태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

안녕하세요. 바다란 입니다.

 

금일자에 발견된 새로운 기사들을 모니터링 하다보니 다음과 같은 기사가 눈에 띄입니다.

일부 주요 부분을 발췌하면 다음과 같습니다.

 

http://www.donga.com/fbin/output?f=todaynews&code=b__&n=200702260116&main=1

 

《국제 금융 사기단이 ‘파밍(pharming)’이라는 신종 해킹 기법을 이용해 세계 65개 이상의 금융회사와 전자상거래 업체 고객들의 PC를 공격하고 개인정보를 훔치는 대형 금융사고가 일어났다. 25일 국내외 인터넷 보안 전문가와 금융계에 따르면 이 같은 해킹은 19일 호주에서 처음 일어났으며 급속히 확산돼 하루 평균 1000명 이상의 PC 접속자를 위장 사이트로 유도한 뒤 인터넷뱅킹 ID와 비밀번호 등의 정보를 빼갔다. 이런 사실은 22일 미국 보안업체인 ‘웹센스’에 의해 뒤늦게 밝혀졌으며 가짜 사이트들은 폐쇄됐다.》

 

파밍이라는 용어 자체는 기사에 잘 나타나 있기 때문에 특별히 설명을 하지는 않도록 하겠습니다만 부분적인 이해를 위해 개념적으로 설명을 하도록 하겠습니다..

 

 

DNS와  Internet

 

DNS [Domain Name server] 와 사용자의 PC에 존재하는 Host 파일과의 관계를 아시면 충분히 이해가 됩니다. 웹사이트에 접근하는 방법은 두 가지가 있습니다.

하나는 IP Address를 통한 접근 방법이고 또 다른 하나는 URL을 통한 접근 방법입니다. 특정 IP에 특정 URL을 매핑 시킨 정보를 가지고 있는 것이 DNS 이고 우리가 IP Address 설정시에 DNS IP를 지정하는 것도 입력하는 URL 과 URL이 위치한 실제 IP Address를 매칭 시킨 정보를 전달하여 해당 사이트로 이동하게 하기 위한 과정입니다.

 

DNS에 대한 공격이 주요하게 되는 것들도 모든 사용자들이 IP를 기억하여 특정 사이트에 접근 하기는 어렵습니다. 사용자가 인지하기 쉬운 것은 Naming 이죠. 따라서 DNS 서비스가 되지 않을 경우에는 인터넷 망에는 지장이 없으나 URL을 이용한 사이트 접근이 안되어 문제가 생기는 것입니다.

 

IP 주소로는 접근이 되지만 사용자가 인지하는 접근 방법은 URL을 통한 접근 방법이고 URL 주소가 실제 IP 주소로 매칭되는 정보를 찾아내어 DNS가 알려 주어야 하는데 알려 주지 않으니 접근이 안된다고 하는 것입니다.

 

현재 발생되는 인터넷 불통 및 연결 관련된 문제는 대부분 DNS 관련된 문제들이 많습니다. 원인이야 웜이나 바이러스에 의한 트래픽 증대도 있고 다양하지만 최종 사용자에게 미치는 영향은 원하는 사이트에 접근이 안되는 문제가 가장 크며 이 문제의 핵심에는 DNS가 존재합니다.

 

개인 PC에 존재하는 DNS의 기능을 Host 파일이 수행을 합니다. URL에 해당하는 IP Address를 개인 PC의 Host 파일에 넣어 두는 것이죠. 이럴 경우 DNS 서버에 문제가 있더라도 Host 파일에 등록된 URL은 문제없이 접속이 됩니다.

 

그럼 모든 IP Address의 매핑을 Host 파일에 저장을 한다면 문제는 없는가? 라는 질문에 원칙적으로는 그렇다라고 말 할 수 있습니다. 그러나 전 세계의 IP Address 전체와 URL 정보를 어떻게 얻을 수 있나요? 불가능 합니다. 유기적으로 갱신하고 URL을 기준으로 변경이 되는 IP 정보를 갱신 하기 위해 DNS 시스템이  존재합니다.

 

최상위 Root DNS 라고 불리는 것 부터 하위 DNS 까지 계층 구조를 이루고 있으며 갱신 시점은 일정 시간이 지난 이후 상위로 전달이 되고 최상위 Root DNS에서 일정 시간 이후 하위로 전달이 되는 구조로 되어 있습니다.

 

만약 새로운 URL과 IP를 전달 한다면 정확한 시간을 예정하는 것은 어렵지만 며칠 이내에 전 세계 시스템에서 URL을 통해 접근 할 수 있도록 계층적으로 구성이 되어 있습니다.

DNS의 이용은 이러한 유기적 구조를 통해 접근성을 확보하기 위해 필수적으로 사용이 됩니다.

 

파밍을 이야기 하다 부연설명이 길어졌습니다. 파밍이 사용하는 방법은 무엇일까요?

사용자 PC의 Host 파일을 조작하는 것은 어떤 의미 일까요?  서비스 하는 기업들은 URL을 등록하고 URL을 이용하는 사용자는 그 기업의 서비스를 신뢰하고 사용을 합니다. DNS에 등록이 된 URL과 IP Address는 어느정도 신뢰가 가능하다는 이야기 입니다.  이 신뢰를 이용하는 것이 파밍이라 할 수 있습니다.

 

사회공학적 해킹

 

사용자는 익숙한 URL을 입력하여 일반적으로 Web에 접근을 합니다. 이런 일반성을 이용하는 것이 파밍이며 DNS 서버에 URL에 대한 IP Address 질의를 던지기 이전에 사용자 PC의 Host 파일 설정이 우선순위가 높습니다. Host 파일을 먼저 확인한 이후 URL 목록이 없을 경우 DNS 서버에 질의를 합니다. 만약 Host 파일을 변경한다면?

 

당연히 Host 파일에 등록이 된 URL에 매핑된 IP Address가 실행이 됩니다. 즉 DNS에 존재하는 신뢰가 되는 Ip Address가 아닌 임의의 IP Address에 접근이 되는 것입니다. 은행 사이트도 마찬가지 이고 모든 사이트가 마찬가지 입니다. 이런 Host 파일을 변조하여 공격자가 사용자의 정보를 빼내가기 위한 사이트로 유도를 하려 합니다.

 

DNS 서버에 등록된 주소: www.xxx.com 111.111.111.XXX 

실제 DNS에 앞에서와 같이 기술이 되어 있다면 이 내용을 공격자가 바꾸는 것이지요. 사용자의 PC에 존재하는 Host 파일에 이렇게 바꿉니다.

사용자 PC의 HOST 파일:  www.xxx.com  222.222.222.xxx

이렇게 되었을 경우 DNS 서버에는 정상이지만 사용자 PC의 Host 파일이 변경된 경우 URL 입력창에 www.xxx.com 을 입력할 경우 222.222.222.xxx 사이트로 이동이 됩니다.

 

문제는 www.xxx.com 과 유사한 사이트 이미지를 만들어서 사용자 입력을 받도록 한다는 것이죠. 사용자는 자신이 매일 방문을 하는 사이트 이므로 의심없이 입력을 하게 됩니다. 피해가 대량으로 발생을 하죠. 우리나라의 경우 공인인증서가 활성화 된 상태라 공인인증서까지 가져가야 하기 때문에 피해가 거의 없었다고 할 수 있습니다.

 

올해 초에 발생된 신형의 경우 악성코드를 통해 Host 파일의 변조 , 공인인증서 파일의 외부 유출등을 실행 하였고 사용자가 해당 은행 접근 시에 위조된 사이트로 접근을 하게 된 경우입니다.

위조된 사이트에서 공인인증서 패스워드까지 입력하도록 함으로써 수상하다라는 인식을 빨리 하게 되어 문제가 커지기 전에 차단이 된 내용입니다.

 

그렇다면 해외는 어떨까요? 기사에 나타난 내용대로라면 다수의 사용자에게 실질적인 피해가 발생 하였을 것입니다. 실제 거래의 피해 및 금전적인 피해가 발생 하였을 것입니다. 개인에게 직접 영향을 미치는 것이죠.

 

국내의 금융권 보안 강화 방안과 해외의 보안 강화 방안

 

<개념적인 그림입니다. 현재 전체적으로 봤을때 주요 관점이 다르다는 의미입니다.>

 

- 국내는 공인인증서를 사용하여 추가적인 입력 장치가 필요하고 비록 단종된 ActiveX 기술이기는 하나 다양한 보안 기능을 활용 하고 있습니다. 따라서 금융기관 공격이 매우 어려우며 사용자 정보의 유출이나 금전적인 피해가 상당히 적다고 할 수 있습니다. 가장 기본적인 원칙은 사용자의 PC 수준을 우선 불안전한 상태라고 보고 이후의 모든 단계를 강제적으로 진행 하는 개념입니다.

 

- 해외는 기본원칙이 다릅니다. 사용자의 PC 수준을 우선 신뢰하고 있으며 신뢰된 내용으로 부터 들어온 거래에 대해 비정상적인 행위를 찾아내는데 중점을 두고 있습니다. Fraud  검출과 관련된 기능과 인력에 중점을 두고 있습니다. 그리고 인터넷 상에서 피싱된 사이트에 대한 정보를 찾고 해당 정보에 대한 전체적인 차단과 대응에 중점을 두고 있습니다.

 

두 원칙이 다르다 보니 발달된 부분도 다릅니다. 국내는 PC보안 및 보안요소 기술, 공인인증 관련 기술이 발전 하였고 해외는 피싱관련된 협력 모델 , Fraud 검출 기술이 장점입니다.

 

어느 부분이 바람직 할까요? 저 개인적으로는 향후의 위협을 고려하여 보면 국내의 방향이 맞다고 봅니다. 안정성 측면에서 바람직한 접근이라 할 수 있습니다. 인터넷은 통제가 가능한 부분이 아니며 그동안 여러번 이야기 하였지만 위험요소를 걸러내어 안전해 질 수 있는 부분이 아니며 Protection의 개념으로 접근을 하여야만 합니다. 

 

해외는 앞으로 많은 위협에 직면하게 될 것입니다.  공격 기술은 보안 기술과의 격차를 계속 벌리고 있는 상황이라 향후 많은 "소 잃고 외양간 고치기"를 해야 할텐데.. 외양간이 어디인지를 잘 살펴야 할 것입니다.

 

격리와 Protection 관점의 변화는 매우 어려운데 해외는 개념 및 발상의 전환상 상당 시일이 소요될 것으로 보이며 향후 난관이 예상됩니다.

vista도 protection 관점에서 진화된 내용이기는 하나 침입 가능 경로중의 일부만을 차단하고 있으며 또한 취약성 분석의 전문화와 대중화로 인해 문제가 지속 될 것입니다. 물론 zeroday 및 MS의 관련 Application 문제도 상당히 많고 오랫동안 계속될 문제입니다.

 

* 개인의 의견입니다.

 


 
Posted by 바다란

안녕하세요. 바다란입니다.

 

금일 자 기사에 Vista의 전문가들의 비난에 대해 침묵하던 빌게이츠 회장의 의견 피력이 있었습니다. 전체적으로 보면 일상적이고 무난한 의견이라고 보지만 그 동안 시대 상황이 변화고 환경 자체가 변함에 따라 변화의 요구는 매우 강해 질 수 밖에 없었던 MS의 입장을 볼 수 있습니다. 그 입장 변화의 주요 핵심요소들 중에는 Security가 있습니다.

 

그 동안 운영체제의 문제로 인해 발생된 문제들에 대한 지대한 관심과 IT분야에서의 이슈메이커는 MS에 집중이 되었습니다. 어찌 보면 당연한 문제일 수 밖에 없습니다. 신규 웜의 발생 및 파급효과 면에서 가장 큰 효과를 지닌 MS의 운영체제는 집중적인 분석 및 공격 대상이 되어 왔었고 현재도 마찬가지 입니다.  따라서 운영체제에 대한 보호 방안 마련 및 Secure한 운영체제 구현은 근 5년 이상 2000년대 들어서 MS에게 주어진 숙제와도 같았을 것입니다. 1차 숙제를 끝냈다고 생각한 빌 게이츠의 의견은 기사와 같습니다.

 

빌 게이츠 "비스타 비난 근거 없다"

http://news.naver.com/news/read.php?mode=LSS2D&office_id=030&article_id=0000168184&section_id=105&section_id2=230&menu_id=105

 

"비스타의 가장 큰 장점 중 하나는 많은 신기술과 보안 기능으로 사용자를 즉각 흡수한다는 것"

 

비스타에 대해 의견을 내는 빌의 한 마디는 위와 같이 요약이 됩니다. 기술된 언어에서 중요 포인트를 추려보면 강조표시를 한 신기술과 보안기능입니다. 신기술의 측면은 UI 측면과 그다지 새롭지 않은 기술들 [ 이미 틈새를 개발한 많은 개발 업체들이 상용화 한 부분]의 운영체제 흡수를 들 수 있습니다. 새로운 기능들이 얼마나 포함이 되었는지는 상세하게 알지 못하지만 언론지상에 노출된 기능만을 보았을 때는 UI 측면 그리고 인터넷에 접근 한 이후에 사용할 수 있는 선택의 기제를 운영체제에 내포한 기능 정도로 볼 수 있습니다. IE7 Vista를 관통하는 정의는 선택의 흡수와 편리성 입니다.

 

선택의 흡수란 말은 인터넷 연결 이후에 선택하는 사이트에서 이루어지는 행위 자체를 운영체제 단위 및 기본 Application 에 내재화 시킨 것으로 볼 수 있습니다. 향후 다양한 기능들이 추가가 될 것으로 예상이 됩니다. MS의 주요 경쟁자가 구글 , 야후 등과 같은 Service content를 제공하는 업체라고 인식을 하고 있고 인식의 바탕 하에 service content의 제공자 역할까지도 동시에 하겠다는 말과도 일맥상통 하다고 볼 수 있습니다. 편리성이라는 용어도 선택의 흡수와 연계되는 용어 입니다. 단지 포장만 달리 했다고 볼 수 있습니다. 경쟁자를 이기기 위해 들고나온 첫 무기가 Vista라고 볼 수 있을 것 같습니다. 또한 경쟁자의 대상을 명확하게 했다고 볼 수도 있습니다.

전략적으로는 서비스 제공자의 역할을 분산시키고 선택 제한을 통해 약화를 시키고 세부적으로는 MS의 솔루션에 대한 Security 인식을 심어주기 위한 의도라고 볼 수 있습니다. 다르게 보면 All in one OS를 지향 한다고도 볼 수 있을 것 같습니다. 지금까지는 개별 Application 설치를 통해서 해결 하던 문제를 알게 모르게 흡수를 하여 상당부분 운영체제 혹은 MS Lineup에서 해결 할 수 있도록 하여 시장에 대한 지배력의 공고화를 노리고 있다고 봅니다. 노벨에 대한 회유도 대동소이한  맥락이라 볼 수 있을 것입니다.

 

다양한 신기술을 접속이라는 측면에는 위와 같은 배경들이 존재한다고 할 수 있으며 그 결과가 개별 Application의 흡수라고 볼 수 있습니다. 심지어는 보안 관련된 Application도 자사의 서비스 전략에 포함을 시켜 두고 전 세계에서 서비스를 하고 있습니다. (Live oncare) MS와 관련이 없을 것으로 여겼던 [ 자사의 서비스 취약성을 이용하는 공격을 Active하게 대응 한다고도 볼 수 있습니다.] 부분까지도 범위를 확장한 것은 그만큼 서비스 범위에 대한 통제권을 확실히 하고 이득을 분명하게 추구하겠다는 이야기라고 볼 수 있습니다.

 

또 다른 부분으로 언급한 보안성이라는 측면에서 공식적으로 보안이 강화되었고 보안성이 사용자를 흡수 할 수 있다는 논의는 그 동안 MS에서 들인 노력에 대한 자신감이라 할 수 있습니다. 그 노력에 대한 자신감은 모든 개발인력에 대한 보안프로세스 이해 그리고 실제적인 보안의 사안을 이해하기 위해 보안 자격증 취득 지원 ( CISSP ? ) 그리고 강력하고 반복적인 BlackBox Test를 통한 자신감이라 하겠습니다. 지난 시간 동안 개발에 투입된 비용만큼을 보안에 투입한 상황에서는 충분히 가질 수 있다 하겠습니다. SDLC (Secure Software Development Life Cycle or Security Development Life Cycle)를 언급한 MS의 입장에서도 확인 할 수 있습니다.

Ref: SDLC  [ Secure Software 개발을 위한 반복적인 Penetration Test 그리고 문제해결 과정을 의미 하기도 합니다.]

< www.owasp.org Eoin.keary@owasp.org 의 발표자료중 발췌>

 

2002년 초에 MS에서 공식적으로 표방한 TCI (Trustworthy Computing Initiative) 전략의 첫 완성물이라고 볼 수 있기에 Vista에 대한 자신감은 있을 수 있습니다. 2002년 이후 일정 수준이상 완성된 Vista 의 소스코드를 전체에 대해서 전수 검사를 수행하고 문제 있는 부분 수정을 한 이후 출시 일정을 미루어 가면서 까지 나온 바탕이 배경화 되었을 것입니다. 그 동안에 들인 비용은 상상을 초월하는 비용이 들었을 것입니다. 어쩌면 Vista에 대한 개발 비용 보다 더 많은 비용이 들었을 것입니다.  이런 일련의 흐름이 지향하는 바는 명확합니다. 기업은 이익 창출이 기본 개념입니다. 그리고 이익이 없는 곳에는 행동 하지 않습니다. 따라서 MS의 보안분야에 대한 투자는 운영체제에 대한 막대한 시장지배력만으로 유지하는 것은 어렵다는 것을 인지하고 Security 라는 부분이 중대한 Factor임을 인정한 것 이라 볼 수 있습니다.

 

관련기사: http://news.naver.com/news/read.php?mode=LSD&office_id=092&article_id=0000006973&section_id=105&menu_id=105

 

그러나 과연 Vista에 대한 보안적인 이슈들을 일정부분 해소 하였다고 하여 보안성이 강화 되었다고 할 수 있을까요?

질문 나갑니다. Vista는 안전 합니다. 그럼 Vista 상에서 동작하는 모든 Application들도 안전 할까요?

 

정답은 그렇지 않다 입니다. Application에 대한 공격은 2004년부터 일반화된 경향이며 현재 발표되는 취약성의 90% 이상이 개별 Application에 대한 내용입니다. 그 중에는 MS에 많은 이득을 창출케 해주었던 MS Office 군도 포함이 되어 있습니다. 이전의 Office 제품과 호환이 가능하면서 완전한 Security Process를 수립하고 process에 따른 대책이 이루어 졌을까요? 그렇지 않다고 단언합니다.

