태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'IT·컴퓨터'에 해당되는 글 70건

  1. 2010.07.12 [컬럼] Digital pest - 지금은 더 힘든길로 진입
  2. 2010.04.27 보안 전문가와 보안 관리자의 차이와 구분에 대해
  3. 2010.04.27 베토벤 바이러스 그리고 보안 전문가
  4. 2010.04.27 공개] SQL Injection and XSS 진단 tool
  5. 2010.04.27 IT보안의 현재 위험과 대응에 대한 예상
  6. 2010.04.27 Top 25 프로그래밍 에러
  7. 2010.04.27 SQL injection 공격 변화 & 중국발 해킹 요약
  8. 2010.04.27 [컬럼]Small World의 Security- Twitter,Facebook
  9. 2010.04.27 Sourceforge 등록 - 효과 있는 웹 스캐너 개발 참여
  10. 2010.04.27 [컬럼]Mass sql injection, 대응과 현실 2008.9
  11. 2010.04.27 IT리스크의 현실- 글로벌 보안 위협 -2
  12. 2010.04.27 [컬럼]IT관리자들의 10가지 실수- 두번째
  13. 2010.04.27 [컬럼] IT 관리자들의 10가지 어리석은 실수들-1
  14. 2010.04.27 Inevitable cyber warfare II
  15. 2010.04.27 DDoS 그리고 IT 서비스의 위험
  16. 2010.04.27 중국발 해킹을 끝내고 싶은가? . Mass sql injection
  17. 2010.04.27 중국발 사이버 침해 - 조직적, 대규모
  18. 2010.04.27 재미라고 하기엔 심각한 SCADA & DCS
  19. 2010.04.27 [컬럼] 인터넷 뱅킹 해킹의 이면
  20. 2010.04.27 위기의 인터넷 -컬럼
  21. 2010.04.27 예고 - 공인인증서 관련 컬럼
  22. 2010.04.27 사이버전 II - 국제정세, Scada
  23. 2010.04.27 사이버 보안, 인터넷 그리고 철학
  24. 2010.04.27 빗나간 논란? - 과연 이해는 되셨을런지?
  25. 2010.04.27 빗나간 공인인증서 논란- 하
  26. 2010.04.27 빗나간 공인인증서 논란 -상
  27. 2010.04.27 불황,Black Market, Security Industry 미래 예상
  28. 2010.04.27 보안성 검수가 왜 중요한가? - 바다란
  29. 2010.04.27 기사분석- 미 신용카드 정보 유출에 대해
  30. 2010.04.27 개인을 위한 개인 정보 보호 실천 가이드 - 바다란

올해 초에 기고한 글이지만 지금의 상황은 더 적절하게 맞아 들어가고 있다.
예상이 맞아 들어간다는 것은 더 안 좋은 길로 최적의 코스로 진입하고 있음을 의미한다.
디지털 페스트 혹은 인터넷 상에 연결된 다수의 Agent (사용자 PC 및 기타 단말 - 스마트폰)에 번지는 악성코드의 흐름은
근본적인 원인 제거가 되지 않음으로 인해 향후에도 오랜기간 지속될 문제이고 비단 클라이언트 단위만의 문제가 아닌 더 심각한 흐름으로 전환이 될 것이다.  아이튠즈나 유투브의 xss 영향은 아주 미세한 일부분일 뿐이다.

이것과 관련된 내용도 곧 컬럼으로 게재할 예정이다. 2010.07


zdnet 컬럼 기고 글입니다.


디지털 페스트

 

 

디지털 페스트라는 용어 자체는 존재하지 않는다. 비유적인 의미에서 사용된 용어라고 할 수 있다. 빠른 전염속도와 중세의 유럽을 공포에 가까운 치명적인 상황까지 밀어 넣은 전염병과 같은 상황에 인터넷이 놓여져 있음을 비유하고자 2008년 5월에 처음으로 디지털 페스트라는 제목으로 블로그에 글을 쓴 적이 있다.

 

 

왜 디지털 페스트인가?

접촉에 의해 무차별적으로 감염이 되는 현상이 있고 인터넷 상의 생활을 치명적인 상황까지 이끌고 인터넷으로 촉발된 문화와 경제활동에 치명적인 영향을 주기 때문에 디지털 페스트라 할 수 있다.  중세와 달라진 것은 없다. 단지 활동 무대가 실제의 생활이 아닌 인터넷의 생활로 옮겨졌을 뿐이다. 실생활과 밀접한 연관을 가질 수 밖에 없고 앞으로 더 커질 수 밖에 없는 인터넷의 영향력은 두말할 필요가 없다. 그만큼 위험성도 높을 수 밖에 없으며 앞으로 더 많은 영향을 미치게 될 것이다.

 

2008년 5월의 디지털 페스트 인식의 시작은 2008년 4월에 있었던 전 세계적인 웹서비스 변조 사건과 맞물려 있다. 세계적으로 50만대에 달하는 웹서비스가 변조를 당해 악성코드를 유포한 사례는 치명적인 결과를 초래 할 수 있으며 앞으로 그 결과를 목격하게 될 수밖에 없음을 밝힌 바 있다. 이제 그 빙산의 일각을 만나보자.

 

 

2010년 3월 스페인에서 발견된 사상 최대의 봇넷 조직은 개연성을 태연하게 증명하고 있다. 누구나 할 수 있는 예상이고 예상된 규모라고 할 수 있다. 

(http://www.abc.net.au/news/stories/2010/03/04/2835930.htm?section=world)

간략하게 기사를 살펴보면 1800만대의 PC에 설치된 악성코드를 원격에서 조정 할 수 있으며 이 모든 악성코드들은 개인PC에 대한 원격조정뿐 아니라 계정, 비밀번호와 같은 키 입력을 가로채고

모든 권한을 수행 할 수 있는 기능이라 알려져 있다. 현재 출현하는 대부분의 악성코드가 가진 특성과 동일한 특징을 가지고 있다. 운영자는 3~4명으로 알려져 있고 적발 당시 80만명에 해당하는 개인정보들이 발견 되었다고 한다. 다른 기사에서는 이 그룹들은 1800만대의 PC중의 일부들을 임대해 주고 비용을 받는 등의 목적으로도 활용 되었다고 한다. 1800만대의 좀비 Pc들은 포춘 1000 리스트의 절반에 해당하는 기업들과 40개 이상의 메이저 은행들의 네트워크에도 존재 하고 있었다고 한다. 공격자들이 과연 신비로운 기술을 이용해 1800만대의 PC를 감염시키고 운영했을까?

 

간략한 기사를 통해 우선 인식해야 될 부분들은 몇 가지가 있다.

규모적인 측면에서 1800만대에 해당하는 좀비 PC들의 네트워크를 어떻게 가질 수 있었느냐 하는 것이고 이 거대한 규모를 3~4명 정도가 운영 하고 있었다는 점 그리고 부분적인 임대를 통해 수익을 추구했다는 점이 가장 큰 특징으로 볼 수 있다. 개인정보의 전면적인 유출은 규모를 추산하기 어려울 정도이다.

 

그렇다면 1800만대를 어떤 방식으로 감염 시킬 수 있었는가 하는 점을 살펴 보아야 하고 보안 설정과 장비들이 고도로 도입된 세계적인 기업들과 폐쇄적 네트워크 환경을 갖춘 은행권에는 어떻게 침입과 전파가 가능했는지도 궁금 해야 한다.

 

일반적인 바이러스와 웜의 형태로는 1800만대라는 규모를 감염 시키기가 매우 어렵다고 볼 수 있다. 무작위적인 바이러스와 웜 전파 형태는 반드시 주요 감시망에 걸리기 마련이고 대규모로 확산 하는 것이 매우 어렵다. 그렇다면 유포나 전파 방식은 어떤 방식을 썼을까?

 

필자가 보는 방식은 다양한 제로데이 익스플로잇을 통하는 것과 불특정 다수에 대한 감염을 가능 하게 할 수 있는 웹 서비스를 통한 전파가 복합적으로 일어 날 때 가능할 것으로 보고 있다.

 

모든 문제점들이 공개적으로 논의 되지는 않는다. 문제가 있는 부분은 일정기간을 거쳐 패치나 보완 형식을 통해 문제점이 제거가 된다. 단 문제가 알려졌을 때만이다.

문제가 알려지지 않는다면 또 발견되지 않는다면 계속 진행이 된다.

 

 

< 참고 - http://p4ssion.com/112 디지털페스트 중>

 

위의 참고 이미지는 2008년 4월에 작성한 개요를 나타내고 있다. 이 당시의 50만대 가량의 웹서비스 변조 이슈가 향후 어떤 문제를 초래 할 수 있고 어떤 영향을 미칠 수 있는지에 대한 문제의식은 높지 않았고 지금도 별반 달라지지는 않았다. 조금 더 많은 사람들이 알아가고 있는 중이라는 의미 외에는 특별한 교훈도 주지 못한 상태이다.

 

순서적으로 대량 SQL 삽입 공격 (Mass sql injection) 공격을 통해 무차별적으로 웹서비스를 해킹을 하여 악성코드를 유포 하도록 하고 이 악성코드는 Zeroday 공격코드를 포함하도록 한다. 그리고 웹서비스를 방문하는 모든 사용자들은 감염이 된다. 이후에는 공격자가 운영하는 봇넷에 연결이 이루어 지고 그 이후에는 모든 개인적인 비밀을 잃어 버린 좀비의 상태가 된다.

 

2008년의 상황과 달라진 상황들도 현재의 악성코드 유포 현황을 관찰해 보면 존재 하고 있다.

 

현재 관찰 되고 있는 바로는 공격자들도 다운로드 되는 악성코드를 실시간으로 관찰하고 변경 하는 것을 볼 수 있다. 신규 악성코드 유형이나 제로데이 취약성이 발견되면 불과 몇 시간 내에 다운로드 되는 악성코드의 특징이 바뀌고 있다. 이것은 실시간으로 운영이 되는 유포 관리 봇넷이 별도로 관리되고 있음을 의미 한다. 공격자들의 진보는 상당히 빠르게 움직인다. 일반 웹서비스를 침입하여 특정 악성코드만을 다운로드 되게 하는 방식을 벗어나 유포되는 악성코드도 실시간으로 변경 하도록 구성이 되어 있다고 확신 한다.

 

유포관리 소규모봇넷 -> 악성코드 다운로드 서버 -> 악성코드 유포 서비스 -> 일반 사용자

일반사용자 PC에 설치된 악성코드들은 대규모 봇넷으로 다시 활용이 된다.

 

악성코드를 유포하는 서비스를 구축하기 위해 대량 공격을 감행하고 다운로드 하는 서버의 주소를 페이지 소스에 첨가 시킨다. 공격자들은 다운로드 서버에 올려지는 악성코드를 실시간으로 관리하면서 변경을 한다. 즉 새로운 공격은 공격코드가 출현하면 3~12시간 이내에 업데이트가 발생 되게 되고 일반사용자들에게도 직접적인 영향을 미치는 구조를 가지고 있다.

 

모든 악성코드는 이제 단 하루 정도면 갱신이 되고 업데이트 및 배포 구조를 가질 수 있는 상황인 것이다.

 

보안장비 및 보안도구들 조차도 하지 못하는 구조를 이미 구축한 상황에서 인터넷 자체는 심각한 상황에 처해 있음은 두말 할 필요가 없다. 디지털 페스트는 이미 현실에 깊숙이 들어온 형국이며 1800만대라는 수치도 빙산의 일각일 뿐이다. 댓수의 규모 보다 봇넷 그룹을 운영하는 자들은 얼마나 많을 것이며 중복된 봇넷 이외에도 얼마나 많은 수치의 봇넷이 존재 할지는 상상하기 어렵다. 악성코드를 유포할 수 있는 대규모 공격도구를 갖추고 인터넷 서비스를 공격하며 무차별적으로 악성코드를 사용자들에게 유포한다. 스마트폰 이나 IPTV등을 가리지 않고 인터넷을 보거나 연결이 되어 있는 대부분의 기기들에게도 동일한 위험성이 존재한다.

 

인터넷에 연결 되어 있으면서 위험으로부터 안전한 기기는 존재하지 않는다. 지금껏 문제가 발생 되지 않은 소프트웨어들은 존재하지 않으며 안전한 운영체제도 존재하지 않는다.  이것은 현실이다. 디지털 흑사병은 그 전파력만큼이나 심각성이 높으며 앞으로 영향력은 더 커질 것으로 예상 할 수 밖에 없다. 2년 전의 위기감은 그리 멀지 않은 미래에 현실화 될 수 밖에 없다는 위기감이나 막상 현실에 도달한 상황에서는 개인으로서 어찌 할 수 없는 현실에 좌절감을 느낄 뿐이다.

 

대책은 짧게 세 가지 정도의 큰 줄기를 가진다.

-                    Web application에 대한 취약성 제거

-                    Malware 유포에 대한 신속한 협의체 구성

협의체 구성도 해당 되지만 통일된 프로세스 및 대응체계를 만드는 것이 가장 중요하다. 2010년 들어 미국의 백악관에서 아인슈타인2 라는 일괄 대응이 가능한 장비를 전 기관에 배포 하는 움직임도 동일한 관점의 노력이다. 아직 그 누구도 제대로 시작하지 못했다.

-                    서비스 단위 정보유출 방지를 위한 노력

 

대책은 빠를수록 좋다. 이 대책 조차도 2008년에 작성한 글에 존재하고 있다. 디지털 페스트라는 글에서 작성된 내용을 간략하게 아래에 인용한다. 원문은 블로그를 참고 하시면 된다.

 

아무도 없는 길에서의 외로움은 상상 이상이다. – 바다란

 

  -----------------------------------------------------------------------------------------------------------

 

공격대상: 전 세계의 Web service를 공격하여 악성코드를 확산

공격목표: 전 세계의 개인 Client PC에 대한 권한 획득 및 중요정보 탈취

 

 

새로운 공격코드의 출현과 새로운 zeroday exploit의 출현은 피해를 기하급수적으로 늘릴 것입니다. 지금까지와 같은 몇 만대, 몇 십 만대의 규모가 아닌 몇 천만대를 기본으로 가지게 될 것입니다.

 

 

공격시나리오:

 

1.      신규 Zeroday exploit을 발견 혹은 구매 ( MS 운영체제가 가장 효율적이므로 MS 계열에 집중할 것이 당연함)

2.      Malware에 키보드 후킹 및 중요 사이트에 대한 접근 시 정보 탈취 코드 탑재

      S.korea 에서 발견된 DDos 가능한 Agent의 탑재 가능

      동일한 기능이지만 대규모 Botnet의 구성 가능

3.      Malware를 유포할 숙주 도메인에 코드 추가

    Malware를 유포하는 링크 도메인으로서 08.4월에 발견된 경우처럼 1.htm ,1.js등의 코드로 특정 사이트 해킹 이후 해당 파일의 추가를 할 것임

      국가에 따라 수십에서 수백여 개의 링크 도메인을 확보 할 것임

4.      대규모 도메인 스캔도구를 활용 주요 도메인에 대한 악성코드 유포루틴 Add

      검색엔진 활용 또는 자체 보유한 도메인 리스트를 활용하여 순차적으로 공격을 시행

      공격 시 취약성이 발견되면 자동적으로 DB권한 획득 및 획득한 DB의 권한을 이용하여 웹 소스코드의 변조 시행

      현재 발견된 코드는 DB 테이블의 내용에 악성코드를 추가하는 루틴 이였으나 조금 더 코드가 갱신되면 충분히 웹페이지 소스코드에 교묘하게 위장하는 것이 가능함

5.      대규모로 유포된 악성코드를 활용한 금전적인 이득 취득

- 특정 사이트에 대한 대규모 DDos 공격 현재 상태의 malware 유포 규모라면 대응 불가

-      특정 온라인 게임 ( 세계적인 게임- Wow? ) 및 금융 관련 사이트에 대한 키보드 입력 후킹 ( 사용자의 정보 유출 )

 

온라인 게임 및 온라인 증권사에 대한 위험성이 높음 . 부수적인 인증 수단을 가지고 있는 경우 ( ex : otp , secure card )를 제외하고는 모든 대상에 대한 위험성 존재

 

* 4번 항목에서 발견된 악성코드 유포를 위한 웹사이트 변조가 08.4월에 발견된 카운트만 전 세계적으로 50만개의 개별 웹서비스(일부 중복 결과라 하여도 예상 결과는 변하지 않음)에 해당됩니다. 악성코드 유포 규모는 최소 천만 단위를 상회할 것으로 추정되며 Zeroday exploit에 따라 그 규모는 몇 십 배로 늘거나 백만 단위 규모로 확대 될 것으로 예상됩니다.

 

 

 


Posted by 바다란

보안전문가와 보안관리자의 차이와 구분에 대해

 

 

안녕하세요. 바다란입니다.

 

일전에 보안전문가에 대해서 한번 써보기로 했었는데 생각해 보니 범위도 매우 넓고 세부기술 단위도 많은 문제가 있었습니다. 그리고 보안이라는 부분이 모든 IT 관련된 기술 부분과 연관되다 보니 적용의 범위와 산업의 범위를 어디까지로 두어야 할지 경계가 모호하여 적지 못한 적이 있습니다.

오늘은 IT서비스 부분에 대해 전체의 범주는 아니지만 많은 부분 포함이 되는 범위 안에서 보안전문가와 보안관리자에 대해 써보도록 하겠습니다.

 

보안전문가와 보안관리자에 대해서 상당히 애매하게 접근을 하고는 합니다. 그러나 일반적으로 알려진 상식으로 구분을 해보면 보안전문가는 보안 관련된 기술을 깊이 있게 이해하고 있고 실제 적용이 가능한 상태로 만들 능력을 지니고 있는 자를 의미합니다. 보안관리자는 보안정책에 대한 집행과 이행 , 시스템에 대한 관리 등등 다양한 부분을 책임지고 있는 자라고 할 수 있습니다.

전문가는 기술에 대한 전문가이고 관리자는 관리능력과 책임을 지닌 담당자라고 일반 경계를 그을 수 있을 것 같습니다. 보안전문가와 보안관리자는 Specialist Generalist라고 볼 수 있으며 일반 기업에서는 보안관리자는 Generalist여도 되나 IT서비스를 주된 업종으로 삼는 곳에서는 특정 부분[기술적인 부분]에서 Special한 능력을 일정수준이상 보유한 Generalist가 보안관리자라고 할 수 있습니다. 세부적인 기술에도 익숙하고 전체적인 부분에 대해서도 이해가 가능하며 책임의식이 있는 부류를 보안관리자라 칭할 수 있을 것입니다. 보안관리자는 또 두 가지 큰 부류로 나눌 수 있습니다. Manager Officer의 차이점이라고 할 수 있는데 후반부에 기술 하도록 하겠습니다. Security Manager의 속성에는 지켜야 할 대상에 따라 두 가지 부류로 나눌 수 있습니다. 고정 자산에 대한 보호를 위한 정책적인 보안관리자와 서비스에 대한 보호를 위한 Special Security Manager로 나눌 수 있습니다. 지켜야 할 대상이 무엇인가에 따라 부류가 달라진다고 보면 됩니다. General Security Manager Special Security Manager에 대한 차이는 보안관리자 부분에서 다루도록 하겠습니다.

 

IT 서비스를 구성하는 요소는 시스템 , 네트워크 , 서비스로 한정할 수 있습니다. 시스템과 네트워크는 이미 기본으로 갖추어야 하는 능력이며 서비스 [  , 게임 , Application 등등 ]에 대한 능력은 새롭게 강조되고 요구되는 능력입니다. 사실상 가장 중요하고 IT서비스에 막대한 영향을 미칠 수 있는 부분이기도 합니다. Web 2.0에서 사용자와의 인터페이스가 가장 중요한 부분인 IT 서비스 부분에서는 서비스에 대한 보안기술 능력은 더욱 중요한 부분이 됩니다. 범위를 한정하여 IT 서비스를 주된 업종으로 삼고 있는 업계에 한정하여 보안전문가가 갖추어야 할 요건은 다음과 같습니다.

 

보안전문가 [ IT Service 부분]

 

해커의 길에 유사한 내용들이 포함 되어 있습니다.

해커의 길 I : http://p4ssion.com/233

해커의 길 II: http://p4ssion.com/228

 

-         네트워크 보안 기술 : 네트워크 분야의 기본적인 보안 구성에 대한 이해가 가능하며 네트워크 구성도에 대한 이해가 명확해야 합니다. 취약지점과 보완해야 될 부분에 대해서 정확하게 지적할 수 있을 정도의 능력이 요구 됩니다. 또한 네트워크 보안장비에 대한 기본 이해도 충분해야만 합니다.

 

-         시스템 보안 기술:  각 서비스 하위 단위를 구성하고 있는 물리적인 단위인 각 개별 시스템 및 운영체제들에 대한 이해도가 충분하게 높아야 됩니다. 운영체제의 종류도 여러 가지가 있지만 대체로 *BSD 계열과 Windows 계열에 대한 충분한 이해와 일반 운영인력들 보다 나은 능력을 보유하여야만 됩니다.

 

-         Application 보안기술: 다양한 부분이 있습니다만 만들어진 부분에 대한 보안요소를 강조하는 의미에서 Web , Database에 대한 보안 기술과 구성요소에 대한 이해가 되어야만 합니다. Game의 경우에는 게임 내에서 발생하는 Abusing에 대한 분석능력도 충분하여야 하며 Service의 경우에는 Service에 대한 Abusing 대응과 분석이 가능한 능력이 있어야만 합니다. 이 부분에서 다양한 요소기술이 요구 됩니다.

 

n         Programming 능력: 개발이 가능한 능력이 있어야만 본질적인 보안상의 문제 이해와 지적이 가능합니다.

 

n         구조에 대한 이해: 오랜 시간이 소요되지만 서비스의 구성과 구조, Process에 대한 이해가 있어야만 게임이든 서비스든 Abusing에 대한 분석과 대응이 가능합니다.

 

n          Application [ 상용 또는 자체개발 ] 보안 취약성의 동향과 흐름에 대해 신속한 정보 수집과 전파 , 가공 능력을 지녀야만 합니다.

 

n         Reverse Engineering : 현상에 대한 분석을 위해 Binary 분석 능력을 갖추고 있어야 하며 최소한 이해는 할 정도는 되어야만 됩니다. Game의 분석을 위해서는 Binary 분석 및 Reverse Engineering 능력은 필수적인 부분입니다. 물론 어셈블리에 대한 이해도도 충분한 수준 이여야 겠죠?

 

-         Penetration Test 능력: 일반적으로 모의해킹이라고 부릅니다. 시스템 / 네트워크/ Application을 총체적으로 이해하는 상황에서 각 분야별로 침입을 시도합니다. 현재에는 시스템 및 네트워크 부분에 대해서는 상당부분 강화가 많이 되고 차단이 되는 상태라 주된 초기 침입지점은 Web을 통한 침입지점이 많습니다만.. 침입 이후에 진단되는 부분은 시스템/ 네트워크 /Application 영역을 막론하고 모두 해당이 되므로 모든 부분에 대한 능력을 보유하고 있어야 됩니다. 최소한 어느 곳에 어떤 정보가 있고 이런 유형에는 어떤 문제가 있다라는 Feeling이라도 지니고 있어야 됩니다.

 

간략하게 살펴보면 나열된 유형의 지식이 존재하여야만 됩니다. 물론 이상적인 경우입니다. 최소한 언급한 네 가지 기술에서 2가지는 필수이고 다른 두 가지는 중급 이상의 능력을 지녀야만 어느 곳에서도 역량 발휘를 할 수 있습니다.

 

필수는 시스템/네트워크 보안기술이며 Application 보안기술과 Penetration Test 의 경우 중급 이상의 능력을 보유하여야만 합니다. 시스템/네트워크 보안 기술만 보유하여도 충분한 기술이라 할 수 있지만 장기적인 안정성은 부족하며 현재의 공격기술 발전상황을 따라 갈 수 없는 상황이라 할 수 있습니다.

모의해킹과 Application 보안 기술 각각만 하여도 충분히 인정 받을 수 있으나 장기적으로는 세부 기술에 대한 이해와 범위를 확대 하고 끊임없이 노력하여야만 장기적인 발전 통로를 확보 할 수 있습니다. 작금의 국내 보안인력들은 인력풀은 매우 협소하나 충분한 역량 발휘가 가능한 인력들이 다수 있다고 볼 수 있으며 각 세부부분에 너무 치중하여 전체적인 균형이 부족한 부분이 작은 흠이라고 봅니다. [ 물론 제가 이런 말을 할 입장은 아닙니다만 ^^ ; 사견이므로  용서가 되리라 봅니다.]

 

 

보안관리자 [Security Manager]

 

보안관리자라는 용어에는 앞서 서두에서 GSM[General Security Manager] SSM[Special Security Manager]라고 구분을 지을 수 있다고 하였습니다. 대상이 무엇이냐에 따라 달라집니다만.. General Security Manager의 구성요소는 일반적으로 많이 아시는 자격증을 생각 하시면 됩니다. CISA , CISSP등과 같은 유형은 보안의 폭넓은 부분을 다루고 있으며 깊이보다는 넓이에 치중을 하고 있습니다. 물론 물리적인 보안 부분도 넓게 다루고 있습니다. 지켜야 할 대상의 범주에 따라 구분을 하시면 됩니다. 서비스의 제공이 아닌 제품의 제조 또는 연구결과물에 대한 보호가 필요한 기업이나 굴뚝형 기업[지켜야 할 그 무엇이 있는 기업? ]의 경우 GSM[ General Security Manager 이후 약어로 GSM이라 칭함]의 역할이 필요합니다. 물리적인 보안 조치 및 정책적인 보호 이슈 등에 대해서 대비를 하고 준비를 하면 일정 수준 이상의 보안 대응이 가능합니다. 물론 일부 IT 관련된 보호 대책도 논의가 되고 있으나 그다지 특화된 서비스라 보기는 어렵습니다.

 

 

GSM[General Security Manager]

 

상당히 폭넓은 분야에 대한 상대적으로 가벼운 지식[?]이 필요합니다. 그 동안의 ISO 인증이나 정통부의 인증 부분도 유사유형이라고 볼 수 있으며 이런 인증들이 IT서비스의 위험을 막을 수는 없습니다. 그러나 최소한의 대응과 준비는 할 수 있게 해준다는 점에서 의의를 찾을 수 있습니다. 외부와의 접촉 통로가 물리적인 방식 외에는 없을 경우 이 부분에 대한 대책을 진행 하면 됩니다. 이 부분도 심도 있게 들어갈 경우에는 많은 고민이 필요합니다만 지켜야 할 그 무엇에 대한 관점에 따라 달라집니다. GSM이 관장하는 영역을 일반보안이라고 칭하기도 하고 산업보안이라고도 할 수 있을 것입니다. [ 대략적인 업무에 대해서는 알고 있으나 상세 발전 내용에 대해서는 자세히 알고 있지 못하므로 표현에 대해 넓은 양해를 바랍니다.]  물리적인 보안 및 PC 보안에 대한 부분과 통제 부분이 주된 부분이 되며  BCP [ Business Continuity Planning] 영역으로 넘어가 전사적인 비즈니스 연속성 관점에서 이루어 지기 위해서는 GSM 영역도 매우 사려 깊고 심도 있는 지식과 이해가 필요한 부분이 됩니다. 그러나 이해를 하기 위해서 필요한 지식 부분은 GSM 보다는 SSM 영역에서 BCP에 접근하는 것이 더욱 손쉬운 길이며 또한 BCP를 수행 하기 위해서는  보안전문가 영역의 수준을 이해 할 수 있어야 됩니다. 이제는 자연재해만이 재해가 아니며 대규모 해킹이나 지속적인 DDoS에 따른 장애도 BCP에 포함이 되어야 하기에 더욱 그렇습니다.

 

 

 

SSM [ Special Security Manager]

 

Special Security Manager라 불릴 수 있는 보안관리자는 이제 걸음마 단계라고 할 수 있습니다. 보안전문가 수준에서 올라 갈 수 있는 레벨이라고 보시면 됩니다. GSM이 다른 영역에서도 보다 손쉽게 초기에 진입을 할 수 있다면 SSM은 매우 어렵습니다. 상당한 기간의 보안전문가 수준을 거쳐야만 가능하기 때문입니다. GSM은 시장에 초기 진입은 쉬우나 발전 양상에 따라 매우 어려운 상황에 처할 수 있으며 중대 사고 발생시에 빠른 판단과 대응을 하지 못함에 따라 문제가 심각해 질 가능성이 있습니다.

 

보안전문가와 Special Security Manager와의 차이점은 몇 가지 안됩니다.

 

보안 전문가 영역에 대한 이해를 기본 바탕으로 하고 현재의 공격이나 위협의 흐름에 대한 인식과 배움을 게을리 하지 않은 SSM들에게 요구되는 것은 현상에 대한 판단능력과 위협에 대한 대응 능력이 가장 필요합니다.. 보안 전문가들이 개별 사안에 대해 문제점을 진단하고 위협을 나타낸 것을 가지고 전체 서비스 분야에서 이 문제가 어떤 파급효과를 가져 올 수 있고 향후에 어떤 위험이 될 수 있다는 것을 판단하고 과감하게 행동에 옮길 수 있어야만 SSM 이라 할 수 있습니다. 자리를 차지 하고 있다고 관리자가 아니며 판단과 책임이 동반됨을 인지하고 기민하게 움직이고 판단/ 대응 하는 능력.. 이런 능력을 지닌 자가 Special Security Manager라 할 수 있습니다.

 

한국의 IT서비스 역사는 일천합니다. 좋게 봐도 10년이 한계입니다.  IT서비스 역사에서 보안이라는 기술 부문은 매우 거친 환경에서 자생 할 수 밖에 없었고 더욱이 서비스에 대한 이해를 하고 있는 보안관리자는 거의 없다고 볼 수 있습니다. 이제서야 보안전문가들이 보안관리자 영역에 접근을 하고 있는 시점에서 보면 좀 더 많은 시간이 지나야 각 IT 서비스 부문에 대해 특화된 전문적인 보안관리자들을 만날 수 있을 것입니다.

 

대규모 해킹 사고가 나거나 백도어가 발견 되었을 때 취할 수 있는 행동에 따라 GSM SSM의 행동 동선과 사고의 동선도 다르며 손쉽게 구분이 될 수 있습니다. 실효적인 대응 조치가 무엇이고 당장 무엇을 해야만 하는지 또 보안대책의 이행에 따른 서비스의 장애가 충분히 감내 할만 하고 그만큼의 가치가 있는 작업인지에 대해서 기술적으로 판단을 하여야 합니다. 이런 판단은 SSM 만이 명쾌하게 내릴 수 있습니다. GSM의 경우는 IT 서비스 부문에서 현상에 대한 판단 능력과 위협에 대한 대응 능력이 느릴 수 밖에 없으며 서비스 부문에서의 대응에서 느림이라는 것은 종말과도 같은 결과를 가져오게 됩니다.

 

Global 부문에서도 마찬가지 입니다. IT 서비스를 하는 모든 기업들 [ 사용자와의 인터페이스를 중시하고 사업모델인 모든 기업]에게 SSM은 매우 필요한 존재이며 이런 존재는 보안전문가와 함께 전문가집단을 구성함으로써 완전함을 이룰 수 있습니다. 완벽하게 방어하는 것이 아닌 공격기술과의 격차를 최소화 하고 빠르게 대응하는 체제만이 향후의 IT 서비스에 긍정적인 역할을 할 수 있고 최선의 결과를 가져 올 수 있습니다

 

Web2.0이 화두입니다.

Web2.0의 기본 모토는 사용자와의 호흡입니다. 호흡을 하기 위한 도구로 Internet이 사용됩니다. Web2.0을 표방하는 기업은 이 호흡에서 이익을 창출합니다. 사람들은 모두 위험성은 외면한 채로 이득만을 바라봅니다. 그러나 이런 이득은 오래 지속 될 수 없습니다. 위험에 대한 대비가 없고 준비가 없는 상태에서는 기껏 이루어 놓은 것들 조차도 순식간에 사라질 수 밖에 없습니다

 

 

 

Security Manager Security Officer

 

보안관리자와 CSO [ Chief of Security Officer]의 차이는 경영을 보는 눈에 있습니다. 보안관리자는 현실에서의 최선을 추구합니다. 그러나 경영을 보는 관점에 따라 ..회사의 수익구조와 발전방향을 이해하고 있는 CSO에게서는 적절한 수준의 대응과 미래에 대한 준비를 고민 할 수 있습니다. 수익에 기여 할 수 있는 부분을 찾고 보안이라는 역할을 수익에 직접 기여 하고 가장 큰 위험요소를 전략적으로 선별하여 제거 하도록 하는 관점이 있습니다. 모든 부분에 힘을 쏟을 수 없으므로 중요한 부분을 찾아서 선별적으로 힘을 집중하여 대응을 하는 큰 그림을 그릴 수 있는 능력이 있습니다. 보안관리자와 CSO의 차이는  경영을 보는 관점과 수익창출에 기여 할 수 있는 부분을 가려내는 능력에 있다고 봅니다. 물론 CSO의 경우에도 기술적인 의견들에 대해서는 판단을 하여야만 합니다. 서비스의 중지라는 극단적인 선택을 택하면서도 이러한 선택이 장기적인 관점에서 이익임을 이해 할 수 있어야만 합니다. 서비스의 중지가 필요한 사안인지에 대한 판단능력을 CSO가 가지고 있어야만 함은 당연한 이야기입니다. 최소한 보안전문가와 보안관리자의 의견을 종합하여 분석하고 판단할 수 있는 능력은 있어야 CSO라 할 수 있을 것 같습니다.

 

Security Manager Security Officer는 아직 경험해 보지 못한 영역[물론 앞으로도.. ^^]입니다. 따라서 단편적으로 제가 보는 시각에서 논의 하는 것이 부적절 할 수 있습니다만 개인의 관점에서 바라본 입장임을 양해 바랍니다..

 

이상과 같이 Security Specialist  Manager [ GSM  SSM] , Officer에 대해서 나름대로 생각하는 부분을 정리해 보았습니다. 자판 가는 대로 쓰다 보니 어설픔이 곳곳에 배여 있습니다 GSM [ General Security Manager ]은 물리적인 보안 부분과 정책적인 보안 부분에 대한 집중도가 높습니다. SSM [ Special Security Manager]는 기술과 동향에 대한 이해도가 높으며 집중도가 높습니다. Specialist Generalist의 영역 관점에서 보았을 때 최소한 IT 서비스 보안이라는 부분에서는 Specialist가 더 중요한 존재입니다. SSM의 중요성이 GSM의 중요성 보다 더욱 크다는 이야기 입니다.

