태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

History of p4ssion (바다란) - 2011.12.06 (계속 갱신 예정)

 

15년 가까이 이 분야를 보면서 여러 활동을 했었습니다. 본 컨텐츠는 여기저기 흩어져 있는 기록과 문서를 종합하기 위해 작성 합니다. 또 지난 십 년 이상의  IT관련 중요 이슈들에 대한 Security 측면의 내용들과 거기에 대한 기록들도 일부 보실 수 있을 것입니다. 공개문서나 컬럼만을 기준으로 정리 하도록 하겠습니다.

 

1998.해커의 길 그리고 나의 길  http://p4ssion.com/233

1999. 프로그래머가 되는 길http://p4ssion.com/232

2002.8 Threat of china – 중국발 해킹에 대한 최초 보고서. 이때부터 향후 중국의 공격기술에 대해 심각한 주의를 기울여야 된다고 경고함. (이 당시만 해도 중국은 체계적이고 고급화된 역량을 보유 하지는 못했으며 외부 공개된 공격기술의 집합을 이용 했습니다. 지금은 독자적인 도구와 공격기법으로 무장하고 있죠. 10년 가까운 시간이 흐른 지금은 전 세계 누구도 부정하지 못할 사안입니다만 과연 2002년에도 그랬을까요?)


2002.8 브라질 해킹 그룹분석 중국에 이어 브라질 해킹 그룹에 대한 분석과 영향에 대한 문서

 

2002.10 Critical Alert for Cyber terror – 이 또한 국내외를 포함하여 최초의 SCADA & DCS 기반시설에 대한 문제와 대응 방안을 설명한 종합문서. ( 이 당시 국내외를 막론하고 SCADA DCS에 대해서 이해하는 사람도 매우 극소수이고 더군다나 보안의 관점에서 보는 사람은 거의 없었습니다. 전 세계적으로 매우 극소수.. 그러나 이건 2010년의 Stuxnet과 현재의 듀큐로 인해 확실하게 증명이 되죠. 너무 빠른 것도 문제이긴 합니다. )

 

2003.1.25 대란 – 1.25 대란의 최초 신고자 및 분석자 ( 최초 신고자 맞습니다. ^^)

1.25일 당일의 1차 분석 문서 
 

1.26일의 2차 분석 문서

1.27 . 최종 시나리오 분석 문서

 

2005– 1.25대란에 대한 최종 의견 -http://p4ssion.com/117  KT 내부망에서 시작

 
 
2003.8 RPC Worm 확산에 따른 분석 문서


 

2005.1 Application Attack 에 대한 문서 – PHP Mass Attack에 대한 분석과 대응방안

 

2005.3 해커의 길 II - http://p4ssion.com/228

2005.4 Zeroday 웜에 대한 발표, 공격기법 분석과 향후의 발전 예상

 

2005.10 Threat of China 공격 분석 및 대책 발표 향후 웹 공격에 대한 집중도가 높아지고 자동화 되어 위험성이 높을 것임을 예상하고 분석한 발표자료, 대응 방안으로 2006 SourceForge에 등록한 Gamja가 처음 선을 보임.


2006.2 Winamp Application 문제의 현황 및 해결

 

2006.6 개인사용자를 위한 정보보호 실천가이드 문서

 

2006.10 해킹의 발전과 대응 발표 내용은 항상 유사합니다.


2006.11  중국발 해킹 분석 및 대응, (기업차원의 방안) 발표자료.


2007.4 게임산업에서의 Vista 파급효과와 보안의 이슈 문서

 

2007.6 Web 2.0 위험요소와 대비. 발표자료

 

2007.11  IT서비스의 위험과 향후 대응 문서

DDos와 악성코드 확산 모델, 대응 방안에 대해서 기술한 문서.. 대책이 제대로 되었다면 이후의 7.7 DDos 3.4 DDos도 헤프닝으로 끝날 수도 있었을텐데현재까지도 매우 부족한 부분들이 되겠습니다. 앞으로도 많이 해야 하는 부분이기도 하구요.

 

2008.01 Enhanced web, Enhanced Risk –발표자료. Web 2.0의 위험에 대한 발표

 

2008년 이후는 컬럼을 주로 활용 하였습니다. 

Bloter.net  - http://www.bloter.net/archives/author/p4ssion

Zdnet - http://www.zdnet.co.kr/column/column_list.asp?column=0135

이외 보안뉴스, 전자신문이 있습니다.

 

2009. 07 . 7.7 DDos에 대한 내용. DDos 악성코드 유포에 대한 추론과 사실 문서

 

2009.11 Inevitable Cyber warfare – 7년만에 내 놓은 SCADA & DCS 위협에 대한 갱신문서 사이버 아마겟돈 시나리오 가이드 하면서 갱신판을 작성함. 이후 2010 Stuxnet 출현

 

2009.11 Change of global threat – 컬럼

 

2010.07 DDos문제의 핵심과 변화에 대하여 문서

 

2010.11 네트워크 단위 보안 솔루션의 미래와 전략 발표자료 - Concert

 

2010.11 에스토니아 7.7 그리고 미래대응 발표자료 – Ddos 공격과 국가간 사이버전에 대한 분석

 

2011.3 위기의 인터넷 (현재의 위협과 미래 대응) – 발표자료

 

2011.07 해커의 길, 전문가의 길 발표자료 방향성 제시를 위한 자료

 


현재까지 검색을 통해 확인한 발표자료와 문서들입니다
. 제가 만들었던 자료를 검색을 통해 찾아야 하는 상황이 어이없긴 하지만 ^^; 아직 찾지 못한 문서들도 있고 수록 되지 않은 발표자료들도 있습니다. 이 부분은 차후 계속 갱신 하도록 하겠습니다. 이외에도 프로그램이나 의미 있는 변화를 가져왔던 내용들도 있는데 기업에서 시행 했던 것들 중 대외적으로 영향이 있었던 두 가지만 언급 하도록 하겠습니다.

 

2005 . 온라인 보안패치 서비스 실시 이전까지의 보안 업데이트는 패치를 MS 웹사이트에서 방문하여 다운로드 받아 설치하는 유형이였으며 이 당시 국내 기업 (소프트런? )과 처음으로 웹서비스에서 자동으로 설치되는 서비스를 운영 하였습니다. 최종 기억으로는 1200만대 가량의 PC에 보안패치를 깔았던 것으로 기억 합니다. 이후 2006년 부터는 MS의 패치 정책이 자동업데이트 방식으로 변경 하는데도 영향을 주지 않았을까 싶습니다.  공격자들이 가장 많이 활용하는 취약성에 대해서 패치를 함으로써 공격자들에게도 영향을 미쳤다고 보고 있습니다. –  http://blog.naver.com/p4ssion/50004629544  관련 기사입니다. 이 블로그도 폐쇄 했지만 자료보관 용도로 남겨 두고 있습니다. 

 

2007. End to End 단계의 키입력 보호 시스템  - 이 당시까지 가장 유행하던 공격기법은 BHO를 이용한 계정 탈취 기법 이였고 이것을 막기 위해 제안한 보호 시스템입니다. 이건 네이버에서 지금도 운영 되고 있죠. 1,2,3 단계 각각마다 의미가 있고 보호율이 매우 높은 체계 였습니다. 이후에는 다수의 기업들에서 모방이랄까? 뭐 그렇더군요. 현재도 유효한 방안입니다.

 

회사의 경력은 너무 지저분(?) 하여 따로 기술하기가 민망합니다. 쓰다보니 요즘 유행하는 나꼼수의 깔때기 성향이신 분하고 비슷한 스타일이 되었네요.

 

정리하면서 보니 정말 유사한 말을 많이도 했네요. 그래도 세상은 아주 조금씩 밖에 변하지 않았고 위험들은 그대로 입니다. 앞으로는 말이나 글보다는 직접적으로 보여 줄 생각입니다. 이미 일정궤도에 오른 상태이고 어떤 식으로 눈 덮인 길을 헤쳐 나가는지 진지하게 보실 수 있으실 것입니다. 

 
바다란 세상 가장 낮은 곳의 또 다른 이름

Posted by 바다란

* Facebook에 올렸던 촌평을 묶어서 게시한 내용입니다. - p4ssion

Chinese Military Suspected in Hacker Attacks on U.S. Satellites - Businessweek
 

http://www.businessweek.com/news/2011-10-27/chinese-military-suspected-in-hacker-attacks-on-u-s-satellites.html

블룸버그 뉴스보도 입니다. 2007년과 2008년에 미국의 기상관측 위성과 지형관찰 위성에 4회 정도의 침입이 있었다는 보도 입니다. 

항상 오해를 하는 것이 위성을 해킹한다는 것은 위성에 직접 침입한다는 것이 아니고 위성을 조정하는 지상의 시스템을 권한 획득 했다는 것이죠. 마찬가지 결과 입니다만 항상 오해를 하죠.

실제 위성에 대한 권한 획득이나 외부조정의 배경에는 중국 군부가 있을 것으로 당연히 예측 되었으나 중국은 부인 하죠.

실제 사이버전의 배경도 마찬가지 입니다. 외부세력에 의해 분쟁이 조정 될 수도 있고 또 다른 세력에 의해 사이버전이 조장 될 수도 있습니다. 그만큼 실체와 정체를 확인 하기가 어려운 전장임은 분명합니다.

또 상대방을 조작하기에도 손쉬운 전장이구요. 미국에서 사이버전을 제 5의 전장으로 정의하고 물리적 전투력을 투입 하겠다는 것은 그래서 위험한 발상입니다. 위험한 발상이지만 그만큼 극도로 위협을 받고 느끼고 있다는 것의 반증이기도 하죠.

그럼 우리나라는??. 

흐 손이 아프니 그만 하도록 하죠.




China a minimal cyber security threat: Paper

관련 기사 및 Report 입니다. 한번 일독은 필요한 부분 입니다.
http://www.computerworld.com.au/article/405767/china_minimal_cyber_security_threat_paper/

http://www.securitychallenges.org.au/ArticlePDFs/vol7no2Ball.pdf   

중국의 단점은?. 한쪽으로 너무 치우쳐진 불균형적인 사이버전 전력.

극단적인 공격 측면에만 치우쳐져 있고 실상 방어에는 무기력한 면을 보이고 있다는 점. 단순한 기사들과 관련 기사들을 묶어서 종합적인 의견을 도출해낸 페이퍼 정도. 그냥 일상적으로 알고 있는 내용을 묶었다고 생각 하면 될듯.

공격에는 극한대로 올려진 공격력을 가지고 있으나 좀 더 복잡하고 하이브리드한 공격에는 약하며 ( 뭐 시간이 해결해 주겠지만.) 방어 측면에서는 상당히 취약함을 보임. 그러나 가장 두려워 해야 할 곳들은 어디인가를 살펴야 하는데 그게 부족한듯.


ICT가 활성화 되어 활발하게 활용되고 있는 모든 국가들 ( 아마 선진국이나 그 문턱에 걸려 있는 모든 국가가 해당됨), 즉 지켜야 할 것이 많은 국가들은 반드시 방어와 보호에 역량을 갖추어야 된다. 무조건 공격이나 탐지 되면 미사일 쏘겠다는 엄포로는 씨알도 안먹힌다는걸 알아야 되는데 안타까움.

일정수준 이상의 대응 경험, 계속 갱신되는 환경과 정보에 대한 업데이트, 다양한 대응수단, 일정 수준 이상을 항상 유지 할 수 있는 도구나 서비스의 자체 운영 등등.. 해야할 과제들이 이렇게 많은데 그냥 넋을 놓고만 있다.

일단 당하면 시작하자 ..이기도 하고 너무 무지해서 이기도 하며 정보통신은 그저 사회를 유지하는 도구일뿐이라고 생각하기 때문이기도 하다. 

인간의 단어는 사람 사이이고 사람 사이는 관계를 의미한다. 이 관계가 사회를 이룬다. 지금의 ICT 는 관계를 시.공간적으로 단축하고 즉시적 반응을 끌어내는 핵심적 도구다. 즉 사회의 기반이라는 말이다. 왜 SNS 인가? 부터..

허긴 당하고서도 허송세월 하기도 하는데 .. 다른 나라들을 말할때가 아니기도 하지.



Process, not just product, will save your IT department • The Register

http://www.theregister.co.uk/2011/10/26/rtfm_process/
 

일단 여기에 대한 의견은 많음. Grossman 의 의견도 맞지만 프로세스가 모든걸 해결 하지 않으며 그 프로세스가 또한 정답이 될 수 없음. Intermediate 한 도구 및 프로세스가 결합되어야 하는데 현재는 그것과 거리가 있음. ITIL 이나 Cobit , ISO27K 등도 모두 유용한 프로세스이나 이 프로세스를 도입하여 적용 하기에는 성숙도가 너무 떨어짐.


부유하고 여유가 있는 자들만이 이 세상을 가치있게 만드는 것이 아님.
모든 사람들에게 공정한 기회가 주어져야 하고 보안도 마찬가지 여야 된다고 생각함.

지금까지는 가진자들에게만 모든 보호 방안들이 주어졌으나 이제는 그렇게 되어서는 사회 나 시스템 전체를 레벨업 할 수가 없다고 보고 있슴.

