태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

보안전문가와 보안관리자의 차이와 구분에 대해

 

 

안녕하세요. 바다란입니다.

 

일전에 보안전문가에 대해서 한번 써보기로 했었는데 생각해 보니 범위도 매우 넓고 세부기술 단위도 많은 문제가 있었습니다. 그리고 보안이라는 부분이 모든 IT 관련된 기술 부분과 연관되다 보니 적용의 범위와 산업의 범위를 어디까지로 두어야 할지 경계가 모호하여 적지 못한 적이 있습니다.

오늘은 IT서비스 부분에 대해 전체의 범주는 아니지만 많은 부분 포함이 되는 범위 안에서 보안전문가와 보안관리자에 대해 써보도록 하겠습니다.

 

보안전문가와 보안관리자에 대해서 상당히 애매하게 접근을 하고는 합니다. 그러나 일반적으로 알려진 상식으로 구분을 해보면 보안전문가는 보안 관련된 기술을 깊이 있게 이해하고 있고 실제 적용이 가능한 상태로 만들 능력을 지니고 있는 자를 의미합니다. 보안관리자는 보안정책에 대한 집행과 이행 , 시스템에 대한 관리 등등 다양한 부분을 책임지고 있는 자라고 할 수 있습니다.

전문가는 기술에 대한 전문가이고 관리자는 관리능력과 책임을 지닌 담당자라고 일반 경계를 그을 수 있을 것 같습니다. 보안전문가와 보안관리자는 Specialist Generalist라고 볼 수 있으며 일반 기업에서는 보안관리자는 Generalist여도 되나 IT서비스를 주된 업종으로 삼는 곳에서는 특정 부분[기술적인 부분]에서 Special한 능력을 일정수준이상 보유한 Generalist가 보안관리자라고 할 수 있습니다. 세부적인 기술에도 익숙하고 전체적인 부분에 대해서도 이해가 가능하며 책임의식이 있는 부류를 보안관리자라 칭할 수 있을 것입니다. 보안관리자는 또 두 가지 큰 부류로 나눌 수 있습니다. Manager Officer의 차이점이라고 할 수 있는데 후반부에 기술 하도록 하겠습니다. Security Manager의 속성에는 지켜야 할 대상에 따라 두 가지 부류로 나눌 수 있습니다. 고정 자산에 대한 보호를 위한 정책적인 보안관리자와 서비스에 대한 보호를 위한 Special Security Manager로 나눌 수 있습니다. 지켜야 할 대상이 무엇인가에 따라 부류가 달라진다고 보면 됩니다. General Security Manager Special Security Manager에 대한 차이는 보안관리자 부분에서 다루도록 하겠습니다.

 

IT 서비스를 구성하는 요소는 시스템 , 네트워크 , 서비스로 한정할 수 있습니다. 시스템과 네트워크는 이미 기본으로 갖추어야 하는 능력이며 서비스 [  , 게임 , Application 등등 ]에 대한 능력은 새롭게 강조되고 요구되는 능력입니다. 사실상 가장 중요하고 IT서비스에 막대한 영향을 미칠 수 있는 부분이기도 합니다. Web 2.0에서 사용자와의 인터페이스가 가장 중요한 부분인 IT 서비스 부분에서는 서비스에 대한 보안기술 능력은 더욱 중요한 부분이 됩니다. 범위를 한정하여 IT 서비스를 주된 업종으로 삼고 있는 업계에 한정하여 보안전문가가 갖추어야 할 요건은 다음과 같습니다.

 

보안전문가 [ IT Service 부분]

 

해커의 길에 유사한 내용들이 포함 되어 있습니다.

해커의 길 I : http://p4ssion.com/233

해커의 길 II: http://p4ssion.com/228

 

-         네트워크 보안 기술 : 네트워크 분야의 기본적인 보안 구성에 대한 이해가 가능하며 네트워크 구성도에 대한 이해가 명확해야 합니다. 취약지점과 보완해야 될 부분에 대해서 정확하게 지적할 수 있을 정도의 능력이 요구 됩니다. 또한 네트워크 보안장비에 대한 기본 이해도 충분해야만 합니다.

 

-         시스템 보안 기술:  각 서비스 하위 단위를 구성하고 있는 물리적인 단위인 각 개별 시스템 및 운영체제들에 대한 이해도가 충분하게 높아야 됩니다. 운영체제의 종류도 여러 가지가 있지만 대체로 *BSD 계열과 Windows 계열에 대한 충분한 이해와 일반 운영인력들 보다 나은 능력을 보유하여야만 됩니다.

 

-         Application 보안기술: 다양한 부분이 있습니다만 만들어진 부분에 대한 보안요소를 강조하는 의미에서 Web , Database에 대한 보안 기술과 구성요소에 대한 이해가 되어야만 합니다. Game의 경우에는 게임 내에서 발생하는 Abusing에 대한 분석능력도 충분하여야 하며 Service의 경우에는 Service에 대한 Abusing 대응과 분석이 가능한 능력이 있어야만 합니다. 이 부분에서 다양한 요소기술이 요구 됩니다.

 

n         Programming 능력: 개발이 가능한 능력이 있어야만 본질적인 보안상의 문제 이해와 지적이 가능합니다.

 

n         구조에 대한 이해: 오랜 시간이 소요되지만 서비스의 구성과 구조, Process에 대한 이해가 있어야만 게임이든 서비스든 Abusing에 대한 분석과 대응이 가능합니다.

 

n          Application [ 상용 또는 자체개발 ] 보안 취약성의 동향과 흐름에 대해 신속한 정보 수집과 전파 , 가공 능력을 지녀야만 합니다.

 

n         Reverse Engineering : 현상에 대한 분석을 위해 Binary 분석 능력을 갖추고 있어야 하며 최소한 이해는 할 정도는 되어야만 됩니다. Game의 분석을 위해서는 Binary 분석 및 Reverse Engineering 능력은 필수적인 부분입니다. 물론 어셈블리에 대한 이해도도 충분한 수준 이여야 겠죠?

 

-         Penetration Test 능력: 일반적으로 모의해킹이라고 부릅니다. 시스템 / 네트워크/ Application을 총체적으로 이해하는 상황에서 각 분야별로 침입을 시도합니다. 현재에는 시스템 및 네트워크 부분에 대해서는 상당부분 강화가 많이 되고 차단이 되는 상태라 주된 초기 침입지점은 Web을 통한 침입지점이 많습니다만.. 침입 이후에 진단되는 부분은 시스템/ 네트워크 /Application 영역을 막론하고 모두 해당이 되므로 모든 부분에 대한 능력을 보유하고 있어야 됩니다. 최소한 어느 곳에 어떤 정보가 있고 이런 유형에는 어떤 문제가 있다라는 Feeling이라도 지니고 있어야 됩니다.

 

간략하게 살펴보면 나열된 유형의 지식이 존재하여야만 됩니다. 물론 이상적인 경우입니다. 최소한 언급한 네 가지 기술에서 2가지는 필수이고 다른 두 가지는 중급 이상의 능력을 지녀야만 어느 곳에서도 역량 발휘를 할 수 있습니다.

 

필수는 시스템/네트워크 보안기술이며 Application 보안기술과 Penetration Test 의 경우 중급 이상의 능력을 보유하여야만 합니다. 시스템/네트워크 보안 기술만 보유하여도 충분한 기술이라 할 수 있지만 장기적인 안정성은 부족하며 현재의 공격기술 발전상황을 따라 갈 수 없는 상황이라 할 수 있습니다.

모의해킹과 Application 보안 기술 각각만 하여도 충분히 인정 받을 수 있으나 장기적으로는 세부 기술에 대한 이해와 범위를 확대 하고 끊임없이 노력하여야만 장기적인 발전 통로를 확보 할 수 있습니다. 작금의 국내 보안인력들은 인력풀은 매우 협소하나 충분한 역량 발휘가 가능한 인력들이 다수 있다고 볼 수 있으며 각 세부부분에 너무 치중하여 전체적인 균형이 부족한 부분이 작은 흠이라고 봅니다. [ 물론 제가 이런 말을 할 입장은 아닙니다만 ^^ ; 사견이므로  용서가 되리라 봅니다.]

 

 

보안관리자 [Security Manager]

 

보안관리자라는 용어에는 앞서 서두에서 GSM[General Security Manager] SSM[Special Security Manager]라고 구분을 지을 수 있다고 하였습니다. 대상이 무엇이냐에 따라 달라집니다만.. General Security Manager의 구성요소는 일반적으로 많이 아시는 자격증을 생각 하시면 됩니다. CISA , CISSP등과 같은 유형은 보안의 폭넓은 부분을 다루고 있으며 깊이보다는 넓이에 치중을 하고 있습니다. 물론 물리적인 보안 부분도 넓게 다루고 있습니다. 지켜야 할 대상의 범주에 따라 구분을 하시면 됩니다. 서비스의 제공이 아닌 제품의 제조 또는 연구결과물에 대한 보호가 필요한 기업이나 굴뚝형 기업[지켜야 할 그 무엇이 있는 기업? ]의 경우 GSM[ General Security Manager 이후 약어로 GSM이라 칭함]의 역할이 필요합니다. 물리적인 보안 조치 및 정책적인 보호 이슈 등에 대해서 대비를 하고 준비를 하면 일정 수준 이상의 보안 대응이 가능합니다. 물론 일부 IT 관련된 보호 대책도 논의가 되고 있으나 그다지 특화된 서비스라 보기는 어렵습니다.

 

 

GSM[General Security Manager]

 

상당히 폭넓은 분야에 대한 상대적으로 가벼운 지식[?]이 필요합니다. 그 동안의 ISO 인증이나 정통부의 인증 부분도 유사유형이라고 볼 수 있으며 이런 인증들이 IT서비스의 위험을 막을 수는 없습니다. 그러나 최소한의 대응과 준비는 할 수 있게 해준다는 점에서 의의를 찾을 수 있습니다. 외부와의 접촉 통로가 물리적인 방식 외에는 없을 경우 이 부분에 대한 대책을 진행 하면 됩니다. 이 부분도 심도 있게 들어갈 경우에는 많은 고민이 필요합니다만 지켜야 할 그 무엇에 대한 관점에 따라 달라집니다. GSM이 관장하는 영역을 일반보안이라고 칭하기도 하고 산업보안이라고도 할 수 있을 것입니다. [ 대략적인 업무에 대해서는 알고 있으나 상세 발전 내용에 대해서는 자세히 알고 있지 못하므로 표현에 대해 넓은 양해를 바랍니다.]  물리적인 보안 및 PC 보안에 대한 부분과 통제 부분이 주된 부분이 되며  BCP [ Business Continuity Planning] 영역으로 넘어가 전사적인 비즈니스 연속성 관점에서 이루어 지기 위해서는 GSM 영역도 매우 사려 깊고 심도 있는 지식과 이해가 필요한 부분이 됩니다. 그러나 이해를 하기 위해서 필요한 지식 부분은 GSM 보다는 SSM 영역에서 BCP에 접근하는 것이 더욱 손쉬운 길이며 또한 BCP를 수행 하기 위해서는  보안전문가 영역의 수준을 이해 할 수 있어야 됩니다. 이제는 자연재해만이 재해가 아니며 대규모 해킹이나 지속적인 DDoS에 따른 장애도 BCP에 포함이 되어야 하기에 더욱 그렇습니다.

 

 

 

SSM [ Special Security Manager]

 

Special Security Manager라 불릴 수 있는 보안관리자는 이제 걸음마 단계라고 할 수 있습니다. 보안전문가 수준에서 올라 갈 수 있는 레벨이라고 보시면 됩니다. GSM이 다른 영역에서도 보다 손쉽게 초기에 진입을 할 수 있다면 SSM은 매우 어렵습니다. 상당한 기간의 보안전문가 수준을 거쳐야만 가능하기 때문입니다. GSM은 시장에 초기 진입은 쉬우나 발전 양상에 따라 매우 어려운 상황에 처할 수 있으며 중대 사고 발생시에 빠른 판단과 대응을 하지 못함에 따라 문제가 심각해 질 가능성이 있습니다.

 

보안전문가와 Special Security Manager와의 차이점은 몇 가지 안됩니다.

 

보안 전문가 영역에 대한 이해를 기본 바탕으로 하고 현재의 공격이나 위협의 흐름에 대한 인식과 배움을 게을리 하지 않은 SSM들에게 요구되는 것은 현상에 대한 판단능력과 위협에 대한 대응 능력이 가장 필요합니다.. 보안 전문가들이 개별 사안에 대해 문제점을 진단하고 위협을 나타낸 것을 가지고 전체 서비스 분야에서 이 문제가 어떤 파급효과를 가져 올 수 있고 향후에 어떤 위험이 될 수 있다는 것을 판단하고 과감하게 행동에 옮길 수 있어야만 SSM 이라 할 수 있습니다. 자리를 차지 하고 있다고 관리자가 아니며 판단과 책임이 동반됨을 인지하고 기민하게 움직이고 판단/ 대응 하는 능력.. 이런 능력을 지닌 자가 Special Security Manager라 할 수 있습니다.

 

한국의 IT서비스 역사는 일천합니다. 좋게 봐도 10년이 한계입니다.  IT서비스 역사에서 보안이라는 기술 부문은 매우 거친 환경에서 자생 할 수 밖에 없었고 더욱이 서비스에 대한 이해를 하고 있는 보안관리자는 거의 없다고 볼 수 있습니다. 이제서야 보안전문가들이 보안관리자 영역에 접근을 하고 있는 시점에서 보면 좀 더 많은 시간이 지나야 각 IT 서비스 부문에 대해 특화된 전문적인 보안관리자들을 만날 수 있을 것입니다.

 

대규모 해킹 사고가 나거나 백도어가 발견 되었을 때 취할 수 있는 행동에 따라 GSM SSM의 행동 동선과 사고의 동선도 다르며 손쉽게 구분이 될 수 있습니다. 실효적인 대응 조치가 무엇이고 당장 무엇을 해야만 하는지 또 보안대책의 이행에 따른 서비스의 장애가 충분히 감내 할만 하고 그만큼의 가치가 있는 작업인지에 대해서 기술적으로 판단을 하여야 합니다. 이런 판단은 SSM 만이 명쾌하게 내릴 수 있습니다. GSM의 경우는 IT 서비스 부문에서 현상에 대한 판단 능력과 위협에 대한 대응 능력이 느릴 수 밖에 없으며 서비스 부문에서의 대응에서 느림이라는 것은 종말과도 같은 결과를 가져오게 됩니다.

 

Global 부문에서도 마찬가지 입니다. IT 서비스를 하는 모든 기업들 [ 사용자와의 인터페이스를 중시하고 사업모델인 모든 기업]에게 SSM은 매우 필요한 존재이며 이런 존재는 보안전문가와 함께 전문가집단을 구성함으로써 완전함을 이룰 수 있습니다. 완벽하게 방어하는 것이 아닌 공격기술과의 격차를 최소화 하고 빠르게 대응하는 체제만이 향후의 IT 서비스에 긍정적인 역할을 할 수 있고 최선의 결과를 가져 올 수 있습니다

 

Web2.0이 화두입니다.

Web2.0의 기본 모토는 사용자와의 호흡입니다. 호흡을 하기 위한 도구로 Internet이 사용됩니다. Web2.0을 표방하는 기업은 이 호흡에서 이익을 창출합니다. 사람들은 모두 위험성은 외면한 채로 이득만을 바라봅니다. 그러나 이런 이득은 오래 지속 될 수 없습니다. 위험에 대한 대비가 없고 준비가 없는 상태에서는 기껏 이루어 놓은 것들 조차도 순식간에 사라질 수 밖에 없습니다

 

 

 

Security Manager Security Officer

 

보안관리자와 CSO [ Chief of Security Officer]의 차이는 경영을 보는 눈에 있습니다. 보안관리자는 현실에서의 최선을 추구합니다. 그러나 경영을 보는 관점에 따라 ..회사의 수익구조와 발전방향을 이해하고 있는 CSO에게서는 적절한 수준의 대응과 미래에 대한 준비를 고민 할 수 있습니다. 수익에 기여 할 수 있는 부분을 찾고 보안이라는 역할을 수익에 직접 기여 하고 가장 큰 위험요소를 전략적으로 선별하여 제거 하도록 하는 관점이 있습니다. 모든 부분에 힘을 쏟을 수 없으므로 중요한 부분을 찾아서 선별적으로 힘을 집중하여 대응을 하는 큰 그림을 그릴 수 있는 능력이 있습니다. 보안관리자와 CSO의 차이는  경영을 보는 관점과 수익창출에 기여 할 수 있는 부분을 가려내는 능력에 있다고 봅니다. 물론 CSO의 경우에도 기술적인 의견들에 대해서는 판단을 하여야만 합니다. 서비스의 중지라는 극단적인 선택을 택하면서도 이러한 선택이 장기적인 관점에서 이익임을 이해 할 수 있어야만 합니다. 서비스의 중지가 필요한 사안인지에 대한 판단능력을 CSO가 가지고 있어야만 함은 당연한 이야기입니다. 최소한 보안전문가와 보안관리자의 의견을 종합하여 분석하고 판단할 수 있는 능력은 있어야 CSO라 할 수 있을 것 같습니다.

 

Security Manager Security Officer는 아직 경험해 보지 못한 영역[물론 앞으로도.. ^^]입니다. 따라서 단편적으로 제가 보는 시각에서 논의 하는 것이 부적절 할 수 있습니다만 개인의 관점에서 바라본 입장임을 양해 바랍니다..

 

이상과 같이 Security Specialist  Manager [ GSM  SSM] , Officer에 대해서 나름대로 생각하는 부분을 정리해 보았습니다. 자판 가는 대로 쓰다 보니 어설픔이 곳곳에 배여 있습니다 GSM [ General Security Manager ]은 물리적인 보안 부분과 정책적인 보안 부분에 대한 집중도가 높습니다. SSM [ Special Security Manager]는 기술과 동향에 대한 이해도가 높으며 집중도가 높습니다. Specialist Generalist의 영역 관점에서 보았을 때 최소한 IT 서비스 보안이라는 부분에서는 Specialist가 더 중요한 존재입니다. SSM의 중요성이 GSM의 중요성 보다 더욱 크다는 이야기 입니다.

 

SSM은 키우기도 어렵고 서비스에 대한 이해도가 높아지기 위해서는 많은 시간이 필요한 부분입니다.보안전문가와 Special Security Manager의 조합은 변화무쌍한 Web 2.0 환경과 그 이상의 복잡한 환경에서 기업의 안정성을 보장하고 빠르게 변화하는 공격 기술로부터 IT서비스를 지킬 수 있는 조합이라 할 수 있습니다.

 

IT 서비스 측면에서 보안전문가와 보안관리자[SSM]의 필요성과 차이, 구분에 대해서 느끼는 대로  적어 보았습니다 마지막으로 국내의 IT서비스 환경에서도 보안전문가의 중요성과 각 서비스 환경에 능숙한Special Security Manager의 양성에도 많은 관심이 있었으면 합니다.

 

좋은 하루 되세요.   2007.3.6

 

* 사족으로 그 동안 여러 회사에서  Security manager들과 많은 일들을 해보았습니다만 보안은 행동하지 않으면 아무것도 없는 허상입니다. 말과 문서로 이루어 지는 것은 실제의 서비스에 많은 영향을 주지 못함은 당연한 사실입니다. 보안전문가의 말이 통하지 않고 판단이 늦어지는 문제는 IT서비스 부분에서 치명적인 결과를 가져온 것을 종종 보았습니다. ^^;

Posted by 바다란

안녕하세요. 바다란 입니다..

 

올해 년초의 보안 전망에서 너도나도 할 것 없이 UCC의 위험에 대해서 언급을 하고 있습니다.

해외 보안 업체 뿐 아니라 국내 보안 업체들도 마찬가지의 목소리를 내고 있는데 실상 얼마 만큼의 위험요소가 있을까요?

실제 가벼운 예를 통해서 풀어 보도록 하겠습니다.

 

http://www.etnews.co.kr/news/detail.html?id=200701080117

 

 

Web 2.0은 사용자 중심의 UI를 통한 사용자에 의한 컨텐츠 제어로 규정 할 수 있을 것 같습니다. 물론 제 나름의 정의입니다. ^^

이 관계에서 AJAX든 UCC든 다양한 사용자 중심의 컨텐츠 구성이 핵심이 될 수 있을 것 같습니다. 이 중에서도 UCC [ 사용자 저작 컨텐츠]라고 칭할 만한 것은 매우 많이 있지만 국내외적으로 통용되는 부분은 동영상 부분을 언급 할 수 있습니다. 구글에 인수된 유튜브를 비롯하여 국내에도 다양하고 많은 동영상 서비스 제공 업체들이 있으며 현재도 활발하게 서비스를 하고 있는 상황입니다.

 

동영상이 핵심이 된 UCC 부분에 다가올 위협은 어떤 것들이 있을까요? 그리고 우리에겐 어떤 영향들이 있을까요?

 

Myspace를 통한 Application 웜의 전파는 이미 시일이 지난 뉴스 입니다만 매우 손쉽게 기업이나 사용자들이  다양한 타격들을 받았습니다. 05년도에는 Javascript를 통한 이용자의 정보 도용 및 임의 전파가 가능한 가벼운 수준의 Application worm이 출현 하였습니다만 기업 입장에서는 개발 코딩의 변경 및 여러 관계 부분을 고치느라 고생을 하였을 것입니다.   이후 지난 연말 즈음에 Applie의 QuickTime 파일에서 임의적인 코드를 실행하게 하는 악성코드가 발견 되었고 해당 유형으로 인해 사용자의 피해가 다수 있었습니다. 앞으로도 계속 이어지겠죠. 온라인 상에서 서비스를 하는 기업이라면 말입니다.

 

QuickTime 포맷의 경우 편집기를 통해 중간 부분에 스크립트를 밀어 넣는 것이 가능해 집니다. 스크립트를 밀어 넣는다는 것은 원격지의 웹서버에서 악의적인 코드를 실행 시키게 하는 것이 가능하다는 것이죠. XSS [Cross site scripting] 취약성의 문제는 외부 링크를 허용하게 하거나 임의의 스크립트 코드를 실행 시키게 함으로써 사용자 PC에 악의적인 행위 혹은 사용자가 이용하는 웹사이트에 악의적인 행동을 할 수 있게 됩니다.

 

그렇다면 멀쩡한 게시판 및 링크들을 올릴 수 있는 부분을 제외하고 왜 동영상인가? 할 수 있습니다. 그동안 XSS 취약성은 게시판 및 댓글 ..등등 사용자가 작성 할 수 있는 유형의 게시물에 많은 부분 발생이 되었고 많은 권고와 문제의 지적에 따라 상당부분 해결이 되었습니다.  즉 악의적인 코드의 실행을 유도 할 수 있는 원천 문제들이 다수 수정이 되었으므로 사용자가 직접 제작하여 올릴 수 있는 컨텐츠에 집중이 되는 것으로 볼 수 있습니다.

 

원천적인 악성코드 설치를 유도하는 소스의 변경은 다음과 같이 가볍게 볼 수 있습니다.

게시물의 XSS 취약성 이용 -> Jpeg 파일 변조를 통한 악성코드 설치 ->Flash내에 임의 코드 실행 루틴 추가 -> 동영상내에 악성코드 실행 루틴 첨가

 

현재의 위험요소는 동영상 편집의 일반화 및 동영상 업로딩의 일반화에 따라 보다 더 많은 대중에게 노출이 가능한 컨텐츠가 보다 큰 효과를 얻을 수 있다고 판단을 하였을 것입니다. Mpeg 계열뿐 아니라 모든 동영상이 마찬가지의 문제를 안고 있습니다. 다만 문제의 해결은 이런 동영상들을 플레이 하는 플레이어의 판단에 따라 외부 코드가 실행이 되거나 되지 않거나 할 뿐입니다.

 

서론이 길었습니다. 간단하게 나타날 위험을 짚어 보겠습니다.

 

* 동영상 편집을 통해 중간이나 시작 부분등에 치료툴 [ 그동안 지긋지긋 하게 봐왔던 유형] 설치 및 광고가 들어 갈 수 있고 이런 유형은 매우 손쉽게 사용자 정보 유출 및 사용자 PC에 악의적인 코드를 실행 시키게 하여 원격에서 제어가 가능한 형태로  쉽게 전환이 될 것입니다.

 

* 동영상 플레이어의 경우 자체 제작한 동영상 플레이어 및 Media Player등을 거의 대부분 사용하고 있을 것인데 Media Player에 포함된 외부 URL , 스크립트에 대한 허용/ 비허용 기능의 Default On 기능이 Media Player 버전에 따라 들쭉날쭉 일관성이 없습니다.  Media player의 경우에는 허용/비허용이라도 있지만 대부분 자체 개발한 부분에는 해당 옵션 조차 없습니다.

 

* 자체 동영상 파일 원본을 보유한 곳은 패턴에 따른 검수라도 가능 하겠으나 단순 스트리밍 서비스를 제공 받는 곳은 치명적인 타격을 받을 수 있습니다.  [ MMS 프로토콜을 이용할 경우 버퍼링을 통해 방송이 됩니다. ] 파일 원본속에 포함된 악의적인 코드를 검출 하는 것이 불가능 하며 알려진 악성코드의 유형에 대해서만 다양한 보호장치를 통해 일부 판별하는 것이 가능합니다.

 

* 악성코드의 사용자 PC 공격 유형은 일반인들의 상상을 초월합니다. 보안장비나 패턴을 찾아내는 탐지기를 피하기 위해 다양한 변형기법들을 사용 하고 있으며  현재에도 널리 사용이 되고 있습니다. 단순하게 패턴을 찾는 유형으로는 일차적인 대응외에는 더 할 수 있는 일이 없다고 볼 수 있습니다. encoding 단계를 넘어선 상황입니다.

 

 

- 최악이라 볼 수 있는 것은 이슈성이 매우 큰 폭발력이 있는 동영상에 신규 취약성을 공격하는 코드 실행 루틴이 숨겨져 있을 경우 [ 일반적인 패턴매칭으로는 찾을 수 없을때] 한번에 몇백만개의 백도어가 설치된 PC들을 동시에 제어하는 것이 가능해 질 수도 있다고 생각 됩니다.

 

대책은 무엇일까요?

 

- 자체개발 동영상 Viewer에서의 외부 URL 링크 및 스크립트 실행 부분을 비허용으로 설정 [ 이럴 경우 광고등에 문제가 있을 것이므로 적당하게 현명한 대책이 필요합니다.] Media Player의 경우 버전에 따라 오락가락함.

 

- 전체 동영상 원본에 대한 발생 가능한 패턴의 발견 및 검증 절차 수립 [ 동영상 원본 자체내의 패턴을 검사하여 비정상 패턴을 걸러내야만 합니다. ]

 

- Streamming 서비스시에는 Streamming 서비스 원본을 제공하는 주체에서 명확하게 검증을 수행 하여야 하며 단순한 스트리밍 서비스를 중계하는 업체의  경우 에는 인력을 동원한 검증작업 이후나 검증 루틴을 소스제공 주체에 제공하여 보안을 강화하는 방식이 효과가 있을 것입니다.

