니다. 특정 툴을 사용하는 것이 전부는 아니며 정책 / 사람 / 정보 / 시스템 전반적인 부분이 총괄 되어야 하겠죠.
 
5. 수준 있는 정보보호 인력의 육성 및 분위기 조성 ( 분위기만 조성되면 금새 따라가겠죠. 원래 자질이 우수한 민족이다 보니.. ) 여기서의 정보보호는 보안인력만을 의미하지는 않습니다.
 
부수적으로 직접 효과를 볼 수 있는 방법은  침입 탐지 및 침입 방지 시스템의 Ruleset의 정밀화및 쉽게 업데이트를 할 수 있는 인력 및 능력의 확보도 중요한 관점이라 할 수 있습니다. 또한 전체적인 공격 유형의 변화를 추정하고 강력하게 권고를 하고 경고를 할 수 있는 레벨의 단체나 기관이 아쉽죠. 사고 발생 이후의 대응 보다는 발생 위험 가능성을 종합적으로 판단하여 사고가 발생하기 이전에 위험성을 경고 할 수 있어야 합니다.  - 이 부분은 사고가 발생하지 않을 경우 해당 경고에 대해서 무감각 하고 중요하게 생각하지 않을 수 있지만 매우 중요한 부분입니다. 현재도 경고를 하고 있지만 수동적인 상태이며 공격의 유형 이나 변화에 대해서 짚어 가는 전략적인 사고는 없는 상태입니다.
 
 
간략하게 위의  정도로 추려서 지속적인 보안레벨을 높일 수 있을 것입니다. 어느하나 쉬운 것이 없습니다. 그래도 진행하지 않으면 문제는 계속 될 수 밖에 없습니다.
현재는 커뮤니티 문화 및 인터넷 문화가 확산되어 금전 거래 및 문화로도 연결이 된 우리 나라에 대해서만 피해가 크게 보이지만 인터넷 문화의 확산에 따라 유비쿼터스 환경의 빠른 확대에 따라 세계 각국으로도 중국의 공격은 유효하게 발생이 될 것입니다. 
 
몇 년이내에 중국 당국의 강력한 조치가 없다면 세계적인 골칫덩이가 될 것이 분명하며 현재로서는 우리나라가 타켓이 된 것일뿐입니다. 위기는 기회라 하였습니다. 현재의 위기를 지혜를 모으고 역량을 모아 헤쳐 나간다면 향후의 IT산업 및 인터넷 산업 부분 전반에 걸친 잠재력과 인력을 확보하게 될 것이라고 판단 하고 있습니다.
 
물론 모든 것은 제 개인의 판단이고 사견입니다. 그리고 이 글도 짧은 시간에 후다닥 쓰는 글이라 다듬어 지지도 않은 내용이구요. 짧은 지식과 식견으로 쓸려니 참 안타깝습니다. 
 
아래 현재 문제에 대한 간략한 대책이나 내용이므로 참고 하시면 될 것 같습니다. 

http://blog.naver.com/p4ssion/40015866029

http://blog.naver.com/p4ssion/40017941957

http://blog.naver.com/p4ssion/40018174273

Posted by 바다란

안녕하세요. 바다란입니다.

 

한동안 정말 뜸했습니다. 여러 이슈들이 발생 하여서 관련된 해결책을 모색 해야 되지 않을까 판단하여 제안을 쓰도록 하겠습니다.

제목은 거창합니다만 실상 누구나 생각하면 알 수 있을 정도의 수준이 될 것 같습니다. 블로그에 게시하는 글은 개인의 의견이니 이점 참고해 주시면 될 것 같습니다.

 

이 내용은 지금 생각으로는 3~4개 정도의 Article로 나올 수 있을 것 같으며 목차의 대략적인 모습은 다음과 같습니다.

 

1. IT 서비스의 위험 현황과 실제

 얼마나 많은 위험속에 노출이 되어 있고 또 실제적인 위협이 되고 있는 지금의 상황에 대해서 몇 가지 예를 들어 설명 하도록 하겠습니다.

 

2. IT 서비스 보호를 위한 현재의 노력

 과연 지금 전체적인 보호 관점에서 진행 하고 있는 노력이 유효성이 있는지 여부를 정리합니다. 이 부분에서 보안 산업에 대한 개인 의견들이 나올 것 같습니다.

 

3. 향후를 위한 제안과 즉시 필요한 부분

 문제를 제기 하였으면 그에 따른 대안을 제시하는 것이 당연합니다.

 

위의 세 가지 정도의 Article을 예상하고 있습니다. 물론 그때 그때 생각에 따라 내용과 분량이 달라질 수 있습니다. 모든 것은 개인의 생각에 의해 나온 것임을 이해해 주시길 거듭 당부 드립니다.

 

아마 포함될 내용은 국외적인 현황과 국내의 위험한 현실에 대한 리얼한 설명이 들어갈 것이고 이런 위험요소들이 실제 IT서비스에도 큰 영향을 미치는 단계에 까지 이르렀다는 점을 언급 할 것입니다. ( 아이템 거래 업체에 대한 DDos 건이 주요 이슈로 들어갈 것입니다.) 또한 뜨거운감자 일 수 있는데 보안을 전문으로 하는 입장에서 보안업체에 대한 지적을 하지 않을 수 없습니다.

지금까지의 위험에 대해 현재 진행 하고 있는 보안업체들의 노력이 어느 정도의 한계성을 가지고 있으며 실효성이 있는지 여부에 대해서 의견 개진을 할 것입니다.

 

결론적으로 IT 서비스에 대한 보호가 중대한 측면에 도달 하였으며 보호를 하기 위해서는 전역적인 대응이 필요함을 각 부분에 걸쳐 설명을 하도록 하겠습니다.

 

이런 예고글을 쓰는 의도는 제 자신과의 약속을 하고 싶기 때문입니다. 스스로에게 게으름을 피우지 말라는 경고 이기도 하구요.

 

항상 부족하고 배워야 할 것이 많지만 매 순간마다 할 수 있는 최선을 다한다면 언젠가는 극에 도달 하지 않을까 하는 작은 바램 있습니다. 바다란 매우 넓은 곳이고 가장 낮은 곳이기도 합니다. ^^;

 

감사합니다.

Posted by 바다란

2002년 8월로 되어 있네요.

 

문서를 찾아서 다시 읽어 보니 부끄러움만..부족함도 많고..

 

그때 브라질 해킹 그룹을 분석하게 된 계기가 내부로 부터 눈을 돌려 외부를 분석하고 그때 당시만 해도 국내의 웹사이트를 공격하는 다수의 고급 크래커들이 브라질 계열이다 보니 적을 알고자 하는 마음으로 분석을 했었죠. 덕분에 새로운 정보 수집 사이트도 찾고 여러 동향도 조금은 객관적으로 불 수 있었던 것 같습니다.

 

아마 해외 그룹에 대한 분석은 처음이 아니었을런지.. ^^; 뭐 얼치기 분석이라도.

 

이래저래 재밌게 보낸 2002년 이었네요. 돌이켜 보면.. 이걸 하루에 왕창 올리면서 이런 생각이 드니  참 세상은 그래도 살만 한가 봅니다. 몰입이란..열정이란.. 항상 이런 질문 하면서 사는데..

 

 

Posted by 바다란

 

 아래의 기사는 지난해 (2005년) 5월에 주간동아에 기고한 기사입니다.

 


 
보안정보 유통채널 어디 없나
보안 취약성 관련 정보 교환의 장 전무 … 사고 대응 및 위험 통보 없어 수동적 대응
 
 
 
 
 
보안 관련 정보가 유통되지 않고 감춰져 있으면 그로 인한 피해는 더욱 커지게 된다. 

최근 ESG(Enterprise Strategy Group)는 미국에 있는 종업원 1000명 이상의 기업에 근무하는 229명의 보안전문가를 대상으로 ‘기업 내부보안 위협’에 대한 설문조사를 했다. 응답자의 절반가량이 연간 매출 10억 달러 이상의 대기업 소속이었다고 한다.

결과는 일반적인 예상치를 뛰어넘는 심각한 수준이었다. 응답자 중 27%가 사내에서 보안 관련 문제가 발생했는지조차 모르고 있었고, 23%는 지난 1년 동안 내부보안 결함으로 인한 침입이 있었다는 것. 이로 인한 손실은 40%가 주요 시스템이나 서비스 중단을 경험했고, 38%는 데이터 손상이나 손실을 겪어야 했다.

 

“게시판이나 각종 DB 프로그램의 취약점을 알려주려고 해도 알려줄 공간이 없어요.”

 

해커나 크래커를 상대하는 국내 보안전문가들의 최대 고민은 국내에 보안 취약점에 대한 정보 유통 채널이 없다는 것이다. 보안이란 전쟁터에서도 역시 정보싸움은 매우 중요한 부분이 될 수밖에 없다. 거의 날마다 새로운 취약성이 발견될 정도로 보안 관련 정보가 폭증하고 있는 것. 안티바이러스 솔루션을 만드는 회사의 경우 과중되는 업무로 비명을 지를 지경이다.

 

보안에서 가장 핵심적인 내용이라면 일반 사용자 측면과 방어하는 쪽에서의 기술적인 부분이 있을 수 있다. 일반 사용자라면 바이러스 백신의 활용과 PC 보안 조치 및 운영체제의 패치를 즉시 설치하는 정도가 될 수 있겠고, 해커와 맞상대하는 보안전문가라면 앞으로 일어날 위험을 예측하고 사회의 기반시설이 된 인터넷을 안전하게 지킬 수 있도록 노력하는 부분이라고 할 수 있다.

 

해외 메일링 리스트에 의존 앞으로 일어날 위험을 예측한다는 것은 그에 대한 정보가 이미 확보돼 있어야 하며, 특히 취약성에 관련된 정보의 활발한 교류와 적극적인 토론을 통해 방안을 모색해야 한다는 것을 뜻한다. 이제껏 국내에서 그와 같은 구실을 했던 매개체는 한국정보보호진흥원(KISA)에서 운영하는 CERTCC-KR 메일링 리스트(http://www. certcc.or.kr)가 유일하다.

 

이 메일링 리스트는 양 방향 채널을 가지고 의사소통을 통해 보안 의식과 취약점에 대한 정보를 공식적으로 언급해왔으나 현재는 유명무실해졌고, 아주 소수의 알려지지 않은, 또는 활동이 매우 뜸한 메일링 리스트만이 정보를 소통하고 있을 뿐이다.

