태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'취약성'에 해당되는 글 30건

  1. 2010.04.27 Security Paradigm의 변화와 현재의 위협
  2. 2010.04.27 IT 위험에 대비하기 위한 해커 집단의 필요성
  3. 2010.04.27 Defcon CTF 그리고 한국의 보안
  4. 2010.04.27 BlackHat의 Web Worm 경고
  5. 2010.04.27 해외진출 시의 보안 가이드
  6. 2010.04.27 진정한 넷보안이란?
  7. 2010.04.27 유비쿼터스 환경에 다가오는 위협
  8. 2010.04.27 안연의 시큐브레인 인수에 대한 사견
  9. 2010.04.27 보안패치 510만대
  10. 2010.04.27 보안에 대한 컬럼을 쓰는 의지
  11. 2010.04.27 보안성 검수가 왜 중요한가? - 바다란
  12. 2010.04.27 만두...멸치..그리고 CCRA
  13. 2010.04.27 기업이나 사회의 보안에서 가장 중요한것! TCG?
  14. 2010.04.27 개인을 위한 개인 정보 보호 실천 가이드 - 바다란
  15. 2010.04.27 1.25 대란에 대한 뒷담화.!. 개인 생각
  16. 2010.04.27 Security Paradigm의 변화와 현재의 위협
  17. 2010.04.27 IT 위험에 대비하기 위한 해커 집단의 필요성
  18. 2010.04.27 Defcon CTF 그리고 한국의 보안
  19. 2010.04.27 BlackHat의 Web Worm 경고
  20. 2010.04.27 해외진출 시의 보안 가이드
  21. 2010.04.27 진정한 넷보안이란?
  22. 2010.04.27 유비쿼터스 환경에 다가오는 위협
  23. 2010.04.27 안연의 시큐브레인 인수에 대한 사견
  24. 2010.04.27 보안패치 510만대
  25. 2010.04.27 보안에 대한 컬럼을 쓰는 의지
  26. 2010.04.27 보안성 검수가 왜 중요한가? - 바다란
  27. 2010.04.27 만두...멸치..그리고 CCRA
  28. 2010.04.27 기업이나 사회의 보안에서 가장 중요한것! TCG?
  29. 2010.04.27 개인을 위한 개인 정보 보호 실천 가이드 - 바다란
  30. 2010.04.27 1.25 대란에 대한 뒷담화.!. 개인 생각

http://news.naver.com/news/read.php?mode=LSS2D&office_id=092&article_id=0000008198&section_id=105&section_id2=283&menu_id=105

 

보안 기술은 계속 발전 하고 있고 보안을 주 업종으로 삼고 있는 기업들은 공격을 충분히 제어 하고 있다고 말합니다. 모든 솔루션을 도입하면 문제가 해결 되는 것 처럼 이야기 하고 실제로 논의 하고 있으나 현재의 위협은 보다 더 사용자와 기업에게 가까워져 있습니다.

 

솔루션의 도입으로 처리 될 수 있는 문제는 이미 지나간 문제이며 개발 시점에 또 다른 위협요소가 발견이 되고 있고 문제가 되고 있습니다.

Zeroday Attack [ 취약성에 대한 패치가 나오기 이전에 공격 코드가 출현하는 것 ]과 Monster Bot [ 하나의 취약성을 공격하여 수십가지 이상의 공격 도구 및 취약성을 통한 확장을 시도하는 Bot]의 출현은 현재 전 세계의 IT Infra가 직면한 위협입니다.

 

공격 대상이 기업 단위를 넘어 직접적인 사용자 단위에 까지 접근 하고 있어 IT산업을 주된 영역으로 하는 인터넷 비즈니스 기업외에도 일반 기업에게도 직접적인 위협 대상이 되며 보안이 강화되지 않은 기업의 정보들은 일반 사용자들 대다수의 개인정보 및 중요정보를 노출 시키고 문제화 되게 만들고 있습니다.

 

 

솔루션의 도입은 타당합니다. 그러나 정답은 아니라고 할 수 있습니다. 솔루션은 점점 더 늘어만 가는데 하는 일은 줄어 들지 않습니다.
오히려 더욱 많은 부분을 신경 써야 하고 Super Extra에 해당되는 능력을 요구하고 있습니다.  왜 그럴까요?

 

앞서 말씀드린 위협의 실제적인 출현과 비지니스에 직접 영향을 줄 수 있는 범주의 공격은 많은 부분을 고민하게 만들고 기술의 발전은 많은 구성요소에 대한 직접 검토와 검수가 필요한 부분이며 인프라에 대한 위협을 낮추기 위해서는 내.외부의 위협을 검토하고 조정해야 하는 수많은 일들이 지속적으로 증가할 수 밖에 없기 때문에 앞으로도 IT산업이 발전 할 수록 일은 더욱 늘어날 것입니다.

 

빠르게 발전하는 위협에 대한 대응은 같은 속도로 진화해 갈 수 있는 동일한 능력을 보유한 White Group에 의해 이루어 질 수 있습니다. 그러나 모든 회사가 White Hacker 그룹을 보유 할 수는 없습니다. 그리고 개별 회사의 뛰어난 능력을 모든 산업을 위해서 쓸 수도 없습니다.  너무나도 많은 희생이 필요하기 때문이죠. 회사든 개인이든..

 

공격 기술이든 보안 기술이든간에 서로 발전하고 있고 발전의 폭은 공격 기술이 더욱 높습니다. 모든 것을 함께 공유하여  새로운 시도가 이루어 지기 때문인데 보안 기술은 그렇지 못하고 있습니다. 공유의 폭도 좁으며 공유 할 수 있는 정보 자체도 한계가 있습니다.

앞으로도 더욱 큰 차이가 발생 할 수 있을 것으로 판단되며 전문인력을 보유하여 업무 전반적인 부분에 보안 프로세스가 스며 있어서 습관화된  기업과 그렇지 못한 기업의 차이는 단 한번에 극명하게 차이가 날 것입니다.  인력의 보유가 전부가 아닌 업무 프로세스 전반에 걸쳐 보안 관련 부분이 스며 들어 있고 분명하고 명확한 의사결정 및 정책의 지지에 의해 차이는 더욱 극대화 될 것입니다.

 

글로벌 기업일 수록 더욱 더 실감할 수 있는 위협은 이미 너무 가까이에 다가와 있으며 언제든 현실화 될 것입니다.


 

보안 기술은 빠르게 발전 합니다.

그러나 보안기술 보다 더욱 빠르게 발전하는 것은 공격에 관련된 기술입니다.

일명 BotNet 이라 불리는 좀비 PC [ 취약성을 공격하여 권한을 획득한 PC] 를 이용한 거대한 컨트롤 공격의 위험도도 상당히 높은 상태입니다. 보안 기술은 이제 외부의 위험으로 부터 보호하는 정책으로 급격하게 선회 하였으며 해당 정책에 따라 외부의 위험으로 부터 격리 시키는 정책과 기술적인 대책이 가장 중요하게 취급이 되고 있습니다. 일반적인 기업의 경우 외부의 위험으로 부터 격리 시키는 것은 그리 어렵지 않습니다.


그러나 IT 기반의 영역을 주된 사업 기반으로 지니고 있는 기업의 경우 고객과의 접점과 회사의 이익 발생 부분 대다수가 웹 및 인터넷을 이용한 영역이라 외부의 위험으로 부터 격리 시킨다는 것이 가장 어려운 영역의 일이 됩니다.

 

계정과 접근에 대한 일관된 프로세스 및 기술적인 대안이 명확해야 하고 Identity 관리 부분에 있어 직원이나 외부의 고객이 접근 하는 통로에 대해 분명한 가이드와 명확한 정책 , 일관된 방침이 유지가 되어야만 위험요소를 줄일 수 있습니다.

 

공격 기술의 발달과 보안 기술의 발달 측면에서 현재는 소수의 공격자가 대규모의 공격 가능 자원 [ 좀비PC Network - BotNet]을 이용하여 개별적인 대응외에는 종합적인 대응이 어려운 개개의 산업을 위협하고 있는 형국입니다.

보안 분야의 Role을 수행하는 그룹이나 팀에게는 보다 더 편리하고 편리성에 기반한 오픈을 요구하고 있으나 외부의 위협을 분명히 인지하고 있는 팀에게는 위험부담이 크며 또한 관리 포인트가 급격하게 증가하는 위험성이 동시에 존재하고 있습니다.

편리성과  보안성은 예전부터 상극을 이루고 있었으나 기업의 비지니스에 치명적인 영향을 줄 수 있으므로 편리성에 대한 약간의 양보가 지속적으로 요구 되며 보안 강화를 위한 아이덴티티 관리 [ 계정 , 접속 보안 강화 ]에 명확한 이해가 수반 되어야 합니다.

 

기업의 비지니스를 지키기 위한 노력은 앞으로 Infra 측면에서 심대한 노력이 필요할 것으로 판단되며 노력을 하는 기업과 그렇지 못한 기업의 차이는 매우 클 것입니다. 분명해질 시점은 지금 부터 이겠죠.

 

- 바다란 . p4ssion

 

* 아래의 이미지는 Security  관련 패러다임이 어떻게 변경 되었는지를 구분짓는 내용입니다. 격리에서 보호로 선회한 가장 큰 이유는 자동화된 공격 및 자동 전파되는 Worm에 의해서 라는 것이 정답입니다.  그 누가 뭐라해도 이 과정을 모두 지켜보고 직접 대응한 입장에서 현재의 패러다임 변화는 명확합니다. ^^;  - 클릭 하시면 큰 그림으로 ^^
Posted by 바다란

http://news.naver.com/news/read.php?mode=LSS2D&office_id=092&article_id=0000007823&section_id=105&section_id2=283&menu_id=105

 

다 알고 있는 사실들이지만 공개적으로 언급을 해보자.

 

대부분의 관리자는 어떻게 하면 내부 네트워크를 안전하게 지키고 보호 할 수 있는지에 대해서 알고 있다. 그리고 내부 네트워크를 지키기 위해서라면 내부의 구성에 대해서 철저하게 알고 있어서 문제점 및 취약 부분에 대해서 분명한 이해를 하고 있어야 된다.

그러나 기업의 네트워크망은 발전을 하는한 계속 확장되기 마련이고 현재와 같은 전자금융 및 전자거래의 증가 , 인터넷 비즈니스의 확장에 따라 확장은 필연적이다. 작은 회사의 스위치 몇 대와 한정된 시스템 자원의 운영시에는 관리자의 관리포인트는 작을 수 밖에 없다. 또한 중점 관리 대상도 한정이 될 수 밖에 없다. 이 과정에도 난점이 존재한다.

 

보안 관리자의 기본 요건을 완비하기 위해서는 최소한 IT보안 부분에 한정해서 보았을때 다음과 같은 필요성이 요구된다. 기본전재로 서비스의 구성은 다음과 같이 이루어 진다. 네트워크 인프라 + 시스템 자원 + Application  이외에도 인력에 대한 통제 및 내부 기밀 유출 방지등에 대한 다양한 시각이 있을 수 있으나 여기에서는 IT보안 부분에만 한정하여 보기로 하였으므로 위의 세가지 부분에 대해서 언급을 해보겠다.

 

 

1. 네트워크 보안 지식 - 기본적인 네트워크 단위의 구성과 보안 구성을 위한 안을 고민 할 수 있어야 하고 보다 더 안전하고 내부를 보호할 수 있는 단위를 고민할 지식 및 역량이 있어야 한다.

 

2. 시스템 보안 지식 -  네트워크 장비를 제외한 대부분의 장비가 운영체제가 설치된 시스템들이다. 이 시스템의 운영체제는 독특한 경우를 제외하고는 여러 종류의 운영체제가 설치가 되며 모든 부분에 통달 하지는 않더라도 근본 구성 요소 및 전체적인 지식을 포괄적으로 알고 있어야 하며 몇몇 운영체제에 대해서는 심도 있는 지식이 필요하다. 또한 이러한 지식을 바탕으로 기본 보안 룰 및 보안 정책을 수립 할 수 있어야 한다.

 

3. Application  - 운영체제 위에 올라가는 Application도 다양한 종류가 존재한다. Database solution , Web Solution 등등 이루 말할 수 없는 수많은 종류의 Application이 존재한다. 또한 직접 개발하여 운영중인 웹페이지나 솔루션들도 회사나 서비스의 규모에 따라 매우 많은 종류가 존재하며 동일한 플랫폼을 운영하지 않는 경우에는 다양한 프로그래밍 및 기법이 적용된 수많은 Application이 존재하게 된다. 근래에 더욱 중요하게 여겨지는 부분인데 Application에 대한 공격이 지난해 초 부터 급증을 하는 것이 현실이다. 각 개별 Application들의 문제를 이용한 웜이나 바이러스 그리고 정보를 유출하기 위한 악성코드등이 다수 설치가 되며 내부 기밀정보가 저장된 DB의 권한을 손쉽게 획득하는 등 다수의 위험성이 증가하고 있으며 향후에도 매우 증가할 것으로 예상이 된다. 따라서 보안 관리자에게는 그동안의 네트워크 통제 및 시스템에 대한 지식외에도 다방면의 Application에 대한 지식 및 프로그래밍의 허와 실을 지적할 수 있는 능력이 시급하게 필요한 상황이다.

 

위의 세 가지 외에도 필요한 부분들은 다수가 있을 수 있으나 가장 시급하게 필요한 부분은 위의 세 부분이다. 특히 네트워크 및 시스템 지식을 지닌 보안 관리자들은 다수 있으나 Application에 대한 지식이 없거나 부족한 관리자들이 많아 현재도 상당한 위험에 노출이 되어 있는 상황이며 보안 솔루션으로 해결하기에는 문제의 발생 이후 대응 하는 기간이 짧아 보안 솔루션의 시기 선점이나 연구는 조금씩 대응이 늦어지고 있고 그 간극은 더욱 차별화 될 것으로 보인다.

연구 역량을 지닌 몇몇 거대 기업에 의해 선점될 이슈로 인해 작은 보안 회사들의 생존은 힘들어 질 것이고 독점에 의한 고가의 제품들로 인해 역량있는 보안전문가 집단을 보유하지 못한 회사들은 많은 비용 부담을 책임질 수 밖에 없을 것으로 판단된다.

 

보안은 결과가 아닌 과정이다.

비지니스의 연속성을 보장하는 필수적인 과정이며 IT가 발달 할 수록 인터넷 문화가 발전 할 수록 더욱 더 필요한 부분이 될 수 밖에 없을 것이다.

 

그렇다면 현재 상태에서의 문제 해결은 무엇이 될까?

관리자가 감당하기에는  벅찬 시스템 및 네트워크의 자원 그리고 공격자들의 빠른 전환과 자동화된 공격 , Application 전체적인 레벨 유지 및 보안상의 문제들 , 대규모 악성코드 및 커널레벨까지 컨트롤 하는 시스템 백도어들의 출현 등등

 

위의 문제들은 규모가 있는 회사 일 수록 더욱 심각하게 다가오는 문제들이다.

기사에서 언급된 방안도 고민할 수 있는 방안이며 현재로서는 유일한 대안이라고도 할 수가 있을 것 같다. 공격자의 입장에서 내부에 문제는 없는지 여러 점검포인트들에 대해서 핵심을 짚고 각 해당 점검 포인트 별로 순차적인 문제 해결을 위한 점검을 실제 공격자의 입장에서 진행을 한다면 드러나는 문제점들에 대해 손쉽게 공격을 당하거나 노출된 취약점들을 지속해서 줄일 수 있을 것이다.

 

IT보안이라는 것이 더욱 중요한 시기이고 문제를 해결 하기 위한 노력도 더욱 증감 되어야 한다. 그러나 현재 상태는 고가의 장비를 도입한다고 하여 점검포인트 전체를 커버 할 수는 없으며 유일한 방안은 점검포인트를 분명히 체크 할 수 있고 명확한 방침을 가지고 운영을 하여야 하며 뛰어난 전문가 집단을 외부에서든 내부에서든 수시로 활용이 가능하여야 한다. 여력이 되는 회사라면 내부에 운영하는 것이 기밀 및 전체적인 보안 수준의 향상에 큰 기여를 할 것이고 그렇지 않은 기업이라면 외부에서 주기적인 점검을 통해 체크를 하여야 한다.

점검포인트 측면에서 아무래도 외부에서 접근을 하는 경우에는 놓치는 곳들이 있을 수 밖에 없으므로 문제는 계속 될 것이지만 드러난 위협을 줄일 수는 있을 것이다.

 

정리하면 다음과 같다.

 

* 점검포인트를 명확하게 규정하고 주된 위협지점을 찾을 수 있는 역량 있는 자의 충원

* 역량 있는 자의 충원 이후에 시스템 및 Application 단위의 문제점을 지적할 수 있는 전문가 집단의 충원 혹은 외부 동원을 통한 상시진단.

* 문제의 수정 및 신속한 보안 대책 수립 및 이행

 

원론적인 이야기 이지만 IT보안에 있어서는 근본적인 대책이며 현재 다수 발생하고 있는 Application 관련 보안 사고 및 문제들을 최소화 할 수 있는 기본 방안이라 할 수 있다. 변화하는 위협에 대처하기 위해서는 전문가 집단의 확보는 필수라고 할 수 있다. 위협은 너무나도 빨리 변화고 수시로 큰 위협으로 돌변함으로 준비하지 않는 기업이나 산업에는 재앙으로 다가 올 수도 있을 것이다.

 

감사합니다.  - p4ssionable security explorer  바다란

 

 

Posted by 바다란

Defcon과 BlackHat은 서로 양립하는 존재입니다.

그리고 동시에 개최가 됩니다.

보안과 해킹은 서로 상극이면서도 가장 밀접한 관계이기에 더욱 그렇습니다.

 

매년 8월쯤에 미국에서 Defcon과 BlackHat 에서 해킹과 보안 관련된 세미나 세션들이 개최가 됩니다.

CTF란 용어는 왠만한 해킹/보안 컨퍼런스에 나가시면 항상 이루어 지는 세션입니다만 정확한 의미는 공격과 방어를 누가 더 잘하는가 입니다.

 

문제점을 찾고 또 그 문제점을 수정하고 방어하고 공격하여 최고의 점수를 획득한 팀이 우승을 하게 되죠.

CTF 세션의 원조는 Defcon이며 세계 최고수의 공격/방어 전문가들이 나타나는 것으로 유명합니다.

그동안 이런 부분에 대해서 소개할 좋은 기회가 없었는데 보안뉴스에서 기획기사로 연재를 하여 소개 하여 드립니다.

 

세계 최대 해킹대회 ‘데프콘 CTF’ 그 현장속으로…①   

http://www.boannews.co.kr/media/view.asp?page=1&gpage=1&idx=3522&search=title&find=&kind=2

 

세계 최대 해킹대회 ‘데프콘 CTF’ 그 현장속으로…②   

http://www.boannews.co.kr/media/view.asp?page=1&gpage=1&idx=3523&search=title&find=&kind=2

 

세계 최대 해킹대회 ‘데프콘 CTF’ 그 현장속으로…③   

http://www.boannews.co.kr/media/view.asp?page=1&gpage=1&idx=3524&search=title&find=&kind=2

 

아시아권역에서는 14회 대회동안 본선진출팀 조차 여지껏 없었습니다.

이번에 최초 본선진출에 6위를 하였네요. 준비도 많이 못하고 장비도 열악한 상황에서  본선진출 8개팀중 한국을 제외하고는 십여명 단위였는데 한국팀은 핵심멤버도 비자문제로 못간 상황인 환경에서 이뤄낸 결과라  매우 값진 결과라고 생각 합니다.

 

우물안에서 안주하고 서로를 비난하고 기를 죽이고 할때 세계 무대에서는 보다 더 나아가기 위한 활발한 토론 및 연구가 이루어 지고 있습니다. 보안과 해킹은 모순되지만 가장 가까운 부분이며 출발지는 서로 달라도 한번 돌고나면 같은 지점에 있을 수 밖에 없는 뫼비우스의 띠와 같은 분야 입니다.

 

해킹을 못하면서 보안을 한다는 것과 보안을 한다면서 해킹이 어떤 유형으로 발생 하는지에 대해서 이해를 못한다면 지금과 같은 글로벌 비즈니스 산업 특히 국경이 없는 인터넷 분야에서는 치명적으로 낙오 될 수 밖에 없습니다. 글로벌 기업에 대해서는 더더욱 심각한 문제가 됩니다. 어떠한 목적으로 이용하느냐에 따라 크래킹과 해킹으로 구분 할 수 있지만 CTF와 같은 세션은 해킹이며 더더욱 발전을 위한 해킹이 됩니다.

 

지금껏 국내에서는 크래킹과 해킹의 구분없이 무작위적인 단속 강화로 인해 많은 인력들이 사장 되고 분야를 등졌지만 나비효과처럼 피해가 극대화 되는 시점에서는 잃어버린 지식을 찾기에는 매우 어려울 것입니다. 전반적인 인력의 양성과 분야에 대한 긍정적인 지원 효과가 있을때 인터넷 산업의 국제화도 활발해 질 것입니다.

 

국내 게임 산업에 대해 중국 크래커들이 무작위로 공격을 시행 하고 있습니다. 그러나 그들을 처벌 할 방안은 존재 하지 않고  전문화되고 깊이 있는 공격을 막기 위해서는 분석이 필수적이며 공격자의 의도와 기법을 분석할만큼의 능력을 지니고 있어야 합니다.  

공격자의 관점에서 바라보는 것도 대응에 매우 중요한 부분입니다.

이런 부분을 제대로 할 인력이 부족했고 인식이 부족 했었기에 지금까지도 피해가 지속이 되는 것이며 해외 진출 기업들에게도 [특히 인터넷기업] 치명적인 영향을 미치고 있습니다. 각 국가마다 개인정보보호의 영향이 매우 크게 작용하고 있는 국제 비지니스 환경의 변화도 큰 부담이 됩니다.

 

조그마한 취약점을 통해 사용자 정보가 유출 되었을 경우 국가마다 차이는 있으나 심한 경우는 사업에 중대한 Risk가 되고 있는 상황입니다.

무엇이 중요한 부분일까요? 조금만 더 멀리 보았다면 지금과 같지는 않을텐데.. 하는 생각 많이 듭니다.

그 시대의 나름대로 이유와 당위성은 있었겠으나  잡초제거를 한다고 논을 갈아 엎은 모양새가 되어 있습니다.

부족하나마 이제라도 힘을 모으고 긍정적인 전환을 통해 Global Business 환경에 대응하는 것이 필요할 때는 아닌지...

 

긍정의 힘을 믿는 긍정적인 자세가 필요했는데 사회 전반적으로 그런 분위기가 부족한 것은 아닌지하는 생각도.. ^^;

 

11월의 poc2006 기대가 됩니다. 이제는 바뀌고 변화해야 할때.

Posted by 바다란

http://www.securityfocus.com/news/11405

 

SPI Dynamic의 Hoffman이 지금 라스베거스에서 열리고 있는 BlackHat에서 스크립트를 이용한 공격과 웹 Application을 통한 웜에 대해서 언급을 하였다고 한다. 기사뿐 아니라 실제 발표된 스크립트 문서를 확인해 본 결과 특별하거나 새로운 이슈는 아니라고 판단되며 현재 나온 상황의 종합판이라 할 수 있을 것 같다.

 

이미 2004년말에 출현한 Santy worm을 보며 향후 방향이 어플리케이션으로 넘어감을 예상 할 수 있었는데 앞으로는 더욱 더 심각할 수 있다는 생각을 한다.

 

그 당시에 작성한 문서도 일정부분 참고가 될 수 있을 것이다.

http://blog.naver.com/p4ssion/50001891757

 

Ajax는 사용자의 PC와 사용자의 Client에 많은 기능을 부여하여 원활한 자유도를 확보하는 기법이다. 이 기법의 기본은 Script 베이스로 이루어진다. DOM과 Script간의 비동기적인 통신을 이용하여 유기적인 연결이 되는 것으로 묘사하는 기법이라 할 수 있는데 클라이언트에 자유도를 증가 시킬 수록 문제 심각도는 커질 것임은 명백하다.

 

Myspace의 경우에도 Yahoo Messenger의 경우에도 일반적인 총칭으로 Ajax 라 부를 수 있는데 이런 기능을 직접 활용한 웜의 출현은 지난해 말과 올해들어 충분히 목격을 하였을 것이다.

 

 

마이스페이스를 목표로 한 어플리케이션 웜 과 야후 메신저를 목표로 한 자동 전파 기능을 지닌 코드들의 특징..그리고 향후 나올 가능성이 존재하는 것들에 대한 위험성에는 특정 기업의 Application 에 대한 공격이 증가 할 것이고 온라인화 되는 문화가 한국 내에서는 상당부분 빠르게 발전되어 문제들도 빨리 나타났으나 해외의 경우에는 이제 부터 더욱 더 본격화 될 것이라 본다.

 

이슈의 경우에도 향후 해외에서 적극적인 이슈들이 나올 수 있을 것이다.

 

운영체제의 계정이나 권한 획득이 아닌 온라인 상의 유저들의 정보를 얻기 위한 코드들과 어뷰징이 성행 할 수 밖에 없으며 위험성은 더욱 높아 질 것이다.

 

시스템 자체의 공격이 더 이상 중요하지 않다는 의미는 아니나 또 다른 분야에서의 대형 이슈가 향후에는 출현을 한다는 것이다.

