태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.


악성코드 경유지의 변화가 매우 극심하다.  2011년 6.25~26일 기준

어제부터 대체 몇번을 바꿔치기 하는지. 분명히 웹서비스는 공격자들의 소유가 맞다.
사업자는 잠시 임대를 했을뿐.

 

어제, 오늘의 변화를 생략하더라도 현재 상황 5종류의 경유지들이 8개 이상의 파일공유 사이트 소스에 추가되어 사용자에게 악성코드를 유포하고 있다. 물론 파일 공유사이트 이외에도 다른 서비스들에도 여러 종류들이 활동하고 있다. 전체적으로 경유지 수치는 이틀 사이에 10곳 이상이 활동중에 있다.

 

특이한 것은 지난번에도 한번 언급했는데.. 시카고와 덴버에 IDC를 가지고 있는 DDos를 전문적으로 대응하는 ISP라고 광고하고 있는 SHARKTECH INTERNET SERVICES 라는 미국 회사의 서비스 대역을 대규모 경유지로 활용하고 있다.


 


 

 

순차적으로 경유지 IP를 변경하면서 사용하고 있는데 .. 지난번 관찰 결과도 보면 호주와 미국의 ISP를 통으로 이용하고 있던데... (이미 해외 ISP의 직접 활용은 3주 이상 관찰이 된바 있다. 대역대를 활용하는 걸로 보아 직접 권한을 가지고 있는 것으로도 볼 수 있다.)


즉 공격자는 전 세계를 무대로 하고 있고 악성코드 유포를 위해 국내 사이트도 직접 해킹을 하고 웹서비스를 변경하며 경유지로 활용하기 위해 해외 주요 ISP 대역을 휩쓸며 악의적인 링크들을 직접 생성하고 올리고 있다. 현재 관찰된 결과는 전 세계적인 활동을 직접하며 이익을 창출 하고 있다는 점이다.  전 세계적인 활동을 하는 공격자들에 대해 국지적인 대응은 효과가 어려울 것이다. 전 세계의 수준을 일정수준이상 올릴 수 있을까?..

앞으로도 불가능해 보인다.
 

이번 샤크테크 ISP의 특징이라고 할 수있는 DDoS 대응 특화를 하면 뭐하누? 정작 내부는 만신창이인데.. 이 나라의 인터넷을 공격하고 이득을 얻는 공격자들은 글로벌 하게 놀고 있다.

http://www.sharktech.net/index.php?ID=aboutus&PG=2

 

앞으로도 매우 어려운 싸움이 될 것이다. 사실은 싸움의 상대도 되지 않지만 ...

Posted by 바다란

바다란입니다.

 

* 작은 방향을 가르키는 전략은 변화무쌍하게 구사하고 있으나 큰 미래와 방향성을 결정하는 Strategy 측면에서는 모두가 보는 부분이 부족하지 않나 생각 됩니다.


지난달 말 부터 IT서비스에 대한 위험과 대응에 대한 글들을 작성 하였습니다.

한번에 집중하여 작성을 못한 관계로 글이 길어졌습니다. 따라서 현안들에 대한 요약이 필요할 것 같습니다.

 

상세한 내용은 첨부한 파일을 참고 하시기 바랍니다.

 

현재의 위험 상황

 

-> 웹을 통한 악성코드 유포 및 DDos 공격 , 개인 PC에 대한 완벽 제어

   http://www.etnews.co.kr/news/detail.html?id=200711070178

-> 안전하지 못한 웹 서비스를 통한 악성코드 유포의 일반화

 

-> IT서비스 환경 근간을 위협하는 트래픽 공격

 

-> 백신 및 보안 서비스의 전역적인 대응 효과 미비

 

-> 인터넷 환경의 급격한 개선에 따라 향후 위험성은 전 세계 서비스로 확대 될 것임

    현재는 가장 빠르고 구조적인 인프라를 보유한 국내를 대상으로 지속적인 해킹 시도

 

-> 국내 개인 PC 인프라 장악 이후 공격에 이용 : 탐지 및 차단의 어려움

 

 

향후를 위한 대응

 * 방향성: 단기간의 공격에는 당할 수 밖에 없으나 그 이상은 당하지 않으며 공격도구의 분석을 통한 전역적인 대응으로 도구의 상실을 기획 하여야 함

 

-> 전역적인 대응 체제 구성의 절대적 필요성

   사용자 개개인에게 보안패치와 백신의 설치 권고만으로는 해결이 불가능함

 

-> ISP 와 분석기관 , 대응 기관의 절대적 협업 필요

    정보획득 -> 분석 -> 대응의 일원화된 프로세스 필요

 

-> 개인 PC 환경의 획기적인 보안성 강화 필요

    트래픽 이상유무 감지 혹은 과다 증가 검출 루틴 필요

    전국적인 대응 체제가 가능한 협의체 ( AV 업체의 연합) 또는 무료백신의 필요성

 

-> Secure한 웹서비스를 위한 Validation check 서비스의 일반화

   국내 웹 App의 80% 이상이 URL 인자 단위의 문제를 포함하고 있음

  ( XSS , SQL Injection 등) 따라서 악성코드 유  포지로서 이용되지 않도록 IT서비스 차원의 특화된 대응 필요

  단기: Validation check 서비스 활성화를 통한 일정규모 이상의 서비스 검수

  장기: Secure programming 의 일반화를 위한 Awareness 확대 - 서적 , 교육 등등

 

이상과 같이 정리가 됩니다.

대응체제 정립이 안될 경우 이제 더 큰 위험들에 IT서비스 부분이 직접 노출이 될 것으로 예상 됩니다.

이 위협은 전 세계의 모든 서비스가 해당이 될 것입니다.

IT서비스의 위험과 향후 대응 -20071101-p4ssion.pdf

IT 서비스의 위험과 향후 대응 PDF

 

* 첨부한 파일을 끝까지 읽을 수 있는 무한한 인내심을 지니신 분에게 경의를 표합니다. ^^;

 

감사합니다.

Posted by 바다란

[zdnet 컬럼 게재글입니다.]

DDos
문제의 핵심과 변화 (에스토니아, 7.7) - 바다란

7.7 DDos 관련된 의견들이 1년이 지난 지금 시점에 다시금 많은 분야에서 회자 되고 있다. 문제에 대한 분석과 적절한 대응 체계에 대한 논의가 계속 되고 있는 시점에 DDos 논란의 핵심은 무엇인가 하는 명제에 대해서 명확한 설명은 아직 잘 설명 되지 않고 있는 듯 하다.

 

DDos에 대한 핵심적인 이해 분야에 대한 접근 방법도 상이한 점이 많이 있다. 공격 주체는 분명히 개인의 PC이며 공격을 받는 대상은 기업 및 기관의 서비스를 대상으로 하고 있다. 그러나 현재 논의 되고 있는 대책의 대부분은 공격 받는 대상의 보호대책을 강화하는 측면에만 머물러 있다. DDos 대응 장비의 도입과 체계의 도입은 단기적으로 타당한 방향이다. 그러나 근본적인 원인제거를 하지 않는 다면 미봉책에 머물 뿐이다. 공격자들은 보다 더 많은 공격자원을 더 은밀하게 모집하고 더 대량의 자원을 동원하여 공격을 할 것이다. 실제로 은밀하게 모집 하려고도 하지 않는다. 일반적인 웹 서비스를 해킹하여 악성코드를 사용자 PC에 설치하는 행위는 너무나도 일반적으로 발생하는 현상일 뿐이다.

 

DDos 공격에 대해 보다 더 많은 대응자원을 투입하고 대응 실무인력을 투입하는 것은 무제한적인 공격도구 확보가 가능한 공격자들에 비한다면 수술이 필요한 환자에게 붕대만을 처방하는 행위가 될 뿐이다.

 

비근한 예로 2007년에 발생된 에스토니아의 DDos 사례와 7.7 DDos의 차이점에 대한 근본적인 고찰도 부족한 현 상황에서 대책이라는 부분은 지속되는 공격에 대한 소모성 대책과 다를 바가 없다.

본 컬럼에서는 근본적인 DDos 공격의 변화를 간략하게 살펴 보고 앞으로의 대응에 중점이 되어야 할 부분에 대해서 짚어 볼 수 있도록 한다.

 

먼저 에스토니아를 향한 공격의 전체적인 동향은 다음과 같다.

 

사용자 삽입 이미지

일반적인 cyber 공격 유형이라 할 수 있는 통신 대역폭을 가득 채우는 공격과 함께 일반적인 혼란을 초래 할 수 있는 spam메일, Phishing, Web 변조 등이 동시 다발적으로 발생할 것을 확인 할 수 있다.

 

왜 에스토니아는 외부와 완벽하게 고립된 섬처럼 2~3주간에 걸쳐서 지속적인 피해를 입을 수 밖에 없었을까? 그만큼 취약한 국가였을까? 아니면 취약한 대응능력을 지니고 있었을까?

일반적으로 언론 기사를 통해서는 정확한 면모를 확인하는 것이 어렵다. 단순히 작은 국가가 대규모 공격에 의해 대응능력이 없이 무너졌다고 보는 측면이 강하다. 그러나 IT세상에서는 크고 작음의 판단 기준이 영토에 준하지는 않는다. 

 

에스토니아 국가 자체가 IT화를 통해 국가 발전을 도모한 결과 EU NATO 2004년 동시 가입될 정도로 동유럽에서는 발전화된 시도를 많이 한 국가로 볼 수 있다.  또한 전세계 최초로 인터넷을 통한 선거를 실시함으로써 실험적인 시도를 많이 한 동유럽의 정보통신 강국의 하나였다.

왜 동유럽의 정보통신 강국은 고립된 섬이 될 정도로 심각한 피해를 입었을까?

 

사용자 삽입 이미지

<http://www.riso.ee/en/information-policy/projects/x-road>

 

위의 이미지는 에스토니아의 기반 정보 시스템에 대한 간략화된 이미지 이다. X-road라는 정보시스템을 인터넷 기반으로 유지하고 있음을 볼 수 있다. 또한 국가 예산 및 운영에 필요한 가장 자원이라 할 수 있는 인구 통계와 차량등록, 건강보험 관련된 내용이 통합되어 300여 개 이상의 국가기관과 연동되어 서비스 되고 있으며 금융기관과도 연동된 형태로 서비스 되고 있음을 알 수 있다. 각 연결지점에는 해킹이나 데이터 유출에 대비하여 암호화된 지점들을 모두 운영 하고 있음에도 불구하고 연결 자체가 되지 않도록 하는 DDos 공격에는 무차별적으로 무너질 수 밖에 없는 구조를 가지고 있었다.

 

에스토니아의 사례는 국가나 한 산업 자체가 밀접한 연관을 가지고 있고 공개된 통로를 이용할 경우에 치명적인 피해를 입을 수 있는 Cyber war의 전형적인 모습을 관찰 할 수 있다. 이 당시에 활용된 DDos 공격은 일반적인 DDos 공격 세트라고 할 수 있는 각 프로토콜별 자원 고갈형의 공격이 지속 되었으며 공격에 대한 대응은 외부 유입되는 트래픽을 일시적으로 모두 차단 함으로써 일차적인 회복을 할 수 있었다. 국가 내부의 망은 정상화 시킬 수 있었으나 외부와 연결 되는 모든 통로를 차단한 채로 지낼 수 밖에 없어서 고립된 섬으로 불려진 것이다.

 

 

2007년에 발생된 에스토니아의 공격이 일반적인 DDos 공격 이외에도 다양한 공격이 병행되어 진행된 것을 볼 때 이후 3년의 시간이 지난 지금에 이르러서는 더 치명적인 내용으로 전개 될 수 밖에 없음은 명확하다.

 

2009 7.7일에 발생된 DDos 공격의 경우 일반적인 DDos 공격과는 차이점이 존재하고 있으며 그 변화상을 일면 짐작 할 수 있다.  KISA의 자료를 통해 7.7 DDos의 현황을 살펴 보면 다음과 같은 이미지로 간략하게 요약이 된다.

 

사용자 삽입 이미지

< ref: KISA >

 

1, 2, 3차로 세분화된 공격의 특징은 지정된 일시에 지정된 목표를 향해 예정된 공격을 수행 했다는 특징이 있다. 단순한 트래픽 소모를 위한 DDos 공격과는 별개로 서비스 자원 소모를 위한 DDos 공격도 병행되어 활용이 되었으며 해외로부터 유입되는 공격의 경우 손쉽게 차단되는 점을 이용하여 국내에 존재하는 대량의 좀비PC를 활용 했다는 점이 눈에 띄게 달라진 점이라고 판단된다. 

 

일반적인 DDos 발생시에 대응은 좀비PC를 조종하는 C&C ( Command & Control) 서버를 찾아 연결을 차단함으로써 좀비 PC에 설치된 공격도구를 무력화 시키는 방식으로 진행이 이루어 진다. 그러나 7.7 에서는 왜 예정된 3일의 공격을 무력화 시키지 못했을까?

 

그 이유는 이미 3일간의 공격이 세분화 되어 예정이 되어 있었기 때문이며 좀비 PC를 직접 통제하는 형태가 아닌 좀비 PC에서 명령이 존재하는 서버로 연결을 하고 추가적인 명령을 확인 하는 형태로 구성이 되어 있기 때문이다.

 

중요한 차이점은 기존의 DDos 공격 방식에 대한 대응으로는 어려울 수 밖에 없는 이미 예정된 공격이었다는 점이다.

 

사용자 삽입 이미지

간단하게 정리한 DDos 형태의 변화이다.

DDos 공격 유형은 공격 형태에 따라 기술적인 분류가 가능하나 현재 나타난 여러 유형의 DDos 현상을 형태적으로 분석해 보면 연결타입과 공격유입소스라는 부분을 통해 구분을 할 수가 있다. 각 연결 형태와 공격유입 소스의 출발점에 따라 대응은 모두 달라질 수 밖에 없다.

 

에스토니아

연결타입 : Active – 해외의 Botnet을 이용한 공격

공격유입소스: Outside – 해외에 존재하는 좀비 PC 활용

 

일반적 DDos

연결타입: Active – Botnet을 이용한 공격

공격유입소스: Inside – 국가 내의 PC를 공격하여 획득한 좀비 PC Agent를 활용한 봇넷 공격 (알려진 유형의 공격이 일반적임)

7.7 DDos

연결타입: Semi Active – Botnet C&C 서버가 직접 통제하는 것이 아닌 좀비PC들이 여러 서버들에 접근하여 공격정보를 획득하는 유형

공격유입소스: Inside – 국가내의 PC를 공격하여 좀비 PC 획득 (알려지지 않은 유형의 공격 기법 사용으로 사전탐지 안되었음)

각 형태별 대응방식의 변화를 간단하게 도식화 하면 다음과 같다.

사용자 삽입 이미지

 

DDos 공격에 대한 기본적인 기술대응은 논외로 하더라도 형태의 변화에 따른 심각성은 충분하게 나타난다고 볼 수 있다. 백신에서 사전탐지가 되지 않는 Malware성의 도구 유포와 반능동방식의 조정을 통한 공격 효과는 7.7 DDos에서 보듯이 명확한 효과를 나타내고 있다. 만약 1년이 지난 지금 시점에도 동일한 공격이 더 대규모로 발생 된다면 기술적인 대응을 일정수준 이상 끌어 올린 기업들 조차도 어려움을 겪을 수 밖에 없을 것이다.

 

근본적으로 DDos 대응의 과제는 이제 일반적인 PC 환경을 얼마나 클린하게 만들고 사전에 위험을 인지 할 수 있고 또 즉각적인 협력과 대응을 통해 피해를 최소화 할 수 있느냐 하는 점에 집중이 되어야 한다.

 

24시간이 지나면 몇 만대 이상의 웹서비스들이 자동화된 도구에 의해 해킹을 당하고 악성코드를 유포하는 상황에서 좀비 PC의 확보는 더 이상 어려운 일도 아니고 너무나도 쉬운 과제임에는 명확하다. 근본적으로 악성코드가 손쉽게 퍼지는 환경을 개선하는 것이 가장 시급한 과제이며 대응장비의 증설과 대응인력의 확대는 눈 앞의 위험만을 피하고자 하는 대책일 뿐이다. 근본 환경의 개선은 현상적인 문제가 드러난 7.7 이후 달라진 점은 없다고 본다.

 

앞으로도 근본 환경의 개선 없이는 사태는 점차 심각한 국면으로 진입 할 수 밖에 없을 것이다.

다음 컬럼에는 Mass sql injection에 대한 컬럼을 게재할 예정이다.

 

* 좀 더 상세한 자료 및 관련 발표 자료는 블로그에서 찾을 수 있습니다.

http://p4ssion.tistory.com/entry/에스토니아-77-DDos-그리고-미래

http://p4ssion.tistory.com/attachment/cfile10.uf@165F670E4C16F178AE44ED.pdf  <- 발표자료

twitter:  @p4ssion

Posted by 바다란




급하게 땜빵으로 ( 전문? ) 맡아서 휴가중에 발표자료 작성 했습니다.
중요한 포인트 하나 정도만 알려 드리고 싶어서 정리를 하긴 했는데 하고 보니 ^^;
 
포인트 하나는 이겁니다. 공격의 변화를 보라는 거죠.
 
에스토니아 : Outside , Active
7.7 : Inside , Semi Active
 
이후의 방향은 효과를 주려면 7.7의 방향이 확실하게 사용이 될겁니다.
지금 언론에서 나오는 에스토니아 스타일 ( Outside , Active - Botnet) 은 절대 위협이 안되는 거죠.
왜냐.. 차단하면 끝이니깐.. - 여러 단계별 감쇄 방안들이 많이 있습니다. sinkhole 이라든지 IDC 단위의 대책들도 많이 있는 상태죠.
 
그러나 내부에서 발생하는것은 어떻게 할까요?
차단을 무슨수로 합니까? 이건 Botnet C&C (조정 서버)를 차단하는 것 외에는 방안이 없습니다.
 
Semi Active란 의미는 조정서버가 없다는 이야기죠. 반능동 이라고 봐야 됩니다.
초기에는 어느정도 Active한 연결이 되나 연결이 안될 경우에는 자체적으로 반응을 하는거죠.
 
내부에서 공격을 하려면 국내의 좀비 PC들을 많이 수집해야 합니다. 수집이 어렵냐구요? 매우 쉽습니다.
얼마전 제레미 님이 블로그에 간략히 언급한 Mass sql injection은 지금도 엄연한 사실입니다.
정확한 통계인지는 모르겠으나 국내에서 주간 단위로 악성코드를 유포하는 웹 URL이 만여개가 넘더군요. ( Ahnlab 통계) .
 
이 통계가 알려진 유형들만 제한된 범위에서 탐지된다고 볼때 국내의 현실은 상상을 초월할 정도라고 봐야 됩니다.
이게 엄연한 현실이죠. 돈 있는 회사야 웹방화벽 도입하고 소스코드 컨설팅 받고 3~4개월 이상 소스코드 수정하고 하지만 그렇다고 해결이 되는것도 아니죠.
(웹 사이트 개편 안합니까? 코드 수정 한번도 없다고 보장 할 수 있습니까? )
 
국내 활성화된 URL이 대략 180~200만개 가량으로 봅니다. 이중 최소치로 잡아 절반 이상은 치명적인 문제점을 가지고 있습니다.
아직 Mass sql 도구가 타 DB 및 개발 언어로까지 적극적으로 확대 되지는 않은 것 같으나 시간 문제죠. 징후도 이미 나오구 있구요.
 
국내의 환경은 이미 초토화 될 때까지 진행된 상태입니다.
알고서도 이야기를 안하는 건지 몰라서 이야기를 못하는 것인지 모르겠으나 현실 인식은 명확해야죠.
 
해결 방안은 몇 해전 부터 계속 주장해 오던 바가 그대로 적용 됩니다.
 
1. 웹사이트의 치명적인 문제점을 손쉽게 찾을 수 있는 접근성 있는 도구의 출현 - 웹 베이스?
 
2. 컨설팅과 같은 주기가 긴 플랜은 비효율적이므로 웹서비스의 문제점을 해결 할 수 있는 빠른 SDLC 점검 패턴의 출현
( 저는 이걸 WDLC라고 부를껍니다. ) 소프트웨어와 서비스는 다른 관점이기에 다른 유형의 점검 패턴이 필요하죠.
이걸 하기 위해서 1번과 같은 도구가 필요한 것이구요.
 
3. 근본적인 문제 해결을 위한 적극적인 노력과 인식 전환 필요 ( 정부?) , 현 상태는 대규모 캠페인으로도 단기 해결이 어려운 정도 입니다.
 
4. 리더쉽 발휘가 가능한 컨트롤 타워의 존재와 수직이 아닌 수평적 관계를 가지고 협력 할 수 있는 전문가 집단의 활성화 ( 공짜로 할려면 될려는 것도 안되겠죠.)
 
5. 여러 문서들에 언급해온 종합적인 해결 및 방안에 대한 노력  ( 요건 많이 써놨습니다. 찾아들 보시길)
 
6.  여러분들의 노력 ^^;
 
 
국내만 이럴까요?
만약 7.7이 미국내의 PC를 동원해서 한국까지도 공격하는 형태가 되었다면 어떻게 되었을까요?
한국은 멀쩡.. 미국은 주요 사이트 초토화 됩니다. 당연한 이야기죠. 이제 사이버전은 시작됩니다.
집단속 제대로 못하면 털리는 건 매 순간이 될껍니다.
 
책임있는 국가기관 모두와 업계가 심각성을 알아야 하고 앞으로가 더 위험하다는걸 알아야 됩니다.
경험을 하고도 지금껏 뭉기적 대는걸 보면 앞으로도 갈 길은 까마득해 보입니다.
 
바다란~
Posted by 바다란

 

http://blog.naver.com/p4ssion/50024269739  -> 여기의 첨부파일에 전체적인 내용들이 들어 있습니다.

 

2007년 11월에 본 블로그에 게시한 내용입니다. 현재 발생된 DDos 관련된 이슈도 동일선상에서 볼 수가 있습니다.

좀 더 상세한 내용들은 별도 컬럼으로 게재합니다.  지난 2년 가까운 시간동안 얼마나 아래 지적한 개선 방안들이 진행 되었는지 뼈저린 반성이 필요할 것입니다. DDos 관련된 내용 발췌 및 확인 된 내용, 추정, 그리고 예상들을 바탕으로 개인적인 컬럼을 곧 게재 하겠습니다.

 

첨부파일을 다운 받아서 보기 어려운 분들은 게시물 링크를 활용 하시면 순차적으로 볼 수 있습니다.

위험성이 높은 수준에 도달 하였음은 이미 일전에 파악된 내용입니다.

 

http://blog.naver.com/p4ssion/50023711687   (1) IT서비스의 현재 위험과 Security

http://blog.naver.com/p4ssion/50023916686   (2) IT 서비스 보호를 위한 제안- 위험요소들

http://blog.naver.com/p4ssion/50024118288   (3) IT서비스 보호를 위한 제안 , 최종

 

그럼.

 

향후를 위한 대응

 * 방향성: 단기간의 공격에는 당할 수 밖에 없으나 그 이상은 당하지 않으며 공격도구의 분석을 통한 전역적인 대응으로 도구의 상실을 기획 하여야 함

 

-> 전역적인 대응 체제 구성의 절대적 필요성

   사용자 개개인에게 보안패치와 백신의 설치 권고만으로는 해결이 불가능함

 

-> ISP 와 분석기관 , 대응 기관의 절대적 협업 필요

    정보획득 -> 분석 -> 대응의 일원화된 프로세스 필요

 

-> 개인 PC 환경의 획기적인 보안성 강화 필요

    트래픽 이상유무 감지 혹은 과다 증가 검출 루틴 필요

    전국적인 대응 체제가 가능한 협의체 ( AV 업체의 연합) 또는 무료백신의 필요성

 

-> Secure한 웹서비스를 위한 Validation check 서비스의 일반화

   국내 웹 App 80% 이상이 URL 인자 단위의 문제를 포함하고 있음

  ( XSS , SQL Injection ) 따라서 악성코드 유  포지로서 이용되지 않도록 IT서비스 차원의 특화된 대응 필요

  단기: Validation check 서비스 활성화를 통한 일정규모 이상의 서비스 검수

  장기: Secure programming 의 일반화를 위한 Awareness 확대 - 서적 , 교육 등등

 

이상과 같이 정리가 됩니다.

대응체제 정립이 안될 경우 이제 더 큰 위험들에 IT서비스 부분이 직접 노출이 될 것으로 예상 됩니다.

이 위협은 전 세계의 모든 서비스가 해당이 될 것입니다.

 

Posted by 바다란

뭐 하루 이틀 된 이야기도 아닙니다.

이미 5~6년 전 부터 징후가 있었고 그 이후 타임워프 하듯이 대규모로 공격 인력이 늘고 기법도 고도화 되어 왔습니다.

 

이젠 대규모적인 대응 없이는 불가능하다고 볼 수 있습니다.

단편적인 대응과 사법기관 공조 만으로는 빙산의 일각도 제거하기 어렵습니다.

 

체계적이고 근원적인 부분에 대해서 장기적인 처방이 필요한데.. 여유와 인내심을 가지고 정책을 진행하고 방향성을 제시 할 수 있을런지가 가장 중요한 부분입니다. 대책 부분에 대해서는 하두 여러번 언급 했었지만 시행에는 상당 시일이 걸리고 시간이 지난 지금에서도 유효한 대응은 적어 보입니다.

 

앞으로 어떻게 될런지..

http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=105&oid=029&aid=0001974017

 

종합적인 대책과 향후 진행 해야 될 부분들에 대해서는 2007년에 언급한 대책과 문제 상황 부분이 있습니다. 정말 힘들고 위급한 상황이 닥쳐 올 것이라고 예상을 하고 좀 길게 설명을 했었는데 이제라도 일부분에 대해서 적극적인 시행이 되어야만 할 것입니다. 그렇지 않다면 문제는 더욱 더 심각도를 높여서 일어날 것으로 보입니다.

 

보안적인 문제를 해결 하지 않았을때 발생 되는 피해와 비용은 상상하기 어려울 정도이며 지금도 마찬가지 입니다. 초기에 대규모 노력이 들어가는 것으로 보이지만 이것이 가장 적은 비용을 들이고 문제를 해결 하는 길입니다.

 

다시 한번 문제 해결을 위한 방안들이 다각도로 ( 문제의 근원을 제대로 인식하고 ) 진행이 되었으면 합니다.

 

http://blog.naver.com/p4ssion/50024269739  <- 첨부파일을 참고하세요.

 

2007년에 작성한 글이나 노력이 진행 되지 않는한 향후 3~4년 이상 유효한 글이 될 것입니다.

 

Posted by 바다란

안녕하세요. 바다란입니다.

 

한동안 정말 뜸했습니다. 여러 이슈들이 발생 하여서 관련된 해결책을 모색 해야 되지 않을까 판단하여 제안을 쓰도록 하겠습니다.

제목은 거창합니다만 실상 누구나 생각하면 알 수 있을 정도의 수준이 될 것 같습니다. 블로그에 게시하는 글은 개인의 의견이니 이점 참고해 주시면 될 것 같습니다.

 

이 내용은 지금 생각으로는 3~4개 정도의 Article로 나올 수 있을 것 같으며 목차의 대략적인 모습은 다음과 같습니다.

 

1. IT 서비스의 위험 현황과 실제

 얼마나 많은 위험속에 노출이 되어 있고 또 실제적인 위협이 되고 있는 지금의 상황에 대해서 몇 가지 예를 들어 설명 하도록 하겠습니다.

 

2. IT 서비스 보호를 위한 현재의 노력

 과연 지금 전체적인 보호 관점에서 진행 하고 있는 노력이 유효성이 있는지 여부를 정리합니다. 이 부분에서 보안 산업에 대한 개인 의견들이 나올 것 같습니다.

 

3. 향후를 위한 제안과 즉시 필요한 부분

 문제를 제기 하였으면 그에 따른 대안을 제시하는 것이 당연합니다.

 

위의 세 가지 정도의 Article을 예상하고 있습니다. 물론 그때 그때 생각에 따라 내용과 분량이 달라질 수 있습니다. 모든 것은 개인의 생각에 의해 나온 것임을 이해해 주시길 거듭 당부 드립니다.

 

아마 포함될 내용은 국외적인 현황과 국내의 위험한 현실에 대한 리얼한 설명이 들어갈 것이고 이런 위험요소들이 실제 IT서비스에도 큰 영향을 미치는 단계에 까지 이르렀다는 점을 언급 할 것입니다. ( 아이템 거래 업체에 대한 DDos 건이 주요 이슈로 들어갈 것입니다.) 또한 뜨거운감자 일 수 있는데 보안을 전문으로 하는 입장에서 보안업체에 대한 지적을 하지 않을 수 없습니다.