 

SSM은 키우기도 어렵고 서비스에 대한 이해도가 높아지기 위해서는 많은 시간이 필요한 부분입니다.보안전문가와 Special Security Manager의 조합은 변화무쌍한 Web 2.0 환경과 그 이상의 복잡한 환경에서 기업의 안정성을 보장하고 빠르게 변화하는 공격 기술로부터 IT서비스를 지킬 수 있는 조합이라 할 수 있습니다.

 

IT 서비스 측면에서 보안전문가와 보안관리자[SSM]의 필요성과 차이, 구분에 대해서 느끼는 대로  적어 보았습니다 마지막으로 국내의 IT서비스 환경에서도 보안전문가의 중요성과 각 서비스 환경에 능숙한Special Security Manager의 양성에도 많은 관심이 있었으면 합니다.

 

좋은 하루 되세요.   2007.3.6

 

* 사족으로 그 동안 여러 회사에서  Security manager들과 많은 일들을 해보았습니다만 보안은 행동하지 않으면 아무것도 없는 허상입니다. 말과 문서로 이루어 지는 것은 실제의 서비스에 많은 영향을 주지 못함은 당연한 사실입니다. 보안전문가의 말이 통하지 않고 판단이 늦어지는 문제는 IT서비스 부분에서 치명적인 결과를 가져온 것을 종종 보았습니다. ^^;

Posted by 바다란

베토벤 바이러스 그리고 보안전문가  - 2008. p4ssion *본 글은 zdnet 컬럼 기고글입니다.

 

베토벤 바이러스가 화제가 되고 있다. 드라마와 보안은 무슨 상관이 있을까? 바이러스라는 단어 외에는 보안이라는 용어와 관련이 없는데도 불구하고 이야기 하고 싶은 것은 전문가에 대한 단상 때문이다. 

 

하나의 완성을 위해 끊임 없이 자신을 갈고닦고 스스로를 담금질 하는 모습과 때로는 사회와 격리된 듯한 이질감을 지니게끔 만드는 주인공의 모습을 보며 환호하는 것은 현실에서는 보기 어려운 모습이라고 여기기에 대리 만족을 하는 것은 아닌가 하는 생각이 든다. 그러나 실제 전문가로 살아 가고 열정을 다한다는 것은 동일한 고통과 노력이 있어야만 가능할 것이다.

 


< www.imbc.com>

 

드라마를 보면서 전문가에 대한 생각이 교차하는 것은 베토벤 바이러스 처음이 아닐까 생각 된다. 특히 오케스트라의 지휘자에 대한 생각이 많이 달라지게 되었다.

 

오케스트라 지휘를 하고 연습을 하면서 여러 악기들이 모여 연주를 하는 과정에서 중간중간 연주를 중단 시키며 개별 악기들을 언급하며 어느 부분이 부족하다고 직접적인 언급을 하는 것을 보면서 보안 전문가라는 분야에 대해서도 깊은 생각을 하게 되었다.

 

 ( 글에서 언급하는 보안전문가는 특정 부분의 Specialist 언급하는 것은 아니며 SSM- special security manager 언급한다. 의미는 기술적인 부분에 한정하여 설명함을 의미한다. 용어에 대한 개별적인 정의는 다음을 참고한다. http://blog.naver.com/p4ssion/50014996901 - 보안전문가와 보안 관리자의 차이와 구분)

 

지휘자와 보안전문가의 공통점은 상당히 많다. 지휘자는  여러 악기들을 전부 빼어나게는 연주하지 못하지만 악기에 대해서는 수준급의 연주를 있으며 전체에 대한 균형을 인식하고 있다. 조화를 위해 전체의 부분을 균일하게 가다듬고 스스로가 이해한 정도에 따라 개별 악기들에게 느낌을 강요하도록 한다. 어쩌면 개별 악기의 연주자들은 지휘자에게 소모품일 수밖에 없다. 지휘자가 생각하고 이해하는 음악에 도달하기 위한 도구일 뿐이기에 소모품이라 여길 있다. 

 

드라마상에서 강마에가 노골적으로 내뱉는 소모품이라는 말은 표현하기 힘든 금기시 되는 말과도 같다. 그러나 본질적으로는 동의할 밖에 없는 말이다.

 

음악은 지휘자의 이해의 정도에 따라 해석이 달라지고 새로운 방향으로 전환이 된다. 스스로가 창조주가 되기도 하고 새로운 것에 대한 도전을 하기도 한다. 새로운 것을 창조하고 독자적으로 해석하려는 시도를 하는 지휘자를 필자는 마에스트로라고 이해 하고자 한다. 그런 의미에서 드라마의 주인공인 강마에는 재현된 마에스트로에 가깝다고 있다.  다른 관점에서 원전의 해석에 충실 하고자 하는 강마에의 모습과 새로운 변화와 시도를 하고자 하는 작은 강건우는 다른 비교가 있다. 보안전문가의 현재 모습과 적절한 비교가 가능할 이다.

 

 

보안전문가

 

네트워크/시스템/Application 겹겹이 둘러 쌓여서 이루고 있는 IT시스템에서의 보안전문가의 역할은 무엇일까? 그리고 지금의 시대가 요구하는 모습은 강마에혹은 작은 강건우 역량이 요구 될까 하는 점은 고민이 필요한 부분이다. 지금의 보안 전문가의 모습은 전체 혹은 이상의 시스템들이 겹겹이 모여 하나의 방향성을 위해서 움직이는 것은 기업이나 시스템이 이루고자 하는 목적하에 이루어 진다. 또한 이러한 목적을 위협하는 지금의 가장 요소는 Security라고 있다. 글에서는 세계와 경쟁 밖에 없는 기술적인 보안 부분에 대한 것만을 논의한다. 다른 보안 부분은 별도 컬럼에서 차후에 기회가 된다면 언급해 보겠다.

 

 

Security 기반되지 않는 인터넷 비즈니스는 이제 생존을 보장 하기 어려운 상황이라 있으며 보안 전문가의 역할은 야수들의 세상에서 목적과 방향성을 유지하도록 보호하는 것이 주된 역할 이라 있다. 

보호를 하기 위해서 필요한 것들은 무엇이 있을까? 일단 기본적인 시스템들의 구성과 네트워크 환경, Application 대한 구조의 이해가 필요하다. 또한 침해사고에 대한 대응 능력도 필요하다. 간단하게 위의 가지 정도의 능력이 필요함은 명확하다. (blog.naver.com/p4ssion article 참고)

 

지휘자는 오케스트라의 완성도를 위해 전체의 부분을 조율한다. 보안 전문가는 서비스의 보호를 위해 시스템/네트워크/Application/Policy 조율한다. 곳이라도 빈틈이 생기면 일정 수준의 완전함에 도달하지 못한다. 극도의 스트레스와 부담을 지니는 것은 모두 명확하다. 즐기지 못하면 어떤 것도 이룰 수가 없다. 오케스트라가 엉망이 되면 지휘자가 욕을 먹는다. 보안전문가도 마찬가지 이다. 아무리 개별 부분이 뛰어나게 잘한다 하여도 전체적인 균형이 맞지 않으면 연주는 엉망이 되는 것이다. 보안도 마찬가지이다.

 

 

다양한 운영체제와 다양한 Application에서 발생하는 취약성은 날마다 발견이 되고 시급성을 다투기도 하며 실제적인 사고로 이어 지는 상황에서 기술적인 보안 전문가는 눈을 시간은 없다. 날마다 발생 되는 이슈들을 해결 하기 위해 일정 수준 이상의 안정화된 체제를 구축 하여야 하는 것이 지상 최대의 과제라 있다.

 

 

안정화된 체제의 구축은 위험으로부터 안전한 것이 아니라 위험에 대한 빠른 대응과 파괴력을 최소화 하는 구조를 갖추는 것을 의미하며 모든 것이 야생의 세계에 맞추어져서 계획되고 이루어 져야만 한다. 때로는 단호함도 갖추어야 하며 전체적인 관점에서 하나의 구멍이 전체를 무너뜨릴 있음을 분명히 인지하기 때문에 예외의 상황을 두어서는 안되는 것도 마찬가지이다. 이런 문제로 인해 고지식 혹은 타협이 불가능 하다는 오해를 사는 경우도 많은 경우에 발생한다.

 

안정화된 체제를 유지 하기 위해서 가장 염두에 두어야 하는 것은 댐이 무너지는 손가락 마디 크기의 균열과 같은 부분을 가장 주의 하여야 한다. 보안전문가는 엄격하여야 한다. 앞의 허용이 작게 보이는 부분이라도 부분을 시작으로 전체가 무너지는 빌미가 있다. 사명감을 지닌 보안전문가라면 당연히 사수 하여야 하는 지점이고 그렇지 않다면 타협을 해야만 하는 부분이 된다.  중요한 것과 그렇지 않은 것을 구분 하여 물러서고 물러서지 않을 부분을 고르는 것도 중요한 능력이라 있다.

 

아는 사람이 부탁해서?  상위 부서장이 지시를 해서? 서비스의 관리를 편리하게 하기 위해서?  등등 모든 것이 불합리해 보이는 것은 없다. 적당하게 타협을 하고 적당히 유지 하면 되는 부분들이 세상의 상당히 많은 부분을 차지한다. 그러나 보안만큼은 그러해서는 안된다고 믿는다. 세계와 경쟁하고 세계에서 제한 없이 접근이 가능한 IT 서비스 부분에 있어서만은 보안 전문가는 고집과 통찰력을 지니고 있어야만 한다. 그래야 변화무쌍한 지금의 환경에서 서비스가 명맥을 유지 있다고 믿는다. 지금 당장 욕을 먹기를 두려워 하기 보다는 변화를 따라 잡지 못하고 통찰력과 역량이 떨어짐을 두려워 해야 한다.

 

지휘자는 스스로의 만족도에 도달 해야 몰입이 가능하고 불후의 명작을 만들 있다. 보안 전문가는 세계의 변화를 보는 눈을 뜨고 통찰력을 지니고 준비 하여야만 진정함에 도달 있다. 모두 스스로의 만족도가 함께 하여야만 즐기는 것이 가능하다. 일이 일로서 무게를 가진다면 그것은 넘어 수가 없다.

 

 

 

마에스트로와 Guru

 

 

예술 분야의 거장을 일컫는 말로 명지휘자를 의미하는 마에스트로가 있다. 우리 말로는 장인이라 부를 있을 것이다. 장인이라는 의미는 철학을 이룬다는 의미이며 독창성을 지니고 있다는 것과도 유사하다고 있다. Security라는 관점 혹은 IT 관점에서의 고수를 지칭하는 용어로 Guru라는 것이 있다. 자아를 터득한 신성한 스승이라는 의미로 있다. Guide 제시하고 가고자 하는 길에 스승이 있는 그런 존재를 칭한다 있다. 천재를 마에스트로와 Guru라고 칭하지 않는다. 무모하면서도 무지막지한 열정과 노력만이 그들을 경지에 이르게 뿐이다.

 

어디에나 가지 충돌이 있다. 근본을 중요시 하고 해석을 중요시 하는 부류와 사안에 대한 통찰로 변화를 중요시 하는 부류의 충돌이 것이다. 마에스트로와 Guru 부분에도 충돌은 분명히 존재한다. 특별히 어느 것이 잘못 것이다라고 수는 없다. 부분 모두 중요한 부분이라 있다.  베토벤 바이러스의 예를 들면 원전의 해석과 작곡가의 의도에 충실하여 감정이입이 상태까지를 느끼고 재현 하고자 하는 강마에와 곡에 대한 독자적인 해석과 스스로의 의견을 투영하는 작은 강건우의 충돌은 부류의 충돌을 극명하게 보여 준다.

 

보안 부분에도 동일한 관점들이 존재하고 부분 모두 중요함을 지니고 있다. IT 서비스라는 관점에서 보안전문가 (SSM) 관점은 작은 강건우의 측면이 중요하지 않을까 하고 필자는 생각한다. 하루가 다르게 변화하는 환경과 위험요소들에 대해 기본에 대한 해석은 엇갈리고 시간이 늦어질 밖에 없다. 따라서 진취적인 보안 전문가 만이 능동적으로 대응하고 통찰 함으로써 가이드를 제시 있다고 본다.

기본에 대한 해석과 충실함이 미래의 위험으로부터 보호를 해주지는 않는다. 다만 알려진 것에 의한 최소한의 피해를 보장할 뿐이다. 알려지지 않은 것들이 많이 출현하는 야생의 시대에서 생존은 절대명제이다. 선과 후가 어떻게 되는지는 정확해야 것이다.

 

최소한 음악 분야가 아닌 IT서비스 세상에서는 진취적이고 능동적인 보안전문가가 미래의 위협에 대해 안정적이라 있다. 때로는 고집불통이고 사회 비적응자처럼 보이는 모습의 그들일지는 몰라도 변화하는 세상에 대한 통찰과 노력으로 IT 서비스의 미래 위험과 당장 내일의 위협을 버티게 해줄 것이다.  

 

 

 

사막을 건너는 자는 별을 사랑해야만 한다. 살아 남기 위해서

땅의 강마에와 강건우, 분야의 전문가가 되기를 희망하는 열정이 있는 사람들에게 별은 자기 자신이 되어야만 한다. 개인과 산업의 생존을 위해서

 

 p4ssionable security explorer

 

 

Posted by 바다란

안녕하세요. 바다란입니다. 2006년 작성내용입니다.

 

XSS 진단 및 SQL Injection 진단 스크립트를 공개 합니다.

특별한 것은 아니구요.. 지난해에 급하게 작성하여 사용 했던 스크립트이니 참고 하시면 될 것 같습니다.

 

국내에서는 아직도 많은 사이트들이 해킹을 당하고 있는 실정입니다.

지금의 해킹은 페이지 변조가 아닌 내부 침입을 통해 정보를 가져 가거나 악성코드를 심는 형태로 나타나고 있는데 진입점을 막지 못하기 때문에 계속 문제가 될 수 밖에 없습니다.

 

이 스크립트는 완전하지는 않으나 100% 중에서 80% 이상의 문제 발견이 가능하므로 대응에 도움이 될 것입니다. 대기업이나 여력이 있는 기업에서는 상용 스캐너를 통해 문제의 진단 및 수정을 진행 하고 있으나 소규모 사이트들은 그런 여력이 없는 상황입니다.

 

따라서 지난해(2005) 부터 공개를 추진 하였으나 메인 몸이라 힘들었구요.. 1년 이상의 시간이 흘러서 이제는 공개를 해도 되지 않나 하는 생각에 공개 합니다. 허접한 스크립트이고 손을 안 본 상태라 개인 메일 주소만 딸랑 넣어 놨습니다. 

 

실행 시간은 사이트 구조에 따라 오래 걸릴 수 있는데..이럴 경우 1~5Mega 정도의 결과 파일이 생성 되면 Ctrl+c 눌러서 중지 시키고 결과에 나와 있는 문제들을 수정하고 다시 돌리시면 과다한 결과 생성 및 중복 생성 문제가 해결이 됩니다.

 

이름도 감자 입니다. ~~

 

참고하세여.... 국내의 수많은 웹서버들에 도움이 조금 되었으면 합니다.

 

현재 sourceforge에도 project 등록은 되어 있습니다. 향후에는 이쪽에도 일부 업데이트 할 예정입니다.

http://sourceforge.net/projects/gamja

 

Posted by 바다란

현재의 취약성 및 위협 동향과 향후의 위협과 대응

최근 동향을 보면 다음과 같이 요약이 가능합니다.

 

* 클라이언트 단위의 위험 증가 ( 개인 PC 에 대한 중점적인 공격 )

해외에서는 피싱등을 이용한 공격이 증가하고 있고 국내에는 직접적인 클라이언트 PC 공격 및 취약성을 이용한 악성코드 설치가 주된 유형입니다.

* 일반 Application에 대한 공격 증가

버그트랙이나 기타 메일링을 보아도 운영체제 등에 대한 취약성 보다는 운영체제 기반하에서 영리 목적이나 운영을 목적으로 코딩된 솔루션에 대한 취약성이 집중되고 있습니다.)


* 보다 더 집중화된 Bot의 공격

일전에 Bot 관련된 언급을 하면서 Monster Bot 이라는 용어를 언급한 적이 있습니다. 취약성이 나올때 마다 공격 기능이 하나씩 더 추가가 되어 하나의 Bot이 공격하는 공격의 가지수가 지속적으로 늘어나는 유형이죠. 또한 운영체제의 구분 없이 Application 에 대한 공격 유형도 첨가 되는 형태라 가히 Monster bot으로의 지속적인 진화가 예상 됩니다. )

* Application Worm의 일반화 가능성 매우 증대

특정 국가 , 특정 지역 , 특정 회사에 기반하여 사용되고 있는 Application 자체의 취약성을 통해 전파되고 통신망을 무력화 하는 공격이 매우 증가할 것으로 판단 됩니다. 무선 관련이나 블루투스 관련된 웜의 전파도 동일 유형이라고 보시면 됩니다.)

 

위와 같이 요약이 됩니다.


또한 향후 발생할 위협을 정리 해보면 다음과 같이 정리가 됩니다.

 


향후 지속될 위협 :

 

* 오래전 부터 언급한 기반시설의 IP 전환 및 온라인 노출이 많아 짐으로 인한 위협의 현실화

   ( 기반시설의 위협에 관한 문서를 참고 하시면 됩니다.)

   너무 빨리 문제제기를 한 면이 있지만 향후 지속적으로 일반화 될 것으로 예상 됩니다.


* 무선 및 WiBro , DMB의 활성화를 통한 웜 전파  ( 요건 스마트폰 및 기타 매개체로 변경 될 수 있겠네요)

   (IP 기반의 모든 머신에 해당이 될 것이며 이 경우에는 프로토콜 간의 Gateway의 보안설정 이나 허용 조건에 따라 보다 많은

   편리성을  제공할 경우 광범위하게 전파가 될 것으로 판단됩니다. )


* 보안 인력의 부재 지속

  (전문성이 지속적으로 떨어지고 있는 현실에서 각 영역을 종합적으로 대처할 수 있는 보안 인력은 수요는 급증하나

  인력은 계속 부재한 상황이 지속 될 것입니다. )

 

시스템 , Application , 네트워크 , 종합적인 대응 , 보안 체계 수립 이 모든 분야를 컨트롤 할 수 있는 마스터급의 보안 인력은 향후 매우 부족하게 될 것으로 판단 됩니다. 또한 Penetration Test의 영역이 매우 확장이 되어 상당히 많은 부분을 커버하게 될 것으로 예상이 됩니다. 물론 수요도 많이 있을테지만 국내의 현실상 오랜기간 숙달된 인력이나 전문성을 유지하고 있는 인력의 부재로 힘겨운 상태가 지속이 될 것 같네요. 협상력만 잘 보완 한다면 적절한 전문성을 유지한 인력의 경우 상당히 좋은 대우를 받을 수도 있을 것 같습니다.


* Application 취약성 발견 지속 및 클라이언트 공격 , 피싱 공격을 통한 이익 추구 일반화

(올해도 지속이 되었듯이 향후에도 지속이 될 가능성이 높습니다. 또한 신규 프로토콜 상의 문제를 이용한 새로운 유형의 공격들이 나올 가능성이 높다고 판단됩니다. 특히 무선 관련된 802.X 대역에 대한 문제 출현 가능성이 높습니다. )


* Bot Network의 복잡화 및 일반화

(Bot 공격의 복잡성은 향후 지속적으로 증가 될 것이고 말 그대로 MonsterBot으로의 진화가 진행 중이며 더욱 심화 될 것으로 판단됩니다. 또한 일반적으로 알려지는 고유명사화 될 정도로 피해를 입힐 수 있을 것 입니다.)


* 수정 할 수 없는 Application 결함의 증가

(취약성을 수정하거나 보완의 책임이 없는 공개 소프트웨어 혹은 개발사의 몰락으로 인한 위험성 증가 )


위와 같이 예상이 가능합니다.

이에 대한 대응 및 보안 활동으로는 다음과 같은 행위가 이루어 질 수 있습니다.


대응 및 발생 현상 :

 

*Application 개발 프로세스 단계에서의 보안성 검토 일반화

*Application 취약성 진단 도구의 활성화

*웜의 일반 PC 침투에 따른 PC 보안 강화
( 패치 및 PC 솔루션 회사들 기회가 될 수도..)

*바이러스 및 웜 제작의 일반화에 따른 보안의 어려움 따라서 능력이 있는 회사의 경우 자체 제작이나 변형의 요구에 따른 매뉴얼 보안 툴의 출현 가능성 ( clam 백신처럼...)

* 공격에 대응하는 속도를 따라가지 못함으로 인해 지속적인 피해 속출 가능성

* 보안 전문 인력의 이탈 가속화
( 노력에 대한 성취도가 매우 낮아 질 것으로 보임.. 노력을 기울여야 하는 부분은 매우 많아 질 것이나 그에 따른 성취도는 낮으며 업무강도 및 피로도는 급증 할 것으로 예상됨 )

* 위의 항과는 반대로 보안 인력풀은 산업의 요구에 의해 지속적으로 증가 요청이 있을 것임. 그러나 전반적인 하향 평준화는 어쩔 수 없을 것으로 예상됨.

 

기타


*MS 등의 OS 벤더의 기타 사업 진출 가속화
( 보안 및 기타 영리 분야로의 대대적 진출)

 

* 구글등에 의한 Contents 제공 회사의 인프라 점유 확대 및 인프라에 대한 비용이 아닌 컨텐츠 제공에 따른 비용을 청구 받을 가능성 매우 증대

( 이런면에서 구글의 인프라 사업 진출 및 무선망 확대 사업은 매우 중요한 의미를 지님)

*손쉬운 IT 기업의 창업이 어려워짐

( 일정 규모 이상의 IT 대기업 출현으로 아이디어를 통한 신규 진출 및 창업이 어려워 질 것이며 인프라 및 보안 분야에 대한 일정 수준 이상의 요구를 맞추어야 함으로 더욱 더 어려워 질 것임. 보안 취약성은 기업의 규모를 가리지 않고 발견이 되고 있으며 일반 Application 발견 비율이 매우 높아 안전한 보안성을 지닌 소프트웨어 설계에는 매우 많은 비용이나 시간이 소요 되고 있음 )

* 세계적인 보안 부분 대기업 출현

시만텍 등의 보안 전문 출발 회사 부터 네트워크 부분의 시스코등에 의한 보안 분야 흡수 합병을 통한 거대 기업 출현으로 한 분야의 전문회사는 독창성이나 기술 모방성에 대해 독보적인 영역을 지니지 않는 이상 견디기 힘든 환경 지속될 것임.


위와 같이 아침에 번뜩 든 생각을 정리해 봤습니다.

짧은 생각이지만 참고 하시고 좋은 의견 있으시면 붙여 주세요.
 
-> 위의 내용이 2005년에 해랩 사이트에 올린 예상입니다. 얼마나 달라졌을까요? 그리고 지금은? 예상적중률은 어느정도? 

 지금은 거의 예상을 포기한 상태인데.. 위협은 2005년의 현실 인식이나 지금 2010년의 현실에서도 동일하며 더 가중 되어 있습니다. 대책 부분도 이미 6년이나 된 이야기 이지만 제대로 된 부분 있습니까?  지금도 필요하지만 논의는 산으로 가고 있습니다. 문제를 통찰하는 근본적인 인식을 가지거나 최소한 듣는 귀라도 가지기를 바라지만 여지껏 제대로 된 것은 없는 것 같습니다.

 

앞으로의 변화와 위험들은 지난 블로그 및 컬럼 글에서 지적한 대로 입니다. 야생의 시대로 완전한 돌입이 되겠습니다.

Posted by 바다란

http://cwe.mitre.org/top25/index.html

 

여기를 참고 하시기 바랍니다.

2009년 한해에 발견된 프로그래밍 실수와 문제점들에 대해서 정리된 내용입니다.

 


Failure to Preserve Web Page Structure ('Cross-site
Scripting')

Improper Sanitization of Special Elements used in an SQL
Command ('SQL Injection')

Buffer Copy without Checking Size of Input ('Classic Buffer
Overflow')

Cross-Site Request Forgery (CSRF)

Improper Access Control (Authorization)

Reliance on Untrusted Inputs in a Security Decision

Improper Limitation of a Pathname to a Restricted
Directory ('Path Traversal')

Unrestricted Upload of File with Dangerous Type

Improper Sanitization of Special Elements used in an OS
Command ('OS Command Injection')

Missing Encryption of Sensitive Data

Use of Hard-coded Credentials

Buffer Access with Incorrect Length Value

Improper Control of Filename for Include/Require
Statement in PHP Program ('PHP File Inclusion')


Improper Validation of Array Index

Improper Check for Unusual or Exceptional Conditions

Information Exposure Through an Error Message

Integer Overflow or Wraparound

Incorrect Calculation of Buffer Size

Missing Authentication for Critical Function

Download of Code Without Integrity Check

Incorrect Permission Assignment for Critical Resource

Allocation of Resources Without Limits or Throttling
URL Redirection to Untrusted Site ('Open Redirect')

Use of a Broken or Risky Cryptographic Algorithm

Race Condition

 

위와 같이 25가지 정도의 분류를 뽑아 놨습니다. 중요도, 파급도, 빈도에 따른 나열입니다.

대부분의 중요한 문제들이 Web application이라는 특징을 볼 수 있습니다.

예전 같으면 BOF가 최상위에 몇 개나 링크 되었겠지만 절대로 그렇지 않다는 현상을 볼 수가 있죠.

 

인터넷의 위기라는 말은 여전히 유효하고 앞으로 더 리얼한 예들을 보게 될 것이고 피해를 입게 될 것입니다.

어떤 도구를 사용하고 어떤 방식을 이용하던 근본은 변함이 없다는 점을 유념하세요.

 

각 부분별 상세한 설명과 영향도는 초기 링크의 PDF 문서를 참고 하시기 바랍니다. 페이지에도 잘 나와 있습니다.

 

그럼.

Posted by 바다란

 * 2010년 4월중에 이전 블로그의 글을 완전이전 하면서 링크 부분들을 손 본 내용입니다. 지금의 현실도 여전히 계속 됩니다. 해결 되지 않은 문제들입니다만 이전의 링크와 게시된 시간을 알고 싶으신 분은 blog.naver.com/p4ssion 으로 방문 하시면 됩니다. 앞으로의 모든 갱신은 본 사이트에서만 이루어 집니다. 감사합니다.
아래의 글에서 2007년 이후 부터 현재까지의 내용은 지금 이 시간에도 동일하게 적용 됩니다. 범위만 국내뿐 아닌 전 세계적으로 확장 되었을 뿐입니다. 이 점을 참고 하시면 될 것 같습니다.

2008.11.7  p4ssion.

 

 

한국은 바로미터다.

중국발 해킹의 전초 단계로서 향후의 전 세계로 확대되는 공격 양상을 짚어 볼 수 있는 중요한 척도점이 되어 있다. 그 시작은 2002년 부터라 할 수 있다.

필자가 처음 중국발 해킹에 대해 분석을 한 것이 ( http://p4ssion.com/208 ) 2002년 8월 문서이니 그 이후로 여러 단계의 변천사를 볼 수 있다.

 

주관적인 경험하에 중국발 해킹을 분석해 보면 다음과 같은 단계로 요약이 가능하다.

 

1기: 2002~2005년초

 

특징: System에 대한 직접 공격 , 일부 운영체제에 대한 취약성 공격 및 주변 네트워크 공격을 위한 대량의 패키지를 동반하는 유형으로 진행 , 대부분 시스템의 권한 획득을 목적으로 이루어 짐 . 일부 DB의 정보를 빼내어 가기 위한 시도가 존재 하였음.  따라서 한국내의 정보유출 및 위기의 시작은 이 시기 부터라고 보는 것이 합당함.  

 

 

2기: 2005년 4월 ~ 2007년 중반

 

특징: SQL Injection 자동화 툴의 출현 시기와 동일하며 국내의 대부분의 웹사이트 (추정키로는 전체의 60% 이상)가 공격대상에 포함 되었음. 이 부분은 보안산업에서 조차도 예상치 못하여 대응에 시일이 다소 소요된 부분임. URL의 취약한 인자를 공격함으로써 DB의 권한을 획득하고 정보를 빼내어 가는 것이 일반화 된 공격으로 이루어 지며 지역적 혹은 소규모로 발생하던 해킹이 대규모로 변질 되는 기회가 되었음.

[참고  풀어쓴 Sql injection 공격  http://p4ssion.com/171 ,

                                                 http://p4ssion.com/209

          Threat of china v2  . http://p4ssion.com/210 - 첨부파일 참고 ]

 

대량의 개인정보 유출 시기로 확정하며 이 시기에 유출된 개인정보 범위는 상상을 초월할 정도로 예상됨. 

또한 웹을 통한 악성코드 유포의 시발점으로 볼 수 있으며 바이러스와 웜을 통한 악성코드 전파를 벗어나 웹을 통한 악성코드의 전파라는 새로운 공격 전략이 탄생된 시점으로 불 수 있음.

서비스에 대한 보호의 관점에서 일반 사용자를 위한 보호관점으로 포커싱을 급격하게 이동해야 하는 시점이나 일부 국내기업들을 제외하고는 변화에 대한 대응이 늦었으며 공격자들은 유유히 유린을 한 상태로 판단이 됨.

 

이후 웹보안 관련 장비들과 진단 스캐너들의 출현으로 문제는 표면적으로 드러나지는 않으나 우회적인 통로를 통한 SQL 공격으로 여전히 중요정보에 대한 유출 및 악성코드의 웹을 통한 유포는 계속 되었슴.

통계치로 잡기가 어려울 정도로 피해가 많았던 시기라고 볼 수 있음.  이 시기에 유출된 개인정보들로 인해 사회적인 혼란상은 현재에도 지속되고 있음. Voice Phishing의 정확도가 높아져서 피해도가 높아진 이유도 이 시기에 유출된 상세한 개인정보로 인한 것으로 예상.

 

 

3기 2007년 말 ~ 현재 (세부기법으로 별도 분류)

    

2007년말 ~ 2008년 8월

 

 Massl SQL Injection의 본격화 및 웹 보안장비의 본격적인 대응 시기. Get, Post 와 같은 HTTP Action에서 사용되는 특정 인자에 위험요소를 차단하는 방식으로 일차적인 대응들이 진행됨. 웹 보안장비의 대중적인 도입이 이루어짐. 그러나 기본적인 한계로 인해 문제가 발생됨은 이후에도 여러 차례 지적이 됨. 패턴매칭의 한계 및 모든 웹 프로그래밍이 획일화 될 수는 없으므로 각 사이트마다 커스터마이징 이슈가 대두됨. 즉 수익성이 그리 높지 않았을 것으로 예상이 됨. 이후 공격 패턴의 변화에 따라 상당히 많은 노력이 지속적으로 필요한 상황이라 할 수 있음.

 

국내의 상당수의 사이트에서 악성코드들은 지속적으로 유포되고 국내의 인터넷 환경은 오염도가 높아졌을 것으로 예상되나 신뢰도 있는 통계 추출의 도구가 존재하지 않음으로 인해 통계 작성이 불가능함. 평균적으로 일일 4~5만여개의 웹서비스에서 악성 코드가 유포되고 있는 것으로 추정이 됨. 근거는 Mass sql injection 분석 시에 작성한 자료를 참고 하며 5만에서 6만여대의 웹서비스에서 수시 악성코드 유포 되는 것을 확인 함.

 

이 시기에 다수의 주요 IT 서비스 기업들에서는 웹 보안 장비 및 문제점을 제거 할 수 있는 프로세스 (보안성 검수)를 도입 함으로써 피해의 최소화 및 방어가 가능한 상태로 돌입한 것으로 관측됨.

 

     2008년 8월~ 현재 

 

우회 패턴의 등장으로 위험요소가 증폭됨 Get / Post외에도 Cookie에 URL 인자를 넣어서 공격하는 우회 패턴 등장으로 일대 혼란 발생. 이 혼란은 웹보안장비에만 의존하여 근본적인 소스코드의 수정에는 등안시한 결과로서 문제는 계속 될 것임. 더불어 URL 인자에 다양한 우회패턴 (% 인자와 같은 )를 입력하여 패턴매칭에 의한 차단이라는 웹보안장비의 기본 룰을 가볍게 우회함으로써 혼란은 계속 되고 있음. 이 상황은 예견된 바 있음.

11.5일에 제보를 받은 SQL Injection 공격도구의 판매를 위한 자료화면에도 다양한 DB ( Mssql , mysql , access , oracle )와 공격기법이 명기되어 상용으로 판매가 되고 있는 상황임.

 

 < Mass sql injection attack tool - 다양한 DB 및 Cookie 및 Head verb에 대한 공격 기법이 별개로 존재하고 있다. >

 

각 시기별로 한국에 집중된 공격에 대해서는 위와 같이 정리가 가능하며 세계적인 확산의 시기는 시기적으로 늦게 나타나고 있다. 국내를 벗어나 이제 IT로 연결된 세계적인 관점에서의 공격동향은 다음과 같다.

 

세계적으로 SQL injection Attack의 최초 인지는 2008년 초쯤으로 예상되며 대규모로 인지가 된 시기는 2008년 4월의 Mass sql injection 관련 이슈이다. 

[ 상상하기 어려운 위협.       http://p4ssion.com/110 ,

                                          http://p4ssion.com/112    

  Mass sql injection에 대한 분석 참고  http://p4ssion.com/200 ]

 

 

이후에는 4월 이후에 발견된 Mass sql injection issue가  세계적으로  지속되고 있는 상황이라 할 수 있다. 전 세계 인터넷 환경의 오염도는 따로 측정하기는 어렵지만 Google에서 협조를 하고 있는 사이트 (http://www.stopbadware.org/ 11.7일 현재)에 따르면 악성코드를 유포하고 있는 사이트는 현재 166000 여개 가량의 사이트에서 악성코드가 유포 되고 있는 것으로 나와 있다.  물론 실제는 이것보다 더욱 많다. 통계치로 잡히는 것은 백신이나 AV 사이트의 협조아래 탐지 되는 유형에 대한 것들만 나열 된 것으로서 실제로는 변형과 탐지가 안되는 항목이 더 많다고 보았을때 얼마나 많은 비율이 존재 할지는 상상하기 어렵다.

