태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

악성코드 유포 일본을 정조준 -한류, 악성코드를 전파하다.

 

*빛스캔은 2013년 2월. 일본내의 악성코드 유포 상황에 대해 한국인터넷의 범위를 관찰하는 PCDS (Pre Crime Detect Satellite) 관찰 범위를 일부 이동 시켜 관찰 할 예정입니다.

 

 

2004년에 일본에서 방영된 '겨울연가'는 중년 여성들의 폭발적인 인기에 힘입어 주인공인 배용준(욘사마)를 일약 한류 스타로 만들었다. 이후 드라마뿐만 아니라 가요와 같은 문화 컨텐츠가 대만, 베트남 등 아시아에 널리 전파되었고 전세계로 확산 되고 있다. 현재는 보아, 비, 원더걸스와 같은 아이돌 가수를 중심으로 지속적인 해외 진출을 시도하여 일본뿐만 아니라 중국, 동남아시아에서 상당한 인기를 얻고 있다.

최근 씨엔블루(CNBlue)는 일본 오리콘 차트에서 새로운 싱글을 발표하면서 2위(2012년 12월하순)까지 차지하는 인기를 누리고 있는 것으로 알려져 있다.

 

악성코드를 유포하는 공격자들은 한류의 선봉을 맡고 있는 웹사이트도 비켜가지 않는다.

 

지난 2월 5일 16시경, 국내 날씨예보 관련 웹서비스에 JP도메인을 사용하는 악성링크가 추가된 것이 빛스캔의 PCDS에 탐지되었다. 탐지 당시 악성코드를 유포하거나 중계지로 활용되지는 않았지만, 공격자가 로그를 분석할 수 있는 링크를 삽입한 것으로 보아 공격 대상 웹사이트의 방문자 유형을 분석하거나 하는 등의 사전 준비로 보여 졌다. 이틀간의 관찰기간을 거쳐 2월 7일 오전 11시경에 실제 공격을 수행하는 공격링크가 추가된 것이 확인 되었으며, 해당 공격은 국내의 날씨 예보 관련 사이트에서도 공격이 발생됨은 물론 일본 내에서도 해당 서비스를 방문하는 모든 사용자들에게 동시에 공격이 발생 되고 있음이 확인 되었다. 즉 악성코드 유포지 이외에도 경유지로도 활용된 상황이다. ( 해당 서비스는 씨엔블루 그룹의 일본 공식 웹서비스인 cnblue.jp 이다. ) 악성링크는 2월 11일 다시 변경 되었으며, 2월 12일 현재까지도 악성코드 유포는 계속 되고 있다. 즉 2월 7일부터 2월 12일 오전까지 cnblue.jp 사이트를 접근한 사용자들 모두가 공격을 받았으며, Java와 IE 업데이트가 되어 있지 않았다면 좀비 PC가 되었을 것이다. 국내 사이트도 두 곳 정도 cnblue.jp에 올려진 악성링크의 영향을 받아 감염을 시켰기에 국내도 일부 영향이 있었을 것이다. 최종 악성파일의 분석 내용은 국내 은행의 접속 시에 주소를 변환하는 파밍 역할을 하는 악성코드였으며, 원격에서도 통제가 가능하므로 추가적인 위협은 계속 될 것으로 판단된다. 일본 내에 유포된 악성코드는 APT와 같은 추가적 정보 유출의 위협을 가지고 있을 것으로 추정되고 있다.

 

국내 사이트를 공격하여 웹소스 상에 악성링크를 추가하고, 악성링크의 정체를 잘 탐지 되지 않도록 하기 위해 신뢰받는 웹서비스를 추가적으로 해킹하여 악성링크 자체로 이용하는 것은 탐지를 회피하기 위한 목적으로 지난해부터 자주 사용이 되고 있다. 국내의 악성코드 감염 확산에 이용된 악성링크를 조사하는 과정에서 일본 내에서도 광범위한 공격이 발생 혹은 시작 될 수 있는 징후를 발견 하였으며, 어쩌면 이미 시작 되었을지도 모를 것이다.

< 2월 5일 첫 발견 당시의 접속자 관찰 용도의 링크 자동 실행 화면>

 

본 사이트의 경우 언어의 특성상 한국 팬보다는 일본(어를 사용하는) 팬이 많이 접속할 것으로 예상되며, 이를 통해 많은 일본 이용자들이 현재도 악성코드에 감염되고 있을 것으로 추정된다.

< 2월 7일 오전 11시경 실제 공격코드가 동작하여 방문자들에게 감염을 시키고 있는 cnblue.jp 웹서비스>

 

악성링크는 공식 홈페이지 소스코드에 악성링크를 추가하는 형식으로 실행이 되고 있었다. 즉 공격자가 서비스에 대한 모든 권한을 가진 상태와 동일하다.

< 공격자가 인위적으로 소스를 추가하여 모든 방문자들에게 실행 되도록 구성한 내용>

 

해당 공격코드가 이용하는 기법은 현재로서는 한국에서 널리 이용되고 있는 최신 취약점( 제로데이) 과는 조금 다른 방식 이였으며 Java 취약성 두 가지와 MS XML 취약성 하나를 포함한 세 종류의 취약성을 이용하여 방문자 PC를 공격하는 것이 확인 되었다. 공격코드 제작을 위해 사용된 공격자의 생성 도구는 CK VIP Exploit kit으로 분석 되었다.

< cnblue.jp 내의 악성링크의 내용 – 단 하나의 링크 추가로 직접 공격이 발생됨>

 

공격이 성공된 이후에 설치되는 최종 악성파일은 감염 이후 추가적인 공격 파일을 미국의 캘리포니아에서 다운로드를 받아 설치하는 것으로 분석 되었으며, 현재 전 세계 백신을 대상으로 테스트 할 수 있는 Virus Total에서 확인해본 결과 지금껏 보고 되지 않은 악성파일이였다.

< 최종 악성파일인 sms.exe 파일에 대한 VirusTotal 비교 결과 – 미 보고된 신종 악성파일>

< 최종 악성파일이 방문자 PC 설치 이후 추가 공격 코드 다운로드 기록 >

 

공격이 성공된 이후 설치되는 악성파일은 공격자가 올려둔 또 다른 파일들을 다운로드 시도하고 시스템에 설치하는 행위를 하였고, 악성파일을 다운로드 받는 주소는 174.139.68.xx 이였다. 해당 IP는 미국 캘리포니아 오렌지 카운티에 위치한 것으로 확인 되고 있다.

< 추가 공격파일 다운로드 위치>

 

2월 5일 관찰 현상의 최초 발견부터 2월7일 실제 공격이 발생된 시점까지의 관찰기록을 보면 공격자들은 국제적인 네트워크를 자유자재로 활용 하고 있음을 알 수 있다. 악성코드 감염을 위해 유명 웹서비스들을 이용하는 것을 확인 할 수 있으며, 지금껏 국내에서만 활발하게 발견이 되고 해외에서는 드물게 발견 되는 유형이었던 웹 서비스를 통한 대량 감염 (drive by download) 이 이제 일본에도 직접적으로 발생 되고 있는 것이 확인 된 것이다. 일본 내에서도 Java와 MS의 패치가 되어 있지 않은 상태에서 해당 웹서비스를 방문하게 되면 공격의 영향을 직접 받을 수 밖에 없으며, 단지 방문만 하여도 악성코드에 감염되고 추가로 미국에 위치한 추가적인 악성코드들을 그 어떤 인지도 없이 받게 될 수 있다. 좀비 PC가 된 이후의 권한은 오직 공격자에게 있을 뿐이다.

 

이번 일본 내에 위치한 도메인을 이용한 악성링크 활용 사례는 지금까지 한국에서 사용되는 공격방식과 유사한 상황을 보이고 있어서, 앞으로 최신 취약점(제로데이)를 활용하여 모든 방문자 PC를 직접 공격할 가능성이 높은 상태이다.

방문자들 대부분이 악성코드의 감염 영향권에 들 수밖에 없다. 아직 일본에서 이러한 공격을 통해 공격자가 얻을 수 있는 수익모델이 널리 알려지지는 않았지만, 안정적인 수익 모델이 생길 경우 한국과 같은 상황으로 돌변할 가능성이 높다. 게임 아이템 탈취와 같은 개인정보 유출은 일상적인 사례가 될 것이고, 현재에도 백신에 탐지가 되지 않는 상태로 PC에 설치가 되고 있는 상황이라 APT와 같은 장기적인 정보유출에도 직접 이용 될 여지가 높다.

 

국내도 마찬가지 이지만 일본 내에서의 좀비 PC 확산을 막기 위한 방안으로는 악성링크로 이용된 경로를 차단하고 추가 공격코드를 다운로드 받는 미국의 주소에 대해서도 차단을 병행해야 대응이 될 수 있다. 근원적으로는 공격자가 자유자재로 통제하는 웹서비스의 보안성을 높여서 추가적인 악성코드 감염 시도가 발생 되지 않도록 해야 할 것이다.

 

국가와 국가를 자유롭게 이동하며 공격을 하는 공격자들은 이제 공개적으로 일본 내에서의 좀비 PC 확대를 위한 대량유포 매커니즘을 작동 하였다. 이미 오래 전부터 시작 되었으나, 감지가 늦은 것일 수도 있다. 분명한 것은 일본의 IT 시스템도 대량 확산되는 악성코드의 습격으로부터 자유롭지 못하며, 이제 시작이라는 것이다.

 

현재 빛스캔㈜은 PCDS (Pre Crime Detect Satellite)를 운영하여, 국내 120만개의 웹 서비스와 해외 10만 여 개의 웹 서비스를 모니터링하며 악성코드 유포에 이용되는 악성링크를 추적하고 있다. 본 이슈를 통해 일본 내의 악성코드 유포에 대해 모니터링을 강화하고 있다. 전세계적으로 공격이 매우 극심한 국내의 상황에서 특화된 기술과 역량을 통해 집중적인 노력을 기울이고 있으며 매주 수요일 한주간의 한국 인터넷 위협현황에 대해 카이스트와 공동으로 정보를 제공 하고 있다. 알려지지 않은 위협에 대해 대응을 하기 위한 기본적인 가이드이다. 문의는 info@bitscan.co.kr로 하면 된다.

Posted by 바다란

 * 본 내용은 국내에서 처음으로 발견된 공격자의 악성코드 감염에 대한 성공률을 나타내는 최초의 자료이며, 현 시점의 정확한 데이터를  포함하고 있습니다. 

하루에 좀비 PC를 몇대를 만들 수 있는지는 단지 공격자의 의지에 달렸을 뿐인 지금의 상황을 정확하게 보시길 바랍니다. 방문자 10명중 6명이 감염이 되는 지금의 시대는 말 그대로 혼란이겠죠. 겉으로는 평온해 보여도 속으로는 매우 심각한 상태인데 이제 언제든 밖으로 드러나도 이상하지 않은 상황이 되어 버렸습니다.

우리의 인터넷의 현 주소입니다. 방문만 하여도 열에 여섯은 감염 되는 현실이 중세의 페스트가 아니고 무엇일까요? . 예전에 지디넷 컬럼으로 썼던 디지털 페스트의 현실화를 입증하는 데이터네요.

자..그럼~
 -----------------
 

국내의 웹 서비스를 통한 악성코드 유포와 감염에 대한 실태 – 2012 2 11일 사례 조사

분석 기업: 빛스캔 , KAIST 정보보호대학원

 

 

2012 1월부터 빛스캔㈜에서는 KAIST 사이버보안연구센터와 공동으로 웹 서비스상에서의 악성링크 판별과 사용자 PC에 설치되는 최종 악성코드에 대해서 분석을 진행해 오고 있다. 공동 분석을 진행 중 2012년 들어 악성코드 유포 행위가 가장 극심했던 2 11일 새벽에 공격자가 생성한 흔적(로그)을 발견하게 되었고, 이 로그에는 유포 시간대에 접속한 모든 사용자에 대한 기록들이 저장이 되어 있었다. 로그를 분석한 결과 국내에서 몇 년 전부터 꾸준하게 발생되어 오고 있는 웹서비스를 통한 악성코드 유포가 얼마나 많은 효과를 거두고 있으며 왜 지금도 멈추지 않고 계속 되고 있는지를 확인 할 수 있었다. 211일 새벽 3시간 동안 발생된 기록의 단면을 통해 국내의 악성코드 유포에 대한 피해여파와 대책의 효율성에 대해 고려해야 할 시점이다.

 

일반적으로 공격자들은 공격의 효과와 유효성 검증을 위해 접속자에 대한 로그를 항상 유료화된 통계 사이트로 전달해 오고 있어서 공격의 효과를 대응 측면에서 판단하는 것이 매우 어렵고 공격의 전체적인 규모를 파악하는 것이 불가능하였다. 또한 여러 사이트를 동시에 해킹 하고 악성코드 유포를 시도한 이후에 통계 사이트를 통해 관리와 기록을 함으로써 공격의 효율성을 높이고 있는 상황에서 실질적인 공격의 피해와 범위를 살펴 보는 것은 사실상 불가능한 부분이라 할 수 있다.  본 분석의 결과로 국내에서 일상적으로 발생 되고 있는 웹 서비스를 통한 악성코드 유포의 심각성에 대해 환기가 되었으면 한다.
 

<공격자들이 주로 사용하는 통계 사이트 – Referer 체크를 통해 접속자 실시간 관찰>

 

2 10일부터 12일까지(3) 최근 몇 년 이내에 가장 큰 규모로 다양한 악성코드를 유포한 주말기간 이였으며 이 당시에 발견된 악성 링크들만 30여 종 이상이고 특히 하나의 악성링크가 50여 곳 이상의 웹서비스들에서 중계되는 사례도 발견이 된 시기이다. 이번에 발견된 공격흔적은 이 중에서도 소규모에 해당하는 서비스들을 공격하여 감염을 시킨 흔적들이며 중소 언론사 한곳과 게임 커뮤니티 사이트 두 곳의 방문자들에게만 감염이 되도록 되어 있었다. 다른 큰 규모의 공격들에 대해서도 분석이 된다면 국내의 실질적인 현실에 대해서 보다 더 정확하게 인지 할 수 있겠으나 공격자의 실수가 없다면 파악을 한다는 것은 절대적으로 불가능한 사안이다. 우리는 이 작은 사례를 통해서 국내의 IT환경에 대한 직접적인 위험을 인지해야 하며 적극적인 대책을 적용 해야만 할 시기에 직면했음을 알아야 할 것이다. 전체의 피해 사례는 더 크고 대규모 일 수 밖에 없다. 지금 이 순간에도 말이다.

 

로그파일의 사이즈는 55M , 활성화된 시간은 2012 2 11 00:23:46 ~ 03:24:30 이며 총 3시간에 걸친 기록이다. 총 로그의 카운트는 270,384회이다.

 

중복된 방문자를 제외한 Unique IP의 수치 통계는 다음과 같다. ( AWSTAT 활용한 통계)

 

Summary

 

Reported period

Month Feb 2012

First visit

11 Feb 2012 - 00:23

Last visit

11 Feb 2012 - 03:24

 

Unique visitors

Number of visits

Pages

Hits

Bandwidth

Viewed traffic *

56,995

57,380
(1 visits/visitor)

125,210
(2.18 Pages/Visit)

126,606
(2.2 Hits/Visit)

1.01 GB
(18.38 KB/Visit)

Not viewed traffic *

36,517

143,776

158.92 MB




웹로그 27만 여개 중에서 고유 방문자는 56,995명이며 해당 방문자들은 평균 2회 가량의 페이지를 자동으로 방문한 것으로 나오고 있다.

고유 방문자가 실제 감염 대상으로 볼 수 있으며 해당 악성링크 사이트에 존재하는 exe 파일을 제한 없이 사용자 PC에 설치된 횟수가 악성코드 감염 PC 갯수로 판단할 수 있다.



최종 고유 방문자 대비 성공 비율은 60%선을 보이고 있다. 결론적으로 소규모 사이트 두 곳 만을 이용한 공격이며 더구나 새벽시간대의 3시간 가량의 악성링크 노출만으로도 공격 성공률 60% 34천대 이상의 좀비 PC를 확보 하고 있음을 증명하고 있다. 방문자가 더 많은 대규모 사이트들에 대한 공격도 이 시기에 동시적으로 발생 하였으므로 감염 수치는 추산하기 어려울 정도이며 놀랄 만큼 많은 대규모 좀비 PC를 확보 하고 있을 것으로 추정이 가능하다.

 유포된 악성파일 자체는 게임계정 탈취와 키로깅을 주목적으로 하고 있으며 국내 주요 백신에서는 탐지가 되지 않음을 확인 하였다. 공격 코드는 IE 버전별 Flash 취약성, IE 자체의 취약성, Windows Media Player 취약성, Oracle Java 관련 취약성이 활용 되었으며 본 로그 상에서는 Oracle Java 관련 취약성 공격 성공률은 1385회 정도를 보이고 있다. 그 외의 IE, Flash 취약성과 Windows Media Player관련 취약성 공격이 공격 성공의 대부분을 차지하고 있음을 알 수 있다.


< 방문자의 취약성별 악성코드 감염 구조도(예시)  >

 

사용자의 Flash 버전 및 IE의 버전, java, Windows Media player에 대한 공격코드가 각각 방문자의 PC환경에 맞추어서 공격이 발생되도록 되어 있고 최종적으로는 악성파일을 방문자 PC에 설치하여 좀비 PC로 만드는 것을 목적으로 하고 있다. 공격된 취약성의 종류는 다음과 같다.

 

사용 취약점(CVE)

CVE-2012-0003 MIDI Remote Code Execution Vulnerability

CVE-2011-3544 Oracle Java Applet Rhino Script Engine Remote Code Execution

CVE-2011-2140 Adobe Flash Player MP4 sequenceParameterSetNALUnit Vulnerability

CVE-2010-0806 IE Remote Code Execution Vulnerability

 

좀비 PC를 만들기 위해 공격자들은 환경에 맞는 공격코드들을 세트 형식으로 운용을 하고 있으며 방문자의 다양한 PC 환경에 맞추어 여러 취약성들을 나누어서 공격하도록 되어 있다. 최종적으로는 악성코드의 설치에 여러 취약성을 이용하는 형태를 띄고 있다. 더구나 이 모든 악성코드들은 국내의 사용 비율이 높은 백신들에 대해서는 이미 우회 테스트를 한 상태에서 내려와서 실시간 대응은 매우 어려운 환경이며 악성코드 파일 자체가 다운로드 된 것은 제한 없이 방문자 PC를 좀비 PC화 했다는 것을 의미한다. 각 취약성에 대한 보안업데이트들은 충분히 나와 있으나 현재 상태에서도 국내의 일반적인 PC 환경은 업데이트 미비로 인한 피해도가 매우 높음을 알 수 있다. 업데이트가 출현한 상태에서도 성공률이 60%인데, 업데이트도 나오지 않은 제로데이 공격이면 성공률은 90% 이상으로 높아질 것으로 보인다. 그러나 현재 상태에서도 충분히 공격자는 소기의 목적을 달성 하고 있다고 볼 수 있다.

 

l  분석 데이터

 


접속횟수의 기준은 레퍼러(Referer)를 기준으로 한 수치이며 중소 IT 전문 언론사를 통한 새벽 시간대의 유입도 상당히 높은 수준임을 볼 수 있다. 더불어 게임 커뮤니티의 접속은 공격 시작 시간이 새벽임에도 불구하고 접속률은 매우 높은 통계를 보이고 있다.



동 시간대의 접속 국가별 통계는 다음과 같다.


<접속 IP 통계 >

국내 IT관련 언론사 한 곳과 국내의 게임 커뮤니티 사이트에 대한 공격이라 92% 이상의 접근 IP가 국내의 IP임을 확인 할 수 있다. 방문자들의 운영체제 비율은 95.2% 가량이 Windows 운영체제임을 보이고 있다.

 


악성링크에 연결된 브라우저별 접근 정보는 다음과 같다.



여전히 국내에서는 Windows 플랫폼과 Internet Explorer의 사용비율이 높음을 볼 수 있다. 그리고 본 통계치는 공격자에 의해 수집된 로그를 기반으로 하였고 특정 커뮤니티와 제한된 시간이라는 제약이 있어서 전체적인 평균을 대변 하기는 어려움이 있는 자료이다.  최근 공격 동향으로는 Flash에 대한 공격이 매우 자주 발생 되고 있고 계속 변화되고 있어서 비단 IE Windows 의 사용비율이 높다고 하여 감염이 높은 것으로 보기에도 어려움이 있다.

 

긴급하게 국내의 PC 환경에서 필요한 부분들은 각 어플리케이션에 대한 업데이트가 필요하며, 업데이트 출현 이전이라도 (Flash Java의 경우) 공격이 발생 되었을 경우 차단 할 수 있는 방안들에 대한 진지한 모색이 필요하다. 사후 대응으로는 현재의 심각한 상황을 넘기기엔 힘겨워 보인다.

 

결론적으로 악성코드 감염 비율로 살펴 보았을 때 Flash, IE, Java, Windows Media에 대한 복합화된 공격의 성공률은 현재 60% 수준으로 볼 수 있다. 공격자들은 단일 취약성을 공격하는 것이 아닌 여러 취약성을 동시에 공격하여 이 중 하나만 문제가 있어도 바로 권한을 획득하는 형태로 공격 형태가 갖추어져 있으며 그 결과로 악성코드를 중계하는 모든 웹서비스의 방문자중 60% 가량은 좀비 PC화가 된다. 국내의 대규모 커뮤니티 및 파일 공유 사이트의 방문자들중 60% 가량은 좀비 PC일 가능성이 매우 높다는 것을 증명하는 최초의 증거이다.  문제 원인으로는 여전히 각 취약성별 업데이트가 제대로 이루어지지 않고 있다는 것과 국내에서 주로 사용 되고 있는 백신 제품들에 의한 차단 효과가 그리 높지 않음을 의미 하며, 또한 Java Flash 같은 개별 제품의 업데이트에 의존하는 어플리케이션들도 지금과 같은 수동적인 업데이트 방식과 늦은 대응으로는 한계가 있을 수 밖에 없다는 것을 증명한다.

 

악성코드 및 악성링크에 대한 공동 분석을 주도 했던 전 상훈 빛스캔㈜ 기술이사는 그 동안 알려지지 않았던 웹을 통한 악성코드 유포의 결과와 위험성에 대한 실제적인 데이터가 발견 되어 국내의 상황이 생각보다 심각함을 확인 할 수 있었고, 현재의 대응 수준보다 더 선제적이고 빠른 대응이 시급하게 요구 되는 상황이다.” 라고 분석의 결과와 의미를 정리 하였다.

 

* 국내 환경에서 발생되는 실질적인 공격과 위험성에 대한 조사와 대응을 위해 빛스캔㈜와 카이스트 사이버보안연구센터에서는 공동으로 위협정보 제공 서비스를 3월부터 운영을 할 예정입니다.  제한된 고객사 (기업, 기관 등의 실무 보안조직과 운영 조직이 있는 경우에 필요한 정보임)에 한해 유상으로 서비스를 시작 할 예정이므로 샘플 보고서와 서비스에 대한 안내가 필요한 기업은 info@bitscan.co.kr 로 메일로 문의 바랍니다.

 

Posted by 바다란


KAIST와 협력으로 정보제공 서비스를 시작 합니다. 

그동안 페북에 올린 감질나는 짤막한 정보만 보셨죠?  ( 페북   http://www.facebook.com/p4ssion  )
화끈하게 국내의 위험 정보에 대해서 선별된 고객들에게만 제공 하고자 합니다. 이제 프로세스 구축 되었고 서비스로 제한된 제공을 하고자 합니다.

국내의 한주간 공격 동향 ( 웹을 이용한 악성코드 유포 현황)
특정 공격 기술에 대한 심화 분석.
악성코드 유포 기법에 대한 기술적 분석

이상의 세 가지 보고서 유형이 제공 될 예정입니다. 최소 한달에 4회 가량 제공이 됩니다. 

보고서 분류는. 

주간동향 보고서 : 

 
주간 단위의 공격 변화와 흐름에 대해서 나타내며 공격에 이용된 기법들에 대해 개략화된 정보를 제공 합니다. 국내 유포 현황도 일부 공개 되며  해외에서의 동향도 전달될 예정입니다.

기술분석 보고서: 

 
웹을 통해 유포되는 악성코드 배포에 대한 구조도와 구성에 대한 분석 보고서 - 기본적인 악성코드에 대한 분석 진행 됩니다.

전문분석 보고서 : 
 
새로운 공격기법이나 신규 유형의 exploit 기법 출현시 상세 분석하고 악성코드 분석 보고서 입니다.

세 종류이며 차등하여 제공 될 수 있도록 준비를 하고 있습니다.

위기의 인터넷이고 문제가 심각하다는 여러 의견과 컬럼들을 써왔는데 제한적으로 쓸 수 밖에 없었습니다. 이제는 그 문제를 해결 하고 화끈하게 보여 드리도록 하겠습니다.  

빛스캔은 소스를 제공하고 카이스트 사이버보안연구센터에서 전문 분석을 한 내용들을 서비스 형태로 제공 하고자 합니다.  여기서 분석이 진행되는 악성링크 혹은 악성코드들은 국내 혹은 세계적으로 가장 최신의 공격 유형을 입수한 내용을 의미 합니다.  공격 유형에 대해서도 가장 빠른 정보를 받고 분석을 할 예정입니다.


물론 무료가 아니고 유료 입니다. 수익은 보다 정확하고 신속한 정보 분석을 위한 전문 인력 양성과 기술 확보에 재 투입 될 예정입니다.

개인이 받으시기에는 부적절하며 보안부서가 있는 기업, IDC, ISP , 기관, 게임 및 포털 기업들에게 유용한 정보가 될 수 있을 것입니다. 더불어 한국의 인터넷 위협에 대한 리얼한 실상을 보실 수 있을 것입니다.

분석보고서의 예는 이미지로 올린 파일처럼 1.21일 발견된 Windows Media Player에 대한 공격에 대한 전문 분석은 1.25일 완료 되었고 기법과 추가적 공격에 대한 내용들이 들어가 있습니다. 발견과 분석자료 모두 최초의 자료 들입니다.

또한 기술분석에는 지난 주말에 최초로 포착된 Flash , IE , Java, Windows Media 취약성 공격이 복합화된 정보를 포함 하고 있습니다.

관심 있으신 기업이나 기관은 소속을 알려 주시고 메일을 주십시요. 샘플 보고서를 전달해 드리겠습니다. 메일은 p4ssion@gmail.com 입니다. 기관에 따라 별도 정보 제공도 가능합니다.

 

Posted by 바다란
- zdnet 컬럼입니다.

학명 ‘Mola Mola’는 개복치를 뜻한다. 어류중에 가장 많은 알을 낳는 것으로 알려져 있다. 한번에 3억개 가량의 알을 낳는데 이는 성체로 자라는 수가 극히 드물기 때문이다. 서식지는 전 세계 온대·열대 바다에 걸쳐 분포하고 있다. 또한 한국의 전 해안에 걸쳐 나타나고 있다. 

 

필자는 지금의 인터넷 보안의 현 상황을 어쩌면 가장 잘 설명할 수 있는 것이 개복치이고, 개복치의 학명이 아닐까 생각한다. 한국어 발음으로 ‘몰라 몰라’라고 외면하는 상태쯤 될 것이다. 

 

보안에 관해 지금의 복잡하고도 위험한 상황을 이해하기 쉽도록 알리는 것에 대해 항상 고민해 왔다. 그러나 이 상황을 표현할 가장 적절한 예를 찾는 것이 너무나도 어려웠다. 그러나 지난 1년여 간의 관찰로 자료가 축적되고 계속 갱신해 왔기에 이제는 좀 더 많은 것을 설명 할 수 있을 것 같다. 

 

필자가 보는 위기의 인터넷과 개복치는 대체 무슨 관계가 있을까? 자 이제 시작해 보자. 

 

▲ 개복치(학명 `Mola Mola`)

■악성코드 감염 범위와 대상의 변화 

 

악성코드라는 개념은 더 이상 국지적이고 네트워크 단위로 한정된 위협이 아니다. 인터넷 활성화 이전에는 전파 도구가 한정적이라 지역에 특화된 악성코드들이 출현 할 수 밖에 없었다. 그러나 지금은 인터넷상에 무차별적으로 유포·감염되고 있는 상황이다. 

 

이 감염의 주요 매체로는 영역의 제한 없이 접근 할 수 있는 웹 서비스가(SNS도 동일하다)가 주된 통로로 사용 되고 있다. 오늘 발견된 새로운 악성코드는 1시간 이내에 전 세계에서 동일하게 발견 할 수 있다. 즉 감염의 주체가 국가나 지역이 아닌 언어권역, 소속, 취미에 의한 분류로 변경 되었다고 볼 수 있다. 

 

동일한 취미를 가지고 있거나 특정 소속에 속하거나 특정 언어권역에서 활발한 서비스의 경우, 악성코드의 감염대상은 그 권역으로 제한이 된다. 또 특정 그룹의 사람들만이 접근 하는 사이트가 있다면 그 각각을 공격하는 것보다 더 효과적인 것은 특정 사이트만을 공격하고 방문자들에게 악성코드를 설치하게 하면 된다. 이걸 타깃화된 공격이라고도 할 수 있다. 

 

오늘날 공격분류는 크게 두 종류로 볼 수 있다. 감염대상을 가리지 않는 무차별적인 유포와 특정대상만을 목표로 한 타깃화된 공격이 전부이다. 이중 타깃화된 공격은 이메일이나 PDF, 오피스 문서의 취약성을 이용해 공격을 시도한다. 무차별적인 유포는 스팸메일, 웹을 통한 악성코드 유포가 주류를 이룬다. 웜은 이미 네트워크 단계에서 증상이 판별 가능하고 지금은 위험순위가 낮다고 보아야 한다. 

 

전체의 악성코드 확산에 대한 현황과 분류에 대해서 가볍게 정리를 해보았다. 이번 컬럼에서 말하고자 하는 부분은 무차별적인 유포도구로 활용되는 웹 서비스 그리고 악성코드의 확산에 대한 현실적인 문제이다. 

 

개복치가 알을 3억개나 낳는 이유는 생존가능성을 높이기 위한 자연의 법칙이다. 3억 개의 알 중 성체로 자라는 것은 1~2개체뿐이다. 만약 모두가 성체로 자란다면 바다는 곧 개복치로 가득 차게 될 것이다. 바다는 자연 개체 조절이 되나 지금의 인터넷 환경은 천적은 부족한 반면, 생산력이 극도로 강한 악성코드로 가득 찬 바다이다. 특히나 우리나라는 더욱 더 심각하다. 

 

■악성코드의 바다 

사회활동을 하는 대부분의 사람이 인터넷을 사용한다. 웹이라는 매개체를 통해 서로 의견과 정보를 교환하고 경제 활동을 한다. 페이스북이나 트위터 같은 SNS도 거대한 웹 서비스 플랫폼일 뿐이다. 

 

이렇듯 모든 사람이 접근하고 활용하는 홈페이지에서 방문자에게 악성코드를 뿌리는 것은 공격자들이 효과를 극대화 할 수 있는 방법이다. 웹 서비스 자체를 보호하기 위해 많은 보안적인 도구와 수단들이 동원 되지만 공격기술은 진화하고 확산도 빠르다. 즉 보호하는 부분에 있어서 기술적 차이를 감당 할 수 없고 금새 무용지물이 된다는 말이다. 웹 서비스 자체의 보호는 늘 한계를 가질 수 밖에 없다. 