 

그렇다면 우리나라의 보안전문가들은 이 같은 고급 정보들을 어떻게 획득해온 것일까. 대부분이 해외에서 운영하는 메일링 리스트에 의존해왔다. 미국의 Bugtraq(http://www. securityfocus. com/archive/1) 같은 해외 메일링 리스트를 이용해 취약성 정보를 받아왔을 뿐이다. 국내에서는 사이버 안전센터 및 KISA에서 제작하는 취약성 관련 경고문만이 일방적으로 전달되는 실정이다.

 

이 같은 일방적인 정보 전달이 왜 문제인가 하면 지난해 말 발생한 PHP-BB의 취약성을 이용해 웹페이지 변조 및 악성코드를 다운로드 받도록 만들어진 SANTY Worm처럼 프로그램을 직접 이용한 취약성 공격이 빈번해진다는 점, 그리고 올해 초 1000개 이상의 홈페이지가 PHP 취약성에 의해 공격을 당하는 상황에서 볼 수 있듯 앞으로도 새로운 유형의 공격이 증가할 것이라는 우려 때문이다.

 

국내에서 개발된 다수의 애플리케이션(Application)에 대한 취약성도 분명히 존재하며, 이런 취약점을 공개적으로 토론할 장소도 없는 상황에서 국내 취약성이 해외 버그 트랙(Bugtraq)이나 취약성 관련 메일링 리스트에 공개될 경우 해외 크래커들에 의해 악용당할 소지가 매우 높다. 그리고 해외 메일링 리스트에 공개된 취약점이 국내에서 적극적으로 쟁점화되지 않고 보안·네트워크·시스템 관련자들에게서 이슈화되지 못함으로써 수동적인 대응밖에 할 수 없게 된 것.

 

인터넷 인프라가 훌륭한 것은 기반시설이 잘되어 있는 것이고, 기술과 커뮤니티가 활성화되는 것은 발달이 이루어지는 것이다. 보안이라는 부분은 기술과 커뮤니티라는 사회가 무너지지 않도록 보완하는 조직이며 상호적인 관계에 있다. 대한민국의 인프라는 훌륭하며 앞으로도 독창적인 기술과 커뮤니티 문화는 계속 발전하게 될 것이다.

 

위협의 빠른 차단과도 같은 준비는 이미 발생한 위험을 최대한 줄여주는 구실도 한다. 지금의 우리나라 정보보호 준비는 빠른 차단과 확산의 최소화를 목표로 한다. 그러나 위험을 없앨 수는 없고 때로는 치명적인 위험을 입을 수 있다. 그렇다 하더라도 앞으로 발생할지 모르는 위험과 위협에 대해서 적극적으로 토론하는 장이 그 어디에도 없다는 것은 우리에게 너무나 아쉬운 대목이다.   (끝)
 

Posted by 바다란

2002년 10월 에 쓴 글이네요.

이 때만 해도 SCADA ,DCS가 어떤 의미인지도 모르시는 분들 많으셨을듯

 

지나간 자료를 보다보니 만들때의 생각이 나네요.

그냥 스스로가 좋아서.. 낯선 분야에서 무언가를 알아가고 체계화 한다는 것에 많은 만족을 가졌던 것 같습니다. 그 누군가의 평가와는 관계없이..

그 덕에 아직도 이렇게 지내지만.. ^^;

 

조금 더 큰 그림을.. 보려고 한계를 넘어 서려고 많은 노력을 했었고. 그 덕에 조금이나마 머리는 트인 것 같은데 아직도 여전합니다.

 

좀 더 큰 그림을 보려하고 체계화 하려는 것은 여전히 지닌 바램.

 

SCADA & DCS 관련 이 글을 쓸때만 해도 웹상에서 자료를 찾기도 어려워서 공부하는데 정말 힘들었었죠. 이것 저것 찾아봐도..자료도 없고.. 물어볼 사람도 없고.. 지금보다는 앞으로 발생할 문제라고 봅니다. 조만간 휴대폰 영역에서도 이슈가 될 것이고 유비쿼터스 환경에서 더더욱 살벌해질 문제라고 할 수 있죠.

 

이걸 만들 무렵에 SCADA &DCS 관련해서 미국토안보부인가에서 5페이지 정도의 보안 가이드를 발표 하더군요. 그나마 비슷한 시기에 만들었다는 헛바람든 만족만은 혼자 지니고 있습니다.

 

그럼.

 

Posted by 바다란

Zeroboard 및 PHP 관련 공격이 극성을 부릴때였죠.

2005년 1월초에 만든 문서입니다.

 

이 문서의 기본 개요는 향후에는 Application 레벨의 공격이 일반적이 될 것이라고 일정부분 예상을 했었는데..점쟁이도 아니구... ^^;

 

지난 내용들이지만 이때 당시를 짚어 보시고 한번쯤 생각을 해보시는 것도 좋을 듯 싶습니다.

조금 더 뒤의 일들을 예상하고 대응을 하도록 권고하는 것은 지나고 난뒤에 보면 좀 우습기도 하죠.

 

그냥 자기 만족이려니 하고 하는 것일뿐. ^^;

 

Posted by 바다란

 

지나간 자료 입니다.

저도 어디에 있는지 찾지를 못해서 다른 곳에서 링크 받아서 여기에 올려 둡니다.

 

순서대로 보시면 될 것 같습니다.

아직도 문제의 원인 같은 것은 잘 모르죠. 사고 조사나 자료들만 잘 있었어도 명확했을텐데 하는 아쉬움이 있습니다.

그냥 추론해 가는 과정을 보면 될 것 같습니다. 이때 잠도 못자고 근 3~4일을 회사일 하면서 밤에는 이거 만드느라고 고생 좀 했죠.

 

그냥 지나간 이야기..

 

0.1 ->0.2 ->1.0  까지 입니다. 회사 차원도 아닌 개인이 하는건 정보의 한계가 있더군요. 나름대로 모든 머리를 다 짜내고 글을 쓰고는 했는데 결국 욕도 많이 먹었죠..

 

후후..다 그러려니 합니다. 이외에 글을 썼던 게시판들도 있는데 그 게시판들이 다 사라졌네요.

그냥 이 것만...


Posted by 바다란
 

 

이제서야 처음 언급한 전략이 나오네요. 전략이라고 해봐야 별 거 없습니다.

뭐 특별하고 신출귀몰한 것도 없고 어느 정도 수준 되면 다 보이는 정도입니다. 이런 흐름을 얼마나 역동적으로 리딩을 하고 끌고 가느냐가 생존을 담보 하겠죠. 앞으로의 세상은 더더욱 그럴 것 입니다. 안주하는 서비스기업들은 무너지겠죠. 한 순간에 녹아 내리듯이 그렇게..

힘겹고 고통스러운 일이지만 그 동안 외면 했던 Security 라는 측면을 하지 않으면 생존하기 힘든 상황이 될 것입니다. 눈에 보이는 것이 아닌 체질적으로 서비스에 내재된 기술적 보안역량이 서비스의 질에 매우 큰 차이를 가져오게 될 것입니다. 앞으로는 보유 여부에 따라 극복하기 힘든 절대적인 차이가 발생하게 될 것입니다.

 

 

 

보안전문가와 보안 관리자의 차이( http://blog.naver.com/p4ssion/50014996901 ) 에서 언급한 GSM (General security manager ) SSM (Special Security manager) 의 구분과 동일합니다. GSM이 아닌 SSM의 보유여부에 따라 향후의 IT 서비스 기업의 흥망성쇠는 달라집니다. 최소한 글로벌 비즈니스를 하는 곳은 그러 합니다.  단지 인력을 확보 하고만 있는 것이 아닌 역량 발휘가 가능한 환경까지도 조성이 되어야만 하는 문제입니다. 국내의 현실은 SSM보다는 GSM이 더 우대 받는 현실이지만 앞으로의 다가올 위협에 뼈저리게 느낄 기회가 주어지게 될 것입니다. 위협에 대한 대응에 있어서 국내에서는 유야무야 얼버무리는 것이 된다 하여도 해외사업에서는 절대 그렇게 되지 않을 것입니다. 그때 가서야 알게 될 것입니다. 후회해도 늦었지만.. (하고 싶은 말들은 있습니다만. 이런 내용은 사설로 나중에  더 가슴에 맺히면 쓰도록 하겠습니다. 꾸벅)

 

1. Google online security 전략 개요

http://blog.naver.com/p4ssion/50019586109

 

2. online security 전략 상세  - * Trustworthy web

                                    * Google security strategy

3. online security의 방향과 미래 ??

 

* Google의 전략

 

- Direction : Passive protection ->Active protection으로의 전환

 

개념상으로 단순한 바이러스의 제거  ( 발생 이후에 제거가 가능한 부분) 서비스의 제공에서 벗어나 올해부터는 본격적으로 Active한 보호를 가능케 하도록 서비스 틀이 변화 될 것을 예상 할 수 있습니다. 1~2년 후에 일반화된 경향이 될 것으로 예측 됩니다.

Active한 보호 방안이란 사용자의 선택에 따른 AV 서비스의 제공이 아닌 악성코드 감염을 원천 차단하고 악성코드 유포 사이트에 대한 사전대응 형식으로 사용자에게 노출되는 악성코드를 적극적으로 줄이겠다는 의사로 풀이가 됩니다.

 

서비스적인 측면에서 Passive Active Protection 두 방안의 조화로운 운영을 통해 문제 발생 부분을 최소화 할 것으로 보이며 프로세스상으로는 다음과 같은 일련의 체제를 갖출 것 같습니다.

 

Active (예방 ) - Passive (대응) - Response ( 관리)

 

Active :

GreenBorder Product를 통한 악성코드 감염의 원천방지 ( 전체 사용은 어려울 것으로 예상)

일부 구글팩 및 구글툴바를 활용한 사용자 선택적인 사용이 중점이 될 것으로 예상됨

 

Passive:

구글팩에 포함된 Symantec AV 백신을 통한 사용자 치료 서비스의 강화 , 향후 다양한 멀티 벤더 제품을 사용하도록 할 가능성이 있음.