 

인터넷은 오염되어가고 있다. 금전거래와 일상생활 영위의 도구로서 사용이 되고 있는 현재의 인터넷은 사용자들에게 심각한 위협을 동시에 안겨주는 생활로 다가오는 실정이다.

 

대부분의 악성코드 유포 환경들이 SQL Injection에 의한 웹사이트 변조 (악성코드를 유포하는 코드 추가 형태) 그리고 게시물 등에 XSS 취약성을 이용해 악성코드 유포 사이트로 Redirection이 가능한 문제들이 다수라고 할 수 있다. 실제 전체의 90% 이상이 이 경우에 해당 될 것으로 예상된다.

 

 

 

결론

 

이상과 같이 간략하게 2002년 부터 시작된 중국으로 부터의 공격 동향에 대해서 살펴 보았다. 문제의 근본은 현재 Web application의 취약한 인자에 대한 필터링으로 귀결이 된다. 이 문제를 해결하지 않는 이상 모든 대책은 사후약방문이다. 이 문제만 완전하게 처리 된다 하여도 현재와 같은 혼란상은 발생 하지 않을 것이며 피해는 상당히 제한적일 것이다. 기업내의 정보유출뿐 아니라 개인 사용자에게도 심각한 피해를 입히는 현재의 공격유형을 그대로 둘 경우 인터넷 환경의 위험도는 심각한 양상을 넘어 서게 될 것이다.

 

악성코드를 유포하는 사이트를 찾아내는 것도 현재의 상황을 타개 하는 임시방편이며 악성코드를 탐지하여 제거하는 AV도 근원적인 해결책이 되지 못한다. 최근에 발견된 MS08-067과 같은 Zeroday exploit의 경우를 보더라도 손쉽게 인지를 할 수 있다.

 

중국발 해킹은 전 세계적인 불황시기에 더욱 확산이 될 것이고 중국내의 Black Market은 중국의 불황을 틈타 급격하게 확산되어 전 세계를 위협하게 될 것이다. ( 6년전에 한 예측이 이렇게 빨리 현실화 될 것이라고는 필자도 생각지 못한 부분이긴 하다. 그 만큼 공격 기술의 발전과 웹서비스의 세계화가 빠르게 진행 된 탓이라 할 수 있다. )

 

문제의 해결책은 이미 본 블로그의 여러 Article에서 제안한 바 있다. 개별 사이트에 대한 대응책들은 안전한 웹 코딩 가이드(KISA)를 이용하여 소스코드를 변경 하거나 웹보안장비를 도입하였다면 해당 장비의 상태를 최신 수준으로 상시 유지하는 것, 웹 취약성 진단 스캐너 ( Sourceforge.net 에서 검색 하여도 다양한 sql injection 진단 도구들이 존재한다.)를 활용하여 문제를 수시로 찾고 제거 하는 것이 최선의 대응이라 할 수 있다.

[ http://www.krcert.or.kr/secureNoticeView.do?num=287&seq=-1  이곳의 대응책을 참고.]

 

전 세계적인 움직임 혹은 범세계적인 서비스를 통해 웹 서비스의 코딩 수준을 높이지 않는 이상 현재의 중국발 해킹은 점점 더 심각한 양상으로 발전 할 것이다.

 

보안장비의 도입도 취약성 스캐너의 도입과 점검도 다 중요하다 그러나 가장 중요한 것은 웹개발자의 개발 코드가 안전한지 확인이 가능한 요소가 가장 중요하다 할 수 있다. Secure coding은 SDLC 방법론으로 따지자면 웹개발에는 맞지 않다. 개발의 속도가 너무 빠르기 때문이다. 개발 시기 보다 더 많은 시간이 투자 된다는 점에 있어서 방법론과 적용 기술의 변화가 필요하다. 

 

개발자가 매번 코딩 시에 반복된 오류를 하지 않도록 확인하고 문제를 제거하여 궁극적으로는 전 세계 웹 개발자들이 Secure coding이 생활화 될때 이 문제는 해결이 된다. 그러자면 개발자들의 접근이 용이하고 비용이 저렴하며 정확도를 확보한 url 인자 값의 유효성을 체크하는 도구의 개발과 서비스의 확산이 문제 해결의 첫 걸음이 될 것이다.

 

아직 갈 길은 멀었고 피해는 점차 심각한 양상으로 변질 될 것이다.

 

아무도 이야기 하지 않는 예상과 예측. p4ssionable security explorer . 바다란. 

 

Posted by 바다란

2009년 4월에 기고한 Facebook과 Twitter의 문제점 들입니다. 그때 당시만 해도 국내에서는 아직 인지도가 떨어질 때였고 사건 사고의 심각성도 모를때 였습니다만 이제는 사용 하시는 많은 분들이 아실 것 같습니다. 이 문제들도 한번쯤 읽어 보시기 바랍니다.

 

Small world Security (Koobface, Mikeyy )  - zdnet 컬럼 바다란.

 

Internet Security의 변화는 지금의 시대에 이르러 완연하게 전환점에 도달해 있다.

기술의 발전과 도구의 개념에서 필수적인 매체로 전환됨에 따라 더욱 밀접하게 사회와 그리고 개개의 인간과 연관성을 지니고 있다. 더불어 취약성과 공격이라는 관점도 변화를 역력하게 보여주고 있다.

 

Internet이라는 개념은 이제 생활의 도구에서 필수적인 요소로 완전하게 자리매김을 하고 있는 상황이며 그 중에서도 Social Network Service 영역은 국내는 물론 전 세계적으로 가장 큰 흐름을 보이고 있는 부분이다.

 

Small World Theory는 케빈베이컨의 6단계를 의미한다. 사람과 사람 사이의 관계에서는 6단계만 거쳤을 때 모르는 사람이 없다는 내용이며 Small world라는 개념으로 이야기 하기도 한다. 마케팅 및 Social Network Service 영역의 기본 바탕이 되는 개념이고 국내의 많은 사이트들과 세계적인 흥행을 하고 있는 여러 서비스들의 기본적인 이해와 연관이 있다. Small World Security는 어떤 관련이 있을까? 관계로 맺어진 Service Network는 과연 안전한가 하는 질문과 함께 가볍게 시작한다.

 

Twitter(www.twitter.com) Facebook(www.facebook.com) 유형의 서비스는 전 세계적인 반향을 얻고 있는 서비스라 할 수 있다.  공격은 항상 가장 많은 반응을 얻을 수 있는 부분에 집중이 된다. 4월에 외신에서 언급된 두 SNS 사이트에서 발생된 이슈들은 한번쯤 심각하게 언급이 되어야만 하는 이슈이다.

 

그럼 어떤 일들이 있었을까?  드러난 사실만을 가지고 분석과 유추를 해본다.

 

먼저 Koobface Facebook에서 발생된 Malware를 의미하고 이 악성코드는 지독하게도 Facebook과 유저를 괴롭혀왔다.  단순하게 Facebook이 지닌 구조를 이용하여 Friend List등에 악성코드를 설치하는 링크를 가진 여러 유형의 메시지를 전달한다.  당연히 무작위적인 스팸보다는 성공률이 높다. 악성코드를 설치하는 링크를 순수하게 Facebook Friend List 구조 (쉽게는 국내의 SNS 1촌관계를 의미)를 이용하여 메시지를 전달함으로 인해 성공률이 높아진 것이다. 또한 다운로드의 경우는 Adobe Flash를 가장하여 설치를 하도록 유도함으로써 악성코드 설치 성공률을 대폭 늘린 케이스다.

3월에 이르러 Facebook은 다른 대응 방안을 모색한다. Koobface라 이름 붙여진 웜의 경우는 다운로드를 통해 사용자의 PC에 설치가 되며 사용자의 정보유출은 물론 Botnet을 구성하는 하나의 좀비 PC로도 활용이 가능한 유형이였고 전파 유형도 구조를 이용하여 지속적인 스팸과 메시지를 보냄으로 인해 기업의 비용도 높아 졌을 것이다. 확산의 속도도 굉장히 빨랐을 것은 명확하다. 개별 소스코드의 수정을 통해서는 이미 설치된 웜에 대해서 대응 하기가 어렵고 Friend List를 이용하는 방안을 수정한다 하여도 공개된 부분인 만큼 분석을 통해 새로운 변형들이 지속적으로 출현 할 수 밖에 없는 상황이였을 것이다.

 

<koobface 웜을 설치하는 다운로드 경로를 지닌 메시지 >

 

구조를 이용한 확산과 신뢰관계를 기반한 악성코드의 확산은 대규모 Botnet의 구성과 정보의 유출이라는 상황에 직면 할 수 밖에 없게된 Facebook은 최근 몇년간 활발하게 Anti Virus 영역에 진출하고 있는 Microsoft와 협력하여 악성코드에 대한 대응을 시도하게 된다. 그 결과는 2주 동안 20만회의 Koobface웜 설치 시도를 133600 여대의 PC에서 탐지하고 제거하게 된다. ( ref: http://news.cnet.com/8301-1009_3-10210376-83.html ) 또한 탐지된 변형만도 100여 종에 이르고 있어서 추가적인 내용은 더 크게 나타날 것으로 보인다.

 

 

속임수라 부를 수 있는 사회적 공학기법 (Adobe Flash 설치로 위장한 점과 흥미를 유발하는 메시지 관점)과 관계를 이용한 설치 경로 제공은 특정 서비스에 국한될 수 밖에 없는 문제를 가지고 있지만 대규모 사용자를 가지고 있는 서비스의 경우에는 특정 서비스에 국한 되더라도 충분한 효과를 가지고 있음을 보이는 것이다.

 

서비스와 연관된 공격은 사실 이 경우가 처음은 아니며 구글에서 운영하는 Orkut의 경우에도 이미 관련된 사례가 존재하고 있다.

(http://blog.naver.com/p4ssion/50026431192 )

 

Koobface 이슈를 보며 이제는 서비스에 국한된 웜이나 악성코드의 경우에도 전역적인 대응이 가능한 매개체 ( Anti virus 업체도 매개체 중의 하나이다.)를 이용하여 대응을 해야 할 정도로 난이도가 있고 서비스업체 자체적으로 처리 하기에는 어려움이 많아짐을 보이고 있다.

 

Mikeyy” 라는 이름은 Michael Moony라는 17세 소년의 애칭으로 볼 수 있다. 이 이름은 최근 몇 주간을 Micro Blogging 서비스로 유명한 Twitter 4월을 시끄럽게 만들었다.

Twitter( Micro Blogging 서비스)를 시끄럽게 했던 이슈는 XSS ( Cross site scripting ) 취약성을 이용한 Application Worm 이라 할 수 있다.

( ref: http://blogs.zdnet.com/security/?p=3125  )

17세 소년은 Twitter에게 문제를 해결 할 수 있도록 제안하는 어떤 통로도 발견 할 수 없었고 문제에 대한 의견을 받은 적이 없어서 어쩔 수 없이 이런 행위를 할 수 밖에 없다는 정당성을 주장하기도 하였지만 피해를 입힌 것은 분명하여 어려움이 있을 것으로 예상 하였다. 그러나 전체적으로 악의성은 적으며 취약성을 알리고자 한 목적이 주된 목적이라는 것이 어느 정도 감안이 되는 방향으로 인식이 되는 것으로 보인다. 문제 해결에 대한 반응이 없을 때마다 추가적인 공격을 시도하고 그 이후 일정수준에서 종료를 하는 방식으로 ( 종료는 중간에 반드시 참고를 하도록 되어 있는 링크를 제거하는 형태로 이루어졌다. ) 이슈화를 시켜 반응을 이끌어낸 점은 분명히 있다.

 

4.17일에 추가된 소식은 4~5가지의 변형을 이용한 XSS 취약성 공격을 직접 보고 능력을 인정한 ExqSoft라는 이름의 Web application 개발 회사에서 Security 담당으로 채용을 했다는 것으로 전해진다.

 

문제의 이슈는 관계형 네트워크 서비스의 장점을 이용하여 악성코드도 충분히 심각한 피해를 입힐 수 있다는 점이고 공격자가 사용한 XSS 공격코드가 만약 악성코드를 다운로드 하거나 설치하는 유형 이라면 심각한 피해를 일으킬 수 있었음을 의미하기도 한다.

 

공격의 출발은 아주 작은 부분에서부터 시작하여 급격하게 확산하는 과정을 거치는 것이 Service Application을 공격하는 유형이다. Twitter worm의 시작은 초기 4개의 계정에서 출발한 것으로 알려진다.  4개의 계정도 공격자가 생성한 계정이며 이 계정에는 외부 링크를 포함하고 있던 것으로 확인된다. 새로 개설한 계정정보를 확인하는 다른 사용자들에게 자동으로 감염을 시키며 외부 링크에 존재하는 스크립트 파일은 또 다시 감염된 사용자의 Twitter 계정정보를 이용하여 profile을 변조하고 사용자의 전체 Friend list에 대해 스팸유형의 메시지를 대량으로 발송하는 것을 반복하도록 코딩이 되어 있다.

 

이 중에는 아래와 같은 특정 사이트 링크로 사용자의 Profile을 변경한 유형을 직접 살펴 볼 수 있다. 아마 1주일만 있었어도 전체 Twitter 사용자의 상당수가 피해를 입었을 것으로 볼 수가 있다. 더불어 악의적인 행위를 하고 악성코드의 전파를 위한 방식을 좀 더 koobface와 같이 교묘하게 하였다면 더 심각한 피해는 불을 보듯 뻔한 사례이다.

 

 

< Twitter worm 에서 변조한 Twitter 사용자의 Profile>

 

이미 2007년의 Myspace웜의 경우에도 발생 하였고 Google의 서비스에서도 발생하였으며 Yahoo, AOL 등과 같은 연관 관계가 있는 서비스 및 Social Network Service를 주력으로 삼고 있는 서비스 기업에는 모두가 수 차례씩 경험이 있을 것이다. Twitter에서 발생한 이슈의 경우는 심각하게 변화하기 이전에 이슈화만을 목적으로 진행한 것이며 개인 PC 및 여러 서비스 부분에 매우 심각한 영향은 존재하지 않았으나 위험성은 충분히 확인된다.

 

 

Small world는 인간 세상의 온라인화를 명확하게 보여주고 있다. 인간의 관계의 측면은 서비스의 프로그래밍적인 구성으로 연결이 되고 있고 이와 같은 구조는 그리 어렵지 않게 파악이 가능하다. Web을 이용한 구성은 접근성의 확대와 서비스의 세계화에 기여하지만 그 구성의 기본을 파악하는 것과 구조를 이해하는 것은 어렵지 않다.

공격자들의 기본은 항상 적은 노력으로 많은 효과를 얻는 곳을 중점적으로 노린다. 운영체제에 대한 일방적인 Worm 유형으로 공격을 하였다면 이제는 보다 더 대상을 구체화 하고 확산효과를 확실히 볼 수 있는 SNS 와 같은 유형으로도 손쉽게 확대된다.

 

최종적으로 올해 4월에 발생된 두 가지 정도의 이슈에서 살펴봐야 할 점은 몇 가지 정도가 존재한다..

 

-      Application에 대한 공격은 개별 Application에 대한 공격을 넘어서 특정 사이트에서 구성하고 있는 논리적인 구조에 대한 공격도 이제는 일반적인 유형이며 대응을 위해 Anti Virus 솔루션까지도 동원을 하여야만 가능한 범주에 들어섰다는 점이다.  이 점은 Facebook에서 발생된 악성코드 전파 유형이 Facebook 자체의 Web Application Logic을 이용하여 전파되고 확산되는 유형을 가지고 있으며 더불어 시스템에 피해를 끼치는 유형까지도 동시에 확산이 되었다는 점이다.  즉 확산속도는 Small world Theory에 걸맞게 급속 확산이 되고 더불어 개인PC를 완벽히 제어하는 악성코드까지 설치 됨으로 인해 피해는 심각한 상황이 된다.

 

-      특정 기업이나 서비스에 특화된 확산 방식을 보임으로 인해 지금까지 출현한 형태 보다 난이도 및 피해가 심각한 유형이 발생될 경우 특정 서비스의 몰락을 매우 손쉽게 가져 올 수 있다는 점이다. 기업측면에서는 서비스에 특화된 보호대책을 반드시 강구해야만 하고 초기 단계에 발견과 대응이 가능한 구조적인 조직과 인력을 유지해야만 한다는 점이다. 새로운 부담으로 다가올 수 있다.

 

-      현재 보다는 악성코드의 결합유형을 보았을 때 향후에는 여러 서비스를 동시에 공격하고 전파하는 Application 차원의 Fusion Worm도 멀지 않아 확인이 가능할 것으로 보인다.

 

 

생소한 내용으로 보일 수 있지만 피해는 개인 사용자에게 직접적으로 다가온다는 점이며 개인 사용자의 관점은 국내와 국외를 가리지 않는다. 국내 서비스에 대한 공격도 만약 이득을 취할 수 있다면 언제든 발생이 가능한 부분이다. 메신저를 이용한 메시지나 악성코드 설치 유형도 동일 관점에서 볼 수 있다. 다만 Web Application의 논리적 구조를 이용한 공격의 경우는 개인 PC외에도 Web Service 상에서도 살아서 그대로 존재하고 있어서 계속 되는 것이 다를 뿐이고 개인 PC 차원의 대응 외에도 서비스 기업 자체의 대응도 있어야만 해결이 된다. 문제의 해결을 위해서는 좀 더 체계적이고 협력적인 관계가 요구 될 수 밖에 없다.

 

국내의 현실은 본 글에서 언급한 Application Attack에 대한 관점보다 더 심각한 상황이지만 어디에서도 언급을 하지 않는다. 아니 전체 인터넷 서비스에 대해 논의가 되지 않는다. 경쟁력과 가능성을 지니고 있음에도 불구하고 애써 외면 당하는 현실이 안타깝기만 하다. Security라는 관점에서 현재의 문제점을 한번쯤 고민 해야만 할 것이다.

 

무형의 가치가 더 중요한 의미를 지니고 있는 시대에 유형의 가치만을 보려고 하는자 얼마나 어리석은가!

 

Internet은 넓으면서도 얼마나 작은 세상 이던가!

 

바다란 세상 가장 낮은 곳의 또 다른 이름 ( http://p4ssion.pe.kr )

 

   

Posted by 바다란

XSS : Cross site scripting - 현재 악성코드 설치 유형이 각 웹서버의 게시물에 대해 Cross site scripting을 이용하여 악성코드를 방문자에게 설치하는 유형이 매우 증가하고 있고 사용자의 쿠키를 외부로 빼내어가 인증 용도로 사용할 수 있는 문제점들이 있으므로 심화 진단하여 제거하는 것이 필요한 취약성

 

SQL Injection: 일반적인 SQL Injection이 아닌 URL 인자 단위마다 임의의 SQL command를 입력하여 데이터를 빼내어 가거나 DB 권한을 획득하여 정보를 유출 시킴.. 또한 획득한 DB 권한을 이용하여 웹서버의 소스코드를 직접 변경함.

 

Type Error:  문자를 입력하지 않아야 될 곳에 문자가 입력되는 등의 Vb script error의 경우에도 올해 상반기에 발견된 공격 유형 중 수치를 이용하여 결과를 유출 시키는 유형이 발견됨에 따라  [ 정수를 Ascii code 값으로 치환하여 결과를 리턴하는 유형 ] 강화된 진단 유형이며 일반적인 Input validation check의 개념에 따라 기본 오류를 찾아내도록 구성된 부분

 

전체적으로 Secure web programming 강화가 필요하며 강화를 위해 간단하게 작성된 스크립트 도구에서는 위의 세가지 문제를 URL 단위의 각 인자마다 체크하는 유형으로 간략하게 구성하여 문제를 확인토록 함.

 

국내의 현황

 

악성코드가 유포되는 모든 사이트들은 DB의 권한 탈취를 통해 웹서버의 소스코드를 변경하는 유형이므로 DB에 저장된 회원 정보 및 기밀 데이터들은 안정성을 보장 할 수 없는 상태임. 따라서 회원 DB 다수의 유출은 이미 돌이킬 수 없는 상태에 접어든 것으로 보임. 현재 상태에서 추가적인 악성코드 유포가 되지 않도록 Validation check를 강화하였을 경우 기존에 유출된 회원정보를 이용한 각 서비스 Unit에 대한 어뷰징이 증가 될 것으로 예상됨.

 

 

 

위의 현황과 문제인식에 따라 몇달전 내부적으로 사용하던 Perl script를 공개 하였습니다.

또한 시간이 허락하는한.. 공개적으로 발전을 시키고자 합니다. 따라서 Sourceforge에 며칠전 등록을 하였습니다. 관심이 있는 분들께서는 함께 참여하여 앞으로 보다 나은 환경 구축에 힘 썼으면 하는 개인적인 바램 있습니다.

 

https://sourceforge.net/projects/gamja

 

Project 페이지 입니다. 몇달전 공개한 스크립트 그대로 이며 기본적으로는 Web 진단 도구화 할 생각도 있습니다. 비싸고 효율성이 그다지 높지 않은 상용 App를 넘지는 못하더라도 기본 진단은 충실히 할 수 있도록 향후 발전 시킬 수 있었으면 합니다.

 

많은 참여 바랍니다.

 

* 공개용 스크립트는 위의 sourceforge 사이트 외에 본 블로그에서도 관련 내용을 확인 하실 수 있습니다. http://blog.naver.com/p4ssion/50009547486

 

 

    - 바다란  (p4ssion)

 

Posted by 바다란

. p4ssion입니다.


지난 글에서 ( 한참 됐습니다. ^^) Mass sql injection 관련된 내용에 대해서 언급을 드린 적이 있습니다.

그 이후 업데이트를 할려고 생각 하다가 개인적인 사정으로 작성하지 못했습니다.

오늘 생각나서 잠시 써봅니다.


http://www.itjungle.com/two/two082708-story05.html 

http://www.technewsworld.com/story/Mass-SQL-Attack-a-Wake-Up-Call-for-Developers-62783.html?welcome=1209498513&welcome=1210717878 

http://www.theregister.co.uk/2008/05/21/china_sql_injection_attack/ 

http://blogs.zdnet.com/security/?p=1150

http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1314697,00.html 

http://ddanchev.blogspot.com/2008/05/malware-attack-exploiting-flash-zero.html 

http://searchsecurity.techtarget.com/tip/0,289483,sid14_gci1317069,00.html


Mass sql injection에 관련된 기사들을 이 블로그에 글을 쓰지 않은 이후로 모아 봤습니다.


2005년 부터 활발하게 이루어진 SQL Injection 공격에 대해 이제서야 세계적으로 인지를 하고 부분 대응이 진행 되고 있습니다. 공격의 현황은 어떤 식으로 이루어 지고 있으며 또한 대응은 어떤 방식으로 이루어 지고 있는지 주마간산 식으로 살펴 보겠습니다.


* 이전에 알려진 SQL Injection 공격과는 조금 다른 범주라고 봐야죠. Login 창에 손으로 입력하여 인증을 우회하는 방식은 오래전에 알려졌으며 또 이후의 각 URL 인자마다 문제가 발생하는 부분에 대해서도 알려져 왔습니다. 현재의 SQL Injection이 다른 관점은 Automated SQL Injection 이라는 것입니다.


손으로 직접 수십~수백개의 조합을 통해 DB의 정보를 빼내가는 것이 아니라 특정 DB에 맞추어서 특정 쿼리들을 미리 준비해 놓은 이후 클릭 한번으로 진행을 합니다. 현재의 Mass sql은 여기에서 한 걸음 더 나아가 단일 사이트에 대해 이루어 지는 것이 아니라 수십개 이상의 사이트에 대해 일시적으로 발생 할 수 있도록 범위가 확산된 것입니다.


입력창에 대한 SQL Injection ( ' Or 1=1-- )  ->

수동에 의한 URL 인자의 SQL Injection (시간 오래 소요) ->

자동화된 툴의 쿼리에 의한 정보 유출 및 페이지 변조 (악성코드 유포 목적) ->

대규모 스캔 및 공격이 가능한 Automated Mass attack 기법 및 도구의 출현 ( 이것도 현재는 ASP+MSSQL만 공격 하지만 향후 타 언어 및 다른 종류의 DB로 확대 예상)


위와 같이 순서의 정리가 가능합니다.

대상규모가 한정적일 경우에는 장비의 도입 및 소스코드에 대한 컨설팅으로 문제의 해결이 가능하였으나 이제는 그 범주를 벗어나 악성코드가 범람하는 세상에 살게 될 수 밖에 없는 상황입니다. ( 전 세계의 웹 서비스의 문제를 한번에 없앨 수는 없으므로 )


악성코드에 대한 감염은 브라우저 ( 구글의 크롬, FireFox , IE ..)에 구애받지 않습니다.  악성코드가 사용자 PC에 특정 프로그램을 설치하기 위해 필요한 공격 코드들은 매우 다양하며 운영체제의 한계를 벗어나 여러 Application에 대한 권한 획득 코드들을 이용하는 것이 일반적입니다.  즉 브라우저와는 관계 없이 이 문제는 계속 되며 전 세계의 일반 PC 및 웹서비스가 영향권 내에 들어와 있다고 보는 것이 정답입니다.


< 어쩌면 지금의 상황은 Matrix 구조 같은 거대한 위협속에 놓은 것과 같지 않나 생각 됩니다.>

 

묻습니다.


1. 사용자 PC에 설치된 모든 Application의 취약성을 수시로 확인하고 문제가 있는지 여부를 확인 하는 것이 가능합니까?

2. 수시로 업데이트되고 갱신되는 ( 악성코드의 유형은 대부분 다운로드 형태를 지니고 있습니다. 즉 한 사이트나 몇 개의 악성코드 다운로드 사이트의 샘플만 변경해 주면 새로이 다운로드가 되는 클라이언트는 신종 악성코드에 감염이 됩니다. )  유형의 악성코드에 대한 대응이 가능합니까?

3. 방문하는 사이트가 안전한 웹사이트임을 확인 할 수 있습니까?



간단하게 위의 세 가지 질문입니다.

위의 답변은 1번은 불가능 , 2번도 수동적인 대응외에는 불가능 , 3번도 직관적인 신뢰가 없다가 정답이 아닐까 생각됩니다.


1번의 경우 운영체제를 벗어나 사용자가 사용하는 모든 Application 문제가 없다는 것은 보증하기가 매우 어렵습니다. 사실 불가능한 이야기 이구요. 이 문제는 웹 서비스를 통해 유포되는 악성코드의 전염을 막을 방도가 매우 부족함을 의미합니다.


2번의 경우에는 전 세계의 많은 AV 벤더들에서 대응을 하고 있지만 사실상 공격자의 행동에 대해 대응력은 부족하며 산발적인 대응만을 하고 있어서 노력대비 효과는 미미한 수준이라 할 수 있습니다. 발견을 못한 AV 벤더는 업데이트가 없이 그냥 가죠. 그리고 발견하여 대응을 한다고 하여도 이미 공격자는 또 다른 내용으로 손쉽게 변경하는 것이 가능합니다. 전 세계에 널리 자사의 AV 제품이 사용되고 있다면 최소 시차를 고려 하여도 1일 이상의 시간이 소요 되는 것이 현실 적입니다.

그러나 공격자는 단 몇 분이면 새로운 악성코드의 유포가 가능하며 사용자에게 전파가 가능한 유형이 됩니다. 따라서 뚜렷한 대응방안이라고 보기가 곤란한 상태라 할 수 있습니다.


3번은 더 말씀 드리지 않겠습니다.


이미 대책 부분과 필요한 부분에 대해서는 이전의 몇몇 Article에서 충분히 언급한 상황입니다.

[ 상상하기 어려운 위협 - http://p4ssion.com/112 , http://p4ssion.com/152   ]

[ IT 서비스의 현재 위험과 대응 종합 , 첨부파일 참고 - http://p4ssion.com/199 ]


전 세계적인 대응 현황을 간략하게 살펴 본 주관적인 의지로 정의하면 빈익빈 부익부, 근본에 도달하지 못한 미봉책..

이 정도로 정의를 할 수 있습니다.


며칠전 MS에서는 웹 서비스에 대한 SQL Injection을 막기 위해 IIS의 Plugin 형식인 URLscan Filter 3.0를 배포 하고 있습니다.

[ http://www.microsoft.com/downloads/details.aspx?FamilyID=ee41818f-3363-4e24-9940-321603531989&displaylang=en ]

현재 타켓화 되고 있는 ASP+MSSQL+IIS 조합에 활용이 가능한 유형입니다.


물론 실제 적용 시에는 개발된 서비스의 소스에 따라 설정의 변경등이 필요한 상황이 되겠습니다.


또한 HP의 WebInspect and QAInspect라는 제품과 IBM의 Appscan , WVS의 Acunetix 라는 웹 취약성 스캐너들이 현재  전세계 시장의 다수를 차지하고 있습니다. 이 제품들의 특징은 스캔 할 수 있는 도메인이 한정 되어 있다는 점, 과도한 취약성 점검을 위해 컨텐츠를 다운로드 (?) 받아서 재현을 하다보니 대용량 사이트에 대해서는 진단의 한계를 보이는 점들이 있습니다.

가장 중요한 점은 가격이 후덜덜입니다.


왠만한 IT기업에서 제품군을 도입하려면 많은 전문인력 및 도구 구입에 상당한 비용을 들여야 할 것으로 보입니다.


자 위의 두 가지와 같은 대응 흐름이 있습니다. 솔루션을 이용한 근본 취약 부분을 찾아서 소스코드의 문제를 수정하는 방향과 현재 발생되는 공격이 유효하지 않도록 무력화 시키는 Filter 부분이 있는데 두 가지 모두 한계를 지니고 있습니다. Filter의 경우에는 우회가 가능한 패턴 유형이 발견 될 수 있다는 점과 기존의 정상 서비스 트래픽에 대한 제한을 지닐 수 있다는 점입니다.


또한 솔루션을 이용한 취약 부분 진단에 대해서는 고비용, 대형 사이트 진단 불가 , 도메인 스캔의 제한 , 속도의 문제로 인해 사용이 어려운 측면이 발생 합니다.


( Web Firewall 등에 대해서는 별도 언급 하지 않겠습니다. 도입시 마다 설정 변경이나 Customizing 없이 사용 가능한 제품이 없지 않나요? 어쩌면 소스코드 수정이 휠씬 빠를 수도 있는 Customizing이며 공격 패턴이 변경 되면 처음 부터 다시 설정 해야만 합니다. - 근본 문제 제거와는 관련 없는 부분이며 임시방책일 뿐이라 논의 하는 것은 부적절하다는 개인 판단입니다. )



빈익빈 부익부.


가난한 기업들과 여력이 없는 기업들을 위한 해결 방안은 어디에도 없습니다. 그나마 전문성을 지닌 인력이라도 있다면 이런 문제를 해결해 보겠으나 인력도 없으니 설상가상인 상태가 되겠죠. 앞으로도 오랜 기간 동안 대상이 될 것으로 예상 됩니다.


개인적인 예상으로는 향후 2~3년간은 이러한 대규모 악성코드의 유포에 의해 매우 시끄러울 것이고 특별한 해결책도 찾기 어려운 상황이 계속 될 것입니다. 그 이후에는 또 다른 부분으로 전이가 되겠지만...


부유한 기업들은 많은 비용을 투입하여 장비를 도입하고 소스코드에 대한 진단과 컨설팅등을 받습니다. 그러나 빈자들의 서비스를 통해 유포되는 악성코드들은 주로 부유한 서비스 기업을 노리고 있습니다. 이 점에 대해서는 간과를 하는 면이 많은 편입니다.


문제의 해결을 하기 위해서는 세계의 인터넷 환경을 일시에 ( 상당히 빠른 시간) 클린한 상태로 올려 줄 수 있는 부분이 필요하며 자신만의 서비스를 벗어나 전체적인 시각을 가지고 움직일때 자신의 서비스에게로 오는 위험을 줄 일 수 있습니다.


말그대로 네트웍 환경은 위협도 연결이 되어 있기 때문이죠.


빈자들을 위한 보안도구들은 언제쯤 출현 할까요? 상용도구의 정확성 만큼을 보유한 저렴하고 접근성이 뛰어난 도구의 출현이 현재의 상황을 좀 더 빠른 시기에 진화 할 수 있을 유일한 방안이라 생각 합니다.


전술과 전략이 있습니다. 개개의 싸움을 하는 전략은 현재대로 진행 하고 상호협력을 강화할 방안을 찾아야 하며 ( AV의 대응 , Scanner , Web Firewall, Vendor의 대응) 더불어 가장 중요한 전술적인 차원의 큰 방향성이 필요 합니다.


큰 방향성 차원에서 공격의 범주를 최대 확산이 불 가능 하도록 일정 수준 이하로 묶음으로써 피해의 광역화를 막는 것이 가장 큰 이슈가 될 것이고 가장 필요한 관점이 아닐까 생각 합니다. 전술적으로 확산 범주를 좁히기 위해서는 가장 필요한 것이 문제점을 찾을 수 있는 접근성 뛰어난 저렴한 비용의 도구의 확산이나 서비스화가 우선 되어야 할 것이구요.


전술과 전략은 구분되어야 하며 현재의 전략도 부족한 면들이 있으며 커버 가능한 범위를 더욱 넓힐 수 있는 도구와 서비스의 출현들이 심각하게 필요하며 전술적인 관점에서는 거대한 악성코드 유포 네트웍을 소규모 단위로 분산 시킬 수 있는 정책적인 방향성이 필요합니다. 수많은 이해가 상충되는 야생의 시대에 이런 협력이 필요한 전술과 전략은 구사되기 어려운 점들이 많을 것입니다.


따라서 앞으로도 위기는 계속 지속 될 것입니다. 모든 프로그래머가 Secure한 코딩이 일상화 되기 전까지는 상당히 오랜 시간 위기는 지속 될 것이고 이제 세계적인 시작은 큰 흐름이 벌써 시작된 상황이라 예측 됩니다.


- p4ssion. 2008.9




Posted by 바다란

IT 리스크의 현실 – 2009 글로벌 보안 위협의 변화 2 -zdnet 컬럼

                               

 

 

지난 편에서 공격과 방어의 현실에 대해서 살펴 보았다. 각 글로벌 기업들의 피해 현황과 대응 방식의 변화를 통계치를 통해 살펴 보았다. 또한 공격 기술과 방어기술의 차이가 벌어지고 있으며 그 차이는 더 큰 격차를 보이고 있음을 간략하게 살펴 보았다.