 

크로스 사이트 스크립팅을 막지 않으면 대부분 문제가 발생 할 수 밖에 없으며 모든 문제의 근본은 Validation check에 존재하고 있다. SQL Injection도 마찬가지 이며 CSS Attack도 마찬가지이다.

 

Web Method를 이용한 Application 공격도 충분히 예상을 할 수 있어야 하며 자동화된 공격으로 변질 될 경우의 탐지 로직에 대해서도 보안 전문가라면 충분히 고민을 해야만 한다.

 

이래저래 이슈들은 계속 묻혀져 있다 적당한 시점에 계속 이슈화 된다. 해야 할일들과 그만큼 관심을 두고 정리를 해야 하는 부분들이 많아진 것이라 할 수 있다.

 

올해 BlackHat에는 참가하지 못했지만 여러 발표자료들을 보면서 크고 놀랍고 센셔이널한 이슈들은 아니여도 전문적이고 깊이 있는 분석들을 몇 몇 발견 할 수 있었다.

그 깊이가 또 다른 경험을 낳을 수 있을 것이라 생각된다.

 

간단하게..정리

Posted by 바다란

KISA에서 제작하는 온라인 게임 해킹 대응 가이드에 실린 글입니다.

 

 

해외진출 시의 보안상 주의 사례 :

 

2000년도 이후부터 우리의 온라인 게임들은 해외에 다수 진출 하였다. 현지 퍼블리싱 업체와 손을 잡고 합작 진출을 한 경우와 직접 진출을 한 경우를 볼 수 있다. 대표적인 해외 진출 국가는 중국/일본/미국을 들 수 있으며 국가는 계속 확대 되는 추세이다. 저작권 법이나 불법 운용에 대한 부정적인 인식이 떨어지는 중국의 경우에는 해외 진출 업체가 지난 몇 년간 곤혹스런 경험을 한 적이 다수 있는 상황이다.

 

예를 들어 현지 업체와 계약을 맺고 상용화 단계에 까지 성공을 하였는데도 입금이 되지 않거나 현지 업체가 고객의 결재 내역을 공개하지 않아 정확한 수치를 확인 하기도 힘든 상황을 맞이 하기도 한 상황이 있고 대금 지급과 관련된 분쟁으로 오랜 기간 동안 힘든 싸움을 했던 경우도 있다.

 

섣부른 로컬라이징 서버의 제공으로 인해 권리 주장도 하지 못한 채 Free 서버 및 독자적인 현지 업체의 상용화로 곤란을 겪은 사례도 있어서 주의가 요구된다.

 

일반적으로 해외 진출 시의 검토 단계는 다음과 같이 이루어 진다.

 

사전 조사 -> 진행 -> 계약 -> 계약 이후의 이행 단계

 

사전조사 단계에서는 시장성에 대한 조사 및 현지 업체에 대한 정보 수집 등이 이루어 지며 면밀한 조사가 필요한 부분이다. 각 게임 개발사들에서 실적을 우선적으로 진행 하다 보면 사전 조사 단계에서의 정보 수집 부족으로 난항을 겪을 수 있다.

 

진행:

현지인 Agent 및 퍼블리셔 들과의 미팅을 통해 신뢰할 만한 파트너 관계를 찾는 과정이다. 서비스에 대한 명확한 이해를 하고 있으며 신뢰할 만한 파트너 인지 여부를 확인 하는 과정이 필요하며 상호간의 서비스 진행에 대한 협조 관계가 성립 할 수 있는지 여부를 검토하고 신중하게 진행을 해야 한다.

직접 진출의 경우에는 현지 국가에 대한 법령 및 체제에 대한 이해 및 법인 설립시의 Risk 요인을 검토하고 종합적으로 판단을 내릴 수 있어야 한다.

 

계약:

간접 진출의 경우 계약 단계에서 고려해야 할 사안들이 많다. WTO 가입 이후에도 저작권에 대한 인식이 약한 중국의 경우에는 국내 게임 업체들의 피해 사례도 다수 있는 상태라 여러 부분에서 주의를 기울여야 하는 부분이다. 계약의 당사자가 신뢰할 만한 당사자인지 또는 과거에 피해를 당한 업체가 있는지를 체크하는 것이 필요하며 피해의 원인 분석 및 원인에 따른 대응 단계를 계약 단계에서 명확하게 문서화 하는 것이 필요하다.

 

계약 이후의 이행단계:

명확하게 대금 지급 과정 및 경로에 대해서 계약단계에서 명확하게 기술 하는 것이 필요하며 해당 내용에 따라 이행하는 단계로서 문제에 대한 해결 [ Hacking 이나 Abusing에 대한 대응] 조건 및 소스코드에 대한 관리 및 서버 운용에 대한 책임등을 명확하게 한 후 이행하는 과정을 검토하는 것이 필요하다.

 

일반적으로 사전조사 , 진행 , 계약 , 이행의 단계로 볼 수 있는데 여러 가지 위험요소가 있을 수 있으나 여기에서는 보안 관련된 측면만 살펴 보기로 하자. 해외 진출 시의 주의 사항은 보안적인 측면에서 살펴보면 다음과 같은 면을 살필 수 있다.

 

위험:

1.       소스코드의 유출

2.       Free 서버 운용 [ 서버 시스템의 관리 및 통제 ]

3.       물리적인 서버의 보안

4.       service에 대한 해킹을 통한 정보 유출 및 권한 획득

5.       게임 서비스에 대한 장애 [ 운용상의 미숙 혹은 외부로부터의 DoS 공격]

6.       게임내의 아이템 등에 대한 내부 유출 문제

 

위험 요소는 크게 6가지 정도로 볼 수 있다. 각 항목에 대해 계약 단계 혹은 이행 단계에서 지켜지고 준수할 수 있도록 명확한 명문화된 규정이 필요하며 언급이 있어야 향후 문제 발생시에도 원활한 대응이 가능할 것이다.

 

1.소스코드의 유출

해외 서비스 제공 시에는 소스코드의 유출은 가급적 하지 않아야 하며 컴파일된 형태의 서버 버전 및 클라이언트 버전 제공이 필요하다. 협력사의 현지화 요구로 인해 제출해야 할 경우에는 핵심적인 부분을 제외한 나머지 부분에 대해서 협력을 하여야 하며 핵심 부분의 경우에는 본사에서 직접 처리 하거나 인력을 통해 처리 하여야만 한다. 소스코드의 관리는 접근제어 및 권한에 따른 분명한 접근이 가능하여야 한다. 암호화된 매개체에 저장이 되어야 하며 외부 유출 시에도 암호화 되어 보호가 가능하여야 한다.

 

2.Free 서버 운용

게임서버의 이미지 유출 및 도난 으로 인하여 Free 서버가 운용될 경우에는 현지 업체와의 계약 단계에서 해당 문제에 대한 언급이 있어야 한다. 동시접속자의 감소로 인한 피해를 현지 업체의 문제가 아닌 경우로 판단하고 책임을 미루는 경우가 있으므로 Free 서버 운용에 대해서는 현지 업체에서의 모니터링 및 대응에 대한 책임이 있음을 분명히 하고 책임감을 지닐 수 있도록 하여야 한다. 지속적인 단속의 경우도 해외 진출국에서만 가능한 부분이므로 진출사의 입장에서는 어려운 부분들이 있을 수 밖에 없다.

 

3.물리적인 서버의 보안

대부분 IDC에 서버가 위치하게 되는데 물리적인 접근 제어 및 권한 통제가 분명하지 않은 IDC가 국가에 따라 있으며 IDC라는 용어 자체가 규격화 되지 않은 곳들이 있다. 또한 지방에서 운영되는 영세 IDC의 경우에는 물리적인 보안 요소를 갖추지 못하고 있으므로 서버의 운영 시에는 물리적인 보안 수준을 준수하는 IDC를 직접 확인 한 이후 본사 차원에서 모니터링 하는 것이 필요하다. 웹캠 혹은 추가 비용을 들여서라도 접근을 통제 하는 것이 필요하며 개발사 자체에서 운영을 하는 것이 필요하다. 영세 업체의 경우에는 현지 퍼블리싱 업체와의 계약 단계에서 명문화 하는 것이 필요하며 IDC에 대한 접근 통제 수준을 확인 하는 것이 반드시 필요하다.  서버 자체에도 고유 Mac Address 등을 인식하여 중앙 본사 차원에 접근을 하여야 실행이 되도록 하는 고유 기술을 두어 중앙 통제가 가능하여야만 한다. 최소한 서버의 외부 유출 시에도 정상적인 서비스가 실행 될 수 없도록 하는 보안 장치는 염두에 두어야만 한다.

 

4.service에 대한 해킹을 통한 정보 유출 및 권한 획득

웹 서비스에 대한 수정이나 이벤트 진행 시에 보안상 취약한 부분이 있을 경우 서비스에 대한 해킹이 발생 할 수 있다. 권한 획득도 가능한 취약성들이 다수 있으므로 Database 및 사용자 정보가 보관된 곳은 외부 노출 시에도 문제가 발생하지 않도록 암호화 하여 보관하는 것이 필수적이며 평문 보관의 경우 치명적인 피해를 입을 수 있다. 피해 발생 시에는 피해에 대한 원인 파악에 따라 보상하는 것이 일반적이므로 해당 규정을 명문화 하는 것도 필요한 사안이다.

 

5.게임 서비스에 대한 장애 [ 운용상의 미숙 혹은 외부로부터의 DoS 공격]

운용상의 미숙 및 외부로 부터의 공격에 대해 현지 업체가 원활한 대응을 하지 못하여 서비스 장애가 발생 하였을 경우 개발사의 품질을 의심하는 사례가 다수 있으므로 문제 발생 시에는 판단하게된 기록의 제공 및 대응 내역을 문서화 하여 공조 하는 것을 검토 하여야 한다. 명확하게 하여야만 피해의 원인 파악 및 보상등에 대해서 논의 하는 것이 가능해 진다.

 

6. 게임내의 아이템 등에 대한 내부 유출 문제

현지 업체의 내부자에 의해 접근이 가능한 Admin Tool의 경우 아이템의 외부 노출등 상당한 위험요소가 존재하므로 신뢰성 있는 직원, 정보보호 교육에 대한 의무화 등에 대해서도 검토를 하는 것이 필요하다. Database에 접근하는 모든 로그들은 삭제할 수 없는 형태로 별도 보관하여 차후에 증빙 할 수 있는 자료로 삼아 보상 및 피해 규모를 산정 할 수 있도록 하는 것이 좋으며 초기 서비스 설비의 설계단계에서부터 최종 정보가 위치하는 Database에 대한 접근 기록에 대해서는 별도 관리가 필요하므로 고려 하여야만 한다.  접근 가능자에 대한 축소 및 주기적인 Auditing도 필요한 부분이며 문제 발생시에는 현지 퍼블리싱 업체가 전적인 책임을 질 수 있도록 명문화 하는 과정도 고려 하여야 한다.

 

 

이상과 같이 해외 진출 시 고려 부분들에 대해서 보안이라는 측면에서 간략하게 알아 보았다. 표준적인 내용은 아니며 다수 발생한 사례들을 기준으로 하여 해당 문제들이 발생하지 않기 위해서는 어떤 점을 고민해야 하고 대안으로 무엇이 있을 수 있는지를 간략하게 알아 보았다. 문제가 발생하는 상황은 많으며 계약의 조건도 다를 수 있다. 그러나 기본적으로 발생하는 6가지 형태의 문제들에 대해서 대책을 가지고 해외 진출을 하게 된다면 보안상 발생하는 문제들에 대해서는 일정 수준 이상의 해결 능력을 지니게 될 것이다.

 

written by p4ssion

Posted by 바다란

http://www.zdnet.co.kr/news/enterprise/etc/0,39031164,39149196,00.htm

 

 

Penetration Test 관점에서 가상의 네트웍을 설계하고 각자의 팀에 침입하도록 하는 Capture the Flag를 NSA에서도 하나보다.

 

Homeland Security와 NSA의 구성상 보안적인 측면이 강한데.. NSA의 경우에는 신호, 전자, 통신 정보를 아우르고 Homeland Security는 내부의 보호 및 물리적인 보호를 총괄하는 거대한 집단이다.

 

이 두 핵심에서는 매년 마다 정기적으로 내부 기간망에 대한 테스트를 진행하고 주요 인력들에 대한 교육을 진행 하는데.. 주기적으로 발표된 Homeland Security 부서의 기간망 점검과 그 결과 발표는 미국내의 여러 정부기관에 많은 영향을 끼치고 있다.

 

한번 읽어볼 만한 기사이다.

 

읽어본 기사 중 가장 기억에 남는 부분은... 1~2년을 보호하는 네트워크에 침입하기 위해 노리는 자들이 존재한다는 구절..

 

아무리 보안을 강조 한다 하여도 최소한의 불평으로 최대의 효과를 보장하는 시스템은 어려운것 같다.

 

어느 정도의 과감성과 결단성..그리고 지식과 경험으로 무장된 강인함만이 내.외부 [ 공격자외에 낙하산들을 포함한 내부의 인력]로 부터 지킬 수 있다.

지키고자 하는 대상이 보호하고자 하는 네트워크 이든 기밀정보 이든 또한 자기 자신이든 간에..

 

다음엔 보안관리자 라는 측면에서 잡생각들을 한번 정리해 보도록 하자...~~

'Security Indicator' 카테고리의 다른 글

텔레뱅킹 -해킹  (0) 2010.04.27
최악의 기업 보안 사례 5  (0) 2010.04.27
진정한 넷보안이란?  (0) 2010.04.27
최악의 기업 보안 사례 5  (0) 2010.04.27
중국발 해킹 대규모 확산 우려  (0) 2010.04.27
중국발 사이버 침해 - 조직적, 대규모  (0) 2010.04.27
Posted by 바다란

 

유비쿼터스 환경에 다가오는 위협

국내개발 Application들도 더 이상 안전지대가 될 수 없다


* 2005년 3월에 외부웹 사이트에 올린 글이네요.. ^^; 참고 삼아 물론 내용은 지금도 그대로 이어지는 내용입니다. 현재의 문제점들이 Application의 문제라면 개발된 단편화된 Application 뿐 아니라 웹 과 DB가 연동되는 모든 부분에서 현재는 문제가 발견이 되고 있죠. 앞으로 가야할 길이 많이 남았습니다. 국가전체적으로 본다면 더더욱... 작년 3월에 쓴 글인데..지금과는 얼마나 연관 되는지 또 얼마나 차이가 있는지도 염두에 두시면 재밌을 것 같네요.


안녕하세요. 버그트랙 메일링을 보던 중 samsung 장비에 대한 문제점을 기술한 내용이 있네요. 앞으로 이런 부분을 커버할려면 많이 고생할 듯 싶네요. 메일을 보면서 느낀 점이 있어서 간단히 써봤습니다.


가능성 측면에서 생각을 해보시면 될 듯 싶습니다. 앞으로의 유비쿼터스 환경에서의 발전에 따른 문제들도 계속 되겠죠. ^^; (다른 곳에도 올린 글 중복해서 올립니다. 관심 있는 분들만)



 

취약성에 대한 향후 발전방향 및 예상에 대해 간략한 의견을 말씀 드리겠습니다.


국내 바이러스 백신에 대한 evasion 및 공격 코드가 추가된 웜/바이러스 유형이 출현 한데 이어 하드웨어 및 네트워크 장비에 대한 문제점들이 노출되어 공격이 발생하고 있습니다.


2005년 3월에 발표된 samsung adsl 모뎀에 대한 Default 다운로드의 경우도 상당히 어

##########0*

 

이없는 버그라고 할 수 있겠죠. 더불어 신규로 출현하는 웜에서는 기존 외국회사들의 백신만을 evasion 하고 종료시키는 코드에서 한국내의 백신벤더에 대한 공격코드도 추가 되어 있습니다.


이것은 한국을 공격의 전진베이스로 이용하고 다수의 사용자가 여전히 보안에 취약한 형태인 것을 이용한다는 것을 시사하고 있습니다. 한국을 바이러스 및 웜 전파의 중요한 숙주로 여긴다는 것이죠.


예전 기억을 더듬어보면 2~3년 전쯤에 모 백신회사의 게이트웨이 시스템(일명 바이러스 월)에 대해 root 권한 획득이 가능한 설정상의 오류가 발생되어 긴급하게 패치가 된 것을 볼 수가 있었는데, 국내 제품들이 외국에 다수 알려지고 또한 하드웨어 및 네트워크 장비에 대한 수출 이 진행됨에 따라 문제점이 다수 발견되고 있습니다.


현재까지는 극히 미미합니다. 이 의미는 향후에 급증할 요소가 많다는 점을 이야기하고 있기도 합니다.


security 취약성의 발견 원칙은 가장 간단합니다. ‘가장 많이 사용하는 제품의 취약성을 발견하라, 그리고 그 파급력을 이용하라’입니다.


그동안 국내 vendor 및 제품에 대한 취약성 권고안은 거의 없었습니다. 왜냐하면 알려진 제품이 없었기 때문이죠. 그리고 그럴 가치도 없었구요. 향후에는 좀 더 다르게 진행이 될 것으로 보입니다.


발전을 함에 따라 또 변화를 추구함에 따라 Closed된 네트워크 환경에서 Open된 네트워크 환경으로 전환할 수밖에 없고 공개가 될 수밖에 없습니다. 즉, 국내의 시장에만 한주해서는 기업의 규모를 유주할 수 없는 상황이 전개가 됨으로 인해 국외의 시장에 필연적으로 진출을 해야 하며 이에 따라 Open된 네트워크 환경으로 모습을 나타내는 것이 반드시 필요한 과정이 됩니다.


소프트웨어에 대한 공격도 증가하고 있고 또한 하드웨어 베이스의 제품에 대한 공격도 증가하고 있습니다. 하드웨어 Applience 제품군에 대한 공격도 점차 증가할 것으로 보이는데 지금껏 발견된 국내 취약성은 어이없는 코딩상의 오류 등에 의한 취약성이 대부분 이였고 점차 시일이 지나고 인지도가 높아질수록 고수준의 권한획득 공격들이 출현할 것입니다.


취약성을 발견하는 동향을 살펴보면 해외 전체로도 고수들의 활동은 적습니다. 적다기 보다는 기존의 운영체제에서 발견될 만한 큰 취약성들은 발견이 되었고 큰 영향을 미치는 Mega-vulnerability는 연 2~3회 정도로 줄어들 것 같습니다. 새로운 운영체제나 트렌드가 변화한다면 또다시 발견횟수가 늘어나겠지만 기존의 알려진 문제들은 대폭 줄어들 것입니다.


취약성의 발견에 따른 흐름을 보면 2003년이 피크였고 작년을 기점으로 운영체제에 대한 큰 이슈는 줄어들었는데 이와 같은 현상은 소스코드 검증 및 Application 진단의 상시화에 따른 것으로 보입니다.


2004년부터의 동향으로는 개별 Application에 대한 취약성 발견 동향이 큰 폭으로 증가하고 있습니다.


현재 신규보고 되는 취약성의 경우 하루에도 몇 백 개씩 발표되는 Application 제품들에 대한 취약성이 주로 발견되고 있어서 특정 제품을 사용하거나 특정 국가에 한정되어 사용되는 제품에 한해 큰 영향을 미치고 있습니다.


현재까지는 유럽권역과 미주권역에 사용되고 있는 상용 application에 대한 취약성 발견 비율이 상대적으로 높은데 향후 아시아 권역 특히 우리나라 제품군에 대한 영향이 매우 확대될 것으로 보입니다.


서두에서 말씀 드렸듯이 초고속 인프라가 고도로 활성화된 구조자체가 가장 큰 매력을

##########1*

 

지니고 있기 때문에 전진기지로서 매우 가치가 높기 때문이며, 휴대폰의 보급이 활성화 될수록, IT가 결합된 컨버젼스 제품 판매가 호조를 보일수록, 더욱 가치 있는 인프라이자 가장 좋은 테스트베드이기 때문입니다.


가까운 예로 zeroboard에 대한 취약성을 예로 들 수 있겠습니다. Application의 취약성을 찾는 그룹이 큰 폭으로 증가를 하였으나 기존의 OS나 가장 보고가 많았던 Application의 경우 많은 시도에 따른 보완이 이루어져 문제점이 적은 반면 신규로 발생하거나 그동안 잘 알려지지 않았던 Application의 경우 기본적인 취약성이 다수 존재하므로 쉬운 대상을 찾아서 이동하고 있습니다.


현재 국내 사이트에 대한 Defacement 동향을 보아도 국내의 해킹 피해 사례는 zeroboard 와 PHP Application 취약성을 이용한 도메인 서버 해킹 그리고 Webdav를 이용한 PUSH method를 이용하여 임의의 파일 push가 대다수입니다.


백신에 대한 공격증가도 향후 국제화가 될수록 더욱 커질 것으로 보입니다. 지금껏 공격이 없었던 것은 취약성이 없어서가 아니라 정확하게는 유명세도 없고 로컬화 된 제품이기 때문에 가치가 없어서 하지 않은 것이지만 많은 Defacement 그룹들이 신규 취약성을 발견하고 직접 공격을 수행하고 있어서 향후 큰 폭 증가가 예상됩니다.


더욱이 우려하고 있는 바로는 디지털 컨버젼스와 관련하여 다수의 제품군에 IT 기반이 접목되는 환경에서 더욱 크게 위협이 점증할 것으로 봅니다. 향후 5년 이내에 직접적으로 가시화 될 것입니다. 유비쿼터스의 경우도 동일하게 적용이 될 것입니다. 휴대폰을 이용한 위협의 내용은 2~3년 이내에 대중화 된 위협으로 나타날 것으로 봅니다.


예전에 작성했던 국가 기반시설에 대한 문서에 기술했던 내용들이 더욱 빠르게 다가 올 것입니다. 그때 그 문서를 만들면서 향후 3~5년 이후에 나타날 것이라 예상했는데 조금 더 기간이 연장되어  맞아 들어갈 것 같습니다.

(http://www.securitymap.net/sdm/docs/general/Critical_Alert_for_Cyber_Terror.pdf )


인터넷이 가능한 냉장고, 인터넷을 이용한 가스 조작 및 검침 , 언제 어디서나 제어가 가능한 모든 머신들과 시스템 , 교통통제 시스템 등이 부분적이라도 오픈되어지는 환경에서부터 소프트웨어적인 문제 이외에 하드웨어적인 장비에 대한 문제에까지 공격을 시도하게 될 것이고, 직접 피해를 입힐 것으로 보입니다. 물론 최악의 상황을 예상하면 이렇습니다.


embedded 운영체제도 기본 로컬의 활동이외에 외부와 연결되는 네트워크 부분이 연결되어 활성화 되는 시점부터 문제는 더욱 리얼하게 다가올 것으로 보입니다.


현재 발생되고 발견되고 있는 Bot 관련 공격 경로에 OS 및 유명 Application에 대한 공격 이외에도 특정 취약성이 존재하는 무료 혹은 상용 Application에 대한 공격도 추가가 되어 있고 향후 발생된 모든 문제점들이 결합되는 구조로 나아갈 수 있을 것입니다. Monster-bot은 앞으로도 계속 진화할 것이고 유비쿼터스 환경에서도 위협은 여전할 것입니다.


피부에는 상당히 느리게 다가오지만 움직임은 상당히 빠릅니다. 또 그것에 대한 예측도 선행이 되어야 하고 부족한 부분에 대한 고려는 항상 존재해야만 합니다. 위협을 과대해석해도 안되지만 덮어놓고 가는 것은 더욱 큰 문제라고 생각합니다.


국가적 성장동력원인 IT제품이 대외적으로 활성화 되고 수출이 보편화 될수록 또 컨버젼스가 빠르게 이루어질수록 위협이 급증하게 된다는 점 하나와 국내의 수많은 개발 Application들도 더 이상 안전지대가 될 수 없다는 점입니다. 그동안 여유 없이 앞만 보고 달려 왔는데 기업의 연속성에 영향을 줄만큼의 위험 요소가 향후에는 존재할 것이라는 예상을 분명히 할 수 있을 것 같습니다.


언제나 의견 있으시면 의견 주십시오. ^^;


  p4ssionable security expert!

  * E-mail: winsnort@cqrity.net , p4ssion@gmail.com



ⓒ 바다란

Posted by 바다란

http://news.naver.com/news/read.php?mode=LSS2D&office_id=008&article_id=0000685301&section_id=105&section_id2=283&menu_id=105

 

안연구소의 시큐브레인 인수 관련 하여 우려와 기대를 동시에 보낸다.

 

안연구소의 인수에 대한 부분은 처음이 아니며 2001년 경에 한시큐어 인수를 통해 백신 보안 부분 및 PC 보안 부분이 아닌 다른 부분에 진출 하려 하였으나 결론적으로 실패를 한 적이 있다.

 

본인도 연관이 있었기에 지금에 인수 기사를 보며 그때 느꼈던 실패의 원인 및 문제점에 대해서 가급적 객관적으로 언급을 해보면 다음과 같다.