지금까지의 위험에 대해 현재 진행 하고 있는 보안업체들의 노력이 어느 정도의 한계성을 가지고 있으며 실효성이 있는지 여부에 대해서 의견 개진을 할 것입니다.

 

결론적으로 IT 서비스에 대한 보호가 중대한 측면에 도달 하였으며 보호를 하기 위해서는 전역적인 대응이 필요함을 각 부분에 걸쳐 설명을 하도록 하겠습니다.

 

이런 예고글을 쓰는 의도는 제 자신과의 약속을 하고 싶기 때문입니다. 스스로에게 게으름을 피우지 말라는 경고 이기도 하구요.

 

항상 부족하고 배워야 할 것이 많지만 매 순간마다 할 수 있는 최선을 다한다면 언젠가는 극에 도달 하지 않을까 하는 작은 바램 있습니다. 바다란 매우 넓은 곳이고 가장 낮은 곳이기도 합니다. ^^;

 

감사합니다.

Posted by 바다란

DDos 악성코드에 대한 추론과 사실, 암울한 전망
                                                 - 바다란

 

 

 

악성코드에 대한 기술적인 분석들이 많이 발표 되고 있다.

정형화된 악성코드에 대한 분석들은 감염 방식과 행위 기반에 대해 제대로 설명하기 어렵다.

 

이번 DDos 공격에 사용된 Agent들의 유포방식과 사전인지가 어려웠던 점들에 대해서는 몇 가지 분석된 사실에 기반하여 추론이 필요한 상황이다. 현재 DDos 공격에 사용된 좀비PC들의 수치가 각 기관별로 상이함이 있는데 이중 상당수 최소 절반 가량은 허수임으로 인정 되어야 한다.

 

내부 공격코드에는 IP 주소를 위장하여 접속요청을 시도하는 ( IP Spoofing) 공격 유형이 존재하며 실제 IP를 이용한 공격( 또 다른 유형의 DDos 공격을 위해)  같이 이루어 졌다.

 

이 의미는 IP를 위조한 공격과 실제 감염된 PC IP 주소를 이용한 공격이 같이 이루어졌음을 의미한다.

최소 4~50% 가량의 공격로그는 IP가 위조된 공격이라고 볼 수 있다. 실제 공격 로그에서 최소한 절반 정도는 차감 되어야 하는 이유이다. 또한 악성코드의 코딩기법을 통해 전문성은 떨어진다는 의미들이 있으나 패킹을 하였을 경우에는 분석에는 어려움이 있을지라도 패킹 자체만으로 위험성을 찾아내는 도구들에게 탐지 되었을 가능성도 있다. 코드 내에서도 중요 부분에 대해서는 분석이 어렵도록 암호화 한 것을 확인 할 수 있다. 사전 설치 단계의 인지를 피하기 위한 용도 였을 것으로 추정된다.

 

 

여러 가지 정황들이 있으나 현재까지도 아무도 추정하지 못하는 것은 악성코드의 최초 유포에 대한 내용들이다.

행위적으로 살펴 보면 여러 가지 점들을 발견 할 수 있으나 실제적인 증거는 찾지 못하고 있다. 아마 앞으로도 찾기는 어려울 것으로 예상된다. 보다 많은 정보를 접할 수 있는 곳이라면 조금 더 다를 수 있겠지만... 공격코드 자체가 로그 및 관련 정보를 제거 하는 것을 기본으로 하고 있어서 향후에도 근본적인 문제의 원인을 찾기는 오래 걸릴 것으로 보인다.

 

침해사고 분석에 대한 여러 가지 방법들 중에 근원지를 찾지 못할 경우에는 경험적으로 추론을 할 수밖에 없는 상황이 존재하게 되고 해당 방식대로 여러 가지 상황들을 관찰 하게 되면 일정 수준의 결론을 도출 할 수 있다.

 

공격 대상의 추가와 공격방법에 대한 내용은 이미 밝혀진 바 있다. 그러나 문제가 되고 있는 부분은 공격 대상을 갱신하는 부분이 아닌 공격에 사용된 여러 악성코드들이 최초로 유포된 방식은 무엇이고 어떤 형태로 사용자에게 뿌려 졌는가 하는 점이다.

 

msiexecX.exe 파일을 이용한 uregvs.nls 생성과 공격의 방법에 대한 내용은 설치에 관련된 부분이 아닌 공격 방식을 변경하고 대상을 변경하기 위한 방식 이였을 뿐이다. 현재 나온 기술적인 분석들은 모두 시스템에 설치된 악성코드들간의 연관관계와 기능에 중점을 두고 있으나 가장 필요한 부분은 , 어떻게 이런 것들이 설치 될 수 있었는가에 대해서는 아직 알려진 바가 없다.

 

추론을 통해 유추하려면 현재까지 드러난 사실을 종합하는 것에서 시작한다. 일부 분석에 참가한 경우이므로 조금 더 상세한 내용이 나올 수 있다.

 

l  감염된 PC들은 대부분 일반 사용자의 PC이다. IDC내에 서비스 중인 시스템들에는 거의 감염사례가 없다.

l  주위의 감염된 PC들 간의 연관성은 인터넷사용자 라는 점 외에 찾을 수 있는 연관성이 많지 않다.

l  감염된 PC들의 샘플조사 결과 특정 시점의 주된 로그들은 삭제 혹은 변조된 상태.

l  감염된 PC들의 Botnet 존재 여부는 없는 것으로 1차분석, 최소한 연관성은 매우 희박함

l  자체적인 전파기능은 없다. 즉 주위로 확산되지 않았다. (웜이나 바이러스 형태가 아님) 스팸 메일로도 전파 되지는 않는다.

l  주기적인 통신을 통해 새로운 업데이트 내용이 있을 경우 업데이트가 진행 되었다. ( 공격대상 및 공격 패턴)

l  AV의 탐지를 피하기 위해 예정된 일시에 일시적인 공격을 수행 하였다. 만약 산발적인 공격이 감염즉시 시작되었다면 최초 발견은 매우 일찍 이었을 것이다.

l  해외의 여러 IP들에게 접속 시도를 하고 이후 Action이 일어 나도록 되어 있다.

l  IP 위조 공격 외에도 다양한 형태의 DDos 공격이 이루어졌다.

l  명령을 전달 받는 채널을 다수 유지 하였고 ( 최소 6), 명령을 확인하는 Agent를 두 개로 두었다. 하나는 DDos 공격 Agent 다른 하나는 스팸 발송 Agent

l  설치된 Agent들은 분석을 어렵게 하기 위해 Anti debugging 혹은 파일 헤더 정보를 날리는 행위들이 일부 확인.

l  Agent간의 유기적인 관계를 유지. ( 패킹을 피하고 최소한의 데이터 암호화만을 진행한 것은 교차적인 참조로 정보를 얻어야 하는 경우라 그랬을 수도 있다.)

l  갱신된 Agent중 공격대상 파일을 생성하는 Agent는 전체적으로 10여개 가량의 Number를 가지고 있는데 이 것은 Version up과 동일한 유형으로 추정된다. (MSiExecX 버전 ) 명령전달 방식을 유추 할 수 있다.

l  공격대상 파일은 원격지의 서버의 활성화 여부를 확인 한 후 갱신이 된 것으로 파악되며 대부분 동일한 구성에 공격대상만 특정 파일에 의해 변경 1,2,3차 공격은 동일한 공격 유형에 대상만 변경된 형태이다.

 

위와 같은 특징들이 일반적인 자료와 직접 조사 중에 관찰이 되었다. 시사하고 유추 할 수 있는 점들이 충분히 있는 상태라 할 수 있다. 근거 자료를 확보 할 수 없는 경우에는 증거에 의한 프로파일링이 아닌 결과와 행위를 기준으로 한 프로파일링으로 접근 할 수 밖에 없다.

 

특징에 의해 추론 되는 내용은 다음과 같다.

 

전체적인 유형은 불특정 다수에게 AV에도 탐지 되지 않는 공격에 기반되는 Agent들이 배포되어 설치가 된 상태에서 공격이 임박한 시점에 해외의 숙주 IP에 공격대상을 지정한 msiexecX 파일의 갱신 혹은 다운로드를 지시한다.

해당 파일이 실행 후 생성된 uregvs.nls 파일에 공격대상과 공격시간과  유형이 기록 되었을 것이다

 

시간 동기화가 된 이후에 특정 날짜에 도달 하게 되면 지정된 시간 동안 지정된 공격 형태로 계속적인 공격이 발생 하였을 것이다. 이때에 이르러서야 개인 PC 사용자들 중 이상 증세를 감지한 사용자에 의한 신고로 최초 샘플들이 신고가 되고 분석이 되게 된다. 이후의 사고 대응은 알려진 바와 같다.

 

그렇다면 공격이 종료된 이유는 숙주 IP들에 대한 빠른 분석으로 차단이 이루어져서 설치된 Agent update가 차단됨으로써 가능했다고 본다.

 

 연결되는 다양한 채널에 대해 (최소 2개의 Agent) 관찰 및 분석이 이루어 졌고 해외의 숙주 서버로 접근하는 IP가 분석이 되어 ISP단위에서 In/Out이 차단된 상태 이기에 이미 사전에 예정된 공격만이 유효했다는 점이다.

 

이제 상당히 많은 시스템에 설치된 (한국의 상황에 비추어 보면 그리 많은 시스템들도 아니라고 할 수 있다.) 공격을 위한 기반 악성코드들은 어떻게 사전에 미리 설치 될 수 있었을까? 하는 의문을 풀어야 한다.

 

 

최초의 악성코드는 악성코드가 아니다.

 

최초의 악성코드들은 짧은 순간에 상당수의 시스템에 설치되어 공격한 것이 아니다.

이미 상당기간 준비기간을 거쳤을 것이 분명하며 상당비율의 개인용 PC에는 무료백신들이 활성화 되어 있는 상태라 이미 정체가 드러난 형태의 악성코드들을 설치 하는 것은 불가능하다.

만약 악의적인 값들이나 패킹된 흔적, 사용자 PC의 이상증세가 있었다면 보다 이른 시기에 정체들은 드러났을 것이다.

 

현재 발견된 악성코드들은 주기적인 특정 IP들에 대한 접속을 통해 명령과 공격유형을 전달 받는 형식으로 최종적인 준비를 하였으며 실제 공격이 발생되어 PC상에 이상증세를 확인 하여 신고하지 않는 이상 정체를 알 수가 없었을 것이다.

 

Antivirus 제품 대부분이 알려진 유형의 악성코드에 대해서만 악성으로 진단하고 있으며 시스템에 위해한 행위를 할 경우에만 악성으로 판정을 한다.

현재의 악성코드들은 시스템에 대한 위해 행위를 발견하기에는 어려운 상황이며 네트워크 트래픽을 발생 시키는 유형의 공격들만 존재하고 실제 동작하기 전에는 확인이 어려운 상태이다.

 

즉 필자가 생각하는 유형은 다음과 같다.

 

최초엔 여러 가지 방법으로 사용자의 PC에 기본적인 공격 Agent와 명령을 받는 Agent들이 설치가 되고

이후에 공격명령을 전달 하는 해외의 복수의 IP에서 명령코드와 새로운 코드가 올려지게 되면 개인 PC에 설치된 Agent들은 공격코드를 다운로드 받고 추가적인 업데이트를 통해 새로운 유형으로 변경된다.  이 상황에서도 모든 AV 프로그램에서 악성으로 진단 되지는 않는다. 그 이유는 시스템에 피해를 미치는 것이 없거나 처음 발견되는 패턴이기 때문이다.

 

공격 명령은 공격 유형과 공격 대상을 지정하여 갱신되는 형태로 되어 있으며 지정된 일자에 지정된 유형의 공격을 대상을 향해 시작하게 된다. 이 과정에서 비 정상적인 행위들을 감지한 개인 사용자들은 AV 업체에 신고를 하게 되고 확대 조사를 통해 위험성을 확인한 AV 업체는 대응하게 된다이때에 이르러서야 주요 AV 업체들에 의해 악성코드 혹은 악성 행위를 하는 유형으로 분류가 되어 처리가 되기 시작 하였을 것이다.

 

이후에는 여러 언론기사나 보안업체의 설명대로이다.

 

 

최초 유포 방식은 무엇?

 

최초 유포 방식은 서두의 관찰 결과에서 언급 하였듯이 불특정 다수에게 설치가 되었으며 불특정 다수의 공통점과 범위의 한정은 매우 어려운 상태로 보인다. 따라서 인터넷 사용자를 대상으로 잡을 수 밖에 없다.

 

최근 몇 년간 사용자에게 사용자에게 악성코드를 유포한 가장 활발한 통로는 웹서비스였다. 웹서비스를 해킹한 이후 소스코드 변조를 통해 사용자가 웹 사이트에 접속 하였을 경우에 취약성을 공격하거나 파일을 설치 하는 형태로 악성코드들이 설치가 된다. 대부분의 사용자들은 이미 알려진 악성코드 유형의 경우 사용 중인 백신에 의해 악성코드 유포 사실을 아는 것 외엔 방법이 없다.

 

만약 악성코드로 탐지되는 유형이 아니라면 .. AV업체에 등록된 악성코드 패턴이 아니고 유사 의심사례로 추정이 가능한 그런 형태가 아니라면  감지 할 방법은 없다.

 

불특정 다수에게 감염을 시키고 또 주위로 확산 기능을 가지지 않은 악성코드들이 감염 될 수 있는 통로는 두 가지 외에는 존재하지 않는다. 이미 지난 주에 언급되었던 내용이다. 기존에 감염된 상태인 대규모 Bot net을 이용하거나 웹 서비스를 통한 악성코드 유포 외에는 불특정 다수에 대한 감염은 불가능하다.  대규모 Botnet이라면 일정부분 감염 PC에 흔적이라도 있어야 하나 몇 안 되는 PC들에서 그런 정보를 찾을 수는 없었다웹 사이트를 통한 기반코드들의 유포 및 설치라고 밖에 볼 수 없는 상황이다.

 

 만약 추가적인 정황에서 Botnet 연관으로 볼 수 있는 정황들이 발견 된다면 기존의 Botnet 채널과는 다른 방식인 Semi Active유형인 새로운 방식으로 보아야 한다. Botnet server에서 직접 연결을 통해 제어 하는 방식이 아니라 Agent에서 Server로 주기적인 연결을 하여 명령을 받는 형식으로 볼 수 있다. 그 동안의 Botnet에 대한 관점을 전환해야 하는 중대한 시사점이라 할 수 있다.

 

 

드러난 문제점과 향후 전망

 

 

현재의 상태에서 지적이 필요한 부분은 국가나 산업전체적인 문제점을 넘어 보안분야에도 넘어야 할 문제와 벽들이 드러난 상태다. 전체적인 문제와 대응 부분은 이전의 Article에서도 지적한 바가 있다. 보안분야에서 넘어야 되는 문제는 공격이 시작 되기 전에는 징후를 판별 할 수 없다는 문제점과 하루에도 수백여 개의 서비스 사이트들이 악성코드 유포를 위한 숙주 사이트로 활용된다는 명확한 사실 때문이다.

 

악성코드의 기능을 가지고 있지 않은 설치 유형에 대한 사전 판별은 어떻게 할 것이며 ( 실상 이번 공격에 실제로 주된 역할을 한 두 가지 정도의 악성코드를 악성이라고 판별할 기준은 없지 않을까? 그 자체만으로는 사용자의 PC에 영향을 주거나 위해한 행위를 하지 않는다. ) 현재 악성코드들의 정보를 일정부분 추론이 가능했던 부분들에 대해서 학습이 되어 보강한다면 다음은 어떻게 될 것인가?

 

유포하기 위한 통로들도 다수 살아 있고 ( 취약한 서비스들은 그만큼 많다. ) 공격 코드에 대한 판단 기준도 애매하다. 실제 공격이 발생 되기 전에는 악성코드라고 판단하기가 어렵다.

 

문제 부분은 다음과 같다.

 

 공격 방식의 변화 – agent에서 서버로 접속하여 업데이트를 확인/대기 하는 형태

 탐지 루틴의 우회 초기부터 악성코드로 탐지될 내용을 뿌리지는 않는다.

 유포 증거의 제거 초기 설치된 기반 코드들이 어떤 방식으로 설치 되었는지 정보가 없다.

 유포 통로의 다양화 취약한 서비스들의 존재

 

크게 위와 같은 문제들을 나열 할 수 있다. 각 항목에 대한 대책은 어렵다. 이 문제는 세계적인 문제이다. 어느 누구도 풀지 못한 숙제이고 그 도전에 한국의 IT서비스는 직면하고 있다. 그리고 지금 공격자들은 이런 문제들에 대해서 공개적으로 확인과 테스트 그리고 검증이 완료된 상태이다.

 

곧 변화되어 분석이 더 어려워진 형태의 공격은 발생 할 것이다. 코드상의 개선과 해외 숙주 사이트들의 확보, 국내에서의 Agent 확보를 위한 시간을 고려하면 공격자의 의지만 있다면 1개월 이내에 보다 업그레이드된 공격을 맞이 하게 될 것이다. 더불어 본래의 공격자 그룹이 아니라 의도를 지닌 프로젝트 그룹에 의해서도 충분한 활용이 될 상황이다. 검증된 방식의 활용은 기본적인 학습능력이기에 더욱 그렇다.

 

절체절명의 시간임을 인지하는 곳이 있을까?

2년 전에 느낀 두려움은 이제 널리 퍼져 간다. 이제는 시간이 많지 않다. 정말로

또 다시 다가 올 때에는 지금처럼 끝나지는 않을 것이다.

 

-      2009.7.13 바다란 세상 가장 낮은 곳의 또 다른 이름.

 

 

 * 이전 글에서 전체적인 관점에 대해서 언급 하였다. 지금까지 변화된 유형에 대해서는 언급하는 곳이 없어 가슴 한켠에 답답함이 가득했다. 그 답답함을 해소하기 위한 차원에서 올린 글이다. 다음편을 또 쓸 것인가에 대해서는 예정 된바 없다.

 

Posted by 바다란

우려 했던 상황이 현실화 되었다. 이미 그 단초는 제공이 되어 있었다. 필자가 2007년경에 언급한 IT서비스의 현재 위험과 대응이라는 (첨부문서 참고)글에서 언급 되었던 내용이 많은 준비가 이루어지지 않은 현재 그대로 적용 되었다. 몇 가지 작은 부분에 있어서의 두드러진 특징들이 있으나 큰 범주를 벗어나지 않는다. 본 컬럼에서는 간략한 특징과 유형을 간결하게 정리하고 문제의 원인으로 추정되는 부분과 향후의 대책 부분에 대해서 언급한다. 보다 기술적인 부분은 전문 보안업체의 기술 보고서를 참고 하기 바란다.

 

- zdnet 컬럼 기고입니다.

 

일단 기본적인 IT 서비스 문제점 유형을 개인적인 관점에서 보면 다음과 같으며

정리하면 위험의 큰 목차는 다음과 같다.

 

l    웹서비스를 통한 악성코드 유포

l    악성코드를 이용한 DDos 공격 ( IDC , ISP , 대규모 Service Provider 등 모든 부분 영향)

l    Zeroday 위험 ( 신규 백도어를 이용한 정보 절취 및 기간 서비스 위험)

l    Botnet ( IRC Botnet과는 차별화된 HTTP를 이용한 Malware net이 현재의 집중적인 위험도 포함됨)

l    웹서비스 자체의 취약성 ( 악성코드 유포의 근본 요인으로 지목한다.)

 

먼저 2007년에 작성한 위험상황과 달라진 것이 특별히 없다. 그러나 4번 항의 Malware net 부분은 이슈가 되고 있다.

 

현재의 상황에 대한 개인적인 의견은 대규모, 조직적, 계획적, 오랜 기간 ( 최소 1~2개월 이상) 준비된 이라는 표현으로 간략히 언급하고자 한다.

 

 

 

현재 발생된 DDos 건에 대해서만 정리하면..

 

1.   공격자의 정체 확인 불가

 

l  악성코드가 개인 PC에 설치된 이후 관련 기록들을 다 제거하고 날짜까지 변경함. 추적 방지를 위한 증거인멸

l  증거가 없는 관계로 근본적인 추적이 되지 않음

l  악성코드내의 중요루틴 암호화 및 일부 분석 방지 ( Anti debugging) 기능

 

2.   공격정보를 C&C로부터 Command를 받는 것이 아니며 일부 접근 시도하는 IP를 통해서 추가적인 명령들의 실행이 가능한 상태로 보이며 미리 업데이트된 공격정보 이용하여 특정대상 및 공격형태를 지정함. 또한 스팸공격 및 TCP (HTTP), UDP Flooding, ICMP Attack을 병행하여 진행

 

l  IP 변조 발생되고 있음. 공격자 IP 숨기는 공격도 병행 발생

l  HTTP 에 대한 집중적인 DDos ( 정상 연결 유형으로 웹서버의 자원을 요청하도록 하여 리소스를 빠른 시간에 소모)

l  하나의 프로토콜이 아닌 다양한 형태의 DDos 공격 수행 ( 스팸 발송 있음)

l  공격정보를 정해진 시간에 받거나 업데이트 하는 유형으로 추적을 피하는 것으로 추정

l  감염 이후 해외의 최소 6 ( DDos Agent 3 IP , Spam Agent 6 IP) IP에 접속하여 명령을 받는 것으로 추정됨 공격리스트의 업데이트 혹은 Command 수행

l  기존의 Control 서버의 통제를 받는 것이 아닌 개인PC에 설치된 이후 해외 IP 연결을 통해 이후 Action을 진행하는 것으로 보임

 

3.   대규모 좀비 PC를 활용함.

l  C&C 서버가 없이 일정시간에 업데이트 혹은 내정된 URL로 정해진 사이즈와 일정형태의 패킷을 발송

l  소규모가 아닌 대량의 감염 시스템을 활용한 형태

l  변종들이 계속 나타나고 갱신되고 있으나 기존 감염 PC에서는 추가 변종 증세가 나타나지 않음

l  업데이트 통로가 다른 경로로 존재하지 않거나 별도의 공격리스트를 가진 좀비 PC 그룹이 존재하지 않는다면 분석된 리스트의 일자에 공격은 종료 될 것임.

 

4.  대규모 Malware Net 동원에 대한 개인의견

 

현재 규모와 같은 대규모 좀비PC 동원을 위해서는 두 가지 정도의 가능성이 존재함.

 

n  기존에 존재하는 Botnet 채널들을 활용하였을 가능성 ( 알려지지 않은 Bot 계열일듯)

 

l  전제조건: 기존에 알려진 유형의 Bot 계열이 아님, 이 경우 공격대상의 빠른 변동과 업데이트 가능.

l  Botnet 채널들을 활용해 이번 DDos 공격에 필요한 악성코드만을 별개로 설치한 유형 의심 할 수 있음.

l  여기에서 언급하는 Botnet은 기존에 알려진 Botnet이 아닐 것임 별도의 설치 채널 이나 통신채널 유지 가능성.

l  대규모의 Botnet 채널에 악성코드 설치 이후 채널 제거 혹은 비활성화 가능성도 있을 듯. 정체 은폐 및 공격 유형과 시간은 사전에 업데이트 해 놓은 상태로 유지

 

n  방문자가 많은 사이트를 통한 악성코드의 유포 가능성 (해킹 후 코드 변조를 통해 유포 했을 가능성)

l  전제조건: 일정기간의 준비기간 소요, 각 단계별 공격 기능과 1,2,3차에 걸친 공격대상의 확정이 필요하거나 업데이트 기능 필수적임

l  이 문제는 대부분의 좀비 PC가 일반사용자 PC라는 점에서도 추론이 가능하다.

l  방문자가 많은 웹 서비스를 통해 Zeroday 취약성을 이용해 악성코드를 유포하였을 가능성 있음. 최근의 Direct X 관련 취약성 연관 가능성 있을 수 있으나 준비 기간이 오래된 것으로 미루어 연관성 적을 것으로 예상

l  일반적으로 악성코드 설치 이후 바로 동작하는 것이 아니라 정해진 시간에 활성화 됨으로써 오랜 준비기간 동안에도 노출이 되지 않았을 가능성 있음

l  지난 3~4년 동안 국내의 주요 웹 서비스를 통해 사용자에게 유포된 악성코드의 유형과 종류는 알려지지 않은 유형들도 상당수 존재할 것으로 보임.  모든 악성코드를 백신에서 걸러내지는 못했을 것임. 이중 상당수에 공격코드를 올려 놓고 D-Day를 지정하여 실행 하였을 것임.

l  주기적으로 해외 Control 기능의 IP에 접속하여 올려진 새로운 명령을 체크하고 자체적인 업데이트 등으로 D-Day를 준비 하였을 것임

 

 

 

현 상황에서 취할 수 있는 대책

 

1.    긴밀한 협조 관계 구성 ( 백신 업체, ISP , Control Tower )

 

l  악성코드 유형 발견 시 즉시적인 공유 및 분석, 이후 일괄적인 백신 업데이트 요청 ( 최대한 빠른 시간에 진행 되어야 함) . 이 경우 단계별로 감소 시킬 수 있을 것으로 보임.

l  ISP 와의 협조 관계, 악성코드 공격이 확인될 경우 자료수집 조사, 대응방안 협의

l  Control Tower A,B 단계에서의 긴밀한 협력과 DDos 대상 기관 및 업체에 대한 가이드 및 지원 , Best Practice의 빠른 확산 및 적용 가이드 제공 할 것. 그 외 국내 사용자가 많은 백신을 기준으로 1~10위 이내에 일괄적인 업데이트 진행 요청 할 것. 가급적 일괄 대응 체제 구성

l  정보획득 -> 분석 -> 대응의 일괄적인 대응 체제 구성 할 것.

 

2.    분석 진행 시 유의 사항. 현재로서는 진행경로와 감염경로를 밝히는 것이 최우선임. 이점에 대해 각 기관별 분석된 정보의 빠른 공유 필요함  - 종합적인 분석과 현황파악이 가능하도록 주관 기관이나 단체의 Owner ship 필요.

 

3.    베스트 대응 케이스에 대한 대응 시나리오의 전체적인 확산 필요 ( 금전 소요를 최소화 하는 방향으로, 무조건적인 장비 도입은 그리 바람 직하지 않음)

 

장단기적으로 구성 되어야 하는 부분

 

1.   전역적인 대응체제 구성의 절대적 필요성

 

l  백신사, ISP, Control 기관의 유기적인 협조

l  그동안 무작위로 개인 PC에 설치된 악성코드에 대한 통합적인 분석과 일괄적인 제거

l  악성코드 유포를 위해 가장 많이 이용된 웹 서비스 취약성에 대한 대응

 

2.   개인 PC 환경에 대한 획기적인 보안성 강화 필요.

l  중앙통제 유형 보다는 개인 사용자 별로 확인이 가능한 체제 혹은 ISP 단에서 체크가 가능한 형태로 구성이 되어야 함.

l  과다 트래픽, 특정 대상을 향해 집중되는 트래픽 유형등을 위험시에 직접 접근 및 제어 가능해야 함.

 

3.   웹서비스의 취약성에 대한 직접적인 대응 필요

l  실효성 있는 웹 서비스 취약성 검증 유형 수립 필요 ( 실행기간의 단축, 비용의 문제 등등, 일정 규모 이상은 실효성 있는 서비스의 보안성 검토 필요)

l  실효적인 보안정책 가이드 필요 ( 개인정보보호 강화를 위해서는 실질적으로 기본적인 서비스 보안이 가장 우선 되어야 함. 그러나 현재는 그런 방향과는 거리가 있음)

l  개발자에 대한 보안 가이드 및 미래 개발자를 위한 서적, 교육, 개발자 커뮤니티 지원과 같은 실효적인 awareness 필요.

l  보안성 검수와 같은 개발 절차 이후 오픈 이전 단계의 보안 점검 프로세스 가이드 및 보급

l  단기적으로 거의 모든 Web Application에 대한 빠른 시일 내의 취약성 제거 필요 – 악성코드 유포에 많이 이용되는 SQL Injection 만이라도 반드시 제거 할 수 있도록 가이드.

 

 

이 정도로 정리가 된다. 소를 읽고 나서라도 외양간이라도 제대로 고쳐야 할 것이며 문제의 해결책은 장비의 추가가 될 수 없다는 것을 반드시 명심해야 한다. 근본적인 원인 제거가 꾸준히 있어야 하고 전역적인 대응이 가능한 효율적인 체제가 있어야만 할 것이다. 꾸준하게 유포되던 악성코드들의 위험성은 이미 2년 전에도 예정된 것과 다름 없다. 그 사이 얼마나 많은 준비를 하였고 고민들이 있었는지 심각하게 고민해야 할 때이다.