 

Response:

Stopbadware.org 사이트 운영을 통한 악성코드 유포 가능성을 지닌 사이트의 검색 결과 격리

stopbadware.org 사이트에 등록이 되는 사이트들은 AV벤더와 협력하여 탐지가 되는 결과를 가지고 진행합니다. 한국의 경우에는 KISA와의 협력을 통한 악성코드 유포 사이트 정보를 활용하여 stopbadware.org 사이트에 등록을 하게 될 것으로 보입니다.

 

위와 같이 세가지 방향에서의 online security가 이루어 지고 있으며 움직임이 본격화 되었다는 것은 security라는 측면이 online business에서 얼마나 중요한 가치를 지닐 수 있는지를 인지했다고 볼 수 있습니다. 내부 보안 강화 및 서비스의 보안 강화의 측면에서 한층 더 나아가 user 단위에 까지 영향을 미치는 security가 가미된 서비스로 방향을 설정한 것이라 봅니다. 그리고 현재의 위협 상황에서는 사용자까지도 보호를 해야만 서비스의 안정성이 유지가 되는 것이 사실입니다.

 

기본개념으로는 secure search search integrity (security 측면에서의 무결성- 악성코드로부터 Free..)으로 흐름분석이 가능 한데 일련의 이슈들을  서술 하면 다음과 같습니다.

 

 

Secure search & Browsing

 

secure search라는 부분은 제가 해석한 부분입니다. 대표적인 예로 올해 상반기에 인수된 Greenborder를 예로 들 수 있습니다. 전편에서 언급 하였듯이 검색 서비스 자체의 보안 측면은 아닙니다. 검색을 통해 노출된 사이트들을 통해 사용자가 피해를 입는 부분을 최소화 하자는 것이 근본 방향이 될 것으로 보입니다. Google을 통해 검색을 하고 그 결과를 클릭 하였는데 악성코드에 감염이 되었다는 문제 제기를 피하기 위한 방안으로 인식이 됩니다.

이 움직임은 올해 초에 구글의 Anti malware 팀에서 조사한 내용을 통해 근본 근거를 마련하고 이후의 Action item으로 Greenborder의 인수를 추진한 것으로 확인이 됩니다.  조사되고 발표된 내용은 전체 검색 결과의 10%가 악성코드 및 위험요소를 가지고 있는 유형으로 파악되었다는 자체 조사 결과 입니다.

 

Greenborder에 대한 설명은 전편에 설명을 하였지만 부가적으로 더 언급을 하면 Secure Browsing을 구글 내에서는 가능하게 하겠다는 근본취지를 지니고 있는 개념으로 볼 수 있습니다.  구글을 통해 검색이된 결과는 사용자가 클릭을 하여 해당 사이트로 이동을 하여도 악성코드에 감염되지 않는 Frame을 만들겠다는 관점에서 볼 수 있습니다.

 

대부분의 웹사이트를 방문할 경우 해당 사이트의 컨텐츠들은 사용자 PC의 임시파일 저장소에 저장이 되어 (cache ) 사용자의 브라우저 화면에 보여지게 됩니다. 대부분의 악성코드들이 감염 시키는 방식이 다운로드 이후 실행을 하는 방식을 취하고 있는데 GreenBorder의 경우에는 이 공간을 격리 시킵니다.

격리라는 의미는 별개의 가상공간에서 다운로드를 받고 사용자의 Browser에 보여지게 한 뒤에 사용자가 해당 사이트 이탈 시에는 가상공간을 없애는 유형으로 악성코드가 사용자 PC에 직접 침입 하는 유형을 원천 차단하는 것을 의미합니다.

 

개념 상으로는 좋은 방향이지만 국내의 현실에서는 문제가 많을 것으로 보이며 문제는 다수 발생 할 것으로 보입니다.

ActiveX 또는 부가 설치가 필요한 모든 부분에 대해 예외 설정 등을 하게 되면 문제는 계속 될 것으로 보이며 향후 구글 툴바 혹은 구글팩에 포함되어 사용자의 선택에 의해 사용하게 되는 유형으로 서비스 될 것으로 예상됩니다.

 

7.11일 현재 구글은 postini 라는 이메일 보안 업체를 6000억원을 주고 인수 합병을 하기로 한 기사가 나왔습니다. 관련 업체의 프로필을 살펴본 결과 기업용 제품으로서 단순한 이메일 보안업체가 아닌 일관된 Policy의 적용 및 내부 정보 유출을 방지하는 서비스 유형으로 파악이 되며 Google의 서비스 측면에서 보았을때 향후 기업용 시장에 대한 진출 도구로서 활용이 되고 Gmail에 대한 서비스 강화, 이익 강화 ( 미국의 3대 이메일 보안 서비스 업체라고 함) 측면에서 보는 것이 바람직해 보입니다.

 

 

Search integrity

 

검색결과에 대한 무결성을 보장한다는 의미는 검색 관련된 서비스를 하는 업체에게는 매우 중요한 factor 입니다. 그동안의 무결성이 검색 결과에 대한 정확도의 측면에서 접근 하였다면 지금은 전체적인 Web상의 위험요소 발달에 따라 다른 부분으로 전이가 되고 있습니다.

 

검색결과에 대한 정확도 측면 + 검색결과에 대한 신뢰도 ( 신뢰도 측면은 사용자 PC에 대한 안정성 측면의 신뢰도 입니다.) 가 이제는 기본적인 흐름으로 대두 될 것입니다. 이런 연유에 따라 구글의 Anti malware 팀에서는 구글 검색 결과 중 10%가 악성코드 유포의 위험성이 있다고 스스로 발표를 한 것으로 볼 수 있습니다. 스스로가 발표를 하면서 위험성이 있다는 것도 사용자들에게 알리고 이런 위험성을 제거하기 위해 사용자의 Action을 제한 할 수 있는 서비스를 출시 하는 것으로 볼 수 있습니다.

 

사용자의 Action 제한을 하더라도 큰 범주에서는 사용자의 보호를 위한다는 당위성 확보로 적절하게 활용이 된 것을 볼 수 있습니다.  구글 서비스에서 이루어지는 빠른 변화에 대한 사전작업이라고 보입니다.

 

Search integrity를 확보하기 위해서는 무엇을 하는가? 하는 측면에서 바라보면 드러난 부분으로는 다음과 같습니다.

Stopbadware.org 사이트의 활용 - 하버드 법대에서 운영을 하도록 합니다.  AV 벤더 및 악성코드 유포를 탐지하는 여러 업체 및 기관과 협력하여 거의 실시간에 가깝게 악성코드가 유포되고 있는 사이트 정보를 획득하고 해당 사이트 정보를 구글의 검색 결과에 반영을 합니다. Black list에 등재된 사이트의 경우 검색 결과에 노출이 되어도 사용자가 클릭을 하면 악성코드 유포 위험성 안내와 함께 stopbadware.org 사이트로 이동을 하도록 하고 있습니다.  관련 업체에서 이의제기를 하고 싶어도 구글 에게 직접 하는 것이 아닌 하버드법대에 이의제기를 해야죠.  blacklist에서 제거 되는 부분도 악성코드 유포 위험요소를 제거한 이후에 되도록 되어 있고 black list에서 제거되면 검색결과는 정상적으로 해당 사이트 링크를 활성화 시켜 줍니다.

 

주변 환경을 이용하는 측면에서 영악하다고도 볼 수 있는데 구글의 정보통제 및 독점에 대한 문제 회피를 위해 하버드 법대를 활용한 개념이 있고 또한 거의 실시간에 가까운 전 세계 협력 기관 및 AV 벤더의 자료를 취합해 적용함으로써 신뢰도를 높이는 점이 있을 것 같습니다. 자료를 제공해주는 기관이나 벤더는 향후 대폭 확대될 가능성이 있을 것이며 확대에 따라 신뢰도는 더 높아지는 결과를 유발 할 것입니다. 2007.7.11자로 확인을 해보니 악성코드 유포 가능성이 있고 유포중인 사이트가 197000여 개 정도 리스트업이 되어 있습니다.  

( http:://www.stopbadware.org )

우리나라의 경우에는 KISA에서 제공되는 악성코드 유포 사이트 정보를 활용하여 보다 전문적이고 지역적으로 특화된 내용에 대해서도 대응이 가능한 체제를 수립하려는 것으로 보입니다.

 

Response 영역에 대해서는 특별히 언급할 내용이 없으며 구글팩의 설치부터 AV 백신의 실행까지 모두 사용자 동의 하에 가능한 부분이라 영향은 제한적이지만 향후에는 위협의 증가에 따라 기본으로 제공될 가능성이 존재합니다.

 

 

Integrity Secure search & browsing에 대한 간략한 개념을 설명 드렸습니다.

 

영향은 어떻게 될까요? 짧은 소견이지만 생각 나는 대로 정리 하겠습니다.

 

Google의 검색 안정성 강화 ( 이익 창출을 위한 필수도구로서의 security factor 인식의 산물)

Active , Passive , Response process를 통한 전방위적인 대응체제 수립이 가능할 것으로 보이고 각각의 영향력이 다름으로 인해 효과는 제한적이나 향후 1~2년 이내에 Frame화 되어 정착될 가능성이 높습니다.

 

Active method (Green border technology)의 활용은 제한적이 될 가능성이 높고 위에 언급 하였듯이 Toolbar 혹은 별도의 Plugin 형식으로 전파가 되고 사용자의 선택에 따라 활용하는 용도로 이용될 가능성 있습니다.  단점으로는 언급 하였듯이 전체적인 보안기술의 적용이 어렵습니다. 특히 국내의 경우에는 많은 사이트들에 장애를 일으키거나 정상적인 접근이 어려워 지는 경우가 발생될 것으로 예상됩니다. 사용자의 설정 요구가 매우 많아져서 오히려 사용자를 떨어지게 할 수도 있을 것 같네요.

 

구글은 사용자의 요구와 Security의 강화라는 측면에서 Web 상에서 노출되는 많은 위험들을 앞으로 적극적으로 강조할 것으로 보입니다. 분명한 사실이지만 비지니스적으로는 강조해야만 불편함에 대한 사용자의 요구를 일소 할 수 있는 명분이 생기는 것이겠죠.  

Passive Response에 해당하는 이슈들은 앞으로 많은 영향을 미칠 것으로 보이며 특히 AV벤더와의 협력관계 확대를 통한 Response 영역의 확장은 노하우가 쌓일 수록 강한 힘을 발휘 할 것 같습니다.