Office 제품군에 대한 취약성은 일주일에 몇 개 꼴로 신규 취약성 및 공격 가능성이 발견 되고 있습니다. 지금은 일반화된 zeroday attack[패치가 없는 취약성] 이 가능한 공격코드들이 무수히 발견 되고 있고 일정 수준 이상의 Binary 분석 및 취약점 발견 능력을 지닌 사람들에게는  손쉬운 일이라 할 수 있습니다. 도구의 발전으로 인해 예전보다 휠씬 더 적은 시간을 투자하고도 발견 할 수 있다고 봅니다.

 

http://www.securityfocus.com/bid 에서 Vendor Microsoft로 선택 하시고 보시면 최근 MS제품군에서 발견된 취약성을 확인 할 수 있습니다. 2007년에 발견된 다수의 취약성 대부분이 Office 제품군에서 발견된 것을 확인 할 수 있습니다. 물론 알려진 것 만입니다. 알려지지 않은 취약성이 더욱 많겠죠.

 

<securityfocus의 MS 관련 취약성>

 

https://www.youtube.com/watch?v=x1OF1BH0HhM

< MS Word Zeroday Attack에 대한 Youtube 동영상>

 

빌의 자신감은 충분히 이해합니다. 그러나 운영체제와 Application은 다르다고 생각합니다. 운영체제에서 모든 Secure한 구조 위에서 Application을 운영하고 통제를 한다면 이것은 진정한 All in One 이자 MS Emperor라 부를 수 있을 것입니다. 하지만 완전한 것은 없습니다. 운영체제의 보안이 하나 흔들리게 되면 모든 Application도 흔들리게 됩니다. Application 접근을 위해 통제가 가능한 PatchGuard 라는 방안도 만들어 두고 있으나 장기적 관점에서는 MS의 의도는 중대한 실책에 부딪힐 수 있을 것입니다. 자사가 만든 모든 Application의 변환은 그리 원활하지 않을 것이고 지금까지 투입된 것 보다 휠씬 더 많은 가치를 투입하고 긴 시간이 소요 될 것입니다. 이 간극의 시간에 많은 문제들이 발생 할 것이고 또한 Vista Protection도 깨질 것으로 보입니다. 확실 하다고 할 수 있습니다.

 

SAAS & SAAP의 충돌 ( 구글과 MS ? )

 

SaaS ( Software as a Service ) Saap (Software as a Product) 의 충돌이 이제 곧 예상이 됩니다. 올해부터 시작이 될 것으로 보입니다. SaaS의 선두 주자는 구글이고 Saap MS가 되겠죠. SaaS는 근래에 회자 되고 있는 용어이나 Saap는 방금 제가 급조한 용어입니다. ^^ ; Product 관점에서 접근하는 MS Service관점에서 접근하는 구글을 가르는 키워드는 Security 입니다. 두 패러다임을 이끌고 있는 기업 모두 직면한 과제라고 할 수 있습니다. Product 관점의 MS OS에 모든 것을 포함하려는 첫 시도가 Vista이고 많은 노력을 기울였지만 전체적인 관점에서 Trustworthy Computing Initiative는 아직 갈 길이 멀다고 봅니다.

 

빌이 역설한 Vista의 보안성 강조 부분에서 읽어 낼 수 있는 부분을 최대한 읽어 보았고 향후 양대 세력의 움직임을 어설프나마 예측해 보았습니다. 또 빌의 호언장담은 그리 만만치 않은 현실 속에서 많은 어려움을 겪게 될 것입니다. 아쉽게도 큰 흐름을 주도하는 두 세력 모두가 미국 회사라는 점이죠. 이런 거대 경쟁 속에서 발전을 하고 새로운 흐름을 주도하는 것이 부러울 따름입니다. 우리도 끊임없이 노력하다 보면 언젠가는 새로운 흐름을 선도 할 수 있을 것입니다. 지금은 틈을 노려야 할 때..

 

- 바다란 세상 가장 낮은 곳의 또 다른 이름. P4ssion

 

* 빌게이츠가 제 친구는 아닙니다. ^^; 서양 스타일 대로 호칭한 것이니 별다른 오해 없으셨으면 합니다. ^^;


 

 

 

 
Posted by 바다란

안녕하세요. 바다란입니다.

 

어제 못다한 이야기들을 연이어 써보도록 하겠습니다.

먼저 오늘자 기사를 보다보니 트로이 목마 증가라는 기사가 나오고 있습니다. 한번 읽어 보시면 좋을 것 같습니다.

 

http://news.naver.com/news/read.php?mode=LSS2D&office_id=029&article_id=0000161964&section_id=105&section_id2=283&menu_id=105

 

* 인터넷 뱅킹의 공인인증서 적용 부분에 대해서는 타 OS로도 확장이 되어야 한다는 점에 동감합니다. 그러나 현재 적용된 보호를 위한 ActiveX 프로그램에 대해서는 일반적인 ActiveX를 통한 폐해의 관점에서 보기는 어렵다고 생각합니다.

자유이용에 대한 권리와 현재 포스트에 기술하고 있는 ActiveX 전체의 무용론에 대한 시각은 다른 시각입니다.

 

일단 저는 개발과 관련된 업종에 있지도 않으며 해당 프로그램들과의 이해관계가 전혀 없다는 사실을 명확하게 하는게 좋겠습니다. 미리 설명을 드려야  객관적인 시각으로 보는 것을 이해 하시지 않을까 생각 되네요. [ 블로그의 지난 글들을 읽어 보셔도 쉽게 아실 수 있습니다.]

 

Vista를 통한 기대효과?

 

자.. 지난 포스트에서는  대중성 확보를 통한 생활의 향상이라는 서론이 길었는데 지금의 위험 요소를 짚어볼 필요가 있을 것 같습니다. Vista의 사용자 권한 제어 부분을 통하게 되면 지금과 같은 무변별한 ActiveX를 이용한 악성코드 및 스파이웨어 등이 대부분 줄어들게 됩니다. 악성코드에 감염이 되었거나 스파이웨어를 유포하는 사이트에 들어가도 Alert 창이 활성화 되며 경고를 하게 되겠죠. 따라서 사용자는 부지불식간에 시스템에 설치가 되는 스파이웨어 및 악성코드의 위험을 사전에 인지하게 되고 당연히 피해는 줄어들게 됩니다.

 

사용자의 관점과 서비스 제공자의 관점에서 볼 필요가 있는데 사용자의 관점에서는 위험요소가 줄어들게 됨에 따라 보다 더 안전하게 볼 수가 있을 것입니다. 그렇다면 Vista상에서는 어떤 것이 증가할까요?. 사용자의 선택을 흐리게 하기 위한 phishing 관련 공격이 매우 증가 할 것입니다. 즉 자동 설치가 되는 ActiveX의 유형은 줄어 들겠으나 프로그램 설치 형식으로 되어 있거나 페이지를 속여서 사용자의 정보를 입력케 하는 피싱 공격 유형이 대단히 많이 증가 할 것입니다.  [ 피싱에 대해서는 전세계 모든 회사가 피싱 관련 DB를 공유한다 해도 발견 속도보다 개설 및 제작 속도가 더욱 빨라서  감당이 어렵습니다.]

 

Vista 사용자를 제외한 하위 버전의 운영체제에 대한 공격은 지금까지와 동일하게 유지가 될 것입니다. 여전한 ActiveX를 이용한 스파이웨어 및 악성코드들이 있을 것입니다.

 

Secure Vista?

 

간단하게 검색하여 언론에 나타난 Vista의 취약성 관련 기사들 입니다.

http://www.msnbc.msn.com/id/16359568/

 

http://news.naver.com/news/read.php?mode=LSD&office_id=031&article_id=0000099401&section_id=105&menu_id=105

< Vista의 음성인식 부분의 보안결함에 대한 기사>

 

Vista라고 완전한 것은 아닙니다. 사용자 권한을 이용하려는 부분에 대해서 Alert이 뜬다는 점과 커널에 대해 Protection이 된다는 점에서 보안기능이 강화 되었으나 세상 어느 것이나 완전한 것은 없습니다. 지금 이 순간에도 Vista의 실제 하위 구성 부분까지 낱낱이 분석을 진행하는 공격 그룹들은 매우 많이 있습니다.

예전에는 취약성을 발견하면 벤더들에게 연락하여 취약성을 수정하는 패치 발표 이후에 취약성을 공개 하였으나 이제는 그 방향이 바뀌어 있습니다.  금전적인 이득을 목적으로 취약성을 발견하는 것이 대부분입니다. 더이상 로멘스는 없다는 이야기 입니다.

 

루마니아의 한 전문가가 발견된 Vista의 보안 취약성은 경매에서 5만불의 가치가 매겨졌으며 최근 외국의 보안 회사는 Vista의 취약성을 발견한 사람들에게 8000불 가량의 금전을 지불한 사실이 존재합니다.  빌게이츠는 Vista를 통해 그동안 MS에 덧씌워진 취약성과 문제의 온상이라는 굴레를 벗어나고 싶어하나 그리 쉽게 되지는 않을 것 같습니다.

 

Vista를 사용한다고 해서 보안패치가 나오지 않을 것 같습니까?. 현재의 논의대로라면 Vista상에는 보안패치가 나와서는 안됩니다. 그만큼 치명적인 문제는 없을테니깐요. 올해안에 Vista 운영체제에 대한 보안패치는 나옵니다. 그만큼 완벽한 솔루션은 없다고 단언할 수 있습니다. MS는 지난해 까지 많은 요소 보안 기술 회사들을 인수 하였습니다. [sysinternal 외에 Anti spyware 업체 , 소규모 백신 업체 ] 그리고 MS의 전략은 LiveOnecare 에서도 확인 할 수 있습니다. [ http://news.naver.com/news/read.php?mode=LSD&office_id=092&article_id=0000008770&section_id=105&menu_id=105 ]

Vista상에서 발생하는 보안 이슈에 대해서는 MS에서만 처리가 가능하고 대응이 가능하도록 만들려는 전략이 그들의 방향입니다. 보안에 관련된 시장을 인식하고 이 부분에 대한 독점 체제도 유지 할려고 하고 있다는 것이 제가 보는 사견입니다.

 

만약 Vista에 심각한 결함이나 웜이 발생 되었다고 할때 이것에 대한 대응도 근본적으로는 MS에서만 처리가 가능하고 MS와 협력 구조를 형성한 몇몇 업체에만 권한이 부여 될 수 있을 것입니다. 그래서 시만텍이나 맥아피, 트렌드와 같은 대형 보안업체들이 반발하는 것일 수 있습니다. 이 중에 여타 중소 업체나 규모가 작은 틈새의 보안 업체들은 끼일 방안이 없습니다. 독점은 더욱 심각해지고 치명적인 부분의 대응도 손 놓고 기다릴 수 밖에 없는 상황이 올 수도 있습니다. 물론 제 상상이고 생각입니다.

 

환경의 다름과 변화

 

해외에서는 몇년 전 부터 지금까지 계속해서 피싱 관련된 이슈가 매우 많았습니다. 또한 국내는 해외의 상황과는 사뭇 다른 백도어 및 악성코드에 대한 공격이 매우 많았습니다. 왜 해외에서는 피싱이 유행을 하였을까요?. 발생 현황이 다른 것은 배경이 다른 점에 있습니다.

 

[ http://www.ciphertrust.com/resources/statistics/phishing.php  ] - 피싱에 대한 최근 통계 자료 입니다. 보시면 ebay,paypal에 대한 피싱 공격과 은행에 대한 공격 유형이 많은 것을 볼 수 있습니다. 과연 성공가능성이 없는데도 몇 년간 계속 이런 추세가 계속 되고 있을까요?

 

해외는 아직 주요한 금전거래의 직접적인 인터넷 거래 등이 활성화 되어 있지 않습니다. 활성화 된 부분에 대해서는 매우 집중된 공격이 이루어 지고 있습니다. 페이팔에 대한 직접적인 피싱및 Fraud는 높은 비율을 차지 하고 있는 것이 이 내용을 반증 합니다. 또한 신용카드에 대한 거래도 카드번호 , 기한을 입력하는 것으로 끝입니다. 그만큼 신용카드 정보의 유출은 큰 영향을 미치는 부분이라 할 수 있습니다. 또한 이런 사고로 인해 발생되는 정보도 통계치에 제대로 잡히지 않는 상황이라고 볼 수 있습니다. 그에 반해 우리는 어떤가요?

신용카드이든 뭐든 모든 거래에 인증서를 기반으로 합니다. 카드입력이 된다 하여도 인증서의 보유 및 인증서 비밀번호 입력을 넣어야 됩니다. 따라서 공격을 하는 사람들도 실제의 키 입력을 다 가로채어 간다고 해도 인증서 파일을 가지고 있어야만 금전적인 도용이 가능합니다.

 

*관련 내용은 블로그 게시물을 참조 하시면 좀 더 쉽게 이해가 될 것입니다.

  http://blog.naver.com/p4ssion/50013425045

 

2005년 부터 국내의 사이트에 대한 공격이 급증을 하였습니다. 그러나 해외의 공격과의 차이점을 보면 해외는 피싱을 하기 위한 사이트 유도 및 이메일에 대한 조작등이 많았으나 우리나라에는 유명 사이트에 대한 직접 공격 -> MS의 취약성을 통해 설치가 가능한 악성코드 배포 -> 사이트 방문자 모두에게 취약성에 노출 되었다면 감염 -> 사용자의 키입력 정보 유출  이런 유형으로 볼 수 있고 지금도 동일한 유형입니다. 해외의 사이트에서는 아직 유명 사이트 해킹 한 이후 특정 취약성을 통해 유포되는 악성코드는 그리 많이 찾을 수 없습니다. 왜 이렇게 되었을까요?  이 부분에 대한 대답은 나름대로 다음과 같이 할 수 있습니다.

 

금전적인 이득을 얻을 수 있는가? 라는 질문에 우리는 해당이 되고 해외는 해당이 안되기 때문입니다. 인터넷 사용자의 절반 이상이 온라인 게임을 하고 인터넷 뱅킹을 합니다. 그리고 금전적인 거래 관계가 온라인으로 상당부분 진행이 되고 있고 온라인 상의 생활이 많이 있습니다. 따라서 보호 방안을 가지는 것은 당연합니다.

 

 

 

대중성과 ActiveX의 관계

 

대중성을 확보하기 위해 빠른 인터넷 확산과 세계에서 사례가 없을 만큼의 빠른 실생활의  적용이 있었습니다. 그리고 이를 통한 근본적인 생활을 변화 시켰다고 할 수 있습니다. 근 10년내에 이루어진 대규모 패러다임의 전환이라 할 수 있습니다.

생활 환경이 변화됨에 따라 더욱 편한 것을 추구하는 사용자들은 인터넷 환경에 빠르게 접속이 되었으며 모두가 security에 대해서 몰라도 기본적인 사용법은 쉽게 접근 할 수 있도록 되어 있습니다. 위의 단락에 언급은 되었지만 모든 인터넷 사용자들이 보안 전문가가 아닙니다. 또한 지금의 위협은 보안전문가라 하더라도 악성코드 및 백도어들이 침입 하였을 경우 [ 감지 하는 것도 어렵습니다. ] 해당 악성코드를 제거 하거나 백도어를 제거 하는데 많은 시간과 노력이 필요합니다. 일반 사용자들은 어떨까요? 거의 대책 없다고 볼 수 있습니다.

 

 백신 및 보안 제품은 그래서 이용을 합니다. 그러나 모든 사용자들이 백신을 이용하지는 않으며 보안제품을 이용하지도 않습니다. 백신마다 각각 다른 탐지들이 있고 탐지가 안되는 경우도 있습니다. 따라서 공통적인 대응과 빠르고 일괄적인 대응이 필요한 부분이 있습니다.

대중적 편리성을 유지 하면서 문제점들도 해결 하기 위해 기본적인 보안대책들이 강구 되었다 할 수 있습니다.

 

금융 서비스를 제공하거나 사용자에게 중요한 컨텐츠를 지니고 있는 곳일 수록 사용자의 개인적인 피해가 누적이 되면 기업이나 서비스의 손실로 직접 연결이 됩니다. 사회적 통념이나 언론상 문제의 발생 기준을 개인에 두는 것이 아닌 기업이나 서비스 제공자에게 책임을 묻는 분위기가 지금까지 있어왔었기에 서비스를 제공하는 업체는 보안에 대한 대응을 할 수 밖에 없습니다.

 

연세 드신 어르신 부터 미취학 아동들까지도 현재 인터넷 환경을 이용하고 있습니다. 보안의 적용은 Active하게 진행하는 것이 필요하고 사실 필요 하였습니다.

키보드 입력을 가로채는 악성코드 [ 근 2년 동안에만 수천 종류가  발생 하였습니다. ]를 막기 위한 키보드 보안 솔루션  , 개인 사용자의 정보를 빼내어 가기 위한 프로세스가 활성화 되어 있는지 확인 하기 위한 온라인 백신 , 외부와 연결이 되어 있는 지 확인을 하기 위한 온라인 방화벽 등등.. 다양한 ActiveX들이 있습니다.

이 모든 기능들은 시스템 단위의 입력 및 정보 노출까지 찾아내고 제거 하여야 함으로서 시스템 권한이 필요합니다. 

 

대중적인 편리성을 기본 목적으로 삼고 서비스를 확대하고 활용 하였으나 그 부작용으로 악성코드 및 백도어들이 대폭 증가한 결과가 나오게 되었습니다. 그리고 폭넓게 퍼진 문제를 해결하기 위해 모든 사람이 백신이나 보안제품을 구매하지 않아도 거래를 안전하게 할 수 있도록 중요 거래 사이트나 컨텐츠가 있는 사이트의 경우 ActiveX를 활용한 보안 솔루션의 사용이 일반화 되어 있습니다.

 

1.25 대란은 보안패치가 되어 있지 않아서 발생된 부분입니다. 그 이후에도 보안패치는 개인 사용자 단위에서 거의 진행이 되지 않았습니다. 왜냐하면 귀찮아서 입니다. 사실이 그렇습니다.  2005년 부터 발생된 주된 악성코드 나 백도어의 침입 경로는 ActiveX가 아닌 MS의 주된 취약성을 공격하여 사용자 PC에 설치가 되었습니다. 주된 문제 발생 경로는 ActiveX가 아니라고 볼 수 있습니다. 물론 스파이웨어의 경우는 다릅니다. 지금은 정부기관이나 일정 레벨 이상의 컨텐츠를 보유한 사이트에서는 자동으로 보안 패치도 해주고 있습니다.  물론 ActiveX를 이용한 부분입니다.