그래서 본인의 선택은 ..모든 것을 자세하고 완벽하게 하기 보다는 가장 시급하고 손쉽게 공격당하는 부분들에 대해서 체크하고 아주 저가에 진단이 가능하며 실질적인 코딩 가이드까지 된다면 일차적인 문제는 해결을 할 수 있다고 봄.

빈자나 부자에게나 공정한 기회. 그 기회는 서비스로서 주어질 수 있다.

항상 보안을 한다고 하면 비싼 장비를 먼저 도입하는 것이 순서이고 당연한 것처럼 여겨졌으나 이 문제들은 앞으로도 공격기술의 빠른 진보에 의해 손쉽게 무너질 모래성임. 그렇다고 도입 하지 말자는 아니며 도입하되 더 중요한 가치를 어떻게 지키고 전체의 수준을 어떻게 유지 할 수 있을 것인가에 대한 고민이 필요하다는 점.

부자는 전체를 살펴 볼 수 있게 해주고 빈자에게는 당장의 시급한 문제를 해결 할 수 있게 해준다가 빛스캔의 서비스 컨셉임.

다만 한국에는 실정상 맞지 않는 부분이 있고 이미 알고 있는 부분이며 지금의 서비스 오픈은 차후를 대비한 명분축적용. 이미 글로벌 적용은 눈앞에 온 상황이고 거기에 포커싱이 되어 있을 뿐임.

제대로 되었을 경우의 뒷일에 대해선 언급 불필요.
알아서 느낄리도 없겠지만 댓가는 비싼 댓가를 치룰 것임.

이미 오래된 이야기이고 생각일뿐. 이젠 구체화의 타임.
앉아서 세상을 본다. 이게 인터넷이고 평등한 세상. 모두가 위협을 받는 평등한 세상에서 기회란 접근성의 확대와 시대적 문제를 해결 할 수 있느냐 이고 아직 이런 개념을 가지고 준비하는 곳은 없다. 오로지 돈이 목적일뿐.

이상과 방향이 없는 기업이나 서비스 모델은 이래저래 바뀌고 변경 되다 누더기가 되게 마련이고 종래에는 흔적없이 사라지게 마련이다. 그렇게 만들지는 않을 것이다. 어차피 대상은 여기가 아니니까..



Strong increase in hacker attacks targeting retailers - Security Park news

http://www.securitypark.co.uk/security_article266904.html

Dell Secure works에서 소매점 대상으로 분석한 공격의 증가 현상과 원인에 대한 내용. 의미 있는 내용들이 있슴. 이제 해외에서도 상황에 대한 기본 인지가 되어 간다고 봐야 할듯. 그러나 해답은 저기 먼 안드로메다에 여전히 가 있는 상태. 어쩌면 말그대로 자포자기 상태로 가는지도 모르겠다. 

지금껏 그 완벽한 보안솔루션 ( 최초 혹은 완벽 이라는 말이 안 붙은 솔루션이 있던가? .. 단지 현혹을 위한 단어 선택이라면 앞으로 계속 후회하게 될듯) 들의 역사는 그리 오래 되었음에도 불구하고 문제는 계속 더 커지고 확산 되는가 .. 고민이 필요하다.

간단하게 요약하면 전년대비 소매점으로 부터 들어오는 의심 트래픽에 대한 차단이 거의 43%가량 증가 했다는 이야기이고 이 근간에는 세 가지 주요 요인들이 존재 한다고 분석 .

1. SQL Injection에 의한 직접 정보 탈취 및 권한 탈취 -서비스 영역 

2. Web kit에 의한 대규모 확산 - 뭐 별거 아니다. Web으로 조정이 가능한 Web bot 정도 생각 하면 된다. 예전 Botnet은 저리 가라 할 정도..

3. Web을 통한 Download action에 의한 감염 - 이건 기본 보호 솔루션들을 통과하여 발생 하고 이후 Web kit을 전파하거나 다양한 공격 도구 및 권한 획득 도구를 시스템에 설치한다. 

이 세가지 항목 모두 사용자 베이스 및 서비스 베이스에 동일하게 발생이 된다는 것이고 근본적인 것은 단 하나다.

취약한 웹 애플리케이션에 의한 정보 유출 및 악성코드의 대규모 유포가 핵심!.
그리고 이 문제점을 수정 ,보완 하는 것은 매우 어렵다는 것을 의미한다. 수없이 많은 도메인 , 언제든 수시로 변경 되고 갱신되는 Web app 차원에 상시적인 보안을 유지 한다는것은 매우 어려운 과제이다. 앞으로도 계속 될 문제라는 것. 

앞으로 더 증가 할 것은 불을 보듯 뻔한 것 아니겠는가?
기존 도구들로 최대한 노력을 해보길~ 자신 이외에 주변 것들 까지도 같이 수준을 올려야 할 것이다. 듣기좋은 말 하지 않겠다. 할 수 있으면 해볼 것.

  
Posted by 바다란

진짜 SaaS (Security as a service)는 무엇인가? – 서비스 시작에 부쳐

-바다란

지금의 시기에 Saas의 필요성이란 공격자 우위의 현재 인터넷 상황에서 절대적으로 필요하다. 고급화되고 차별화된 진입장벽을 유지하고 있는 현재의 보안서비스로는 대중적으로 넓게 퍼지고 있고 빠른 확산력을 가지고 있는 공격도구와 기법에 대해 무기력 하기만 하다.

현재 상태에서 공격자들은 대규모적이고 자동화된 공격 방법을 다양하게 가지고 있으며 실제 활용하고 있는 상황이나 대응의 측면에서는 매우 제한적인 영향력을 가질 수 밖에 없다.

첫째는 비용의 문제

“ 보안 서비스를 받는 다는 것은 양질의 서비스를 고급화된 인력으로부터 받기 때문에 그만한 가치를 지불해야만 한다. 자주 변경 되는 웹서비스에 대해 매번 보안진단과 서비스를 받는다는 것은 배보다 배꼽이 더 큰 경우를 자주 양산하게 될 수 밖에 없다. 현재 국내의 상태에서도 보안서비스를 받는 기업의 비율은 전체 웹 서비스에서 10% 미만 이라고 볼 수 밖에 없다. 여력이 있고 지켜야 할 그 무엇이 있는 기업 군에 한해서만 서비스가 이루어 질 수 밖에 없는 환경 이기 때문이다. “

둘째는 기간의 문제

“ 일반적으로 웹 서비스의 개발기간은 그리 길지 않다. 정형화된 형태에 이미지 작업들이 다수 추가 되기 때문이며 아주 특화된 서비스가 아닌 경우에는 항상 일정 기한 내에 끝나게 마련이다. 대부분의 웹 서비스 개발의 문제는 제한된 기한내에 개발을 하되 보안성, 가시성, 편의성을 만족 시켜야 된다고 한다. 기한이 촉박한 경우에는 눈에 보이는 것만을 가지고 평가 할 수 밖에 없다. 즉 눈에 보이지 않는 보안성은 항상 뒷전에 물러날 수 밖에 없고 보이는 것만으로 평가를 할 수 밖에 없으며 개발 업체에서도 가시성과 편의성에 중점을 둔 개발을 할 수 밖에 없다.

잦은 변경이 있는 웹 서비스에서 일반적으로 보안진단을 하기 위해서는 웹 개발자보다 비용이 높은 보안전문가들을 투입하여 개발하는 기간 이상의 정밀 진단과 문제점 파악이 필요한 현 상황에서 비용대비 효과를 맞추기란 쉽지 않다.

잦은 변경과 점검에 걸리는 기간의 문제는 현재 웹 서비스의 보안성을 단순한 도구에 의존하게 하고 있으며 이 도구들은 우회 공격에 취약함을 보이고 있다. 근본 원인 제거 없이는 계속 될 수 밖에 없는 문제라는 것이다.”

셋째는 이해의 문제

“ 한 서비스에 대해서 진단이 되었을 때 그 서비스의 기술적인 보안 문제들을 장문의 결과 보고서에 기록하여 보내준들 그 문제를 이해 할 수준의 개발자들은 거의 없다. 사전식으로 정의 되는 모든 보안 문제들에 대해 일반적인 이야기를 할 때 개발자들은 어느 것을 먼저 해야 하는지? 또 이걸 했을 때 서비스에는 지장이 없는지를 확인 하기가 어렵다. 전문가들 조차도 제대로 이해하기 어려운 보고서의 내용들을 분야가 다른 비전문가들이 읽고 이해 하며 적용을 할 것이라는 것은 상당한 거리감이 있는 이야기 라고 보아야 된다.

문제의 포인트는 가장 시급하면서도 공격자들에게 가장 많이 이용되는 문제들을 지적하고 고칠 수 있는 방안을 실시간으로 제시 할 수 있는가 이다.  보고서와 가이드를 보고 자신의 코드에 적용 시킬 수 있는 사람들은 많지 않다. 그러나 어떤 개발 습관이 또 어떤 코딩이 문제가 있는지를 문제 부분을 지정하여 확인을 시켜 주고 또 재 검증을 할 수 있다면 문제가 달라 질 수 있다.

현재까지의 웹서비스에 대한 보안 방법들의 문제들은 모두 동일한 문제점을 가지고 있다. 사용자 친화적이지 못하며 근본 원인 해결을 위해 부족한 점 ( 비용, 기간, 인력)들이 많을 수 밖에 없다.”

비용과 기간, 이해의 문제를 해결 하기 위해서 필요한 것이 SaaS 서비스이며 보안서비스를 위탁받아 관리를 해주는 것과는 다른 부분이다.  전 세계적으로 가장 필요한 부분이며 가장 대중화된 서비스인 웹서비스 자체를 안전하게 만들기 위해서는 빠르고 직시적이며 바로 반영 할 수 있는 서비스가 절대적으로 필요 할 수 밖에 없다.  국내만의 문제가 아닌 전 세계적인 문제이다.


서비스로서의 보안은 문제 해결을 할 수 있어야 SaaS라 불려져야 한다.


실시간으로 URL을 입력하고 웹서비스의 문제점을 확인 한 후 문제점을 해결 하는 방안을 직시적으로 적용한다. 이후 제대로 적용이 되었는지를 다시 한번 확인을 하게 되면 된다. 숙련된 개발자에게는 이 모든 문제를 해결 하는 시간이 빠르면 30분 늦어도 하루 이내에 완료가 되어야 한다. 그래야 현재의 위기에 처한 인터넷 서비스 상황을 반전 시킬 수가 있다.


SaaS란 지금까지의 패러다임을 바꾸어야만 가능한 모델일 수 밖에 없다.

아무도 모를 취약성이란 없다. 더군다나 공개적으로 오픈 될 수 밖에 없는 웹서비스에 대한 취약성은 데이터베이스까지도 직접 위험에 노출 시킴으로 더 심각한 상황에 처하게 되는 것이다.  이 문제의 해결은 접근성의 확대 , 저렴한 비용, 필요 부분에 대한 직접 가이드 제공이 되어야 가능 할 것이고 이때에야 우리는 문제 해결을 시작 할 수 있게 될 것이다.

전문가라면 스스로가 알고 있는 지식과 경험을 가장 낮은 수준에서 널리 이해 할 수 있도록 만드는 사람이 진짜 전문가라 할 수 있다. 보안전문가라면 알고 있는 기술과 경험을 대중에게 제공 할 수 있는 매커니즘을 고민해야 다음 단계로 갈 수 있다고 생각 한다.

이제 공격자들의 적극적 공세에 맞설 수 있는 가이드가 필요한 시대가 되었다.

세계에서 처음 시도되는 과정까지 보여주는 실시간 점검 서비스

국내의 90% 이상의 웹서비스들은 10분 이내에 점검이 완료 되도록 한 속도

가장 많은 공격도구들이 이용하는 웹 애플리케이션 취약성에 대한 집중진단

더불어 구글도 탐지하기 어려운 유포지 탐지는 덤으로 제공한다.

널리 세상을 이롭게 만들자는 가치 아래 시작되는 프로젝트

https://scan.bitscan.co.kr

https://scan.bitscan.co.kr
빛스캔- 세상을 바꿀 플랜
Posted by 바다란

위기의 인터넷은 본궤도에.. 4월의 교훈

-bloter.net 기고컬럼입니다.

국내외적으로 유사한 해킹 사례가 거의 동시에 발생을 하고 국내는 물론 세계적으로 이슈가 된 사례는 흔치 않다. 국내의 금융사와 국제적 IT기업이라고 할 수 있는 소니에 대한 해킹과 피해 사례는 앞으로의 대응에 있어서 많은 시사점을 던져준다.

정확하게는 앞으로의 대응 보다는 지금 당장의 대응이 더 시급한 측면을 가지고 있다. 일전 언론사 기고 컬럼에서 홈페이지 해킹과 악성코드 유포 및 대응방식에 대한 경고를한 적이 있다.

1. 신규 공격코드를 이용해 SQL Injection 자동화 공격도구로 취약한  서비스들에 대해 직접적인 공격이 발생 된다.

2.  서비스를 통해 악성코드가 유포된다.