 

 

마지막으로 오랜 기간의 준비를 통해 계획된 공격들의 목적은 자신감이다. 전체를 흔들 수 있다는 자신감의 표현이다. 적극적인 대응만이 IT서비스를 살릴 수 있는 유일한 방법이다. 

                                 바다란 세상 가장 낮은 곳의 또 다른 이름

 

 

Posted by 바다란

좀 길어 졌습니다.

쓰다보니 중복되는 내용들도 다수 있지만 그냥 올립니다.

 

언제나 그렇듯이 블로그에 올리는 모든 의견들은 제 개인의 의견입니다. 이점 유념 하여 주셨으면 합니다.  이 긴글을 읽어낼 인내심이 당신과 함께 하기를..

 

--

대응

변화를 보라. 변화를 볼 수 없고 느끼지 못하면 도태만이 있을 뿐이다.

 

 

작금의 변화는 언제부터였을까? 지금과 같은 상황은 언제 예견 되었을까? . 전략과 시대를 통찰하는 시각의 부족은 고대부터 항상 있어왔고 지금에도 마찬가지이다. 빠르게 변화하는 세상과 문화의 흐름을 예측하기는 어렵다. 더욱이 지금과 같은 직접교류와 인간과 인간과의 관계가 급속도로 가깝게 연결 되는 시대에는 더 어려울 수 밖에 없다. 현상도 이러할진대 현상에서 촉발되는 많은 문제들 중 IT서비스에 대한 문제와 Security라는 측면에서는 더 큰 어려움이 존재 할 수 밖에 없다.

<?xml:namespace prefix = o /> 

변화를 보려 하고 준비한자는 어디에 있을까?

 

이제 변화의 흐름을 쫓아보자.

작금의 Security 환경의 가장 큰 위협은 전 세계적인 이슈라고 할 수 있다. 세계적인 보안 이슈는 지금까지 Botnet , Phishing 으로 인한 대규모적인 악성 시스템 그룹의 운영과 사기에 초점이 맞춰져 있었다. 거기에 최근 2~3년 사이에 악성코드가 결합한 형태가 나타나서 새로운 흐름이 만들어 지고 있다. 전 세계적인 이슈는 세계 평균적인 서비스의 발전에 따라 나타난다. IT서비스의 발전이란 접점의 확대 ( 이른바 다양한 UCC를 통해 사용자와 교류하고 소통하는 Web 2.0 의 현상이라 할 수도 있다.) IT 인프라의 발전과 발맞추어 나아간다고 할 수 있다. 인프라의 밀집과 고가용성 상태로 보면 세계 최고 수준을 유지하고 있는 한국으로서는 선도적인 서비스 문화들이 많이 발생 하였고 이를 통해 온라인 게임이나 사용자와 교류하는 Web 2.0 모델의 할아버지 격이 될 수 있는 서비스들이 다수 출현되어 현재도 활발하게 서비스 중인 상황이다.

 

세계의 발전도 인프라의 고가용성으로 나아가며 사용자와의 교류가 높아지는 서비스가 주류를 이루어 가고 있다. 점차 Security에 대한 위협도 세계적인 이슈가 될 수 밖에 없다.

 

한국에 최초 출현한 위협들은 악성코드에 대한 위협과 Web Application에 대한 직접 공격을 들 수가 있고 이 위협들은 여전히 현재 진행형이다. 2005년에 최초 출현한 위협들은 이후 확대되어 세계적으로 퍼지고 있는 상황이나 한국만큼 악성코드의 유포 및 활용성이 높은 곳은 아직 미비하다. 향후 몇 년간 전 세계 IT 서비스 부분에 대해 명확한 이슈로 등장할 것이며 그 근본에는 대표적으로 중국이 등장 할 것이다.

 

왜 이런 예상을 하는지 잠시 최근의 근거를 살펴보자. 드러난 것은 전체의 1/10도 되지 않는다는 점에 염두를 두고 살펴 보면 된다.

 

http://blog.naver.com/p4ssion/50002005359  2006 2월에 작성한 글에서 향후 위험성에 대해서 의견 피력을 했고 지금은 1년이 휠씬 더 지난 상황이다.

 

처음 중국으로부터의 해킹 분석을 한 것이 2002년 이였고 이후에도 간헐적으로 의견 제시를 했었지만 지난해 초에는 세계적인 이슈가 될 것이라는 전망을 하였었다.

 

현재는 커뮤니티 문화 및 인터넷 문화가 확산되어 금전 거래 및 문화로도 연결이 된 우리 나라에 대해서만 피해가 크게 보이지만 인터넷 문화의 확산에 따라 유비쿼터스 환경의 빠른 확대에 따라 세계 각국으로도 중국의 공격은 유효하게 발생이 될 것입니다.  본문중

 

본문중에서 발췌한 내용이며 해당 내용의 유효성이 얼마나 실현 되었는지 2007 9월 이후에 언론에 나타난 흔적들을 통해 한번 되새겨 보자.

 

 

 

http://news.naver.com/main/read.nhn?mid=etc&sid1=104&mode=LPOD&oid=001&aid=0001799299  ( 중국내에서도 심각한 문제가 되고 있음을 볼 수 있습니다. )

 

http://www.donga.com/fbin/output?n=200709210153 ( 해킹 동향에 대한 일반론)

http://news.naver.com/news/read.php?mode=LSD&office_id=001&article_id=0001752161&section_id=102&menu_id=102 (뉴질랜드 정부기관 해킹 관련 보도)

http://weekly.hankooki.com/lpage/business/200709/wk2007091012524537060.htm  (펜타곤 및 미 정부망 해킹 관련 보도)

http://news.mk.co.kr/news_forward.php?no=481939&year=2007 (프랑스 총리실 해킹)

http://news.naver.com/news/read.php?mode=LSD&office_id=003&article_id=0000553689&section_id=104&menu_id=104  (,,영국 해킹 관련 보도)

http://www.ytn.co.kr/_ln/0104_200709051801337415

 

 

 

간략하게 20079월 이후 기사화 된 것만을 추려도 위의 항목과 같이 나타나고 있다. 대부분 피해 사실을 숨기고 공개적으로 언급하기를 극도로 꺼려 하는 점을 감안하면 각국 정부의 반응은 예상을 넘어선다. 이 것은 예상을 넘어선 피해가 존재 한다는 의미와 동일하다 할 수 있다.. 가장 처음의 링크를 주의 깊게 볼 필요가 있다. 현재 발생되는 사이버 테러의 가장 큰 피해자는 중국 스스로이며 정보를 가장 많이 얻기도 하지만 가장 많은 공격의 대상이 되기도 한다. 그러나 기질상 금전과 과도한 국수주의 기질로 무장한 공격자들에게 대외적인 이슈가 발생 한다면 국가적인 혹은 산업적인 적대 대상에 대해 집중적인 공격이 발생 할 수 있다. ( 국가망에 대한 공격은 Zeroday Attack이 주로 이용되며 MS Office 계열의 문서를 활용한 백도어류가 주류를 이루고 있다. 백도어의 행위가 매우 지능적이고 찾기가 어려움에 따라 향후 강도 높은 주의가 필요한 부분이다.)

 

Security의 패러다임은 계속 변화하고 있다. 장기간의 변화 방향을 짚기는 어려워도 1~2년 정도의 변화는 누구나 손쉽게 짚어 낼 수 있다. 지금까지의 패러다임을 주관적으로 한번 보면 다음과 같다.

 

모두 2000년 이후의 변화만 기술한 내용이다. 그 이전의 변화는 지금의 흐름과 관계가 없으므로 언급할 필요가 없고 network 단위의 웜의 최초 출현과 그 이후의 변화를 주로 살펴 보면 된다.  Worm이 발생 부분은 전 세계적으로 동일하게 발생 하였고 이후의 Botnet으로의 진화와 변화도 세계적인 흐름이지만 이후의 Web을 통한 Pc의 공격은 중국에서 단연 주도하고 있는 상황이다.  물론 그 이전에 Application에 대한 Attack 흐름은 나타났으나 실제 피해를 입히는 영향도로 보아서는 Web서비스를 통한 악성코드 유포 이슈가 단연 높다고 할 수 있다.

 

Worm 발생 이전에는 격리의 단계에서 이후에는 보호단계로 진입하고 지금에 이르러서는 불특정 다수의 PC환경 까지도 보호해야만 되는 그런 상황으로 나아간다. Web을 통한 전파 가능성만큼 확실하고 대규모적인 악성코드 설치가 가능한 환경도 존재하지 않는다. 따라서 향후에도 Web을 통한 악성코드 전파 및 유포 행위는 전 세계적으로 이슈가 될 것이며 단지 한국의 상황은 조금 빨리 부딪힌 것뿐이다. 위기 상황은 기회를 만들기도 한다. 그러나 정작 국내의 보안산업은 위기 상황에서 어떤 고민들을 했나? 창조적인 준비, 역동성, 열정 이 모든 것들이 결합되지 못하였고 근 미래조차 예상 하지 못하는 근시안적인 판단으로 지금까지 버텨왔다고 보는 것이 필자만의 개인적인 생각일까?.

 

최초 서비스는 많으나 최초의 창의적인 제품들이나 보안 서비스들은 어디에 있을까? 이처럼 독특한 위협들을 몸으로 겪으면서 보안이라는 산업 자체는 최소한 한국 내에서는 위기를 맞게 되었을 것이다. 현업의 서비스 담당자들 보다 떨어지는 실무경험으로 무엇을 가이드 할 수 있단 말인가?  더 이상 정보의 가치는 없다. 누구나 접근 가능하고 취득이 가능한 정보는 그 가치를 잃고 만다. 경험으로 체득한 지혜만이 혜안을 밝힐 수 있으나 그 경험을 누적 시키지 못하고 인재를 양성하지 못한 대가는 향후의 방향성을 가름하게 될 것이다. 세계적인 IT 회사들이 왜 보안에 집중을 하는지 또 끊임없이 인력 확보를 위해 노력하는 지에 대해서 진지한 성찰과 고민이 필요한 시점이다.  단일화된 시장이 될 수 밖에 없는 Global IT 서비스에서 지역적으로 성장 할 수 있는 기회는 더 이상 존재하지 않을 것이다. 위협은 Global로 다가오는데 눈을 뜨지 않은 자가 어찌 대응 할 수 있을 것인가? 단지 생명 연장을 조금 더 오래할 뿐이며 그 명운은 이미 판가름이 났다고 할 수 있다.

 

개인적으로 위와 같은 예상에 대해 뼈아프게 생각 하지만 이미 오래 전부터 실무에서 부딪히며 의견을 제시하고 방향성을 제시한 적이 있으나 들으려 한 곳은 없다. 지금이라도 좀 더 큰 방향성을 보고 와신상담 하기만을 바랄 뿐이다.

 

 

잡설이 길었다. 다시 최종적인 IT 서비스를 위한 보호 제안에 접근해 보자.

 

현재의 IT서비스가 지닌 위험을 정리하면 큰 목차는 다음과 같이 정리가 된다.

 

1.       웹서비스를 통한 악성코드 유포

2.       악성코드를 이용한 DDos 공격 ( IDC , ISP , 대규모 Service Provider 등 모든 부분 영향)

3.       Zeroday 위험 ( 신규 백도어를 이용한 정보 절취 및 기간 서비스 위험)

A.       기간 서비스 부분은 http://blog.naver.com/p4ssion/50001878886 Article Scada & DCS 시스템의 위험요소를 참고

B.       신규 백도어를 통한 리모트 컨트롤 및 정보 절취는 국가전략적인 차원에서도 매우 중요한 위험요소라 할 수 있다.

4.       Botnet ( IRC Botnet과는 차별화된 HTTP를 이용한 Malware net이 향후 위험요소가 될 것이고 이번 아이템 거래 업체에 대한 DDos 유형도 Malware net이 사용 되었다고 할 수 있다.)

5.       웹서비스 자체의 취약성 ( 1,2 항의 근본 요인으로 지목한다.)

 

다섯 가지 정도로 큰 위험성을 잡을 수 있으며 이중 1,2,5 항에 대해서는 시급한 대응 방안이 고려되어야만 한다.  Zeroday 위험은 계속 존재 하는 문제이며 1,2,5 항에 대해서는 보다 더 적극적인 대책이 진행 되지 않는다면 IT서비스 차원이나 국가 전략 차원에서 문제가 될 사안들이 지금 보다 더욱 많아 질 것이다.

 

주된 항목에 대해 하나하나 짚어 보면 다음과 같다.

 

< 웹서비스를 통한 악성코드 유포>

 

위의 이미지는 웹서비스를 통한 악성코드 유포에서 문제 부분을 정리한 내용이다. 각 표시부분별로 대책 부분을 정리한다.

 

1.      웹서비스 사이트

 -> 웹 서비스 사이트 부분은 대부분의 웹서비스가 URL 인자에 대한 validation check를 하지 않음으로써 발생하는 문제이며 대부분 SQL Injection을 이용한 권한 획득이나 XSS 취약성을 이용한 악성코드 유포로 사용이 되고 있는 점을 들 수 있다. 이 부분에 대한 대책을 위해서는 웹 서비스 URL 전체에 대한 인자들의 유효성 체크를 하여야만 하며 우선 대규모 사이트 혹은 방문자 규모가 일정 규모 이상인 사이트를 대상으로 집중적으로 이루어 져야만 할 것이다. 그래야 웹을 통한 대규모 사용자에게 악성코드 유포를 근본적으로 줄일 수 있다.

 

기본적으로 공격자들은 자동화된 툴을 이용하는 것이 일반적이며 일부 공격자가 직접 조작을 하여야만 하는 취약성들은 서비스 자체적으로 보안 강화를 하는 것 외에는 없다.

악성코드의 유포를 위해서는 소스코드를 변조 하거나 게시물에 악성코드를 첨부 혹은 실행 스크립트 형태로 올려두는 것이 대부분이므로 권한 관리 및 외부에서 직접 권한 획득이 가능한 부분을 확인 하여 차단 하여야만 한다.

현재 한국 내에서 문제가 지속 되고 있는 부분은 Web URL 인자를 필터링 하지 않아 발생하는 SQL Injection 부분이 심각하며 해당 문제의 상세한 내용은 여기를 참고 한다.

http://blog.naver.com/p4ssion/40017941957

http://blog.naver.com/p4ssion/40015866029

부족하지만 위의 Article을 참조 하면 되며 이외에 여러 공개 발표된 문서들이 있으므로 참고 하면 충분한 이해가 될 것으로 판단된다.

 

큰 방향성에서는 전체 웹 서비스에 대한 validation check를 검증 할 수 있는 솔루션이나 제품을 도입 하여 안정성을 강화 하여야 하나 현존하는 모든 웹 Application 보안제품들이 나름대로 한계를 지니고 있어서 대용량 서비스 및 여러 URL을 빠르게 진단하는데 문제를 지니고 있다. 이 부분은 향후 적극 개선이 필요하며 필수적인 부분만을 빠르게 진단하는 경량의 고속 스캐너류를 통해 근본적인 해결을 하는 것이 필요하다.

 

더불어 장기적으로는 프로그래밍 서적이나 개발시의 참고 사항에 보안과 관련된 validation check 부분을 강조함으로써 향후 개발 되는 Application에 대한 안정성을 반드시 확보 하여야만 할 것이다.

 

2.      개인 사용자 PC

-> 개인 사용자 PC 환경에 대해서는 현재의 제한된 유료 사용자만이 영향을 받는 백신 부분으로는 절대적이 한계를 지닐 수 밖에 없다. 웹이라는 매개체를 통해 불특정 다수에게 대량의 악성코드가 유포되는 상황에서 IT서비스 차원에서는 궁극적인 해결책을 모색할 수 밖에 없으며 해외의 온라인 서비스 업체들이 왜 지금에 와서 보안 서비스를 무상으로 제공하는지 염두에 두는 것이 바람직하다.

 

한국은 2005년부터 위기가 시작 되었음에도 불구하고 별다른 움직임 없이 모든 피해를 당할 수 밖에 없었으나 2006년부터는 세계적인 서비스 업체들에도 다양한 문제들이 발견이 되고 있어서 적극적인 대책을 강구 할 수 밖에 없는 부분이다.

아래의 reference를 간략히 참고 하고 더 많은 실례들이 존재함을 알아야 할 것이다. IT서비스 기업의 특정 서비스를 노리고 있는 웜들이 급증 추세에 있는데 IT서비스 기업으로서 취할 수 있는 대응 방안은 무엇이 있을까? 서비스를 사용하는 모든 사용자들에게 피해가 가지 않도록 하는 방안은 무엇일까?. 결론적으로 서비스를 보호하기 위해서는 빠른 업데이트 및 서비스에 대해 특화된 대응이 가능한 보안서비스를 선택 할 수 밖에 없다.  보안 서비스는 이제 IT 서비스의 생존을 위한 필수적인 요소가 되었지만 아직 국내에는 갈 길이 멀었다. 가장 큰 피해를 입었고 현재도 입고 있음에도 불구하고 아직 갈 길이 너무나도 멀다.

 

서비스 전체 사용자 및 산업적인 차원에서 대규모 보안성 강화 노력이 절실히 필요하며 대응 방안은 이미 글속에 있으나 개인이 제안 할 수 있는 범위는 아니라 판단되며 향후 주된 이슈가 될 부분이라 보고 있다. 국가적 차원의 IT서비스 경쟁력 강화에 필수적인 부분이 될 것이며 최종 결론 부분에 다시 정리 하고자 한다.

 

Ref:

http://namb.la/popular/tech.html -> myspace application worm에 대한 설명

http://news.softpedia.com/news/The-First-Yahoo-Messenger-Worm-That-Installs-Its-Own-Browser-24366.shtml  -> yahoo 메신저 웜

http://www.crime-research.org/news/20.09.2006/2250/ -> AOL IM worm

 

 

3.      Secure한 전송

 

Secure한 전송은 지난 편의 글에서 제시한 BHO 부분과 연동이 된다. 지금까지는 키보드에서 발생하는 하드웨어 이벤트를 가로채는 키로거등이 주로 사용이 되었으나 해킹툴 차단 및 보안 서비스 사용자가 늘어남에 따라 공격자들 ( 주로 중국 ^^)의 공격 유형이 변경 되었다. 현재 변경된 방식은 BHO 방식을 이용하여 키보드 암호화가 풀리고 SSL 등을 이용한 네트워크 암호화 단계 직전의 Browser가 지니고 있는 값을 유출 시키는 유형으로서 기술적인 대안은 백신과 암호화를 유지하는 것 외에는 없다고 할 수 있다. 여러 번 언급 하였지만 신규 악성코드를 만드는 것은 매우 쉬우며 빠르다. 그리고 대응은 더디다. 유출된 정보는 이미 정보로서의 가치를 상실하고 사용자의 개인정보를 통한 추가 침입에 이용될 뿐이다. 따라서 가장 근본적인 대안으로 End To End 단 까지 이어지는 암호화를 연결 시키는 것이 필요하며 가장 완전하게는 키보드 보안에서 암호화 된 것이 직접 서비스 서버로 전달이 되고 해당 서비스 서버에서 복호화가 되는 유형을 진행이 되어야 해결이 된다. 최소한 Browser 단위에서 평문으로 전환되고 SSL로 전송되는 문제는 피해야만 한다. 평문 전환 시점을 노리는 악성코드는 지금도 날마다 만들어진다.

 

SSL ( Secure Socket Layer)은 전송 단계에서의 보호를 의미하나 스니핑이나 중간 네트워크 트래픽을 가로채어 정보를 절취하는 유형은 거의 찾아보기 어려운 형국이다. 따라서 새로운 패러다임에 맞게 보호 수준을 높일 필요가 있고 세계적인 흐름과 동일하게 하향 평준화 되어서는 안될 것이다. 아직도 SSL 만으로 보안이 다 된다고 생각 하는 곳은 인터넷 서비스로 말하자면 석기시대 사고 방식이라 할 수 있을 것이다.

 

 

이상으로 웹서비스를 통해 유포되는 악성코드의 흐름과 이에 대한 대책을 간략히 설명 하였다. 그럼 이번에는 올해 하반기에 새로 등장한 Hybrid DDos 관련된 이슈에 대해서도 알아보자.

 

<DDos 공격과 관련된 이슈>

각 문제 지점에 대해서는 붉은색 원으로 별도 표시가 되어 있다. 여기에서 1,2번 항목은 앞서의 악성코드 유포 이슈와 동일한 부분이다.  틀린 점은 3,4번 항목이 되며 3번 항목은 과도한 트래픽이 몰리는 것을 의미하고 4번 항목은 중간 명령 전달 서버가 된다. 설명이 필요한 부분과 대책이 필요한 부분은 3,4번 항목이다.

 

3. 과도한 트래픽의 집중

       -> 특정 서비스 대역으로 과다한 트래픽이 정형화된 패턴이 없이 집중 될 때 IDC나 서비스 제공자 입장에서 대응 할 수 있는 부분은 그리 많지 않다. 단 시간내에 집중 되는 경우에는 장비의 증설 및 트래픽 우회로 커버가 가능하나 지속적으로 증가하는 유형에 대해서는 마땅한 해결책이 없다. 전체 서비스 구역을 보호하기 위해서 대상이 되고 있는 서비스를 서비스 항목에서 제외 ( DNS 리스트에서 삭제 ^^) 하는 것 외에는 특별한 대안이 없다고 본다.

대응을 하기 위해서는 긴밀한 협력이 필요하며 협력은 개인 PC 단위의 보호를 진행하는 백신 업체등과 연계가 필요하다. IT 서비스 프로바이더 입장에서는 근본 원인 추적을 위해 정형화된 패턴 방향을 찾을 필요성이 있으며 지속적인 유형에 대해 정보 제공이 이루어져야만 한다. 또한 일시적인 시점에 급격하게 늘어나는 DNS 쿼리등을 주시할 필요성이 있다. ( 이 부분에 대한 모니터링을 피하기 위해 명령 전달을 위한 경유지 서버를 사용한 것으로 추정됨) Botnet 등의 탐지를 위해서도 특정 IRC 서버나 채널 혹은 서버군으로 다수의 쿼리가 몰릴 경우에는 일시적으로 주의 수준을 높이는 것이 필요하며 방향성을 예의 주시 하여야 한다. 기존의 botnet 등과 연계된 탐지에는 효율이 있을 것으로 판단되며 이번에 새로 발견된 유형에 대해서는 제한적인 효과를 지닐 수 있을 것으로 보인다.

 

정보의 폐쇄적인 활용은 피해를 더 크게 만들 뿐이므로 유관기관과의 긴밀한 협력을 통해 공격 대상 IP 및 공격 서비스, 주요 패턴 등에 대해서 상시적인 교류가 필요하다. 경우에 따라서는 공격을 진행하는 클라이언트 파악도 필요할 것으로 예상이 된다.

 

장기적으로는 트래픽에 대한 비정상 증가 치 혹은 비정상 패턴을 탐지하는 유형을 목록화 하여 수시로 업데이트 함으로써 위험요소의 사전 판별에 도움이 될 수 있을 것으로 판단 된다. 이유 없는 트래픽 증가는 없으며 비정상 패턴의 증가도 있을 수가 없다.

 

4.      경유지 명령 전달 서버

-> 경유지 서버에 대한 판별에는 어려움이 있다. 이 부분은 실제 개인 PC를 찾아낸 이후 하나하나 단계를 밟아서 경유지 서버를 찾아내는 것이 필요하며 방대한 시간이 걸릴 수 있을 것이다. 그러나 이미 기존에 유포된 악성코드들에 대한 흔적을 찾아 냄으로써 일괄적이고 대규모적인 제거 작업이 일시에 이루어 진다면 경유지 서버에 대한 의미를 줄일 수 있다고 본다.

 

 

전체적으로 사안을 정리한다는 것은 쉽지 않으며 지금과 같은 대규모 이슈에 대해 다양한 부분에 대해 대안을 개인이 생각 한다는 것도 어려움이 있다. 다소 틀린 부분과 잘못된 오류 부분에 대해서는 개인 의견이므로 너그러운 양해를 당부 드린다.

 

세계 모든 국가들이 피해를 입고 있다. 정보를 탈취하여 돈을 획득 할 수 있다면 무엇이든지 할 수 있는 공격자들은 얼마든지 있다. 또한 그들은 스스로간에 정보를 공유하고 공격 가능성을 논의한다. 이에 반해 보안업체 혹은 IT 서비스 업체들은 어떤지를 돌아봐야 한다.

Cyber Terror 혹은 정보 절취를 통한 첩보거래와 실 거래가 동반이 되는 IT서비스에 대한 공격을 통한 금전적인 이득의 취득, 사용자를 유인하여 금전을 취득하는 Phishing등 모든 문제가 연계되어 있다.

 

전 세계 모든 IT 서비스 및 국가가 향후 방향성에 대해서 심도 있는 논의를 해야만 하고 자체적인 준비를 해야만 한다. 국내 IT서비스의 지속적인 발전과 국가 보호를 위한 미래 전략 차원에서 준비를 해야만 될 것이다. 앞으로 IT서비스는 보다 더 생활에 밀접해 질 것이고 생활 상의 모든 것들이 연계 되는 상황에서 우리는 지켜야 할 대상에 대해서 명확하게 지켜야 될 것이다. 그럼 정리하자.

 

< 단계별 대책>

 

각 위험요소로 지적한 부분에 대해 단계별 대책은 무엇이 있을지 확인해 보자. 큰 목차로는 3가지 정도가 있을 수 있으며 3번째 대책에는 몇 가지 소 부류가 있을 수 있다.

 

1. 웹 서비스 보안성 강화

앞으로의 웹은 어떨까? 하는 고민을 먼저 해보자. 사용을 안 하게 될 것인지 아니면 더 밀접하게 사용을 하게 될 것인지.. 2.0이 버블이든 아니든 중요한 것은 사용자와 더 밀접해졌다는 것이 중요하지 않을까 생각 된다.

 

단기- URL 인자별 validation check solution의 개발 및 보급 확대

장기- Secure programming에 대한 awareness 확대 서적, 홍보 및 활용이 가능한 템플릿의 제작으로 장기적인 안정성을 강조

 

웹 서비스의 보안성 강화는 근래 2005년부터 서비스 부분의 화두로 대두되고 있다. 세계적으로 국내 서비스 부분에서 최초(아마도) 발견되고 공식 피해가 확인된 케이스 라고 할 수 있다.

웹서비스의 보안성 강화를 위해서는 지속적이고도 연속성이 보장되는 프로세스가 존재 하여야 하며 이 부분을 해결 하기 위해서는 전문 보안업체나 Security관련 유관기관의 노력이 필요한 부분이다.

더불어 전체적으로 Secure coding에 대한 awareness를 강조함으로써 근본적인 문제 해결을 장기적으로 유도 하여야만 할 것이다. 현재 상황에서의 문제는 URL 인자별 validation check가 가능한 scanner가 몇 종 되지 않으며 그나마 존재하는 솔루션들도 대용량이나 대규모의 사이트에는 부족한 부분이 있다. 다수의 사이트를 일시에 진단하기에도 속도 및 성능 면에서 문제가 있어서 대략 110만여 개 이상으로 추정되는 한국내의 웹서비스들에 대해 일괄적인 대응이나 진단을 수행 하기에는 무리가 있을 것으로 예상된다. 따라서 단계별 진단 및 보안강화 노력이 이루어 져야 될 것으로 보인다.

 

공격자들의 대상이 방문자가 많거나 연관도가 높은 웹서비스를 목표로 하고 있으므로 우선순위를 정해 일정 규모 이상에 대해서는 기준을 만족하는지 점검 하거나 혹은 내부적인 노력을 하고 있는지 정도는 검토 되어야 할 것이다.

 

악성코드의 유포 행위를 모니터링 하는 것도 바람직 하나 근본문제의 수정을 할 수 있도록 원천적인 가이드를 진행 하는 것이 더욱 중요하므로 근본적인 소스 수정이 이루어 질 수 있도록 노력 해야 할 것이다.  Validation 검증을 위한 도구 개발이 현재로서는 절실하다고 할 수 있으며 단기적으로 최선의 노력을 기울여야 될 것으로 판단된다.

 

2. 개인 PC 단위의 보호

 

개인 PC 단위의 보호 관점에 대해서는 명확하게 한 가지를 지적하고자 한다. 악성코드의 전파수단으로 불특정 다수에게 유포 될 수 밖에 없는 웹 서비스가 이용이 되고 있다. 이처럼 불특정 다수에게 무차별적으로 유포가 되는 악성코드에 대한 처리는 체계화 되고 전역적인 대응이 필요하다.