 

직접적인 공격으로 공격자는 웹 서비스들의 권한을 획득하고 지켜본다. 그리고 수십 혹은 수백이 될지도 모르는 웹 서비스의 권한을 가진 공격자는 이제 손쉽게 공격코드를 사용자에게 뿌리도록 소스를 변경 한다. 웹 서비스의 소스를 변경 한다는 것은 모든 방문자가 영향을 받는다는 말이다. 예를 들어 회원이 7억명인 페이스북 서비스의 공용모듈이 변경 된다면, 그 모든 회원이 영향을 받는다. 가능성만으로 따지자면 7억에 해당하는 좀비 가능 PC를 확보하는 것과 마찬가지이다. 

 

쉽게 말해 Mola Mola 한 마리씩을 웹 서비스에 올려 두는 것이다. 그리고 모든 방문자에게 친절하게도 사용자 환경에 맞는 하나씩의 알을 선사한다. 이제 이 알의 부화를 막을 수 있는 방법은 개인 PC에 설치된 보안도구 이외에는 없다. 그러나 이 보안도구에서도 감지가 되지 않도록 공격자는 이미 조치를 한 상황이다. 

 

결론적으로 모든 방문자들에게 뿌려진 모든 알들이 그대로 성체 (악성코드화)로 커가는 것을 의미한다. 인터넷 비사용자를 제외하고 모두가 노출 될 수밖에 없는 상황이다. 어도비 사의 플래시 업데이트는 왜 이리도 잦은 것일까? 보안 업데이트는 이리도 많고 문제는 끊임없이 나온단 말인가? 

 

■다형성(Polymorphism) 그리고 '나 몰라(Na Mola)' 

 

악성코드 한 종류만 내려 온다면 문제는 쉽다. 그러나 상황은 그렇지 못하다. Mola Mola만 올려서 알을 뿌리는 것이 아니라 수시로 어종을 바꾸어 다른 종류의 알(악성코드)을 뿌려댄다. 올해 3월 이전까지는 3일 간격으로 다른 종류를 유포 하였으나 3월 이후에는 주말에만 유포를 한다. 그것도 순식간에 다른 종류로 바꾸기를 거듭한다. 

 

여기에서 뿌려지는 각각의 악성코드들을 어류에 비교하여 이름 붙이자면 학명으로 ‘Na Mola’ 정도 되지 않을까? 이는, 한국어 발음으로, 현재의 대응 상태와도 연관이 있다. 

 

백신업체들은 여기 뿌려지는 알들 각각을 상대한다. 분석과 제품업데이트에만도 많은 시간이 소요됨에도 불구하고 업데이트가 일어날 때쯤이면 이미 공격자들은 다른 종류의 알을 뿌리기 시작한다. 다시 처음부터 반복이 된다. 그만큼 공격자들이 가진 다양한 제작도구들과 백신이나 보안도구들의 회피로직들이 손쉽게 적용 되고 있고 효과적임을 의미한다. 인터넷 환경에서는 재앙과도 같은 일이다. 

 

▲ 한국을 대상으로 악성코드 설치에 사용되는 공격코드 중 하나(비유적으로 알을 가진 개복치쯤 된다). 전 세계 42개 주요 백신 중 단 3개만 탐지되고 있다. 

백신에서 탐지를 못하는 것은 APT(지능형지속가능공격)이고 정체를 모르면 무조건 어디의 소행이라는 것은 지금의 시대에 맞지 않다. 현재의 상황에 비추어 보자면 지금도 최소 수십 만개의 APT들은 사용자들의 PC에 안착되어 있는 상황이다. 발견될 때마다 APT라고 할 것인가? 똑같은 기능으로 목적만 다르게 활용하는건데 사건이 커지면 APT라하고 아니면 그냥 신규 악성코드인가? 

 

한계를 인정해야만 하고 역할과 기능의 차이점에 대해서 이해를 해야 하는데 아직 부족해 보인다. 책임전가는 오래가지 못한다. 역할분담과 협력을 해야하는 것이지 모든것을 다 하겠다는 것은 지금과 같은 위험의 시대에 현실인식이 없는 것과 마찬가지이다. 

 

사이버 상의 위험을 더 이상 단순한 계정탈취나 개인정보 유출의 문제로만 국한해서는 곤란하다. 이미 우리는 발전소를 위협하는 공격을 이미 목격 했고 올해에도 어떤 원인에서든 전력, 금융에 관련된 치명적 문제들을 확인 할 수 있었다. 즉 더 이상 사이버상의 위협은 사이버상에 국한되지 않는다는 것이다. 

 

■그렇다면 어떻게 대응해야 할까? 

 

국내 PC 환경에서 Flash Player가 깔리지 않은 비율은 5%도 되지 않을 것이다. 플래쉬를 배제한 애플사의 운영체제를 제외한 모든 곳에서 문제가 발생된다. ActiveX? 말을 말자. 지금의 문제는 플래쉬다. 사용자 PC에 설치된 플래쉬 플레이어의 취약성을 이용해 공격자는 소리소문 없이 새로운 악성코드들을 다운로드 받게 하고 시스템을 조정한다. 또한 이 악성코드들은 수시로 변경이 되고 새로운 종이 되기도 한다. 어떻게 해야만 대응이 가능한 것인가? 

 

단순한 비유로 예를 들자. 알은 퍼져 나간 상태에서 일일이 대응을 한다는 것은 정말로 어려운 이야기이다. 공격자는 단 한번의 클릭으로 악성코드의 종류를 변경하고 대규모로 유포하고 있다. 알과 같은 악성코드들은 퍼져 나가기 전에 대응을 해야 하고 근본적으로는 웹 서비스에 상주된 Mola Mola(악성코드 유포 경로)류의 위험이 더 이상 들어오지 못하도록 지속적이고 끊임 없는 노력을 해야만 문제 해결이 가능하다. 들어온 이후에는 피해를 최소화 할 수 있도록 빠른 인지가 되어야 할 것이고 대응이 되어야 위기 상황이 진정 될 것이다. 

 

지금과 같이 확산된 이후에 사후 대응을 하는 것은 “Na Mola(나 몰라!)” 이외에는 아무 것도 아닌 것이다. 확산을 최소화하기 위해 웹 서비스가 공격자에 의해 변형 되는 초기 단계에서 인지하고 대응을 해야 하며 더 이상 변형이 일어나지 않도록 문제를 계속적이고 끊임없이 보강해야 한다. 인터넷의 바다에 맞닿아 있는 모든 웹 서비스들은 동일한 과제를 지녀야만 문제를 해결 할 수 있다. 

 

근본적으로는 악성코드들이 대규모로 사용자 PC에 유포되기 이전에 초기 대응을 해야만 이 위기 상황 속의 인터넷을 견뎌 나갈 수 있을 것이다. 다시 한번 말하지만 퍼지고 난뒤에는 어떤 경우라도 수습이 어렵다. 

 

서비스를 운영하는 회사의 경우 생활과도 같은 점검을 모든 노출 웹서버에 대해 하지 못하면 1단계에서는 현대캐피탈 , 2단계에서는 소니, 3단계에서는 농협의 사례를 맞이하게 될 것이다. 그만큼 지금의 상황은 당장 공격자들이 점령군 행세를 해도 어쩔 수가 없는 위중한 상황이다. 

 

2007년에 IT서비스의 위험과 향후 대응에 대해 정리를 해두었다. 5년이 지난 지금조차도 대응은 여전히 더디고 제자리 상태다. (http://p4ssion.com/199

 

가장 뛰어난 사냥꾼은 쫓아 다니는 것이 아닌 길목에서 기다리는 사냥꾼이다. 지금은 발자국만 보고도 전부 허둥지둥 하지는 않는가? 전략이 절대적으로 필요한 시기이다. 다음에는 공격자들의 전략변화와 위기를 헤쳐나갈 준비된 해결 방안에 대해서 쓰도록 한다. ‘나 몰라’라 해서는 안 되는 것이다.
Posted by 바다란
 - 2011.11.12
공격자의 전략적인 측면을 살펴 봐야 한다. 지금 개별 단위 보안제품의 대응은 사실상 무장해제 상태라고 봐야 하며 공격자들은 일단 규모로서 압도를 하고 탐지 로직을 우회함으로써 무력화 시키는 상황이다.

네트워크 단위의 보안제품의 한계, 패턴 매칭을 통해 탐지를 하는 AV든 Web Firewall 이든 개별적인 대응 밖에 되지 않고 있는 상황이고 전역적인 대응은 언감생심 꿈도 꾸지 못할 상황이다.

날마다 새로이 나오는 악성코드들을 진단 하기 위해서는 악성코드의 수집이 가장 먼저여야 된다. 그동안의 수집 방법을 보면 상당부분이 사용자의 신고, 허니넷, 허니팟 등을 통해서 이루어 지고 있다. 물론 정보의 공유는 시일이 지나서 각 업체들 끼리 이루어 짐으로 시의적절성 측면에서 늦을 수 밖에 없다. 이 각각에 대해 조금 이면을 살펴보자.

  • 만약 공격자가 공격을 수행 하지 않는다면 허니넷이나 허니팟은 무용지물이 된다.  
  • 또한 사용자가 악성이라고 인식을 하는 대부분의 경우도 설치된 AV에서의 탐지를 근거로 한다. 만약 AV가 탐지 하지 못하는 악성코드라면 사용자가 인지할 방안은 없다.

  • 업체간의 정보공유도 이전과 같은 전통적인 전달 매커니즘인 디스켓, USB를 통한 악성코드의 감염은 지역별 확산에 상당한 시간차가 걸렸고 바다를 건넌다는 것도 어려웠다. 이 매커니즘이 깨진건 웜이라는 매개체를 통해서이며 이 웜 조차도 발생지 근처의 네트웍이 먼저 초토화 된 이후 다른 곳으로 확산 된다.

    웜 이후에 발생된 것은 검색엔진을 통한 특화된 공격, 파일 공유등을 통한 확산이 있었고 일정한 특징을 가지고 있었다. 그렇다면 지금은 어떨까?

간단하게 설명하고 상당부분 축약해서 위의 과정을 언급했지만 각 과정마다 언급하지 않은 많은 상세한 부분들이 있다. 그 특징들에 대해서는 지금까지의 발표자료나 본 사이트의 글들을 참고하면 일정 수준 참고가 가능하다.

지금의 공격은 말하자면 불특정 다수를 겨냥한 무차별적인 악성코드 유포이며 주된 공격 대상은 사용자의 PC에 일반적으로 설치된 써드파티 프로그램을 공격하는 코드들이다.

왜 Adobe는 시도 때도 없이 패치를 하는가? 

그 이유는 현재 사용자 PC의 90% 가량에 Flash player가 설치 되어 있기 때문이고 해외도 비율상 조금 낮은 거 이외에는 별반 차이가 없다. 공격자들은 Flash Player의 취약성을 공격하여 사용자 PC의 권한 획득을 하는 것이 가장 효율적인 방안임을 인지하고 있기 때문에  집중적인 공격을 수행한다.

또한 개별 PC를 공격하는 것이 아니라 사용자들이 방문하는 웹서비스들을 집중하여 공략 함으로써 불특정 다수에 대한 공격을 성공적으로 하고 있다. 언론사뿐 아니라 주요 커뮤니티 서비스들, 파일공유 사이트들을 직접 공격하여 웹서비스의 소스를 변경한다. ( 운영자나 개발자가 눈치 채지 못하게 암호화 하거나 기묘한 곳에 아주 짧게 넣는 것은 기본이다.)


< 웹을 통한 악성 코드 유포와 활용에 대한 컨셉>

위의 이미지와 같이 다양하게 활용 되고 있다. 이중 90% 가량은 개인정보 유출 및 백도어 활용이 가능한 용도의 악성코드를 사용자에게 감염 시키고 5% 가량은 DDos 나 Arp spoofing 행위를 보인다. 나머지 5% 가량이 지난 농협 사례와 같이 내부망으로 공격하는 용도의 악성코드라 할 수 있다. 사실은 90%의 개인정보 유출도 동일하게 활용이 가능할 뿐이다. 사용처에 대해 구분을 하자면 이 정도라는 것일뿐.


2011년 11월 12일 현재의 상황


지난 몇년간을 위험성에 대해서 언급을 했었고 개인 차원에서 할 수 있는 최대한으로 발표와 기고, 컬럼을 통해 언급을 했었지만 아직도 우리는 한참을 더 가야 하고 현 상황을 돌아 보고 반성이 필요하지 않나 생각 된다.
물론 우리뿐 아니라 전 세계적으로 마찬가지지만  ..만약 우리가 대응을 잘한다면 미래에서의 인터넷의 주요 파워를 가지게 되지 않을까? 

단순한 예상으로도 보안 문제는 앞으로 더 심각해 지며 , 악성코드의 갯수는 점점 더 많아 질 것이다라고 예상 할 수 있다. 시만텍과 맥아피도 손을 놓는 상황에서 누가 살아 남을 수 있을 것인가? 핵심은 대량유포 매커니즘을 깨야만 하는 것이고 이 매커니즘을 깨기 위해서는 다각적인 노력이 필요하다. 이 노력은 악성코드 유포에 이용 되는 많은 웹 서비스들의 문제점을 개선하는 측면 하나와 대규모 확산 이전에 차단 하는 노력이 병행 되어야 가능 할 것이다.

모든 웹 서비스들의 문제점을 개선하여 공격자가 인위적으로 웹소스를 변경 하지 못하도록 취약성을 제거 한다면 이 문제는 매우 명백하게 해결 되나 이렇게 될 가능성은 앞으로도 인터넷이 존재하는한 불가능하다. 최소한 방문자가 많은 사이트들에게는 일정 수준의 강요가 되어야 하고 즉시적이고 긴급한 대응이 계속 되어야만 한다.

더불어 길목을 차단하는 것으로 수십여곳 이상의 웹서비스에서 악성코드의 경로가 추가되어 모든 방문자들에게 감염 시도를 하는 것을 예방 할 수 있다. 웹 소스에 추가된 경로를 빠르게 인지하여 대응을 한다면 이게 가능해진다.

경로의 빠른 인지는 아직도 원초적인 ( 이벤트 탐지 방식) 방식에만 의존하고 있는데 이걸 우회하고 무력화 하기 위한 공격자들의 전략도 이미 출현한 상태이고 이 부분은 별도의 글로 남기고자 한다.  
전략을 넘어서기 위해서는 좀 더 다른 방식의 접근이 필요하다.

탐지 체계에서도 다른 형태가 필요하며 대응체계 (주로 AV)도 변화가 필요한데 최소한 선제적인 대응이라도 못한다면 빠른 악성코드의 공유체계와 감시체계라고 존재해야만 효율을 높일 수 있다. 솔직히 한국을 대상으로 직접적으로 악성코드를 유포하고 있음에도 불구하고 한국내의 AV업체가 제대로 대응을 하지 못하는 것은 기회를 잃어 버리는 것과도 동일하다. 해외 보안분야 대기업들과 비교할 필요도 없다. 비교 우위를 가질 수 있는 고난의 시간을 그냥 보내는 것은 비극이다.


그럼 여기 금일자로 최소 50여곳 이상의 서비스들에 추가된 경유지를 살펴 보자. (하루 방문자 1만명만 해도 50만명이 감염 범위에 들어간다. 신규 악성코드라면 성공률은 거의 90%라고 봐야 하지 않을까? 최소한..)

A라는 서비스에 B라는 주소가 인위적으로 소스에 추가되어 있다. 우린 그 B를 추적하여 그 근거지를 보여주는 것이다. 일반적으로 사용자는 A라는 서비스에 브라우저로 연결만 하여도 B의 주소의 것도 같이 실행 되게 되어 감염 되는 것이다. 


두 곳을 올렸다. 한 곳은 국내의 커뮤니티 사이트에 직접 올린 내용이고 또 다른 하나는 공격자가 만든 근거지이다.
현재 이 데이터를 확인 하는 것은 이미 발견 시간이 몇 시간좀 지나긴 했지만 아직도 전 세계에서 두번째가 아닐까 싶다.

만들어둔 공격자 다음으로 말이다.

* 최소 50여곳 이상의 웹서비스에서 악성코드를 사용자에게 배포하고 있슴에도 불구하고 구글의 Block 로직은 전혀 동작하지 않는다. Stopbadware의 데이터는 이전 기록을 가지고 대응하는 것일 뿐이지 지금의 문제는 아닌 것이다. 또한 판단근거가 부족하기에 탐지는 어렵다고 봐야 된다.  구글의 서비스 확장전략에 보안도 들어가 있지만 그것은 필히 실패할 것이다. 지난 6년간 수많은 비용을 들여 축적한 데이터의 신뢰도는 낮다. 그걸 입증하는 것도 어렵지 않다.  앞으로는 규모로 한번 해볼 예정이다. 

그렇다면 이중에서 신규 플래쉬 공격코드로 유포되는 악성코드의 탐지는 어느 정도 되는지 확인해 보자.



단순히 보면 알겠지만 전 세계 주요 백신들 중에서 오직 하나 정도만이 휴리스틱으로 ( 악의성이 있다 정도? ) 탐지가 된다. 나머지는 전멸이다. 여기 백신에는 이름만 들어도 알 수 있는 모든 제품들이 포함 되어 있다.

즉 제대로 진단되는 백신은 하나도 없다는 의미와 동일하다.
( 시만텍이든 맥아피든 마찬가지다...)

서비스를 통한 차단을 하는 구글의 Stopbadware도 차단이 되지 않고 가장 악성코드를 많이 분석하는 회사들이나 모든 백신 회사들의 탐지에도 걸리지 않는다. 이게 지금 우리가 마주한 실질적인 위협이다.


지난 3주 이상을 샘플을 일부 분석해 보고 테스트 해봤지만 평균 탐지율은 10% 미만이다. 우리의 지금 상태가 그렇다. 오늘도 파일공유나 언론사, 커뮤니티 사이트에 대량 추가가 되어 있어서 한국내에서만 이 악성코드의 확산은 100만대를 상회할 것이라 예상된다. Adobe의 패치? 기대를 말자!.

우리를 보호하고 지킬 수 있는 것은 우리 자신 밖에 없다. 아무리 불법적인 사이트를 안가고 패치를 잘하고 보안제품을 쓴다고 해도 이젠 위험에 노출된 상황이다. 인터넷 서핑을 하지 말아야만 위험이 줄어 드는데 그럴 수 있는가? 

다른 형태의 위협대응이 긴급하게 요구되고 즉시 대응이 되어야만 한다.


- 바다란 세상 가장 낮은 곳의 또 다른 이름

* 현재 여기에 올린 이미지의 내용을 인지하고 있는 곳도 없고 악성 공격코드의 최초 확보도 현재로서는 우리쪽에서만 가능하다. 좀 더 조용하고 은밀하게 해야 하지만 이 문제의 심각성에 대해서 인식이 부족하여 노출을 감내하면서도 자료를 일부 오픈 할 수 밖에 없다. 그러나 충분한 인식이 되었다면 우리도 정보 노출을 최대한 하지 않을 생각이다. 


*개인적으로 지난 15년간 ( 벌써 ..후.) 많은 공개문서들과 컬럼, 의견들을 올렸는데 한번쯤 정리를 할 필요성을 느낀다. 여전히 새롭게 이 분야에 들어온 많은 분들이 모르는 것들이 많다. 먼지 쌓인 외장 하드의 전원을 한번쯤 올려야 겠다. History of p4ssion 정도
 
Posted by 바다란


악성코드 경유지의 변화가 매우 극심하다.  2011년 6.25~26일 기준

어제부터 대체 몇번을 바꿔치기 하는지. 분명히 웹서비스는 공격자들의 소유가 맞다.
사업자는 잠시 임대를 했을뿐.

 

어제, 오늘의 변화를 생략하더라도 현재 상황 5종류의 경유지들이 8개 이상의 파일공유 사이트 소스에 추가되어 사용자에게 악성코드를 유포하고 있다. 물론 파일 공유사이트 이외에도 다른 서비스들에도 여러 종류들이 활동하고 있다. 전체적으로 경유지 수치는 이틀 사이에 10곳 이상이 활동중에 있다.

 

특이한 것은 지난번에도 한번 언급했는데.. 시카고와 덴버에 IDC를 가지고 있는 DDos를 전문적으로 대응하는 ISP라고 광고하고 있는 SHARKTECH INTERNET SERVICES 라는 미국 회사의 서비스 대역을 대규모 경유지로 활용하고 있다.


 


 

 

순차적으로 경유지 IP를 변경하면서 사용하고 있는데 .. 지난번 관찰 결과도 보면 호주와 미국의 ISP를 통으로 이용하고 있던데... (이미 해외 ISP의 직접 활용은 3주 이상 관찰이 된바 있다. 대역대를 활용하는 걸로 보아 직접 권한을 가지고 있는 것으로도 볼 수 있다.)


즉 공격자는 전 세계를 무대로 하고 있고 악성코드 유포를 위해 국내 사이트도 직접 해킹을 하고 웹서비스를 변경하며 경유지로 활용하기 위해 해외 주요 ISP 대역을 휩쓸며 악의적인 링크들을 직접 생성하고 올리고 있다. 현재 관찰된 결과는 전 세계적인 활동을 직접하며 이익을 창출 하고 있다는 점이다.  전 세계적인 활동을 하는 공격자들에 대해 국지적인 대응은 효과가 어려울 것이다. 전 세계의 수준을 일정수준이상 올릴 수 있을까?..

앞으로도 불가능해 보인다.
 

이번 샤크테크 ISP의 특징이라고 할 수있는 DDoS 대응 특화를 하면 뭐하누? 정작 내부는 만신창이인데.. 이 나라의 인터넷을 공격하고 이득을 얻는 공격자들은 글로벌 하게 놀고 있다.

http://www.sharktech.net/index.php?ID=aboutus&PG=2

 

앞으로도 매우 어려운 싸움이 될 것이다. 사실은 싸움의 상대도 되지 않지만 ...

Posted by 바다란

2011. 4.26일 코엑스의 netsec-kr 튜토리얼 세션에서 발표한 내용입니다. 

많은 이야기를 했고 시연도 했지만 현재의 변화는 정말 심각한 상황에 직면해 있다고 봐야 됩니다.
현대 캐피탈에 이어 소니도 해킹을 당했지만 들리는 소식으로는 소니 자체에서 조사를 못하고 외부 보안전문업체를 동원해서 분석을 한다는 군요.

한해 매출이나 이익이 조단위가 되는 회사에서도 자사의 서비스를 책임지고 이해하며 보안적인 이슈를 분석할 사람이 없나 봅니다.

아마 전 세계적으로 보안인력의 품귀 현상이 빚어지겠지만 모두 예측된 일입니다.
더 중요한 것은 아무리 기술이 높은 인력을 채용하고 스카웃 한다고 하여도 내부에서 성장하고 체득 할 수 있는 에코시스템이 갖추어져 있지 않다면 별 소용이 없다는 점이죠.

에코 시스템이란 제대로 일을 할 수 있게 또 역량 발휘를 할 수 있게끔 해주는 것이죠. 금전적인 대우야 하는 일에 맞게 책정 하면 될 것이구요.

항상 보안이라는 분야는 다른 많은 부분과 마찰도 있고 문제도 있지만 중요한 것은 통제를 위한 보안이 아니라 큰 위험을 막고 전체를 보호하기 위한 분야로 인식을 할 때 시너지가 발휘 됩니다. 여기까지 가기 위해서라도 경영진의 위기인식과 의지는 반드시 필요하죠.

인식과 의지가 귀찮으시면 그냥 소니처럼 25조짜리 소송 당하면 됩니다. 왜 해외에서의 문제가 더 심각할까요? 이 부분도 생각해 봐야 합니다. 신용으로 거래되는 해외의 상거래 관행에서 신용카드는 매우 큰 역할을 합니다. 더불어 이 번호가 노출 되었을때 도용 될 수 있는 폭도 매우 크며 도용에 대한 해명 및 어필등을 일정 수준 이상 개인이 해야 하는 사회적 비용이 촉발 됩니다.
 

또한 실제 피해도 많이 발생 되는데 .. 국내도 지금껏 많은  정보들이 탈취 당했으나 개인 차원에서는 보이스피싱 정도의 피해가 가장 심각한 피해라고 볼 수 있습니다. ( 이번 현대캐피탈 이슈는 제외 하구요..) 해외에서는 정보 유출시 피해가 상당 할 수 밖에 없습니다. - 신용으로 이루어지는 .. 즉 신용카드로 모든게 결재되고 거래되는 사회라는게 사전 대응 보다는 사후 대책에 집중 할 수 밖에 없는 부분이기도 합니다.


 
Web을 통해 유포 되는 악성코드들은 대부분이 개인정보 유출로 활용 되고 이중 일부는 Arp spoofing & DDos 용도로 활용 되기도 합니다. 사실 DDos 공격 같은 경우는 예전 같으면 애써 구축한 봇넷 네트워크가 무너지기에 금기시 되었지만 요즘 같으면 금새 좀비를 몇 만대 이상을 만들 수 있으므로 훼이크 성으로 할 수도 있겠죠.

지난 3.4 DDos가 많은 점에서 어설프게 보이는 것도 동일 합니다. 본 자료에서는 그 내용도 포함 되어 있습니다. 2시간의 발표 동안  자료 보다 많은 내용을 시연하고 발표를 했습니다만 자료상에는 단순한 챠트가 나열 되어 있습니다.  통찰력 있으신 분들이 그 의미를 깨닫게 되신다면 향후의 대응은 달라질 수 있을 것 같습니다.

위기의 인터넷이라는 부제는 몇 년전 컬럼에서 썼던 제목인데 현재는 그 상태로 완벽하게 진입되어 있는 상태입니다. 그 때 예측한 많은 것들이 실현이 된 것이죠.  

뒷부분 대책 부분에서 웹 서비스에 대한 개발 프로세스 전환 부분등에 대해서는 심각하게 생각해 보시길 바랍니다. 기존의 보안도구와 방법론의 문제들은 이미 여러번 언급한 적이 있습니다.

빠른 납기주기: 웹 개발의 경우는 더 빠르겠죠. 이 기간내에 보안점검까지 다하기란 어렵습니다.

보안 스캐너 :
보안 전문가도 한눈에 알아 보기 어려운 설명과 방법, 그리고 실행 시간이 오래 걸립니다. 개발자가 직접 보기에는 무리인 부분이죠.

소스코드 진단도구 :
자동화된 도구들의 경우 기계화된 코딩을 강요하죠. 이 부분에서 절대적 한계, 교육된 개발자가 이탈시엔 모든걸 다시 원점에서 시작.

보안컨설팅:
이벤트 페이지 하나 추가해도 받으 시겠습니까?. 비용은 또 서비스 구조에 익숙하지 많은 전문기술자들의 진단은 때론 핵심을 빗겨 가기도 합니다. 또 소스코드 점검을 컨설팅을 통해 받는다고 하여도 남이 개발한 소스를 직접 보고 문제 부분을 찝어 내는 것은 어렵습니다. 무엇보다 인간입니다. 실수 할 수 있다는 것이죠.


이에 반해 공격도구의 경우는 특정 부분만을 찍어서 들어 옵니다. 그리고 외부 인터넷 노출된 서비스 전체에 대한 확인과 진단도 쉽습니다. 기업에서 내부망으로 침입이나 데이터 유출 ( 이번 소니나 현대캐피탈)을 방지 하기 위해서는든 외부 노출 서비스에 대한 보안 진단이 상시적으로 이루어져야 합니다.

과연 이걸 기존의 Security paradigm으로 할 수 있을까요? 국내뿐 아니라 해외 모두 마찬가지입니다.
방향 전환이 필요한 시기이고 더 늦어지면 이젠 감당키 어려울 것입니다.

Web service의 안전한 운영과 개발을 위해 필요한 부분을 기존과 다른 WSDLC라는 이름으로 명명 하였습니다. 여기에서의 프로세스는 접근성 뛰어나고 빠른 실행이 가능하며 간편한 보고서 형식으로 활용이 가능한 서비스의 필요성에 대해서 언급을 하였고 개발자 자신의 Self learning 뿐 아니라 보안 담당자나 전체 운영자 입장에서는 일목요연한 취약성 형상 관리가 일단위로 가능해 지겠죠.


지금까지의 개념과는 상당히 다른 차원의 접근이 되어야만 현재의 문제를 해결 할 수 있을 것입니다.

전체적으로 악성코드 유포의 동향, 공격자의 의도 ( 왜 주말에만?? ). 2월까지만 해도 3일간격으로 경유지를 변경하던 공격자들이 많은 대응으로 인해 손실이 커지자 주말에만 활동 하는 것으로 바뀌었고 지난주에 출현한 Flash player에 대한 공격 코드 출현으로 인해 주중에도 이젠 대 놓고 공격하는 형태로 변경이 되어 있습니다.

짧은 내용에 담긴 흐름과 변화의 예측. 그리고 대응

* 아무나 할 수 있는 것은 아닌 점이라는것만 확실하게 말씀 드립니다. 상세한 내용은 발표 자료를 통해 유추 하시고 통찰 하시길 바랍니다.



- 바다란 세상 가장 낮은 곳의 또 다른 이름. 
Posted by 바다란
3.26일 오전 12시 현재 p2p 및 빗토런트 사이트들 최소 8곳 이상에서 4종류 이상의 악성코드를 유포하고 있음. 경유지가 4종류이며 사용하는 공격기법도 다 제각각임.

더불어 언론사 홈페이지 몇곳, 유제품 업체, 그룹사 홈페이지등에 대한 악성코드 경유지가 추가 되어 방문자들에게 유포를 하고 있음. 

금일과 어제 새로 발견된 경유지들은 20곳 이상이며 모두 국내사이트에 추가된 경유지들이다. 각 개별 발생 카운트는 정리 하지 않았으며 몇몇 경유지의 경우는 정리할 필요성이 있을것으로 보임.

Mass sqli 도 신규로 추가된 것으로 나옴.

이번 주말도 아주 화끈한 한주를 보낼 것으로 예상됨. p2p만 쳐다 보다 당하는 일 없기를. 근본 문제 수정이 먼저이지만 안되면 차단이라도 빠르게 해야 할듯. 아님 1.25  대란 정도는 수시로 발생 될 것임.


차주중 관련된 컬럼을 작성할 예정.

일단 통계적 수치와 변화도를 나타낼 수 있는 카운트를 가지고 있다.
그냥 말로만 하는 위험성 과 문제제기가 아닐 것이다.

이건 앞으로도 변함이 없을 것이다.~

변화무쌍한 공격자의 행위를 잡아 낼 수 있는건 기본적인 구조에서 잡아야 된다.
그 아래는 변화가 너무 많기 때문에  이전에 잡아야만 문제 해결의 단초를 잡을 수 있다.

지금 이 일을 할 수 있는 곳은 오직 한 곳 밖에 없다.! 아직까지는 ..바로 우리 
Posted by 바다란

여기 나온 악성코드 경유지 주소들 보다 더 많은 정보들이 있다.

그러나 그 정보들은 오픈하기가 어려운 상태.