 

여담으로 IPTV가 활성화 된다고 합니다. 생방송 도중 악성코드가 삽입이 된다면 어떻게 될까요? 발생할 일이 없을까요? 장담하기 어려울 것입니다. 주문형 VoD의 경우에도 매우 큰 문제가 될 것이구요. 비단 UCC만의 문제가 아니라 전체 웹 및 서비스 산업의 발전에 따른 비용입니다. 서비스의 발전에는 그만큼의 그늘이 존재 할 수 밖에 없습니다. 모든 것은 발전을 지향하고 이상적인 모델을 추구합니다. 또한 공격자들도 이상적인 모델을 꿈꿉니다. 발전은 병행하며 공격기술의 발전은 무어의 법칙을 넘은 수준입니다. ^^;

 

모든 서비스의 발전에는 물밑의 수없이 많은 다리의 움직임이 있어서 유지가 되는 것이라 할 수 있습니다. 많은 부분 노출이 되고 숨길만한 게재가 없는 "UCC"의 흐름에서 작은 문제 하나가 종종 만사를 어렵게 만들기도 합니다. 보안이라는 부분은 더이상 여유가 있을때 노력을 해야만 하는 충분조건이 아닌 필요충분조건으로서의 폭발력을 이미 가지고 있다고 봅니다.

 

앞으로 곧 현실화 될 문제이고 현재 당면한 문제입니다.

 

기사를 보다보니 충분한 설명과 대책에 대해서도 언급하는 것이 필요한 것 같아서 간단하게 써보았습니다.

   - p4ssion  

Posted by 바다란

안녕하세요. 바다란입니다.

 

본 문서는 올해 상반기에 여러 컨퍼런스에서 발표한 자료입니다. 이미 공개적으로 문서화 되어서 배포가 된 내용인데 블로그에 올리는 것을 깜빡 했습니다.

제목은 Trustworthy web service for web 2.0 입니다. Web 2.0 서비스에서의 신뢰할만한 웹 서비스에 대해 정리한 내용입니다.

 

전체 내용은 다음과 같습니다.

 

Web 2.0의 확산에 따른 UCC의 어뷰징 유형을 보이며 어떤 문제들이 있을 수 있는지를 짚어 봅니다.

더불어 Web service Application에 대한 Attack들을 보이며 근래에도 계속 문제가 되고 있는 URL 인자들의 필터링 관련된 문제도 다루고 있습니다.

 

문제들이 있다면 해결책을 제시하는 것은 당연합니다.

문제들을 해결 하기 위해 서비스 분야별로 어떤 대응이 필요한지에 대해서 정리 하였으며 SDLC의 적용이 주기가 빠른 Web Application에 대해서는 적용이 어려우므로 전문인력을 통한 보안 검수 체제에 대해서 설명을 하고 있습니다.

 

보안 검수 체제를 통해 존재하는 서비스에 대한 진단과 신규 개발 서비스에 대한 진단 체제를 갖출 수가 있습니다. 물론 중요한 것은 전문성을 지닌 인력의 확보 이겠죠.

 

의문 사항 있으시면 답글 달아 주세요.

 

그럼 좋은 하루 되세요들.

 

* 파일업로딩이 잘 안되네요.부득이하게 두개의 문서로 짤랐습니다.

Posted by 바다란

 

최종 내용입니다. 이 부분은 향후의 위협 모델과 대응을 위한 결론 부분입니다.

다음에는 다른 주제로 만나 뵙도록 하겠습니다. 2007년도 고생 많으셨습니다. 올해는 좀 더 다른 방향의 시작이 될 것 같습니다.  감사합니다. - 어디 사용 하실때에는 항상 출처를..^^  p4ssion is never fade away!

 

 

■ Next Threat?

지금의 위협과 또 앞으로 다가올 위협들은 어떤 모습을 지니고 있을까? 또 어떤 방향에서의 흐름들이 지금 나타나고 있는지 간략하게 확인을 해볼 필요성이 있다. 방향성은 달라 질 수 있으나 지금까지의 발전 방향으로 보았을 때 유사 방향으로 진행 될 수 있을 것이다.

 

예상 중에 Application Web service Worm은 이미 2004년에 santty worm으로 인해 촉발이 된 상태이며 향후 더욱 심화될 것으로 판단된다. 특정 서비스에 국한된 Worm 이나 악성코드들도 이미 Myspace에서 출현이 되어 피해가 실제로 있었으며 Yahoo도 예외는 아니다.

 

Ubiquitous attack은 2007년 9월과 3월에 두 가지 경우를 대표적인 예로 들 수 있다. Libtiff 라이브러리의 취약성을 이용한 권한 획득 가능성 과 Ani cursor에 대한 문제를 이용한 권한 획득 가능성을 대표적으로 들 수 있으며 Libtiff 취약성은 Iphone , Mac등 Apple 관련된 제품에 전체적인 영향을 미치고 있고 Ani cursor는 win 3.1 부터 Vista까지를 모두 관통하는 문제라 할 수 있다. 즉 하나의 문제가 발견 되었을 경우 이 문제는 Application이 실행 될 수 있는 모든 운영체제 혹은 시스템에 문제를 일으킬 수 있으며 실제 영향을 미친다고 할 수 있다. 다양한 플랫폼과 다양한 프로토콜 , Ubiquitous와 같은 모든 한계와 관계없이 Application에 대한 취약성은 모든 것에 영향을 미친다는 것이다. 이미 실례로 보인 것과 마찬가지의 상황은 미래에서도 일반적이 될 것이다.

 

 

특정 서비스에 한정된 공격들도 다양한 유형을 볼 수 가 있으며 서비스의 확산에 따라 특정 서비스 부분 혹은 특정 회사에만 국한된 공격을 볼 수가 있다. 국지적인 공격이기는 하나 대상은 포괄적이며 광범위하다. 특정 지역에만 한정된 공격이 아니기에 더더욱 그러하다.

 

 

 

 

대표적으로 예를 들은 Myspace와 Yahoo 경우 모두 내부 서비스의 구조에 대해서 손쉽게 파악을 하고 구조적인 문제를 직접 활용 할 수 있도록 구조화된 것에 당했다고 할 수 있다. 더불어 주변 PC로 전파 시키는 것이 아니라 관계적인 측면을 공격하는 것을 통해 물리적인 통제 범위를 손쉽게 벗어날 수 있으며 추적이 매우 어려움을 충분히 예상 할 수 있다.

YH032.explr의 경우에는 채팅을 통해 악성코드를 채팅유저에 감염 시키고 메신저 리스트를 얻어와서 script worm을 재전송 시키게 되며 그 이후 사용자의 PC에 IE Icon을 가짜로 만들어 두고 사용자에게 악성코드 세트를 설치하도록 유도하고 있다. 즉 시스템적인 공격 보다는 서비스에 특화된 공격이 두 번 연이어 이어지고 있다는 점에 주목해야 된다.

 

AOL은 Instant Messenger관련된 공격과 Worm이 매우 많았다. 이 문제를 해결하기 위해 자사 서비스 이용자들에게 백신을 제공하고 있으며 MS의 경우에도 보안사업 진출을 하게 된 이유는 명확하다. 서비스를 유지 하기 위해서 보안은 필수적이며 충분한 시장성이 보이기 때문에 진출을 한 것뿐이다. 자사의 서비스의 Core 부분을 지키기 위해서도 반드시 필요한 부분이기에 더더욱 그러한 것이다.

 

 

 

■ 대책

지금까지 실례를 통한 발전된 웹의 위험성들에 대해서 언급을 하였다. 지금 우리가 사용하고 있는 모든 서비스들을 위험성 없이 유지하기 위해서는 다양한 문제점들을 제거 하여야 하고 위험성이 있는 부분을 사전에 찾아 낼 수 있도록 하는 많은 작업들이 필요로 한다. 이런 작업들이 이루어 지지 않은 소규모 서비스 업체들은 어려움을 겪을 수 밖에 없을 것이다. 이 문제는 비단 국내에 한정된 문제는 아니며 전 세계적인 IT서비스에 대한 이슈제기임을 이해해야 한다.

단순한 장비 도입을 통해 해결이 될 수 있는 수준은 아니며 Secure coding에 대한 인지도 확산과 Validation check의 강화 및 Monitoring , Technical Security의 강화를 통해서만이 이루어 질 수 있다. Web의 확산에 따른 상황별 대안을 간략하게 정리하면 다음과 같다.

  • 기술적인 관점
  • 사용자의 관점
  • 정책적, 국가 프로세스적 대응

위의 세 가지 큰 방향성에서 대책을 논의 할 수 있다. 개인정보보호는 다른 관점에서 취급되어야만 한다. 기둥이 없는데 지붕만 덩그러니 올릴 수는 없지 않은가? 지금은 기둥도 없는데 지붕을 먼저 올리는 형국과 다름이 없다고 개인적으로 보고 있다. 또한 본 문서에서 언급할 내용도 아니다.

개인정보보호가 중요한 테마이기는 하나 기반 되는 기술적인 보안이 없는 상태에서 통제만 된다는 것은 큰 방향성을 보지 못하는 우를 범하는 것과 마찬가지이다. 전 세계적인 위험과 취약성의 동향을 충분히 인지하고 현재의 우리 상태를 냉정하게 살펴보아야만 가능할 것이다. 단순히 제품을 팔고 인지도를 높이기 위한 그런 정도의 인식수준이라면 앞으로의 IT서비스의 미래는 장담하기 어려울 것이다.

 

 

● 기술적관점

- Filtering

- Platform의 체계화

- Monitoring

- 보안성 검수 ( Blackbox Test)

* Filtering

Filtering의 의미는 기술적인 의미로서 사용자가 제작하는 모든 것들에 대해 악의적인 코드들이 삽입 되어 있는 지를 검사해야 한다는 의미이다. ( 게시판, 게시물, 덧글 , 이미지, Flash, 동영상 …) 모든 사용자 저작물에 대해 기술적인 위험요소가 존재하는지 여부를 검토하는 것을 의미한다. 항목별로 보면 다음과 같은 유형이 가능하다.

  • . 광고 필터링
  • . ActiveX 포함한 악성코드 설치 유형의 필터링
  • . 악성코드가 설치 코드등이 포함된 이미지에 대한 필터링 이슈
  • . Flash , 동영상에 대한 악성코드 컨텐츠 필터링
  • . 욕설, 성인 관련물에 대한 정책적 필터링
  • . 악성코드, 해킹툴, Virus의 File upload에 대한 Filtering

*Platform의 체계화

Filtering 하는 시스템들을 서로 연관 되도록 하고 구조적으로 디자인 하여 운영함. 또한 전문 보안인력에 의한 운영과 합리적인 프로세스의 수립이 필요하다.

  • . 필터링 시스템에 대한 체계적인 구성
  • . 전체 사용자 입력부분에 대한 필터링 구조 수립
  • . 전문 인력의 연구와 조사에 의한 필터링 방식 및 Rule의 갱신과 추가
  • . 신규 필터링 이슈 발생시의 업무 분담 및 체계적인 대응 구조의 수립

위의 항목이 구체적으로 platform의 체계화에 포함되어야 하는 항목이며 모델을 대규모 서비스를 운영하는 비즈니스 조직 중심으로 업무를 나누어 본 것이다. Filtering 부분도 영역이 크긴 하나 가장 중점적인 서비스 부분에 최대화 시켜도 무방할 것이다.

 

 

* Monitoring

인력을 이용한 특정 이슈에 대한 집중 모니터링 또는 시스템에 의해 걸러지지 않은 사안의 발견, 신규 취약성에 대한 모니터링 관련된 이슈로 모니터링 항목이 필요하다고 판단된다.

각 항목별로 좀 더 세분화 시키면 다음과 같다.

  • . 동영상에 대한 모니터링 (성인물 , 악성코드 설치, 팝업 유형)
  • . 비정상 행위에 대한 특이사항 모니터링 – 신규유형 탐지
  • . 개인정보 침해 사안에 대한 직접 모니터링
  • . Filtering 이후의 결과에 대한 모니터링
  • . 전문인력에 의한 신규 취약성 전문 모니터링
  • . 고객의 불만 및 신고에 대한 대응
  • . 시스템 및 서비스별 로그에 대한 모니터링을 통해 비정상 행위의 탐지

 

* 보안성검수 ( Penetration Test)

 

가장 중요한 전제이지만 아무리 프로세스가 있다고 하여도 프로세스를 감당하고 실행할 만한 인력이 존재하여야 한다. 보안성 검수를 수행 할 수 있는 인력은 그리 많지 않으며 전체를 볼 수 있는 인력이 각 부분별로 능력에 따라 적절하게 조율하는 것이 가장 바람직해 보인다.

Web Application의 경우 사용자에게 노출 되는 범위가 많음으로 인해 사용자의 접근성이 보장되고 활동이 이루어지는 모든 부분에 대해서 보안상의 위험이 있는지 없는지 검토가 되어야 되며 이후 발견되는 새로운 취약성 이슈에 대해서도 지속적인 활동이 되어야만 한다..

 

모든 보안 이슈에 대해서 이해 하는 인력을 찾는 다는 것은 불가능하다. 다만 중요한 관점은 특정 서비스 분야에 대한 위협이 가중되고 있는 상황에서 서비스에 익숙한 전문 보안 인력이 존재하는 것과 없는 것의 차이는 실행력과 노력, 비용 측면에서 시간이 지날수록 현격한 차이를 보이게 될 것이다.

 

전문적인 기술 보유 여부와는 관련 없이 실행되는 프로세스에 대한 설명만을 통해 모든 Application 개발단위에 있어서 필요한 보안성 검수가 어떤 방향으로 진행 되어야 하는지 인지가 필요하며 개발주기가 매우 짧은 Web Application의 경우 SDLC의 적용도 중요하나 소스코드 또는 테스트 단계에서 문제를 확인 할 수 있는 보안성검수(Fast Penetration Test)의 중요성도 더욱 높다고 할 수 있다.

 

 

위의 그림은 보안검수에 관련된 일반적인 프로세스 이다.

IT 보안 관련된 부서에서 모든 부분에 대해서 접촉을 유지하고 문제에 대해서 파악을 하는 것이 필요하다. 이런 유형의 업무 프로세스는 보안 인력 풀이 풍부하고 시간 계획이 일정상 여유가 있는 부분에서는 가능하다. 그러나 Web Application과 같이 개발주기가 짧고 변경이 잦은 상태에서는 IT 보안 관련된 부서에서 많은 업무들이 지체 될 수 밖에 없다. 보다 더 서비스 친화적인 보안 서비스 모델을 구축 하는 것이 필요하며 Web service가 일반화된 기업이라면 고민 해볼 필요성이 있는 모델이다.

 

위의 이미지는 QA에서 잦은 변경과 같은 History 관리를 전담하여 전체적인 서비스의 안정성을 포함시키고 보안 관련 부서는 전문 분야를 진행하면 되는 역할 분담을 통해 빠른 서비스 안정화가 가능하다고 판단된다. 진단의 경우에도 신규 개발되는 Application을 위한 보안 점검이 있을 수 있고 이미 운영중인 서비스들을 위한 진단이 있을 수 있다. 두 가지 유형은 다른 관점에서 접근을 해야 하며 프로세스는 다음과 같다.

(* IT 서비스를 위한 위협의 제거를 위해 고안한 프로세스이며 적용결과 가장 유효한 모델이라고 생각 된다.)

 

정기 점검의 경우에는 보안 분서에서 플랜을 수립한 이후 전문지식을 이용하여 진단을 수행하고 이후의 안정성 강화 및 플랜 관리 측면은 Quality Assurance 부서에서 담당을 하여 전체적인 서비스 안정성을 높이는 것이 가장 이상적이라 할 수 있다.

 

기존의 많은 서비스 기업의 경우에도 전담 보안 부서가 없는 경우에는 외부 Outsourcing을 이용하기도 하는데 인력이 가장 중요한 부분이며 전체를 점검 하는 프로세스와 신규 개발되는 서비스에 대한 보안성 강화 프로세스를 동시에 운영함으로써 모든 서비스 부분에 대한 안정성을 높일 수 있다. 여기에 보안성검수를 수행하는 인력의 능력치가 높으면 높을수록 모든 서비스에 대한 안정성 수준은 세계적인 수준이 된다.

 

 

개인 PC 차원의 보호 방안의 경우는 항상 반복되는 이야기가 계속 나올 수 밖에 없다.

- phishing 주의 ( 메일 , 링크)

- 첨부파일에 대한 주의를 높일 것 ( Zeroday worm , Office 관련 웜)

- 보안 패치와 Antivirus를 이용한 기본적인 위험요소의 제거

- ActiveX의 시스템 설치를 제한

- 주기적인 패스워드 변경

- 신뢰할 수 있는 기관의 보안 설정 설치

- 사이트별 중요도에 따른 보안 정보 관리 마인드 ( 패스워드 등)

 

 

정책적이고 큰 규모에서의 프로세스적인 방안의 대응으로는 좀 더 다른 논의가 가능하나 본 문서에서 강조하여 언급한 부분은 아니라고 여겨진다. 필수적인 부분만을 간략히 언급하면 다음과 같다.

 

- 보안전문 인력의 활성화 및 효율화 방안 수립과 이행

- 모니터링 및 필터링에 대한 방안 수립 권고

- 중소규모 서비스 업을 위해 보안성검수의 집중 운영 필요성

- Secure coding을 위한 Template과 개선 가이드 필요

- ISO 27001, ISMS와 같은 여러 인증을 시대와 정보의 흐름에 맞게 활용

- White List의 관리 ( Site, Program 등등)

   - Web Application의 문제 해결을 위한 진단 스캐너 개발 및 보급 필요

 

어느 것 하나 손쉽게 되는 것은 없으나 하지 않으면 안되는 상황이다.

 

 

 

■ 결론

 

위험은 지속된다. Web은 현재 고정된 유형이 아니며 앞으로도 빠른 속도로 발전 할 수 밖에 없다. Web 2.0 이라고 지칭하는 모든 유형들도 사용자의 접근성을 강화하고 새로운 유형의 지식 관계를 형성하는 서비스라고 볼 수 있다. 그만큼 사용자 간의 거리와 간격은 더욱 좁혀진다. 종래에는 언어의 구별을 넘어선 진정한 지구촌 커뮤니티가 형성 될 것이다. 이때에도 가장 큰 역할 을 담당하는 도구는 Web이 될 것임은 분명하다. 이런 노출된 메소드들에 존재하는 위험들은 지금 보다는 앞으로가 더 심각해 질 것이고 위험하다 할 수 있다. 위험은 계속된다. Web의 발전만큼 위험요소들도 발전 하는 것이다. 편리함의 이면에는 또 다른 위험이 항상 존재하듯이 지금도 불안한 걸음을 계속 걷게 되는 것이다.

 

“인간적인 너무나 인간적인” 참여는 현재 진행형이고 앞으로 더 진행 될 것으로 예상 된다. 더불어 Service에 특화된 Application 공격은 일반적으로 발생하고 세계적으로 발생 될 것이다. 이때의 상황에 직면해서는 기술적인 보안의 중요성을 각 서비스 기업들마다 뼈저리게 느끼게 될 것이다. 아마 지금도 느끼고 있겠지만 앞으로는 더 심해질 것이다. 보안에 투자하여 역량 있는 인력들을 지속적으로 키우지 못하는 이상 앞으로는 세계를 무대로 한 서비스는 성공하기 힘들 것이다. 이 말의 의미는 시간이 지날수록 체감 할 것이다.

 

 

■ 참고자료

[1] http://blog.naver.com/p4ssion

[2] Gartner Survey, 2005

[3]www.securityfocus.com/

[4]http://ha.ckers.org/blog/20060704/cross-site-scripting-vulnerability-in-google/

[5] www.owasp.org

[6] www.krcert.or.kr

[7] web2.wsj2.com - Web 2.0 관련 자료

[8] www.cert.org - 취약성 현황 자료인용

Posted by 바다란

Enhanced Web, Enhanced Risk - 중편 입니다.

계속 갑니다

 

■Enhanced Web

Web 2.0이라는 단어가 화두가 되고 있다. 어떤 방향으로 변화를 하던 Web이라는 도구는 생활 깊숙이 들어왔으며 향후에도 보다 폭 넓게 사용이 되고 활용이 될 것임은 자명하다. 사용자의 참여에 의해 이루어 지는 많은 결과물들이 상호작용을 이루고 사회 현상에 대한 분석까지 이루어 지는 지금의 상황에서 향후의 서비스들은 보다 더 적극적으로 사용자의 참여와 공유를 통해 새로운 서비스 환경들을 만들어 가게 될 것으로 보인다.

대표적인 Web Service의 변화는 다음과 같이 정의를 할 수 있다.

 

- 사용자의 적극적인 참여

- 개방성

- 집단지성의 출현과 활용 ( 사용자에 의한 지식의 집대성)

- 멀티디바이스 ( Ubiquitous) 접근성 확대

- 사용자 접근성의 기술적인 향상 노력 ( RSS, Atom, AJAX, Open Api …)

 

위의 정의는 일반적으로 드러나는 현상에 대한 정의이며 다른 추가적인 정의가 덧붙여 질 수도 있다. 그러나 본 글은 Web의 발전에 따른 문제점을 직시하기 위한 내용이며 발전된 Web에 대한 정의를 하기 위한 글은 아님으로 위에 나열된 정의만으로도 충분히 변화의 성격을 나타낼 수 있다고 판단된다.

중요한 변화의 명제는 Web이라는 도구가 정보획득의수단 -> 생활의 수단으로 변화를한것이며 향후더욱큰폭으로확대가될수밖에없다는점이다. 또한 일부 사용자에 의한 가상 세계의 활동이 큰 폭으로 확대될 것임은 세계적으로 확대를 거듭하고 있는 주요 서비스 기업을 통해서도 확인할 수 있다. ( facebook, second life , Myspace , Amazon,blog , Avatar …)

 

정보획득의 수단에서 생활의 필수 수단으로 변환하고 있는 Web 상에서 가장 중요한 것들은 무엇보다도 사용자 스스로가 제작하는 제작물이며 이른바 UCC (User created contents )라고 할 수 있다. 일반적으로 UCC라고 칭할 경우에는 동영상을 의미하지만 사용자가 작성하는 모든 내용과 행동들이 영향을 미치거나 상호간에 공유가 가능한 형태가 될 때 UCC라고 볼 수 있다. 이와 같은 모든 행동들에는 다양한 것들이 포함 될 수 있다.

게시물 , 덧글, 동영상 , 이미지 , 플래시, 메일과 같은 의견과 정보를 나타내는 모든 유형을 UCC라고 정의하는 것이 바람직 하다. 언급된 UCC의 행위에 포함되는 많은 것들이 주요 IT서비스 기업의 핵심이 되고 있으며 향후 더욱 확대되고 외연 확장이 예고 되고 있는 시기라 할 수 있다.

 

다양한 사용자의 접근성 보장의 이면에도 기술적인 내용들도 포함이 되고 있으며 모든 방향성은 원활한 접근성의 확보에 있다.

 

 

다양한 Software client를 이용하여 Web service에 접근을 하고 유,무선의 구분이 없으며 Client와 Server간에 정보 교환 방법, Database와의 정보 전달 방법들이 다양하게 발전을 하고 복잡화 되고 있으나 중요한 관점은 사용자의 접근성의 향상에 있다는 것이다. 현재의 발전 상황은 향후 기술적으로는 복잡화 될 것이나 사용자에게는 더욱 편리한 형태로 접근성이 강화되는 방향으로 진행 될 것 이다.

 

사용자의 적극적인 참여를 위한 UCC ( User Created Contents)의 제작과 활용은 새로운 서비스 발전에 영향을 주고 있다. 반대 급부로 보다 많은 사용자에게 공유하고 참여를 하는 모델은 악성코드의 전파에도 동일한 영향을 미치고 있다. 기존의 UCC 활성화 이전 단계의 Web service 모델에서 가장 많이 발생 되었고 현재도 발생 중인 위협들은 어떤 유형들이 있는지 간략히 정리해 보자

 

- SQL Injection : 2005년 이후 URL의 인자 단위 공격 도구가 자동화 됨으로 인해 가장 큰 위협으로 대두 되고 있으며 대다수의 악성코드 유포 사례가 이 문제로 인해 발생됨. 현재도 많은 규모의 사이트들이 입력값에 대한 검사 부실로 인해 Injection 가능성을 지니고 있음

- Cookie spoofing 및 Injection

- File Upload

- File Download

- XSS ( Cross Site scripting) : 개인정보 획득 및 Phishing에 활용되는 빈도가 높아지고 있으며 향후 주의를 기울여야 하는 부분. 국내 보다는 해외 부분에서 사고가 많이 발생되고 있음

 

대표적으로 위의 항목들이 일반적인 Web application code level 단위에서 처리되지 못한 문제들을 활용한 공격들이라 할 수 있다. 오래 전부터 알려진 공격기법들도 존재하고 있으며 현재의 시기에 가장 큰 위협이 되고 있는 부분들은 대량 확대 및 전파 가능성을 지니고 있는 XSS 취약성과 SQL Injection 취약성이 가장 중요한 부분이라 할 수 있다.

 

위의 Owasp 취약성 항목에서 중요한 항목은 색으로 변경이 된 항목들이다.

다른 일반적인 항목들은 다양한 기반조치들을 통해서 일정수준 유지하는 것이 가능하나 1,4,6번과 같은 항목은 실제 소스코드를 수정해야 하는 부분과 문제가 있는 부분을 찾아내는 것이 어려운 관계로 향후에도 많은 이슈가 될 부분이다. 추가적으로 2007년의 Owasp 통계에서는 XSS 취약성이 1위 취약성으로 올려져 있으니 문제의 심각성에 대해서 생각해 보아야만 할 것이다.

 

지금까지 웹 환경의 발전 방향과 현존하는 일반적인 위협들에 대해서 확인을 해보았다. 특히 근래에 들어서 전 세계적으로 이슈가 되고 있는 중국발 해킹 및 동유럽 권역의 Phishing 관련된 이슈는 XSS 취약성과 SQL Injection 취약성이 매우 많은 비중을 차지 하고 있으며 Web Application에 관련된 많은 이슈들이 전세계적인 이슈를 불러 일으키고 있을 만큼 중요도가 높다고 판단된다. 그럼 이제는 Web 환경의 확장에 따른 위험요소들은 무엇이 있는지 살펴 보도록 하자.

 

Web 환경의 확장에 따른 위험들은 전파 유형별 , 기술적 , 형식적 타입과 같은 유형으로 임의적으로 나눌 수 있다. 전체 위험들에 대해서 임의로 유형별로 나눈 이후 각 항목에 따른 실제 예를 확인 하는 방식으로 점검을 해보도록 하자

 

● Technical Type

i. 광고 (ActiveX)

ii. 악성코드 전파 유형

iii. 개인정보 관련 ( 욕성, 비방, 개인정보 탈취), Phishing

iv. 서비스 해킹 – XSS ( 다양한 XSS 해킹 ) , SQL Injection , Request Forgery , DoM , Script Attack …

● Spread Type

i. 게시물 ( Blogging?)

ii. Feedback, RSS …

iii. Movie, 이미지, 플래쉬, 음악 등등.

● Formation Type

i. Open Api (Mashup ..) , 다양한 서비스 접근 메소드의 활용 ( Ajax,SOAP,DOM)

ii. 특정 서비스에 기반한 공격 – ex)Myspace Attack, Yahoo Attack

 

 

 

2.1 Technical Type

기술적 타입에 대한 설명은 ActiveX를 활용한 광고가 일반적이라 할 수 있다.