 

지금과 같은 제한된 사용자에게만 제공되는 서비스로는 현재의 위험성을 절대로 막을 수 없으며 정보에 대한 공유 및 위험에 대한 상호 정보 교류가 없이는 향후에도 매우 힘들 것으로 보인다.

 

앞서 IT 서비스 기업들이 서비스를 보호하기 위해 보안서비스를 도입 할 수 밖에 없는 이유에 대해서 간략히 설명을 하였고 향후에도 지속 확대 될 수 밖에 없는 부분이다. PC를 보호하는 AV 업체들은 발상의 전환을 할 필요가 있을 것이다. 전문적인 부분에 대한 대응만을 특화 시키거나 특정 기능의 악성코드 ( MS Office계열의 Zeroday 취약성을 이용한 백도어)의 실행을 근본적으로 막을 수 있는 제품들로 시선을 돌릴 필요가 있다.

 

현재의 악성코드는 시스템을 못쓰게 만드는 바이러스가 아니며 정보 유출과 조정을 위한 도구로서 이용이 되고 있다. 따라서 정보 유출을 막기 위한 부분이 주가 되어야지 시스템을 복원하는 부분이 주가 되어서는 안될 것으로 본다. 물론 복원 하고 치료하는 부분도 반드시 존재 하여야 하는 부분이나 관점을 달리 생각 할 필요가 있다.

 

결론적으로 폭넓은 악성코드 유포 행위에 대한 대응을 하기 위해서는 광범위하고도 체계적인 대응 플랜이 있어야만 한다. 해외의 무료백신을 이용할 수도 있고 아니면 국내의 백신들을 저렴하게 이용하는 방안들도 있을 수 있을 것이다. 개인이 언급하기에는 부적절한 부분들이 있으나 대책은 반드시 광범위한 사용자에게 즉시 영향을 미칠 수 있을 만큼의 파급력이 존재해야 함에는 변함이 없다.

 

공격은 다방면으로 대상을 가리지 않고 발생을 하는데 보호를 하는 대상자는 유료 대상자만 보호하고 그것도 정보 유출 이후에 분석을 통해 보호를 한다는 것은 현재의 위험 상황에 부합하지 않는다.

보안산업의 생존을 이야기 한다. 그러나 서비스가 사라지는데 무슨 보안이 존재 할 수 있을까? 서비스의 생존이 존재해야만 보안이 존재한다. 패러다임의 전환기에 변화를 외면한 보안 서비스들이 IT서비스의 생존에 오히려 장애물이 되어서는 안될 것이다. 지금은 일부 그런 모습으로 비춰지는 부분이 있다. 사용자를 볼모로 잡는 것이 아닌 IT서비스의 생존을 볼모로 잡고 있는 형국이며 종래에는 모든 비난을 받게 될 수도 있을 것이다. 현명한 방향성이 빠른 시일 내에 Security 부분에서 도출이 되어야 할 것이며 그렇지 않을 경우에는 사면초가의 상황에 직면 할 수도 있을 것이다.

 

 

3. DDos 징후 판별 및 Alert 체계

 

DDos 관련된 부분은 모든 대책이 집약 되어야 하는 종합적인 부분이다. 이전까지의 DDos와는 다른 유포 방식부터 경유지 서버의 활용, Hybrid DDos 패턴등 특이하고 특징적인 사안들이 다수 발견이 되는 경우이다.  실제 공격 유형은 올해 초 혹은 지난해부터 이루어 졌을 것으로 보이나 드러나지 않게 소규모 혹은 신고가 어려운 업종에 대해 Ransom 형 공격을 시도 하여 금전적인 이득을 취하였고 지난 9월에는 대규모 사이트에 대해서 집중적인 공격을 시도하여 3주 가량 서비스를 중지 시킨 경우가 발견된다.

 

만약 대규모로 공격을 시도하지 않았다면 대응도 없었을 것이고 또한 이런 대응 방안을 고민 하지도 않았을 것이다. 이제 유형이 드러난 이상 대비책은 준비하여야만 할 것이다. 대비책이 없다면 IT 서비스 전 부분이 영향성을 받을 수 밖에 없을 것이다. 시기는 오래 걸리지 않을 것이다.

 

DDos 징후 판별의 최초 지점은 IDC혹은 Server Farm이 가장 최초 인지가 가능한 지점이 될 수 있다. 그러므로 초기적인 대응이 상당히 중요하다. 특별히 과다한 트래픽을 막을 수 있는 DDos 솔루션의 경우에도 제한적인 효과만을 볼 수 있으며 만약 도입을 한다 하여도 서비스들에 영향을 미칠 수도 있을 것이다.  장비나 설정등을 이용한 DDos 대응 방안은 일정 수준 이하라면 충분한 고려가 될 수 있으나 지금의 공격 트래픽은 장비가 감당할 임계치를 넘는 수준이라서 장비 및 설정을 이용한 대응은 한계에 도달했다고 판단된다.

 

대응은 구조적이고 체계적인 대응 외에는 방안이 없을 것이다. 본문 중에 언급 하였지만 IDC 간의 실시간 위험 정보 교류, 과다 트래픽 발생 지점의 확인, 공격 트래픽의 특징 확인 , 내부 IDC Server에서 외부로 급격하게 증가하는 트래픽의 발견  등등 .. 비정상행위에 대해 모니터링이 가능해야 하며 모니터링 도중 이상 증세 발견 시에는 IDC간의 업무 협조 혹은 분석 및 대응이 가능한 기관과의 빠른 공조를 통해 사전에 위험성을 제거 해야만 한다.

 

이후 악성코드에 의한 영향인지를 판단하고 악성코드의 위험도를 판정한다. 그 이후 악성코드에 대한 업데이트를 대규모 사용자 집단이 존재하는 보안서비스 혹은 국내 백신업계에 업데이트를 요청하여 일괄적으로 차단 할 수 있도록 한다. 

 

더 중요한 것은 전체적으로 해당 패턴으로 감지가 되어 차단된 케이스가 얼마나 되는지 조사를 하여 ( 통계치만 제공되면 되는 수준.) 전체적인 위험 수준을 관리 할 수도 있고 급증한 시기에는 새로운 취약성이 나타났거나 공격 유형이 발생 하여 대비를 해야 한다는 국가나 산업단위의 위험지표를 나타내고 Active한 예방과 대응 활동을 할 수 있다.

 

DDos에 대한 대응과 악성코드에 대한 대응은 현재 본질적으로 동일한 지점에 위치해 있다. 근본적인 원인 제거(Web service application)가 우선 되어야 하며 이후에는 악성코드에 대한 일괄적인 삭제 및 대응이 되어야 (거의 전국민을 대상? ) 피해 규모를 줄 일 수 있고 예방이 가능하다고 본다. 초기 탐지를 위해서는 IDC나 서버군 혹은 네트워크 장비에서의 변화들에 대해서도 일정 기준 이상일 경우에는 반드시 확인을 하여야 하고 사안에 따라서는 유관기관들과 협력하여 분석을 하여야만 할 것이다.  특정 IP나 주소로의 과다한 집중과 Dns 쿼리의 급증과 같은 주요 지표를 나타낼 수 있는 이벤트들에 대해서는 일정수준의 임계치를 주고 강력하게 검토를 한다면 좀 더 빠른 사전 인지가 가능할 것이다. 

 

 

 

전체의 관점

 

 

사전인지 ( 현재로서는 IDC Infra 부분) -> 분석 -> 대응 (악성코드 제거? )

 

사전인지 : 개인 PC에서 사전인지를 한다는 것은 기대하기 어렵다. 다만 IDC내의 서비스나 ISP의 장비 부분에서 특정 동향을 체크하고 검토해야 한다. 일정 트래픽 이상이 발생하는 부분에 대해서도 alert은 가능해야 될 것으로 보인다.

 

분석: 유관기관 혹은 전문가 집단에서 시행을 하는 것이 바람직하며 상시적으로 IDC & ISP와의 정보 교류가 있어야 하며 악성코드에 대한 분석 과 대응 부분에 대해서도 판단이 가능할 정도의 지식을 지녀야 한다. 관련 지식을 통해 ISP& IDC에서 제공된 정보를 분석하고 추적하여 전체적인 위험도까지를 판정 할 수 있어야 한다.

 

대응: 대규모로 유포된 악성코드를 제거하기 위해서는 전역적인 보호 수단이 강구 되어야 하며 악성코드의 유포 방식과 유사하게 거의 무차별적(?)으로 배포가 되는 보호 수단이라야 대응이 될 수 있다. 개인 성향에 따라 다른 문제이나 본인이 보기에는 이 방안 이외에는 대응할 수단이 이제는 없다고 본다. IDC ISP 단위에서 통제를 할 수 있는 범위는 이제는 아니기 때문에 더욱 그러하다.

분석 단계에서 전달이 되는 악성코드 및 위험도에 따라 과감하고 일괄적인 대응을 통해 분석 완료 이후 1~3일 이내에 전체적인 대응이 완료 될 수 있도록 한다.

 

 

단계별로 진행이 되고 최종적으로 대응이 완료 된다면 지금과 앞으로 몇 년간이 될지 모를 근 미래에 발생되는 위협들에 대해서 Active한 대응체제를 완비 하는 계기가 될 수 있다. 아직 전 세계 어디도 해볼 엄두를 낼 수 없는 일이나 현재 상태에서는 최초가 될 가능성이 가장 높다.  앞으로 시간이 지날수록 경쟁력이라는 측면은 좀 더 다르게 보아야 될 때가 올 것이다. 전체적인 위험요소를 얼마나 빨리 제거하고 체계적으로 대응을 하느냐에 따라 세계적인 위험요소로부터 빠르게 회복하고 보호 할 수 있는 유일한 방안이다.

앞으로 점점 더 인터넷이나 네트워크와 연결이 더 복잡해 지고 생활과 밀접한 관계를 맺을 것은 분명하며 거부 할 수 없는 흐름이다.  경쟁력은 무엇인가 고민이 필요하다. 제품을 만드는 것만이 경쟁력은 아니며 이제는 지키는 것도 또 체계화 하는 것도 경쟁력이다.

 

만약 이런 대규모적인 대응이 가능한 체제가 이루어 진다면 보안 서비스 업체 및 ISP 그리고 IT 서비스 업체 모두에게 새로운 기회가 될 수 있고 사업 모델 혹은 비즈니스 모델이 새로 탄생 할 수 있을 것이다.  이제 공격자들과 공격기법에 대응을 하기 위해서는 체계적이고 유기적이며 거대한 대응 체제의 필요성을 고민 해야 할 때다.

 

 

지금 사막의 어디쯤을 걷고 있는지 별을 바라봐야 하지 않을까?

 

 

 

 

Posted by 바다란

p4ssion is never fade away. 

눈에 보이지 않는다 하여 없다고 하는 것은 지혜와 노력의 부족함을 탓해야 할 것이다.

 

중국발 Abusing

 

오로지 금전적인 이득을 목적으로 하는 악의적인 크래킹에는 지금까지 관찰된 바에 의하면 크게 두 가지 유형이 존재한다. ( 권한 획득 및 개인정보 거래 등의 번외로 한다.) 하나는 악성코드 유포를 통한 개인정보의 획득이며 또 다른 하나는 DDos 공격 협박을 통한 금전적인 이득의 추구이다.

 

중국발 해킹은 본래 개인정보 ( ID/ Password) 확보를 목적으로 하였으며 그 목적을 달성 하기 위해 사용자가 많은 사이트를 해킹 ( Web Application의 취약성을 이용 : 80% , File upload 등의 일반적인 취약성 20% 정도로 예상 2005년경부터 Web App 관련된 취약성을 이용한 공격이 급증하고 일반화됨) 하여 악성코드를 유포하는 형태로 변경 되었다. 악성코드를 일반사용자에게 유포하여 개인 사용자가 특정 게임 사이트나 금융 사이트에 접근 하여 개인정보를 입력할 경우 입력된 개인정보를 유출 하고 공격자는 유출된 정보를 활용하여 이득을 얻는 구조로 일반화 되어 있다. 해당 유형은 2005년 상반기부터 국내에 만연된 유행으로서 국내의 대부분의 서비스들이 공격 시도 혹은 공격에 대해 피해를 입었을 것으로 유추된다.  (ref: http://www.ytn.co.kr/_ln/0103_200710091932264788 )

기사 참조에서 보듯이 국내의 많은 서비스들이 지금도 여전한 피해를 입고 있으며 해당 공격 유형은 Web URL의 인자 각각에 필터링이 부족한 점을 이용하여 Database에 명령을 실행 시키는 것과 같은 행위를 유발한다.

( 기법에 대한 이해를 위해서는 여기를 참조 http://blog.naver.com/p4ssion/40017941957

http://blog.naver.com/p4ssion/40015866029 하면 된다. 시일이 지난 것이나 현재 일어나고 있는 Application 공격에 대한 이해로는 충분할 것이다.)

 

<악성코드 유포 이미지>

위의 이미지는 일반적인 개인정보 획득을 위한 악성코드의 전파 과정을 도식화 한 것이다. 최근에는 Zeroday 공격도 동일 연장선 상에서 악성코드화 되고 있으며 올해 3월에 발표된 Ani cursor ( 윈도우 전 제품군에 해당 )에 대한 취약성도 패치가 발표되자 마자 악성코드가 국내에 유포되는 실례도 존재 한다.  즉 보안 패치의 속도를 넘어서는 형태로 공격이 우위에 있는 것이며 현재에도 새로운 취약성들이 악성코드의 전파 유형에 따라 계속 응용 되고 범위를 확장한다고 볼 수 있다.

 

개인 사용자의 ID/ Password 정보를 유출하는 부분도 지난 몇 년간 발달이 되어 왔는데 기존의 Key logger등을 이용하는 고전적인 방법에서  ( 이 부분은 Keyboard 보안의 일반화로 인해 변화된 것으로 추측 된다.)  IE BHO 후킹과 같이 브라우저 전송단계에서 평문화된 ID/ Password를 가로채는 영역으로 변경이 된 상황이다. 즉 하드웨어 이벤트나 네트워크 전송단계에서 정보를 가로채는 것이 아니라 브라우저 상에서 정보를 획득하는 유형이며 현재 언론 등에 악성코드 유포와 관련된 기사에서 언급되는 대부분의 개인정보 탈취용 악성코드가 이에 해당이 된다.    BHO 영역이라는 부분은 IE에서 제어하는 부분( IE Browser Extension)으로서 Keyboard 보안 -> IE  -> SSL 과 같은 일반적인 보호 영역중 IE 부분을 이용하는 것으로 어떤 키보드 보안 솔루션이라도 사용자 입력을 암호화한 이후 Site로 전달되기 직전에는 암호화를 풀고 평문으로 변환하여 브라우저에 탑재를 한 이후 SSL로 전달 하여야만 한다. BHO 영역에서는 브라우저의 이벤트 (페이지 이동 등등)를 모니터링 함으로써 개인정보를 획득 할 수 있다.

<BHO 영역의 악성코드 개요>

현재 발견되는 개인정보 탈취용 악성코드의 다수는 IE BHO (Browser Helper Object) 영역에서 개인정보를 가로채는 유형으로 키보드 보안솔루션으로 암호화된 데이터를 최종 단계까지 ( Server 영역) 받지 않으면 해결이 되지 않는 문제라 할 수 있다. 인증서와 결부한 암호화 전달 방안도 대안이 될 수는 있을 것이다.

20079월에만 발견된 악성코드의 수는 500여 개 이상이며 이중 20% 이상이 BHO 영역에서 개인정보를 탈취하는 유형이라 할 수 있다.

( Ref:  http://www.krcert.or.kr/statReportNewList.do  2007 9월 통계 분석월보 참고)

 

물론 발견된 수치는 신고 또는 모니터링에 의해 확인이 된 수치만을 언급한다. 올해에만 2000여 개 이상의 브라우저 영역에서의 정보 획득을 위한 악성코드가 발견이 되었으나 근본적인 대책 마련은 어려움이 따른다. 보안패치로는 악성코드의 감염 및 설치 단계를 예방 할 수 있으나 Zeroday 공격유형에는 ( 07.3월의 ani cursor vulnerability) 대안이 없으며 백신은 알려진 악성코드가 아니면 처리가 될 수가 없다. 더불어 최근에는 악성코드 제작자들도 기본적인 백신들에 대해 탐지 여부를 확인하고 탐지가 어렵도록 제작하는 것이 일반적인 추세여서 어려움이 존재한다.

 

이런 유형의 개인정보 탈취 악성코드의 출현은 2005년부터 볼 수 있는데 2년이나 지난 지금까지 어떤 해결책들이 제시 되었는지 살펴볼 필요가 있다.  존의 바이러스들은 사용자의 PC에 영향을 미쳤으나 개인정보 탈취 유형의 악성코드는 온라인 상의 활동에 영향을 미친다.  사용자의 PC에 영향을 미치는 것은 이후에 처리를 하면 복구가 되지만 어디 온라인 상의 활동도 복구가 되는가?  계정 정보는 다 유출되고 난 이후에 악성코드들이 분석되어 업데이트 된들 어디에다 쓸 수가 있을 것인가 의문스럽다. 악성코드는 날마다 갱신되어 나오고 심지어 시간대 별로 다른 유형의 동일 악성코드가 출현 하고 있는 상황에서는 어려움은 가중이 되고 정보가 업데이트 된다고 한들 자사 제품에만 갱신이 되고 있다.

 

DDos 관련된 공격 유형에 대한 분석은 언론 기사에 나온 정보 및 주변 정보를 종합해 보면 다음과 같이 도식화 하는 것이 가능하다.

<DDos 공격 유형의 분석>

위의 이미지에서 보듯이 중간 경유지 및 개인 PC에 대한 권한을 제어 하는 부분까지 추가된 것을 제외하고는 악성코드 유포를 통한 개인정보 획득과 비슷한 유형으로 정리가 된다.  개인 PC를 좀비 PC로 만들기 위해 기존에는 윈도우 관련된 취약성을 이용하여 Bot을 설치하는 유형으로 이루어 졌으나 DDos 경우에는 웹을 통한 악성코드 전파가 동시에 사용이 된 것으로 파악이 된다. 전 세계적으로도 주목해야만 될 변화이다.   또한 국내적으로는 음성적인 IT 서비스 부분에 대한 공격은 어느 정도 좌시 될 수 있었으나 이젠 표면적으로 드러난 움직임을 보였다는 점에 있어 강력한 대응정책 적용이 필수적인 사안이다. 아마 공격한 자들도 이 정도의 효과를 볼 것이라고는 ( 대규모 복수 사이트의 3주 이상의 무력화) 생각지도 못했을 것이기에 또 다른 유형으로 사고를 전환하여 기관망에 대한 공격도 발생 할 수 있을 것이다. 고도화된 IT 서비스망은 항상 위험에 노출 될 수 밖에 없다. 그리고 대응방법도 새로운 방식의 대응 방안들이 항상 고민 되어야만 하는 부분이다. 지금의 우리 현실은 어떠한지 되돌아 볼 필요가 있으며 정리가 필요한 부분이다. 향후 DDos와 연계 되어서 나올 부분으로는 중국으로부터의 공격에 근래에 자주 사용되었던 ARP Spoofing도 향후 자주 사용이 될 것으로 보인다. 만약 아이템 거래 사이트들 전체를 마비 시키고 부분적인 Gateway DNS에 대해 ARP spoofing을 시도하여 아이템 거래 사이트를 위장한 임의의 사이트를 제작하였다면 그 피해는 얼마나 될까?  악성코드의 확산을 위해 Arp spoofing 기법을 사용하였으나 이제는 대규모로 spoofing 시도가 가능할 수도 있을 것이다.

( ARP Spoofing에 대한 공격은 krcert의 자료를 참고하면 이해가 높다.

http://www.krcert.or.kr/unimDocsDownload.do?fileName1=IN2007003.pdf&docNo=IN2007003&docKind=3 )

 

현재 가장 이슈가 되고 있고 향후에도 영향성을 미칠 두 가지 Fact에 대해 지금까지 Security분야에서는 어떠한 대응을 하였을까?

 

먼저 개인정보 탈취형 악성코드 부분.

BHO 영역을 공격하는 악성코드 부분은 신고된 악성코드에 대해서만 제한적인 업데이트만 이루어졌으며 공격코드의 발전을 따라 가지 못했다. Security라는 측면은 근본 원인제거가 가장 중요하나 BHO 영역에서 후킹을 통해 정보를 가로채는 유형에 대해서는 근본적인 대책자체가 불가능한 상황이다. IE의 구조 자체를 변경 하기 이전에는 계속되는 위험에 노출 될 수 밖에 없으며 대책을 진행 하는 부분도 인증체계 자체를 변경하지 않는 한 위험은 계속 될 수 밖에 없다.

 

신규 악성코드를 만드는데 공격자는 매우 짧은 시간에 생성을 하고 대응하는 측면에서는 시간적인 여유가 있어야만 대응이 가능하다. 즉 온라인 상에서 정보 노출이 이루어 지고 난 뒤에야 해결이 가능하다는 측면이다. 인식의 전환이 절대적으로 필요한 부분이다. 파일에 대한 복구나 시스템에 대한 복구의 측면이 아닌 정보의 절취를 막기 위한 부분이라는 관점에서 접근을 하여야만 한다. 이 측면에 대한 대책 부분은 다음 Article에서 제시 하도록 한다.

기존의 보호라는 측면이 시스템에 대한 보호가 아닌 온라인 상의 정보보호라는 측면에서 지금까지의 대응 속도가 매우 늦고 효과가 매우 제한적 이였으며 그로 인해 피해는 계속 되고 있는 것이다.  Security라는 산업 자체가 존속하기 위해서는 산업의 요구를 미리 선점하고 이해하여 그에 필요한 요구를 제시 할 수 있어야만 한다. 과연 이러한 유형의 악성코드가 출현한 이후 역할이 적당하였는지 심각하게 고민할 필요가 있다.

 

더불어 악성코드의 유포와 관련된 웹서비스의 취약성에 대해서도 근본적인 대책 수립이 부족한 부분이 존재한다. 원인제거의 역할로 SDLC (Secure Development Life Cycle)를 강조하나 변화가 빠른 웹 Application의 개발현황에 적용 하기에는 매우 더디고 느린 흐름이라 할 수 있다. 강조되어야 하는 부분은 맞으나 장기적인 로드맵을 가지고 움직여야 하며 단기적인 효과는 매우 부족한 부분이라 할 수 있다.

 

과도한 트래픽을 전송하는 DDos 의 경우 현재의 네트워크 장비와 산발적인 노력으로는 한계에 부딪혔으며 모든 문제가 연결되어 발생이 되고 있다. 네트웍적인 현상만으로 대책을 수립하기에는 한계에 도달 하였으며 근본 원인제거 및 일시적이고 체계적인 대응으로 문제의 원인과 악성코드들의 제거만이 해결책이 될 수 있다. Hybrid DDos의 경우 정상 트래픽 위장도 매우 손쉬우며 정형적인 패턴을 찾기가 어려울 수가 있어서 네트워크 장비 단위에서는 처리가 매우 어려울 것으로 보인다. 비정상 패턴을 탐지 하는 것 조차 어려움에 도달 한 상황이라 할 수 있다.

 

 즉 개별 보안 산업의 노력으로는 한계에 도달 하였다고 볼 수 있다. 원인제거 + 초기 감염 탐지 + 대응 + 트래픽 이상 유무 판단  등과 같은 Action들이 동시적이고 대규모로 이루어 지지 않으면 지금의 상황은  대응이 불가능한 상황이다.

 

 

창의적인 노력이나 고민은 어디에 있었을까? 현상을 지배할 만한 창의적인 노력은 어디에 있었을까?. 당장 내일의 매출을 고민하는 것도 중요하지만 연구와 치열한 고민이 부족하였다. 인력 부족은 늘 상 언급 되는 것이지만 상반되는 각고의 노력이 없는 일상적인 불만이나 고민은 사소하게 치부될 따름이다. Security라는 측면에서 IT서비스를 보호하기 위해 얼마나 많은 노력을 하였는지 냉철하게 되짚어 볼 필요성이 있다.

 

SQL Injection이나 XSS 취약성을 막기 위해 Web 보안 장비를 도입을 한다. 그러나 여러가지 방안에 의해 우회가 계속 되고 있고 새로운 유형의 문제들이 계속 발생이 된다. 지금의 Wild network 현장은 2000년 이전의 정형화된 패턴의 문제들이 존재하는 환경이 아니다. 지금의 환경은 다양한 웹 솔루션의 개발과 환경의 발전으로 다양한 매개체와 환경을 종합하고 분화하며 또 새로운 부분을 만들어 낸다. 즉 문제도 매우 빠르게 진화하는데 고정적인 패턴만으로는 금새 한계에 부딪힌다.

 

개인정보의 유출을 막기 위해서는 노출되는 요소를 줄이는 것도 중요하지만 기술적인 부분에서 큰 방향성을 잡고 세부기술로 적용하는 것이 필요하다. 현상만을 바라 보는 것은 기둥도 없는데 큰 비를 막고자 지붕만 올린 상황이다. 기둥이 중요하다. 지금 국내의 정책 현실은 어떠한지도 되돌아 볼 필요가 있다. 비가 가랑비라면 다행이나 가랑비가 아닌 폭우가 내리는데도 기둥 없는 지붕만 수선을 하고 있지는 않은지 느껴야만 될 것이다.

 

 

정보와 지식을 공유하고 또 하나의 실제와 연계된 생활이 이루어 지고 있는 현재의 IT 서비스는 개인정보 유출을 위한 악성코드와 IT 서비스를 직접 위협하는 DDos 공격 유형으로 인해 압박을 받는 형국에 처해 있다.  이제 살릴 수 있고 보호 될 수 있는 큰 그림은 무엇이 있을지 짚어 보도록 하자.. 계속.

 

 

 

Posted by 바다란

안녕하세요. 바다란입니다.

 

전체적인 이슈 사항이 의미있고 중차대한 부분을 지니고 있어서 올리게 되는 글입니다.

개인적인 의견이므로 개인적인 의견으로 참고하시고 의견 주시면 되겠습니다.

 

IT 서비스 보호를 위한 개인 제안 -1

                                                                  Write by p4ssion.

지금의 IT 서비스는 사회 전반에 걸쳐 많은 영향력을 끼치고 있으며 생활상에 있어 지대한 영향을 미치고 있다. 모든 공공서비스 및 생활 관련된 부분에 영향을 미치고 있으며 또한 시너지 효과를 냄으로 인해 사회의 발전과 프로세스의 개선, 국가의 발전에 큰 기여를 하고 있다고 볼 수 있다. 유형/ 무형의 IT 서비스 부분에서 지금까지 가장 크게 강조된 부분은 유형의 물리적인 장비 부분이 두각 되었으나 지금도 모습을 갖추고 있는 서비스로서의 발전 부분은 향후 더욱 큰 역할을 할 것이 자명하다.

 

IT 서비스의 보호라는 관점이 왜 지금 시점에 중요한 것일까? 국내의 서비스는 시간이 지날수록 IT 서비스와 밀접한 관련을 가지게 되고 사회적으로도 더 큰 영향력을 미칠 수 밖에 없다. 단순하게 공격을 받거나 영향을 받는다는 점은 하나의 개별 서비스가 문제가 되는 것이 아니라 연관된 다른 부분들까지도 영향을 받는다는 것과 동일선상에서 볼 수가 있다.  지금까지는 보안전문 업체 및 네트워크 장비, ISP 등에서 많은 취약요소와 문제점들을 커버 하였으나 지금 서비스 보호를 위한 제안을 하는 시점에서는 한계치에 도달 했다고 판단된다. 한계치라는 것은 개별 서비스 단위에서 보호를 할 수 있는 시점이 아니라는 점이다.

 

국내의 110만여 개 이상의 웹 서비스가 활성화 되어 있고 전국민의 2/3 가량이 인터넷에 노출이 되어 있는 상황에서 시급하게 해결을 해야만 하는 문제들이 돌출 되고 있으며 초기 단계에서 해결 방안을 수립 하지 못할 경우 향후에는 더 큰 피해를 감당해야만 할 것이고 그때에는 지금 보다는 더욱 큰 충격이 있을 것으로 예상이 된다.

 

개인적인 입장에서 현재 발생 되고 있는 Security 관련 이슈들은 중대한 국면에 진입 하였으며 IT 서비스 전체에 영향을 미칠 수 있는 사안으로 볼 수가 있다. 많은 부분을 논하기 보다는 Security라는 측면에서의 위험도와 영향력을 살펴 보도록 한다.

 

크게 DDos 관점과 악성코드의 관점 두 가지 측면에서 살펴 보면 전체의 위험성이 간결하게 드러날 것이다.