 

IP를 기반으로 철저하게 백도어 용도로 이용이 되고 있고 순식간에 전체를 바꿔치기 한다.

정보를 오픈하면 바꾸고 오픈하지 않으면 그냥 둔다. 하루에도 두세번 바꾸는건 일도 아니다.

 

대부분 국내 서비스 해킹하고 IP주소를 이용해 악성코드 다운로드 링크들을 올려 둔다.

이걸 국내 주요 사이트들에다 추가 하는 형식. js 파일내에 document.write 를 이용해 쓰거나

css 파일에 추가 또는 iframe으로 추가 한다.

 

근본 적인 취약성은 그대로 있는데 이 링크만 지운다고 없어질까? 

다 부질 없는 짓이다. 

 

암의 근본 원인 제거 없이 겉으로 흐르는 피만 닦아 내고 밴드를 붙인다고 해서 상처가 없는건 아니다.

다만 보이지만 않을 뿐. 언제든 나타난다. 계속해서..

 

자동화된 악성코드 저작 도구가 있다고 해서 널리 퍼지는 것은 아니다.

이젠 대규모로 글로벌 하게 퍼트릴 수 있는 방안이 있어서 크게 문제가 되는 것이다.

 

왜 더 이상 한국에 특화된 바이러스가 없을까?. 특화된 악성코드도 없고 말이다.

전 세계 어디에서나 찾아 볼 수 있다. 근본을 모르면 계속 휘둘리게 마련이다.

 

보안 전문가들이나 보안 회사들, 정책 당국은 이점을 명심 해야 한다.

예전에도 자동화된 악성코드 제작 도구는 있었다. 단 지금 만큼의 속도는 아니였다.

그러나 예전에도 이렇게 흔들렸던가? 전 세계 전문 인력들이 지쳐 쓰러질 만큼 힘들 정도 였던가?

규모의 경제를 갖춘 회사만이 버틴다. ( 전문인력의 대규모 보유) . 나머지는 다 지쳐 쓰러진다.

 

지금 문제는 확산 매커니즘이다. SNS와 취약한 웹서비스를 통해 자동으로 설치되는 악성코드가 확산의 주된 매커니지늠이다. 이걸 잊지 마라. 앞으로도 계속 된다. 그 누구도 멈출 수 없다. 발상의 전환이 없다면 말이다.

 

- 바다란 세상 가장 낮은 곳의  또 다른 이름

 

 * 매번 자세하게 썼지만 애써 보려 하지 않는 사람들이 많아 앞으로도 계속 꾸준하게..또 자세히 쓸 예정입니다. 

 

http://blog.websanitizer.com/ko/?p=588

 

최근 악성코드가 유포되는 과정은 일반적으로 다음과 같습니다.

  • 인터넷 등에서 감염된 파일을 다운로드하여 PC에서 실행하여 감염되는 경우
  • 스팸 메일의 첨부 파일을 실행하여 감염되는 경우
  • USB 메모리와 같은 이동형 매체를 통해 감염되는 경우
  • 웹 취약점이나 해킹 등으로 변조된 웹사이트를 방문하는 과정에서 감염되는 경우

이 과정 중에서 1, 2, 3 항목은 안티바이러스 및 안티스팸 솔루션에서 해결하는 경우가 많습니다. 물론, 새로운 악성코드가 발생하는 경우에 미처 대처하지 못하는 경우도 있습니다. 안티바이러스 업체에서는 이러한 한계점에 대해 다양한 연구 및 검토를 거쳐, 휴리스틱(인공지능), 클라우드, 화이트리스트, 샌드박시와 같은 첨단 기술을 이용하여 미연에 방지하고자 노력하고 있습니다.

당사에서 주목하고 있는 악성코드의 유포 환경은 바로 안전하지 않은 웹사이트의 방문으로 인해 사용자의 PC가 알지도 못하는 사이에 감염되는 경우입니다. 웹사이트 개발 초기에 보안에 관련된 사항을 고려하지 않아 발생하는 문제점으로 보통 서버의 취약점을 이용하여 해킹을 하거나 SQL Injection과 같은 웹취약점을 이용합니다.

특히, SQL Injection 취약점은 전체 웹사이트의 약 80% 이상 가지고 있을 정도로 매우 광범위하게 노출되어 있는 문제점으로 해결을 위해서는 웹방화벽이 주로 도입되고 있지만, 가장 근본적인 해결책은 웹소스 자체를 수정해야 합니다. 하지만, 웹 소스를 수정하기 위해서는 기술적, 시간적, 금전적 부담이 매우 커서 SQL Injection 취약점이 전세계에서 유행하기 시작한 2002년도부터 지금까지도 위험한 상태 그대로 인 경우가 많습니다.

최근에는 Mass SQL Injection 공격과 제로데이 취약점을 이용하는 악성코드가 결합하여 보다 강력한 전파력을 보이고 있습니다. 즉, SQL Injection 취약점이 있는 사이트의 DB에 제로데이 취약점을 이용하는 악성코드로 유도하게 하는 스크립트(JS)를 삽입합니다. 사용자가 이러한 사실을 모르는 상태로 이 웹사이트에 방문하는 경우에는 PC의 안티바이러스(백신)이나 최신 보안 패치가 적용되지 않는 경우에는 즉시 감염되게 됩니다.

당사에서는 이러한 악성 코드의 유포 정보를 수집하는 검색 엔진을 개발하여 이를 통해 9월 말부터 악성코드가 유포되는 URL을 수집하여 분석하 고 있습니다. 아래의 링크 가운데에는 기존에 이미 유포되었던 링크도 포함되어 있습니다. 왜냐하면, 악성코드가 유포되면 사이트 관리자가 이 부분을 인지하고 삭제하기 때문이며, 그 이후에 다시 같은 또는 유사한 URL을 삽입하는 행동이 반복되고 있습니다.

발견일 악성 URL

2010-12-03 hxxp://rozprodam.cz/index.xxx

2010-12-01 hxxp://tzv-stats.info/xx.php

2010-12-01 hxxp://www.pkupe.com/xx/pic.js

2010-12-01 hxxp://www.alahb.com/xxx/pic.js

2010-11-29 hxxp://www.jingmen.info/xx/pic.js

2010-11-27 hxxp://multi-stats.info/xx.php

2010-11-25 hxxp://www.yiqicall.com/xx/pic.js

2010-11-22 hxxp://www.xufu9.com/xx/pic.js

2010-11-18 hxxp://210.109.97.xxx/P.asp

2010-11-17 hxxp://110.45.144.xxx/S.asp

2010-11-17 hxxp://www.samdecaux.com/xx/img.js

2010-11-15 hxxp://mount-tai.com.cn/xxxxxx/img.js

2010-11-13 hxxp://www.zyxyfy.com/xx/pic.js

2010-11-12 hxxp://www.szdamuzhi.com/xx/img.js

2010-11-11 hxxp://121.254.231.xxx/w.asp

2010-11-10 hxxp://180.69.254.xxx/main.asp

2010-11-10 hxxp://www.qpbay.com/xxxxData/img.js

2010-11-06 hxxp://www.womenzz.com/xxxxxx/img.js – Mass SQL Injection 공격

2010-11-03 hxxp://www.cqgx.net/xx/img.js – Mass SQL Injection 공격

2010-10-31 hxxp://www.jdcmmc.com/xxx/img.js – ARP Spoofing + Mass SQL Injection 공격

2010-10-30 hxxp://www.gdkfzx.org.cn/Script/img.js – Arp Spoofing 공격

2010-10-29 hxxp://www.96363.com/upfiles/img.js – Mass SQL Injection 공격

2010-10-25 hxxp://www.winitpro.com.cn/xx/img.js

2010-10-23 hxxp://www.shrono.com/xx/img.js

2010-10-23 hxxp://121.254.235.xx/H.asp

2010-10-23 hxxp://a5b.xx/n.js

2010-10-23 hxxp://www.zzyaya.com/xx/img.js

2010-10-22 hxxp://www.3emath.com/~~~/img.js

2010-10-22 hxxp://125.141.196.1**/F.asp

2010-10-21 hxxp://www.thwg08.com/xx/img.js

2010-10-19 hxxp://www.igo88.com/xxx/img.js

2010-10-17 hxxp://222.231.57.xxx/r.asp

2010-10-16 hxxp://smaug.xx/portfoliox/tutorials.php

2010-10-16 hxxp://58.120.227.xxx/F.asp

2010-10-16 hxxp://789.fanli8.xx/tj.html?zhizun

2010-10-15 hxxp://www.sxsia.org.xx/images/xxxxx.js

2010-10-13 hxxp://www.xatarena.xxx/images/img.js

2010-10-12 hxxp://www.adw95.xxx/b.js

2010-10-11 hxxp://318x.xxx/

2010-10-11 hxxp://210.109.97.XX/TT.asp

2010-10-11 hxxp://121.78.116.XX/TT.asp

2010-10-10 hxxp://www.lancang-mekong.xxx/uploadfile/img.js

2010-10-09 hxxp://www.aspder.xxx/1.js

2010-10-09 hxxp://kr.nnqc.xxx/cs.js

2010-10-08 hxxp://b.mm861.xxx/images/1.js

2010-10-08 hxxp://www.gdfreeway.xxx/js/img.js

2010-10-07 hxxp://118.103.28.XXX/R.asp

2010-10-07 hxxp://211.234.93.XXX/U.asp

2010-10-07 hxxp://175.124.121.XX/time.js

2010-10-07 hxxp://www.xhedu.xxx/js/img.js

2010-10-07 hxxp://211.234.93.XXX/U.asp

2010-10-06 hxxp://3god.xxx/c.js

2010-10-06 hxxp://318x.xxx

2010-10-06 hxxp://222.234.3.XXX/hh.asp

2010-10-06 hxxp://www.xhedu.xxx/

2010-10-05 hxxp://www.XXXXcollege.co.kr/zboard/data/yahoo.xx

2010-10-04 hxxp://iopap.upperdarby26.xxx/GUI.js

2010-10-04 hxxp://118.103.28.XXX/R.asp

2010-10-04 hxxp://wefd4.xx/

2010-10-04 hxxp://211.115.234.XXX/P.asp

2010-10-04 hxxp://211.233.60.XX/h.asp

2010-10-04 hxxp://uc.wooam.xxx/cp/w3.js

2010-10-04 hxxp://www.e0570.xxx/images/img.js

2010-09-30 hxxp://203.206.159.XXX/image/head.js

2010-09-30 hxxp://www.dnf666.xxx/u.js

2010-09-29 hxxp://mysy8.xxx/1/1.js

 

 유포 URL을 클릭하면 해당 링크에 대한 분석 정보를 보실 수 있으며, 이 문서는 최신 악성코드 URL이 발견될 때마다 갱신됩니다.

운영하시는 사이트에서 이러한 문제점으로 어려움을 겪는 분들은 아래 자료를 참고하여 주십시오.

http://blog.websanitizer.com/ko/?p=422

그리고, 사업 및 기타 목적으로 제휴를 원하시는 업체 관계자분들은 아래 링크를 통해 연락 주시기 바랍니다.

http://blog.websanitizer.com/ko/?p=49

감사합니다.

Posted by 바다란

안녕하세요. 바다란입니다..

 

간단하지만.. 아주 쉽게 오해를 살 수 있는 보안 및 해킹 관련 기사들에 대해 좀 더 알고 싶지 않으신가요? 무작정 겁만 집어먹게 하는  [ 뭐든지 다 한다더라...카는 ] 카더라 기사에 대해 좀 더 알고 싶지 않으세요? 과연 우리 주위의 위험은 얼마나 되는지 또 어떤 상황에 노출 되어 있는지 궁금하지 않으십니까?

 

아마..궁금하지 않을 수 있습니다. 그러나 자신과 관련이 된다고 하면 모든 이가 눈빛부터 달라집니다. 짧은 지식이나마 [ 뛰어나신 분들이 많아 이런 의견 올리기도 부담스럽습니다만... ^^] 앞으로 의미 있는 기사가  나올 경우 시리즈로 계속 달아 보도록 하겠습니다.

 

먼저 1순위로 잡힌 최근 기사는 아래와 같습니다.

http://news.mk.co.kr/newsRead.php?sc=31000011&cm=&year=2006&no=455128&selFlag=sc&relatedcode=&wonNo=&sID=900

 

제목은 美 온라인 증권사들 동유럽ㆍ태국 해커에 당해

 

자극적입니다.....

과연 진짜 해킹을 당했을 까요? 물론 해킹의 가능성이 높습니다만 본 기사에서 언급하고 있는 내용은 시스템에 대한 직접 해킹이 아닙니다. 지난해 부터 급증을 거듭하여 이제는 모든 사용자 PC를 대상으로 하고 있는 악성코드와 관련이 있는 내용입니다.  상당히 자극적인 제목을 달 수 밖에 없지만 피해액 규모를 보면 놀랄 수 밖에 없습니다. 몇 백억원은 기본입니다. 사이버 머니 몇백억이 아닌 실머니 몇 백억 입니다. 그렇다면 이와 같은 피해를 막을 수는 없었을까요?.

 

한국의 주민번호 체계 및 공인인증서 체계에 대해 말이 많습니다만.. IT 관련 정책 중에서 가장 잘한 정책이 공인인증서의 채택과 활발한 활성화가 아닌가 하는 생각이 듭니다. 지금 국내의 은행 및 금융 거래 하는 모든 곳들에서 인증서를 아주 손 쉽게 볼 수 있고 IT 부분이나 거래 , 예금 과 관련된 모든 유형에 인증서가 기본으로 사용이 되고 있습니다. 개인 정보를 바탕으로 하여 생성이 된 내용이긴 하나 공인인증서가 대부분의 피해를 대폭 줄여주고 있는 것은 사실입니다.

 

공격자에게 두가지 부담을 주기 때문에 더욱 그러합니다. 먼저 최근에 설치되는 악성코드 유형은 키보드 및 마우스 입력을 가로채는 Information Stealer 유형이 대부분을 이루고 있습니다. 특히 국내에서는 온라인 게임에 대해서 매우 활발하게 발생이 되고 있죠...  해외에서는 아직 악성코드 발생 유형에 대해서는 심각성을 제대로 인지를 못하는 것으로 보입니다. 국내에서는 이미 브라우저 차원의 문제 및 기본 운영체제의 구조가 변경 되지 않는한 문제가 계속 될 수 밖에 없다는 상황 인지하에 OTP [ One time Password] 사용을 적극 검토 하고 있는 차원이지만  해외는 아직 아닌 것 같습니다. 아직 순서가 멀었다고 볼 수 있죠.

 

공격자에게 주는 두가지 부담은.. 일단 악성코드를 임의의 웹사이트에 배포를 합니다. 일단 관련 되는 웹사이트에서 유포를 해야 하겠죠. 관련 웹사이트는 위의 기사에서 보자면 온라인 증권 관련 정보제공 사이트 등이 될 수 있습니다. 이런 사이트에 키보드 입력을 가로채는 악성코드를 심어두어서 방문자에게 자동 설치가 되도록 합니다. [ 실제 최근 발생되는 악성코드는 백신 및 Anti spyware에서 탐지 못하는 유형이 부지기수 입니다. 한명이 수십개의 변종을 순식간에 만들기도 합니다. ]

이후 방문자가 특정 사이트 [ 증권 관련 사이트 ] 를 방문하면 활성화 되어 ID/PW 입력하고  들어가게 되죠.. ID/PW 입력하는 키보드 후킹 유형의 악성코드를 방지하기 위해 마우스 인증으로 대신 하긴 하지만 마우스 인증의 경우에도 이벤트를 가로채어 공격하는 유형의 백도어가 이미 출현한지 오래 입니다.  입력을 가로챈 이후 OTP 사용자라면 OTP 입력 체계를 알아서 정확한 입력을 해야 하고 그렇지 않은 인증서 사용자에게는 인증서가 저장된 PC를 직접 해킹하여 가져오는 수 밖에는 없습니다. 따라서 발생 비율이 매우 낮을 수 밖에 없죠.

 

그러나 해외 금융 관련 사이트는 본인인증에 대해서 그다지 신뢰할 만한 방안이 없습니다. 따라서 개인정보보호도 확실하지만 그만큼 빈틈이 많다는 것이죠. 그 결과가 몇백억원의 [ 그냥 표면상의 금액이고 실제로는 더 되겠죠.. ^^] 손실로 즉시 나타나게 됩니다. 아마도 직접 악성코드를 통해 피해가 발생 했다고 인정하고 보상까지 진행이 된 케이스의 기사는 이 기사가 처음이 아닐까 생각 됩니다.

 

카드를 통한 본인인증은 더욱 위험하고 그렇다고 한국처럼 휴대폰 인증을 쓸수도 없고.. 인증서 베이스로 갈 수도 없고.. 참 난감한 상황일 수 밖에 없고.. 이런 유형이다 보니 공격자들은 손쉽게 돈을 벌 수 있게 됩니다. ID/PW 와 추가 인증[ 마우스 입력등을 부수적으로 이용] 하는 부분 만을 가져가게 되면 그 피해자의 계좌에 있는 잔액은 이미 피해자의 것이 아니게 되죠.

 

 

말이 길어졌습니다.

 

국내만큼 발달된 보안 방안이 있는 곳도 없습니다. 전국민의 1/3 가량이 인터넷 뱅킹 및 온라인 증권 거래를 하는 나라도 없습니다. 또 이런 사용 비율 치고 사고가 발생하면 뉴스에 헤드라인으로 뜹니다. 그 횟수가 매우 적다는 것을 반증하죠..  그만큼 앞선 대책이 적용 되고 있다고 볼 수 있습니다.

 

온라인 상에서 이익을 창출하는 모든 IT관련 기업들은 보안이라는 부분에 대해서 고민을 하여야 하고 앞전의 게시물에서 언급 하였듯이 [ 침해사고 대응 세미나 관련 발표 자료 참고] 패러다임은 이제 자산에 대한 보호 관점에서 불특정 고객의 PC까지도 보호해야 하는 관점으로 바뀌었습니다.  AOL에서 온라인 백신을 제공하는 것도 마찬가지 맥락이라 볼 수 있습니다만..근본적인 해결책은 될 수 없죠.

 

앞으로의 세상은 어떻게 변할까요?. 또 앞으로의 기사들은 어떻게 나올까요?.. 피해가 심각이라는 기사 내용만 보고 넘기신 분들은 이면에 이렇듯 다양하고 복잡한 유형의 공격이 존재하고 있고 흐름이 있음을 알아야 할 것입니다.

 

더 복잡해지고 .... 삶도 더 고달퍼 집니다. ^^ 그리고 또 하루가 지나가구요..

 

좋은 하루 되세요.

Posted by 바다란

바다란입니다.

지난해 2007년 2월 경부터 외부 발표 용도로 작성한 Web 2.0 Service Security 라는 제목의 PPT에 대해 기고 형식으로 풀어쓴 글입니다.

전체적으로 Web 2.0 이라는 말은 만약 SNS (Social Network service) 측면에서만 강조되는 부분이라면 Web 2.0의 활성화는 오래 가지 않을 것입니다. 그러나 분명한 것은 Web이라는 도구가 명확하게 확장 되고 있으며 폭 넓은 부분에서의 활용성은 점차 극대화 되고 확대될 것임은 명확합니다.

 

Web 2.0이라는 단어는 허상에 불과하지만 도구로서의 Web의 진화는 향후에도 오랜기간 지속될 것으로 보입니다. 그렇다면 변화의과정에서 나타나는 위험들은 무엇이 있고 현재 직면한 위험들은 무엇들이 있는지 명확한 인지는 필수적이라 할 수 있습니다.

 

본 문서는 Web의 발전에 따른 여러가지 Risk를 직접 보이고 설명하기 위해 만들어진 문서입니다. 최근에 KISA에 기고한 문서이기도 합니다. 좋은 방향으로 향후의 위험성에 대해서 참고 하셨으면 합니다.

 

감사합니다.

 

* 본 시리즈는 3편 정도로 예상 하고 있습니다.

 상편 - Attack Flow의 변화 , 지난 시간 속에 존재하는 Risk들의 변화 과정과 흐름을 살펴보고 현재는 어느 단계 인지 확인 하는 내용

 중편 - 진보된 Web의 발전에 따른 여러가지 다양한 위험요소

 하편 - 결론 부분입니다. Web의 발전에 따른 대응 방안에 대해서 고민하는 부분입니다. 중편이 길어서 중편 부분도 일부 포함될 것 같습니다.

 

그럼 시작합니다.

 

 

개 요

현재의 Web의 발전 방향은 사용자의 접근성 향상을 통해 사용 환경의 변화로 이어지고 있다. 사용자 제작물의 확산과 정보 공유의 통로 확산은 다양한 위협으로 이어지고 있으며 향후 폭넓은 위협에 노출 됨을 예고하고 있다. UCC와 블로그의 확산, 사용자 접근을 위한 위험은 유,무선을 가리지 않고 다양한 위협으로 향후 나타날 것이다. 본 문서에서는 해당 위협을 직시하고 대응 할 수 있는 방안들을 모색함으로써 향후의 위험성에 대해 대비를 할 수 있도록 하고자 한다.

 

■Attack Flow의 변화

Web이라는 도구가 정보 획득의 수단에서 사용자의 의견을 교환하고 다양한 정보를 교환함으로써 새로운 정보를 창출하고 이득을 창출하는 생활 속의 도구로서의 다양한 역할을 하고 있다. 변화하는 위험요소와 변화하는 환경 속에서 Web을 통한 사용자 접근성의 향상은 새로운 시너지를 촉발하고 있으며 IT 서비스 산업을 근본적으로 사용자 중심의 환경으로 전환 하게 만들고 있다. 반대급부로 Web을 통한 위험성도 증가 되고 있다. 현재의 위험 상황은 어느 정도 진행이 되고 있으며 어떤 위험들이 실제로 존재하였는지를 확인 하는 것도 필요한 시점이라 할 수 있다. 공격 흐름의 변화도 사용자에 대한 위험을 극대화 하는 방향으로 진행이 되고 있다. 전체의 공격 흐름을 살펴서 향후를 예측 하고 준비 할 수 있는 자세가 필요하며 앞으로 더 심도 있고 폭넓게 활성화될 서비스 부분에 대해서 Attack 흐름의 변화는 반드시 짚어야만 될 부분이라 할 수 있다.

2000년 이전과 그 이후 얼마간의 공격 흐름은 직접적인 서비스에 대한 공격 유형에서부터 출발이 된다.

 

 

 

CERT.org의 취약성 발표 통계를 통해 드러나지 않는 문제들에 대해 언급을 하여 보면 다음과 같이 정리가 가능하다. 2000년 이후 부터의 증가 현상에 대해서는 인터넷의 활성화에 따른 취약성 증가가 원인이라 보기는 조금 어려운 면이 있다. 시기적으로 나눈다면 세 단계 정도로 구분하는 것이 가능하다.

1단계 : 2000년 이전 – 운영체제에 대한 직접적인 취약성 발견에 집중

2단계 : 2000년 이후 ~ 2005년 상반기 – 운영체제에 함께 설치 되는 Application에 대한 취약성 발견이 집중적으로 이루어진 시기

3단계 : 2005년 상반기 이후 - Web으로 구성된 다양한 어플리케이션에 대한 취약성 발견의 증가.

60%의 service owner 들이 Web application을 통한 취약성 노출에 직면 하고 있다.

 

 

Gartner, 09,2005 의 조사에 따르면 60%의 Service Owner들이 Web application을 통한 취약성에 노출에 직면하고 있으며 취약성을 Reporting 하는 Mitre corp의 2006.9월의 조사에도 06년의 첫 9개월간 발견된 취약성은 4375개이며 이중 75%가 Web 관련된 취약성이라 조사가 된바 있다. * 여기에서 Web 관련된 취약성은 Web을 통해 접근이 가능하도록 개발된 Application을 의미한다.

 

위의 3 단계 구분이 모든 현상을 설명하지는 않으나 전체적인 취약성 발견 동향을 Bugtraq ()을 통해서 살펴보면 전체 유형의 흐름을 충분히 파악 할 수 있으며 취약성 발견의 급증 원인에 대한 설명은 위의 1,2,3단계 구분으로서 원인을 찾을 수 있을 것이다. Web의 확산에 따른 공유 환경의 증가와 Web을 통한 서비스 확산과 전 세계적인 네트워크 접근성의 개선은 보다 빠른 Application 서비스 모델을 추구하게 되었고 공격자들에게도 취약성 발견의 기반을 폭넓게 만들게 된 계기가 되었다고 할 수 있다.

 

지역별 특정 Application에 대한 사용비율이 높을 경우에는 해당 지역만을 겨냥한 취약성 발견이 증가하기도 하며 특정 서비스 모델에만 기반화된 제품의 경우에는 서비스를 겨냥한 취약성 발견이 증가 하기도 하였다. 현재도 동일한 유형으로 취약성 발견이 증가하고 있으며 취약성 중에서 전 세계적인 범위를 가지고 있는 Mega vulnerability의 발견은 점차 줄어들고 있으나 지역적 혹은 서비스에 특화된 취약성의 발견은 지속적으로 증가하고 있다. 근본 원인은 Web을 통한 서비스 환경의 개선, Service 모델의 확산, 개발된 Application의 상호연동성 증가 및 매개체로서의 Web의 활용 등을 Web 서비스 기반의 확산 및 취약성 발견 비율의 증가 원인이 될 수 있다.

 

 

2005년 하반기에 Gartner 조사에 따르면 전체 1000여개 가량의 Web site를 상용 Web application scanner를 이용하여 스캔한 결과 위와 같이 98% 가량의 Web service들이 취약성을 가지고 있음을 조사하였다. 2007년 12월인 현재에는 더 치명적인 취약성들과 조사 당시에는 사소한 취약성이 더욱 큰 문제로 대두된 부분들도 명확하게 존재한다.

현재 2005년을 거치면서 국내의 IT 서비스 환경에 가장 큰 영향을 미치는 보안적인 이슈들은 세계적인 흐름과는 달리 정의가 될 수 있으며 세계적인 취약성 발견 및 공격 동향이 미리 발견되는 양상을 나타내고 있다. 그 이유에는 여러 가지 상황들이 뒷받침 될 수 있으나 우선적으로는 빠른 인터넷 환경과 인터넷 생활 문화의 확대와 대중성에 따른 영향이 가장 크다고 볼 수 있다. 국내의 현실에서의 Security라는 paradigm은 어떤 식으로 변화가 되어 왔고 지금에는 어떤 현상을 나타내고 있는지 살펴 보면 다음과 같다.

 

 

전체적인 시기의 구분에 따라 Network Worm 발생 이전과 이후로 크게 구분하는 것이 가능하며 이후에는 Web을 통한 불특정 다수에게 악성코드를 유포하는 것으로 구분하는 것이 가능하다. 시기적으로 나뉜 것은 아니며 대응을 하는 부분에 있어서 차별화 되거나 기존의 개념을 뛰어넘는 새로운 이슈라고 보는 관점에서 주관적인 구분을 하였다. 네트워크 Worm 이전에는 공격자를 격리 시키는 것을 주된 관점으로 대응을 하였으며 Network Worm 발생 이후에는 공격자의 격리라는 것의 무의미 해지고 1차 피해자가 추가적인 공격을 본인의 의사와 관계 없이 공격을 진행 하는 것으로서 공격자에 대한 격리라는 정책이 더 이상 유효하지 않게 되었다.

 

Network worm 이전에는 침입자에 대한 차단과 탐지를 위해 IDS와 Firewall 이 주된 보안도구가 되었으나 Network worm 발생 이후에는 차단과 탐지라는 의미가 무의미해짐에 따라 침입을 사전에 막을 수 있고 내부 서비스 서버에 영향을 미치지 않도록 IPS ( Intrusion Prevention System)이 유용한 보안 시스템으로 두각을 나타내게 된다. 그렇다면 위의 이미지 상에서 최종적인 Web을 통한 유포를 통해서는 어떤 방향들이 나타나게 되었을까? 웹 서비스의 방문자를 노린 악성코드 유포는 방문자가 많은 사이트를 중심으로 집중적인 악성코드 유포 시도를 시행한다. 따라서 웹 Application의 취약성이 주된 악성코드 설치의 통로가 됨에 따라 Web Application의 보호를 위한 보안도구들이 일반화되게 됨을 현재 볼 수 있다. Web Firewall의 도입과 SDLC 프로세스의 도입을 통한 안전한 프로그래밍 체제의 도입은 Web Application을 보호하기 위해서 사용이 되고 있다.

 

Web Application의 취약성을 이용하는 악성코드의 영향으로 사용자의 환경에도 직접적인 영향을 미침에 따라 개인사용자 PC를 보호해주기 위해 보안패치 서비스 및 온라인 백신 서비스 등도 현재는 일정 수준이상 일반화 된 것으로 볼 수 있을 것이다. 환경의 변화는 여러 가지 서비스 모델들을 변화 시키고 새로운 부분을 구성하기도 한다. 지금의 인터넷 서비스 환경에서의 위험요소는 상당히 많은 부분을 변화 시킬 것으로 예상이 되고 있고 현재 진행중임에도 불구하고 대응 측면에서 노력이 미진한 부분들이 많이 있어 보인다.

전체적으로 종합하면 환경의 변화와 변화에 따른 대응측면은 다음과 같이 된다.

 

 

위의 그림과 같이 2007년을 가로지르는 중요한 Paradigm은 기업내의 자산과 서비스에 대한 보호에서 개인 PC 단위로까지의 보호 단위 확장을 들 수 있다.

2000년 이후의 Attack Flow에 대해서 공격기법별로 분류를 해보면 발전 방향과 특징을 살펴 볼 수 있으며 점차 진화되고 있는 유형이 어떤 방향으로 이어지고 있는지 살펴 볼 수 있다. 전체적으로는 복잡화된 공격에서 결합화된 공격으로의 발전, 자동화된 공격의 발생과 확산으로 동향이 이어져 가고 있다. 앞으로의 침해사고 유형도 Web service의 취약성을 공격하고 이를 이용한 주변 전파로 확대될 가능성이 높으며, Web service의 확대로 인해 거대 사용자를 확보한 서비스 기업들이 증가하고 있어서 Web을 통한 위험 노출 부분은 향후 일정기간 이상 주된 화두가 될 것이다.

 

 

위의 그림은 Major Attack Trend를 나타내고 있으며 2004년까지의 변화는 전 세계적으로 동일한 유형으로 발전 하여 왔으나 2005년 이후부터 변화가 조금 달라지고 있다. Application에 관련된 공격이 2005년부터 증가를 하고 자동화된 Application Attack이 출현하고 있으며 현재는 복합화된 DDos 공격이 가능한 Agent를 웹 서비스를 통해 유포하는 형태로도 발전이 된 상태이다. Web service의 취약성을 이용하여 2,3차 단계까지 영향을 미치고 있으며 사용자의 PC 단위에 정보를 유출 하는 악성코드의 피해 범주에서 이제는 사용자의 PC를 숙주로 하여 임의의 거대 서비스를 직접 공격하는 DDos 유형으로 발전 하고 있음을 볼 수 있다.