 

일반적인 유형으로서 ActiveX 설치를 유도함으로써 광고를 설치하게 하는 유형이라 할 수 있다. 이와 같은 광고 유형은 현재도 많이 존재하고 있으며 사용자를 혼란 시키거나 속이는 행위등과 같은 사회공학적인 기법들을 활용하여 여전히 많은 부분에서 영향을 미치고 있다 할 수 있다.

 

최근에 발생하는 대부분의 광고 유형 및 ActiveX 설치 유형들은 사회공학적인 기법을 사용하고 있으며 주의를 기울여야 한다. ActiveX의 유형 이외에도 Web 환경의 발전에 따라 나타나고 있는 Risk는 RSS 관련된 피드백 문화의 활성화라고 할 수 있다. RSS의 범람은 해외의 경우 RSS를 통한 광고를 전문으로 하는 전문회사가 존재 할 정도로 활성화 되어 있으나 자동화된 도구를 이용하여 자동적으로 피드백을 남기도록 함으로 인해 피해를 발생 시킨다고 볼 수도 있다.

RSS 피드백을 활용하여 사용자의 의견을 모으고 교류하고자 하였으나 도움이 되는 정보를 확인하고 걸러내는데 시간이 더 투자 될 수도 있는 그런 상황이라고 할 수도 있다.

 

 

RSS 관련된 이슈들은 향후 정확한 피드백과 반영이 필요한 피드백을 정교하게 골라내는데 더 많은 역량 확보가 필요할 것이다. 편리한 공유와 의견 교류를 위해 만들어 진 것이나 정보의 홍수와 광고의 홍수 속에 필요한 것을 찾아내는 것에 대한 역량은 향후 Web 관련된 서비스 기업에도 작은 과제가 되지 않을까 생각한다.

 

Phishing 관련된 예는 근래에도 상당히 많은 메일과 페이지 링크들을 확인하고 있으나 3 년 전쯤에 받았던 Phishing 메일 한 통의 경우 그때 당시에 느꼈던 독특함으로 인해 지금도 보관을 하고 있다. Phishing이란 어떤 유형으로 사람을 속이고 목적을 달성하고자 하는지 확인 해보자. Phishing은 개인정보의 탈취를 통해 금전적인 이득을 취하고자 하는 목적에서 이루어 지고 있으며 해외의 경우에는 금융기관, 은행 , Paypal 과 같은 사이트를 위장한 곳들이 많으며 국내의 경우에는 게임사이트를 위장한 경우가 다수 있었다.

 

왼쪽편의 SouthTrust 뱅크에 대한 이메일이 전달 되었을 때 보통 일반적인 사람이라면 가운데 부분의 Hyper Text Link 부분만을 확인하게 된다. 정확한 은행 명인지 확인 하여 이상 여부를 검증하곤 한다. 링크만 보았을때는 정상적인 은행 링크로 보여 클릭을 하게 되는데 ( 만약 국내 은행 중 한 곳이라고 가정하면 이해가 쉬울 것 같다.) 클릭을 하는 순간 임의의 페이지에 패스워드 및 Pin Number를 입력하라고 나온다. 어떤 관계가 있을까?  확인 결과는 정말 허무하지만 왼쪽편의 SouthTrust 메일 전체가 이미지 파일로 구성이 되어 있었다. 링크는 이미지에 대한 링크로 걸려 있는 상태였다. 즉 내부의 어떤 부분을 클릭하더라도 임의의 사이트에 접근이 된다는 것이다.

 

이와 같은 Phishing 유형은 이미 3년 전부터 유행을 하던 형태이다. 사람을 속이고 인지를 못하게끔 발전하는 기법과 수법들은 항상 인식의 빈틈을 노린다. 지금도 마찬가지 이며 위와 같은 위협은 이제 일상적인 위협이라 할 수 있을 것이다.

 

 

악성코드 전파와 관련된 부분은 사실상 국내 IT서비스 산업이 가장 큰 피해를 입었으며 세계적으로도 상당히 많은 공격을 당한 케이스라 할 수 있다. 현재 진행되고 있는 악성코드의 전파 과정에 대해서 그림으로 간략하게 살펴 보자

 

 

국내 사이트에서의 악성코드 유출에 가장 큰 문제는 개발되어 운영중인 Web Application에 Validation check가 전혀 되어 있지 않아서 Web을 통한 Database Access가 가능하고 권한 획득이 가능하다는 점에 있다.

2005년 이후 2년이나 지났지만 지금도 동일한 상황이 계속 되고 있으며 공격자들도 이전의 단순한 유형에서 벗어나 보다 더 찾아내기 어려운 방향으로 악성코드 유포를 지속하고 있다. 악성코드 유포 사이트에 대한 탐지도 계속 되어야 하겠으나 더욱 중요한 것은 근본적인 Web application의 문제를 수정하는 것이 가장 중요하다. Web firewall 이나 Web scanner 등 많은 것들을 사용한다고 하여도 가장 중요한 것은 근본적인 web application coding을 수정하는 것이 해결책이라 할 수 있다.

 

위의 그림에서 보듯이 지금까지 이루어진 공격 유형 ( 2007.9월 이전)의 전형적인 특징이라 할 수 있다. 유명한 사이트를 공격하는 것은 사용자의 접근이 많기 때문에 악성코드의 유포 효과가 정확하게 나타나고 있기 때문이다. 올해 들어서도 주요 언론사 사이트 및 Open blog 사이트에 대한 악성코드 유포 시도는 지속해서 발생이 되고 있다. 악성코드가 유포 된다고 하였을 때 근본 원인을 찾아서 수정하는 것이 아니라 ( 침입이 가능했던 원인을 찾아야 됨) 유포를 시키고 있는 소스 부분만을 삭제 함으로써 해결을 하고 있는데 보다 더 큰 피해를 입을 수 있다는 생각으로 진지하게 접근을 하여야만 한다.

 

지금까지 2005년 이후 언론지상에 드러난 악성코드 유포 사이트들만 뉴스에서 검색하여도 수 백여 곳은 족히 넘는다. 올해에만 드러난 곳이 2000여 개 가량 (Ahnlab.com 기사자료)이라고 한다. (이 부분도 단일 회사에서 집계한 내용이라 전체적인 집계내용을 합칠 경우 규모는 매우 커질 것이다.) 중요한 관점은 악성코드 유포를 하기 위해서는 단순한 스크립트만을 넣는 것이 아니라 시스템에 대한 완전한 제어 권한이 있는 상태에서 직접 Web application의 소스를 수정한다는 이야기가 된다.

 

다시 한번 생각해 보자. 악성코드를 유포한다는 것은 단순한 코드의 삽입이 아니라 소스 코드의 직접적인 수정을 의미한다. 코드를 수정하기 위해서는 모든 권한을 다 가지고 있어야만 한다. 더불어 지금 공격하는 유형들은 모두 Database의 권한을 직접 공격하는 유형이라서 Database에 저장된 많은 자료들은 이미 유출 되었다고 보는 것이 맞을 것이다.

 

지금껏 대규모 사이트들이 해킹을 당한 사례는 얼마나 많았는가? 이 모든 사이트들에서 Database에 저장된 신상정보들이 유출되고 그 이후 악성코드를 유포하는 행위들이 있어왔다. 개인정보를 지키는 것은 매우 중요하다. 그러나 모든 정보의 보호에는 기술적인 가이드와 방안이 있고 난 뒤에야 정책적으로 지키는 것이 가능해진다. 이미 다 유출되었다고 보여지는 정보들에 대해 정책적으로 무엇을 지킬 수 있을 것인지 난감하다.

지금까지는 개인정보의 유출만을 목적으로 하는 악성코드들이 존재해 왔다. 그러나 이제는 산업군 전체에도 영향을 미치는 악성코드들이 나타나고 있다. 이젠 개인정보보호의 문제를 벗어나 서비스 산업의 존폐여부를 심각하게 고민해야 하는 상황에 도달한 것이다.

 

 

 

웹을 통해서 악성코드를 유포하며 이후 감염된 방문자들은 중간 경유지 서버를 통해 명령을 내릴 수 있는 상태가 된다. 이 Command server를 통해 사용자의 PC에 명령을 내리고 이 모든 PC들이 일제히 특정 타켓들을 공격하도록 구성이 되어 있다.

 

세계적인 보안 현황 및 IT 서비스 현상에 있어서 가장 독특하고도 주의해야 될 상황이라고 판단이 된다.

● Web을 통한 DDos 공격 Agent의 유포 ( 지금껏 유례가 없던일이다.)

● 다수의 경유지 서비를 활용한 중복 명령 수행 ( 근절이 어려움)

 

위와 같이 판단 할 수 있으며 상세한 내용은 http://blog.naver.com/p4ssion/50024269739 이 게시물을 참고 하면 보다 상세한 내용과 문제 사항들을 확인 할 수 있다.

 

악성코드 유포와는 다른 유형이나 Web환경에 큰 영향을 미치는 XSS 취약성에 대해서 알아보기로 하자. 사실 XSS 취약성의 경우에는 오래 전부터 알려지기는 하였으나 Web 환경에서의 개인정보 유출 관련 부분이 직접적으로 개인에게 영향을 미치게 되는 지금에 더욱 중요한 취약성으로 취급이 되고 있다.

XSS ( Cross Site Scripting) 관련된 내용은 현재 주된 개인정보를 유출 하기 위한 이슈로 나타나고 있으며 현재의 사용자 접근성 향상에 따른 다양한 Method에 대해 이슈들이 발생 할 수 있다. 각 부분에 대해서 살펴 보자

 

 

RSS, Atom 과 같은 구성요소 각 부분에도 Script의 실행 권한 및 실행이 가능한 부분들이 존재할 수 밖에 없다. 이 부분에 사용자 정보 유출을 하기 위한 개념 코드를 설치하는 것이 가능하며 외부 URL을 입력하여 악성코드 설치를 하도록 유도 할 수 있다. 또는 특정 서비스에서만 사용되는 규격을 조작하여 해당 서비스에 접근하는 모든 사용자들의 개인정보를 유출 하는 것이 가능해진다. 위의 <script> 코드는 개념적인 내용이며 이 부분에 다른 악의적인 행동을 가능케 하는 다양한 조합들이 추가 되어질 수 있다.

현재도 피해는 계속 발송 되고 있으나 적합한 필터링 및 검증 도구는 나타나지 않은 상태이다. 실상 피해를 확인 하는 것도 어려운 점이 존재한다.

2006,7월 Google RSS Reader기에서 있었던 XSS 취약성의 경우에도 취약성을 악의적으로 이용하기 이전에 수정이 되었으나 그렇지 않았을 경우 전세계의 많은 유저들에게 영향을 미쳤을 사안이다.

 

 

Ref: http://ha.ckers.org/blog/20060704/cross-site-scripting-vulnerability-in-google/

 

XSS 취약성은 더 이상 홈페이지 사용자나 일부 개인 사용자들에게 미치는 위험성이 아니며 이제는 Active하게 사용하는 모든 서비스들에 의해 Active한 공격 대상이 될 수 있다고 보아야 한다. 사용자가 선택 하여야만 감염이 되고 피해를 입는 그런 상황에서 이제는 선택 하지 않아도 강제적으로 감염이 되는 상태가 될 수 있는 것이다. 그래서 XSS 취약성은 앞으로도 계속 위험상태를 알리게 될 것이다. 올해 2007년의 Owasp (http://www.owasp.org/index.php/Top_10_2007)에서 XSS 취약성에 대한 문제가 Top 10 취약성 항목에서 1위로 변경이 된 것은 그냥 변경이 된 것이 아니다.

 

 

2.2 Spread Type

 

전파 유형별 Type에 대해서 발전된 Web의 위험요소들은 좀 더 폭 넓게 알아 보아야 한다.

일반적인 유형인 UCC라는 타입에서 동영상 이외에도 댓글, 의견, 게시물, 플래시, 이미지 와 같은 모든 사용자가 저작이 가능한 대상에 대해서 위험성이 존재함을 볼 수 있을 것이다.

가장 가깝게 사용하는 많은 부분들에 존재하는 문제들은 어떤 것들이 있는지 살펴보자.

 

 

- 일반적인 의견을 입력하는 창이다. 위와 같이 Script가 실행이 되는 경우에는 외부 링크 혹은 악성코드의 설치로 직접 유도가 가능하므로 문제가 될 수 밖에 없다. 게시물에 대한 필터링 만이 문제를 해결 할 수 있다.

 

- URL 인자 단위에서 < , > 문자를 필터링 하지 않아서 발생되는 XSS 취약성 문제이다. URL에서 사용되는 인자들의 길이에 대한 제한 이외에도 사용될 수 있는 문자에 대해서 제한을 함으로써 위험성을 줄여야만 할 것이다. 위험성으로는 악성코드의 설치 및 로그인 관련된 쿠키 정보의 외부 유출이 가능하다.

 

 

 

- Flash의 예를 들고 있다. Flash 코드 내에 Action Script를 활용하여 다양한 외부 링크를 넣을 수 있다. Flash 영상에 대해서 공유를 하거나 사용자들에게 올릴 수 있도록 허용된 모든 사이트에서 문제가 발생 한다고 볼 수 있다. 창이 뜨는 것은 ActiveX 설치 유형의 창이며 만약 신규 악성코드에 대한 설치를 위와 같이 할 경우에는 대책 방안이 없다. 백신에서 감지를 하기도 어려운 상태라 거의 무방비로 당할 수 밖에 없을 것이다. 다양한 관점에서 통제가 있어야만 된다.

 

 

- MP3 파일 내에 script를 넣어서 실행 되게끔 한 내용이다. 위의 내용은 모든 mp3 파일에 해당이 되며 스크립트를 넣는 것 대신 악성코드를 다운로드 받게 하거나 사용자 시스템의 정보를 절취하는 등의 행위를 하도록 하는 것이 가능하다. 그렇다면 지금 우리가 사용하고 있는 mp3 파일 중에 위험한 파일은 얼마나 될까? . 한번쯤 고민해 보아야만 한다. 서로간의 공유를 통해 발전하는 커뮤니티 문화가 활성화 되는 시기에 멀티미디어 요소를 통한 악성코드의 유포 및 공격은 향후에도 더욱 심각해 질 것으로 예상이 된다.

 

 

- 동영상 부분이다. 일반적으로 UCC라 칭하기도 하지만 동영상 부분에도 상당히 많은 위험요소들이 존재하고 있다. 현재로서는 광고를 하기 위한 ActiveX 설치 창들이 제일 많이 발견 되고 있으나 악성코드가 첨부된 동영상들도 매우 많다. 또한 저작도구 사용의 일반화에 따라 중간 부분에 악성코드를 넣도록 하는 행위들을 통해 발견도 상당히 어렵다고 할 수 있다. 일반적인 유형들이야 다양한 방식으로 걸러 낼 수 있으나 동영상 중간에 악성코드를 설치하거나 설치하는 악성코드가 신규 악성코드일 경우에는 대응 방안이 거의 전무하다. 향후의 위험성 측면에서도 상당히 큰 위험으로 대두될 것이며 동영상 공유 부분을 통한 악성코드 유포 및 신규 악성코드의 출현을 감지 할 수 있는 유형들도 주의 깊게 살펴 보아야 할 것이다.

 

 

- Quick time movie 파일에 스크립트 실행 관련된 취약성이다. 이 케이스는 일반적인 케이스라기 보다는 2006.12월에 있었던 Myspace의 웜 관련된 유형과 관련이 있다.

Myspace내부의 구조를 이용한 스크립트 베이스의 웜을 동영상 안에 코드로 넣어두고 이 quicktime 무비를 본 모든 사용자들에게 전파 되었었다. 여기서 한 가지 더 생각해 볼 점이 필요하다. 방금 위에서 언급한 quick time 파일의 경우 Myspace 사이트에 여러 일 동안 노출이 되었는데 상당히 많은 규모의 사용자들이 해당 파일을 플레이 하였을 것이다. ( 또한 script base 유형이라 백신에서는 탐지가 불가능함) 즉 모든 사용자들이 스크립트 베이스의 웜에 감염이 되었을 것이라고 보는 것이 정답이다.

이 웜의 특징을 살펴보면 사용자의 Myspace Friends list를 불러와서 이 Friends List들에게도 동일한 스크립트웜을 전파 시켰다. ( 쉽게 설명하자면 일촌 파도타기를 했다고 생각 하면 쉽다. 물론 악성코드 파도타기 이지만..)

피해는 얼마나 될까?. 추산이 불가능할 정도이며 거의 모든 Myspace 회원들이 영향을 입었을 것이다. 미국내의 언론이나 여러 보안관련 매체에는 잘 수습을 했다고는 하지만 어불성설이다. 드러난 현상과 분석만으로도 모든 회원들이 피해를 입었을 것으로 예상이 되는데 문제가 조기에 해결 되었고 특별한 피해가 없었다고 발표를 하였다.

 

피해여부를 떠나서 가장 중요한 이슈는 SNS (Social Network Service)로 대변되는 Cyber life 세상에서의 생활이 그리 안전하지 않으며 앞으로도 많은 위험들이 도사리고 있다는 점을 명확하게 하여야 한다. 더불어 자신의 의사와는 관계없이 특정 서비스 아래에서는 치명적인 영향을 타인으로 인해 받을 수도 있음을 명확하게 인지하여야만 한다.

 

-계속 ( 위험은 계속 된다. 다만 인지하지 못할 뿐이다. - 바다란)

Posted by 바다란

바다란입니다.

지난해 2007년 2월 경부터 외부 발표 용도로 작성한 Web 2.0 Service Security 라는 제목의 PPT에 대해 기고 형식으로 풀어쓴 글입니다.

전체적으로 Web 2.0 이라는 말은 만약 SNS (Social Network service) 측면에서만 강조되는 부분이라면 Web 2.0의 활성화는 오래 가지 않을 것입니다. 그러나 분명한 것은 Web이라는 도구가 명확하게 확장 되고 있으며 폭 넓은 부분에서의 활용성은 점차 극대화 되고 확대될 것임은 명확합니다.

 

Web 2.0이라는 단어는 허상에 불과하지만 도구로서의 Web의 진화는 향후에도 오랜기간 지속될 것으로 보입니다. 그렇다면 변화의과정에서 나타나는 위험들은 무엇이 있고 현재 직면한 위험들은 무엇들이 있는지 명확한 인지는 필수적이라 할 수 있습니다.

 

본 문서는 Web의 발전에 따른 여러가지 Risk를 직접 보이고 설명하기 위해 만들어진 문서입니다. 최근에 KISA에 기고한 문서이기도 합니다. 좋은 방향으로 향후의 위험성에 대해서 참고 하셨으면 합니다.

 

감사합니다.

 

* 본 시리즈는 3편 정도로 예상 하고 있습니다.

 상편 - Attack Flow의 변화 , 지난 시간 속에 존재하는 Risk들의 변화 과정과 흐름을 살펴보고 현재는 어느 단계 인지 확인 하는 내용

 중편 - 진보된 Web의 발전에 따른 여러가지 다양한 위험요소

 하편 - 결론 부분입니다. Web의 발전에 따른 대응 방안에 대해서 고민하는 부분입니다. 중편이 길어서 중편 부분도 일부 포함될 것 같습니다.

 

그럼 시작합니다.

 

 

개 요

현재의 Web의 발전 방향은 사용자의 접근성 향상을 통해 사용 환경의 변화로 이어지고 있다. 사용자 제작물의 확산과 정보 공유의 통로 확산은 다양한 위협으로 이어지고 있으며 향후 폭넓은 위협에 노출 됨을 예고하고 있다. UCC와 블로그의 확산, 사용자 접근을 위한 위험은 유,무선을 가리지 않고 다양한 위협으로 향후 나타날 것이다. 본 문서에서는 해당 위협을 직시하고 대응 할 수 있는 방안들을 모색함으로써 향후의 위험성에 대해 대비를 할 수 있도록 하고자 한다.

 

■Attack Flow의 변화

Web이라는 도구가 정보 획득의 수단에서 사용자의 의견을 교환하고 다양한 정보를 교환함으로써 새로운 정보를 창출하고 이득을 창출하는 생활 속의 도구로서의 다양한 역할을 하고 있다. 변화하는 위험요소와 변화하는 환경 속에서 Web을 통한 사용자 접근성의 향상은 새로운 시너지를 촉발하고 있으며 IT 서비스 산업을 근본적으로 사용자 중심의 환경으로 전환 하게 만들고 있다. 반대급부로 Web을 통한 위험성도 증가 되고 있다. 현재의 위험 상황은 어느 정도 진행이 되고 있으며 어떤 위험들이 실제로 존재하였는지를 확인 하는 것도 필요한 시점이라 할 수 있다. 공격 흐름의 변화도 사용자에 대한 위험을 극대화 하는 방향으로 진행이 되고 있다. 전체의 공격 흐름을 살펴서 향후를 예측 하고 준비 할 수 있는 자세가 필요하며 앞으로 더 심도 있고 폭넓게 활성화될 서비스 부분에 대해서 Attack 흐름의 변화는 반드시 짚어야만 될 부분이라 할 수 있다.

2000년 이전과 그 이후 얼마간의 공격 흐름은 직접적인 서비스에 대한 공격 유형에서부터 출발이 된다.

 

 

 

CERT.org의 취약성 발표 통계를 통해 드러나지 않는 문제들에 대해 언급을 하여 보면 다음과 같이 정리가 가능하다. 2000년 이후 부터의 증가 현상에 대해서는 인터넷의 활성화에 따른 취약성 증가가 원인이라 보기는 조금 어려운 면이 있다. 시기적으로 나눈다면 세 단계 정도로 구분하는 것이 가능하다.

1단계 : 2000년 이전 – 운영체제에 대한 직접적인 취약성 발견에 집중

2단계 : 2000년 이후 ~ 2005년 상반기 – 운영체제에 함께 설치 되는 Application에 대한 취약성 발견이 집중적으로 이루어진 시기

3단계 : 2005년 상반기 이후 - Web으로 구성된 다양한 어플리케이션에 대한 취약성 발견의 증가.

60%의 service owner 들이 Web application을 통한 취약성 노출에 직면 하고 있다.

 

 

Gartner, 09,2005 의 조사에 따르면 60%의 Service Owner들이 Web application을 통한 취약성에 노출에 직면하고 있으며 취약성을 Reporting 하는 Mitre corp의 2006.9월의 조사에도 06년의 첫 9개월간 발견된 취약성은 4375개이며 이중 75%가 Web 관련된 취약성이라 조사가 된바 있다. * 여기에서 Web 관련된 취약성은 Web을 통해 접근이 가능하도록 개발된 Application을 의미한다.

 

위의 3 단계 구분이 모든 현상을 설명하지는 않으나 전체적인 취약성 발견 동향을 Bugtraq ()을 통해서 살펴보면 전체 유형의 흐름을 충분히 파악 할 수 있으며 취약성 발견의 급증 원인에 대한 설명은 위의 1,2,3단계 구분으로서 원인을 찾을 수 있을 것이다. Web의 확산에 따른 공유 환경의 증가와 Web을 통한 서비스 확산과 전 세계적인 네트워크 접근성의 개선은 보다 빠른 Application 서비스 모델을 추구하게 되었고 공격자들에게도 취약성 발견의 기반을 폭넓게 만들게 된 계기가 되었다고 할 수 있다.

 

지역별 특정 Application에 대한 사용비율이 높을 경우에는 해당 지역만을 겨냥한 취약성 발견이 증가하기도 하며 특정 서비스 모델에만 기반화된 제품의 경우에는 서비스를 겨냥한 취약성 발견이 증가 하기도 하였다. 현재도 동일한 유형으로 취약성 발견이 증가하고 있으며 취약성 중에서 전 세계적인 범위를 가지고 있는 Mega vulnerability의 발견은 점차 줄어들고 있으나 지역적 혹은 서비스에 특화된 취약성의 발견은 지속적으로 증가하고 있다. 근본 원인은 Web을 통한 서비스 환경의 개선, Service 모델의 확산, 개발된 Application의 상호연동성 증가 및 매개체로서의 Web의 활용 등을 Web 서비스 기반의 확산 및 취약성 발견 비율의 증가 원인이 될 수 있다.

 

 

2005년 하반기에 Gartner 조사에 따르면 전체 1000여개 가량의 Web site를 상용 Web application scanner를 이용하여 스캔한 결과 위와 같이 98% 가량의 Web service들이 취약성을 가지고 있음을 조사하였다. 2007년 12월인 현재에는 더 치명적인 취약성들과 조사 당시에는 사소한 취약성이 더욱 큰 문제로 대두된 부분들도 명확하게 존재한다.

현재 2005년을 거치면서 국내의 IT 서비스 환경에 가장 큰 영향을 미치는 보안적인 이슈들은 세계적인 흐름과는 달리 정의가 될 수 있으며 세계적인 취약성 발견 및 공격 동향이 미리 발견되는 양상을 나타내고 있다. 그 이유에는 여러 가지 상황들이 뒷받침 될 수 있으나 우선적으로는 빠른 인터넷 환경과 인터넷 생활 문화의 확대와 대중성에 따른 영향이 가장 크다고 볼 수 있다. 국내의 현실에서의 Security라는 paradigm은 어떤 식으로 변화가 되어 왔고 지금에는 어떤 현상을 나타내고 있는지 살펴 보면 다음과 같다.

 

 

전체적인 시기의 구분에 따라 Network Worm 발생 이전과 이후로 크게 구분하는 것이 가능하며 이후에는 Web을 통한 불특정 다수에게 악성코드를 유포하는 것으로 구분하는 것이 가능하다. 시기적으로 나뉜 것은 아니며 대응을 하는 부분에 있어서 차별화 되거나 기존의 개념을 뛰어넘는 새로운 이슈라고 보는 관점에서 주관적인 구분을 하였다. 네트워크 Worm 이전에는 공격자를 격리 시키는 것을 주된 관점으로 대응을 하였으며 Network Worm 발생 이후에는 공격자의 격리라는 것의 무의미 해지고 1차 피해자가 추가적인 공격을 본인의 의사와 관계 없이 공격을 진행 하는 것으로서 공격자에 대한 격리라는 정책이 더 이상 유효하지 않게 되었다.

 

Network worm 이전에는 침입자에 대한 차단과 탐지를 위해 IDS와 Firewall 이 주된 보안도구가 되었으나 Network worm 발생 이후에는 차단과 탐지라는 의미가 무의미해짐에 따라 침입을 사전에 막을 수 있고 내부 서비스 서버에 영향을 미치지 않도록 IPS ( Intrusion Prevention System)이 유용한 보안 시스템으로 두각을 나타내게 된다. 그렇다면 위의 이미지 상에서 최종적인 Web을 통한 유포를 통해서는 어떤 방향들이 나타나게 되었을까? 웹 서비스의 방문자를 노린 악성코드 유포는 방문자가 많은 사이트를 중심으로 집중적인 악성코드 유포 시도를 시행한다. 따라서 웹 Application의 취약성이 주된 악성코드 설치의 통로가 됨에 따라 Web Application의 보호를 위한 보안도구들이 일반화되게 됨을 현재 볼 수 있다. Web Firewall의 도입과 SDLC 프로세스의 도입을 통한 안전한 프로그래밍 체제의 도입은 Web Application을 보호하기 위해서 사용이 되고 있다.