 

White ActiveX와 Black ActiveX를 구분할 필요가 있으며 모든 ActiveX에 대해서 Anti한 입장을 가질 이유는 없다고 봅니다. 현재 우리가 처한 위협상황에 비하면 대응 수단은 거의 없다고 볼 수 있습니다.  보다 더 발전되었고 실험적인 상황을 진행 하고 있다보니 모든 첨단화된 공격들은 한국에 집중이 되고 있습니다. 일선에서 바라보면 세계 전체의 공격 동향과 비교 하였을때 전체적으로는 6개월 이상 정도는 공격 트렌드가 앞서고 있음을 확인 할 수 있습니다. 물론 세부 부분으로 들어가면 다를 수 있지만 최소한 개인 영역에 미치는 공격의 기술은 6개월 정도는 앞선다고 판단 됩니다. 

IT 강국이라는 트렌드 하에서 얻는 이점의 수면 아래에는 위와 같은 상황도 존재하고 있음을 아시는 것도 필요합니다.

 

Black ActiveX : 악의적인 행동 , 스파이웨어 , 무분별한 설치 유형등등

White ActiveX : 보안 강화를 위해 설치 되는 것들 , 방화벽 , Anti Virus , 보안 패치 등등

 

 

정리 하겠습니다. 계속 질질 끄는 것 같습니다.

 

현재의 인터넷 환경은 완전하게 안전한 이상적인 환경이 아닙니다. 그만큼 많은 문제들이 있고 실제 발생하고 있습니다.  따라서 대안책도 존재하여야만 하고 고려가 되어야만 합니다. 지금까지 발생된 악성코드의 절대 수치 및 기술적인 레벨로만 보아도 세계적인 수준에 해당하는 공격들이 많이 유입이 됩니다. 그만큼 서비스의 다양화와 활발한 온라인활동에 따른 위험도도 높습니다.

 

무분별한 ActiveX에 대한 비난도 옳지 않으며 표준 준수에 대한 논의도 반드시 정답이라고 볼 수는 없습니다. 상황에 따라 필요한 부분은 인정 해야만 합니다.

현재의 현상을 파악하고 배경을 분석한 다음 왜 이런 현상들이 벌어질 수 밖에 없었는지 고민이 되고 향후의 과제와 개선을 위한 점들은 어떤 것들이 있는가? 하는 긍정적인 고민을 해야 할때가 아닐런지요?

 

공인인증서의 타 운영체제 허용은 반드시 고민 되어야 되는 부분입니다. 그러나 ActiveX에 대한 부분도 인정 할 것은 인정 해야만 됩니다. 세계 그 어느나라에도 발달 되지 않았으나 유독 한국에서만 강력하게 발달된 부분이지만 환경에 특화된 발전으로 부분 긍정은 필요합니다.

 

대중의 보호를 위한 ActiveX도 존재하고 이득을 얻기 위한 악성코드 형의 ActiveX도 존재 합니다. 지금의 대중적인 환경이 빠르게 다른 운영체제로 넘어갈 가능성은 없습니다. 그렇다면 정확한 현상 파악을 하고 과제를 도출 하면 됩니다.  그것이 더 바람직하지 않을런지요? 그리고 대중적 편리성에도 부합을 하는 것일테구요.

 

전체적인 설명과 주요한 개요들을 일정 수준 적었으므로 대안은 보다 쉽게 나올 수 있을 것입니다. 방향성은 고민이 필요합니다. 제가 여기에 바로 적을 수 있는 그런 부분은 아닌 것 같습니다.  칼로 자르듯이 바로 그을 수 있는 부분이 아니기에 더더욱...

 

* 기반된 악성코드 유형 및 침해사고 유형등에 대해서 확인 하고 싶으시면 Blog에 올려진 자료들이 있으니 참고 하시면 됩니다.   추가 내용이 필요하다면 다시 포스팅 하도록 합니다. ^^

 

- 바다란 세상 가장 낮은 곳의 또 다른 이름 .. p4ssion

Posted by 바다란

* 본 포스트는 왜 그렇게 밖에 할 수 없었는가에 대해 생각해본 내용입니다.

 

안녕하세요. 바다란입니다.

 

ActiveX에 대한 논란이 가열 되고 있습니다. 그러나 표준을 지켜야 한다..그리고 기술종속이다 라는 측면에서의 문제점 부각만 되고 있는 것 같습니다. slashdot을 비롯한 해외 블로그 포스팅들이 MS에만 집중화된 환경에 대해서 조롱하는 뉘앙스가 많이 보이고 있는데 조금 다른 시각에서 보도록 하겠습니다. [ 지난번 포스트에서 약속(?)한 ActiveX에 대한 글입니다.]

 

결론을 먼저 말씀 드리면  목적에 맞는 활용이 가장 중요한 부분이며 그러한 활용을 대한민국은 가장 효율적으로 활용 했다고 할 수 있습니다. 

Vista에서의 ActiveX가 왜 문제가 되는가 하는 부분은 보안적인 이슈가 가장 크다고 봅니다. 사실상 잘못된 인식의 오류가 Vista에서는 모든  ActiveX가 실행이 되지 않는다고 생각하는 점이 오류라고 볼 수 있습니다. ActiveX가 실행은 됩니다. 코드의 수정이 이루어 지면 충분히 가능합니다. 그러나 명확한 본질은  시스템의 권한을 이용하는 ActiveX의 사용에 문제가 있는 것입니다. 권한 문제는 보안의 문제라고 볼 수 있습니다.  왜 보안의 문제이고 왜 지금의 상황이 초래 되었는지에 대해서 이야기 해보겠습니다.

 

 

http://it.slashdot.org/article.pl?sid=07/01/26/1455224

http://www.kanai.net/weblog/archive/2007/01/26/00h53m55s#003095

 

위의 링크는 해외 이슈에 대한 블로그 및 의견 관련된 글입니다.

 

사견을  말씀 드리면 해외의 상황과 지금 우리의 상황은 다르다는 이야기를 드리고 싶습니다. 그리고 해외 언론이나 의견에 대해  일희일비할때는 충분히 지나지 않았는가 생각 됩니다.   

IT강국이라는 의미는 OS의 다양성에 대한 인정 보다는 IT라는 하나의 도구를 활용하여 얼마나 많은 생활에 접목을 시키고 활용을 하고 실생활을 낫게 만드느냐 하는 점에서 바라 보아야 한다고 생각 됩니다.

 

인터넷 뱅킹을 예를 들면.. 이제 더 이상 금전 납부 및 이체를 위해 은행을 방문 하지 않습니다. 분명히 생활상의 개선과 편리, 비용의 절감이 이루어 졌습니다. 뱅킹을 이용하기 위해 분명한 본인 확인이 필요했고 본인확인의 과정에서 공인인증서라는 것이 이루어 졌습니다. 이런 안전하다고 보장된 인증매개체를 통해 금전 거래가 이루어 지는 것입니다. 물론 정책상 특정 OS 및 특정 환경에 의존된 부분은 분명한 문제라고 여깁니다.

 

그렇다면 왜 특정 OS 및 특정 환경에 의존하게 되었을까요?. 이 부분은 지원 문제와 대중성 , 접근성 때문이라고 정의 할 수 있습니다.

 

MS의 시행착오도 많지만 가장 큰 성과는 컴퓨터라는 도구를 생활속에서 보다 친숙하고 쉽게 접근 하도록 운영체제를 만들었다는 것에 있습니다. 보다 뛰어난 운영체제는 지금껏 있어 왔으나 대중에게 접근이 쉬운 운영체제는 현재로서도 MS의 윈도우즈 플랫폼이 뛰어 나다고 봅니다. 프로그래머나 IT 관련 기반지식이 있는 사용자들에게는 리눅스 플랫폼이 더 뛰어나고 개방성이 있고 조율이 가능하나 모든 사용자에게 해당이 되는 것은 아닙니다.

 

http://news.naver.com/news/read.php?mode=LSD&office_id=034&article_id=0000346696&section_id=105&menu_id=105

[ 2.1일자 기사 입니다. 인터넷 인구는 3400만 이고 4~50대의 사용비가 증가 하였다고 합니다. 이런 사용비의 증가가 과연 대중성이 없는 운영체제 상에서 가능 하였겠습니까? 과연 리눅스로 이 정도의 대중성을 확보 하는 것이 가능 하였을까요?  ]

 

보다 쉽고 보다 접근이 쉬운 부분. 그 요소를 파악 했기 때문에 대중화가 이루어 진 것이고 한국의 발전 과정에서 보듯 IT 부분에서도 상당한 압축성장이 이루어 졌고 그 매개체는 대중화가 가능한가? 그리고 지원체제의 일원화를 통해 효과가 가장 큰 부분은 무엇인가에 역점을 두었습니다.  그래서 대중성이 높은 운영체제에 대한 지원체제 일원화가 이루어 진 것이죠.

 

90년대 후반 국내의 상황에서 기술의 깊이 보다는 대중성을 통한 적용 범위의 확대 -> 적절한 도구의 선택 [ 대중성 측면에서 MS 솔루션 선호] -> 지원의 집중 [ 이부분에서 다양한 경로를 차단한 것이 실책일 수도 있습니다.]  기반기술을 완벽하게 지닌 것도 아니고 그렇다고 투입 가능한 자원이 무한정인 것도 아니여서 지원에 대한 집중은 어쩔 수 없는 면도 있지 않았을까 생각 됩니다.

 

 

설명이 길었습니다.  정책에 대한 옹호도 아니며 발생된 상황에 대해 왜 그렇게 되었는지에 대해 설명을 하다보니 길어 졌습니다. 본래는 ActiveX , Vista ,보안은 어떤 관계인가에 대해서 설명을 하고자 하였는데... 

 

가장 큰 책임의 주체는 Web을 통한 Active한 컨텐츠의 표현과 기능 구현을 위해 고안된 ActiveX 의 많은 권한 허용입니다. MS의 사상적인 기반과 관련이 있겠지만 인터넷을 통해 모든 것이 가능하게 만드는 방향성과 관련이 밀접한 기반기술중 하나 였을 것입니다. 

 

그 다음은 특정 OS에 한정된 실행 한계의 설정이라고 할 수 있습니다. [ 이 부분은 지원의 집중 차원에서 초기에는 큰 방향에서 타당성이 있다고 보입니다. ]

 

 - to be continue..

 

*보안부분과 Vista , ActiveX에 대한 내용은 길어져서 글을 분리하여 다음 포스팅에 게시 하도록 하겠습니다. 인터넷 뱅킹 , 대중성 , 보안 이 이슈로 묶이는 포스트라 상황에 대한 설명이 필요 한 부분이라 적었습니다.

 

 

Posted by 바다란
 

* 최종편입니다. 결국 Vista의 확대에 따라 온라인게임의 어뷰징은 현상태에서 심각하게 나타날 수 있으며 대응 방안도 뚜렷하지 않다는 점에서 게임산업계에 문제를 일으킬 수 있을 것으로 보고 있습니다. 게임의 구조를 보다 더 Secure 하게 바꾸지 않는다면 문제가 심각해 질 것으로 보입니다.

 

*논문 제출 이후 발견된 특징적인 사안은 색으로 구분하였습니다.

 

3.     Vista™ 보안과 온라인게임

3.1 Vista™ 보안기능

Vista의 출시와 더불어 Microsoft사에서 가장 강조한 부분은 보안성의 강화라고 할 수 있다. Vista에 포함된 보안 기능은 무엇이 있으며 어떤 역할을 하는지 간략하게 살펴보도록 한다. 제품 출시와 더불어 대대적으로 홍보가 된 보안기능은 UAC (User Access Control ) 기능과 ActiveX의 실행제한 부분을 꼽을 수 있다. 중요한 부분은 구조적으로 시스템에 접근할 수 있는 영역을 제한하고 권한을 제한했다는 점에 있다.  일반적인 사용자 권한과 시스템의 관리자 권한을 분리 시켜 두고 실행 권한까지도 제한을 두고 있다는 점이 가장 강화된 기능이며 권한 제어 기능에 따라 ActiveX에 대한 실행 모듈들도 변경이 될 수 밖에 없다. 지금까지는 시스템에 접근 할 수 있고 설치가 웹을 통해서 진행 될 수 있도록 ActiveX가 프로그래밍 되어 있었다면 ActiveX에 대한 설치 이슈는 시스템적인 접근을 상당부분 배제하는 유형으로의 접근으로 전환이 되어야만 한다.

국내에서 발생하는 ActiveX 관련 이슈는 대부분 기능의 제한과 시스템에 접근하는 실행모듈 부분의 변경에 따라 일정 수준 이상 해결 될 수 있는 부분이다.

 

Vista의 권한 모델은 총 5가지로 나눌 수 있다.

System ,High , Medium , Low , Untrusted 5가지 유형으로 권한을 나눌 수 있다. Explorer의 경우에는 Medium 권한이 주어져 있고 IE의 경우에는 Low 권한이 주어져 있다. ActiveX를 활용할 경우 레지스트리에 대한 접근 및 파일 시스템에 대한 접근에서 권한 상승을 위한 UAC (User Access Control ) Alert을 볼 수 있다.  그림 8에서 UAC의 실제 모습을 볼 수 있다. 즉 권한에 따른 실행 및 설치에 대한 제어를 명확하게 한다는 의미라고 볼 수 있다. 지금까지는 사용자의 동의 없이 실행 되거나 최초 동의 (사용자의 선택에 의한 선별적 동의) 이후에는 지속적으로 실행이 되는 구조를 지니고 있었으나 현재 Vista IE의 제한 환경에서는 매번 실행 시마다 권한 상승을 요구하는 승인 창이 뜨게  된다.

 

사용자의 동의에 따라 최초 설치가 된 ActiveX라 할지라도 시스템에 접근할 경우에는 반드시 권한 상승을 요구하는 승인 창이 활성화 되는 것이 기본 개요라 할 수 있다.

 

그림 8. UAC (User Access Control)

 

그림 8. UAC (User Access Control) 에서 보여지는 UAC를 통한 강력한 권한 통제 부분은 사용자의 인식 없이 실행 되던 무분별한 ActiveX에 대한 폐해를 막을 수 있다는 점에서 긍정적이며 무분별하게 시스템에 접근하여 원하는 행위를 하도록 코딩이 된 ActiveX의 구조적인 환경 변화를 꾀할 수 있다는 점에서 긍정적이라 볼 수 있다.

 

지금까지처럼 사용자가 인터넷 환경에서 보안패치와 바이러스 백신에 의존하여 불안한 인터넷 사용을 할 수 밖에 없었다면 Vista IE에서의 UAC를 통한 권한 통제 부분과 ActiveX 실행제한 부분은 일정부분 안전한 환경을 보장해 줄 수 있다. ActiveX를 이용한 광고 솔루션 및 악성코드 부분은 Vista 사용시에 대폭 줄어들 수 밖에 없을 것이다.

 

다만 Vista의 취약성 혹은 IE7의 취약성을 이용한 새로운 공격이 나오거나 Vista에 탑재된 기본 Application (시스템 접근을 위한 권한을 지니고 있는 Application)에 신규 취약성이 발견될 경우는 문제가 된다. 악성코드 설치 유형이나 사용자에게 피해를 입히는 유형이 ActiveX 유형만 존재하는 것이 아니며 System 권한 획득까지 가능한 취약성의 유형은 매우 심각한 위협을 발생 시킬 수도 있을 것이다.

취약성을 이용하는 직접적인 공격은 IE가 가지고 있는 Low Level 권한에서 권한 상승을 시킬 수도 있으며 사회적인 해킹 방법을 이용하여 사용자를 속일 경우 일시적인 권한 획득이 가능한 문제들은 계속 될 수 밖에 없다. 피싱에 대한 위험요소도 이전의 운영체제와 동일하게 유효하다.

 

보안상 가장 안전하다고 적극 주장 한 제품이지만 그 어떤 제품이라도 완벽 할 수 없다. 2007 1월에는 Graphic Rendering Engine 기능을 수행하는 시스템 파일에서 원격에서 실행이 가능한 취약성이 발견되어 공식적으로 Vista 상에서 발표된 보안패치 1호가 되었다.

 

그림 9. Vista security vulnerability

 

그림 9. Vista security vulnerability 의 내용은 SecurityFocus 사이트의 BugTraq에 올려진 일반적인 취약성 항목에서 Vista로 검색을 한 내용이다. Vista의 내부 시스템과 직접 관련이 있는 심각한 취약성은 아직 발견 되지 않았으나 Vista 상에서 기본적으로 실행이 되도록 포함이 된 기능들에서 문제가 발견이 되었으며 외부에서 명령 실행 및 권한 획득이 가능한 문제들이 발견이 되었다.

 

주의 깊게 보아야 하는 부분은 공식적으로 발표된 Vista의 보안패치는 2007 1월에 발표가 되었으나 (http://www.microsoft.com/downloads/details.aspx?familyid=228f2cdc-7148-4002-86bb-e4ade080ea86&displaylang=en )  취약성에 관련된 항목은 2006 10월에 WMF 파일에 대한 Graphics Rendering Engine  Code Execution  문제에 대한 패치와 관련이 있다. Windows 계열의 모든 운영체제에서 문제가 발견이 되었으며 Vista에서는 Vista December CTP 버전에서 문제가 발견이 되었다. 물론 사용자에게 출시된 버전에서는 문제가 수정된 상태에서 출시가 되었다.

 

WMF 파일 처리 루틴에서 발견된 취약성의 의미는 운영체제 위에서 실행되는 Application에 대한 취약성은 운영체제의 구조가 변경 되어도  완전히 새롭게 개발이 되지 않는 이상 동일하게 유지가 된다는 점이다. 사실상 운영체제에서 커널 부분을 제외하고는 모두가 Application이라 할 수 있다. 그리고 운영체제 위에 설치가 되는 프로그램들도 모두 Application이라 할 수 있다. 그림 9. Vista security vulnerability에 나타난 취약성들은 운영체제에서 기본으로 설치가 되는 Application에서 문제가 발견이 된 것이라 할 수 있다. 앞으로 더욱 많은 취약성들이 발견이 될 것이고 현재의 Vista의 보호대책으로는 이전의 운영체제들이 그러 하였듯이 보안패치를 통해서 문제점들을 해결 할 수 있을 뿐이다.

* Application에 대한 정의와 취약성의 발견에 대해서는 지금 이 글을 포스팅 하는 시점에서는 너무나도 빨리 증명이 된 부분이다.

 

3.2   Vista 온라인게임

 

온라인 게임에서 발생되는 위협의 요소들을 설명을 하였고 Vista에서 제공이 되는 보안 기능과 나타나는 문제점들에 대해서 앞서 살펴 보았다. 사용자 입장에서 바라보는 관점과 서비스를 운영하는 입장에서는 보안상의 위험요소를 막는 다는 부분이 상반된 입장으로 제기되기도 한다. 현재 Vista가 지니고 있는 보안적인 요소들이 특정 서비스산업에는 향후 치명적인 영향을 줄 수도 있다고 보며 그 서비스 산업의 처음은 온라인게임이 될 수도 있을 것이다.