 

1. 과도한 제품 의존에 따른 업무 집중도 분산의 어려움 [ 백신 사업에 너무 편향이 되어 있어서 다른쪽으로의 에너지 전환이 어려운 상황]

 

2. 인식 부족 [ 피인수 업체는 보안관제 및 전반적인 보안 카테고리를 다루는 업체 였으나 백신이라는 카테고리 및 PC보안에 집중 하려는 의지에 따라 지원 및 인식 자체의 범위가 달랐다 ]

 

3. 인수 시점은 PC상의 바이러스에서 네트워크 단위의 웜이 최초 발견되는 전환 시기여서 굉장한 호기가 될 수 있는 시점이였으나 방향 전환을 못했다.

 

4. 백신 시장에의 안주 의지

 

5. 기타로 지금에서 보면 인원이 많지 않았으나 융화 할 수 없게 만드는 경직된 체계 및 의사소통 경로 부족도 들 수 있다. [ 관점에 따라 다를 수 있다.]

 

보는 관점에 따라서 다를 수 있으나 가장 큰 문제는 패러다임이 변화하는 시기에 유연하고 창의적으로 변화하지 못했다는 점과 중간 관리자들의 우유부단함에 의해 보안업체간의 최초 합병이면서도 시너지를 내지 못한 점이 가장 아쉬움으로 남는다.

 

Codered 웜이 최초 발견 되었을때 바이러스 백신 회사 및 네트워크 보안 회사 모두 방향성을 잡지 못한 혼돈의 시기 였는데 해당 시기에 명확한 비젼이 있고 실행의 의지가 있었다면 장족의 발전을 할 수도 있었을 것이다. 이 최초의 발전된 방식의 웜 이후 달라진 현상이 패러다임의 변화가 아니고 무엇인가?

 

백신회사는 해킹을 이용한 방식이므로 대응을 못한다는 논리이고 네트워크 보안 방식은 전파 방식이 바이러스에서 사용하는 형태라서 대응을 못한 부분이 있다.

이 codered 웜 이후에 줄줄이 여러가지 웜들이 발견 되었는데 그 당시에 전 세계 보안 분야의 이슈는 네트워크 보안 전문 업체 나 백신 전문 업체 모두 부족한 부분을 키우기 위해 인수합병에 가열찬 노력을 기울이는 계기가 되었다. 최소한 향후 발전을 위해 부족한 부분을 인식하고 준비하는 기간을 가진 것이라 할 수 있다.

명확한 패러다임의 변화 시기에 변화하지 못한 댓가는 누가 지불 해야 할까?

 

그래서 더 아쉬움이 남긴 하지만 지금까지 와는 다른 입지로..위기감을 지니고 [ 이미 지나버린 기회도 있으므로 ] 절박함으로 노력을 기울여야만 성공 할 수 있을 것이다.

서버보안이라는 것이 그리 쉽게 볼 수 있는 부분은 아니며 지속적인 노력이 필요하며 안연 내부에서도 변화를 위한 확고한 의지가 있고 노력이 실제화 되어야만 합병의 득을 얻어 새로운 성장 동력이 될 수 있다.

 

지금 분명히 안연구소는 위기 상황이며 바이러스 샘플로만 외국과 경쟁하는 시대는 이미 지나갔다. 모든 중요 이슈는 변화 하였으며 이제는 충분히 위기감을 받아 들이고 있을 것이다.

MS의 원캐어 서비스 및 무료 백신 서비스들은 차별화 되지 못하고 있는 안연구소 성장동력인 V3 및 스파이제로에 대해 심각한 위협이 될 것임은 자명하다. 그 시기는 너무나도 빨리 눈앞에 다가와서 종합보안 보다는 몇몇 부분에 특화되고 시너지를 낼 수 있는 보안 부분으로 나아가지 않는한 좌초는 명확해 보인다.

세계적으로 본다면 틈새산업에 진출하여야만 가능성이 있다. 이제와서 글로벌화된 체제를 완벽하게 갖춘 시만텍,맥아피,트렌드와 동종의 제품으로 세계시장에서 성공할 수 있을까?  힘들 것이다.

 

변화만이 나아갈 길이다. 5년전에도 그랬었지만 지금은 더욱 절박할 것이므로 안연구소 스스로가 더 잘 알 것이다.

 

- 한때 잠깐 머물렀던 사람

Posted by 바다란

보안패치의 중요성은 아무리 언급을 해도 지나치지 않습니다. 지난해 발생한 대부분의 사용자 정보를 탈취하기 위한 악성코드 대부분이 2 종류의 취약성을 이용하였고 올해 초에 나온 WMF 취약성을 이용한 악성코드도 있습니다. 즉 3 종류의 취약성만 선별하여 막았다면 많은 문제를 해결 할 수 있었다는 것이죠. 이런 점에서 의미를 생각해 볼만한 기사인 것 같습니다.

 

--------------------------------

 

“웜-악성코드, 윈도우 취약성 이용한 공격이 대부분”

윈도우 취약성 근본 원인제거 방법은 ‘보안패치’ 뿐


보안패치의 중요성에 대해 NHN 전상훈 보안분석팀장은 “바이러스나 악성코드 등이 사용자의 PC에 침입하기 위해서 가장 많이 이용하는 것이 윈도우 운영체제의 취약성이며 이 취약성 비율을 줄일 경우 개인 PC를 공격하는 위험성을 줄일 수 있다는 것이 보안패치 서비스의 핵심”이라고 말했다.


NHN은 한게임의 경우는 지난해 12월부터 로그인시 자동 윈도우 보안패치를 실시하고 있고, 네이버는 ‘클린 캠페인’을 통해 올해 4월부터 선택적으로 실시하고 있다.


정부나 MS측에서 고민해오던 보안패치율 증가에 대해 NHN은 그 해답을 제시해주고 있으며 인기 포털과 게임사가 힘을 합할 경우 그 시너지 효과는 엄청날 것으로 전망된다.


예를 들면, 한게임에 보안패치 자동업데이트 서비스가 실시되고 난후 5개월 여만에 전국 PC의 20%에 해당하는 510만대 가량의 PC가 보안패치를 하고 있다. 만약 이런 서비스가 주요 포털이나 인기 게임사이트에 접목 된다면 아마도 정부에서 올해말까지 목표로 하고 있는 보안패치율 80% 달성은 거뜬하지 않을까.   


한국MS측은 “국내 보안패치율을 높이기 위해 포털사나 게임사에 의뢰해 자동서비스 실시를 계획하던 차에 NHN측에서 먼저 바이러스나 악성코드 등에 국민들 PC가 너무 위험에 무방비로 노출돼 있다며 보안패치 서비스를 실시해보자는 제안이 들어와서 너무 고마웠다”고 밝혔다.


KISA는 한게임 보안패치 서비스를 필두로 10여개 포털이나 게임사에 이와같은 서비스를 실시할 것에 대한 협의와 검토 과정을 거치고 있는 것으로 알려졌다. 또한 한게임이나 네이버의 성공적인 서비스 실시에 업체들도 큰 반대없이 따라올 것으로 보인다.


자칫하면 고객들에게 불편을 줄 수도 있어 영리를 목적으로 하는 기업의 특성상 선뜻 시도하기 어려운 부분들이 있었음에도 불구하고 이러한 공익적인 측면에 관심을 기울인 NHN 보안분석팀 전상훈 팀장의 말을 직접 들어보자.    


Interview

NHN 보안분석팀 전상훈 팀장


“국내 PC 2천5백만대 중 510만대가 한게임 통해 보안패치”

“네이버에도 보안패치 서비스 전면 실시 검토중”

안전한 인터넷 환경 조성은 ‘보안패치’ 생활화가 핵심


nhn내부에서 보안패치에 대한 논의가 나온 이유가 있다면?


2005년 상반기에 악성코드 발생 비율을 확인한 결과 사용자 PC의 취약성을 이용한 공격이 대부분 이였으며 한게임의 서비스 보안을 아무리 강화를 한다 해도 사용자 정보를 훔쳐가는 악성코드에 대한 대응을 하기 위해서는 한계가 존재할 수밖에 없었다. 따라서 사용자 PC의 보안을 강화하지 않는 이상 고객의 개인정보를 보호 할 수 있는 방안이 없다는 점에서 보안패치 서비스를 고객에게 설치하는 것이 최초 논의되기 시작 했다. 사용자들의 주된 피해 요소를 확인해 본 결과 2005년에 발생된 악성코드의 경우 두 종류의 운영체제 취약성에 의해 사용자가 극심한 피해를 입은 것으로 조사하게 되었다. (MS 05-001 , MS 04-013 ) 따라서 서비스의 강화 보다는 지속적으로 피해를 입는 사용자를 위해서는 근본 원인을 제거하는 것이 문제 해결을 위한 핵심이라고 판단해 실무팀과 협의를 통해 서비스 제공을 협력하기 시작 했다. 지난해 7월부터 논의를 시작해 그해 12월 보안패치 서비스를 정식 오픈, 현재까지 운영하고 있다.

웜ㆍ바이러스ㆍ악성코드 등이 사용자의 PC에 침입하기 위해서 가장 많이 이용하는 것이 윈도우 운영체제의 취약성이며 이 취약성 비율을 줄일 경우 개인 PC를 공격하는 위험성을 줄일 수 있다는 것이 보안패치 서비스의 핵심이다.


한게임 전용백신 서비스가 실시되고 있는데 이 서비스에 대한 간략한 소개?


전용백신 서비스는 이미 설치되어 고객의 PC에서 운용 되고 있는 악성코드를 제거하기 위한 서비스로서 보안패치 서비스가 근본 원인을 제거하기 위한 서비스라면, 근본 원인 제거와 동시에 이미 설치된 악성코드(게임 관련 개인정보 유출용 악성코드)를 제거하는 부분도 동시에 이루어져야 고객의 정보를 보호할 수 있다는 취지에서 올해 1월부터 지원되고 있는 서비스로, 한게임 접속을 하는 사용자의 정보보호를 위해 실시되고 있는 서비스다. 또한 키보드 보안 서비스도 일원화된 보안 강화 프로세스의 일원으로 지난해 7월부터 진행이 되고 있다.


전용백신에 대한 보안패치만 이루어지는가 아니면 MS운영체제에 대한 보안패치도 함께 이루어지는가?


전용백신에 대한 보안패치는 별도로 이루어 지지 않으며 MS 운영체제에 대해 발생하는 치명적인 내용에 대한 보안패치가 제공되고 있다. 전용백신의 경우, 신규 악성코드 출현 시 마다 업데이트를 통해 악성코드를 제거하기 위한 업데이트가 이루어지고 있는 상황이다.


다른 포털이나 게임사에서는 유저들의 불편함 때문에 주저하고 있는 것으로 알고 있는데 NHN에서 과감하게 실시한 이유가 있다면?


현재 한게임에서는 사용자의 로그인시마다 보안패치 서비스를 선택 없이 사용하게 하고 있으며, 네이버의 경우에는 ‘클린 캠페인’을 통해 네이버 보안패치 서비스를 제공하고 있다.  네이버의 경우에는 올해 4월부터 캠페인 진행을 통해 보안패치 서비스를 제공하고 있다. 고객의 보안성을 강화하는 것이 실제적인 서비스의 향상이라는 취지에 공감하여 선도적인 기업으로서 공익에 부합하고자 하는 명제 하에 서비스를 도입하고 운영하고 있다.


언제 처음 실시했고 실시후 유저들의 반응은 어떤가?


한게임의 경우는 2005년 12월에 실시했고, 네이버는 ‘클린 캠페인’을 통해 올해 4월부터 선택적으로 실시하고 있다. 유저들의 반응은 보안성을 높이고 자신의 중요정보를 보호 할 수 있도록 편리성을 제공한다는 측면에서 좋은 반응을 얻고 있으며, 현재는 한게임의 경우 보안패치 서비스를 설치한 사용자가 5월16일 기준 510만을 넘어서 국가 전체적으로도 상당한 비율의 보안성이 강화됐을 것으로 자체 판단하고 있다.


KISA나 MS측에서는 한게임 자동보안패치서비스로 인해 보안패치율이 상당히 높아졌다고 말하고 있다. 이에 대해 어떻게 생각하는가?


5월16일 현재 510만의 사용자가 보안패치 서비스를 이용하고 있으며, 한게임 사이트 방문시 마다 전문인력이 선별한 위험성이 높은 취약성에 대해서는 실시간으로 체크가 되어 보안성이 강화되고 있다고 할 수 있다. 국가 전체적인 PC 사용비율은 2004년 통계치로 2천500만대 정도로 보고 있는데, 20% 정도의 PC에 대해 기본적인 취약성 문제를 제거함으로써 악성코드 및 웜ㆍ바이러스에 대해 문제가 없는 클린 PC로 만들고 있으므로 상당히 높아졌다고 할 수 있으며, 국가적으로도 위험요소를 줄이고 안전한 인터넷환경을 구축하는데 일정부분 기여하고 있다고 볼 수 있을 것 같다.


네이버 포털 전체로 확대 적용할 계획은 없는가?


올해 4월부터 네이버 부분에 대해서는 ‘클린 인터넷 캠페인’을 통해 사용자에게 제공을 하고 있으며, 향후 확대 적용도 긍정적으로 생각할 수 있는 부분이라 생각 된다.


전용백신 서비스는 자체 개발한 것인가?


전용백신은 외부 백신제작 업체와 협력하에 기획하고 개발이 된 것이며 서비스의 운영 및 관리는 보안팀에서 맡고 있으나, 개발 및 업데이트는 외부 백신 업체에서 담당하고 있다.


보안패치와 관련 다른 계획이 있다면?


현재로서는 연관된 계획이 없으며, 향후 Zeroday 공격이 상당히 증가할 것으로 자체 판단하고 있는데, 해당 공격과 관련해 전문인력을 통해 빠르게 대응함으로써 국가적인 위험요소를 줄여 공익성에 부합하고자 하며, 외부 위험으로부터 사용자를 보호하는 방안은 지속적으로 고민을 하고자 한다.


보안패치와 관련 정부의 지원이나 정책에 대해 하고 싶은 말이 있다면?


2006년 10월을 기해 MS의 정책이 SP2를 사용하지 않으면 보안패치를 제공하지 않는 정책으로 바뀔 예정인데, 국내에는 아직 SP2를 설치하지 않은 사용자가 많으므로 국가적인 문제가 될 수 있다고 본다. 따라서 SP2를 손쉽게 설치할 수 있도록 지원 해주는 것이 필요하다고 생각한다. 보안문제를 해결하기 위해서는 불법적인 운영체제에 대해서도 보안성 강화가 필요한데, 현재 SP2에는 정품인증을 통해 설치를 유도함으로써 불법 운영체제에 대해서는 설치가 되지 않고 있다. 악성코드 및 웜의 전파는 정상적인 사용자들에게도 영향을 미칠 수 있고 전체 인터넷 환경에 대해 위험을 줄 수 있으므로, 보안성 강화는 불법이든 정품 사용자이든 관계없이 강화 조치가 되는 것이 필요하므로, SP2의 설치지원 및 인증 관련 프로세스를 합리적으로 변경하는 것에 대해서 지원이 필요할 것 같다.


보안패치를 설치하지 않고 업그레이드 하지 않으면 어떤 피해를 입을 수 있나?


2006년 1월을 기해 WMF 확장자에 대해 신규 웜과 사용자의 개인정보를 유출하는 악성코드가 출현했는데 해당 문제에 대해서 당사 보안팀에서는 WMF에 대한 보안 패치가 공식 발표된 이후 타당성 검토 및 위험성을 판단하고, 이틀 뒤에 고객들에게 보안패치를 배포하여 문제가 확대 되지 않은 적이 있다. 보안패치를 하지 않음으로써 입을 수 있는 피해는 2005년 내내 사용자의 정보를 유출하도록 시도한 웜과 악성코드가 주로 3가지 정도의 윈도우 기본 취약성을 통해 사용자 PC에 침입한 것으로 조사가 되었다. 피해 규모가 매우 심각해 보안패치 서비스를 기획하게 되었으며, 만약 해당 취약성에 대해 패치가 이뤄지지 않는다면 사용자의 PC는 외부에서 조종할 수 있는 상태나 개인의 신상정보가 유출 될 수밖에 없는 위험성에 처한다고 판단된다. 따라서 보안패치를 시행 하는 것은 알려지거나 위험성이 있는 요소를 사전에 예방할 수 있는 서비스이며, 사용자에게 필수적인 위험요소만 선별하여 보안패치를 제공함으로써 안전한 인터넷 환경이 될 수 있을 것으로 예상하고 있다.

[길민권 기자(reporter21@boannews.com)]


Posted by 바다란

최근 이글루스가 SK컴에 인수 되었습니다.

이로서 논점이 드러난 것이 블로그 칼럼이나 글들의 전문성 부분에 대해서 논의가 되고 있더군요.

 

제 스스로의 다짐이지만 최소한 이 블로그에서만은 스크랩이나 펌 없이.. 순수한 사견 및 의견을 제시할 수 있도록 하겠습니다. 가급적 1주에 하나의 칼럼은 올릴 수 있도록 노력을 하겠습니다.

 

보안관련 사이트도 있고 여러 사이트들이 있지만 현재로서 할 수 있는 제 자리에서의 역량은 제가 가지고 있는 생각과 의견을 정리하여 올리는 것이 최선이 아닐까 하는 생각이 듭니다.

 

열심히 살겠다는 것은 현재에 주어진 일에 열심이라는 의미도 있겠으나 보다 더 나은 목표와 방향성을 스스로 설정 할 수 있어야 된다고 개인적으로 생각 하고 있습니다.

이런 글을 올리는 코너들이 방향성을 설정하는 유용한 도구가 될 수 있도록 노력할 필요성을 절감하고 있습니다.

 

현재의 위험레벨 및 전체적인 사안에 대한 안목 부분에서 상당부분 부족한 것이 현실이므로 이런 부족한 부분을 미력한 역량이나마 높이는데 힘쓰도록 하겠습니다.

 

최고를 지향 하였고 노력을 하는 마당에 스스로가 조금은 게을러지고 나태해 진 것은 아닌지 반성하게 됩니다. 조금 더 큰 고통 속으로 저를 밀어내어 좀 더 나은 결과 좀 더 빠른 Alert 이 될 수 있도록 노력 하겠습니다.

 

* 향후 작성할 내용으로는 Zero day 관련된 두번째 칼럼이나 공개문서 형태 작성 할 예정이고 보다 더 높아진 기반시설에 대한 위험성을 위해 SCADA , DCS 관련된 내용도 틈나는 대로 작성할 예정입니다.  차주 중에는 최근의 보안위협 동향에 대해서 전반적으로 체크를 해보도록 하죠. 단순한 사안에 의해 끌려가는 것이 아니라 장기 발생 가능한 위험을 체크할 수 있도록...

 

 

앞으로도 많은 관심 부탁 드리겠습니다.

감사합니다.

 

Posted by 바다란

"보안성 검수" 란 무엇일까?

 

일반적으로 Black Box Test라고 칭하며 서비스의 오픈 이전의 안전성을 검수하는 절차로서 일반적인 서비스에 대한 부하 테스트 및 과다 연결 테스트와는 별개로 외부로 부터 공격이 가능한 취약성이 존재하는지 여부를 검수하는 프로세스를 말한다.

 

그렇다면 뜬금없이 왜 보안성 검수가 중요하다 하는 것일까?

 

모든 Application [ Web or C/S ]은 개발자가 개발을 하게 되고 오픈일정에 쫓기거나 보안부분을 고려하지 못한 설계 및 코딩으로 인해 문제가 있을 수 밖에 없다. 문제 발생 시점은 전체 프로세스 일정 어느 곳에나 있다.

 

서버의 보안설정 미비 , 네트워크상의 구조적인 문제점 , Application 코딩상의 문제점 , 서버와의 정보 교환의 문제점 등등 실로 개발자 및 운영자가 커버하기에는 범위가 넓어지고 전문화 된 것이 사실이다. 예전 처럼 폐쇄형 구조였을 경우에는 문제가 외부로 노출이 되지 않았으나 모든 것이 공개화 되고 오픈되는 것이 일상화 되어 있는 작금의 현실에서는 사소한 문제 하나로 중요 자산이 위험해 지는 일들이 비일비재 하다.

 

무엇에 집중하고 무엇에 신경을 써야 하는가?

개발자는 서비스의 안정적인 런칭과 창의적인 생각의 구현에 집중을 하고 보안 전문인력은 서비스의 침해 가능성 및 위험성을 통제 하여야만 한다. 모든 개발자가 Secure한 코딩을 한다는 것은 거의 불가능하며 모든 솔루션에는 위험성이 존재한다.

 

아무리 깔끔하고 Secure한 코딩을 한다 하여도 신경 쓰지 못하는 부분이 존재하며 개발자가 모든 일을 다 할 수는 없다. 따라서 보안성 검수라는 절차를 프로세스화 함으로써 [ SDLC : Secure Development LifeCycle] 안정적인 서비스의 오픈 및 운영을 할 수 있도록 하여야 한다.

 

작금의 한국 소프트웨어 개발 현실에서 보안성 검수의 여력을 지닌 회사는 많지 않다. 또한 있다손 치더라도 능력있고 역량이 충분한 검수 인력의 확보 조차도 쉽지 않은 일이다.  문제 해결은 아직 요원하며 하루에도 수십개의 서비스 및 수백개의 신규 웹사이트가 개편되고 런칭 되는 현실에서 보안상 심각한 취약성을 지니는 곳은 많을 수 밖에 없다.

 

요구사항 수집 -> 디자인 -> 설계 -> 개발 -> 테스트 -> 오픈 으로 이루어지는 일반적인 개발 프로세스 상에서 보안상의 코드 리뷰 및 취약성 테스트는 반드시 이루어 져야 하며 최초 요구사항 수집 단계 및 디자인 단계 부터 위험성을 최소화 하는 검증을 시행하는 것은 보다 더 철저하고 문제성이 없는 프로세스를 가능케 한다.

 

개발자에게는 Secure coding을 익히도록 하고 지속적으로 발견되는 문제를 해결 하도록 가이드를 하며 서비스 기획자에게는 설계 및 디자인 단계 부터 문제가 있는 부분에 대해서는 직시를 하도록 한다. 이후 개발이 완료된 단계에서 부터 Open 이전까지 보안성 검수를 지속적으로 시행함으로 인해 발생할 문제를 제거하는 프로세스가 궁극적인 서비스의 안전성을 보장 할 수 있을 것이다.

 

위험성을 100% 제거 할 수는 없으나 가능성을 95% 수준까지 줄이는 것은 충분히 가능하다. 보다 더 많은 인력과 비용이 투입 되어야 하나 신뢰의 문제 , 정보 유출로 인한 심대한 피해를 입을 수 있는 보안상의 Risk는 Business에 부수적인 모델이 아닌 필수적인 요소이다. 지금 보다 앞으로가 더욱 더 중요한 프로세스라 할 수 있다.

 

Secure Development는 간단하게 이루어 지지 않으며 많은 노력이 필요하다. 즉 전 세계의 모든 개발 프로세스의 안정화는 매우 심각하게 불가능하며 다수의 사용자가 집중화 되는 곳을 안정화 함으로써 일정 비율 이상을 증가 시키는 것 외에는 실천방안이 없는 상태이다.

 

더욱 더 많은 비용에 더욱 더 많은 인력의 투입.. 그러나 문제는 계속 된다. 얼마나 더 적은 Risk를 가질 수 있느냐가 향후 글로벌한 환경에서의 중요한 키 포인트가 될 것이다.

 

 - p4ssion : 바다란 

 

Posted by 바다란

최근 보안 전문 업체의 업종 다변화와 맞물려 CCRA 인증 협약이 며칠전 발효가 되었다.

 

두 가지 사안과 뉴스가 다른 시점에 나타났으나 연관관계는 매우 밀접하고 또 관계가 깊다.

 

CCRA: 국제 공통평가기준 상호인정협정으로 협약에 가입된 국가간에 보안제품에 대한 인증을 통과한 업체에 대해서는 해당 협약에 가입한 국가에 공통적인 평가 기준으로 인정이 됨을 말한다.

 

예전 90년대 부터 보안 장비 부분을 버티게 해주던 정책이 K4 인증이였다. 국정원에서 보안제품에 대한 인증을 수행하고 해당 장비에 대한 보안성이 검증되면 부여하던 인증인데.. 소스코드 및 기능 설계에 대한 부분도 검증을 받아야만 K4 인증을 받을 수 있는데 외국기업 중 어떤 기업이 한국 시장만을 보고 자사의 전체 재산과도 다름없는 방화벽이나 침입탐지 시스템의 소스코드를 공개할 것인가?.

 

따라서 공공기관에 도입 기준으로 정해진 K4 인증을 획득하지 못하여 진입 자체가 힘들었으며 민간용 구매의 경우에도 세계적으로 점유하고 있는 점유율 만큼을 인정 받지 못하였다.

 

현재 협약이 체결된 CC 인증에 관한 문제는 2년전 부터 이슈화가 된 부분이나 그동안 보안업체들은 무엇을 준비했는지 묻고 싶다. 또한 그 이전에 전문 기술 부분에 대해 얼마나 투자 했는지도 묻고 싶다. 엔지니어가 없는 회사. 전문 엔지니어가 대접받지 못하는 회사. 회사 정책상 얼마만큼의 당장 눈앞에 보이는 수익에 집착하고 그 이익을 위해 불나방처럼 자신의 날개를 불사르는 짓을 얼마나 했던가?