 

글을 쓰는 목적은 변화하는 흐름을 분석하고 이해해서 향후 방향 설정에 도움이 되었으면 하는 마음에 분석한 것이며 그 과정에서 최근 구글의 행동이 주목할 만 하여 케이스 스터디 차원일 뿐입니다.

 

감사합니다.

 

* 심각하게 고민한 내용이 아니고 그 동안 나온 기사를 바탕으로 생각나는 대로 나열한 부분입니다. 내용 중에 이해가 어려운 부분도 있을 수 있습니다. 이 부분은 설명하는 사람의 무지를 탓하시면 될 것 같습니다. 또한 내용 중에 정확하지 않은 내용도 있을 수 있습니다.  신문기사만 보고 판단한 것이라 다른 내용들이 있을 수 있습니다. 개인적으로 보는 관점이라고 봐주시면 감사하겠습니다.  재주가 없어서 그런지 이해한 내용을 전달 하는 것도 부족한 부분이 많습니다.

 

- 사족 나갑니다.

왜 국내 IT Service 기업들은 변화를 리딩 하지 못할까요?  IT Service에서 안주와 자리 지키기는 죽음에 이르는 길입니다. 죽음의 길에 조금 더 빨리 가도록 하는 것이 학벌과 지연과 인맥에 의한 것이겠죠. 특히 Global Service기업이라면 학벌, 지연, 인맥에 의존 하는 순간 초고속 급행열차로 죽음의 길에 가는 것과 다름 없습니다. 남의 떡이 커 보인다고 키워야 될 자기 것들을 팽개치고 이러다 보면 순식간에 무너지겠죠. 전문직무분야인 보안 분야에서도 그러한데 다른 분야는 오죽하겠습니까? ^^; 위험을 인지 하지도 못한다면 더 심각한 상황이라 할 수 있습니다. 매 순간이 위기인데 말입니다. 백척간두 진일보라는 말은 개인에게만 해당되는 말은 아닙니다. 지금 이 순간의 모든 IT서비스기업들에 해당이 되는 의미입니다. 당장 1년 뒤를 보장할 그 어떠한 것도 없습니다. 세계와의 경쟁에는 학벌과 인맥, 지연이 통하지 않습니다. 그리고 지금의 서비스는 이미 세계와 경쟁 중입니다. 4천만의 시장으로 먹고 살 수 있다고 생각하는 고만고만한 기업이라면 이름 없이 사라짐을 당연하게 알아야 될 것입니다. 아쉽게도 문제는 그런 기업들이 너무 많다는 것이 문제일 뿐입니다. 아쉽지만 여기까지 인 것 같습니다.


 
Posted by 바다란
 

 

바다란 입니다.

 

현재의 인터넷 환경을 주도하고 있는 화두업체인 구글에 있어서 Online security는 어떤 의미인지 이 시점에서 짚어 보는 것이 필요하다고 생각 됩니다.

전체적인 맥락에서 한번 짚어볼 부분은 반드시 있을 것 같아서 이전 Thread에서 약속한 것과 같이 3가지 Article로 정리를 하도록 하겠습니다.

 

1. Google online security 전략 개요

http://blog.naver.com/p4ssion/50019586109

 

2. online security 전략 상세  - * Trustworthy web

                                    * Google online security strategy

3. online security의 방향과 미래

 

오늘은 2번 항목을 정리해 보도록 하겠습니다. 지난 issue 부분에서 논의된 내용을 체계적으로 구성을 하여 향후 방향에 대한 예측 부분으로 정리를 하겠습니다. 3번 항목은 미정입니다.

 

Google Online security 전략은 사실 오래 되지 않은 부분입니다. 그 동안은 자사의 서비스 시스템에 대한 안정화와 Process 강화와 관련된 부분이 가장 컸을 것으로 예상 하고 있습니다. 실상 여타 포털과 비교해서 Contents 제휴 종류와 범위로 따지면 비교도 되지 않는 (?) 구글입니다. 검색 전문업체로 시작하였기에 일면 국내에서 통용되는 포털이라는 개념과는 조금 다른 관점에 있습니다.  내부에서 개발된 Application에 대한 검증도 실시간으로 세계적인 이슈가 통용 되고 있는 보안 부분에 대해 받는 위험도와 압력은 IT 서비스 업체 모두가 해당이 됩니다.  IT 서비스업체나 Google이나 모든 웹서비스 업체는 보안에 대해 실시간으로 동일한 위험과 동일한 압력을 받고 있다고 할 수 있습니다.

 

왜 이런 위험요소들이 도출이 되고 행동들이 있는지는 전체적인 Attack trend를 살펴야만 가능합니다. 현재의 Trend는 다음과 같이 단편화 시킬 수 있습니다.

 

 

 

2005년부터 나타나기 시작한 Application에 대한 공격은 Web의 일반화와 궤를 같이 하고 있습니다. Web service의 활성화와 일반화에 따라 개발되는 모든 Application들이 Web을 통한 연결을 기본으로 하고 있습니다. 일반 C/S 환경에서 활성화 되는 Application의 수는 대폭 줄어들고 있다고 볼 수 있습니다. 아마도 일부 특수한 환경에서 사용되는 Application을 제외하고는 web 연결이 필수적인 Application이 대부분으로 예상이 됩니다. 

Web Application의 출현과 더불어 공격이 출현하게 되고 이전의 운영체제의 취약성을 노리는 직접 공격에서 운영체제 위에 설치 되고 운영이 되는 Web application에 대한 직접 공격이 증가하게 됩니다. 또한 이런 Application에 대한 공격은 자동화된 경향을 나타내며 발전하고 있습니다.

 

특정 서비스에만 특화된 Application attack의 출현도 일반적인 현상이라 할 수 있습니다.  (관련 내용은 올해 들어 여러 곳에 발표를 한 Web 2.0 관련 위험요소라는 PPT를 적당한 시점에 공개토록 하겠습니다. )

 

Web application에 대한 공격이 증가 한다고 하였습니다. 그럼 이런 공격 유형과 기업들의 변화된 움직임은 왜 일까요?. 그 변화에 대한 답은 제가 생각하기에는 다음과 같은 환경의 변화로 인해 기인 합니다.

 

위의 항목에서 보시면 각각의 서비스 기업들의 변화와 보안상의 위험요소와의 연관 관계를 추산할 수 있습니다. 제가 나누는 관점에서는 Worm의 출현에 따라 기업들의 대응과 보호 방안들이 달라지고 있다고 판단 하고 있습니다.

최초에는 Worm의 출현 -> Worm의 일반화 -> Web attack의 출현 -> Web을 통한 무차별적인 악성코드의 유포와 개인정보 도용 이런 유형으로 나눌 수 있으며 그에 따른 기업들의 대책들이 달라지고 있다고 볼 수 있습니다.

 

물론 공격유형이 변화는 사회적인 변화와도 궤를 같이 하고 있으며 세계에서 가장 빨리 위협을 경험한 곳이 대한민국이지만 향후에는 좀 더 다른 양상을 보일 수 있습니다. 개인정보를 유출 하기 위한 악성코드의 출현과 무방비로 노출된 사용자의 PC에 대한 문제는 이제는 IT 서비스를 진행하는 업체 모두에게 위험요소가 되고 있습니다.

직접적인 서비스 공격에 대한 대비도 하여야 하며 또한 서비스를 이용하는 사용자들에 대한 보호 대책도 강구 하여야 합니다. 해외는 이제 사용자들에 대한 보호 대책들이 출현하고 있는 시점이라 할 수 있습니다.

 

이른바 주가는 경기에 선행 한다고 합니다. 경기의 활성화를 미리 가늠 할 수 있는 요소가 주가 지수라는 의미인데 다른 비유를 하자면 Internet Industry의 위험요소를 가장 먼저 경험한 곳이 대한민국이고 그 위험요소가 이제 전체로 전이가 되고 있는 것으로 볼 수 있습니다. 해외 유수 IT 서비스 기업들의 움직임이 그러합니다. 적당한 비유가 생각 나지 않아 가져다 붙였습니다. ,

그 위험요소는 Web에 대한 공격이고 이런 공격들은 2005년부터 국내에 본격화 되었으며 악성코드에 대한 피해도 본격화 되었다고 볼 수 있는데 이런 위험에 대한 인식은 해외 업체들의 경우 인식에 대한 시기 자체가 조금 늦게 시작 되었습니다만 보다 더 꾸준하고 큰 영향력을 미치는 방향으로 이루어 진다는 점에 대해 주목하여야 합니다.

 

소통의 도구로 일반화 되고 향후에도 1분 이내에 전 세계와 소통 할 수 있는 Web의 발달은 더욱 가속화 될 것이고 생활과 더 밀접하게 연관이 있게 될 것입니다. 전 세계 어디에서나 글을 올리고 1분 이내에 접근 할 수 있다면 Web을 통한 모든 위험요소들의 전파도 1분 이내에 전 세계에 영향을 미칠 수 있다는 것과 동일합니다.

 

그만큼 Trustworthy web의 구현은 필수적인 요소가 될 것 입니다.

이런 요소의 중요성에 대해 인식하지 못하는 많은 서비스 업체들은 시행 착오 및  곤란을 다수 겪게 될 것이고 도중에 무너지는 경우도 종종 발생하게 될 것입니다.

지금 까지는 아니지만 앞으로 더 심각해 질 것이라는 것입니다.

 

신뢰할 만한 웹을 만들어야 된다는 것은 이제 서비스 업체들의 지상목표가 될 것이고 많은 노력이 필요하게 될 것입니다. 여기 전 세계 유명 기업들의 신뢰할 만한 웹을 위한 노력을 조금 살펴 볼 수 있는 요소가 있습니다.

 

아래의 Article Cnet.com에서 "웹보안의 미래"라는 제목으로 주요 기업을 인터뷰한 기사입니다. 참고 삼아.. – 본 인터뷰 기사를 통해서도 내부 프로세스의 흐름을 일부 예측 하는 것은 가능합니다. 이 내용은 조만간  (언제나 그랬듯이 쓰고자 하는 의지가 생기면 바로 씁니다.)

 

http://www.zdnet.co.kr/news/internet/search/0,39031339,39158840,00.htm  구글의 치열하고 즐거운 보안 노력

http://www.zdnet.co.kr/news/internet/search/0,39031339,39158918,00.htm   야후 보안, '편집증 환자들'

http://www.zdnet.co.kr/news/internet/etc/0,39031281,39159098,00.htm  MS 데스크톱의 경험을 살리다.