 

사용자의 보안 강화를 위해 Vista에는 보안기능이 추가 되었고 보안기능들은 광고를 하기 위한 spyware ActiveX를 이용한 악성코드들의 설치를 막을 것이다. 그리고 ActiveX를 부분적으로 이용하는 온라인게임들도 Vista호환코드로의 전환이나 기능에서 시스템적인 접근 요소들을 다 제외하고 동작하도록 전환이 될 것이다. ActiveX에 대한 대응은 이 정도 수준에서 충분히 처리가 될 수 있다고 본다.

 

대부분의 온라인게임들은 비교적 빠르게 새로운 운영체제와의 호환성을 갖추려 할 것이다. 온라인 상에서 이루어 지는 웹보드 게임 및 RPG 계열의 게임들 모두 새로운 운영체제에 대한 호환성을 조기에 확보하려고 노력을 할 수 밖에 없다. 지금까지 새로운 운영체제의 출시 때마다 온라인 게임 업체들은 호환성을 확보하기 위해 많은 노력을 기울여 왔다. XP 상의 SP2 배포의 경우에도 ActiveX의 자동 실행이 안 되는 부분으로 인하여 많은 변경들이 있었고 노력을 한 적이 있다. 새로운 운영체제 위에서 실행이 안 되는 부분은 일정 기간을 투입하여 소스코드를 변경할 경우 충분히 실행을 시키도록 할 수 있다. 그러나 가장 중요한  보안적 이슈 부분에 대한 고려가 빠져 있다. 악성코드에 대한대응 , Abusing에 대한 대응과 같은 측면에서는 다른 관점에서도 볼 수 있다.

Vista의 강력한 보안기능을 활용할 경우 사용자의 정보 유출 시도를 하는 다양한 ActiveX유형의 악성코드로부터 벗어날 수 있음에도 불구하고 현재의 현실은 그리 쉽게 정의 내릴 수 있는 것은 아니다.

 

현재의 상황에서는 많은 위험들로부터 사용자를 보호하고 악성코드에 대한 대응을 하기 위해 다양한 종류의 ActiveX 혹은 시스템에 접근이 필요한 솔루션들을 사용할 수 밖에 없었다.  온라인 상에서 동의를 받은 사용자에게 설치를 하고 자동으로 업데이트를 진행하는 보안패치 서비스와 게임 전용 백신서비스, Abusing 방지를 위한 게임보안 솔루션의 사용은 사용자 정보의 보호와 온라인 게임 서비스의 보호를 위해서는 필수요소중의 하나이다. 더 이상 충분조건이 아닌 필요조건으로서 보안 서비스가 존재하고 있다. Vista에서 보강된 보안 기능은 매우 미흡한 기능으로서 온라인 게임 서비스의 문제들을 해결 할 수 없다. 그리고 개인정보보호의 관점에서도 큰 효과를 기대 할 수 없다. 개인 사용자의 PC 상에서의 ActiveX의 실행제한과 시스템에 대한 접근 제한은 애드웨어와 ActiveX를 이용한 공격에 노출되는 것을 방지 하는 기능을 수행하나 전체 온라인 게임의 위험 요소들 중에서 애드웨어와 ActiveX를 이용한 공격이 차지하는 비율은 무시해도 좋을 정도로 낮은 비율이다.

 

향후 Vista 의 취약성은 계속 발견이 될 것이고 그 중에는 치명적인 취약성들도 반드시 발견이 될 것이다. 또한 운영체제에서 가동이 되는 Application에 대한 치명적인 취약성들도 계속 발견이 될 수 밖에 없다. 애드웨어와 ActiveX의 실행제한은 분명한 효과를 지니고 있으나 전체 위험요소에서 차지하는 비율은 낮으며 운영체제에 대해 직접적인 취약성을 공격하거나 Application에 대한 취약성 공격을 시도할 경우 UAC를 통한 권한제어는 깨어질 수 밖에 없다.

 

* 2007년 3월 발표된 ani cursor에 대한 권한획득 문제가 본 논의를 증명함을 알 수 있다.

 

온라인 게임에 영향을 미치는 또 한 가지 요소로서는 Abusing과 관련된 문제이며 개인 사용자 PC 단위에서 사용자가 직접 Abusing을 시도할 경우 당연히 공격자 이므로 권한 승인 창에서 High 권한을 주고 Abusing을 시도할 것이다. 온라인 게임에서는 지금까지 시스템에 대한 일정 수준의 제어를 하는 게임보안 솔루션으로 대응을 하였으나 게임 실행 시마다 매번 권한 승인 창이 활성화 된다면 접근성을 중요시 하는 게임으로서는 사용자의 이탈을 우려할 수 밖에 없으며 아마도 High 권한이 아닌 Medium 권한에 해당하는 기능만 수행을 하도록 할 것이다. 지금 온라인 게임에서 활성화 되고 있는 Abusing 유형들은 대부분 시스템에 대한 직접적인 조작을 통해 이루어 지고 있는 상황에서 Medium 권한으로 할 수 있는 Abusing 방지는 거의 없다고 볼 수 밖에 없다.

 

그림 10. 온라인 게임에서의 Abusing 대응

 

그림 10. 온라인 게임에서의 Abusing 대응에서는 현재 게임보안툴을 활용하여 온라인 게임상에서 차단하는 Abusing 유형들에 대한 차단 비율을 보여주고 있다. 전체 7가지 영역에서 일정 수준 이상의 차단 성능을 발휘하는 것들도 있으나 공격 기술의 발전에 따라 계속 새로운 영역이 발견되고 새로운 공격 기법들이 발견 되는 영역들도 다수 있다. 지금 적용이 되고 있는 High 권한 수준의 Abusing 대응책에서도 그림 10. 온라인 게임에서의 Abusing 대응 과 같은 부족한 면들이 나타나고 있는데 Medium 권한 수준으로 동작을 하였을 경우에는 전체 7가지의 Abusing 영역 대부분에서 차단 성능과 효율이 대폭 떨어 질 수 밖에 없다.

시스템에 대한 통제를 할 수 있는 권한이 부족하여 통제를 하고 Abusing에 대해 방지를 할 수가 없는 상황이다.  게임 실행 시마다 매번 승인 창을 활성화 시키고 권한 상승을 승인 한다 하여도 일회적인 성격이라 Vista의 확산 정도에 따라 온라인 게임에 대한 사용자 이탈을 고민해야 할 것이고 Abusing에 대한 대응 방안 부재로 인해 온라인 게임 업체들은 피해를 감내 할 수 밖에 없는 상황이라 할 수 있다.

 

온라인 게임업체에서 사용자의 정보 보호를 위해 시행하고 있는 보안 강화 프로세스는 일반적인 사용자가 간과하기 쉬운 부분을 보강해 주는 측면의 서비스로서 제공이 되고 있다. 백신 서비스와 보안패치 서비스가 예가 된다. 보안패치 서비스는 ActiveX를 통해 활성화가 되고 웹을 통해 접근하는 온라인 사용자에게 설치가 되도록 하고 있다. 백신 서비스의 경우에도 마찬가지이다. 백신과 보안패치 서비스 모두 시스템에 대한 일정 수준 이상의 권한을 지니고 있어야 되는데 현재 Vista의 보안모델 하에서는 일회적인 승인을 통해 지속적인 사용이 가능한 형태가 아니기 때문에 온라인 게임 서비스 업체에서는 보안 강화 프로세스의 시행에 상당한 부담을 느낄 수 밖에 없다. 사용자의 이탈과 보안서비스의 강화 측면에서 선택을 해야 하는 상황이 될 것이다.

 

4.     결론

 

지금까지 Vista 출시에 따른 효과와 현재 온라인 게임업체의 보안적인 위험요소와 현황에 대해서 정리를 한 결과를 보았다. 결론적으로 현재 사용자의 정보보호 측면에서의 Vista의 보안적인 효과는 한정적이며 한계를 지닌 효과라고 할 수 있다. 반면에 온라인 게임업체가 노출되는 위험요소는 Vista의 사용자 저변 확대에 따라 매우 심각하게 높아질 가능성이 있다.

 

효과적인 대책을 수립하지 않을 경우에는 향후 온라인 게임에 대한 Abusing 증가로 인해 심각한 피해를 입을 수 있으므로 단계적인 강화 조치와 운영체제 개발사에서의 특수성 인정이 필요하다. ActiveX의 활용 부분은 중요한 기술 이라는 측면 보다는 사용자의 웹 서비스 접근 환경에서 직접적인 효과를 실행 할 수 있는 접근 도구로서의 측면을 보아야만 한다. 사용자의 PC에 악의적인 소프트웨어를 설치하는 유형만 존재하는 것이 아니라 긍정적으로 활용되는 부분도 존재 하였으므로 다른 시각에서 바라보는 것도 필요하다. 운영체제 개발사의 적극적인 의지가 없이는 어려운 대책이 많은 관계로 향후에도 어려움은 지속되고 심화 될 것으로 보인다.

 

운영체제의 구성환경의 극단적인 변화는 특정 온라인 서비스 산업의 흥망과도 직접적인 관련이 존재한다. 특히 권한제어 부분에 대한 것은 상당히 민감할 수 밖에 없는 사안이다. 온라인 게임에 대한 Abusing 대응이 운영체제 개발사에 있는 것도 아니며 일차적으로 온라인 게임개발사에 책임이 있는 상황에서 현재 Vista에 적용된 보안모델은 일정 수준의 협의가 되지 않을 경우 문제가 될 수밖에 없으며 근 시일 내에 직접적인 영향을 미칠 것이다. ActiveX의 실행제한은 부수적인 문제이나 UAC를 통한 권한 승인 부분은 점진적으로 확대되는 문제라고 볼 수 있다.

 

온라인 게임 유저들을 정보유출로부터 보호하고 온라인 게임 서비스를 보호하기 위해서는 현재 활성화된 보호대책들을 선별하여 해당 보호 대책들이 적극적으로 활성화 될 수 있도록 협의 하는 것이 필요하며 적극적으로 노력 해야만 한다. 위험요소는 앞으로 새로운 운영체제가 대중화 될수록 심화될 것이다.

단기적으로는 악성코드 유형과 사용자 보호를 위한 유형을 구분 하는 방안 수립을 진행 하여야 하며 장기적으로는 특정 플랫폼에 편향된 방향을 극복하도록 노력하는 것이 중요한 과제라 할 수 있다.

 

온라인 게임에 대한 보안적인 측면에서만 보았을 때 현재 Vista의 출시는 악재에 가깝다고 할 수 있다. 장기적으로 좋지 않은 영향을 확대 시키는 악재이지만 지금 이 순간 눈에 보이지 않을 뿐이다.

 

위험성 확대 이전에 적극적인 해결책을 모색하는 것이 필요한 시점이다.

 

 

Posted by 바다란
 
- 이번 단락에서는 게임내의 Abusing 유형과 악성코드로 인한 피해를 간략하게 살펴보는 장입니다.
 

 

 

 

2.3.                        게임내의 Abusing유형

 

직접적인 해킹 이외에도 온라인 게임에 영향을 미칠 수 있는 보안적인 이슈로는 Abusing을 예로 들 수 있으며 각 Abusing유형은 특정 온라인 게임에 한정되어 발전이 되는 경향을 보이고 있다. 즉 특정 온라인 게임에만 특화된 Abusing 솔루션들을 통해 선의의 게임 사용자에게 영향을 미칠 수 있고 피해를 입힘으로써 사용자의 접근성을 떨어뜨리게 되고 정상적인 게임 사용자가 피해를 입음으로써 사용자의 이탈까지도 유발하게 되는 중요한 이슈가 된다.

게임 내에서 이루어지는 Abusing 영역은 다음과 같이 세분화 하여 나열 할 수 있다.

기술적인 부분과 작동 방식에 따른 분류이다. 가장 기본적인 부분은 온라인 게임의 실행 클라이언트 프로그램에 대한 Binary 분석과 실행구조의 분석을 통해서 이루어 지며 간단한 기술부터 전문적인 기술 영역까지 혼재하고 있다.

 

Memory Hack : 온라인 게임 클라이언트 프로그램에서 사용하는 메모리 주소를 조작함으로써 게임의 아이템 비율을 조작하거나 승부를 조작할 수 있는 유형

Macro: 사용자의 입력 없이 자동으로 게임을 진행 하도록 하는 유형

Speed Hack: 클라이언트 PC의 속도를 조작하여 게임의 속도를 조작하는 유형

Debugging: 게임의 로직을 분석하고 게임 클라이언트 내의 숨겨진 정보를 분석하여 활용 하는 유형

Packet Hack: 게임 클라이언트와 서버간에 주고 받는 패킷을 조작하여 게임을 컨트롤 하는 유형

Client Manipulation: 게임 클라이언트 프로그램의 변경 및 조작을 통한 컨트롤을 하는 유형

 

1. Abusing 방식과 대응

Abusing 유형

방식

대응

Memory Hack

Memory를 외부 프로세스에서 접근하여 조작함, 커널레벨에서는 타 프로세스 접근 가능한 점을 이용하여 조작

Memory Hack 관련 process의 접근 차단 , Memory I/O 관련 함수 Hooking 차단

Macro

키보드 및 마우스 이벤트를 프로그램적으로 발생 시키고 발생된 이벤트에 의해 게임이 반응

Port IO 모니터링 , Filter Driver 사용 , System Function call 차단 방식을 활용

Speed Hack

PIT (Programmable Interval Timer)변조 , Time 관련 함수의 Hooking

Time 관련 함수 Hooking 차단 , CPUClock을 검사하여 변조 감시

Debugging

OllyDbg SoftIce와 같은 Debugging 도구를 이용하여 조작

게임 실행 process hiding , 실행파일 변조여부 확인 , 실행파일 protect를 통한 차단

Packet Hack

Socket 관련 함수 Hooking , TDI , NDIS 등의 packet filter 활용

악의적인 process 접근 차단 , API Hooking 차단

Client Manipulation

Client에 다운된 게임 관련 파일의 직접조작 , 파일 관련 함수를 Hooking하여 조작

게임 실행 파일의 Checksum 검사 , 중요 기능에 대한 검토 이후 실행 루틴 적용등

 

Abusing 유형에 대해 대응 하는 방식은 표 1. Abusing 방식과 대응에서 기술된 것과 같은 유형으로 대응을 진행하고 있다. 그러나 표 1과 같은 다양한 Abusing 유형에 대해 대응 하기 위해 게임 클라이언트 프로그램 차원에서 protect를 하는 것은 매우 어려운 일이며 게임을 위한 게임 프로그램보다 차단을 하기 위한 프로그램적인 기능이 더욱 구현하기 어렵고 큰 영역을 지니고 있다. 따라서 일반적으로 다양한 Abusing 위험을 제거 하고 게임 클라이언트를 보호하기 위해 게임보안툴을 적용하는 것이 일반적이다. 게임보안툴의 적용은 게임 실행 초기에 실행이 되고 정상 상태를 확인 한 이후 게임실행 중의 Abusing 행위를 방어하는 역할을 수행한다.

 

 

그림 4 packet 조작을 위한 send 함수

 

그림 5. packet 조작을 위한 send 함수 변경

 

그림 4 packet 조작을 위한 send 함수, 그림 5. packet 조작을 위한 send 함수 변경에서는 packet hack을 위해 packet 전송을 하는 루틴을 debugger로 확인을 한 내용이다. 그림 4 packet 조작을 위한 send 함수에서 선택된 send 함수가 그림 5. packet 조작을 위한 send 함수 변경에서 packet을 가로채어 전송하는 packet manipulation 도구의 send 함수로 바뀌어 진 것을 볼 수 있다. 위와 같은 Packet Hack의 기능은 게임 실행 프로세스에 packet 전송을 가로채는 도구를 간단하게 Attach만 시키면 되는 조작 기법이다.

 

게임보안툴의 사용을 통해서 표 1. Abusing 방식과 대응에 기술된 다양한 영역의 Abusing을 방어하여 게임을 보호하고 있으나 공격 기술의 발전이 빨라 대응에 어려운 점이 있다. 게임보안툴의 사용 이외에도 게임의 구조를 서버 단위의 실행 구조로 변경 함으로써 대응을 하고 있으나 전체의 기능을 변경 할 수 없는 게임의 특성상 발전하는 Abusing에 대해 모니터링을 통한 감시와 게임보안툴과 게임 실행 구조의 변경을 통한 안정성 확보만이 주된 방안이라 할 수 있다.

 

1. Abusing 방식과 대응 의 대응 방식에서 보듯이 게임클라이언트는 사용자가 클라이언트 프로그램을 사용자의 PC에 다운로드 받고 설치 한 이후에 실행을 하는 구조이다. 따라서 사용자 시스템의 주요 기능들을 이용할 수 밖에 없다. Abusing 유형에서도 보듯이 시스템의 기능들을 이용하여 실제 클라이언트의 기능이나 효과를 변경 함으로써 게임에 영향을 미치는 것을 볼 수 있다. 게임보안툴의 사용은 사용자의 시스템에 일정부분에 대해 제한을 가하는 구조이며 시스템의 하위 권한까지도 충분히 부여가 되어야만 한다. Vista와의 충돌은 시스템 권한의 부여에서 시작된다.

 

2.4.                        악성코드를 이용한 사용자 정보 도용 위험

 

2005년 이후 온라인 게임업체 및 IT 관련 서비스 업체에 영향을 미치는 중요요소로서 사용자 정보를 유출 하기 위한 악성코드의 설치를 들 수 있다. 현재까지도 줄어들지 않고 있는 상황이며 향후에도 지속될 것으로 예상이 된다.

주된 악성코드의 유형은 사용자의 계정정보를 유출하기 위한 Key logging 기능이 일반적이며 사용자의 ID Password를 공격자가 지정된 장소로 전달 되도록 하는 유형이 가장 큰 피해를 입히고 있다.

Key logging 을 시도하는 악성코드를 유포하기 위해 국내 대규모 사이트를 해킹하여 다수의 사용자에게 유포하도록 함으로써 피해를 입힌 경우가 다수 존재 하였다. 사이트를 해킹한 이후 사용자 정보를 유출하는 악성코드를 해당 사이트에 접근 하는 사용자에게 Windows 취약성을 이용하여 자동 실행 되도록 하였으며 사용자의 ID/ Password를 유출하도록 동작 되었다. 그림 6. 악성코드 제거 결과 Hangame 전용백신은 한게임에서 제공하는 온라인 게임백신에서 탐지된 한게임 관련된 악성코드 제거 결과로서 한게임 사용자를 대상으로 한 악성코드를 제거한 결과이다.