 

두 번째 글인 이번 컬럼에서는 IT 시스템과 서비스가 가지고 있는 실제적인 리스크의 현실에 대해서 통계치와 조사된 자료를 통해 간략하게 알아보고 변화가 어떻게 진행 되고 있는지 알아본다.

 

컬럼 이전에 필자가 보는 보안과 시대에 대한 관점에 대해 잠시 언급 하도록 한다.

 

국내의 보안 현실에 대해서 논의 하는 것은 특별한 의미가 없다. 모든 현상은 이어져 있으며 글로벌 연동이 일반적인 현실에서 국지적이고 지역적인 위험을 언급한다는 것은 의미가 없는 논의일 뿐이다. 현재 발생되는 문제들도 국내에만 국한된 문제들은 없다.

 

보안과 해킹이라는 분야는 창과 칼의 의미를 지닌다. 문제점을 찾아내고 문제점을 대비 할 수 있는 체계를 갖추는 것은 분야별로 또 규모별로 달라져야 하고 방안도 달라야만 한다. 그러나 무엇에 대한 대응 이라는 주제는 어디나 동일 할 수 밖에 없다.

 

일반적으로 변화는 새로운 요구를 수반한다. 새로운 요구는 기존질서와 규칙의 붕괴를 때때로 가져온다. 기존의 질서를 유지하고 안정감을 가지려고 하는 시도는 인류의 오랜 역사와도 같이 하는 본성일 뿐이나 변화를 거부 할 수는 없다. 그래서 임계점에 도달하면 극적인 붕괴나 변화가 시작 된다.

 

지금의 변화는 어떤 요구를 수반 하고 있을까?  IT서비스와 인터넷은 전 세계 경제 활동 인구의 대부분에게 영향을 미치고 있다. 보안이라는 관점은 역설적이게도 전문분야 이면서도 전 세계적인 영향력을 가질 수 밖에 없다. 각 부분별로 변화는 다양하나 대응 형태에서는 유사함을 띌 수 밖에 없다. 모두가 이어진 세상이고 거의 실시간으로 공간과 거리의 문제를 간단하게 일축 하고 있다. 

 

문제 발생은 이제 지역적으로 일어나지 않는다. 큰 변화를 일으키는 많은 문제들은 시간이 지난 후에야 문제를 인지하고 그 문제로 인해 변화가 이루어 졌음을 알게 된다. 시간이 지난 뒤에 돌아보면 변화를 일으킨 문제들을 알게 된다. 막상 그 당시에는 몰랐어도…… 

 

지금의 IT 환경의 많은 변화들은 자유로운 지식의 공유와 인간 능력의 확장을 하고자 하는 기본적인 의지로부터 비롯되고 보안이라는 측면은 상처 받고 깨지기 쉬운 도구를 한계에 도달 하지 않도록 지켜내고자 한다.

그러나 공격 기술과 보호 기술의 격차는 점점 더 차이를 벌여가고 있다. 다양한 한계와 제약에 의해 보호 기술의 발현은 어려움이 있다. 공격 기술은 어려움 없이 세계적인 영향력을 갖추나 보호 기술은 강력한 제약들을 많이 가지게 되고 현재는 대응 수준마저도 현실을 지켜 내기는 어려운 실정이다.

 

새로운 위협에 대해서 인지를 하고 기존의 위험들이 어떤 영향을 가지고 있으며 어떤 결과들을 초래 할 수 있는지에 대해서 아는 것은 국가나 기업, 산업의 미래 방향성과 발전에 큰 힘이 된다. 특히 지식 기반 산업을 중점으로 추진 하는 곳일수록 분명한 힘이 될 수 밖에 없다. 일회성 개발과는 차원이 다른 성장동력이 지식기반 산업이다.

 

지식기반 산업에서의 가장 중요한 리스크 관리는 근간을 위협할 수 있는 변화를 알아서 대응을 하고 장기적인 방안을 마련 하는 것이 가장 중요하지 않을까?

특히 현재의 지식기반 산업의 기반에는 공유되는 정보와 체계적으로 누적된 데이터에 기반한 산업이 가장 큰 영향력을 나타내고 있으며 가장 중요한 도구로서 인터넷은 절대적인 가치를 지니고 있다. 그리고 그 인터넷은 현재 심각하게 위협을 받고 있다. 시간이 지날수록 위협의 강도는 근간을 흔들게 될 것으로 본다.

 

서론이 길었다. 차후에 보안과 해킹 그리고 산업에 대한 관점으로 별도의 글을 고민 해보도록 하고 이번 컬럼의 주제로 돌아가자.

 

 

n  내부. 외부 어디가 더 문제?

 

보안 사고들이 발생 될 때 마다 이전까지 항상 언급 되던 것이 내부자에 대한 통제 문제였다. 내부자에 대한 통제 문제는 대부분의 중요사고나 정보 유출 사고들이 내부자에 의해 대규모로 발생한다는 점에서 항상 강조 되던 문제였다. 그러나 지금도 그럴까?

 

지금도 그러한가 하는 질문에 대한 필자의 대답은 글쎄이다. 전체적인 사건사고들이 증가한 이유도 있겠으나 가장 중요한 문제는 폐쇄형에서 개방형으로의 진화가 차이를 이끌었다고 보고 있다. 접근 지점이 이전에는 내부에서 밖에 접근 할 수 밖에 없었다면 이제는 Application의 취약성을 타고 중요정보들이 저장된 Db에 직접 접근이 가능한 문제들이 발생 한다.

 

일반적인 개요이지만 네트워크 단위의 문제와 OS의 문제, Application에서 발생되는 문제는 앞서의 컬럼에서도 언급 하였듯이 역삼각형 구조를 지니고 있다. Sans의 컬럼에 잘 표현된 이미지가 있다.



각 부분별로 세분화가 가능하나 취약점의 개수로 보면 가장 정확한 모양을 나타내고 있다. 취약성의 발전 현황에서도 최초에는 네트워크 프로토콜에 대한 문제들이 나오고 이후 운영체제의 이슈, 운영체제에 종속된 어플리케이션에 대한 문제 ( 위의 이미지에서는 OS Libraries로 표시됨)가 나타난다. 그 이후 발생되는 문제는 OS에 종속적이지 않은 어플리케이션의 문제이다.

 

시기적으로 90년대 까지는 Network Protocol Network 상으로 오픈된 서비스들에 대한 문제들이 주된 이슈였고 이후 운영체제의 문제로 넘어가게 된다. 2000년대 초에 이르러 운영체제에 대한 문제들과 운영체제 종속적인 취약성들이 영향을 미치게 된다. 이때 까지만 하여도 보안과 해킹이라는 영역은 소수의 전문가들의 영역이었고 피해 범위도 제한적인 범위였다.

 

이후 2004~5년을 기점으로 하여 Application에 대한 공격으로 세계적인 흐름은 전환이 되었다. 실제로 이 전환기의 공격을 가장 처음 격렬하게 경험한 곳도 한국이다. 그럼에도 불구하고 대응책이 완료 되었거나 경험에 의해 진보 되고 있다고 표현 하기에는 어렵다.

 

운영체제의 경우에는 벤더사에 의해 주기적인 업데이트가 제공이 되고 있다. 그러나 개발자들이 개발하여 서비스화된 서비스들의 경우에는 주기적인 업데이트나 문제의 해결은 멀고 먼 일이다.

현재 직면한 현실의 문제는 여기에서부터 비롯된다.

 

웹서비스와 데이터베이스는 연결 통로를 가지고 있고 현재의 공격자들은 개발된 웹 서비스의 문제점을 이용해 데이터베이스의 정보를 가지고 가거나 시스템에 백도어를 설치해 내부망에 침입하는 도구로 사용 한다. Application에 대한 공격과 데이터베이스까지의 직접 연결은 내. 외부에서의 정보 유출사고들에 있어서 경.중에 대한 구분을 없애고 있다.

 

제한된 내부 사용자들만이 접근 할 수 있는 데이터베이스에 대한 접근을 공격자들은 자유자재로 웹서비스의 취약점을 통해서 접근 할 수 있는 상황이다. 지금의 상황은 내. 외부자에 의한 정보유출 및 피해 사례는 단순한 횟수 이외에도 정보유출시의 파급력이 함께 고려 되어야 하고 대비가 되어야만 한다.

 

 

내부자에 의한 사건 사고 비율을 조사한 내용을 보면 2007년에 비해 2008년에는 내부자에 의한 사고 비율이 줄어들고 있음을 볼 수 있다. 실제적으로 내부자에 의한 위험이 줄어든 것은 아니며 외부자에 의한 위험요소가 동등한 수준으로 격상이 되어 상대적으로 비율이 적어지고 있을 뿐이다. 또한 내부자에 대한 통제 수단들이 지속적으로 개선되어 효과를 보여 주고 있음을 의미 하기도 한다.

 

 

CSI의 조사 이외에도 Verizon의 실제 피해사례를 조사한 결과를 보면 내부자에 의한 피해가 더 크다고 볼 수는 없다. 외부자에 의한 실제 피해가 2005년까지는 급격한 하강 곡선을 그리다가 그 추세가 반전이 된 계기는 앞서 이야기 했듯이 어플리케이션에 대한 직접 공격을 통해 데이터베이스에 저장된 정보를 빼내어 갈 수 있게 되었기 때문에 발생한 변화이다.

 

통계치는 보기에 따라 다양하게 해석될 수 있으나 전반적인 흐름은 파악 할 수 있다. 상대적으로 파트너와 내부자에 의한 정보 유출은 제한적이거나 하락하는 경향을 볼 수 있다. 통제의 수단들이 늘어가고 있고 일정부분 영향을 미치고 있음을 의미한다.

 

2005년 이후의 보안성 강화 방안들이 정확한 해결책 이였는가 하는 의문에 대해 2005년 이후의 몇 가지 통계자료가 의미하는 바가 있을 것으로 본다. 내부자 통제에 대한 강화도 중요하나 외부자가 침입 할 수 있는 문제점들에 대해 체계적이고 주기적인 해결 방안을 가지고 있었어야 했는데 지금의 현실은 그렇지 못하다. 이전 컬럼에서 언급 하였듯이 외부자가 침입하는 방안으로 어플리케이션 해킹이 상당 비율을 차지하고 있고 실제 피해를 발생 시키고 있는데 효율적인 대책들은 지지부진하다.

 

2006년 이후 2008년까지의 IT예산에서 Security가 차지하는 비율은 평균비율로 보았을 때 지속적으로 높아지고 있다. 그만큼 IT 전체 예산에서 보안에 대한 중요성이 높아지고 있음을 의미한다. 이 통계는 보안의 중요성이 점차 더 높아지고 있고 전체를 흔들 수 있는 사안임을 느끼고 있다는 반증이라 할 수 있다.

과연 국내의 현실은 어디쯤일까?

 

 

n  공격의 특징

 

현재 글로벌 환경의 공격 특징은 한마디로 요약하면 타켓화라 할 수 있다. Web 2.0 기반의 소셜 서비스에 대한 공격이든 무엇이든 목적을 가지고 또 특정 대상을 한정하여 공격한다는 점이다. 공격을 방어하는 입장이 보안이라고 보면 국가든 기업이든 산업이든 간에 대상을 한정하고 특정 목적을 가지고 공격하는 것들이 늘어 나는 것이 확연한 추세라는 점이다.  글로벌화된 규모의 IT서비스 기업들의 출현은 그 기업의 서비스만을 공격하여도 성공률이 높아지는 환경을 만들었다.

 

공격의 대상은 특정 Application 이나 특정 서비스를 공격하며 얻고자 하는 것은 인터넷 사용자들의 개인정보 ( 게임계정, 금전거래, 서비스 정보) 및 기업의 중요정보의 탈취를 주된 목적으로 하고 있다. 부수적으로 공격 좀비들의 네트워크를 구성하여 규모의 봇넷을 구축하고 DDos 공격등을 통해 금전적 이득이나 힘의 과시, 협박이 일상적으로 발생 되고 있는 상황이다.

 

조금 더 가까운 미래에는 더 치명적인 일들이 발생 될 수도 있다. 사이버상에서의 영향력이 오프라인까지 전달되는 파국적인 결과를 초래 할 수도 있는데 지금까지 국제사회에서 통용되는 가난한 국가들의 무기 혹은 비대칭적인 무기로서 사이버 공격은 언제든지 전용 될 수 있을 것이다. 공격의 특징으로 꼽은 타켓화의 진행방향은 사이버 공격이 언제든 오프라인으로 확장될 수 있음을 나타내고 있다. 그 가능성은 점차 커지고 있는 상황이다.

 

통계치에 의해 공격의 특징들을 살펴보자.

 

 

버라이즌의 데이터 유출과 관련된 통계치이다. 직접적으로 내부의 데이터를 유출할 목적으로 침입을 한 경우가 72% 가량이나 된다. 기업망을 중심으로 하여 취약한 부분을 오랜 기간 (사실 지금의 웹어플리케이션의 보안 상황이면 그리 오래 걸리지 않는다.) 조사를 하고 헛점을 발견하면 직접 침입하여 정보를 유출한다. 더불어 악성코드들을 설치하거나 유포하는 행위들도 일상적으로 일어난다. 전체중 30%에 가까운 정보 유출 사고들은 랜덤한 공격을 통해 일어난다는 수치를 통해서도 현황을 극명하게 알 수 있다.

 

가치가 있는 자료인 경우에는 데이터를 유출하고 최종적으로는 악성코드를 유포하여 부수적인 정보를 획득하고 얻는 행위들이 지금까지 일반적 이였다. 국내의 경우에도 대부분 이라 할 수 있다. 목적이 무엇이냐에 따라 행위들이 달라질 뿐이지만 침입에 성공하고 제약 없이 접근이 가능한 사안이라는 점은 달라지지 않는다.

 

데이터 유출과 관련되어 사용되거나 유포된 악성코드들의 기능을 살펴본 통계는 키입력을 가로채고 직접 접근이 가능한 백도어 기능을 가지고 있는 것이 대부분이며 화면에 대한 캡쳐링 기능도 일반적으로 가지고 있다고 볼 수 있다. 거의 모든 정보의 유출이 가능한 형태이다. 사용자 PC에 설치 되는 악성코드들도 동일한 성능을 가지고 있다.

 

왜 이런 악성코드들은 무차별적으로 사용자들에게 뿌려지고 기업내부의 중요망에 설치가 되는데 보안 장비들은 탐지하지 못하는가 하는 문제제기가 된다. 앞서 계속 언급 하였듯이 공격자들의 기술진보와 기술공유는 보호 관점보다 휠씬 더 앞서 있다.


 

발견된 악성코드들의 형식은 전체의 60% 가량이 안티바이러스 제품을 피하기 위해 새로 제작 하거나 코드 수정, 압축을 통해 탐지를 회피하는 것을 볼 수 있다. 안티바이러스나 보안제품들의 탐지를 피하기 위해 수정이나 변형, 제작이 일반적인 상황이 되고 있으며 앞으로도 증가 할 것으로 볼 수 있다.

 

보안제품들의 악성코드 탐지는 대부분 시그니쳐 기반이다. 즉 알려진 유형에 대해서만 대처가 가능하다는 의미이다. 가장 오탐을 줄이고 정확성을 확보하는 방안이라서 사용 될 수 밖에 없다. 앞으로도 오랫동안.. 대안으로 휴리스틱 검진들이 나오기는 하지만 시스템이나 서비스 구조에 융화된 휴리스틱 검진은 출현하기 어렵다고 본다. 악성코드 유형 중에서 일부 오탐을 감내하더라도 압축된 방식이나 코드가 수정된 유형의 악성코드에 대해 제한적인 효과를 가질 것으로 보고 있다.

 

각 년도 별로 악성코드의 침입탐지 회피 시도 증가는 현재 버라이즌에서 조사한 실제 유출사고에서 분석된 내용이 알맹이만을 추출한 것으로 보고 있다. 2007년 이후 급격하게 증가한 탐지 회피 시도는 앞으로 더 은밀하고 생활과 밀접한 부분에도 직접적인 영향을 미치는 방향으로 전환 될 것으로 보인다. 탐지 회피 시도의 급증은 공격자들의 협력관계나 공유 정보들이 폭넓게 확산 되고 있음을 엿볼 수 있다.

 

이상과 같이 CSI 레포트와 버라이즌의 데이터 유출 조사, Cert, Sans등의 자료를 이용하여 필자가 생각하는 문제점과 방향에 대한 근거들을 설명 하였다. 지난 4~5년간의 변화를 몇 가지 자료를 이용하여 간략하게 언급 하였다. 지금 우리는 사회적, 구조적, 기술적 등등 각 방면에 걸친 대응 방안이 모아지고 미래를 위한 고민과 논의가 있어야 되나 눈 앞의 현상에만 집중하고 있는 상황이다. 대책은 획일적일 수가 없다. 정답이 없다. 현명한 자들은 변화를 끌고 나갈 것이고 그렇지 못한 자들은 끌려 갈 뿐이다. 보호를 위한 방안들도 현명하고 창의적이고 통찰력이 있어야 구체화 될 것이고 살아 남게 될 것이다.

 

항상 악성코드의 수치를 이야기 하고 탐지 횟수를 이야기 한다. 그러나 정작 중요한 것은 피해를 입었는지, 어떤 형태를 가지고 있는지, 어떤 방식을 사용 했는지가 더 중요한 자료가 된다.

보안장비에서의 탐지로그는 규모가 있다면 단 며칠, 몇 주 만에도 몇 억 건을 가볍게 넘어선다. 그러나 성공한 침입은 몇 백만분의 1도 되지 않을 것이다. 게다가 우회를 한다면 어떤 의미들이 있을까? 

단순한 보고만을 하기 위한 보안은 의미가 없다. 실제적인 역량을 갖추어야만 진짜가 된다. 그 역량을 갖추기 위해서는 변화가 어떻게 진행 되고 있고 어떤 부분을 더 노력해야 하는지에 대해서 알아야만 한다. 변화를 수용하고 받아들이고 바뀌려고 하지 않는다면 더 참혹한 결과를 볼 수 밖에 없을 것이다.

 

 

법과 규제로도 실제적인 문제는 해결 되지 않는다. 다만 모든 사고는 은폐될 뿐이다. 해결의 길은 더욱 멀어져 간다. 이게 지금의 현실 아닐까? 열정은 너무 먼 곳에 있다.

 

-       바다란 세상 가장 낮은 곳의 또 다른 이름

* 다음편은 SCADA 시스템의 위험에 대한 종합적인 시나리오를 작성 할 예정이다. 글로벌 보안 위협의 사실들이 개연성 차원에서 다수 포함 될 것이다. 그외 관심 있는 사안들이나 설명이 필요한 내용에 대해서는 블로그에 요청을 해주시면 아는 한도내에서 최대한 설명을 하도록 할 것이다. 그럼.

Posted by 바다란

10가지 어리석은 실수들-2

 - 바다란, zdnet 보안컬럼니스트

 

전편에는 시스템 및 네트워크 부분에서 빈번하게 발생 되는 케이스들을 살펴 보았다. 10여 년의 기간 동안 일선에서 침해사고를 담당하고 보안구성에 대한 업무를 진행하면서 상당수의 침해사고 발생 이후의 확산에 가장 큰 영향을 끼친 부분으로 보고 있다. 이번 컬럼의 내용은 2005년 이후 현재까지 진행중인 대부분의 침해사고에 해당되는 Application에 관련된 부분이다.

네트워크 관리자가 아닌 IT 관리자라 칭한 이유도 범위를 한정하여 발생 되는 부분이 아니며 전체의 관점에서 바라보아야 할 이슈이다.

 

Application에 관련된 보안 부분은 2000년대 이후 장대하고 중요한 흐름을 보이고 있다. 인터넷의 발달과 생활의 밀접화는 주변의 많은 것들을 변화 시켰고 생활에 밀접한 많은 것들을 인터넷 연결이 가능한 많은 부분들로 변하게 하고 있다.

Web 2.0 이라는 용어 자체도 생활에 밀접한 사용자친화형, 생활형을 가진 인터넷상의 삶과 동일하게 볼 수 있다. Web 2.0의 발달이 의미 하는 것은 사용자와 더 친밀하고 생활에 더 밀접한 요소들이 인터넷과 연결 되어져 있음을 의미한다.

 

Twitter 와 미투데이를 이야기 하고 블로그와 SNS의 생활 밀접도는 활동성이 큰 계층에 대해 상당히 높은 비중을 가지고 있다. 사용자간의 밀접도가 높고 연결관계를 가짐으로 인해 예전과는 비교 할 수 없을 만큼의 파급효과를 가지고 있고 위험도 동일하게 존재한다.

Web 2.0에서 발생될 수 있는 위협들에 대해서는 예전에 정리한 자료가(첨부파일) 여전히 유효하며 참고 할 수 있을 것이다.

 

본 컬럼에서 언급하는 Application Web Application으로 한정하여 논의를 하도록 한다. 넓은 범주의 Application이라 하더라도 인터넷 연결이 가능한 대부분의 Application은 동일한 문제들을 지니고 있는 것은 명백한 사실이며 현실이다.

 

< Major Attack trends by p4ssion>

 

전체적인 공격동향의 변화를 정리하고자 2007년에 작성한 이미지이고 현재도 별반 달라진 내용은 없다. 2005년을 기점으로 하여 국내를 기준으로 보면 자동화된 Application Attack이 최초 출현하고 이후에는 폭발적으로 증가한 상태로 볼 수 있다. 전 세계적으로도 Application Attack 관련 하여서는 2005년 이전에는 전문가에 의한 부분적이고 국지적인 침해들이 있었으나 2005년을 기점으로 하여 Web application을 공격하는 도구가 출현함에 따라 파급력이 매우 커지는 결과를 초래 하였고 현재는 인터넷 환경의 가장 큰 위험으로 등극한 상황이다.

 

수많은 개인정보의 유출과 도용 사례, 대규모의 좀비 PC, 서비스에 대한 직접적인 DDos 공격과 같은 모든 주요 사안들이 Application Attack과 연결되어 있다. 본 컬럼에서 필자는 이점에 대해서 분명히 하고자 한다. 2005년을 기점으로 국내 및 세계의 인터넷 위험도는 급격하게 증가 하였으며 보호를 위한 노력이 느리게 진행됨에 따라 지금까지의 위험보다 더 크고 복잡화된 위험들이 이미 다가와 있음을 분명히 한다.

 

 

기존의 소규모 혹은 국지적으로 이루어지는 해킹사고의 경우 침해사고의 범위와 피해 대상이 제한적 이였다. 그러나 현재의 환경은 개인의 PC를 대상으로 하고 있으며 종래에는 서비스까지도 위협하는 단계에 도달해 있다. 공격자들은 공격 범위와 대상에 대해 제한이 없으며 모든 개인 사용자의 PC를 개별적으로 공격할 필요성도 없다. 공격은 웹서비스가 대신해 준다. 공격자는 다만 주된 지점만을 공격하여 악성코드를 유포 하도록 만 하면 된다.

 

주된 지점에 대한 공격은 SNS, 게시판, 덧글, 동영상 등을 이용한 악성코드 전파들도 있으며 더 근본적인 기저에는 취약한 Web Application에 대한 권한 획득이 가장 근본적인 문제이다. Web Application에 대한 직접적인 공격을 통해 DB에 저장된 데이터를 절취해 가고 Web Application의 소스코드를 변조하여 방문하는 모든 사용자에게 악성코드를 유포하도록 한다.

 

Web Application에 대한 자동화된 공격도구의 출현은 보안에 대한 패러다임을 바꾼 것이 아니라 인터넷 산업 자체의 패러다임을 바꾼 중대한 전환점이라 할 수 있다. 공격 도구의 자동화가 끼친 영향은 DB의 사용자 정보 유출 과 정보 유출이 일차적인 목적 이였으나 불특정 다수에 대한 악성코드 유포의 도구로 활용 됨에 따라 큰 전환점이 일어난다.

 

방문 하는 모든 사용자의 PC에 취약성이 존재하면 반드시 감염이 되고 모든 사용자의 정보는 공격자에게로 전송이 되고 조정이 된다. 수백 만대가 넘는 좀비PC의 확보는 상당 부분 유사한 형태로 이루어 졌을 것이다. 유출된 개인정보들은 DB에 저장된 정보 이외에도 개인 사용자 PC에서 전송되는 정보들도 있다. 엄청난 양의 개인정보들은 이미 유출 되었고 활용이 되고 있다. 그 결과 정확도와 신뢰도가 높은 보이스 피싱과 일반적인 피싱 공격들이 연이어서 발생 하는 것뿐이다. 더불어 권한 획득된 개인 PC를 이용하여 DDos 공격을 하고 개인정보를 이용하여 서비스의 혼돈을 초래하며 거래를 통해 이득을 얻어내고 있다.

 

모든 전문가들이 개인PC의 보안을 강화하라고 한다. 그러나 보다 근본적으로는 모든 IT 서비스에 대해 보안성 검증이 먼저 되어야 할 것이다. 전파가 가능한 매개체를 줄이면 피해는 국지적으로 발생 할 뿐이다. 지금은 그 어떤 것도 되어 있지 않고 개인의 책임만을 이야기 한다. 일면 무책임 하기도 하다. 물론 개인PC에 대한 보안성 강화는 당연히 있어야 하는 일이다.

 

 

일반적으로 우리가 악성코드라고 부르는 것은 백신에서 악성코드라고 탐지를 할 때에야 비로소 알게 된다. 악성행위를 하는 프로그램은 백신개발사에 의해 분석되고 등록되기 이전에는 악성코드라고 탐지가 되지 않는다.

 

만약 새로운 유형의 악성코드가 지금껏 발표되지 않은 비공개된 취약성을 이용하여 개인PC를 공격 한다면 사전에 발견 할 수 있을까? 아직 기술의 진보는 여기에 완전하게 이르지 못했다.  그렇다면 웹 서비스를 통해 새로운 유형의 악성코드가 유포 된다면 감염자는 얼마나 될 수 있을까? 방문 하는 사용자의 상당비율이 감염이 될 것임은 불을 보듯 뻔하다. 지금은 얇디 얇은 유리와 같은 상태로 인터넷 서비스와 산업이 유지되고 있는 상황이다.

 

지금의 현실은 상상하기에도 끔찍한 현실이다. 그러나 이 현실 속에서도 생존 해야만 미래가 있다. 그 생존을 위해서는 문제를 공론화 하고 풀어가는 과정이 필요한데 숨기려고만 한다. 풀어가는 과정 조차 없고 문제의 핵심에 대한 논의도 거의 없는 상태이다.

 

 

기본적인 현실에 대한 간략한 설명을 우선 하였고 각 항목별로 어떻게 연결이 되는지 확인을 해보자. 이제 열 가지 실수 중 남은 부분을 살펴 보면 다음과 같다.

 

Failing to test noncritical applications for basic vulnerabilities

 

중요하지 않은 Application이라는 용어에 몇 가지 의미가 있을 수 있으나 이 부분에서는 외부로부터 http 접근이 허용이 된 모든 Application이라고 보아야 바람직하다. 일반적으로 외부로부터 침입에 활용되는 매개체는 2005년 이전의 직접적인 서비스 공격에서 서비스 포트에서 운영이 되는 Web application으로 옮겨져 있다. 지금의 공격도 여기에 집중이 되고 있다. 항상 외부로부터의 관점에서 취약성을 평가해야만 안정성을 보장 할 수 있다. 일반적으로 각 서비스 회사마다 하나에서 수십, 수백여 개의 서비스 URL들을 운영 하고 있을 것이다. 그러나 대부분의 보안상 위험에 대한 관점은 주된 서비스 몇 개에 한정 되어 있다. 위험에 대한 모니터링과 보안에 대한 강화들도 대부분 주요 서비스에만 집중 되어 있는 상황이다. 특히 Application에 대한 보안성 강화는 많은 노력과 시간들이 소요 됨으로 인해 주요 서비스만 시행을 하는 경우만 많다. 내부망에 침입 할 수 있는 주변 Application에 대한 관리가 소홀하고 취약성 제거가 이루어 지지 않는다면 그 동안의 모든 보안강화 조치는 우회를 통해 완전하게 무력화 된다.

 

우회 할 수 있는 여러 통로들이 있고 어차피 동일한 결과를 가져 오는 상황에서 보안이 강화된 사이트들을 직접 공격할 이유는 전혀 없다. 중점 관리의 영역에서 벗어나 있고 외부에 오픈된 상태로 존재하는 web application의 존재는 전체를 위험하게 만들 수 있다. 우회하여 권한을 획득하고 해당 서버에 백도어를 설치한 이후 주변 서버로 제한 없이 공격을 실행 하고 확대하는 것은 보호되고 있는 서비스망 전체를 무너지게 만든다.

 

결론적으로 서비스를 제공하는 모든 Application에 대해서 외부에서의 오픈 현황을 정기적으로 확인하고 오픈된 서비스에 대해서는 반드시 취약성 존재 유무를 확인하고 제거 하여야만 된다. 본질적으로는 허가를 받지 않은 서비스는 외부에 오픈 되어서는 안 되는 것이 기본이나 예외적 상황은 언제든 발생하게 마련이다.

 

벽은 눈 앞에만 쌓여 있고 한 걸음만 옆으로 비껴가면 벽은 없는 것과 마찬가지 이다. 좀 더 나아가 서비스별로 접근제어도 고민 하여야 하고 내부망에서의 위험 인지를 위한 방안들도 고민 하여야 사고가 발생 하더라도 피해의 최소화가 가능하다.

 

보안은 침입을 막는 것도 중요하나 더 중요한 부분은 침입에 대한 피해를 최소화 하고 분석과 재발방지를 위한 대안 제시가 가능한지가 핵심이다. 전문가의 역할이기도 하다.

 

 

 

Not adequately protecting your servers from malware.

 

Malware라는 개념은 악성코드라는 개념으로 볼 수 있고 일반적인 백도어와 키로거등을 총칭한다.현재의 항목에서 논의되는 사항은 바로 위의 항목 부분에서 언급한 내용과 동일하다. 대부분의 서비스 관리자는 바깥으로부터의 침입에만 여력을 기울이는 경향이 매우 크다. 그러나 항상 모든 Application은 취약점이 있다는 자세로 그 다음 단계를 준비하는 것이 반드시 필요하다. 대부분의 공격자들은 침입 이후에는 계정정보를 획득 하거나 백도어를 설치 할 때 알려진 도구를 일반적으로 사용 한다. 이 경우를 탐지 할 수 있는 도구가 필요하며 일반적인 백신 제품의 설치가 필요하다. 서버군이 많을 경우에는 중앙통제가 가능한 형태의 백신 제품을 사용 하여야 관리와 통제가 용이하다. 최소한 알려지지 않은 도구를 사용하더라도 발견 즉시 전체의 서버군에 적용 할 수 있어야 한다. 그래야 피해를 확실히 알고 종합적인 대책이 가능하다.

 

우회 침입 이후의 공격자의 행동을 탐지하고 제약하기 위한 도구들의 운영미비는 항상 존재한다. 또한 공격자들은 침입 이후 (침입자체를 백신제품이 완전히 탐지 하지는 못한다.) 백신 제품이 활성화 되어 있을 경우 백신 제품을 비활성화 시키고 의도한 바를 하고자 한다. 만약 중앙통제 및 관리가 되지 않는 제품이라면 놓칠 수 밖에 없는 부분이다.

 

 

Not knowing where credit card or other critical customer data is stored.

 

서구권역의 경우 중요한 개인정보는 거래 및 카드 관련된 내용, 사회보장번호등이 가장 중요한 내용으로 취급된다. 국내의 경우에는 개인의 신상에 관련된 정보들이 휠씬 더 중요한 의미를 가지고 있다. 카드 도용 사고는 서구권역에서 비일비재하게 발생 되는 이슈이고 사고 발생 이후의 추적을 통해서 문제들을 제거하는 경우가 일반적이다. 국내의 경우는 금융 관련된 거래에는 여러 다양한 제약 조건들이 있어서 공격자가 데이터를 가져간다 하여도 어려움이 존재한다.  장단점이 있지만 국내의 경우는 개인정보가 고유한 Identity를 나타냄으로 인해 여러 유형의 피싱에 이용 될 수 있고 보다 더 복잡한 문제들을 일으키게 된다. 따라서 Data의 보호는 최우선 순위이고 대부분의 IT관리자들이 이점을 잘 알고 있다.

 

Data의 관점은 보호 관점에서 분류가 달라 질 수 있다. 개발소스가 될 수도 있고 고객정보가 될 수도 있다.

 

최 우선순위에 해당하는 보호 대책이 적용 되고 있는 중요 데이터 저장 서버 이외에도 백업된 데이터 및 개발자나 관리자의 PC에 남겨진 데이터들에 대한 관리들도 제대로 되고 있는지 살펴 볼 필요는 있다. 개발자나 관리자 이외에도 고객상담과 관련된 분야에 있어서도 고객 관련된 데이터를 취급함으로써 문제 발생 소지는 높다.

 

공격자는 강화된 수준의 중요 데이터 저장 서버를 직접 공격하기 보다는 우회하여 주변의 백업 혹은 개발자, 관리자, 고객상담 관련 부분에 대한 우회 공격을 통해 손쉽게 정보를 빼내어 갈 수 있다.

 

정책적이고 기술적인 측면에서 중요 Data에 대한 접근과 관리 및 보관에 대해서는 엄격한 적용이 필요하고 보호대책도 준수 되어야 함을 알 수 있다.

 

 

 

Failing to find SQL coding errors. ( or Application vulnerability)

 

 

Application의 취약성을 찾는 것은 항상 어렵다. 특히 C/S Application이 아닌 변화와 갱신이 많은 Web Application에 대해 보안성을 항상 최상으로 유지하는 것은 상당히 어려운 수준의 업무임은 틀림 없다.

 

SQL Injection 공격은 현재 직접적인 Web server 침입과 Data의 절취에 직접 사용이 되고 있는 공격 기법이고 자동화된 도구가 대량으로 출현한 상태라 Web Application의 안정성은 높은 수준으로 위협을 받고 있다. 문제 해결을 위해서는 장비 도입을 통해 임시적으로 막는 방법들이 있고 또 한가지는 근본적인 소스코드의 문제점을 수정하는 방법이 있다. 웹 보안 장비의 도입을 통해 막는 방법은 우회할 수 있는 여러 기법들과 새로운 공격 기법의 출현에 따라 무력화 되면 새로운 공격 기법이나 우회 기법이 나올 때 마다 업데이트를 진행 해 주어야만 하는 점이 있다.