 

침입의 변화와 트렌드의 변화는 조금만이라도 눈을 뜬 자들에게는 그리 어려운 부분이 아니다. 모든 정보가 공유되고 공개되는 세상에서 그다지 어렵지 않은 부분이나 이런 부분을 외면하고 또 장기적인 투자를 외면한 그 실상은 참혹하다 할 수 있다.

 

멸치를 팔고.. 만두를 팔고.. 보안이 아닌 기타업종으로 진출을 하고.. 왜 이럴까?..

보안이 돈이 안되어서?.. 이건 변명꺼리도 될 수 없다. 왜 국내 시장에만 안주 하였는가?

왜 외국 시장에서는 뛰어난 성능으로 견주지 못하였는가?  성능이 안되어서? 독창성이 없어서? 기술이 안되어서?. 모든게 정답일 것이다.

 

작금의 시장은 뛰어난 성능과 남과 다른 그 무엇이라도 있다면 인정 받을 수 있는 시장이다.

그 시장에서 겨루지 못하고 국내시장에만 그것도 제한된 시장에만 안주하여 안정된 이익을 보장 받기를 원한 그 결과라고 볼 수 있다. 위협이 글로벌화된 현재 상황에서 보안 전문분야에서는 기술이 뒷받침 되지 않는 이상 더 이상 방패막이는 없을 수 밖에 없다. 이게 국제 사회에서의 통설이다. 방패막이는 스스로를 죽일뿐인 것을..

 

파장 및 파급효과에 대해서는 따로 기회가 되면 언급을 하겠으나 현재 변화된 상황만 보고 단편적인 이야기만 하면 개인적인 생각은 위와 같다.

기회는 많았으나 그 기회를 볼 줄 아는 눈이 없었다. 당장의 이익을 위해 변화하는 것은 좋으나 큰 방향으로 나아갈 큰 기업이 될 재목은 없었다라고 정의 할 수 있을 것 같다.

 

틈새 시장으로 진출한 보안 업체들도 있고 전문 분야를 고수하고 있는 업체도 있으나 제품을 만드는 곳은 앞으로 힘들어 질 것으로 보인다. 앞서 올린 글들에서도 언급 하였듯이 패러다임의 변화는 이미 대세에 이르렀는데 이제와서 돌아 갈 수는 없는 불변의 변화에서 상황이 호전되기만을 기다린 다는 것은 죽음을 기다리는 것과 같다.

 

생명력이 얼마나 될까?.. 그리 오래 가지는 못할 것이다. 최소한 보안이라는 부분에서.. 권토중래를 하기 위해서는 와신상담이 필수 이건만 이젠 그 기간조차 보장 받지 못할 것이다.

 

살아남은 기업들은 외산제품의 기능이나 연구역량에 밀려 점차 입지가 좁아질 것이므로 특정 기능 및 독창적인 기술에 집착하여야만 성공을 바랄 수 있을 것이고 역량 집중 없이 영업 및 사업 부분 확장으로만 버텨온 기업에게만 더 이상 기댈 것이 없는 시점이 곧 올 것이다. 지금이 그때인지도..

 

만두와 멸치는.. 살아남기 위한 몸부림!.

그러나 이런식의 몸부림으로는 이 보안이라는 분야에서 오래 버티기는 어려울 것이다. 적어도.. 아무리 늦었어도 3~4년 전 쯤에 승부수를 던지고 몸부림을 쳤어야 했다. 그 시점은 2001년에서 2002년 무렵이였을 것이고...

그때 던졌더라면 충분히 될 수도 있었을텐데.. 기술인력 다 보내고 역량 집중도 못하고 기업의 규모가 작아서 그런면도 있었을 테지만..무리한 확장 보다는 내실을 다졌어야 했는데.. 매출이 중요한 것이 아니라 얼마만큼의 독창성을 보유하고 있는지가 중요한 포인트임을 알고 세계의 흐름을 볼 수 있는 눈을 가진 경영자가 있었어야 했는데.. 그렇지 못한 것이 오늘날의 패인이라고 볼 수 있다.

 

경영만을 가지고 1대를 꾸려가는 기업을 만들 수도 있을 것이다.

비전이나 기술이 뒷받침 되지 않고서는 보안과 같은  전문분야 에서는 경영 다각화만으로는 1대 조차도 못 꾸릴 것이다.

 

살아날 길은 무엇일까?.. 틈새기술..독창성.. 그 무엇이든 뼈를 깍는 노력이 필요하다. 구조조정이나 사업 다각화가 아닌 독창성을 보유하기 위한 처절한 몸부림이 있어야만 성공 할 것이다. 그러나 지금 언론지상을 누비는 뉴스에서는 그런 몸부림을 전혀 느낄 수가 없다.

 

* 개인 사견 입니다. ^^ ; p4ssion

 

 

Posted by 바다란

http://www.zdnet.co.kr/news/network/security/0,39031117,39146342,00.htm

 

TCG [Trusted Computing Group]의 지닌 생각은 타당한 생각입니다.

또한 반대편에 존재하는 조지오웰의 독재자의 인상도 타당한 생각입니다.

 

가장 중요한 전제는 이것임을 잊지만 않는다면 타당합니다.

 

가장 중요한 전제는 기업이나 사회의 보안은 End Point로 부터 출발을 하며 현재에는 더욱 더 중요한 위치를 차지하고 있다는 점입니다.

기업에서는 말단 PC에서 부터 노트북에 이르기까지가 기업전체의 존망을 결정할 수도 있으며 사회에서는 현재 이슈가 되고 있는 Bot 이나 웜의 경우에도 최초의 출발은 미약하나 과정은 대폭 짧아지고 결과는 확실하게 나타나는 네트워크형으로의 발전이 눈에 보이게 나타나는 형국입니다.

 

따라서 개개의 단말요소를 중요하게 생각하지 않으면 안되는 시점이며 이런 관점에서의 단편적인 문제해결을 위해 모든 구성요소에 Secure한 요소를 의무적으로 삽입을 하는 점도 충분히 나올 수 있는 판단이라고 보입니다.

그러나 이런 방식도 시일이 지남에 따라 또 다른 문제를 야기 시킬 수 밖에 없으며 방식의 확산 과정에도 충분한 문제가 드러날 수 있습니다.

 

기업의 입장에서는 이와같은 요소에 대해 어떤식으로 대응을 해야 할까요?.

중요 서버에 대한 강력한 접근제한 , 외부에서 접근시에는 SSL VPN , 모든 접근 가능한 단말에 대해서는 PMS [patch management system]의 운용을 통한 Active한 대응 [차단까지도 고려 ] 등이 나올 수 있는 대안이라 판단됩니다.

손쉽게는 보안장비나 장치를 통해서 하려는 발상을 누구나 할 수 있지만 어려운 면이 있으며 일편적인 방식으로는 해결이 되지 않으므로 굳건한 정책과 이에따라 발생하는 기술적인 문제를 해결할 수 있는 지식으로 무장을 하고 단계별 보안을 강화하는 수가 현재에서는 가장 타당한 방안이 아닌가 생각이 됩니다.

 

국가적인 입장에서는 전체 보안 패치의 레벨을 높이고 중요 포인트마다 문제를 발견하고 사전 인지후 차단까지 이어질 수 있는 빠른 대응체제의 수립을 통해 보다 확실한 효과를 볼 수 있겠죠.

 

무엇보다 가장 중요한 것은 첨단으로 진화를 하고 빠르게 발전을 할 수록 사람이 가장 중요한 자원이 됩니다.

능력을 갖추고 명확한 이해를 바탕으로 단계를 설정하고 레벨을 높일 수 있는 인력이 국가든 기업이든 중요한 요소라고 할 수 있습니다. 이런 부분까지 자동화 한다는 것은 앞으로도 매우 요원한 일이 될 것입니다.

 

Secure environment는 장비에 의해서 이루어 지는 것이 아닌 구성원의 노력과 단계적인 레벨업에 의해서 가장 충실해 지지 않을까 하는 의견입니다.

 

##########0*

Posted by 바다란

 

정보보호 체크 가이드  - by 바다란 (p4ssion@naver.com)

 

보안의 강화는 기업을 위한 중요한 활동임과 동시에 개인 정보 유출을 막기 위한 최선의 방책이다.  2005년에 급속도로 증가한 개인정보 유출용 악성코드 및 정보유출을 위한 다양한 위험성들이 늘어나 특별히 보안에 관심을 두지 않는 한 일반직원의 입장에서는 문제가 그리 간단한 것만은 아니다.

 

매번 연말이나 특정한 이슈가 발생할 때면 보안 회사들에서 보안 강화를 위한 방침을 발표하고는 한다. 이런 방침에 항상 빠지지 않는 것이 보안 패치의 활성화 , 백신의 업데이트 철저 와 같은 항목이다.

왜 보안 패치가 중요하고 백신이 중요한 것인가? 개인은 물론 기업, 산업 기반에도 중요한 영향을 미치는 요소로 매번 강조되는 이유는 무엇일까?

 

완벽한 운영체제란 없으며 시일이 지나면서 필요가 변함에 따라 사용환경은 변화하고 진보하기 마련이다. 또한 이전에는 생각지 못했던 새로운 기술과 개념들을 낡거나 부족한 토대위에 올려 놓으려다 보면 고려하기 힘든 부분들도 존재를 하게 되며 새로운 취약성이 발견이 되는 경우도 발생이 된다. 따라서 대부분의 운영체제를 만드는 곳에서는 발견된 문제의 중요성에 따라 보완하는 작업을 진행 한다. 2005년 연말에 발생하였던 wmf  취약성의 경우  Microsoft의 정식 패치 발표일이 아님에도 불구하고 일주일 가량 시간을 당겨서 보안상의 위험성을 보완하는 패치가 발표가 되었다. 문제의 심각성이 그만큼 심각한 사안이라는 경고가 세계 각국의 전문가들로부터 제기 되어 Microsoft도 무시하기는 어려웠으리라.

 

 

위험한 개인사용자

 

앞서 wmf 취약성을 예로 들었지만 wmf 취약성이 발표된 지 만 24시간도 되지 않아 취약성을 공격하는 코드가 발견이 되었다. 개념적인 코드차원에서 실제 공격을 하고 권한 획득을 할 수 있는 부분까지 발전이 되었으며 2~3일이 지난 후에는  메신저 ( MSN , Yahoo )를 통해 감염이 되는 웜 형태로도 출현하였으며 앞으로도 계속될 문제로 발전이 될 것이다. 또한 지난 해를 뜨겁게 달구었던 중국발 해킹은 현재도 진행형 이다. 유명하거나 사용자의 방문이 많은 사이트는 집중적인 공격의 대상이 될 수 있을 것이다. 왜 이런 많은 문제들이 발생을 하고 있고 이런 문제들의 해결책은 대체 무엇이 있을까? 여러 가지 문제의 원인이 있을 수 있지만 특히 몇 가지만을 헤아리면 안전하지 못한 프로그래밍 기법의 일반화 ( 보안의 고려가 없었던 시절의 프로그래밍 ) , 악성코드를 통한 정보유출 및 감염에 민감하지 못한 무관심과 같은 두 가지 유형을 대표적으로 들 수가 있다.  프로그래밍 기법의 일반화를 제외한 무관심의 경우는 개인 사용자의 위험 노출이 매우 높음에도 불구하고 인지를 못하고 있어서 향후에도 계속 발생될 수 있는 문제라 할 수 있다.

공격 기법도 계속 변화하고 있으며 2005년 12월에 발견된 wmf 취약성을 이용한 중국발 해킹도 연이어서 발생을 하고 있는 상황이다. 공격하는 자들은 계속 발전하고 있고 변화 하고 있으나 사용자들의 인식은 그에 미치지 못하고 있다. 더욱이 기업의 인식도 그리 많이 나아지지 못하고 있는 상황이다. 

취약성이란 무엇인가?  그렇다면 앞으로도 취약성은 증가하고 Zeroday 위협은 증가 할 것인가?. 대답은 증가 할 수 밖에 없다 이다.

 

일반 사용자들에게는 익숙하지 않으나 전문가들에게는 날마다 쌓이는 보안 관련 취약성 및 위험성 정보가 존재한다.  전 세계에서 개발되고 이용되는 Application의 수치는 얼마나 될 것인가? 또 오늘 당장 개발 되거나 내일 새롭게 발표되는 제품의 수는 얼마나 될까?.  매우 많은 수치의 제품이 현재 사용 중이며  또 개발 중일 것이다. 앞으로의 세상에서는 더욱 더 많은 제품들을 사용하게 될 것이 명확한 사실이다. 

한 가지 더욱 명확한 사실은  이 모든 제품들이 완벽하지는 않다는 점이다.  서로간의 정보교류를 하는 이상 그 어떤 제품도 100% 안전한 제품은 존재하지 않을 것이다. 보다 더 안전한 구성을 통해 안전성을 높다는 것은 보장 할 수 있어도 100%를 보장 할 수는 없을 것이다.

아래와 같은 사이트 ( 정말로 많은 취약성 관련 사이트 들이 존재한다. ) 에는 날마다 취약성에 관련된 신규 정보들이 올려져 온다. 공격코드들이 작성 되어 올려지기도 한다.

 

 이미지는 첨부파일 참조

 

< 취약성 정보가 게시되는 해외 웹 사이트 >

 

보안 관련된 논의 및 메일링을 통해 전 세계의 전문가들과 의견 교환을 할 수 있는 bugtraq 은 취약성의 흐름 및 빠른 정보 수집을 위해 필수적인 사이트 이다.

 

 이미지는 첨부파일 참조

 

< 취약성 관련된 메일링이 교환되는 Bugtraq >

 

발견되는 취약성은 일반직원들이 아는 것 보다 매우 많으며 그 복잡성도 높을 수 밖에 없다. 따라서 개개인이 직접적으로 대처를 하고 대응을 한다는 것은 어려울 수 밖에 없으며 기업 단위의 대처에도 영향을 미칠 수 밖에 없다. 한 기업에 있어서 공식적으로 사용하는 Application 외에 직원들이 사용하는 모든 Application을 알 수 있을까?. 또 취약성이 발견되는 Application의 문제에 대한 해결책을 제때에 적용 할 수 있을까?   

아마 해결책을 찾는 것도 전체의 Application (공식적인 것과 비공식적인 것 모두 포함) 목록을 체계화 하는 것은 일정 규모 이상의 기업에게는 매우 어려울 것이다. 현 상황에서의  조직 차원에서의 완벽한 해결책은 없으며 보다 더 안전할 수 있도록 꾸준하게 노력하는 것 외에는 해결책이 존재하지 않는다.

기업의 보안 및 보다 큰 공동체의 안정성을 위한 보안 노력도 모두가 개인 및 구성원의 적극적인 노력으로부터 비롯된다. 구성원의 노력 없이는 전체적인 보안태세 및 보안에 대한 노력들도 둑을 무너뜨리는 틈새와 같이 의미 없어 지는 것이 현재의 환경이다.

 

자 복잡하다.  명확한 것은 문제가 있고 이 문제를 풀기 위해서는 개개인도 노력을 해야 한다는 점이다. 현재 발생되고 있는 웜이나 악성코드가 얼마나 지독한가?. 웜에 감염되면 주변의 다른 사용자들에게도 동일한 웜이 감염을 시키고 종래에는 IT 회사라면 운영 하는 시스템에 피해를 주거나 업무에 지장을 받을 정도로 영향을 미칠 수 있다. 또 외부에서 자신의 PC를 컨트롤 하여 중요 문서를 가져 간다면 어떻게 될 까?. 이제는 단 하나의 문제점만으로도 충분히 피해를 입을 수 있는 시대이므로 많은 주의가 필요하고 관심이 필요하다. 그러나 모두가 전문가가 될 필요는 없을 것이다. 각자 전문분야는 따로 있을 것이므로..

 

정보보호 실천을 위한 가이드에는 어떠한 것들이 있을 지 알아 보자.

먼저 가장 근본적인 원칙이며 한 달에 한번 정도의 간격으로 체크가 되어야 하는 부분은 다음과 같다.  ( 일반 유저를 대상으로 하며 대부분 Windows 환경에서 문제가 발생하므로 Windows를 기준으로 하였다. )

 

1.       XP의 경우 Service Pack 2를 설치한다.  보안 기능을 활성화 시키고 여기에서 Windows Firewall 의 기능도 적절히 이용하도록 하자

.  

이미지는 첨부파일 참조

 

2.       Windows Update의 정기적인 설정 경험상 점심시간 무렵이 적당한 것 같았다. 새벽시간으로 설정할 경우 PC를 계속 켜두어야 된다.

 

3.       바이러스 백신의 사용 일단 맹신 하지는 말자. 다만 알려진 위협 및 바이러스를 제거해 줄 수 있는 수단이라는 점에서 이용은 필수

 

4.       비정상적인 계정이 있거나 프로그램이 실행 되고 있는지 검수를 한다.  계정의 경우는 사용자 관리 메뉴에서 프로그램은 Regedit 혹은 레지스트리 관련 프로그램에서 시작 프로그램 항목을 체크해 보면 된다. 주위 사람에게 상의 하면 충분히 이행 가능하다.

 

5.       운영체제의 보안 불필요한 서비스 제거 ( TCP/IP Netbios Helper 및 Messenger 서비스등 ) 를 통한 위험요인 제거 불필요한 서비스 항목은 전산 담당자에게 문의 혹은 인터넷 상에서 충분한 가이드를 얻을 수 있다.

 

6.       계정의 보안 강화 및 공유 설정의 강화 공유 디렉토리의 경우 읽기 권한 만 주고 접근 권한 및 사용자를 최소화 한다. 로그인 계정의 경우 6자 이상의 ID 및 6~7 자리를 지니는 Password를 사용하도록 한다. 주기적인 변경도 고려 하여야 한다.

 

* 계정 보안 관련: 외부 인터넷 사이트에 사용자 계정을 만들 때에도 자신만의 규칙을 지니고 생성하는 것이 좋다. 동일한 ID/ 동일한 PW로 거의 대부분의 웹 사이트에 가입을 한다는 것은 자신의 모든 정보를 내 주는 것과 동일한 행위이다. 가입 하는 모든 사이트의 보안성을 장담 할 수 있을까? 하루에도 수백 개의 사이트가 웹사이트 변조를 당하는 상황에서 과연 내 정보는 지켜 질 수 있을까?   사용자 개인의 특성에 맞는 규칙이나 자신만의 방식으로 몇 개의 부류로 나누어서 사용을 한다면 보다 안전한 서핑이 될 것이다.

 

한달 단위의 이행 대책의 경우 주위의 조언이나 전문가에게 도움을 요청해야 하는 사안들이 많이 있으나 주간 및 일간 단위의 체크는 좀 더 다른 방향으로 접근을 수행하면 된다.

 

주간 단위의 검사 항목으로는 다음과 같은 점을 유념하면 될 것이다.

 

1.       바이러스 감염 기록의 확인 및 바이러스 백신의 업데이트 일자 확인  - 감염 기록의 확인은 매우 중요하다. 자신이 인지하지도 못하는 상황에서 감염이 되었다면 추가적인 위험이 있을 수 있으므로 좀 더 주의를 기울여야만 한다.

 

2.       Windows Update 서비스의 정상적인 동작 확인  - 정상적으로 설정이 되었는지 여부를 확인 하는 것이 좋다. 주일의 시작인 월요일이나 금요일에 한번쯤 Update에 시간을 두고 여유를 지니는 것도 좋은 방식이며 자동 설정을 통해 다운로드 발생시 마다 처리하는 것이 가장 좋다.

 

3.       비정상적인 PC의 움직임  - 외부에서 조정을( Mouse 혹은 키보드 ) 하고 있거나 내부의 데이터에 인위적인 손상 등이 있을 때에는 전산담당자와 상의를 해보는 것이 좋다.  그 문제가 사소한 것이든 오해이든 이런 문제에 대해서는 확실히 하는 것이 좋다.

 

일반 보안 회사 및 신문지상에서 가장 많이 언급되는 일간 단위의 검사 항목은 다음과 같다.

 

1.       바이러스 프로그램의 가동 및 업데이트 설정- 모니터링 가능상태 유지

2.       윈도우 보안 패치의 설정 및 설치

3.       E-mail 프로그램 사용시의 수/발신인의 확인 및 첨부 파일에 대한 백신의 검사 및 주의

4.       P2P 프로그램 사용시의 백신을 이용한 검사 준수

5.       메신저 프로그램을 통한 링크 및 URL에 대한 확인 ( 최근 WMF 공격이 URL Link를 이용한 공격이 많이 발생하고 있다. )

6.       공유 권한의 제한

7.       웹사이트 서핑시의 Active X 설치 유형과 같은 악성코드에 대한 주의  - 최근 유형이 매우 많으므로 주의를 기울여야 함.

 

 

 간략하게 살펴 보면 위와 같은 검사 항목을 준수 한다면 전체적인 안정성을 높이는데 도움이 될 수 있을 것이다.  큰 방향성 아래에서 하위 항목을 준수하는 것이 강조 되어야 하며 왜 이런 노력들이 필요한 지에 대한 이해가 선행이 되어야 만 한다.

향후에도 많은 위험들이 있을 것이고 DMB 혹은 WiBro 등 수많은 변화 속에서 또 얼마나 많은 발전이 있을 것인가? 그 발전이 기술의 진보이든 위험의 진보이든 간에

 

 

 

 

Posted by 바다란

1.25 대란에 대해서 많은 고민을 하면서 자료를 내놨지만 뒷 이야기를 안한 것 같다.

지금도 가끔 꺼림찍한 기분이 드는 부분이 있어서 생각 난 김에 뒷이야기를 한번 해보자.

 


 

위의 파일은 최초 1.25 대란 발생이후 저녁에 작성하여 1.26일 업데이트 한 자료이다. 수집된 정보도 없고 현상만을 가지고 체크 하였으며 해당 부분에 대해 충분한 가설을 제공 하였다고 판단된다. 물론 그때 당시 접근할 수 있는 정보나 얻어진 자료에 비해 정말 고민 많이 했던 자료이다.

최초 이 파일을 작성할 때 가장 안타까웠던 것은 피해 당사자의 언급도 없고 참 난감한 상황에서 작성한 글인데 나중에 도매금으로 욕을 먹죠. 개인이 할 수 있는 최선 이였다고 아직도 생각 하고 있습니다. ^^;

 


 

두번째글은 DNS 다운과 관련된 내용 및 1434 포트의 확인과 관련된 추가 내용을 기술한 글입니다. 글 서두에 보면 아시겠지만 Unix Bind DNS 서버를 사용한다고 KT가 공식 발표를 한 상황이라 MSSQL에 집중 할 수 밖에 없었죠. 약간 미심쩍은 면이 있었지만...

 


 

DNS가 죽을 가능성은 두 가지 외에는 없습니다. 마지막글은 DNS에 대한 DDOS 공격이 가능함을 보이고 있고 실제 공격이 가능한 소스가 존재함을 보였습니다. 그러나 해당 소스의 공격결과 몇 달뒤에 확인이 된 바로는 실제 공격 량은 현저하게 적어서 DNS 트래픽에 영향을 미칠 수 없다는게 판단이였죠.

 

이래서 DNS에 대한 DDOS 공격 과 Slammer 웜에 의한 영향이 결합되어 문제가 발생 되었고 이후에는 네트웍상에 부분적으로 문제가 남아 있는 부분에서 과잉 대응을 통한 부가 문제 발생으로 최종 시나리오를 적었습니다.

 

이때 마지막으로 쓰고 싶었던 말이 있었는데 2002년 경에 기사상에 KT의 기간계 시스템중 하나에 Windows 계열을 도입했다고 하는 기사가 있었습니다.  기간계가 6개 정도 있는데 그 중 하나를 윈도우로 대체를 하였다는 기사가 2002년경에 나왔었죠.

 

그리고 관련 기사를 스크랩해서 개인 웹사이트에 올려 놨는데 데이터가 날라갔네요.

 

제가 생각한 마지막 방안은 이겁니다. DNS 서버가 죽을 가능성은 최초에 있어서는 외부로 부터의 트래픽이 아닌 내부망에서의 웜으로 인해 네트웍 라인 자체가 죽었을 것으로 생각을 하였습니다.

 

이 문제는 KT가 걸린 문제라 언급을 안했지만 시일 상으로 3년이 지난 지금에는 이야기를 해도 되겠죠. 차후에 확인된 이야기로는 DNS 포트인 53번만 열어 놓은 것이 아니라 DB와 연결하기 위한 1434 포트도 KT쪽에서 오픈이 되어 있었다고 하더군요. - 기억이 가물가물.

 

KT의 의견대로 Unix Bind 서버를 사용한다고 믿을 수 밖에 없었고 이런 상황에서라면 DNS 서버에 대한 직접 query 어택외에는 방안이 있을 수 없다고 생각 했습니다. 그러면서 확인된 이야기는 아니지만 KT 내부에 문제가 있을 것 같다고 생각을 했었죠. 문서에는 쓰고 싶었으나 확인되지 않은 정황으로 쓸 수는 없기에 안그래도 모자란 머리 쪼개고 또 쪼개서 시나리오도 고민하고 했었죠.

 

이 정도의 위험성이 나올 시나리오는 무엇일까?. 무엇이 이 결과를 초래 했을까?..

 

결과로 부터 되짚어 가는 수 밖에는 없더군요. 드러나는 여러가지 가능성을 하나 하나 지워갔을때 최종으로 나온 결론은 DNS에 대한 직접 공격 외에는 없었습니다.