A. 유관기관에서는 악성코드 신고 접수 시에 악성코드 유포하는 도메인에 대한 차단을진행한다.

B. 백신업체에서는 악성코드의 패턴을 이용해 대응하는 백신을 제작하거나 업데이트 한다.

C. 신규 취약성을 이용할 경우에는 패치를 설치 하라고 언급이 되고 패치가 나오지 않을경우에는 그냥 기다린다.

D. 악성코드가 웹을 통해 감염이 되고 주변 네트워크로도 확산이 되는 것과 같은 특이한상황의 경우 별도의 방안들을 강구하도록 한다.  ( ARP Spoofing)

3. 악성코드의 변형이 유포  경우 – 2 항에 있는 A,B,C 항목은 계속 반복이 된다.


2011년 현재도 악성코드의 유포와 대응에서 사용되고 있는 일반적인 시나리오라고 할 수 있다. 이 시나리오 상에서 이미 사전단계로 생략하고 넘어가는 부분은 이미 공격이 성공하여 악성코드를 유포할 때에는 내부망에 있는 Database에 관한 정보는 다 유출된 것과 마찬가지이고 내부로 침입 할 수 있는 통로는 이미 열려져 있는 것과 마찬가지라는 점이다.     ( http://p4ssion.com/261 마이너리티 리포트 참고)


무엇이 문제?

일반적으로 웹서버에 대한 공격에 성공을 하게 되면 언제든 간편하게 들어 올 수 있도록 통로를 만들어 둔다. 이를 백도어라고 부른다.  백도어를 통한 피해사례는 아직 끝나지 않은 현대캐피탈의 사례에서 확인이 가능하다.

소니의 사례라고 다를까? (소니의 사례는 외신에서 언급한 기사를 참고)

현대캐피탈은 보안인증을 받았고 미국에서 사업을 하고 있는 소니의 경우는 PCI-DSS라는 기본적인 보안 절차를 모두 준수할 정도로 두 회사 모두 보안에 신경을 쓰고 역점을 두었음에도 불구하고 결론적으로 최악의 해킹 피해를 당했다고 볼 수 있다. 금융회사의 내부 고객 정보가 유출이 되고 신용카드 내역을 저장한 데이터와 모든 고객정보가 유출되는 사례들은 발생 할 수 있는 최악의 사례라고 보아야 한다. 소니의 경우 정보유출로 인해 피해를 입는 고객에게는 일인당 최대 100만불 (11억원)의 피해보상을 한다는 보도도 있었으며 앞으로의 향방이 더욱 큰 관심을 끌고 있다.

거대기업을 침몰시킬 수도 있는 단초가 인터넷에 노출된 별로 중요하지 않은 웹서버 하나를 통해서도 제공 될 수 있다는 증거로서 목격 하게 될 것이다.

4월에 대표적인 해킹 피해를 입은 두 회사 모두 피해의 지점은 동일하다. 외부에 노출된 웹서버들을 통해 내부망으로 침입이 된 사례이며 웹서비스에 대한 상시적인 보안관리와 문제점 해결을 위한 노력이 모든 외부 노출 서비스 부분에 대해 이루어 지지 않을 경우 막대한 피해와 자칫하면 몰락으로도 이어질 수 있는 사례라 할 수 있다.


문제부분

일반적으로 IT 서비스를 운용하는 회사에서는 여러 종류의 서비스를 활용하고 있다.  예전과 같은 Client/ Server 모델이 아닌 웹을 활용한 정보교환과 업무 활용이 일반적인 상황에서 외부에 노출된 웹 서비스들은 항상 위험을 내포하고 있다.

대표적으로 URL 상에서 SQL ( 데이터베이스 질의 언어) 구문을 입력하여 데이터베이스의 자료를 빼내거나 조작하는 유형의 취약성인 SQL Injection의 경우가 가장 큰 예로 들 수 있는데 직접적으로 내부망에 침입하고 자료를 빼내어 갈 수 있다는 점에서 가장 치명적인 문제라고 할 수 있다. 해결 방안으로는 특수문자의 입력을 막거나 길이제한을 모든 URL 상의 인자들에 대해서 적용을 해야 하는데 사람이 개발하는 이상 항상 빈틈은 있게 마련이다. 또한 웹서비스 운영 Application 자체의 취약성을 이용한 공격들도 일반적인데 이 문제의 경우 정기적인 진단으로도 충분히 문제 해결을 할 수 있으나 잦은 변경이 있는 웹페이지의 경우에는 정기 진단으로 하기에는 변화의 폭이 커서 어려움이 있다.

보안을 강화하고 중요시 하는 기업들의 경우에는 정기적인 진단과 점검을 일상적으로 수행한다. 여기에서 발생하는 문제는 예산과 인력, 시간상의 문제로 인해 우선순위를 정해서 점검을 하게 마련이다. 항상 1순위는 대표 사이트 및 고객이 직접 접근 하는 사이트 및 정보가 저장되는 사이트가 된다. 그 뒤의 순위는 업무용 시스템이나 중요도에서 ( 고객 접근 관점의 중요도) 떨어지는 시스템들이 된다. 여기에서 근본적인 문제가 발생 된다. 지금까지는 사용자들이 많은 즉 정문에 대해서만 이중, 삼중의 진단과 도구들이 설치가 되었다고 봐야 한다. 그러나 공격자들도 정문만을 이용할까?

지금의 공격자들이 보유한 공격도구의 상태는 전문화 되어있고 대규모적인 공격이 가능하도록 되어 있다.  즉 모든 범위에 대해서 단 한가지의 문제점을 찾는 것이 일반적으로 되어 있다는 것이다.  외부에 노출된 모든 부분에 대해 문제점이 있는지를 수시로 점검하고 문제가 발견되면 직접 침입을 시도하게 된다.  지금까지 보안점검을 받던 기업에서는 중요성 있는 서비스와 우선순위에 대한 기준점을 모두 바꾸어야만 가능한 상황에 처해 있다.


해결방안?

외부에 노출된 모든 서비스를 1순위로 놓아야 하고 그 이후 내부에 있는 서비스들에 대해서 선별적으로 순위를 조정 하는 것이 바람직하다. 그리고 한 가지 더 중요한 것은 일년에 몇 차례 하기도 힘든 전체 서비스에 대한 보안 점검을 상시적으로 해야만 현재 기업들과 인터넷이 처한 문제점을 해결 할 수 있는데 사실상 한계가 존재 할 수 밖에 없다.  단 몇 시간 만에도 코드상에 변경이 일어날 수 있는 웹 서비스에 대해 정기진단으로 가능 할 수 있을까 하는 의문을 가져야 한다.

이제 보안 진단과 서비스에 대한 시각과 패러다임을 바꾸어야만 생존이 가능하며 기업의 서비스를 안전하게 유지 할 수 있는 상황에 직면해 있다. 그 누구도 안전하지 않은 상황.. 특히 IT기업 및 인터넷을 활용한 비즈니스가 일반적인 기업이라면 대단한 경각심과 준비를 하지 않으면 안될 것이다. 보안기업들 조차도 웹 서비스가 해킹을 당해 정보가 유출 되는 마당에 안전할 곳은 대체 어디인가?

몇 년 전 경고한 위기의 인터넷은 이제 본 궤도에 올랐다. 4월은 시작이였을 뿐이다.

- 바다란 세상 가장 낮은 곳의 또 다른 이름.

Posted by 바다란



디지털 데일리 인터뷰 기사 입니다.
제가 보는 모바일 분야의 위협은 인터뷰 기사 내용 그대로 입니다.
현재로서는 단편적인 대책외에는 없고 종합적인 시각은 없다 입니다.

종합적으로 향후 발생 될 수 있는 위협을 찾아내야 하고 그걸 막을 수 있는 방안과 문제점을 최소화 할 수 있는 도구들을 찾고 만들어야 할 때입니다.

스마트 시대의 보안 대처법과 대응전략이라는 주제로 인터뷰를 했는데 김홍선 대표와 같이 실렸네요. 제가 보는 위협의 임계점은 모바일이나 스마트폰으로 금전적인 거래나 이익 창출이 가능한 시점에 도달 했을때 폭발적으로 늘어날 것이라는 점입니다.
티핑 포인트에서 발간한 위협 분석 보고서에서 보듯이 사파리 브라우저에 대한 공격과 취약성 발견 비율은 2009년 부터 급증하고 있습니다. 이 이야기는 아이폰의 서비스 활성화 시기와도 일치한다고 봐야죠. 전 세계적으로 활용 할 가치가 있을때 그 때부터 공격과 취약성 발견은 시작 됩니다. 

애플의 보안적인 문제가 없다고 하는 것은 착각이라고 할 수 있습니다. 지금껏 공격이 다양하게 발생 하지 않은 이유는 그만큼의 가치가 없었기 때문이죠. ( 공격을 통해 얻을 수 있는 수익이 적기 때문에 발생 하지 않았다고 봅니다.)

이제는 충분히 이득을 창출 할 만큼의 시장이나 가치가 있기 때문에 지금 이 순간에도 새로운 취약성들과 알려지지 않은 문제점들을 활용한 공격들이 충분히 나올 것입니다.

운영체제의 문제와 관련해서는 모바일 분야에서 왜 우리가 주도적인 보호 역할을 할 수 없느냐 하는 것은 PC의 운영체제와도 비교해 보아야 합니다. 윈도우 운영체제의 경우 시스템 레벨에 접근하여 작업을 하거나 변경을 하는 것들이 가능해 진지는 몇년 되지 않습니다. 문서화 되지 않은 코어 부분에 대해서는 SW 대기업 몇몇 곳들만 협력하여 정보를 공유했었죠. 국내의 보안업체의 경우에도 MS와 협력을 통해 시스템단위의 정보 공유를 하기 시작한 것이 몇년 되지 않으며 업체도 많지 않습니다. 문제를 근본적으로 막는 구조적인 보호대책은 MS만 할 수 있습니다.  여러가지 문제들이 있기 때문이죠.



모바일 분야에서는 예를 들어 애플의 IOS 시스템 단위에서 작동하는 보호도구를 만들 수 있을까요? 시스템과 밀접하게 연결되어 상호 보완적인 역할 을 하는 보안도구를 설치 할 수 있을까요? 아마 어려울껍니다. 앞으로도 아주 오랫동안 어려울 것으로 보입니다. 주도적인 역할은 어렵다고 보며 잘해야 보조적인 역할을 할 수 있는 것이죠.

그래서 근본적인 보안 위협에 대한 대책은 단편적으로 흐를 수 밖에 없습니다.
이게 현실인거죠.

앞으로의 위협들은 지금까지와는 다른 양상으로 발전을 할 것입니다.
대처 방안도 그리 많지 않아서 꾸준한 협력과 체제의 구축이 일정 부분 발생 가능한 위협을 줄일 수 있을 것으로 보고 있습니다.



한편, 전상훈 팀장은 지금이 “향후 나타날 수 있는 스마트폰 보안위협을 보다 종합적인 관점에서 분석하고 전망해야 할 때”라고 강조했습니다. 

“아직은 스마트폰으로는 공격자들이 얻을 가치가 떨어져 그 보안위협이 현실화되지 않았지만, 앞으로 스마트폰을 이용한 상거래, 금융거래가 활성화되는 시점이 오면 위험이 폭발적으로 증가할 것”이란 게 그의 전망입니다. 

스마트폰 금융거래가 일반화되는 시점에 PC만큼, 아니 그보다 더 강력한 보안위협이 다가올 것이라고 전 팀장은 확언했습니다. 스마트폰 가입자가 폭증하는만큼 스마트폰 기반 전자금융서비스 가입자도 매달 폭발적으로 증가하는 추세인데요. (참고 - 금융감독원 집계) 

모바일 운영체제를 직접 국내에서 개발하고 있지 않기 때문에 기본적으로 한계가 존재하겠지만, 현재 우리가 접근하고 있는 스마트폰 보안 대책은 “단편적”이라는 것이 전 팀장의 지적입니다.

전 팀장은 “스마트폰 보안은 백신 위주의 단말기 보안이나 웜, 악성코드 대책과 같은 단편적인 방식으로는 종합적인 대책을 마련할 수 없다”면서, “스마트폰 단말기와 와이파이, 3G/4G 등 통신망, 인터넷 기반 금융거래 환경, 웹 등 모든 서비스 구성요소까지 포괄해 향후 발생가능한 보안위협과 위험 시나리오를 예상해야 하고, 그에 따른 세부 대책을 수립해야 한다”고 강조했습니다. 
   
미래 위협을 전망한다는 것이 쉬운 일은 아닐텐데요. 전 팀장은 “PC와 인터넷에서 경험한 위협에서부터 시작해 이를 바탕으로 스마트폰에서 발생 가능한 것을 찾아내는 것이 하나의 방법이 될 수 있다”고 제시했습니다. 

현재 전 팀장은 카이스트 사이버보안센터에서 미래 발생가능한 보안위협에 대처할 도구와 체계, 서비스를 만드는 일을 직접 하고 있습니다. 

그는 미래 위협을 예상하는데 있어 올해 등장, 전세계적으로 이슈화된 두가지 악성코드에 주목하고 있습니다. 하나는 지난 8월 이슈화됐던 아이폰 운영체제(iOS) 취약점을 악용해 강제로 탈옥시킬 수 있는 악성코드와 원자력발전소 등 폐쇄된 산업시설을 감염시키는 악성코드 ‘스턱스넷’입니다.

Posted by 바다란

* 전자신문의 보안전문 저널인 boan.com 에 기고된 컬럼 글입니다.