 

전 세계적으로 Botnet에 대한 감시와 주의가 계속 높아지고 있는 상태에서 이와 같은 Web을 통한 DDos 공격 네트워크의 구축은 향후 심각하게 주의를 높여야만 하는 상황이라 할 수 있다. 최초 감지된 공격은 2007년 9월의 국내 아이템 거래 업체에 대한 DDos 공격에서 최초 인지가 된 사안이다. 게임 아이템 거래 업체에 대한 DDos 공격 사례에서 보듯이 웹을 통해 유포된 악성코드가 DDos 공격에 직접 사용이 되는 환경에서는 개인 PC에 대한 보호와 Web Service에 대한 안정성 강화가 향후 에도 주요한 키워드로서 IT 서비스의 발전에 영향을 미칠 것으로 예상이 된다.

 

 

공격자들의 기술 수준과 활용 수준은 시간이 지날수록 복잡화 되고 있고 자동화 되고 있으며 손쉽게 막기 어려운 방향으로 이어지고 있다. 개별 업체에 의해 처리 될 수 있는 범주는 이미 벗어났다고 판단되며 향후 종합적인 대응 방안 수립만이 일정수준의 해결책을 만들 수 있을 것으로 예상된다.

 

 

위의 이미지는 공격 기법에 따른 공격자의 기술수준을 나타내고 있는 챠트이며 기술수준이 예전과는 다르게 인지하기 어려운 기법과 더불어 새로운 방안의 창출로까지 이어지고 있어서 공격자들의 기술수준이 높아지고 있는 것으로 판정 해야만 할 것이다.

Web을 통한 위험의 전파는 향후 Web 환경의 확장과 더불어 증폭 될 것이며 유,무선을 구분하지 않는 전파력으로 서비스에 많은 영향을 미칠 것이다. 또한 2007년 9월에 발생된 아이템거래 사이트에 대한 DDos 공격 또한 Web을 통한 DDos 공격 Agent를 유포함으로써 대규모적인 공격이 가능하였다는 점으로 미루어 볼 때 전체 사용자 환경에 대한 Protection과 Web service 전반에 걸친 안정성 강화는 당장이라도 시급한 화두가 아닐 수 없다. IT 서비스를 주력으로 삼고 있는 기업과 국가라면 더 시급하게 준비를 하여야만 일정 수준의 위험을 경감 시킬 수 있을 것으로 예상된다.

 

- 계속.

Posted by 바다란

http://news.naver.com/news/read.php?mode=LSS2D&office_id=008&article_id=0000718196&section_id=105&section_id2=283&menu_id=105

 

manian 사이트가 해킹을 당해 악성코드 유포지로 활용이 되었다. 해당 사이트를 닫은 이후 재점검 하고 다시 올렸지만 이제는 또 다른 사이트다.. dvdprime ...

 

아무리 말을 해도 들으려 하지 않는자에게는 소용이 없다.

 

공격 기법도.. 또 방어 대책도.. 모두 있음에 하지 않는 것은 아직 피해 및 여파를 모르기 때문일 것이다. 국내 온라인 게임에 대한 해킹이 증가하고 있고 그 원인의 대부분은 사용자 PC를 공격하는 악성코드 때문이라 할 수 있다.

 

1차적으로는 보안상의 취약성을 내포한채 서비스가 계속 되고 있는 사이트가 가장 큰 문제이며 두번째로는 개인 PC의 보안 상태가 취약하여 악성코드가 설치될 수 밖에 없는 개인 사용자의 문제라 할 수 있다.

 

앞으로도 계속될 해킹과 개인 PC에 대한 집요한 공격.. 또 이를 이용한 온라인 게임 계정의 도용 및 유출은 상관 관계를 계속 지닐 수 밖에 없고.. 국내 사이트에 존재하는 다수의 문제가 해결 되지 않는한 이 문제는 내년을 지나 그 이후에도 또 다른 유형으로 나타날 수 밖에 없다.

 

취약성을 이용한 집중 해킹.. 그리고 악성코드 유포 [ 요즘은 링크나 프레임을 찾기도 어렵다.. ] , 그리고 온라인 게임 접속시의 다수 계정 유출 [ 악성코드를 통한 유출이다.]

 

과연 누구의 책임이라 할 수 있을까?. 일단 피해는 게임을 사용하는 유저에게 돌아간다. 그리고 책임은 온라인 게임사에게로 화살이 돌아온다. 과연 이게 정당할까?

 

국내 유명 IT 서비스 기업들은 대부분 해킹을 통해 악성코드가 유포된 적이 있다. 이미 기사화 된 곳들만해도 상당 규모에 달한다.  악성코드를 유포하기 위해 소스를 변조한다는 것은 이미 웹 소스를 변조할 권한을 지니고 있다는 것이고 공격 유형의 특성상 DB에 대한 제어권한을 지닐 수 밖에 없게 된다. 이 말인 즉.. 대규모 사용자의 계정 정보 및 사용자 정보가 이미 대량 유출 된지 오래 되었음을 의미 할 수 있다.

 

현재 중국에서는 악성코드를 유포하여 사용자 계정을 획득하고 넘겨 줌으로 인해 돈을 받는 모델이 성행하고 있다 한다. 사용자 계정 갯수당 얼마 하는 식으로 진행이 된다.

이 고리가 끊기지 않는한 국내의 해킹은 계속 될 수 밖에 없다. 그렇다고 끊을 수 있는 방안도 없다. 그렇다면 무엇을 해야 하는가?

 

지루하고 대규모의 작업이지만 전체 사이트에 대한 보안 점검을 통해 문제점을 수정하고 보완하고 개발자에 대한 교육등이 이루어져야 한다. 또 사용자 PC에 대한 대대적인 안정성 강화 플랜을 세워야만 한다.

 

경찰이 열이여도 도둑 하나를 잡기는 어렵다고 한다. 마찬가지이다. 공격자는 무작위로 대상을 추출하고 막는자는 전체를 다 틀어 막아야만 한다. 과연 이 싸움에서 얼마나 오래 갈 수 있을까?.

 

기나긴 작업이다. 그러나 하지 않으면 안되는 작업이다.

 

-

 

Posted by 바다란

좀 길어 졌습니다.

쓰다보니 중복되는 내용들도 다수 있지만 그냥 올립니다.

 

언제나 그렇듯이 블로그에 올리는 모든 의견들은 제 개인의 의견입니다. 이점 유념 하여 주셨으면 합니다.  이 긴글을 읽어낼 인내심이 당신과 함께 하기를..

 

--

대응

변화를 보라. 변화를 볼 수 없고 느끼지 못하면 도태만이 있을 뿐이다.

 

 

작금의 변화는 언제부터였을까? 지금과 같은 상황은 언제 예견 되었을까? . 전략과 시대를 통찰하는 시각의 부족은 고대부터 항상 있어왔고 지금에도 마찬가지이다. 빠르게 변화하는 세상과 문화의 흐름을 예측하기는 어렵다. 더욱이 지금과 같은 직접교류와 인간과 인간과의 관계가 급속도로 가깝게 연결 되는 시대에는 더 어려울 수 밖에 없다. 현상도 이러할진대 현상에서 촉발되는 많은 문제들 중 IT서비스에 대한 문제와 Security라는 측면에서는 더 큰 어려움이 존재 할 수 밖에 없다.

<?xml:namespace prefix = o /> 

변화를 보려 하고 준비한자는 어디에 있을까?

 

이제 변화의 흐름을 쫓아보자.

작금의 Security 환경의 가장 큰 위협은 전 세계적인 이슈라고 할 수 있다. 세계적인 보안 이슈는 지금까지 Botnet , Phishing 으로 인한 대규모적인 악성 시스템 그룹의 운영과 사기에 초점이 맞춰져 있었다. 거기에 최근 2~3년 사이에 악성코드가 결합한 형태가 나타나서 새로운 흐름이 만들어 지고 있다. 전 세계적인 이슈는 세계 평균적인 서비스의 발전에 따라 나타난다. IT서비스의 발전이란 접점의 확대 ( 이른바 다양한 UCC를 통해 사용자와 교류하고 소통하는 Web 2.0 의 현상이라 할 수도 있다.) IT 인프라의 발전과 발맞추어 나아간다고 할 수 있다. 인프라의 밀집과 고가용성 상태로 보면 세계 최고 수준을 유지하고 있는 한국으로서는 선도적인 서비스 문화들이 많이 발생 하였고 이를 통해 온라인 게임이나 사용자와 교류하는 Web 2.0 모델의 할아버지 격이 될 수 있는 서비스들이 다수 출현되어 현재도 활발하게 서비스 중인 상황이다.

 

세계의 발전도 인프라의 고가용성으로 나아가며 사용자와의 교류가 높아지는 서비스가 주류를 이루어 가고 있다. 점차 Security에 대한 위협도 세계적인 이슈가 될 수 밖에 없다.

 

한국에 최초 출현한 위협들은 악성코드에 대한 위협과 Web Application에 대한 직접 공격을 들 수가 있고 이 위협들은 여전히 현재 진행형이다. 2005년에 최초 출현한 위협들은 이후 확대되어 세계적으로 퍼지고 있는 상황이나 한국만큼 악성코드의 유포 및 활용성이 높은 곳은 아직 미비하다. 향후 몇 년간 전 세계 IT 서비스 부분에 대해 명확한 이슈로 등장할 것이며 그 근본에는 대표적으로 중국이 등장 할 것이다.

 

왜 이런 예상을 하는지 잠시 최근의 근거를 살펴보자. 드러난 것은 전체의 1/10도 되지 않는다는 점에 염두를 두고 살펴 보면 된다.

 

http://blog.naver.com/p4ssion/50002005359  2006 2월에 작성한 글에서 향후 위험성에 대해서 의견 피력을 했고 지금은 1년이 휠씬 더 지난 상황이다.

 

처음 중국으로부터의 해킹 분석을 한 것이 2002년 이였고 이후에도 간헐적으로 의견 제시를 했었지만 지난해 초에는 세계적인 이슈가 될 것이라는 전망을 하였었다.

 

현재는 커뮤니티 문화 및 인터넷 문화가 확산되어 금전 거래 및 문화로도 연결이 된 우리 나라에 대해서만 피해가 크게 보이지만 인터넷 문화의 확산에 따라 유비쿼터스 환경의 빠른 확대에 따라 세계 각국으로도 중국의 공격은 유효하게 발생이 될 것입니다.  본문중

 

본문중에서 발췌한 내용이며 해당 내용의 유효성이 얼마나 실현 되었는지 2007 9월 이후에 언론에 나타난 흔적들을 통해 한번 되새겨 보자.

 

 

 

http://news.naver.com/main/read.nhn?mid=etc&sid1=104&mode=LPOD&oid=001&aid=0001799299  ( 중국내에서도 심각한 문제가 되고 있음을 볼 수 있습니다. )

 

http://www.donga.com/fbin/output?n=200709210153 ( 해킹 동향에 대한 일반론)

http://news.naver.com/news/read.php?mode=LSD&office_id=001&article_id=0001752161&section_id=102&menu_id=102 (뉴질랜드 정부기관 해킹 관련 보도)

http://weekly.hankooki.com/lpage/business/200709/wk2007091012524537060.htm  (펜타곤 및 미 정부망 해킹 관련 보도)

http://news.mk.co.kr/news_forward.php?no=481939&year=2007 (프랑스 총리실 해킹)

http://news.naver.com/news/read.php?mode=LSD&office_id=003&article_id=0000553689&section_id=104&menu_id=104  (,,영국 해킹 관련 보도)

http://www.ytn.co.kr/_ln/0104_200709051801337415

 

 

 

간략하게 20079월 이후 기사화 된 것만을 추려도 위의 항목과 같이 나타나고 있다. 대부분 피해 사실을 숨기고 공개적으로 언급하기를 극도로 꺼려 하는 점을 감안하면 각국 정부의 반응은 예상을 넘어선다. 이 것은 예상을 넘어선 피해가 존재 한다는 의미와 동일하다 할 수 있다.. 가장 처음의 링크를 주의 깊게 볼 필요가 있다. 현재 발생되는 사이버 테러의 가장 큰 피해자는 중국 스스로이며 정보를 가장 많이 얻기도 하지만 가장 많은 공격의 대상이 되기도 한다. 그러나 기질상 금전과 과도한 국수주의 기질로 무장한 공격자들에게 대외적인 이슈가 발생 한다면 국가적인 혹은 산업적인 적대 대상에 대해 집중적인 공격이 발생 할 수 있다. ( 국가망에 대한 공격은 Zeroday Attack이 주로 이용되며 MS Office 계열의 문서를 활용한 백도어류가 주류를 이루고 있다. 백도어의 행위가 매우 지능적이고 찾기가 어려움에 따라 향후 강도 높은 주의가 필요한 부분이다.)

 

Security의 패러다임은 계속 변화하고 있다. 장기간의 변화 방향을 짚기는 어려워도 1~2년 정도의 변화는 누구나 손쉽게 짚어 낼 수 있다. 지금까지의 패러다임을 주관적으로 한번 보면 다음과 같다.

 

모두 2000년 이후의 변화만 기술한 내용이다. 그 이전의 변화는 지금의 흐름과 관계가 없으므로 언급할 필요가 없고 network 단위의 웜의 최초 출현과 그 이후의 변화를 주로 살펴 보면 된다.  Worm이 발생 부분은 전 세계적으로 동일하게 발생 하였고 이후의 Botnet으로의 진화와 변화도 세계적인 흐름이지만 이후의 Web을 통한 Pc의 공격은 중국에서 단연 주도하고 있는 상황이다.  물론 그 이전에 Application에 대한 Attack 흐름은 나타났으나 실제 피해를 입히는 영향도로 보아서는 Web서비스를 통한 악성코드 유포 이슈가 단연 높다고 할 수 있다.

 

Worm 발생 이전에는 격리의 단계에서 이후에는 보호단계로 진입하고 지금에 이르러서는 불특정 다수의 PC환경 까지도 보호해야만 되는 그런 상황으로 나아간다. Web을 통한 전파 가능성만큼 확실하고 대규모적인 악성코드 설치가 가능한 환경도 존재하지 않는다. 따라서 향후에도 Web을 통한 악성코드 전파 및 유포 행위는 전 세계적으로 이슈가 될 것이며 단지 한국의 상황은 조금 빨리 부딪힌 것뿐이다. 위기 상황은 기회를 만들기도 한다. 그러나 정작 국내의 보안산업은 위기 상황에서 어떤 고민들을 했나? 창조적인 준비, 역동성, 열정 이 모든 것들이 결합되지 못하였고 근 미래조차 예상 하지 못하는 근시안적인 판단으로 지금까지 버텨왔다고 보는 것이 필자만의 개인적인 생각일까?.

 

최초 서비스는 많으나 최초의 창의적인 제품들이나 보안 서비스들은 어디에 있을까? 이처럼 독특한 위협들을 몸으로 겪으면서 보안이라는 산업 자체는 최소한 한국 내에서는 위기를 맞게 되었을 것이다. 현업의 서비스 담당자들 보다 떨어지는 실무경험으로 무엇을 가이드 할 수 있단 말인가?  더 이상 정보의 가치는 없다. 누구나 접근 가능하고 취득이 가능한 정보는 그 가치를 잃고 만다. 경험으로 체득한 지혜만이 혜안을 밝힐 수 있으나 그 경험을 누적 시키지 못하고 인재를 양성하지 못한 대가는 향후의 방향성을 가름하게 될 것이다. 세계적인 IT 회사들이 왜 보안에 집중을 하는지 또 끊임없이 인력 확보를 위해 노력하는 지에 대해서 진지한 성찰과 고민이 필요한 시점이다.  단일화된 시장이 될 수 밖에 없는 Global IT 서비스에서 지역적으로 성장 할 수 있는 기회는 더 이상 존재하지 않을 것이다. 위협은 Global로 다가오는데 눈을 뜨지 않은 자가 어찌 대응 할 수 있을 것인가? 단지 생명 연장을 조금 더 오래할 뿐이며 그 명운은 이미 판가름이 났다고 할 수 있다.

 

개인적으로 위와 같은 예상에 대해 뼈아프게 생각 하지만 이미 오래 전부터 실무에서 부딪히며 의견을 제시하고 방향성을 제시한 적이 있으나 들으려 한 곳은 없다. 지금이라도 좀 더 큰 방향성을 보고 와신상담 하기만을 바랄 뿐이다.

 

 

잡설이 길었다. 다시 최종적인 IT 서비스를 위한 보호 제안에 접근해 보자.

 

현재의 IT서비스가 지닌 위험을 정리하면 큰 목차는 다음과 같이 정리가 된다.

 

1.       웹서비스를 통한 악성코드 유포

2.       악성코드를 이용한 DDos 공격 ( IDC , ISP , 대규모 Service Provider 등 모든 부분 영향)

3.       Zeroday 위험 ( 신규 백도어를 이용한 정보 절취 및 기간 서비스 위험)

A.       기간 서비스 부분은 http://blog.naver.com/p4ssion/50001878886 Article Scada & DCS 시스템의 위험요소를 참고

B.       신규 백도어를 통한 리모트 컨트롤 및 정보 절취는 국가전략적인 차원에서도 매우 중요한 위험요소라 할 수 있다.

4.       Botnet ( IRC Botnet과는 차별화된 HTTP를 이용한 Malware net이 향후 위험요소가 될 것이고 이번 아이템 거래 업체에 대한 DDos 유형도 Malware net이 사용 되었다고 할 수 있다.)

5.       웹서비스 자체의 취약성 ( 1,2 항의 근본 요인으로 지목한다.)

 

다섯 가지 정도로 큰 위험성을 잡을 수 있으며 이중 1,2,5 항에 대해서는 시급한 대응 방안이 고려되어야만 한다.  Zeroday 위험은 계속 존재 하는 문제이며 1,2,5 항에 대해서는 보다 더 적극적인 대책이 진행 되지 않는다면 IT서비스 차원이나 국가 전략 차원에서 문제가 될 사안들이 지금 보다 더욱 많아 질 것이다.

 

주된 항목에 대해 하나하나 짚어 보면 다음과 같다.

 

< 웹서비스를 통한 악성코드 유포>

 

위의 이미지는 웹서비스를 통한 악성코드 유포에서 문제 부분을 정리한 내용이다. 각 표시부분별로 대책 부분을 정리한다.

 

1.      웹서비스 사이트

 -> 웹 서비스 사이트 부분은 대부분의 웹서비스가 URL 인자에 대한 validation check를 하지 않음으로써 발생하는 문제이며 대부분 SQL Injection을 이용한 권한 획득이나 XSS 취약성을 이용한 악성코드 유포로 사용이 되고 있는 점을 들 수 있다. 이 부분에 대한 대책을 위해서는 웹 서비스 URL 전체에 대한 인자들의 유효성 체크를 하여야만 하며 우선 대규모 사이트 혹은 방문자 규모가 일정 규모 이상인 사이트를 대상으로 집중적으로 이루어 져야만 할 것이다. 그래야 웹을 통한 대규모 사용자에게 악성코드 유포를 근본적으로 줄일 수 있다.

 

기본적으로 공격자들은 자동화된 툴을 이용하는 것이 일반적이며 일부 공격자가 직접 조작을 하여야만 하는 취약성들은 서비스 자체적으로 보안 강화를 하는 것 외에는 없다.

악성코드의 유포를 위해서는 소스코드를 변조 하거나 게시물에 악성코드를 첨부 혹은 실행 스크립트 형태로 올려두는 것이 대부분이므로 권한 관리 및 외부에서 직접 권한 획득이 가능한 부분을 확인 하여 차단 하여야만 한다.

현재 한국 내에서 문제가 지속 되고 있는 부분은 Web URL 인자를 필터링 하지 않아 발생하는 SQL Injection 부분이 심각하며 해당 문제의 상세한 내용은 여기를 참고 한다.

http://blog.naver.com/p4ssion/40017941957

http://blog.naver.com/p4ssion/40015866029

부족하지만 위의 Article을 참조 하면 되며 이외에 여러 공개 발표된 문서들이 있으므로 참고 하면 충분한 이해가 될 것으로 판단된다.

 

큰 방향성에서는 전체 웹 서비스에 대한 validation check를 검증 할 수 있는 솔루션이나 제품을 도입 하여 안정성을 강화 하여야 하나 현존하는 모든 웹 Application 보안제품들이 나름대로 한계를 지니고 있어서 대용량 서비스 및 여러 URL을 빠르게 진단하는데 문제를 지니고 있다. 이 부분은 향후 적극 개선이 필요하며 필수적인 부분만을 빠르게 진단하는 경량의 고속 스캐너류를 통해 근본적인 해결을 하는 것이 필요하다.

 

더불어 장기적으로는 프로그래밍 서적이나 개발시의 참고 사항에 보안과 관련된 validation check 부분을 강조함으로써 향후 개발 되는 Application에 대한 안정성을 반드시 확보 하여야만 할 것이다.

 

2.      개인 사용자 PC

-> 개인 사용자 PC 환경에 대해서는 현재의 제한된 유료 사용자만이 영향을 받는 백신 부분으로는 절대적이 한계를 지닐 수 밖에 없다. 웹이라는 매개체를 통해 불특정 다수에게 대량의 악성코드가 유포되는 상황에서 IT서비스 차원에서는 궁극적인 해결책을 모색할 수 밖에 없으며 해외의 온라인 서비스 업체들이 왜 지금에 와서 보안 서비스를 무상으로 제공하는지 염두에 두는 것이 바람직하다.

 

한국은 2005년부터 위기가 시작 되었음에도 불구하고 별다른 움직임 없이 모든 피해를 당할 수 밖에 없었으나 2006년부터는 세계적인 서비스 업체들에도 다양한 문제들이 발견이 되고 있어서 적극적인 대책을 강구 할 수 밖에 없는 부분이다.

아래의 reference를 간략히 참고 하고 더 많은 실례들이 존재함을 알아야 할 것이다. IT서비스 기업의 특정 서비스를 노리고 있는 웜들이 급증 추세에 있는데 IT서비스 기업으로서 취할 수 있는 대응 방안은 무엇이 있을까? 서비스를 사용하는 모든 사용자들에게 피해가 가지 않도록 하는 방안은 무엇일까?. 결론적으로 서비스를 보호하기 위해서는 빠른 업데이트 및 서비스에 대해 특화된 대응이 가능한 보안서비스를 선택 할 수 밖에 없다.  보안 서비스는 이제 IT 서비스의 생존을 위한 필수적인 요소가 되었지만 아직 국내에는 갈 길이 멀었다. 가장 큰 피해를 입었고 현재도 입고 있음에도 불구하고 아직 갈 길이 너무나도 멀다.

 

서비스 전체 사용자 및 산업적인 차원에서 대규모 보안성 강화 노력이 절실히 필요하며 대응 방안은 이미 글속에 있으나 개인이 제안 할 수 있는 범위는 아니라 판단되며 향후 주된 이슈가 될 부분이라 보고 있다. 국가적 차원의 IT서비스 경쟁력 강화에 필수적인 부분이 될 것이며 최종 결론 부분에 다시 정리 하고자 한다.

 

Ref:

http://namb.la/popular/tech.html -> myspace application worm에 대한 설명

http://news.softpedia.com/news/The-First-Yahoo-Messenger-Worm-That-Installs-Its-Own-Browser-24366.shtml  -> yahoo 메신저 웜

http://www.crime-research.org/news/20.09.2006/2250/ -> AOL IM worm

 

 

3.      Secure한 전송

 

Secure한 전송은 지난 편의 글에서 제시한 BHO 부분과 연동이 된다. 지금까지는 키보드에서 발생하는 하드웨어 이벤트를 가로채는 키로거등이 주로 사용이 되었으나 해킹툴 차단 및 보안 서비스 사용자가 늘어남에 따라 공격자들 ( 주로 중국 ^^)의 공격 유형이 변경 되었다. 현재 변경된 방식은 BHO 방식을 이용하여 키보드 암호화가 풀리고 SSL 등을 이용한 네트워크 암호화 단계 직전의 Browser가 지니고 있는 값을 유출 시키는 유형으로서 기술적인 대안은 백신과 암호화를 유지하는 것 외에는 없다고 할 수 있다. 여러 번 언급 하였지만 신규 악성코드를 만드는 것은 매우 쉬우며 빠르다. 그리고 대응은 더디다. 유출된 정보는 이미 정보로서의 가치를 상실하고 사용자의 개인정보를 통한 추가 침입에 이용될 뿐이다. 따라서 가장 근본적인 대안으로 End To End 단 까지 이어지는 암호화를 연결 시키는 것이 필요하며 가장 완전하게는 키보드 보안에서 암호화 된 것이 직접 서비스 서버로 전달이 되고 해당 서비스 서버에서 복호화가 되는 유형을 진행이 되어야 해결이 된다. 최소한 Browser 단위에서 평문으로 전환되고 SSL로 전송되는 문제는 피해야만 한다. 평문 전환 시점을 노리는 악성코드는 지금도 날마다 만들어진다.

 

SSL ( Secure Socket Layer)은 전송 단계에서의 보호를 의미하나 스니핑이나 중간 네트워크 트래픽을 가로채어 정보를 절취하는 유형은 거의 찾아보기 어려운 형국이다. 따라서 새로운 패러다임에 맞게 보호 수준을 높일 필요가 있고 세계적인 흐름과 동일하게 하향 평준화 되어서는 안될 것이다. 아직도 SSL 만으로 보안이 다 된다고 생각 하는 곳은 인터넷 서비스로 말하자면 석기시대 사고 방식이라 할 수 있을 것이다.

 

 

이상으로 웹서비스를 통해 유포되는 악성코드의 흐름과 이에 대한 대책을 간략히 설명 하였다. 그럼 이번에는 올해 하반기에 새로 등장한 Hybrid DDos 관련된 이슈에 대해서도 알아보자.

 

<DDos 공격과 관련된 이슈>

각 문제 지점에 대해서는 붉은색 원으로 별도 표시가 되어 있다. 여기에서 1,2번 항목은 앞서의 악성코드 유포 이슈와 동일한 부분이다.  틀린 점은 3,4번 항목이 되며 3번 항목은 과도한 트래픽이 몰리는 것을 의미하고 4번 항목은 중간 명령 전달 서버가 된다. 설명이 필요한 부분과 대책이 필요한 부분은 3,4번 항목이다.

 

3. 과도한 트래픽의 집중

       -> 특정 서비스 대역으로 과다한 트래픽이 정형화된 패턴이 없이 집중 될 때 IDC나 서비스 제공자 입장에서 대응 할 수 있는 부분은 그리 많지 않다. 단 시간내에 집중 되는 경우에는 장비의 증설 및 트래픽 우회로 커버가 가능하나 지속적으로 증가하는 유형에 대해서는 마땅한 해결책이 없다. 전체 서비스 구역을 보호하기 위해서 대상이 되고 있는 서비스를 서비스 항목에서 제외 ( DNS 리스트에서 삭제 ^^) 하는 것 외에는 특별한 대안이 없다고 본다.

대응을 하기 위해서는 긴밀한 협력이 필요하며 협력은 개인 PC 단위의 보호를 진행하는 백신 업체등과 연계가 필요하다. IT 서비스 프로바이더 입장에서는 근본 원인 추적을 위해 정형화된 패턴 방향을 찾을 필요성이 있으며 지속적인 유형에 대해 정보 제공이 이루어져야만 한다. 또한 일시적인 시점에 급격하게 늘어나는 DNS 쿼리등을 주시할 필요성이 있다. ( 이 부분에 대한 모니터링을 피하기 위해 명령 전달을 위한 경유지 서버를 사용한 것으로 추정됨) Botnet 등의 탐지를 위해서도 특정 IRC 서버나 채널 혹은 서버군으로 다수의 쿼리가 몰릴 경우에는 일시적으로 주의 수준을 높이는 것이 필요하며 방향성을 예의 주시 하여야 한다. 기존의 botnet 등과 연계된 탐지에는 효율이 있을 것으로 판단되며 이번에 새로 발견된 유형에 대해서는 제한적인 효과를 지닐 수 있을 것으로 보인다.

 

정보의 폐쇄적인 활용은 피해를 더 크게 만들 뿐이므로 유관기관과의 긴밀한 협력을 통해 공격 대상 IP 및 공격 서비스, 주요 패턴 등에 대해서 상시적인 교류가 필요하다. 경우에 따라서는 공격을 진행하는 클라이언트 파악도 필요할 것으로 예상이 된다.

 

장기적으로는 트래픽에 대한 비정상 증가 치 혹은 비정상 패턴을 탐지하는 유형을 목록화 하여 수시로 업데이트 함으로써 위험요소의 사전 판별에 도움이 될 수 있을 것으로 판단 된다. 이유 없는 트래픽 증가는 없으며 비정상 패턴의 증가도 있을 수가 없다.

 

4.      경유지 명령 전달 서버

-> 경유지 서버에 대한 판별에는 어려움이 있다. 이 부분은 실제 개인 PC를 찾아낸 이후 하나하나 단계를 밟아서 경유지 서버를 찾아내는 것이 필요하며 방대한 시간이 걸릴 수 있을 것이다. 그러나 이미 기존에 유포된 악성코드들에 대한 흔적을 찾아 냄으로써 일괄적이고 대규모적인 제거 작업이 일시에 이루어 진다면 경유지 서버에 대한 의미를 줄일 수 있다고 본다.

 

 

전체적으로 사안을 정리한다는 것은 쉽지 않으며 지금과 같은 대규모 이슈에 대해 다양한 부분에 대해 대안을 개인이 생각 한다는 것도 어려움이 있다. 다소 틀린 부분과 잘못된 오류 부분에 대해서는 개인 의견이므로 너그러운 양해를 당부 드린다.

 

세계 모든 국가들이 피해를 입고 있다. 정보를 탈취하여 돈을 획득 할 수 있다면 무엇이든지 할 수 있는 공격자들은 얼마든지 있다. 또한 그들은 스스로간에 정보를 공유하고 공격 가능성을 논의한다. 이에 반해 보안업체 혹은 IT 서비스 업체들은 어떤지를 돌아봐야 한다.

Cyber Terror 혹은 정보 절취를 통한 첩보거래와 실 거래가 동반이 되는 IT서비스에 대한 공격을 통한 금전적인 이득의 취득, 사용자를 유인하여 금전을 취득하는 Phishing등 모든 문제가 연계되어 있다.

 

전 세계 모든 IT 서비스 및 국가가 향후 방향성에 대해서 심도 있는 논의를 해야만 하고 자체적인 준비를 해야만 한다. 국내 IT서비스의 지속적인 발전과 국가 보호를 위한 미래 전략 차원에서 준비를 해야만 될 것이다. 앞으로 IT서비스는 보다 더 생활에 밀접해 질 것이고 생활 상의 모든 것들이 연계 되는 상황에서 우리는 지켜야 할 대상에 대해서 명확하게 지켜야 될 것이다. 그럼 정리하자.

 

< 단계별 대책>

 

각 위험요소로 지적한 부분에 대해 단계별 대책은 무엇이 있을지 확인해 보자. 큰 목차로는 3가지 정도가 있을 수 있으며 3번째 대책에는 몇 가지 소 부류가 있을 수 있다.

 

1. 웹 서비스 보안성 강화

앞으로의 웹은 어떨까? 하는 고민을 먼저 해보자. 사용을 안 하게 될 것인지 아니면 더 밀접하게 사용을 하게 될 것인지.. 2.0이 버블이든 아니든 중요한 것은 사용자와 더 밀접해졌다는 것이 중요하지 않을까 생각 된다.