 

http://www.hankyung.com/news/app/newsview.php?aid=2007062556301

올해 상반기에 있었던 에스토니아의 시스템 중단과 관련된 연관 기사이다. 에스토니아의 경우 기사에서 설명하듯이 전국민의 절반 이상이 IT 서비스를 이용한 생활을 하고 있었으나 3주간에 걸친 DDos 공격으로 인해 이동통신망 및 은행 , 공공 서비스 등이 전면 중단되었음을 확인 할 수 있다.

 

l       DDos에 대한 사전적인 정의는 여기를 참고하자.

http://terms.naver.com/item.nhn?dirId=700&docId=3305

 

일반적으로 DDos란 대량의 접속 요구를 시스템에 집중 시켜 정상적인 처리를 하지 못하도록 하는데 있다. 다만 2000년 초에 있었던 DDos 유형과 지금의 DDos 유형과의 차이점은 보다 더 교활해 졌다는 점에 차이가 있으나 근본 유형은 동일하다 할 수 있다. 변화된 유형에 대해서는 포괄적인 방식과 유형에 대해서만 간략화 하도록 한다.

일반적인 사용자들이 알고 있는 유형의 서비스 거부 공격은 DoS 공격이며 하나 혹은 소수의 시스템에서 과다 접속을 일으키는 유형이다. 해당 유형은 대부분 네트워크 장비나 보안 장비에 의해서 걸러지며 전체 시스템에 영향을 미치는 비율은 매우 미미하다. 그러나 현재에 발생되고 있는 유형은 대규모 시스템을 동반하는 DDos가 일반적인 유형이다.

 

최근 가장 이슈가 되고 있는 아이템 거래 업체에 대한 DDos 유형은 특이할 만한 사항이 존재한다. 이 특이 사항으로 인해 본 제안을 작성하게 되었다.

 

http://www.inews24.com/php/news_view.php?g_serial=289309&g_menu=020500

http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1000325793

 

아이템 거래 업체에 대한 DDos 공격으로 인해 추석 이전부터 3주 가까이 모든 아이템 거래 업체의 서비스가 중지 되었으며 일부 업체는 ISP와의 계약 해지가 되기도 하였다. ISP의 계약해지는 전체 ISP내의 가입자를 보호하기 위한 조치이나 서비스 산업을 붕괴시킬 수도 있는 단초를 제공하고 있다.

 

이번 DDos 공격의 특징은 다음과 같다.

 

l       대량의 국내 DDos Agent 운용

l       국내의 개인 PC DDos Agent 유포를 위해 웹 해킹을 사용함

l       컨트롤 서버를 찾기 어렵도록 다단계 형태의 컨트롤을 사용함

n         상위 명령 서버 -> 여러 단계 , 수십 대의 중간 컨트롤 서버 -> 최종 Agent

l        트래픽 랭킹 100위 이내의 업체에 대한 과감한 공격

l       실시간 공격 유형의 변화 UDP, TCP , ICMP

 

일반적인 기사로 보면 중국에서 해당 트래픽이 유입된 것으로 오해하기가 쉽다. 그러나 현재 발생하고 있는 DDos 공격은 국내에서 대부분 발생이 되고 있다. 다만 해외에서 컨트롤을 하고 있는 유형이며 국내의 취약한 서비스들을 통해 다수의 불특정 사용자에게 악성코드를 유포하고 있으며 기존의 사용자 정보의 탈취에서 벗어나 시스템에 대한 완벽한 제어 , 실시간 통제, DDos 공격 기능 과 같은 종합적인 기능이 포함된 악성코드를 통해 IT 서비스 전체를 위협하고 있음을 알 수 있다.

이번 2007 9월부터 시작된 DDos 공격 유형은 이미 지난해부터 금전을 요구하는 DDos 해킹이 일반적으로 있었으나 이번에는 공개적으로 드러내 놓고 진행 했다는 점이 차이가 있다. 그만큼 운용 도구의 폭과 공격의 유형을 다양화 해 놓았을 것으로 판단된다.  이번 공격에서 유추된 기존의 DDos와의 차이점은 다음과 같다.

 

l       실시간 통제

n         기존의 IRC Bot과도 유사하다고 볼 수 있다. Virut 바이러스도 특정 사이트에 대한 DDos 공격 유형을 가지고 있었으나 고정된 주소와 고정된 공격 유형을 가지고 있었다는 점이 다르다. 즉 실시간 통제가 된다는 이야기는 공격 대상의 변경과 공격 방법의 변경이 실시간으로 가능하다는 점이며 이 실시간 통제로 인해 기존의 DDos 대응 방법으로는 대응에 어려움이 존재하였을 것이다. 그래서 트래픽 규모로 상당한 수준에 있는 사이트 임에도 불구하고 속수무책 이였을 것으로 예상된다. 공격하는 Agent를 실시간으로 다양한 트래픽의 공격을 수행하는 것이 가능. TCP , UDP , ICMP 각각에 대해 공격 유형이 있을 수 있으며 고정된 패턴을 가지지 않다 보니 차단과 식별에 어려움이 존재 하였을 것이다. 또한 공격 IP를 위조함으로써 차단 및 식별에 혼선을 많이 주었을 것이다.

n         명령 서버와 Control 서버의 분리 및 다수의 중간 명령 서버 활용 하여 공격이 사이트 차단으로 인해 중단 되는 점을 예상하고 대응 방안을 수립하였다. 정확하게 이번 이슈와 관련하여 중간 전달 서버가 몇대가 존재하는 지는 정확한 파악이 어려울 것으로 보인다. 또 컨트롤이 직접 가능하다는 점에 있어서 수시 변경이 가능한 부분이다.

 

l       Web을 통한 DDos 공격 모듈의 유포

n         보다 진보된 공격 유형의 하나로 볼 수 있다. 이전까지의 웹을 통한 악성코드 유포는 사용자 정보 획득을 위한 동향으로 확인을 할 수 있는데 이제는 Web을 통한 악성코드 유포가 DDos 기능 및 원격 컨트롤 기능까지도 보유함을 볼 수 있다. 지금까지의 대응 방식으로는 한계를 보일 수 밖에 없으며 신규 유형의 악성코드일 경우 ( 기존 AV 업체들이 발견된 샘플에 대해서만 대응을 한다고 보았을 때 사용자의 시스템에 특별한 영향을 주지 않거나 인지가 어려운 악성코드의 경우 발견 및 탐지, 대응이 매우 어려울 것으로 예상된다.) 폭 넓은 전파 범위를 지님으로 인해 빠른 시간에 최대의 효과를 거둘 수 있는 공격유형으로 정의가 가능하다.

l       트래픽 랭킹 상위 업체에 대한 노골적인 공격

n         그동안 DDos 공격이 이루어진 업체는 드러내 놓고 사업을 하기 어려운 부분의 서비스 업체이거나 영세 업체가 주를 이루었으나 아이템 거래 업체에 대한 공격은 트래픽 상위랭킹에 포진한 업체를 대상으로 과감하게 이루어졌고 3주 이상을 정상 서비스를 불가한 상태로 몰아 넣은 것으로 볼 때 향후에는 ( 머지 않아..) 그 이상의 상위 랭킹 서비스 업체에도 영향 및 파급효과가 있을 것이다. 더욱이 더 이상 노출 되는 것을 두려워 하지 않는 대담한 공격은 지금까지의 작은 업체들에 대한 공격을 통해 대응이 어려움을 인지한 것도 영향이 있을 것이다. 지금까지 DDos 측면에 대한 대응 측면에서 트래픽의 과다한 유입을 해소하는 측면에만 방향성을 맞추었는데 더 이상 물리적으로 해결이 어려운 상태에 도달 하였고 이 점은 국지적인 대응이 아닌 전체 서비스 차원의 일원화된 대응이 필요함을 상기 시킨다. ( 이 부분에 대한 내용은 마지막 Article에서 단계별로 나누어 설명을 하도록 한다.)

 

앞서 언급한 세 가지의 특징으로 미루어 보아 Attack Trend를 갱신 해야 할 필요성을 느꼈으며 갱신된 결과는 다음과 같다.

그동안 알려진 일반적인 공격 유형에서 Hybrid DDos Attack이 추가 되었으며 Hybrid라는 의미에는 프로토콜의 자유자재 변경만이 있지는 않다. 명령 서버와 컨트롤 서버를 이용한 구조 및 실시간 통제가 가능한 점에서 기존의 획일화된 공격 Agent와 다른 유형을 포함한다. 또한 유포 방법에 있어서도 웹을 통한 악성코드 유포가 사용이 되어 보다 더 폭넓고 불특정 다수에 대한 공격코드의 설치가 가능해진 점도 Hybrid라는 의미에 포함 될 수 있다.

공격 기법적인 측면에서는 다음과 같이 볼 수 있다.

 

붉은색으로 표시된 부분을 보면 자동화된 툴을 사용함으로 인해 공격자들의 수준이 낮아졌으나 현재는 우회 혹은 컨트롤 하는 기법들이 복합화 됨에 따라 지식수준도 상향 되고 있는 것으로 보인다. 웹을 통한 악성코드 유포에 DDos 기능까지 첨가된 악성코드가 웹을 통해 유포됨으로 인해 현재의 서비스 환경은 아는 자들에게는 재앙과 같은 현실이고 그렇지 않은 자들에게는 답답한 현실이다.

...계속.

Posted by 바다란

바다란입니다.

 

* 작은 방향을 가르키는 전략은 변화무쌍하게 구사하고 있으나 큰 미래와 방향성을 결정하는 Strategy 측면에서는 모두가 보는 부분이 부족하지 않나 생각 됩니다.

 

지난달 말 부터 IT서비스에 대한 위험과 대응에 대한 글들을 작성 하였습니다.

한번에 집중하여 작성을 못한 관계로 글이 길어졌습니다. 따라서 현안들에 대한 요약이 필요할 것 같습니다.

 

상세한 내용은 첨부한 파일을 참고 하시기 바랍니다.

 

현재의 위험 상황

 

-> 웹을 통한 악성코드 유포 및 DDos 공격 , 개인 PC에 대한 완벽 제어

   http://www.etnews.co.kr/news/detail.html?id=200711070178

-> 안전하지 못한 웹 서비스를 통한 악성코드 유포의 일반화

 

-> IT서비스 환경 근간을 위협하는 트래픽 공격

 

-> 백신 및 보안 서비스의 전역적인 대응 효과 미비

 

-> 인터넷 환경의 급격한 개선에 따라 향후 위험성은 전 세계 서비스로 확대 될 것임

    현재는 가장 빠르고 구조적인 인프라를 보유한 국내를 대상으로 지속적인 해킹 시도

 

-> 국내 개인 PC 인프라 장악 이후 공격에 이용 : 탐지 및 차단의 어려움

 

 

향후를 위한 대응

 * 방향성: 단기간의 공격에는 당할 수 밖에 없으나 그 이상은 당하지 않으며 공격도구의 분석을 통한 전역적인 대응으로 도구의 상실을 기획 하여야 함

 

-> 전역적인 대응 체제 구성의 절대적 필요성

   사용자 개개인에게 보안패치와 백신의 설치 권고만으로는 해결이 불가능함

 

-> ISP 와 분석기관 , 대응 기관의 절대적 협업 필요

    정보획득 -> 분석 -> 대응의 일원화된 프로세스 필요

 

-> 개인 PC 환경의 획기적인 보안성 강화 필요

    트래픽 이상유무 감지 혹은 과다 증가 검출 루틴 필요

    전국적인 대응 체제가 가능한 협의체 ( AV 업체의 연합) 또는 무료백신의 필요성

 

-> Secure한 웹서비스를 위한 Validation check 서비스의 일반화

   국내 웹 App의 80% 이상이 URL 인자 단위의 문제를 포함하고 있음

  ( XSS , SQL Injection 등) 따라서 악성코드 유  포지로서 이용되지 않도록 IT서비스 차원의 특화된 대응 필요

  단기: Validation check 서비스 활성화를 통한 일정규모 이상의 서비스 검수

  장기: Secure programming 의 일반화를 위한 Awareness 확대 - 서적 , 교육 등등

 

이상과 같이 정리가 됩니다.

대응체제 정립이 안될 경우 이제 더 큰 위험들에 IT서비스 부분이 직접 노출이 될 것으로 예상 됩니다.

이 위협은 전 세계의 모든 서비스가 해당이 될 것입니다.

 

* 첨부한 파일을 끝까지 읽을 수 있는 무한한 인내심을 지니신 분에게 경의를 표합니다. ^^;

 

감사합니다.

Posted by 바다란

 

http://blog.naver.com/p4ssion/50024269739  -> 여기의 첨부파일에 전체적인 내용들이 들어 있습니다.

 

2007년 11월에 본 블로그에 게시한 내용입니다. 현재 발생된 DDos 관련된 이슈도 동일선상에서 볼 수가 있습니다.

좀 더 상세한 내용들은 별도 컬럼으로 게재합니다.  지난 2년 가까운 시간동안 얼마나 아래 지적한 개선 방안들이 진행 되었는지 뼈저린 반성이 필요할 것입니다. DDos 관련된 내용 발췌 및 확인 된 내용, 추정, 그리고 예상들을 바탕으로 개인적인 컬럼을 곧 게재 하겠습니다.

 

첨부파일을 다운 받아서 보기 어려운 분들은 게시물 링크를 활용 하시면 순차적으로 볼 수 있습니다.

위험성이 높은 수준에 도달 하였음은 이미 일전에 파악된 내용입니다.

 

http://blog.naver.com/p4ssion/50023711687   (1) IT서비스의 현재 위험과 Security

http://blog.naver.com/p4ssion/50023916686   (2) IT 서비스 보호를 위한 제안- 위험요소들

http://blog.naver.com/p4ssion/50024118288   (3) IT서비스 보호를 위한 제안 , 최종

 

그럼.

 

향후를 위한 대응

 * 방향성: 단기간의 공격에는 당할 수 밖에 없으나 그 이상은 당하지 않으며 공격도구의 분석을 통한 전역적인 대응으로 도구의 상실을 기획 하여야 함

 

-> 전역적인 대응 체제 구성의 절대적 필요성

   사용자 개개인에게 보안패치와 백신의 설치 권고만으로는 해결이 불가능함

 

-> ISP 와 분석기관 , 대응 기관의 절대적 협업 필요

    정보획득 -> 분석 -> 대응의 일원화된 프로세스 필요

 

-> 개인 PC 환경의 획기적인 보안성 강화 필요

    트래픽 이상유무 감지 혹은 과다 증가 검출 루틴 필요

    전국적인 대응 체제가 가능한 협의체 ( AV 업체의 연합) 또는 무료백신의 필요성

 

-> Secure한 웹서비스를 위한 Validation check 서비스의 일반화

   국내 웹 App 80% 이상이 URL 인자 단위의 문제를 포함하고 있음

  ( XSS , SQL Injection ) 따라서 악성코드 유  포지로서 이용되지 않도록 IT서비스 차원의 특화된 대응 필요

  단기: Validation check 서비스 활성화를 통한 일정규모 이상의 서비스 검수

  장기: Secure programming 의 일반화를 위한 Awareness 확대 - 서적 , 교육 등등

 

이상과 같이 정리가 됩니다.

대응체제 정립이 안될 경우 이제 더 큰 위험들에 IT서비스 부분이 직접 노출이 될 것으로 예상 됩니다.

이 위협은 전 세계의 모든 서비스가 해당이 될 것입니다.

 

Posted by 바다란

뭐 하루 이틀 된 이야기도 아닙니다.

이미 5~6년 전 부터 징후가 있었고 그 이후 타임워프 하듯이 대규모로 공격 인력이 늘고 기법도 고도화 되어 왔습니다.

 

이젠 대규모적인 대응 없이는 불가능하다고 볼 수 있습니다.

단편적인 대응과 사법기관 공조 만으로는 빙산의 일각도 제거하기 어렵습니다.

 

체계적이고 근원적인 부분에 대해서 장기적인 처방이 필요한데.. 여유와 인내심을 가지고 정책을 진행하고 방향성을 제시 할 수 있을런지가 가장 중요한 부분입니다. 대책 부분에 대해서는 하두 여러번 언급 했었지만 시행에는 상당 시일이 걸리고 시간이 지난 지금에서도 유효한 대응은 적어 보입니다.

 

앞으로 어떻게 될런지..

http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=105&oid=029&aid=0001974017

 

종합적인 대책과 향후 진행 해야 될 부분들에 대해서는 2007년에 언급한 대책과 문제 상황 부분이 있습니다. 정말 힘들고 위급한 상황이 닥쳐 올 것이라고 예상을 하고 좀 길게 설명을 했었는데 이제라도 일부분에 대해서 적극적인 시행이 되어야만 할 것입니다. 그렇지 않다면 문제는 더욱 더 심각도를 높여서 일어날 것으로 보입니다.

 

보안적인 문제를 해결 하지 않았을때 발생 되는 피해와 비용은 상상하기 어려울 정도이며 지금도 마찬가지 입니다. 초기에 대규모 노력이 들어가는 것으로 보이지만 이것이 가장 적은 비용을 들이고 문제를 해결 하는 길입니다.

 

다시 한번 문제 해결을 위한 방안들이 다각도로 ( 문제의 근원을 제대로 인식하고 ) 진행이 되었으면 합니다.

 

http://blog.naver.com/p4ssion/50024269739  <- 첨부파일을 참고하세요.

 

2007년에 작성한 글이나 노력이 진행 되지 않는한 향후 3~4년 이상 유효한 글이 될 것입니다.

 

Posted by 바다란

안녕하세요. 바다란입니다.

 

한동안 정말 뜸했습니다. 여러 이슈들이 발생 하여서 관련된 해결책을 모색 해야 되지 않을까 판단하여 제안을 쓰도록 하겠습니다.

제목은 거창합니다만 실상 누구나 생각하면 알 수 있을 정도의 수준이 될 것 같습니다. 블로그에 게시하는 글은 개인의 의견이니 이점 참고해 주시면 될 것 같습니다.

 

이 내용은 지금 생각으로는 3~4개 정도의 Article로 나올 수 있을 것 같으며 목차의 대략적인 모습은 다음과 같습니다.

 

1. IT 서비스의 위험 현황과 실제

 얼마나 많은 위험속에 노출이 되어 있고 또 실제적인 위협이 되고 있는 지금의 상황에 대해서 몇 가지 예를 들어 설명 하도록 하겠습니다.

 

2. IT 서비스 보호를 위한 현재의 노력

 과연 지금 전체적인 보호 관점에서 진행 하고 있는 노력이 유효성이 있는지 여부를 정리합니다. 이 부분에서 보안 산업에 대한 개인 의견들이 나올 것 같습니다.

 

3. 향후를 위한 제안과 즉시 필요한 부분

 문제를 제기 하였으면 그에 따른 대안을 제시하는 것이 당연합니다.

 

위의 세 가지 정도의 Article을 예상하고 있습니다. 물론 그때 그때 생각에 따라 내용과 분량이 달라질 수 있습니다. 모든 것은 개인의 생각에 의해 나온 것임을 이해해 주시길 거듭 당부 드립니다.

 

아마 포함될 내용은 국외적인 현황과 국내의 위험한 현실에 대한 리얼한 설명이 들어갈 것이고 이런 위험요소들이 실제 IT서비스에도 큰 영향을 미치는 단계에 까지 이르렀다는 점을 언급 할 것입니다. ( 아이템 거래 업체에 대한 DDos 건이 주요 이슈로 들어갈 것입니다.) 또한 뜨거운감자 일 수 있는데 보안을 전문으로 하는 입장에서 보안업체에 대한 지적을 하지 않을 수 없습니다.

지금까지의 위험에 대해 현재 진행 하고 있는 보안업체들의 노력이 어느 정도의 한계성을 가지고 있으며 실효성이 있는지 여부에 대해서 의견 개진을 할 것입니다.

 

결론적으로 IT 서비스에 대한 보호가 중대한 측면에 도달 하였으며 보호를 하기 위해서는 전역적인 대응이 필요함을 각 부분에 걸쳐 설명을 하도록 하겠습니다.

 

이런 예고글을 쓰는 의도는 제 자신과의 약속을 하고 싶기 때문입니다. 스스로에게 게으름을 피우지 말라는 경고 이기도 하구요.

 

항상 부족하고 배워야 할 것이 많지만 매 순간마다 할 수 있는 최선을 다한다면 언젠가는 극에 도달 하지 않을까 하는 작은 바램 있습니다. 바다란 매우 넓은 곳이고 가장 낮은 곳이기도 합니다. ^^;

 

감사합니다.

Posted by 바다란

DDos 악성코드에 대한 추론과 사실, 암울한 전망
                                                 - 바다란

 

 

 

악성코드에 대한 기술적인 분석들이 많이 발표 되고 있다.

정형화된 악성코드에 대한 분석들은 감염 방식과 행위 기반에 대해 제대로 설명하기 어렵다.

 

이번 DDos 공격에 사용된 Agent들의 유포방식과 사전인지가 어려웠던 점들에 대해서는 몇 가지 분석된 사실에 기반하여 추론이 필요한 상황이다. 현재 DDos 공격에 사용된 좀비PC들의 수치가 각 기관별로 상이함이 있는데 이중 상당수 최소 절반 가량은 허수임으로 인정 되어야 한다.

 

내부 공격코드에는 IP 주소를 위장하여 접속요청을 시도하는 ( IP Spoofing) 공격 유형이 존재하며 실제 IP를 이용한 공격( 또 다른 유형의 DDos 공격을 위해)  같이 이루어 졌다.

 

이 의미는 IP를 위조한 공격과 실제 감염된 PC IP 주소를 이용한 공격이 같이 이루어졌음을 의미한다.

최소 4~50% 가량의 공격로그는 IP가 위조된 공격이라고 볼 수 있다. 실제 공격 로그에서 최소한 절반 정도는 차감 되어야 하는 이유이다. 또한 악성코드의 코딩기법을 통해 전문성은 떨어진다는 의미들이 있으나 패킹을 하였을 경우에는 분석에는 어려움이 있을지라도 패킹 자체만으로 위험성을 찾아내는 도구들에게 탐지 되었을 가능성도 있다. 코드 내에서도 중요 부분에 대해서는 분석이 어렵도록 암호화 한 것을 확인 할 수 있다. 사전 설치 단계의 인지를 피하기 위한 용도 였을 것으로 추정된다.

 

 

여러 가지 정황들이 있으나 현재까지도 아무도 추정하지 못하는 것은 악성코드의 최초 유포에 대한 내용들이다.

행위적으로 살펴 보면 여러 가지 점들을 발견 할 수 있으나 실제적인 증거는 찾지 못하고 있다. 아마 앞으로도 찾기는 어려울 것으로 예상된다. 보다 많은 정보를 접할 수 있는 곳이라면 조금 더 다를 수 있겠지만... 공격코드 자체가 로그 및 관련 정보를 제거 하는 것을 기본으로 하고 있어서 향후에도 근본적인 문제의 원인을 찾기는 오래 걸릴 것으로 보인다.

 

침해사고 분석에 대한 여러 가지 방법들 중에 근원지를 찾지 못할 경우에는 경험적으로 추론을 할 수밖에 없는 상황이 존재하게 되고 해당 방식대로 여러 가지 상황들을 관찰 하게 되면 일정 수준의 결론을 도출 할 수 있다.

 

공격 대상의 추가와 공격방법에 대한 내용은 이미 밝혀진 바 있다. 그러나 문제가 되고 있는 부분은 공격 대상을 갱신하는 부분이 아닌 공격에 사용된 여러 악성코드들이 최초로 유포된 방식은 무엇이고 어떤 형태로 사용자에게 뿌려 졌는가 하는 점이다.

 

msiexecX.exe 파일을 이용한 uregvs.nls 생성과 공격의 방법에 대한 내용은 설치에 관련된 부분이 아닌 공격 방식을 변경하고 대상을 변경하기 위한 방식 이였을 뿐이다. 현재 나온 기술적인 분석들은 모두 시스템에 설치된 악성코드들간의 연관관계와 기능에 중점을 두고 있으나 가장 필요한 부분은 , 어떻게 이런 것들이 설치 될 수 있었는가에 대해서는 아직 알려진 바가 없다.

 

추론을 통해 유추하려면 현재까지 드러난 사실을 종합하는 것에서 시작한다. 일부 분석에 참가한 경우이므로 조금 더 상세한 내용이 나올 수 있다.

 

l  감염된 PC들은 대부분 일반 사용자의 PC이다. IDC내에 서비스 중인 시스템들에는 거의 감염사례가 없다.

l  주위의 감염된 PC들 간의 연관성은 인터넷사용자 라는 점 외에 찾을 수 있는 연관성이 많지 않다.

l  감염된 PC들의 샘플조사 결과 특정 시점의 주된 로그들은 삭제 혹은 변조된 상태.

l  감염된 PC들의 Botnet 존재 여부는 없는 것으로 1차분석, 최소한 연관성은 매우 희박함

l  자체적인 전파기능은 없다. 즉 주위로 확산되지 않았다. (웜이나 바이러스 형태가 아님) 스팸 메일로도 전파 되지는 않는다.

l  주기적인 통신을 통해 새로운 업데이트 내용이 있을 경우 업데이트가 진행 되었다. ( 공격대상 및 공격 패턴)

l  AV의 탐지를 피하기 위해 예정된 일시에 일시적인 공격을 수행 하였다. 만약 산발적인 공격이 감염즉시 시작되었다면 최초 발견은 매우 일찍 이었을 것이다.

l  해외의 여러 IP들에게 접속 시도를 하고 이후 Action이 일어 나도록 되어 있다.

l  IP 위조 공격 외에도 다양한 형태의 DDos 공격이 이루어졌다.

l  명령을 전달 받는 채널을 다수 유지 하였고 ( 최소 6), 명령을 확인하는 Agent를 두 개로 두었다. 하나는 DDos 공격 Agent 다른 하나는 스팸 발송 Agent

l  설치된 Agent들은 분석을 어렵게 하기 위해 Anti debugging 혹은 파일 헤더 정보를 날리는 행위들이 일부 확인.

l  Agent간의 유기적인 관계를 유지. ( 패킹을 피하고 최소한의 데이터 암호화만을 진행한 것은 교차적인 참조로 정보를 얻어야 하는 경우라 그랬을 수도 있다.)

l  갱신된 Agent중 공격대상 파일을 생성하는 Agent는 전체적으로 10여개 가량의 Number를 가지고 있는데 이 것은 Version up과 동일한 유형으로 추정된다. (MSiExecX 버전 ) 명령전달 방식을 유추 할 수 있다.

l  공격대상 파일은 원격지의 서버의 활성화 여부를 확인 한 후 갱신이 된 것으로 파악되며 대부분 동일한 구성에 공격대상만 특정 파일에 의해 변경 1,2,3차 공격은 동일한 공격 유형에 대상만 변경된 형태이다.

 

위와 같은 특징들이 일반적인 자료와 직접 조사 중에 관찰이 되었다. 시사하고 유추 할 수 있는 점들이 충분히 있는 상태라 할 수 있다. 근거 자료를 확보 할 수 없는 경우에는 증거에 의한 프로파일링이 아닌 결과와 행위를 기준으로 한 프로파일링으로 접근 할 수 밖에 없다.

 

특징에 의해 추론 되는 내용은 다음과 같다.

 

전체적인 유형은 불특정 다수에게 AV에도 탐지 되지 않는 공격에 기반되는 Agent들이 배포되어 설치가 된 상태에서 공격이 임박한 시점에 해외의 숙주 IP에 공격대상을 지정한 msiexecX 파일의 갱신 혹은 다운로드를 지시한다.

해당 파일이 실행 후 생성된 uregvs.nls 파일에 공격대상과 공격시간과  유형이 기록 되었을 것이다

 

시간 동기화가 된 이후에 특정 날짜에 도달 하게 되면 지정된 시간 동안 지정된 공격 형태로 계속적인 공격이 발생 하였을 것이다. 이때에 이르러서야 개인 PC 사용자들 중 이상 증세를 감지한 사용자에 의한 신고로 최초 샘플들이 신고가 되고 분석이 되게 된다. 이후의 사고 대응은 알려진 바와 같다.

 

그렇다면 공격이 종료된 이유는 숙주 IP들에 대한 빠른 분석으로 차단이 이루어져서 설치된 Agent update가 차단됨으로써 가능했다고 본다.

 

 연결되는 다양한 채널에 대해 (최소 2개의 Agent) 관찰 및 분석이 이루어 졌고 해외의 숙주 서버로 접근하는 IP가 분석이 되어 ISP단위에서 In/Out이 차단된 상태 이기에 이미 사전에 예정된 공격만이 유효했다는 점이다.