그림 6. 악성코드 제거 결과 Hangame 전용백신

 

그림 6. 악성코드 제거 결과 Hangame 전용백신의 결과는 2006 9월에서 10월까지의 한달 가량의 탐지 결과로서 특정 기간에 탐지 횟수가 급증하는 것을 확인 할 수 있다. 결과가 급증된 구간은 대규모 사이트를 통해 악성코드가 사용자에게 유포된 이후 악성코드에 대한 분석이 완료 된 이후  한게임 전용백신을 통해 온라인 상에서 사용자의 PC의 악성코드를 탐지 및 제거한 내용이다.  최초 악성코드 발견 이후 평균 이틀 정도의 시간 간격으로 악성코드를 제거 하도록 업데이트를 하였는데 탐지 결과가 대폭 증가하는 것을 확인 할 수 있다. 그림 6과 같은 증가 유형은 전용백신 서비스를 시작한 2006 1월 이래 줄곧 반복되어온 유형이며 대규모 사이트가 해킹 되어 악성코드가 유포될수록 매우 많은 탐지 및 제거 결과가 나오는 것을 확인 할 수 있다.

 

현재에도 온라인 게임에 직접적인 위협이 되는 사용자 계정 유출 악성코드는 변형이 계속 나오고 있으며 기법적으로도 다양하고 수준 높은 공격유형들이 출현하고 있어서 대응이 어려운 면이 존재한다. 사용자의 PC에 설치된 백신의 경우 탐지 및 업데이트까지 걸리는 주기가 길어 실제적인 효과를 보는 것이 어려운 경우도 있다. 규모가 큰 온라인 게임사 이외에도 주요 온라인 게임 전체를 대상으로 하고 있어서 지금도 많은 계정 유출 피해가 우려 되고 있다.

 

그림 7. 온라인 게임에 대한 악성코드 공격 분석

 

그림 7. 온라인 게임에 대한 악성코드 공격 분석은 사용자 정보 탈취를 위한 악성코드의 실행 과정 및 진행 상황을 도식화한 것이다. 그림 7. 온라인 게임에 대한 악성코드 공격 분석의 설명에서 볼 수 있듯이 2006년 하반기 이후에는 신규 취약성 및 백신에 탐지가 되지 않는 형식의 악성코드를 유포하여 보안패치와 보안 솔루션을 사용하는 사용자에게도 일부 피해가 발생하고 있는 실정이다.

악성코드를 이용한 사용자 정보 유출로 인해 온라인 게임업체들은 많은 비용과 전문인력을 투입하여 게임을 보호하고 사용자를 보호하는 방안을 고민 할 수 밖에 없는 상황이다.

현재 유포되고 있는 악성코드는 종결형이 아닌 현재 진행형이고 앞으로도 끊임 없이 나타날 현상이라 할 수 있다.  키보드보안 솔루션과 보안패치서비스, 온라인게임 전용백신서비스 등 다양한 보호방안을 만들어 전체 위험요소의 대다수를 제거하여도 새롭게 발전하는 공격기술의 진화속도를 따라 가는 것은 어려움이 따를 수 밖에 없다. 일부 피해는 계속 발생할 것이고 피해를 줄이기 위한 노력도 계속 될 수 밖에 없다.

 --Continue

* 다음장에서 Vista의 보안과 최종 결론을 도출합니다. 그건 내일..

Posted by 바다란

본 논문은 정보보호학회에 기고한 논문입니다. 며칠전 예고한 대로 3 부분으로 나누어서 올릴 예정입니다.

Vista의 출시에 따른  IT 산업별 이슈에 대해 종합적인 시각이 없는데 그 처음으로 온라인 게임산업 부분에 대해 작성된 내용입니다. 향후 여유가 허락하는 대로 다른 분야 혹은 MS의 의중등에 대해서 전체 IT산업과 연관하여 풀어보도록 하겠습니다.

 

현재 업로드되는 부분은 총 3단락중 첫번째로 온라인게임의 직접적인 해킹과 위험요소에 대해서 기술한 부분입니다. 다음 단락은 게임내의 어뷰징 유형과 악성코드를 통한 정보유출 유형이 소개 됩니다. 마지막 최종 단락에서는 Vista에서 강조된 보안 부분이 온라인 게임산업에 어떤 영향을 미칠지를 분석한 내용입니다. Abusing의 극심한 증가와 대응책의 부재가 문제라는 점을 지적할 것입니다.

의견 있으신분 언제든 의견 주세요.

 

 

 

1.     서론

현재의 게임의 환경에서 운영체제가 가지는 의미는 중요한 요소를 포함하고 있다. 온라인 게임의 개발에는 특정 운영체제에 한정되어 개발되는 부분이 많았으며 다양한 운영체제로부터의 접근성을 보장하지는 않는다. 따라서 운영체제의 실행 환경이 변경 된다면 다양한 구조적인 변화를 할 수 밖에 없다. 2007 Vista 의 출시와 함께 촉발되고 현실화된 온라인 게임의 위험요소와 보안의 관점에서 바라본 Vista 출시로 인한 문제점들을 짚어보고 향후 방안에 대해서 고민을 하는 과정이 필요하다.

 

2.     온라인 게임의 환경과 위험요소

2.1.                       게임의 환경

게임의 환경 측면에서는 보안적인 이슈와 관련이 있는 부분에 대해서 한정하여 살펴보고 전체적인 게임의 환경에 대해서는 언급을 하지 않도록 한다. 게임에서 운영체제의 급격한 정책 변경은 큰 영향을 받을 수 밖에 없다. 운영체제에 부여된 일반적인 기능과 접근 방법을 통해 실행이 된다는 점에서 보면 정책의 변경은 큰 영향을 미칠 수 밖에 없다. 국내의 온라인 게임 상황에서는 대부분의 게임이 Windows 베이스의 게임을 제작하고 있으며 온라인 상에서 실행을 시키는 메소드를 활용 함으로써 사용자의 접근을 유도하고 있는데 IE7 Vista로 인해 변경된 정책은 큰 영향을 미칠 수 밖에 없다.

 

성공적인 게임의 런칭 이후에 운영에서 가장 중요한 영향을 미치는 이슈가 보안이며 단계별 보안이 이루어 지지 않는 게임은 안정적인 운영을 하기 어려운 상황에 쉽게 처할 수 밖에 없다.  IE7 Vista에서 가장 중요하게 강조되는 기능이 보안 기능의 강화라는 측면에서 온라인 게임은 영향을 받을 수 밖에 없으며 다소간의 긍정적인 효과와 부정적인 효과를 동시에 받을 수 밖에 없다. 본 논문에서는 긍정적인 효과와 부정적인 효과를 찾아보고 영향력과 파급효과는 어느 정도 인지 확인을 하도록 한다.

 

온라인 게임에 직접적인 영향을 미치는 보안적인 이슈 측면에서는 크게 세 가지 유형으로 살펴 볼 수 있다. 직접 해킹을 통한 게임의 피해 , 게임내의 Abusing을 통한 피해 , 악성코드를 이용한 사용자 정보의 유출로 구분을 할 수 있다.

 

 

2.2.                       직접 해킹을 통한 게임의 피해       

 

게임의 웹서버 및 Database서버와 같은 Game Infra 구성요소에 대한 직접 해킹을 시도 함으로 인해 발생하는 피해를 총칭하며 2005년부터 급증하기 시작한 웹 서버에 대한 해킹 시도 및 Database에 대한 직접 해킹 시도들이 다 포함이 된다. 웹 서버의 웹 어플리케이션의 취약성을 이용한 (SQL Injection , File Upload / Download , Privilege Escalation ) 공격 유형이며 공격을 통해 웹서버의 관리자 권한을 획득한 이후 자유자재로 조작하는 것을 의미하며 Database 서버에 대해 직접 Query 등을 통해 사이버 머니 혹은 아바타 획득과 같은 인위적인 조작을 가하는 것을 의미한다. 직접 해킹으로 인한 피해는 단계별 보안 대책 수립과 웹 어플리케이션 보안성 강화에 따라 점차 감소 추세를 보이고 있으나 여력이 부족한 신규 게임업체나 중소 게임업체에는 여전한 위협이 되고 있는 실정이다.

그림 1. SQL Injection Attack Example

 

그림 1. SQL Injection Attack Example의 경우는 웹 어플리케이션의 취약성을 이용하여 웹서비스의 권한을 획득한 이후 데이터베이스에 접근하는 계정을 통해 데이터베이스의 내용을 가져오는 공격도구의 모습이다. 웹 어플리케이션에서 사용되고 있는 URL의 인자에 대해 Validation 검증이 제대로 되지 않은 취약성을 이용하여 SQL Query를 실행 시킴으로써 권한을 획득하는 SQL Injection 공격 기법을 사용 하였다.

 

그림 1. SQL Injection Attack Example에서 보인 SQL Injection 공격 이외에도 다양한 공격 기법으로 웹 서버와 서비스를 공격하여 권한을 획득하거나 제어 함으로써 직접적인 피해를 입히는 경우는 일반적인 유형이라 볼 수 있다.

2005년 이후의 공격 유형의 특징을 보면 시스템 및 운영체제에 대한 직접적인 해킹은 줄어드는 경향을 보이고 있으며 Application에 대한 공격 유형이 일반화 되는 경향을 보이고 있다. 즉 운영체제를 이용하여 동작을 하는 Application의 취약성을 이용하여 공격하는 동향을 볼 수 있으며 공개 소프트웨어의 취약성을 이용하는 Application Attack의 일반화를 확인 할 수 있다.

그림 2. Attack flow

 

그림 2. Attack flow 에서 전체 해킹 동향의 변화 흐름을 보이고 있다. 2004년 이후부터 개별 Application에 대한 공격이 증가됨을 볼 수 있으며 2005년에 이르러 자동화된 Application 공격이 나타나고 2006년 이후로 계속 Application에 대한 공격이 증가 되는 경향을 나타내고 있다. 전체 취약성의 발견 비율에서도 Application 취약성에 대한 발견 비율은 급증 함을 볼 수 있다.

그림 3. securityfocusMS 관련 취약성

 

그림 3. securityfocus MS 관련 취약성에서 Securityfocus ( www.securityfocus.com) 사이트에 보고된 Microsoft 사의 제품 취약성에서도 운영체제가 아닌 개별 Application에 대한 취약성 보고가 증가됨을 확연하게 확인 할 수 있다.

 

Application 취약성은 계속 증가하고 있으며 취약성에 따른 웹서버와 서비스에 대한 해킹은 계속 증가하는 것을 확인 할 수 있다. 온라인 게임 서비스에서도 동일한 규칙이 적용 되고 있으며 부실한 웹 서비스 코딩 과 게임 관련된 데이터베이스 서버의 관리의 부실로 인해 전체적인 취약성과 공격 동향에 따른 위험성은 계속 증가되고 있는 상황이다.  특히 웹 어플리케이션을 통해 온라인 게임 유저와의 접촉을 유지하고 있는 온라인 게임사의 경우 웹 어플리케이션의 문제는 대외적인 신뢰도 하락 및 게임사의 인프라 내부망까지 침입을 입을 수 있다는 개요를 포함하고 있어서 치명적인 이슈가 될 수 있다.

 

- Continue...
* Application 취약성 관련 하여서는 본 논문 작성 이후 바로 나온 Ani Cursor 취약성이 있습니다. ^^

 

 
Posted by 바다란

안녕하세요. 바다란입니다.

 

어제 못다한 이야기들을 연이어 써보도록 하겠습니다.

먼저 오늘자 기사를 보다보니 트로이 목마 증가라는 기사가 나오고 있습니다. 한번 읽어 보시면 좋을 것 같습니다.

 

http://news.naver.com/news/read.php?mode=LSS2D&office_id=029&article_id=0000161964&section_id=105&section_id2=283&menu_id=105

 

* 인터넷 뱅킹의 공인인증서 적용 부분에 대해서는 타 OS로도 확장이 되어야 한다는 점에 동감합니다. 그러나 현재 적용된 보호를 위한 ActiveX 프로그램에 대해서는 일반적인 ActiveX를 통한 폐해의 관점에서 보기는 어렵다고 생각합니다.

자유이용에 대한 권리와 현재 포스트에 기술하고 있는 ActiveX 전체의 무용론에 대한 시각은 다른 시각입니다.

 

일단 저는 개발과 관련된 업종에 있지도 않으며 해당 프로그램들과의 이해관계가 전혀 없다는 사실을 명확하게 하는게 좋겠습니다. 미리 설명을 드려야  객관적인 시각으로 보는 것을 이해 하시지 않을까 생각 되네요. [ 블로그의 지난 글들을 읽어 보셔도 쉽게 아실 수 있습니다.]

 

Vista를 통한 기대효과?

 

자.. 지난 포스트에서는  대중성 확보를 통한 생활의 향상이라는 서론이 길었는데 지금의 위험 요소를 짚어볼 필요가 있을 것 같습니다. Vista의 사용자 권한 제어 부분을 통하게 되면 지금과 같은 무변별한 ActiveX를 이용한 악성코드 및 스파이웨어 등이 대부분 줄어들게 됩니다. 악성코드에 감염이 되었거나 스파이웨어를 유포하는 사이트에 들어가도 Alert 창이 활성화 되며 경고를 하게 되겠죠. 따라서 사용자는 부지불식간에 시스템에 설치가 되는 스파이웨어 및 악성코드의 위험을 사전에 인지하게 되고 당연히 피해는 줄어들게 됩니다.

 

사용자의 관점과 서비스 제공자의 관점에서 볼 필요가 있는데 사용자의 관점에서는 위험요소가 줄어들게 됨에 따라 보다 더 안전하게 볼 수가 있을 것입니다. 그렇다면 Vista상에서는 어떤 것이 증가할까요?. 사용자의 선택을 흐리게 하기 위한 phishing 관련 공격이 매우 증가 할 것입니다. 즉 자동 설치가 되는 ActiveX의 유형은 줄어 들겠으나 프로그램 설치 형식으로 되어 있거나 페이지를 속여서 사용자의 정보를 입력케 하는 피싱 공격 유형이 대단히 많이 증가 할 것입니다.  [ 피싱에 대해서는 전세계 모든 회사가 피싱 관련 DB를 공유한다 해도 발견 속도보다 개설 및 제작 속도가 더욱 빨라서  감당이 어렵습니다.]

 

Vista 사용자를 제외한 하위 버전의 운영체제에 대한 공격은 지금까지와 동일하게 유지가 될 것입니다. 여전한 ActiveX를 이용한 스파이웨어 및 악성코드들이 있을 것입니다.

 

Secure Vista?

 

간단하게 검색하여 언론에 나타난 Vista의 취약성 관련 기사들 입니다.

http://www.msnbc.msn.com/id/16359568/

 

http://news.naver.com/news/read.php?mode=LSD&office_id=031&article_id=0000099401&section_id=105&menu_id=105

< Vista의 음성인식 부분의 보안결함에 대한 기사>

 

Vista라고 완전한 것은 아닙니다. 사용자 권한을 이용하려는 부분에 대해서 Alert이 뜬다는 점과 커널에 대해 Protection이 된다는 점에서 보안기능이 강화 되었으나 세상 어느 것이나 완전한 것은 없습니다. 지금 이 순간에도 Vista의 실제 하위 구성 부분까지 낱낱이 분석을 진행하는 공격 그룹들은 매우 많이 있습니다.

예전에는 취약성을 발견하면 벤더들에게 연락하여 취약성을 수정하는 패치 발표 이후에 취약성을 공개 하였으나 이제는 그 방향이 바뀌어 있습니다.  금전적인 이득을 목적으로 취약성을 발견하는 것이 대부분입니다. 더이상 로멘스는 없다는 이야기 입니다.

 

루마니아의 한 전문가가 발견된 Vista의 보안 취약성은 경매에서 5만불의 가치가 매겨졌으며 최근 외국의 보안 회사는 Vista의 취약성을 발견한 사람들에게 8000불 가량의 금전을 지불한 사실이 존재합니다.  빌게이츠는 Vista를 통해 그동안 MS에 덧씌워진 취약성과 문제의 온상이라는 굴레를 벗어나고 싶어하나 그리 쉽게 되지는 않을 것 같습니다.

 

Vista를 사용한다고 해서 보안패치가 나오지 않을 것 같습니까?. 현재의 논의대로라면 Vista상에는 보안패치가 나와서는 안됩니다. 그만큼 치명적인 문제는 없을테니깐요. 올해안에 Vista 운영체제에 대한 보안패치는 나옵니다. 그만큼 완벽한 솔루션은 없다고 단언할 수 있습니다. MS는 지난해 까지 많은 요소 보안 기술 회사들을 인수 하였습니다. [sysinternal 외에 Anti spyware 업체 , 소규모 백신 업체 ] 그리고 MS의 전략은 LiveOnecare 에서도 확인 할 수 있습니다. [ http://news.naver.com/news/read.php?mode=LSD&office_id=092&article_id=0000008770&section_id=105&menu_id=105 ]

Vista상에서 발생하는 보안 이슈에 대해서는 MS에서만 처리가 가능하고 대응이 가능하도록 만들려는 전략이 그들의 방향입니다. 보안에 관련된 시장을 인식하고 이 부분에 대한 독점 체제도 유지 할려고 하고 있다는 것이 제가 보는 사견입니다.

 

만약 Vista에 심각한 결함이나 웜이 발생 되었다고 할때 이것에 대한 대응도 근본적으로는 MS에서만 처리가 가능하고 MS와 협력 구조를 형성한 몇몇 업체에만 권한이 부여 될 수 있을 것입니다. 그래서 시만텍이나 맥아피, 트렌드와 같은 대형 보안업체들이 반발하는 것일 수 있습니다. 이 중에 여타 중소 업체나 규모가 작은 틈새의 보안 업체들은 끼일 방안이 없습니다. 독점은 더욱 심각해지고 치명적인 부분의 대응도 손 놓고 기다릴 수 밖에 없는 상황이 올 수도 있습니다. 물론 제 상상이고 생각입니다.

 

환경의 다름과 변화

 

해외에서는 몇년 전 부터 지금까지 계속해서 피싱 관련된 이슈가 매우 많았습니다. 또한 국내는 해외의 상황과는 사뭇 다른 백도어 및 악성코드에 대한 공격이 매우 많았습니다. 왜 해외에서는 피싱이 유행을 하였을까요?. 발생 현황이 다른 것은 배경이 다른 점에 있습니다.