 

* 위의 인터뷰를 보시면 아시겠지만 기술적인 보안이 온라인 서비스 기업에 대해 중요한 영향을 미치고 있음을 알 수 있습니다.  MS는 그 관점에서 보면 아직 갈 길이 많이 남았다고 할 수 있습니다.

 

위에 언급된 인터뷰 기사 각각에서 보듯이 웹이라는 흐름은 이제 대세가 되었으며 이러한 대세의 바탕 위에서 근본적으로 불완전한 웹이라는 메소드에 대한 보안성을 강화하고 신뢰 할 수 있는 웹으로의 전환을 위해 각각의 IT 서비스 기업들이 노력을 하고 있습니다. 그 근간에는 Process + 병적이랄 수 있는 기술적 전문인력 + 원활한 대외 협조 ( 공격자 들 및 제보자들 ) 세 가지 주요 요인으로 정리가 됩니다. 신뢰할 수 있는 웹은 보안적 이슈에 대해 신속한 대응, 문제점 보완을 할 수 있는 기술적 인력들에 의해 가능해 집니다. 인터넷은 통제가 가능한 메소드가 아니기에 더더욱 기술적인 부분이 중요해 집니다.

 

 

Trustworthy Web

 ( Web이라는 매개체가 이제는 소통의 도구에서 생활의 도구로 격상이 된 지금에 이르러서는 불완전한 Web을 신뢰하고 믿을 만한 도구로 격상을 시키는 것이 절대 화두가 될 것입니다.)

보안 부분이 중점을 기울였던 부분을 종합해 보면 자사의 서비스 ( 대부분 Web ) 보안 부분에 많은 역할을 부여하고 있습니다. 특히 IT 관련된 서비스를 직접 운영하는 곳에는 더 많은 필요성이 있을 것으로 보입니다.

 

Cnet의 인터뷰 기사에서 언급된 IT 서비스 기업들의 주된 특징으로는 자사의 서비스 부분에만 많은 신경을 썼지 사용자를 대상으로 한 보안 서비스 부분에는 상당 기간 무관심 하였던 것이 사실 입니다. 지난 해부터는 해외의 포털 및 서비스 업체들도 백신 배포 등과 같은 Action을 취하고 있지만 악성코드의 발전과 진화 속도를 따라잡지 못하고 있는 실정입니다.  다각적인 방안 모색이 필요한 시점이고 현 시점에서 확인 할 수 있는 부분은 Google의 변화 과정이 흥미로운 이슈를 제공 하고 있어서 어떤 방향으로 변화 되는지 살펴 보도록 하겠습니다. 변화를 할 수 밖에 없는 근본적인 흐름을 적어야만 왜 그렇게 하는지에 대한 이해가 가능해 진다는 판단하에 잠시 변화의 근본 원인을 짚어 봅니다.

 개요글 (http://blog.naver.com/p4ssion/50019586109 )에 몇 개의 구글의 변화 요소들을 적었습니다. 변화요소에 기반하여 다음글 한편에 지향하고자 하는 바를 짧게 정리하겠습니다.

 

* Google의 변화된 움직임을 설명하기 위해 전체의 Trend 변화와 우리가 인지 해야만 될 변화 요소에 대해 사전 설명이 필요했습니다. 그렇지 않고서는 모든 행동들의 의미와 가치를 이해 할 수 없기에 적을 수 밖에 없었습니다.

 

 -- to be continue ( 이미 완성은 되었으나 마음에 따라 올리겠습니다. 참 제멋대로죠 쩝 )

 

Posted by 바다란

2005년 4월 작성 문서입니다.

 

여기에서 두 가지 용어를 썼었죠. zeroday worm 과 Monster bot . 현재 취약성이 발표 되거나 패치가 발표되면 치명적인 것들은 빠르면 1일에서 2일 정도 후에 공격코드가 출현 하고 있습니다. 또 발표 안된 문제들에 대한 공격코드들도 많이 있겠죠.

 

앞으로 더욱 많아 질 것 같습니다. 그리고 악성코드 설치를 위한 사이트 직접 해킹으로 이슈화가 덜되고는 있지만 여전히 상당히 많은 bot이 국내의 PC에 설치가 되고 있습니다.

 

더욱 많은 취약성을 공격 하는 Monster 이죠.

 

참고 하시면 될 것 같습니다.

 

이제 찾을 수 있는 것은 얼추 다 찾아서 올린거 같은데여..

Posted by 바다란

안녕하세요. 바다란입니다.

 

 

wmf 관련된 IM웜 (sdbot ) 및 이메일 전파 웜 , 악성코드 설치 유형이 급격하게 증가하고 있습니다. 12월 말을 기점으로 대폭 증가된 형태로 발견이 되고 있으며 위험성이 높습니다. 현재의 악성코드 루틴과 결합시에 국내 사용자들의  대규모 피해가 우려 됩니다. 공격코드 자체가 그리 어렵지 않다보니 상당히 많은 변형도 출현이 가능하고 피해 노출 방법도 다양한 방식으로 가능하므로 향후 변화가 많을 것으로 판단됩니다.

 

해외 최대 보안관련 사이트인 sans.org 에서는 wmf 취약성을 이용한 웜 및 바이러스에 대해 투표도 진행하고 있습니다. 그냥 사라질 것인가? 아님 2006년을 빛나게(?)할 취약성인가?..하는.. 투표입니다. ㅠ,ㅠ

이슈가 된 메신저 전송 jpg 파일에 대해서 직접 분석을 해본 결과 실제 jpg 파일은 아니며 HTML 컨텐츠 입니다. 내부 소스는 아래와 같은 링크 코드가 존재합니다. 

 

-----------------------------------
<body>
<P ALIGN=center><IFRAME SRC="foto.wmf" WIDTH=0 HEIGHT=0></IFRAME></P>
</body>
-----------------------------------

여기에서 WMF 파일이 악성코드를 실행 시키고 외부 사이트에서 다운로드 하는 역할을 맡고 있습니다.
또한 제가 앞서 말씀드린 대로 이미지 파일 및 팩스 미리 보기 기능과 연관된 DLL 이 문제가 있는 관계로 WMF 파일에 마우스만 올려 두어도 미리보기 기능이 동작하여 바이러스가 감염이 됩니다.
즉 웹사이트 방문 만으로도 감염이 되며 해당 악성코드의 업로드 시에 대량의 피해자가 발생 할 수 있을 것 같습니다.

 

추가적으로 jpg, gif 등 모든 이미지 파일 포맷으로 이름 위장이 가능하며 윈도우 시스템의 특성상 해당 이미지를 보기 위한 최적 DLL을 자동으로 찾는 과정에서문제가 발생할 것으로 예상이 됩니다. 그러므로  우선적으로 wmf 파일의 업로드를 금지하고 내부에 wmf 파일 링크를 지는 URL을 탐지하며 장기적으로는 파일 헤더 검색을 통한 검출루틴이 필요한 부분으로 판단이 됩니다.

제가 판단하기에는 현재의 악성코드를 통한 정보 유출 이슈와 결합시 국내에 폭발적인 피해가 발생 할 것 같습니다.


서비스 제공자 단위 대책:

1. WMF 파일의 업로드 금지 설정

2. WMF 파일을  내부 컨텐츠로 포함시킨 ( Iframe , 링크 등 ) 링크의 검출 및 제거

3. 파일 헤더 검사를 통한 WMF 파일 검출 ( 좀 시일이 걸릴듯 )

 

 

클라이언트 단위 대책:

*.  DLL 등록해제를 통한 임시 해결 방안
  - Microsoft는 보안권고에서 다음과 같이 임시 해결방안을 제시함
    * Windows XP SP1, XP SP2, Server 2003, Server 2003 SP1 사용자의 경우, Windows 사진 및      팩스 뷰어(shimgvw.dll)의 등록을 해제한다.
     step) 윈도우 시작버튼 클릭 -> 실행(R) 클릭
               regsvr32 -u %windir%\system32\shimgvw.dll 입력하고 확인 버튼 클릭
               ※ 이 작업은 이미지 파일을 더블클릭해도 Windows 사진 및 팩스 뷰어로 볼 수 없게 만드는 것임 또한 미리보기 기능이 안됩니다.

 - 향후 마이크로소프트의 패치버전을 설치하면 원래 상태로 되돌릴 수 있다.
      step) 윈도우 시작버튼 클릭 -> 실행(R) 클릭
               regsvr32 %windir%\system32\shimgvw.dll 입력하고 확인 버튼 클릭

 

 *. 비공식 패치의 설치 ( 그다지 권고 하지는 않습니다.)

  http://isc.sans.org/diary.php?date=2005-12-31 - 게시물 항목
  http://handlers.sans.org/tliston/wmffix_hexblog13.exe  - Unofficial Hotfix

 

피해가 우려되는 버전은 다음과 같습니다. ( MS의 KB Article 참조)

Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 
Microsoft Windows Server 2003 for Itanium-based Systems
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME)
 

 

관련 정보 사이트:

http://www.certcc.or.kr/intro/notice_read.jsp?NUM=107&menu=1   - 그래픽 렌더링 엔진 취약점

권고 파일
http://www.microsoft.com/technet/security/advisory/912840.mspx
http://www.f-secure.com/weblog/archives/archive-122005.html#00000752
http://isc.sans.org/diary.php?storyid=972

Posted by 바다란

2002년 8월 초에 작성한 내용입니다.

 

2006년인 지금도 중국으로 부터의 위협은 대단히 심각한 상황이지만 그 시작은 2002년 부터라고 보는 것이 정답일껍니다.

이때 처음으로 중국 사이트들 돌아다니면서 현황 파악해보길 향후 심각한 위협이 될 것이라고 판단 했었는데..

 

문서의 근간은 침해사고를 당한 서버에 올려진 공격툴등을 분석한게 기본 모체인데.. 사고 분석을 하다보니 종합선물세트처럼 되어 있더군요.

 

이런 문서를 만들면서 나름대로 공부가 많이 되었던 것 같습니다.

가르쳐 주는 사람이 없어도.. 스스로가 배우는 것이 공부이고 배움이라고 생각 되네요.

가르침이 없어도 좋다. 내가 가르침이 된다. 뭐 이런 궤변인가?..