 

이제 상당히 많은 시스템에 설치된 (한국의 상황에 비추어 보면 그리 많은 시스템들도 아니라고 할 수 있다.) 공격을 위한 기반 악성코드들은 어떻게 사전에 미리 설치 될 수 있었을까? 하는 의문을 풀어야 한다.

 

 

최초의 악성코드는 악성코드가 아니다.

 

최초의 악성코드들은 짧은 순간에 상당수의 시스템에 설치되어 공격한 것이 아니다.

이미 상당기간 준비기간을 거쳤을 것이 분명하며 상당비율의 개인용 PC에는 무료백신들이 활성화 되어 있는 상태라 이미 정체가 드러난 형태의 악성코드들을 설치 하는 것은 불가능하다.

만약 악의적인 값들이나 패킹된 흔적, 사용자 PC의 이상증세가 있었다면 보다 이른 시기에 정체들은 드러났을 것이다.

 

현재 발견된 악성코드들은 주기적인 특정 IP들에 대한 접속을 통해 명령과 공격유형을 전달 받는 형식으로 최종적인 준비를 하였으며 실제 공격이 발생되어 PC상에 이상증세를 확인 하여 신고하지 않는 이상 정체를 알 수가 없었을 것이다.

 

Antivirus 제품 대부분이 알려진 유형의 악성코드에 대해서만 악성으로 진단하고 있으며 시스템에 위해한 행위를 할 경우에만 악성으로 판정을 한다.

현재의 악성코드들은 시스템에 대한 위해 행위를 발견하기에는 어려운 상황이며 네트워크 트래픽을 발생 시키는 유형의 공격들만 존재하고 실제 동작하기 전에는 확인이 어려운 상태이다.

 

즉 필자가 생각하는 유형은 다음과 같다.

 

최초엔 여러 가지 방법으로 사용자의 PC에 기본적인 공격 Agent와 명령을 받는 Agent들이 설치가 되고

이후에 공격명령을 전달 하는 해외의 복수의 IP에서 명령코드와 새로운 코드가 올려지게 되면 개인 PC에 설치된 Agent들은 공격코드를 다운로드 받고 추가적인 업데이트를 통해 새로운 유형으로 변경된다.  이 상황에서도 모든 AV 프로그램에서 악성으로 진단 되지는 않는다. 그 이유는 시스템에 피해를 미치는 것이 없거나 처음 발견되는 패턴이기 때문이다.

 

공격 명령은 공격 유형과 공격 대상을 지정하여 갱신되는 형태로 되어 있으며 지정된 일자에 지정된 유형의 공격을 대상을 향해 시작하게 된다. 이 과정에서 비 정상적인 행위들을 감지한 개인 사용자들은 AV 업체에 신고를 하게 되고 확대 조사를 통해 위험성을 확인한 AV 업체는 대응하게 된다이때에 이르러서야 주요 AV 업체들에 의해 악성코드 혹은 악성 행위를 하는 유형으로 분류가 되어 처리가 되기 시작 하였을 것이다.

 

이후에는 여러 언론기사나 보안업체의 설명대로이다.

 

 

최초 유포 방식은 무엇?

 

최초 유포 방식은 서두의 관찰 결과에서 언급 하였듯이 불특정 다수에게 설치가 되었으며 불특정 다수의 공통점과 범위의 한정은 매우 어려운 상태로 보인다. 따라서 인터넷 사용자를 대상으로 잡을 수 밖에 없다.

 

최근 몇 년간 사용자에게 사용자에게 악성코드를 유포한 가장 활발한 통로는 웹서비스였다. 웹서비스를 해킹한 이후 소스코드 변조를 통해 사용자가 웹 사이트에 접속 하였을 경우에 취약성을 공격하거나 파일을 설치 하는 형태로 악성코드들이 설치가 된다. 대부분의 사용자들은 이미 알려진 악성코드 유형의 경우 사용 중인 백신에 의해 악성코드 유포 사실을 아는 것 외엔 방법이 없다.

 

만약 악성코드로 탐지되는 유형이 아니라면 .. AV업체에 등록된 악성코드 패턴이 아니고 유사 의심사례로 추정이 가능한 그런 형태가 아니라면  감지 할 방법은 없다.

 

불특정 다수에게 감염을 시키고 또 주위로 확산 기능을 가지지 않은 악성코드들이 감염 될 수 있는 통로는 두 가지 외에는 존재하지 않는다. 이미 지난 주에 언급되었던 내용이다. 기존에 감염된 상태인 대규모 Bot net을 이용하거나 웹 서비스를 통한 악성코드 유포 외에는 불특정 다수에 대한 감염은 불가능하다.  대규모 Botnet이라면 일정부분 감염 PC에 흔적이라도 있어야 하나 몇 안 되는 PC들에서 그런 정보를 찾을 수는 없었다웹 사이트를 통한 기반코드들의 유포 및 설치라고 밖에 볼 수 없는 상황이다.

 

 만약 추가적인 정황에서 Botnet 연관으로 볼 수 있는 정황들이 발견 된다면 기존의 Botnet 채널과는 다른 방식인 Semi Active유형인 새로운 방식으로 보아야 한다. Botnet server에서 직접 연결을 통해 제어 하는 방식이 아니라 Agent에서 Server로 주기적인 연결을 하여 명령을 받는 형식으로 볼 수 있다. 그 동안의 Botnet에 대한 관점을 전환해야 하는 중대한 시사점이라 할 수 있다.

 

 

드러난 문제점과 향후 전망

 

 

현재의 상태에서 지적이 필요한 부분은 국가나 산업전체적인 문제점을 넘어 보안분야에도 넘어야 할 문제와 벽들이 드러난 상태다. 전체적인 문제와 대응 부분은 이전의 Article에서도 지적한 바가 있다. 보안분야에서 넘어야 되는 문제는 공격이 시작 되기 전에는 징후를 판별 할 수 없다는 문제점과 하루에도 수백여 개의 서비스 사이트들이 악성코드 유포를 위한 숙주 사이트로 활용된다는 명확한 사실 때문이다.

 

악성코드의 기능을 가지고 있지 않은 설치 유형에 대한 사전 판별은 어떻게 할 것이며 ( 실상 이번 공격에 실제로 주된 역할을 한 두 가지 정도의 악성코드를 악성이라고 판별할 기준은 없지 않을까? 그 자체만으로는 사용자의 PC에 영향을 주거나 위해한 행위를 하지 않는다. ) 현재 악성코드들의 정보를 일정부분 추론이 가능했던 부분들에 대해서 학습이 되어 보강한다면 다음은 어떻게 될 것인가?

 

유포하기 위한 통로들도 다수 살아 있고 ( 취약한 서비스들은 그만큼 많다. ) 공격 코드에 대한 판단 기준도 애매하다. 실제 공격이 발생 되기 전에는 악성코드라고 판단하기가 어렵다.

 

문제 부분은 다음과 같다.

 

 공격 방식의 변화 – agent에서 서버로 접속하여 업데이트를 확인/대기 하는 형태

 탐지 루틴의 우회 초기부터 악성코드로 탐지될 내용을 뿌리지는 않는다.

 유포 증거의 제거 초기 설치된 기반 코드들이 어떤 방식으로 설치 되었는지 정보가 없다.

 유포 통로의 다양화 취약한 서비스들의 존재

 

크게 위와 같은 문제들을 나열 할 수 있다. 각 항목에 대한 대책은 어렵다. 이 문제는 세계적인 문제이다. 어느 누구도 풀지 못한 숙제이고 그 도전에 한국의 IT서비스는 직면하고 있다. 그리고 지금 공격자들은 이런 문제들에 대해서 공개적으로 확인과 테스트 그리고 검증이 완료된 상태이다.

 

곧 변화되어 분석이 더 어려워진 형태의 공격은 발생 할 것이다. 코드상의 개선과 해외 숙주 사이트들의 확보, 국내에서의 Agent 확보를 위한 시간을 고려하면 공격자의 의지만 있다면 1개월 이내에 보다 업그레이드된 공격을 맞이 하게 될 것이다. 더불어 본래의 공격자 그룹이 아니라 의도를 지닌 프로젝트 그룹에 의해서도 충분한 활용이 될 상황이다. 검증된 방식의 활용은 기본적인 학습능력이기에 더욱 그렇다.

 

절체절명의 시간임을 인지하는 곳이 있을까?

2년 전에 느낀 두려움은 이제 널리 퍼져 간다. 이제는 시간이 많지 않다. 정말로

또 다시 다가 올 때에는 지금처럼 끝나지는 않을 것이다.

 

-      2009.7.13 바다란 세상 가장 낮은 곳의 또 다른 이름.

 

 

 * 이전 글에서 전체적인 관점에 대해서 언급 하였다. 지금까지 변화된 유형에 대해서는 언급하는 곳이 없어 가슴 한켠에 답답함이 가득했다. 그 답답함을 해소하기 위한 차원에서 올린 글이다. 다음편을 또 쓸 것인가에 대해서는 예정 된바 없다.

 

Posted by 바다란

우려 했던 상황이 현실화 되었다. 이미 그 단초는 제공이 되어 있었다. 필자가 2007년경에 언급한 IT서비스의 현재 위험과 대응이라는 (첨부문서 참고)글에서 언급 되었던 내용이 많은 준비가 이루어지지 않은 현재 그대로 적용 되었다. 몇 가지 작은 부분에 있어서의 두드러진 특징들이 있으나 큰 범주를 벗어나지 않는다. 본 컬럼에서는 간략한 특징과 유형을 간결하게 정리하고 문제의 원인으로 추정되는 부분과 향후의 대책 부분에 대해서 언급한다. 보다 기술적인 부분은 전문 보안업체의 기술 보고서를 참고 하기 바란다.

 

- zdnet 컬럼 기고입니다.

 

일단 기본적인 IT 서비스 문제점 유형을 개인적인 관점에서 보면 다음과 같으며

정리하면 위험의 큰 목차는 다음과 같다.

 

l    웹서비스를 통한 악성코드 유포

l    악성코드를 이용한 DDos 공격 ( IDC , ISP , 대규모 Service Provider 등 모든 부분 영향)

l    Zeroday 위험 ( 신규 백도어를 이용한 정보 절취 및 기간 서비스 위험)

l    Botnet ( IRC Botnet과는 차별화된 HTTP를 이용한 Malware net이 현재의 집중적인 위험도 포함됨)

l    웹서비스 자체의 취약성 ( 악성코드 유포의 근본 요인으로 지목한다.)

 

먼저 2007년에 작성한 위험상황과 달라진 것이 특별히 없다. 그러나 4번 항의 Malware net 부분은 이슈가 되고 있다.

 

현재의 상황에 대한 개인적인 의견은 대규모, 조직적, 계획적, 오랜 기간 ( 최소 1~2개월 이상) 준비된 이라는 표현으로 간략히 언급하고자 한다.

 

 

 

현재 발생된 DDos 건에 대해서만 정리하면..

 

1.   공격자의 정체 확인 불가

 

l  악성코드가 개인 PC에 설치된 이후 관련 기록들을 다 제거하고 날짜까지 변경함. 추적 방지를 위한 증거인멸

l  증거가 없는 관계로 근본적인 추적이 되지 않음

l  악성코드내의 중요루틴 암호화 및 일부 분석 방지 ( Anti debugging) 기능

 

2.   공격정보를 C&C로부터 Command를 받는 것이 아니며 일부 접근 시도하는 IP를 통해서 추가적인 명령들의 실행이 가능한 상태로 보이며 미리 업데이트된 공격정보 이용하여 특정대상 및 공격형태를 지정함. 또한 스팸공격 및 TCP (HTTP), UDP Flooding, ICMP Attack을 병행하여 진행

 

l  IP 변조 발생되고 있음. 공격자 IP 숨기는 공격도 병행 발생

l  HTTP 에 대한 집중적인 DDos ( 정상 연결 유형으로 웹서버의 자원을 요청하도록 하여 리소스를 빠른 시간에 소모)

l  하나의 프로토콜이 아닌 다양한 형태의 DDos 공격 수행 ( 스팸 발송 있음)

l  공격정보를 정해진 시간에 받거나 업데이트 하는 유형으로 추적을 피하는 것으로 추정

l  감염 이후 해외의 최소 6 ( DDos Agent 3 IP , Spam Agent 6 IP) IP에 접속하여 명령을 받는 것으로 추정됨 공격리스트의 업데이트 혹은 Command 수행

l  기존의 Control 서버의 통제를 받는 것이 아닌 개인PC에 설치된 이후 해외 IP 연결을 통해 이후 Action을 진행하는 것으로 보임

 

3.   대규모 좀비 PC를 활용함.

l  C&C 서버가 없이 일정시간에 업데이트 혹은 내정된 URL로 정해진 사이즈와 일정형태의 패킷을 발송

l  소규모가 아닌 대량의 감염 시스템을 활용한 형태

l  변종들이 계속 나타나고 갱신되고 있으나 기존 감염 PC에서는 추가 변종 증세가 나타나지 않음

l  업데이트 통로가 다른 경로로 존재하지 않거나 별도의 공격리스트를 가진 좀비 PC 그룹이 존재하지 않는다면 분석된 리스트의 일자에 공격은 종료 될 것임.

 

4.  대규모 Malware Net 동원에 대한 개인의견

 

현재 규모와 같은 대규모 좀비PC 동원을 위해서는 두 가지 정도의 가능성이 존재함.

 

n  기존에 존재하는 Botnet 채널들을 활용하였을 가능성 ( 알려지지 않은 Bot 계열일듯)

 

l  전제조건: 기존에 알려진 유형의 Bot 계열이 아님, 이 경우 공격대상의 빠른 변동과 업데이트 가능.

l  Botnet 채널들을 활용해 이번 DDos 공격에 필요한 악성코드만을 별개로 설치한 유형 의심 할 수 있음.

l  여기에서 언급하는 Botnet은 기존에 알려진 Botnet이 아닐 것임 별도의 설치 채널 이나 통신채널 유지 가능성.

l  대규모의 Botnet 채널에 악성코드 설치 이후 채널 제거 혹은 비활성화 가능성도 있을 듯. 정체 은폐 및 공격 유형과 시간은 사전에 업데이트 해 놓은 상태로 유지

 

n  방문자가 많은 사이트를 통한 악성코드의 유포 가능성 (해킹 후 코드 변조를 통해 유포 했을 가능성)

l  전제조건: 일정기간의 준비기간 소요, 각 단계별 공격 기능과 1,2,3차에 걸친 공격대상의 확정이 필요하거나 업데이트 기능 필수적임

l  이 문제는 대부분의 좀비 PC가 일반사용자 PC라는 점에서도 추론이 가능하다.

l  방문자가 많은 웹 서비스를 통해 Zeroday 취약성을 이용해 악성코드를 유포하였을 가능성 있음. 최근의 Direct X 관련 취약성 연관 가능성 있을 수 있으나 준비 기간이 오래된 것으로 미루어 연관성 적을 것으로 예상

l  일반적으로 악성코드 설치 이후 바로 동작하는 것이 아니라 정해진 시간에 활성화 됨으로써 오랜 준비기간 동안에도 노출이 되지 않았을 가능성 있음

l  지난 3~4년 동안 국내의 주요 웹 서비스를 통해 사용자에게 유포된 악성코드의 유형과 종류는 알려지지 않은 유형들도 상당수 존재할 것으로 보임.  모든 악성코드를 백신에서 걸러내지는 못했을 것임. 이중 상당수에 공격코드를 올려 놓고 D-Day를 지정하여 실행 하였을 것임.

l  주기적으로 해외 Control 기능의 IP에 접속하여 올려진 새로운 명령을 체크하고 자체적인 업데이트 등으로 D-Day를 준비 하였을 것임

 

 

 

현 상황에서 취할 수 있는 대책

 

1.    긴밀한 협조 관계 구성 ( 백신 업체, ISP , Control Tower )

 

l  악성코드 유형 발견 시 즉시적인 공유 및 분석, 이후 일괄적인 백신 업데이트 요청 ( 최대한 빠른 시간에 진행 되어야 함) . 이 경우 단계별로 감소 시킬 수 있을 것으로 보임.

l  ISP 와의 협조 관계, 악성코드 공격이 확인될 경우 자료수집 조사, 대응방안 협의

l  Control Tower A,B 단계에서의 긴밀한 협력과 DDos 대상 기관 및 업체에 대한 가이드 및 지원 , Best Practice의 빠른 확산 및 적용 가이드 제공 할 것. 그 외 국내 사용자가 많은 백신을 기준으로 1~10위 이내에 일괄적인 업데이트 진행 요청 할 것. 가급적 일괄 대응 체제 구성

l  정보획득 -> 분석 -> 대응의 일괄적인 대응 체제 구성 할 것.

 

2.    분석 진행 시 유의 사항. 현재로서는 진행경로와 감염경로를 밝히는 것이 최우선임. 이점에 대해 각 기관별 분석된 정보의 빠른 공유 필요함  - 종합적인 분석과 현황파악이 가능하도록 주관 기관이나 단체의 Owner ship 필요.

 

3.    베스트 대응 케이스에 대한 대응 시나리오의 전체적인 확산 필요 ( 금전 소요를 최소화 하는 방향으로, 무조건적인 장비 도입은 그리 바람 직하지 않음)

 

장단기적으로 구성 되어야 하는 부분

 

1.   전역적인 대응체제 구성의 절대적 필요성

 

l  백신사, ISP, Control 기관의 유기적인 협조

l  그동안 무작위로 개인 PC에 설치된 악성코드에 대한 통합적인 분석과 일괄적인 제거

l  악성코드 유포를 위해 가장 많이 이용된 웹 서비스 취약성에 대한 대응

 

2.   개인 PC 환경에 대한 획기적인 보안성 강화 필요.

l  중앙통제 유형 보다는 개인 사용자 별로 확인이 가능한 체제 혹은 ISP 단에서 체크가 가능한 형태로 구성이 되어야 함.

l  과다 트래픽, 특정 대상을 향해 집중되는 트래픽 유형등을 위험시에 직접 접근 및 제어 가능해야 함.

 

3.   웹서비스의 취약성에 대한 직접적인 대응 필요

l  실효성 있는 웹 서비스 취약성 검증 유형 수립 필요 ( 실행기간의 단축, 비용의 문제 등등, 일정 규모 이상은 실효성 있는 서비스의 보안성 검토 필요)

l  실효적인 보안정책 가이드 필요 ( 개인정보보호 강화를 위해서는 실질적으로 기본적인 서비스 보안이 가장 우선 되어야 함. 그러나 현재는 그런 방향과는 거리가 있음)

l  개발자에 대한 보안 가이드 및 미래 개발자를 위한 서적, 교육, 개발자 커뮤니티 지원과 같은 실효적인 awareness 필요.

l  보안성 검수와 같은 개발 절차 이후 오픈 이전 단계의 보안 점검 프로세스 가이드 및 보급

l  단기적으로 거의 모든 Web Application에 대한 빠른 시일 내의 취약성 제거 필요 – 악성코드 유포에 많이 이용되는 SQL Injection 만이라도 반드시 제거 할 수 있도록 가이드.

 

 

이 정도로 정리가 된다. 소를 읽고 나서라도 외양간이라도 제대로 고쳐야 할 것이며 문제의 해결책은 장비의 추가가 될 수 없다는 것을 반드시 명심해야 한다. 근본적인 원인 제거가 꾸준히 있어야 하고 전역적인 대응이 가능한 효율적인 체제가 있어야만 할 것이다. 꾸준하게 유포되던 악성코드들의 위험성은 이미 2년 전에도 예정된 것과 다름 없다. 그 사이 얼마나 많은 준비를 하였고 고민들이 있었는지 심각하게 고민해야 할 때이다.

 

 

마지막으로 오랜 기간의 준비를 통해 계획된 공격들의 목적은 자신감이다. 전체를 흔들 수 있다는 자신감의 표현이다. 적극적인 대응만이 IT서비스를 살릴 수 있는 유일한 방법이다. 

                                 바다란 세상 가장 낮은 곳의 또 다른 이름

 

 

Posted by 바다란

좀 길어 졌습니다.

쓰다보니 중복되는 내용들도 다수 있지만 그냥 올립니다.

 

언제나 그렇듯이 블로그에 올리는 모든 의견들은 제 개인의 의견입니다. 이점 유념 하여 주셨으면 합니다.  이 긴글을 읽어낼 인내심이 당신과 함께 하기를..

 

--

대응

변화를 보라. 변화를 볼 수 없고 느끼지 못하면 도태만이 있을 뿐이다.

 

 

작금의 변화는 언제부터였을까? 지금과 같은 상황은 언제 예견 되었을까? . 전략과 시대를 통찰하는 시각의 부족은 고대부터 항상 있어왔고 지금에도 마찬가지이다. 빠르게 변화하는 세상과 문화의 흐름을 예측하기는 어렵다. 더욱이 지금과 같은 직접교류와 인간과 인간과의 관계가 급속도로 가깝게 연결 되는 시대에는 더 어려울 수 밖에 없다. 현상도 이러할진대 현상에서 촉발되는 많은 문제들 중 IT서비스에 대한 문제와 Security라는 측면에서는 더 큰 어려움이 존재 할 수 밖에 없다.

<?xml:namespace prefix = o /> 

변화를 보려 하고 준비한자는 어디에 있을까?

 

이제 변화의 흐름을 쫓아보자.

작금의 Security 환경의 가장 큰 위협은 전 세계적인 이슈라고 할 수 있다. 세계적인 보안 이슈는 지금까지 Botnet , Phishing 으로 인한 대규모적인 악성 시스템 그룹의 운영과 사기에 초점이 맞춰져 있었다. 거기에 최근 2~3년 사이에 악성코드가 결합한 형태가 나타나서 새로운 흐름이 만들어 지고 있다. 전 세계적인 이슈는 세계 평균적인 서비스의 발전에 따라 나타난다. IT서비스의 발전이란 접점의 확대 ( 이른바 다양한 UCC를 통해 사용자와 교류하고 소통하는 Web 2.0 의 현상이라 할 수도 있다.) IT 인프라의 발전과 발맞추어 나아간다고 할 수 있다. 인프라의 밀집과 고가용성 상태로 보면 세계 최고 수준을 유지하고 있는 한국으로서는 선도적인 서비스 문화들이 많이 발생 하였고 이를 통해 온라인 게임이나 사용자와 교류하는 Web 2.0 모델의 할아버지 격이 될 수 있는 서비스들이 다수 출현되어 현재도 활발하게 서비스 중인 상황이다.

 

세계의 발전도 인프라의 고가용성으로 나아가며 사용자와의 교류가 높아지는 서비스가 주류를 이루어 가고 있다. 점차 Security에 대한 위협도 세계적인 이슈가 될 수 밖에 없다.

 

한국에 최초 출현한 위협들은 악성코드에 대한 위협과 Web Application에 대한 직접 공격을 들 수가 있고 이 위협들은 여전히 현재 진행형이다. 2005년에 최초 출현한 위협들은 이후 확대되어 세계적으로 퍼지고 있는 상황이나 한국만큼 악성코드의 유포 및 활용성이 높은 곳은 아직 미비하다. 향후 몇 년간 전 세계 IT 서비스 부분에 대해 명확한 이슈로 등장할 것이며 그 근본에는 대표적으로 중국이 등장 할 것이다.

 

왜 이런 예상을 하는지 잠시 최근의 근거를 살펴보자. 드러난 것은 전체의 1/10도 되지 않는다는 점에 염두를 두고 살펴 보면 된다.

 

http://blog.naver.com/p4ssion/50002005359  2006 2월에 작성한 글에서 향후 위험성에 대해서 의견 피력을 했고 지금은 1년이 휠씬 더 지난 상황이다.

 

처음 중국으로부터의 해킹 분석을 한 것이 2002년 이였고 이후에도 간헐적으로 의견 제시를 했었지만 지난해 초에는 세계적인 이슈가 될 것이라는 전망을 하였었다.

 

현재는 커뮤니티 문화 및 인터넷 문화가 확산되어 금전 거래 및 문화로도 연결이 된 우리 나라에 대해서만 피해가 크게 보이지만 인터넷 문화의 확산에 따라 유비쿼터스 환경의 빠른 확대에 따라 세계 각국으로도 중국의 공격은 유효하게 발생이 될 것입니다.  본문중

 

본문중에서 발췌한 내용이며 해당 내용의 유효성이 얼마나 실현 되었는지 2007 9월 이후에 언론에 나타난 흔적들을 통해 한번 되새겨 보자.

 

 

 

http://news.naver.com/main/read.nhn?mid=etc&sid1=104&mode=LPOD&oid=001&aid=0001799299  ( 중국내에서도 심각한 문제가 되고 있음을 볼 수 있습니다. )

 

http://www.donga.com/fbin/output?n=200709210153 ( 해킹 동향에 대한 일반론)

http://news.naver.com/news/read.php?mode=LSD&office_id=001&article_id=0001752161&section_id=102&menu_id=102 (뉴질랜드 정부기관 해킹 관련 보도)

http://weekly.hankooki.com/lpage/business/200709/wk2007091012524537060.htm  (펜타곤 및 미 정부망 해킹 관련 보도)

http://news.mk.co.kr/news_forward.php?no=481939&year=2007 (프랑스 총리실 해킹)

http://news.naver.com/news/read.php?mode=LSD&office_id=003&article_id=0000553689&section_id=104&menu_id=104  (,,영국 해킹 관련 보도)

http://www.ytn.co.kr/_ln/0104_200709051801337415

 

 

 

간략하게 20079월 이후 기사화 된 것만을 추려도 위의 항목과 같이 나타나고 있다. 대부분 피해 사실을 숨기고 공개적으로 언급하기를 극도로 꺼려 하는 점을 감안하면 각국 정부의 반응은 예상을 넘어선다. 이 것은 예상을 넘어선 피해가 존재 한다는 의미와 동일하다 할 수 있다.. 가장 처음의 링크를 주의 깊게 볼 필요가 있다. 현재 발생되는 사이버 테러의 가장 큰 피해자는 중국 스스로이며 정보를 가장 많이 얻기도 하지만 가장 많은 공격의 대상이 되기도 한다. 그러나 기질상 금전과 과도한 국수주의 기질로 무장한 공격자들에게 대외적인 이슈가 발생 한다면 국가적인 혹은 산업적인 적대 대상에 대해 집중적인 공격이 발생 할 수 있다. ( 국가망에 대한 공격은 Zeroday Attack이 주로 이용되며 MS Office 계열의 문서를 활용한 백도어류가 주류를 이루고 있다. 백도어의 행위가 매우 지능적이고 찾기가 어려움에 따라 향후 강도 높은 주의가 필요한 부분이다.)

 

Security의 패러다임은 계속 변화하고 있다. 장기간의 변화 방향을 짚기는 어려워도 1~2년 정도의 변화는 누구나 손쉽게 짚어 낼 수 있다. 지금까지의 패러다임을 주관적으로 한번 보면 다음과 같다.

 

모두 2000년 이후의 변화만 기술한 내용이다. 그 이전의 변화는 지금의 흐름과 관계가 없으므로 언급할 필요가 없고 network 단위의 웜의 최초 출현과 그 이후의 변화를 주로 살펴 보면 된다.  Worm이 발생 부분은 전 세계적으로 동일하게 발생 하였고 이후의 Botnet으로의 진화와 변화도 세계적인 흐름이지만 이후의 Web을 통한 Pc의 공격은 중국에서 단연 주도하고 있는 상황이다.  물론 그 이전에 Application에 대한 Attack 흐름은 나타났으나 실제 피해를 입히는 영향도로 보아서는 Web서비스를 통한 악성코드 유포 이슈가 단연 높다고 할 수 있다.

 

Worm 발생 이전에는 격리의 단계에서 이후에는 보호단계로 진입하고 지금에 이르러서는 불특정 다수의 PC환경 까지도 보호해야만 되는 그런 상황으로 나아간다. Web을 통한 전파 가능성만큼 확실하고 대규모적인 악성코드 설치가 가능한 환경도 존재하지 않는다. 따라서 향후에도 Web을 통한 악성코드 전파 및 유포 행위는 전 세계적으로 이슈가 될 것이며 단지 한국의 상황은 조금 빨리 부딪힌 것뿐이다. 위기 상황은 기회를 만들기도 한다. 그러나 정작 국내의 보안산업은 위기 상황에서 어떤 고민들을 했나? 창조적인 준비, 역동성, 열정 이 모든 것들이 결합되지 못하였고 근 미래조차 예상 하지 못하는 근시안적인 판단으로 지금까지 버텨왔다고 보는 것이 필자만의 개인적인 생각일까?.