 

특징을 가진 웹 사이트의 경우에는 각 사이트마다 특징에 맞는 구성을 해주어야 하는 점도 있어서 공격 유형의 변화에 빠른 대응을 하기란 어려운 점들이 있다. 근본적인 문제 해결을 위해서는  전문인력을 통해 보안성을 점검하거나 스캐너, 소스코드 리뷰 등을 통해서 소스코드에 존재하는 문제점을 찾아 내고 수정 할 수 있도록 가이드 하여야 한다.

 

보안장비의 경우에는 변화되는 공격에 무력하다는 점과 특징이 있는 경우에는 Customizing이 대량으로 필요하다는 점에서 어려움이 존재한다. 그러나 당장의 소스코드 개선 여력이 없는 곳에서는 알려진 위험을 막기 위해서라도 도입 하는 것은 바람직하다. 근본적인 개선은 아니며 향후 문제 발생 소지가 계속 존재한다는 점은 절대 잊지 말아야 한다.

 

전문인력을 통해 진단을 하고 소스코드를 리뷰 하는 행위의 문제점은 웹 서비스 개발보다도 리소스 비용 및 시간 소요가 더 오래 걸리는 경우가 많다는 점이 문제다. 치명적인 문제점이라 할 수 있다. 또한 템플릿 을 기반으로 하여 Secure programming을 진행하는 경우 웹 개발자에게 획일화된 프로그래밍을 하도록 제약 함으로써 창의성을 해치는 결과를 가져 오기도 한다.

 

두 방안 모두 장단점이 있으나 여력이 있는 서비스 업체와 그렇지 않은 업체 사이에 선택은 다를 수 밖에 없을 것이다. 현재의 인터넷 환경은 가난하고 여력이 없는 서비스에 대해서는 무지막지할 정도로 가혹한 환경이다.  이 부분에 대해서는 근 시일 내에 컬럼으로 효율적인 대응 방안을 정리 할 수 있도록 하겠다.

 

 

Not following the Payment Card Industry Data Security standards.

 

위의 항목은 국내의 현실과는 약간 다른 항목이다. 국내에서 통용되는 부분으로 논의하자면 좁은 범주의 정보보호관리체계인증(ISMS), 정보보호안전진단, ISO 27001 (이전의 BS7799)등에 존재하는 Data 보호 규정을 준수 하여 Data를 보호해야 한다는 것을 의미한다. Data의 보호를 위한 규약들은 기본적인 규칙의 준수를 의미한다. 기밀성이 필요한 데이터에 대한 암호화, 외부로부터의 접근제한, 접근자에 대한 통제, 기본적인 서비스 보안구성, 암호화된 데이터의 전송 등은 필수적으로 고려해야 할 대상이다. 상세한 설명은 곳에서 찾을 수 있다.

 

 

이상과 같이 전편에 이어 이번 편에 이르기까지 10가지의 실수들에 대한 언급을 통해 자주 발생 되는 침해사고에 대한 내용들과 연관된 부분들을 살펴 보았다. 물론 개인적인 경험들이 들어간 내용이라 정확한 방향이라고 언급하기에는 어려운 부분이 있다. 여러 해 동안을 일선에서 살펴보고 대응을 하는 과정에서 일관되게 발견 되는 문제점으로서 언급을 하였다는 정도로 인식을 해주시면 바람직할 것이다.

 

현재의 인터넷은 침해사고에 대한 언급을 하기 이전에 상당히 위험한 상황에 처해 있으며 앞으로 상당 수준의 노력을 기울여야만이 일정 수준의 성과를 보장 할 수 있는 상태이다. 위험성은 은폐한다고 해서 사라지지 않는다. 은폐든 무지든 마찬가지의 결과다. 더 큰 결과로 산업을 위협하게 될 것이다. 이제는 직접적인 위협이 됨을 이미 여러 번 목격을 하였지만 아직 큰 방향성도 없다.

 

사막의 여행자는 눈 앞의 끝없는 사막이 아니라 밤하늘의 별을 볼 수 있어야만 생존 할 수 있다고 한다.  지금 우리는 어디쯤인지도 모르는 것은 아닐까?

 

 

인터넷과 IT의 활성화를 시작한 김대중 전 대통령의 서거를 진심으로 애도합니다.

유난히 큰 분들이 많이 가십니다. 어쩌면 인간의 탐욕에 대한 재앙이 아닐까 생각 되어 씁쓸합니다.

Posted by 바다란

IT 관리자들의 10가지 어리석은 실수들-(기본 인프라)   -zdnet column

 

Pc world 실린 내용 이나 의미 있게 살펴 보아야 할 내용들도 존재하고 다른 관점에서 보아야 할 이슈들도 존재한다. 침해사고가 창궐하고 있는 불황의 시기에 주관적인 의견도 도움이 되는 부분을 발췌하여 활용 한다면 서비스의 안정성 유지에 충분한 역할을 할 수 있을 것이다. 노골적인 표현 그대로 어리석은 실수라기 보다는 잘 지켰다면 문제들이 많이 줄었을 것이라는 아쉬움의 표현이라고 받아 들였으면 하는 바램이다. 한국적 IT 서비스에서 일반적으로 발생하는 침해사고에 관한 10가지 정도의 이슈로 참고 하셨으면 한다. 우선은 기본 인프라에 관련된 5가지 정도의 이슈에 대해 정리 한다.

 

차분하게 기업의 IT 보안 현실과 여러 가지 진행중인 개선 과제들이 무엇을 위한 것인지를 되돌아 보고 동일한 실수나 위험들이 반복 되지는 않는지 또는 기본적인 부분들은 어느 정도 대비가 되고 있는지도 살펴 보는 기회가 되었으면 한다.

 

본 컬럼에는 인터넷의 시작과 더불어 지금까지 계속된 일반적으로 알려진 이야기들도 존재하고 현재에 이르러 급격하게 나타난 이슈들도 존재한다. 시대의 상황에 맞게 기본적인 틀들을 지켜야 함은 변함 없는 규칙이다. 최소한의 규칙 준수는 피해의 가능성을 그만큼 줄여 줄 수 있기 때문이다.

 

기업의 보안에 있어서 가장 흔한 문제는 일어 났던 사고들이 반복해서 일어나고 시스템의 규모와 어플리케이션의 규모가 커짐에 따라 이미 알고 있는 부분 조차도 신경을 쓰지 못하여 방치된 기본적인 문제들이 추가적인 침입을 초래하는 상태에 이르는 문제이다. 이전까지는 발견을 하지 못하다가 침해사고를 경험한 이후에야 문제는 기본적인 것에 있음을 알게 된다.. 그러나 개선은 매우 더디게 진행된다. 이것이 지금까지의 루틴화된 대응방식들 이였다.  

근본적으로는 IT 보안 관리자 혹은 역량 있고 강력한 지원을 받는 IT 관리자가 극심하게 부족한 이유이기도 하고 경영과 분리된 기술로 치부 되고 있어서 더 심각한 양상을 우리나라에서는 띄고 있기도 하다.

 

IT 서비스를 운영하는 회사에서 IT 서비스의 생존을 유지하는 것은 절대적인 일이다. 경영의 효율과 마케팅의 최적화로도 커져가는 구멍을 막을 수는 없다. 그대로 방지할 경우 구멍은 점점 더 커져 종래에는 모든 일들을 수포로 돌아가게 한다. 보안에 투입되는 비용은 그대로 소모되는 비용이 아닌 미래의 불확실성을 줄여주고 예측 가능한 범주의 안정성을 일정수준 보장하는 의미가 있다. 일회적인 투입이 아닌 지속적인 투자와 관심만이 많은 부분의 위험을 줄일 수 있으며 서비스의 영속성이 보장된다. 마케팅의 귀재들이 있는 회사라 할지라도 기본적인 보안이 되어 있지 않다면 그 어떤 마케팅도 의미 없는 것이 되어 버린다. IT 서비스 회사에서의 보안은 이제 절대적인 이슈이지 부수적인, 있으면 좋은 그런 요소는 아니다.

 

 

참조 기사에서는 Network 관리자라고 칭하였으나 적당하지 않은 부분도 있어서 IT 관리자로 호칭하도록 한다. 또한 각 열 가지 항목만을 발췌하고 설명은 주관적으로 제시를 한다. 반드시 필요한 항목임에는 두말할 필요가 없다. 실정에 맞지 않는 부분은 현실에 맞도록 재해석을 하였다.

 

 

-Not changing the default passwords on all network devices

 

Default 계정과 패스워드에 대한 이슈는 운영체제가 생기고 네트워크로 연결된 이래 항상 논의되는 문제이다. 계정과 패스워드 관리에 대한 정책들은 요 근래에야 많은 부분 지적이 되고 있으나 일반적인 침해 사고에서 여전히 무시할 수 없는 부분이 Default 계정 및 패스워드에 의해 발생 되는 것은 엄연한 현실이다.

 

네트워크 장비 ( 스위치, 라우터), 운영체제 , DB, Application과 같은 모든 IT자산에 대해 존재하는 Default password와 계정의 변경은 반드시 확인이 되어야 한다. 패스워드에 대한 Life cycle을 유지하고 관리 할 수 있어야 하며 모든 IT 자산에 대해 분명한 검토들이 있어야 한다. 지금 이 글을 읽고 있는 독자들 중에서 IT관리를 하시는 분들도 관리하에 있는 모든 시스템들의 Default 계정과 패스워드를 완벽하게 제거 하고 있다고 확언 하실 수 있는 분은 그리 많지 않으리라 생각된다.

 

공격자들은 기본적으로 초기 침입 성공 이후 (근래에는 대부분 웹 Application 공격 및 이메일 등을 통한 백도어 설치로 침입 성공) 거점을 통해 내부망에 대한 스캐닝 작업들을 시작하게 된다. 내부망에 대한 스캔 작업으로 인해 발견 되는 것들은 시스템에 대한 취약성 및 네트워크 장비에 대한 취약성과 계정과 패스워드에 대한 취약성들도 발견 하는 것이 일반적이다. 그 이후에는 장비에 접근 하여 공격자가 원하는 대로 조정을 하거나 변화를 시키는 유형이 일반적인 공격 유형이다. 현재 큰 문제로 지적되고 있는 Mass Sql injection에 관련된 문제와는 다른 관점이긴 하나 고전적인 유형이며 가장 일반적인 침입의 유형으로도 여전히 유효하다는 점에서 의미를 가진다.

 

외부에 드러난 직접 접근이 가능한 통로에는 많은 문제들이 해결 되어 있을 것이나 내부망에 존재하는 모든 장비에 대해서 확신을 하기에는 문제점이 있을 것이다. 외부자에 의한 문제와 내부자에 의한 문제 모두 문제가 발생 될 수 있는 지점을 최소화 함으로써 예방이 가능한 이슈들이다.  단순하게 IT관리자의 의지만으로 일련의 문제제거들이 진행 되기에는 어려움이 있다.  단순반복적으로 보이는 업무들이 있어야 체계를 이룰 수 있으므로 경영진의 의지와 이해는 문제제거를 위해 필수적이다. 무조건적인 관리의 부실과 문제로 내몰기에는 지금의 시스템들은 너무 크고 많다.

 

 

-Sharing a password across multiple network devices

 

일반적으로 모든 시스템에 대해 별개의 패스워드를 사용한다는 것은 불가능하다. 특히 규모가 큰 서비스를 운영할 경우에는 사실상 불가능한 작업이라 할 수 있다. 영역별로 분리 하거나 의미 있는 단위로 구분하여 공용 패스워드를 사용하는 것이 일반적인 경우라 할 수 있다. 패스워드에 대한 복잡도와 관리는 현재 상태에서는 상당 수준에 올라와 있는 곳들도 있으나 다른 관점으로 보면 근본적인 문제들이 존재한다.

 

문자와 특수문자, 숫자를 결합하여 패스워드를 만들고 이것을 소수의 관리 인원들만 알고 있는 것은 일면 타당한 보안성을 유지하고 있는 것으로 보인다. 그러나 외부 업체와의 작업들은 있을 수 밖에 없고 해당 업체와의 작업을 진행 하기 위해서는 경우에 따라서는 계정정보를 전달 해 줄 수 밖에 없는 상황들이 발생한다. 이런 경우에 전체의 시스템들에 문제가 생길 수 있는 가능성은 높다. 너무 어렵게 패스워드를 만드는 것들도 절차상으로는 부합하나 직접적인 입력과 기억의 어려움으로 인해 패스워드를 적은 포스트잇 등을 화면에 붙여 놓는 것을 자주 보게 된다. 이 경우도 동일한 위험으로 간주 할 수 있다.

 

패스워드 관점에서는 주기적이고 영역별로 나뉘어진 관리가 필요하며 소수의 인원에게만 공유 되어야 한다. 그리고 권한 별로 계정에 대한 구분이 명확하게 나뉘어져 있어야만 한다. 최소한 대규모 서비스 운영이나 몇 십 혹은 몇 백대 이상의 시스템을 운용하는 곳에서라면 각 서비스 구분 별로 별도의 규칙과 절차를 통해 Secure한 패스워드를 유지하는 절차를 구비하는 것이 필요하다. 침해사고 방지의 가장 큰 부분은 피해 확산을 최소화 하는 부분도 큰 부분이며 패스워드에 대한 정책적인 관리와 구분은 가장 기본적이며 큰 효과를 볼 수 있는 영역이기도 하다.

 

외부 노출된 Application 취약성이나 내부로 침입한 악성코드에 의해 단 하나의 계정과 패스워드가 유출 되었다고 한다면 체계적인 영역구분과 관리 절차가 없는 서비스에 대해서는 모든 것에 대한 권한을 넘겨 준 것과 동일 하다고 볼 수 있다.

 

 

-Misconfiguring your access control lists.

 

 

대부분의 서비스를 운영하는 회사에서는 외부에서의 직접적인 접근을 금지하고 있다. ACL이라는 것은 네트워크 장비나 서비스 서버 단위에서 접근 할 수 있는 영역을 제한하는 용도로 사용되는 모든 것을 총칭한다. 단순하게 네트워크 장비에서의 접근제어 리스트를 가지고 있는 것 외에도 서버 단위에서의 ipchain iptable 그리고 비슷한 기능을 하는 도구들을 모두 총칭한다.  잘못 설정된 ACL 이라는 의미 보다는 명확한 의미의 접근제어가 필요하다는 내용으로 이해 하면 될 것이다.

 

일반적으로 외부에서 접근을 제한적으로 허용하기 위해 VPN을 많이 활용한다. 접근 할 수 있는 host를 한정하거나 VPN 접근 전용의 계정과 패스워드를 통해 허가된 사용자만이 접근 할 수 있도록 구성하는 것이다. 그러나 일단 접근한 이후의 통제 방안에 대해서는 잘 논의 되지 않는다. 일단 외부로부터의 접근을 단일통로로 제한하는 것으로 끝나는 경우를 많이 볼 수 있다.

 

여기에서 지적하는 부분은 외부에서의 접근 이후에도 효율적인 통제들이 필요함을 예로 들고 있다. 권한에 대한 확실한 적용으로 접근이 가능한 영역과 접근 해서는 안 되는 영역에 대해서 분명한 구분이 필요하며 적용이 필요하다는 점을 언급 하고 있다.

 

기본적으로 외부에서 접근 할 수 있는 통로는 제한적으로 구성을 하고 이후 사용자 각각 혹은 그룹별로 접근이 가능한 군을 형성하여 해당 군 이외에는 경유하여 접근이 되지 않도록 구성하는 것이 중요하다.

 

서비스 구성 네트워크 단위에서 외부 접근 지점과 권한 별로 접근이 필요한 시스템들을 최소화 하고 한정 하게 되면 기본적인 ACL의 미비로 인한 추가적인 사고를 막을 수 있다.

 

침해사고의 경우에는 외부에서 접근이 가능한 계정을 탈취한 이후에 VPN이나 경유 서버를 통과하여 내부망에 대한 자료 유출 및 악성 행위들이 발생 되는 경우도 종종 발생된다. 명확한 역할에 따라 접근제어의 시행은 이런 문제를 막기 위해서 필요하며 경우에 따라서는 접근 계정의 유효성과 접근 기록들에 대해서 기록을 유지하여 비정상적인 접근과 비정기적인 접근에 대해 판별 하는 로직들을 도입하게 되면 보다 큰 효과를 거둘 수 있다.

 

 

-Failing to configure your router to prohibit unwanted outbound traffic

 

현재 사용자의 PC와 기업의 내부 시스템을 위협하는 악성코드들은 대부분 백도어 기능을 가지고 있다. 백도어의 기능은 침입이 성공한 이후 외부와의 연결을 유지하고 명령을 실행 하도록 하고 있다. 물론 2009년 7월에 발생된 DDos 이슈와 같이 특정 IP로의 주기적인 연결 시도를 통해 다음 명령을 받는 유형이라면 위와 같은 정책도 그다지 큰 의미는 없다. 본 컬럼에서 논하는 이슈는 일상적으로 발생 되는 이슈들에 대한 문제이며 참고적인 사항일 따름이다.

 

서비스 시스템에 침입한 이후 재 침입을 하기 위해서 공격자들은 일반적으로 재 침입이 용이하도록 외부에서 직접 접근이 가능한 통로를 만들어 두게 된다. 이런 통로들을 백도어라고 총칭한다. Botnet Client이든 Command shell 이든 대부분의 기업 서비스 망에서는 외부에서 내부로 유입되는 Inbound Traffic에 대해서는 엄격한 기준을 적용하지만 내부에서 외부로 나가는 Outbound Traffic에 대해서는 무척 관대한 편이다. 장비의 성능 이슈도 무시 할 수 있는 부분은 아니기에 특별한 문제가 없다면 외부로 전달 되는 트래픽에 대한 통제는 그리 심한 수준은 아니라고 할 수 있다.

 

성능문제로 모든 부분에 대해서 적용하기는 어렵더라도 역할 별로 구분된 시스템들에 대해서는 최소한의 규칙들은 지켜져야 한다. 시스템에 기본으로 설치된 다수의 서비스들에 대해서도 시스템의 목적에 맞도록 여러 서비스들은 제거나 중지를 통한 비활성화를 거치거나 장비 단위에서의 허용 트래픽만을 규정 하는 행위들은 필요하다.

 

서비스별로 사용 서비스에 대해서 정의를 하고 해당 서비스만 사용하도록 하는 기본 보안설정이 필요하고 대규모 서비스의 경우 서비스 군으로 분할 하여 Outbound traffic을 서비스별로 제한 하는 작업들도 침해사고의 확산을 방지 하는데 도움을 줄 수 있을 것이다.

 

 

-Allowing nonsecure remote access and management software

 

시스템과의 거리상 대부분의 서비스 기업 관리자들은 리모트 관리 도구들을 많이 사용한다. 그러나 특별한 접근제어설정을 가지고 있지 않거나 계정과 패스워드의 문제로 인해 손쉽게 침해를 입기도 한다. VNC PC Anywhere, Terminal Service, SSH 등은 관리도구로 일반적으로 사용이 되는 접근 도구들이다. 각 사용 도구별로 기본적인 보안설정의 부족과 안전하지 않은 패스워드 혹은 변경 없는 패스워드의 사용은 종종 공격자들의 주된 타켓이 되고는 한다.

 

더불어 외부 네트워크 영역에 대해 VPN 과 같은 경유 서버가 없는 경우 직접적으로 열려져 있는 경우들이 많이 발견이 된다. 관리의 편리성을 논하기엔 지금의 시절은 호락호락 하지 않다. 외부에서의 열려져 있는 포트정보와 열려져 있는 서비스들에 대해서는 주기적인 점검이 이루어 져야 하고 장비를 통한 통제들도 필수적으로 이루어 져야 한다.

 

원격에서의 관리를 위한 도구들은 손쉬운 공격자의 목표가 되고 있으며 주기적인 검토와 보안성의 강화 (접근 IP 제한, 패스워드의 변경과 난이도 상승) 만이 기본적인 보안수준을 보장 할 수 있다.

 

접근 할 수 있는 IP에 대한 한정과 권한의 조정, 패스워드에 대한 관리 철저, 외부로 나가는 트래픽에 대한 제한과 접근제어의 철저는 가장 기본적으로 요구되는 인프라 보안의 구성요소이다.

 

10가지 정도의 항목에서 현재 컬럼은 인프라와 기본적인 보안에 관련된 부분을 정리했다. 참조한 기사와는 다른 방향으로 논의된 부분들도 있으나 각 항목에 대해서는 현재의 상황에 맞도록 설명을 하였고 세부적인 해석들은 환경에 따라 다를 수 있으므로 참고용도로의 이해가 필요하다. 규모에 따른 대응방안들도 다를 수 있기에 원칙적인 면에서 지켜야 할 룰 정도로 참고 할 수 있을 것이다.

 

다음 편에서는 10가지 실수라고 총칭 되는 부분에서 지금의 시대에 가장 큰 화두로 대두된Application과 관련된 부분을 다루도록 하겠다. 네트워크 관리자만을 위한 참고가 아닌 전체 IT관리자를 위한 참고가 될 수 있도록 항목에 대한 확장과 해석들은 달라 질 수 있음을 알려 드린다.

 

기본적인 노력들이 끊임없이 이루어져야만 변화도 효과가 있을 수 있다.  -바다란

Posted by 바다란

2002년에 Critical Alert for cyber terror ( sub: Scada & DCS Security)라는 제목의 기초적인 문서를 발표 한 적이 있습니다. (http://blog.naver.com/p4ssion/50001878886 )

 

이때 당시에는 발생 될 수도 있는 문제에 대해서 알려주는 역할을 하기 위해 작성을 한 내용입니다. 이후 오랜기간 동안 관련 분야를 주기적으로 관찰 하였고 주시 하고 있었습니다.

 

7년이 지난 시점이죠. 2009년 10월쯤에 추가적인 내용의 발표를 고려 하였고 하루 정도 시간을 내어서 만들었습니다.

 

사이버전 시나리오 공모전에 보낼 용도로 ( 상금 보다는 널리 알리고 싶었습니다. ^^) 급하게 작성을 했는데.. 등수에도 못들었죠. 아무래도 보는 관점이 많이 달라서 인듯 싶습니다.

 

전체적인 내용은 현재의 상황은 많이 급변하고 있다. 또한 충분한 시간이 지나고 그 만큼의 위험성이 실현될 가능성이 매우 높아졌다라는 점을 알리고 싶었습니다.

 

더불어 모 방송사의 관련 내용을 자문해 주면서 한번 전체적으로 정리도 하고 싶었구요.

 

문서의 구성은 전체적인 위협의 변화, SCADA에 대한 환경의 변화, 위협은 어떤 식으로 출현하는지?, 가상적인 시나리오 등과 같은 내용으로 구성 되어 있습니다. 실현 가능성이 높은 부분으로 구성을 하였고 이후의 저강도나 고강도 분쟁 발생 시에는 필수적으로 사용이 될 것이라는 개념입니다.

 

피할 수 없는 사이버 전장이고 Inevitable Cyber warfare 입니다. 현재 상태에서도 문제가 많이 드러나 있어서 정말 체계적인 준비가 필요하고 대응이 필요한데 대응은 수박 겉

Posted by 바다란

 

http://blog.naver.com/p4ssion/50024269739  -> 여기의 첨부파일에 전체적인 내용들이 들어 있습니다.

 

2007년 11월에 본 블로그에 게시한 내용입니다. 현재 발생된 DDos 관련된 이슈도 동일선상에서 볼 수가 있습니다.

좀 더 상세한 내용들은 별도 컬럼으로 게재합니다.  지난 2년 가까운 시간동안 얼마나 아래 지적한 개선 방안들이 진행 되었는지 뼈저린 반성이 필요할 것입니다. DDos 관련된 내용 발췌 및 확인 된 내용, 추정, 그리고 예상들을 바탕으로 개인적인 컬럼을 곧 게재 하겠습니다.

 

첨부파일을 다운 받아서 보기 어려운 분들은 게시물 링크를 활용 하시면 순차적으로 볼 수 있습니다.

위험성이 높은 수준에 도달 하였음은 이미 일전에 파악된 내용입니다.

 

http://blog.naver.com/p4ssion/50023711687   (1) IT서비스의 현재 위험과 Security

http://blog.naver.com/p4ssion/50023916686   (2) IT 서비스 보호를 위한 제안- 위험요소들

http://blog.naver.com/p4ssion/50024118288   (3) IT서비스 보호를 위한 제안 , 최종

 

그럼.

 

향후를 위한 대응

 * 방향성: 단기간의 공격에는 당할 수 밖에 없으나 그 이상은 당하지 않으며 공격도구의 분석을 통한 전역적인 대응으로 도구의 상실을 기획 하여야 함

 

-> 전역적인 대응 체제 구성의 절대적 필요성

   사용자 개개인에게 보안패치와 백신의 설치 권고만으로는 해결이 불가능함

 

-> ISP 와 분석기관 , 대응 기관의 절대적 협업 필요

    정보획득 -> 분석 -> 대응의 일원화된 프로세스 필요

 

-> 개인 PC 환경의 획기적인 보안성 강화 필요

    트래픽 이상유무 감지 혹은 과다 증가 검출 루틴 필요

    전국적인 대응 체제가 가능한 협의체 ( AV 업체의 연합) 또는 무료백신의 필요성

 

-> Secure한 웹서비스를 위한 Validation check 서비스의 일반화

   국내 웹 App 80% 이상이 URL 인자 단위의 문제를 포함하고 있음

  ( XSS , SQL Injection ) 따라서 악성코드 유  포지로서 이용되지 않도록 IT서비스 차원의 특화된 대응 필요

  단기: Validation check 서비스 활성화를 통한 일정규모 이상의 서비스 검수

  장기: Secure programming 의 일반화를 위한 Awareness 확대 - 서적 , 교육 등등

 

이상과 같이 정리가 됩니다.

대응체제 정립이 안될 경우 이제 더 큰 위험들에 IT서비스 부분이 직접 노출이 될 것으로 예상 됩니다.

이 위협은 전 세계의 모든 서비스가 해당이 될 것입니다.

 

Posted by 바다란

오랜만입니다.

 

여러 개인 사정으로 인해 글을 쓸 여유가 없었습니다.

앞으로도 상황은 마찬가지 일 것 같습니다.

 

SQL Injection . 지금에 와서 이 공격의 유형을 모르는 한국이나 전 세계의 웹 개발자 혹은 보안 전문가는 없으리라 봅니다. 3~4년 전만 하여도 일선의 재빠른 사람들에게만 인지 되는 사안들이 이제는 글로벌화된 상황이라 할 수 있습니다.

 

이전에 존재 하였던 SQL Injection 유형과 현재 발생하는 유형의 차이점은 이 블로그의 Mass sql injection 관련 글을 찾아 보시면 좀 더 쉽게 이해가 되시리라 봅니다.

 

현재는 상황 그대로 세계적인 불황입니다. 얼마전 글에서 예측 하였듯이 앞으로 노골적인 공격들이 더욱 거세 질 것 이고 보다 전문화된 공격들도 직접 이용이 될 것입니다. 최근 MS에서 긴급패치가 이루어진 MS08-067의 경우에도 PoC( Proof of concept - 공격 개념코드)가 나오기 이전에 계정정보 유출을 위한 실제 Trojan이 배포 된 이후에 MS 측에서 대응을 한 내용입니다.

 

앞으로 이와 같은 상황은 더욱 거세질 것입니다.  공격의 전문성도 높아지고 유포되는 범주도 지속 되고 있습니다. 지금도 하루에 수 십차례 이상 공격을 받는 곳들이 대다수 일 것이고 문제가 심각한 기업들은 웹보안 장비들의 도입에 열을 올리고 있을 것입니다. 이런 웹 보안장비들의 근본적인 한계에 대해서는 본 블로그에서 여러 차례 지적한 바가 있습니다.

 

 

 

공격의 전문성 강화

 

공격의 전문성이 높아지는 것은 비단 이번의 MS08-067의 예를 들지 않더라도 2년 전 부터 나타난 현상입니다. 하나의 Trojan을 설치하기 위해 수 십가지 이상의 여러 Application에 대한 공격코드들이 최적화 되어 있고 주변으로 전파를 하고 있습니다. 심지어는 ARP spoofing까지도 이루어 지죠. ( SQL Injection 이든 Arp spoofing의 경우에도 기존의 공격 개념과는 다른 관점으로 상당히 발전적인 응용이라 할 수 있습니다. )  공격자들은 그만큼 기존의 공격 기법과 새로운 취약성의 접합과 연구에 적극적입니다.

 

그리고 그들은 이제 전문 영역을 지니게 되었습니다. 이 의미는 하나의 산업으로 존재할 만큼의 기술적인 (?) 공격 역량과 숙련도를 보유하고 있다는 것이라 할 수 있습니다. 이런 기술을 이용하여 이득을 취하기 위한 또 다른 산업 영역도 개척을 한 상태입니다. 즉 소비채널과 유통채널의 구축이 완료된 상태라 할 수 있습니다.  앞으로 더욱 심해 질 것입니다.

 

새로운 Exploit의 최초 발견과 적용이 연구자들 사이에서 나오는 것이 아니라 이제는 공격자들에게서 직접 발생이 되고 있습니다. 이 추세는 향후에도 증가 할 것으로 예상 됩니다. 더불어 SQL Injection의 경우에도 여러 번 거듭 말씀 드렸지만 단순 패턴매칭으로 차단하는 보안장비에서는 해결이 되지 않습니다. 지금도 정말 많은 우회 기법들이 나오고 있고 바로 적용이 되고 있습니다. 공격자는 코드 한번만 바꾸면 되지만 방어자는 수 천, 수 만 아니 그 이상의 장비들에 대해 개별적인 설정이 되어야만 합니다. 

 

이 싸움에서 이길 것이라 보십니까?  저는 진다고 봅니다.

 

 

(Mass sql injection)양식장을 손에 쥔 상어떼

 

이 표현이 적당한 가 모르겠습니다만 제 머리속에 그려지는 이미지로는 이 표현외에는 더 적당한 표현을 할 수가 없습니다. 양식장은 전 세계의 웹 서비스가 해당이 됩니다.

상어떼는 아시다 시피 공격자들이구요. 양식장에 갇힌게 아니라 언제든 잡을 수 있는 그물을 상어떼가 가지고 있는 모양새 입니다.  이 그물을 어떻게 끊을 수 있을까요? 

 

개별 웹 서비스들에 대해서는 가능하겠지만 전 세계적인 범주에서 보면 정말 어려운 일일 것입니다.  전 세계 웹 서비스의 인자 각각에 유효성 체크가 되어야만 하는데 현실적으로 어렵습니다. 스캐너를 이용한 진단의 경우에도 여러 한계가 있음을 지적한 바 있습니다. 앞으로도 오랜 시간이 흘러야 범위가 줄어들 것이고 그 이전까지는 광범위한 Trojan의 유포와 악성코드에 의해 전 세계의 개인 PC가 시달릴 것입니다. 윗 절의 공격의 전문성 강화와 겹쳐져 공격의 전문성과 파급력은 지속이 될 것이고 PC에 설치되는 다양한 Application에 대해 공격이 이루어 질 것입니다.

 

현재의 공격은 서비스에 대한 공격인 DDos 공격과 금전을 목적으로 한 Trojan 유포에 중점이 맞추어져 있습니다. Trojan 유포는 웜과 바이러스를 통한 유포의 범주보다 웹서비스를 통한 광범위한 유포가 일반화 되어 있습니다. 지금의 공격자들의 특성은 자신을 과시하지 않습니다. 오로지 금전적인 정보가 목적일 뿐입니다.

 

전 세계 모든 보안 채널 및 보안 관련 회사들이 새로운 유형의 공격기법이나 취약성이 출현 할때 마다 예전보다 휠씬 더 긴밀하게 협력을 하고 있습니다. 그래도 모자람이 너무 많습니다.

 

 

이런 그물을 끊어야만 하며 끊기 위해서는 개발자를 위한 자가진단이 가능한 저가 웹서비스 혹은 Open source 형태의 서비스가 필요하고 점진적으로 개선을 시킬 수 밖에는 없는 상황입니다.

 

현재 큰 범주에서 문제를 해결 하기 위한 해결책은 한정적입니다. 지역적인 측면이나 기업 측면에서는 비용을 투입하여 해결이 가능하나 웹서비스의 개편시 마다 비용 부담과 끊임없는 지속성을 유지 해야 하는 것이 관건입니다.  Penetration Test ( 모의해킹이라 부르며 시스템에 피해를 입히지 않는 범위에서 공격자의 입장에서 서비스 취약성을 사전 진단하는 유형 )를 할 수 있는 인력들도 한정이 되어 있습니다. 전문기술을 보유하고 있음에도 불구하고 돌쇠타입의 마당쇠로 전방위로 혹사 당하는 것이 지금의 보안 인력 혹은 보안 팀들이라 할 수 있습니다. 언제까지 버틸 수 있을까요? 또 언제까지 혹사를 강요할 수 있을까요? 인력으로 버틸 수 있는 정도는 절대로 아니기에 어려움이 충분히 예상 됩니다. ( 아닌 곳들이 있나요? )

 

 

결론적으로 앞으로 오랜 시간 문제는 지속되고 심화 될 것이고 이 문제를 줄여나가기 위해서는 악성코드 유포의 숙주로 활용되고 있는 웹서비스들의 안정성을 시급하게 보완하고 지속성을 가질 수 있도록 하는 것이 키라고 할 수 있습니다. 이렇게 하여야만 문제를 끝낼 수 있습니다. ( 기술적인 해결책이나 여러 방안들은 http://blog.naver.com/p4ssion 의 여러 Article들을 참조 하시면 됩니다. )   개별 서비스에 대한 해결책의 논의가 아니라 큰 범주에서의 해결 방안은 어떤 성격을 지녀야만 문제 해결에 다가 설 수 있는지를 언급하였습니다.

 

1년 이상을 이런 관점에서 계속적인 의견을 제시하였으나 아직 이런 형태의 서비스나 문제해결 시도는 출현 하지 않았습니다. 그러나 머지 않은 시일 내에 유사한 서비스들이 출현하여 문제점들을 줄여가고 세계적인 방향성을 선도할 것으로 믿어 의심치 않습니다. 누구도 하지 않는다면  저라도..~~

 

 

그럼 .

 

p4ssionable security explorer . 바다란

Posted by 바다란

뭐 하루 이틀 된 이야기도 아닙니다.

이미 5~6년 전 부터 징후가 있었고 그 이후 타임워프 하듯이 대규모로 공격 인력이 늘고 기법도 고도화 되어 왔습니다.