 

그러나 KT 내부 기간계 시스템에서 문제가 발생을 하였다면?.. Slammer 웜이 그 하루전이 1.24일 금요일 늦게 부터 움직였었고 일정 수치 이상의 감염 이후에  인터넷이 무너지게 된 것은 KT 내부망이 최초 침해를 당한 이후 내부의 트래픽 폭주로 인해 기간망이 마비되었을 가능성이 매우 높을 것으로 판단이 됩니다. - 아직도 의심을 하고 있습니다. ^^;

확인 안된 사실이죠. KT 내부 담당자가 아니면 절대 모르는 이야기.. 왜냐.. 기본 사실은 있는데 정황을 한번도 공개를 안했으므로...

 

 

지나간 이야기 입니다만.. 아직도 가끔 이 이야기를 하시는 분이 있어서 잊었던 생각 한번 꺼내 봤습니다.

 

참 황당한 것은 전체 인터넷망이 위험하다고 신고 했더니 ..그것도 오후 일찍...  근거 없는 소리 말라고 일축하던 분들이 조금 생각 나네요.  그때 아무일 없었으면 저는 미친놈 될뻔 했죠. 후훗.

 

즐거운 하루 되세요.

Posted by 바다란

http://news.naver.com/news/read.php?mode=LSS2D&office_id=092&article_id=0000008198&section_id=105&section_id2=283&menu_id=105

 

보안 기술은 계속 발전 하고 있고 보안을 주 업종으로 삼고 있는 기업들은 공격을 충분히 제어 하고 있다고 말합니다. 모든 솔루션을 도입하면 문제가 해결 되는 것 처럼 이야기 하고 실제로 논의 하고 있으나 현재의 위협은 보다 더 사용자와 기업에게 가까워져 있습니다.

 

솔루션의 도입으로 처리 될 수 있는 문제는 이미 지나간 문제이며 개발 시점에 또 다른 위협요소가 발견이 되고 있고 문제가 되고 있습니다.

Zeroday Attack [ 취약성에 대한 패치가 나오기 이전에 공격 코드가 출현하는 것 ]과 Monster Bot [ 하나의 취약성을 공격하여 수십가지 이상의 공격 도구 및 취약성을 통한 확장을 시도하는 Bot]의 출현은 현재 전 세계의 IT Infra가 직면한 위협입니다.

 

공격 대상이 기업 단위를 넘어 직접적인 사용자 단위에 까지 접근 하고 있어 IT산업을 주된 영역으로 하는 인터넷 비즈니스 기업외에도 일반 기업에게도 직접적인 위협 대상이 되며 보안이 강화되지 않은 기업의 정보들은 일반 사용자들 대다수의 개인정보 및 중요정보를 노출 시키고 문제화 되게 만들고 있습니다.

 

 

솔루션의 도입은 타당합니다. 그러나 정답은 아니라고 할 수 있습니다. 솔루션은 점점 더 늘어만 가는데 하는 일은 줄어 들지 않습니다.
오히려 더욱 많은 부분을 신경 써야 하고 Super Extra에 해당되는 능력을 요구하고 있습니다.  왜 그럴까요?

 

앞서 말씀드린 위협의 실제적인 출현과 비지니스에 직접 영향을 줄 수 있는 범주의 공격은 많은 부분을 고민하게 만들고 기술의 발전은 많은 구성요소에 대한 직접 검토와 검수가 필요한 부분이며 인프라에 대한 위협을 낮추기 위해서는 내.외부의 위협을 검토하고 조정해야 하는 수많은 일들이 지속적으로 증가할 수 밖에 없기 때문에 앞으로도 IT산업이 발전 할 수록 일은 더욱 늘어날 것입니다.

 

빠르게 발전하는 위협에 대한 대응은 같은 속도로 진화해 갈 수 있는 동일한 능력을 보유한 White Group에 의해 이루어 질 수 있습니다. 그러나 모든 회사가 White Hacker 그룹을 보유 할 수는 없습니다. 그리고 개별 회사의 뛰어난 능력을 모든 산업을 위해서 쓸 수도 없습니다.  너무나도 많은 희생이 필요하기 때문이죠. 회사든 개인이든..

 

공격 기술이든 보안 기술이든간에 서로 발전하고 있고 발전의 폭은 공격 기술이 더욱 높습니다. 모든 것을 함께 공유하여  새로운 시도가 이루어 지기 때문인데 보안 기술은 그렇지 못하고 있습니다. 공유의 폭도 좁으며 공유 할 수 있는 정보 자체도 한계가 있습니다.

앞으로도 더욱 큰 차이가 발생 할 수 있을 것으로 판단되며 전문인력을 보유하여 업무 전반적인 부분에 보안 프로세스가 스며 있어서 습관화된  기업과 그렇지 못한 기업의 차이는 단 한번에 극명하게 차이가 날 것입니다.  인력의 보유가 전부가 아닌 업무 프로세스 전반에 걸쳐 보안 관련 부분이 스며 들어 있고 분명하고 명확한 의사결정 및 정책의 지지에 의해 차이는 더욱 극대화 될 것입니다.

 

글로벌 기업일 수록 더욱 더 실감할 수 있는 위협은 이미 너무 가까이에 다가와 있으며 언제든 현실화 될 것입니다.


 

보안 기술은 빠르게 발전 합니다.

그러나 보안기술 보다 더욱 빠르게 발전하는 것은 공격에 관련된 기술입니다.

일명 BotNet 이라 불리는 좀비 PC [ 취약성을 공격하여 권한을 획득한 PC] 를 이용한 거대한 컨트롤 공격의 위험도도 상당히 높은 상태입니다. 보안 기술은 이제 외부의 위험으로 부터 보호하는 정책으로 급격하게 선회 하였으며 해당 정책에 따라 외부의 위험으로 부터 격리 시키는 정책과 기술적인 대책이 가장 중요하게 취급이 되고 있습니다. 일반적인 기업의 경우 외부의 위험으로 부터 격리 시키는 것은 그리 어렵지 않습니다.


그러나 IT 기반의 영역을 주된 사업 기반으로 지니고 있는 기업의 경우 고객과의 접점과 회사의 이익 발생 부분 대다수가 웹 및 인터넷을 이용한 영역이라 외부의 위험으로 부터 격리 시킨다는 것이 가장 어려운 영역의 일이 됩니다.

 

계정과 접근에 대한 일관된 프로세스 및 기술적인 대안이 명확해야 하고 Identity 관리 부분에 있어 직원이나 외부의 고객이 접근 하는 통로에 대해 분명한 가이드와 명확한 정책 , 일관된 방침이 유지가 되어야만 위험요소를 줄일 수 있습니다.

 

공격 기술의 발달과 보안 기술의 발달 측면에서 현재는 소수의 공격자가 대규모의 공격 가능 자원 [ 좀비PC Network - BotNet]을 이용하여 개별적인 대응외에는 종합적인 대응이 어려운 개개의 산업을 위협하고 있는 형국입니다.

보안 분야의 Role을 수행하는 그룹이나 팀에게는 보다 더 편리하고 편리성에 기반한 오픈을 요구하고 있으나 외부의 위협을 분명히 인지하고 있는 팀에게는 위험부담이 크며 또한 관리 포인트가 급격하게 증가하는 위험성이 동시에 존재하고 있습니다.

편리성과  보안성은 예전부터 상극을 이루고 있었으나 기업의 비지니스에 치명적인 영향을 줄 수 있으므로 편리성에 대한 약간의 양보가 지속적으로 요구 되며 보안 강화를 위한 아이덴티티 관리 [ 계정 , 접속 보안 강화 ]에 명확한 이해가 수반 되어야 합니다.

 

기업의 비지니스를 지키기 위한 노력은 앞으로 Infra 측면에서 심대한 노력이 필요할 것으로 판단되며 노력을 하는 기업과 그렇지 못한 기업의 차이는 매우 클 것입니다. 분명해질 시점은 지금 부터 이겠죠.

 

- 바다란 . p4ssion

 

* 아래의 이미지는 Security  관련 패러다임이 어떻게 변경 되었는지를 구분짓는 내용입니다. 격리에서 보호로 선회한 가장 큰 이유는 자동화된 공격 및 자동 전파되는 Worm에 의해서 라는 것이 정답입니다.  그 누가 뭐라해도 이 과정을 모두 지켜보고 직접 대응한 입장에서 현재의 패러다임 변화는 명확합니다. ^^;  - 클릭 하시면 큰 그림으로 ^^
Posted by 바다란

http://news.naver.com/news/read.php?mode=LSS2D&office_id=092&article_id=0000007823&section_id=105&section_id2=283&menu_id=105

 

다 알고 있는 사실들이지만 공개적으로 언급을 해보자.

 

대부분의 관리자는 어떻게 하면 내부 네트워크를 안전하게 지키고 보호 할 수 있는지에 대해서 알고 있다. 그리고 내부 네트워크를 지키기 위해서라면 내부의 구성에 대해서 철저하게 알고 있어서 문제점 및 취약 부분에 대해서 분명한 이해를 하고 있어야 된다.

그러나 기업의 네트워크망은 발전을 하는한 계속 확장되기 마련이고 현재와 같은 전자금융 및 전자거래의 증가 , 인터넷 비즈니스의 확장에 따라 확장은 필연적이다. 작은 회사의 스위치 몇 대와 한정된 시스템 자원의 운영시에는 관리자의 관리포인트는 작을 수 밖에 없다. 또한 중점 관리 대상도 한정이 될 수 밖에 없다. 이 과정에도 난점이 존재한다.

 

보안 관리자의 기본 요건을 완비하기 위해서는 최소한 IT보안 부분에 한정해서 보았을때 다음과 같은 필요성이 요구된다. 기본전재로 서비스의 구성은 다음과 같이 이루어 진다. 네트워크 인프라 + 시스템 자원 + Application  이외에도 인력에 대한 통제 및 내부 기밀 유출 방지등에 대한 다양한 시각이 있을 수 있으나 여기에서는 IT보안 부분에만 한정하여 보기로 하였으므로 위의 세가지 부분에 대해서 언급을 해보겠다.

 

 

1. 네트워크 보안 지식 - 기본적인 네트워크 단위의 구성과 보안 구성을 위한 안을 고민 할 수 있어야 하고 보다 더 안전하고 내부를 보호할 수 있는 단위를 고민할 지식 및 역량이 있어야 한다.

 

2. 시스템 보안 지식 -  네트워크 장비를 제외한 대부분의 장비가 운영체제가 설치된 시스템들이다. 이 시스템의 운영체제는 독특한 경우를 제외하고는 여러 종류의 운영체제가 설치가 되며 모든 부분에 통달 하지는 않더라도 근본 구성 요소 및 전체적인 지식을 포괄적으로 알고 있어야 하며 몇몇 운영체제에 대해서는 심도 있는 지식이 필요하다. 또한 이러한 지식을 바탕으로 기본 보안 룰 및 보안 정책을 수립 할 수 있어야 한다.

 

3. Application  - 운영체제 위에 올라가는 Application도 다양한 종류가 존재한다. Database solution , Web Solution 등등 이루 말할 수 없는 수많은 종류의 Application이 존재한다. 또한 직접 개발하여 운영중인 웹페이지나 솔루션들도 회사나 서비스의 규모에 따라 매우 많은 종류가 존재하며 동일한 플랫폼을 운영하지 않는 경우에는 다양한 프로그래밍 및 기법이 적용된 수많은 Application이 존재하게 된다. 근래에 더욱 중요하게 여겨지는 부분인데 Application에 대한 공격이 지난해 초 부터 급증을 하는 것이 현실이다. 각 개별 Application들의 문제를 이용한 웜이나 바이러스 그리고 정보를 유출하기 위한 악성코드등이 다수 설치가 되며 내부 기밀정보가 저장된 DB의 권한을 손쉽게 획득하는 등 다수의 위험성이 증가하고 있으며 향후에도 매우 증가할 것으로 예상이 된다. 따라서 보안 관리자에게는 그동안의 네트워크 통제 및 시스템에 대한 지식외에도 다방면의 Application에 대한 지식 및 프로그래밍의 허와 실을 지적할 수 있는 능력이 시급하게 필요한 상황이다.

 

위의 세 가지 외에도 필요한 부분들은 다수가 있을 수 있으나 가장 시급하게 필요한 부분은 위의 세 부분이다. 특히 네트워크 및 시스템 지식을 지닌 보안 관리자들은 다수 있으나 Application에 대한 지식이 없거나 부족한 관리자들이 많아 현재도 상당한 위험에 노출이 되어 있는 상황이며 보안 솔루션으로 해결하기에는 문제의 발생 이후 대응 하는 기간이 짧아 보안 솔루션의 시기 선점이나 연구는 조금씩 대응이 늦어지고 있고 그 간극은 더욱 차별화 될 것으로 보인다.

연구 역량을 지닌 몇몇 거대 기업에 의해 선점될 이슈로 인해 작은 보안 회사들의 생존은 힘들어 질 것이고 독점에 의한 고가의 제품들로 인해 역량있는 보안전문가 집단을 보유하지 못한 회사들은 많은 비용 부담을 책임질 수 밖에 없을 것으로 판단된다.

 

보안은 결과가 아닌 과정이다.

비지니스의 연속성을 보장하는 필수적인 과정이며 IT가 발달 할 수록 인터넷 문화가 발전 할 수록 더욱 더 필요한 부분이 될 수 밖에 없을 것이다.

 

그렇다면 현재 상태에서의 문제 해결은 무엇이 될까?

관리자가 감당하기에는  벅찬 시스템 및 네트워크의 자원 그리고 공격자들의 빠른 전환과 자동화된 공격 , Application 전체적인 레벨 유지 및 보안상의 문제들 , 대규모 악성코드 및 커널레벨까지 컨트롤 하는 시스템 백도어들의 출현 등등

 

위의 문제들은 규모가 있는 회사 일 수록 더욱 심각하게 다가오는 문제들이다.

기사에서 언급된 방안도 고민할 수 있는 방안이며 현재로서는 유일한 대안이라고도 할 수가 있을 것 같다. 공격자의 입장에서 내부에 문제는 없는지 여러 점검포인트들에 대해서 핵심을 짚고 각 해당 점검 포인트 별로 순차적인 문제 해결을 위한 점검을 실제 공격자의 입장에서 진행을 한다면 드러나는 문제점들에 대해 손쉽게 공격을 당하거나 노출된 취약점들을 지속해서 줄일 수 있을 것이다.

 

IT보안이라는 것이 더욱 중요한 시기이고 문제를 해결 하기 위한 노력도 더욱 증감 되어야 한다. 그러나 현재 상태는 고가의 장비를 도입한다고 하여 점검포인트 전체를 커버 할 수는 없으며 유일한 방안은 점검포인트를 분명히 체크 할 수 있고 명확한 방침을 가지고 운영을 하여야 하며 뛰어난 전문가 집단을 외부에서든 내부에서든 수시로 활용이 가능하여야 한다. 여력이 되는 회사라면 내부에 운영하는 것이 기밀 및 전체적인 보안 수준의 향상에 큰 기여를 할 것이고 그렇지 않은 기업이라면 외부에서 주기적인 점검을 통해 체크를 하여야 한다.

점검포인트 측면에서 아무래도 외부에서 접근을 하는 경우에는 놓치는 곳들이 있을 수 밖에 없으므로 문제는 계속 될 것이지만 드러난 위협을 줄일 수는 있을 것이다.

 

정리하면 다음과 같다.

 

* 점검포인트를 명확하게 규정하고 주된 위협지점을 찾을 수 있는 역량 있는 자의 충원

* 역량 있는 자의 충원 이후에 시스템 및 Application 단위의 문제점을 지적할 수 있는 전문가 집단의 충원 혹은 외부 동원을 통한 상시진단.

* 문제의 수정 및 신속한 보안 대책 수립 및 이행

 

원론적인 이야기 이지만 IT보안에 있어서는 근본적인 대책이며 현재 다수 발생하고 있는 Application 관련 보안 사고 및 문제들을 최소화 할 수 있는 기본 방안이라 할 수 있다. 변화하는 위협에 대처하기 위해서는 전문가 집단의 확보는 필수라고 할 수 있다. 위협은 너무나도 빨리 변화고 수시로 큰 위협으로 돌변함으로 준비하지 않는 기업이나 산업에는 재앙으로 다가 올 수도 있을 것이다.

 

감사합니다.  - p4ssionable security explorer  바다란

 

 

Posted by 바다란

Defcon과 BlackHat은 서로 양립하는 존재입니다.

그리고 동시에 개최가 됩니다.

보안과 해킹은 서로 상극이면서도 가장 밀접한 관계이기에 더욱 그렇습니다.

 

매년 8월쯤에 미국에서 Defcon과 BlackHat 에서 해킹과 보안 관련된 세미나 세션들이 개최가 됩니다.

CTF란 용어는 왠만한 해킹/보안 컨퍼런스에 나가시면 항상 이루어 지는 세션입니다만 정확한 의미는 공격과 방어를 누가 더 잘하는가 입니다.

 

문제점을 찾고 또 그 문제점을 수정하고 방어하고 공격하여 최고의 점수를 획득한 팀이 우승을 하게 되죠.

CTF 세션의 원조는 Defcon이며 세계 최고수의 공격/방어 전문가들이 나타나는 것으로 유명합니다.

그동안 이런 부분에 대해서 소개할 좋은 기회가 없었는데 보안뉴스에서 기획기사로 연재를 하여 소개 하여 드립니다.

 

세계 최대 해킹대회 ‘데프콘 CTF’ 그 현장속으로…①   

http://www.boannews.co.kr/media/view.asp?page=1&gpage=1&idx=3522&search=title&find=&kind=2

 

세계 최대 해킹대회 ‘데프콘 CTF’ 그 현장속으로…②   

http://www.boannews.co.kr/media/view.asp?page=1&gpage=1&idx=3523&search=title&find=&kind=2

 

세계 최대 해킹대회 ‘데프콘 CTF’ 그 현장속으로…③   

http://www.boannews.co.kr/media/view.asp?page=1&gpage=1&idx=3524&search=title&find=&kind=2

 

아시아권역에서는 14회 대회동안 본선진출팀 조차 여지껏 없었습니다.

이번에 최초 본선진출에 6위를 하였네요. 준비도 많이 못하고 장비도 열악한 상황에서  본선진출 8개팀중 한국을 제외하고는 십여명 단위였는데 한국팀은 핵심멤버도 비자문제로 못간 상황인 환경에서 이뤄낸 결과라  매우 값진 결과라고 생각 합니다.

 

우물안에서 안주하고 서로를 비난하고 기를 죽이고 할때 세계 무대에서는 보다 더 나아가기 위한 활발한 토론 및 연구가 이루어 지고 있습니다. 보안과 해킹은 모순되지만 가장 가까운 부분이며 출발지는 서로 달라도 한번 돌고나면 같은 지점에 있을 수 밖에 없는 뫼비우스의 띠와 같은 분야 입니다.

 

해킹을 못하면서 보안을 한다는 것과 보안을 한다면서 해킹이 어떤 유형으로 발생 하는지에 대해서 이해를 못한다면 지금과 같은 글로벌 비즈니스 산업 특히 국경이 없는 인터넷 분야에서는 치명적으로 낙오 될 수 밖에 없습니다. 글로벌 기업에 대해서는 더더욱 심각한 문제가 됩니다. 어떠한 목적으로 이용하느냐에 따라 크래킹과 해킹으로 구분 할 수 있지만 CTF와 같은 세션은 해킹이며 더더욱 발전을 위한 해킹이 됩니다.

 

지금껏 국내에서는 크래킹과 해킹의 구분없이 무작위적인 단속 강화로 인해 많은 인력들이 사장 되고 분야를 등졌지만 나비효과처럼 피해가 극대화 되는 시점에서는 잃어버린 지식을 찾기에는 매우 어려울 것입니다. 전반적인 인력의 양성과 분야에 대한 긍정적인 지원 효과가 있을때 인터넷 산업의 국제화도 활발해 질 것입니다.

 

국내 게임 산업에 대해 중국 크래커들이 무작위로 공격을 시행 하고 있습니다. 그러나 그들을 처벌 할 방안은 존재 하지 않고  전문화되고 깊이 있는 공격을 막기 위해서는 분석이 필수적이며 공격자의 의도와 기법을 분석할만큼의 능력을 지니고 있어야 합니다.  

공격자의 관점에서 바라보는 것도 대응에 매우 중요한 부분입니다.

이런 부분을 제대로 할 인력이 부족했고 인식이 부족 했었기에 지금까지도 피해가 지속이 되는 것이며 해외 진출 기업들에게도 [특히 인터넷기업] 치명적인 영향을 미치고 있습니다. 각 국가마다 개인정보보호의 영향이 매우 크게 작용하고 있는 국제 비지니스 환경의 변화도 큰 부담이 됩니다.

 

조그마한 취약점을 통해 사용자 정보가 유출 되었을 경우 국가마다 차이는 있으나 심한 경우는 사업에 중대한 Risk가 되고 있는 상황입니다.

무엇이 중요한 부분일까요? 조금만 더 멀리 보았다면 지금과 같지는 않을텐데.. 하는 생각 많이 듭니다.

그 시대의 나름대로 이유와 당위성은 있었겠으나  잡초제거를 한다고 논을 갈아 엎은 모양새가 되어 있습니다.

부족하나마 이제라도 힘을 모으고 긍정적인 전환을 통해 Global Business 환경에 대응하는 것이 필요할 때는 아닌지...

 

긍정의 힘을 믿는 긍정적인 자세가 필요했는데 사회 전반적으로 그런 분위기가 부족한 것은 아닌지하는 생각도.. ^^;

 

11월의 poc2006 기대가 됩니다. 이제는 바뀌고 변화해야 할때.

Posted by 바다란

http://www.securityfocus.com/news/11405

 

SPI Dynamic의 Hoffman이 지금 라스베거스에서 열리고 있는 BlackHat에서 스크립트를 이용한 공격과 웹 Application을 통한 웜에 대해서 언급을 하였다고 한다. 기사뿐 아니라 실제 발표된 스크립트 문서를 확인해 본 결과 특별하거나 새로운 이슈는 아니라고 판단되며 현재 나온 상황의 종합판이라 할 수 있을 것 같다.

 

이미 2004년말에 출현한 Santy worm을 보며 향후 방향이 어플리케이션으로 넘어감을 예상 할 수 있었는데 앞으로는 더욱 더 심각할 수 있다는 생각을 한다.

 

그 당시에 작성한 문서도 일정부분 참고가 될 수 있을 것이다.

http://blog.naver.com/p4ssion/50001891757

 

Ajax는 사용자의 PC와 사용자의 Client에 많은 기능을 부여하여 원활한 자유도를 확보하는 기법이다. 이 기법의 기본은 Script 베이스로 이루어진다. DOM과 Script간의 비동기적인 통신을 이용하여 유기적인 연결이 되는 것으로 묘사하는 기법이라 할 수 있는데 클라이언트에 자유도를 증가 시킬 수록 문제 심각도는 커질 것임은 명백하다.

 

Myspace의 경우에도 Yahoo Messenger의 경우에도 일반적인 총칭으로 Ajax 라 부를 수 있는데 이런 기능을 직접 활용한 웜의 출현은 지난해 말과 올해들어 충분히 목격을 하였을 것이다.

 

 

마이스페이스를 목표로 한 어플리케이션 웜 과 야후 메신저를 목표로 한 자동 전파 기능을 지닌 코드들의 특징..그리고 향후 나올 가능성이 존재하는 것들에 대한 위험성에는 특정 기업의 Application 에 대한 공격이 증가 할 것이고 온라인화 되는 문화가 한국 내에서는 상당부분 빠르게 발전되어 문제들도 빨리 나타났으나 해외의 경우에는 이제 부터 더욱 더 본격화 될 것이라 본다.

 

이슈의 경우에도 향후 해외에서 적극적인 이슈들이 나올 수 있을 것이다.

 

운영체제의 계정이나 권한 획득이 아닌 온라인 상의 유저들의 정보를 얻기 위한 코드들과 어뷰징이 성행 할 수 밖에 없으며 위험성은 더욱 높아 질 것이다.

 

시스템 자체의 공격이 더 이상 중요하지 않다는 의미는 아니나 또 다른 분야에서의 대형 이슈가 향후에는 출현을 한다는 것이다.

 

크로스 사이트 스크립팅을 막지 않으면 대부분 문제가 발생 할 수 밖에 없으며 모든 문제의 근본은 Validation check에 존재하고 있다. SQL Injection도 마찬가지 이며 CSS Attack도 마찬가지이다.

 

Web Method를 이용한 Application 공격도 충분히 예상을 할 수 있어야 하며 자동화된 공격으로 변질 될 경우의 탐지 로직에 대해서도 보안 전문가라면 충분히 고민을 해야만 한다.

 

이래저래 이슈들은 계속 묻혀져 있다 적당한 시점에 계속 이슈화 된다. 해야 할일들과 그만큼 관심을 두고 정리를 해야 하는 부분들이 많아진 것이라 할 수 있다.

 

올해 BlackHat에는 참가하지 못했지만 여러 발표자료들을 보면서 크고 놀랍고 센셔이널한 이슈들은 아니여도 전문적이고 깊이 있는 분석들을 몇 몇 발견 할 수 있었다.

그 깊이가 또 다른 경험을 낳을 수 있을 것이라 생각된다.