 

[ http://www.ciphertrust.com/resources/statistics/phishing.php  ] - 피싱에 대한 최근 통계 자료 입니다. 보시면 ebay,paypal에 대한 피싱 공격과 은행에 대한 공격 유형이 많은 것을 볼 수 있습니다. 과연 성공가능성이 없는데도 몇 년간 계속 이런 추세가 계속 되고 있을까요?

 

해외는 아직 주요한 금전거래의 직접적인 인터넷 거래 등이 활성화 되어 있지 않습니다. 활성화 된 부분에 대해서는 매우 집중된 공격이 이루어 지고 있습니다. 페이팔에 대한 직접적인 피싱및 Fraud는 높은 비율을 차지 하고 있는 것이 이 내용을 반증 합니다. 또한 신용카드에 대한 거래도 카드번호 , 기한을 입력하는 것으로 끝입니다. 그만큼 신용카드 정보의 유출은 큰 영향을 미치는 부분이라 할 수 있습니다. 또한 이런 사고로 인해 발생되는 정보도 통계치에 제대로 잡히지 않는 상황이라고 볼 수 있습니다. 그에 반해 우리는 어떤가요?

신용카드이든 뭐든 모든 거래에 인증서를 기반으로 합니다. 카드입력이 된다 하여도 인증서의 보유 및 인증서 비밀번호 입력을 넣어야 됩니다. 따라서 공격을 하는 사람들도 실제의 키 입력을 다 가로채어 간다고 해도 인증서 파일을 가지고 있어야만 금전적인 도용이 가능합니다.

 

*관련 내용은 블로그 게시물을 참조 하시면 좀 더 쉽게 이해가 될 것입니다.

  http://blog.naver.com/p4ssion/50013425045

 

2005년 부터 국내의 사이트에 대한 공격이 급증을 하였습니다. 그러나 해외의 공격과의 차이점을 보면 해외는 피싱을 하기 위한 사이트 유도 및 이메일에 대한 조작등이 많았으나 우리나라에는 유명 사이트에 대한 직접 공격 -> MS의 취약성을 통해 설치가 가능한 악성코드 배포 -> 사이트 방문자 모두에게 취약성에 노출 되었다면 감염 -> 사용자의 키입력 정보 유출  이런 유형으로 볼 수 있고 지금도 동일한 유형입니다. 해외의 사이트에서는 아직 유명 사이트 해킹 한 이후 특정 취약성을 통해 유포되는 악성코드는 그리 많이 찾을 수 없습니다. 왜 이렇게 되었을까요?  이 부분에 대한 대답은 나름대로 다음과 같이 할 수 있습니다.

 

금전적인 이득을 얻을 수 있는가? 라는 질문에 우리는 해당이 되고 해외는 해당이 안되기 때문입니다. 인터넷 사용자의 절반 이상이 온라인 게임을 하고 인터넷 뱅킹을 합니다. 그리고 금전적인 거래 관계가 온라인으로 상당부분 진행이 되고 있고 온라인 상의 생활이 많이 있습니다. 따라서 보호 방안을 가지는 것은 당연합니다.

 

 

 

대중성과 ActiveX의 관계

 

대중성을 확보하기 위해 빠른 인터넷 확산과 세계에서 사례가 없을 만큼의 빠른 실생활의  적용이 있었습니다. 그리고 이를 통한 근본적인 생활을 변화 시켰다고 할 수 있습니다. 근 10년내에 이루어진 대규모 패러다임의 전환이라 할 수 있습니다.

생활 환경이 변화됨에 따라 더욱 편한 것을 추구하는 사용자들은 인터넷 환경에 빠르게 접속이 되었으며 모두가 security에 대해서 몰라도 기본적인 사용법은 쉽게 접근 할 수 있도록 되어 있습니다. 위의 단락에 언급은 되었지만 모든 인터넷 사용자들이 보안 전문가가 아닙니다. 또한 지금의 위협은 보안전문가라 하더라도 악성코드 및 백도어들이 침입 하였을 경우 [ 감지 하는 것도 어렵습니다. ] 해당 악성코드를 제거 하거나 백도어를 제거 하는데 많은 시간과 노력이 필요합니다. 일반 사용자들은 어떨까요? 거의 대책 없다고 볼 수 있습니다.

 

 백신 및 보안 제품은 그래서 이용을 합니다. 그러나 모든 사용자들이 백신을 이용하지는 않으며 보안제품을 이용하지도 않습니다. 백신마다 각각 다른 탐지들이 있고 탐지가 안되는 경우도 있습니다. 따라서 공통적인 대응과 빠르고 일괄적인 대응이 필요한 부분이 있습니다.

대중적 편리성을 유지 하면서 문제점들도 해결 하기 위해 기본적인 보안대책들이 강구 되었다 할 수 있습니다.

 

금융 서비스를 제공하거나 사용자에게 중요한 컨텐츠를 지니고 있는 곳일 수록 사용자의 개인적인 피해가 누적이 되면 기업이나 서비스의 손실로 직접 연결이 됩니다. 사회적 통념이나 언론상 문제의 발생 기준을 개인에 두는 것이 아닌 기업이나 서비스 제공자에게 책임을 묻는 분위기가 지금까지 있어왔었기에 서비스를 제공하는 업체는 보안에 대한 대응을 할 수 밖에 없습니다.

 

연세 드신 어르신 부터 미취학 아동들까지도 현재 인터넷 환경을 이용하고 있습니다. 보안의 적용은 Active하게 진행하는 것이 필요하고 사실 필요 하였습니다.

키보드 입력을 가로채는 악성코드 [ 근 2년 동안에만 수천 종류가  발생 하였습니다. ]를 막기 위한 키보드 보안 솔루션  , 개인 사용자의 정보를 빼내어 가기 위한 프로세스가 활성화 되어 있는지 확인 하기 위한 온라인 백신 , 외부와 연결이 되어 있는 지 확인을 하기 위한 온라인 방화벽 등등.. 다양한 ActiveX들이 있습니다.

이 모든 기능들은 시스템 단위의 입력 및 정보 노출까지 찾아내고 제거 하여야 함으로서 시스템 권한이 필요합니다. 

 

대중적인 편리성을 기본 목적으로 삼고 서비스를 확대하고 활용 하였으나 그 부작용으로 악성코드 및 백도어들이 대폭 증가한 결과가 나오게 되었습니다. 그리고 폭넓게 퍼진 문제를 해결하기 위해 모든 사람이 백신이나 보안제품을 구매하지 않아도 거래를 안전하게 할 수 있도록 중요 거래 사이트나 컨텐츠가 있는 사이트의 경우 ActiveX를 활용한 보안 솔루션의 사용이 일반화 되어 있습니다.

 

1.25 대란은 보안패치가 되어 있지 않아서 발생된 부분입니다. 그 이후에도 보안패치는 개인 사용자 단위에서 거의 진행이 되지 않았습니다. 왜냐하면 귀찮아서 입니다. 사실이 그렇습니다.  2005년 부터 발생된 주된 악성코드 나 백도어의 침입 경로는 ActiveX가 아닌 MS의 주된 취약성을 공격하여 사용자 PC에 설치가 되었습니다. 주된 문제 발생 경로는 ActiveX가 아니라고 볼 수 있습니다. 물론 스파이웨어의 경우는 다릅니다. 지금은 정부기관이나 일정 레벨 이상의 컨텐츠를 보유한 사이트에서는 자동으로 보안 패치도 해주고 있습니다.  물론 ActiveX를 이용한 부분입니다.

 

White ActiveX와 Black ActiveX를 구분할 필요가 있으며 모든 ActiveX에 대해서 Anti한 입장을 가질 이유는 없다고 봅니다. 현재 우리가 처한 위협상황에 비하면 대응 수단은 거의 없다고 볼 수 있습니다.  보다 더 발전되었고 실험적인 상황을 진행 하고 있다보니 모든 첨단화된 공격들은 한국에 집중이 되고 있습니다. 일선에서 바라보면 세계 전체의 공격 동향과 비교 하였을때 전체적으로는 6개월 이상 정도는 공격 트렌드가 앞서고 있음을 확인 할 수 있습니다. 물론 세부 부분으로 들어가면 다를 수 있지만 최소한 개인 영역에 미치는 공격의 기술은 6개월 정도는 앞선다고 판단 됩니다. 

IT 강국이라는 트렌드 하에서 얻는 이점의 수면 아래에는 위와 같은 상황도 존재하고 있음을 아시는 것도 필요합니다.

 

Black ActiveX : 악의적인 행동 , 스파이웨어 , 무분별한 설치 유형등등

White ActiveX : 보안 강화를 위해 설치 되는 것들 , 방화벽 , Anti Virus , 보안 패치 등등

 

 

정리 하겠습니다. 계속 질질 끄는 것 같습니다.

 

현재의 인터넷 환경은 완전하게 안전한 이상적인 환경이 아닙니다. 그만큼 많은 문제들이 있고 실제 발생하고 있습니다.  따라서 대안책도 존재하여야만 하고 고려가 되어야만 합니다. 지금까지 발생된 악성코드의 절대 수치 및 기술적인 레벨로만 보아도 세계적인 수준에 해당하는 공격들이 많이 유입이 됩니다. 그만큼 서비스의 다양화와 활발한 온라인활동에 따른 위험도도 높습니다.

 

무분별한 ActiveX에 대한 비난도 옳지 않으며 표준 준수에 대한 논의도 반드시 정답이라고 볼 수는 없습니다. 상황에 따라 필요한 부분은 인정 해야만 합니다.

현재의 현상을 파악하고 배경을 분석한 다음 왜 이런 현상들이 벌어질 수 밖에 없었는지 고민이 되고 향후의 과제와 개선을 위한 점들은 어떤 것들이 있는가? 하는 긍정적인 고민을 해야 할때가 아닐런지요?

 

공인인증서의 타 운영체제 허용은 반드시 고민 되어야 되는 부분입니다. 그러나 ActiveX에 대한 부분도 인정 할 것은 인정 해야만 됩니다. 세계 그 어느나라에도 발달 되지 않았으나 유독 한국에서만 강력하게 발달된 부분이지만 환경에 특화된 발전으로 부분 긍정은 필요합니다.

 

대중의 보호를 위한 ActiveX도 존재하고 이득을 얻기 위한 악성코드 형의 ActiveX도 존재 합니다. 지금의 대중적인 환경이 빠르게 다른 운영체제로 넘어갈 가능성은 없습니다. 그렇다면 정확한 현상 파악을 하고 과제를 도출 하면 됩니다.  그것이 더 바람직하지 않을런지요? 그리고 대중적 편리성에도 부합을 하는 것일테구요.

 

전체적인 설명과 주요한 개요들을 일정 수준 적었으므로 대안은 보다 쉽게 나올 수 있을 것입니다. 방향성은 고민이 필요합니다. 제가 여기에 바로 적을 수 있는 그런 부분은 아닌 것 같습니다.  칼로 자르듯이 바로 그을 수 있는 부분이 아니기에 더더욱...

 

* 기반된 악성코드 유형 및 침해사고 유형등에 대해서 확인 하고 싶으시면 Blog에 올려진 자료들이 있으니 참고 하시면 됩니다.   추가 내용이 필요하다면 다시 포스팅 하도록 합니다. ^^

 

- 바다란 세상 가장 낮은 곳의 또 다른 이름 .. p4ssion

Posted by 바다란

* 본 포스트는 왜 그렇게 밖에 할 수 없었는가에 대해 생각해본 내용입니다.

 

안녕하세요. 바다란입니다.

 

ActiveX에 대한 논란이 가열 되고 있습니다. 그러나 표준을 지켜야 한다..그리고 기술종속이다 라는 측면에서의 문제점 부각만 되고 있는 것 같습니다. slashdot을 비롯한 해외 블로그 포스팅들이 MS에만 집중화된 환경에 대해서 조롱하는 뉘앙스가 많이 보이고 있는데 조금 다른 시각에서 보도록 하겠습니다. [ 지난번 포스트에서 약속(?)한 ActiveX에 대한 글입니다.]

 

결론을 먼저 말씀 드리면  목적에 맞는 활용이 가장 중요한 부분이며 그러한 활용을 대한민국은 가장 효율적으로 활용 했다고 할 수 있습니다. 

Vista에서의 ActiveX가 왜 문제가 되는가 하는 부분은 보안적인 이슈가 가장 크다고 봅니다. 사실상 잘못된 인식의 오류가 Vista에서는 모든  ActiveX가 실행이 되지 않는다고 생각하는 점이 오류라고 볼 수 있습니다. ActiveX가 실행은 됩니다. 코드의 수정이 이루어 지면 충분히 가능합니다. 그러나 명확한 본질은  시스템의 권한을 이용하는 ActiveX의 사용에 문제가 있는 것입니다. 권한 문제는 보안의 문제라고 볼 수 있습니다.  왜 보안의 문제이고 왜 지금의 상황이 초래 되었는지에 대해서 이야기 해보겠습니다.

 

 

http://it.slashdot.org/article.pl?sid=07/01/26/1455224

http://www.kanai.net/weblog/archive/2007/01/26/00h53m55s#003095

 

위의 링크는 해외 이슈에 대한 블로그 및 의견 관련된 글입니다.

 

사견을  말씀 드리면 해외의 상황과 지금 우리의 상황은 다르다는 이야기를 드리고 싶습니다. 그리고 해외 언론이나 의견에 대해  일희일비할때는 충분히 지나지 않았는가 생각 됩니다.   

IT강국이라는 의미는 OS의 다양성에 대한 인정 보다는 IT라는 하나의 도구를 활용하여 얼마나 많은 생활에 접목을 시키고 활용을 하고 실생활을 낫게 만드느냐 하는 점에서 바라 보아야 한다고 생각 됩니다.

 

인터넷 뱅킹을 예를 들면.. 이제 더 이상 금전 납부 및 이체를 위해 은행을 방문 하지 않습니다. 분명히 생활상의 개선과 편리, 비용의 절감이 이루어 졌습니다. 뱅킹을 이용하기 위해 분명한 본인 확인이 필요했고 본인확인의 과정에서 공인인증서라는 것이 이루어 졌습니다. 이런 안전하다고 보장된 인증매개체를 통해 금전 거래가 이루어 지는 것입니다. 물론 정책상 특정 OS 및 특정 환경에 의존된 부분은 분명한 문제라고 여깁니다.

 

그렇다면 왜 특정 OS 및 특정 환경에 의존하게 되었을까요?. 이 부분은 지원 문제와 대중성 , 접근성 때문이라고 정의 할 수 있습니다.

 

MS의 시행착오도 많지만 가장 큰 성과는 컴퓨터라는 도구를 생활속에서 보다 친숙하고 쉽게 접근 하도록 운영체제를 만들었다는 것에 있습니다. 보다 뛰어난 운영체제는 지금껏 있어 왔으나 대중에게 접근이 쉬운 운영체제는 현재로서도 MS의 윈도우즈 플랫폼이 뛰어 나다고 봅니다. 프로그래머나 IT 관련 기반지식이 있는 사용자들에게는 리눅스 플랫폼이 더 뛰어나고 개방성이 있고 조율이 가능하나 모든 사용자에게 해당이 되는 것은 아닙니다.

 

http://news.naver.com/news/read.php?mode=LSD&office_id=034&article_id=0000346696&section_id=105&menu_id=105

[ 2.1일자 기사 입니다. 인터넷 인구는 3400만 이고 4~50대의 사용비가 증가 하였다고 합니다. 이런 사용비의 증가가 과연 대중성이 없는 운영체제 상에서 가능 하였겠습니까? 과연 리눅스로 이 정도의 대중성을 확보 하는 것이 가능 하였을까요?  ]

 

보다 쉽고 보다 접근이 쉬운 부분. 그 요소를 파악 했기 때문에 대중화가 이루어 진 것이고 한국의 발전 과정에서 보듯 IT 부분에서도 상당한 압축성장이 이루어 졌고 그 매개체는 대중화가 가능한가? 그리고 지원체제의 일원화를 통해 효과가 가장 큰 부분은 무엇인가에 역점을 두었습니다.  그래서 대중성이 높은 운영체제에 대한 지원체제 일원화가 이루어 진 것이죠.

 

90년대 후반 국내의 상황에서 기술의 깊이 보다는 대중성을 통한 적용 범위의 확대 -> 적절한 도구의 선택 [ 대중성 측면에서 MS 솔루션 선호] -> 지원의 집중 [ 이부분에서 다양한 경로를 차단한 것이 실책일 수도 있습니다.]  기반기술을 완벽하게 지닌 것도 아니고 그렇다고 투입 가능한 자원이 무한정인 것도 아니여서 지원에 대한 집중은 어쩔 수 없는 면도 있지 않았을까 생각 됩니다.

 

 

설명이 길었습니다.  정책에 대한 옹호도 아니며 발생된 상황에 대해 왜 그렇게 되었는지에 대해 설명을 하다보니 길어 졌습니다. 본래는 ActiveX , Vista ,보안은 어떤 관계인가에 대해서 설명을 하고자 하였는데... 

 

가장 큰 책임의 주체는 Web을 통한 Active한 컨텐츠의 표현과 기능 구현을 위해 고안된 ActiveX 의 많은 권한 허용입니다. MS의 사상적인 기반과 관련이 있겠지만 인터넷을 통해 모든 것이 가능하게 만드는 방향성과 관련이 밀접한 기반기술중 하나 였을 것입니다. 

 

그 다음은 특정 OS에 한정된 실행 한계의 설정이라고 할 수 있습니다. [ 이 부분은 지원의 집중 차원에서 초기에는 큰 방향에서 타당성이 있다고 보입니다. ]

 

 - to be continue..

 

*보안부분과 Vista , ActiveX에 대한 내용은 길어져서 글을 분리하여 다음 포스팅에 게시 하도록 하겠습니다. 인터넷 뱅킹 , 대중성 , 보안 이 이슈로 묶이는 포스트라 상황에 대한 설명이 필요 한 부분이라 적었습니다.

 

 

Posted by 바다란
 

* 최종편입니다. 결국 Vista의 확대에 따라 온라인게임의 어뷰징은 현상태에서 심각하게 나타날 수 있으며 대응 방안도 뚜렷하지 않다는 점에서 게임산업계에 문제를 일으킬 수 있을 것으로 보고 있습니다. 게임의 구조를 보다 더 Secure 하게 바꾸지 않는다면 문제가 심각해 질 것으로 보입니다.

 

*논문 제출 이후 발견된 특징적인 사안은 색으로 구분하였습니다.