 

최초 서비스는 많으나 최초의 창의적인 제품들이나 보안 서비스들은 어디에 있을까? 이처럼 독특한 위협들을 몸으로 겪으면서 보안이라는 산업 자체는 최소한 한국 내에서는 위기를 맞게 되었을 것이다. 현업의 서비스 담당자들 보다 떨어지는 실무경험으로 무엇을 가이드 할 수 있단 말인가?  더 이상 정보의 가치는 없다. 누구나 접근 가능하고 취득이 가능한 정보는 그 가치를 잃고 만다. 경험으로 체득한 지혜만이 혜안을 밝힐 수 있으나 그 경험을 누적 시키지 못하고 인재를 양성하지 못한 대가는 향후의 방향성을 가름하게 될 것이다. 세계적인 IT 회사들이 왜 보안에 집중을 하는지 또 끊임없이 인력 확보를 위해 노력하는 지에 대해서 진지한 성찰과 고민이 필요한 시점이다.  단일화된 시장이 될 수 밖에 없는 Global IT 서비스에서 지역적으로 성장 할 수 있는 기회는 더 이상 존재하지 않을 것이다. 위협은 Global로 다가오는데 눈을 뜨지 않은 자가 어찌 대응 할 수 있을 것인가? 단지 생명 연장을 조금 더 오래할 뿐이며 그 명운은 이미 판가름이 났다고 할 수 있다.

 

개인적으로 위와 같은 예상에 대해 뼈아프게 생각 하지만 이미 오래 전부터 실무에서 부딪히며 의견을 제시하고 방향성을 제시한 적이 있으나 들으려 한 곳은 없다. 지금이라도 좀 더 큰 방향성을 보고 와신상담 하기만을 바랄 뿐이다.

 

 

잡설이 길었다. 다시 최종적인 IT 서비스를 위한 보호 제안에 접근해 보자.

 

현재의 IT서비스가 지닌 위험을 정리하면 큰 목차는 다음과 같이 정리가 된다.

 

1.       웹서비스를 통한 악성코드 유포

2.       악성코드를 이용한 DDos 공격 ( IDC , ISP , 대규모 Service Provider 등 모든 부분 영향)

3.       Zeroday 위험 ( 신규 백도어를 이용한 정보 절취 및 기간 서비스 위험)

A.       기간 서비스 부분은 http://blog.naver.com/p4ssion/50001878886 Article Scada & DCS 시스템의 위험요소를 참고

B.       신규 백도어를 통한 리모트 컨트롤 및 정보 절취는 국가전략적인 차원에서도 매우 중요한 위험요소라 할 수 있다.

4.       Botnet ( IRC Botnet과는 차별화된 HTTP를 이용한 Malware net이 향후 위험요소가 될 것이고 이번 아이템 거래 업체에 대한 DDos 유형도 Malware net이 사용 되었다고 할 수 있다.)

5.       웹서비스 자체의 취약성 ( 1,2 항의 근본 요인으로 지목한다.)

 

다섯 가지 정도로 큰 위험성을 잡을 수 있으며 이중 1,2,5 항에 대해서는 시급한 대응 방안이 고려되어야만 한다.  Zeroday 위험은 계속 존재 하는 문제이며 1,2,5 항에 대해서는 보다 더 적극적인 대책이 진행 되지 않는다면 IT서비스 차원이나 국가 전략 차원에서 문제가 될 사안들이 지금 보다 더욱 많아 질 것이다.

 

주된 항목에 대해 하나하나 짚어 보면 다음과 같다.

 

< 웹서비스를 통한 악성코드 유포>

 

위의 이미지는 웹서비스를 통한 악성코드 유포에서 문제 부분을 정리한 내용이다. 각 표시부분별로 대책 부분을 정리한다.

 

1.      웹서비스 사이트

 -> 웹 서비스 사이트 부분은 대부분의 웹서비스가 URL 인자에 대한 validation check를 하지 않음으로써 발생하는 문제이며 대부분 SQL Injection을 이용한 권한 획득이나 XSS 취약성을 이용한 악성코드 유포로 사용이 되고 있는 점을 들 수 있다. 이 부분에 대한 대책을 위해서는 웹 서비스 URL 전체에 대한 인자들의 유효성 체크를 하여야만 하며 우선 대규모 사이트 혹은 방문자 규모가 일정 규모 이상인 사이트를 대상으로 집중적으로 이루어 져야만 할 것이다. 그래야 웹을 통한 대규모 사용자에게 악성코드 유포를 근본적으로 줄일 수 있다.

 

기본적으로 공격자들은 자동화된 툴을 이용하는 것이 일반적이며 일부 공격자가 직접 조작을 하여야만 하는 취약성들은 서비스 자체적으로 보안 강화를 하는 것 외에는 없다.

악성코드의 유포를 위해서는 소스코드를 변조 하거나 게시물에 악성코드를 첨부 혹은 실행 스크립트 형태로 올려두는 것이 대부분이므로 권한 관리 및 외부에서 직접 권한 획득이 가능한 부분을 확인 하여 차단 하여야만 한다.

현재 한국 내에서 문제가 지속 되고 있는 부분은 Web URL 인자를 필터링 하지 않아 발생하는 SQL Injection 부분이 심각하며 해당 문제의 상세한 내용은 여기를 참고 한다.

http://blog.naver.com/p4ssion/40017941957

http://blog.naver.com/p4ssion/40015866029

부족하지만 위의 Article을 참조 하면 되며 이외에 여러 공개 발표된 문서들이 있으므로 참고 하면 충분한 이해가 될 것으로 판단된다.

 

큰 방향성에서는 전체 웹 서비스에 대한 validation check를 검증 할 수 있는 솔루션이나 제품을 도입 하여 안정성을 강화 하여야 하나 현존하는 모든 웹 Application 보안제품들이 나름대로 한계를 지니고 있어서 대용량 서비스 및 여러 URL을 빠르게 진단하는데 문제를 지니고 있다. 이 부분은 향후 적극 개선이 필요하며 필수적인 부분만을 빠르게 진단하는 경량의 고속 스캐너류를 통해 근본적인 해결을 하는 것이 필요하다.

 

더불어 장기적으로는 프로그래밍 서적이나 개발시의 참고 사항에 보안과 관련된 validation check 부분을 강조함으로써 향후 개발 되는 Application에 대한 안정성을 반드시 확보 하여야만 할 것이다.

 

2.      개인 사용자 PC

-> 개인 사용자 PC 환경에 대해서는 현재의 제한된 유료 사용자만이 영향을 받는 백신 부분으로는 절대적이 한계를 지닐 수 밖에 없다. 웹이라는 매개체를 통해 불특정 다수에게 대량의 악성코드가 유포되는 상황에서 IT서비스 차원에서는 궁극적인 해결책을 모색할 수 밖에 없으며 해외의 온라인 서비스 업체들이 왜 지금에 와서 보안 서비스를 무상으로 제공하는지 염두에 두는 것이 바람직하다.

 

한국은 2005년부터 위기가 시작 되었음에도 불구하고 별다른 움직임 없이 모든 피해를 당할 수 밖에 없었으나 2006년부터는 세계적인 서비스 업체들에도 다양한 문제들이 발견이 되고 있어서 적극적인 대책을 강구 할 수 밖에 없는 부분이다.

아래의 reference를 간략히 참고 하고 더 많은 실례들이 존재함을 알아야 할 것이다. IT서비스 기업의 특정 서비스를 노리고 있는 웜들이 급증 추세에 있는데 IT서비스 기업으로서 취할 수 있는 대응 방안은 무엇이 있을까? 서비스를 사용하는 모든 사용자들에게 피해가 가지 않도록 하는 방안은 무엇일까?. 결론적으로 서비스를 보호하기 위해서는 빠른 업데이트 및 서비스에 대해 특화된 대응이 가능한 보안서비스를 선택 할 수 밖에 없다.  보안 서비스는 이제 IT 서비스의 생존을 위한 필수적인 요소가 되었지만 아직 국내에는 갈 길이 멀었다. 가장 큰 피해를 입었고 현재도 입고 있음에도 불구하고 아직 갈 길이 너무나도 멀다.

 

서비스 전체 사용자 및 산업적인 차원에서 대규모 보안성 강화 노력이 절실히 필요하며 대응 방안은 이미 글속에 있으나 개인이 제안 할 수 있는 범위는 아니라 판단되며 향후 주된 이슈가 될 부분이라 보고 있다. 국가적 차원의 IT서비스 경쟁력 강화에 필수적인 부분이 될 것이며 최종 결론 부분에 다시 정리 하고자 한다.

 

Ref:

http://namb.la/popular/tech.html -> myspace application worm에 대한 설명

http://news.softpedia.com/news/The-First-Yahoo-Messenger-Worm-That-Installs-Its-Own-Browser-24366.shtml  -> yahoo 메신저 웜

http://www.crime-research.org/news/20.09.2006/2250/ -> AOL IM worm

 

 

3.      Secure한 전송

 

Secure한 전송은 지난 편의 글에서 제시한 BHO 부분과 연동이 된다. 지금까지는 키보드에서 발생하는 하드웨어 이벤트를 가로채는 키로거등이 주로 사용이 되었으나 해킹툴 차단 및 보안 서비스 사용자가 늘어남에 따라 공격자들 ( 주로 중국 ^^)의 공격 유형이 변경 되었다. 현재 변경된 방식은 BHO 방식을 이용하여 키보드 암호화가 풀리고 SSL 등을 이용한 네트워크 암호화 단계 직전의 Browser가 지니고 있는 값을 유출 시키는 유형으로서 기술적인 대안은 백신과 암호화를 유지하는 것 외에는 없다고 할 수 있다. 여러 번 언급 하였지만 신규 악성코드를 만드는 것은 매우 쉬우며 빠르다. 그리고 대응은 더디다. 유출된 정보는 이미 정보로서의 가치를 상실하고 사용자의 개인정보를 통한 추가 침입에 이용될 뿐이다. 따라서 가장 근본적인 대안으로 End To End 단 까지 이어지는 암호화를 연결 시키는 것이 필요하며 가장 완전하게는 키보드 보안에서 암호화 된 것이 직접 서비스 서버로 전달이 되고 해당 서비스 서버에서 복호화가 되는 유형을 진행이 되어야 해결이 된다. 최소한 Browser 단위에서 평문으로 전환되고 SSL로 전송되는 문제는 피해야만 한다. 평문 전환 시점을 노리는 악성코드는 지금도 날마다 만들어진다.

 

SSL ( Secure Socket Layer)은 전송 단계에서의 보호를 의미하나 스니핑이나 중간 네트워크 트래픽을 가로채어 정보를 절취하는 유형은 거의 찾아보기 어려운 형국이다. 따라서 새로운 패러다임에 맞게 보호 수준을 높일 필요가 있고 세계적인 흐름과 동일하게 하향 평준화 되어서는 안될 것이다. 아직도 SSL 만으로 보안이 다 된다고 생각 하는 곳은 인터넷 서비스로 말하자면 석기시대 사고 방식이라 할 수 있을 것이다.

 

 

이상으로 웹서비스를 통해 유포되는 악성코드의 흐름과 이에 대한 대책을 간략히 설명 하였다. 그럼 이번에는 올해 하반기에 새로 등장한 Hybrid DDos 관련된 이슈에 대해서도 알아보자.

 

<DDos 공격과 관련된 이슈>

각 문제 지점에 대해서는 붉은색 원으로 별도 표시가 되어 있다. 여기에서 1,2번 항목은 앞서의 악성코드 유포 이슈와 동일한 부분이다.  틀린 점은 3,4번 항목이 되며 3번 항목은 과도한 트래픽이 몰리는 것을 의미하고 4번 항목은 중간 명령 전달 서버가 된다. 설명이 필요한 부분과 대책이 필요한 부분은 3,4번 항목이다.

 

3. 과도한 트래픽의 집중

       -> 특정 서비스 대역으로 과다한 트래픽이 정형화된 패턴이 없이 집중 될 때 IDC나 서비스 제공자 입장에서 대응 할 수 있는 부분은 그리 많지 않다. 단 시간내에 집중 되는 경우에는 장비의 증설 및 트래픽 우회로 커버가 가능하나 지속적으로 증가하는 유형에 대해서는 마땅한 해결책이 없다. 전체 서비스 구역을 보호하기 위해서 대상이 되고 있는 서비스를 서비스 항목에서 제외 ( DNS 리스트에서 삭제 ^^) 하는 것 외에는 특별한 대안이 없다고 본다.

대응을 하기 위해서는 긴밀한 협력이 필요하며 협력은 개인 PC 단위의 보호를 진행하는 백신 업체등과 연계가 필요하다. IT 서비스 프로바이더 입장에서는 근본 원인 추적을 위해 정형화된 패턴 방향을 찾을 필요성이 있으며 지속적인 유형에 대해 정보 제공이 이루어져야만 한다. 또한 일시적인 시점에 급격하게 늘어나는 DNS 쿼리등을 주시할 필요성이 있다. ( 이 부분에 대한 모니터링을 피하기 위해 명령 전달을 위한 경유지 서버를 사용한 것으로 추정됨) Botnet 등의 탐지를 위해서도 특정 IRC 서버나 채널 혹은 서버군으로 다수의 쿼리가 몰릴 경우에는 일시적으로 주의 수준을 높이는 것이 필요하며 방향성을 예의 주시 하여야 한다. 기존의 botnet 등과 연계된 탐지에는 효율이 있을 것으로 판단되며 이번에 새로 발견된 유형에 대해서는 제한적인 효과를 지닐 수 있을 것으로 보인다.

 

정보의 폐쇄적인 활용은 피해를 더 크게 만들 뿐이므로 유관기관과의 긴밀한 협력을 통해 공격 대상 IP 및 공격 서비스, 주요 패턴 등에 대해서 상시적인 교류가 필요하다. 경우에 따라서는 공격을 진행하는 클라이언트 파악도 필요할 것으로 예상이 된다.

 

장기적으로는 트래픽에 대한 비정상 증가 치 혹은 비정상 패턴을 탐지하는 유형을 목록화 하여 수시로 업데이트 함으로써 위험요소의 사전 판별에 도움이 될 수 있을 것으로 판단 된다. 이유 없는 트래픽 증가는 없으며 비정상 패턴의 증가도 있을 수가 없다.

 

4.      경유지 명령 전달 서버

-> 경유지 서버에 대한 판별에는 어려움이 있다. 이 부분은 실제 개인 PC를 찾아낸 이후 하나하나 단계를 밟아서 경유지 서버를 찾아내는 것이 필요하며 방대한 시간이 걸릴 수 있을 것이다. 그러나 이미 기존에 유포된 악성코드들에 대한 흔적을 찾아 냄으로써 일괄적이고 대규모적인 제거 작업이 일시에 이루어 진다면 경유지 서버에 대한 의미를 줄일 수 있다고 본다.

 

 

전체적으로 사안을 정리한다는 것은 쉽지 않으며 지금과 같은 대규모 이슈에 대해 다양한 부분에 대해 대안을 개인이 생각 한다는 것도 어려움이 있다. 다소 틀린 부분과 잘못된 오류 부분에 대해서는 개인 의견이므로 너그러운 양해를 당부 드린다.

 

세계 모든 국가들이 피해를 입고 있다. 정보를 탈취하여 돈을 획득 할 수 있다면 무엇이든지 할 수 있는 공격자들은 얼마든지 있다. 또한 그들은 스스로간에 정보를 공유하고 공격 가능성을 논의한다. 이에 반해 보안업체 혹은 IT 서비스 업체들은 어떤지를 돌아봐야 한다.

Cyber Terror 혹은 정보 절취를 통한 첩보거래와 실 거래가 동반이 되는 IT서비스에 대한 공격을 통한 금전적인 이득의 취득, 사용자를 유인하여 금전을 취득하는 Phishing등 모든 문제가 연계되어 있다.

 

전 세계 모든 IT 서비스 및 국가가 향후 방향성에 대해서 심도 있는 논의를 해야만 하고 자체적인 준비를 해야만 한다. 국내 IT서비스의 지속적인 발전과 국가 보호를 위한 미래 전략 차원에서 준비를 해야만 될 것이다. 앞으로 IT서비스는 보다 더 생활에 밀접해 질 것이고 생활 상의 모든 것들이 연계 되는 상황에서 우리는 지켜야 할 대상에 대해서 명확하게 지켜야 될 것이다. 그럼 정리하자.

 

< 단계별 대책>

 

각 위험요소로 지적한 부분에 대해 단계별 대책은 무엇이 있을지 확인해 보자. 큰 목차로는 3가지 정도가 있을 수 있으며 3번째 대책에는 몇 가지 소 부류가 있을 수 있다.

 

1. 웹 서비스 보안성 강화

앞으로의 웹은 어떨까? 하는 고민을 먼저 해보자. 사용을 안 하게 될 것인지 아니면 더 밀접하게 사용을 하게 될 것인지.. 2.0이 버블이든 아니든 중요한 것은 사용자와 더 밀접해졌다는 것이 중요하지 않을까 생각 된다.

 

단기- URL 인자별 validation check solution의 개발 및 보급 확대

장기- Secure programming에 대한 awareness 확대 서적, 홍보 및 활용이 가능한 템플릿의 제작으로 장기적인 안정성을 강조

 

웹 서비스의 보안성 강화는 근래 2005년부터 서비스 부분의 화두로 대두되고 있다. 세계적으로 국내 서비스 부분에서 최초(아마도) 발견되고 공식 피해가 확인된 케이스 라고 할 수 있다.

웹서비스의 보안성 강화를 위해서는 지속적이고도 연속성이 보장되는 프로세스가 존재 하여야 하며 이 부분을 해결 하기 위해서는 전문 보안업체나 Security관련 유관기관의 노력이 필요한 부분이다.

더불어 전체적으로 Secure coding에 대한 awareness를 강조함으로써 근본적인 문제 해결을 장기적으로 유도 하여야만 할 것이다. 현재 상황에서의 문제는 URL 인자별 validation check가 가능한 scanner가 몇 종 되지 않으며 그나마 존재하는 솔루션들도 대용량이나 대규모의 사이트에는 부족한 부분이 있다. 다수의 사이트를 일시에 진단하기에도 속도 및 성능 면에서 문제가 있어서 대략 110만여 개 이상으로 추정되는 한국내의 웹서비스들에 대해 일괄적인 대응이나 진단을 수행 하기에는 무리가 있을 것으로 예상된다. 따라서 단계별 진단 및 보안강화 노력이 이루어 져야 될 것으로 보인다.

 

공격자들의 대상이 방문자가 많거나 연관도가 높은 웹서비스를 목표로 하고 있으므로 우선순위를 정해 일정 규모 이상에 대해서는 기준을 만족하는지 점검 하거나 혹은 내부적인 노력을 하고 있는지 정도는 검토 되어야 할 것이다.

 

악성코드의 유포 행위를 모니터링 하는 것도 바람직 하나 근본문제의 수정을 할 수 있도록 원천적인 가이드를 진행 하는 것이 더욱 중요하므로 근본적인 소스 수정이 이루어 질 수 있도록 노력 해야 할 것이다.  Validation 검증을 위한 도구 개발이 현재로서는 절실하다고 할 수 있으며 단기적으로 최선의 노력을 기울여야 될 것으로 판단된다.

 

2. 개인 PC 단위의 보호

 

개인 PC 단위의 보호 관점에 대해서는 명확하게 한 가지를 지적하고자 한다. 악성코드의 전파수단으로 불특정 다수에게 유포 될 수 밖에 없는 웹 서비스가 이용이 되고 있다. 이처럼 불특정 다수에게 무차별적으로 유포가 되는 악성코드에 대한 처리는 체계화 되고 전역적인 대응이 필요하다.

 

지금과 같은 제한된 사용자에게만 제공되는 서비스로는 현재의 위험성을 절대로 막을 수 없으며 정보에 대한 공유 및 위험에 대한 상호 정보 교류가 없이는 향후에도 매우 힘들 것으로 보인다.

 

앞서 IT 서비스 기업들이 서비스를 보호하기 위해 보안서비스를 도입 할 수 밖에 없는 이유에 대해서 간략히 설명을 하였고 향후에도 지속 확대 될 수 밖에 없는 부분이다. PC를 보호하는 AV 업체들은 발상의 전환을 할 필요가 있을 것이다. 전문적인 부분에 대한 대응만을 특화 시키거나 특정 기능의 악성코드 ( MS Office계열의 Zeroday 취약성을 이용한 백도어)의 실행을 근본적으로 막을 수 있는 제품들로 시선을 돌릴 필요가 있다.

 

현재의 악성코드는 시스템을 못쓰게 만드는 바이러스가 아니며 정보 유출과 조정을 위한 도구로서 이용이 되고 있다. 따라서 정보 유출을 막기 위한 부분이 주가 되어야지 시스템을 복원하는 부분이 주가 되어서는 안될 것으로 본다. 물론 복원 하고 치료하는 부분도 반드시 존재 하여야 하는 부분이나 관점을 달리 생각 할 필요가 있다.

 

결론적으로 폭넓은 악성코드 유포 행위에 대한 대응을 하기 위해서는 광범위하고도 체계적인 대응 플랜이 있어야만 한다. 해외의 무료백신을 이용할 수도 있고 아니면 국내의 백신들을 저렴하게 이용하는 방안들도 있을 수 있을 것이다. 개인이 언급하기에는 부적절한 부분들이 있으나 대책은 반드시 광범위한 사용자에게 즉시 영향을 미칠 수 있을 만큼의 파급력이 존재해야 함에는 변함이 없다.

 

공격은 다방면으로 대상을 가리지 않고 발생을 하는데 보호를 하는 대상자는 유료 대상자만 보호하고 그것도 정보 유출 이후에 분석을 통해 보호를 한다는 것은 현재의 위험 상황에 부합하지 않는다.

보안산업의 생존을 이야기 한다. 그러나 서비스가 사라지는데 무슨 보안이 존재 할 수 있을까? 서비스의 생존이 존재해야만 보안이 존재한다. 패러다임의 전환기에 변화를 외면한 보안 서비스들이 IT서비스의 생존에 오히려 장애물이 되어서는 안될 것이다. 지금은 일부 그런 모습으로 비춰지는 부분이 있다. 사용자를 볼모로 잡는 것이 아닌 IT서비스의 생존을 볼모로 잡고 있는 형국이며 종래에는 모든 비난을 받게 될 수도 있을 것이다. 현명한 방향성이 빠른 시일 내에 Security 부분에서 도출이 되어야 할 것이며 그렇지 않을 경우에는 사면초가의 상황에 직면 할 수도 있을 것이다.

 

 

3. DDos 징후 판별 및 Alert 체계

 

DDos 관련된 부분은 모든 대책이 집약 되어야 하는 종합적인 부분이다. 이전까지의 DDos와는 다른 유포 방식부터 경유지 서버의 활용, Hybrid DDos 패턴등 특이하고 특징적인 사안들이 다수 발견이 되는 경우이다.  실제 공격 유형은 올해 초 혹은 지난해부터 이루어 졌을 것으로 보이나 드러나지 않게 소규모 혹은 신고가 어려운 업종에 대해 Ransom 형 공격을 시도 하여 금전적인 이득을 취하였고 지난 9월에는 대규모 사이트에 대해서 집중적인 공격을 시도하여 3주 가량 서비스를 중지 시킨 경우가 발견된다.

 

만약 대규모로 공격을 시도하지 않았다면 대응도 없었을 것이고 또한 이런 대응 방안을 고민 하지도 않았을 것이다. 이제 유형이 드러난 이상 대비책은 준비하여야만 할 것이다. 대비책이 없다면 IT 서비스 전 부분이 영향성을 받을 수 밖에 없을 것이다. 시기는 오래 걸리지 않을 것이다.

 

DDos 징후 판별의 최초 지점은 IDC혹은 Server Farm이 가장 최초 인지가 가능한 지점이 될 수 있다. 그러므로 초기적인 대응이 상당히 중요하다. 특별히 과다한 트래픽을 막을 수 있는 DDos 솔루션의 경우에도 제한적인 효과만을 볼 수 있으며 만약 도입을 한다 하여도 서비스들에 영향을 미칠 수도 있을 것이다.  장비나 설정등을 이용한 DDos 대응 방안은 일정 수준 이하라면 충분한 고려가 될 수 있으나 지금의 공격 트래픽은 장비가 감당할 임계치를 넘는 수준이라서 장비 및 설정을 이용한 대응은 한계에 도달했다고 판단된다.

 

대응은 구조적이고 체계적인 대응 외에는 방안이 없을 것이다. 본문 중에 언급 하였지만 IDC 간의 실시간 위험 정보 교류, 과다 트래픽 발생 지점의 확인, 공격 트래픽의 특징 확인 , 내부 IDC Server에서 외부로 급격하게 증가하는 트래픽의 발견  등등 .. 비정상행위에 대해 모니터링이 가능해야 하며 모니터링 도중 이상 증세 발견 시에는 IDC간의 업무 협조 혹은 분석 및 대응이 가능한 기관과의 빠른 공조를 통해 사전에 위험성을 제거 해야만 한다.

 

이후 악성코드에 의한 영향인지를 판단하고 악성코드의 위험도를 판정한다. 그 이후 악성코드에 대한 업데이트를 대규모 사용자 집단이 존재하는 보안서비스 혹은 국내 백신업계에 업데이트를 요청하여 일괄적으로 차단 할 수 있도록 한다. 

 

더 중요한 것은 전체적으로 해당 패턴으로 감지가 되어 차단된 케이스가 얼마나 되는지 조사를 하여 ( 통계치만 제공되면 되는 수준.) 전체적인 위험 수준을 관리 할 수도 있고 급증한 시기에는 새로운 취약성이 나타났거나 공격 유형이 발생 하여 대비를 해야 한다는 국가나 산업단위의 위험지표를 나타내고 Active한 예방과 대응 활동을 할 수 있다.

 

DDos에 대한 대응과 악성코드에 대한 대응은 현재 본질적으로 동일한 지점에 위치해 있다. 근본적인 원인 제거(Web service application)가 우선 되어야 하며 이후에는 악성코드에 대한 일괄적인 삭제 및 대응이 되어야 (거의 전국민을 대상? ) 피해 규모를 줄 일 수 있고 예방이 가능하다고 본다. 초기 탐지를 위해서는 IDC나 서버군 혹은 네트워크 장비에서의 변화들에 대해서도 일정 기준 이상일 경우에는 반드시 확인을 하여야 하고 사안에 따라서는 유관기관들과 협력하여 분석을 하여야만 할 것이다.  특정 IP나 주소로의 과다한 집중과 Dns 쿼리의 급증과 같은 주요 지표를 나타낼 수 있는 이벤트들에 대해서는 일정수준의 임계치를 주고 강력하게 검토를 한다면 좀 더 빠른 사전 인지가 가능할 것이다. 

 

 

 

전체의 관점

 

 

사전인지 ( 현재로서는 IDC Infra 부분) -> 분석 -> 대응 (악성코드 제거? )

 

사전인지 : 개인 PC에서 사전인지를 한다는 것은 기대하기 어렵다. 다만 IDC내의 서비스나 ISP의 장비 부분에서 특정 동향을 체크하고 검토해야 한다. 일정 트래픽 이상이 발생하는 부분에 대해서도 alert은 가능해야 될 것으로 보인다.

 

분석: 유관기관 혹은 전문가 집단에서 시행을 하는 것이 바람직하며 상시적으로 IDC & ISP와의 정보 교류가 있어야 하며 악성코드에 대한 분석 과 대응 부분에 대해서도 판단이 가능할 정도의 지식을 지녀야 한다. 관련 지식을 통해 ISP& IDC에서 제공된 정보를 분석하고 추적하여 전체적인 위험도까지를 판정 할 수 있어야 한다.

 

대응: 대규모로 유포된 악성코드를 제거하기 위해서는 전역적인 보호 수단이 강구 되어야 하며 악성코드의 유포 방식과 유사하게 거의 무차별적(?)으로 배포가 되는 보호 수단이라야 대응이 될 수 있다. 개인 성향에 따라 다른 문제이나 본인이 보기에는 이 방안 이외에는 대응할 수단이 이제는 없다고 본다. IDC ISP 단위에서 통제를 할 수 있는 범위는 이제는 아니기 때문에 더욱 그러하다.

분석 단계에서 전달이 되는 악성코드 및 위험도에 따라 과감하고 일괄적인 대응을 통해 분석 완료 이후 1~3일 이내에 전체적인 대응이 완료 될 수 있도록 한다.

 

 

단계별로 진행이 되고 최종적으로 대응이 완료 된다면 지금과 앞으로 몇 년간이 될지 모를 근 미래에 발생되는 위협들에 대해서 Active한 대응체제를 완비 하는 계기가 될 수 있다. 아직 전 세계 어디도 해볼 엄두를 낼 수 없는 일이나 현재 상태에서는 최초가 될 가능성이 가장 높다.  앞으로 시간이 지날수록 경쟁력이라는 측면은 좀 더 다르게 보아야 될 때가 올 것이다. 전체적인 위험요소를 얼마나 빨리 제거하고 체계적으로 대응을 하느냐에 따라 세계적인 위험요소로부터 빠르게 회복하고 보호 할 수 있는 유일한 방안이다.