 

간단하게..정리

Posted by 바다란

KISA에서 제작하는 온라인 게임 해킹 대응 가이드에 실린 글입니다.

 

 

해외진출 시의 보안상 주의 사례 :

 

2000년도 이후부터 우리의 온라인 게임들은 해외에 다수 진출 하였다. 현지 퍼블리싱 업체와 손을 잡고 합작 진출을 한 경우와 직접 진출을 한 경우를 볼 수 있다. 대표적인 해외 진출 국가는 중국/일본/미국을 들 수 있으며 국가는 계속 확대 되는 추세이다. 저작권 법이나 불법 운용에 대한 부정적인 인식이 떨어지는 중국의 경우에는 해외 진출 업체가 지난 몇 년간 곤혹스런 경험을 한 적이 다수 있는 상황이다.

 

예를 들어 현지 업체와 계약을 맺고 상용화 단계에 까지 성공을 하였는데도 입금이 되지 않거나 현지 업체가 고객의 결재 내역을 공개하지 않아 정확한 수치를 확인 하기도 힘든 상황을 맞이 하기도 한 상황이 있고 대금 지급과 관련된 분쟁으로 오랜 기간 동안 힘든 싸움을 했던 경우도 있다.

 

섣부른 로컬라이징 서버의 제공으로 인해 권리 주장도 하지 못한 채 Free 서버 및 독자적인 현지 업체의 상용화로 곤란을 겪은 사례도 있어서 주의가 요구된다.

 

일반적으로 해외 진출 시의 검토 단계는 다음과 같이 이루어 진다.

 

사전 조사 -> 진행 -> 계약 -> 계약 이후의 이행 단계

 

사전조사 단계에서는 시장성에 대한 조사 및 현지 업체에 대한 정보 수집 등이 이루어 지며 면밀한 조사가 필요한 부분이다. 각 게임 개발사들에서 실적을 우선적으로 진행 하다 보면 사전 조사 단계에서의 정보 수집 부족으로 난항을 겪을 수 있다.

 

진행:

현지인 Agent 및 퍼블리셔 들과의 미팅을 통해 신뢰할 만한 파트너 관계를 찾는 과정이다. 서비스에 대한 명확한 이해를 하고 있으며 신뢰할 만한 파트너 인지 여부를 확인 하는 과정이 필요하며 상호간의 서비스 진행에 대한 협조 관계가 성립 할 수 있는지 여부를 검토하고 신중하게 진행을 해야 한다.

직접 진출의 경우에는 현지 국가에 대한 법령 및 체제에 대한 이해 및 법인 설립시의 Risk 요인을 검토하고 종합적으로 판단을 내릴 수 있어야 한다.

 

계약:

간접 진출의 경우 계약 단계에서 고려해야 할 사안들이 많다. WTO 가입 이후에도 저작권에 대한 인식이 약한 중국의 경우에는 국내 게임 업체들의 피해 사례도 다수 있는 상태라 여러 부분에서 주의를 기울여야 하는 부분이다. 계약의 당사자가 신뢰할 만한 당사자인지 또는 과거에 피해를 당한 업체가 있는지를 체크하는 것이 필요하며 피해의 원인 분석 및 원인에 따른 대응 단계를 계약 단계에서 명확하게 문서화 하는 것이 필요하다.

 

계약 이후의 이행단계:

명확하게 대금 지급 과정 및 경로에 대해서 계약단계에서 명확하게 기술 하는 것이 필요하며 해당 내용에 따라 이행하는 단계로서 문제에 대한 해결 [ Hacking 이나 Abusing에 대한 대응] 조건 및 소스코드에 대한 관리 및 서버 운용에 대한 책임등을 명확하게 한 후 이행하는 과정을 검토하는 것이 필요하다.

 

일반적으로 사전조사 , 진행 , 계약 , 이행의 단계로 볼 수 있는데 여러 가지 위험요소가 있을 수 있으나 여기에서는 보안 관련된 측면만 살펴 보기로 하자. 해외 진출 시의 주의 사항은 보안적인 측면에서 살펴보면 다음과 같은 면을 살필 수 있다.

 

위험:

1.       소스코드의 유출

2.       Free 서버 운용 [ 서버 시스템의 관리 및 통제 ]

3.       물리적인 서버의 보안

4.       service에 대한 해킹을 통한 정보 유출 및 권한 획득

5.       게임 서비스에 대한 장애 [ 운용상의 미숙 혹은 외부로부터의 DoS 공격]

6.       게임내의 아이템 등에 대한 내부 유출 문제

 

위험 요소는 크게 6가지 정도로 볼 수 있다. 각 항목에 대해 계약 단계 혹은 이행 단계에서 지켜지고 준수할 수 있도록 명확한 명문화된 규정이 필요하며 언급이 있어야 향후 문제 발생시에도 원활한 대응이 가능할 것이다.

 

1.소스코드의 유출

해외 서비스 제공 시에는 소스코드의 유출은 가급적 하지 않아야 하며 컴파일된 형태의 서버 버전 및 클라이언트 버전 제공이 필요하다. 협력사의 현지화 요구로 인해 제출해야 할 경우에는 핵심적인 부분을 제외한 나머지 부분에 대해서 협력을 하여야 하며 핵심 부분의 경우에는 본사에서 직접 처리 하거나 인력을 통해 처리 하여야만 한다. 소스코드의 관리는 접근제어 및 권한에 따른 분명한 접근이 가능하여야 한다. 암호화된 매개체에 저장이 되어야 하며 외부 유출 시에도 암호화 되어 보호가 가능하여야 한다.

 

2.Free 서버 운용

게임서버의 이미지 유출 및 도난 으로 인하여 Free 서버가 운용될 경우에는 현지 업체와의 계약 단계에서 해당 문제에 대한 언급이 있어야 한다. 동시접속자의 감소로 인한 피해를 현지 업체의 문제가 아닌 경우로 판단하고 책임을 미루는 경우가 있으므로 Free 서버 운용에 대해서는 현지 업체에서의 모니터링 및 대응에 대한 책임이 있음을 분명히 하고 책임감을 지닐 수 있도록 하여야 한다. 지속적인 단속의 경우도 해외 진출국에서만 가능한 부분이므로 진출사의 입장에서는 어려운 부분들이 있을 수 밖에 없다.

 

3.물리적인 서버의 보안

대부분 IDC에 서버가 위치하게 되는데 물리적인 접근 제어 및 권한 통제가 분명하지 않은 IDC가 국가에 따라 있으며 IDC라는 용어 자체가 규격화 되지 않은 곳들이 있다. 또한 지방에서 운영되는 영세 IDC의 경우에는 물리적인 보안 요소를 갖추지 못하고 있으므로 서버의 운영 시에는 물리적인 보안 수준을 준수하는 IDC를 직접 확인 한 이후 본사 차원에서 모니터링 하는 것이 필요하다. 웹캠 혹은 추가 비용을 들여서라도 접근을 통제 하는 것이 필요하며 개발사 자체에서 운영을 하는 것이 필요하다. 영세 업체의 경우에는 현지 퍼블리싱 업체와의 계약 단계에서 명문화 하는 것이 필요하며 IDC에 대한 접근 통제 수준을 확인 하는 것이 반드시 필요하다.  서버 자체에도 고유 Mac Address 등을 인식하여 중앙 본사 차원에 접근을 하여야 실행이 되도록 하는 고유 기술을 두어 중앙 통제가 가능하여야만 한다. 최소한 서버의 외부 유출 시에도 정상적인 서비스가 실행 될 수 없도록 하는 보안 장치는 염두에 두어야만 한다.

 

4.service에 대한 해킹을 통한 정보 유출 및 권한 획득

웹 서비스에 대한 수정이나 이벤트 진행 시에 보안상 취약한 부분이 있을 경우 서비스에 대한 해킹이 발생 할 수 있다. 권한 획득도 가능한 취약성들이 다수 있으므로 Database 및 사용자 정보가 보관된 곳은 외부 노출 시에도 문제가 발생하지 않도록 암호화 하여 보관하는 것이 필수적이며 평문 보관의 경우 치명적인 피해를 입을 수 있다. 피해 발생 시에는 피해에 대한 원인 파악에 따라 보상하는 것이 일반적이므로 해당 규정을 명문화 하는 것도 필요한 사안이다.

 

5.게임 서비스에 대한 장애 [ 운용상의 미숙 혹은 외부로부터의 DoS 공격]

운용상의 미숙 및 외부로 부터의 공격에 대해 현지 업체가 원활한 대응을 하지 못하여 서비스 장애가 발생 하였을 경우 개발사의 품질을 의심하는 사례가 다수 있으므로 문제 발생 시에는 판단하게된 기록의 제공 및 대응 내역을 문서화 하여 공조 하는 것을 검토 하여야 한다. 명확하게 하여야만 피해의 원인 파악 및 보상등에 대해서 논의 하는 것이 가능해 진다.

 

6. 게임내의 아이템 등에 대한 내부 유출 문제

현지 업체의 내부자에 의해 접근이 가능한 Admin Tool의 경우 아이템의 외부 노출등 상당한 위험요소가 존재하므로 신뢰성 있는 직원, 정보보호 교육에 대한 의무화 등에 대해서도 검토를 하는 것이 필요하다. Database에 접근하는 모든 로그들은 삭제할 수 없는 형태로 별도 보관하여 차후에 증빙 할 수 있는 자료로 삼아 보상 및 피해 규모를 산정 할 수 있도록 하는 것이 좋으며 초기 서비스 설비의 설계단계에서부터 최종 정보가 위치하는 Database에 대한 접근 기록에 대해서는 별도 관리가 필요하므로 고려 하여야만 한다.  접근 가능자에 대한 축소 및 주기적인 Auditing도 필요한 부분이며 문제 발생시에는 현지 퍼블리싱 업체가 전적인 책임을 질 수 있도록 명문화 하는 과정도 고려 하여야 한다.

 

 

이상과 같이 해외 진출 시 고려 부분들에 대해서 보안이라는 측면에서 간략하게 알아 보았다. 표준적인 내용은 아니며 다수 발생한 사례들을 기준으로 하여 해당 문제들이 발생하지 않기 위해서는 어떤 점을 고민해야 하고 대안으로 무엇이 있을 수 있는지를 간략하게 알아 보았다. 문제가 발생하는 상황은 많으며 계약의 조건도 다를 수 있다. 그러나 기본적으로 발생하는 6가지 형태의 문제들에 대해서 대책을 가지고 해외 진출을 하게 된다면 보안상 발생하는 문제들에 대해서는 일정 수준 이상의 해결 능력을 지니게 될 것이다.

 

written by p4ssion

Posted by 바다란

http://www.zdnet.co.kr/news/enterprise/etc/0,39031164,39149196,00.htm

 

 

Penetration Test 관점에서 가상의 네트웍을 설계하고 각자의 팀에 침입하도록 하는 Capture the Flag를 NSA에서도 하나보다.

 

Homeland Security와 NSA의 구성상 보안적인 측면이 강한데.. NSA의 경우에는 신호, 전자, 통신 정보를 아우르고 Homeland Security는 내부의 보호 및 물리적인 보호를 총괄하는 거대한 집단이다.

 

이 두 핵심에서는 매년 마다 정기적으로 내부 기간망에 대한 테스트를 진행하고 주요 인력들에 대한 교육을 진행 하는데.. 주기적으로 발표된 Homeland Security 부서의 기간망 점검과 그 결과 발표는 미국내의 여러 정부기관에 많은 영향을 끼치고 있다.

 

한번 읽어볼 만한 기사이다.

 

읽어본 기사 중 가장 기억에 남는 부분은... 1~2년을 보호하는 네트워크에 침입하기 위해 노리는 자들이 존재한다는 구절..

 

아무리 보안을 강조 한다 하여도 최소한의 불평으로 최대의 효과를 보장하는 시스템은 어려운것 같다.

 

어느 정도의 과감성과 결단성..그리고 지식과 경험으로 무장된 강인함만이 내.외부 [ 공격자외에 낙하산들을 포함한 내부의 인력]로 부터 지킬 수 있다.

지키고자 하는 대상이 보호하고자 하는 네트워크 이든 기밀정보 이든 또한 자기 자신이든 간에..

 

다음엔 보안관리자 라는 측면에서 잡생각들을 한번 정리해 보도록 하자...~~

Posted by 바다란

 

유비쿼터스 환경에 다가오는 위협

국내개발 Application들도 더 이상 안전지대가 될 수 없다


* 2005년 3월에 외부웹 사이트에 올린 글이네요.. ^^; 참고 삼아 물론 내용은 지금도 그대로 이어지는 내용입니다. 현재의 문제점들이 Application의 문제라면 개발된 단편화된 Application 뿐 아니라 웹 과 DB가 연동되는 모든 부분에서 현재는 문제가 발견이 되고 있죠. 앞으로 가야할 길이 많이 남았습니다. 국가전체적으로 본다면 더더욱... 작년 3월에 쓴 글인데..지금과는 얼마나 연관 되는지 또 얼마나 차이가 있는지도 염두에 두시면 재밌을 것 같네요.


안녕하세요. 버그트랙 메일링을 보던 중 samsung 장비에 대한 문제점을 기술한 내용이 있네요. 앞으로 이런 부분을 커버할려면 많이 고생할 듯 싶네요. 메일을 보면서 느낀 점이 있어서 간단히 써봤습니다.


가능성 측면에서 생각을 해보시면 될 듯 싶습니다. 앞으로의 유비쿼터스 환경에서의 발전에 따른 문제들도 계속 되겠죠. ^^; (다른 곳에도 올린 글 중복해서 올립니다. 관심 있는 분들만)



 

취약성에 대한 향후 발전방향 및 예상에 대해 간략한 의견을 말씀 드리겠습니다.


국내 바이러스 백신에 대한 evasion 및 공격 코드가 추가된 웜/바이러스 유형이 출현 한데 이어 하드웨어 및 네트워크 장비에 대한 문제점들이 노출되어 공격이 발생하고 있습니다.


2005년 3월에 발표된 samsung adsl 모뎀에 대한 Default 다운로드의 경우도 상당히 어

##########0*

 

이없는 버그라고 할 수 있겠죠. 더불어 신규로 출현하는 웜에서는 기존 외국회사들의 백신만을 evasion 하고 종료시키는 코드에서 한국내의 백신벤더에 대한 공격코드도 추가 되어 있습니다.


이것은 한국을 공격의 전진베이스로 이용하고 다수의 사용자가 여전히 보안에 취약한 형태인 것을 이용한다는 것을 시사하고 있습니다. 한국을 바이러스 및 웜 전파의 중요한 숙주로 여긴다는 것이죠.


예전 기억을 더듬어보면 2~3년 전쯤에 모 백신회사의 게이트웨이 시스템(일명 바이러스 월)에 대해 root 권한 획득이 가능한 설정상의 오류가 발생되어 긴급하게 패치가 된 것을 볼 수가 있었는데, 국내 제품들이 외국에 다수 알려지고 또한 하드웨어 및 네트워크 장비에 대한 수출 이 진행됨에 따라 문제점이 다수 발견되고 있습니다.


현재까지는 극히 미미합니다. 이 의미는 향후에 급증할 요소가 많다는 점을 이야기하고 있기도 합니다.


security 취약성의 발견 원칙은 가장 간단합니다. ‘가장 많이 사용하는 제품의 취약성을 발견하라, 그리고 그 파급력을 이용하라’입니다.


그동안 국내 vendor 및 제품에 대한 취약성 권고안은 거의 없었습니다. 왜냐하면 알려진 제품이 없었기 때문이죠. 그리고 그럴 가치도 없었구요. 향후에는 좀 더 다르게 진행이 될 것으로 보입니다.


발전을 함에 따라 또 변화를 추구함에 따라 Closed된 네트워크 환경에서 Open된 네트워크 환경으로 전환할 수밖에 없고 공개가 될 수밖에 없습니다. 즉, 국내의 시장에만 한주해서는 기업의 규모를 유주할 수 없는 상황이 전개가 됨으로 인해 국외의 시장에 필연적으로 진출을 해야 하며 이에 따라 Open된 네트워크 환경으로 모습을 나타내는 것이 반드시 필요한 과정이 됩니다.


소프트웨어에 대한 공격도 증가하고 있고 또한 하드웨어 베이스의 제품에 대한 공격도 증가하고 있습니다. 하드웨어 Applience 제품군에 대한 공격도 점차 증가할 것으로 보이는데 지금껏 발견된 국내 취약성은 어이없는 코딩상의 오류 등에 의한 취약성이 대부분 이였고 점차 시일이 지나고 인지도가 높아질수록 고수준의 권한획득 공격들이 출현할 것입니다.


취약성을 발견하는 동향을 살펴보면 해외 전체로도 고수들의 활동은 적습니다. 적다기 보다는 기존의 운영체제에서 발견될 만한 큰 취약성들은 발견이 되었고 큰 영향을 미치는 Mega-vulnerability는 연 2~3회 정도로 줄어들 것 같습니다. 새로운 운영체제나 트렌드가 변화한다면 또다시 발견횟수가 늘어나겠지만 기존의 알려진 문제들은 대폭 줄어들 것입니다.


취약성의 발견에 따른 흐름을 보면 2003년이 피크였고 작년을 기점으로 운영체제에 대한 큰 이슈는 줄어들었는데 이와 같은 현상은 소스코드 검증 및 Application 진단의 상시화에 따른 것으로 보입니다.


2004년부터의 동향으로는 개별 Application에 대한 취약성 발견 동향이 큰 폭으로 증가하고 있습니다.


현재 신규보고 되는 취약성의 경우 하루에도 몇 백 개씩 발표되는 Application 제품들에 대한 취약성이 주로 발견되고 있어서 특정 제품을 사용하거나 특정 국가에 한정되어 사용되는 제품에 한해 큰 영향을 미치고 있습니다.


현재까지는 유럽권역과 미주권역에 사용되고 있는 상용 application에 대한 취약성 발견 비율이 상대적으로 높은데 향후 아시아 권역 특히 우리나라 제품군에 대한 영향이 매우 확대될 것으로 보입니다.


서두에서 말씀 드렸듯이 초고속 인프라가 고도로 활성화된 구조자체가 가장 큰 매력을

##########1*

 

지니고 있기 때문에 전진기지로서 매우 가치가 높기 때문이며, 휴대폰의 보급이 활성화 될수록, IT가 결합된 컨버젼스 제품 판매가 호조를 보일수록, 더욱 가치 있는 인프라이자 가장 좋은 테스트베드이기 때문입니다.


가까운 예로 zeroboard에 대한 취약성을 예로 들 수 있겠습니다. Application의 취약성을 찾는 그룹이 큰 폭으로 증가를 하였으나 기존의 OS나 가장 보고가 많았던 Application의 경우 많은 시도에 따른 보완이 이루어져 문제점이 적은 반면 신규로 발생하거나 그동안 잘 알려지지 않았던 Application의 경우 기본적인 취약성이 다수 존재하므로 쉬운 대상을 찾아서 이동하고 있습니다.


현재 국내 사이트에 대한 Defacement 동향을 보아도 국내의 해킹 피해 사례는 zeroboard 와 PHP Application 취약성을 이용한 도메인 서버 해킹 그리고 Webdav를 이용한 PUSH method를 이용하여 임의의 파일 push가 대다수입니다.


백신에 대한 공격증가도 향후 국제화가 될수록 더욱 커질 것으로 보입니다. 지금껏 공격이 없었던 것은 취약성이 없어서가 아니라 정확하게는 유명세도 없고 로컬화 된 제품이기 때문에 가치가 없어서 하지 않은 것이지만 많은 Defacement 그룹들이 신규 취약성을 발견하고 직접 공격을 수행하고 있어서 향후 큰 폭 증가가 예상됩니다.


더욱이 우려하고 있는 바로는 디지털 컨버젼스와 관련하여 다수의 제품군에 IT 기반이 접목되는 환경에서 더욱 크게 위협이 점증할 것으로 봅니다. 향후 5년 이내에 직접적으로 가시화 될 것입니다. 유비쿼터스의 경우도 동일하게 적용이 될 것입니다. 휴대폰을 이용한 위협의 내용은 2~3년 이내에 대중화 된 위협으로 나타날 것으로 봅니다.


예전에 작성했던 국가 기반시설에 대한 문서에 기술했던 내용들이 더욱 빠르게 다가 올 것입니다. 그때 그 문서를 만들면서 향후 3~5년 이후에 나타날 것이라 예상했는데 조금 더 기간이 연장되어  맞아 들어갈 것 같습니다.

(http://www.securitymap.net/sdm/docs/general/Critical_Alert_for_Cyber_Terror.pdf )


인터넷이 가능한 냉장고, 인터넷을 이용한 가스 조작 및 검침 , 언제 어디서나 제어가 가능한 모든 머신들과 시스템 , 교통통제 시스템 등이 부분적이라도 오픈되어지는 환경에서부터 소프트웨어적인 문제 이외에 하드웨어적인 장비에 대한 문제에까지 공격을 시도하게 될 것이고, 직접 피해를 입힐 것으로 보입니다. 물론 최악의 상황을 예상하면 이렇습니다.


embedded 운영체제도 기본 로컬의 활동이외에 외부와 연결되는 네트워크 부분이 연결되어 활성화 되는 시점부터 문제는 더욱 리얼하게 다가올 것으로 보입니다.


현재 발생되고 발견되고 있는 Bot 관련 공격 경로에 OS 및 유명 Application에 대한 공격 이외에도 특정 취약성이 존재하는 무료 혹은 상용 Application에 대한 공격도 추가가 되어 있고 향후 발생된 모든 문제점들이 결합되는 구조로 나아갈 수 있을 것입니다. Monster-bot은 앞으로도 계속 진화할 것이고 유비쿼터스 환경에서도 위협은 여전할 것입니다.


피부에는 상당히 느리게 다가오지만 움직임은 상당히 빠릅니다. 또 그것에 대한 예측도 선행이 되어야 하고 부족한 부분에 대한 고려는 항상 존재해야만 합니다. 위협을 과대해석해도 안되지만 덮어놓고 가는 것은 더욱 큰 문제라고 생각합니다.


국가적 성장동력원인 IT제품이 대외적으로 활성화 되고 수출이 보편화 될수록 또 컨버젼스가 빠르게 이루어질수록 위협이 급증하게 된다는 점 하나와 국내의 수많은 개발 Application들도 더 이상 안전지대가 될 수 없다는 점입니다. 그동안 여유 없이 앞만 보고 달려 왔는데 기업의 연속성에 영향을 줄만큼의 위험 요소가 향후에는 존재할 것이라는 예상을 분명히 할 수 있을 것 같습니다.


언제나 의견 있으시면 의견 주십시오. ^^;


  p4ssionable security expert!

  * E-mail: winsnort@cqrity.net , p4ssion@gmail.com



ⓒ 바다란

Posted by 바다란

http://news.naver.com/news/read.php?mode=LSS2D&office_id=008&article_id=0000685301&section_id=105&section_id2=283&menu_id=105

 

안연구소의 시큐브레인 인수 관련 하여 우려와 기대를 동시에 보낸다.

 

안연구소의 인수에 대한 부분은 처음이 아니며 2001년 경에 한시큐어 인수를 통해 백신 보안 부분 및 PC 보안 부분이 아닌 다른 부분에 진출 하려 하였으나 결론적으로 실패를 한 적이 있다.

 

본인도 연관이 있었기에 지금에 인수 기사를 보며 그때 느꼈던 실패의 원인 및 문제점에 대해서 가급적 객관적으로 언급을 해보면 다음과 같다.

 

1. 과도한 제품 의존에 따른 업무 집중도 분산의 어려움 [ 백신 사업에 너무 편향이 되어 있어서 다른쪽으로의 에너지 전환이 어려운 상황]

 

2. 인식 부족 [ 피인수 업체는 보안관제 및 전반적인 보안 카테고리를 다루는 업체 였으나 백신이라는 카테고리 및 PC보안에 집중 하려는 의지에 따라 지원 및 인식 자체의 범위가 달랐다 ]

 

3. 인수 시점은 PC상의 바이러스에서 네트워크 단위의 웜이 최초 발견되는 전환 시기여서 굉장한 호기가 될 수 있는 시점이였으나 방향 전환을 못했다.

 

4. 백신 시장에의 안주 의지

 

5. 기타로 지금에서 보면 인원이 많지 않았으나 융화 할 수 없게 만드는 경직된 체계 및 의사소통 경로 부족도 들 수 있다. [ 관점에 따라 다를 수 있다.]

 

보는 관점에 따라서 다를 수 있으나 가장 큰 문제는 패러다임이 변화하는 시기에 유연하고 창의적으로 변화하지 못했다는 점과 중간 관리자들의 우유부단함에 의해 보안업체간의 최초 합병이면서도 시너지를 내지 못한 점이 가장 아쉬움으로 남는다.

 

Codered 웜이 최초 발견 되었을때 바이러스 백신 회사 및 네트워크 보안 회사 모두 방향성을 잡지 못한 혼돈의 시기 였는데 해당 시기에 명확한 비젼이 있고 실행의 의지가 있었다면 장족의 발전을 할 수도 있었을 것이다. 이 최초의 발전된 방식의 웜 이후 달라진 현상이 패러다임의 변화가 아니고 무엇인가?

 

백신회사는 해킹을 이용한 방식이므로 대응을 못한다는 논리이고 네트워크 보안 방식은 전파 방식이 바이러스에서 사용하는 형태라서 대응을 못한 부분이 있다.