 

단기- URL 인자별 validation check solution의 개발 및 보급 확대

장기- Secure programming에 대한 awareness 확대 서적, 홍보 및 활용이 가능한 템플릿의 제작으로 장기적인 안정성을 강조

 

웹 서비스의 보안성 강화는 근래 2005년부터 서비스 부분의 화두로 대두되고 있다. 세계적으로 국내 서비스 부분에서 최초(아마도) 발견되고 공식 피해가 확인된 케이스 라고 할 수 있다.

웹서비스의 보안성 강화를 위해서는 지속적이고도 연속성이 보장되는 프로세스가 존재 하여야 하며 이 부분을 해결 하기 위해서는 전문 보안업체나 Security관련 유관기관의 노력이 필요한 부분이다.

더불어 전체적으로 Secure coding에 대한 awareness를 강조함으로써 근본적인 문제 해결을 장기적으로 유도 하여야만 할 것이다. 현재 상황에서의 문제는 URL 인자별 validation check가 가능한 scanner가 몇 종 되지 않으며 그나마 존재하는 솔루션들도 대용량이나 대규모의 사이트에는 부족한 부분이 있다. 다수의 사이트를 일시에 진단하기에도 속도 및 성능 면에서 문제가 있어서 대략 110만여 개 이상으로 추정되는 한국내의 웹서비스들에 대해 일괄적인 대응이나 진단을 수행 하기에는 무리가 있을 것으로 예상된다. 따라서 단계별 진단 및 보안강화 노력이 이루어 져야 될 것으로 보인다.

 

공격자들의 대상이 방문자가 많거나 연관도가 높은 웹서비스를 목표로 하고 있으므로 우선순위를 정해 일정 규모 이상에 대해서는 기준을 만족하는지 점검 하거나 혹은 내부적인 노력을 하고 있는지 정도는 검토 되어야 할 것이다.

 

악성코드의 유포 행위를 모니터링 하는 것도 바람직 하나 근본문제의 수정을 할 수 있도록 원천적인 가이드를 진행 하는 것이 더욱 중요하므로 근본적인 소스 수정이 이루어 질 수 있도록 노력 해야 할 것이다.  Validation 검증을 위한 도구 개발이 현재로서는 절실하다고 할 수 있으며 단기적으로 최선의 노력을 기울여야 될 것으로 판단된다.

 

2. 개인 PC 단위의 보호

 

개인 PC 단위의 보호 관점에 대해서는 명확하게 한 가지를 지적하고자 한다. 악성코드의 전파수단으로 불특정 다수에게 유포 될 수 밖에 없는 웹 서비스가 이용이 되고 있다. 이처럼 불특정 다수에게 무차별적으로 유포가 되는 악성코드에 대한 처리는 체계화 되고 전역적인 대응이 필요하다.

 

지금과 같은 제한된 사용자에게만 제공되는 서비스로는 현재의 위험성을 절대로 막을 수 없으며 정보에 대한 공유 및 위험에 대한 상호 정보 교류가 없이는 향후에도 매우 힘들 것으로 보인다.

 

앞서 IT 서비스 기업들이 서비스를 보호하기 위해 보안서비스를 도입 할 수 밖에 없는 이유에 대해서 간략히 설명을 하였고 향후에도 지속 확대 될 수 밖에 없는 부분이다. PC를 보호하는 AV 업체들은 발상의 전환을 할 필요가 있을 것이다. 전문적인 부분에 대한 대응만을 특화 시키거나 특정 기능의 악성코드 ( MS Office계열의 Zeroday 취약성을 이용한 백도어)의 실행을 근본적으로 막을 수 있는 제품들로 시선을 돌릴 필요가 있다.

 

현재의 악성코드는 시스템을 못쓰게 만드는 바이러스가 아니며 정보 유출과 조정을 위한 도구로서 이용이 되고 있다. 따라서 정보 유출을 막기 위한 부분이 주가 되어야지 시스템을 복원하는 부분이 주가 되어서는 안될 것으로 본다. 물론 복원 하고 치료하는 부분도 반드시 존재 하여야 하는 부분이나 관점을 달리 생각 할 필요가 있다.

 

결론적으로 폭넓은 악성코드 유포 행위에 대한 대응을 하기 위해서는 광범위하고도 체계적인 대응 플랜이 있어야만 한다. 해외의 무료백신을 이용할 수도 있고 아니면 국내의 백신들을 저렴하게 이용하는 방안들도 있을 수 있을 것이다. 개인이 언급하기에는 부적절한 부분들이 있으나 대책은 반드시 광범위한 사용자에게 즉시 영향을 미칠 수 있을 만큼의 파급력이 존재해야 함에는 변함이 없다.

 

공격은 다방면으로 대상을 가리지 않고 발생을 하는데 보호를 하는 대상자는 유료 대상자만 보호하고 그것도 정보 유출 이후에 분석을 통해 보호를 한다는 것은 현재의 위험 상황에 부합하지 않는다.

보안산업의 생존을 이야기 한다. 그러나 서비스가 사라지는데 무슨 보안이 존재 할 수 있을까? 서비스의 생존이 존재해야만 보안이 존재한다. 패러다임의 전환기에 변화를 외면한 보안 서비스들이 IT서비스의 생존에 오히려 장애물이 되어서는 안될 것이다. 지금은 일부 그런 모습으로 비춰지는 부분이 있다. 사용자를 볼모로 잡는 것이 아닌 IT서비스의 생존을 볼모로 잡고 있는 형국이며 종래에는 모든 비난을 받게 될 수도 있을 것이다. 현명한 방향성이 빠른 시일 내에 Security 부분에서 도출이 되어야 할 것이며 그렇지 않을 경우에는 사면초가의 상황에 직면 할 수도 있을 것이다.

 

 

3. DDos 징후 판별 및 Alert 체계

 

DDos 관련된 부분은 모든 대책이 집약 되어야 하는 종합적인 부분이다. 이전까지의 DDos와는 다른 유포 방식부터 경유지 서버의 활용, Hybrid DDos 패턴등 특이하고 특징적인 사안들이 다수 발견이 되는 경우이다.  실제 공격 유형은 올해 초 혹은 지난해부터 이루어 졌을 것으로 보이나 드러나지 않게 소규모 혹은 신고가 어려운 업종에 대해 Ransom 형 공격을 시도 하여 금전적인 이득을 취하였고 지난 9월에는 대규모 사이트에 대해서 집중적인 공격을 시도하여 3주 가량 서비스를 중지 시킨 경우가 발견된다.

 

만약 대규모로 공격을 시도하지 않았다면 대응도 없었을 것이고 또한 이런 대응 방안을 고민 하지도 않았을 것이다. 이제 유형이 드러난 이상 대비책은 준비하여야만 할 것이다. 대비책이 없다면 IT 서비스 전 부분이 영향성을 받을 수 밖에 없을 것이다. 시기는 오래 걸리지 않을 것이다.

 

DDos 징후 판별의 최초 지점은 IDC혹은 Server Farm이 가장 최초 인지가 가능한 지점이 될 수 있다. 그러므로 초기적인 대응이 상당히 중요하다. 특별히 과다한 트래픽을 막을 수 있는 DDos 솔루션의 경우에도 제한적인 효과만을 볼 수 있으며 만약 도입을 한다 하여도 서비스들에 영향을 미칠 수도 있을 것이다.  장비나 설정등을 이용한 DDos 대응 방안은 일정 수준 이하라면 충분한 고려가 될 수 있으나 지금의 공격 트래픽은 장비가 감당할 임계치를 넘는 수준이라서 장비 및 설정을 이용한 대응은 한계에 도달했다고 판단된다.

 

대응은 구조적이고 체계적인 대응 외에는 방안이 없을 것이다. 본문 중에 언급 하였지만 IDC 간의 실시간 위험 정보 교류, 과다 트래픽 발생 지점의 확인, 공격 트래픽의 특징 확인 , 내부 IDC Server에서 외부로 급격하게 증가하는 트래픽의 발견  등등 .. 비정상행위에 대해 모니터링이 가능해야 하며 모니터링 도중 이상 증세 발견 시에는 IDC간의 업무 협조 혹은 분석 및 대응이 가능한 기관과의 빠른 공조를 통해 사전에 위험성을 제거 해야만 한다.

 

이후 악성코드에 의한 영향인지를 판단하고 악성코드의 위험도를 판정한다. 그 이후 악성코드에 대한 업데이트를 대규모 사용자 집단이 존재하는 보안서비스 혹은 국내 백신업계에 업데이트를 요청하여 일괄적으로 차단 할 수 있도록 한다. 

 

더 중요한 것은 전체적으로 해당 패턴으로 감지가 되어 차단된 케이스가 얼마나 되는지 조사를 하여 ( 통계치만 제공되면 되는 수준.) 전체적인 위험 수준을 관리 할 수도 있고 급증한 시기에는 새로운 취약성이 나타났거나 공격 유형이 발생 하여 대비를 해야 한다는 국가나 산업단위의 위험지표를 나타내고 Active한 예방과 대응 활동을 할 수 있다.

 

DDos에 대한 대응과 악성코드에 대한 대응은 현재 본질적으로 동일한 지점에 위치해 있다. 근본적인 원인 제거(Web service application)가 우선 되어야 하며 이후에는 악성코드에 대한 일괄적인 삭제 및 대응이 되어야 (거의 전국민을 대상? ) 피해 규모를 줄 일 수 있고 예방이 가능하다고 본다. 초기 탐지를 위해서는 IDC나 서버군 혹은 네트워크 장비에서의 변화들에 대해서도 일정 기준 이상일 경우에는 반드시 확인을 하여야 하고 사안에 따라서는 유관기관들과 협력하여 분석을 하여야만 할 것이다.  특정 IP나 주소로의 과다한 집중과 Dns 쿼리의 급증과 같은 주요 지표를 나타낼 수 있는 이벤트들에 대해서는 일정수준의 임계치를 주고 강력하게 검토를 한다면 좀 더 빠른 사전 인지가 가능할 것이다. 

 

 

 

전체의 관점

 

 

사전인지 ( 현재로서는 IDC Infra 부분) -> 분석 -> 대응 (악성코드 제거? )

 

사전인지 : 개인 PC에서 사전인지를 한다는 것은 기대하기 어렵다. 다만 IDC내의 서비스나 ISP의 장비 부분에서 특정 동향을 체크하고 검토해야 한다. 일정 트래픽 이상이 발생하는 부분에 대해서도 alert은 가능해야 될 것으로 보인다.

 

분석: 유관기관 혹은 전문가 집단에서 시행을 하는 것이 바람직하며 상시적으로 IDC & ISP와의 정보 교류가 있어야 하며 악성코드에 대한 분석 과 대응 부분에 대해서도 판단이 가능할 정도의 지식을 지녀야 한다. 관련 지식을 통해 ISP& IDC에서 제공된 정보를 분석하고 추적하여 전체적인 위험도까지를 판정 할 수 있어야 한다.

 

대응: 대규모로 유포된 악성코드를 제거하기 위해서는 전역적인 보호 수단이 강구 되어야 하며 악성코드의 유포 방식과 유사하게 거의 무차별적(?)으로 배포가 되는 보호 수단이라야 대응이 될 수 있다. 개인 성향에 따라 다른 문제이나 본인이 보기에는 이 방안 이외에는 대응할 수단이 이제는 없다고 본다. IDC ISP 단위에서 통제를 할 수 있는 범위는 이제는 아니기 때문에 더욱 그러하다.

분석 단계에서 전달이 되는 악성코드 및 위험도에 따라 과감하고 일괄적인 대응을 통해 분석 완료 이후 1~3일 이내에 전체적인 대응이 완료 될 수 있도록 한다.

 

 

단계별로 진행이 되고 최종적으로 대응이 완료 된다면 지금과 앞으로 몇 년간이 될지 모를 근 미래에 발생되는 위협들에 대해서 Active한 대응체제를 완비 하는 계기가 될 수 있다. 아직 전 세계 어디도 해볼 엄두를 낼 수 없는 일이나 현재 상태에서는 최초가 될 가능성이 가장 높다.  앞으로 시간이 지날수록 경쟁력이라는 측면은 좀 더 다르게 보아야 될 때가 올 것이다. 전체적인 위험요소를 얼마나 빨리 제거하고 체계적으로 대응을 하느냐에 따라 세계적인 위험요소로부터 빠르게 회복하고 보호 할 수 있는 유일한 방안이다.

앞으로 점점 더 인터넷이나 네트워크와 연결이 더 복잡해 지고 생활과 밀접한 관계를 맺을 것은 분명하며 거부 할 수 없는 흐름이다.  경쟁력은 무엇인가 고민이 필요하다. 제품을 만드는 것만이 경쟁력은 아니며 이제는 지키는 것도 또 체계화 하는 것도 경쟁력이다.

 

만약 이런 대규모적인 대응이 가능한 체제가 이루어 진다면 보안 서비스 업체 및 ISP 그리고 IT 서비스 업체 모두에게 새로운 기회가 될 수 있고 사업 모델 혹은 비즈니스 모델이 새로 탄생 할 수 있을 것이다.  이제 공격자들과 공격기법에 대응을 하기 위해서는 체계적이고 유기적이며 거대한 대응 체제의 필요성을 고민 해야 할 때다.

 

 

지금 사막의 어디쯤을 걷고 있는지 별을 바라봐야 하지 않을까?

 

 

 

 

Posted by 바다란

p4ssion is never fade away. 

눈에 보이지 않는다 하여 없다고 하는 것은 지혜와 노력의 부족함을 탓해야 할 것이다.

 

중국발 Abusing

 

오로지 금전적인 이득을 목적으로 하는 악의적인 크래킹에는 지금까지 관찰된 바에 의하면 크게 두 가지 유형이 존재한다. ( 권한 획득 및 개인정보 거래 등의 번외로 한다.) 하나는 악성코드 유포를 통한 개인정보의 획득이며 또 다른 하나는 DDos 공격 협박을 통한 금전적인 이득의 추구이다.

 

중국발 해킹은 본래 개인정보 ( ID/ Password) 확보를 목적으로 하였으며 그 목적을 달성 하기 위해 사용자가 많은 사이트를 해킹 ( Web Application의 취약성을 이용 : 80% , File upload 등의 일반적인 취약성 20% 정도로 예상 2005년경부터 Web App 관련된 취약성을 이용한 공격이 급증하고 일반화됨) 하여 악성코드를 유포하는 형태로 변경 되었다. 악성코드를 일반사용자에게 유포하여 개인 사용자가 특정 게임 사이트나 금융 사이트에 접근 하여 개인정보를 입력할 경우 입력된 개인정보를 유출 하고 공격자는 유출된 정보를 활용하여 이득을 얻는 구조로 일반화 되어 있다. 해당 유형은 2005년 상반기부터 국내에 만연된 유행으로서 국내의 대부분의 서비스들이 공격 시도 혹은 공격에 대해 피해를 입었을 것으로 유추된다.  (ref: http://www.ytn.co.kr/_ln/0103_200710091932264788 )

기사 참조에서 보듯이 국내의 많은 서비스들이 지금도 여전한 피해를 입고 있으며 해당 공격 유형은 Web URL의 인자 각각에 필터링이 부족한 점을 이용하여 Database에 명령을 실행 시키는 것과 같은 행위를 유발한다.

( 기법에 대한 이해를 위해서는 여기를 참조 http://blog.naver.com/p4ssion/40017941957

http://blog.naver.com/p4ssion/40015866029 하면 된다. 시일이 지난 것이나 현재 일어나고 있는 Application 공격에 대한 이해로는 충분할 것이다.)

 

<악성코드 유포 이미지>

위의 이미지는 일반적인 개인정보 획득을 위한 악성코드의 전파 과정을 도식화 한 것이다. 최근에는 Zeroday 공격도 동일 연장선 상에서 악성코드화 되고 있으며 올해 3월에 발표된 Ani cursor ( 윈도우 전 제품군에 해당 )에 대한 취약성도 패치가 발표되자 마자 악성코드가 국내에 유포되는 실례도 존재 한다.  즉 보안 패치의 속도를 넘어서는 형태로 공격이 우위에 있는 것이며 현재에도 새로운 취약성들이 악성코드의 전파 유형에 따라 계속 응용 되고 범위를 확장한다고 볼 수 있다.

 

개인 사용자의 ID/ Password 정보를 유출하는 부분도 지난 몇 년간 발달이 되어 왔는데 기존의 Key logger등을 이용하는 고전적인 방법에서  ( 이 부분은 Keyboard 보안의 일반화로 인해 변화된 것으로 추측 된다.)  IE BHO 후킹과 같이 브라우저 전송단계에서 평문화된 ID/ Password를 가로채는 영역으로 변경이 된 상황이다. 즉 하드웨어 이벤트나 네트워크 전송단계에서 정보를 가로채는 것이 아니라 브라우저 상에서 정보를 획득하는 유형이며 현재 언론 등에 악성코드 유포와 관련된 기사에서 언급되는 대부분의 개인정보 탈취용 악성코드가 이에 해당이 된다.    BHO 영역이라는 부분은 IE에서 제어하는 부분( IE Browser Extension)으로서 Keyboard 보안 -> IE  -> SSL 과 같은 일반적인 보호 영역중 IE 부분을 이용하는 것으로 어떤 키보드 보안 솔루션이라도 사용자 입력을 암호화한 이후 Site로 전달되기 직전에는 암호화를 풀고 평문으로 변환하여 브라우저에 탑재를 한 이후 SSL로 전달 하여야만 한다. BHO 영역에서는 브라우저의 이벤트 (페이지 이동 등등)를 모니터링 함으로써 개인정보를 획득 할 수 있다.

<BHO 영역의 악성코드 개요>

현재 발견되는 개인정보 탈취용 악성코드의 다수는 IE BHO (Browser Helper Object) 영역에서 개인정보를 가로채는 유형으로 키보드 보안솔루션으로 암호화된 데이터를 최종 단계까지 ( Server 영역) 받지 않으면 해결이 되지 않는 문제라 할 수 있다. 인증서와 결부한 암호화 전달 방안도 대안이 될 수는 있을 것이다.

20079월에만 발견된 악성코드의 수는 500여 개 이상이며 이중 20% 이상이 BHO 영역에서 개인정보를 탈취하는 유형이라 할 수 있다.

( Ref:  http://www.krcert.or.kr/statReportNewList.do  2007 9월 통계 분석월보 참고)

 

물론 발견된 수치는 신고 또는 모니터링에 의해 확인이 된 수치만을 언급한다. 올해에만 2000여 개 이상의 브라우저 영역에서의 정보 획득을 위한 악성코드가 발견이 되었으나 근본적인 대책 마련은 어려움이 따른다. 보안패치로는 악성코드의 감염 및 설치 단계를 예방 할 수 있으나 Zeroday 공격유형에는 ( 07.3월의 ani cursor vulnerability) 대안이 없으며 백신은 알려진 악성코드가 아니면 처리가 될 수가 없다. 더불어 최근에는 악성코드 제작자들도 기본적인 백신들에 대해 탐지 여부를 확인하고 탐지가 어렵도록 제작하는 것이 일반적인 추세여서 어려움이 존재한다.

 

이런 유형의 개인정보 탈취 악성코드의 출현은 2005년부터 볼 수 있는데 2년이나 지난 지금까지 어떤 해결책들이 제시 되었는지 살펴볼 필요가 있다.  존의 바이러스들은 사용자의 PC에 영향을 미쳤으나 개인정보 탈취 유형의 악성코드는 온라인 상의 활동에 영향을 미친다.  사용자의 PC에 영향을 미치는 것은 이후에 처리를 하면 복구가 되지만 어디 온라인 상의 활동도 복구가 되는가?  계정 정보는 다 유출되고 난 이후에 악성코드들이 분석되어 업데이트 된들 어디에다 쓸 수가 있을 것인가 의문스럽다. 악성코드는 날마다 갱신되어 나오고 심지어 시간대 별로 다른 유형의 동일 악성코드가 출현 하고 있는 상황에서는 어려움은 가중이 되고 정보가 업데이트 된다고 한들 자사 제품에만 갱신이 되고 있다.

 

DDos 관련된 공격 유형에 대한 분석은 언론 기사에 나온 정보 및 주변 정보를 종합해 보면 다음과 같이 도식화 하는 것이 가능하다.

<DDos 공격 유형의 분석>

위의 이미지에서 보듯이 중간 경유지 및 개인 PC에 대한 권한을 제어 하는 부분까지 추가된 것을 제외하고는 악성코드 유포를 통한 개인정보 획득과 비슷한 유형으로 정리가 된다.  개인 PC를 좀비 PC로 만들기 위해 기존에는 윈도우 관련된 취약성을 이용하여 Bot을 설치하는 유형으로 이루어 졌으나 DDos 경우에는 웹을 통한 악성코드 전파가 동시에 사용이 된 것으로 파악이 된다. 전 세계적으로도 주목해야만 될 변화이다.   또한 국내적으로는 음성적인 IT 서비스 부분에 대한 공격은 어느 정도 좌시 될 수 있었으나 이젠 표면적으로 드러난 움직임을 보였다는 점에 있어 강력한 대응정책 적용이 필수적인 사안이다. 아마 공격한 자들도 이 정도의 효과를 볼 것이라고는 ( 대규모 복수 사이트의 3주 이상의 무력화) 생각지도 못했을 것이기에 또 다른 유형으로 사고를 전환하여 기관망에 대한 공격도 발생 할 수 있을 것이다. 고도화된 IT 서비스망은 항상 위험에 노출 될 수 밖에 없다. 그리고 대응방법도 새로운 방식의 대응 방안들이 항상 고민 되어야만 하는 부분이다. 지금의 우리 현실은 어떠한지 되돌아 볼 필요가 있으며 정리가 필요한 부분이다. 향후 DDos와 연계 되어서 나올 부분으로는 중국으로부터의 공격에 근래에 자주 사용되었던 ARP Spoofing도 향후 자주 사용이 될 것으로 보인다. 만약 아이템 거래 사이트들 전체를 마비 시키고 부분적인 Gateway DNS에 대해 ARP spoofing을 시도하여 아이템 거래 사이트를 위장한 임의의 사이트를 제작하였다면 그 피해는 얼마나 될까?  악성코드의 확산을 위해 Arp spoofing 기법을 사용하였으나 이제는 대규모로 spoofing 시도가 가능할 수도 있을 것이다.

( ARP Spoofing에 대한 공격은 krcert의 자료를 참고하면 이해가 높다.

http://www.krcert.or.kr/unimDocsDownload.do?fileName1=IN2007003.pdf&docNo=IN2007003&docKind=3 )

 

현재 가장 이슈가 되고 있고 향후에도 영향성을 미칠 두 가지 Fact에 대해 지금까지 Security분야에서는 어떠한 대응을 하였을까?

 

먼저 개인정보 탈취형 악성코드 부분.

BHO 영역을 공격하는 악성코드 부분은 신고된 악성코드에 대해서만 제한적인 업데이트만 이루어졌으며 공격코드의 발전을 따라 가지 못했다. Security라는 측면은 근본 원인제거가 가장 중요하나 BHO 영역에서 후킹을 통해 정보를 가로채는 유형에 대해서는 근본적인 대책자체가 불가능한 상황이다. IE의 구조 자체를 변경 하기 이전에는 계속되는 위험에 노출 될 수 밖에 없으며 대책을 진행 하는 부분도 인증체계 자체를 변경하지 않는 한 위험은 계속 될 수 밖에 없다.

 

신규 악성코드를 만드는데 공격자는 매우 짧은 시간에 생성을 하고 대응하는 측면에서는 시간적인 여유가 있어야만 대응이 가능하다. 즉 온라인 상에서 정보 노출이 이루어 지고 난 뒤에야 해결이 가능하다는 측면이다. 인식의 전환이 절대적으로 필요한 부분이다. 파일에 대한 복구나 시스템에 대한 복구의 측면이 아닌 정보의 절취를 막기 위한 부분이라는 관점에서 접근을 하여야만 한다. 이 측면에 대한 대책 부분은 다음 Article에서 제시 하도록 한다.

기존의 보호라는 측면이 시스템에 대한 보호가 아닌 온라인 상의 정보보호라는 측면에서 지금까지의 대응 속도가 매우 늦고 효과가 매우 제한적 이였으며 그로 인해 피해는 계속 되고 있는 것이다.  Security라는 산업 자체가 존속하기 위해서는 산업의 요구를 미리 선점하고 이해하여 그에 필요한 요구를 제시 할 수 있어야만 한다. 과연 이러한 유형의 악성코드가 출현한 이후 역할이 적당하였는지 심각하게 고민할 필요가 있다.

 

더불어 악성코드의 유포와 관련된 웹서비스의 취약성에 대해서도 근본적인 대책 수립이 부족한 부분이 존재한다. 원인제거의 역할로 SDLC (Secure Development Life Cycle)를 강조하나 변화가 빠른 웹 Application의 개발현황에 적용 하기에는 매우 더디고 느린 흐름이라 할 수 있다. 강조되어야 하는 부분은 맞으나 장기적인 로드맵을 가지고 움직여야 하며 단기적인 효과는 매우 부족한 부분이라 할 수 있다.

 

과도한 트래픽을 전송하는 DDos 의 경우 현재의 네트워크 장비와 산발적인 노력으로는 한계에 부딪혔으며 모든 문제가 연결되어 발생이 되고 있다. 네트웍적인 현상만으로 대책을 수립하기에는 한계에 도달 하였으며 근본 원인제거 및 일시적이고 체계적인 대응으로 문제의 원인과 악성코드들의 제거만이 해결책이 될 수 있다. Hybrid DDos의 경우 정상 트래픽 위장도 매우 손쉬우며 정형적인 패턴을 찾기가 어려울 수가 있어서 네트워크 장비 단위에서는 처리가 매우 어려울 것으로 보인다. 비정상 패턴을 탐지 하는 것 조차 어려움에 도달 한 상황이라 할 수 있다.

 

 즉 개별 보안 산업의 노력으로는 한계에 도달 하였다고 볼 수 있다. 원인제거 + 초기 감염 탐지 + 대응 + 트래픽 이상 유무 판단  등과 같은 Action들이 동시적이고 대규모로 이루어 지지 않으면 지금의 상황은  대응이 불가능한 상황이다.

 

 

창의적인 노력이나 고민은 어디에 있었을까? 현상을 지배할 만한 창의적인 노력은 어디에 있었을까?. 당장 내일의 매출을 고민하는 것도 중요하지만 연구와 치열한 고민이 부족하였다. 인력 부족은 늘 상 언급 되는 것이지만 상반되는 각고의 노력이 없는 일상적인 불만이나 고민은 사소하게 치부될 따름이다. Security라는 측면에서 IT서비스를 보호하기 위해 얼마나 많은 노력을 하였는지 냉철하게 되짚어 볼 필요성이 있다.

 

SQL Injection이나 XSS 취약성을 막기 위해 Web 보안 장비를 도입을 한다. 그러나 여러가지 방안에 의해 우회가 계속 되고 있고 새로운 유형의 문제들이 계속 발생이 된다. 지금의 Wild network 현장은 2000년 이전의 정형화된 패턴의 문제들이 존재하는 환경이 아니다. 지금의 환경은 다양한 웹 솔루션의 개발과 환경의 발전으로 다양한 매개체와 환경을 종합하고 분화하며 또 새로운 부분을 만들어 낸다. 즉 문제도 매우 빠르게 진화하는데 고정적인 패턴만으로는 금새 한계에 부딪힌다.

 

개인정보의 유출을 막기 위해서는 노출되는 요소를 줄이는 것도 중요하지만 기술적인 부분에서 큰 방향성을 잡고 세부기술로 적용하는 것이 필요하다. 현상만을 바라 보는 것은 기둥도 없는데 큰 비를 막고자 지붕만 올린 상황이다. 기둥이 중요하다. 지금 국내의 정책 현실은 어떠한지도 되돌아 볼 필요가 있다. 비가 가랑비라면 다행이나 가랑비가 아닌 폭우가 내리는데도 기둥 없는 지붕만 수선을 하고 있지는 않은지 느껴야만 될 것이다.

 

 

정보와 지식을 공유하고 또 하나의 실제와 연계된 생활이 이루어 지고 있는 현재의 IT 서비스는 개인정보 유출을 위한 악성코드와 IT 서비스를 직접 위협하는 DDos 공격 유형으로 인해 압박을 받는 형국에 처해 있다.  이제 살릴 수 있고 보호 될 수 있는 큰 그림은 무엇이 있을지 짚어 보도록 하자.. 계속.

 

 

 

Posted by 바다란

안녕하세요. 바다란입니다.

 

전체적인 이슈 사항이 의미있고 중차대한 부분을 지니고 있어서 올리게 되는 글입니다.

개인적인 의견이므로 개인적인 의견으로 참고하시고 의견 주시면 되겠습니다.

 

IT 서비스 보호를 위한 개인 제안 -1

                                                                  Write by p4ssion.

지금의 IT 서비스는 사회 전반에 걸쳐 많은 영향력을 끼치고 있으며 생활상에 있어 지대한 영향을 미치고 있다. 모든 공공서비스 및 생활 관련된 부분에 영향을 미치고 있으며 또한 시너지 효과를 냄으로 인해 사회의 발전과 프로세스의 개선, 국가의 발전에 큰 기여를 하고 있다고 볼 수 있다. 유형/ 무형의 IT 서비스 부분에서 지금까지 가장 크게 강조된 부분은 유형의 물리적인 장비 부분이 두각 되었으나 지금도 모습을 갖추고 있는 서비스로서의 발전 부분은 향후 더욱 큰 역할을 할 것이 자명하다.

 

IT 서비스의 보호라는 관점이 왜 지금 시점에 중요한 것일까? 국내의 서비스는 시간이 지날수록 IT 서비스와 밀접한 관련을 가지게 되고 사회적으로도 더 큰 영향력을 미칠 수 밖에 없다. 단순하게 공격을 받거나 영향을 받는다는 점은 하나의 개별 서비스가 문제가 되는 것이 아니라 연관된 다른 부분들까지도 영향을 받는다는 것과 동일선상에서 볼 수가 있다.  지금까지는 보안전문 업체 및 네트워크 장비, ISP 등에서 많은 취약요소와 문제점들을 커버 하였으나 지금 서비스 보호를 위한 제안을 하는 시점에서는 한계치에 도달 했다고 판단된다. 한계치라는 것은 개별 서비스 단위에서 보호를 할 수 있는 시점이 아니라는 점이다.

 

국내의 110만여 개 이상의 웹 서비스가 활성화 되어 있고 전국민의 2/3 가량이 인터넷에 노출이 되어 있는 상황에서 시급하게 해결을 해야만 하는 문제들이 돌출 되고 있으며 초기 단계에서 해결 방안을 수립 하지 못할 경우 향후에는 더 큰 피해를 감당해야만 할 것이고 그때에는 지금 보다는 더욱 큰 충격이 있을 것으로 예상이 된다.

 

개인적인 입장에서 현재 발생 되고 있는 Security 관련 이슈들은 중대한 국면에 진입 하였으며 IT 서비스 전체에 영향을 미칠 수 있는 사안으로 볼 수가 있다. 많은 부분을 논하기 보다는 Security라는 측면에서의 위험도와 영향력을 살펴 보도록 한다.

 

크게 DDos 관점과 악성코드의 관점 두 가지 측면에서 살펴 보면 전체의 위험성이 간결하게 드러날 것이다.