아무튼 스스로가 배우고자 하고 덤벼들어야만 무언가를 할 수 있는 것이 아닐런지요.

 

이때 여러 사이트에 글을 썼었는데 앞으로 홍커가 온다고 이야기 하던 기억이 나네요.

이제 실감나게 2005년 부터 오고 있으니.. 틀린말은 아닌 것 같습니다.

 

그럼. - 아..하루 업로드 파일 용량 제한이 있네요..이 파일은 다음에 생각나면 다시 올리겠습니다.

Threat of china 로 검색 하시거나 winsnort 또는 바다란 으로 검색하시면 PDF 파일 보실 수 있을 겁니다. - v파일은 올렸습니다.

 

--

아.. 명의 도용의 시작이라기 보다는 명의도용은 오래된 일이고 악성코드를 금전적인 이득을 위해 유포하거나 사이트 해킹을 직접 시도하여 이익을 취하고자 하는 행위는 2005년 부터가 시작이죠. 공격은 2002년 경 부터 시작이 되었다는 이야기 입니다. 뭐 출발지는 똑같죠. 최근의 악성코드 해킹에도 상당히 고수준의 공격자 및 공격툴 제작자들도 돈벌이에 나서는 판이니... 똑같은 뿌리라고 볼 수 있을겁니다.

 

Posted by 바다란

2003년 8월 작성.

RPC 관련 대형 취약성 출현시에 위험성을 알리고 대책을 권고하기 위해 간단히 만든 문서.

 

Posted by 바다란

 

 

 

2005년 현재의 취약성 및 위협 동향 과 향후의 위협 과 대응

 

 

최근 동향을 보면 다음과 같이 요약이 가능합니다.

 

* 클라이언트 단위의 위험 증가 ( 개인 PC 에 대한 중점적인 공격 )

해외에서는 피싱등을 이용한 공격이 증가하고 있고 국내에는 직접적인 클라이언트 PC 공격 및 취약성을 이용한 악성코드 설치가 주된 유형입니다.

 

* 일반 Application에 대한 공격 증가
( 버그트랙이나 기타 메일링을 보아도 운영체제 등에 대한 취약성 보다는 운영체제 기반하에서 영리 목적이나 운영을 목적으로 코딩된 솔루션에 대한 취약성이 집중되고 있습니다.)

http://www.securitymap.net/sdm/docs/attack/Application-Attack-Analysis-PHP.pdf

 

 

* 보다 더 집중화된 Bot의 공격 

( 일전에 Bot 관련된 언급을 하면서 Monster Bot 이라는 용어를 언급한 적이 있습니다. 취약성이 나올때 마다 공격 기능이 하나씩 더 추가가 되어 하나의 Bot이 공격하는 공격의 가지수가 지속적으로 늘어나는 유형이죠. 또한 운영체제의 구분 없이 Application 에 대한 공격 유형도 첨가 되는 형태라 가히 Monster bot으로의 지속적인 진화가 예상 됩니다. )

 

* Application Worm의 일반화 가능성 매우 증대

( 특정 국가 , 특정 지역 , 특정 회사에 기반하여 사용되고 있는 Application 자체의 취약성을 통해 전파되고 통신망을 무력화 하는 공격이 매우 증가할 것으로 판단 됩니다. 무선 관련이나 블루투스 관련된 웜의 전파도 동일 유형이라고 보시면 됩니다.)

http://www.securitymap.net/sdm/docs/virus/Zeroday-worm.pdf

 

 

 

위와 같이 요약이 됩니다.

 

또한 향후 발생할 위협을 정리 해보면 다음과 같이 정리가 됩니다.

 

향후 지속될 위협

 

* 오래전 부터 언급한 기반시설의 IP 전환 및 온라인 노출이 많아 짐으로 인한 위협의 현실화 ( 기반시설의 위협에 관한 문서를 참고 하시면 됩니다.)

너무 빨리 문제제기를 한 면이 있지만 향후 지속적으로  일반화 될 것으로 예상 됩니다.

http://www.securitymap.net/sdm/docs/attack/internetcrisis_conspiracy%20.pdf

http://www.securitymap.net/sdm/docs/general/Critical_Alert_for_Cyber_Terror.pdf

 

* 무선 및 WiBro , DMB의 활성화를 통한 웜 전파

( IP 기반의 모든 머신에 해당이 될 것이며 이 경우에는 프로토콜 간의 Gateway의 보안설정 이나 허용 조건에 따라 보다 많은 편리성을 제공할 경우 광범위하게 전파가 될 것으로 판단됩니다. )

 

* 보안 인력의 부재 지속

( 전문성이 지속적으로 떨어지고 있는 현실에서 각 영역을 종합적으로 대처할 수 있는 보안 인력은 수요는 급증하나 인력은 계속 부재한 상황이 지속 될 것입니다. )

 

시스템 , Application , 네트워크 , 종합적인 대응 , 보안 체계 수립 이 모든 분야를 컨트롤 할 수 있는 마스터급의 보안 인력은 향후 매우 부족하게 될 것으로 판단 됩니다. 또한 Penetration Test의 영역이 매우 확장이 되어 상당히 많은 부분을 커버하게 될 것으로 예상이 됩니다.  물론 수요도 많이 있을테지만 국내의 현실상 오랜기간 숙달된 인력이나 전문성을 유지하고 있는 인력의 부재로 힘겨운 상태가 지속이 될 것 같네요. 협상력만 잘 보완 한다면 적절한 전문성을 유지한 인력의 경우 상당히 좋은 대우를 받을 수도 있을 것 같습니다.

 

* Application 취약성 발견 지속 및 클라이언트 공격 , 피싱 공격을 통한 이익 추구 일반화

( 올해도 지속이 되었듯이 향후에도 지속이 될 가능성이 높습니다. 또한 신규 프로토콜 상의 문제를 이용한 새로운 유형의 공격들이 나올 가능성이 높다고 판단됩니다. 특히 무선 관련된 802.X 대역에 대한 문제 출현 가능성이 높습니다. )

 

* Bot Network의 복잡화 및 일반화

( Bot 공격의 복잡성은 향후 지속적으로 증가 될 것이고 말 그대로 MonsterBot으로의 진화가 진행 중이며 더욱 심화 될 것으로 판단됩니다. 또한 일반적으로 알려지는 고유명사화 될 정도로 피해를 입힐 수 있을 것 입니다.)

 

* 수정 할 수 없는 Application 결함의 증가

( 취약성을 수정하거나 보완의 책임이 없는 공개 소프트웨어 혹은 개발사의 몰락으로 인한 위험성 증가 )

 

위와 같이 예상이 가능합니다.

이에 대한 대응 및 보안 활동으로는 다음과 같은 행위가 이루어 질 수 있습니다.

 

대응 및 보안활동에 따른 현상

 

*Application 개발 프로세스 단계에서의 보안성 검토 일반화

 

*Application 취약성 진단 도구의 활성화

 

*웜의 일반 PC 침투에 따른 PC 보안 강화

( 패치 및 PC 솔루션 회사들 기회가 될 수도..)

 

*바이러스 및 웜 제작의 일반화에 따른 보안의 어려움 따라서 능력이 있는 회사의 경우 자체 제작이나 변형의 요구에 따른 매뉴얼 보안 툴의 출현 가능성  ( clam 백신처럼...)

 

* 공격에 대응하는 속도를 따라가지 못함으로 인해 지속적인 피해 속출 가능성

 

* 보안 전문 인력의 이탈 가속화

( 노력에 대한 성취도가 매우 낮아 질 것으로 보임.. 노력을 기울여야 하는 부분은 매우 많아 질 것이나 그에 따른 성취도는 낮으며 업무강도 및 피로도는 급증 할 것으로 예상됨 )

 

* 위의 항과는 반대로 보안 인력풀은 산업의 요구에 의해 지속적으로 증가 요청이 있을 것임. 그러나 전반적인 하향 평준화는 어쩔 수 없을 것으로 예상됨.

 

 

기타.

 

*MS 등의 OS 벤더의 기타 사업 진출 가속화

( 보안 및 기타 영리 분야로의 대대적 진출)

 

* 구글등에 의한 Contents 제공 회사의 인프라 점유 확대 및 인프라에 대한 비용이 아닌 컨텐츠 제공에 따른 비용을 청구 받을 가능성 매우 증대

( 이런면에서 구글의 인프라 사업 진출 및 무선망 확대 사업은 매우 중요한 의미를 지님)

 

*손쉬운 IT 기업의 창업이 어려워짐

( 일정 규모 이상의 IT 대기업 출현으로 아이디어를 통한 신규 진출 및 창업이 어려워 질 것이며 인프라 및 보안 분야에 대한 일정 수준 이상의 요구를 맞추어야 함으로 더욱 더 어려워 질 것임. 보안 취약성은 기업의 규모를 가리지 않고 발견이 되고 있으며 일반 Application 발견 비율이 매우 높아 안전한 보안성을 지닌 소프트웨어 설계에는 매우 많은 비용이나 시간이 소요 되고 있음 )

 

* 세계적인 보안 부분 대기업 출현

시만텍 등의 보안 전문 출발 회사 부터 네트워크 부분의 시스코등에 의한 보안 분야 흡수 합병을 통한 거대 기업 출현으로 한 분야의 전문회사는 독창성이나 기술 모방성에 대해 독보적인 영역을 지니지 않는 이상 견디기 힘든 환경 지속될 것임.

 

 

위와 같이 아침에 번뜩 든 생각을 정리해 봤습니다.

짧은 생각이지만 참고 하시고 좋은 의견 있으시면 붙여 주세요.

감사합니다.

 

 

보안 전문가에게 듣는 해킹 프로화에 대한 대처 - 아래 글을 읽다 보니 문득 생각이 나서 써봤습니다.

 

http://www.zdnet.co.kr/itbiz/reports/trend/0,39034651,39134824,00.htm

 

딱 부러지는 답변은 없습니다. 그나마 간략한 발전 방향 및 향후 증가되는 유형에 대한 설명만 있을뿐.. 참고 삼아 읽어 보시면 될 것 같습니다.

 

Posted by 바다란

http://www.zdnet.co.kr/news/internet/hack/0,39031287,39144768,00.htm

 

전체적인 기관의 보안 대응 및 사고 발생시의 프로세스를 점검 하기 위한 cyber storm 프로젝트가 1주일간에 걸쳐 이루어 졌다고 합니다.