 현재의 Stuxnet 에 대한 대응이나 SCADA 부분에 대한 논의들이 논점이 빗나가는 부분들이 많아서 향후 필요한 부분들에 대한 대책과 문제점을 짚어 봤습니다. 표현이 정제되지 않은 Raw 컬럼을 사이트에 게재 합니다. 여기는 링크들이 정상적으로 살아 있습니다.

===============================================================================


Stuxnet이 주는 충격은 실생활이 직접적으로 영향을 받을 것이라는 점에서 많은 사람들에게 각인이 되고 있다. 또한 앞으로 기반시설에 대한 보안 이슈와 관심도 그 어느 때 보다 높아 질 것으로 예상 된다. 세계적으로 이슈가 되고 있는 Stuxnet은 일반적인 보안업체에서도 향후의 방향성에 대해서 한번쯤 고민을 해야 될 이슈를 던져 주고 있다. 기존과는 다른 접근이 필요한 분야라는 점도 인식을 해야 할 것이다.

 

현상으로 돌아가면 시만텍의 Stuxnet에 대해 한국내 감염 수치가 8% 이상일 것이라는 점은 사실이다. 더불어 시만텍의 CTO 슈나이더의 통계수치도 사실이다. 실제 감염된 것은 맞지만 기사내의 정부 당국자의 이야기가 분명한 사실을 이야기 한다. 감염된 것은 맞지만 실제 기반시설 장비에는 감염이 안되었다는 것이 정확한 이야기이고 사실에 가까운 것이라 할 수 있다.

 

Stuxnet은 기반시설 장비에만 감염되는 것이 아니다. 기본적인 윈도우 취약성을 이용하여 전파가 되고 USB를 통한 전파도 일반적이기에 시만텍에서 이야기한 감염수치 부분은 단순 PC 감염으로 봐야 한다. 즉 해외에서 언급된 통계치의 대부분은 실제의 위험과는 약간 괴리감이 있는 수치일 가능성이 높다. Stuxnet은 분명 위험한 웜이고 타켓화된 웜인 것은 명확하다. 큰 피해를 입힐 가능성이 매우 높음을 증명한 실질적인 위협이며 사이버상의 위험이 더 이상 현실과 괴리가 있는 동떨어진 이야기가 아님을 실제적으로 증빙한다. 그렇다면 비록 허수라 하더라고 감염 수치를 무시 할 수 있는가? 라는 질문을 할 수 있다.

 

현재 정확한 감염 수치는 그 어디에서도 얻을 수 없다. 모든 탐지 사례를 허수라고 가정한다 하여도 찾아내지 못한 곳 중 하나라도 웜이 기반시설망에 존재하는 순간 아수라장이 될 수 밖에 없다. 그것은 폐쇄망의 특징에 기인하기도 하고 대응의 어려움에 기인하기도 한다. 기존의 온라인 상에서의 대응과는 상당부분 다른 관점으로 보아야만 한다.

기반시설을 위협하는 Stuxnet의 위험성은 실제 기반시설 운영 시스템에 직접 영향을 미칠 수 있고 조정이 가능하다는 점에서 웜 자체가 가지는 심각성과 의미는 높다. 그렇다면 향후에 기반시설 장비를 보호하기 위해 무엇을 어떻게 해야 하는지에 대해서도 상당수준의 경각심을 가지고 준비를 해야만 한다.

현재의 감염수치는 온라인상에서 수집된 데이터들이 대부분이라 폐쇄망을 기본으로 하는 SCADA 시설에서는 신뢰도가 떨어질 수 밖에 없을 것이다. 그러나 목표의 중요성으로 볼 때 향후 더 치밀하고 은밀한 방식으로의 접근과 공격이 증가 할 것임은 당연한 사실이다.

 

2002년 즈음에 기반시설의 보안에 관련된 문서를 작성한 적이 있다. 그 문서에는 전문가와 비전문가를 막론하고 항상 오해를 하는 세가지 주요 부분을 정리한 바가 있다. 그 세가지는 다음과 같다.

 

 

1.      제어시스템은 물리적으로 분리된 독자적 네트워크 상에 존재한다

 

일반적으로 분리된 독자적 네트워크 상에 존재하는 것은 사실이다그러나 아주 적게나마 원격에서 접속이 가능한 지점이 존재하고 기업정보시스템과의 연동의 필요성으로 인해 통합된 지점이 거의 존재한다.

 

2.      SCADA시스템과 기업정보 시스템과의 연결에는 강한 접근제어 정책으로 보호되고 있다.

 

대부분의 경우에 SCADA시스템은 방화벽과 보호장치가 이중으로 되어 있는 구조 이나 정보시스템으로부터 혹은 외부로부터 접속이 가능한 몇몇 개의 접속지점이 반드시 존재한다.중대사고 발생시의 Hot line 혹은 외부에서 연결을 통한 연결지점, 정보시스템에서 

정보의 활용을 위해 제어시스템과 연결이 되는 부분이 반드시 존재한다.

 

3.      SCADA 시스템을 운용하기 위해서는 특별한 지식이 필요하며 침입자가 접근하고 제어하기가 어렵게 만든다.

 

SCADA 시스템의 운영에 사용하는 소프트웨어나 제어장치에 대한 매뉴얼은 이미 전체의70프로 이상이 인터넷 상에 공개가 되어 있다.  그러므로 이전과 같이 정보가 없어서 지식을 획득하지 못하는 일은 없다.  SCADA시스템을 제작하는 회사는 사후지원과 Update등을 위해 인터넷을 통해 다운로드 받는 형태로 매뉴얼을 제공하는데 이를 통해 충분한 지식의 습득이 가능하다.

 

 발췌 Critical Alert for Cyber Terror-p4ssion 2002

 

2002년에 작성한 항목이나 현재도 인식에 관해서는 별반 다르지 않다. 각 항목별로 현재의 Stuxnet 사례는 좋은 예시가 될 수 있다.  기반시설은 물리적으로 분리된 망에 존재하며 정보시스템과의 연결에는 엄격한 통제가 있고 방안들이 있어서 접근이 불가능하다. 또한 장비의 운영에는 특별한 지식이 필요해서 침입자가 접근하고 제어 하기가 어렵다.”라는 일반적인 인식들은 지금의 Stuxnet을 살펴보면 해당사항이 없음을 알 수 있다.

 

비단 지멘스 장비에만 국한된 문제일까?

지멘스사의 솔루션 이외에도 몇몇 대형벤더(이를테면 GE) 들의 전 세계적인 SCADA 장비 점유율이 높은 상태여서 공격자 입장에서는 좀 더 쉽게 공용적인 공격기반을 만들 수 있다. 이번 Stuxnet은 지멘스 장비를 대상으로 하였지만 앞으로는 보다 더 타켓화 되고 일반화된 형태의 공격들이 일상적으로 발생이 될 것이다. 가능성에 대해서만 인지를 한 국가들 조차도 기반시설 장비가 위험해졌을 때의 파괴력과 영향력에 대해서 확실하게 인식을 하였을 것이고 사이버 전장의 영역은 이제 기반시설 장비까지도 직접적으로 노릴 것이다. 아마 오래 전부터 해왔던 많은 행위들이 이번에 노출되었다고 보는 것이 정확하지 않을까?  폐쇄망 내부의 감염을 위해 작성한 감염코드가 일반 인터넷 영역에 우연히 노출 되면서 확산이 되고 알려지지 않았을까? 그 모든 가정을 한다 하여도 이제는 실제의 영역에 들어온 부분이다. 이미 예전부터 준비가 되어 있어야 하지만 지금의 상태는 어떠하고 또 대응책은 적절한지, 알려지지 않은 위협들에 대해 충분히 인지 하고 있었는지가 향후를 가늠할 핵심이 될 수 밖에 없다.

 

SCADA 장비에 대한 위험들은 수면 아래에서 Stuxnet을 통해 수면위로 떠올랐다. 이제 우리는 실존 하는 위협을 마주하고 있다. 실존하는 위협에 대해 대응하고자 한다면 우선 현황을 이해해야 한다. 현실에 대한 이해를 바탕으로 현실적인 대책들이 수립되어야 한다.

 

SCADA 장비가 운용되는 곳들의 일반적인 특징

 

1.     폐쇄망

일반적인 네트워크 라인과 분리가 되어 있으나 내부에서의 통신을 위한 제한적인 라인들은 장비들끼리 연결 되어 있을 것이다. 또 통제시스템도 마찬가지로 연결 되어 있을 것이다. 폐쇄망이라는 의미는 인터넷 연결이 되어 있지 않다는 의미 일뿐이며 독자적인 설비 상태로 존재하는 것이라는 것을 이해하자.

2.     중단 없는 운영

기반시설에 운영되는 장비는 대부분 24시간 365일 운영을 원칙으로 할 수 밖에 없다. 발전시설과 전력, 교통등 다양한 기반 분야에 활용되는 장비들의 특성은 항상 작동 되고 있어야 한다는 의미이다.

3.     독자적인 프로토콜 사용 및 목적에 맞게 변형된 장비나 운영체제의 사용

SCADA 장비에는 복잡하지는 않으나 독자적인 프로토콜이 사용된다. 다만 이 프로토콜의 사용법과 활용도에서는 인터넷에 일정수준 공개되어 있으며 장비를 직접 제어하는 PLC 명령코드는 그리 어렵지 않다. 목적에 맞도록 운영체제도 일정수준의 기능을 제거하거나 용도에 맞도록 변형된 임베디드 운영체제가 사용되고 장비도 독자적인 변형을 가진 장비 형태가 사용된다.

 

 

크게 위의 세가지 사항을 일반적인 특징으로 볼 수 있다. 특징을 고려하지 않은 대응과 대비책은 많은 문제를 가질 수 밖에 없으며 현실적인 적용이 어려울 수 밖에 없다. 현재 SCADA 보안과 관련된 부분은 정책적인 부분과 정기적인 외부 노출 부분에 대한 부분적인 보안점검으로 이루어 지고 있는 것이 현실이며 임베디드 운영체제를 사용하는 SCADA 장비에는 별도의 보안솔루션 설치가 어려운 부분들이 많이 있다. 따라서 직접적인 대응은 많은 난관을 가지고 있다.

 

Stuxnet의 처리와 관련하여 각 백신제조 회사들 마다 온라인에서의 제거용 전용백신을 올리고 있으며 설치하여 탐지 및 제거 할 것을 권고한다. 또 운영체제에 대한 보안 패치를 적용 할 것을 대부분 권고하고 있다. 실상과 거리가 있다고 볼 수 밖에 없다. 폐쇄망에 있는 장비에 적용 하기 위해서는 온라인과 연결된 망에서 USB나 별도 이동식 매체를 이용해 백신과 보안업데이트를 다운 받은 이후 폐쇄망 내의 개별 시스템에 연결하여 문제를 처리해야 된다. 이 과정에서 더 많은 문제들이 확산될 가능성도 충분히 있다.

 

폐쇄망이라는 의미는 내부의 별도 네트워크를 가지고 있으며 외부 연결과는 차단된 상태를 의미한다. 즉 내부로 어떤 방식으로든 유입이 되었을 경우 물리적 단절을 통해 근본적인 보안이 해결된다는 폐쇄망 내에서는 무방비 상태일 수 밖에 없다. 무방비 상태라는 것은 웜의 확산과 전파를 막을 수 있는 단계나 도구가 많지 않음을 의미한다. 또한 탐지와 관련된 측면에서도 비정상적인 시스템 운영을 하게하는 악의적인 명령과 또 폐쇄망내에서의 웜의 확산을 막거나 탐지하기 위한 보안장비의 설치도 현실적인 어려움이 있다. 프로토콜 체제가 다르고 또 새로운 유형의 위험을 탐지 하기 에는 기존의 PC 체계에서의 대응 도구들로서는 한계가 있다.

 

운영체제의 업데이트와 중요 보안 설정과 관련된 부분들은 중단 없는 운영이라는 SCADA 장비의 기본 전제에 비추어 볼 때 설치가 어려운 부분이 있다. 대부분의 업데이트와 보안설정은 활성화를 시키기 위해서는 리부팅이 필수이기 때문이다. 따라서 현재 운영중인 기반시설 장비들에 대해서는 직접적인 대응이 어렵다. Stuxnet의 경우에도 시스템의 중요 DLL을 설치하는 방식이므로 완벽한 제거를 위해서는 메모리에 올려진 DLL까지 제거해야 가능하다. 메모리 클린은 당연히 리부팅을 통해서만 가능해진다. 대체장비를 투입한 이후에야 제거나 보안성 강화등이 가능한 형태가 된다.

 

독자적인 운영체제의 변경과 별도 장비의 사용도 만약 보안설정과 시스템의 업데이트를 할 경우 정상운영이 어려운 상황이 발생 될 수 있다. 장비의 정상적인 운영을 위해서는 SCADA장비 제작사와의 긴밀한 협력을 통해 각 상황에 따른 정상 작동 여부를 오랜 기간 관찰 해야만 안정성을 확보 할 수 있다.

 

지금의 SCADA장비에 대한 대응은 현실과는 동떨어져 있으며 주의 사항과 문제 부분에 대해 신중한 접근이 부족하며 단순한 온라인 상에서의 PC의 악성코드 처리와 동일한 관점으로 접근을 하고 있다. 현실적인 상황 인식이 부족한 부분이다.