 

3.     Vista™ 보안과 온라인게임

3.1 Vista™ 보안기능

Vista의 출시와 더불어 Microsoft사에서 가장 강조한 부분은 보안성의 강화라고 할 수 있다. Vista에 포함된 보안 기능은 무엇이 있으며 어떤 역할을 하는지 간략하게 살펴보도록 한다. 제품 출시와 더불어 대대적으로 홍보가 된 보안기능은 UAC (User Access Control ) 기능과 ActiveX의 실행제한 부분을 꼽을 수 있다. 중요한 부분은 구조적으로 시스템에 접근할 수 있는 영역을 제한하고 권한을 제한했다는 점에 있다.  일반적인 사용자 권한과 시스템의 관리자 권한을 분리 시켜 두고 실행 권한까지도 제한을 두고 있다는 점이 가장 강화된 기능이며 권한 제어 기능에 따라 ActiveX에 대한 실행 모듈들도 변경이 될 수 밖에 없다. 지금까지는 시스템에 접근 할 수 있고 설치가 웹을 통해서 진행 될 수 있도록 ActiveX가 프로그래밍 되어 있었다면 ActiveX에 대한 설치 이슈는 시스템적인 접근을 상당부분 배제하는 유형으로의 접근으로 전환이 되어야만 한다.

국내에서 발생하는 ActiveX 관련 이슈는 대부분 기능의 제한과 시스템에 접근하는 실행모듈 부분의 변경에 따라 일정 수준 이상 해결 될 수 있는 부분이다.

 

Vista의 권한 모델은 총 5가지로 나눌 수 있다.

System ,High , Medium , Low , Untrusted 5가지 유형으로 권한을 나눌 수 있다. Explorer의 경우에는 Medium 권한이 주어져 있고 IE의 경우에는 Low 권한이 주어져 있다. ActiveX를 활용할 경우 레지스트리에 대한 접근 및 파일 시스템에 대한 접근에서 권한 상승을 위한 UAC (User Access Control ) Alert을 볼 수 있다.  그림 8에서 UAC의 실제 모습을 볼 수 있다. 즉 권한에 따른 실행 및 설치에 대한 제어를 명확하게 한다는 의미라고 볼 수 있다. 지금까지는 사용자의 동의 없이 실행 되거나 최초 동의 (사용자의 선택에 의한 선별적 동의) 이후에는 지속적으로 실행이 되는 구조를 지니고 있었으나 현재 Vista IE의 제한 환경에서는 매번 실행 시마다 권한 상승을 요구하는 승인 창이 뜨게  된다.

 

사용자의 동의에 따라 최초 설치가 된 ActiveX라 할지라도 시스템에 접근할 경우에는 반드시 권한 상승을 요구하는 승인 창이 활성화 되는 것이 기본 개요라 할 수 있다.

 

그림 8. UAC (User Access Control)

 

그림 8. UAC (User Access Control) 에서 보여지는 UAC를 통한 강력한 권한 통제 부분은 사용자의 인식 없이 실행 되던 무분별한 ActiveX에 대한 폐해를 막을 수 있다는 점에서 긍정적이며 무분별하게 시스템에 접근하여 원하는 행위를 하도록 코딩이 된 ActiveX의 구조적인 환경 변화를 꾀할 수 있다는 점에서 긍정적이라 볼 수 있다.

 

지금까지처럼 사용자가 인터넷 환경에서 보안패치와 바이러스 백신에 의존하여 불안한 인터넷 사용을 할 수 밖에 없었다면 Vista IE에서의 UAC를 통한 권한 통제 부분과 ActiveX 실행제한 부분은 일정부분 안전한 환경을 보장해 줄 수 있다. ActiveX를 이용한 광고 솔루션 및 악성코드 부분은 Vista 사용시에 대폭 줄어들 수 밖에 없을 것이다.

 

다만 Vista의 취약성 혹은 IE7의 취약성을 이용한 새로운 공격이 나오거나 Vista에 탑재된 기본 Application (시스템 접근을 위한 권한을 지니고 있는 Application)에 신규 취약성이 발견될 경우는 문제가 된다. 악성코드 설치 유형이나 사용자에게 피해를 입히는 유형이 ActiveX 유형만 존재하는 것이 아니며 System 권한 획득까지 가능한 취약성의 유형은 매우 심각한 위협을 발생 시킬 수도 있을 것이다.

취약성을 이용하는 직접적인 공격은 IE가 가지고 있는 Low Level 권한에서 권한 상승을 시킬 수도 있으며 사회적인 해킹 방법을 이용하여 사용자를 속일 경우 일시적인 권한 획득이 가능한 문제들은 계속 될 수 밖에 없다. 피싱에 대한 위험요소도 이전의 운영체제와 동일하게 유효하다.

 

보안상 가장 안전하다고 적극 주장 한 제품이지만 그 어떤 제품이라도 완벽 할 수 없다. 2007 1월에는 Graphic Rendering Engine 기능을 수행하는 시스템 파일에서 원격에서 실행이 가능한 취약성이 발견되어 공식적으로 Vista 상에서 발표된 보안패치 1호가 되었다.

 

그림 9. Vista security vulnerability

 

그림 9. Vista security vulnerability 의 내용은 SecurityFocus 사이트의 BugTraq에 올려진 일반적인 취약성 항목에서 Vista로 검색을 한 내용이다. Vista의 내부 시스템과 직접 관련이 있는 심각한 취약성은 아직 발견 되지 않았으나 Vista 상에서 기본적으로 실행이 되도록 포함이 된 기능들에서 문제가 발견이 되었으며 외부에서 명령 실행 및 권한 획득이 가능한 문제들이 발견이 되었다.

 

주의 깊게 보아야 하는 부분은 공식적으로 발표된 Vista의 보안패치는 2007 1월에 발표가 되었으나 (http://www.microsoft.com/downloads/details.aspx?familyid=228f2cdc-7148-4002-86bb-e4ade080ea86&displaylang=en )  취약성에 관련된 항목은 2006 10월에 WMF 파일에 대한 Graphics Rendering Engine  Code Execution  문제에 대한 패치와 관련이 있다. Windows 계열의 모든 운영체제에서 문제가 발견이 되었으며 Vista에서는 Vista December CTP 버전에서 문제가 발견이 되었다. 물론 사용자에게 출시된 버전에서는 문제가 수정된 상태에서 출시가 되었다.

 

WMF 파일 처리 루틴에서 발견된 취약성의 의미는 운영체제 위에서 실행되는 Application에 대한 취약성은 운영체제의 구조가 변경 되어도  완전히 새롭게 개발이 되지 않는 이상 동일하게 유지가 된다는 점이다. 사실상 운영체제에서 커널 부분을 제외하고는 모두가 Application이라 할 수 있다. 그리고 운영체제 위에 설치가 되는 프로그램들도 모두 Application이라 할 수 있다. 그림 9. Vista security vulnerability에 나타난 취약성들은 운영체제에서 기본으로 설치가 되는 Application에서 문제가 발견이 된 것이라 할 수 있다. 앞으로 더욱 많은 취약성들이 발견이 될 것이고 현재의 Vista의 보호대책으로는 이전의 운영체제들이 그러 하였듯이 보안패치를 통해서 문제점들을 해결 할 수 있을 뿐이다.

* Application에 대한 정의와 취약성의 발견에 대해서는 지금 이 글을 포스팅 하는 시점에서는 너무나도 빨리 증명이 된 부분이다.

 

3.2   Vista 온라인게임

 

온라인 게임에서 발생되는 위협의 요소들을 설명을 하였고 Vista에서 제공이 되는 보안 기능과 나타나는 문제점들에 대해서 앞서 살펴 보았다. 사용자 입장에서 바라보는 관점과 서비스를 운영하는 입장에서는 보안상의 위험요소를 막는 다는 부분이 상반된 입장으로 제기되기도 한다. 현재 Vista가 지니고 있는 보안적인 요소들이 특정 서비스산업에는 향후 치명적인 영향을 줄 수도 있다고 보며 그 서비스 산업의 처음은 온라인게임이 될 수도 있을 것이다.

 

사용자의 보안 강화를 위해 Vista에는 보안기능이 추가 되었고 보안기능들은 광고를 하기 위한 spyware ActiveX를 이용한 악성코드들의 설치를 막을 것이다. 그리고 ActiveX를 부분적으로 이용하는 온라인게임들도 Vista호환코드로의 전환이나 기능에서 시스템적인 접근 요소들을 다 제외하고 동작하도록 전환이 될 것이다. ActiveX에 대한 대응은 이 정도 수준에서 충분히 처리가 될 수 있다고 본다.

 

대부분의 온라인게임들은 비교적 빠르게 새로운 운영체제와의 호환성을 갖추려 할 것이다. 온라인 상에서 이루어 지는 웹보드 게임 및 RPG 계열의 게임들 모두 새로운 운영체제에 대한 호환성을 조기에 확보하려고 노력을 할 수 밖에 없다. 지금까지 새로운 운영체제의 출시 때마다 온라인 게임 업체들은 호환성을 확보하기 위해 많은 노력을 기울여 왔다. XP 상의 SP2 배포의 경우에도 ActiveX의 자동 실행이 안 되는 부분으로 인하여 많은 변경들이 있었고 노력을 한 적이 있다. 새로운 운영체제 위에서 실행이 안 되는 부분은 일정 기간을 투입하여 소스코드를 변경할 경우 충분히 실행을 시키도록 할 수 있다. 그러나 가장 중요한  보안적 이슈 부분에 대한 고려가 빠져 있다. 악성코드에 대한대응 , Abusing에 대한 대응과 같은 측면에서는 다른 관점에서도 볼 수 있다.

Vista의 강력한 보안기능을 활용할 경우 사용자의 정보 유출 시도를 하는 다양한 ActiveX유형의 악성코드로부터 벗어날 수 있음에도 불구하고 현재의 현실은 그리 쉽게 정의 내릴 수 있는 것은 아니다.

 

현재의 상황에서는 많은 위험들로부터 사용자를 보호하고 악성코드에 대한 대응을 하기 위해 다양한 종류의 ActiveX 혹은 시스템에 접근이 필요한 솔루션들을 사용할 수 밖에 없었다.  온라인 상에서 동의를 받은 사용자에게 설치를 하고 자동으로 업데이트를 진행하는 보안패치 서비스와 게임 전용 백신서비스, Abusing 방지를 위한 게임보안 솔루션의 사용은 사용자 정보의 보호와 온라인 게임 서비스의 보호를 위해서는 필수요소중의 하나이다. 더 이상 충분조건이 아닌 필요조건으로서 보안 서비스가 존재하고 있다. Vista에서 보강된 보안 기능은 매우 미흡한 기능으로서 온라인 게임 서비스의 문제들을 해결 할 수 없다. 그리고 개인정보보호의 관점에서도 큰 효과를 기대 할 수 없다. 개인 사용자의 PC 상에서의 ActiveX의 실행제한과 시스템에 대한 접근 제한은 애드웨어와 ActiveX를 이용한 공격에 노출되는 것을 방지 하는 기능을 수행하나 전체 온라인 게임의 위험 요소들 중에서 애드웨어와 ActiveX를 이용한 공격이 차지하는 비율은 무시해도 좋을 정도로 낮은 비율이다.

 

향후 Vista 의 취약성은 계속 발견이 될 것이고 그 중에는 치명적인 취약성들도 반드시 발견이 될 것이다. 또한 운영체제에서 가동이 되는 Application에 대한 치명적인 취약성들도 계속 발견이 될 수 밖에 없다. 애드웨어와 ActiveX의 실행제한은 분명한 효과를 지니고 있으나 전체 위험요소에서 차지하는 비율은 낮으며 운영체제에 대해 직접적인 취약성을 공격하거나 Application에 대한 취약성 공격을 시도할 경우 UAC를 통한 권한제어는 깨어질 수 밖에 없다.

 

* 2007년 3월 발표된 ani cursor에 대한 권한획득 문제가 본 논의를 증명함을 알 수 있다.

 

온라인 게임에 영향을 미치는 또 한 가지 요소로서는 Abusing과 관련된 문제이며 개인 사용자 PC 단위에서 사용자가 직접 Abusing을 시도할 경우 당연히 공격자 이므로 권한 승인 창에서 High 권한을 주고 Abusing을 시도할 것이다. 온라인 게임에서는 지금까지 시스템에 대한 일정 수준의 제어를 하는 게임보안 솔루션으로 대응을 하였으나 게임 실행 시마다 매번 권한 승인 창이 활성화 된다면 접근성을 중요시 하는 게임으로서는 사용자의 이탈을 우려할 수 밖에 없으며 아마도 High 권한이 아닌 Medium 권한에 해당하는 기능만 수행을 하도록 할 것이다. 지금 온라인 게임에서 활성화 되고 있는 Abusing 유형들은 대부분 시스템에 대한 직접적인 조작을 통해 이루어 지고 있는 상황에서 Medium 권한으로 할 수 있는 Abusing 방지는 거의 없다고 볼 수 밖에 없다.

 

그림 10. 온라인 게임에서의 Abusing 대응

 

그림 10. 온라인 게임에서의 Abusing 대응에서는 현재 게임보안툴을 활용하여 온라인 게임상에서 차단하는 Abusing 유형들에 대한 차단 비율을 보여주고 있다. 전체 7가지 영역에서 일정 수준 이상의 차단 성능을 발휘하는 것들도 있으나 공격 기술의 발전에 따라 계속 새로운 영역이 발견되고 새로운 공격 기법들이 발견 되는 영역들도 다수 있다. 지금 적용이 되고 있는 High 권한 수준의 Abusing 대응책에서도 그림 10. 온라인 게임에서의 Abusing 대응 과 같은 부족한 면들이 나타나고 있는데 Medium 권한 수준으로 동작을 하였을 경우에는 전체 7가지의 Abusing 영역 대부분에서 차단 성능과 효율이 대폭 떨어 질 수 밖에 없다.

시스템에 대한 통제를 할 수 있는 권한이 부족하여 통제를 하고 Abusing에 대해 방지를 할 수가 없는 상황이다.  게임 실행 시마다 매번 승인 창을 활성화 시키고 권한 상승을 승인 한다 하여도 일회적인 성격이라 Vista의 확산 정도에 따라 온라인 게임에 대한 사용자 이탈을 고민해야 할 것이고 Abusing에 대한 대응 방안 부재로 인해 온라인 게임 업체들은 피해를 감내 할 수 밖에 없는 상황이라 할 수 있다.

 

온라인 게임업체에서 사용자의 정보 보호를 위해 시행하고 있는 보안 강화 프로세스는 일반적인 사용자가 간과하기 쉬운 부분을 보강해 주는 측면의 서비스로서 제공이 되고 있다. 백신 서비스와 보안패치 서비스가 예가 된다. 보안패치 서비스는 ActiveX를 통해 활성화가 되고 웹을 통해 접근하는 온라인 사용자에게 설치가 되도록 하고 있다. 백신 서비스의 경우에도 마찬가지이다. 백신과 보안패치 서비스 모두 시스템에 대한 일정 수준 이상의 권한을 지니고 있어야 되는데 현재 Vista의 보안모델 하에서는 일회적인 승인을 통해 지속적인 사용이 가능한 형태가 아니기 때문에 온라인 게임 서비스 업체에서는 보안 강화 프로세스의 시행에 상당한 부담을 느낄 수 밖에 없다. 사용자의 이탈과 보안서비스의 강화 측면에서 선택을 해야 하는 상황이 될 것이다.

 

4.     결론

 

지금까지 Vista 출시에 따른 효과와 현재 온라인 게임업체의 보안적인 위험요소와 현황에 대해서 정리를 한 결과를 보았다. 결론적으로 현재 사용자의 정보보호 측면에서의 Vista의 보안적인 효과는 한정적이며 한계를 지닌 효과라고 할 수 있다. 반면에 온라인 게임업체가 노출되는 위험요소는 Vista의 사용자 저변 확대에 따라 매우 심각하게 높아질 가능성이 있다.

 

효과적인 대책을 수립하지 않을 경우에는 향후 온라인 게임에 대한 Abusing 증가로 인해 심각한 피해를 입을 수 있으므로 단계적인 강화 조치와 운영체제 개발사에서의 특수성 인정이 필요하다. ActiveX의 활용 부분은 중요한 기술 이라는 측면 보다는 사용자의 웹 서비스 접근 환경에서 직접적인 효과를 실행 할 수 있는 접근 도구로서의 측면을 보아야만 한다. 사용자의 PC에 악의적인 소프트웨어를 설치하는 유형만 존재하는 것이 아니라 긍정적으로 활용되는 부분도 존재 하였으므로 다른 시각에서 바라보는 것도 필요하다. 운영체제 개발사의 적극적인 의지가 없이는 어려운 대책이 많은 관계로 향후에도 어려움은 지속되고 심화 될 것으로 보인다.

 

운영체제의 구성환경의 극단적인 변화는 특정 온라인 서비스 산업의 흥망과도 직접적인 관련이 존재한다. 특히 권한제어 부분에 대한 것은 상당히 민감할 수 밖에 없는 사안이다. 온라인 게임에 대한 Abusing 대응이 운영체제 개발사에 있는 것도 아니며 일차적으로 온라인 게임개발사에 책임이 있는 상황에서 현재 Vista에 적용된 보안모델은 일정 수준의 협의가 되지 않을 경우 문제가 될 수밖에 없으며 근 시일 내에 직접적인 영향을 미칠 것이다. ActiveX의 실행제한은 부수적인 문제이나 UAC를 통한 권한 승인 부분은 점진적으로 확대되는 문제라고 볼 수 있다.

 

온라인 게임 유저들을 정보유출로부터 보호하고 온라인 게임 서비스를 보호하기 위해서는 현재 활성화된 보호대책들을 선별하여 해당 보호 대책들이 적극적으로 활성화 될 수 있도록 협의 하는 것이 필요하며 적극적으로 노력 해야만 한다. 위험요소는 앞으로 새로운 운영체제가 대중화 될수록 심화될 것이다.

단기적으로는 악성코드 유형과 사용자 보호를 위한 유형을 구분 하는 방안 수립을 진행 하여야 하며 장기적으로는 특정 플랫폼에 편향된 방향을 극복하도록 노력하는 것이 중요한 과제라 할 수 있다.

 

온라인 게임에 대한 보안적인 측면에서만 보았을 때 현재 Vista의 출시는 악재에 가깝다고 할 수 있다. 장기적으로 좋지 않은 영향을 확대 시키는 악재이지만 지금 이 순간 눈에 보이지 않을 뿐이다.

 

위험성 확대 이전에 적극적인 해결책을 모색하는 것이 필요한 시점이다.

 

 

Posted by 바다란
 
- 이번 단락에서는 게임내의 Abusing 유형과 악성코드로 인한 피해를 간략하게 살펴보는 장입니다.
 