 

실제 공격 보다는 공격시의 대응 및 전달 체계 구축에 목표를 둔 것으로 보이고 해당 프로세스에 따라 유기적인 대응 조직 구성에 가장 신경을 쓴 것으로 보이네요.

 

향후 부분적으로 실제 공격 단위의 테스트가 이어질 수 있을 것으로 보입니다.

이 사이버 스톰과 관련하여서는 국내에는 을지훈련이 있으며 보다 더 효과적으로 시행이 되고 있는 것으로 보입니다. 지난 몇 년간의 을지훈련 프로세스를 지켜보면 프로세스 및 연결 체계에 있어서 효율성이 보다 더 나은 것으로 보입니다.

 

상당히 많은 조직과 큰 규모를 움직이기 위해서 필요한 프로세스 점검 차원에서 주목할 필요성은 있을 것 같습니다.

 

Posted by 바다란
몇 가지 느낀점이 있는데 간단하게 언급을 하면 다음과 같습니다.
차후 다시 정리를 해볼께요.

CSI  컨퍼런스 :
- 각국 보안 전문가 들이 참가를 하며 주로 미국 인력 ( 정부 기관 및 보안 담당자, 보안 업체 인력 )들이 참여를 합니다. 제품 전시회와 컨퍼런스를 같이 개최를 하며 상당히 조직적으로 운영이 됩니다.

* 보안이라는 전 분야에 걸쳐 ( Policy , 기술 , 개발 , Forensic , Web ,감사 ,해킹 등 ) 기술 단계별로 분류한 후  이슈에 대해 세션을 가지고 운영을 합니다. 3일간의 기간 동안 각 섹터별로 세션을 계속 끌고 가더군요.

* 각 단계별로 발표하는 자료에는 구라들도 상당 부분 있었고 가장 마음 아팠던 부분은 정부 기관에서 주도적으로 지원을 하고 있으며 한 분야의 전문가라도 상당히 많은 인지도를 지니고 인정을 받는 것이 속 쓰리더군요.

* 전체적인 기술 수준은 최상위 수준의 경우에도 그다지 이해하기 어렵지는 않았으며 기술레벨이나 세미나의 내용도 그리 높은 수준은 아니였습니다. 그러나 종사 인력이 많아서 그런지 분야에 대해 깊이 있는 이해를 하는 인력들을 종종 볼 수 있었습니다. 우리 처럼 만능 슈퍼맨은 못 봤습니다. ㅠ,ㅠ

* 질문할 내용도 많았고 궁금한 사안도 많았지만 그들만의 리그이고 또 네이티브가 아니다 보니 애로사안들이 돌출 하더군요.. 때론 조잡한 세션들도 많이 있었습니다.

* 전체적으로 풍족하게 컨퍼런스를 진행 하더군요 ( 참가비를 비싸게 받으니..쩝 )  식사 제공 및 기업들의 스폰서 후원이 매우 상당한 수준이였습니다.  - 국방 관련 및 국가 관련 프로젝트에 있는 인력들이 많다보니 기업들의 공식적인 로비 수준으로 접근을 하더군요.

* 개발 및 웹 , 포렌식 , 정책 등의 각 분야별로 폭넓은 저변인력을 가지고 있는 것에 매우 부러웠다는....

* 해킹 관련 세션들도 있었으나 그 수준은 그다지 높지 않았으나 일반적인 보안 인력들에게는 매우 호응도가 높았습니다. 이런 해킹 세션들은 최근의 컨퍼런스 붐에 따른 부가적인 장착이 아닌가 하는 생각도 들더군요.

-------------------
결론적으로 보안이라는 큰 테두리에서 움직이는 역량을 볼 수 있었습니다.  전반적인 기술레벨은 그다지 높지 않았으며 개인적인 평가로 보면 국내 인력들도 각 분야 인력들이 회사 제품 선전하는 설명회 할 여력을 다 모아서 럭셔리 하게 세션 스케쥴 잡아서 진행하면 독자적인 역량을 지닐 수 있을 것을 판단 됩니다.  또 그만큼의 실력도 충분히 됩니다. 각 분야별로 다 일정정도의 전문 영역에 국내 보안 인력들은 도달한 것으로 보입니다. 다만 문제는 세계적인 흐름을 주도하기 위해서는 영어권역에 속해 있는 것이 매우 좋았을 것이나 이 문제로 인하여 향후에도 흐름 주도는 힘들어 보입니다.

성격상 여러 회사를 전전한 까닭에 많은 부분을 보고 느꼈지만 국내도 역량의 결집시 상당히 높은 수준으로 집합이 될 것으로 보입니다. 다만 정책적인 지원이나 주도적인 리딩이 없다는 것이 문제가 되겠죠. Concert와 같은 기회가 좋은 찬스이나  이 세션을 보다 확대하고 다양한 분야에서 참여 하도록 하여야 하며 사전에 일정 수준 이상으로 거를 수 있다면 아주 좋은 기회가 될 듯 싶습니다. 물론 리딩을 하는 그룹의 의지가 있어야 겠지요.

아무튼 가서 궁금증을 해소하든 새로운 주제를 던지든 회화는 자유자재로 해야 할 것 같습니다. 생활영어 말구요..  레벨이나 전문 분야에 대한 내용은 오래지 않아 다시 정리해 보도록 하겠습니다.
간단하게 의견 피력이 필요 할 것 같아. 급히 써 봅니다.

좋은 하루 되세요.
Posted by 바다란

 

안녕하세요 바다란입니다.

 

 

금일자 해킹/바이러스 뉴스를 보다보니 다음과 같은 의미 있는 수치가 발견이 되었습니다.

그동안 막연하게 해킹을 당할 경우 이미지 손실이나 매출액에 부정적인 영향을 미친다고만 알고 있었는데  본격적인 수치로 측정이 된 사례는 이번이 처음인 것 같습니다.

 

해킹 및 크래킹으로 인한 피해 대비 보안 투자 비용은 언제나 고민 스러운 부분이지만 현재 상황에서 IT 기업의 연속성을 유지 하기 위해서는 필수비용이라고 판단이 됩니다. 관련된 소식은 해당 기사를 참조 하시면 될 것 같습니다.

 

http://news.naver.com/news/read.php?mode=LSS2D&office_id=030&article_id=0000131518&section_id=105&section_id2=283&menu_id=105

 

기사에서 언급하듯이 기업의 이미지는 25% 하락하고 매출액에도 12% 이상 영향을 미치는 것으로 발표가 되었습니다.

발표주체는 CONCERT ( Consortium of CERT ) 이며 국내 기업들에 존재하는  침해사고 대응팀의 협의체 입니다.

 

침해사고 대응팀이라는 것이 명목상으로 존재하는 곳들도 있지만 실제 국내 대기업 및 주요 기업들은 다 포함이 되어 있으며 해당 이슈에  미루어  짐작을 해볼때  중요한 의미를 파악 할 수 있습니다.

 

특히 IT 자산을 기반으로 하는  회사의 경우 기사에서 언급된 내용 보다 더욱 심할 것으로 예상이 됩니다. 매출액에 영향을 주는 점은 순간적이나 장기적으로 브랜드 이미지의 하락의 만회는 상당한 시일이 걸린다는 점에서 더욱 중점을 두어야 될 것 같습니다.

 

 

보안의 실행 부분에 대해서

 

예전 부터 보안은 보험이다 라는 이야기를 많이들 했었습니다.

그러나 이제는 바뀌게 되었죠. 보안은 성장을 위한 필수요소로....

 

국내의 많은 기업들 특히 IT 기반의 기업들의 대부분은 침해사고에 대한 사실을 공개하지 않고 있습니다. 그만큼 영향력이 있다는 반증이기도 합니다.  최근 침해 사고를 보게되면 한번 침입 발생 이후  원인제거가 아닌 현상의 제거를 통해 ( 단순히 웹소스의 부분 수정 이나 악성코드의 제거 ) 문제 해결을 하려는 시도를 많이 봐왔습니다. 또 이런 기업들은 어김없이 추가 침입을 당한 사례도 많이 있습니다.

 

개발 프로세스의 문제 혹은 외주 개발사의 문제 등등 발생 될 수 있는 문제는 많고  명확하게  처리 할 수 있는 인력은 없고...

 

지금도 그러하고 앞으로도 그럴 것으로 생각이 되지만  명확한 현상에 대한 처리 및 추가 대응책. 문제의 원인을 짚어서 그 원인을 원천적으로 제거하고 사전 예방이 되도록 만드는 많은 행위는 기존의 구성원들과 많은 대화 및 구성원들의 도움이 없이는 되지 않습니다.

 

국내에도 많은 보안업체들이 있습니다. 전문 서비스를 받는 것도 일시적으로 효과를 볼 수 있습니다. 그러나 적합한 대책 및 이슈에 대한 리딩은 한계가 있을 수 밖에 없습니다.  단기적인 비용을 투자해 순간적인 효과를 볼 수 있으나 깊이 있는 대응 및 리딩을 위해서는 여력이 되는 기업에 한해 보안  조직 구성은 필수의 시대인 것 같습니다. 다른 기업들에게도 많은 부담외 되겠죠

 

브랜드 가치의 하락 및 매출에 직접적인 영향을 줄 수 있다는 점. 이제는 보안이라는 이슈가  보조가 아닌 주된 역량을 기울여야만 되는 영역이라는 점을 알 수 있게 해주는 수치 인 것 같습니다.

 

Posted by 바다란

기사를 보다보니 중국발 해킹 100만 해커라는 글이 있네요. 그나마 이쪽 부분을 조금 들여다본 사람으로서 조금은 책임있는 글을 써야 하지 않나 하는 생각에 짧게 간략해 보겠습니다.
 
http://news.naver.com/news/read.php?mode=LSS2D&office_id=011&article_id=0000121048&section_id=105&section_id2=283&menu_id=105
 
 
일전 2002년 쯤에 중국으로 부터의 침입 관련 문서를 만들면서 그동안 너무 국내의 현실에만 안주한 것 아니냐는
자기 반성 차원에서 중국쪽의 관련 사이트에 대해서 많은 조사를 한 적이 있습니다.
 
그때 추정 되기를 향후 상당한 위협이 될 것이고 상위그룹의 수준이 빠르게 높아져 가고 있다고
진단을 한 적이 있는데 해당 이슈가 3년이 지난 지금 더욱 폭발적으로 증가를 하고 있네요.
 