 

그렇다면 SCADA 장비에 대한 보안 강화와 향후에 급증 할 것으로 예상되는 기반시설 장비들에 대한 공격에 대해 어떤 식으로 대처를 해야 근본적인 위험을 줄일 수 있을 것인가에 대해 생각해 보자.

 

폐쇄망의 특성과 임베디드 운영체제, 기존의 PC와는 상이한 프로토콜 및 운영원칙은 기본적인 보호 대책을 다른 관점에서 살펴야 된다.

 

일차적으로는 시스템 자체의 변화를 감지 할 수 있는 수동적인 탐지 도구가 필요하며 각 중요 시스템마다 상황을 일목요연하게 파악 할 수 있는 체계도 필요하다. 수동적인 탐지 도구라는 의미는 시스템의 상태변화 (DLL 혹은 중요 시스템 파일의 교체, 비정상적인 사용자 및 권한의 탈취, 명령실행 등)를 모니터링 하고 이상유무를 상시적으로 체크할 수 있는 시스템을 의미한다. 기존의 PC기반의 악성코드 탐지와 같은 패턴매칭으로 대응 하는 것은 어려움이 있다. 또한 폐쇄망 네트워크내에서 어느 지점이나 문제를 통해 문제가 확산되는지 여부를 확인 하는 것도 어려움이 있다. 이미 2003년의 1.25 대란때의 슬래머 웜에 의해 미국의 오하이오 핵발전소가 정지된 사례도 충분히 있는 만큼 물리적인 단절 만으로 대책이 완료 되었다는 생각은 잊어 버릴 때가 되었다. 어떤 경로를 통해서든 침입이 성공하게 되면 치명적인 위험이 존재하게 되고 또 자체적인 전파가 가능한 유형이라 폐쇄망 내부에서의 확산도 손쉽게 이루어 질 수 있다.  기반시설 시스템의 보호를 위해서는 통신을 위한 가장 제한적인 프로토콜과 연결만이 허용 되어야 하고 그 기반 하에서 시스템의 변화를 감지 할 수 있는 수동적인 탐지 도구 및 전체적인 현황을 볼 수 있는 시스템과 체계가 필수적으로 요구된다.

 

향후의 사이버전은 온.오프라인을 망라하게 되고 일상생활에도 치명적인 영향을 줄 수 있다. 오래전 예상한대로 그 위험은 이제 실제상황이 되어 버렸다. 일이 발생 되기 이전에 문제에 대해서 대비 하는 것이 필요하며 문제가 발생 되었을 때는 차분하게 향후의 위험들 까지도 고려하여 대비책을 세우는 것이 정답이다. 단순한 현황 파악만으로는 위험한 상황은 지속 될 것이다.

 

이 모든 것은 이미 오래 전부터 예상 되었던 바이다. 이제는 수면위로 올려진 문제를 적극적으로 또 장기적으로 보호 할 수 있는 방안에 대해서 심도 있게 고민을 해야 할 시기이다.

 

-바다란 세상 가장 낮은 곳의 또 다른 이름

 

참고자료:

 2009년에 작성한 문서. Inevitable cyber warfare

 2002년에 작성한 Critical alert for cyber terror

다이하드 4.0 cyber terror 

 


ps> 두 가지 정도 빠른 시일내에 작성할 내용들이 있습니다. 2010년의 이슈중 미래에 영향을 미칠 이슈들과 중국발 해킹의 심각성을 좀 리얼하게 보여줄 컬럼들을 준비 중입니다.





Posted by 바다란

바다란입니다.

 

8월이 다 가고 있습니다. 시간은 흐르고 issue도 변화하고 있습니다. 그러나 올해 초에 예상 했던 근본 취지에서는 아직 벗어나지 않고 있습니다. 주요 이슈는 무엇이고 지금에 발생 하고 있는 세계적인 이슈들과 어떤 관계가 있을까요?

 

 

 

올해 초에 Web 2.0 관련된 보안 이슈들을 전망하고 향후 예측을 한 큰 주제는 네 가지 입니다. 한 가지 더 세계적인 추세(?)라고도 볼 수 있는데 정보 유출의 수단으로 Office 계열의  문서에 Zeroday 공격코드를 심은 사회공학적인 해킹의 증가도 추가 할 수 있겠습니다. 물론 Application에 대한 공격 증가로 포함 시킬 수 있는 범주이지만..~ 

 

1. Application에 대한 공격 증가

2. Ubiquitous Attack

3. 특정 서비스에에 대한 공격

4. Various platform attack

 

위의 네 가지 이슈를 향후에도 지속될 위협이라고 전망 하였습니다. 가장 큰 이슈는 Application에 대한 공격의 일반화 라고 할 수 있습니다. 다양한 플랫폼을 공격하는 유형도 Application이 그 중심에 있기에 가능한 것입니다. 또한 Application은 특정 서비스에 종속 되는 형태이고 유/무선을 가리지 않고 발생 하므로 Ubiquitous Attack이 됩니다.

 

크게 Application Attack과 관련하여 나타난 큰 흐름은 IE에 대한 공격 ( 사용자 정보 유출을 위한 트로이 목마기능 - BHO 사용),Zeroday 악성코드가 포함된 MS Office Attack, Opera에 대한 공격( Apple)을 들 수 있습니다. Opera의 경우에는 유무선 장비에서 사용이 되도록 되어 있어서 iPhone은 물론 Mac까지도 관통하는 Application이라 할 수 있습니다. Virus의 경우에도 Application의 취약성을 이용한 바이러스도 증가를 하고 있습니다. 무차별적인 유포를 위한 바이러스가 아닌 특정 대상에만 한정된 특화된 Zeroday attack을 시도하고 있습니다.

 

 

##########1*

<source kaspersky lab>

 

그렇다면 최근 기사화된 내용을 보면서 살펴볼까요?

 

http://www.etnews.co.kr/news/sokbo_detail.html?id=200708240054

 

몬스터 닷컴의 개인정보가 유출 되었다는 기사입니다. 기사에는 자세히 나오지 않았지만 사후 대응의 한계를 느낄 수 있는 기사입니다. 여기에 나오는 트로이 목마 바이러스 유형은 알려진 바이러스 유형이 아닐 것입니다. 추측성 기사로 임원의 로그인 정보를 알아내어서 내부를 유출 하였다고 하나 전체적인 측면으로 보면 몬스터 닷컴의 해킹 가능성 및 BHO (Browser Helper Object) 와 같은 유형의 IE Plugin 형식으로 메모리 상의 키입력 값을 가로챘을 가능성이 높습니다. 또 한가지 가능성은 Office 계열의 문서에 악성코드( 대부분 Zeroday)를 넣어서 특정 대상자들에게만 받도록 하고 원격에서 컨트롤 하도록 하였을 수도 있습니다.  이 경우에는 몬스터 닷컴의 운영진들이 단체 메일을 받았을 가능성이 높습니다.

 

 

http://news.kbs.co.kr/article/world/200708/20070826/1414392.html

 

독일의 주요 정부부처의 PC에서 악성코드가 발견 되었다는 내용입니다. 물론 초기 발견도 매우 어려웠을 것으로 예상 됩니다. 최근의 악성코드는 운영체제와 하드코어한 형태의 결합이 이루어 지는 형태라서 발견 하기가 매우 어렵습니다. 국가간에 이루어지는 집중적인 첩보전이 이제는 일반적으로 사이버 상에서 이루어 집니다. 모든 문서및 정보들은 파일 형태 혹은 data의 형태로 컴퓨터에 보관 되고 있어서 더욱 집중적인 공격의 대상이 됩니다. 물론 전자정부 비율이 매우 높은 대한민국의 경우에도 상상하기 힘들 정도의 위협에 시달리고 있다고 보는 것이 정답일 것입니다. 이 경우에도 zeroday 악성코드 (Office 계열 - Word ,ppt , excel )를  통한 특정 대상자 침입과 확산이 이루어 졌을 것으로 보입니다. 기사화가 될 정도라면 매우 많은 수의 위험 시그널이 있었다는 것이죠. 물론 이면에 보이지 않는 침입과 사실은 엄연히 많을 것입니다. 드러나는 것은 거대 빙산의 아주 조그마한 꼭지 정도일뿐.

 

 

해외의 경우에도 SSL을 이용한 전송 단계의 암호화는 신경을 씁니다만.. 하드웨어 인터럽트와 BHO 영역의 보호에는 미비한 것이 사실입니다. 또한 백신의 경우에도 발견된 단계에서 처리를 할 수 밖에 없음에 따라 알려진 유형 이외에는 처리가 안됩니다. Heuristic method (경험적인 위험요소 진단)의 경우에도 오진 발생 가능성 및 신규 유형에는 무기력한 면이 있습니다. 머지 않아 해외에서도 키입력의 보호와 사용자의 정보 유출 방지를 위해 다른 방안들이 많이 출현하겠죠. ( 생체인식과 같은 부분이 아마 활발한 것도 유사한 위험인식 때문일 것 같습니다.)

 

그리고 특정 대상에게만 현혹할 만한 문구의 Office 문서를 전달 할 경우의 성공률은 매우 높은데 이런 경우에 대한 처리는 공개적으로 발생하는 상황이 아니며 제한적으로 발견 되는 상황이여서 백신을 통한 대응은 상당히 어려운 측면에 들어 갈 수 밖에 없습니다. 샘플 수집이 안되는 한 AV 벤더에서의 처리는 불가능한 상황입니다.

 

 

http://www.etnews.co.kr/news/sokbo_detail.html?id=200708270151

 

iphone에 대한 해킹도 현재 세계적으로 이슈화가 되고 있는데 이 부분은 code reversing과 관련된 내용이라 할 수 있습니다. iphone을 구동하는 OS 및 Application에 대해 다양한 보호조치가 취해졌을 것이나 이 보호 단계를 깨고 리버싱을 한 이후 코드를 조작하는 기법들을 통해 특정 기능의 변경이 이루어 지도록 한 것이죠. 여기에서는 AT&T의 통신망 과 제한적으로 연결 되도록 한 부분을 다른 통신망과도 연결이 되도록 구조를 바꾼 것이라 할 수 있습니다. 조금 더 보면 일단 AT&T와 제한을 하는 부분을 깨고 그 이후에 인증 및 다른 여러가지 요소를 받아야만 가동되도록 하는 부분을 무력화 시켰을 것으로 보입니다. 일정 수준 이상의 능력자들에게 시간만 주어진다면 가능한 일이라 할 수 있습니다. Application에 대한 분석과 공격은 계속 됩니다. 그리고 플랫폼을 넘나드는 공격은 Application을 통해 손쉽게 이루어 질 것입니다.

 

8월에 발생된 주요한 World wide issue는 이 정도 선에서 정리가 될 수 있을 것 같습니다. Application에 대한 Attack이 치밀해 졌고 Zeroday 악성코드를 이용한 사회공학적 (Fake)인 해킹이 국가단위에 까지도 영향을 미치는 정보전으로 격상이 되었으며 세계적인 이슈가 되고 있는 상황입니다. 서비스 부분에 미치는 영향은 말할 것도 없구요. ^^;  물론 앞으로도 지속 됩니다. 계속

 

앞서 말씀 드린 4가지 주요 이슈는 앞으로도 지속될 것입니다. Application에 대한 공격은 향후 더 치밀해 지고 더 적극적으로 나타날 것이고 종래에는 전체 IT 서비스의 방향성을 조금씩 바꿔 나갈 수도 있을 것 입니다. 조금 더 강해지고 조금 더 악랄해 지고...

 

대안은?.. 글쎄요.

꾸준한 노력과 신경질적이라고도 할 수 있는 체계의 구축과 모니터링, 집요함, 인내, 노련한 전문가  정도로 축약이 됩니다만. 정리 하고픈 생각이 든다면 전체적인 방안을 정리해 보도록 하겠습니다.

 

좋은 삶 되십시요.

 

- p4ssionable security explorer 바다란

Posted by 바다란

. p4ssion입니다.


지난 글에서 ( 한참 됐습니다. ^^) Mass sql injection 관련된 내용에 대해서 언급을 드린 적이 있습니다.

그 이후 업데이트를 할려고 생각 하다가 개인적인 사정으로 작성하지 못했습니다.

오늘 생각나서 잠시 써봅니다.


http://www.itjungle.com/two/two082708-story05.html 

http://www.technewsworld.com/story/Mass-SQL-Attack-a-Wake-Up-Call-for-Developers-62783.html?welcome=1209498513&welcome=1210717878 

http://www.theregister.co.uk/2008/05/21/china_sql_injection_attack/ 

http://blogs.zdnet.com/security/?p=1150

http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1314697,00.html 

http://ddanchev.blogspot.com/2008/05/malware-attack-exploiting-flash-zero.html 

http://searchsecurity.techtarget.com/tip/0,289483,sid14_gci1317069,00.html


Mass sql injection에 관련된 기사들을 이 블로그에 글을 쓰지 않은 이후로 모아 봤습니다.


2005년 부터 활발하게 이루어진 SQL Injection 공격에 대해 이제서야 세계적으로 인지를 하고 부분 대응이 진행 되고 있습니다. 공격의 현황은 어떤 식으로 이루어 지고 있으며 또한 대응은 어떤 방식으로 이루어 지고 있는지 주마간산 식으로 살펴 보겠습니다.