 

http://www.hankyung.com/news/app/newsview.php?aid=2007062556301

올해 상반기에 있었던 에스토니아의 시스템 중단과 관련된 연관 기사이다. 에스토니아의 경우 기사에서 설명하듯이 전국민의 절반 이상이 IT 서비스를 이용한 생활을 하고 있었으나 3주간에 걸친 DDos 공격으로 인해 이동통신망 및 은행 , 공공 서비스 등이 전면 중단되었음을 확인 할 수 있다.

 

l       DDos에 대한 사전적인 정의는 여기를 참고하자.

http://terms.naver.com/item.nhn?dirId=700&docId=3305

 

일반적으로 DDos란 대량의 접속 요구를 시스템에 집중 시켜 정상적인 처리를 하지 못하도록 하는데 있다. 다만 2000년 초에 있었던 DDos 유형과 지금의 DDos 유형과의 차이점은 보다 더 교활해 졌다는 점에 차이가 있으나 근본 유형은 동일하다 할 수 있다. 변화된 유형에 대해서는 포괄적인 방식과 유형에 대해서만 간략화 하도록 한다.

일반적인 사용자들이 알고 있는 유형의 서비스 거부 공격은 DoS 공격이며 하나 혹은 소수의 시스템에서 과다 접속을 일으키는 유형이다. 해당 유형은 대부분 네트워크 장비나 보안 장비에 의해서 걸러지며 전체 시스템에 영향을 미치는 비율은 매우 미미하다. 그러나 현재에 발생되고 있는 유형은 대규모 시스템을 동반하는 DDos가 일반적인 유형이다.

 

최근 가장 이슈가 되고 있는 아이템 거래 업체에 대한 DDos 유형은 특이할 만한 사항이 존재한다. 이 특이 사항으로 인해 본 제안을 작성하게 되었다.

 

http://www.inews24.com/php/news_view.php?g_serial=289309&g_menu=020500

http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1000325793

 

아이템 거래 업체에 대한 DDos 공격으로 인해 추석 이전부터 3주 가까이 모든 아이템 거래 업체의 서비스가 중지 되었으며 일부 업체는 ISP와의 계약 해지가 되기도 하였다. ISP의 계약해지는 전체 ISP내의 가입자를 보호하기 위한 조치이나 서비스 산업을 붕괴시킬 수도 있는 단초를 제공하고 있다.

 

이번 DDos 공격의 특징은 다음과 같다.

 

l       대량의 국내 DDos Agent 운용

l       국내의 개인 PC DDos Agent 유포를 위해 웹 해킹을 사용함

l       컨트롤 서버를 찾기 어렵도록 다단계 형태의 컨트롤을 사용함

n         상위 명령 서버 -> 여러 단계 , 수십 대의 중간 컨트롤 서버 -> 최종 Agent

l        트래픽 랭킹 100위 이내의 업체에 대한 과감한 공격

l       실시간 공격 유형의 변화 UDP, TCP , ICMP

 

일반적인 기사로 보면 중국에서 해당 트래픽이 유입된 것으로 오해하기가 쉽다. 그러나 현재 발생하고 있는 DDos 공격은 국내에서 대부분 발생이 되고 있다. 다만 해외에서 컨트롤을 하고 있는 유형이며 국내의 취약한 서비스들을 통해 다수의 불특정 사용자에게 악성코드를 유포하고 있으며 기존의 사용자 정보의 탈취에서 벗어나 시스템에 대한 완벽한 제어 , 실시간 통제, DDos 공격 기능 과 같은 종합적인 기능이 포함된 악성코드를 통해 IT 서비스 전체를 위협하고 있음을 알 수 있다.

이번 2007 9월부터 시작된 DDos 공격 유형은 이미 지난해부터 금전을 요구하는 DDos 해킹이 일반적으로 있었으나 이번에는 공개적으로 드러내 놓고 진행 했다는 점이 차이가 있다. 그만큼 운용 도구의 폭과 공격의 유형을 다양화 해 놓았을 것으로 판단된다.  이번 공격에서 유추된 기존의 DDos와의 차이점은 다음과 같다.

 

l       실시간 통제

n         기존의 IRC Bot과도 유사하다고 볼 수 있다. Virut 바이러스도 특정 사이트에 대한 DDos 공격 유형을 가지고 있었으나 고정된 주소와 고정된 공격 유형을 가지고 있었다는 점이 다르다. 즉 실시간 통제가 된다는 이야기는 공격 대상의 변경과 공격 방법의 변경이 실시간으로 가능하다는 점이며 이 실시간 통제로 인해 기존의 DDos 대응 방법으로는 대응에 어려움이 존재하였을 것이다. 그래서 트래픽 규모로 상당한 수준에 있는 사이트 임에도 불구하고 속수무책 이였을 것으로 예상된다. 공격하는 Agent를 실시간으로 다양한 트래픽의 공격을 수행하는 것이 가능. TCP , UDP , ICMP 각각에 대해 공격 유형이 있을 수 있으며 고정된 패턴을 가지지 않다 보니 차단과 식별에 어려움이 존재 하였을 것이다. 또한 공격 IP를 위조함으로써 차단 및 식별에 혼선을 많이 주었을 것이다.

n         명령 서버와 Control 서버의 분리 및 다수의 중간 명령 서버 활용 하여 공격이 사이트 차단으로 인해 중단 되는 점을 예상하고 대응 방안을 수립하였다. 정확하게 이번 이슈와 관련하여 중간 전달 서버가 몇대가 존재하는 지는 정확한 파악이 어려울 것으로 보인다. 또 컨트롤이 직접 가능하다는 점에 있어서 수시 변경이 가능한 부분이다.

 

l       Web을 통한 DDos 공격 모듈의 유포

n         보다 진보된 공격 유형의 하나로 볼 수 있다. 이전까지의 웹을 통한 악성코드 유포는 사용자 정보 획득을 위한 동향으로 확인을 할 수 있는데 이제는 Web을 통한 악성코드 유포가 DDos 기능 및 원격 컨트롤 기능까지도 보유함을 볼 수 있다. 지금까지의 대응 방식으로는 한계를 보일 수 밖에 없으며 신규 유형의 악성코드일 경우 ( 기존 AV 업체들이 발견된 샘플에 대해서만 대응을 한다고 보았을 때 사용자의 시스템에 특별한 영향을 주지 않거나 인지가 어려운 악성코드의 경우 발견 및 탐지, 대응이 매우 어려울 것으로 예상된다.) 폭 넓은 전파 범위를 지님으로 인해 빠른 시간에 최대의 효과를 거둘 수 있는 공격유형으로 정의가 가능하다.

l       트래픽 랭킹 상위 업체에 대한 노골적인 공격

n         그동안 DDos 공격이 이루어진 업체는 드러내 놓고 사업을 하기 어려운 부분의 서비스 업체이거나 영세 업체가 주를 이루었으나 아이템 거래 업체에 대한 공격은 트래픽 상위랭킹에 포진한 업체를 대상으로 과감하게 이루어졌고 3주 이상을 정상 서비스를 불가한 상태로 몰아 넣은 것으로 볼 때 향후에는 ( 머지 않아..) 그 이상의 상위 랭킹 서비스 업체에도 영향 및 파급효과가 있을 것이다. 더욱이 더 이상 노출 되는 것을 두려워 하지 않는 대담한 공격은 지금까지의 작은 업체들에 대한 공격을 통해 대응이 어려움을 인지한 것도 영향이 있을 것이다. 지금까지 DDos 측면에 대한 대응 측면에서 트래픽의 과다한 유입을 해소하는 측면에만 방향성을 맞추었는데 더 이상 물리적으로 해결이 어려운 상태에 도달 하였고 이 점은 국지적인 대응이 아닌 전체 서비스 차원의 일원화된 대응이 필요함을 상기 시킨다. ( 이 부분에 대한 내용은 마지막 Article에서 단계별로 나누어 설명을 하도록 한다.)

 

앞서 언급한 세 가지의 특징으로 미루어 보아 Attack Trend를 갱신 해야 할 필요성을 느꼈으며 갱신된 결과는 다음과 같다.

그동안 알려진 일반적인 공격 유형에서 Hybrid DDos Attack이 추가 되었으며 Hybrid라는 의미에는 프로토콜의 자유자재 변경만이 있지는 않다. 명령 서버와 컨트롤 서버를 이용한 구조 및 실시간 통제가 가능한 점에서 기존의 획일화된 공격 Agent와 다른 유형을 포함한다. 또한 유포 방법에 있어서도 웹을 통한 악성코드 유포가 사용이 되어 보다 더 폭넓고 불특정 다수에 대한 공격코드의 설치가 가능해진 점도 Hybrid라는 의미에 포함 될 수 있다.

공격 기법적인 측면에서는 다음과 같이 볼 수 있다.

 

붉은색으로 표시된 부분을 보면 자동화된 툴을 사용함으로 인해 공격자들의 수준이 낮아졌으나 현재는 우회 혹은 컨트롤 하는 기법들이 복합화 됨에 따라 지식수준도 상향 되고 있는 것으로 보인다. 웹을 통한 악성코드 유포에 DDos 기능까지 첨가된 악성코드가 웹을 통해 유포됨으로 인해 현재의 서비스 환경은 아는 자들에게는 재앙과 같은 현실이고 그렇지 않은 자들에게는 답답한 현실이다.

...계속.

Posted by 바다란

바다란입니다.

지난해 2007년 2월 경부터 외부 발표 용도로 작성한 Web 2.0 Service Security 라는 제목의 PPT에 대해 기고 형식으로 풀어쓴 글입니다.

전체적으로 Web 2.0 이라는 말은 만약 SNS (Social Network service) 측면에서만 강조되는 부분이라면 Web 2.0의 활성화는 오래 가지 않을 것입니다. 그러나 분명한 것은 Web이라는 도구가 명확하게 확장 되고 있으며 폭 넓은 부분에서의 활용성은 점차 극대화 되고 확대될 것임은 명확합니다.

 

Web 2.0이라는 단어는 허상에 불과하지만 도구로서의 Web의 진화는 향후에도 오랜기간 지속될 것으로 보입니다. 그렇다면 변화의과정에서 나타나는 위험들은 무엇이 있고 현재 직면한 위험들은 무엇들이 있는지 명확한 인지는 필수적이라 할 수 있습니다.

 

본 문서는 Web의 발전에 따른 여러가지 Risk를 직접 보이고 설명하기 위해 만들어진 문서입니다. 최근에 KISA에 기고한 문서이기도 합니다. 좋은 방향으로 향후의 위험성에 대해서 참고 하셨으면 합니다.

 

감사합니다.

 

* 본 시리즈는 3편 정도로 예상 하고 있습니다.

 상편 - Attack Flow의 변화 , 지난 시간 속에 존재하는 Risk들의 변화 과정과 흐름을 살펴보고 현재는 어느 단계 인지 확인 하는 내용

 중편 - 진보된 Web의 발전에 따른 여러가지 다양한 위험요소

 하편 - 결론 부분입니다. Web의 발전에 따른 대응 방안에 대해서 고민하는 부분입니다. 중편이 길어서 중편 부분도 일부 포함될 것 같습니다.

 

그럼 시작합니다.

 

 

개 요

현재의 Web의 발전 방향은 사용자의 접근성 향상을 통해 사용 환경의 변화로 이어지고 있다. 사용자 제작물의 확산과 정보 공유의 통로 확산은 다양한 위협으로 이어지고 있으며 향후 폭넓은 위협에 노출 됨을 예고하고 있다. UCC와 블로그의 확산, 사용자 접근을 위한 위험은 유,무선을 가리지 않고 다양한 위협으로 향후 나타날 것이다. 본 문서에서는 해당 위협을 직시하고 대응 할 수 있는 방안들을 모색함으로써 향후의 위험성에 대해 대비를 할 수 있도록 하고자 한다.

 

■Attack Flow의 변화

Web이라는 도구가 정보 획득의 수단에서 사용자의 의견을 교환하고 다양한 정보를 교환함으로써 새로운 정보를 창출하고 이득을 창출하는 생활 속의 도구로서의 다양한 역할을 하고 있다. 변화하는 위험요소와 변화하는 환경 속에서 Web을 통한 사용자 접근성의 향상은 새로운 시너지를 촉발하고 있으며 IT 서비스 산업을 근본적으로 사용자 중심의 환경으로 전환 하게 만들고 있다. 반대급부로 Web을 통한 위험성도 증가 되고 있다. 현재의 위험 상황은 어느 정도 진행이 되고 있으며 어떤 위험들이 실제로 존재하였는지를 확인 하는 것도 필요한 시점이라 할 수 있다. 공격 흐름의 변화도 사용자에 대한 위험을 극대화 하는 방향으로 진행이 되고 있다. 전체의 공격 흐름을 살펴서 향후를 예측 하고 준비 할 수 있는 자세가 필요하며 앞으로 더 심도 있고 폭넓게 활성화될 서비스 부분에 대해서 Attack 흐름의 변화는 반드시 짚어야만 될 부분이라 할 수 있다.

2000년 이전과 그 이후 얼마간의 공격 흐름은 직접적인 서비스에 대한 공격 유형에서부터 출발이 된다.

 

 

 

CERT.org의 취약성 발표 통계를 통해 드러나지 않는 문제들에 대해 언급을 하여 보면 다음과 같이 정리가 가능하다. 2000년 이후 부터의 증가 현상에 대해서는 인터넷의 활성화에 따른 취약성 증가가 원인이라 보기는 조금 어려운 면이 있다. 시기적으로 나눈다면 세 단계 정도로 구분하는 것이 가능하다.

1단계 : 2000년 이전 – 운영체제에 대한 직접적인 취약성 발견에 집중

2단계 : 2000년 이후 ~ 2005년 상반기 – 운영체제에 함께 설치 되는 Application에 대한 취약성 발견이 집중적으로 이루어진 시기

3단계 : 2005년 상반기 이후 - Web으로 구성된 다양한 어플리케이션에 대한 취약성 발견의 증가.

60%의 service owner 들이 Web application을 통한 취약성 노출에 직면 하고 있다.

 

 

Gartner, 09,2005 의 조사에 따르면 60%의 Service Owner들이 Web application을 통한 취약성에 노출에 직면하고 있으며 취약성을 Reporting 하는 Mitre corp의 2006.9월의 조사에도 06년의 첫 9개월간 발견된 취약성은 4375개이며 이중 75%가 Web 관련된 취약성이라 조사가 된바 있다. * 여기에서 Web 관련된 취약성은 Web을 통해 접근이 가능하도록 개발된 Application을 의미한다.

 

위의 3 단계 구분이 모든 현상을 설명하지는 않으나 전체적인 취약성 발견 동향을 Bugtraq ()을 통해서 살펴보면 전체 유형의 흐름을 충분히 파악 할 수 있으며 취약성 발견의 급증 원인에 대한 설명은 위의 1,2,3단계 구분으로서 원인을 찾을 수 있을 것이다. Web의 확산에 따른 공유 환경의 증가와 Web을 통한 서비스 확산과 전 세계적인 네트워크 접근성의 개선은 보다 빠른 Application 서비스 모델을 추구하게 되었고 공격자들에게도 취약성 발견의 기반을 폭넓게 만들게 된 계기가 되었다고 할 수 있다.

 

지역별 특정 Application에 대한 사용비율이 높을 경우에는 해당 지역만을 겨냥한 취약성 발견이 증가하기도 하며 특정 서비스 모델에만 기반화된 제품의 경우에는 서비스를 겨냥한 취약성 발견이 증가 하기도 하였다. 현재도 동일한 유형으로 취약성 발견이 증가하고 있으며 취약성 중에서 전 세계적인 범위를 가지고 있는 Mega vulnerability의 발견은 점차 줄어들고 있으나 지역적 혹은 서비스에 특화된 취약성의 발견은 지속적으로 증가하고 있다. 근본 원인은 Web을 통한 서비스 환경의 개선, Service 모델의 확산, 개발된 Application의 상호연동성 증가 및 매개체로서의 Web의 활용 등을 Web 서비스 기반의 확산 및 취약성 발견 비율의 증가 원인이 될 수 있다.

 

 

2005년 하반기에 Gartner 조사에 따르면 전체 1000여개 가량의 Web site를 상용 Web application scanner를 이용하여 스캔한 결과 위와 같이 98% 가량의 Web service들이 취약성을 가지고 있음을 조사하였다. 2007년 12월인 현재에는 더 치명적인 취약성들과 조사 당시에는 사소한 취약성이 더욱 큰 문제로 대두된 부분들도 명확하게 존재한다.

현재 2005년을 거치면서 국내의 IT 서비스 환경에 가장 큰 영향을 미치는 보안적인 이슈들은 세계적인 흐름과는 달리 정의가 될 수 있으며 세계적인 취약성 발견 및 공격 동향이 미리 발견되는 양상을 나타내고 있다. 그 이유에는 여러 가지 상황들이 뒷받침 될 수 있으나 우선적으로는 빠른 인터넷 환경과 인터넷 생활 문화의 확대와 대중성에 따른 영향이 가장 크다고 볼 수 있다. 국내의 현실에서의 Security라는 paradigm은 어떤 식으로 변화가 되어 왔고 지금에는 어떤 현상을 나타내고 있는지 살펴 보면 다음과 같다.

 

 

전체적인 시기의 구분에 따라 Network Worm 발생 이전과 이후로 크게 구분하는 것이 가능하며 이후에는 Web을 통한 불특정 다수에게 악성코드를 유포하는 것으로 구분하는 것이 가능하다. 시기적으로 나뉜 것은 아니며 대응을 하는 부분에 있어서 차별화 되거나 기존의 개념을 뛰어넘는 새로운 이슈라고 보는 관점에서 주관적인 구분을 하였다. 네트워크 Worm 이전에는 공격자를 격리 시키는 것을 주된 관점으로 대응을 하였으며 Network Worm 발생 이후에는 공격자의 격리라는 것의 무의미 해지고 1차 피해자가 추가적인 공격을 본인의 의사와 관계 없이 공격을 진행 하는 것으로서 공격자에 대한 격리라는 정책이 더 이상 유효하지 않게 되었다.

 

Network worm 이전에는 침입자에 대한 차단과 탐지를 위해 IDS와 Firewall 이 주된 보안도구가 되었으나 Network worm 발생 이후에는 차단과 탐지라는 의미가 무의미해짐에 따라 침입을 사전에 막을 수 있고 내부 서비스 서버에 영향을 미치지 않도록 IPS ( Intrusion Prevention System)이 유용한 보안 시스템으로 두각을 나타내게 된다. 그렇다면 위의 이미지 상에서 최종적인 Web을 통한 유포를 통해서는 어떤 방향들이 나타나게 되었을까? 웹 서비스의 방문자를 노린 악성코드 유포는 방문자가 많은 사이트를 중심으로 집중적인 악성코드 유포 시도를 시행한다. 따라서 웹 Application의 취약성이 주된 악성코드 설치의 통로가 됨에 따라 Web Application의 보호를 위한 보안도구들이 일반화되게 됨을 현재 볼 수 있다. Web Firewall의 도입과 SDLC 프로세스의 도입을 통한 안전한 프로그래밍 체제의 도입은 Web Application을 보호하기 위해서 사용이 되고 있다.

 

Web Application의 취약성을 이용하는 악성코드의 영향으로 사용자의 환경에도 직접적인 영향을 미침에 따라 개인사용자 PC를 보호해주기 위해 보안패치 서비스 및 온라인 백신 서비스 등도 현재는 일정 수준이상 일반화 된 것으로 볼 수 있을 것이다. 환경의 변화는 여러 가지 서비스 모델들을 변화 시키고 새로운 부분을 구성하기도 한다. 지금의 인터넷 서비스 환경에서의 위험요소는 상당히 많은 부분을 변화 시킬 것으로 예상이 되고 있고 현재 진행중임에도 불구하고 대응 측면에서 노력이 미진한 부분들이 많이 있어 보인다.

전체적으로 종합하면 환경의 변화와 변화에 따른 대응측면은 다음과 같이 된다.

 

 

위의 그림과 같이 2007년을 가로지르는 중요한 Paradigm은 기업내의 자산과 서비스에 대한 보호에서 개인 PC 단위로까지의 보호 단위 확장을 들 수 있다.

2000년 이후의 Attack Flow에 대해서 공격기법별로 분류를 해보면 발전 방향과 특징을 살펴 볼 수 있으며 점차 진화되고 있는 유형이 어떤 방향으로 이어지고 있는지 살펴 볼 수 있다. 전체적으로는 복잡화된 공격에서 결합화된 공격으로의 발전, 자동화된 공격의 발생과 확산으로 동향이 이어져 가고 있다. 앞으로의 침해사고 유형도 Web service의 취약성을 공격하고 이를 이용한 주변 전파로 확대될 가능성이 높으며, Web service의 확대로 인해 거대 사용자를 확보한 서비스 기업들이 증가하고 있어서 Web을 통한 위험 노출 부분은 향후 일정기간 이상 주된 화두가 될 것이다.

 

 

위의 그림은 Major Attack Trend를 나타내고 있으며 2004년까지의 변화는 전 세계적으로 동일한 유형으로 발전 하여 왔으나 2005년 이후부터 변화가 조금 달라지고 있다. Application에 관련된 공격이 2005년부터 증가를 하고 자동화된 Application Attack이 출현하고 있으며 현재는 복합화된 DDos 공격이 가능한 Agent를 웹 서비스를 통해 유포하는 형태로도 발전이 된 상태이다. Web service의 취약성을 이용하여 2,3차 단계까지 영향을 미치고 있으며 사용자의 PC 단위에 정보를 유출 하는 악성코드의 피해 범주에서 이제는 사용자의 PC를 숙주로 하여 임의의 거대 서비스를 직접 공격하는 DDos 유형으로 발전 하고 있음을 볼 수 있다.

 

전 세계적으로 Botnet에 대한 감시와 주의가 계속 높아지고 있는 상태에서 이와 같은 Web을 통한 DDos 공격 네트워크의 구축은 향후 심각하게 주의를 높여야만 하는 상황이라 할 수 있다. 최초 감지된 공격은 2007년 9월의 국내 아이템 거래 업체에 대한 DDos 공격에서 최초 인지가 된 사안이다. 게임 아이템 거래 업체에 대한 DDos 공격 사례에서 보듯이 웹을 통해 유포된 악성코드가 DDos 공격에 직접 사용이 되는 환경에서는 개인 PC에 대한 보호와 Web Service에 대한 안정성 강화가 향후 에도 주요한 키워드로서 IT 서비스의 발전에 영향을 미칠 것으로 예상이 된다.

 

 

공격자들의 기술 수준과 활용 수준은 시간이 지날수록 복잡화 되고 있고 자동화 되고 있으며 손쉽게 막기 어려운 방향으로 이어지고 있다. 개별 업체에 의해 처리 될 수 있는 범주는 이미 벗어났다고 판단되며 향후 종합적인 대응 방안 수립만이 일정수준의 해결책을 만들 수 있을 것으로 예상된다.

 

 

위의 이미지는 공격 기법에 따른 공격자의 기술수준을 나타내고 있는 챠트이며 기술수준이 예전과는 다르게 인지하기 어려운 기법과 더불어 새로운 방안의 창출로까지 이어지고 있어서 공격자들의 기술수준이 높아지고 있는 것으로 판정 해야만 할 것이다.

Web을 통한 위험의 전파는 향후 Web 환경의 확장과 더불어 증폭 될 것이며 유,무선을 구분하지 않는 전파력으로 서비스에 많은 영향을 미칠 것이다. 또한 2007년 9월에 발생된 아이템거래 사이트에 대한 DDos 공격 또한 Web을 통한 DDos 공격 Agent를 유포함으로써 대규모적인 공격이 가능하였다는 점으로 미루어 볼 때 전체 사용자 환경에 대한 Protection과 Web service 전반에 걸친 안정성 강화는 당장이라도 시급한 화두가 아닐 수 없다. IT 서비스를 주력으로 삼고 있는 기업과 국가라면 더 시급하게 준비를 하여야만 일정 수준의 위험을 경감 시킬 수 있을 것으로 예상된다.

 

- 계속.

Posted by 바다란

http://news.naver.com/news/read.php?mode=LSS2D&office_id=008&article_id=0000718196&section_id=105&section_id2=283&menu_id=105

 

manian 사이트가 해킹을 당해 악성코드 유포지로 활용이 되었다. 해당 사이트를 닫은 이후 재점검 하고 다시 올렸지만 이제는 또 다른 사이트다.. dvdprime ...

 

아무리 말을 해도 들으려 하지 않는자에게는 소용이 없다.

 

공격 기법도.. 또 방어 대책도.. 모두 있음에 하지 않는 것은 아직 피해 및 여파를 모르기 때문일 것이다. 국내 온라인 게임에 대한 해킹이 증가하고 있고 그 원인의 대부분은 사용자 PC를 공격하는 악성코드 때문이라 할 수 있다.

 

1차적으로는 보안상의 취약성을 내포한채 서비스가 계속 되고 있는 사이트가 가장 큰 문제이며 두번째로는 개인 PC의 보안 상태가 취약하여 악성코드가 설치될 수 밖에 없는 개인 사용자의 문제라 할 수 있다.

 

앞으로도 계속될 해킹과 개인 PC에 대한 집요한 공격.. 또 이를 이용한 온라인 게임 계정의 도용 및 유출은 상관 관계를 계속 지닐 수 밖에 없고.. 국내 사이트에 존재하는 다수의 문제가 해결 되지 않는한 이 문제는 내년을 지나 그 이후에도 또 다른 유형으로 나타날 수 밖에 없다.

 

취약성을 이용한 집중 해킹.. 그리고 악성코드 유포 [ 요즘은 링크나 프레임을 찾기도 어렵다.. ] , 그리고 온라인 게임 접속시의 다수 계정 유출 [ 악성코드를 통한 유출이다.]

 

과연 누구의 책임이라 할 수 있을까?. 일단 피해는 게임을 사용하는 유저에게 돌아간다. 그리고 책임은 온라인 게임사에게로 화살이 돌아온다. 과연 이게 정당할까?

 

국내 유명 IT 서비스 기업들은 대부분 해킹을 통해 악성코드가 유포된 적이 있다. 이미 기사화 된 곳들만해도 상당 규모에 달한다.  악성코드를 유포하기 위해 소스를 변조한다는 것은 이미 웹 소스를 변조할 권한을 지니고 있다는 것이고 공격 유형의 특성상 DB에 대한 제어권한을 지닐 수 밖에 없게 된다. 이 말인 즉.. 대규모 사용자의 계정 정보 및 사용자 정보가 이미 대량 유출 된지 오래 되었음을 의미 할 수 있다.

 

현재 중국에서는 악성코드를 유포하여 사용자 계정을 획득하고 넘겨 줌으로 인해 돈을 받는 모델이 성행하고 있다 한다. 사용자 계정 갯수당 얼마 하는 식으로 진행이 된다.

이 고리가 끊기지 않는한 국내의 해킹은 계속 될 수 밖에 없다. 그렇다고 끊을 수 있는 방안도 없다. 그렇다면 무엇을 해야 하는가?

 

지루하고 대규모의 작업이지만 전체 사이트에 대한 보안 점검을 통해 문제점을 수정하고 보완하고 개발자에 대한 교육등이 이루어져야 한다. 또 사용자 PC에 대한 대대적인 안정성 강화 플랜을 세워야만 한다.

 

경찰이 열이여도 도둑 하나를 잡기는 어렵다고 한다. 마찬가지이다. 공격자는 무작위로 대상을 추출하고 막는자는 전체를 다 틀어 막아야만 한다. 과연 이 싸움에서 얼마나 오래 갈 수 있을까?.

 

기나긴 작업이다. 그러나 하지 않으면 안되는 작업이다.

 

-

 

Posted by 바다란

좀 길어 졌습니다.

쓰다보니 중복되는 내용들도 다수 있지만 그냥 올립니다.

 

언제나 그렇듯이 블로그에 올리는 모든 의견들은 제 개인의 의견입니다. 이점 유념 하여 주셨으면 합니다.  이 긴글을 읽어낼 인내심이 당신과 함께 하기를..

 

--

대응

변화를 보라. 변화를 볼 수 없고 느끼지 못하면 도태만이 있을 뿐이다.

 

 

작금의 변화는 언제부터였을까? 지금과 같은 상황은 언제 예견 되었을까? . 전략과 시대를 통찰하는 시각의 부족은 고대부터 항상 있어왔고 지금에도 마찬가지이다. 빠르게 변화하는 세상과 문화의 흐름을 예측하기는 어렵다. 더욱이 지금과 같은 직접교류와 인간과 인간과의 관계가 급속도로 가깝게 연결 되는 시대에는 더 어려울 수 밖에 없다. 현상도 이러할진대 현상에서 촉발되는 많은 문제들 중 IT서비스에 대한 문제와 Security라는 측면에서는 더 큰 어려움이 존재 할 수 밖에 없다.

<?xml:namespace prefix = o /> 

변화를 보려 하고 준비한자는 어디에 있을까?

 

이제 변화의 흐름을 쫓아보자.

작금의 Security 환경의 가장 큰 위협은 전 세계적인 이슈라고 할 수 있다. 세계적인 보안 이슈는 지금까지 Botnet , Phishing 으로 인한 대규모적인 악성 시스템 그룹의 운영과 사기에 초점이 맞춰져 있었다. 거기에 최근 2~3년 사이에 악성코드가 결합한 형태가 나타나서 새로운 흐름이 만들어 지고 있다. 전 세계적인 이슈는 세계 평균적인 서비스의 발전에 따라 나타난다. IT서비스의 발전이란 접점의 확대 ( 이른바 다양한 UCC를 통해 사용자와 교류하고 소통하는 Web 2.0 의 현상이라 할 수도 있다.) IT 인프라의 발전과 발맞추어 나아간다고 할 수 있다. 인프라의 밀집과 고가용성 상태로 보면 세계 최고 수준을 유지하고 있는 한국으로서는 선도적인 서비스 문화들이 많이 발생 하였고 이를 통해 온라인 게임이나 사용자와 교류하는 Web 2.0 모델의 할아버지 격이 될 수 있는 서비스들이 다수 출현되어 현재도 활발하게 서비스 중인 상황이다.

 

세계의 발전도 인프라의 고가용성으로 나아가며 사용자와의 교류가 높아지는 서비스가 주류를 이루어 가고 있다. 점차 Security에 대한 위협도 세계적인 이슈가 될 수 밖에 없다.

 

한국에 최초 출현한 위협들은 악성코드에 대한 위협과 Web Application에 대한 직접 공격을 들 수가 있고 이 위협들은 여전히 현재 진행형이다. 2005년에 최초 출현한 위협들은 이후 확대되어 세계적으로 퍼지고 있는 상황이나 한국만큼 악성코드의 유포 및 활용성이 높은 곳은 아직 미비하다. 향후 몇 년간 전 세계 IT 서비스 부분에 대해 명확한 이슈로 등장할 것이며 그 근본에는 대표적으로 중국이 등장 할 것이다.

 

왜 이런 예상을 하는지 잠시 최근의 근거를 살펴보자. 드러난 것은 전체의 1/10도 되지 않는다는 점에 염두를 두고 살펴 보면 된다.