이 codered 웜 이후에 줄줄이 여러가지 웜들이 발견 되었는데 그 당시에 전 세계 보안 분야의 이슈는 네트워크 보안 전문 업체 나 백신 전문 업체 모두 부족한 부분을 키우기 위해 인수합병에 가열찬 노력을 기울이는 계기가 되었다. 최소한 향후 발전을 위해 부족한 부분을 인식하고 준비하는 기간을 가진 것이라 할 수 있다.

명확한 패러다임의 변화 시기에 변화하지 못한 댓가는 누가 지불 해야 할까?

 

그래서 더 아쉬움이 남긴 하지만 지금까지 와는 다른 입지로..위기감을 지니고 [ 이미 지나버린 기회도 있으므로 ] 절박함으로 노력을 기울여야만 성공 할 수 있을 것이다.

서버보안이라는 것이 그리 쉽게 볼 수 있는 부분은 아니며 지속적인 노력이 필요하며 안연 내부에서도 변화를 위한 확고한 의지가 있고 노력이 실제화 되어야만 합병의 득을 얻어 새로운 성장 동력이 될 수 있다.

 

지금 분명히 안연구소는 위기 상황이며 바이러스 샘플로만 외국과 경쟁하는 시대는 이미 지나갔다. 모든 중요 이슈는 변화 하였으며 이제는 충분히 위기감을 받아 들이고 있을 것이다.

MS의 원캐어 서비스 및 무료 백신 서비스들은 차별화 되지 못하고 있는 안연구소 성장동력인 V3 및 스파이제로에 대해 심각한 위협이 될 것임은 자명하다. 그 시기는 너무나도 빨리 눈앞에 다가와서 종합보안 보다는 몇몇 부분에 특화되고 시너지를 낼 수 있는 보안 부분으로 나아가지 않는한 좌초는 명확해 보인다.

세계적으로 본다면 틈새산업에 진출하여야만 가능성이 있다. 이제와서 글로벌화된 체제를 완벽하게 갖춘 시만텍,맥아피,트렌드와 동종의 제품으로 세계시장에서 성공할 수 있을까?  힘들 것이다.

 

변화만이 나아갈 길이다. 5년전에도 그랬었지만 지금은 더욱 절박할 것이므로 안연구소 스스로가 더 잘 알 것이다.

 

- 한때 잠깐 머물렀던 사람

Posted by 바다란

보안패치의 중요성은 아무리 언급을 해도 지나치지 않습니다. 지난해 발생한 대부분의 사용자 정보를 탈취하기 위한 악성코드 대부분이 2 종류의 취약성을 이용하였고 올해 초에 나온 WMF 취약성을 이용한 악성코드도 있습니다. 즉 3 종류의 취약성만 선별하여 막았다면 많은 문제를 해결 할 수 있었다는 것이죠. 이런 점에서 의미를 생각해 볼만한 기사인 것 같습니다.

 

--------------------------------

 

“웜-악성코드, 윈도우 취약성 이용한 공격이 대부분”

윈도우 취약성 근본 원인제거 방법은 ‘보안패치’ 뿐


보안패치의 중요성에 대해 NHN 전상훈 보안분석팀장은 “바이러스나 악성코드 등이 사용자의 PC에 침입하기 위해서 가장 많이 이용하는 것이 윈도우 운영체제의 취약성이며 이 취약성 비율을 줄일 경우 개인 PC를 공격하는 위험성을 줄일 수 있다는 것이 보안패치 서비스의 핵심”이라고 말했다.


NHN은 한게임의 경우는 지난해 12월부터 로그인시 자동 윈도우 보안패치를 실시하고 있고, 네이버는 ‘클린 캠페인’을 통해 올해 4월부터 선택적으로 실시하고 있다.


정부나 MS측에서 고민해오던 보안패치율 증가에 대해 NHN은 그 해답을 제시해주고 있으며 인기 포털과 게임사가 힘을 합할 경우 그 시너지 효과는 엄청날 것으로 전망된다.


예를 들면, 한게임에 보안패치 자동업데이트 서비스가 실시되고 난후 5개월 여만에 전국 PC의 20%에 해당하는 510만대 가량의 PC가 보안패치를 하고 있다. 만약 이런 서비스가 주요 포털이나 인기 게임사이트에 접목 된다면 아마도 정부에서 올해말까지 목표로 하고 있는 보안패치율 80% 달성은 거뜬하지 않을까.   


한국MS측은 “국내 보안패치율을 높이기 위해 포털사나 게임사에 의뢰해 자동서비스 실시를 계획하던 차에 NHN측에서 먼저 바이러스나 악성코드 등에 국민들 PC가 너무 위험에 무방비로 노출돼 있다며 보안패치 서비스를 실시해보자는 제안이 들어와서 너무 고마웠다”고 밝혔다.


KISA는 한게임 보안패치 서비스를 필두로 10여개 포털이나 게임사에 이와같은 서비스를 실시할 것에 대한 협의와 검토 과정을 거치고 있는 것으로 알려졌다. 또한 한게임이나 네이버의 성공적인 서비스 실시에 업체들도 큰 반대없이 따라올 것으로 보인다.


자칫하면 고객들에게 불편을 줄 수도 있어 영리를 목적으로 하는 기업의 특성상 선뜻 시도하기 어려운 부분들이 있었음에도 불구하고 이러한 공익적인 측면에 관심을 기울인 NHN 보안분석팀 전상훈 팀장의 말을 직접 들어보자.    


Interview

NHN 보안분석팀 전상훈 팀장


“국내 PC 2천5백만대 중 510만대가 한게임 통해 보안패치”

“네이버에도 보안패치 서비스 전면 실시 검토중”

안전한 인터넷 환경 조성은 ‘보안패치’ 생활화가 핵심


nhn내부에서 보안패치에 대한 논의가 나온 이유가 있다면?


2005년 상반기에 악성코드 발생 비율을 확인한 결과 사용자 PC의 취약성을 이용한 공격이 대부분 이였으며 한게임의 서비스 보안을 아무리 강화를 한다 해도 사용자 정보를 훔쳐가는 악성코드에 대한 대응을 하기 위해서는 한계가 존재할 수밖에 없었다. 따라서 사용자 PC의 보안을 강화하지 않는 이상 고객의 개인정보를 보호 할 수 있는 방안이 없다는 점에서 보안패치 서비스를 고객에게 설치하는 것이 최초 논의되기 시작 했다. 사용자들의 주된 피해 요소를 확인해 본 결과 2005년에 발생된 악성코드의 경우 두 종류의 운영체제 취약성에 의해 사용자가 극심한 피해를 입은 것으로 조사하게 되었다. (MS 05-001 , MS 04-013 ) 따라서 서비스의 강화 보다는 지속적으로 피해를 입는 사용자를 위해서는 근본 원인을 제거하는 것이 문제 해결을 위한 핵심이라고 판단해 실무팀과 협의를 통해 서비스 제공을 협력하기 시작 했다. 지난해 7월부터 논의를 시작해 그해 12월 보안패치 서비스를 정식 오픈, 현재까지 운영하고 있다.

웜ㆍ바이러스ㆍ악성코드 등이 사용자의 PC에 침입하기 위해서 가장 많이 이용하는 것이 윈도우 운영체제의 취약성이며 이 취약성 비율을 줄일 경우 개인 PC를 공격하는 위험성을 줄일 수 있다는 것이 보안패치 서비스의 핵심이다.


한게임 전용백신 서비스가 실시되고 있는데 이 서비스에 대한 간략한 소개?


전용백신 서비스는 이미 설치되어 고객의 PC에서 운용 되고 있는 악성코드를 제거하기 위한 서비스로서 보안패치 서비스가 근본 원인을 제거하기 위한 서비스라면, 근본 원인 제거와 동시에 이미 설치된 악성코드(게임 관련 개인정보 유출용 악성코드)를 제거하는 부분도 동시에 이루어져야 고객의 정보를 보호할 수 있다는 취지에서 올해 1월부터 지원되고 있는 서비스로, 한게임 접속을 하는 사용자의 정보보호를 위해 실시되고 있는 서비스다. 또한 키보드 보안 서비스도 일원화된 보안 강화 프로세스의 일원으로 지난해 7월부터 진행이 되고 있다.


전용백신에 대한 보안패치만 이루어지는가 아니면 MS운영체제에 대한 보안패치도 함께 이루어지는가?


전용백신에 대한 보안패치는 별도로 이루어 지지 않으며 MS 운영체제에 대해 발생하는 치명적인 내용에 대한 보안패치가 제공되고 있다. 전용백신의 경우, 신규 악성코드 출현 시 마다 업데이트를 통해 악성코드를 제거하기 위한 업데이트가 이루어지고 있는 상황이다.


다른 포털이나 게임사에서는 유저들의 불편함 때문에 주저하고 있는 것으로 알고 있는데 NHN에서 과감하게 실시한 이유가 있다면?


현재 한게임에서는 사용자의 로그인시마다 보안패치 서비스를 선택 없이 사용하게 하고 있으며, 네이버의 경우에는 ‘클린 캠페인’을 통해 네이버 보안패치 서비스를 제공하고 있다.  네이버의 경우에는 올해 4월부터 캠페인 진행을 통해 보안패치 서비스를 제공하고 있다. 고객의 보안성을 강화하는 것이 실제적인 서비스의 향상이라는 취지에 공감하여 선도적인 기업으로서 공익에 부합하고자 하는 명제 하에 서비스를 도입하고 운영하고 있다.


언제 처음 실시했고 실시후 유저들의 반응은 어떤가?


한게임의 경우는 2005년 12월에 실시했고, 네이버는 ‘클린 캠페인’을 통해 올해 4월부터 선택적으로 실시하고 있다. 유저들의 반응은 보안성을 높이고 자신의 중요정보를 보호 할 수 있도록 편리성을 제공한다는 측면에서 좋은 반응을 얻고 있으며, 현재는 한게임의 경우 보안패치 서비스를 설치한 사용자가 5월16일 기준 510만을 넘어서 국가 전체적으로도 상당한 비율의 보안성이 강화됐을 것으로 자체 판단하고 있다.


KISA나 MS측에서는 한게임 자동보안패치서비스로 인해 보안패치율이 상당히 높아졌다고 말하고 있다. 이에 대해 어떻게 생각하는가?


5월16일 현재 510만의 사용자가 보안패치 서비스를 이용하고 있으며, 한게임 사이트 방문시 마다 전문인력이 선별한 위험성이 높은 취약성에 대해서는 실시간으로 체크가 되어 보안성이 강화되고 있다고 할 수 있다. 국가 전체적인 PC 사용비율은 2004년 통계치로 2천500만대 정도로 보고 있는데, 20% 정도의 PC에 대해 기본적인 취약성 문제를 제거함으로써 악성코드 및 웜ㆍ바이러스에 대해 문제가 없는 클린 PC로 만들고 있으므로 상당히 높아졌다고 할 수 있으며, 국가적으로도 위험요소를 줄이고 안전한 인터넷환경을 구축하는데 일정부분 기여하고 있다고 볼 수 있을 것 같다.


네이버 포털 전체로 확대 적용할 계획은 없는가?


올해 4월부터 네이버 부분에 대해서는 ‘클린 인터넷 캠페인’을 통해 사용자에게 제공을 하고 있으며, 향후 확대 적용도 긍정적으로 생각할 수 있는 부분이라 생각 된다.


전용백신 서비스는 자체 개발한 것인가?


전용백신은 외부 백신제작 업체와 협력하에 기획하고 개발이 된 것이며 서비스의 운영 및 관리는 보안팀에서 맡고 있으나, 개발 및 업데이트는 외부 백신 업체에서 담당하고 있다.


보안패치와 관련 다른 계획이 있다면?


현재로서는 연관된 계획이 없으며, 향후 Zeroday 공격이 상당히 증가할 것으로 자체 판단하고 있는데, 해당 공격과 관련해 전문인력을 통해 빠르게 대응함으로써 국가적인 위험요소를 줄여 공익성에 부합하고자 하며, 외부 위험으로부터 사용자를 보호하는 방안은 지속적으로 고민을 하고자 한다.


보안패치와 관련 정부의 지원이나 정책에 대해 하고 싶은 말이 있다면?


2006년 10월을 기해 MS의 정책이 SP2를 사용하지 않으면 보안패치를 제공하지 않는 정책으로 바뀔 예정인데, 국내에는 아직 SP2를 설치하지 않은 사용자가 많으므로 국가적인 문제가 될 수 있다고 본다. 따라서 SP2를 손쉽게 설치할 수 있도록 지원 해주는 것이 필요하다고 생각한다. 보안문제를 해결하기 위해서는 불법적인 운영체제에 대해서도 보안성 강화가 필요한데, 현재 SP2에는 정품인증을 통해 설치를 유도함으로써 불법 운영체제에 대해서는 설치가 되지 않고 있다. 악성코드 및 웜의 전파는 정상적인 사용자들에게도 영향을 미칠 수 있고 전체 인터넷 환경에 대해 위험을 줄 수 있으므로, 보안성 강화는 불법이든 정품 사용자이든 관계없이 강화 조치가 되는 것이 필요하므로, SP2의 설치지원 및 인증 관련 프로세스를 합리적으로 변경하는 것에 대해서 지원이 필요할 것 같다.


보안패치를 설치하지 않고 업그레이드 하지 않으면 어떤 피해를 입을 수 있나?


2006년 1월을 기해 WMF 확장자에 대해 신규 웜과 사용자의 개인정보를 유출하는 악성코드가 출현했는데 해당 문제에 대해서 당사 보안팀에서는 WMF에 대한 보안 패치가 공식 발표된 이후 타당성 검토 및 위험성을 판단하고, 이틀 뒤에 고객들에게 보안패치를 배포하여 문제가 확대 되지 않은 적이 있다. 보안패치를 하지 않음으로써 입을 수 있는 피해는 2005년 내내 사용자의 정보를 유출하도록 시도한 웜과 악성코드가 주로 3가지 정도의 윈도우 기본 취약성을 통해 사용자 PC에 침입한 것으로 조사가 되었다. 피해 규모가 매우 심각해 보안패치 서비스를 기획하게 되었으며, 만약 해당 취약성에 대해 패치가 이뤄지지 않는다면 사용자의 PC는 외부에서 조종할 수 있는 상태나 개인의 신상정보가 유출 될 수밖에 없는 위험성에 처한다고 판단된다. 따라서 보안패치를 시행 하는 것은 알려지거나 위험성이 있는 요소를 사전에 예방할 수 있는 서비스이며, 사용자에게 필수적인 위험요소만 선별하여 보안패치를 제공함으로써 안전한 인터넷 환경이 될 수 있을 것으로 예상하고 있다.

[길민권 기자(reporter21@boannews.com)]


Posted by 바다란

"보안성 검수" 란 무엇일까?

 

일반적으로 Black Box Test라고 칭하며 서비스의 오픈 이전의 안전성을 검수하는 절차로서 일반적인 서비스에 대한 부하 테스트 및 과다 연결 테스트와는 별개로 외부로 부터 공격이 가능한 취약성이 존재하는지 여부를 검수하는 프로세스를 말한다.

 

그렇다면 뜬금없이 왜 보안성 검수가 중요하다 하는 것일까?

 

모든 Application [ Web or C/S ]은 개발자가 개발을 하게 되고 오픈일정에 쫓기거나 보안부분을 고려하지 못한 설계 및 코딩으로 인해 문제가 있을 수 밖에 없다. 문제 발생 시점은 전체 프로세스 일정 어느 곳에나 있다.

 

서버의 보안설정 미비 , 네트워크상의 구조적인 문제점 , Application 코딩상의 문제점 , 서버와의 정보 교환의 문제점 등등 실로 개발자 및 운영자가 커버하기에는 범위가 넓어지고 전문화 된 것이 사실이다. 예전 처럼 폐쇄형 구조였을 경우에는 문제가 외부로 노출이 되지 않았으나 모든 것이 공개화 되고 오픈되는 것이 일상화 되어 있는 작금의 현실에서는 사소한 문제 하나로 중요 자산이 위험해 지는 일들이 비일비재 하다.

 

무엇에 집중하고 무엇에 신경을 써야 하는가?

개발자는 서비스의 안정적인 런칭과 창의적인 생각의 구현에 집중을 하고 보안 전문인력은 서비스의 침해 가능성 및 위험성을 통제 하여야만 한다. 모든 개발자가 Secure한 코딩을 한다는 것은 거의 불가능하며 모든 솔루션에는 위험성이 존재한다.

 

아무리 깔끔하고 Secure한 코딩을 한다 하여도 신경 쓰지 못하는 부분이 존재하며 개발자가 모든 일을 다 할 수는 없다. 따라서 보안성 검수라는 절차를 프로세스화 함으로써 [ SDLC : Secure Development LifeCycle] 안정적인 서비스의 오픈 및 운영을 할 수 있도록 하여야 한다.

 

작금의 한국 소프트웨어 개발 현실에서 보안성 검수의 여력을 지닌 회사는 많지 않다. 또한 있다손 치더라도 능력있고 역량이 충분한 검수 인력의 확보 조차도 쉽지 않은 일이다.  문제 해결은 아직 요원하며 하루에도 수십개의 서비스 및 수백개의 신규 웹사이트가 개편되고 런칭 되는 현실에서 보안상 심각한 취약성을 지니는 곳은 많을 수 밖에 없다.

 

요구사항 수집 -> 디자인 -> 설계 -> 개발 -> 테스트 -> 오픈 으로 이루어지는 일반적인 개발 프로세스 상에서 보안상의 코드 리뷰 및 취약성 테스트는 반드시 이루어 져야 하며 최초 요구사항 수집 단계 및 디자인 단계 부터 위험성을 최소화 하는 검증을 시행하는 것은 보다 더 철저하고 문제성이 없는 프로세스를 가능케 한다.

 

개발자에게는 Secure coding을 익히도록 하고 지속적으로 발견되는 문제를 해결 하도록 가이드를 하며 서비스 기획자에게는 설계 및 디자인 단계 부터 문제가 있는 부분에 대해서는 직시를 하도록 한다. 이후 개발이 완료된 단계에서 부터 Open 이전까지 보안성 검수를 지속적으로 시행함으로 인해 발생할 문제를 제거하는 프로세스가 궁극적인 서비스의 안전성을 보장 할 수 있을 것이다.

 

위험성을 100% 제거 할 수는 없으나 가능성을 95% 수준까지 줄이는 것은 충분히 가능하다. 보다 더 많은 인력과 비용이 투입 되어야 하나 신뢰의 문제 , 정보 유출로 인한 심대한 피해를 입을 수 있는 보안상의 Risk는 Business에 부수적인 모델이 아닌 필수적인 요소이다. 지금 보다 앞으로가 더욱 더 중요한 프로세스라 할 수 있다.

 

Secure Development는 간단하게 이루어 지지 않으며 많은 노력이 필요하다. 즉 전 세계의 모든 개발 프로세스의 안정화는 매우 심각하게 불가능하며 다수의 사용자가 집중화 되는 곳을 안정화 함으로써 일정 비율 이상을 증가 시키는 것 외에는 실천방안이 없는 상태이다.

 

더욱 더 많은 비용에 더욱 더 많은 인력의 투입.. 그러나 문제는 계속 된다. 얼마나 더 적은 Risk를 가질 수 있느냐가 향후 글로벌한 환경에서의 중요한 키 포인트가 될 것이다.

 

 - p4ssion : 바다란 

 

Posted by 바다란

최근 이글루스가 SK컴에 인수 되었습니다.

이로서 논점이 드러난 것이 블로그 칼럼이나 글들의 전문성 부분에 대해서 논의가 되고 있더군요.

 

제 스스로의 다짐이지만 최소한 이 블로그에서만은 스크랩이나 펌 없이.. 순수한 사견 및 의견을 제시할 수 있도록 하겠습니다. 가급적 1주에 하나의 칼럼은 올릴 수 있도록 노력을 하겠습니다.

 

보안관련 사이트도 있고 여러 사이트들이 있지만 현재로서 할 수 있는 제 자리에서의 역량은 제가 가지고 있는 생각과 의견을 정리하여 올리는 것이 최선이 아닐까 하는 생각이 듭니다.

 

열심히 살겠다는 것은 현재에 주어진 일에 열심이라는 의미도 있겠으나 보다 더 나은 목표와 방향성을 스스로 설정 할 수 있어야 된다고 개인적으로 생각 하고 있습니다.

이런 글을 올리는 코너들이 방향성을 설정하는 유용한 도구가 될 수 있도록 노력할 필요성을 절감하고 있습니다.

 

현재의 위험레벨 및 전체적인 사안에 대한 안목 부분에서 상당부분 부족한 것이 현실이므로 이런 부족한 부분을 미력한 역량이나마 높이는데 힘쓰도록 하겠습니다.

 

최고를 지향 하였고 노력을 하는 마당에 스스로가 조금은 게을러지고 나태해 진 것은 아닌지 반성하게 됩니다. 조금 더 큰 고통 속으로 저를 밀어내어 좀 더 나은 결과 좀 더 빠른 Alert 이 될 수 있도록 노력 하겠습니다.

 

* 향후 작성할 내용으로는 Zero day 관련된 두번째 칼럼이나 공개문서 형태 작성 할 예정이고 보다 더 높아진 기반시설에 대한 위험성을 위해 SCADA , DCS 관련된 내용도 틈나는 대로 작성할 예정입니다.  차주 중에는 최근의 보안위협 동향에 대해서 전반적으로 체크를 해보도록 하죠. 단순한 사안에 의해 끌려가는 것이 아니라 장기 발생 가능한 위험을 체크할 수 있도록...

 

 

앞으로도 많은 관심 부탁 드리겠습니다.

감사합니다.

 

Posted by 바다란

최근 보안 전문 업체의 업종 다변화와 맞물려 CCRA 인증 협약이 며칠전 발효가 되었다.

 

두 가지 사안과 뉴스가 다른 시점에 나타났으나 연관관계는 매우 밀접하고 또 관계가 깊다.

 

CCRA: 국제 공통평가기준 상호인정협정으로 협약에 가입된 국가간에 보안제품에 대한 인증을 통과한 업체에 대해서는 해당 협약에 가입한 국가에 공통적인 평가 기준으로 인정이 됨을 말한다.

 

예전 90년대 부터 보안 장비 부분을 버티게 해주던 정책이 K4 인증이였다. 국정원에서 보안제품에 대한 인증을 수행하고 해당 장비에 대한 보안성이 검증되면 부여하던 인증인데.. 소스코드 및 기능 설계에 대한 부분도 검증을 받아야만 K4 인증을 받을 수 있는데 외국기업 중 어떤 기업이 한국 시장만을 보고 자사의 전체 재산과도 다름없는 방화벽이나 침입탐지 시스템의 소스코드를 공개할 것인가?.

 

따라서 공공기관에 도입 기준으로 정해진 K4 인증을 획득하지 못하여 진입 자체가 힘들었으며 민간용 구매의 경우에도 세계적으로 점유하고 있는 점유율 만큼을 인정 받지 못하였다.

 

현재 협약이 체결된 CC 인증에 관한 문제는 2년전 부터 이슈화가 된 부분이나 그동안 보안업체들은 무엇을 준비했는지 묻고 싶다. 또한 그 이전에 전문 기술 부분에 대해 얼마나 투자 했는지도 묻고 싶다. 엔지니어가 없는 회사. 전문 엔지니어가 대접받지 못하는 회사. 회사 정책상 얼마만큼의 당장 눈앞에 보이는 수익에 집착하고 그 이익을 위해 불나방처럼 자신의 날개를 불사르는 짓을 얼마나 했던가?

 

침입의 변화와 트렌드의 변화는 조금만이라도 눈을 뜬 자들에게는 그리 어려운 부분이 아니다. 모든 정보가 공유되고 공개되는 세상에서 그다지 어렵지 않은 부분이나 이런 부분을 외면하고 또 장기적인 투자를 외면한 그 실상은 참혹하다 할 수 있다.

 

멸치를 팔고.. 만두를 팔고.. 보안이 아닌 기타업종으로 진출을 하고.. 왜 이럴까?..

보안이 돈이 안되어서?.. 이건 변명꺼리도 될 수 없다. 왜 국내 시장에만 안주 하였는가?

왜 외국 시장에서는 뛰어난 성능으로 견주지 못하였는가?  성능이 안되어서? 독창성이 없어서? 기술이 안되어서?. 모든게 정답일 것이다.

 

작금의 시장은 뛰어난 성능과 남과 다른 그 무엇이라도 있다면 인정 받을 수 있는 시장이다.

그 시장에서 겨루지 못하고 국내시장에만 그것도 제한된 시장에만 안주하여 안정된 이익을 보장 받기를 원한 그 결과라고 볼 수 있다. 위협이 글로벌화된 현재 상황에서 보안 전문분야에서는 기술이 뒷받침 되지 않는 이상 더 이상 방패막이는 없을 수 밖에 없다. 이게 국제 사회에서의 통설이다. 방패막이는 스스로를 죽일뿐인 것을..

 

파장 및 파급효과에 대해서는 따로 기회가 되면 언급을 하겠으나 현재 변화된 상황만 보고 단편적인 이야기만 하면 개인적인 생각은 위와 같다.

기회는 많았으나 그 기회를 볼 줄 아는 눈이 없었다. 당장의 이익을 위해 변화하는 것은 좋으나 큰 방향으로 나아갈 큰 기업이 될 재목은 없었다라고 정의 할 수 있을 것 같다.