 

 

 

2.3.                        게임내의 Abusing유형

 

직접적인 해킹 이외에도 온라인 게임에 영향을 미칠 수 있는 보안적인 이슈로는 Abusing을 예로 들 수 있으며 각 Abusing유형은 특정 온라인 게임에 한정되어 발전이 되는 경향을 보이고 있다. 즉 특정 온라인 게임에만 특화된 Abusing 솔루션들을 통해 선의의 게임 사용자에게 영향을 미칠 수 있고 피해를 입힘으로써 사용자의 접근성을 떨어뜨리게 되고 정상적인 게임 사용자가 피해를 입음으로써 사용자의 이탈까지도 유발하게 되는 중요한 이슈가 된다.

게임 내에서 이루어지는 Abusing 영역은 다음과 같이 세분화 하여 나열 할 수 있다.

기술적인 부분과 작동 방식에 따른 분류이다. 가장 기본적인 부분은 온라인 게임의 실행 클라이언트 프로그램에 대한 Binary 분석과 실행구조의 분석을 통해서 이루어 지며 간단한 기술부터 전문적인 기술 영역까지 혼재하고 있다.

 

Memory Hack : 온라인 게임 클라이언트 프로그램에서 사용하는 메모리 주소를 조작함으로써 게임의 아이템 비율을 조작하거나 승부를 조작할 수 있는 유형

Macro: 사용자의 입력 없이 자동으로 게임을 진행 하도록 하는 유형

Speed Hack: 클라이언트 PC의 속도를 조작하여 게임의 속도를 조작하는 유형

Debugging: 게임의 로직을 분석하고 게임 클라이언트 내의 숨겨진 정보를 분석하여 활용 하는 유형

Packet Hack: 게임 클라이언트와 서버간에 주고 받는 패킷을 조작하여 게임을 컨트롤 하는 유형

Client Manipulation: 게임 클라이언트 프로그램의 변경 및 조작을 통한 컨트롤을 하는 유형

 

1. Abusing 방식과 대응

Abusing 유형

방식

대응

Memory Hack

Memory를 외부 프로세스에서 접근하여 조작함, 커널레벨에서는 타 프로세스 접근 가능한 점을 이용하여 조작

Memory Hack 관련 process의 접근 차단 , Memory I/O 관련 함수 Hooking 차단

Macro

키보드 및 마우스 이벤트를 프로그램적으로 발생 시키고 발생된 이벤트에 의해 게임이 반응

Port IO 모니터링 , Filter Driver 사용 , System Function call 차단 방식을 활용

Speed Hack

PIT (Programmable Interval Timer)변조 , Time 관련 함수의 Hooking

Time 관련 함수 Hooking 차단 , CPUClock을 검사하여 변조 감시

Debugging

OllyDbg SoftIce와 같은 Debugging 도구를 이용하여 조작

게임 실행 process hiding , 실행파일 변조여부 확인 , 실행파일 protect를 통한 차단

Packet Hack

Socket 관련 함수 Hooking , TDI , NDIS 등의 packet filter 활용

악의적인 process 접근 차단 , API Hooking 차단

Client Manipulation

Client에 다운된 게임 관련 파일의 직접조작 , 파일 관련 함수를 Hooking하여 조작

게임 실행 파일의 Checksum 검사 , 중요 기능에 대한 검토 이후 실행 루틴 적용등

 

Abusing 유형에 대해 대응 하는 방식은 표 1. Abusing 방식과 대응에서 기술된 것과 같은 유형으로 대응을 진행하고 있다. 그러나 표 1과 같은 다양한 Abusing 유형에 대해 대응 하기 위해 게임 클라이언트 프로그램 차원에서 protect를 하는 것은 매우 어려운 일이며 게임을 위한 게임 프로그램보다 차단을 하기 위한 프로그램적인 기능이 더욱 구현하기 어렵고 큰 영역을 지니고 있다. 따라서 일반적으로 다양한 Abusing 위험을 제거 하고 게임 클라이언트를 보호하기 위해 게임보안툴을 적용하는 것이 일반적이다. 게임보안툴의 적용은 게임 실행 초기에 실행이 되고 정상 상태를 확인 한 이후 게임실행 중의 Abusing 행위를 방어하는 역할을 수행한다.

 

 

그림 4 packet 조작을 위한 send 함수

 

그림 5. packet 조작을 위한 send 함수 변경

 

그림 4 packet 조작을 위한 send 함수, 그림 5. packet 조작을 위한 send 함수 변경에서는 packet hack을 위해 packet 전송을 하는 루틴을 debugger로 확인을 한 내용이다. 그림 4 packet 조작을 위한 send 함수에서 선택된 send 함수가 그림 5. packet 조작을 위한 send 함수 변경에서 packet을 가로채어 전송하는 packet manipulation 도구의 send 함수로 바뀌어 진 것을 볼 수 있다. 위와 같은 Packet Hack의 기능은 게임 실행 프로세스에 packet 전송을 가로채는 도구를 간단하게 Attach만 시키면 되는 조작 기법이다.

 

게임보안툴의 사용을 통해서 표 1. Abusing 방식과 대응에 기술된 다양한 영역의 Abusing을 방어하여 게임을 보호하고 있으나 공격 기술의 발전이 빨라 대응에 어려운 점이 있다. 게임보안툴의 사용 이외에도 게임의 구조를 서버 단위의 실행 구조로 변경 함으로써 대응을 하고 있으나 전체의 기능을 변경 할 수 없는 게임의 특성상 발전하는 Abusing에 대해 모니터링을 통한 감시와 게임보안툴과 게임 실행 구조의 변경을 통한 안정성 확보만이 주된 방안이라 할 수 있다.

 

1. Abusing 방식과 대응 의 대응 방식에서 보듯이 게임클라이언트는 사용자가 클라이언트 프로그램을 사용자의 PC에 다운로드 받고 설치 한 이후에 실행을 하는 구조이다. 따라서 사용자 시스템의 주요 기능들을 이용할 수 밖에 없다. Abusing 유형에서도 보듯이 시스템의 기능들을 이용하여 실제 클라이언트의 기능이나 효과를 변경 함으로써 게임에 영향을 미치는 것을 볼 수 있다. 게임보안툴의 사용은 사용자의 시스템에 일정부분에 대해 제한을 가하는 구조이며 시스템의 하위 권한까지도 충분히 부여가 되어야만 한다. Vista와의 충돌은 시스템 권한의 부여에서 시작된다.

 

2.4.                        악성코드를 이용한 사용자 정보 도용 위험

 

2005년 이후 온라인 게임업체 및 IT 관련 서비스 업체에 영향을 미치는 중요요소로서 사용자 정보를 유출 하기 위한 악성코드의 설치를 들 수 있다. 현재까지도 줄어들지 않고 있는 상황이며 향후에도 지속될 것으로 예상이 된다.

주된 악성코드의 유형은 사용자의 계정정보를 유출하기 위한 Key logging 기능이 일반적이며 사용자의 ID Password를 공격자가 지정된 장소로 전달 되도록 하는 유형이 가장 큰 피해를 입히고 있다.

Key logging 을 시도하는 악성코드를 유포하기 위해 국내 대규모 사이트를 해킹하여 다수의 사용자에게 유포하도록 함으로써 피해를 입힌 경우가 다수 존재 하였다. 사이트를 해킹한 이후 사용자 정보를 유출하는 악성코드를 해당 사이트에 접근 하는 사용자에게 Windows 취약성을 이용하여 자동 실행 되도록 하였으며 사용자의 ID/ Password를 유출하도록 동작 되었다. 그림 6. 악성코드 제거 결과 Hangame 전용백신은 한게임에서 제공하는 온라인 게임백신에서 탐지된 한게임 관련된 악성코드 제거 결과로서 한게임 사용자를 대상으로 한 악성코드를 제거한 결과이다.

그림 6. 악성코드 제거 결과 Hangame 전용백신

 

그림 6. 악성코드 제거 결과 Hangame 전용백신의 결과는 2006 9월에서 10월까지의 한달 가량의 탐지 결과로서 특정 기간에 탐지 횟수가 급증하는 것을 확인 할 수 있다. 결과가 급증된 구간은 대규모 사이트를 통해 악성코드가 사용자에게 유포된 이후 악성코드에 대한 분석이 완료 된 이후  한게임 전용백신을 통해 온라인 상에서 사용자의 PC의 악성코드를 탐지 및 제거한 내용이다.  최초 악성코드 발견 이후 평균 이틀 정도의 시간 간격으로 악성코드를 제거 하도록 업데이트를 하였는데 탐지 결과가 대폭 증가하는 것을 확인 할 수 있다. 그림 6과 같은 증가 유형은 전용백신 서비스를 시작한 2006 1월 이래 줄곧 반복되어온 유형이며 대규모 사이트가 해킹 되어 악성코드가 유포될수록 매우 많은 탐지 및 제거 결과가 나오는 것을 확인 할 수 있다.

 

현재에도 온라인 게임에 직접적인 위협이 되는 사용자 계정 유출 악성코드는 변형이 계속 나오고 있으며 기법적으로도 다양하고 수준 높은 공격유형들이 출현하고 있어서 대응이 어려운 면이 존재한다. 사용자의 PC에 설치된 백신의 경우 탐지 및 업데이트까지 걸리는 주기가 길어 실제적인 효과를 보는 것이 어려운 경우도 있다. 규모가 큰 온라인 게임사 이외에도 주요 온라인 게임 전체를 대상으로 하고 있어서 지금도 많은 계정 유출 피해가 우려 되고 있다.

 

그림 7. 온라인 게임에 대한 악성코드 공격 분석

 

그림 7. 온라인 게임에 대한 악성코드 공격 분석은 사용자 정보 탈취를 위한 악성코드의 실행 과정 및 진행 상황을 도식화한 것이다. 그림 7. 온라인 게임에 대한 악성코드 공격 분석의 설명에서 볼 수 있듯이 2006년 하반기 이후에는 신규 취약성 및 백신에 탐지가 되지 않는 형식의 악성코드를 유포하여 보안패치와 보안 솔루션을 사용하는 사용자에게도 일부 피해가 발생하고 있는 실정이다.

악성코드를 이용한 사용자 정보 유출로 인해 온라인 게임업체들은 많은 비용과 전문인력을 투입하여 게임을 보호하고 사용자를 보호하는 방안을 고민 할 수 밖에 없는 상황이다.

현재 유포되고 있는 악성코드는 종결형이 아닌 현재 진행형이고 앞으로도 끊임 없이 나타날 현상이라 할 수 있다.  키보드보안 솔루션과 보안패치서비스, 온라인게임 전용백신서비스 등 다양한 보호방안을 만들어 전체 위험요소의 대다수를 제거하여도 새롭게 발전하는 공격기술의 진화속도를 따라 가는 것은 어려움이 따를 수 밖에 없다. 일부 피해는 계속 발생할 것이고 피해를 줄이기 위한 노력도 계속 될 수 밖에 없다.

 --Continue

* 다음장에서 Vista의 보안과 최종 결론을 도출합니다. 그건 내일..

Posted by 바다란

본 논문은 정보보호학회에 기고한 논문입니다. 며칠전 예고한 대로 3 부분으로 나누어서 올릴 예정입니다.

Vista의 출시에 따른  IT 산업별 이슈에 대해 종합적인 시각이 없는데 그 처음으로 온라인 게임산업 부분에 대해 작성된 내용입니다. 향후 여유가 허락하는 대로 다른 분야 혹은 MS의 의중등에 대해서 전체 IT산업과 연관하여 풀어보도록 하겠습니다.

 

현재 업로드되는 부분은 총 3단락중 첫번째로 온라인게임의 직접적인 해킹과 위험요소에 대해서 기술한 부분입니다. 다음 단락은 게임내의 어뷰징 유형과 악성코드를 통한 정보유출 유형이 소개 됩니다. 마지막 최종 단락에서는 Vista에서 강조된 보안 부분이 온라인 게임산업에 어떤 영향을 미칠지를 분석한 내용입니다. Abusing의 극심한 증가와 대응책의 부재가 문제라는 점을 지적할 것입니다.

의견 있으신분 언제든 의견 주세요.

 

 

 

1.     서론

현재의 게임의 환경에서 운영체제가 가지는 의미는 중요한 요소를 포함하고 있다. 온라인 게임의 개발에는 특정 운영체제에 한정되어 개발되는 부분이 많았으며 다양한 운영체제로부터의 접근성을 보장하지는 않는다. 따라서 운영체제의 실행 환경이 변경 된다면 다양한 구조적인 변화를 할 수 밖에 없다. 2007 Vista 의 출시와 함께 촉발되고 현실화된 온라인 게임의 위험요소와 보안의 관점에서 바라본 Vista 출시로 인한 문제점들을 짚어보고 향후 방안에 대해서 고민을 하는 과정이 필요하다.

 

2.     온라인 게임의 환경과 위험요소

2.1.                       게임의 환경

게임의 환경 측면에서는 보안적인 이슈와 관련이 있는 부분에 대해서 한정하여 살펴보고 전체적인 게임의 환경에 대해서는 언급을 하지 않도록 한다. 게임에서 운영체제의 급격한 정책 변경은 큰 영향을 받을 수 밖에 없다. 운영체제에 부여된 일반적인 기능과 접근 방법을 통해 실행이 된다는 점에서 보면 정책의 변경은 큰 영향을 미칠 수 밖에 없다. 국내의 온라인 게임 상황에서는 대부분의 게임이 Windows 베이스의 게임을 제작하고 있으며 온라인 상에서 실행을 시키는 메소드를 활용 함으로써 사용자의 접근을 유도하고 있는데 IE7 Vista로 인해 변경된 정책은 큰 영향을 미칠 수 밖에 없다.

 

성공적인 게임의 런칭 이후에 운영에서 가장 중요한 영향을 미치는 이슈가 보안이며 단계별 보안이 이루어 지지 않는 게임은 안정적인 운영을 하기 어려운 상황에 쉽게 처할 수 밖에 없다.  IE7 Vista에서 가장 중요하게 강조되는 기능이 보안 기능의 강화라는 측면에서 온라인 게임은 영향을 받을 수 밖에 없으며 다소간의 긍정적인 효과와 부정적인 효과를 동시에 받을 수 밖에 없다. 본 논문에서는 긍정적인 효과와 부정적인 효과를 찾아보고 영향력과 파급효과는 어느 정도 인지 확인을 하도록 한다.

 

온라인 게임에 직접적인 영향을 미치는 보안적인 이슈 측면에서는 크게 세 가지 유형으로 살펴 볼 수 있다. 직접 해킹을 통한 게임의 피해 , 게임내의 Abusing을 통한 피해 , 악성코드를 이용한 사용자 정보의 유출로 구분을 할 수 있다.

 

 

2.2.                       직접 해킹을 통한 게임의 피해       

 

게임의 웹서버 및 Database서버와 같은 Game Infra 구성요소에 대한 직접 해킹을 시도 함으로 인해 발생하는 피해를 총칭하며 2005년부터 급증하기 시작한 웹 서버에 대한 해킹 시도 및 Database에 대한 직접 해킹 시도들이 다 포함이 된다. 웹 서버의 웹 어플리케이션의 취약성을 이용한 (SQL Injection , File Upload / Download , Privilege Escalation ) 공격 유형이며 공격을 통해 웹서버의 관리자 권한을 획득한 이후 자유자재로 조작하는 것을 의미하며 Database 서버에 대해 직접 Query 등을 통해 사이버 머니 혹은 아바타 획득과 같은 인위적인 조작을 가하는 것을 의미한다. 직접 해킹으로 인한 피해는 단계별 보안 대책 수립과 웹 어플리케이션 보안성 강화에 따라 점차 감소 추세를 보이고 있으나 여력이 부족한 신규 게임업체나 중소 게임업체에는 여전한 위협이 되고 있는 실정이다.

그림 1. SQL Injection Attack Example

 

그림 1. SQL Injection Attack Example의 경우는 웹 어플리케이션의 취약성을 이용하여 웹서비스의 권한을 획득한 이후 데이터베이스에 접근하는 계정을 통해 데이터베이스의 내용을 가져오는 공격도구의 모습이다. 웹 어플리케이션에서 사용되고 있는 URL의 인자에 대해 Validation 검증이 제대로 되지 않은 취약성을 이용하여 SQL Query를 실행 시킴으로써 권한을 획득하는 SQL Injection 공격 기법을 사용 하였다.

 

그림 1. SQL Injection Attack Example에서 보인 SQL Injection 공격 이외에도 다양한 공격 기법으로 웹 서버와 서비스를 공격하여 권한을 획득하거나 제어 함으로써 직접적인 피해를 입히는 경우는 일반적인 유형이라 볼 수 있다.

2005년 이후의 공격 유형의 특징을 보면 시스템 및 운영체제에 대한 직접적인 해킹은 줄어드는 경향을 보이고 있으며 Application에 대한 공격 유형이 일반화 되는 경향을 보이고 있다. 즉 운영체제를 이용하여 동작을 하는 Application의 취약성을 이용하여 공격하는 동향을 볼 수 있으며 공개 소프트웨어의 취약성을 이용하는 Application Attack의 일반화를 확인 할 수 있다.

그림 2. Attack flow

 

그림 2. Attack flow 에서 전체 해킹 동향의 변화 흐름을 보이고 있다. 2004년 이후부터 개별 Application에 대한 공격이 증가됨을 볼 수 있으며 2005년에 이르러 자동화된 Application 공격이 나타나고 2006년 이후로 계속 Application에 대한 공격이 증가 되는 경향을 나타내고 있다. 전체 취약성의 발견 비율에서도 Application 취약성에 대한 발견 비율은 급증 함을 볼 수 있다.

그림 3. securityfocusMS 관련 취약성

 

그림 3. securityfocus MS 관련 취약성에서 Securityfocus ( www.securityfocus.com) 사이트에 보고된 Microsoft 사의 제품 취약성에서도 운영체제가 아닌 개별 Application에 대한 취약성 보고가 증가됨을 확연하게 확인 할 수 있다.

 

Application 취약성은 계속 증가하고 있으며 취약성에 따른 웹서버와 서비스에 대한 해킹은 계속 증가하는 것을 확인 할 수 있다. 온라인 게임 서비스에서도 동일한 규칙이 적용 되고 있으며 부실한 웹 서비스 코딩 과 게임 관련된 데이터베이스 서버의 관리의 부실로 인해 전체적인 취약성과 공격 동향에 따른 위험성은 계속 증가되고 있는 상황이다.  특히 웹 어플리케이션을 통해 온라인 게임 유저와의 접촉을 유지하고 있는 온라인 게임사의 경우 웹 어플리케이션의 문제는 대외적인 신뢰도 하락 및 게임사의 인프라 내부망까지 침입을 입을 수 있다는 개요를 포함하고 있어서 치명적인 이슈가 될 수 있다.

 

- Continue...
* Application 취약성 관련 하여서는 본 논문 작성 이후 바로 나온 Ani Cursor 취약성이 있습니다. ^^

 

 
Posted by 바다란