* 이전에 알려진 SQL Injection 공격과는 조금 다른 범주라고 봐야죠. Login 창에 손으로 입력하여 인증을 우회하는 방식은 오래전에 알려졌으며 또 이후의 각 URL 인자마다 문제가 발생하는 부분에 대해서도 알려져 왔습니다. 현재의 SQL Injection이 다른 관점은 Automated SQL Injection 이라는 것입니다.


손으로 직접 수십~수백개의 조합을 통해 DB의 정보를 빼내가는 것이 아니라 특정 DB에 맞추어서 특정 쿼리들을 미리 준비해 놓은 이후 클릭 한번으로 진행을 합니다. 현재의 Mass sql은 여기에서 한 걸음 더 나아가 단일 사이트에 대해 이루어 지는 것이 아니라 수십개 이상의 사이트에 대해 일시적으로 발생 할 수 있도록 범위가 확산된 것입니다.


입력창에 대한 SQL Injection ( ' Or 1=1-- )  ->

수동에 의한 URL 인자의 SQL Injection (시간 오래 소요) ->

자동화된 툴의 쿼리에 의한 정보 유출 및 페이지 변조 (악성코드 유포 목적) ->

대규모 스캔 및 공격이 가능한 Automated Mass attack 기법 및 도구의 출현 ( 이것도 현재는 ASP+MSSQL만 공격 하지만 향후 타 언어 및 다른 종류의 DB로 확대 예상)


위와 같이 순서의 정리가 가능합니다.

대상규모가 한정적일 경우에는 장비의 도입 및 소스코드에 대한 컨설팅으로 문제의 해결이 가능하였으나 이제는 그 범주를 벗어나 악성코드가 범람하는 세상에 살게 될 수 밖에 없는 상황입니다. ( 전 세계의 웹 서비스의 문제를 한번에 없앨 수는 없으므로 )


악성코드에 대한 감염은 브라우저 ( 구글의 크롬, FireFox , IE ..)에 구애받지 않습니다.  악성코드가 사용자 PC에 특정 프로그램을 설치하기 위해 필요한 공격 코드들은 매우 다양하며 운영체제의 한계를 벗어나 여러 Application에 대한 권한 획득 코드들을 이용하는 것이 일반적입니다.  즉 브라우저와는 관계 없이 이 문제는 계속 되며 전 세계의 일반 PC 및 웹서비스가 영향권 내에 들어와 있다고 보는 것이 정답입니다.


< 어쩌면 지금의 상황은 Matrix 구조 같은 거대한 위협속에 놓은 것과 같지 않나 생각 됩니다.>

 

묻습니다.


1. 사용자 PC에 설치된 모든 Application의 취약성을 수시로 확인하고 문제가 있는지 여부를 확인 하는 것이 가능합니까?

2. 수시로 업데이트되고 갱신되는 ( 악성코드의 유형은 대부분 다운로드 형태를 지니고 있습니다. 즉 한 사이트나 몇 개의 악성코드 다운로드 사이트의 샘플만 변경해 주면 새로이 다운로드가 되는 클라이언트는 신종 악성코드에 감염이 됩니다. )  유형의 악성코드에 대한 대응이 가능합니까?

3. 방문하는 사이트가 안전한 웹사이트임을 확인 할 수 있습니까?



간단하게 위의 세 가지 질문입니다.

위의 답변은 1번은 불가능 , 2번도 수동적인 대응외에는 불가능 , 3번도 직관적인 신뢰가 없다가 정답이 아닐까 생각됩니다.


1번의 경우 운영체제를 벗어나 사용자가 사용하는 모든 Application 문제가 없다는 것은 보증하기가 매우 어렵습니다. 사실 불가능한 이야기 이구요. 이 문제는 웹 서비스를 통해 유포되는 악성코드의 전염을 막을 방도가 매우 부족함을 의미합니다.


2번의 경우에는 전 세계의 많은 AV 벤더들에서 대응을 하고 있지만 사실상 공격자의 행동에 대해 대응력은 부족하며 산발적인 대응만을 하고 있어서 노력대비 효과는 미미한 수준이라 할 수 있습니다. 발견을 못한 AV 벤더는 업데이트가 없이 그냥 가죠. 그리고 발견하여 대응을 한다고 하여도 이미 공격자는 또 다른 내용으로 손쉽게 변경하는 것이 가능합니다. 전 세계에 널리 자사의 AV 제품이 사용되고 있다면 최소 시차를 고려 하여도 1일 이상의 시간이 소요 되는 것이 현실 적입니다.

그러나 공격자는 단 몇 분이면 새로운 악성코드의 유포가 가능하며 사용자에게 전파가 가능한 유형이 됩니다. 따라서 뚜렷한 대응방안이라고 보기가 곤란한 상태라 할 수 있습니다.


3번은 더 말씀 드리지 않겠습니다.


이미 대책 부분과 필요한 부분에 대해서는 이전의 몇몇 Article에서 충분히 언급한 상황입니다.

[ 상상하기 어려운 위협 - http://p4ssion.com/112 , http://p4ssion.com/152   ]

[ IT 서비스의 현재 위험과 대응 종합 , 첨부파일 참고 - http://p4ssion.com/199 ]


전 세계적인 대응 현황을 간략하게 살펴 본 주관적인 의지로 정의하면 빈익빈 부익부, 근본에 도달하지 못한 미봉책..

이 정도로 정의를 할 수 있습니다.


며칠전 MS에서는 웹 서비스에 대한 SQL Injection을 막기 위해 IIS의 Plugin 형식인 URLscan Filter 3.0를 배포 하고 있습니다.

[ http://www.microsoft.com/downloads/details.aspx?FamilyID=ee41818f-3363-4e24-9940-321603531989&displaylang=en ]

현재 타켓화 되고 있는 ASP+MSSQL+IIS 조합에 활용이 가능한 유형입니다.


물론 실제 적용 시에는 개발된 서비스의 소스에 따라 설정의 변경등이 필요한 상황이 되겠습니다.


또한 HP의 WebInspect and QAInspect라는 제품과 IBM의 Appscan , WVS의 Acunetix 라는 웹 취약성 스캐너들이 현재  전세계 시장의 다수를 차지하고 있습니다. 이 제품들의 특징은 스캔 할 수 있는 도메인이 한정 되어 있다는 점, 과도한 취약성 점검을 위해 컨텐츠를 다운로드 (?) 받아서 재현을 하다보니 대용량 사이트에 대해서는 진단의 한계를 보이는 점들이 있습니다.

가장 중요한 점은 가격이 후덜덜입니다.


왠만한 IT기업에서 제품군을 도입하려면 많은 전문인력 및 도구 구입에 상당한 비용을 들여야 할 것으로 보입니다.


자 위의 두 가지와 같은 대응 흐름이 있습니다. 솔루션을 이용한 근본 취약 부분을 찾아서 소스코드의 문제를 수정하는 방향과 현재 발생되는 공격이 유효하지 않도록 무력화 시키는 Filter 부분이 있는데 두 가지 모두 한계를 지니고 있습니다. Filter의 경우에는 우회가 가능한 패턴 유형이 발견 될 수 있다는 점과 기존의 정상 서비스 트래픽에 대한 제한을 지닐 수 있다는 점입니다.


또한 솔루션을 이용한 취약 부분 진단에 대해서는 고비용, 대형 사이트 진단 불가 , 도메인 스캔의 제한 , 속도의 문제로 인해 사용이 어려운 측면이 발생 합니다.


( Web Firewall 등에 대해서는 별도 언급 하지 않겠습니다. 도입시 마다 설정 변경이나 Customizing 없이 사용 가능한 제품이 없지 않나요? 어쩌면 소스코드 수정이 휠씬 빠를 수도 있는 Customizing이며 공격 패턴이 변경 되면 처음 부터 다시 설정 해야만 합니다. - 근본 문제 제거와는 관련 없는 부분이며 임시방책일 뿐이라 논의 하는 것은 부적절하다는 개인 판단입니다. )



빈익빈 부익부.


가난한 기업들과 여력이 없는 기업들을 위한 해결 방안은 어디에도 없습니다. 그나마 전문성을 지닌 인력이라도 있다면 이런 문제를 해결해 보겠으나 인력도 없으니 설상가상인 상태가 되겠죠. 앞으로도 오랜 기간 동안 대상이 될 것으로 예상 됩니다.


개인적인 예상으로는 향후 2~3년간은 이러한 대규모 악성코드의 유포에 의해 매우 시끄러울 것이고 특별한 해결책도 찾기 어려운 상황이 계속 될 것입니다. 그 이후에는 또 다른 부분으로 전이가 되겠지만...


부유한 기업들은 많은 비용을 투입하여 장비를 도입하고 소스코드에 대한 진단과 컨설팅등을 받습니다. 그러나 빈자들의 서비스를 통해 유포되는 악성코드들은 주로 부유한 서비스 기업을 노리고 있습니다. 이 점에 대해서는 간과를 하는 면이 많은 편입니다.


문제의 해결을 하기 위해서는 세계의 인터넷 환경을 일시에 ( 상당히 빠른 시간) 클린한 상태로 올려 줄 수 있는 부분이 필요하며 자신만의 서비스를 벗어나 전체적인 시각을 가지고 움직일때 자신의 서비스에게로 오는 위험을 줄 일 수 있습니다.


말그대로 네트웍 환경은 위협도 연결이 되어 있기 때문이죠.


빈자들을 위한 보안도구들은 언제쯤 출현 할까요? 상용도구의 정확성 만큼을 보유한 저렴하고 접근성이 뛰어난 도구의 출현이 현재의 상황을 좀 더 빠른 시기에 진화 할 수 있을 유일한 방안이라 생각 합니다.


전술과 전략이 있습니다. 개개의 싸움을 하는 전략은 현재대로 진행 하고 상호협력을 강화할 방안을 찾아야 하며 ( AV의 대응 , Scanner , Web Firewall, Vendor의 대응) 더불어 가장 중요한 전술적인 차원의 큰 방향성이 필요 합니다.


큰 방향성 차원에서 공격의 범주를 최대 확산이 불 가능 하도록 일정 수준 이하로 묶음으로써 피해의 광역화를 막는 것이 가장 큰 이슈가 될 것이고 가장 필요한 관점이 아닐까 생각 합니다. 전술적으로 확산 범주를 좁히기 위해서는 가장 필요한 것이 문제점을 찾을 수 있는 접근성 뛰어난 저렴한 비용의 도구의 확산이나 서비스화가 우선 되어야 할 것이구요.


전술과 전략은 구분되어야 하며 현재의 전략도 부족한 면들이 있으며 커버 가능한 범위를 더욱 넓힐 수 있는 도구와 서비스의 출현들이 심각하게 필요하며 전술적인 관점에서는 거대한 악성코드 유포 네트웍을 소규모 단위로 분산 시킬 수 있는 정책적인 방향성이 필요합니다. 수많은 이해가 상충되는 야생의 시대에 이런 협력이 필요한 전술과 전략은 구사되기 어려운 점들이 많을 것입니다.


따라서 앞으로도 위기는 계속 지속 될 것입니다. 모든 프로그래머가 Secure한 코딩이 일상화 되기 전까지는 상당히 오랜 시간 위기는 지속 될 것이고 이제 세계적인 시작은 큰 흐름이 벌써 시작된 상황이라 예측 됩니다.


- p4ssion. 2008.9




Posted by 바다란

sign in p4ssion.

 

이른바 세계적 불황의 시기이다.

금융의 한 부분에서 시작된 불황은 거미줄 같은 연결 구조를 가지고 모든 경제의 부분에 영향을 미치고 있고 도미노 적인 효과로 견실한 기업들 조차 스러져 가고 있는 현장에 직면해 있다.

 

현재의 위기 상황은 앞으로도 오랜기간 계속 될 것이다. 또한 글로벌적인 연동을 가지고 있는 세계적 상황에서 고립된 국가는 세계적으로 몇 곳 없으며 모든 세계의 국가 경제가 영향을 받게 될 것이다. 모든 것이 네트웍으로 이루어 진다.

 

네트웍으로 시작하는 것은 IT 서비스 부분은 더욱 분명하다.

실물과 연동이 없는 상태에서 발생한 것이 90년대 말의 IT 버블이였으며 버블의 진화에 따라 IT는 실제의 생활에 강력하게 접목이 되어왔다. 이제는 IT가 실 생활에 미치는 것이 먹고 사는 것 만큼 많은 비중을 차지하는 요소라는 것에는 의심의 여지가 있을 수 없다.

 

경제의 불황과 위기에 IT 서비스는 어떤 관련이 있을 것이고 위험은 또 무엇이 있을 것인가?

 

경기의 호황과 불황은 서비스의 특징에도 영향을 미치는 것이 당연하며 특히 불황의 시기에는 더욱 악독한 범죄들을 만나게 될 것이다. 위험은 더욱 확대되고 범위를 무차별적으로 넓히게 될 것으로 예상 한다.

 

가장 크게 볼 수 있는 IT 서비스의 보호를 위한 Security Industry는 어쩌면 장기 침체의 국면으로 진입할 것이다. 세계적으로 IT 관련 예산의 많은 부분이 Security 부분에 사용이 되고 있으나 이제는 생존 경쟁 모드 이기에 Security는 소흘히 할 가능성이 높다 할 수 있다.