 

http://blog.naver.com/p4ssion/50002005359  2006 2월에 작성한 글에서 향후 위험성에 대해서 의견 피력을 했고 지금은 1년이 휠씬 더 지난 상황이다.

 

처음 중국으로부터의 해킹 분석을 한 것이 2002년 이였고 이후에도 간헐적으로 의견 제시를 했었지만 지난해 초에는 세계적인 이슈가 될 것이라는 전망을 하였었다.

 

현재는 커뮤니티 문화 및 인터넷 문화가 확산되어 금전 거래 및 문화로도 연결이 된 우리 나라에 대해서만 피해가 크게 보이지만 인터넷 문화의 확산에 따라 유비쿼터스 환경의 빠른 확대에 따라 세계 각국으로도 중국의 공격은 유효하게 발생이 될 것입니다.  본문중

 

본문중에서 발췌한 내용이며 해당 내용의 유효성이 얼마나 실현 되었는지 2007 9월 이후에 언론에 나타난 흔적들을 통해 한번 되새겨 보자.

 

 

 

http://news.naver.com/main/read.nhn?mid=etc&sid1=104&mode=LPOD&oid=001&aid=0001799299  ( 중국내에서도 심각한 문제가 되고 있음을 볼 수 있습니다. )

 

http://www.donga.com/fbin/output?n=200709210153 ( 해킹 동향에 대한 일반론)

http://news.naver.com/news/read.php?mode=LSD&office_id=001&article_id=0001752161&section_id=102&menu_id=102 (뉴질랜드 정부기관 해킹 관련 보도)

http://weekly.hankooki.com/lpage/business/200709/wk2007091012524537060.htm  (펜타곤 및 미 정부망 해킹 관련 보도)

http://news.mk.co.kr/news_forward.php?no=481939&year=2007 (프랑스 총리실 해킹)

http://news.naver.com/news/read.php?mode=LSD&office_id=003&article_id=0000553689&section_id=104&menu_id=104  (,,영국 해킹 관련 보도)

http://www.ytn.co.kr/_ln/0104_200709051801337415

 

 

 

간략하게 20079월 이후 기사화 된 것만을 추려도 위의 항목과 같이 나타나고 있다. 대부분 피해 사실을 숨기고 공개적으로 언급하기를 극도로 꺼려 하는 점을 감안하면 각국 정부의 반응은 예상을 넘어선다. 이 것은 예상을 넘어선 피해가 존재 한다는 의미와 동일하다 할 수 있다.. 가장 처음의 링크를 주의 깊게 볼 필요가 있다. 현재 발생되는 사이버 테러의 가장 큰 피해자는 중국 스스로이며 정보를 가장 많이 얻기도 하지만 가장 많은 공격의 대상이 되기도 한다. 그러나 기질상 금전과 과도한 국수주의 기질로 무장한 공격자들에게 대외적인 이슈가 발생 한다면 국가적인 혹은 산업적인 적대 대상에 대해 집중적인 공격이 발생 할 수 있다. ( 국가망에 대한 공격은 Zeroday Attack이 주로 이용되며 MS Office 계열의 문서를 활용한 백도어류가 주류를 이루고 있다. 백도어의 행위가 매우 지능적이고 찾기가 어려움에 따라 향후 강도 높은 주의가 필요한 부분이다.)

 

Security의 패러다임은 계속 변화하고 있다. 장기간의 변화 방향을 짚기는 어려워도 1~2년 정도의 변화는 누구나 손쉽게 짚어 낼 수 있다. 지금까지의 패러다임을 주관적으로 한번 보면 다음과 같다.

 

모두 2000년 이후의 변화만 기술한 내용이다. 그 이전의 변화는 지금의 흐름과 관계가 없으므로 언급할 필요가 없고 network 단위의 웜의 최초 출현과 그 이후의 변화를 주로 살펴 보면 된다.  Worm이 발생 부분은 전 세계적으로 동일하게 발생 하였고 이후의 Botnet으로의 진화와 변화도 세계적인 흐름이지만 이후의 Web을 통한 Pc의 공격은 중국에서 단연 주도하고 있는 상황이다.  물론 그 이전에 Application에 대한 Attack 흐름은 나타났으나 실제 피해를 입히는 영향도로 보아서는 Web서비스를 통한 악성코드 유포 이슈가 단연 높다고 할 수 있다.

 

Worm 발생 이전에는 격리의 단계에서 이후에는 보호단계로 진입하고 지금에 이르러서는 불특정 다수의 PC환경 까지도 보호해야만 되는 그런 상황으로 나아간다. Web을 통한 전파 가능성만큼 확실하고 대규모적인 악성코드 설치가 가능한 환경도 존재하지 않는다. 따라서 향후에도 Web을 통한 악성코드 전파 및 유포 행위는 전 세계적으로 이슈가 될 것이며 단지 한국의 상황은 조금 빨리 부딪힌 것뿐이다. 위기 상황은 기회를 만들기도 한다. 그러나 정작 국내의 보안산업은 위기 상황에서 어떤 고민들을 했나? 창조적인 준비, 역동성, 열정 이 모든 것들이 결합되지 못하였고 근 미래조차 예상 하지 못하는 근시안적인 판단으로 지금까지 버텨왔다고 보는 것이 필자만의 개인적인 생각일까?.

 

최초 서비스는 많으나 최초의 창의적인 제품들이나 보안 서비스들은 어디에 있을까? 이처럼 독특한 위협들을 몸으로 겪으면서 보안이라는 산업 자체는 최소한 한국 내에서는 위기를 맞게 되었을 것이다. 현업의 서비스 담당자들 보다 떨어지는 실무경험으로 무엇을 가이드 할 수 있단 말인가?  더 이상 정보의 가치는 없다. 누구나 접근 가능하고 취득이 가능한 정보는 그 가치를 잃고 만다. 경험으로 체득한 지혜만이 혜안을 밝힐 수 있으나 그 경험을 누적 시키지 못하고 인재를 양성하지 못한 대가는 향후의 방향성을 가름하게 될 것이다. 세계적인 IT 회사들이 왜 보안에 집중을 하는지 또 끊임없이 인력 확보를 위해 노력하는 지에 대해서 진지한 성찰과 고민이 필요한 시점이다.  단일화된 시장이 될 수 밖에 없는 Global IT 서비스에서 지역적으로 성장 할 수 있는 기회는 더 이상 존재하지 않을 것이다. 위협은 Global로 다가오는데 눈을 뜨지 않은 자가 어찌 대응 할 수 있을 것인가? 단지 생명 연장을 조금 더 오래할 뿐이며 그 명운은 이미 판가름이 났다고 할 수 있다.

 

개인적으로 위와 같은 예상에 대해 뼈아프게 생각 하지만 이미 오래 전부터 실무에서 부딪히며 의견을 제시하고 방향성을 제시한 적이 있으나 들으려 한 곳은 없다. 지금이라도 좀 더 큰 방향성을 보고 와신상담 하기만을 바랄 뿐이다.

 

 

잡설이 길었다. 다시 최종적인 IT 서비스를 위한 보호 제안에 접근해 보자.

 

현재의 IT서비스가 지닌 위험을 정리하면 큰 목차는 다음과 같이 정리가 된다.

 

1.       웹서비스를 통한 악성코드 유포

2.       악성코드를 이용한 DDos 공격 ( IDC , ISP , 대규모 Service Provider 등 모든 부분 영향)

3.       Zeroday 위험 ( 신규 백도어를 이용한 정보 절취 및 기간 서비스 위험)

A.       기간 서비스 부분은 http://blog.naver.com/p4ssion/50001878886 Article Scada & DCS 시스템의 위험요소를 참고

B.       신규 백도어를 통한 리모트 컨트롤 및 정보 절취는 국가전략적인 차원에서도 매우 중요한 위험요소라 할 수 있다.

4.       Botnet ( IRC Botnet과는 차별화된 HTTP를 이용한 Malware net이 향후 위험요소가 될 것이고 이번 아이템 거래 업체에 대한 DDos 유형도 Malware net이 사용 되었다고 할 수 있다.)

5.       웹서비스 자체의 취약성 ( 1,2 항의 근본 요인으로 지목한다.)

 

다섯 가지 정도로 큰 위험성을 잡을 수 있으며 이중 1,2,5 항에 대해서는 시급한 대응 방안이 고려되어야만 한다.  Zeroday 위험은 계속 존재 하는 문제이며 1,2,5 항에 대해서는 보다 더 적극적인 대책이 진행 되지 않는다면 IT서비스 차원이나 국가 전략 차원에서 문제가 될 사안들이 지금 보다 더욱 많아 질 것이다.

 

주된 항목에 대해 하나하나 짚어 보면 다음과 같다.

 

< 웹서비스를 통한 악성코드 유포>

 

위의 이미지는 웹서비스를 통한 악성코드 유포에서 문제 부분을 정리한 내용이다. 각 표시부분별로 대책 부분을 정리한다.

 

1.      웹서비스 사이트

 -> 웹 서비스 사이트 부분은 대부분의 웹서비스가 URL 인자에 대한 validation check를 하지 않음으로써 발생하는 문제이며 대부분 SQL Injection을 이용한 권한 획득이나 XSS 취약성을 이용한 악성코드 유포로 사용이 되고 있는 점을 들 수 있다. 이 부분에 대한 대책을 위해서는 웹 서비스 URL 전체에 대한 인자들의 유효성 체크를 하여야만 하며 우선 대규모 사이트 혹은 방문자 규모가 일정 규모 이상인 사이트를 대상으로 집중적으로 이루어 져야만 할 것이다. 그래야 웹을 통한 대규모 사용자에게 악성코드 유포를 근본적으로 줄일 수 있다.

 

기본적으로 공격자들은 자동화된 툴을 이용하는 것이 일반적이며 일부 공격자가 직접 조작을 하여야만 하는 취약성들은 서비스 자체적으로 보안 강화를 하는 것 외에는 없다.

악성코드의 유포를 위해서는 소스코드를 변조 하거나 게시물에 악성코드를 첨부 혹은 실행 스크립트 형태로 올려두는 것이 대부분이므로 권한 관리 및 외부에서 직접 권한 획득이 가능한 부분을 확인 하여 차단 하여야만 한다.

현재 한국 내에서 문제가 지속 되고 있는 부분은 Web URL 인자를 필터링 하지 않아 발생하는 SQL Injection 부분이 심각하며 해당 문제의 상세한 내용은 여기를 참고 한다.

http://blog.naver.com/p4ssion/40017941957

http://blog.naver.com/p4ssion/40015866029

부족하지만 위의 Article을 참조 하면 되며 이외에 여러 공개 발표된 문서들이 있으므로 참고 하면 충분한 이해가 될 것으로 판단된다.

 

큰 방향성에서는 전체 웹 서비스에 대한 validation check를 검증 할 수 있는 솔루션이나 제품을 도입 하여 안정성을 강화 하여야 하나 현존하는 모든 웹 Application 보안제품들이 나름대로 한계를 지니고 있어서 대용량 서비스 및 여러 URL을 빠르게 진단하는데 문제를 지니고 있다. 이 부분은 향후 적극 개선이 필요하며 필수적인 부분만을 빠르게 진단하는 경량의 고속 스캐너류를 통해 근본적인 해결을 하는 것이 필요하다.

 

더불어 장기적으로는 프로그래밍 서적이나 개발시의 참고 사항에 보안과 관련된 validation check 부분을 강조함으로써 향후 개발 되는 Application에 대한 안정성을 반드시 확보 하여야만 할 것이다.

 

2.      개인 사용자 PC

-> 개인 사용자 PC 환경에 대해서는 현재의 제한된 유료 사용자만이 영향을 받는 백신 부분으로는 절대적이 한계를 지닐 수 밖에 없다. 웹이라는 매개체를 통해 불특정 다수에게 대량의 악성코드가 유포되는 상황에서 IT서비스 차원에서는 궁극적인 해결책을 모색할 수 밖에 없으며 해외의 온라인 서비스 업체들이 왜 지금에 와서 보안 서비스를 무상으로 제공하는지 염두에 두는 것이 바람직하다.

 

한국은 2005년부터 위기가 시작 되었음에도 불구하고 별다른 움직임 없이 모든 피해를 당할 수 밖에 없었으나 2006년부터는 세계적인 서비스 업체들에도 다양한 문제들이 발견이 되고 있어서 적극적인 대책을 강구 할 수 밖에 없는 부분이다.

아래의 reference를 간략히 참고 하고 더 많은 실례들이 존재함을 알아야 할 것이다. IT서비스 기업의 특정 서비스를 노리고 있는 웜들이 급증 추세에 있는데 IT서비스 기업으로서 취할 수 있는 대응 방안은 무엇이 있을까? 서비스를 사용하는 모든 사용자들에게 피해가 가지 않도록 하는 방안은 무엇일까?. 결론적으로 서비스를 보호하기 위해서는 빠른 업데이트 및 서비스에 대해 특화된 대응이 가능한 보안서비스를 선택 할 수 밖에 없다.  보안 서비스는 이제 IT 서비스의 생존을 위한 필수적인 요소가 되었지만 아직 국내에는 갈 길이 멀었다. 가장 큰 피해를 입었고 현재도 입고 있음에도 불구하고 아직 갈 길이 너무나도 멀다.

 

서비스 전체 사용자 및 산업적인 차원에서 대규모 보안성 강화 노력이 절실히 필요하며 대응 방안은 이미 글속에 있으나 개인이 제안 할 수 있는 범위는 아니라 판단되며 향후 주된 이슈가 될 부분이라 보고 있다. 국가적 차원의 IT서비스 경쟁력 강화에 필수적인 부분이 될 것이며 최종 결론 부분에 다시 정리 하고자 한다.

 

Ref:

http://namb.la/popular/tech.html -> myspace application worm에 대한 설명

http://news.softpedia.com/news/The-First-Yahoo-Messenger-Worm-That-Installs-Its-Own-Browser-24366.shtml  -> yahoo 메신저 웜

http://www.crime-research.org/news/20.09.2006/2250/ -> AOL IM worm

 

 

3.      Secure한 전송

 

Secure한 전송은 지난 편의 글에서 제시한 BHO 부분과 연동이 된다. 지금까지는 키보드에서 발생하는 하드웨어 이벤트를 가로채는 키로거등이 주로 사용이 되었으나 해킹툴 차단 및 보안 서비스 사용자가 늘어남에 따라 공격자들 ( 주로 중국 ^^)의 공격 유형이 변경 되었다. 현재 변경된 방식은 BHO 방식을 이용하여 키보드 암호화가 풀리고 SSL 등을 이용한 네트워크 암호화 단계 직전의 Browser가 지니고 있는 값을 유출 시키는 유형으로서 기술적인 대안은 백신과 암호화를 유지하는 것 외에는 없다고 할 수 있다. 여러 번 언급 하였지만 신규 악성코드를 만드는 것은 매우 쉬우며 빠르다. 그리고 대응은 더디다. 유출된 정보는 이미 정보로서의 가치를 상실하고 사용자의 개인정보를 통한 추가 침입에 이용될 뿐이다. 따라서 가장 근본적인 대안으로 End To End 단 까지 이어지는 암호화를 연결 시키는 것이 필요하며 가장 완전하게는 키보드 보안에서 암호화 된 것이 직접 서비스 서버로 전달이 되고 해당 서비스 서버에서 복호화가 되는 유형을 진행이 되어야 해결이 된다. 최소한 Browser 단위에서 평문으로 전환되고 SSL로 전송되는 문제는 피해야만 한다. 평문 전환 시점을 노리는 악성코드는 지금도 날마다 만들어진다.

 

SSL ( Secure Socket Layer)은 전송 단계에서의 보호를 의미하나 스니핑이나 중간 네트워크 트래픽을 가로채어 정보를 절취하는 유형은 거의 찾아보기 어려운 형국이다. 따라서 새로운 패러다임에 맞게 보호 수준을 높일 필요가 있고 세계적인 흐름과 동일하게 하향 평준화 되어서는 안될 것이다. 아직도 SSL 만으로 보안이 다 된다고 생각 하는 곳은 인터넷 서비스로 말하자면 석기시대 사고 방식이라 할 수 있을 것이다.

 

 

이상으로 웹서비스를 통해 유포되는 악성코드의 흐름과 이에 대한 대책을 간략히 설명 하였다. 그럼 이번에는 올해 하반기에 새로 등장한 Hybrid DDos 관련된 이슈에 대해서도 알아보자.

 

<DDos 공격과 관련된 이슈>

각 문제 지점에 대해서는 붉은색 원으로 별도 표시가 되어 있다. 여기에서 1,2번 항목은 앞서의 악성코드 유포 이슈와 동일한 부분이다.  틀린 점은 3,4번 항목이 되며 3번 항목은 과도한 트래픽이 몰리는 것을 의미하고 4번 항목은 중간 명령 전달 서버가 된다. 설명이 필요한 부분과 대책이 필요한 부분은 3,4번 항목이다.

 

3. 과도한 트래픽의 집중

       -> 특정 서비스 대역으로 과다한 트래픽이 정형화된 패턴이 없이 집중 될 때 IDC나 서비스 제공자 입장에서 대응 할 수 있는 부분은 그리 많지 않다. 단 시간내에 집중 되는 경우에는 장비의 증설 및 트래픽 우회로 커버가 가능하나 지속적으로 증가하는 유형에 대해서는 마땅한 해결책이 없다. 전체 서비스 구역을 보호하기 위해서 대상이 되고 있는 서비스를 서비스 항목에서 제외 ( DNS 리스트에서 삭제 ^^) 하는 것 외에는 특별한 대안이 없다고 본다.

대응을 하기 위해서는 긴밀한 협력이 필요하며 협력은 개인 PC 단위의 보호를 진행하는 백신 업체등과 연계가 필요하다. IT 서비스 프로바이더 입장에서는 근본 원인 추적을 위해 정형화된 패턴 방향을 찾을 필요성이 있으며 지속적인 유형에 대해 정보 제공이 이루어져야만 한다. 또한 일시적인 시점에 급격하게 늘어나는 DNS 쿼리등을 주시할 필요성이 있다. ( 이 부분에 대한 모니터링을 피하기 위해 명령 전달을 위한 경유지 서버를 사용한 것으로 추정됨) Botnet 등의 탐지를 위해서도 특정 IRC 서버나 채널 혹은 서버군으로 다수의 쿼리가 몰릴 경우에는 일시적으로 주의 수준을 높이는 것이 필요하며 방향성을 예의 주시 하여야 한다. 기존의 botnet 등과 연계된 탐지에는 효율이 있을 것으로 판단되며 이번에 새로 발견된 유형에 대해서는 제한적인 효과를 지닐 수 있을 것으로 보인다.

 

정보의 폐쇄적인 활용은 피해를 더 크게 만들 뿐이므로 유관기관과의 긴밀한 협력을 통해 공격 대상 IP 및 공격 서비스, 주요 패턴 등에 대해서 상시적인 교류가 필요하다. 경우에 따라서는 공격을 진행하는 클라이언트 파악도 필요할 것으로 예상이 된다.

 

장기적으로는 트래픽에 대한 비정상 증가 치 혹은 비정상 패턴을 탐지하는 유형을 목록화 하여 수시로 업데이트 함으로써 위험요소의 사전 판별에 도움이 될 수 있을 것으로 판단 된다. 이유 없는 트래픽 증가는 없으며 비정상 패턴의 증가도 있을 수가 없다.

 

4.      경유지 명령 전달 서버

-> 경유지 서버에 대한 판별에는 어려움이 있다. 이 부분은 실제 개인 PC를 찾아낸 이후 하나하나 단계를 밟아서 경유지 서버를 찾아내는 것이 필요하며 방대한 시간이 걸릴 수 있을 것이다. 그러나 이미 기존에 유포된 악성코드들에 대한 흔적을 찾아 냄으로써 일괄적이고 대규모적인 제거 작업이 일시에 이루어 진다면 경유지 서버에 대한 의미를 줄일 수 있다고 본다.

 

 

전체적으로 사안을 정리한다는 것은 쉽지 않으며 지금과 같은 대규모 이슈에 대해 다양한 부분에 대해 대안을 개인이 생각 한다는 것도 어려움이 있다. 다소 틀린 부분과 잘못된 오류 부분에 대해서는 개인 의견이므로 너그러운 양해를 당부 드린다.

 

세계 모든 국가들이 피해를 입고 있다. 정보를 탈취하여 돈을 획득 할 수 있다면 무엇이든지 할 수 있는 공격자들은 얼마든지 있다. 또한 그들은 스스로간에 정보를 공유하고 공격 가능성을 논의한다. 이에 반해 보안업체 혹은 IT 서비스 업체들은 어떤지를 돌아봐야 한다.

Cyber Terror 혹은 정보 절취를 통한 첩보거래와 실 거래가 동반이 되는 IT서비스에 대한 공격을 통한 금전적인 이득의 취득, 사용자를 유인하여 금전을 취득하는 Phishing등 모든 문제가 연계되어 있다.

 

전 세계 모든 IT 서비스 및 국가가 향후 방향성에 대해서 심도 있는 논의를 해야만 하고 자체적인 준비를 해야만 한다. 국내 IT서비스의 지속적인 발전과 국가 보호를 위한 미래 전략 차원에서 준비를 해야만 될 것이다. 앞으로 IT서비스는 보다 더 생활에 밀접해 질 것이고 생활 상의 모든 것들이 연계 되는 상황에서 우리는 지켜야 할 대상에 대해서 명확하게 지켜야 될 것이다. 그럼 정리하자.

 

< 단계별 대책>

 

각 위험요소로 지적한 부분에 대해 단계별 대책은 무엇이 있을지 확인해 보자. 큰 목차로는 3가지 정도가 있을 수 있으며 3번째 대책에는 몇 가지 소 부류가 있을 수 있다.

 

1. 웹 서비스 보안성 강화

앞으로의 웹은 어떨까? 하는 고민을 먼저 해보자. 사용을 안 하게 될 것인지 아니면 더 밀접하게 사용을 하게 될 것인지.. 2.0이 버블이든 아니든 중요한 것은 사용자와 더 밀접해졌다는 것이 중요하지 않을까 생각 된다.

 

단기- URL 인자별 validation check solution의 개발 및 보급 확대

장기- Secure programming에 대한 awareness 확대 서적, 홍보 및 활용이 가능한 템플릿의 제작으로 장기적인 안정성을 강조

 

웹 서비스의 보안성 강화는 근래 2005년부터 서비스 부분의 화두로 대두되고 있다. 세계적으로 국내 서비스 부분에서 최초(아마도) 발견되고 공식 피해가 확인된 케이스 라고 할 수 있다.

웹서비스의 보안성 강화를 위해서는 지속적이고도 연속성이 보장되는 프로세스가 존재 하여야 하며 이 부분을 해결 하기 위해서는 전문 보안업체나 Security관련 유관기관의 노력이 필요한 부분이다.

더불어 전체적으로 Secure coding에 대한 awareness를 강조함으로써 근본적인 문제 해결을 장기적으로 유도 하여야만 할 것이다. 현재 상황에서의 문제는 URL 인자별 validation check가 가능한 scanner가 몇 종 되지 않으며 그나마 존재하는 솔루션들도 대용량이나 대규모의 사이트에는 부족한 부분이 있다. 다수의 사이트를 일시에 진단하기에도 속도 및 성능 면에서 문제가 있어서 대략 110만여 개 이상으로 추정되는 한국내의 웹서비스들에 대해 일괄적인 대응이나 진단을 수행 하기에는 무리가 있을 것으로 예상된다. 따라서 단계별 진단 및 보안강화 노력이 이루어 져야 될 것으로 보인다.

 

공격자들의 대상이 방문자가 많거나 연관도가 높은 웹서비스를 목표로 하고 있으므로 우선순위를 정해 일정 규모 이상에 대해서는 기준을 만족하는지 점검 하거나 혹은 내부적인 노력을 하고 있는지 정도는 검토 되어야 할 것이다.

 

악성코드의 유포 행위를 모니터링 하는 것도 바람직 하나 근본문제의 수정을 할 수 있도록 원천적인 가이드를 진행 하는 것이 더욱 중요하므로 근본적인 소스 수정이 이루어 질 수 있도록 노력 해야 할 것이다.  Validation 검증을 위한 도구 개발이 현재로서는 절실하다고 할 수 있으며 단기적으로 최선의 노력을 기울여야 될 것으로 판단된다.

 

2. 개인 PC 단위의 보호

 

개인 PC 단위의 보호 관점에 대해서는 명확하게 한 가지를 지적하고자 한다. 악성코드의 전파수단으로 불특정 다수에게 유포 될 수 밖에 없는 웹 서비스가 이용이 되고 있다. 이처럼 불특정 다수에게 무차별적으로 유포가 되는 악성코드에 대한 처리는 체계화 되고 전역적인 대응이 필요하다.

 

지금과 같은 제한된 사용자에게만 제공되는 서비스로는 현재의 위험성을 절대로 막을 수 없으며 정보에 대한 공유 및 위험에 대한 상호 정보 교류가 없이는 향후에도 매우 힘들 것으로 보인다.

 

앞서 IT 서비스 기업들이 서비스를 보호하기 위해 보안서비스를 도입 할 수 밖에 없는 이유에 대해서 간략히 설명을 하였고 향후에도 지속 확대 될 수 밖에 없는 부분이다. PC를 보호하는 AV 업체들은 발상의 전환을 할 필요가 있을 것이다. 전문적인 부분에 대한 대응만을 특화 시키거나 특정 기능의 악성코드 ( MS Office계열의 Zeroday 취약성을 이용한 백도어)의 실행을 근본적으로 막을 수 있는 제품들로 시선을 돌릴 필요가 있다.

 

현재의 악성코드는 시스템을 못쓰게 만드는 바이러스가 아니며 정보 유출과 조정을 위한 도구로서 이용이 되고 있다. 따라서 정보 유출을 막기 위한 부분이 주가 되어야지 시스템을 복원하는 부분이 주가 되어서는 안될 것으로 본다. 물론 복원 하고 치료하는 부분도 반드시 존재 하여야 하는 부분이나 관점을 달리 생각 할 필요가 있다.

 

결론적으로 폭넓은 악성코드 유포 행위에 대한 대응을 하기 위해서는 광범위하고도 체계적인 대응 플랜이 있어야만 한다. 해외의 무료백신을 이용할 수도 있고 아니면 국내의 백신들을 저렴하게 이용하는 방안들도 있을 수 있을 것이다. 개인이 언급하기에는 부적절한 부분들이 있으나 대책은 반드시 광범위한 사용자에게 즉시 영향을 미칠 수 있을 만큼의 파급력이 존재해야 함에는 변함이 없다.

 

공격은 다방면으로 대상을 가리지 않고 발생을 하는데 보호를 하는 대상자는 유료 대상자만 보호하고 그것도 정보 유출 이후에 분석을 통해 보호를 한다는 것은 현재의 위험 상황에 부합하지 않는다.

보안산업의 생존을 이야기 한다. 그러나 서비스가 사라지는데 무슨 보안이 존재 할 수 있을까? 서비스의 생존이 존재해야만 보안이 존재한다. 패러다임의 전환기에 변화를 외면한 보안 서비스들이 IT서비스의 생존에 오히려 장애물이 되어서는 안될 것이다. 지금은 일부 그런 모습으로 비춰지는 부분이 있다. 사용자를 볼모로 잡는 것이 아닌 IT서비스의 생존을 볼모로 잡고 있는 형국이며 종래에는 모든 비난을 받게 될 수도 있을 것이다. 현명한 방향성이 빠른 시일 내에 Security 부분에서 도출이 되어야 할 것이며 그렇지 않을 경우에는 사면초가의 상황에 직면 할 수도 있을 것이다.

 

 

3. DDos 징후 판별 및 Alert 체계

 

DDos 관련된 부분은 모든 대책이 집약 되어야 하는 종합적인 부분이다. 이전까지의 DDos와는 다른 유포 방식부터 경유지 서버의 활용, Hybrid DDos 패턴등 특이하고 특징적인 사안들이 다수 발견이 되는 경우이다.  실제 공격 유형은 올해 초 혹은 지난해부터 이루어 졌을 것으로 보이나 드러나지 않게 소규모 혹은 신고가 어려운 업종에 대해 Ransom 형 공격을 시도 하여 금전적인 이득을 취하였고 지난 9월에는 대규모 사이트에 대해서 집중적인 공격을 시도하여 3주 가량 서비스를 중지 시킨 경우가 발견된다.

 

만약 대규모로 공격을 시도하지 않았다면 대응도 없었을 것이고 또한 이런 대응 방안을 고민 하지도 않았을 것이다. 이제 유형이 드러난 이상 대비책은 준비하여야만 할 것이다. 대비책이 없다면 IT 서비스 전 부분이 영향성을 받을 수 밖에 없을 것이다. 시기는 오래 걸리지 않을 것이다.

 

DDos 징후 판별의 최초 지점은 IDC혹은 Server Farm이 가장 최초 인지가 가능한 지점이 될 수 있다. 그러므로 초기적인 대응이 상당히 중요하다. 특별히 과다한 트래픽을 막을 수 있는 DDos 솔루션의 경우에도 제한적인 효과만을 볼 수 있으며 만약 도입을 한다 하여도 서비스들에 영향을 미칠 수도 있을 것이다.  장비나 설정등을 이용한 DDos 대응 방안은 일정 수준 이하라면 충분한 고려가 될 수 있으나 지금의 공격 트래픽은 장비가 감당할 임계치를 넘는 수준이라서 장비 및 설정을 이용한 대응은 한계에 도달했다고 판단된다.

 

대응은 구조적이고 체계적인 대응 외에는 방안이 없을 것이다. 본문 중에 언급 하였지만 IDC 간의 실시간 위험 정보 교류, 과다 트래픽 발생 지점의 확인, 공격 트래픽의 특징 확인 , 내부 IDC Server에서 외부로 급격하게 증가하는 트래픽의 발견  등등 .. 비정상행위에 대해 모니터링이 가능해야 하며 모니터링 도중 이상 증세 발견 시에는 IDC간의 업무 협조 혹은 분석 및 대응이 가능한 기관과의 빠른 공조를 통해 사전에 위험성을 제거 해야만 한다.

 

이후 악성코드에 의한 영향인지를 판단하고 악성코드의 위험도를 판정한다. 그 이후 악성코드에 대한 업데이트를 대규모 사용자 집단이 존재하는 보안서비스 혹은 국내 백신업계에 업데이트를 요청하여 일괄적으로 차단 할 수 있도록 한다. 

 

더 중요한 것은 전체적으로 해당 패턴으로 감지가 되어 차단된 케이스가 얼마나 되는지 조사를 하여 ( 통계치만 제공되면 되는 수준.) 전체적인 위험 수준을 관리 할 수도 있고 급증한 시기에는 새로운 취약성이 나타났거나 공격 유형이 발생 하여 대비를 해야 한다는 국가나 산업단위의 위험지표를 나타내고 Active한 예방과 대응 활동을 할 수 있다.