지금의 조사와 차이가 있겠지만 2002년 당시에 제가 조사를 하면서 느꼈던 점을 기술 하면 다음과 같습니다.
 
상위레벨 : 취약성을 발견하고 해당 취약성에 대한 공격 코드 작성 가능자
중위레벨:  발견된 취약성에 대한 공격코드 작성이 가능한 자
하위레벨:  취약성에 대한 이해는 부족하나 공격코드의 활용이 가능한자.
무급레벨:  공격코드의 자동화된 툴의 이용자
 
2002년 분석 결과:

기술적 상위레벨 : 전체 인원대비 1% 미만 - 대략 2개 정도의 상위 그룹이 활동 하고 있었고 해당 인원도 10여명 내외의 고수가 존재한 것으로 파악이 되었습니다.
 
중위레벨 :  상위레벨의 10배수 가량이 존재하는 것으로 파악이 되었으며 부분적인 공격코드의 변형 및 작성이 가능한 자로 판단이 됨.
                   게시판 활동내역으로 보면 2~300여명 정도가 활동한 것으로 보임
 
하위레벨: 공격코드의 활용이 가능한자는 프로그래밍에 대한 이해가 조금이라도 있고 기본적인 공격에 대한 개념이 있는자로 몇천 단위로 파악이 되었습니다.
 
무급레벨: 가장 다수의 인력을 보유하고 있으며 가장 무서운 존재이죠. 대략 사용자 수는 미상. 몇십만 이상으로 추정됨.


위의 2002년 판단하에 1~2년 정도 관찰한 결과 대외적인 이슈 발생시 마다 상위레벨을 중심으로
몇개의 그룹화가 되고 분화가 되어 상위레벨에서 대표적인 공격 코드 몇개를 작성을 합니다. 그리고 공유를 하죠. 그룹원들에게만..
그리고 중위레벨이 해당 공격코드를 가지고 자동화된 툴을 작성합니다.
하위레벨은 발표된 공격코들 변화 시키거나 다른 유형을 공격 할 수 있도록 붙이죠.
최종적으로 공개되거나 약속된 사이트에 만들어진 자동화된 툴을 올립니다.
 
가장 무서운 무급레벨에서 만들어진 자동화 툴을 이용하여 무작위로 공격을 시행하죠.
이들에게는 IDS이고 침입에 대한 경고가 먹히지 않습니다. 오로지 공격이지.. IIS 공격 툴을 이용해
Apache에 무작위로 공격 하기도 하고 상당히 많은 공격이 이루어 집니다.
공격이 성공된 후에는 세트로 구성된 권한 획득 툴 및 타 서버의 취약성 스캔 , 공격툴들을 세트 단위로 업로드 합니다. 해당 거점을 이용해 지속적으로 영역을 확장해 나가죠.
 
상위에서 부터 무급레벨까지의 연결 통로에 제한이 없으며 무제한적으로 상호간에 공유가 되고 정보의 교류가 이루어 지고 있습니다.
연결 통로가 되는 사이트만 제한을 해도 피해는 대폭 줄어 들 것이지만 해당 사이트에 대한 제한은 중국 당국만이 열쇠를 쥐고 있을뿐입니다. 우리는 제 3자일뿐인거죠.
 
2002년 이후 2년간의 관찰결과 상위레벨은 3~4배수 정도 증가 하였고 ( 지난해에 중국에서 있었던 Xcon 세미나 및 해당 세미나에 대한 토론 및 기타 논의들을 가지고 추정 ) 중위레벨 및 하위레벨은 매우 폭넓게 확대 된 상태입니다.


2002년만 해도 보안 관련된 정보가 논의되는 일정 수준 이상의 사이트는 몇십개 였으나
지금은 몇 천개 이상으로 보이며 고급정보가 논의되고 배출 되는 사이트도 몇 백개 가량으로 확대된 것으로 파악이 되고 있습니다.  그만큼 저변이 폭넓게 확대 되었다는 반증이죠.
 
현재 시점에서 일정정도 미루어 보면 위에서 언급한 프로세스가 그대로의 유형을 지니고 있고 다만 공격코드 및 자동화된 툴을 만드는 중위레벨에서 해당 툴을 유상으로 판매하는 움직임이 2005년 부터 활발하게 출현을 하였습니다.
상위레벨은 각자 회사를 차리거나 중국내의 IT 인프라 확장에 따른 보안 관리자 및 보안 전문가로 활동을 하고 있죠. 이중 일부가 온라인 게임의 Abusing 및 직접 공격을 통해 부를 축적 하는 것으로 판단이 되고 있습니다.
 
여러 기사에서 보듯이 중국에서의 온라인 게임 공격은 상당히 활발한 상황이며 현재 상황에서 두 가지 정도의 그룹으로 나눌 수 있을 것 같습니다.
크래킹 및 직접 공격을 통한 온라인 게임 공격 , 악성코드 유포를 통한 사용자 정보를 획득한 상태에서의 게임 공격과 같이 부류를 나눌 수 있고 현재 상태에서 범위나 공격 가담 인력은 유추하기 어려운 상태입니다.
 
중국내에서 일어나는 사이버 범죄에 대해서는 중국 공안이 강력하게 대응을 하고 있지만 국외에 대한 공격에는 그다지 강력한 대응을 하지 않고 있습니다.
이런 현상은 몇년전 부터 지속되어오던 현상이지만 현재 상태에서는 공격 거점이나 공격 인원이 추정 불가능할 정도로 늘어난 상태라 단속에도 어려움이 지속 될 수 밖에 없습니다. 이 이야기는 공격에 대한 대응을 하는 것도 한계가 있고 IT 인프라가 확대 될 수록 계속 될 수밖에 없는 문제일 것입니다.
 
앞으로도 IT 산업의 크래킹으로 인한 위협은 계속 될 것이고 증가될 것으로 판단됩니다.
여력있는 기업 및 여력이 있는산업 차원에서만 효율적인 대응으로 일정정도의 효과를 보게 될 것이고  효과의 유지를 위해서도 지속적인 노력 및 비용 투자가 계속 될 수 밖에 없을 것입니다.
 
전체적인 대응 방안을 큰 범주에서 이야기 하면 다음과 같은 유형으로 줄일 수도 있으나
효과가 나오기 까지는 상당기간이 소요될 것으로 판단됩니다.
 
1. 각 기업 마다의 서비스 오픈 및 신규 서비스 , 개편 서비스에 대한 강력한 보안성 검수 - 기존 웹 애플리케이션 및 내부 보안 취약성의 제거를 목적으로 함.
 
2. 일괄적인 자원의 관리를 통해 커널이나 Application 버전의 일률적인 갱신 프로세스
 
3. 개발 프로세스 단위 부터의 보안성 강화 - Secure Programming  - 현재 상태에서는 향후에도 웹관련된 부분에 대한 위험성이 증가할 것이므로  웹 관련 코딩에 대한 절차 이행 여부를 중시해야 함.  실제적으로 현재 까지 출간된 웹 프로그래밍 서적의 보안 부분 강화 및 개편이 되어야 겠죠. ^^
 
4. 내부 중요 Data에 대한 보호 방안 수립 및 강력한 유출 방지 방안의 수립
    - 이미 권한이 다 노출이 된 상태에서도 보호 될 수 있는 방안이 필요합니다. 특정 툴을 사용하는 것이 전부는 아니며 정책 / 사람 / 정보 / 시스템 전반적인 부분이 총괄 되어야 하겠죠.
 
5. 수준 있는 정보보호 인력의 육성 및 분위기 조성 ( 분위기만 조성되면 금새 따라가겠죠. 원래 자질이 우수한 민족이다 보니.. ) 여기서의 정보보호는 보안인력만을 의미하지는 않습니다.
 
부수적으로 직접 효과를 볼 수 있는 방법은  침입 탐지 및 침입 방지 시스템의 Ruleset의 정밀화및 쉽게 업데이트를 할 수 있는 인력 및 능력의 확보도 중요한 관점이라 할 수 있습니다. 또한 전체적인 공격 유형의 변화를 추정하고 강력하게 권고를 하고 경고를 할 수 있는 레벨의 단체나 기관이 아쉽죠. 사고 발생 이후의 대응 보다는 발생 위험 가능성을 종합적으로 판단하여 사고가 발생하기 이전에 위험성을 경고 할 수 있어야 합니다.  - 이 부분은 사고가 발생하지 않을 경우 해당 경고에 대해서 무감각 하고 중요하게 생각하지 않을 수 있지만 매우 중요한 부분입니다. 현재도 경고를 하고 있지만 수동적인 상태이며 공격의 유형 이나 변화에 대해서 짚어 가는 전략적인 사고는 없는 상태입니다.
 
 
간략하게 위의  정도로 추려서 지속적인 보안레벨을 높일 수 있을 것입니다. 어느하나 쉬운 것이 없습니다. 그래도 진행하지 않으면 문제는 계속 될 수 밖에 없습니다.
현재는 커뮤니티 문화 및 인터넷 문화가 확산되어 금전 거래 및 문화로도 연결이 된 우리 나라에 대해서만 피해가 크게 보이지만 인터넷 문화의 확산에 따라 유비쿼터스 환경의 빠른 확대에 따라 세계 각국으로도 중국의 공격은 유효하게 발생이 될 것입니다. 
 
몇 년이내에 중국 당국의 강력한 조치가 없다면 세계적인 골칫덩이가 될 것이 분명하며 현재로서는 우리나라가 타켓이 된 것일뿐입니다. 위기는 기회라 하였습니다. 현재의 위기를 지혜를 모으고 역량을 모아 헤쳐 나간다면 향후의 IT산업 및 인터넷 산업 부분 전반에 걸친 잠재력과 인력을 확보하게 될 것이라고 판단 하고 있습니다.
 
물론 모든 것은 제 개인의 판단이고 사견입니다. 그리고 이 글도 짧은 시간에 후다닥 쓰는 글이라 다듬어 지지도 않은 내용이구요. 짧은 지식과 식견으로 쓸려니 참 안타깝습니다. 
 
아래 현재 문제에 대한 간략한 대책이나 내용이므로 참고 하시면 될 것 같습니다. 

http://blog.naver.com/p4ssion/40015866029

http://blog.naver.com/p4ssion/40017941957

http://blog.naver.com/p4ssion/40018174273

Posted by 바다란