 

Web Application의 취약성을 이용하는 악성코드의 영향으로 사용자의 환경에도 직접적인 영향을 미침에 따라 개인사용자 PC를 보호해주기 위해 보안패치 서비스 및 온라인 백신 서비스 등도 현재는 일정 수준이상 일반화 된 것으로 볼 수 있을 것이다. 환경의 변화는 여러 가지 서비스 모델들을 변화 시키고 새로운 부분을 구성하기도 한다. 지금의 인터넷 서비스 환경에서의 위험요소는 상당히 많은 부분을 변화 시킬 것으로 예상이 되고 있고 현재 진행중임에도 불구하고 대응 측면에서 노력이 미진한 부분들이 많이 있어 보인다.

전체적으로 종합하면 환경의 변화와 변화에 따른 대응측면은 다음과 같이 된다.

 

 

위의 그림과 같이 2007년을 가로지르는 중요한 Paradigm은 기업내의 자산과 서비스에 대한 보호에서 개인 PC 단위로까지의 보호 단위 확장을 들 수 있다.

2000년 이후의 Attack Flow에 대해서 공격기법별로 분류를 해보면 발전 방향과 특징을 살펴 볼 수 있으며 점차 진화되고 있는 유형이 어떤 방향으로 이어지고 있는지 살펴 볼 수 있다. 전체적으로는 복잡화된 공격에서 결합화된 공격으로의 발전, 자동화된 공격의 발생과 확산으로 동향이 이어져 가고 있다. 앞으로의 침해사고 유형도 Web service의 취약성을 공격하고 이를 이용한 주변 전파로 확대될 가능성이 높으며, Web service의 확대로 인해 거대 사용자를 확보한 서비스 기업들이 증가하고 있어서 Web을 통한 위험 노출 부분은 향후 일정기간 이상 주된 화두가 될 것이다.

 

 

위의 그림은 Major Attack Trend를 나타내고 있으며 2004년까지의 변화는 전 세계적으로 동일한 유형으로 발전 하여 왔으나 2005년 이후부터 변화가 조금 달라지고 있다. Application에 관련된 공격이 2005년부터 증가를 하고 자동화된 Application Attack이 출현하고 있으며 현재는 복합화된 DDos 공격이 가능한 Agent를 웹 서비스를 통해 유포하는 형태로도 발전이 된 상태이다. Web service의 취약성을 이용하여 2,3차 단계까지 영향을 미치고 있으며 사용자의 PC 단위에 정보를 유출 하는 악성코드의 피해 범주에서 이제는 사용자의 PC를 숙주로 하여 임의의 거대 서비스를 직접 공격하는 DDos 유형으로 발전 하고 있음을 볼 수 있다.

 

전 세계적으로 Botnet에 대한 감시와 주의가 계속 높아지고 있는 상태에서 이와 같은 Web을 통한 DDos 공격 네트워크의 구축은 향후 심각하게 주의를 높여야만 하는 상황이라 할 수 있다. 최초 감지된 공격은 2007년 9월의 국내 아이템 거래 업체에 대한 DDos 공격에서 최초 인지가 된 사안이다. 게임 아이템 거래 업체에 대한 DDos 공격 사례에서 보듯이 웹을 통해 유포된 악성코드가 DDos 공격에 직접 사용이 되는 환경에서는 개인 PC에 대한 보호와 Web Service에 대한 안정성 강화가 향후 에도 주요한 키워드로서 IT 서비스의 발전에 영향을 미칠 것으로 예상이 된다.

 

 

공격자들의 기술 수준과 활용 수준은 시간이 지날수록 복잡화 되고 있고 자동화 되고 있으며 손쉽게 막기 어려운 방향으로 이어지고 있다. 개별 업체에 의해 처리 될 수 있는 범주는 이미 벗어났다고 판단되며 향후 종합적인 대응 방안 수립만이 일정수준의 해결책을 만들 수 있을 것으로 예상된다.

 

 

위의 이미지는 공격 기법에 따른 공격자의 기술수준을 나타내고 있는 챠트이며 기술수준이 예전과는 다르게 인지하기 어려운 기법과 더불어 새로운 방안의 창출로까지 이어지고 있어서 공격자들의 기술수준이 높아지고 있는 것으로 판정 해야만 할 것이다.

Web을 통한 위험의 전파는 향후 Web 환경의 확장과 더불어 증폭 될 것이며 유,무선을 구분하지 않는 전파력으로 서비스에 많은 영향을 미칠 것이다. 또한 2007년 9월에 발생된 아이템거래 사이트에 대한 DDos 공격 또한 Web을 통한 DDos 공격 Agent를 유포함으로써 대규모적인 공격이 가능하였다는 점으로 미루어 볼 때 전체 사용자 환경에 대한 Protection과 Web service 전반에 걸친 안정성 강화는 당장이라도 시급한 화두가 아닐 수 없다. IT 서비스를 주력으로 삼고 있는 기업과 국가라면 더 시급하게 준비를 하여야만 일정 수준의 위험을 경감 시킬 수 있을 것으로 예상된다.

 

- 계속.

Posted by 바다란


해킹 분야의 전환점은 항상 말했듯이.. 이제는 전문화 고급화 에이전트화 입니다.
개별단위의 해킹이 아니라...웜과 같은 이슈가 가장 큰 이벤트를 만들 것입니다.

RPC 취약성은 매우 큰 취약성이여서 개인적으로도 이에대한 권고나 공개문서를 만들기도 했지만 ISS에서도 동일하게 취급을 하였군요.
로버트 그래험의 의견은 GPRS와 VOIP 에 다음 단계의 위험이 있다고 하지만 저는 국내 환경에서는 좀 더 다른 일들이 있을 것으로 보고 있습니다.
유비쿼터스 환경에서 가정의 자동화 , 생활의 자동화 ,교통의 자동화가 진행될 수록 이 분야에 대한 위협은 증가하게 될 것이고 이제는 예전의 웜과 같이 인터넷의 마비가 아닌 일상생활에 치명적인 영향을 주게 될 것입니다.

해커의 수준면에 대해서는 수준이 높아진 것이라기 보다는 환경의 변화가 그들의 능력을 손쉽게 적용할 수 있는 형태로 만들었다고 봅니다. 지금의 환경에서 Bot 계열의 웜이 많은 것도.. 그 만큼 개발지식이 오픈이 되었고 소스코드가 공개가 되어 있으며 또한 손쉽게 공격코드를 추가할 수 있는 형태로 되어 있기 때문에 예전처럼 아주 소수의 전문가 만이 공격코드를 이해하고 추가하는 범위에서 좀 더 폭 넓은 다수의 프로그램 개발과 보안분야의 지식을 이해하는 사람들로 범위가 넓혀 진것이 확대의 관건이고 앞으로는 더욱 자동화된 매커니즘을 지닌 공격으로 전환이 될 것입니다.
인터넷의 확산과 구석구석 미치는 영역이 넓어짐에 따라 당연히 발생할 현상이였고 앞으로는 보안분야에 있는다는 것이 무엇보다도 심한 스트레스를 일으키는 날들이 많이 있을 것입니다. 해야 할 것은 많고 부담은 많은데 그만큼 댓가는 없는 의욕저하 현상이 다반사 일지도... ㅠ,ㅠ


베이글이나 마이둠과 같이 웜 바이러스의 변형은 매우 쉽게 만들 수 있고 이런 변형에 대한 대응은 전세계의 보안회사들 각자가 대응을 하고 있습니다. 한명이 수천명의 전문가를 데리고 노는 듯한 사태가 계속 벌어지고 있는 것이죠. 이런 관점은 보안분야의 협력이 동반되지 않는한 계속 심화될 현상이고 개인에 의해 끌려다니는 문제는 계속 발견이 될 것입니다.

앞으로 국내의 환경을 예측해 발생 가능한 위험을 예측해 보면 일단은 Application단위의 위험이 증가할 것입니다. 특히 웹 Application을 이용해 서비스를 제공하는 회사에 Client 단위의 위험을 주는 요소가 상당부분 증가하여 직접적인 피해를 입힐 것이고 무선에 관련된 의미있는 보안 위협도 출현할 가능성이 높다고 봅니다. 국내의 산업은 일정정도의 보안 수준은 만족을 하고 있지만 공격자들의 지식 진보 수준을 볼때 그 차이가 점점 벌어지고 있습니다.
이런 이야기는 앞으로 치명적인 위험이 출현할 가능성이 높다는 것을 이야기 합니다.

웹상에 존재하는 게시판이나 게시물을 통해 다른 게시판으로 전염이 되는 형태의 새로운 유형의 공격이 출현할 수 있다고 봅니다. 대개의 웹관련 App ( cyworld , 블로그 , msn hompy ...) 등이 사용자 ID에 의한 혹은 고유 번호에 의한 게시물 관리나 계정 관리를 하고 있으므로 자동적으로 전파를 하도록 하는 것이 가능할 것으로 보입니다. 물론 예상입니다.

그 다음은 국가 기반시설에 대한 직접적인 공격 발생이 일어날 수 있고 무선관련된 큼직한 이슈가 발생할 수 있다고 봅니다.

현재까지는 시한폭탄인 것이 무선관련된 이슈인데 아직 중요한 사건들이 발생하지 않았기 때문입니다. 유비쿼터스와 관련하여 PDA와 점차 PC화 되어가는 휴대폰도 예외가 될 수없죠. 기존의 바이러스와는 또 다른 형태의 위험요소가 발생 될 수 있으리라 봅니다.

모든 것은 예측이고 예상입니다. 발생가능성이 있는 예측이죠.


바이러스와 보안 분야의 개념상의 일대전환기는 2001년에 발생했던 Codered 입니다. 그 이후에 폭발적으로 증가를 했고 그게 빠른 시간내에 일반화 됐었죠.. 그리고 지금까지 내려오고 있습니다. 전파방식은 바이러스의 형태이고 공격방식은 해킹을 띄는 그런 유형.. 지금은 혼합이 되어 있습니다. 바이러스 방식의 공격과 해킹 방식 그리고 전파유형까지도 혼재되어 있어서 Fusion 화된 공격이 일반적으로 발생합니다. 방화벽은 그냥 기본인 장비가 되었고 IPS도 발전 속도를 따라잡지 못하고 항상 문제 발생 이후에야 대비를 할 수가 있습니다.
그리고 이제 Application으로 진화를 하고 있습니다. 그 속도는 충분히 눈에 보일 정도나 다른 일을 하다보면 어느새 저만큼 나아가고 있는 것을 확인 할 수 있죠.

우리는 무엇을 준비하고 해야 할까요?
고민스러운 날들입니다.
모든 분야에 동일한 이슈가 있겠으나 IT.. 특히 보안 분야는 전세계를 대상으로 경쟁을 하는 것이다 보니 그만큼 피로도가 높을 수 밖에 .. 노력을 할 여지도 없이 이것저것 일에 적은 인력이 투입 되어야 하고 그 인력은 재충전을 하지 못하니 많은 부분에서 떨어지는 그런 상태가 되고 있습니다. 그렇다고 신규인력이 계속 충원이 되는 것도 아니고...

자..이제 보안회사들도 고민을 해야할 시점이 다가오고 있고 인력들도 마찬가지 입니다. 물론 일이 생긴 뒤에 고민해야 늦겠죠. 누가 어떤 선택을 할까요?

ISS와 같은 돈많고 여유있는 회사의 경우에도 앞으로는 뾰족한 대책없이 흘러갈 뿐입니다. 시만텍도 마찬가지이고..국내의 회사들도 그렇겠죠...~..

사견이였습니다. - 바다란

 

 

-------------------------

위에 글을 언제 썼을까요?.. 어디 사이트를 오랜만에 가다보니 예전에 썼던 글이 있네요.  정확하게는 2004년 11월 5일에 쓴 글입니다. 3년전에 쓴 글인데 지금 어디쯤 와있을까요? 또 위에서 제가 언급한 내용들은 얼마나 진전 되었을까요?

 

아직 진행중인 것들도 있고 제가 일선에서 겪은 것들도 있습니다. 아직 위에 쓴 글에 포함된 내용의 끝을 보지는 못했습니다만 계속 발생됩니다.  진하게 표시하거나 색으로 표시한 부분을 보시면 됩니다.

 

돌아보고 생각을 하면 Application에 대한 Attack은 지금 일반화 되어 있고 국내의 많은 서비스들이 피해를 입고 있고 지금도 피해를 당하고 있습니다. 공격자들의 진보도 눈에 띄고요. 한명이 전 세계 전문가 수천명 이상을 데리고 노는 경우도 심심치 않게 발생 됩니다. ( 최근 바이러스 동향을 보세요.) 그리고 지난해와 올해에 있었던 Myspace, Yahoo에 대한 기사들을 보십시요. -> 본 블로그에 올린 최근 위험 동향에서도 언급이 되어 있습니다. 바로 이전 글.. 

Iphone에 대한 해킹도 보시면 됩니다. Opera 브라우저에 생긴 문제는 Mac , iPhone , ipaq을 관통하는 문제입니다. ( 최근에 나온 Libtiff Overflow를 통한 iphone 해킹도 Application attack과 동일한 경우임) 

 올해 3월의 Ani cursor 관련된 취약성은 모든 윈도우 플랫폼을 관통하는 문제입니다. 유선이든 무선이든 공용으로 사용하는 Application에 발생된 문제이고 권한 획득이 가능하죠. PDA이든 Settop box 이든 PC든 간에 말입니다.

 

앞으로는 어찌될까요?

3년전의 예상을 읽어 보면서 씁쓸함이 드는 것은 벌판에 선 외로움 때문이 아닐까 싶습니다.

 

지금은 어디에 있고 또 앞으로는 어디로 갈까요?  내 열정은 또 어디에....

 

위의 예상글은 2004년 11월에 해커스랩 게시판에 올린 글입니다. 물론 독자의견으로 ^^ 

http://www.hackerslab.org/korg/view.fhz?menu=news&no=2030

Posted by 바다란
 

 

이제서야 처음 언급한 전략이 나오네요. 전략이라고 해봐야 별 거 없습니다.

뭐 특별하고 신출귀몰한 것도 없고 어느 정도 수준 되면 다 보이는 정도입니다. 이런 흐름을 얼마나 역동적으로 리딩을 하고 끌고 가느냐가 생존을 담보 하겠죠. 앞으로의 세상은 더더욱 그럴 것 입니다. 안주하는 서비스기업들은 무너지겠죠. 한 순간에 녹아 내리듯이 그렇게..

힘겹고 고통스러운 일이지만 그 동안 외면 했던 Security 라는 측면을 하지 않으면 생존하기 힘든 상황이 될 것입니다. 눈에 보이는 것이 아닌 체질적으로 서비스에 내재된 기술적 보안역량이 서비스의 질에 매우 큰 차이를 가져오게 될 것입니다. 앞으로는 보유 여부에 따라 극복하기 힘든 절대적인 차이가 발생하게 될 것입니다.

 

 

 

보안전문가와 보안 관리자의 차이( http://blog.naver.com/p4ssion/50014996901 ) 에서 언급한 GSM (General security manager ) SSM (Special Security manager) 의 구분과 동일합니다. GSM이 아닌 SSM의 보유여부에 따라 향후의 IT 서비스 기업의 흥망성쇠는 달라집니다. 최소한 글로벌 비즈니스를 하는 곳은 그러 합니다.  단지 인력을 확보 하고만 있는 것이 아닌 역량 발휘가 가능한 환경까지도 조성이 되어야만 하는 문제입니다. 국내의 현실은 SSM보다는 GSM이 더 우대 받는 현실이지만 앞으로의 다가올 위협에 뼈저리게 느낄 기회가 주어지게 될 것입니다. 위협에 대한 대응에 있어서 국내에서는 유야무야 얼버무리는 것이 된다 하여도 해외사업에서는 절대 그렇게 되지 않을 것입니다. 그때 가서야 알게 될 것입니다. 후회해도 늦었지만.. (하고 싶은 말들은 있습니다만. 이런 내용은 사설로 나중에  더 가슴에 맺히면 쓰도록 하겠습니다. 꾸벅)

 

1. Google online security 전략 개요

http://blog.naver.com/p4ssion/50019586109

 

2. online security 전략 상세  - * Trustworthy web

                                    * Google security strategy

3. online security의 방향과 미래 ??

 

* Google의 전략

 

- Direction : Passive protection ->Active protection으로의 전환

 

개념상으로 단순한 바이러스의 제거  ( 발생 이후에 제거가 가능한 부분) 서비스의 제공에서 벗어나 올해부터는 본격적으로 Active한 보호를 가능케 하도록 서비스 틀이 변화 될 것을 예상 할 수 있습니다. 1~2년 후에 일반화된 경향이 될 것으로 예측 됩니다.

Active한 보호 방안이란 사용자의 선택에 따른 AV 서비스의 제공이 아닌 악성코드 감염을 원천 차단하고 악성코드 유포 사이트에 대한 사전대응 형식으로 사용자에게 노출되는 악성코드를 적극적으로 줄이겠다는 의사로 풀이가 됩니다.

 

서비스적인 측면에서 Passive Active Protection 두 방안의 조화로운 운영을 통해 문제 발생 부분을 최소화 할 것으로 보이며 프로세스상으로는 다음과 같은 일련의 체제를 갖출 것 같습니다.

 

Active (예방 ) - Passive (대응) - Response ( 관리)

 

Active :

GreenBorder Product를 통한 악성코드 감염의 원천방지 ( 전체 사용은 어려울 것으로 예상)

일부 구글팩 및 구글툴바를 활용한 사용자 선택적인 사용이 중점이 될 것으로 예상됨

 

Passive:

구글팩에 포함된 Symantec AV 백신을 통한 사용자 치료 서비스의 강화 , 향후 다양한 멀티 벤더 제품을 사용하도록 할 가능성이 있음.

 

Response:

Stopbadware.org 사이트 운영을 통한 악성코드 유포 가능성을 지닌 사이트의 검색 결과 격리

stopbadware.org 사이트에 등록이 되는 사이트들은 AV벤더와 협력하여 탐지가 되는 결과를 가지고 진행합니다. 한국의 경우에는 KISA와의 협력을 통한 악성코드 유포 사이트 정보를 활용하여 stopbadware.org 사이트에 등록을 하게 될 것으로 보입니다.

 

위와 같이 세가지 방향에서의 online security가 이루어 지고 있으며 움직임이 본격화 되었다는 것은 security라는 측면이 online business에서 얼마나 중요한 가치를 지닐 수 있는지를 인지했다고 볼 수 있습니다. 내부 보안 강화 및 서비스의 보안 강화의 측면에서 한층 더 나아가 user 단위에 까지 영향을 미치는 security가 가미된 서비스로 방향을 설정한 것이라 봅니다. 그리고 현재의 위협 상황에서는 사용자까지도 보호를 해야만 서비스의 안정성이 유지가 되는 것이 사실입니다.

 

기본개념으로는 secure search search integrity (security 측면에서의 무결성- 악성코드로부터 Free..)으로 흐름분석이 가능 한데 일련의 이슈들을  서술 하면 다음과 같습니다.

 

 

Secure search & Browsing

 

secure search라는 부분은 제가 해석한 부분입니다. 대표적인 예로 올해 상반기에 인수된 Greenborder를 예로 들 수 있습니다. 전편에서 언급 하였듯이 검색 서비스 자체의 보안 측면은 아닙니다. 검색을 통해 노출된 사이트들을 통해 사용자가 피해를 입는 부분을 최소화 하자는 것이 근본 방향이 될 것으로 보입니다. Google을 통해 검색을 하고 그 결과를 클릭 하였는데 악성코드에 감염이 되었다는 문제 제기를 피하기 위한 방안으로 인식이 됩니다.

이 움직임은 올해 초에 구글의 Anti malware 팀에서 조사한 내용을 통해 근본 근거를 마련하고 이후의 Action item으로 Greenborder의 인수를 추진한 것으로 확인이 됩니다.  조사되고 발표된 내용은 전체 검색 결과의 10%가 악성코드 및 위험요소를 가지고 있는 유형으로 파악되었다는 자체 조사 결과 입니다.

 

Greenborder에 대한 설명은 전편에 설명을 하였지만 부가적으로 더 언급을 하면 Secure Browsing을 구글 내에서는 가능하게 하겠다는 근본취지를 지니고 있는 개념으로 볼 수 있습니다.  구글을 통해 검색이된 결과는 사용자가 클릭을 하여 해당 사이트로 이동을 하여도 악성코드에 감염되지 않는 Frame을 만들겠다는 관점에서 볼 수 있습니다.

 

대부분의 웹사이트를 방문할 경우 해당 사이트의 컨텐츠들은 사용자 PC의 임시파일 저장소에 저장이 되어 (cache ) 사용자의 브라우저 화면에 보여지게 됩니다. 대부분의 악성코드들이 감염 시키는 방식이 다운로드 이후 실행을 하는 방식을 취하고 있는데 GreenBorder의 경우에는 이 공간을 격리 시킵니다.

격리라는 의미는 별개의 가상공간에서 다운로드를 받고 사용자의 Browser에 보여지게 한 뒤에 사용자가 해당 사이트 이탈 시에는 가상공간을 없애는 유형으로 악성코드가 사용자 PC에 직접 침입 하는 유형을 원천 차단하는 것을 의미합니다.

 

개념 상으로는 좋은 방향이지만 국내의 현실에서는 문제가 많을 것으로 보이며 문제는 다수 발생 할 것으로 보입니다.

ActiveX 또는 부가 설치가 필요한 모든 부분에 대해 예외 설정 등을 하게 되면 문제는 계속 될 것으로 보이며 향후 구글 툴바 혹은 구글팩에 포함되어 사용자의 선택에 의해 사용하게 되는 유형으로 서비스 될 것으로 예상됩니다.

 

7.11일 현재 구글은 postini 라는 이메일 보안 업체를 6000억원을 주고 인수 합병을 하기로 한 기사가 나왔습니다. 관련 업체의 프로필을 살펴본 결과 기업용 제품으로서 단순한 이메일 보안업체가 아닌 일관된 Policy의 적용 및 내부 정보 유출을 방지하는 서비스 유형으로 파악이 되며 Google의 서비스 측면에서 보았을때 향후 기업용 시장에 대한 진출 도구로서 활용이 되고 Gmail에 대한 서비스 강화, 이익 강화 ( 미국의 3대 이메일 보안 서비스 업체라고 함) 측면에서 보는 것이 바람직해 보입니다.

 

 

Search integrity

 

검색결과에 대한 무결성을 보장한다는 의미는 검색 관련된 서비스를 하는 업체에게는 매우 중요한 factor 입니다. 그동안의 무결성이 검색 결과에 대한 정확도의 측면에서 접근 하였다면 지금은 전체적인 Web상의 위험요소 발달에 따라 다른 부분으로 전이가 되고 있습니다.

 

검색결과에 대한 정확도 측면 + 검색결과에 대한 신뢰도 ( 신뢰도 측면은 사용자 PC에 대한 안정성 측면의 신뢰도 입니다.) 가 이제는 기본적인 흐름으로 대두 될 것입니다. 이런 연유에 따라 구글의 Anti malware 팀에서는 구글 검색 결과 중 10%가 악성코드 유포의 위험성이 있다고 스스로 발표를 한 것으로 볼 수 있습니다. 스스로가 발표를 하면서 위험성이 있다는 것도 사용자들에게 알리고 이런 위험성을 제거하기 위해 사용자의 Action을 제한 할 수 있는 서비스를 출시 하는 것으로 볼 수 있습니다.

 

사용자의 Action 제한을 하더라도 큰 범주에서는 사용자의 보호를 위한다는 당위성 확보로 적절하게 활용이 된 것을 볼 수 있습니다.  구글 서비스에서 이루어지는 빠른 변화에 대한 사전작업이라고 보입니다.

 

Search integrity를 확보하기 위해서는 무엇을 하는가? 하는 측면에서 바라보면 드러난 부분으로는 다음과 같습니다.

Stopbadware.org 사이트의 활용 - 하버드 법대에서 운영을 하도록 합니다.  AV 벤더 및 악성코드 유포를 탐지하는 여러 업체 및 기관과 협력하여 거의 실시간에 가깝게 악성코드가 유포되고 있는 사이트 정보를 획득하고 해당 사이트 정보를 구글의 검색 결과에 반영을 합니다. Black list에 등재된 사이트의 경우 검색 결과에 노출이 되어도 사용자가 클릭을 하면 악성코드 유포 위험성 안내와 함께 stopbadware.org 사이트로 이동을 하도록 하고 있습니다.  관련 업체에서 이의제기를 하고 싶어도 구글 에게 직접 하는 것이 아닌 하버드법대에 이의제기를 해야죠.  blacklist에서 제거 되는 부분도 악성코드 유포 위험요소를 제거한 이후에 되도록 되어 있고 black list에서 제거되면 검색결과는 정상적으로 해당 사이트 링크를 활성화 시켜 줍니다.

 

주변 환경을 이용하는 측면에서 영악하다고도 볼 수 있는데 구글의 정보통제 및 독점에 대한 문제 회피를 위해 하버드 법대를 활용한 개념이 있고 또한 거의 실시간에 가까운 전 세계 협력 기관 및 AV 벤더의 자료를 취합해 적용함으로써 신뢰도를 높이는 점이 있을 것 같습니다. 자료를 제공해주는 기관이나 벤더는 향후 대폭 확대될 가능성이 있을 것이며 확대에 따라 신뢰도는 더 높아지는 결과를 유발 할 것입니다. 2007.7.11자로 확인을 해보니 악성코드 유포 가능성이 있고 유포중인 사이트가 197000여 개 정도 리스트업이 되어 있습니다.  

( http:://www.stopbadware.org )

우리나라의 경우에는 KISA에서 제공되는 악성코드 유포 사이트 정보를 활용하여 보다 전문적이고 지역적으로 특화된 내용에 대해서도 대응이 가능한 체제를 수립하려는 것으로 보입니다.

 

Response 영역에 대해서는 특별히 언급할 내용이 없으며 구글팩의 설치부터 AV 백신의 실행까지 모두 사용자 동의 하에 가능한 부분이라 영향은 제한적이지만 향후에는 위협의 증가에 따라 기본으로 제공될 가능성이 존재합니다.

 

 

Integrity Secure search & browsing에 대한 간략한 개념을 설명 드렸습니다.

 

영향은 어떻게 될까요? 짧은 소견이지만 생각 나는 대로 정리 하겠습니다.

 

Google의 검색 안정성 강화 ( 이익 창출을 위한 필수도구로서의 security factor 인식의 산물)

Active , Passive , Response process를 통한 전방위적인 대응체제 수립이 가능할 것으로 보이고 각각의 영향력이 다름으로 인해 효과는 제한적이나 향후 1~2년 이내에 Frame화 되어 정착될 가능성이 높습니다.

 

Active method (Green border technology)의 활용은 제한적이 될 가능성이 높고 위에 언급 하였듯이 Toolbar 혹은 별도의 Plugin 형식으로 전파가 되고 사용자의 선택에 따라 활용하는 용도로 이용될 가능성 있습니다.  단점으로는 언급 하였듯이 전체적인 보안기술의 적용이 어렵습니다. 특히 국내의 경우에는 많은 사이트들에 장애를 일으키거나 정상적인 접근이 어려워 지는 경우가 발생될 것으로 예상됩니다. 사용자의 설정 요구가 매우 많아져서 오히려 사용자를 떨어지게 할 수도 있을 것 같네요.

 

구글은 사용자의 요구와 Security의 강화라는 측면에서 Web 상에서 노출되는 많은 위험들을 앞으로 적극적으로 강조할 것으로 보입니다. 분명한 사실이지만 비지니스적으로는 강조해야만 불편함에 대한 사용자의 요구를 일소 할 수 있는 명분이 생기는 것이겠죠.  