 

틈새 시장으로 진출한 보안 업체들도 있고 전문 분야를 고수하고 있는 업체도 있으나 제품을 만드는 곳은 앞으로 힘들어 질 것으로 보인다. 앞서 올린 글들에서도 언급 하였듯이 패러다임의 변화는 이미 대세에 이르렀는데 이제와서 돌아 갈 수는 없는 불변의 변화에서 상황이 호전되기만을 기다린 다는 것은 죽음을 기다리는 것과 같다.

 

생명력이 얼마나 될까?.. 그리 오래 가지는 못할 것이다. 최소한 보안이라는 부분에서.. 권토중래를 하기 위해서는 와신상담이 필수 이건만 이젠 그 기간조차 보장 받지 못할 것이다.

 

살아남은 기업들은 외산제품의 기능이나 연구역량에 밀려 점차 입지가 좁아질 것이므로 특정 기능 및 독창적인 기술에 집착하여야만 성공을 바랄 수 있을 것이고 역량 집중 없이 영업 및 사업 부분 확장으로만 버텨온 기업에게만 더 이상 기댈 것이 없는 시점이 곧 올 것이다. 지금이 그때인지도..

 

만두와 멸치는.. 살아남기 위한 몸부림!.

그러나 이런식의 몸부림으로는 이 보안이라는 분야에서 오래 버티기는 어려울 것이다. 적어도.. 아무리 늦었어도 3~4년 전 쯤에 승부수를 던지고 몸부림을 쳤어야 했다. 그 시점은 2001년에서 2002년 무렵이였을 것이고...

그때 던졌더라면 충분히 될 수도 있었을텐데.. 기술인력 다 보내고 역량 집중도 못하고 기업의 규모가 작아서 그런면도 있었을 테지만..무리한 확장 보다는 내실을 다졌어야 했는데.. 매출이 중요한 것이 아니라 얼마만큼의 독창성을 보유하고 있는지가 중요한 포인트임을 알고 세계의 흐름을 볼 수 있는 눈을 가진 경영자가 있었어야 했는데.. 그렇지 못한 것이 오늘날의 패인이라고 볼 수 있다.

 

경영만을 가지고 1대를 꾸려가는 기업을 만들 수도 있을 것이다.

비전이나 기술이 뒷받침 되지 않고서는 보안과 같은  전문분야 에서는 경영 다각화만으로는 1대 조차도 못 꾸릴 것이다.

 

살아날 길은 무엇일까?.. 틈새기술..독창성.. 그 무엇이든 뼈를 깍는 노력이 필요하다. 구조조정이나 사업 다각화가 아닌 독창성을 보유하기 위한 처절한 몸부림이 있어야만 성공 할 것이다. 그러나 지금 언론지상을 누비는 뉴스에서는 그런 몸부림을 전혀 느낄 수가 없다.

 

* 개인 사견 입니다. ^^ ; p4ssion

 

 

Posted by 바다란

http://www.zdnet.co.kr/news/network/security/0,39031117,39146342,00.htm

 

TCG [Trusted Computing Group]의 지닌 생각은 타당한 생각입니다.

또한 반대편에 존재하는 조지오웰의 독재자의 인상도 타당한 생각입니다.

 

가장 중요한 전제는 이것임을 잊지만 않는다면 타당합니다.

 

가장 중요한 전제는 기업이나 사회의 보안은 End Point로 부터 출발을 하며 현재에는 더욱 더 중요한 위치를 차지하고 있다는 점입니다.

기업에서는 말단 PC에서 부터 노트북에 이르기까지가 기업전체의 존망을 결정할 수도 있으며 사회에서는 현재 이슈가 되고 있는 Bot 이나 웜의 경우에도 최초의 출발은 미약하나 과정은 대폭 짧아지고 결과는 확실하게 나타나는 네트워크형으로의 발전이 눈에 보이게 나타나는 형국입니다.

 

따라서 개개의 단말요소를 중요하게 생각하지 않으면 안되는 시점이며 이런 관점에서의 단편적인 문제해결을 위해 모든 구성요소에 Secure한 요소를 의무적으로 삽입을 하는 점도 충분히 나올 수 있는 판단이라고 보입니다.

그러나 이런 방식도 시일이 지남에 따라 또 다른 문제를 야기 시킬 수 밖에 없으며 방식의 확산 과정에도 충분한 문제가 드러날 수 있습니다.

 

기업의 입장에서는 이와같은 요소에 대해 어떤식으로 대응을 해야 할까요?.

중요 서버에 대한 강력한 접근제한 , 외부에서 접근시에는 SSL VPN , 모든 접근 가능한 단말에 대해서는 PMS [patch management system]의 운용을 통한 Active한 대응 [차단까지도 고려 ] 등이 나올 수 있는 대안이라 판단됩니다.

손쉽게는 보안장비나 장치를 통해서 하려는 발상을 누구나 할 수 있지만 어려운 면이 있으며 일편적인 방식으로는 해결이 되지 않으므로 굳건한 정책과 이에따라 발생하는 기술적인 문제를 해결할 수 있는 지식으로 무장을 하고 단계별 보안을 강화하는 수가 현재에서는 가장 타당한 방안이 아닌가 생각이 됩니다.

 

국가적인 입장에서는 전체 보안 패치의 레벨을 높이고 중요 포인트마다 문제를 발견하고 사전 인지후 차단까지 이어질 수 있는 빠른 대응체제의 수립을 통해 보다 확실한 효과를 볼 수 있겠죠.

 

무엇보다 가장 중요한 것은 첨단으로 진화를 하고 빠르게 발전을 할 수록 사람이 가장 중요한 자원이 됩니다.

능력을 갖추고 명확한 이해를 바탕으로 단계를 설정하고 레벨을 높일 수 있는 인력이 국가든 기업이든 중요한 요소라고 할 수 있습니다. 이런 부분까지 자동화 한다는 것은 앞으로도 매우 요원한 일이 될 것입니다.

 

Secure environment는 장비에 의해서 이루어 지는 것이 아닌 구성원의 노력과 단계적인 레벨업에 의해서 가장 충실해 지지 않을까 하는 의견입니다.

 

##########0*

Posted by 바다란

 

정보보호 체크 가이드  - by 바다란 (p4ssion@naver.com)

 

보안의 강화는 기업을 위한 중요한 활동임과 동시에 개인 정보 유출을 막기 위한 최선의 방책이다.  2005년에 급속도로 증가한 개인정보 유출용 악성코드 및 정보유출을 위한 다양한 위험성들이 늘어나 특별히 보안에 관심을 두지 않는 한 일반직원의 입장에서는 문제가 그리 간단한 것만은 아니다.

 

매번 연말이나 특정한 이슈가 발생할 때면 보안 회사들에서 보안 강화를 위한 방침을 발표하고는 한다. 이런 방침에 항상 빠지지 않는 것이 보안 패치의 활성화 , 백신의 업데이트 철저 와 같은 항목이다.

왜 보안 패치가 중요하고 백신이 중요한 것인가? 개인은 물론 기업, 산업 기반에도 중요한 영향을 미치는 요소로 매번 강조되는 이유는 무엇일까?

 

완벽한 운영체제란 없으며 시일이 지나면서 필요가 변함에 따라 사용환경은 변화하고 진보하기 마련이다. 또한 이전에는 생각지 못했던 새로운 기술과 개념들을 낡거나 부족한 토대위에 올려 놓으려다 보면 고려하기 힘든 부분들도 존재를 하게 되며 새로운 취약성이 발견이 되는 경우도 발생이 된다. 따라서 대부분의 운영체제를 만드는 곳에서는 발견된 문제의 중요성에 따라 보완하는 작업을 진행 한다. 2005년 연말에 발생하였던 wmf  취약성의 경우  Microsoft의 정식 패치 발표일이 아님에도 불구하고 일주일 가량 시간을 당겨서 보안상의 위험성을 보완하는 패치가 발표가 되었다. 문제의 심각성이 그만큼 심각한 사안이라는 경고가 세계 각국의 전문가들로부터 제기 되어 Microsoft도 무시하기는 어려웠으리라.

 

 

위험한 개인사용자

 

앞서 wmf 취약성을 예로 들었지만 wmf 취약성이 발표된 지 만 24시간도 되지 않아 취약성을 공격하는 코드가 발견이 되었다. 개념적인 코드차원에서 실제 공격을 하고 권한 획득을 할 수 있는 부분까지 발전이 되었으며 2~3일이 지난 후에는  메신저 ( MSN , Yahoo )를 통해 감염이 되는 웜 형태로도 출현하였으며 앞으로도 계속될 문제로 발전이 될 것이다. 또한 지난 해를 뜨겁게 달구었던 중국발 해킹은 현재도 진행형 이다. 유명하거나 사용자의 방문이 많은 사이트는 집중적인 공격의 대상이 될 수 있을 것이다. 왜 이런 많은 문제들이 발생을 하고 있고 이런 문제들의 해결책은 대체 무엇이 있을까? 여러 가지 문제의 원인이 있을 수 있지만 특히 몇 가지만을 헤아리면 안전하지 못한 프로그래밍 기법의 일반화 ( 보안의 고려가 없었던 시절의 프로그래밍 ) , 악성코드를 통한 정보유출 및 감염에 민감하지 못한 무관심과 같은 두 가지 유형을 대표적으로 들 수가 있다.  프로그래밍 기법의 일반화를 제외한 무관심의 경우는 개인 사용자의 위험 노출이 매우 높음에도 불구하고 인지를 못하고 있어서 향후에도 계속 발생될 수 있는 문제라 할 수 있다.

공격 기법도 계속 변화하고 있으며 2005년 12월에 발견된 wmf 취약성을 이용한 중국발 해킹도 연이어서 발생을 하고 있는 상황이다. 공격하는 자들은 계속 발전하고 있고 변화 하고 있으나 사용자들의 인식은 그에 미치지 못하고 있다. 더욱이 기업의 인식도 그리 많이 나아지지 못하고 있는 상황이다. 

취약성이란 무엇인가?  그렇다면 앞으로도 취약성은 증가하고 Zeroday 위협은 증가 할 것인가?. 대답은 증가 할 수 밖에 없다 이다.

 

일반 사용자들에게는 익숙하지 않으나 전문가들에게는 날마다 쌓이는 보안 관련 취약성 및 위험성 정보가 존재한다.  전 세계에서 개발되고 이용되는 Application의 수치는 얼마나 될 것인가? 또 오늘 당장 개발 되거나 내일 새롭게 발표되는 제품의 수는 얼마나 될까?.  매우 많은 수치의 제품이 현재 사용 중이며  또 개발 중일 것이다. 앞으로의 세상에서는 더욱 더 많은 제품들을 사용하게 될 것이 명확한 사실이다. 

한 가지 더욱 명확한 사실은  이 모든 제품들이 완벽하지는 않다는 점이다.  서로간의 정보교류를 하는 이상 그 어떤 제품도 100% 안전한 제품은 존재하지 않을 것이다. 보다 더 안전한 구성을 통해 안전성을 높다는 것은 보장 할 수 있어도 100%를 보장 할 수는 없을 것이다.

아래와 같은 사이트 ( 정말로 많은 취약성 관련 사이트 들이 존재한다. ) 에는 날마다 취약성에 관련된 신규 정보들이 올려져 온다. 공격코드들이 작성 되어 올려지기도 한다.

 

 이미지는 첨부파일 참조

 

< 취약성 정보가 게시되는 해외 웹 사이트 >

 

보안 관련된 논의 및 메일링을 통해 전 세계의 전문가들과 의견 교환을 할 수 있는 bugtraq 은 취약성의 흐름 및 빠른 정보 수집을 위해 필수적인 사이트 이다.

 

 이미지는 첨부파일 참조

 

< 취약성 관련된 메일링이 교환되는 Bugtraq >

 

발견되는 취약성은 일반직원들이 아는 것 보다 매우 많으며 그 복잡성도 높을 수 밖에 없다. 따라서 개개인이 직접적으로 대처를 하고 대응을 한다는 것은 어려울 수 밖에 없으며 기업 단위의 대처에도 영향을 미칠 수 밖에 없다. 한 기업에 있어서 공식적으로 사용하는 Application 외에 직원들이 사용하는 모든 Application을 알 수 있을까?. 또 취약성이 발견되는 Application의 문제에 대한 해결책을 제때에 적용 할 수 있을까?   

아마 해결책을 찾는 것도 전체의 Application (공식적인 것과 비공식적인 것 모두 포함) 목록을 체계화 하는 것은 일정 규모 이상의 기업에게는 매우 어려울 것이다. 현 상황에서의  조직 차원에서의 완벽한 해결책은 없으며 보다 더 안전할 수 있도록 꾸준하게 노력하는 것 외에는 해결책이 존재하지 않는다.

기업의 보안 및 보다 큰 공동체의 안정성을 위한 보안 노력도 모두가 개인 및 구성원의 적극적인 노력으로부터 비롯된다. 구성원의 노력 없이는 전체적인 보안태세 및 보안에 대한 노력들도 둑을 무너뜨리는 틈새와 같이 의미 없어 지는 것이 현재의 환경이다.

 

자 복잡하다.  명확한 것은 문제가 있고 이 문제를 풀기 위해서는 개개인도 노력을 해야 한다는 점이다. 현재 발생되고 있는 웜이나 악성코드가 얼마나 지독한가?. 웜에 감염되면 주변의 다른 사용자들에게도 동일한 웜이 감염을 시키고 종래에는 IT 회사라면 운영 하는 시스템에 피해를 주거나 업무에 지장을 받을 정도로 영향을 미칠 수 있다. 또 외부에서 자신의 PC를 컨트롤 하여 중요 문서를 가져 간다면 어떻게 될 까?. 이제는 단 하나의 문제점만으로도 충분히 피해를 입을 수 있는 시대이므로 많은 주의가 필요하고 관심이 필요하다. 그러나 모두가 전문가가 될 필요는 없을 것이다. 각자 전문분야는 따로 있을 것이므로..

 

정보보호 실천을 위한 가이드에는 어떠한 것들이 있을 지 알아 보자.

먼저 가장 근본적인 원칙이며 한 달에 한번 정도의 간격으로 체크가 되어야 하는 부분은 다음과 같다.  ( 일반 유저를 대상으로 하며 대부분 Windows 환경에서 문제가 발생하므로 Windows를 기준으로 하였다. )

 

1.       XP의 경우 Service Pack 2를 설치한다.  보안 기능을 활성화 시키고 여기에서 Windows Firewall 의 기능도 적절히 이용하도록 하자

.  

이미지는 첨부파일 참조

 

2.       Windows Update의 정기적인 설정 경험상 점심시간 무렵이 적당한 것 같았다. 새벽시간으로 설정할 경우 PC를 계속 켜두어야 된다.

 

3.       바이러스 백신의 사용 일단 맹신 하지는 말자. 다만 알려진 위협 및 바이러스를 제거해 줄 수 있는 수단이라는 점에서 이용은 필수

 

4.       비정상적인 계정이 있거나 프로그램이 실행 되고 있는지 검수를 한다.  계정의 경우는 사용자 관리 메뉴에서 프로그램은 Regedit 혹은 레지스트리 관련 프로그램에서 시작 프로그램 항목을 체크해 보면 된다. 주위 사람에게 상의 하면 충분히 이행 가능하다.

 

5.       운영체제의 보안 불필요한 서비스 제거 ( TCP/IP Netbios Helper 및 Messenger 서비스등 ) 를 통한 위험요인 제거 불필요한 서비스 항목은 전산 담당자에게 문의 혹은 인터넷 상에서 충분한 가이드를 얻을 수 있다.

 

6.       계정의 보안 강화 및 공유 설정의 강화 공유 디렉토리의 경우 읽기 권한 만 주고 접근 권한 및 사용자를 최소화 한다. 로그인 계정의 경우 6자 이상의 ID 및 6~7 자리를 지니는 Password를 사용하도록 한다. 주기적인 변경도 고려 하여야 한다.

 

* 계정 보안 관련: 외부 인터넷 사이트에 사용자 계정을 만들 때에도 자신만의 규칙을 지니고 생성하는 것이 좋다. 동일한 ID/ 동일한 PW로 거의 대부분의 웹 사이트에 가입을 한다는 것은 자신의 모든 정보를 내 주는 것과 동일한 행위이다. 가입 하는 모든 사이트의 보안성을 장담 할 수 있을까? 하루에도 수백 개의 사이트가 웹사이트 변조를 당하는 상황에서 과연 내 정보는 지켜 질 수 있을까?   사용자 개인의 특성에 맞는 규칙이나 자신만의 방식으로 몇 개의 부류로 나누어서 사용을 한다면 보다 안전한 서핑이 될 것이다.

 

한달 단위의 이행 대책의 경우 주위의 조언이나 전문가에게 도움을 요청해야 하는 사안들이 많이 있으나 주간 및 일간 단위의 체크는 좀 더 다른 방향으로 접근을 수행하면 된다.

 

주간 단위의 검사 항목으로는 다음과 같은 점을 유념하면 될 것이다.

 

1.       바이러스 감염 기록의 확인 및 바이러스 백신의 업데이트 일자 확인  - 감염 기록의 확인은 매우 중요하다. 자신이 인지하지도 못하는 상황에서 감염이 되었다면 추가적인 위험이 있을 수 있으므로 좀 더 주의를 기울여야만 한다.

 

2.       Windows Update 서비스의 정상적인 동작 확인  - 정상적으로 설정이 되었는지 여부를 확인 하는 것이 좋다. 주일의 시작인 월요일이나 금요일에 한번쯤 Update에 시간을 두고 여유를 지니는 것도 좋은 방식이며 자동 설정을 통해 다운로드 발생시 마다 처리하는 것이 가장 좋다.

 

3.       비정상적인 PC의 움직임  - 외부에서 조정을( Mouse 혹은 키보드 ) 하고 있거나 내부의 데이터에 인위적인 손상 등이 있을 때에는 전산담당자와 상의를 해보는 것이 좋다.  그 문제가 사소한 것이든 오해이든 이런 문제에 대해서는 확실히 하는 것이 좋다.

 

일반 보안 회사 및 신문지상에서 가장 많이 언급되는 일간 단위의 검사 항목은 다음과 같다.

 

1.       바이러스 프로그램의 가동 및 업데이트 설정- 모니터링 가능상태 유지

2.       윈도우 보안 패치의 설정 및 설치

3.       E-mail 프로그램 사용시의 수/발신인의 확인 및 첨부 파일에 대한 백신의 검사 및 주의

4.       P2P 프로그램 사용시의 백신을 이용한 검사 준수

5.       메신저 프로그램을 통한 링크 및 URL에 대한 확인 ( 최근 WMF 공격이 URL Link를 이용한 공격이 많이 발생하고 있다. )

6.       공유 권한의 제한

7.       웹사이트 서핑시의 Active X 설치 유형과 같은 악성코드에 대한 주의  - 최근 유형이 매우 많으므로 주의를 기울여야 함.

 

 

 간략하게 살펴 보면 위와 같은 검사 항목을 준수 한다면 전체적인 안정성을 높이는데 도움이 될 수 있을 것이다.  큰 방향성 아래에서 하위 항목을 준수하는 것이 강조 되어야 하며 왜 이런 노력들이 필요한 지에 대한 이해가 선행이 되어야 만 한다.

향후에도 많은 위험들이 있을 것이고 DMB 혹은 WiBro 등 수많은 변화 속에서 또 얼마나 많은 발전이 있을 것인가? 그 발전이 기술의 진보이든 위험의 진보이든 간에

 

 

 

 

Posted by 바다란

1.25 대란에 대해서 많은 고민을 하면서 자료를 내놨지만 뒷 이야기를 안한 것 같다.

지금도 가끔 꺼림찍한 기분이 드는 부분이 있어서 생각 난 김에 뒷이야기를 한번 해보자.

 

http://mfiles.naver.net/66b051899fc6aa1c334e/data13/2006/2/17/151/internetcrisis-0.1-p4ssion.pdf

 

위의 파일은 최초 1.25 대란 발생이후 저녁에 작성하여 1.26일 업데이트 한 자료이다. 수집된 정보도 없고 현상만을 가지고 체크 하였으며 해당 부분에 대해 충분한 가설을 제공 하였다고 판단된다. 물론 그때 당시 접근할 수 있는 정보나 얻어진 자료에 비해 정말 고민 많이 했던 자료이다.

최초 이 파일을 작성할 때 가장 안타까웠던 것은 피해 당사자의 언급도 없고 참 난감한 상황에서 작성한 글인데 나중에 도매금으로 욕을 먹죠. 개인이 할 수 있는 최선 이였다고 아직도 생각 하고 있습니다. ^^;

 

http://mfiles.naver.net/6bbd5c8492cba7113b58/data13/2006/2/17/226/internetcrisis-0.2-p4ssion.pdf

 

두번째글은 DNS 다운과 관련된 내용 및 1434 포트의 확인과 관련된 추가 내용을 기술한 글입니다. 글 서두에 보면 아시겠지만 Unix Bind DNS 서버를 사용한다고 KT가 공식 발표를 한 상황이라 MSSQL에 집중 할 수 밖에 없었죠. 약간 미심쩍은 면이 있었지만...

 

http://mfiles.naver.net/6bbd5c8492cba7113b58/data14/2006/2/17/172/internetcrisis-1.0_-p4ssion.pdf

 

DNS가 죽을 가능성은 두 가지 외에는 없습니다. 마지막글은 DNS에 대한 DDOS 공격이 가능함을 보이고 있고 실제 공격이 가능한 소스가 존재함을 보였습니다. 그러나 해당 소스의 공격결과 몇 달뒤에 확인이 된 바로는 실제 공격 량은 현저하게 적어서 DNS 트래픽에 영향을 미칠 수 없다는게 판단이였죠.

 

이래서 DNS에 대한 DDOS 공격 과 Slammer 웜에 의한 영향이 결합되어 문제가 발생 되었고 이후에는 네트웍상에 부분적으로 문제가 남아 있는 부분에서 과잉 대응을 통한 부가 문제 발생으로 최종 시나리오를 적었습니다.

 

이때 마지막으로 쓰고 싶었던 말이 있었는데 2002년 경에 기사상에 KT의 기간계 시스템중 하나에 Windows 계열을 도입했다고 하는 기사가 있었습니다.  기간계가 6개 정도 있는데 그 중 하나를 윈도우로 대체를 하였다는 기사가 2002년경에 나왔었죠.

 

그리고 관련 기사를 스크랩해서 개인 웹사이트에 올려 놨는데 데이터가 날라갔네요.

 

제가 생각한 마지막 방안은 이겁니다. DNS 서버가 죽을 가능성은 최초에 있어서는 외부로 부터의 트래픽이 아닌 내부망에서의 웜으로 인해 네트웍 라인 자체가 죽었을 것으로 생각을 하였습니다.

 

이 문제는 KT가 걸린 문제라 언급을 안했지만 시일 상으로 3년이 지난 지금에는 이야기를 해도 되겠죠. 차후에 확인된 이야기로는 DNS 포트인 53번만 열어 놓은 것이 아니라 DB와 연결하기 위한 1434 포트도 KT쪽에서 오픈이 되어 있었다고 하더군요. - 기억이 가물가물.

 

KT의 의견대로 Unix Bind 서버를 사용한다고 믿을 수 밖에 없었고 이런 상황에서라면 DNS 서버에 대한 직접 query 어택외에는 방안이 있을 수 없다고 생각 했습니다. 그러면서 확인된 이야기는 아니지만 KT 내부에 문제가 있을 것 같다고 생각을 했었죠. 문서에는 쓰고 싶었으나 확인되지 않은 정황으로 쓸 수는 없기에 안그래도 모자란 머리 쪼개고 또 쪼개서 시나리오도 고민하고 했었죠.

 

이 정도의 위험성이 나올 시나리오는 무엇일까?. 무엇이 이 결과를 초래 했을까?..

 

결과로 부터 되짚어 가는 수 밖에는 없더군요. 드러나는 여러가지 가능성을 하나 하나 지워갔을때 최종으로 나온 결론은 DNS에 대한 직접 공격 외에는 없었습니다.

 

그러나 KT 내부 기간계 시스템에서 문제가 발생을 하였다면?.. Slammer 웜이 그 하루전이 1.24일 금요일 늦게 부터 움직였었고 일정 수치 이상의 감염 이후에  인터넷이 무너지게 된 것은 KT 내부망이 최초 침해를 당한 이후 내부의 트래픽 폭주로 인해 기간망이 마비되었을 가능성이 매우 높을 것으로 판단이 됩니다. - 아직도 의심을 하고 있습니다. ^^;

확인 안된 사실이죠. KT 내부 담당자가 아니면 절대 모르는 이야기.. 왜냐.. 기본 사실은 있는데 정황을 한번도 공개를 안했으므로...

 

 

지나간 이야기 입니다만.. 아직도 가끔 이 이야기를 하시는 분이 있어서 잊었던 생각 한번 꺼내 봤습니다.

 

참 황당한 것은 전체 인터넷망이 위험하다고 신고 했더니 ..그것도 오후 일찍...  근거 없는 소리 말라고 일축하던 분들이 조금 생각 나네요.  그때 아무일 없었으면 저는 미친놈 될뻔 했죠. 후훗.

 

즐거운 하루 되세요.

Posted by 바다란