 

DDos에 대한 대응과 악성코드에 대한 대응은 현재 본질적으로 동일한 지점에 위치해 있다. 근본적인 원인 제거(Web service application)가 우선 되어야 하며 이후에는 악성코드에 대한 일괄적인 삭제 및 대응이 되어야 (거의 전국민을 대상? ) 피해 규모를 줄 일 수 있고 예방이 가능하다고 본다. 초기 탐지를 위해서는 IDC나 서버군 혹은 네트워크 장비에서의 변화들에 대해서도 일정 기준 이상일 경우에는 반드시 확인을 하여야 하고 사안에 따라서는 유관기관들과 협력하여 분석을 하여야만 할 것이다.  특정 IP나 주소로의 과다한 집중과 Dns 쿼리의 급증과 같은 주요 지표를 나타낼 수 있는 이벤트들에 대해서는 일정수준의 임계치를 주고 강력하게 검토를 한다면 좀 더 빠른 사전 인지가 가능할 것이다. 

 

 

 

전체의 관점

 

 

사전인지 ( 현재로서는 IDC Infra 부분) -> 분석 -> 대응 (악성코드 제거? )

 

사전인지 : 개인 PC에서 사전인지를 한다는 것은 기대하기 어렵다. 다만 IDC내의 서비스나 ISP의 장비 부분에서 특정 동향을 체크하고 검토해야 한다. 일정 트래픽 이상이 발생하는 부분에 대해서도 alert은 가능해야 될 것으로 보인다.

 

분석: 유관기관 혹은 전문가 집단에서 시행을 하는 것이 바람직하며 상시적으로 IDC & ISP와의 정보 교류가 있어야 하며 악성코드에 대한 분석 과 대응 부분에 대해서도 판단이 가능할 정도의 지식을 지녀야 한다. 관련 지식을 통해 ISP& IDC에서 제공된 정보를 분석하고 추적하여 전체적인 위험도까지를 판정 할 수 있어야 한다.

 

대응: 대규모로 유포된 악성코드를 제거하기 위해서는 전역적인 보호 수단이 강구 되어야 하며 악성코드의 유포 방식과 유사하게 거의 무차별적(?)으로 배포가 되는 보호 수단이라야 대응이 될 수 있다. 개인 성향에 따라 다른 문제이나 본인이 보기에는 이 방안 이외에는 대응할 수단이 이제는 없다고 본다. IDC ISP 단위에서 통제를 할 수 있는 범위는 이제는 아니기 때문에 더욱 그러하다.

분석 단계에서 전달이 되는 악성코드 및 위험도에 따라 과감하고 일괄적인 대응을 통해 분석 완료 이후 1~3일 이내에 전체적인 대응이 완료 될 수 있도록 한다.

 

 

단계별로 진행이 되고 최종적으로 대응이 완료 된다면 지금과 앞으로 몇 년간이 될지 모를 근 미래에 발생되는 위협들에 대해서 Active한 대응체제를 완비 하는 계기가 될 수 있다. 아직 전 세계 어디도 해볼 엄두를 낼 수 없는 일이나 현재 상태에서는 최초가 될 가능성이 가장 높다.  앞으로 시간이 지날수록 경쟁력이라는 측면은 좀 더 다르게 보아야 될 때가 올 것이다. 전체적인 위험요소를 얼마나 빨리 제거하고 체계적으로 대응을 하느냐에 따라 세계적인 위험요소로부터 빠르게 회복하고 보호 할 수 있는 유일한 방안이다.

앞으로 점점 더 인터넷이나 네트워크와 연결이 더 복잡해 지고 생활과 밀접한 관계를 맺을 것은 분명하며 거부 할 수 없는 흐름이다.  경쟁력은 무엇인가 고민이 필요하다. 제품을 만드는 것만이 경쟁력은 아니며 이제는 지키는 것도 또 체계화 하는 것도 경쟁력이다.

 

만약 이런 대규모적인 대응이 가능한 체제가 이루어 진다면 보안 서비스 업체 및 ISP 그리고 IT 서비스 업체 모두에게 새로운 기회가 될 수 있고 사업 모델 혹은 비즈니스 모델이 새로 탄생 할 수 있을 것이다.  이제 공격자들과 공격기법에 대응을 하기 위해서는 체계적이고 유기적이며 거대한 대응 체제의 필요성을 고민 해야 할 때다.

 

 

지금 사막의 어디쯤을 걷고 있는지 별을 바라봐야 하지 않을까?

 

 

 

 

Posted by 바다란

p4ssion is never fade away. 

눈에 보이지 않는다 하여 없다고 하는 것은 지혜와 노력의 부족함을 탓해야 할 것이다.

 

중국발 Abusing

 

오로지 금전적인 이득을 목적으로 하는 악의적인 크래킹에는 지금까지 관찰된 바에 의하면 크게 두 가지 유형이 존재한다. ( 권한 획득 및 개인정보 거래 등의 번외로 한다.) 하나는 악성코드 유포를 통한 개인정보의 획득이며 또 다른 하나는 DDos 공격 협박을 통한 금전적인 이득의 추구이다.

 

중국발 해킹은 본래 개인정보 ( ID/ Password) 확보를 목적으로 하였으며 그 목적을 달성 하기 위해 사용자가 많은 사이트를 해킹 ( Web Application의 취약성을 이용 : 80% , File upload 등의 일반적인 취약성 20% 정도로 예상 2005년경부터 Web App 관련된 취약성을 이용한 공격이 급증하고 일반화됨) 하여 악성코드를 유포하는 형태로 변경 되었다. 악성코드를 일반사용자에게 유포하여 개인 사용자가 특정 게임 사이트나 금융 사이트에 접근 하여 개인정보를 입력할 경우 입력된 개인정보를 유출 하고 공격자는 유출된 정보를 활용하여 이득을 얻는 구조로 일반화 되어 있다. 해당 유형은 2005년 상반기부터 국내에 만연된 유행으로서 국내의 대부분의 서비스들이 공격 시도 혹은 공격에 대해 피해를 입었을 것으로 유추된다.  (ref: http://www.ytn.co.kr/_ln/0103_200710091932264788 )

기사 참조에서 보듯이 국내의 많은 서비스들이 지금도 여전한 피해를 입고 있으며 해당 공격 유형은 Web URL의 인자 각각에 필터링이 부족한 점을 이용하여 Database에 명령을 실행 시키는 것과 같은 행위를 유발한다.

( 기법에 대한 이해를 위해서는 여기를 참조 http://blog.naver.com/p4ssion/40017941957

http://blog.naver.com/p4ssion/40015866029 하면 된다. 시일이 지난 것이나 현재 일어나고 있는 Application 공격에 대한 이해로는 충분할 것이다.)

 

<악성코드 유포 이미지>

위의 이미지는 일반적인 개인정보 획득을 위한 악성코드의 전파 과정을 도식화 한 것이다. 최근에는 Zeroday 공격도 동일 연장선 상에서 악성코드화 되고 있으며 올해 3월에 발표된 Ani cursor ( 윈도우 전 제품군에 해당 )에 대한 취약성도 패치가 발표되자 마자 악성코드가 국내에 유포되는 실례도 존재 한다.  즉 보안 패치의 속도를 넘어서는 형태로 공격이 우위에 있는 것이며 현재에도 새로운 취약성들이 악성코드의 전파 유형에 따라 계속 응용 되고 범위를 확장한다고 볼 수 있다.

 

개인 사용자의 ID/ Password 정보를 유출하는 부분도 지난 몇 년간 발달이 되어 왔는데 기존의 Key logger등을 이용하는 고전적인 방법에서  ( 이 부분은 Keyboard 보안의 일반화로 인해 변화된 것으로 추측 된다.)  IE BHO 후킹과 같이 브라우저 전송단계에서 평문화된 ID/ Password를 가로채는 영역으로 변경이 된 상황이다. 즉 하드웨어 이벤트나 네트워크 전송단계에서 정보를 가로채는 것이 아니라 브라우저 상에서 정보를 획득하는 유형이며 현재 언론 등에 악성코드 유포와 관련된 기사에서 언급되는 대부분의 개인정보 탈취용 악성코드가 이에 해당이 된다.    BHO 영역이라는 부분은 IE에서 제어하는 부분( IE Browser Extension)으로서 Keyboard 보안 -> IE  -> SSL 과 같은 일반적인 보호 영역중 IE 부분을 이용하는 것으로 어떤 키보드 보안 솔루션이라도 사용자 입력을 암호화한 이후 Site로 전달되기 직전에는 암호화를 풀고 평문으로 변환하여 브라우저에 탑재를 한 이후 SSL로 전달 하여야만 한다. BHO 영역에서는 브라우저의 이벤트 (페이지 이동 등등)를 모니터링 함으로써 개인정보를 획득 할 수 있다.

<BHO 영역의 악성코드 개요>

현재 발견되는 개인정보 탈취용 악성코드의 다수는 IE BHO (Browser Helper Object) 영역에서 개인정보를 가로채는 유형으로 키보드 보안솔루션으로 암호화된 데이터를 최종 단계까지 ( Server 영역) 받지 않으면 해결이 되지 않는 문제라 할 수 있다. 인증서와 결부한 암호화 전달 방안도 대안이 될 수는 있을 것이다.

20079월에만 발견된 악성코드의 수는 500여 개 이상이며 이중 20% 이상이 BHO 영역에서 개인정보를 탈취하는 유형이라 할 수 있다.

( Ref:  http://www.krcert.or.kr/statReportNewList.do  2007 9월 통계 분석월보 참고)

 

물론 발견된 수치는 신고 또는 모니터링에 의해 확인이 된 수치만을 언급한다. 올해에만 2000여 개 이상의 브라우저 영역에서의 정보 획득을 위한 악성코드가 발견이 되었으나 근본적인 대책 마련은 어려움이 따른다. 보안패치로는 악성코드의 감염 및 설치 단계를 예방 할 수 있으나 Zeroday 공격유형에는 ( 07.3월의 ani cursor vulnerability) 대안이 없으며 백신은 알려진 악성코드가 아니면 처리가 될 수가 없다. 더불어 최근에는 악성코드 제작자들도 기본적인 백신들에 대해 탐지 여부를 확인하고 탐지가 어렵도록 제작하는 것이 일반적인 추세여서 어려움이 존재한다.

 

이런 유형의 개인정보 탈취 악성코드의 출현은 2005년부터 볼 수 있는데 2년이나 지난 지금까지 어떤 해결책들이 제시 되었는지 살펴볼 필요가 있다.  존의 바이러스들은 사용자의 PC에 영향을 미쳤으나 개인정보 탈취 유형의 악성코드는 온라인 상의 활동에 영향을 미친다.  사용자의 PC에 영향을 미치는 것은 이후에 처리를 하면 복구가 되지만 어디 온라인 상의 활동도 복구가 되는가?  계정 정보는 다 유출되고 난 이후에 악성코드들이 분석되어 업데이트 된들 어디에다 쓸 수가 있을 것인가 의문스럽다. 악성코드는 날마다 갱신되어 나오고 심지어 시간대 별로 다른 유형의 동일 악성코드가 출현 하고 있는 상황에서는 어려움은 가중이 되고 정보가 업데이트 된다고 한들 자사 제품에만 갱신이 되고 있다.

 

DDos 관련된 공격 유형에 대한 분석은 언론 기사에 나온 정보 및 주변 정보를 종합해 보면 다음과 같이 도식화 하는 것이 가능하다.

<DDos 공격 유형의 분석>

위의 이미지에서 보듯이 중간 경유지 및 개인 PC에 대한 권한을 제어 하는 부분까지 추가된 것을 제외하고는 악성코드 유포를 통한 개인정보 획득과 비슷한 유형으로 정리가 된다.  개인 PC를 좀비 PC로 만들기 위해 기존에는 윈도우 관련된 취약성을 이용하여 Bot을 설치하는 유형으로 이루어 졌으나 DDos 경우에는 웹을 통한 악성코드 전파가 동시에 사용이 된 것으로 파악이 된다. 전 세계적으로도 주목해야만 될 변화이다.   또한 국내적으로는 음성적인 IT 서비스 부분에 대한 공격은 어느 정도 좌시 될 수 있었으나 이젠 표면적으로 드러난 움직임을 보였다는 점에 있어 강력한 대응정책 적용이 필수적인 사안이다. 아마 공격한 자들도 이 정도의 효과를 볼 것이라고는 ( 대규모 복수 사이트의 3주 이상의 무력화) 생각지도 못했을 것이기에 또 다른 유형으로 사고를 전환하여 기관망에 대한 공격도 발생 할 수 있을 것이다. 고도화된 IT 서비스망은 항상 위험에 노출 될 수 밖에 없다. 그리고 대응방법도 새로운 방식의 대응 방안들이 항상 고민 되어야만 하는 부분이다. 지금의 우리 현실은 어떠한지 되돌아 볼 필요가 있으며 정리가 필요한 부분이다. 향후 DDos와 연계 되어서 나올 부분으로는 중국으로부터의 공격에 근래에 자주 사용되었던 ARP Spoofing도 향후 자주 사용이 될 것으로 보인다. 만약 아이템 거래 사이트들 전체를 마비 시키고 부분적인 Gateway DNS에 대해 ARP spoofing을 시도하여 아이템 거래 사이트를 위장한 임의의 사이트를 제작하였다면 그 피해는 얼마나 될까?  악성코드의 확산을 위해 Arp spoofing 기법을 사용하였으나 이제는 대규모로 spoofing 시도가 가능할 수도 있을 것이다.

( ARP Spoofing에 대한 공격은 krcert의 자료를 참고하면 이해가 높다.

http://www.krcert.or.kr/unimDocsDownload.do?fileName1=IN2007003.pdf&docNo=IN2007003&docKind=3 )

 

현재 가장 이슈가 되고 있고 향후에도 영향성을 미칠 두 가지 Fact에 대해 지금까지 Security분야에서는 어떠한 대응을 하였을까?

 

먼저 개인정보 탈취형 악성코드 부분.

BHO 영역을 공격하는 악성코드 부분은 신고된 악성코드에 대해서만 제한적인 업데이트만 이루어졌으며 공격코드의 발전을 따라 가지 못했다. Security라는 측면은 근본 원인제거가 가장 중요하나 BHO 영역에서 후킹을 통해 정보를 가로채는 유형에 대해서는 근본적인 대책자체가 불가능한 상황이다. IE의 구조 자체를 변경 하기 이전에는 계속되는 위험에 노출 될 수 밖에 없으며 대책을 진행 하는 부분도 인증체계 자체를 변경하지 않는 한 위험은 계속 될 수 밖에 없다.

 

신규 악성코드를 만드는데 공격자는 매우 짧은 시간에 생성을 하고 대응하는 측면에서는 시간적인 여유가 있어야만 대응이 가능하다. 즉 온라인 상에서 정보 노출이 이루어 지고 난 뒤에야 해결이 가능하다는 측면이다. 인식의 전환이 절대적으로 필요한 부분이다. 파일에 대한 복구나 시스템에 대한 복구의 측면이 아닌 정보의 절취를 막기 위한 부분이라는 관점에서 접근을 하여야만 한다. 이 측면에 대한 대책 부분은 다음 Article에서 제시 하도록 한다.

기존의 보호라는 측면이 시스템에 대한 보호가 아닌 온라인 상의 정보보호라는 측면에서 지금까지의 대응 속도가 매우 늦고 효과가 매우 제한적 이였으며 그로 인해 피해는 계속 되고 있는 것이다.  Security라는 산업 자체가 존속하기 위해서는 산업의 요구를 미리 선점하고 이해하여 그에 필요한 요구를 제시 할 수 있어야만 한다. 과연 이러한 유형의 악성코드가 출현한 이후 역할이 적당하였는지 심각하게 고민할 필요가 있다.

 

더불어 악성코드의 유포와 관련된 웹서비스의 취약성에 대해서도 근본적인 대책 수립이 부족한 부분이 존재한다. 원인제거의 역할로 SDLC (Secure Development Life Cycle)를 강조하나 변화가 빠른 웹 Application의 개발현황에 적용 하기에는 매우 더디고 느린 흐름이라 할 수 있다. 강조되어야 하는 부분은 맞으나 장기적인 로드맵을 가지고 움직여야 하며 단기적인 효과는 매우 부족한 부분이라 할 수 있다.

 

과도한 트래픽을 전송하는 DDos 의 경우 현재의 네트워크 장비와 산발적인 노력으로는 한계에 부딪혔으며 모든 문제가 연결되어 발생이 되고 있다. 네트웍적인 현상만으로 대책을 수립하기에는 한계에 도달 하였으며 근본 원인제거 및 일시적이고 체계적인 대응으로 문제의 원인과 악성코드들의 제거만이 해결책이 될 수 있다. Hybrid DDos의 경우 정상 트래픽 위장도 매우 손쉬우며 정형적인 패턴을 찾기가 어려울 수가 있어서 네트워크 장비 단위에서는 처리가 매우 어려울 것으로 보인다. 비정상 패턴을 탐지 하는 것 조차 어려움에 도달 한 상황이라 할 수 있다.

 

 즉 개별 보안 산업의 노력으로는 한계에 도달 하였다고 볼 수 있다. 원인제거 + 초기 감염 탐지 + 대응 + 트래픽 이상 유무 판단  등과 같은 Action들이 동시적이고 대규모로 이루어 지지 않으면 지금의 상황은  대응이 불가능한 상황이다.

 

 

창의적인 노력이나 고민은 어디에 있었을까? 현상을 지배할 만한 창의적인 노력은 어디에 있었을까?. 당장 내일의 매출을 고민하는 것도 중요하지만 연구와 치열한 고민이 부족하였다. 인력 부족은 늘 상 언급 되는 것이지만 상반되는 각고의 노력이 없는 일상적인 불만이나 고민은 사소하게 치부될 따름이다. Security라는 측면에서 IT서비스를 보호하기 위해 얼마나 많은 노력을 하였는지 냉철하게 되짚어 볼 필요성이 있다.

 

SQL Injection이나 XSS 취약성을 막기 위해 Web 보안 장비를 도입을 한다. 그러나 여러가지 방안에 의해 우회가 계속 되고 있고 새로운 유형의 문제들이 계속 발생이 된다. 지금의 Wild network 현장은 2000년 이전의 정형화된 패턴의 문제들이 존재하는 환경이 아니다. 지금의 환경은 다양한 웹 솔루션의 개발과 환경의 발전으로 다양한 매개체와 환경을 종합하고 분화하며 또 새로운 부분을 만들어 낸다. 즉 문제도 매우 빠르게 진화하는데 고정적인 패턴만으로는 금새 한계에 부딪힌다.

 

개인정보의 유출을 막기 위해서는 노출되는 요소를 줄이는 것도 중요하지만 기술적인 부분에서 큰 방향성을 잡고 세부기술로 적용하는 것이 필요하다. 현상만을 바라 보는 것은 기둥도 없는데 큰 비를 막고자 지붕만 올린 상황이다. 기둥이 중요하다. 지금 국내의 정책 현실은 어떠한지도 되돌아 볼 필요가 있다. 비가 가랑비라면 다행이나 가랑비가 아닌 폭우가 내리는데도 기둥 없는 지붕만 수선을 하고 있지는 않은지 느껴야만 될 것이다.

 

 

정보와 지식을 공유하고 또 하나의 실제와 연계된 생활이 이루어 지고 있는 현재의 IT 서비스는 개인정보 유출을 위한 악성코드와 IT 서비스를 직접 위협하는 DDos 공격 유형으로 인해 압박을 받는 형국에 처해 있다.  이제 살릴 수 있고 보호 될 수 있는 큰 그림은 무엇이 있을지 짚어 보도록 하자.. 계속.

 

 

 

Posted by 바다란

안녕하세요. 바다란입니다.

 

전체적인 이슈 사항이 의미있고 중차대한 부분을 지니고 있어서 올리게 되는 글입니다.

개인적인 의견이므로 개인적인 의견으로 참고하시고 의견 주시면 되겠습니다.

 

IT 서비스 보호를 위한 개인 제안 -1

                                                                  Write by p4ssion.

지금의 IT 서비스는 사회 전반에 걸쳐 많은 영향력을 끼치고 있으며 생활상에 있어 지대한 영향을 미치고 있다. 모든 공공서비스 및 생활 관련된 부분에 영향을 미치고 있으며 또한 시너지 효과를 냄으로 인해 사회의 발전과 프로세스의 개선, 국가의 발전에 큰 기여를 하고 있다고 볼 수 있다. 유형/ 무형의 IT 서비스 부분에서 지금까지 가장 크게 강조된 부분은 유형의 물리적인 장비 부분이 두각 되었으나 지금도 모습을 갖추고 있는 서비스로서의 발전 부분은 향후 더욱 큰 역할을 할 것이 자명하다.

 

IT 서비스의 보호라는 관점이 왜 지금 시점에 중요한 것일까? 국내의 서비스는 시간이 지날수록 IT 서비스와 밀접한 관련을 가지게 되고 사회적으로도 더 큰 영향력을 미칠 수 밖에 없다. 단순하게 공격을 받거나 영향을 받는다는 점은 하나의 개별 서비스가 문제가 되는 것이 아니라 연관된 다른 부분들까지도 영향을 받는다는 것과 동일선상에서 볼 수가 있다.  지금까지는 보안전문 업체 및 네트워크 장비, ISP 등에서 많은 취약요소와 문제점들을 커버 하였으나 지금 서비스 보호를 위한 제안을 하는 시점에서는 한계치에 도달 했다고 판단된다. 한계치라는 것은 개별 서비스 단위에서 보호를 할 수 있는 시점이 아니라는 점이다.

 

국내의 110만여 개 이상의 웹 서비스가 활성화 되어 있고 전국민의 2/3 가량이 인터넷에 노출이 되어 있는 상황에서 시급하게 해결을 해야만 하는 문제들이 돌출 되고 있으며 초기 단계에서 해결 방안을 수립 하지 못할 경우 향후에는 더 큰 피해를 감당해야만 할 것이고 그때에는 지금 보다는 더욱 큰 충격이 있을 것으로 예상이 된다.

 

개인적인 입장에서 현재 발생 되고 있는 Security 관련 이슈들은 중대한 국면에 진입 하였으며 IT 서비스 전체에 영향을 미칠 수 있는 사안으로 볼 수가 있다. 많은 부분을 논하기 보다는 Security라는 측면에서의 위험도와 영향력을 살펴 보도록 한다.

 

크게 DDos 관점과 악성코드의 관점 두 가지 측면에서 살펴 보면 전체의 위험성이 간결하게 드러날 것이다.

 

http://www.hankyung.com/news/app/newsview.php?aid=2007062556301

올해 상반기에 있었던 에스토니아의 시스템 중단과 관련된 연관 기사이다. 에스토니아의 경우 기사에서 설명하듯이 전국민의 절반 이상이 IT 서비스를 이용한 생활을 하고 있었으나 3주간에 걸친 DDos 공격으로 인해 이동통신망 및 은행 , 공공 서비스 등이 전면 중단되었음을 확인 할 수 있다.

 

l       DDos에 대한 사전적인 정의는 여기를 참고하자.

http://terms.naver.com/item.nhn?dirId=700&docId=3305

 

일반적으로 DDos란 대량의 접속 요구를 시스템에 집중 시켜 정상적인 처리를 하지 못하도록 하는데 있다. 다만 2000년 초에 있었던 DDos 유형과 지금의 DDos 유형과의 차이점은 보다 더 교활해 졌다는 점에 차이가 있으나 근본 유형은 동일하다 할 수 있다. 변화된 유형에 대해서는 포괄적인 방식과 유형에 대해서만 간략화 하도록 한다.

일반적인 사용자들이 알고 있는 유형의 서비스 거부 공격은 DoS 공격이며 하나 혹은 소수의 시스템에서 과다 접속을 일으키는 유형이다. 해당 유형은 대부분 네트워크 장비나 보안 장비에 의해서 걸러지며 전체 시스템에 영향을 미치는 비율은 매우 미미하다. 그러나 현재에 발생되고 있는 유형은 대규모 시스템을 동반하는 DDos가 일반적인 유형이다.

 

최근 가장 이슈가 되고 있는 아이템 거래 업체에 대한 DDos 유형은 특이할 만한 사항이 존재한다. 이 특이 사항으로 인해 본 제안을 작성하게 되었다.

 

http://www.inews24.com/php/news_view.php?g_serial=289309&g_menu=020500

http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1000325793

 

아이템 거래 업체에 대한 DDos 공격으로 인해 추석 이전부터 3주 가까이 모든 아이템 거래 업체의 서비스가 중지 되었으며 일부 업체는 ISP와의 계약 해지가 되기도 하였다. ISP의 계약해지는 전체 ISP내의 가입자를 보호하기 위한 조치이나 서비스 산업을 붕괴시킬 수도 있는 단초를 제공하고 있다.

 

이번 DDos 공격의 특징은 다음과 같다.

 

l       대량의 국내 DDos Agent 운용

l       국내의 개인 PC DDos Agent 유포를 위해 웹 해킹을 사용함

l       컨트롤 서버를 찾기 어렵도록 다단계 형태의 컨트롤을 사용함

n         상위 명령 서버 -> 여러 단계 , 수십 대의 중간 컨트롤 서버 -> 최종 Agent

l        트래픽 랭킹 100위 이내의 업체에 대한 과감한 공격

l       실시간 공격 유형의 변화 UDP, TCP , ICMP

 

일반적인 기사로 보면 중국에서 해당 트래픽이 유입된 것으로 오해하기가 쉽다. 그러나 현재 발생하고 있는 DDos 공격은 국내에서 대부분 발생이 되고 있다. 다만 해외에서 컨트롤을 하고 있는 유형이며 국내의 취약한 서비스들을 통해 다수의 불특정 사용자에게 악성코드를 유포하고 있으며 기존의 사용자 정보의 탈취에서 벗어나 시스템에 대한 완벽한 제어 , 실시간 통제, DDos 공격 기능 과 같은 종합적인 기능이 포함된 악성코드를 통해 IT 서비스 전체를 위협하고 있음을 알 수 있다.

이번 2007 9월부터 시작된 DDos 공격 유형은 이미 지난해부터 금전을 요구하는 DDos 해킹이 일반적으로 있었으나 이번에는 공개적으로 드러내 놓고 진행 했다는 점이 차이가 있다. 그만큼 운용 도구의 폭과 공격의 유형을 다양화 해 놓았을 것으로 판단된다.  이번 공격에서 유추된 기존의 DDos와의 차이점은 다음과 같다.

 

l       실시간 통제

n         기존의 IRC Bot과도 유사하다고 볼 수 있다. Virut 바이러스도 특정 사이트에 대한 DDos 공격 유형을 가지고 있었으나 고정된 주소와 고정된 공격 유형을 가지고 있었다는 점이 다르다. 즉 실시간 통제가 된다는 이야기는 공격 대상의 변경과 공격 방법의 변경이 실시간으로 가능하다는 점이며 이 실시간 통제로 인해 기존의 DDos 대응 방법으로는 대응에 어려움이 존재하였을 것이다. 그래서 트래픽 규모로 상당한 수준에 있는 사이트 임에도 불구하고 속수무책 이였을 것으로 예상된다. 공격하는 Agent를 실시간으로 다양한 트래픽의 공격을 수행하는 것이 가능. TCP , UDP , ICMP 각각에 대해 공격 유형이 있을 수 있으며 고정된 패턴을 가지지 않다 보니 차단과 식별에 어려움이 존재 하였을 것이다. 또한 공격 IP를 위조함으로써 차단 및 식별에 혼선을 많이 주었을 것이다.

n         명령 서버와 Control 서버의 분리 및 다수의 중간 명령 서버 활용 하여 공격이 사이트 차단으로 인해 중단 되는 점을 예상하고 대응 방안을 수립하였다. 정확하게 이번 이슈와 관련하여 중간 전달 서버가 몇대가 존재하는 지는 정확한 파악이 어려울 것으로 보인다. 또 컨트롤이 직접 가능하다는 점에 있어서 수시 변경이 가능한 부분이다.

 

l       Web을 통한 DDos 공격 모듈의 유포

n         보다 진보된 공격 유형의 하나로 볼 수 있다. 이전까지의 웹을 통한 악성코드 유포는 사용자 정보 획득을 위한 동향으로 확인을 할 수 있는데 이제는 Web을 통한 악성코드 유포가 DDos 기능 및 원격 컨트롤 기능까지도 보유함을 볼 수 있다. 지금까지의 대응 방식으로는 한계를 보일 수 밖에 없으며 신규 유형의 악성코드일 경우 ( 기존 AV 업체들이 발견된 샘플에 대해서만 대응을 한다고 보았을 때 사용자의 시스템에 특별한 영향을 주지 않거나 인지가 어려운 악성코드의 경우 발견 및 탐지, 대응이 매우 어려울 것으로 예상된다.) 폭 넓은 전파 범위를 지님으로 인해 빠른 시간에 최대의 효과를 거둘 수 있는 공격유형으로 정의가 가능하다.

l       트래픽 랭킹 상위 업체에 대한 노골적인 공격

n         그동안 DDos 공격이 이루어진 업체는 드러내 놓고 사업을 하기 어려운 부분의 서비스 업체이거나 영세 업체가 주를 이루었으나 아이템 거래 업체에 대한 공격은 트래픽 상위랭킹에 포진한 업체를 대상으로 과감하게 이루어졌고 3주 이상을 정상 서비스를 불가한 상태로 몰아 넣은 것으로 볼 때 향후에는 ( 머지 않아..) 그 이상의 상위 랭킹 서비스 업체에도 영향 및 파급효과가 있을 것이다. 더욱이 더 이상 노출 되는 것을 두려워 하지 않는 대담한 공격은 지금까지의 작은 업체들에 대한 공격을 통해 대응이 어려움을 인지한 것도 영향이 있을 것이다. 지금까지 DDos 측면에 대한 대응 측면에서 트래픽의 과다한 유입을 해소하는 측면에만 방향성을 맞추었는데 더 이상 물리적으로 해결이 어려운 상태에 도달 하였고 이 점은 국지적인 대응이 아닌 전체 서비스 차원의 일원화된 대응이 필요함을 상기 시킨다. ( 이 부분에 대한 내용은 마지막 Article에서 단계별로 나누어 설명을 하도록 한다.)

 

앞서 언급한 세 가지의 특징으로 미루어 보아 Attack Trend를 갱신 해야 할 필요성을 느꼈으며 갱신된 결과는 다음과 같다.

그동안 알려진 일반적인 공격 유형에서 Hybrid DDos Attack이 추가 되었으며 Hybrid라는 의미에는 프로토콜의 자유자재 변경만이 있지는 않다. 명령 서버와 컨트롤 서버를 이용한 구조 및 실시간 통제가 가능한 점에서 기존의 획일화된 공격 Agent와 다른 유형을 포함한다. 또한 유포 방법에 있어서도 웹을 통한 악성코드 유포가 사용이 되어 보다 더 폭넓고 불특정 다수에 대한 공격코드의 설치가 가능해진 점도 Hybrid라는 의미에 포함 될 수 있다.

공격 기법적인 측면에서는 다음과 같이 볼 수 있다.

 

붉은색으로 표시된 부분을 보면 자동화된 툴을 사용함으로 인해 공격자들의 수준이 낮아졌으나 현재는 우회 혹은 컨트롤 하는 기법들이 복합화 됨에 따라 지식수준도 상향 되고 있는 것으로 보인다. 웹을 통한 악성코드 유포에 DDos 기능까지 첨가된 악성코드가 웹을 통해 유포됨으로 인해 현재의 서비스 환경은 아는 자들에게는 재앙과 같은 현실이고 그렇지 않은 자들에게는 답답한 현실이다.

...계속.

Posted by 바다란