Passive Response에 해당하는 이슈들은 앞으로 많은 영향을 미칠 것으로 보이며 특히 AV벤더와의 협력관계 확대를 통한 Response 영역의 확장은 노하우가 쌓일 수록 강한 힘을 발휘 할 것 같습니다.

 

글을 쓰는 목적은 변화하는 흐름을 분석하고 이해해서 향후 방향 설정에 도움이 되었으면 하는 마음에 분석한 것이며 그 과정에서 최근 구글의 행동이 주목할 만 하여 케이스 스터디 차원일 뿐입니다.

 

감사합니다.

 

* 심각하게 고민한 내용이 아니고 그 동안 나온 기사를 바탕으로 생각나는 대로 나열한 부분입니다. 내용 중에 이해가 어려운 부분도 있을 수 있습니다. 이 부분은 설명하는 사람의 무지를 탓하시면 될 것 같습니다. 또한 내용 중에 정확하지 않은 내용도 있을 수 있습니다.  신문기사만 보고 판단한 것이라 다른 내용들이 있을 수 있습니다. 개인적으로 보는 관점이라고 봐주시면 감사하겠습니다.  재주가 없어서 그런지 이해한 내용을 전달 하는 것도 부족한 부분이 많습니다.

 

- 사족 나갑니다.

왜 국내 IT Service 기업들은 변화를 리딩 하지 못할까요?  IT Service에서 안주와 자리 지키기는 죽음에 이르는 길입니다. 죽음의 길에 조금 더 빨리 가도록 하는 것이 학벌과 지연과 인맥에 의한 것이겠죠. 특히 Global Service기업이라면 학벌, 지연, 인맥에 의존 하는 순간 초고속 급행열차로 죽음의 길에 가는 것과 다름 없습니다. 남의 떡이 커 보인다고 키워야 될 자기 것들을 팽개치고 이러다 보면 순식간에 무너지겠죠. 전문직무분야인 보안 분야에서도 그러한데 다른 분야는 오죽하겠습니까? ^^; 위험을 인지 하지도 못한다면 더 심각한 상황이라 할 수 있습니다. 매 순간이 위기인데 말입니다. 백척간두 진일보라는 말은 개인에게만 해당되는 말은 아닙니다. 지금 이 순간의 모든 IT서비스기업들에 해당이 되는 의미입니다. 당장 1년 뒤를 보장할 그 어떠한 것도 없습니다. 세계와의 경쟁에는 학벌과 인맥, 지연이 통하지 않습니다. 그리고 지금의 서비스는 이미 세계와 경쟁 중입니다. 4천만의 시장으로 먹고 살 수 있다고 생각하는 고만고만한 기업이라면 이름 없이 사라짐을 당연하게 알아야 될 것입니다. 아쉽게도 문제는 그런 기업들이 너무 많다는 것이 문제일 뿐입니다. 아쉽지만 여기까지 인 것 같습니다.


 
Posted by 바다란
 

 

바다란 입니다.

 

현재의 인터넷 환경을 주도하고 있는 화두업체인 구글에 있어서 Online security는 어떤 의미인지 이 시점에서 짚어 보는 것이 필요하다고 생각 됩니다.

전체적인 맥락에서 한번 짚어볼 부분은 반드시 있을 것 같아서 이전 Thread에서 약속한 것과 같이 3가지 Article로 정리를 하도록 하겠습니다.

 

1. Google online security 전략 개요

http://blog.naver.com/p4ssion/50019586109

 

2. online security 전략 상세  - * Trustworthy web

                                    * Google online security strategy

3. online security의 방향과 미래

 

오늘은 2번 항목을 정리해 보도록 하겠습니다. 지난 issue 부분에서 논의된 내용을 체계적으로 구성을 하여 향후 방향에 대한 예측 부분으로 정리를 하겠습니다. 3번 항목은 미정입니다.

 

Google Online security 전략은 사실 오래 되지 않은 부분입니다. 그 동안은 자사의 서비스 시스템에 대한 안정화와 Process 강화와 관련된 부분이 가장 컸을 것으로 예상 하고 있습니다. 실상 여타 포털과 비교해서 Contents 제휴 종류와 범위로 따지면 비교도 되지 않는 (?) 구글입니다. 검색 전문업체로 시작하였기에 일면 국내에서 통용되는 포털이라는 개념과는 조금 다른 관점에 있습니다.  내부에서 개발된 Application에 대한 검증도 실시간으로 세계적인 이슈가 통용 되고 있는 보안 부분에 대해 받는 위험도와 압력은 IT 서비스 업체 모두가 해당이 됩니다.  IT 서비스업체나 Google이나 모든 웹서비스 업체는 보안에 대해 실시간으로 동일한 위험과 동일한 압력을 받고 있다고 할 수 있습니다.

 

왜 이런 위험요소들이 도출이 되고 행동들이 있는지는 전체적인 Attack trend를 살펴야만 가능합니다. 현재의 Trend는 다음과 같이 단편화 시킬 수 있습니다.

 

 

 

2005년부터 나타나기 시작한 Application에 대한 공격은 Web의 일반화와 궤를 같이 하고 있습니다. Web service의 활성화와 일반화에 따라 개발되는 모든 Application들이 Web을 통한 연결을 기본으로 하고 있습니다. 일반 C/S 환경에서 활성화 되는 Application의 수는 대폭 줄어들고 있다고 볼 수 있습니다. 아마도 일부 특수한 환경에서 사용되는 Application을 제외하고는 web 연결이 필수적인 Application이 대부분으로 예상이 됩니다. 

Web Application의 출현과 더불어 공격이 출현하게 되고 이전의 운영체제의 취약성을 노리는 직접 공격에서 운영체제 위에 설치 되고 운영이 되는 Web application에 대한 직접 공격이 증가하게 됩니다. 또한 이런 Application에 대한 공격은 자동화된 경향을 나타내며 발전하고 있습니다.

 

특정 서비스에만 특화된 Application attack의 출현도 일반적인 현상이라 할 수 있습니다.  (관련 내용은 올해 들어 여러 곳에 발표를 한 Web 2.0 관련 위험요소라는 PPT를 적당한 시점에 공개토록 하겠습니다. )

 

Web application에 대한 공격이 증가 한다고 하였습니다. 그럼 이런 공격 유형과 기업들의 변화된 움직임은 왜 일까요?. 그 변화에 대한 답은 제가 생각하기에는 다음과 같은 환경의 변화로 인해 기인 합니다.

 

위의 항목에서 보시면 각각의 서비스 기업들의 변화와 보안상의 위험요소와의 연관 관계를 추산할 수 있습니다. 제가 나누는 관점에서는 Worm의 출현에 따라 기업들의 대응과 보호 방안들이 달라지고 있다고 판단 하고 있습니다.

최초에는 Worm의 출현 -> Worm의 일반화 -> Web attack의 출현 -> Web을 통한 무차별적인 악성코드의 유포와 개인정보 도용 이런 유형으로 나눌 수 있으며 그에 따른 기업들의 대책들이 달라지고 있다고 볼 수 있습니다.

 

물론 공격유형이 변화는 사회적인 변화와도 궤를 같이 하고 있으며 세계에서 가장 빨리 위협을 경험한 곳이 대한민국이지만 향후에는 좀 더 다른 양상을 보일 수 있습니다. 개인정보를 유출 하기 위한 악성코드의 출현과 무방비로 노출된 사용자의 PC에 대한 문제는 이제는 IT 서비스를 진행하는 업체 모두에게 위험요소가 되고 있습니다.

직접적인 서비스 공격에 대한 대비도 하여야 하며 또한 서비스를 이용하는 사용자들에 대한 보호 대책도 강구 하여야 합니다. 해외는 이제 사용자들에 대한 보호 대책들이 출현하고 있는 시점이라 할 수 있습니다.

 

이른바 주가는 경기에 선행 한다고 합니다. 경기의 활성화를 미리 가늠 할 수 있는 요소가 주가 지수라는 의미인데 다른 비유를 하자면 Internet Industry의 위험요소를 가장 먼저 경험한 곳이 대한민국이고 그 위험요소가 이제 전체로 전이가 되고 있는 것으로 볼 수 있습니다. 해외 유수 IT 서비스 기업들의 움직임이 그러합니다. 적당한 비유가 생각 나지 않아 가져다 붙였습니다. ,

그 위험요소는 Web에 대한 공격이고 이런 공격들은 2005년부터 국내에 본격화 되었으며 악성코드에 대한 피해도 본격화 되었다고 볼 수 있는데 이런 위험에 대한 인식은 해외 업체들의 경우 인식에 대한 시기 자체가 조금 늦게 시작 되었습니다만 보다 더 꾸준하고 큰 영향력을 미치는 방향으로 이루어 진다는 점에 대해 주목하여야 합니다.

 

소통의 도구로 일반화 되고 향후에도 1분 이내에 전 세계와 소통 할 수 있는 Web의 발달은 더욱 가속화 될 것이고 생활과 더 밀접하게 연관이 있게 될 것입니다. 전 세계 어디에서나 글을 올리고 1분 이내에 접근 할 수 있다면 Web을 통한 모든 위험요소들의 전파도 1분 이내에 전 세계에 영향을 미칠 수 있다는 것과 동일합니다.

 

그만큼 Trustworthy web의 구현은 필수적인 요소가 될 것 입니다.

이런 요소의 중요성에 대해 인식하지 못하는 많은 서비스 업체들은 시행 착오 및  곤란을 다수 겪게 될 것이고 도중에 무너지는 경우도 종종 발생하게 될 것입니다.

지금 까지는 아니지만 앞으로 더 심각해 질 것이라는 것입니다.

 

신뢰할 만한 웹을 만들어야 된다는 것은 이제 서비스 업체들의 지상목표가 될 것이고 많은 노력이 필요하게 될 것입니다. 여기 전 세계 유명 기업들의 신뢰할 만한 웹을 위한 노력을 조금 살펴 볼 수 있는 요소가 있습니다.

 

아래의 Article Cnet.com에서 "웹보안의 미래"라는 제목으로 주요 기업을 인터뷰한 기사입니다. 참고 삼아.. – 본 인터뷰 기사를 통해서도 내부 프로세스의 흐름을 일부 예측 하는 것은 가능합니다. 이 내용은 조만간  (언제나 그랬듯이 쓰고자 하는 의지가 생기면 바로 씁니다.)

 

http://www.zdnet.co.kr/news/internet/search/0,39031339,39158840,00.htm  구글의 치열하고 즐거운 보안 노력

http://www.zdnet.co.kr/news/internet/search/0,39031339,39158918,00.htm   야후 보안, '편집증 환자들'

http://www.zdnet.co.kr/news/internet/etc/0,39031281,39159098,00.htm  MS 데스크톱의 경험을 살리다.

 

* 위의 인터뷰를 보시면 아시겠지만 기술적인 보안이 온라인 서비스 기업에 대해 중요한 영향을 미치고 있음을 알 수 있습니다.  MS는 그 관점에서 보면 아직 갈 길이 많이 남았다고 할 수 있습니다.

 

위에 언급된 인터뷰 기사 각각에서 보듯이 웹이라는 흐름은 이제 대세가 되었으며 이러한 대세의 바탕 위에서 근본적으로 불완전한 웹이라는 메소드에 대한 보안성을 강화하고 신뢰 할 수 있는 웹으로의 전환을 위해 각각의 IT 서비스 기업들이 노력을 하고 있습니다. 그 근간에는 Process + 병적이랄 수 있는 기술적 전문인력 + 원활한 대외 협조 ( 공격자 들 및 제보자들 ) 세 가지 주요 요인으로 정리가 됩니다. 신뢰할 수 있는 웹은 보안적 이슈에 대해 신속한 대응, 문제점 보완을 할 수 있는 기술적 인력들에 의해 가능해 집니다. 인터넷은 통제가 가능한 메소드가 아니기에 더더욱 기술적인 부분이 중요해 집니다.

 

 

Trustworthy Web

 ( Web이라는 매개체가 이제는 소통의 도구에서 생활의 도구로 격상이 된 지금에 이르러서는 불완전한 Web을 신뢰하고 믿을 만한 도구로 격상을 시키는 것이 절대 화두가 될 것입니다.)

보안 부분이 중점을 기울였던 부분을 종합해 보면 자사의 서비스 ( 대부분 Web ) 보안 부분에 많은 역할을 부여하고 있습니다. 특히 IT 관련된 서비스를 직접 운영하는 곳에는 더 많은 필요성이 있을 것으로 보입니다.

 

Cnet의 인터뷰 기사에서 언급된 IT 서비스 기업들의 주된 특징으로는 자사의 서비스 부분에만 많은 신경을 썼지 사용자를 대상으로 한 보안 서비스 부분에는 상당 기간 무관심 하였던 것이 사실 입니다. 지난 해부터는 해외의 포털 및 서비스 업체들도 백신 배포 등과 같은 Action을 취하고 있지만 악성코드의 발전과 진화 속도를 따라잡지 못하고 있는 실정입니다.  다각적인 방안 모색이 필요한 시점이고 현 시점에서 확인 할 수 있는 부분은 Google의 변화 과정이 흥미로운 이슈를 제공 하고 있어서 어떤 방향으로 변화 되는지 살펴 보도록 하겠습니다. 변화를 할 수 밖에 없는 근본적인 흐름을 적어야만 왜 그렇게 하는지에 대한 이해가 가능해 진다는 판단하에 잠시 변화의 근본 원인을 짚어 봅니다.

 개요글 (http://blog.naver.com/p4ssion/50019586109 )에 몇 개의 구글의 변화 요소들을 적었습니다. 변화요소에 기반하여 다음글 한편에 지향하고자 하는 바를 짧게 정리하겠습니다.

 

* Google의 변화된 움직임을 설명하기 위해 전체의 Trend 변화와 우리가 인지 해야만 될 변화 요소에 대해 사전 설명이 필요했습니다. 그렇지 않고서는 모든 행동들의 의미와 가치를 이해 할 수 없기에 적을 수 밖에 없었습니다.

 

 -- to be continue ( 이미 완성은 되었으나 마음에 따라 올리겠습니다. 참 제멋대로죠 쩝 )

 

Posted by 바다란

안녕하세요. 바다란입니다.

 

오랜만에 뵙습니다예고를 했었지만 쓰고 싶은 의지가 들지 않아서 오랫동안 포스트를 게재하지 않았습니다. 앞으로도 종종 마음 내키는 대로 게재 하도록 하겠습니다. 누구나 할 수 있는 말이나 분석 보다는 독자적인 시각으로 흐름과 동향을 보도록 하겠다는 마음이니 만큼 불규칙적인 게재에 대해 많은 이해를 구합니다.

  

오늘은 구글의 검색 보안과 관련된 흐름에 대한 내용을 간단하게 살펴 보겠습니다. 올해 들어 매우 빠른 행보를 보이고 있어서 한번쯤 분석을 해볼 필요성이 있을 것 같아서 해봅니다.

 

사실 구글 이라는 검색업체에서도 보안적인 이슈에 대해서는 자사의 서비스 부분의 보안적인 요소에 지금까지 신경을 써왔습니다. 그러나 현재의 흐름은 자신의 서비스뿐 아니라 불특정 다수를 겨냥한 공격이 일반화되고 있어서 자신의 서비스에만 문제가 없다고 하더라도 다른 부분에까지 영향을 받을 수 밖에 없는 구조입니다. 또한 불특정 다수에게 설치된 악성코드를 통해 직접적인 서비스에 영향을 받는 구조로 되어 있어서 높은 신경을 쓸 수 밖에 없습니다. 그러다 보니 의사결정도 아주 신속하게 나오고 있는 상태입니다.

 

검색 보안이라는 용어 자체가 조금 애매모호하지만 단순하게는 Client 보안이라고 할 수 있습니다. 간단하게 말씀 드리면 Google의 검색 결과로 추출된 결과물에 대해서 사용자가 사이트 링크에 클릭을 하였을 때 악성코드 감염되는 유형을 차단하기 위함이라 할 수 있습니다.

 

국내의 경우에는 2005년 하반기부터 유명사이트를 해킹한 이후 악성코드를 유포하는 것이 매우 활성화 되었고 현재는 조금 잠잠해 진 것으로 보이는 유형입니다만 해외에는 지난해 말부터 대응 측면에서 본격적으로 시작이 되는 것 같습니다.  흐름상으로 보면 온라인 게임에 대한 공격이 전세계적으로 최초 시도가 되었고 이후 범위를 확장하여 검색 및 IT 서비스 분야의 어뷰징 유형으로 확산 발전 되는 형태로 볼 수 있습니다.

 

IT service 업체에서 가장 중요한 부분은 Service에 대한 신뢰도입니다. 그 신뢰도의 가장 중요한 부분에 Online security가 포함이 되고 향후 중요한 포석으로 활용이 될 것임을 알 수 있습니다.  

사업의 확장은 M&A를 통해 규모를 확장 하고 영역을 확장합니다. 그러나 가장 중요한 신뢰도의 확보는 정확한 검색 알고리즘과 로직을 통해 나타내는 결과 이외에도 Security라는 측면이 중요한 요소가 있음을 이제 구글도 알아가나 봅니다. ( 한편으로는 내부적으로 얼마나 많은 문제들을 겪었을까 하는 생각도 듭니다. 위험에 대한 인지 계기가 없으면 보안이라는 부분은 항상 중요도가 낮은 부분이 됩니다.)

 

주제는 딱 한 줄로 요약 됩니다. 최소한 구글을 통한 악성코드 전파는 차단 하겠다. 나아가서는 악성코드에 대한 문제는 최소한 구글을 통해서는 일어나지 않도록 하겠다는 의지의 피력 정도 되겠습니다.

목적으로는 검색결과에 대한 신뢰도 향상 , 급증하는 보안 위험요소에 대한 대응 정도 될 것 같습니다.

회사 규모에 비해서 스케일이 작아서 좀 실망스럽긴 합니다만..~~

 

그럼 올해  본격적으로 모습을 드러낸 구글의 Online security에 대한 행보를 퍼즐 맞추기 해보도록 하겠습니다. 공식적으로 발표된 이슈만을 가지고 조합을 함으로 무리수가 따를 수 있으나 개인의 예상이라는 측면에서 봐주시면 될 것 같습니다.

 

 

구글의 2007 Security action

 

4 ( Hotbots 2007 ) 악성코드 위험 사이트 발표 ->

4월 말 KISA - Google과 악성코드 탐지 협력 -> 

5 . Greenborder의 인수 ->?

7  postini 이메일 보안업체 인수 -> 이 이슈는  online security와는 아주 조금 관련 될 것으로 예상됩니다.

 

올해들어 처음으로 구글 내부에는 Anti malware라는 조직이 신설된 것으로 알고 있습니다. ( 발표자료 보고 알았습니다.) 해당 조직의 조사에 의해 올해 4월에 있었던 Hotbots 2007 행사에서 450만개의 웹서비스를 대상으로한 악성코드 설치 위험을 지닌 통계를 발표 하였습니다.  

그 결과로 대상인 450만개에서 10% 45만개 가량의 웹서비스에서 사용자에게 영향을 줄 수 있는 악성코드의 위험성이 있다고 발표 되었는데 여기에서 중요한 것은 왜 그 조사를 진행 했으며 무엇을 하기 위해 그 업무를 했느냐가 분석이 되어야 합니다.

 

간략한 참고는 기사화된 내용이 존재 합니다.

http://www.etnews.co.kr/news/detail.html?id=200705140149

 

전문적으로 참고 하실 분은 Hotbots 2007의 컨퍼런스 발표 원문을 보시면 됩니다.

http://www.usenix.org/events/hotbots07/tech/full_papers/provos/provos.pdf

 

Hotbots2007 conference에서 다양한 주제들이 발표 되었으니 관심 있는 분들 참고 하시면 될 것 같습니다.

 

4월 말 경에는 KISA (한국정보보호진흥원) Google의 악성코드 탐지 사이트에 대한 대응 협력도 체결을 한 상황입니다.

http://www.dt.co.kr/contents.html?article_no=2007042502011060713008

 

악성코드 탐지와 관련된 또다른 움직임은  http://stopbadware.org 와도 밀접한 연관이 있습니다.  

 

 

2006년 하반기부터 운영된 사이트로서 구글 검색에서 나온 검색 결과에 대해 링크 클릭시에 악성코드를 유포한다고 보고가 된 사이트에 대한 접근은 stopbadware.org 사이트로 리디렉션 시킵니다. 검색 결과는 보여주되 악성코드를 유포하는 사이트로의 접근은 제한을 거는 것이죠. 여기서 또 트릭이 하나 있는데 검색결과에 대한 링크 허용 요청은 stopbadware.org로 직접 하게 합니다. 이 사이트의 운영은 묘하게도 하버드 법대에서 운영을 하는 것으로 나와 있죠.  항의는 하버드법대에다 진행하고 문제가 해결이 되었다면 stopbadware.org 에서 지워지면 구글도 링크를 허용하겠다 이런 정책으로 보입니다. 좋은 잔머리라고 볼 수 있을 것 같습니다. ^^; 더불어 KISA와의 협력을 통해 보다 더 한국에 특화된 악성코드 대응이 가능해 질 것으로 예상 됩니다.

 

 

Anti malware라는 팀에서의 악성코드 위험성 조사와 더불어 진행된 내용으로는 Greenborder의 인수를 병행하여 추진한 것으로 보이며 5월 말 경에 공식적으로 발표를 합니다. 내부적인 합의는 5월 중순에 완료 되었다고 합니다.

http://www.zdnet.co.kr/news/internet/hack/0,39031287,39157927,00.htm

 

Greenborder의 인수는 왜 이루어 졌을까 하는 의문 당연히 제기 되어야 합니다. 그린보더의 기술은 Firefox IE Browser 내에 가상의 Sandbox 모델을 구축하여 보안을 구현 한다고 되어 있습니다. 정말 어렵게 설명 하죠? 좀 쉽게 설명 하면 다음과 같습니다.

 

모든 웹사이트에 방문을 할 경우에 해당 웹 사이트의 데이터는 개인 PC Temporary 폴더에 저장이 됩니다. Firefox IE든 마찬가지 입니다.  악성코드의 전파는 우선 사이트에 방문 이후 모든 파일이 내려진 이후에 자동 실행등을 통해서 이루어 집니다. 그린보더는 여기에 착안을 하여 비지니스를 진행 합니다.

 

                     <cnet.com greenborder pro2 에 대한 소개 이미지>

 

자세히 들여다 보시면 Browser 테두리를 Green color로 둘러 싸고 있는 것을 볼 수 있습니다. 일단 보호가 되고 있다는 의미를 나타냅니다. 사업의 방향은 간단합니다.  Temporary 폴더로 다운로드 되는 모든 파일에 대해 실행제한을 하게 하고 설치가 되지 않도록 하기 위해  가상화된 공간을 만들고 해당 공간은 시스템에 영향이 없도록 만들어 둡니다. 그 이후 사이트를 떠나거나 브라우저 창을 종료 할 경우 파일의 삭제 혹은 가상화된 공간을 없애는 것이죠.

 

즉 모든 악성코드들의 출발점인 다운로드 이후 실행 경로와의 차단을 목적으로 진행을 합니다만 기본 경로에 대한 차단을 시행하는 역할 을 합니다. 개념상으로는 좋은 아이디어 입니다. 한번 사용을 해봤으면 정확하게 알 수 있는데 구글의 인수 이후 해당 업체를 알게 되었고 다운로드 경로가 모두 삭제되어 사용이 불가하여 웹상에서 드러난 공개자료를 통한 분석 외에는 해볼 수 없었음을 알려 드립니다.

 

이 그린보더의 문제점은 시스템에 대한 보안 적용이 필요한 모든 부분에서 문제를 일으킬 수 있다는 점입니다. 즉 구글을 제외한 모든 사이트들에서 추가적인 도구들을 사용 할 수 없는 문제들이 발생 할 수 있습니다. 이런 문제를 해결 하기 위해서는 앞으로 많은 시간이 필요할 것으로 보이나 해당 업체의 기술을 이용한 검색 결과의 안정성 보장은 빠른 시일 내에 모습을 드러낼 것으로 보입니다.

 

드러난 Google의 행보는 여기까지입니다. 단순하게 세 가지 사실을 가지고 유추해본 바로는 향후 검색 결과에 대한 사용자 신뢰도 확보에 대한 Google의 의지를 볼 수 있고 또한 동양과 서양간의 사회적 인식에 따른 보안 개념의 차이를 볼 수 있습니다.

 

올해부터 보안컨퍼런스에 전면적으로 모습을 드러낸 구글의 모습은 그 필요성에 따라 매우 빠른 움직임을 보이고 있습니다. 그만큼의 위험상황이라고 인식을 하는 것을 볼 수 있습니다. 자사의 검색결과에서 악성코드가 유포되는 유형을 공개적으로 발표를 하는 의도도 그만큼의 위험상황임을 내부에서만 알고 있기에는 위험하다고 판단 했기에 그랬을 것으로 보입니다.

  

* Article이 좀 분량이 있습니다. 계속 올리도록 하겠으며 다음에는 좀더 체계화 되고 전략적인 방향 부분을 짚어 보도록 하겠습니다 2편 정도 더 나올 것 같습니다.

 

감사합니다.

 

 

참고: 동양과 서양간의 사회적 인식에 따른 보안개념의 차이에 대한 사견

 

 - 일반적인 내용은 아닙니다만 사회적 인식에 따라 책임 소재가 국내의 경우 서비스 업체에 집중이 되는 경우가 많습니다. 금융사고의 경우에도 개인 사용자에게 설치된 악성코드로 인해 발생된 사고의 경우에도 금융권에서 배상을 해야 하는 내용등이 있어서 문제 발생 이전에 사전 대응을 주로 하도록 합니다. 수많은 ActiveX가 설치되는 이유 이기도 합니다.

 

서구권의 경우 사고 이후의 분석에 많은 강점을 보이고 있습니다. 즉 사용자에 대한 모든 행위 분석 ( CRM의 일종 )에 따라 비정상적인 행위 패턴을 보일 경우 Alert이 되도록 합니다. 즉 한번도 간적이 없는 곳 또는 사용 기록이 거의 없는 시간대에 거액의 비용을 사용하게 된다면 Abusing이라고 판단하죠. 이걸 Fraud 라고도 합니다. 이런 유형의 검출에 대해 특화된 노력들이 많이 있어 왔습니다.

 

금융권의 예를 들었읍니다만 서비스의 경우에도 개인 사용자야 어찌되든 자신의 서비스로 인해 나타나는 결과의 안정성에만 신경을 쓰는 것을 볼 수 있습니다. Google이 그 케이스를 보여 준다고 생각 됩니다.

 

 

 


 

 
Posted by 바다란

좀 길어 졌습니다.

쓰다보니 중복되는 내용들도 다수 있지만 그냥 올립니다.

 

언제나 그렇듯이 블로그에 올리는 모든 의견들은 제 개인의 의견입니다. 이점 유념 하여 주셨으면 합니다.  이 긴글을 읽어낼 인내심이 당신과 함께 하기를..

 

--

대응

변화를 보라. 변화를 볼 수 없고 느끼지 못하면 도태만이 있을 뿐이다.