 

이젠 대규모적인 대응 없이는 불가능하다고 볼 수 있습니다.

단편적인 대응과 사법기관 공조 만으로는 빙산의 일각도 제거하기 어렵습니다.

 

체계적이고 근원적인 부분에 대해서 장기적인 처방이 필요한데.. 여유와 인내심을 가지고 정책을 진행하고 방향성을 제시 할 수 있을런지가 가장 중요한 부분입니다. 대책 부분에 대해서는 하두 여러번 언급 했었지만 시행에는 상당 시일이 걸리고 시간이 지난 지금에서도 유효한 대응은 적어 보입니다.

 

앞으로 어떻게 될런지..

http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=105&oid=029&aid=0001974017

 

종합적인 대책과 향후 진행 해야 될 부분들에 대해서는 2007년에 언급한 대책과 문제 상황 부분이 있습니다. 정말 힘들고 위급한 상황이 닥쳐 올 것이라고 예상을 하고 좀 길게 설명을 했었는데 이제라도 일부분에 대해서 적극적인 시행이 되어야만 할 것입니다. 그렇지 않다면 문제는 더욱 더 심각도를 높여서 일어날 것으로 보입니다.

 

보안적인 문제를 해결 하지 않았을때 발생 되는 피해와 비용은 상상하기 어려울 정도이며 지금도 마찬가지 입니다. 초기에 대규모 노력이 들어가는 것으로 보이지만 이것이 가장 적은 비용을 들이고 문제를 해결 하는 길입니다.

 

다시 한번 문제 해결을 위한 방안들이 다각도로 ( 문제의 근원을 제대로 인식하고 ) 진행이 되었으면 합니다.

 

http://blog.naver.com/p4ssion/50024269739  <- 첨부파일을 참고하세요.

 

2007년에 작성한 글이나 노력이 진행 되지 않는한 향후 3~4년 이상 유효한 글이 될 것입니다.

 

Posted by 바다란

*zdnet 기고 컬럼입니다. http://www.zdnet.co.kr/ArticleView.asp?artice_id=20090216164625

 

재미라고 하기엔 두려운 SCADA & DCS

 

http://luna-see.blogspot.com/2008/03/art-skullphone-digital-billboard-in-los.html

http://www.textually.org/textually/archives/2008/03/019501.htm

 

2008 3 Skullphone 이라는 일련의 그룹이 Southern California의 디지털 전광판 10 여개 이상을 해킹하여 자신의 이미지로 변조를 한 이슈이다.  전광판을 동작 시키는 시스템을 침입하여 내용을 변조한 이슈라고 할 수 있으며 사실 국내에서도 대형 전광판에 시스템 오류가 발생 한 화면 등을 가끔 볼 수가 있다.

 

http://spoiledspongecake.typepad.com/my_weblog/2009/01/caution-zombies-ahead.html

 

2009 1월에는 텍사스 오스틴에서 발생된 도로표지판에 대한 변조가 외신을 타고 있다.

아래는 올해 2.2일에 발견된 인디애나주에서 발생된 도로표지판에 대한 메시지 변조 이슈이다.

http://nownews.seoul.co.kr/news/newsView.php?id=20090204601011

중앙에서 통제되는 시스템을 해킹 하여 도로변의 임시표지판을 해킹한 화면이며 좀비에 이어 공룡이 앞에 있다는 메시지를 나타내고 있다. 기사 중에 언급된 중앙에서 통제되고 있는 시스템이라는 부분을 의미 있게 살펴볼 필요가 있다.

 

트래픽 제어를 하는 프로토콜의 분석과 중앙통제 시스템에 직접 연결 이후 원격제어를 시연하는 Youtube 게시 동영상. ( 사실 이 동영상 하나로도 위험성에 대한 설명은 충분히 예상이 가능하지 않을까 생각된다. )

 

https://www.youtube.com/watch?gl=US&v=32JgSJYpL8o

[동영상의 상세한 내용은 중앙에서 통제가 가능한 도로 통제 시스템에 직접 접근하여 메시지 변조 및 제한속도의 변경을 원격에서 실행 하는 내용으로 볼 수 있다. 이 외에도 철도역에서의 전광판 변조 및 전환을 하는 관련 영상들도 찾아 볼 수 있다.]

 

겉으로 보기에는 단순해 보이고 재미로 보이지만 필자가 보기에는 심각한 위협들은 드러나지 않고 진화하고 발전하고 있다고 본다. 직접적인 시스템 침입을 통해 Flash 혹은 동영상을 변조한 이슈와 원격에서 통제를 하는 시스템에 대한 침입을 통해  단말 디스플레이어 역할을 하는 표지판을 직접 제어하는 이슈들이 실제에 미치는 영향은 얼마나 될 것인가? 가볍게는  출퇴근 시간의 교통신호를 전부 Green으로 했을 경우 개인이 입는 피해는 어느 정도가 될 수 있을까?  보다 심각한 이슈들은 이미 가상화된 영화에서 표현이 되었으므로 생략 하기로 하다.

 

신조어라고 할 수 있는 Fire sale ( 다이하드 4.0에서 사용된 용어 . 실제로 이런 용어가 존재하는 지 여부에 대해서는 들어 본 적은 없는 것 같다.) 의 가능성은 얼마나 될 것인가?  몇 년이나 지난 이야기 이지만 지금 이순간에도 조금씩 가능성은 높아지고 있다.

 

모든 것은 네트워크로 연결이 되어 가고 있다. 통일된 규격, 원칙, 조건 아래에서 중앙 집중식의 일원화된 관리와 통제를 위해 구성되고 다듬어 지고 있다. 그만큼 위험요소는 높아진다.  인력이 동원되어 확인 하거나 움직여야 하는 모든 부분들이 이제는 원격에서 자동적으로 확인 되는 것들로 대체가 되고 있다. 중앙의 소수 인력들로 수천에서 수만의 Agent를 통제하고 관리하는 것은 당연한 시대적 흐름이다. 또한 편리함의 이면에 존재하는 위험성도 간과를 해서는 안 되는 것이다. 

 

SCADA DCS라는 용어는 지금도 여전히 낯선 용어 이다. 실생활과 더 밀접해 지고 있는 상황임에도 불구하고 가깝게 느껴지기는 어려운 부분이라 볼 수 있다.  SCADA ( Supervisory Control And Data Acquisition ) 그리고 DCS ( Distributed Control System)에 대한 이해는 아주 오래 전부터 소수의 몇몇 전문가들에게만 전해져 왔으며 관련된 시스템에 대한 정의와 보안적인 구성도 2002년 말쯤에야 미국의 국토안보부에서 정리한 간략한 정리 문서가 최초의 문서라고 볼 수 있다.

 

국내의 최초 문서는 (http://blog.naver.com/p4ssion/50001878886  - 첨부파일) 2002년에 필자가 작성한 간략한 문서가 최초라고 할 수 있다. SCADA DCS의 관점에서 필요한 대응과 Security 이슈들을 종합하고 대응책을 제안한 내용이며 문서 제작 당시 향후 3~5년 이상 이후에 문제가 제기 될 것으로 예상하며 작성을 한 문서이다. 지금의 시점에서는 2002년 당시 보다 이해 관점에서 폭과 넓이가 많이 향상이 되었을 것으로 예상 된다.

 

2007년 무렵에 상영된 다이하드 4.0 에서도 극도로 집중화된 사회에서 발생 될 수 있는 위험을 실제적으로 보여 주고 있기는 하다. 많은 전제조건들이 필요하기는 하지만 불가능한 것만은 아니라고 본다.  이 영화에서 음미 할 수 있는 것은 일상 생활이 얼마나 많이 자동화된 기계와 집중화된 기술에 의해 통제되고 운영이 되고 있는지를 느낄 수 있다. 비록 낮은 수준의 가능성이긴 하지만..  (http://blog.naver.com/p4ssion/50020120079 )

 

 

SCADA DCS에 관련된 상식적인 내용은 위의 두 링크 게시물에서 개념적인 확인이 가능하다. SCADA DCS라는 용어에 대해 모른다고 하여도 지금의 개인과 사회의 생활에 밀접한 연관성을 지니고 있음은 당연하다. 기술의 진보와 발전은 상식적인 수준이다. 거스를 수 없는 흐름이며 효율화와 시스템화는 기업이나 산업의 생존을 위해 필수적인 상황이다. 인력으로 체계화 하기에는 너무 복잡하며 변수에 대한 처리가 어려우며 적응력이 떨어진다. 복잡화된 시스템의 효율적인 관리를 위해서는 시스템화는 필수적인 선택이다. IT 기술의 존재 이유는 여기에 있다. 더불어 초래할 위험을 보호하는 것도 당연히 진행 되어야 한다. 지금의 시대는 위험에 대한 예상과 대책은 등한시 하고 눈 앞의 성과에만 집착을 하고 있다. 보다 적은 인력으로 보다 높은 생산성을 위해 중앙집중적인 시스템화는 고려 없이 더 빠르고 깊이 있게 진행 될 것이다.

 

2002년에 만든 문서에서 일반적인 SCADA DCS 시스템에 대해 전문가와 비전문가를 가리지 않고 가지고 있는 오해라는 항목이 있다. 그 항목의 내용은 다음과 같다.

 

1.      제어시스템은 물리적으로 분리된 독자적 네트워크 상에 존재한다

 

일반적으로 분리된 독자적 네트워크 상에 존재하는 것은 사실이다. 그러나 아주 적게나마 원격에서 접속이 가능한 지점이 존재하고 기업정보시스템과의 연동의 필요성으로 인해 통합된 지점이  거의 존재한다.

 

2.      SCADA 시스템과  기업정보 시스템과의 연결에는  강한 접근제어 정책으로 보호되고 있다.

 

대부분의 경우에 SCADA시스템은 방화벽과 보호장치가 이중으로 되어 있는 구조 이나 정보시스템으로부터 혹은 외부로부터 접속이 가능한 몇몇 개의 접속지점이 반드시 존재한다. 중대사고 발생시의 Hot Line 혹은 외부에서 연결을 통한 연결지점, 정보시스템에서 정보의 활용을 위해 제어시스템과 연결이 되는 부분이 반드시 존재한다.

 

3.      SCADA 시스템을 운용하기 위해서는 특별한 지식이 필요하며 침입자가 접근하고 제어하기가 어렵게 만든다.

 

SCADA 시스템의 운영에 사용하는 소프트웨어나 제어장치에 대한 매뉴얼은 이미 전체의 70프로 이상이 인터넷 상에 공개가 되어 있다.  그러므로 이전과 같이  정보가 없어서 지식을 획득하지 못하는 일은 없다.  SCADA시스템을 제작하는 회사는 사후지원과 Update등을 위해 인터넷을 통해 다운로드 받는 형태로 매뉴얼을 제공하는데 이를 통해 충분한 지식의 습득이 가능하다.

 

위의 세 가지 오해가 일반적으로 존재하며 지금의 문제해결 방안을 위해서도 고민을 해야 하는 중요한 요점의 하나라고 볼 수 있다. 2002년의 관점에서 보다 1,2,3 항의 오해 항목들은 보다 더 보편적이고 일반적으로 오픈이 되어 있다. 재미와 흥미로 접근하는 공격자들만 존재한다고 생각하여서는 안 된다. 문제가 발생 될 가능성을 극도로 줄이는 것이 기반시설에 대한 보안의 관점이고 필요충분 조건이다. 사고의 발생은 심각할 정도로 피해 범위를 넓히기 때문에 더욱 그러하다.  지금의 현실은 어떤지 돌아 봐야 할 시점이다. 불황의 시기에는 더욱 더 잔인한 볼모를 요구한다. 디지털화된 시기에 닥쳐올 위험은 비단 오프라인상의 위험만이 심각한 사안임을 의미 하지는 않는다.

 

국내의 많은 기반시설 시스템들도 이제는 상당수가 IP기반의 시스템으로 전환 되고 더불어 원격 통제가 가능한 자동화 시스템으로 전환이 되어 있다. 2002년에 작성한 문서에서 예시를 하였듯이 일부 기반 시스템에 나타나는 문제들은 이제 거의 대부분의 영역으로 전환이 되고 있으며 향후에도 그 속도와 완성도는 더 높아질 것이 명확하다. 효율적인 관리라는 미명하에 단점과 문제점에 대한 충분한 고려 없이 진행 되는 것들은 문제를 초래하기 마련이다.  보안장비들도 문제점을 지니고 있으며 보안 체계라는 부분도 여러 가지 상황을 고려 하지 않는다면 문제를 지니게 마련이다. 최악의 상황을 상정한 계획과 방안들은 평상시에 비용 낭비로 치부되게 마련이다. 불황의 시기에는 더욱 치명적인 일들이 일어나게 마련이고 이제 그 시점들은 머지 않아 보인다. 가상적인 위협들이 아닌 실제적인 위험이라고 인식하고 준비될 때 문제의 최소화와 초기단계의 대응이 가능할 것이다.  효율화와 최적화라는 명분 아래 기반시설에 대한 보호 노력과 보안을 위한 인력과 방안들이 고려 되지 않는 것은 돌이킬 수 없는 피해를 가져 오게 될 수도 있을 것이다.

 

 

시야의 넓힘과 장기적인 관점과 확신에 의해 정책이 뒷받침 되지 않는다면 앞으로의 변화의 시기에 더욱 큰 위험은 불을 보듯 뻔하다. 아직 시작도 못한 그리고 논의도 되지 않는 그런 주제이며 가쉽거리로 언론에 노출 되고 있으나 그 내막은 심각할 정도로 두려운 과정과 결과를 의미하고 있음을 알아야 될 때이다.

 

[바다란 세상 가장 낮은 곳의  또 다른 이름]

Posted by 바다란

인터넷 뱅킹 해킹의 이면 바다란 세상 가장 낮은 곳의 또 다른 이름 zdnet 컬럼

 

1~2년 전 부터 인터넷 뱅킹에 대한 해킹이 간간히 언론의 지면을 장식하고 있다. 과연 인터넷 뱅킹은 안전한가? 라는 질문이 나올법하다. 그러나 정작 중요한 것은 논의가 되지 않는다. 단지 어느 은행의 인터넷 뱅킹이 해킹을 당했다라는 단발성 기사만 활자화 되고 논의가 되고 있다. 인간은 단순하지 않다. 사실도 단순하지 않다. 사건이란 우연히 일어나는 것이 아니라 발생할 환경이 조성이 되면 그제서야 발생이 되는 것이다. 현재의 인터넷 뱅킹에 대한 해킹은 인터넷 환경의 현주소를 의미하는 것과 동일하다. Security라는 관점에서 다시 한번 이야기를 할 필요는 분명하게 있다. 이제 몇 년 전 이야기 했던 이야기를 다시 한번 해본다.

 

 

이면에 숨겨진 이야기는 한참 이전부터 필자가 이야기 해온 인터넷 환경의 위치를 보여주고 있다.  위험요소는 이미 2~3년 전부터 나타나고 있었으며 그 상황이 여전히 지속되고 있음을 의미한다. 지금의 위험요소는 어떤 상황으로 나타나고 있을까? 언론에 나타나지 않는다 하여 피해가 없는 것일까? 하는 의문은 끝내야 될 시점이고 현실적이고 종합적인 대책이 나타나지 않는다면 앞으로의 웹에 대한 접근성은 더 복잡하고 어려워 질 것이고 인터넷 환경의 위험은 더욱 깊숙하게 실생활에 영향을 미칠 것이다.

 

2007년에 작성한 국내의 인터넷 환경의 위험요소와 대응에 관한 문서에서 다음과 같은 관점을 기술한 바 있다.

 

현재의 위험 상황

 

웹을 통한 악성코드 유포 및 DDos 공격 , 개인 PC에 대한 완벽 제어

 

안전하지 못한 웹 서비스를 통한 악성코드 유포의 일반화

 

IT서비스 환경 근간을 위협하는 트래픽 공격

 

백신 및 보안 서비스의 전역적인 대응 효과 미비

 

인터넷 환경의 급격한 개선에 따라 향후 위험성은 전 세계 서비스로 확대 될 것임

    현재는 가장 빠르고 구조적인 인프라를 보유한 국내를 대상으로 지속적인 해킹 시도

 

국내 개인 PC 인프라 장악 이후 공격에 이용 : 탐지 및 차단의 어려움

 

 

향후를 위한 대응

 * 방향성: 단기간의 공격에는 당할 수 밖에 없으나 그 이상은 당하지 않으며 공격도구의 분석을 통한 전역적인 대응으로 공격 도구의 상실을 기획 하여야 함

 

전역적인 대응 체제 구성의 절대적 필요성

   사용자 개개인에게 보안패치와 백신의 설치 권고만으로는 해결이 불가능함

 

ISP 와 분석기관 , 대응 기관의 절대적 협업 필요

    정보획득 -> 분석 -> 대응의 일원화된 프로세스 필요

 

개인 PC 환경의 획기적인 보안성 강화 필요

    트래픽 이상유무 감지 혹은 과다 증가 검출 루틴 필요

    전국적인 대응 체제가 가능한 협의체 ( AV 업체의 연합) 또는 무료백신의 필요성

 

Secure한 웹서비스를 위한 Validation check 서비스의 일반화

   국내 웹 App 80% 이상이 URL 인자 단위의 문제를 포함하고 있음

  ( XSS , SQL Injection ) 따라서 악성코드 유  포지로서 이용되지 않도록 IT서비스 차원의 특화된 대응 필요

  단기: Validation check 서비스 활성화를 통한 일정규모 이상의 서비스 검수

  장기: Secure programming 의 일반화를 위한 Awareness 확대 - 서적 , 교육 등등

[출처] IT서비스의 현재 위험과 대응에 대하여 - 종합|작성자 바다란

 

 

문제가 되고 있다고 지적한 6가지 부분에 대해 현재까지도 명확한 대응을 하는 부분은 거의 없다. 일부 있다고 하여도 전체로의 적용은 한참 더 먼 길을 가야만 하는 상황이다. 대책 부분에서도 기술한 내용들은 동시에 진행이 되었어야만 2년의 시간이 지난 지금쯤 나은 환경에 이르렀을 것이다. 그러나 지금 변한 것은 아무 것도 없다. DDos의 위험은 예전에도 있었고 지금도 마찬가지 이다. 달라진 것이 있다면 인터넷 서비스 기업의 생존과 사용자의 불편함이 전보다 더 증가해서 더 두드러지게 나타날 뿐인 상황이다. 

 

 

DDOS

 

DDos공격이 어떤 방식으로 이루어 지는지에 대해서 논하는 것은 이 컬럼의 논지를 벗어난다. 다만 DDos의 공격이 예전에는 특정 지역이나 국가에서 집중하여 전달이 되었다면 상위 네트워크 관리 기관에서 해당 지역의 차단과 트래픽 우회 등을 통해서 문제를 해결하는 것이 가능하였으나 지금은 국내의 수많은 개인 PC(좀비 PC라고 칭한다.)에 설치된 악성코드를 이용하여 DDos 공격을 한다.

 

예전엔 출발지점이 일정하여 일원화된 대응 방안들이 효과적 이였으나 지금은 전국에서 서로 다른 네트워크 망에서 유사한 특징을 가진 트래픽들이 한 지점으로 집중이 된다. 이 방식에서의 대응은 집중되는 지점에서 해결 할 수 밖에 없다. 이 점에서 문제가 발생된다. 이전에 발생된 DDos와 현상적인 차이점이 존재하는 것이다. 출발지를 특정 할 수 없는 불특정 다수의 지점으로부터 유입되는 유사한 특성의 트래픽은 도착지에서 해결 할 수 밖에 없다.

 

천 여대의 PC에서 공격이 발생 된다고 하였을 때 가장 막기 쉬운 방법은 천 여대의 PC가 일정한 규칙을 가지고 있을 때 막는 것이 쉽다. 동일한 IP 대역을 사용 하고 있거나 특정 ISP만을 사용하고 있거나 할 때 처리하는 것이 어느 정도 용이하고 간편하다. 그러나 지금의 DDos 공격은 그렇지 않다. 규칙을 정할 수 없는 천 여대의 각자 다른 PC에서 동일한 사이트로 접속을 하는 것이다.

그리고 그 전달속도는 전 세계에서 가장 빠르다. 속도라도 느린 곳은 일시에 과다한 트래픽을 모으는 것이 어렵다. 전달경로가 제 각각이기에 큰 효과를 내기 위해서는 많은 PC를 동원해야 한다. 그러나 국내의 인터넷 환경은 전송 경로상의 미세한 차이는 눈에 보이지도 않을 만큼 빠른 속도를 자랑한다. 그럼 이제 이 모든 트래픽들이 전달되는 곳에서는 이 문제를 처리해야만 한다. 공격자에 대한 처리는 힘들어 지고 방어하는 곳은 더 높게 성을 쌓아야만 한다. 성을 쌓는 비용도 만만치 않다. 큰 흐름을 잡을 수 없기 때문에 이 문제는 향후에도 더 심각해질 것임은 당연한 일이다.

 

불황기의 공격은 더 악독해 지는 것이 사실이고 빈익빈 부익부의 현상은 인터넷 환경의 서비스 업체에서는 더 실감나게 다가올 것이다. 누가 더 성을 크게 쌓고 넓게 쌓느냐에 따라 흥망성쇠가 달라 질 수 있다. 성을 제외한 환경은 초토화가 될지라도 말이다.

 

지금 시점의 DDos가 문제가 되는 것은 공격 출발지의 분포도가 매우 다양하다는 점과 과도한 트래픽이 문제 해결을 어렵게 만드는 부분이다. 또한 불특정 다수의 공격자들을 모집하는 방법에서 이전의 DDos 공격과 큰 차이를 보인다. 현재 문제가 되는 부분은 불특정 다수라는 측면에서 문제가 가장 크다고 볼 수 있다. 과정을 간략히 살펴보면 다음과 같다.

 

자동화된 공격도구를 이용한 취약한 웹사이트 해킹 -> 악성코드 유포를 위한 웹 소스코드 변조 -> 사이트 방문자에 대한 악성코드 유포-> 악성코드 자체의 업데이트 혹은 다운로드 -> 완벽한 Remote Control  (이 시점이 되면 Botnet Client 이던 사용자 PC의 정보이던 무엇이든지 유출 및 이용이 가능한 상태라 할 수 있다.)

 

불특정 다수에게 악성코드를 유포하는 방법으로 웹서비스 해킹을 사용하고 있으며 2005년 이전의 특정 사이트에 대한 단발성 공격이 아닌 불특정 사이트 다수를 대상으로 한 Mass Attack이 주를 이루고 있다. 현재 드러나는 추세로는 점차 악성코드의 유포 자체도 은폐 시도를 하고 있어서 공격 흔적을 찾기가 쉽지 않다. 악성코드의 은닉화와 정교함도 깊이를 더해 어느 정도의 깊이가 있지 않고서는 대응이 어려운 실정이다.

 

 

정보유출

 

정보유출의 관점도 사용자 PC에 설치되는 악성코드의 특징과 긴밀한 관련이 있다. 현재 유포되고 있는 대다수의 악성코드는 키입력 로깅 및 화면 캡쳐 등 사실상 개인 PC의 모든 권한을 원격에서 마음대로 좌우 할 수 있는 형태이다. 이와 같은 유형의 백도어들은 국내 관측은 2005년쯤부터 관찰이 되고 있는 상태이고 이후 2006년 이후에 이르러서는 정교함이 더 깊어졌고 불특정 다수에 대한 악성코드 유포와 결합하여 피해를 높이고 있는 상황이다. 현재의 상황은 그 보다 더 진전 되었을 것으로 유추가 된다. 사용자가 입력하는 키보드 정보를 모두 가져가는 공격을 막기 위해 키보드 보안 및 다양한 보안 솔루션들이 설치가 되고 있으나 알려진 악성코드의 제거와 하드웨어 입력을 노출이 안되도록 암호화 하는 역할만을 할 수 있을 뿐이며 현재의 상황을 넘기기엔 부족함이 있음을 의미한다.

 

 

2005년 무렵에 발견된 일부 악성코드 유형은 전송 단계에서 IE Browser에서 전송 직전에 변환되는 암호화된 정보를 가로채는 BHO (Browser Helper Object) 유형의 악성코드가 존재 하였으며 현재는 그 비율은 거의 대부분이라고 할 정도이다. 보안솔루션으로는 해결하기 어려운 범주이며 온라인 서비스 자체의 구조변경 외에는 뚜렷한 답이 없다. BHO 유형의 정보탈취를 막기 위해서는 서비스 차원에서의 암호화와 암호화된 정보가 서버 단위까지 전송되는 유형이 필요하며 이 것은 전체적인 서비스의 개편을 의미 한다. 상세내용은 곳의 첨부파일을 참고하기 바란다.

 

현재의 인터넷 뱅킹에서 일부 사건이 발생 되고 있는 것은 많은 정보가 유출 되었지만 여러 단계의 인증수단과 각 단계별 보호 대책에 온라인이 아닌 오프라인 메소드들이 존재하기에 문제가 이 정도에 그치고 있는 것이다. OTP의 활용 및 오프라인 보안카드의 활용 등은 인터넷뱅킹의 해킹을 어렵게 만들고 있다. 그러나 반대로 생각하면 몇 가지 방안 외에는 모든 것이 다 넘겨진 상태라 보아도 무방한 상황인 것이다. 만약 보안솔루션을 사용하지 않았다면 지금 보다 더 심각한 상황에 일찌감치 도달 하였을 것임은 명확하며 거의 대다수 국내 인터넷 사용자들이 활용하고 있는 인터넷 뱅킹과 전자 상거래 부분은 꽃을 피우지도 못하였을 것이다. 해외의 은행들은 아직 온라인 계좌 이체 부분에 있어서 자유도가 극히 낮다. 인터넷 뱅킹의 용도가 잔액 확인과 사전에 확인되고 알려진 계좌에 대한 제한적인 이체 외에는 사용빈도가 높지 않다. 따라서 공격자들은 다른 방식의 정보 활용을 통해 이득을 얻고 있는 상황이다. 이 중 일부 기사화된 내용은 다음의 분석을 참고 하면 된다. 직접적인 금액의 인출이 아니라 사용자의 계좌를 도용하여 쓰레기 주식을 매입한 이후 시세를 조작하여 대규모 이득을 얻은 사례에 대한 내용이다. 만약 인터넷 상의 계좌 이체 등이 활발하고 자유로웠다면 이런 유형의 공격은 발생하지 않았을 것이다. 단지 번거롭고 손이 많이 간다는 이유만으로도 빈도는 대폭 낮았을 것이다.

 

 

문제의 근원을 보아야 한다.

 

인터넷 뱅킹에 대한 문제는 이제 금융사 단위에서 해결을 하기 위한 범주는 넘지 않았나 생각 된다. 사용자 PC에 대한 보호대책의 한계가 있고 모든 웹 서비스의 보호에도 한계가 있다. 그러나 공격자들에게 주어진 한계란 없다. 새롭게 발전 하고 새로운 취약성의 즉시적인 이용에도 능숙하다. 반면 대응은 느리고 미숙하다. 항상 사고 발생 이후에야 느린 대응을 할 수 있고 어느 정도 대응이 완료 되는 시점에는 또 다른 위험요소에 직면 할 수 밖에 없다. 사용자에 대한 보안의식 고취로도 사회 공학적인 기법의 해킹과 고 난이도로 무장된 악성코드에는 당해낼 사람이 없다. 하물며 보안전문가 조차도 처리에 어려움이 있는 상태이니 말이다. 가장 처음의 시작은 자동화된 공격도구에 의해 손쉽게 당하는 취약한 웹 서비스들을 어떤 방식으로 고도화 시킬 것이고 단계적으로 강화를 시킬 것인가 하는 것이 핵심이다. 그러나 아직 방안도 계획도 없어 보인다. 금융기관에 대한 비난도 사용자의 보안적인 무지함에 대한 논의도 범주를 벗어난 이야기이다. 현실에 기반하여 냉철하게 다음 단계를 예상하고 종합적인 대책을 고려 하여야 함은 전문가의 숙명이다.

 

공격자의 효율적인 공격통로를 차단하는 것이 가장 기본이며 공격의 대상이 무엇인지에 중점을 두어야 한다. 효율적인 유포 수단으로 사용되고 있는 웹서비스의 취약성을 빠르게 없애지 않는다면 현재의 혼란은 끝도 없이 계속 될 수 밖에 없다. 그것도 점차 복잡하고 큰 규모로 이루어 질 것이다. 악성코드의 문제는 단지 빙산의 일각일 뿐이다. 앞으로 더욱 생활과 밀접한 Web 2.0의 실험적인 공격들과 사회공학적인 속임수들이 창궐할 것이다. 이미 예상 되었던 것 그 이상도 이하도 아니다.

 

대책은 이미 여러 해 전에 종합적으로 제시를 한 바 있다. 이제는 국내만의 문제가 아닌 전 세계적인 인터넷 서비스의 문제가 된 상황에서 기회가 될 수도 있고 좌절이 될 수 있다. 온 세상에서 녹색을 이야기 한다. 그러나 필자의 눈에는 인터넷 세상은 잿빛이다. 그것도 검은색에 가까운...

 

 

 

사람 사는 세상을 꿈 꾼 인터넷 대통령의 서거를 깊은 슬픔으로 애도합니다.

Posted by 바다란

 

위기의 인터넷

 

현재의 인터넷이 위기의 상황이라고 인지를 하는 사람들은 그리 많지 않아 보인다. 본 컬럼에서 말하고자 하는 인터넷은 한국에 국한된 것이 아니라 전 세계적인 범주에서의 인터넷 산업을 의미한다. 인터넷이라는 기술과 정보 창출의 도구는 이제 뗄 수 없는 고리를 지닌 도구가 되어 버렸다.  왜 위기 상황인가? 지금의 상황은 어떤 상태인가? 등에 대해서 각 분야별로 다른 의견들이 있을 수 있으나 보안이라는 관점에서 인터넷에 구축된 신뢰 관계가 무너지는 것 자체가 심각한 위기상황이라고 보고 있다. 신뢰관계가 무너지는 것은 산업과 서비스의 고난을 의미한다.

 

지금과 같은 디지털시대에서의 보안은 생각보다 더  일상생활에 심각하고 밀접한 영향을 미치는 부분임은 명확하다.

 

사실 2007 무렵에 IT서비스 전체에 대한 위험요소들을 언급한 적이 있다. 그 때 지적한 위험들은 지금도 동일하며 파급력만 더 커진 상태이다. 국내에만 한정된 위험이 아니라 세계적인 부분에서도 통용되는 위험을 언급 하였으나 지금의 상황은 더 심각한 국면에 치달아 있다.

 

문제의 해결을 위해서는 근본적인 문제의 원인이 무엇인지 아는 것이 가장 첫 번째 이고 그 다음은 상황에 맞는 해결책을 적용 하는 것이 상식이다. 지금의 상황은 아직 문제의 원인도 명확하게 파악을 못하고 있는 실정이다. 필자가 보는 가장 크게 문제가 되는 부분은 다음과 같다.

 

 

- 악성코드 (Malware )

- DDos & Botnet

- 개인 정보의 유출

- 서비스 기반의 신뢰성 상실 ( ID 도용)

 

 

간단하게 4가지 정도의 이슈들이 현재의 인터넷을 위기라고 보는 사안들이다.. 국내의 상황을 벗어나 세계적인 상황에서도 동일한 관점에서 볼 수 있을까 하는 의문이 있을 수 있으나 필자의 관점과 결론은 동일하다. 오히려 한국 내에서도 보다 세계 속에서 더 절망감을 느낀다.

 

 

문제들은 사소한 단서만을 남기고 수면아래로 잠겨간다. 그러나 현상이 사라지는 것도 아니며 다가올 일이 다가 오지 않는 것도 아니다. 형태를 달리 하여 나타난다고 하여 다른 상황이 되는 것도 아니다.

 

 

앞서 언급한 주된 문제 부분 4가지의 경우에도 대부분 근원적인 문제에서 기인한다. 문제의 해결을 위해서는 근원적인 문제에 대한 인식이 가장 중요하다. 이것이 문제 해결을 위한 가장 처음이다. 전 세계 어디에도 국내 어디에서도 이런 목소리는 들리지 않는다. 이것은 앞으로도 문제가 오랫동안 장기화 될 것임을 의미한다.  필자가 보는 근본적인 문제의 원인은 다음과 같다.

 

 

- 취약한 웹서비스 개발

- 대규모 공격이 가능한 해킹도구의 일반화

- 경제적 불황으로 인한 Black Market의 활성화

- 불특정 다수에게 대량 전파가 가능한 악성코드 유포 매커니즘

 

 

문제의 현황과는 다른 관점에서 보아야 할 사안들이다. 각 사안별로 논의할 이야기는 많으나 이미 오래 전부터 논의해 오던 사안들이 대부분이다. 3~4년 이상을 일관되게 문제점이라고 지적한 부분이기도 하다.

 

 

 

악성코드 유포 매커니즘은 이전에는 ARP를 이용한 같은 네트워크 단위 및 지역 단위의 악성코드 유포가 가장 일반적인 대량 유포 매커니즘 이였으나 이제는 그렇지 않다. 빠른 확산과 신뢰도를 보장하고 있는 Web 2.0 사이트 (Facebook , Twitter…) 를 이용한 공격 이외에도 도구를 이용한 대규모 웹 서비스 해킹 이후 일반 방문자에 대한 무차별적인 악성코드 유포 등 상당히 파괴력 있는 매커니즘이 확보된 상태이다. 이 매커니즘은 앞으로도 상당기간 인터넷 서비스를 곤경에 빠뜨릴 수 있는 도구가 될 것이다.

 

 

악성코드의 유포에 연관을 두어야 하는 것은 최근의 Botnet 구성을 위한 Bot Agent의 유포에도 동일한 매커니즘이 사용 되고 있다는 점이다. Botnet Agent 뿐 아니라 사용자의 PC를 원격에서 조정 할 수 있는 다양한 기능들이 악성코드에 기본적으로 올려져 있다. 모든 사이트에 접근하는 계정 정보 뿐 아니라 개인 PC에 저장된 많은 정보들도 직접적인 조작과 핸들링이 가능한 상태로 유지되고 있는 상태이다.

 

 

최근의 악성코드에는 Botnet으로 이용될 수 있는 악성코드 형태 이외에도 개인정보 유출 기능, DDos 공격이 가능한 악성코드들도 심심치 않게 발견이 되고 있다. 즉 가장 심각한 위협이 되고 있다고 알려진 많은 요소들이 대규모적인 유포 매커니즘으로 인해 발생 되고 있는 것이다.