 

나타날 수 있는 현상으로는  고가의 IT Security 제품의 판매부진, 컨설팅 서비스의 부진 (해외는 매우 고가이다.) , 경기 불황으로 인하여 적정한 예산을 보유한 고객 확보의 어려움으로 인해 시장은 전반적인 침체에 돌입 할 것으로 보인다.

 

위의 리스트는 간단하게 예상이 가능한 내용이라 할 수 있다.

그러나 현재의 상황이 과연 간단하게 정리가 가능한 상황이라 할 수 있을까? 하는 관점에 대해서는 동의하지 않는다.

 

IT 서비스는 과거보다 몇 십배나 더 많이 생활과 밀접해 졌으며 생활에 막대한 영향을 미치고 있다. ( 특히 초고속 환경의 보급율이 높은 국가에서는 다양한 부가 서비스로 인해 밀접도는 더욱 높다.) 

 

영향력은 더욱 확대 되었으나 보호할려는 의지는 더 줄어드는 현재의 상황은 향후 심각한 위협을 지속적으로 초래 할 것이고 IT서비스에 편중된 서비스 업체나 산업에 대해서는 종말과도 같은 결과를 초래할 것으로 예상 한다.  Security에 대한 투자는 축소 될 것이나 중요성은 더욱 높아진 현재의 시기에 인식의 전환을 한 경영진이나 CEO들은 어디에 있을까?

 

당장의 생존을 위해서는 과거의 경험에 기댈 수 밖에 없으며 비용절감과 경영의 효율성을 높이고자 할 것이다. 그리고 비용절감은 현재의 우선순위에서 미래를 위한 보호인 보안 서비스의 입지는 1순위 삭감이 될 가능성이 높다. 눈에 보이는 효율과 개선을 요구하는 시기이지 보이지 않는 위협에 대한 투자는 일단 뒤로 미루어 진다. 이 것은 당연한 수순이다.

 

 

공격자들의 현재 동향으로 짐작해 보면 실제적인 금융 관련 사고가 상당히 급증할 것으로 예상된다.

더불어 심도 있는 공격의 비중이 현재 보다는 높아 질 것이며 Black Market의 규모는 급팽창 할 것으로 예상된다.  한국내에만 한정해서 본다면 진흙탕과 같은 현재의 Security industry의 상황은 보다 더 심각한 양상을 뛸 것으로 예상된다.

 

기존의 Security 인력들에 대한 압력도 증가 할 것이다. 비용투입 없이 이제는 전부 자체 해결로 가려는 것이 습성이다.  아마도 한국내의 인력들에게는 어마어마한 강도의 일들이 서슴없이 주어질 것이다. 아마 전 세계에서 수행하는 거의 대부분의 Security 관련 프로젝들이 아주 극소수의 비용으로 모양만을 답습하는 양상이 반복될 것이다.  양자간에 도움이 안되는 모양새가 속출 할 것이다. 인력에게도 회사에게도..

 

 

산업의 침체와 불황국면은 비용의 절감을 요구하고 미래를 위한 비용이라 인식되는 Security Industry는 현재의 심각한 위협에도 불구하고 (현업에서만의 심각도 인식 단  MBA들은 인식하지 못한다.) 축소될 것이다.  그리고 기업의 운명도 짧아질 것이다.

 

< http://cartoonistsindia.com/htm/marioC3.htm REF>

 

 

세계적 현상을  예상하고 정리하면

 

 1. 개인의 금전거래에 대한 치밀한 공격 증가 - 이미 빼내갈 만큼의 정보는 나간 상태이므로 ( 세계 포함) 세계적인 스팸의 팽창과 voice phishing 등과 같은 사기 행위의 증가 예상, 정밀도 높은 금전거래 정보의 유출의  대폭 확대

 

2. 악성코드 제작의 고급화 예상 - 보안 서비스의 축소는 인력풀의 범위를 좁혀 뛰어난 사람들의 음지 입성의 계기가 되기도 할 것이다. 또한 새로운 Genius들의 갈 곳 없는 출구가 되기도 할 것이다.

 

3. Security Industry의 침체

  - 고급 서비스의  침체 예상 ( 고비용 , 많은 인력 투입, 컨설팅,고가의 소프트웨어 , 장비 등등 ) , 반대 급부로 저가 서비스 시장은 일정 수준이상 활성화 예상

 

4. 전 세계적인 개인정보 거래의 활성화 및 악성코드 공격 대상의 확대 - 이제는 돈 되는 것이라면 무엇이든 다한다. Black Market의 확장은 끝이 없을 것으로 보인다.

 

5. Ransom 형태의 공격 유형 일반화

- 그동안 음지에서 돌던 Botnet 및 대규모 Agent들이 공개적으로 드러날 것으로 보이며 이에 따라 망하는 회사들도 나올 것으로 보인다.

 

6. 기밀정보의 거래 및 개인정보의 거래등이 이루어지는 거대 Black Market의 세계화 예상

- 악성코드의 은밀성의 확대와 공격 가능성의 확대로 인해 국가간 기밀 유출을 통한 거래 시장의 범위가 큰 폭으로 확대 될 것이다. 아마 통 큰 거래가 일반화 될 것으로 보인다.

 

* 경제 활동에서 유추가 가능한 변화의 상은 매우 다양할 수 있으나 불황의 국면에는 보다 더 잔인하고 지독한 유형의 출현이 예상된다. 그나마 구성되고 있는 Security Industry에도 영향은 있을 것으로 예상된다.

 

 

 

한국내의 서비스 전망을 위한 요약

 

- 현재의 개인정보보호들은 생색내기에 그칠 것이다. 실질적인 기술적인 개선은 상당히 오랜기간이 걸릴 것으로 보인다. 수박 겉

Posted by 바다란

. p4ssion입니다.

 

지난 글에서 ( 한참 됐습니다. ^^) Mass sql injection 관련된 내용에 대해서 언급을 드린 적이 있습니다.

그 이후 업데이트를 할려고 생각 하다가 개인적인 사정으로 작성하지 못했습니다.

오늘 생각나서 잠시 써봅니다.

 

http://www.itjungle.com/two/two082708-story05.html 

http://www.technewsworld.com/story/Mass-SQL-Attack-a-Wake-Up-Call-for-Developers-62783.html?welcome=1209498513&welcome=1210717878 

http://www.theregister.co.uk/2008/05/21/china_sql_injection_attack/ 

http://blogs.zdnet.com/security/?p=1150

http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1314697,00.html 

http://ddanchev.blogspot.com/2008/05/malware-attack-exploiting-flash-zero.html 

http://searchsecurity.techtarget.com/tip/0,289483,sid14_gci1317069,00.html

 

Mass sql injection에 관련된 기사들을 이 블로그에 글을 쓰지 않은 이후로 모아 봤습니다.

 

2005년 부터 활발하게 이루어진 SQL Injection 공격에 대해 이제서야 세계적으로 인지를 하고 부분 대응이 진행 되고 있습니다. 공격의 현황은 어떤 식으로 이루어 지고 있으며 또한 대응은 어떤 방식으로 이루어 지고 있는지 주마간산 식으로 살펴 보겠습니다.

 

* 이전에 알려진 SQL Injection 공격과는 조금 다른 범주라고 봐야죠. Login 창에 손으로 입력하여 인증을 우회하는 방식은 오래전에 알려졌으며 또 이후의 각 URL 인자마다 문제가 발생하는 부분에 대해서도 알려져 왔습니다. 현재의 SQL Injection이 다른 관점은 Automated SQL Injection 이라는 것입니다.

 

손으로 직접 수십~수백개의 조합을 통해 DB의 정보를 빼내가는 것이 아니라 특정 DB에 맞추어서 특정 쿼리들을 미리 준비해 놓은 이후 클릭 한번으로 진행을 합니다. 현재의 Mass sql은 여기에서 한 걸음 더 나아가 단일 사이트에 대해 이루어 지는 것이 아니라 수십개 이상의 사이트에 대해 일시적으로 발생 할 수 있도록 범위가 확산된 것입니다.

 

입력창에 대한 SQL Injection ( ' Or 1=1-- )  ->

수동에 의한 URL 인자의 SQL Injection (시간 오래 소요) ->

자동화된 툴의 쿼리에 의한 정보 유출 및 페이지 변조 (악성코드 유포 목적) ->

대규모 스캔 및 공격이 가능한 Automated Mass attack 기법 및 도구의 출현 ( 이것도 현재는 ASP+MSSQL만 공격 하지만 향후 타 언어 및 다른 종류의 DB로 확대 예상)

 

위와 같이 순서의 정리가 가능합니다.

대상규모가 한정적일 경우에는 장비의 도입 및 소스코드에 대한 컨설팅으로 문제의 해결이 가능하였으나 이제는 그 범주를 벗어나 악성코드가 범람하는 세상에 살게 될 수 밖에 없는 상황입니다. ( 전 세계의 웹 서비스의 문제를 한번에 없앨 수는 없으므로 )

 

악성코드에 대한 감염은 브라우저 ( 구글의 크롬, FireFox , IE ..)에 구애받지 않습니다.  악성코드가 사용자 PC에 특정 프로그램을 설치하기 위해 필요한 공격 코드들은 매우 다양하며 운영체제의 한계를 벗어나 여러 Application에 대한 권한 획득 코드들을 이용하는 것이 일반적입니다.  즉 브라우저와는 관계 없이 이 문제는 계속 되며 전 세계의 일반 PC 및 웹서비스가 영향권 내에 들어와 있다고 보는 것이 정답입니다.

 

< 어쩌면 지금의 상황은 Matrix 구조 같은 거대한 위협속에 놓은 것과 같지 않나 생각 됩니다.>

 

묻습니다.

 

1. 사용자 PC에 설치된 모든 Application의 취약성을 수시로 확인하고 문제가 있는지 여부를 확인 하는 것이 가능합니까?

2. 수시로 업데이트되고 갱신되는 ( 악성코드의 유형은 대부분 다운로드 형태를 지니고 있습니다. 즉 한 사이트나 몇 개의 악성코드 다운로드 사이트의 샘플만 변경해 주면 새로이 다운로드가 되는 클라이언트는 신종 악성코드에 감염이 됩니다. )  유형의 악성코드에 대한 대응이 가능합니까?

3. 방문하는 사이트가 안전한 웹사이트임을 확인 할 수 있습니까?

 

 

간단하게 위의 세 가지 질문입니다.

위의 답변은 1번은 불가능 , 2번도 수동적인 대응외에는 불가능 , 3번도 직관적인 신뢰가 없다가 정답이 아닐까 생각됩니다.

 

1번의 경우 운영체제를 벗어나 사용자가 사용하는 모든 Application 문제가 없다는 것은 보증하기가 매우 어렵습니다. 사실 불가능한 이야기 이구요. 이 문제는 웹 서비스를 통해 유포되는 악성코드의 전염을 막을 방도가 매우 부족함을 의미합니다.

 

2번의 경우에는 전 세계의 많은 AV 벤더들에서 대응을 하고 있지만 사실상 공격자의 행동에 대해 대응력은 부족하며 산발적인 대응만을 하고 있어서 노력대비 효과는 미미한 수준이라 할 수 있습니다. 발견을 못한 AV 벤더는 업데이트가 없이 그냥 가죠. 그리고 발견하여 대응을 한다고 하여도 이미 공격자는 또 다른 내용으로 손쉽게 변경하는 것이 가능합니다. 전 세계에 널리 자사의 AV 제품이 사용되고 있다면 최소 시차를 고려 하여도 1일 이상의 시간이 소요 되는 것이 현실 적입니다.

그러나 공격자는 단 몇 분이면 새로운 악성코드의 유포가 가능하며 사용자에게 전파가 가능한 유형이 됩니다. 따라서 뚜렷한 대응방안이라고 보기가 곤란한 상태라 할 수 있습니다.

 

3번은 더 말씀 드리지 않겠습니다.

 

이미 대책 부분과 필요한 부분에 대해서는 이전의 몇몇 Article에서 충분히 언급한 상황입니다.

[ 상상하기 어려운 위협 -1 http://blog.naver.com/p4ssion/50031034464 , 2 - http://blog.naver.com/p4ssion/50031227899  ]

[ IT 서비스의 현재 위험과 대응 - http://blog.naver.com/p4ssion/50024269739 ]

 

전 세계적인 대응 현황을 간략하게 살펴 본 주관적인 의지로 정의하면 빈익빈 부익부, 근본에 도달하지 못한 미봉책..

이 정도로 정의를 할 수 있습니다.

 

며칠전 MS에서는 웹 서비스에 대한 SQL Injection을 막기 위해 IIS의 Plugin 형식인 URLscan Filter 3.0를 배포 하고 있습니다.

[ http://www.microsoft.com/downloads/details.aspx?FamilyID=ee41818f-3363-4e24-9940-321603531989&displaylang=en ]

현재 타켓화 되고 있는 ASP+MSSQL+IIS 조합에 활용이 가능한 유형입니다.

 

물론 실제 적용 시에는 개발된 서비스의 소스에 따라 설정의 변경등이 필요한 상황이 되겠습니다.