 

 

작금의 변화는 언제부터였을까? 지금과 같은 상황은 언제 예견 되었을까? . 전략과 시대를 통찰하는 시각의 부족은 고대부터 항상 있어왔고 지금에도 마찬가지이다. 빠르게 변화하는 세상과 문화의 흐름을 예측하기는 어렵다. 더욱이 지금과 같은 직접교류와 인간과 인간과의 관계가 급속도로 가깝게 연결 되는 시대에는 더 어려울 수 밖에 없다. 현상도 이러할진대 현상에서 촉발되는 많은 문제들 중 IT서비스에 대한 문제와 Security라는 측면에서는 더 큰 어려움이 존재 할 수 밖에 없다.

<?xml:namespace prefix = o /> 

변화를 보려 하고 준비한자는 어디에 있을까?

 

이제 변화의 흐름을 쫓아보자.

작금의 Security 환경의 가장 큰 위협은 전 세계적인 이슈라고 할 수 있다. 세계적인 보안 이슈는 지금까지 Botnet , Phishing 으로 인한 대규모적인 악성 시스템 그룹의 운영과 사기에 초점이 맞춰져 있었다. 거기에 최근 2~3년 사이에 악성코드가 결합한 형태가 나타나서 새로운 흐름이 만들어 지고 있다. 전 세계적인 이슈는 세계 평균적인 서비스의 발전에 따라 나타난다. IT서비스의 발전이란 접점의 확대 ( 이른바 다양한 UCC를 통해 사용자와 교류하고 소통하는 Web 2.0 의 현상이라 할 수도 있다.) IT 인프라의 발전과 발맞추어 나아간다고 할 수 있다. 인프라의 밀집과 고가용성 상태로 보면 세계 최고 수준을 유지하고 있는 한국으로서는 선도적인 서비스 문화들이 많이 발생 하였고 이를 통해 온라인 게임이나 사용자와 교류하는 Web 2.0 모델의 할아버지 격이 될 수 있는 서비스들이 다수 출현되어 현재도 활발하게 서비스 중인 상황이다.

 

세계의 발전도 인프라의 고가용성으로 나아가며 사용자와의 교류가 높아지는 서비스가 주류를 이루어 가고 있다. 점차 Security에 대한 위협도 세계적인 이슈가 될 수 밖에 없다.

 

한국에 최초 출현한 위협들은 악성코드에 대한 위협과 Web Application에 대한 직접 공격을 들 수가 있고 이 위협들은 여전히 현재 진행형이다. 2005년에 최초 출현한 위협들은 이후 확대되어 세계적으로 퍼지고 있는 상황이나 한국만큼 악성코드의 유포 및 활용성이 높은 곳은 아직 미비하다. 향후 몇 년간 전 세계 IT 서비스 부분에 대해 명확한 이슈로 등장할 것이며 그 근본에는 대표적으로 중국이 등장 할 것이다.

 

왜 이런 예상을 하는지 잠시 최근의 근거를 살펴보자. 드러난 것은 전체의 1/10도 되지 않는다는 점에 염두를 두고 살펴 보면 된다.

 

http://blog.naver.com/p4ssion/50002005359  2006 2월에 작성한 글에서 향후 위험성에 대해서 의견 피력을 했고 지금은 1년이 휠씬 더 지난 상황이다.

 

처음 중국으로부터의 해킹 분석을 한 것이 2002년 이였고 이후에도 간헐적으로 의견 제시를 했었지만 지난해 초에는 세계적인 이슈가 될 것이라는 전망을 하였었다.

 

현재는 커뮤니티 문화 및 인터넷 문화가 확산되어 금전 거래 및 문화로도 연결이 된 우리 나라에 대해서만 피해가 크게 보이지만 인터넷 문화의 확산에 따라 유비쿼터스 환경의 빠른 확대에 따라 세계 각국으로도 중국의 공격은 유효하게 발생이 될 것입니다.  본문중

 

본문중에서 발췌한 내용이며 해당 내용의 유효성이 얼마나 실현 되었는지 2007 9월 이후에 언론에 나타난 흔적들을 통해 한번 되새겨 보자.

 

 

 

http://news.naver.com/main/read.nhn?mid=etc&sid1=104&mode=LPOD&oid=001&aid=0001799299  ( 중국내에서도 심각한 문제가 되고 있음을 볼 수 있습니다. )

 

http://www.donga.com/fbin/output?n=200709210153 ( 해킹 동향에 대한 일반론)

http://news.naver.com/news/read.php?mode=LSD&office_id=001&article_id=0001752161&section_id=102&menu_id=102 (뉴질랜드 정부기관 해킹 관련 보도)

http://weekly.hankooki.com/lpage/business/200709/wk2007091012524537060.htm  (펜타곤 및 미 정부망 해킹 관련 보도)

http://news.mk.co.kr/news_forward.php?no=481939&year=2007 (프랑스 총리실 해킹)

http://news.naver.com/news/read.php?mode=LSD&office_id=003&article_id=0000553689&section_id=104&menu_id=104  (,,영국 해킹 관련 보도)

http://www.ytn.co.kr/_ln/0104_200709051801337415

 

 

 

간략하게 20079월 이후 기사화 된 것만을 추려도 위의 항목과 같이 나타나고 있다. 대부분 피해 사실을 숨기고 공개적으로 언급하기를 극도로 꺼려 하는 점을 감안하면 각국 정부의 반응은 예상을 넘어선다. 이 것은 예상을 넘어선 피해가 존재 한다는 의미와 동일하다 할 수 있다.. 가장 처음의 링크를 주의 깊게 볼 필요가 있다. 현재 발생되는 사이버 테러의 가장 큰 피해자는 중국 스스로이며 정보를 가장 많이 얻기도 하지만 가장 많은 공격의 대상이 되기도 한다. 그러나 기질상 금전과 과도한 국수주의 기질로 무장한 공격자들에게 대외적인 이슈가 발생 한다면 국가적인 혹은 산업적인 적대 대상에 대해 집중적인 공격이 발생 할 수 있다. ( 국가망에 대한 공격은 Zeroday Attack이 주로 이용되며 MS Office 계열의 문서를 활용한 백도어류가 주류를 이루고 있다. 백도어의 행위가 매우 지능적이고 찾기가 어려움에 따라 향후 강도 높은 주의가 필요한 부분이다.)

 

Security의 패러다임은 계속 변화하고 있다. 장기간의 변화 방향을 짚기는 어려워도 1~2년 정도의 변화는 누구나 손쉽게 짚어 낼 수 있다. 지금까지의 패러다임을 주관적으로 한번 보면 다음과 같다.

 

모두 2000년 이후의 변화만 기술한 내용이다. 그 이전의 변화는 지금의 흐름과 관계가 없으므로 언급할 필요가 없고 network 단위의 웜의 최초 출현과 그 이후의 변화를 주로 살펴 보면 된다.  Worm이 발생 부분은 전 세계적으로 동일하게 발생 하였고 이후의 Botnet으로의 진화와 변화도 세계적인 흐름이지만 이후의 Web을 통한 Pc의 공격은 중국에서 단연 주도하고 있는 상황이다.  물론 그 이전에 Application에 대한 Attack 흐름은 나타났으나 실제 피해를 입히는 영향도로 보아서는 Web서비스를 통한 악성코드 유포 이슈가 단연 높다고 할 수 있다.

 

Worm 발생 이전에는 격리의 단계에서 이후에는 보호단계로 진입하고 지금에 이르러서는 불특정 다수의 PC환경 까지도 보호해야만 되는 그런 상황으로 나아간다. Web을 통한 전파 가능성만큼 확실하고 대규모적인 악성코드 설치가 가능한 환경도 존재하지 않는다. 따라서 향후에도 Web을 통한 악성코드 전파 및 유포 행위는 전 세계적으로 이슈가 될 것이며 단지 한국의 상황은 조금 빨리 부딪힌 것뿐이다. 위기 상황은 기회를 만들기도 한다. 그러나 정작 국내의 보안산업은 위기 상황에서 어떤 고민들을 했나? 창조적인 준비, 역동성, 열정 이 모든 것들이 결합되지 못하였고 근 미래조차 예상 하지 못하는 근시안적인 판단으로 지금까지 버텨왔다고 보는 것이 필자만의 개인적인 생각일까?.

 

최초 서비스는 많으나 최초의 창의적인 제품들이나 보안 서비스들은 어디에 있을까? 이처럼 독특한 위협들을 몸으로 겪으면서 보안이라는 산업 자체는 최소한 한국 내에서는 위기를 맞게 되었을 것이다. 현업의 서비스 담당자들 보다 떨어지는 실무경험으로 무엇을 가이드 할 수 있단 말인가?  더 이상 정보의 가치는 없다. 누구나 접근 가능하고 취득이 가능한 정보는 그 가치를 잃고 만다. 경험으로 체득한 지혜만이 혜안을 밝힐 수 있으나 그 경험을 누적 시키지 못하고 인재를 양성하지 못한 대가는 향후의 방향성을 가름하게 될 것이다. 세계적인 IT 회사들이 왜 보안에 집중을 하는지 또 끊임없이 인력 확보를 위해 노력하는 지에 대해서 진지한 성찰과 고민이 필요한 시점이다.  단일화된 시장이 될 수 밖에 없는 Global IT 서비스에서 지역적으로 성장 할 수 있는 기회는 더 이상 존재하지 않을 것이다. 위협은 Global로 다가오는데 눈을 뜨지 않은 자가 어찌 대응 할 수 있을 것인가? 단지 생명 연장을 조금 더 오래할 뿐이며 그 명운은 이미 판가름이 났다고 할 수 있다.

 

개인적으로 위와 같은 예상에 대해 뼈아프게 생각 하지만 이미 오래 전부터 실무에서 부딪히며 의견을 제시하고 방향성을 제시한 적이 있으나 들으려 한 곳은 없다. 지금이라도 좀 더 큰 방향성을 보고 와신상담 하기만을 바랄 뿐이다.

 

 

잡설이 길었다. 다시 최종적인 IT 서비스를 위한 보호 제안에 접근해 보자.

 

현재의 IT서비스가 지닌 위험을 정리하면 큰 목차는 다음과 같이 정리가 된다.

 

1.       웹서비스를 통한 악성코드 유포

2.       악성코드를 이용한 DDos 공격 ( IDC , ISP , 대규모 Service Provider 등 모든 부분 영향)

3.       Zeroday 위험 ( 신규 백도어를 이용한 정보 절취 및 기간 서비스 위험)

A.       기간 서비스 부분은 http://blog.naver.com/p4ssion/50001878886 Article Scada & DCS 시스템의 위험요소를 참고

B.       신규 백도어를 통한 리모트 컨트롤 및 정보 절취는 국가전략적인 차원에서도 매우 중요한 위험요소라 할 수 있다.

4.       Botnet ( IRC Botnet과는 차별화된 HTTP를 이용한 Malware net이 향후 위험요소가 될 것이고 이번 아이템 거래 업체에 대한 DDos 유형도 Malware net이 사용 되었다고 할 수 있다.)

5.       웹서비스 자체의 취약성 ( 1,2 항의 근본 요인으로 지목한다.)

 

다섯 가지 정도로 큰 위험성을 잡을 수 있으며 이중 1,2,5 항에 대해서는 시급한 대응 방안이 고려되어야만 한다.  Zeroday 위험은 계속 존재 하는 문제이며 1,2,5 항에 대해서는 보다 더 적극적인 대책이 진행 되지 않는다면 IT서비스 차원이나 국가 전략 차원에서 문제가 될 사안들이 지금 보다 더욱 많아 질 것이다.

 

주된 항목에 대해 하나하나 짚어 보면 다음과 같다.

 

< 웹서비스를 통한 악성코드 유포>

 

위의 이미지는 웹서비스를 통한 악성코드 유포에서 문제 부분을 정리한 내용이다. 각 표시부분별로 대책 부분을 정리한다.

 

1.      웹서비스 사이트

 -> 웹 서비스 사이트 부분은 대부분의 웹서비스가 URL 인자에 대한 validation check를 하지 않음으로써 발생하는 문제이며 대부분 SQL Injection을 이용한 권한 획득이나 XSS 취약성을 이용한 악성코드 유포로 사용이 되고 있는 점을 들 수 있다. 이 부분에 대한 대책을 위해서는 웹 서비스 URL 전체에 대한 인자들의 유효성 체크를 하여야만 하며 우선 대규모 사이트 혹은 방문자 규모가 일정 규모 이상인 사이트를 대상으로 집중적으로 이루어 져야만 할 것이다. 그래야 웹을 통한 대규모 사용자에게 악성코드 유포를 근본적으로 줄일 수 있다.

 

기본적으로 공격자들은 자동화된 툴을 이용하는 것이 일반적이며 일부 공격자가 직접 조작을 하여야만 하는 취약성들은 서비스 자체적으로 보안 강화를 하는 것 외에는 없다.

악성코드의 유포를 위해서는 소스코드를 변조 하거나 게시물에 악성코드를 첨부 혹은 실행 스크립트 형태로 올려두는 것이 대부분이므로 권한 관리 및 외부에서 직접 권한 획득이 가능한 부분을 확인 하여 차단 하여야만 한다.

현재 한국 내에서 문제가 지속 되고 있는 부분은 Web URL 인자를 필터링 하지 않아 발생하는 SQL Injection 부분이 심각하며 해당 문제의 상세한 내용은 여기를 참고 한다.

http://blog.naver.com/p4ssion/40017941957

http://blog.naver.com/p4ssion/40015866029

부족하지만 위의 Article을 참조 하면 되며 이외에 여러 공개 발표된 문서들이 있으므로 참고 하면 충분한 이해가 될 것으로 판단된다.

 

큰 방향성에서는 전체 웹 서비스에 대한 validation check를 검증 할 수 있는 솔루션이나 제품을 도입 하여 안정성을 강화 하여야 하나 현존하는 모든 웹 Application 보안제품들이 나름대로 한계를 지니고 있어서 대용량 서비스 및 여러 URL을 빠르게 진단하는데 문제를 지니고 있다. 이 부분은 향후 적극 개선이 필요하며 필수적인 부분만을 빠르게 진단하는 경량의 고속 스캐너류를 통해 근본적인 해결을 하는 것이 필요하다.

 

더불어 장기적으로는 프로그래밍 서적이나 개발시의 참고 사항에 보안과 관련된 validation check 부분을 강조함으로써 향후 개발 되는 Application에 대한 안정성을 반드시 확보 하여야만 할 것이다.

 

2.      개인 사용자 PC

-> 개인 사용자 PC 환경에 대해서는 현재의 제한된 유료 사용자만이 영향을 받는 백신 부분으로는 절대적이 한계를 지닐 수 밖에 없다. 웹이라는 매개체를 통해 불특정 다수에게 대량의 악성코드가 유포되는 상황에서 IT서비스 차원에서는 궁극적인 해결책을 모색할 수 밖에 없으며 해외의 온라인 서비스 업체들이 왜 지금에 와서 보안 서비스를 무상으로 제공하는지 염두에 두는 것이 바람직하다.

 

한국은 2005년부터 위기가 시작 되었음에도 불구하고 별다른 움직임 없이 모든 피해를 당할 수 밖에 없었으나 2006년부터는 세계적인 서비스 업체들에도 다양한 문제들이 발견이 되고 있어서 적극적인 대책을 강구 할 수 밖에 없는 부분이다.

아래의 reference를 간략히 참고 하고 더 많은 실례들이 존재함을 알아야 할 것이다. IT서비스 기업의 특정 서비스를 노리고 있는 웜들이 급증 추세에 있는데 IT서비스 기업으로서 취할 수 있는 대응 방안은 무엇이 있을까? 서비스를 사용하는 모든 사용자들에게 피해가 가지 않도록 하는 방안은 무엇일까?. 결론적으로 서비스를 보호하기 위해서는 빠른 업데이트 및 서비스에 대해 특화된 대응이 가능한 보안서비스를 선택 할 수 밖에 없다.  보안 서비스는 이제 IT 서비스의 생존을 위한 필수적인 요소가 되었지만 아직 국내에는 갈 길이 멀었다. 가장 큰 피해를 입었고 현재도 입고 있음에도 불구하고 아직 갈 길이 너무나도 멀다.

 

서비스 전체 사용자 및 산업적인 차원에서 대규모 보안성 강화 노력이 절실히 필요하며 대응 방안은 이미 글속에 있으나 개인이 제안 할 수 있는 범위는 아니라 판단되며 향후 주된 이슈가 될 부분이라 보고 있다. 국가적 차원의 IT서비스 경쟁력 강화에 필수적인 부분이 될 것이며 최종 결론 부분에 다시 정리 하고자 한다.

 

Ref:

http://namb.la/popular/tech.html -> myspace application worm에 대한 설명

http://news.softpedia.com/news/The-First-Yahoo-Messenger-Worm-That-Installs-Its-Own-Browser-24366.shtml  -> yahoo 메신저 웜

http://www.crime-research.org/news/20.09.2006/2250/ -> AOL IM worm

 

 

3.      Secure한 전송

 

Secure한 전송은 지난 편의 글에서 제시한 BHO 부분과 연동이 된다. 지금까지는 키보드에서 발생하는 하드웨어 이벤트를 가로채는 키로거등이 주로 사용이 되었으나 해킹툴 차단 및 보안 서비스 사용자가 늘어남에 따라 공격자들 ( 주로 중국 ^^)의 공격 유형이 변경 되었다. 현재 변경된 방식은 BHO 방식을 이용하여 키보드 암호화가 풀리고 SSL 등을 이용한 네트워크 암호화 단계 직전의 Browser가 지니고 있는 값을 유출 시키는 유형으로서 기술적인 대안은 백신과 암호화를 유지하는 것 외에는 없다고 할 수 있다. 여러 번 언급 하였지만 신규 악성코드를 만드는 것은 매우 쉬우며 빠르다. 그리고 대응은 더디다. 유출된 정보는 이미 정보로서의 가치를 상실하고 사용자의 개인정보를 통한 추가 침입에 이용될 뿐이다. 따라서 가장 근본적인 대안으로 End To End 단 까지 이어지는 암호화를 연결 시키는 것이 필요하며 가장 완전하게는 키보드 보안에서 암호화 된 것이 직접 서비스 서버로 전달이 되고 해당 서비스 서버에서 복호화가 되는 유형을 진행이 되어야 해결이 된다. 최소한 Browser 단위에서 평문으로 전환되고 SSL로 전송되는 문제는 피해야만 한다. 평문 전환 시점을 노리는 악성코드는 지금도 날마다 만들어진다.

 

SSL ( Secure Socket Layer)은 전송 단계에서의 보호를 의미하나 스니핑이나 중간 네트워크 트래픽을 가로채어 정보를 절취하는 유형은 거의 찾아보기 어려운 형국이다. 따라서 새로운 패러다임에 맞게 보호 수준을 높일 필요가 있고 세계적인 흐름과 동일하게 하향 평준화 되어서는 안될 것이다. 아직도 SSL 만으로 보안이 다 된다고 생각 하는 곳은 인터넷 서비스로 말하자면 석기시대 사고 방식이라 할 수 있을 것이다.

 

 

이상으로 웹서비스를 통해 유포되는 악성코드의 흐름과 이에 대한 대책을 간략히 설명 하였다. 그럼 이번에는 올해 하반기에 새로 등장한 Hybrid DDos 관련된 이슈에 대해서도 알아보자.

 

<DDos 공격과 관련된 이슈>

각 문제 지점에 대해서는 붉은색 원으로 별도 표시가 되어 있다. 여기에서 1,2번 항목은 앞서의 악성코드 유포 이슈와 동일한 부분이다.  틀린 점은 3,4번 항목이 되며 3번 항목은 과도한 트래픽이 몰리는 것을 의미하고 4번 항목은 중간 명령 전달 서버가 된다. 설명이 필요한 부분과 대책이 필요한 부분은 3,4번 항목이다.

 

3. 과도한 트래픽의 집중

       -> 특정 서비스 대역으로 과다한 트래픽이 정형화된 패턴이 없이 집중 될 때 IDC나 서비스 제공자 입장에서 대응 할 수 있는 부분은 그리 많지 않다. 단 시간내에 집중 되는 경우에는 장비의 증설 및 트래픽 우회로 커버가 가능하나 지속적으로 증가하는 유형에 대해서는 마땅한 해결책이 없다. 전체 서비스 구역을 보호하기 위해서 대상이 되고 있는 서비스를 서비스 항목에서 제외 ( DNS 리스트에서 삭제 ^^) 하는 것 외에는 특별한 대안이 없다고 본다.

대응을 하기 위해서는 긴밀한 협력이 필요하며 협력은 개인 PC 단위의 보호를 진행하는 백신 업체등과 연계가 필요하다. IT 서비스 프로바이더 입장에서는 근본 원인 추적을 위해 정형화된 패턴 방향을 찾을 필요성이 있으며 지속적인 유형에 대해 정보 제공이 이루어져야만 한다. 또한 일시적인 시점에 급격하게 늘어나는 DNS 쿼리등을 주시할 필요성이 있다. ( 이 부분에 대한 모니터링을 피하기 위해 명령 전달을 위한 경유지 서버를 사용한 것으로 추정됨) Botnet 등의 탐지를 위해서도 특정 IRC 서버나 채널 혹은 서버군으로 다수의 쿼리가 몰릴 경우에는 일시적으로 주의 수준을 높이는 것이 필요하며 방향성을 예의 주시 하여야 한다. 기존의 botnet 등과 연계된 탐지에는 효율이 있을 것으로 판단되며 이번에 새로 발견된 유형에 대해서는 제한적인 효과를 지닐 수 있을 것으로 보인다.

 

정보의 폐쇄적인 활용은 피해를 더 크게 만들 뿐이므로 유관기관과의 긴밀한 협력을 통해 공격 대상 IP 및 공격 서비스, 주요 패턴 등에 대해서 상시적인 교류가 필요하다. 경우에 따라서는 공격을 진행하는 클라이언트 파악도 필요할 것으로 예상이 된다.

 

장기적으로는 트래픽에 대한 비정상 증가 치 혹은 비정상 패턴을 탐지하는 유형을 목록화 하여 수시로 업데이트 함으로써 위험요소의 사전 판별에 도움이 될 수 있을 것으로 판단 된다. 이유 없는 트래픽 증가는 없으며 비정상 패턴의 증가도 있을 수가 없다.

 

4.      경유지 명령 전달 서버

-> 경유지 서버에 대한 판별에는 어려움이 있다. 이 부분은 실제 개인 PC를 찾아낸 이후 하나하나 단계를 밟아서 경유지 서버를 찾아내는 것이 필요하며 방대한 시간이 걸릴 수 있을 것이다. 그러나 이미 기존에 유포된 악성코드들에 대한 흔적을 찾아 냄으로써 일괄적이고 대규모적인 제거 작업이 일시에 이루어 진다면 경유지 서버에 대한 의미를 줄일 수 있다고 본다.

 

 

전체적으로 사안을 정리한다는 것은 쉽지 않으며 지금과 같은 대규모 이슈에 대해 다양한 부분에 대해 대안을 개인이 생각 한다는 것도 어려움이 있다. 다소 틀린 부분과 잘못된 오류 부분에 대해서는 개인 의견이므로 너그러운 양해를 당부 드린다.

 

세계 모든 국가들이 피해를 입고 있다. 정보를 탈취하여 돈을 획득 할 수 있다면 무엇이든지 할 수 있는 공격자들은 얼마든지 있다. 또한 그들은 스스로간에 정보를 공유하고 공격 가능성을 논의한다. 이에 반해 보안업체 혹은 IT 서비스 업체들은 어떤지를 돌아봐야 한다.

Cyber Terror 혹은 정보 절취를 통한 첩보거래와 실 거래가 동반이 되는 IT서비스에 대한 공격을 통한 금전적인 이득의 취득, 사용자를 유인하여 금전을 취득하는 Phishing등 모든 문제가 연계되어 있다.

 

전 세계 모든 IT 서비스 및 국가가 향후 방향성에 대해서 심도 있는 논의를 해야만 하고 자체적인 준비를 해야만 한다. 국내 IT서비스의 지속적인 발전과 국가 보호를 위한 미래 전략 차원에서 준비를 해야만 될 것이다. 앞으로 IT서비스는 보다 더 생활에 밀접해 질 것이고 생활 상의 모든 것들이 연계 되는 상황에서 우리는 지켜야 할 대상에 대해서 명확하게 지켜야 될 것이다. 그럼 정리하자.

 

< 단계별 대책>

 

각 위험요소로 지적한 부분에 대해 단계별 대책은 무엇이 있을지 확인해 보자. 큰 목차로는 3가지 정도가 있을 수 있으며 3번째 대책에는 몇 가지 소 부류가 있을 수 있다.

 

1. 웹 서비스 보안성 강화

앞으로의 웹은 어떨까? 하는 고민을 먼저 해보자. 사용을 안 하게 될 것인지 아니면 더 밀접하게 사용을 하게 될 것인지.. 2.0이 버블이든 아니든 중요한 것은 사용자와 더 밀접해졌다는 것이 중요하지 않을까 생각 된다.

 

단기- URL 인자별 validation check solution의 개발 및 보급 확대

장기- Secure programming에 대한 awareness 확대 서적, 홍보 및 활용이 가능한 템플릿의 제작으로 장기적인 안정성을 강조

 

웹 서비스의 보안성 강화는 근래 2005년부터 서비스 부분의 화두로 대두되고 있다. 세계적으로 국내 서비스 부분에서 최초(아마도) 발견되고 공식 피해가 확인된 케이스 라고 할 수 있다.

웹서비스의 보안성 강화를 위해서는 지속적이고도 연속성이 보장되는 프로세스가 존재 하여야 하며 이 부분을 해결 하기 위해서는 전문 보안업체나 Security관련 유관기관의 노력이 필요한 부분이다.

더불어 전체적으로 Secure coding에 대한 awareness를 강조함으로써 근본적인 문제 해결을 장기적으로 유도 하여야만 할 것이다. 현재 상황에서의 문제는 URL 인자별 validation check가 가능한 scanner가 몇 종 되지 않으며 그나마 존재하는 솔루션들도 대용량이나 대규모의 사이트에는 부족한 부분이 있다. 다수의 사이트를 일시에 진단하기에도 속도 및 성능 면에서 문제가 있어서 대략 110만여 개 이상으로 추정되는 한국내의 웹서비스들에 대해 일괄적인 대응이나 진단을 수행 하기에는 무리가 있을 것으로 예상된다. 따라서 단계별 진단 및 보안강화 노력이 이루어 져야 될 것으로 보인다.

 

공격자들의 대상이 방문자가 많거나 연관도가 높은 웹서비스를 목표로 하고 있으므로 우선순위를 정해 일정 규모 이상에 대해서는 기준을 만족하는지 점검 하거나 혹은 내부적인 노력을 하고 있는지 정도는 검토 되어야 할 것이다.

 

악성코드의 유포 행위를 모니터링 하는 것도 바람직 하나 근본문제의 수정을 할 수 있도록 원천적인 가이드를 진행 하는 것이 더욱 중요하므로 근본적인 소스 수정이 이루어 질 수 있도록 노력 해야 할 것이다.  Validation 검증을 위한 도구 개발이 현재로서는 절실하다고 할 수 있으며 단기적으로 최선의 노력을 기울여야 될 것으로 판단된다.

 

2. 개인 PC 단위의 보호

 

개인 PC 단위의 보호 관점에 대해서는 명확하게 한 가지를 지적하고자 한다. 악성코드의 전파수단으로 불특정 다수에게 유포 될 수 밖에 없는 웹 서비스가 이용이 되고 있다. 이처럼 불특정 다수에게 무차별적으로 유포가 되는 악성코드에 대한 처리는 체계화 되고 전역적인 대응이 필요하다.