 

 

일련의 사례로 올해 10월에 발견된 Gmail, Yahoo, Hotmail 수만명 가량의 ID/Password 유출과 관련하여 분분한 추측들이 해외 사이트에 난립하고 있다. 그러나 필자가 보는 의견은 명확하다. 개인 PC에 설치된 악성코드로 인해 유출된 개인 정보가 명확하다. 해외의 언론 블로거들은 직접적인 해킹 피싱등을 언급하고도 있으나 거리가 이야기이다. 또한 쉬운 패스워드를 사용 했기 때문에 문제가 되었다고 하는 기사들도 관계가 없는 사안이라고 본다. 동일 계정을 사용해서 문제가 되었다는 부분도 직접적인 연관은 없는 사안이다. 악성코드와 특별한 관련이 없어 보이는 사안들이지만 경제적 불황의 시기에는 금전과 연결 있는 모든 부분은 철저하게 이용이 된다. 앞으로 불황의 시기는 더 지속이 될 것으로 보이고 노출과 위험의 강도도 점차 더 강하게 나타날 것이다.

 

 

ID와 패스워드 유출에 관련된 부분은 서두에 링크해둔 IT서비스의 현재 위험과 대응에 대하여 컬럼의 참고문서를 보면 쉽게 이해 할 수 있다. 대부분의 최근 악성코드들은 일반적인 키로그 이외에도 전송 직전 단계의 평문화된 패스워드들을 빼내어 갈 수 있다. (BHO : Browser Helper Object) 만약 악성코드의 정체가 발견 되지 않는다면 그 어떤 보안도구 ( 모든 백신 및 개인 PC의 보안도구)들로도 탐지 할 수 없으며 유출 여부에 대해서도 확인 할 수가 없는 상태이다. 아주 극소소의 인터넷 서비스를 제외하고는 현재의 악성코드에게 계정 및 패스워드 정보를 빼앗기지 않는 서비스는 없다. 상당히 수준 높은 고민이 필요하나 현재의 공격자들은 대체 공격 방안까지도 찾아낸 상태이다.

 

 

한국내의 사이트들에는 기본적인 보안 도구들도 설치가 되어 있으나 해외의 경우는 처참하다 싶을 정도이다. 인터넷의 자유화를 언급하기 이전에 안정성을 더 시급하게 논의해야만 할 것이다. 악성코드 및 보안에 관련된 이슈가 국내의 문제를 넘어서 세계적인 문제가 된다는 것도 이미 다룬 사안이다. 이제는 현실화되었고 전 세계의 인터넷 서비스를 기획하거나 운영하고 보안을 고민하고 있는 모든 사람들이 고민해야 될 사안이라 할 수 있다.

 

 

 

위기의 인터넷이라는 관점은 사안을 보는 눈에 따라 다를 수 있다. 필자가 보는 관점은 이미 위기 상태에 상당 부분 진입을 했다는 것을 기정사실화 한다. 사전의 징후가 발견 되었을 때에 움직여도 늦었을 부분이나 이미 커질 만큼 커진 덩치 큰 공룡들은 아주 느리게 움직인다.

 

 

웹 서비스에 악성코드를 심어 둔다는 점은 절반 이상은 XSS ( Cross Site scripting ) 이슈와 SQL Injection 이슈로 인한 것이다. 여기에서 SQL Injection 이라는 부분은 웹서비스의 취약한 코딩을 이용하여 DB 서버의 권한을 획득 하는 것으로서 웹 서비스에 악성코드가 유포 되고 있다는 의미 자체가 DB의 모든 내용이 유출 되었다는 것과 동일한 것이다.

 

 

위기상태를 호전 시킬 수 있는 많은 계기들도 근본적인 흐름에서 시작 되어야 한다. 이 근본적인 흐름은 가장 근원적인 대규모 악성코드 유포의 매커니즘을 끊는 것에서 시작 되어야만 한다. 이 문제를 끊기 위해서는 가장 먼저 웹서비스들의 안정성을 빠르게 회복 시키고 종합적으로 위험을 컨트롤 할 수 있어야만 산업의 생존이 가능하다. 웹서비스의 안정성을 회복 시키는 방안도 길고도 험한 길이 될 수 밖에 없다. 결론적으로 지금의 위기와 어려움은 전 세계적으로 상당기간 오래 지속 될 것임을 공언 할 수 밖에 없다. 위기상황이라고 보는 근본적인 이유이다.

 

 

대책과 실행방안은 2년 전의 공개문서에 일정부분 기술 되어 있다. 지금의 대응방안도 유사한 관점에서 이루어 져야 할 것으로 생각 된다. 언제쯤 될지는 알 수 없으나!

 

 

인터넷 생태계의 생존이 자신의 생존임을 인지하는 인터넷 서비스 기업들은 세계에 얼마나 될 것인지 궁금할 따름이다.

 

-       바다란 세상 가장 낮은 곳의 또 다른 이름

 

Posted by 바다란

공인인증서 및 ActiveX 보안도구들에 대한 컬럼을 게재할 예정입니다.

 

쓰다보니 길어져서 두편 정도로 나뉘어 질 것 같습니다.

 

개인의 의견들이 투사 될 것이고 문제 부분들과 각 도구들이 대략적으로 어떤 역할을 하고 있는지에 대해서 설명이 될 겁니다.

 

그 외 비난하는 측에서 언급하는 SSL +OTP 조합이 그걸 막을 수 있는지도 언급 하게 될 것 같습니다.

 

현재 2/3정도 다 썼는데 빠르면 금주중 게재 합니다.

 

 

공인인증서 사용에 대한 제한을 철폐한다는 공식 입장이 나온 상태라 게으르게 쓸려다가 조금 타이트하게 빨리 쓸 예정입니다.

 

그럼 컬럼에서 뵙겠습니다.

Posted by 바다란

-zdnet 컬럼 입니다.

 

피할 수 없는 사이버전.  –p4ssion

Inevitable Cyber warfare II  2010.01

 

7년 전의 최초 문제제기는 주의와 관심을 촉구하는 것이었다면 지금의 문서는 경고의 의미를 담고 있다. 2002년에 공개문서를 처음 제작한 이후 7년이 넘는 시간 동안 상당히 빠르면서도 한편으로는 생각보다는 느리게 인터넷 세상은 발전해 왔다. 2010년이 되어 이제 전체적인 현황들과 문제들은 충분히 무르익었고 언제든 사고가 발생 된다 하여도 이상하지 않을 상황이 되었다. 이제는 지금의 상황과 지금까지의 사건들에 대해 정리하고 논의를 하는 것이 필요하다

 

2010년의 시작을 알린 보안이슈들은 국내와 국제의 이슈가 상당히 다른 차이점을 보이고 있다.

인터넷상에서의 위험은 동일한데 왜 차이가 있는 것인지 궁금할 따름이다. 국내에서는 자극적인 이슈들이나 실제적인 위험도는 극히 낮으며 이미 노출된 상태에서 자연스럽게 벌어질 수 밖에 없는 단편적인 일들이 대형 문제인양 보도가 되고 있다.

국제적으로 발생하는 이슈들은 지금 국가간의 분쟁 격화와 사이버 상의 위협으로 인해 많은 이목과 관심이 쏠리고 있으며 또한 미국은 사이버 보안을 중점적으로 추진하기 위한 핵심센터를 메릴랜드에 설립하고 본격적으로 운영을 시작하려는 시기에 뒤로 후진하는 모습이 태연하게 언론에 등장하는 것에 대해 자괴감을 느낄 뿐이다.

 

최근 몇 달간 연말연시를 기해 발생 되었던 이슈들에 대해 간략하게 정리해보자.

 

 

1. 구글 및 어도비를 포함한 30여 개 이상의 주요 회사에 대해 고도화된 공격으로 정보를 빼내가고 일부 탈취한 사건들이 있었다. 힐러리 국무장관을 통해 중국에 공식항의가 제기 되고 중국내에서의 검색사업 철수도 언급되는 등 사이버 이슈가 국가간의 논쟁으로 비화한 이슈가 있다. 새로운 취약성 즉 알려지지 않은 소프트웨어의 취약성을 이용한 공격이 국가기관이나 군사 분야에서만 이루어 지던 것이 일반기업단위로도 전이된 케이스로 볼 수가 있다. 앞으로 더 심각한 국면에 접어들 것으로 예상이 된다.

 

2. 영국의 Vispa ISP 3만 여 고객을 지니고 있는데 1월초 DDos 공격으로 인해 12시간 이상을 전면적인 운영중단 상태에 빠졌다. 이 경우는 ISP 단위에서도 처리하기가 어려울 만큼의 대규모적인 트래픽 공격이 지속 유입 되었음을 의미 한다고 볼 수 있다(http://www.theregister.co.uk/2010/01/08/vispa_ddoa/ )

 

3. 지난해 말 트위터 사이터를 마비시키고 트래픽을 전환시켜 정상서비스를 불가능하게 했던 이란의 일부 단체는 이번에 중국내 점유율 60% 이상을 가지고 있는 Baidu 검색을 대상으로 동일한 공격을 감행하여 서비스가 중단되는 사례도 발생 하였고 이 결과 중국과 이란간의 감정적인 대립이 예상 되고 있다. 제 삼자의 개입으로 인한 우호체제 혼란으로도 비춰지기도 할 만큼 국제관계에 직접적인 영향을 미치고 있다.

 

4. Citibank 내부망에 침입하여 수백만불의 예금을 인출한 사고에 대해 조사한 FBI는 러시아마피아에 의해 발생 된 것임을 확인 한 이슈도 있다. 만약 금전적인 이득을 목적으로 한 것이 아니라면 어떤 일들을 했을 수 있을까? 데이터의 소멸 혹은 뒤섞임 등등.. 혼란을 일으킬 수 있는 일들은 매우 많을 것이다.

 

 

5. 공격에 대한 대응은 늦지만 몇 년의 시간을 앞선 경험을 한 국가들이 헛힘을 쓰는 동안 ( 아쉽게도 한국도 당연히 포함된다.) 그나마 가장 빠른 대응과 체계를 구축해 가고 있는 곳은 미국이다. 해외로부터 집중되는 공격을 가장 많이 받는 곳이며 내부망까지도 자유자재로 공격을 당하는 상황을 지켜 보고서 국가차원의 대응책을 수립하고 있는 중이다. 싸이버짜르라 불리는 사이버 보안 조정관을 임명하고 FBI는 사이버 보안 전문가를 워싱턴의 책임자로 발령을 냈다.

 

수 천명에 달하는 보안 전문가를 정부 각 분야에 고용 하기 위해 채용 공고를 내고 각 분야별로 전문적인 요구 사항을 직시하여 채용을 진행 하고 있다. 보안전문가라 할지라도 모든 부분을 다 한다는 것은 불가능 하기 때문에 당연한 일이지만 분야를 세분화 하여 전문적인 기능을 살릴 수 있도록 한 것이다. 만능을 요구하고 실제로 하는 일은 동떨어진 곳과는 심각한 차이를 가지고 있다.

 

 

사이버 보안과 관련된 핵심적인 기관들을 모두 모아 중앙 통제가 가능한 형태의 센터를 메릴랜드에 세우기로 하고 협조체제를 갖추어 가고 있다. NSA, FBI, CIA 등등 미국 내의 사이버 보안 관련 모든 기관의 집합체라 불릴 수도 있을 것이다.

 

오바마 대통령은 취임이전부터 사이버 보안과 관련된 위원회를 운영하고 각 단계별로 달성 하고자 하는 플랜을 만들도록 하였다. 현재의 보안 강화 움직임은 보고서에 기반한 내용들이 실현 되는 것이다. 대통령 후보자 시절의 홈페이지의 해킹 사고를 겪은 이후 사이버 보안에 대해 막대하고 지대한 관심을 기울여 왔다. 최소한 사이버 보안에 관해서는 가장 많은 관심을 기울이고 있는 것만은 확실한 사실이다. 관심 있는 분들께서는 보고서를 살펴 보시고 앞으로의 변화를 살펴 보시는 것도 좋은 기회가 될 수 있다. 특히 Cyberspace Policy Review 보고서는 정책을 결정 하거나 판단해야 할 필요성이 있는 많은 분들에게 참고가 될 수 있는 보고서라 할 수 있다.

 

명확한 자료를 준비하도록 하고 현상을 파악한 이후 장기적인 방향성을 확인한다. 그 이후 단계적으로 이루어야 하는 과제들을 진행하여 큰 방향성을 이루어 가도록 한다. 참 쉬운 이야기 이지만 실제로 실행하기는 매우 어렵다. 확신과 의지가 없다면 절대 할 수 없다. 그런 면에서 우리의 상황은 한심하다고 조차 말하기 어렵다.

 

 

간단하게 지난해 연말부터 올해 1월 초까지 발생된 굵직한 사건들과 이슈들만 보아도 국제정세의 상당부분에 사이버 공격이 이용이 되고 있음을 볼 수 있다. 산업이나 기업의 흥망성쇠 이외에도 국가와 민족간의 분쟁을 일으키는 다양한 도구로 이용이 되고 있다. 앞으로도 계속 이럴까?

 

필자는 모든 공격기술은 그만큼 전체적인 영향력을 가진다고 생각하고 있다. 보이는 공격기술과 보이지 않는 공격기술의 개발도 충분히 이루어지고 있고 지금 이 시간에도 많은 부분들이 만들어 지고 있을 것이다. 향후의 경쟁의 승패는 공격기술 보다는 체계적인 대응에서 승부가 갈릴 수 밖에 없을 것이다.

 

저강도 혹은 고강도 분쟁에서 이제 장식용 혹은 동기 부여용의 사이버 공격이 아니라 실제적인 피해를 일으키는 공격으로 반드시 선회 할 수 밖에 없을 것이다. 7년이라는 오랜 시간 동안 종합된 문서를 작성 하지 않은 것도 때가 충분하지 않았기 때문이다. 그러나 지금은 충분하고도 넘친다.

 

 

-       기반시설 그리고 SCADA

 

2002년 이후 얼마나 많은 기반시설의 문제들과 사례들이 발견 되었는가? 관심을 가지지 않은 사람들은 모를 수 있다. 그리고 일반적으로 기반시설에 대한 문제들은 공개적으로 논의 되지 않는다. 시일이 지난 후 단편적으로 드러난 모습에 의해 개연성을 짐작할 뿐이다.

 

2003년의 블래스터웜이 인터넷 세상에 미친 영향은 기반시설 분야에도 큰 영향을 줄 수 밖에 없었다. 그리 많이 알려지지는 않았지만 오하이오 핵 발전소의 모니터링 장비들이 마비되어 핵발전소 운영이 중단된 사례는 완벽하게 분리된 망에서 존재한다는 근본전제가 맞지 않음을 의미한다. 수천, 수만 곳의 연결 통로를 일일이 다 통제하고 제한 할 수 있는 곳은 없다. 또한 완벽한 보안도 있을 수가 없다. 일부 방송으로도 알려진 항공 예약시스템의 마비, 국가 전체를 무력하게 만들었던 에스토니아 이슈들..

 

과연 우리는 지금 어디쯤에 있을까?

 

위협은 변화한다. 공격 기술도 진보한다. 데이터에 기반한 분석은 쉽다. 예상과 예측은 데이터에 기반할 때 신뢰가 생긴다. 그러나 발생되지 않은 위협에 대해 경고를 하는 것은 개인적으로는 위험을 감내해야만 한다. 그럼에도 의견을 제시하는 것은 반드시 필요한 부분들이기 때문이다. 공공의 이익, 산업적인 균형을 위해서는 경고의 소리도 귀를 기울여야 하지 않을까?

 

필자는 지난해의 글로벌 보안 위협의 변화라는 컬럼에서 변화되고 있는 위협들과 실제적인 환경들이 어떻게 달라졌는지를 설명 했었다. 그 모든 내용들은 위협이 실제 생활에 영향을 미칠 가능성이 매우 높음을 증명한다.

 

타켓화된 공격이 일반화 되고 있고 공격 도구들은 자체적인 QA (Quality Assurance – 품질관리) 를 일반적으로 한다. 여기서 QA는 백신 및 여러 다양한 침입 탐지 도구로부터 탐지가 되지 않는지 여부를 체크 하는 것을 말한다. 최소 2~30여종 이상의 백신들에 대해 테스트를 하는 것은 일반적이다. 

 

내부자에 대한 타켓화된 공격도 일반적으로 발생 되고 있고 ( 지금 구글의 케이스를 보라) 외부망에 연결된 서비스들에 대해 직접적인 공격의 강도들도 높아지고 있다. 보통 공격과 수비는 3배수의 차이가 있어야 된다는 것이 필자가 느낀 경험적 원칙이다. 공격과 수비는 일정범위내의 동일한 경험과 역량을 가지고 있을 때 방어하는 쪽은 공격자 보다 3배 이상 더 많은 신경을 쏟아야만 한다. 한 지점만을 공격하는 공격자와 수백 가지 이상의 서비스들과 구성요소들에 대한 문제 제거 방안을 강구하는 것은 차원이 다른 이야기 이다.

 

지금은 공격과 방어의 기술 격차도 있는 상황에서 제대로 막는 것은 어려울 수 밖에 없다. 정말 키워야 될 것은 경험과 역량을 갖춘 보안 전문가들이 대거 필요한 것이다. 기업에서의 실제적인 대응경험을 가지고 있고 기술적인 발전을 관찰하고 일정수준 깊이 있는 이해가 가능한 인력들을 어떻게 키우는 가에 따라 앞으로의 향방은 갈릴 수 밖에 없을 것이다.

 

보안전문가로 성장을 시키기 위해서는 정말 오랜 기간과 경험, 개인의 노력이 필수적이다. 지금 세상을 흔들고 있는 것은 기술적인 분야의 보안전문가들의 대거 출현이 필요함을 의미한다. 우리는 그 동안 얼마나 많은 보안 인력들을 키웠을까? 대응경험이 없는 전문가들.. 체계적인 방안 구축을 경험해 보지 못한 전문가들이 넘친다.

 

배는 깊은 산속으로 들어간다. 회항 하기도 어려운 골짜기 어디쯤엔가 닻을 내리고 노를 저으라 한다. 사이비 전문가들, 언론, 역량을 갖추지 못한 보안업체들 모두 문제가 생겼을 때는 외면한다. 그러다 해결의 기미 혹은 잠잠해 지기라도 할라치면 온 세상을 시끄럽게 한다. 10년 전이나 지금이나 달라진 것이 없다. 시대는 이렇게 변했는데도 말이다.

 

사실을 알려면 보이는 대로 믿어서도 안되고 들리는 대로 들어서도 안 된다. 각 분야에서의 현명한 성찰만이 지금을 보다 더 나은 상태로 만들어 갈 수 있을 것이다. 치밀한 관찰과 꾸준함만이 깊이를 만들 수 있을 것이다. 해커가 아닌 보안전문가들이 성장 할 수 있는 체계와 구조를 기대한다.

 

-       바다란

      피할 수 없는 사이버전 Inevitable Cyber warfare II

 문서 링크 (http://blog.naver.com/p4ssion/50080182814 -첨부파일)

Posted by 바다란

http://openweb.or.kr/?p=2928  <- 엮인 글로 다셔서 의견 답니다.

댓글로 달았는데 너무 길어서..직접 게시글로 답니다. ..으. 트랙백으로 엮을려 했더니 이것도 안되네요. 헐

 

 

제가 위 컬럼에서 해결과제로 직시한 내용에 대해서 먼저 답해야 할 것으로 봅니다.
그 내용에 대한 답변은 되지 않은 상태에서 세부적인 조건만을 언급하는 것은 자세가 아니라고 봅니다. 전체적으로 공인인증서를 옹호한 것도 아니지만 SSL + OTP 조합이 매우 허망한 것임을 논의했고 그게 정답이 아니라는 이야기를 하는 것입니다.

그리고 보안 도구들은 뱅킹 시에만 활용되는 것 당연히 알고 있고 인증서 패스워드와 여러 패스워드가 같다는 부분은 인정합니다만 비약이 심한 논리입니다. 여러 키 입력을 빼내 감으로서 유출을 할 수 있다라고 들립니다. 공인인증서 체계 외에도 다양한 도구들을 설치하는 것이 그런 정보 유출을 막기 위한 목적입니다. 정확하게 공인인증서에 대한 암호를 모르더라도 다른 계정 정보를 빼내어 감으로써 충분히 시도를 할 수 있다는 논의는 문제가 있어 보입니다. 말씀 하시듯 PC에서 모든 정보가 유출 되는 것으로 가정한 후에 동일한 패스워드 유형일 것이므로 활용이 가능하다라는 말은 무리가 있습니다. OTP는 나갈 염려가 없으므로 문제가 없다인데 PC의 권한이 나간 상태에서 컨텐츠를 조작하는데 해결 방안 있습니까? 이런 기본적인 질문들에 대해 답변이 되지 않은 상태에서 논지를 펴는 것은 궤변입니다. 가정의 근거도 틀린 것이구요.


인증서 유출 가능성 항상 있습니다. 인정합니다. 이것은 PC에 대한 권한을 가지고 있기 때문에 그런 것이지요. PC에 대한 권한이 유출 되었다 함은 MITM이라 부를 수 있는 사용자가 보는 화면이 조작 될 수 있음도 동일한 의미 입니다. 컬럼중에 게재 했지만 계좌번호만 화면상에 보이는 것과 전송 되는 것이 다를 경우 어떻게 할까요?. 확인 방법 있습니까? 인증서를 통하면 부수적으로 한번 더 체크 하는 것이 가능하기 때문에 보조적인 기능을 한다는 것입니다.

역할에 중점을 두고 서로 보완적인 모델을 가져 가야 하는 것인데 한방향만 바라보는 것은 심각한 오류를 나타낼 수 밖에 없습니다.

제가 주장하는 것은 OTP도 아니고 공인인증서도 아닙니다. 목적을 달성 하기 위해서는 보완이 필요하고 보강해야 될 부분이 분명 있지만 선을 그어서 이건 이거고 저건 아니다.. 이분법 적인 논리는 전혀 도움이 되지 않는다는 점입니다.

ActiveX로 설치되는 보안도구와 공인인증서 체계이던 각각 역할에 맞게 서로 보완해주는 역할을 하고 있다고 컬럼에서 그림까지 그려서 설명을 드렸건만 개별 사안에만 집중하는 것은 진중하지 못한 모습입니다. ssl +otp로 제가 그린 그림의 위험성을 보완 할 수 있는 부분을 언급해 주시면 더 감사할 것 같습니다. 아마 할 수 있을꺼라 생각 하신다면...

마지막으로 국내의 피해 사례는 조사된적이 없어서 신뢰할 수 없다고 하는데 해외라고 제대로 조사된 적이 있을 것 같습니까? 다만 언론에 발표되는 내용은 그중의 극소수라고 할 수 있고 실제 피해를 입은 사례를 따져 보아도 노출대비 나오는 것으로 추정을 합니다. 피해자가 나서지 않으면 모르는 것은 해외나 국내나 마찬가지입니다. 해외에 비해 금융피해의 규모가 사례가 미미한 것은 그만큼 피해가 적기 때문인 것은 왜 인정하지 않는지요?. 명확한 현실 바탕위에야 합리적인 대안 논의가 가능합니다. 현재 논의 하시는 부분은 어긋난 것으로 보입니다. 기본 반박의 전제가 부족합니다.

폭넓은 시각과 인식을 가졌으면 합니다. 지금 국내나 해외나 PC환경이 처한 현실은 상상이상입니다. 이상으로 해결 하기엔 난제가 너무 많다는 의미이며 가볍게 이상적으로 생각 할 부분은 절대로 아니라는 말 끝으로 드립니다. 그럼.

Posted by 바다란

새 밀레니엄을 맞이 한 것이 엊그제 같은데 벌써 10년 이라는 시간이 훌쩍 흘렀다.

세월의 흐름과 같이 기술의 발전도 폭을 같이하고 인터넷도 더 깊숙이 생활 속으로 들어왔다.

 

사람과 사람 사이를 이어주고 연결해주며 정보를 교환해주는 주된 통로 역할을 하며 가상의 현실을 실제로 가능하게 해주는 인터넷은 그 친밀성만큼 위험성을 항상 가지고 있었다. 친밀성이 더욱 높아지고 실제생활과도 밀접한 관련을 가지게끔 된 생활에서 위험요소는 이제 네트워크상에만 존재하는 위험이 아니다.

 

생활 구석구석 인터넷과 연관 되지 않은 부분을 찾는 것이 더 어렵고 전산화, 자동화 되지 않은 부분을 찾는 것이 더 어려울 정도다. 일반적인 인터넷 서핑 속에서도 생활 속에서도 전기, 가스, 발전, 문화, 전화 등등 모든 것은 연결 되어 있다. 더불어 위험들도 동일한 가치로 연결 되어 있다.

 

2010년의 시작을 전후 하여 1월이 채 가기도 전에 수많은 위험 관련 뉴스와 이슈의 홍수를 직면한다. 이미 시작은 오래 전부터 되어 왔던 것이고 지금에야 모습을 나타내는 것뿐이다. 정보를 얻기 위한 해킹, 권한을 획득하여 자료를 유출하고 내부망에 침입을 하는 백도어들.. 경쟁국가, 경쟁산업, 정치적 견해를 달리하는 집단에 대한 사보타지 등등.. 이쯤에 대량의 트래픽을 발생 시키는 DDos 공격 정도는 애교로 느껴질 정도다.

 

모든 보안회사들과 커뮤니티들은 앞다투어 스마트폰의 보안 위협과 DDos 공격을 가장 큰 위험으로 꼽는 보고서들을 연신 발표 하고 있다. 이미 예정된 것에 지나지 않는다. 이제는 좀 더 다른 방향에서 가치를 부여해야만 하고 관찰 해야만 한다.

 

기술에 능숙한 자는 기술의 관점에서만 사안을 바라보아서는 안 된다. 기술에 익숙한 자는 기술을 바탕으로 하여 세상의 변화를 볼 수 있어야 하고 지금과 같은 상황에서는 왜 국제관계에서 사이버전이 큰 이슈가 되고 있는지도 명확하게 알아야 한다. 그래야 새로움이 있고 예측이 가능해 진다. 눈에 보이는 예상은 실패할 가능성이 없는 정해진 사실일 뿐이다. 모두가 똑 같은 이야기를 한다. 그러나 이면을 통찰 하는 시야는 부족하다.

 

앞으로의 사이버 세상은 더 밀접해진 실생활을 대변하고 있고 세계 무대에서의 중심도 이전 보다는 더욱 더 밀접하게 연관되어 돌아가고 있다. 실생활에 충격적인 영향을 줄 수 있는 부분들도 사이버 세상을 통해서 거래가 되고 전달이 된다. 여기에 영향을 미치는 것은 실제 국제관계, 국가간의 관계도 차갑게 돌변 시킨다. 지금 미국과 중국의 사례를 보라. 서로간의 사이버전을 중재하자는 미국과 러시아의 협력을 보라. 미래 세상을 준비하기 위해 가장 중요한 점은 대응 능력이라는 점을 강하게 표방하고 있는 영악한 미국정부의 대응을 보라.

 

어디쯤에 와 있는가?

 

대량 공격이 일반화 되어 있고 작은 구멍으로도 전체가 공격을 받는다. 내부에 중요한 정보들은 겹겹이 둘러 쌓인 성곽에서 철통 같은 경비로 보관이 되고 있으나 모두가 정문만 철통같이 지킨다. 구중궁궐에 들어가는 방법은 정문이 아니라도 된다. 철통같이 비용을 들이고 인원을 늘려 보호를 한다 하여도 세상을 평안하게 하는 만큼의 태평성대는 구가하기 어렵다.  턱 밑에서 방심하기만을 기다리고 비수를 겨누는 지금의 상황에서는 언제든 털릴 수 밖에 없으리라.

 

자산은 다시 평가 되어야 한다. 중요한 정보를 담고 있는 곳을 데이터베이스라 하고 이 데이터베이스에 접근 할 수 있는 모든 장비와 서비스들은 단계별로 중요도를 다시 산정해야만 한다. 가지고 있는 정보에 의해 중요도를 평가하기도 하지만 여기에 덧붙여 접근 가능성에 따라 기술적인 보호조치들은 달라져야 한다.

 

TJMaxx 에 대한 해킹과 Heartland (한국으로 따지면 대규모 PG)의 정보 유출은 유효한 카드 일억 건 이상의 직접적인 유출이 있었다. 7/11의 내부망 침입 후 현금인출, F-35 설계도의 유출, 이란 사이버 아미라는 단체에 의한 트위터와 바이두의 DNS 변조사건들.. 오래된 일들이 아니다. 지금 이 순간에도 국내에서는 또 다른 문제들이 벌어지고 있고 언제든 수면위로 나타날 수 밖에 없다. 미국내 서른개가 넘는 주요 회사들에 대한 타켓화된 공격은 이미 오래 된 이야기 이다. 다만 대상 영역이 민간부분까지 대폭 확대된 경향이 변화되었을 뿐이다. 제로데이 공격이라는 말의 역사는 최소 5년 이전에 발생된 말이며 오늘 당장 나온 용어가 아님을 잊지마라.

 

종래에는 모든 PC를 포기하는 정책이 나올지도 모르겠다. 모든 PC들은 껍데기이고 중앙에서 통제하는 형태로 진행이 될 수도 있다. Network computer의 꿈은 아직 끝나지 않았다. 비록 바람직한 방향에서의 접근이 아니라 어쩔 수 없는 선택이라는 방안이겠지만.. 적극적인 보호는 공조가 안되어 힘들고 제약들이 많다. 수동적인 보호는 아무리 걸어 잠근다 하여도 한 순간의 헛점들이 전체를 위태롭게 만든다. 그 헛점들은 항상 출현하게 마련이다.

 

개인PC에는 더 이상 개인적인 자료를 담을 수 없다. 신뢰할 수 없는 인터넷의 위기는 앞으로도 더 확산이 될 것이고 더 충격적인 모습으로 영향을 미치게 될 것이다.

 

어쩌면 인류역사상 인간의 지적능력의 진보와 정보 획득 수준을 최대치로 확장케 해준 인터넷은 가장 유용한 도구이며 한 단계 이상을 인류 전체의 지식과 인식체계를 개선 시킬 수 있는 가능성을 지녔다고 할 수 있다. 그러나 현재는 오염 되어 가고 있다. 권력을 쥔 자들은 도구의 활용이 극대화 되기를 두려워할 수도 있을 것이다. 모든 것이 공개되고 비밀은 사라져 가게 되고 권력자들의 입지는 좁아지게 된다. 그래서 오염으로 방치 하는 것일 수도 있다.

 

방치 하기에는 주어진 기회가 너무 아깝고 안타깝다.

사람과 사람 사이를 더 가깝게 만들지 못하는 인터넷, 불신을 초래하는 문화, 지식 수준은 극도로 확장이 되어 버스를 타나, 지하철을 타나 몰입하게 만든다. 방향성을 제대로 잡으면 큰 도움이 되는 도구가 될 수 있으나 그렇지 않다면 손쉽게 나락으로 떨어져 간다.

 

세상을 이롭게 만드는 도구로서 충실하도록 하려면 적극적인 대응이 필요하고 뜻 있는 자들의 모임도 필수적이다. 또한 한 국가에서 시작을 한다면 향후의 새로운 분야에서의 입지도 강화 될 수 밖에 없을 것이다.  세상을 널리 이롭게 하려면 무엇을 해야 하는지부터 생각을 해야 할 것이고 가깝게는 위험을 회피 하려 하기 보다는 근본적인 문제를 없애려고 노력해야 한다. 무엇이 핵심적인 문제인지를 파악 하는 것이 제일 먼저 이겠지만..

 

 

지금의 핵심 문제는 무엇인가?

 

 

개인PC에 대한 해킹이라는 의미는 운영체제의 권한을 획득하여 자유자재로 활용한다는 용어와 동일하다. 개인 PC에 대한 해킹을 하기 위해 타켓화된 공격을 감행하고 인터넷을 통해 감염을 시킨다. 대량으로 감염이 된 PC들은 또 다른 이득과 목적을 위해 이리저리 이용 당한다.

 

사이버 세상을 클린 하게 만들려면 지금의 관점에서 보다 더 장기적인 관점으로 접근을 해야 한다. 당장 눈 앞의 일에 연연해서는 큰 방향성을 잡을 수가 없다. 이슈가 되는 것만을 해결 하기 위해 따라가는 것은 어쩌면 당연한 현상일 수 밖에 없다. 그러나 중심이 없다. 어떤 문제를 해결 하는 것이 가장 먼저이고 그 문제 해결을 위해 어떤 작업들을 순차적으로 해야 하는지에 대한 로드맵이 없다.

 

이버 경우도 현상의 문제만을 기술하고 해결 하기 위한 프로세스, 지원, 방향들을 담았을 뿐이다. 근본적으로 클린한 순방향 도구의 인터넷으로 전환, 확대 시키기 위한 방안으로 언급 된 것은 아니다.

 

변화하는 인터넷의 위협들은 이제 실생활 구석구석까지 난입한다. 이제 그 실체도 확인을 해보기 바란다.

 

-       바다란 세상 가장 낮은 곳의 또 다른 이름.

 

 

 

Posted by 바다란

-zdnet 게재 컬럼 입니다.

 

생각하는 방향은 전체적으로 주욱 언급 했습니다. 기본 문제들에 대해서도..

앞으로 조금 더 강하게.. 점진적으로 강하게.. 그렇게 해야죠.

 

 

----------------------

 

빗나간 공인인증서 논란

 

 

브라우저 편향성

 

공인인증서에 대한 비난 중에 브라우저의 편향성을 지적하는 요구는 타당하다. 그러나 국내에서 유독 문제되고 있는 IE만의 문제일까?  2009년 하반기의 데이터를 종합하여 발표한 Cenzic의 자료를 살펴보면 브라우저 별 취약성 동향을 일부 유추 할 수 있다.

 

 <참고 : http://www.cenzic.com/downloads/Cenzic_AppsecTrends_Q3-Q4-2009.pdf >

 

일반적으로 국내의 많은 인터넷 이용자들은 IE를 많이 사용 한다. 그리고 비난하는 측의 초점도 공공기관 및 금융기관이 강제하여 문제가 되고 있다고 주장하기도 한다. 문제점이 많이 발견되고 치명적인 SW IE를 계속 사용하거나 ActiveX의 취약성을 이용해 더 큰 문제가 발생 할 수 있다고도 한다.   그러나 cenzic에서 내놓은 통계치에서는 다른 결과를 살펴 볼 수 있다. Firefox Chrome 그리고 iPhone에서 활용하는 Safari 브라우저에서 발생되는 문제점들도 전체 사용비율에 거의 비례하는 수준으로 나타남을 알 수가 있다. 브라우저에서 발생되는 문제점들은 직접적으로 사용자의 PC나 스마트폰에 영향을 미칠 수 있다.