 

또한 HP의 WebInspect and QAInspect라는 제품과 IBM의 Appscan , WVS의 Acunetix 라는 웹 취약성 스캐너들이 현재  전세계 시장의 다수를 차지하고 있습니다. 이 제품들의 특징은 스캔 할 수 있는 도메인이 한정 되어 있다는 점, 과도한 취약성 점검을 위해 컨텐츠를 다운로드 (?) 받아서 재현을 하다보니 대용량 사이트에 대해서는 진단의 한계를 보이는 점들이 있습니다.

가장 중요한 점은 가격이 후덜덜입니다.

 

왠만한 IT기업에서 제품군을 도입하려면 많은 전문인력 및 도구 구입에 상당한 비용을 들여야 할 것으로 보입니다.

 

자 위의 두 가지와 같은 대응 흐름이 있습니다. 솔루션을 이용한 근본 취약 부분을 찾아서 소스코드의 문제를 수정하는 방향과 현재 발생되는 공격이 유효하지 않도록 무력화 시키는 Filter 부분이 있는데 두 가지 모두 한계를 지니고 있습니다. Filter의 경우에는 우회가 가능한 패턴 유형이 발견 될 수 있다는 점과 기존의 정상 서비스 트래픽에 대한 제한을 지닐 수 있다는 점입니다.

 

또한 솔루션을 이용한 취약 부분 진단에 대해서는 고비용, 대형 사이트 진단 불가 , 도메인 스캔의 제한 , 속도의 문제로 인해 사용이 어려운 측면이 발생 합니다.

 

( Web Firewall 등에 대해서는 별도 언급 하지 않겠습니다. 도입시 마다 설정 변경이나 Customizing 없이 사용 가능한 제품이 없지 않나요? 어쩌면 소스코드 수정이 휠씬 빠를 수도 있는 Customizing이며 공격 패턴이 변경 되면 처음 부터 다시 설정 해야만 합니다. - 근본 문제 제거와는 관련 없는 부분이며 임시방책일 뿐이라 논의 하는 것은 부적절하다는 개인 판단입니다. )

 

 

빈익빈 부익부.

 

가난한 기업들과 여력이 없는 기업들을 위한 해결 방안은 어디에도 없습니다. 그나마 전문성을 지닌 인력이라도 있다면 이런 문제를 해결해 보겠으나 인력도 없으니 설상가상인 상태가 되겠죠. 앞으로도 오랜 기간 동안 대상이 될 것으로 예상 됩니다.

 

개인적인 예상으로는 향후 2~3년간은 이러한 대규모 악성코드의 유포에 의해 매우 시끄러울 것이고 특별한 해결책도 찾기 어려운 상황이 계속 될 것입니다. 그 이후에는 또 다른 부분으로 전이가 되겠지만...

 

부유한 기업들은 많은 비용을 투입하여 장비를 도입하고 소스코드에 대한 진단과 컨설팅등을 받습니다. 그러나 빈자들의 서비스를 통해 유포되는 악성코드들은 주로 부유한 서비스 기업을 노리고 있습니다. 이 점에 대해서는 간과를 하는 면이 많은 편입니다.

 

문제의 해결을 하기 위해서는 세계의 인터넷 환경을 일시에 ( 상당히 빠른 시간) 클린한 상태로 올려 줄 수 있는 부분이 필요하며 자신만의 서비스를 벗어나 전체적인 시각을 가지고 움직일때 자신의 서비스에게로 오는 위험을 줄 일 수 있습니다.

 

말그대로 네트웍 환경은 위협도 연결이 되어 있기 때문이죠.

 

빈자들을 위한 보안도구들은 언제쯤 출현 할까요? 상용도구의 정확성 만큼을 보유한 저렴하고 접근성이 뛰어난 도구의 출현이 현재의 상황을 좀 더 빠른 시기에 진화 할 수 있을 유일한 방안이라 생각 합니다.

 

전술과 전략이 있습니다. 개개의 싸움을 하는 전략은 현재대로 진행 하고 상호협력을 강화할 방안을 찾아야 하며 ( AV의 대응 , Scanner , Web Firewall, Vendor의 대응) 더불어 가장 중요한 전술적인 차원의 큰 방향성이 필요 합니다.

 

큰 방향성 차원에서 공격의 범주를 최대 확산이 불 가능 하도록 일정 수준 이하로 묶음으로써 피해의 광역화를 막는 것이 가장 큰 이슈가 될 것이고 가장 필요한 관점이 아닐까 생각 합니다. 전술적으로 확산 범주를 좁히기 위해서는 가장 필요한 것이 문제점을 찾을 수 있는 접근성 뛰어난 저렴한 비용의 도구의 확산이나 서비스화가 우선 되어야 할 것이구요.

 

전술과 전략은 구분되어야 하며 현재의 전략도 부족한 면들이 있으며 커버 가능한 범위를 더욱 넓힐 수 있는 도구와 서비스의 출현들이 심각하게 필요하며 전술적인 관점에서는 거대한 악성코드 유포 네트웍을 소규모 단위로 분산 시킬 수 있는 정책적인 방향성이 필요합니다. 수많은 이해가 상충되는 야생의 시대에 이런 협력이 필요한 전술과 전략은 구사되기 어려운 점들이 많을 것입니다.

 

따라서 앞으로도 위기는 계속 지속 될 것입니다. 모든 프로그래머가 Secure한 코딩이 일상화 되기 전까지는 상당히 오랜 시간 위기는 지속 될 것이고 이제 세계적인 시작은 큰 흐름이 벌써 시작된 상황이라 예측 됩니다.

 

- p4ssion. 2008.9

 

*오랜만에 썼더니 엉망이네요. 생각을 정리하는 것도 잘 안되니 조금씩 더 자주 쓰다보면 나아지리라 생각 합니다.

 

 

 

Posted by 바다란

sign in p4ssion.

 

이른바 세계적 불황의 시기이다.

금융의 한 부분에서 시작된 불황은 거미줄 같은 연결 구조를 가지고 모든 경제의 부분에 영향을 미치고 있고 도미노 적인 효과로 견실한 기업들 조차 스러져 가고 있는 현장에 직면해 있다.

 

현재의 위기 상황은 앞으로도 오랜기간 계속 될 것이다. 또한 글로벌적인 연동을 가지고 있는 세계적 상황에서 고립된 국가는 세계적으로 몇 곳 없으며 모든 세계의 국가 경제가 영향을 받게 될 것이다. 모든 것이 네트웍으로 이루어 진다.

 

네트웍으로 시작하는 것은 IT 서비스 부분은 더욱 분명하다.

실물과 연동이 없는 상태에서 발생한 것이 90년대 말의 IT 버블이였으며 버블의 진화에 따라 IT는 실제의 생활에 강력하게 접목이 되어왔다. 이제는 IT가 실 생활에 미치는 것이 먹고 사는 것 만큼 많은 비중을 차지하는 요소라는 것에는 의심의 여지가 있을 수 없다.

 

경제의 불황과 위기에 IT 서비스는 어떤 관련이 있을 것이고 위험은 또 무엇이 있을 것인가?

 

경기의 호황과 불황은 서비스의 특징에도 영향을 미치는 것이 당연하며 특히 불황의 시기에는 더욱 악독한 범죄들을 만나게 될 것이다. 위험은 더욱 확대되고 범위를 무차별적으로 넓히게 될 것으로 예상 한다.

 

가장 크게 볼 수 있는 IT 서비스의 보호를 위한 Security Industry는 어쩌면 장기 침체의 국면으로 진입할 것이다. 세계적으로 IT 관련 예산의 많은 부분이 Security 부분에 사용이 되고 있으나 이제는 생존 경쟁 모드 이기에 Security는 소흘히 할 가능성이 높다 할 수 있다.

 

나타날 수 있는 현상으로는  고가의 IT Security 제품의 판매부진, 컨설팅 서비스의 부진 (해외는 매우 고가이다.) , 경기 불황으로 인하여 적정한 예산을 보유한 고객 확보의 어려움으로 인해 시장은 전반적인 침체에 돌입 할 것으로 보인다.

 

위의 리스트는 간단하게 예상이 가능한 내용이라 할 수 있다.

그러나 현재의 상황이 과연 간단하게 정리가 가능한 상황이라 할 수 있을까? 하는 관점에 대해서는 동의하지 않는다.

 

IT 서비스는 과거보다 몇 십배나 더 많이 생활과 밀접해 졌으며 생활에 막대한 영향을 미치고 있다. ( 특히 초고속 환경의 보급율이 높은 국가에서는 다양한 부가 서비스로 인해 밀접도는 더욱 높다.) 

 

영향력은 더욱 확대 되었으나 보호할려는 의지는 더 줄어드는 현재의 상황은 향후 심각한 위협을 지속적으로 초래 할 것이고 IT서비스에 편중된 서비스 업체나 산업에 대해서는 종말과도 같은 결과를 초래할 것으로 예상 한다.  Security에 대한 투자는 축소 될 것이나 중요성은 더욱 높아진 현재의 시기에 인식의 전환을 한 경영진이나 CEO들은 어디에 있을까?

 

당장의 생존을 위해서는 과거의 경험에 기댈 수 밖에 없으며 비용절감과 경영의 효율성을 높이고자 할 것이다. 그리고 비용절감은 현재의 우선순위에서 미래를 위한 보호인 보안 서비스의 입지는 1순위 삭감이 될 가능성이 높다. 눈에 보이는 효율과 개선을 요구하는 시기이지 보이지 않는 위협에 대한 투자는 일단 뒤로 미루어 진다. 이 것은 당연한 수순이다.

 

 

공격자들의 현재 동향으로 짐작해 보면 실제적인 금융 관련 사고가 상당히 급증할 것으로 예상된다.

더불어 심도 있는 공격의 비중이 현재 보다는 높아 질 것이며 Black Market의 규모는 급팽창 할 것으로 예상된다.  한국내에만 한정해서 본다면 진흙탕과 같은 현재의 Security industry의 상황은 보다 더 심각한 양상을 뛸 것으로 예상된다.

 

기존의 Security 인력들에 대한 압력도 증가 할 것이다. 비용투입 없이 이제는 전부 자체 해결로 가려는 것이 습성이다.  아마도 한국내의 인력들에게는 어마어마한 강도의 일들이 서슴없이 주어질 것이다. 아마 전 세계에서 수행하는 거의 대부분의 Security 관련 프로젝들이 아주 극소수의 비용으로 모양만을 답습하는 양상이 반복될 것이다.  양자간에 도움이 안되는 모양새가 속출 할 것이다. 인력에게도 회사에게도..

 

 

산업의 침체와 불황국면은 비용의 절감을 요구하고 미래를 위한 비용이라 인식되는 Security Industry는 현재의 심각한 위협에도 불구하고 (현업에서만의 심각도 인식 단  MBA들은 인식하지 못한다.) 축소될 것이다.  그리고 기업의 운명도 짧아질 것이다.

 

< http://cartoonistsindia.com/htm/marioC3.htm REF>

 

 

세계적 현상을  예상하고 정리하면

 

 1. 개인의 금전거래에 대한 치밀한 공격 증가 - 이미 빼내갈 만큼의 정보는 나간 상태이므로 ( 세계 포함) 세계적인 스팸의 팽창과 voice phishing 등과 같은 사기 행위의 증가 예상, 정밀도 높은 금전거래 정보의 유출의  대폭 확대

 

2. 악성코드 제작의 고급화 예상 - 보안 서비스의 축소는 인력풀의 범위를 좁혀 뛰어난 사람들의 음지 입성의 계기가 되기도 할 것이다. 또한 새로운 Genius들의 갈 곳 없는 출구가 되기도 할 것이다.

 

3. Security Industry의 침체

  - 고급 서비스의  침체 예상 ( 고비용 , 많은 인력 투입, 컨설팅,고가의 소프트웨어 , 장비 등등 ) , 반대 급부로 저가 서비스 시장은 일정 수준이상 활성화 예상

 

4. 전 세계적인 개인정보 거래의 활성화 및 악성코드 공격 대상의 확대 - 이제는 돈 되는 것이라면 무엇이든 다한다. Black Market의 확장은 끝이 없을 것으로 보인다.

 

5. Ransom 형태의 공격 유형 일반화

- 그동안 음지에서 돌던 Botnet 및 대규모 Agent들이 공개적으로 드러날 것으로 보이며 이에 따라 망하는 회사들도 나올 것으로 보인다.

 

6. 기밀정보의 거래 및 개인정보의 거래등이 이루어지는 거대 Black Market의 세계화 예상

- 악성코드의 은밀성의 확대와 공격 가능성의 확대로 인해 국가간 기밀 유출을 통한 거래 시장의 범위가 큰 폭으로 확대 될 것이다. 아마 통 큰 거래가 일반화 될 것으로 보인다.

 

* 경제 활동에서 유추가 가능한 변화의 상은 매우 다양할 수 있으나 불황의 국면에는 보다 더 잔인하고 지독한 유형의 출현이 예상된다. 그나마 구성되고 있는 Security Industry에도 영향은 있을 것으로 예상된다.

 

 

 

한국내의 서비스 전망을 위한 요약

 

- 현재의 개인정보보호들은 생색내기에 그칠 것이다. 실질적인 기술적인 개선은 상당히 오랜기간이 걸릴 것으로 보인다. 수박 겉

Posted by 바다란