 

지금과 같은 제한된 사용자에게만 제공되는 서비스로는 현재의 위험성을 절대로 막을 수 없으며 정보에 대한 공유 및 위험에 대한 상호 정보 교류가 없이는 향후에도 매우 힘들 것으로 보인다.

 

앞서 IT 서비스 기업들이 서비스를 보호하기 위해 보안서비스를 도입 할 수 밖에 없는 이유에 대해서 간략히 설명을 하였고 향후에도 지속 확대 될 수 밖에 없는 부분이다. PC를 보호하는 AV 업체들은 발상의 전환을 할 필요가 있을 것이다. 전문적인 부분에 대한 대응만을 특화 시키거나 특정 기능의 악성코드 ( MS Office계열의 Zeroday 취약성을 이용한 백도어)의 실행을 근본적으로 막을 수 있는 제품들로 시선을 돌릴 필요가 있다.

 

현재의 악성코드는 시스템을 못쓰게 만드는 바이러스가 아니며 정보 유출과 조정을 위한 도구로서 이용이 되고 있다. 따라서 정보 유출을 막기 위한 부분이 주가 되어야지 시스템을 복원하는 부분이 주가 되어서는 안될 것으로 본다. 물론 복원 하고 치료하는 부분도 반드시 존재 하여야 하는 부분이나 관점을 달리 생각 할 필요가 있다.

 

결론적으로 폭넓은 악성코드 유포 행위에 대한 대응을 하기 위해서는 광범위하고도 체계적인 대응 플랜이 있어야만 한다. 해외의 무료백신을 이용할 수도 있고 아니면 국내의 백신들을 저렴하게 이용하는 방안들도 있을 수 있을 것이다. 개인이 언급하기에는 부적절한 부분들이 있으나 대책은 반드시 광범위한 사용자에게 즉시 영향을 미칠 수 있을 만큼의 파급력이 존재해야 함에는 변함이 없다.

 

공격은 다방면으로 대상을 가리지 않고 발생을 하는데 보호를 하는 대상자는 유료 대상자만 보호하고 그것도 정보 유출 이후에 분석을 통해 보호를 한다는 것은 현재의 위험 상황에 부합하지 않는다.

보안산업의 생존을 이야기 한다. 그러나 서비스가 사라지는데 무슨 보안이 존재 할 수 있을까? 서비스의 생존이 존재해야만 보안이 존재한다. 패러다임의 전환기에 변화를 외면한 보안 서비스들이 IT서비스의 생존에 오히려 장애물이 되어서는 안될 것이다. 지금은 일부 그런 모습으로 비춰지는 부분이 있다. 사용자를 볼모로 잡는 것이 아닌 IT서비스의 생존을 볼모로 잡고 있는 형국이며 종래에는 모든 비난을 받게 될 수도 있을 것이다. 현명한 방향성이 빠른 시일 내에 Security 부분에서 도출이 되어야 할 것이며 그렇지 않을 경우에는 사면초가의 상황에 직면 할 수도 있을 것이다.

 

 

3. DDos 징후 판별 및 Alert 체계

 

DDos 관련된 부분은 모든 대책이 집약 되어야 하는 종합적인 부분이다. 이전까지의 DDos와는 다른 유포 방식부터 경유지 서버의 활용, Hybrid DDos 패턴등 특이하고 특징적인 사안들이 다수 발견이 되는 경우이다.  실제 공격 유형은 올해 초 혹은 지난해부터 이루어 졌을 것으로 보이나 드러나지 않게 소규모 혹은 신고가 어려운 업종에 대해 Ransom 형 공격을 시도 하여 금전적인 이득을 취하였고 지난 9월에는 대규모 사이트에 대해서 집중적인 공격을 시도하여 3주 가량 서비스를 중지 시킨 경우가 발견된다.

 

만약 대규모로 공격을 시도하지 않았다면 대응도 없었을 것이고 또한 이런 대응 방안을 고민 하지도 않았을 것이다. 이제 유형이 드러난 이상 대비책은 준비하여야만 할 것이다. 대비책이 없다면 IT 서비스 전 부분이 영향성을 받을 수 밖에 없을 것이다. 시기는 오래 걸리지 않을 것이다.

 

DDos 징후 판별의 최초 지점은 IDC혹은 Server Farm이 가장 최초 인지가 가능한 지점이 될 수 있다. 그러므로 초기적인 대응이 상당히 중요하다. 특별히 과다한 트래픽을 막을 수 있는 DDos 솔루션의 경우에도 제한적인 효과만을 볼 수 있으며 만약 도입을 한다 하여도 서비스들에 영향을 미칠 수도 있을 것이다.  장비나 설정등을 이용한 DDos 대응 방안은 일정 수준 이하라면 충분한 고려가 될 수 있으나 지금의 공격 트래픽은 장비가 감당할 임계치를 넘는 수준이라서 장비 및 설정을 이용한 대응은 한계에 도달했다고 판단된다.

 

대응은 구조적이고 체계적인 대응 외에는 방안이 없을 것이다. 본문 중에 언급 하였지만 IDC 간의 실시간 위험 정보 교류, 과다 트래픽 발생 지점의 확인, 공격 트래픽의 특징 확인 , 내부 IDC Server에서 외부로 급격하게 증가하는 트래픽의 발견  등등 .. 비정상행위에 대해 모니터링이 가능해야 하며 모니터링 도중 이상 증세 발견 시에는 IDC간의 업무 협조 혹은 분석 및 대응이 가능한 기관과의 빠른 공조를 통해 사전에 위험성을 제거 해야만 한다.

 

이후 악성코드에 의한 영향인지를 판단하고 악성코드의 위험도를 판정한다. 그 이후 악성코드에 대한 업데이트를 대규모 사용자 집단이 존재하는 보안서비스 혹은 국내 백신업계에 업데이트를 요청하여 일괄적으로 차단 할 수 있도록 한다. 

 

더 중요한 것은 전체적으로 해당 패턴으로 감지가 되어 차단된 케이스가 얼마나 되는지 조사를 하여 ( 통계치만 제공되면 되는 수준.) 전체적인 위험 수준을 관리 할 수도 있고 급증한 시기에는 새로운 취약성이 나타났거나 공격 유형이 발생 하여 대비를 해야 한다는 국가나 산업단위의 위험지표를 나타내고 Active한 예방과 대응 활동을 할 수 있다.

 

DDos에 대한 대응과 악성코드에 대한 대응은 현재 본질적으로 동일한 지점에 위치해 있다. 근본적인 원인 제거(Web service application)가 우선 되어야 하며 이후에는 악성코드에 대한 일괄적인 삭제 및 대응이 되어야 (거의 전국민을 대상? ) 피해 규모를 줄 일 수 있고 예방이 가능하다고 본다. 초기 탐지를 위해서는 IDC나 서버군 혹은 네트워크 장비에서의 변화들에 대해서도 일정 기준 이상일 경우에는 반드시 확인을 하여야 하고 사안에 따라서는 유관기관들과 협력하여 분석을 하여야만 할 것이다.  특정 IP나 주소로의 과다한 집중과 Dns 쿼리의 급증과 같은 주요 지표를 나타낼 수 있는 이벤트들에 대해서는 일정수준의 임계치를 주고 강력하게 검토를 한다면 좀 더 빠른 사전 인지가 가능할 것이다. 

 

 

 

전체의 관점

 

 

사전인지 ( 현재로서는 IDC Infra 부분) -> 분석 -> 대응 (악성코드 제거? )

 

사전인지 : 개인 PC에서 사전인지를 한다는 것은 기대하기 어렵다. 다만 IDC내의 서비스나 ISP의 장비 부분에서 특정 동향을 체크하고 검토해야 한다. 일정 트래픽 이상이 발생하는 부분에 대해서도 alert은 가능해야 될 것으로 보인다.

 

분석: 유관기관 혹은 전문가 집단에서 시행을 하는 것이 바람직하며 상시적으로 IDC & ISP와의 정보 교류가 있어야 하며 악성코드에 대한 분석 과 대응 부분에 대해서도 판단이 가능할 정도의 지식을 지녀야 한다. 관련 지식을 통해 ISP& IDC에서 제공된 정보를 분석하고 추적하여 전체적인 위험도까지를 판정 할 수 있어야 한다.

 

대응: 대규모로 유포된 악성코드를 제거하기 위해서는 전역적인 보호 수단이 강구 되어야 하며 악성코드의 유포 방식과 유사하게 거의 무차별적(?)으로 배포가 되는 보호 수단이라야 대응이 될 수 있다. 개인 성향에 따라 다른 문제이나 본인이 보기에는 이 방안 이외에는 대응할 수단이 이제는 없다고 본다. IDC ISP 단위에서 통제를 할 수 있는 범위는 이제는 아니기 때문에 더욱 그러하다.

분석 단계에서 전달이 되는 악성코드 및 위험도에 따라 과감하고 일괄적인 대응을 통해 분석 완료 이후 1~3일 이내에 전체적인 대응이 완료 될 수 있도록 한다.

 

 

단계별로 진행이 되고 최종적으로 대응이 완료 된다면 지금과 앞으로 몇 년간이 될지 모를 근 미래에 발생되는 위협들에 대해서 Active한 대응체제를 완비 하는 계기가 될 수 있다. 아직 전 세계 어디도 해볼 엄두를 낼 수 없는 일이나 현재 상태에서는 최초가 될 가능성이 가장 높다.  앞으로 시간이 지날수록 경쟁력이라는 측면은 좀 더 다르게 보아야 될 때가 올 것이다. 전체적인 위험요소를 얼마나 빨리 제거하고 체계적으로 대응을 하느냐에 따라 세계적인 위험요소로부터 빠르게 회복하고 보호 할 수 있는 유일한 방안이다.

앞으로 점점 더 인터넷이나 네트워크와 연결이 더 복잡해 지고 생활과 밀접한 관계를 맺을 것은 분명하며 거부 할 수 없는 흐름이다.  경쟁력은 무엇인가 고민이 필요하다. 제품을 만드는 것만이 경쟁력은 아니며 이제는 지키는 것도 또 체계화 하는 것도 경쟁력이다.

 

만약 이런 대규모적인 대응이 가능한 체제가 이루어 진다면 보안 서비스 업체 및 ISP 그리고 IT 서비스 업체 모두에게 새로운 기회가 될 수 있고 사업 모델 혹은 비즈니스 모델이 새로 탄생 할 수 있을 것이다.  이제 공격자들과 공격기법에 대응을 하기 위해서는 체계적이고 유기적이며 거대한 대응 체제의 필요성을 고민 해야 할 때다.

 

 

지금 사막의 어디쯤을 걷고 있는지 별을 바라봐야 하지 않을까?

 

 

 

 

Posted by 바다란

p4ssion is never fade away. 

눈에 보이지 않는다 하여 없다고 하는 것은 지혜와 노력의 부족함을 탓해야 할 것이다.

 

중국발 Abusing

 

오로지 금전적인 이득을 목적으로 하는 악의적인 크래킹에는 지금까지 관찰된 바에 의하면 크게 두 가지 유형이 존재한다. ( 권한 획득 및 개인정보 거래 등의 번외로 한다.) 하나는 악성코드 유포를 통한 개인정보의 획득이며 또 다른 하나는 DDos 공격 협박을 통한 금전적인 이득의 추구이다.

 

중국발 해킹은 본래 개인정보 ( ID/ Password) 확보를 목적으로 하였으며 그 목적을 달성 하기 위해 사용자가 많은 사이트를 해킹 ( Web Application의 취약성을 이용 : 80% , File upload 등의 일반적인 취약성 20% 정도로 예상 2005년경부터 Web App 관련된 취약성을 이용한 공격이 급증하고 일반화됨) 하여 악성코드를 유포하는 형태로 변경 되었다. 악성코드를 일반사용자에게 유포하여 개인 사용자가 특정 게임 사이트나 금융 사이트에 접근 하여 개인정보를 입력할 경우 입력된 개인정보를 유출 하고 공격자는 유출된 정보를 활용하여 이득을 얻는 구조로 일반화 되어 있다. 해당 유형은 2005년 상반기부터 국내에 만연된 유행으로서 국내의 대부분의 서비스들이 공격 시도 혹은 공격에 대해 피해를 입었을 것으로 유추된다.  (ref: http://www.ytn.co.kr/_ln/0103_200710091932264788 )

기사 참조에서 보듯이 국내의 많은 서비스들이 지금도 여전한 피해를 입고 있으며 해당 공격 유형은 Web URL의 인자 각각에 필터링이 부족한 점을 이용하여 Database에 명령을 실행 시키는 것과 같은 행위를 유발한다.

( 기법에 대한 이해를 위해서는 여기를 참조 http://blog.naver.com/p4ssion/40017941957

http://blog.naver.com/p4ssion/40015866029 하면 된다. 시일이 지난 것이나 현재 일어나고 있는 Application 공격에 대한 이해로는 충분할 것이다.)

 

<악성코드 유포 이미지>

위의 이미지는 일반적인 개인정보 획득을 위한 악성코드의 전파 과정을 도식화 한 것이다. 최근에는 Zeroday 공격도 동일 연장선 상에서 악성코드화 되고 있으며 올해 3월에 발표된 Ani cursor ( 윈도우 전 제품군에 해당 )에 대한 취약성도 패치가 발표되자 마자 악성코드가 국내에 유포되는 실례도 존재 한다.  즉 보안 패치의 속도를 넘어서는 형태로 공격이 우위에 있는 것이며 현재에도 새로운 취약성들이 악성코드의 전파 유형에 따라 계속 응용 되고 범위를 확장한다고 볼 수 있다.

 

개인 사용자의 ID/ Password 정보를 유출하는 부분도 지난 몇 년간 발달이 되어 왔는데 기존의 Key logger등을 이용하는 고전적인 방법에서  ( 이 부분은 Keyboard 보안의 일반화로 인해 변화된 것으로 추측 된다.)  IE BHO 후킹과 같이 브라우저 전송단계에서 평문화된 ID/ Password를 가로채는 영역으로 변경이 된 상황이다. 즉 하드웨어 이벤트나 네트워크 전송단계에서 정보를 가로채는 것이 아니라 브라우저 상에서 정보를 획득하는 유형이며 현재 언론 등에 악성코드 유포와 관련된 기사에서 언급되는 대부분의 개인정보 탈취용 악성코드가 이에 해당이 된다.    BHO 영역이라는 부분은 IE에서 제어하는 부분( IE Browser Extension)으로서 Keyboard 보안 -> IE  -> SSL 과 같은 일반적인 보호 영역중 IE 부분을 이용하는 것으로 어떤 키보드 보안 솔루션이라도 사용자 입력을 암호화한 이후 Site로 전달되기 직전에는 암호화를 풀고 평문으로 변환하여 브라우저에 탑재를 한 이후 SSL로 전달 하여야만 한다. BHO 영역에서는 브라우저의 이벤트 (페이지 이동 등등)를 모니터링 함으로써 개인정보를 획득 할 수 있다.

<BHO 영역의 악성코드 개요>

현재 발견되는 개인정보 탈취용 악성코드의 다수는 IE BHO (Browser Helper Object) 영역에서 개인정보를 가로채는 유형으로 키보드 보안솔루션으로 암호화된 데이터를 최종 단계까지 ( Server 영역) 받지 않으면 해결이 되지 않는 문제라 할 수 있다. 인증서와 결부한 암호화 전달 방안도 대안이 될 수는 있을 것이다.

20079월에만 발견된 악성코드의 수는 500여 개 이상이며 이중 20% 이상이 BHO 영역에서 개인정보를 탈취하는 유형이라 할 수 있다.

( Ref:  http://www.krcert.or.kr/statReportNewList.do  2007 9월 통계 분석월보 참고)

 

물론 발견된 수치는 신고 또는 모니터링에 의해 확인이 된 수치만을 언급한다. 올해에만 2000여 개 이상의 브라우저 영역에서의 정보 획득을 위한 악성코드가 발견이 되었으나 근본적인 대책 마련은 어려움이 따른다. 보안패치로는 악성코드의 감염 및 설치 단계를 예방 할 수 있으나 Zeroday 공격유형에는 ( 07.3월의 ani cursor vulnerability) 대안이 없으며 백신은 알려진 악성코드가 아니면 처리가 될 수가 없다. 더불어 최근에는 악성코드 제작자들도 기본적인 백신들에 대해 탐지 여부를 확인하고 탐지가 어렵도록 제작하는 것이 일반적인 추세여서 어려움이 존재한다.

 

이런 유형의 개인정보 탈취 악성코드의 출현은 2005년부터 볼 수 있는데 2년이나 지난 지금까지 어떤 해결책들이 제시 되었는지 살펴볼 필요가 있다.  존의 바이러스들은 사용자의 PC에 영향을 미쳤으나 개인정보 탈취 유형의 악성코드는 온라인 상의 활동에 영향을 미친다.  사용자의 PC에 영향을 미치는 것은 이후에 처리를 하면 복구가 되지만 어디 온라인 상의 활동도 복구가 되는가?  계정 정보는 다 유출되고 난 이후에 악성코드들이 분석되어 업데이트 된들 어디에다 쓸 수가 있을 것인가 의문스럽다. 악성코드는 날마다 갱신되어 나오고 심지어 시간대 별로 다른 유형의 동일 악성코드가 출현 하고 있는 상황에서는 어려움은 가중이 되고 정보가 업데이트 된다고 한들 자사 제품에만 갱신이 되고 있다.

 

DDos 관련된 공격 유형에 대한 분석은 언론 기사에 나온 정보 및 주변 정보를 종합해 보면 다음과 같이 도식화 하는 것이 가능하다.

<DDos 공격 유형의 분석>

위의 이미지에서 보듯이 중간 경유지 및 개인 PC에 대한 권한을 제어 하는 부분까지 추가된 것을 제외하고는 악성코드 유포를 통한 개인정보 획득과 비슷한 유형으로 정리가 된다.  개인 PC를 좀비 PC로 만들기 위해 기존에는 윈도우 관련된 취약성을 이용하여 Bot을 설치하는 유형으로 이루어 졌으나 DDos 경우에는 웹을 통한 악성코드 전파가 동시에 사용이 된 것으로 파악이 된다. 전 세계적으로도 주목해야만 될 변화이다.   또한 국내적으로는 음성적인 IT 서비스 부분에 대한 공격은 어느 정도 좌시 될 수 있었으나 이젠 표면적으로 드러난 움직임을 보였다는 점에 있어 강력한 대응정책 적용이 필수적인 사안이다. 아마 공격한 자들도 이 정도의 효과를 볼 것이라고는 ( 대규모 복수 사이트의 3주 이상의 무력화) 생각지도 못했을 것이기에 또 다른 유형으로 사고를 전환하여 기관망에 대한 공격도 발생 할 수 있을 것이다. 고도화된 IT 서비스망은 항상 위험에 노출 될 수 밖에 없다. 그리고 대응방법도 새로운 방식의 대응 방안들이 항상 고민 되어야만 하는 부분이다. 지금의 우리 현실은 어떠한지 되돌아 볼 필요가 있으며 정리가 필요한 부분이다. 향후 DDos와 연계 되어서 나올 부분으로는 중국으로부터의 공격에 근래에 자주 사용되었던 ARP Spoofing도 향후 자주 사용이 될 것으로 보인다. 만약 아이템 거래 사이트들 전체를 마비 시키고 부분적인 Gateway DNS에 대해 ARP spoofing을 시도하여 아이템 거래 사이트를 위장한 임의의 사이트를 제작하였다면 그 피해는 얼마나 될까?  악성코드의 확산을 위해 Arp spoofing 기법을 사용하였으나 이제는 대규모로 spoofing 시도가 가능할 수도 있을 것이다.

( ARP Spoofing에 대한 공격은 krcert의 자료를 참고하면 이해가 높다.

http://www.krcert.or.kr/unimDocsDownload.do?fileName1=IN2007003.pdf&docNo=IN2007003&docKind=3 )

 

현재 가장 이슈가 되고 있고 향후에도 영향성을 미칠 두 가지 Fact에 대해 지금까지 Security분야에서는 어떠한 대응을 하였을까?

 

먼저 개인정보 탈취형 악성코드 부분.

BHO 영역을 공격하는 악성코드 부분은 신고된 악성코드에 대해서만 제한적인 업데이트만 이루어졌으며 공격코드의 발전을 따라 가지 못했다. Security라는 측면은 근본 원인제거가 가장 중요하나 BHO 영역에서 후킹을 통해 정보를 가로채는 유형에 대해서는 근본적인 대책자체가 불가능한 상황이다. IE의 구조 자체를 변경 하기 이전에는 계속되는 위험에 노출 될 수 밖에 없으며 대책을 진행 하는 부분도 인증체계 자체를 변경하지 않는 한 위험은 계속 될 수 밖에 없다.

 

신규 악성코드를 만드는데 공격자는 매우 짧은 시간에 생성을 하고 대응하는 측면에서는 시간적인 여유가 있어야만 대응이 가능하다. 즉 온라인 상에서 정보 노출이 이루어 지고 난 뒤에야 해결이 가능하다는 측면이다. 인식의 전환이 절대적으로 필요한 부분이다. 파일에 대한 복구나 시스템에 대한 복구의 측면이 아닌 정보의 절취를 막기 위한 부분이라는 관점에서 접근을 하여야만 한다. 이 측면에 대한 대책 부분은 다음 Article에서 제시 하도록 한다.

기존의 보호라는 측면이 시스템에 대한 보호가 아닌 온라인 상의 정보보호라는 측면에서 지금까지의 대응 속도가 매우 늦고 효과가 매우 제한적 이였으며 그로 인해 피해는 계속 되고 있는 것이다.  Security라는 산업 자체가 존속하기 위해서는 산업의 요구를 미리 선점하고 이해하여 그에 필요한 요구를 제시 할 수 있어야만 한다. 과연 이러한 유형의 악성코드가 출현한 이후 역할이 적당하였는지 심각하게 고민할 필요가 있다.

 

더불어 악성코드의 유포와 관련된 웹서비스의 취약성에 대해서도 근본적인 대책 수립이 부족한 부분이 존재한다. 원인제거의 역할로 SDLC (Secure Development Life Cycle)를 강조하나 변화가 빠른 웹 Application의 개발현황에 적용 하기에는 매우 더디고 느린 흐름이라 할 수 있다. 강조되어야 하는 부분은 맞으나 장기적인 로드맵을 가지고 움직여야 하며 단기적인 효과는 매우 부족한 부분이라 할 수 있다.

 

과도한 트래픽을 전송하는 DDos 의 경우 현재의 네트워크 장비와 산발적인 노력으로는 한계에 부딪혔으며 모든 문제가 연결되어 발생이 되고 있다. 네트웍적인 현상만으로 대책을 수립하기에는 한계에 도달 하였으며 근본 원인제거 및 일시적이고 체계적인 대응으로 문제의 원인과 악성코드들의 제거만이 해결책이 될 수 있다. Hybrid DDos의 경우 정상 트래픽 위장도 매우 손쉬우며 정형적인 패턴을 찾기가 어려울 수가 있어서 네트워크 장비 단위에서는 처리가 매우 어려울 것으로 보인다. 비정상 패턴을 탐지 하는 것 조차 어려움에 도달 한 상황이라 할 수 있다.

 

 즉 개별 보안 산업의 노력으로는 한계에 도달 하였다고 볼 수 있다. 원인제거 + 초기 감염 탐지 + 대응 + 트래픽 이상 유무 판단  등과 같은 Action들이 동시적이고 대규모로 이루어 지지 않으면 지금의 상황은  대응이 불가능한 상황이다.

 

 

창의적인 노력이나 고민은 어디에 있었을까? 현상을 지배할 만한 창의적인 노력은 어디에 있었을까?. 당장 내일의 매출을 고민하는 것도 중요하지만 연구와 치열한 고민이 부족하였다. 인력 부족은 늘 상 언급 되는 것이지만 상반되는 각고의 노력이 없는 일상적인 불만이나 고민은 사소하게 치부될 따름이다. Security라는 측면에서 IT서비스를 보호하기 위해 얼마나 많은 노력을 하였는지 냉철하게 되짚어 볼 필요성이 있다.

 

SQL Injection이나 XSS 취약성을 막기 위해 Web 보안 장비를 도입을 한다. 그러나 여러가지 방안에 의해 우회가 계속 되고 있고 새로운 유형의 문제들이 계속 발생이 된다. 지금의 Wild network 현장은 2000년 이전의 정형화된 패턴의 문제들이 존재하는 환경이 아니다. 지금의 환경은 다양한 웹 솔루션의 개발과 환경의 발전으로 다양한 매개체와 환경을 종합하고 분화하며 또 새로운 부분을 만들어 낸다. 즉 문제도 매우 빠르게 진화하는데 고정적인 패턴만으로는 금새 한계에 부딪힌다.

 

개인정보의 유출을 막기 위해서는 노출되는 요소를 줄이는 것도 중요하지만 기술적인 부분에서 큰 방향성을 잡고 세부기술로 적용하는 것이 필요하다. 현상만을 바라 보는 것은 기둥도 없는데 큰 비를 막고자 지붕만 올린 상황이다. 기둥이 중요하다. 지금 국내의 정책 현실은 어떠한지도 되돌아 볼 필요가 있다. 비가 가랑비라면 다행이나 가랑비가 아닌 폭우가 내리는데도 기둥 없는 지붕만 수선을 하고 있지는 않은지 느껴야만 될 것이다.

 

 

정보와 지식을 공유하고 또 하나의 실제와 연계된 생활이 이루어 지고 있는 현재의 IT 서비스는 개인정보 유출을 위한 악성코드와 IT 서비스를 직접 위협하는 DDos 공격 유형으로 인해 압박을 받는 형국에 처해 있다.  이제 살릴 수 있고 보호 될 수 있는 큰 그림은 무엇이 있을지 짚어 보도록 하자.. 계속.

 

 

 

Posted by 바다란

안녕하세요. 바다란입니다.

 

본 문서는 올해 상반기에 여러 컨퍼런스에서 발표한 자료입니다. 이미 공개적으로 문서화 되어서 배포가 된 내용인데 블로그에 올리는 것을 깜빡 했습니다.

제목은 Trustworthy web service for web 2.0 입니다. Web 2.0 서비스에서의 신뢰할만한 웹 서비스에 대해 정리한 내용입니다.

 

전체 내용은 다음과 같습니다.

 

Web 2.0의 확산에 따른 UCC의 어뷰징 유형을 보이며 어떤 문제들이 있을 수 있는지를 짚어 봅니다.

더불어 Web service Application에 대한 Attack들을 보이며 근래에도 계속 문제가 되고 있는 URL 인자들의 필터링 관련된 문제도 다루고 있습니다.

 

문제들이 있다면 해결책을 제시하는 것은 당연합니다.

문제들을 해결 하기 위해 서비스 분야별로 어떤 대응이 필요한지에 대해서 정리 하였으며 SDLC의 적용이 주기가 빠른 Web Application에 대해서는 적용이 어려우므로 전문인력을 통한 보안 검수 체제에 대해서 설명을 하고 있습니다.

 

보안 검수 체제를 통해 존재하는 서비스에 대한 진단과 신규 개발 서비스에 대한 진단 체제를 갖출 수가 있습니다. 물론 중요한 것은 전문성을 지닌 인력의 확보 이겠죠.