앞으로 점점 더 인터넷이나 네트워크와 연결이 더 복잡해 지고 생활과 밀접한 관계를 맺을 것은 분명하며 거부 할 수 없는 흐름이다.  경쟁력은 무엇인가 고민이 필요하다. 제품을 만드는 것만이 경쟁력은 아니며 이제는 지키는 것도 또 체계화 하는 것도 경쟁력이다.

 

만약 이런 대규모적인 대응이 가능한 체제가 이루어 진다면 보안 서비스 업체 및 ISP 그리고 IT 서비스 업체 모두에게 새로운 기회가 될 수 있고 사업 모델 혹은 비즈니스 모델이 새로 탄생 할 수 있을 것이다.  이제 공격자들과 공격기법에 대응을 하기 위해서는 체계적이고 유기적이며 거대한 대응 체제의 필요성을 고민 해야 할 때다.

 

 

지금 사막의 어디쯤을 걷고 있는지 별을 바라봐야 하지 않을까?

 

 

 

 

Posted by 바다란

p4ssion is never fade away. 

눈에 보이지 않는다 하여 없다고 하는 것은 지혜와 노력의 부족함을 탓해야 할 것이다.

 

중국발 Abusing

 

오로지 금전적인 이득을 목적으로 하는 악의적인 크래킹에는 지금까지 관찰된 바에 의하면 크게 두 가지 유형이 존재한다. ( 권한 획득 및 개인정보 거래 등의 번외로 한다.) 하나는 악성코드 유포를 통한 개인정보의 획득이며 또 다른 하나는 DDos 공격 협박을 통한 금전적인 이득의 추구이다.

 

중국발 해킹은 본래 개인정보 ( ID/ Password) 확보를 목적으로 하였으며 그 목적을 달성 하기 위해 사용자가 많은 사이트를 해킹 ( Web Application의 취약성을 이용 : 80% , File upload 등의 일반적인 취약성 20% 정도로 예상 2005년경부터 Web App 관련된 취약성을 이용한 공격이 급증하고 일반화됨) 하여 악성코드를 유포하는 형태로 변경 되었다. 악성코드를 일반사용자에게 유포하여 개인 사용자가 특정 게임 사이트나 금융 사이트에 접근 하여 개인정보를 입력할 경우 입력된 개인정보를 유출 하고 공격자는 유출된 정보를 활용하여 이득을 얻는 구조로 일반화 되어 있다. 해당 유형은 2005년 상반기부터 국내에 만연된 유행으로서 국내의 대부분의 서비스들이 공격 시도 혹은 공격에 대해 피해를 입었을 것으로 유추된다.  (ref: http://www.ytn.co.kr/_ln/0103_200710091932264788 )

기사 참조에서 보듯이 국내의 많은 서비스들이 지금도 여전한 피해를 입고 있으며 해당 공격 유형은 Web URL의 인자 각각에 필터링이 부족한 점을 이용하여 Database에 명령을 실행 시키는 것과 같은 행위를 유발한다.

( 기법에 대한 이해를 위해서는 여기를 참조 http://blog.naver.com/p4ssion/40017941957

http://blog.naver.com/p4ssion/40015866029 하면 된다. 시일이 지난 것이나 현재 일어나고 있는 Application 공격에 대한 이해로는 충분할 것이다.)

 

<악성코드 유포 이미지>

위의 이미지는 일반적인 개인정보 획득을 위한 악성코드의 전파 과정을 도식화 한 것이다. 최근에는 Zeroday 공격도 동일 연장선 상에서 악성코드화 되고 있으며 올해 3월에 발표된 Ani cursor ( 윈도우 전 제품군에 해당 )에 대한 취약성도 패치가 발표되자 마자 악성코드가 국내에 유포되는 실례도 존재 한다.  즉 보안 패치의 속도를 넘어서는 형태로 공격이 우위에 있는 것이며 현재에도 새로운 취약성들이 악성코드의 전파 유형에 따라 계속 응용 되고 범위를 확장한다고 볼 수 있다.

 

개인 사용자의 ID/ Password 정보를 유출하는 부분도 지난 몇 년간 발달이 되어 왔는데 기존의 Key logger등을 이용하는 고전적인 방법에서  ( 이 부분은 Keyboard 보안의 일반화로 인해 변화된 것으로 추측 된다.)  IE BHO 후킹과 같이 브라우저 전송단계에서 평문화된 ID/ Password를 가로채는 영역으로 변경이 된 상황이다. 즉 하드웨어 이벤트나 네트워크 전송단계에서 정보를 가로채는 것이 아니라 브라우저 상에서 정보를 획득하는 유형이며 현재 언론 등에 악성코드 유포와 관련된 기사에서 언급되는 대부분의 개인정보 탈취용 악성코드가 이에 해당이 된다.    BHO 영역이라는 부분은 IE에서 제어하는 부분( IE Browser Extension)으로서 Keyboard 보안 -> IE  -> SSL 과 같은 일반적인 보호 영역중 IE 부분을 이용하는 것으로 어떤 키보드 보안 솔루션이라도 사용자 입력을 암호화한 이후 Site로 전달되기 직전에는 암호화를 풀고 평문으로 변환하여 브라우저에 탑재를 한 이후 SSL로 전달 하여야만 한다. BHO 영역에서는 브라우저의 이벤트 (페이지 이동 등등)를 모니터링 함으로써 개인정보를 획득 할 수 있다.

<BHO 영역의 악성코드 개요>

현재 발견되는 개인정보 탈취용 악성코드의 다수는 IE BHO (Browser Helper Object) 영역에서 개인정보를 가로채는 유형으로 키보드 보안솔루션으로 암호화된 데이터를 최종 단계까지 ( Server 영역) 받지 않으면 해결이 되지 않는 문제라 할 수 있다. 인증서와 결부한 암호화 전달 방안도 대안이 될 수는 있을 것이다.

20079월에만 발견된 악성코드의 수는 500여 개 이상이며 이중 20% 이상이 BHO 영역에서 개인정보를 탈취하는 유형이라 할 수 있다.

( Ref:  http://www.krcert.or.kr/statReportNewList.do  2007 9월 통계 분석월보 참고)

 

물론 발견된 수치는 신고 또는 모니터링에 의해 확인이 된 수치만을 언급한다. 올해에만 2000여 개 이상의 브라우저 영역에서의 정보 획득을 위한 악성코드가 발견이 되었으나 근본적인 대책 마련은 어려움이 따른다. 보안패치로는 악성코드의 감염 및 설치 단계를 예방 할 수 있으나 Zeroday 공격유형에는 ( 07.3월의 ani cursor vulnerability) 대안이 없으며 백신은 알려진 악성코드가 아니면 처리가 될 수가 없다. 더불어 최근에는 악성코드 제작자들도 기본적인 백신들에 대해 탐지 여부를 확인하고 탐지가 어렵도록 제작하는 것이 일반적인 추세여서 어려움이 존재한다.

 

이런 유형의 개인정보 탈취 악성코드의 출현은 2005년부터 볼 수 있는데 2년이나 지난 지금까지 어떤 해결책들이 제시 되었는지 살펴볼 필요가 있다.  존의 바이러스들은 사용자의 PC에 영향을 미쳤으나 개인정보 탈취 유형의 악성코드는 온라인 상의 활동에 영향을 미친다.  사용자의 PC에 영향을 미치는 것은 이후에 처리를 하면 복구가 되지만 어디 온라인 상의 활동도 복구가 되는가?  계정 정보는 다 유출되고 난 이후에 악성코드들이 분석되어 업데이트 된들 어디에다 쓸 수가 있을 것인가 의문스럽다. 악성코드는 날마다 갱신되어 나오고 심지어 시간대 별로 다른 유형의 동일 악성코드가 출현 하고 있는 상황에서는 어려움은 가중이 되고 정보가 업데이트 된다고 한들 자사 제품에만 갱신이 되고 있다.

 

DDos 관련된 공격 유형에 대한 분석은 언론 기사에 나온 정보 및 주변 정보를 종합해 보면 다음과 같이 도식화 하는 것이 가능하다.

<DDos 공격 유형의 분석>

위의 이미지에서 보듯이 중간 경유지 및 개인 PC에 대한 권한을 제어 하는 부분까지 추가된 것을 제외하고는 악성코드 유포를 통한 개인정보 획득과 비슷한 유형으로 정리가 된다.  개인 PC를 좀비 PC로 만들기 위해 기존에는 윈도우 관련된 취약성을 이용하여 Bot을 설치하는 유형으로 이루어 졌으나 DDos 경우에는 웹을 통한 악성코드 전파가 동시에 사용이 된 것으로 파악이 된다. 전 세계적으로도 주목해야만 될 변화이다.   또한 국내적으로는 음성적인 IT 서비스 부분에 대한 공격은 어느 정도 좌시 될 수 있었으나 이젠 표면적으로 드러난 움직임을 보였다는 점에 있어 강력한 대응정책 적용이 필수적인 사안이다. 아마 공격한 자들도 이 정도의 효과를 볼 것이라고는 ( 대규모 복수 사이트의 3주 이상의 무력화) 생각지도 못했을 것이기에 또 다른 유형으로 사고를 전환하여 기관망에 대한 공격도 발생 할 수 있을 것이다. 고도화된 IT 서비스망은 항상 위험에 노출 될 수 밖에 없다. 그리고 대응방법도 새로운 방식의 대응 방안들이 항상 고민 되어야만 하는 부분이다. 지금의 우리 현실은 어떠한지 되돌아 볼 필요가 있으며 정리가 필요한 부분이다. 향후 DDos와 연계 되어서 나올 부분으로는 중국으로부터의 공격에 근래에 자주 사용되었던 ARP Spoofing도 향후 자주 사용이 될 것으로 보인다. 만약 아이템 거래 사이트들 전체를 마비 시키고 부분적인 Gateway DNS에 대해 ARP spoofing을 시도하여 아이템 거래 사이트를 위장한 임의의 사이트를 제작하였다면 그 피해는 얼마나 될까?  악성코드의 확산을 위해 Arp spoofing 기법을 사용하였으나 이제는 대규모로 spoofing 시도가 가능할 수도 있을 것이다.

( ARP Spoofing에 대한 공격은 krcert의 자료를 참고하면 이해가 높다.

http://www.krcert.or.kr/unimDocsDownload.do?fileName1=IN2007003.pdf&docNo=IN2007003&docKind=3 )

 

현재 가장 이슈가 되고 있고 향후에도 영향성을 미칠 두 가지 Fact에 대해 지금까지 Security분야에서는 어떠한 대응을 하였을까?

 

먼저 개인정보 탈취형 악성코드 부분.

BHO 영역을 공격하는 악성코드 부분은 신고된 악성코드에 대해서만 제한적인 업데이트만 이루어졌으며 공격코드의 발전을 따라 가지 못했다. Security라는 측면은 근본 원인제거가 가장 중요하나 BHO 영역에서 후킹을 통해 정보를 가로채는 유형에 대해서는 근본적인 대책자체가 불가능한 상황이다. IE의 구조 자체를 변경 하기 이전에는 계속되는 위험에 노출 될 수 밖에 없으며 대책을 진행 하는 부분도 인증체계 자체를 변경하지 않는 한 위험은 계속 될 수 밖에 없다.

 

신규 악성코드를 만드는데 공격자는 매우 짧은 시간에 생성을 하고 대응하는 측면에서는 시간적인 여유가 있어야만 대응이 가능하다. 즉 온라인 상에서 정보 노출이 이루어 지고 난 뒤에야 해결이 가능하다는 측면이다. 인식의 전환이 절대적으로 필요한 부분이다. 파일에 대한 복구나 시스템에 대한 복구의 측면이 아닌 정보의 절취를 막기 위한 부분이라는 관점에서 접근을 하여야만 한다. 이 측면에 대한 대책 부분은 다음 Article에서 제시 하도록 한다.

기존의 보호라는 측면이 시스템에 대한 보호가 아닌 온라인 상의 정보보호라는 측면에서 지금까지의 대응 속도가 매우 늦고 효과가 매우 제한적 이였으며 그로 인해 피해는 계속 되고 있는 것이다.  Security라는 산업 자체가 존속하기 위해서는 산업의 요구를 미리 선점하고 이해하여 그에 필요한 요구를 제시 할 수 있어야만 한다. 과연 이러한 유형의 악성코드가 출현한 이후 역할이 적당하였는지 심각하게 고민할 필요가 있다.

 

더불어 악성코드의 유포와 관련된 웹서비스의 취약성에 대해서도 근본적인 대책 수립이 부족한 부분이 존재한다. 원인제거의 역할로 SDLC (Secure Development Life Cycle)를 강조하나 변화가 빠른 웹 Application의 개발현황에 적용 하기에는 매우 더디고 느린 흐름이라 할 수 있다. 강조되어야 하는 부분은 맞으나 장기적인 로드맵을 가지고 움직여야 하며 단기적인 효과는 매우 부족한 부분이라 할 수 있다.

 

과도한 트래픽을 전송하는 DDos 의 경우 현재의 네트워크 장비와 산발적인 노력으로는 한계에 부딪혔으며 모든 문제가 연결되어 발생이 되고 있다. 네트웍적인 현상만으로 대책을 수립하기에는 한계에 도달 하였으며 근본 원인제거 및 일시적이고 체계적인 대응으로 문제의 원인과 악성코드들의 제거만이 해결책이 될 수 있다. Hybrid DDos의 경우 정상 트래픽 위장도 매우 손쉬우며 정형적인 패턴을 찾기가 어려울 수가 있어서 네트워크 장비 단위에서는 처리가 매우 어려울 것으로 보인다. 비정상 패턴을 탐지 하는 것 조차 어려움에 도달 한 상황이라 할 수 있다.

 

 즉 개별 보안 산업의 노력으로는 한계에 도달 하였다고 볼 수 있다. 원인제거 + 초기 감염 탐지 + 대응 + 트래픽 이상 유무 판단  등과 같은 Action들이 동시적이고 대규모로 이루어 지지 않으면 지금의 상황은  대응이 불가능한 상황이다.

 

 

창의적인 노력이나 고민은 어디에 있었을까? 현상을 지배할 만한 창의적인 노력은 어디에 있었을까?. 당장 내일의 매출을 고민하는 것도 중요하지만 연구와 치열한 고민이 부족하였다. 인력 부족은 늘 상 언급 되는 것이지만 상반되는 각고의 노력이 없는 일상적인 불만이나 고민은 사소하게 치부될 따름이다. Security라는 측면에서 IT서비스를 보호하기 위해 얼마나 많은 노력을 하였는지 냉철하게 되짚어 볼 필요성이 있다.

 

SQL Injection이나 XSS 취약성을 막기 위해 Web 보안 장비를 도입을 한다. 그러나 여러가지 방안에 의해 우회가 계속 되고 있고 새로운 유형의 문제들이 계속 발생이 된다. 지금의 Wild network 현장은 2000년 이전의 정형화된 패턴의 문제들이 존재하는 환경이 아니다. 지금의 환경은 다양한 웹 솔루션의 개발과 환경의 발전으로 다양한 매개체와 환경을 종합하고 분화하며 또 새로운 부분을 만들어 낸다. 즉 문제도 매우 빠르게 진화하는데 고정적인 패턴만으로는 금새 한계에 부딪힌다.

 

개인정보의 유출을 막기 위해서는 노출되는 요소를 줄이는 것도 중요하지만 기술적인 부분에서 큰 방향성을 잡고 세부기술로 적용하는 것이 필요하다. 현상만을 바라 보는 것은 기둥도 없는데 큰 비를 막고자 지붕만 올린 상황이다. 기둥이 중요하다. 지금 국내의 정책 현실은 어떠한지도 되돌아 볼 필요가 있다. 비가 가랑비라면 다행이나 가랑비가 아닌 폭우가 내리는데도 기둥 없는 지붕만 수선을 하고 있지는 않은지 느껴야만 될 것이다.

 

 

정보와 지식을 공유하고 또 하나의 실제와 연계된 생활이 이루어 지고 있는 현재의 IT 서비스는 개인정보 유출을 위한 악성코드와 IT 서비스를 직접 위협하는 DDos 공격 유형으로 인해 압박을 받는 형국에 처해 있다.  이제 살릴 수 있고 보호 될 수 있는 큰 그림은 무엇이 있을지 짚어 보도록 하자.. 계속.

 

 

 

Posted by 바다란

안녕하세요. 바다란입니다.

 

전체적인 이슈 사항이 의미있고 중차대한 부분을 지니고 있어서 올리게 되는 글입니다.

개인적인 의견이므로 개인적인 의견으로 참고하시고 의견 주시면 되겠습니다.

 

IT 서비스 보호를 위한 개인 제안 -1

                                                                  Write by p4ssion.

지금의 IT 서비스는 사회 전반에 걸쳐 많은 영향력을 끼치고 있으며 생활상에 있어 지대한 영향을 미치고 있다. 모든 공공서비스 및 생활 관련된 부분에 영향을 미치고 있으며 또한 시너지 효과를 냄으로 인해 사회의 발전과 프로세스의 개선, 국가의 발전에 큰 기여를 하고 있다고 볼 수 있다. 유형/ 무형의 IT 서비스 부분에서 지금까지 가장 크게 강조된 부분은 유형의 물리적인 장비 부분이 두각 되었으나 지금도 모습을 갖추고 있는 서비스로서의 발전 부분은 향후 더욱 큰 역할을 할 것이 자명하다.

 

IT 서비스의 보호라는 관점이 왜 지금 시점에 중요한 것일까? 국내의 서비스는 시간이 지날수록 IT 서비스와 밀접한 관련을 가지게 되고 사회적으로도 더 큰 영향력을 미칠 수 밖에 없다. 단순하게 공격을 받거나 영향을 받는다는 점은 하나의 개별 서비스가 문제가 되는 것이 아니라 연관된 다른 부분들까지도 영향을 받는다는 것과 동일선상에서 볼 수가 있다.  지금까지는 보안전문 업체 및 네트워크 장비, ISP 등에서 많은 취약요소와 문제점들을 커버 하였으나 지금 서비스 보호를 위한 제안을 하는 시점에서는 한계치에 도달 했다고 판단된다. 한계치라는 것은 개별 서비스 단위에서 보호를 할 수 있는 시점이 아니라는 점이다.

 

국내의 110만여 개 이상의 웹 서비스가 활성화 되어 있고 전국민의 2/3 가량이 인터넷에 노출이 되어 있는 상황에서 시급하게 해결을 해야만 하는 문제들이 돌출 되고 있으며 초기 단계에서 해결 방안을 수립 하지 못할 경우 향후에는 더 큰 피해를 감당해야만 할 것이고 그때에는 지금 보다는 더욱 큰 충격이 있을 것으로 예상이 된다.

 

개인적인 입장에서 현재 발생 되고 있는 Security 관련 이슈들은 중대한 국면에 진입 하였으며 IT 서비스 전체에 영향을 미칠 수 있는 사안으로 볼 수가 있다. 많은 부분을 논하기 보다는 Security라는 측면에서의 위험도와 영향력을 살펴 보도록 한다.

 

크게 DDos 관점과 악성코드의 관점 두 가지 측면에서 살펴 보면 전체의 위험성이 간결하게 드러날 것이다.

 

http://www.hankyung.com/news/app/newsview.php?aid=2007062556301

올해 상반기에 있었던 에스토니아의 시스템 중단과 관련된 연관 기사이다. 에스토니아의 경우 기사에서 설명하듯이 전국민의 절반 이상이 IT 서비스를 이용한 생활을 하고 있었으나 3주간에 걸친 DDos 공격으로 인해 이동통신망 및 은행 , 공공 서비스 등이 전면 중단되었음을 확인 할 수 있다.

 

l       DDos에 대한 사전적인 정의는 여기를 참고하자.

http://terms.naver.com/item.nhn?dirId=700&docId=3305

 

일반적으로 DDos란 대량의 접속 요구를 시스템에 집중 시켜 정상적인 처리를 하지 못하도록 하는데 있다. 다만 2000년 초에 있었던 DDos 유형과 지금의 DDos 유형과의 차이점은 보다 더 교활해 졌다는 점에 차이가 있으나 근본 유형은 동일하다 할 수 있다. 변화된 유형에 대해서는 포괄적인 방식과 유형에 대해서만 간략화 하도록 한다.

일반적인 사용자들이 알고 있는 유형의 서비스 거부 공격은 DoS 공격이며 하나 혹은 소수의 시스템에서 과다 접속을 일으키는 유형이다. 해당 유형은 대부분 네트워크 장비나 보안 장비에 의해서 걸러지며 전체 시스템에 영향을 미치는 비율은 매우 미미하다. 그러나 현재에 발생되고 있는 유형은 대규모 시스템을 동반하는 DDos가 일반적인 유형이다.

 

최근 가장 이슈가 되고 있는 아이템 거래 업체에 대한 DDos 유형은 특이할 만한 사항이 존재한다. 이 특이 사항으로 인해 본 제안을 작성하게 되었다.

 

http://www.inews24.com/php/news_view.php?g_serial=289309&g_menu=020500

http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1000325793

 

아이템 거래 업체에 대한 DDos 공격으로 인해 추석 이전부터 3주 가까이 모든 아이템 거래 업체의 서비스가 중지 되었으며 일부 업체는 ISP와의 계약 해지가 되기도 하였다. ISP의 계약해지는 전체 ISP내의 가입자를 보호하기 위한 조치이나 서비스 산업을 붕괴시킬 수도 있는 단초를 제공하고 있다.

 

이번 DDos 공격의 특징은 다음과 같다.

 

l       대량의 국내 DDos Agent 운용

l       국내의 개인 PC DDos Agent 유포를 위해 웹 해킹을 사용함

l       컨트롤 서버를 찾기 어렵도록 다단계 형태의 컨트롤을 사용함

n         상위 명령 서버 -> 여러 단계 , 수십 대의 중간 컨트롤 서버 -> 최종 Agent

l        트래픽 랭킹 100위 이내의 업체에 대한 과감한 공격

l       실시간 공격 유형의 변화 UDP, TCP , ICMP

 

일반적인 기사로 보면 중국에서 해당 트래픽이 유입된 것으로 오해하기가 쉽다. 그러나 현재 발생하고 있는 DDos 공격은 국내에서 대부분 발생이 되고 있다. 다만 해외에서 컨트롤을 하고 있는 유형이며 국내의 취약한 서비스들을 통해 다수의 불특정 사용자에게 악성코드를 유포하고 있으며 기존의 사용자 정보의 탈취에서 벗어나 시스템에 대한 완벽한 제어 , 실시간 통제, DDos 공격 기능 과 같은 종합적인 기능이 포함된 악성코드를 통해 IT 서비스 전체를 위협하고 있음을 알 수 있다.

이번 2007 9월부터 시작된 DDos 공격 유형은 이미 지난해부터 금전을 요구하는 DDos 해킹이 일반적으로 있었으나 이번에는 공개적으로 드러내 놓고 진행 했다는 점이 차이가 있다. 그만큼 운용 도구의 폭과 공격의 유형을 다양화 해 놓았을 것으로 판단된다.  이번 공격에서 유추된 기존의 DDos와의 차이점은 다음과 같다.

 

l       실시간 통제

n         기존의 IRC Bot과도 유사하다고 볼 수 있다. Virut 바이러스도 특정 사이트에 대한 DDos 공격 유형을 가지고 있었으나 고정된 주소와 고정된 공격 유형을 가지고 있었다는 점이 다르다. 즉 실시간 통제가 된다는 이야기는 공격 대상의 변경과 공격 방법의 변경이 실시간으로 가능하다는 점이며 이 실시간 통제로 인해 기존의 DDos 대응 방법으로는 대응에 어려움이 존재하였을 것이다. 그래서 트래픽 규모로 상당한 수준에 있는 사이트 임에도 불구하고 속수무책 이였을 것으로 예상된다. 공격하는 Agent를 실시간으로 다양한 트래픽의 공격을 수행하는 것이 가능. TCP , UDP , ICMP 각각에 대해 공격 유형이 있을 수 있으며 고정된 패턴을 가지지 않다 보니 차단과 식별에 어려움이 존재 하였을 것이다. 또한 공격 IP를 위조함으로써 차단 및 식별에 혼선을 많이 주었을 것이다.

n         명령 서버와 Control 서버의 분리 및 다수의 중간 명령 서버 활용 하여 공격이 사이트 차단으로 인해 중단 되는 점을 예상하고 대응 방안을 수립하였다. 정확하게 이번 이슈와 관련하여 중간 전달 서버가 몇대가 존재하는 지는 정확한 파악이 어려울 것으로 보인다. 또 컨트롤이 직접 가능하다는 점에 있어서 수시 변경이 가능한 부분이다.

 

l       Web을 통한 DDos 공격 모듈의 유포

n         보다 진보된 공격 유형의 하나로 볼 수 있다. 이전까지의 웹을 통한 악성코드 유포는 사용자 정보 획득을 위한 동향으로 확인을 할 수 있는데 이제는 Web을 통한 악성코드 유포가 DDos 기능 및 원격 컨트롤 기능까지도 보유함을 볼 수 있다. 지금까지의 대응 방식으로는 한계를 보일 수 밖에 없으며 신규 유형의 악성코드일 경우 ( 기존 AV 업체들이 발견된 샘플에 대해서만 대응을 한다고 보았을 때 사용자의 시스템에 특별한 영향을 주지 않거나 인지가 어려운 악성코드의 경우 발견 및 탐지, 대응이 매우 어려울 것으로 예상된다.) 폭 넓은 전파 범위를 지님으로 인해 빠른 시간에 최대의 효과를 거둘 수 있는 공격유형으로 정의가 가능하다.

l       트래픽 랭킹 상위 업체에 대한 노골적인 공격

n         그동안 DDos 공격이 이루어진 업체는 드러내 놓고 사업을 하기 어려운 부분의 서비스 업체이거나 영세 업체가 주를 이루었으나 아이템 거래 업체에 대한 공격은 트래픽 상위랭킹에 포진한 업체를 대상으로 과감하게 이루어졌고 3주 이상을 정상 서비스를 불가한 상태로 몰아 넣은 것으로 볼 때 향후에는 ( 머지 않아..) 그 이상의 상위 랭킹 서비스 업체에도 영향 및 파급효과가 있을 것이다. 더욱이 더 이상 노출 되는 것을 두려워 하지 않는 대담한 공격은 지금까지의 작은 업체들에 대한 공격을 통해 대응이 어려움을 인지한 것도 영향이 있을 것이다. 지금까지 DDos 측면에 대한 대응 측면에서 트래픽의 과다한 유입을 해소하는 측면에만 방향성을 맞추었는데 더 이상 물리적으로 해결이 어려운 상태에 도달 하였고 이 점은 국지적인 대응이 아닌 전체 서비스 차원의 일원화된 대응이 필요함을 상기 시킨다. ( 이 부분에 대한 내용은 마지막 Article에서 단계별로 나누어 설명을 하도록 한다.)

 

앞서 언급한 세 가지의 특징으로 미루어 보아 Attack Trend를 갱신 해야 할 필요성을 느꼈으며 갱신된 결과는 다음과 같다.

그동안 알려진 일반적인 공격 유형에서 Hybrid DDos Attack이 추가 되었으며 Hybrid라는 의미에는 프로토콜의 자유자재 변경만이 있지는 않다. 명령 서버와 컨트롤 서버를 이용한 구조 및 실시간 통제가 가능한 점에서 기존의 획일화된 공격 Agent와 다른 유형을 포함한다. 또한 유포 방법에 있어서도 웹을 통한 악성코드 유포가 사용이 되어 보다 더 폭넓고 불특정 다수에 대한 공격코드의 설치가 가능해진 점도 Hybrid라는 의미에 포함 될 수 있다.

공격 기법적인 측면에서는 다음과 같이 볼 수 있다.

 

붉은색으로 표시된 부분을 보면 자동화된 툴을 사용함으로 인해 공격자들의 수준이 낮아졌으나 현재는 우회 혹은 컨트롤 하는 기법들이 복합화 됨에 따라 지식수준도 상향 되고 있는 것으로 보인다. 웹을 통한 악성코드 유포에 DDos 기능까지 첨가된 악성코드가 웹을 통해 유포됨으로 인해 현재의 서비스 환경은 아는 자들에게는 재앙과 같은 현실이고 그렇지 않은 자들에게는 답답한 현실이다.

...계속.

Posted by 바다란