 

Safari 브라우저의 취약성을 이용해 탈옥을 하지 않은 iPhone의 권한을 획득한 CanSecWest 2010 컨테스트의 결과 (링크 - http://zastita.com/index.php?det=56629)를 보더라도 앞으로의 위험요소를 예측할 수 있다. 결론적으로 브라우저 편향성을 벗어난다고 해서 문제점으로부터 벗어나는 것은 아니며 그 순간부터 또 다른 집중적인 공격의 목표가 하나 더 생기는 것뿐이라고 필자는 생각한다.

 

다양한 브라우저를 지원하고 위험성을 제거하기 위해서는 상당히 많은 노력과 지원이 필요하다. 각 브라우저들마다 지원하는 표준이 미세하게 다른 부분들이 존재하고 제작 철학조차 다른 곳들이 많다. 철학이 다르다는 이야기는 근본적인 제품 설계가 다르다는 관점이며 문제점이 생기는 부분을 다 제거 하기 위해서는 정말 많은 노력이 필요하다는 것을 의미한다. 모든 브라우저를 지원하면서도 근본적인 문제를 탐지하고 제거 할 수 있느냐 하는 점에서는 정말 회의적이라 할 수 밖에 없다. 공인인증서가 문제가 되는 부분도 특정 브라우저에 편향된 부분을 사용량의 변화에 따라 상위 2~3개 정도로 한정하여 지원을 하도록 하고 새로운 개선점들을 주기적으로 논의 하였다면 지금과 같은 논란은 생기지 않았을 것이다. 

 

국내의 환경에서 다양한 종류의 접근성 보다는 다수가 사용하는 분야에 대해 안정성을 확보하는 것이 우선일 수밖에 없음은 인정한다. 또한 영세한 보안업체의 특성상 다양한 브라우저를 지원하고 다양한 운영체제를 지원하면서 근본적인 PC나 스마트폰에 존재하는 악성코드를 제거하며 거래의 안정성을 높이는 것은 사실상 불가능에 가깝다.  다양한 운영체제는 그만큼 다른 방식의 접근을 해야 하고 별개의 개발을 진행 해야 한다. 또한 금융거래에서 피해가 발생 했을 경우 금융기관이 책임을 져야 하는 현재의 상황에서 안정성과 피해 발생 가능성을 낮추는 것이 가장 우선시 될 수 밖에 없고 그 결과 브라우저 편향성이 출현 했다고 볼 수 있다.

 

의도적인 브라우저 편향성은 아니며 PC에 대한 위험요소들이 증가하고 피해가 증가함에 따라 각 단계별 문제해결을 위해 추가적인 도구들이 필요 했을 뿐이다. 해외라고 별반 다를 것은 없다. 봇넷으로 은행계좌를 조정하는 악성코드들의 출현과 최대 2천만대의 PC를 원격 조정하여 정보를 빼내고 거래를 한 사례들은 전 세계적인 이슈라고 볼 수 있다. 뚜렷한 문제 해결 방안은 오로지 백신을 사용하는 것뿐이다. 온라인 거래의 안정성을 유지하려면 PC를 보호 할 수 있는 여러 방안을 고민 할 수 밖에 없을 것이다. 현재의 보안수준에서 해외의 인터넷 뱅킹과 상거래가 만약 국내의 상황과 같은 수준으로 활성화가 된다면 상상 이상의 피해규모를 확인 하게 될 것이다. 현재도 카드를 이용한 거래가 일반적인 해외에서 카드도용에 대한 피해사례는 너무나 일반적인 사례이다.

 

국내의 현실로 돌아오면 국내의 IT 산업 환경에서 위험들을 줄이면서 모든 브라우저를 지원하는 것은 불가능 하였을 것이다. 제한된 자원과 제한된 인력을 가지고 각 브라우저 마다 발생 되는 위협들을 제거 하고 문제를 해결 하는 것은 사실상 불가능한 영역에 속한다. 목적성을 가지고 점진적인 확대 외에는 대안이 없는 실정이다. 그러나 조금 늦은 측면은 문제가 있다고 본다.

 

ActiveX로 설치되는 보안도구

 

앞서 ActiveX로 설치되고 활성화 되는 보안도구들은 다양한 위험들을 제거하여 안정성을 확보하기 위한 목적이라고 기술 했다. 그렇다면 각 도구들의 역할은 어떻게 되어 있을까?

 

 

현재 상태에서 설치 되는 보안도구들과 금융권에서 사용되는 보안적인 기능들을 대부분 열거한 경우이다. 각 케이스마다 역할이 배분되어 있음을 볼 수 있다. 키보드 입력을 탈취하는 것을 방지하기 위한 키보드 보안 솔루션과 악성코드가 활성화 되어 있다면 제거하기 위한 백신의 역할, 비정상적인 외부 연결을 차단하기 위한 방화벽의 역할, 위조된 사이트 여부를 확인하는 피싱 방지 솔루션등 다양한 보안도구들이 각 역할을 수행하고 있다. 핵심은 PC에서 서비스로 전달되는 거래를 안전하게 보호하기 위한 것이다.

 

금융거래로 넘어가면 OTP,보안카드 외에 공인인증서를 사용 하도록 했다. 공인인증서 영역에는 별개의 악성코드를 만들어 백신에 탐지가 되지 않으며 동시에 키보드 보호 솔루션을 회피하면서 키입력을 가로채는 유형이 있어야만 키입력을 가로챌 수 있다. 키 입력 이외에도 OTP 또는 보안카드를 사용하여 추가적인 인증수단을 사용해야만 한다. 최종적으로는 공인인증서의 본인확인 기능 및 부인방지 기능을 서버의 키와 비교하는 방식으로 이루어진다.

 

절차적으로도 상당히 많고 번거롭게 느껴진다. 그러나 각 영역별로 다양한 보호 고민들이 있었으며 그 역할은 충분히 합당하다고 본다. 본래의 목적인 안전성을 기준으로 잡으면 당연한 일이라 할 수 있다.

 

공격자들의 의도를 어렵게 하고 실제 공격 발생 비율을 낮추기 위해서는 단계를 많이 거치도록 하고 여러 조건을 모두 만족해야 하는 상태로 만들어서 어려움을 주어야만 한다.

 

백신에 탐지 되지 않는 악성코드를 만들어야 하고 외부 연결은 숨겨야만 하며 키보드 입력 보호 솔루션을 우회해야만 한다. 이 조건 외에 추가적으로 OTP 혹은 보안카드의 키입력 또한 가로채야만 한다. 최종적으로 공인인증서도 탈취해야 하고 공인인증서의 패스워드까지도 별도로 탈취를 해야만 하는 상황이다. 이 정도의 노력과 실력을 가지고 충분히 다른 이득을 얻을 수 있기 때문에 공격을 하지 않는 것뿐이다. 

 

세상에 완벽한 보안이란 존재하지 않는다. 다만 발생 가능성을 줄여주고 사고가 발생 될 경우에 피해를 최소화 하는 일들이 보안의 업무라고 할 수 있다. 사고 발생 가능성을 줄이기 위해서는 공격이 어렵거나 조건이 많아 지도록 만드는 것은 기본이다.

 

 

OTP의 경우 일회적인 패스워드 사용으로 알고 있으나 현재 발견되는 문제점은 다른 위험으로 출현 할 수 있다. OTP의 경우 화면상의 계좌 정보를 실제 전송시에는 다른 계좌로 바꿔치기 할 수도 있을 것이다. 피싱 방지 솔루션이나 백신은 이런 유형의 악성코드나 코드 변조에 대해서 알려줄 수 있는 기능이 부분적으로 존재한다.  또한 최종적으로 공인인증서를 통해 전송 계좌 및 금액에 대해서 추가 확인이 가능하다. 물론 암호화된 내용으로 전달이 되어 중간에 내용을 가로챈다 하여도 특별한 의미를 가질 수는 없는 상황이다.

 

현재 논의 되고 있는 공인인증서 사용에 대한 규제 철폐 및 ActiveX를 통한 보안도구들의 설치 및 기능이 무력화 될 경우에 발생 될 수 있는 위험성은 상상이상이다. 만약 체계적이고 계층적인 대안 없이 진행 된다면 IT 서비스 산업 자체의 위험레벨은 매우 높은 수준을 계속 유지 하게 될 것이다. 대규모 금융 관련 사고가 터진다 해도 이상치 않을 것으로 본다.

 

 

SSL+OTP ?

 

공인인증서 사용에 대한 규제 철폐를 주장하는 측에서 대안으로 제시하는 것은 SSL +OTP 조합이다. 여러 기술적인 설명이야 차지하고서 보안이라는 관점에서 PC에서 발생되는 이슈를 이 단순한 조합으로 보호 할 수 있다는 것은 넌센스다.

 

 

개념적으로 각 부분별로 발생 될 수 있는 문제들을 간략하게 정리해 보았다. 기존의 보안도구를 설치하지 않는 상황과 인증서에 대한 사용이 선택으로 바뀌게 될 경우 위험 요소들은 충분히 더 있을 수 있다. 현재 간단하게 고민한 문제 부분은 위의 그림과 같다.

 

개인 PC에 설치된 악성코드들은 어떻게 해결 할 것이며 특정 은행이나 기업만을 대상으로 한 악성코드의 대응은 어떻게 할 수 있을 것인가? 또 최근 많이 발견 되고 있는 특정 사이트의 보안 수준을 인위적으로 낮추기 위해 HTML을 변조하여 화면상에 표시하는 경우 대책은 무엇인가?

 

OTP를 입력 한다 하여도 화면상의 계좌와 실제 전송되는 계좌가 다르다면 어떻게 거래 내역을 입증 할 수 있을까? 현재 나타나는 악성코드들로도 충분히 가능한 상황이다. 해외 은행의 거래정보를 탈취하는 Zeus bot의 경우 현재 미국에만 360만개의 Agent Pc가 존재한다.

(http://en.wikipedia.org/wiki/Zeus_(trojan_horse) )

키입력을 가로채는 악성코드가 몇 백만대가 기본으로 설치된 상황에서 만약 미국내의 은행에서 자유로운 타인, 타행계좌로의 입출금이 웹을 통해 가능하게 된다면 재앙을 맞이하는 것은 한 순간이다. 이제는 금융거래를 활성화 하기 위해서는 보호방안을 먼저 고려한 이후에 활성화 해야 하는 상황에 직면한 것이다.  앞으로 상당기간 국내 수준으로 활성화 되기는 어려울 것으로 보고 있다.

 

해외에서는 현재도 금융거래에서 피해가 발생 되고 있으며 향후 피해 규모는 더 확대될 것으로 본다. 2000만대의 PC를 움직인 Mariposa botnet의 경우도 금융거래 정보를 탈취하고 있으며 알려지지 않은 많은 botnet들은 지금도 열심히 각 금융기관을 이용하는 사용자 정보를 부지런히 수집하고 있다. 피해는 앞으로 당연히 더 커질 것이다.

현재 해외 금융기관의 대응수준으로 보면 피해는 더 확대될 수 밖에 없으며 금융거래의 발전과 활성화를 위해서는 PC에 일정수준의 제한을 가해야 하는 것은 필연적이라 보고 있다.

 

해외의 개인PC에 대한 피해상황과 비교하여 국내의 PC 환경도 충분히 나쁜 환경에 처해있다. PC의 권한이 탈취되고 악성코드에 의해 조정이 됨에도 불구하고 금융거래의 피해상황은 미미하다. 이 역할은 보안도구들이 일정수준의 역할을 하고 있고 최종적으로 보안카드,OTP, 공인인증서 조합에 의해 피해를 여러 단계에 걸쳐서 막기 때문에 가능하다.

 

SSL+OTP 조합을 사용 했을 경우 아래의 경우에 대책들이 있어야 한다.

 

키보드 입력 보호는 하지 않는가?

MITM(Man in the Middle attack)을 통한 거래내용의 변경을 하는 악성코드 유형은 대안 있는가?

OTP를 사용할 경우 페이지 변조 여부에 대해서 신뢰 할 수 있는가?

한 지역 혹은 ISP 단위의 침해사고가 발생하여 중간 경유 장비에서 트래픽을 전환할 경우 신뢰성을 확보할 방안은?

또한 ARP Spoofing등을 통해 위조된 주소로 접근 한다면?

DNS 변조로 인해 역시 위조된 주소로 사용자가 접근한다면?

또한 인증서를 위조한 경우에는?

(모든 케이스들이 다 발견된 사례들이다. )

 

이 경우 조작된 거래라는 것을 서비스 서버에서 알 수 있는 방법이 존재하는가? 실제 거래가 발생된 이후에도 거래를 본인이 했다는 것을 확인 할 수 있는 확실한 방안은 존재하는가? 위조되거나 잘못된 거래를 찾아내기 위해서 서비스 업체에서 할 수 있는 방법은 무엇이 있을까? 해외 카드 업계에서 하듯이 특정 장소에서만 허용이 되고 별도의 장소로 이동 했을 경우에는 위험이라고 인식을 하고 알리는 Fraud 판별 시스템을 써야 하겠지만 인터넷에서 위치가 아닌 IP기반으로 움직이는 곳에서 그게 과연 의미가 있을까를 고민해야 한다.

개인의 금융거래에도 문제가 발생 되지만 금융 서비스를 제공하는 측에서도 사실관계 확인을 위한 정보는 거의 얻을 수 없는 상태가 된다. 이 경우 문제 해결이 되지 않는 피해사례들은 속출 할 수 밖에 없다.

 

신뢰성을 기반으로 하여 안전성을 추가하는 것이 금융거래의 선결과제이다. 현재의 SSL+OTP 조합은 상당히 많은 부분에서 취약성을 가진다. 모든 것이 안전하고 치명적인 문제가 없다는 전제하에 추진 할 수 있는 것을 너무 쉽게 주장하고 있다. 현실은 그리 만만한 것이 아니다.

 

 

접근성을 확대 하려는 시도는 보편타당하다. 그러나 금융거래에 있어서는 안전성과 신뢰성이 우선이다. 대안과 방안을 마련하지 않은 상태에서의 무조건적인 접근성 강화는 치명적인 결과를 초래할 것이다. 일단 본인확인이 되지 않는 경우에는 금융거래를 제한하는 것이 필요하고 다양한 보안 방안들을 고려 해야만 한다.

 

Pc에 설치되는 악성코드들을 제거하는 공통적인 대응 방안도 없으며 유포되는 주된 경로인 웹서비스의 안정성 확보도 되지 않은 상태에서 문제인식은 너무 부족한 현실이다.

 

스마트폰에서 접근하는 웹은 웹이 아니고 다른 종류라서 안전할까? 웹서비스의 활용도는 앞으로 더 증가할 수 밖에 없다. 사용자나 공격자나 더 매력적인 내용이다.  앞으로는 웹서비스에서 아이폰용, 안드로이드용 악성코드들도 유포가 될 것이다. 당연한 일이다. 국내는 물론이고 세계적으로도 웹서비스의 변조 및 웹을 통한 데이터베이스 정보의 유출은 여전히 계속 되고 있다. 아이폰이나 안드로이드에서 보는 웹도 동일한 웹이기에 위험성도 동일하다. 거기에 금전적인 이득까지 직접 취할 수 있다면 최초 혹은 처음 발견되는 스마트폰용 악성코드들의 성지가 될 것임은 명확하다.

 

현 상태대로 제한이 철폐되고 접근성이 확대된다면 장담하건대 스마트폰용 악성코드의 출현은 매우 빨리 질 것이다. 오랜 기간 관찰해온 바에 의하면 공격자들에게 그것보다 더 유혹적인 이득은 없을 것이기 때문이다. 

 

 

현재의 인터넷 뱅킹이나 금융거래 모델이 문제점을 가지고 있는 것은 사실이나 문제점을 개선하고 발전 시켜야할 부분이지 없애야 하는 수준은 절대로 아니라고 본다. 당연히 장점을 발전 시켜서 수출을 하거나 전 세계 전자 상거래의 활성화를 위해 기여할 부분이 매우 많은 모델임에도 불구하고 하향평준화를 요구 받고 있는 현실은 어리둥절 하기만 하다.

 

현재 상태의 보안도구들도 통일된 도구들이나 공통적인 규약을 가지고 있지 않은 것은 문제라고 할 수 있다. 공통적인 모듈을 활용 하여 다른 사이트를 가더라도 공통적인 기준을 활용 하여 추가적인 설치를 최소화 하거나 비슷한 기능을 다른 브라우저나 운영체제에서도 할 수 있도록 노력을 해야 할 것이다. 그만큼의 투자는 필요하고 충분한 비용은 지급 되어야 할 것이다. 또한 공인인증서 체계의 접근성을 확대하는 것은 지속적으로 노력을 해야 시대의 변화를 따라 갈 수 있다고 본다.  점진적인 발전 모델로서 가치를 가지는 것이지 현 상태의 유지가 정답은 아닐 것이다.

 

 

 

-       바다란 세상 가장 낮은 곳의 또 다른 이름

 

ps:  

一終無終一 -  이 의미대로 살고자 합니다. 오늘 부터가 되겠죠. 두렵지만 더 큰 꿈과 열정은 항상 있었기에 이젠 다른길로..

조금 정리되면 소회를 한번 올려 볼께요.

Posted by 바다란

지디넷 컬럼 입니다. 문맥들은 일부 수정 될 수 있습니다.

하나의 컬럼으로 썼는데 기술적인 내용들이 들어가다 보니 내용이 좀 길어 졌습니다.

두편 정도로 게재 될 예정입니다.

 

 

현재의 공인인증서 논란이 근본적인 환경 변화에 대한 고려가 없이 졸속 진행 되고 방향성을 못잡는듯 하여 심히 우려 스럽습니다.

앞으로도 이런 방식이라면 정말 근본적인 체계가 흔들릴 수도 있다고 봅니다.

 

누가 전문가이고 누가 현실을 아는지 헷갈릴때가 있습니다.

자신만이 보는 것이 전부인 것으로 아는 것이 가장 큰 문제를 일으킵니다.

이제 피해는 모두가 보게 되겠죠. 두편다 작성은 하였으나 컬럼 게재 시기에 맞추어 하편을 올리도록 하겠습니다.

여기에는 컬럼에 정제된 것이 아닌 제가 쓴 원본을 게재 합니다.

 

그럼

 

-------------

 

빗나간 공인인증서 논란   바다란 2010.3.31

 

 

스마트폰이 대중화의 길을 걸으며 사용자가 급증하고 있는 현실에서 많은 서비스 분야들은 체질적인 변화를 맞이 할 수 밖에 없는 상황에 직면했다. 그 과정에서 오랜 시간 동안 논쟁의 중심에 있었던 운영체제 편향적인 부분과 ActiveX에 대한 활용, 웹에 대한 접근성, 공인인증 서비스 체계에 대해 다양한 이슈들이 직접 나타나고 있다.

 

개인적으로는 특정 OS에 편향되고 종속된 기술을 계속 유지 하는 것은 바람 직하지 않다고 생각한다. 접근성 확대 의견에 대해서도 상당부분 동의한다. 단 기본적인 상황인식과 전제는 반드시 필요하다.  상황의 악화에 대해 책임을 질 수 없을 바에야 현실에 대한 분명한 인식이 되어야 함은 당연하다. 그러나 지금의 공인인증서 논란은 많이 벗어나 있다.

 

상황인식에는 접근성을 해치는 시스템과 체계들이 왜 출현 하게 되었으며 어떤 필요에 의해서 도입이 될 수밖에 없었는지에 대해서 인식하는 것이 가장 먼저이다. 현재 어떤 문제들이 있는가에 대해서 명확한 인식이 있은 후에 문제를 보완 할 수 있는 대안을 제시해야만 한다. 그러나 현재는 명분에 앞서서 정확한 현실의 인식에는 많은 문제가 있는 것으로 보인다.

 

필자가 보는 관점에서는 현재의 ActiveX로 설치되는 보안도구와 공인인증서의 역할은 지금껏 대형 금융사고의 발발을 막을 수 있었던 하나의 보조적이고 유효한 수단 이였다고 할 수 있다. 지금껏 국내에서 발생된 인터넷 뱅킹 및 금융관련 사고로 발생된 피해 금액은 해외와 비교하기가 어려운 수준이다. 또한 인터넷 뱅킹 및 금융거래 모델과 활용 방법에 있어서도 해외와는 큰 차이를 보이는데 해외의 금융거래 모델을 기준으로 평가를 한다는 것조차 말이 되지 않는다.

 

일일 인터넷 뱅킹 거래 금액은 29조원이고 상거래에 이용되는 금액은 5조원 남짓이라고 한다. 엄청난 규모라고 할 수 있다. 그렇다면 실 거래 금액 대비하여 지금까지의 금융사고가 발생되어 피해가 발생된 규모는 얼마나 될까?  사용자의 부주의에 의한 것을 포함하더라도 직접적인 침해로 인해 발생된 사고 비율은 상당히 낮은 비율을 유지하고 있다. 이 것은 분명한 사실이다.

 

금융보안 연구원에서 작성한 해외 인터넷뱅킹 보안현황 조사 보고서를 필자도 읽어 보았다. 그러나 중요한 기반 설명들이 빠졌음은 지적하고 싶다. 각 국가별 현황에서 한국에서의 보안 강도와도 같은 레벨을 가지고 있는 국가는 중국을 꼽을 수 있다. 다른 국가들은 상당히 가벼운 모델을 가지고 인터넷 뱅킹을 운영하고 있는 것을 볼 수 있다.

 

그러나 활용도는 어떻게 될까? 각 국가별 활용도를 살펴 보고 위험레벨을 살펴 보는 자료들을 넣었다면 보다 신뢰 받을 수 있는 자료가 되었을 것이라고 생각한다.  해외의 인터넷 뱅킹은 제약이 많으며 실시간으로 금전거래가 일어나기에는 상당히 많은 제약들이 존재한다.  정체 불명의 타인에게 직접적인 금전 이체가 가능한 국가는 많지 않다. 또한 금전 이체를 떠나서 은행의 계좌를 이용해 쇼핑몰에서 물건을 구매하는 것조차도 불가능하다. 해외는 대부분 신용카드를 이용한 거래를 사용한다. 따라서 신용카드에 대한 부정 사용을 감시하기 위한 Fraud 판별 시스템은 상당히 발전되어 있음을 알 수 있다.

 

중국과 한국의 인터넷 환경은 해외의 환경보다 더 직접적인 위험에 노출이 되어 있다. 온라인 주식거래 및 상거래가 일반적이고 온라인 계좌이체가 자유롭다.  이 상황에서 공격자들의 목표는 금융분야가 되는 것은 당연하다. 경제활동 인구 대부분의 주민번호와 거주 정보, 신상정보들도 유출되어 거래가 되고 있는 것이 현실이며 다양한 악성코드들과 백도어로부터의 직접적인 침입을 받고 있는 현실에서 금융거래를 보호하기 위한 다양한 도구들은 필요악이 될 수 밖에 없다. 금융거래에 있어서 가장 최우선은 안전성이다. 편리성은 뒤로 밀릴 수 밖에 없다. 편리하게 사용 하는 정도만큼 공격자들의 공격 편리성도 높아진다. 당연한 진리이다.

 

 

정책 당국을 옹호하고 싶은 생각은 없지만 지금까지 유지해온 보호 정책과 기본적인 보안 모델은 현재 안정적인 상태를 유지하고 있다고 본다. 다만 새로운 시대 변화에 따라 다양한 가능성을 열고 보안성을 유지한 상태에서 여러 위험들로부터 보호할 수 있는 방안을 만들고 접근 할 수 있는 접근성을 확대 시켰다면 지금과 같은 논란은 발생 하지도 않았을 것이다. 또한 현재 조사되거나 분석된 위험들에 대해 정확한 사실들을 알리고 협조를 당부 하였다면 보다 무리 없고 발전적인 방향의 논의가 가능했을 것이다.

 

접근성 확대의 가장 큰 장애물로 ActiveX를 예로 든다. 특정 브라우저에 한정된 설치 도구를 통해 타 OS 및 여러 브라우저에서 접근을 못한다는 점이 가장 큰 이슈이며 그 이후로는 더 나아가 보안 도구들의 무용론과 기능적인 결함까지도 언급을 하고 있다.  이제는 필자가 보기에 그나마 전자상거래라고 할 수 있는 환경을 유지 할 수 있게 해준 공인인증서 마저 족쇄를 풀고자 한다. 문제에 대한 심각한 고려 없이 단편적인 생각만으로 논의를 하고 있다는 생각을 지울 수가 없다.  (본 의견은 2007년에 작성한 Vista ActiveX 관련 글에서도 동일한 언급을 하였다. )

http://blog.naver.com/p4ssion/50013835648  - Vista ActiveX 그리고 보안-1

http://blog.naver.com/p4ssion/50013870250  - Vista ActiveX 그리고 보안 -2

http://blog.naver.com/p4ssion/50016331817  - Online Game Vista이슈와 보안이슈 하편

 

Vista ActiveX관련 하여 언급들을 많이 하였었고 기본적인 개념 설명만으로는 제대로 전달 되지 않는 듯 하여 온라인 게임상에서 위험요소들이 어떻게 나타나고 있는 지에 대해서 논문으로 작성하여 정보보호학회에 기고하기도 하였다. 실제 위험은 일반인들 또는 IT전문가라 불리는 사람들이 생각하는 범주를 2007년에도 휠씬 넘어서 있는 상황이고 지금은 더 악화된 상황이다.

 

일례로 온라인 게임에서는 안정적인 상태를 유지하기 위해 다양한 보안도구들을 사용하고 접근성을 극도로 제약한다. (특정 브라우저에서만 실행 되거나 특정 OS에서만 실행 되는 것도 당연하다. ) 극도의 제약이 존재하는 상황에서도 공격은 항상 발견되고 집중이 되고 있다. 인터넷 뱅킹에서 사용되는 보안도구들을 거의 대부분 사용함에도 불구하고 문제는 항상 발견이 되었다. 2007년에 분석된 온라인 게임에서의 보안이슈들과 대응역량을 주관적으로 표시한 내용이나 현재 공격 기술의 발전은 더 빠르고 깊게 진행이 되었을 것으로 예측된다. 각종 보안도구들로 도배가 되었음에도 불구하고 공격은 난이도가 높게 진행이 되고 있다. 계정유출을 위한 새로운 시도는 끊임없이 출현을 하고 있으며 매번 대응책을 마련할 수 밖에 없는 상황이다.

 

 

2007년에도 심각성에 대해서 언급을 하고 공개적으로 논의를 하였으나 그로부터 4년이 지난 지금에 이르러 문제는 더 심각해 진 상황에서 무장해제를 논의 하는 것은 상상 밖의 일이다. 그만큼 보안 전문가들에 의해 현실적인 문제들과 위험상황이 많이 알려 지지 못했기 때문이라는 자책도 할 수 있는 상황이다. 무엇보다도 피해에 둔감하며 사건 사고로부터 교훈을 얻고 개선 하지 못한 체계의 문제가 가장 크다고 본다.

 

사건과 사고는 덮는다고 묻혀지는 것이 아니다. 눈덩이처럼 불어나 다음 번에는 더 감당하기 어려운 이슈로 다가오는 것이 지금껏 겪은 일반적인 상황이다. 경험에서 배우고 개선을 하여 나아가야 하는데 지금껏 개선에 대한 논의는 지지부진 했고 발전도 미약했다고 본다.

 

인터넷 뱅킹 및 온라인 거래에 있어서 공인인증서와 ActiveX는 단지 도구이다. 사고를 방지 하기 위한 도구로서 활용이 된 것이고 도구로서의 역할은 부족한 점이 있지만 충분한 역할을 지금껏 수행해 왔다고 생각한다. 도구는 목적을 달성하기 위해 도입된 것이다. 도구에 대해 대안을 제시 할 때는 근본적인 목적을 충분히 달성 할 수 있는지가 핵심이 되어야 한다. 지금의 논란은 목적과는 동떨어진 방향으로 진행 하고 있어서 심각한 우려를 자아내게 한다.

 

ActiveX로 설치되고 실행성을 가지는 보안도구들과 공인인증서의 역할들을 앞으로 간단하게 살펴 보고 공인인증서의 무용론을 주장하는 측에서 주장하는 SSL+OTP 모델의 문제점도 살펴 보도록 하자. 과연 지금 현실 속에서의 문제를 해결 할 수 있는지도 포함해서

 

인터넷 접근과 보안

 

일반적인 인터넷 액세스는 개인 PC에서 브라우저를 활성화 한 이후 URL을 입력하여 웹서비스에 접근을 한다. 이후 웹 서비스에서 HTML 컨텐츠를 브라우저로 가져온 이후 사용자가 보는 브라우저에 보여주는 형태를 가지게 된다.

 

 

위의 이미지는 일반적인 접근 모델을 의미한다. 네트워크적인 구성을 제외하고 개인PC에서 보여지는 상관관계를 나타내고 있고 개인PC에서는 보안모델 설명을 위해 키보드까지 표시가 되어 있다. 이제 문제가 발생 되는 부분들을 살펴 보자

 

 

주요 문제 발생 부분은 표시된 1,2,3,4와 같은 부분으로 나뉘어 진다. 각 문제 부분은 간략하게 다음과 같이 설명이 된다.

 

1. 키 입력을 가로채는 키보드 해킹 후킹 방식을 이용하여 키보드 시그널을 가로챈다.

2. 익스플러러 브라우저에 플러그인 형식으로 탑재된 BHO (Browser Helper Object) 영역의 값을 가로채는 악성코드

3. 전송 단계에서 평문으로 전송되는 내용을 가로채는 스니퍼 형태의 악성코드

4. 개인 PC를 조정 할 수 있는 백도어 권한을 가진 공격자에 의해 컨텐츠가 조정되는 유형의 백도어형 악성코드 ( 이 형태는 HTML 페이지 조작 및 화면 보기, 특정 키입력 가로채기, DDos 공격용 Agent로 활용하기 등 다양한 형태로 활용이 가능하다. 일반적으로 봇넷 에이전트도 여기에 속한다. )

 

자 크게 분류하여 네 단계의 위험요소들이 존재한다. 각 부분별로 들어가면 더 많은 소분류가 가능하겠으나 개념적인 차원에서 현재 존재하는 위험들은 크게 4가지 정도의 위험요소를 가지고 있다고 임의적으로 정리 했다.

 

 

입력단계 –> PC내 실행단계 -> 어플리케이션 탑재 단계 -> 전송 단계 별 문제

 

네 단계 정도로 사용자 입력이 실제 서비스로 전송 될 때 위험을 가지고 있는 부분이 있으며 실제로 심각한 피해를 일으키고 있다. 2009년까지의 악성코드 유형은 4번과 같이 백도어 형태를 가지고 있는 악성코드가 3~40%의 비율을 나타내고 있으며 2번 단계의 BHO 영역의 입력 값을 가로채는 유형의 악성코드 기능도 전체 악성코드에서 60% 가량은 탈취기능을 가지고 있는 것으로 판단된다.  (참고 http://download.ahnlab.com/asecReport/ASEC_Report_200912.pdf )

 

BHO 영역의 값은 키보드 입력된 값이 전송 되기 직전에는 브라우저에 정상적인 값을 넘겨 주어야 하므로 암호화된 키보드 입력을 정상으로 되돌려 브라우저에 탑재를 하고 브라우저는 이 값을 BHO 영역에 평문으로 넣어서 SSL 및 암호화 통신을 활용하여 암호화한 형태로 전달을 한다.

 

공격자들은 2005년 무렵부터 BHO 유형의 악성코드들을 유포하기 시작 하였으며 세계적으로도 가장 처음이자 가장 많은 사례가 유포된 곳이 한국이고 그 다음이 중국이다. 현재는 전 세계적으로도 확산 비율은 높을 것으로 예상된다. BHO 유형의 악성코드가 일반적이게 된 것은 키보드 보안 프로그램들이 금융거래 서비스나 온라인 게임등에 일반적으로 사용됨에 따라 일반적인 키보드 입력을 가로채는 악성코드로는 정보유출이 불가능해 지자 BHO 영역의 값을 탈취하는 형태의 악성코드가 개발이 되고 확산이 된 것으로 보고 있다. BHO 영역의 값을 탈취하는 악성코드 유형의 출현과 국내 키보드 보안 프로그램의 도입과 활성화를 매치 시켜 보면 유사한 결과를 얻을 수 있을 것이다.

 

악성코드들은 대부분 온라인 게임의 계정을 탈취하기 위한 목적으로 사용이 되었으며 이 시기를 기점으로 하여 국내의 온라인 게임사들 대부분에 점진적으로 키보드 보안 솔루션 외에도 부수적인 보안도구 및 기능들이 설치되고 확대되는 동향도 살펴 볼 수 있다. 사용자의 계정정보를 보호하기 위해서 다양한 도구를 활용해야만 피해를 줄일 수 있기 때문이다.

(BHO 영역에 대한 악성코드 내용은 여기를 참고  - http://blog.naver.com/p4ssion/50023916686 )

 

 

키보드 입력을 가로채는 악성코드는 90년대부터 계속 있어 왔던 내용이며 현재 안티바이러스 업체들에서도 대부분 탐지를 하고 있는 부분들이다.  키보드 입력을 가로채는 악성코드가 일반화 됨에 따라 마우스로 화면상의 키패드를 누르는 형태로 변경 하기도 하였으나 그 즉시 마우스 이벤트와 좌표값을 계산한 악성코드에 의해 무력화 된 케이스가 있다.

 

브라우저영역에 해당하는 BHO 영역의 악성코드는 개별 악성코드를 백신에서 제거하는 방안들 외에는 대안이 없는 상태이다. IE외에 다른 브라우저를 사용한다면 BHO 영역으로 인한 문제는 해결 될 수 있으나 또 다른 문제들은 금새 출현 한다.

 

네트워크 전송영역에서의 스니핑 되는 이슈들은 다양한 방안으로 해결이 가능하며 단편적인 이슈로만 보면 SSL로도 충분히 해결이 가능하다고 본다. 다만 복잡화된 공격이 일반화된 지금의 상황에서는 좀 더 다른 시각이 요구된다.