 

의문 사항 있으시면 답글 달아 주세요.

 

그럼 좋은 하루 되세요들.

 

* 파일업로딩이 잘 안되네요.부득이하게 두개의 문서로 짤랐습니다.

Posted by 바다란

 

최종 내용입니다. 이 부분은 향후의 위협 모델과 대응을 위한 결론 부분입니다.

다음에는 다른 주제로 만나 뵙도록 하겠습니다. 2007년도 고생 많으셨습니다. 올해는 좀 더 다른 방향의 시작이 될 것 같습니다.  감사합니다. - 어디 사용 하실때에는 항상 출처를..^^  p4ssion is never fade away!

 

 

■ Next Threat?

지금의 위협과 또 앞으로 다가올 위협들은 어떤 모습을 지니고 있을까? 또 어떤 방향에서의 흐름들이 지금 나타나고 있는지 간략하게 확인을 해볼 필요성이 있다. 방향성은 달라 질 수 있으나 지금까지의 발전 방향으로 보았을 때 유사 방향으로 진행 될 수 있을 것이다.

 

예상 중에 Application Web service Worm은 이미 2004년에 santty worm으로 인해 촉발이 된 상태이며 향후 더욱 심화될 것으로 판단된다. 특정 서비스에 국한된 Worm 이나 악성코드들도 이미 Myspace에서 출현이 되어 피해가 실제로 있었으며 Yahoo도 예외는 아니다.

 

Ubiquitous attack은 2007년 9월과 3월에 두 가지 경우를 대표적인 예로 들 수 있다. Libtiff 라이브러리의 취약성을 이용한 권한 획득 가능성 과 Ani cursor에 대한 문제를 이용한 권한 획득 가능성을 대표적으로 들 수 있으며 Libtiff 취약성은 Iphone , Mac등 Apple 관련된 제품에 전체적인 영향을 미치고 있고 Ani cursor는 win 3.1 부터 Vista까지를 모두 관통하는 문제라 할 수 있다. 즉 하나의 문제가 발견 되었을 경우 이 문제는 Application이 실행 될 수 있는 모든 운영체제 혹은 시스템에 문제를 일으킬 수 있으며 실제 영향을 미친다고 할 수 있다. 다양한 플랫폼과 다양한 프로토콜 , Ubiquitous와 같은 모든 한계와 관계없이 Application에 대한 취약성은 모든 것에 영향을 미친다는 것이다. 이미 실례로 보인 것과 마찬가지의 상황은 미래에서도 일반적이 될 것이다.

 

 

특정 서비스에 한정된 공격들도 다양한 유형을 볼 수 가 있으며 서비스의 확산에 따라 특정 서비스 부분 혹은 특정 회사에만 국한된 공격을 볼 수가 있다. 국지적인 공격이기는 하나 대상은 포괄적이며 광범위하다. 특정 지역에만 한정된 공격이 아니기에 더더욱 그러하다.

 

 

 

 

대표적으로 예를 들은 Myspace와 Yahoo 경우 모두 내부 서비스의 구조에 대해서 손쉽게 파악을 하고 구조적인 문제를 직접 활용 할 수 있도록 구조화된 것에 당했다고 할 수 있다. 더불어 주변 PC로 전파 시키는 것이 아니라 관계적인 측면을 공격하는 것을 통해 물리적인 통제 범위를 손쉽게 벗어날 수 있으며 추적이 매우 어려움을 충분히 예상 할 수 있다.

YH032.explr의 경우에는 채팅을 통해 악성코드를 채팅유저에 감염 시키고 메신저 리스트를 얻어와서 script worm을 재전송 시키게 되며 그 이후 사용자의 PC에 IE Icon을 가짜로 만들어 두고 사용자에게 악성코드 세트를 설치하도록 유도하고 있다. 즉 시스템적인 공격 보다는 서비스에 특화된 공격이 두 번 연이어 이어지고 있다는 점에 주목해야 된다.

 

AOL은 Instant Messenger관련된 공격과 Worm이 매우 많았다. 이 문제를 해결하기 위해 자사 서비스 이용자들에게 백신을 제공하고 있으며 MS의 경우에도 보안사업 진출을 하게 된 이유는 명확하다. 서비스를 유지 하기 위해서 보안은 필수적이며 충분한 시장성이 보이기 때문에 진출을 한 것뿐이다. 자사의 서비스의 Core 부분을 지키기 위해서도 반드시 필요한 부분이기에 더더욱 그러한 것이다.

 

 

 

■ 대책

지금까지 실례를 통한 발전된 웹의 위험성들에 대해서 언급을 하였다. 지금 우리가 사용하고 있는 모든 서비스들을 위험성 없이 유지하기 위해서는 다양한 문제점들을 제거 하여야 하고 위험성이 있는 부분을 사전에 찾아 낼 수 있도록 하는 많은 작업들이 필요로 한다. 이런 작업들이 이루어 지지 않은 소규모 서비스 업체들은 어려움을 겪을 수 밖에 없을 것이다. 이 문제는 비단 국내에 한정된 문제는 아니며 전 세계적인 IT서비스에 대한 이슈제기임을 이해해야 한다.

단순한 장비 도입을 통해 해결이 될 수 있는 수준은 아니며 Secure coding에 대한 인지도 확산과 Validation check의 강화 및 Monitoring , Technical Security의 강화를 통해서만이 이루어 질 수 있다. Web의 확산에 따른 상황별 대안을 간략하게 정리하면 다음과 같다.

  • 기술적인 관점
  • 사용자의 관점
  • 정책적, 국가 프로세스적 대응

위의 세 가지 큰 방향성에서 대책을 논의 할 수 있다. 개인정보보호는 다른 관점에서 취급되어야만 한다. 기둥이 없는데 지붕만 덩그러니 올릴 수는 없지 않은가? 지금은 기둥도 없는데 지붕을 먼저 올리는 형국과 다름이 없다고 개인적으로 보고 있다. 또한 본 문서에서 언급할 내용도 아니다.

개인정보보호가 중요한 테마이기는 하나 기반 되는 기술적인 보안이 없는 상태에서 통제만 된다는 것은 큰 방향성을 보지 못하는 우를 범하는 것과 마찬가지이다. 전 세계적인 위험과 취약성의 동향을 충분히 인지하고 현재의 우리 상태를 냉정하게 살펴보아야만 가능할 것이다. 단순히 제품을 팔고 인지도를 높이기 위한 그런 정도의 인식수준이라면 앞으로의 IT서비스의 미래는 장담하기 어려울 것이다.

 

 

● 기술적관점

- Filtering

- Platform의 체계화

- Monitoring

- 보안성 검수 ( Blackbox Test)

* Filtering

Filtering의 의미는 기술적인 의미로서 사용자가 제작하는 모든 것들에 대해 악의적인 코드들이 삽입 되어 있는 지를 검사해야 한다는 의미이다. ( 게시판, 게시물, 덧글 , 이미지, Flash, 동영상 …) 모든 사용자 저작물에 대해 기술적인 위험요소가 존재하는지 여부를 검토하는 것을 의미한다. 항목별로 보면 다음과 같은 유형이 가능하다.

  • . 광고 필터링
  • . ActiveX 포함한 악성코드 설치 유형의 필터링
  • . 악성코드가 설치 코드등이 포함된 이미지에 대한 필터링 이슈
  • . Flash , 동영상에 대한 악성코드 컨텐츠 필터링
  • . 욕설, 성인 관련물에 대한 정책적 필터링
  • . 악성코드, 해킹툴, Virus의 File upload에 대한 Filtering

*Platform의 체계화

Filtering 하는 시스템들을 서로 연관 되도록 하고 구조적으로 디자인 하여 운영함. 또한 전문 보안인력에 의한 운영과 합리적인 프로세스의 수립이 필요하다.

  • . 필터링 시스템에 대한 체계적인 구성
  • . 전체 사용자 입력부분에 대한 필터링 구조 수립
  • . 전문 인력의 연구와 조사에 의한 필터링 방식 및 Rule의 갱신과 추가
  • . 신규 필터링 이슈 발생시의 업무 분담 및 체계적인 대응 구조의 수립

위의 항목이 구체적으로 platform의 체계화에 포함되어야 하는 항목이며 모델을 대규모 서비스를 운영하는 비즈니스 조직 중심으로 업무를 나누어 본 것이다. Filtering 부분도 영역이 크긴 하나 가장 중점적인 서비스 부분에 최대화 시켜도 무방할 것이다.

 

 

* Monitoring

인력을 이용한 특정 이슈에 대한 집중 모니터링 또는 시스템에 의해 걸러지지 않은 사안의 발견, 신규 취약성에 대한 모니터링 관련된 이슈로 모니터링 항목이 필요하다고 판단된다.

각 항목별로 좀 더 세분화 시키면 다음과 같다.

  • . 동영상에 대한 모니터링 (성인물 , 악성코드 설치, 팝업 유형)
  • . 비정상 행위에 대한 특이사항 모니터링 – 신규유형 탐지
  • . 개인정보 침해 사안에 대한 직접 모니터링
  • . Filtering 이후의 결과에 대한 모니터링
  • . 전문인력에 의한 신규 취약성 전문 모니터링
  • . 고객의 불만 및 신고에 대한 대응
  • . 시스템 및 서비스별 로그에 대한 모니터링을 통해 비정상 행위의 탐지

 

* 보안성검수 ( Penetration Test)

 

가장 중요한 전제이지만 아무리 프로세스가 있다고 하여도 프로세스를 감당하고 실행할 만한 인력이 존재하여야 한다. 보안성 검수를 수행 할 수 있는 인력은 그리 많지 않으며 전체를 볼 수 있는 인력이 각 부분별로 능력에 따라 적절하게 조율하는 것이 가장 바람직해 보인다.

Web Application의 경우 사용자에게 노출 되는 범위가 많음으로 인해 사용자의 접근성이 보장되고 활동이 이루어지는 모든 부분에 대해서 보안상의 위험이 있는지 없는지 검토가 되어야 되며 이후 발견되는 새로운 취약성 이슈에 대해서도 지속적인 활동이 되어야만 한다..

 

모든 보안 이슈에 대해서 이해 하는 인력을 찾는 다는 것은 불가능하다. 다만 중요한 관점은 특정 서비스 분야에 대한 위협이 가중되고 있는 상황에서 서비스에 익숙한 전문 보안 인력이 존재하는 것과 없는 것의 차이는 실행력과 노력, 비용 측면에서 시간이 지날수록 현격한 차이를 보이게 될 것이다.

 

전문적인 기술 보유 여부와는 관련 없이 실행되는 프로세스에 대한 설명만을 통해 모든 Application 개발단위에 있어서 필요한 보안성 검수가 어떤 방향으로 진행 되어야 하는지 인지가 필요하며 개발주기가 매우 짧은 Web Application의 경우 SDLC의 적용도 중요하나 소스코드 또는 테스트 단계에서 문제를 확인 할 수 있는 보안성검수(Fast Penetration Test)의 중요성도 더욱 높다고 할 수 있다.

 

 

위의 그림은 보안검수에 관련된 일반적인 프로세스 이다.

IT 보안 관련된 부서에서 모든 부분에 대해서 접촉을 유지하고 문제에 대해서 파악을 하는 것이 필요하다. 이런 유형의 업무 프로세스는 보안 인력 풀이 풍부하고 시간 계획이 일정상 여유가 있는 부분에서는 가능하다. 그러나 Web Application과 같이 개발주기가 짧고 변경이 잦은 상태에서는 IT 보안 관련된 부서에서 많은 업무들이 지체 될 수 밖에 없다. 보다 더 서비스 친화적인 보안 서비스 모델을 구축 하는 것이 필요하며 Web service가 일반화된 기업이라면 고민 해볼 필요성이 있는 모델이다.

 

위의 이미지는 QA에서 잦은 변경과 같은 History 관리를 전담하여 전체적인 서비스의 안정성을 포함시키고 보안 관련 부서는 전문 분야를 진행하면 되는 역할 분담을 통해 빠른 서비스 안정화가 가능하다고 판단된다. 진단의 경우에도 신규 개발되는 Application을 위한 보안 점검이 있을 수 있고 이미 운영중인 서비스들을 위한 진단이 있을 수 있다. 두 가지 유형은 다른 관점에서 접근을 해야 하며 프로세스는 다음과 같다.

(* IT 서비스를 위한 위협의 제거를 위해 고안한 프로세스이며 적용결과 가장 유효한 모델이라고 생각 된다.)

 

정기 점검의 경우에는 보안 분서에서 플랜을 수립한 이후 전문지식을 이용하여 진단을 수행하고 이후의 안정성 강화 및 플랜 관리 측면은 Quality Assurance 부서에서 담당을 하여 전체적인 서비스 안정성을 높이는 것이 가장 이상적이라 할 수 있다.

 

기존의 많은 서비스 기업의 경우에도 전담 보안 부서가 없는 경우에는 외부 Outsourcing을 이용하기도 하는데 인력이 가장 중요한 부분이며 전체를 점검 하는 프로세스와 신규 개발되는 서비스에 대한 보안성 강화 프로세스를 동시에 운영함으로써 모든 서비스 부분에 대한 안정성을 높일 수 있다. 여기에 보안성검수를 수행하는 인력의 능력치가 높으면 높을수록 모든 서비스에 대한 안정성 수준은 세계적인 수준이 된다.

 

 

개인 PC 차원의 보호 방안의 경우는 항상 반복되는 이야기가 계속 나올 수 밖에 없다.

- phishing 주의 ( 메일 , 링크)

- 첨부파일에 대한 주의를 높일 것 ( Zeroday worm , Office 관련 웜)

- 보안 패치와 Antivirus를 이용한 기본적인 위험요소의 제거

- ActiveX의 시스템 설치를 제한

- 주기적인 패스워드 변경

- 신뢰할 수 있는 기관의 보안 설정 설치

- 사이트별 중요도에 따른 보안 정보 관리 마인드 ( 패스워드 등)

 

 

정책적이고 큰 규모에서의 프로세스적인 방안의 대응으로는 좀 더 다른 논의가 가능하나 본 문서에서 강조하여 언급한 부분은 아니라고 여겨진다. 필수적인 부분만을 간략히 언급하면 다음과 같다.

 

- 보안전문 인력의 활성화 및 효율화 방안 수립과 이행

- 모니터링 및 필터링에 대한 방안 수립 권고

- 중소규모 서비스 업을 위해 보안성검수의 집중 운영 필요성

- Secure coding을 위한 Template과 개선 가이드 필요

- ISO 27001, ISMS와 같은 여러 인증을 시대와 정보의 흐름에 맞게 활용

- White List의 관리 ( Site, Program 등등)

   - Web Application의 문제 해결을 위한 진단 스캐너 개발 및 보급 필요

 

어느 것 하나 손쉽게 되는 것은 없으나 하지 않으면 안되는 상황이다.

 

 

 

■ 결론

 

위험은 지속된다. Web은 현재 고정된 유형이 아니며 앞으로도 빠른 속도로 발전 할 수 밖에 없다. Web 2.0 이라고 지칭하는 모든 유형들도 사용자의 접근성을 강화하고 새로운 유형의 지식 관계를 형성하는 서비스라고 볼 수 있다. 그만큼 사용자 간의 거리와 간격은 더욱 좁혀진다. 종래에는 언어의 구별을 넘어선 진정한 지구촌 커뮤니티가 형성 될 것이다. 이때에도 가장 큰 역할 을 담당하는 도구는 Web이 될 것임은 분명하다. 이런 노출된 메소드들에 존재하는 위험들은 지금 보다는 앞으로가 더 심각해 질 것이고 위험하다 할 수 있다. 위험은 계속된다. Web의 발전만큼 위험요소들도 발전 하는 것이다. 편리함의 이면에는 또 다른 위험이 항상 존재하듯이 지금도 불안한 걸음을 계속 걷게 되는 것이다.

 

“인간적인 너무나 인간적인” 참여는 현재 진행형이고 앞으로 더 진행 될 것으로 예상 된다. 더불어 Service에 특화된 Application 공격은 일반적으로 발생하고 세계적으로 발생 될 것이다. 이때의 상황에 직면해서는 기술적인 보안의 중요성을 각 서비스 기업들마다 뼈저리게 느끼게 될 것이다. 아마 지금도 느끼고 있겠지만 앞으로는 더 심해질 것이다. 보안에 투자하여 역량 있는 인력들을 지속적으로 키우지 못하는 이상 앞으로는 세계를 무대로 한 서비스는 성공하기 힘들 것이다. 이 말의 의미는 시간이 지날수록 체감 할 것이다.

 

 

■ 참고자료

[1] http://blog.naver.com/p4ssion

[2] Gartner Survey, 2005

[3]www.securityfocus.com/

[4]http://ha.ckers.org/blog/20060704/cross-site-scripting-vulnerability-in-google/

[5] www.owasp.org

[6] www.krcert.or.kr

[7] web2.wsj2.com - Web 2.0 관련 자료

[8] www.cert.org - 취약성 현황 자료인용

Posted by 바다란

Enhanced Web, Enhanced Risk - 중편 입니다.

계속 갑니다

 

■Enhanced Web

Web 2.0이라는 단어가 화두가 되고 있다. 어떤 방향으로 변화를 하던 Web이라는 도구는 생활 깊숙이 들어왔으며 향후에도 보다 폭 넓게 사용이 되고 활용이 될 것임은 자명하다. 사용자의 참여에 의해 이루어 지는 많은 결과물들이 상호작용을 이루고 사회 현상에 대한 분석까지 이루어 지는 지금의 상황에서 향후의 서비스들은 보다 더 적극적으로 사용자의 참여와 공유를 통해 새로운 서비스 환경들을 만들어 가게 될 것으로 보인다.

대표적인 Web Service의 변화는 다음과 같이 정의를 할 수 있다.

 

- 사용자의 적극적인 참여

- 개방성

- 집단지성의 출현과 활용 ( 사용자에 의한 지식의 집대성)

- 멀티디바이스 ( Ubiquitous) 접근성 확대

- 사용자 접근성의 기술적인 향상 노력 ( RSS, Atom, AJAX, Open Api …)

 

위의 정의는 일반적으로 드러나는 현상에 대한 정의이며 다른 추가적인 정의가 덧붙여 질 수도 있다. 그러나 본 글은 Web의 발전에 따른 문제점을 직시하기 위한 내용이며 발전된 Web에 대한 정의를 하기 위한 글은 아님으로 위에 나열된 정의만으로도 충분히 변화의 성격을 나타낼 수 있다고 판단된다.

중요한 변화의 명제는 Web이라는 도구가 정보획득의수단 -> 생활의 수단으로 변화를한것이며 향후더욱큰폭으로확대가될수밖에없다는점이다. 또한 일부 사용자에 의한 가상 세계의 활동이 큰 폭으로 확대될 것임은 세계적으로 확대를 거듭하고 있는 주요 서비스 기업을 통해서도 확인할 수 있다. ( facebook, second life , Myspace , Amazon,blog , Avatar …)

 

정보획득의 수단에서 생활의 필수 수단으로 변환하고 있는 Web 상에서 가장 중요한 것들은 무엇보다도 사용자 스스로가 제작하는 제작물이며 이른바 UCC (User created contents )라고 할 수 있다. 일반적으로 UCC라고 칭할 경우에는 동영상을 의미하지만 사용자가 작성하는 모든 내용과 행동들이 영향을 미치거나 상호간에 공유가 가능한 형태가 될 때 UCC라고 볼 수 있다. 이와 같은 모든 행동들에는 다양한 것들이 포함 될 수 있다.

게시물 , 덧글, 동영상 , 이미지 , 플래시, 메일과 같은 의견과 정보를 나타내는 모든 유형을 UCC라고 정의하는 것이 바람직 하다. 언급된 UCC의 행위에 포함되는 많은 것들이 주요 IT서비스 기업의 핵심이 되고 있으며 향후 더욱 확대되고 외연 확장이 예고 되고 있는 시기라 할 수 있다.

 

다양한 사용자의 접근성 보장의 이면에도 기술적인 내용들도 포함이 되고 있으며 모든 방향성은 원활한 접근성의 확보에 있다.

 

 

다양한 Software client를 이용하여 Web service에 접근을 하고 유,무선의 구분이 없으며 Client와 Server간에 정보 교환 방법, Database와의 정보 전달 방법들이 다양하게 발전을 하고 복잡화 되고 있으나 중요한 관점은 사용자의 접근성의 향상에 있다는 것이다. 현재의 발전 상황은 향후 기술적으로는 복잡화 될 것이나 사용자에게는 더욱 편리한 형태로 접근성이 강화되는 방향으로 진행 될 것 이다.

 

사용자의 적극적인 참여를 위한 UCC ( User Created Contents)의 제작과 활용은 새로운 서비스 발전에 영향을 주고 있다. 반대 급부로 보다 많은 사용자에게 공유하고 참여를 하는 모델은 악성코드의 전파에도 동일한 영향을 미치고 있다. 기존의 UCC 활성화 이전 단계의 Web service 모델에서 가장 많이 발생 되었고 현재도 발생 중인 위협들은 어떤 유형들이 있는지 간략히 정리해 보자

 

- SQL Injection : 2005년 이후 URL의 인자 단위 공격 도구가 자동화 됨으로 인해 가장 큰 위협으로 대두 되고 있으며 대다수의 악성코드 유포 사례가 이 문제로 인해 발생됨. 현재도 많은 규모의 사이트들이 입력값에 대한 검사 부실로 인해 Injection 가능성을 지니고 있음

- Cookie spoofing 및 Injection

- File Upload

- File Download

- XSS ( Cross Site scripting) : 개인정보 획득 및 Phishing에 활용되는 빈도가 높아지고 있으며 향후 주의를 기울여야 하는 부분. 국내 보다는 해외 부분에서 사고가 많이 발생되고 있음

 

대표적으로 위의 항목들이 일반적인 Web application code level 단위에서 처리되지 못한 문제들을 활용한 공격들이라 할 수 있다. 오래 전부터 알려진 공격기법들도 존재하고 있으며 현재의 시기에 가장 큰 위협이 되고 있는 부분들은 대량 확대 및 전파 가능성을 지니고 있는 XSS 취약성과 SQL Injection 취약성이 가장 중요한 부분이라 할 수 있다.

 

위의 Owasp 취약성 항목에서 중요한 항목은 색으로 변경이 된 항목들이다.

다른 일반적인 항목들은 다양한 기반조치들을 통해서 일정수준 유지하는 것이 가능하나 1,4,6번과 같은 항목은 실제 소스코드를 수정해야 하는 부분과 문제가 있는 부분을 찾아내는 것이 어려운 관계로 향후에도 많은 이슈가 될 부분이다. 추가적으로 2007년의 Owasp 통계에서는 XSS 취약성이 1위 취약성으로 올려져 있으니 문제의 심각성에 대해서 생각해 보아야만 할 것이다.

 

지금까지 웹 환경의 발전 방향과 현존하는 일반적인 위협들에 대해서 확인을 해보았다. 특히 근래에 들어서 전 세계적으로 이슈가 되고 있는 중국발 해킹 및 동유럽 권역의 Phishing 관련된 이슈는 XSS 취약성과 SQL Injection 취약성이 매우 많은 비중을 차지 하고 있으며 Web Application에 관련된 많은 이슈들이 전세계적인 이슈를 불러 일으키고 있을 만큼 중요도가 높다고 판단된다. 그럼 이제는 Web 환경의 확장에 따른 위험요소들은 무엇이 있는지 살펴 보도록 하자.

 

Web 환경의 확장에 따른 위험들은 전파 유형별 , 기술적 , 형식적 타입과 같은 유형으로 임의적으로 나눌 수 있다. 전체 위험들에 대해서 임의로 유형별로 나눈 이후 각 항목에 따른 실제 예를 확인 하는 방식으로 점검을 해보도록 하자

 

● Technical Type

i. 광고 (ActiveX)

ii. 악성코드 전파 유형

iii. 개인정보 관련 ( 욕성, 비방, 개인정보 탈취), Phishing

iv. 서비스 해킹 – XSS ( 다양한 XSS 해킹 ) , SQL Injection , Request Forgery , DoM , Script Attack …

● Spread Type

i. 게시물 ( Blogging?)

ii. Feedback, RSS …

iii. Movie, 이미지, 플래쉬, 음악 등등.

● Formation Type

i. Open Api (Mashup ..) , 다양한 서비스 접근 메소드의 활용 ( Ajax,SOAP,DOM)

ii. 특정 서비스에 기반한 공격 – ex)Myspace Attack, Yahoo Attack

 

 

 

2.1 Technical Type

기술적 타입에 대한 설명은 ActiveX를 활용한 광고가 일반적이라 할 수 있다.

 

일반적인 유형으로서 ActiveX 설치를 유도함으로써 광고를 설치하게 하는 유형이라 할 수 있다. 이와 같은 광고 유형은 현재도 많이 존재하고 있으며 사용자를 혼란 시키거나 속이는 행위등과 같은 사회공학적인 기법들을 활용하여 여전히 많은 부분에서 영향을 미치고 있다 할 수 있다.

 

최근에 발생하는 대부분의 광고 유형 및 ActiveX 설치 유형들은 사회공학적인 기법을 사용하고 있으며 주의를 기울여야 한다. ActiveX의 유형 이외에도 Web 환경의 발전에 따라 나타나고 있는 Risk는 RSS 관련된 피드백 문화의 활성화라고 할 수 있다. RSS의 범람은 해외의 경우 RSS를 통한 광고를 전문으로 하는 전문회사가 존재 할 정도로 활성화 되어 있으나 자동화된 도구를 이용하여 자동적으로 피드백을 남기도록 함으로 인해 피해를 발생 시킨다고 볼 수도 있다.

RSS 피드백을 활용하여 사용자의 의견을 모으고 교류하고자 하였으나 도움이 되는 정보를 확인하고 걸러내는데 시간이 더 투자 될 수도 있는 그런 상황이라고 할 수도 있다.

 

 

RSS 관련된 이슈들은 향후 정확한 피드백과 반영이 필요한 피드백을 정교하게 골라내는데 더 많은 역량 확보가 필요할 것이다. 편리한 공유와 의견 교류를 위해 만들어 진 것이나 정보의 홍수와 광고의 홍수 속에 필요한 것을 찾아내는 것에 대한 역량은 향후 Web 관련된 서비스 기업에도 작은 과제가 되지 않을까 생각한다.

 

Phishing 관련된 예는 근래에도 상당히 많은 메일과 페이지 링크들을 확인하고 있으나 3 년 전쯤에 받았던 Phishing 메일 한 통의 경우 그때 당시에 느꼈던 독특함으로 인해 지금도 보관을 하고 있다. Phishing이란 어떤 유형으로 사람을 속이고 목적을 달성하고자 하는지 확인 해보자. Phishing은 개인정보의 탈취를 통해 금전적인 이득을 취하고자 하는 목적에서 이루어 지고 있으며 해외의 경우에는 금융기관, 은행 , Paypal 과 같은 사이트를 위장한 곳들이 많으며 국내의 경우에는 게임사이트를 위장한 경우가 다수 있었다.

 

왼쪽편의 SouthTrust 뱅크에 대한 이메일이 전달 되었을 때 보통 일반적인 사람이라면 가운데 부분의 Hyper Text Link 부분만을 확인하게 된다. 정확한 은행 명인지 확인 하여 이상 여부를 검증하곤 한다. 링크만 보았을때는 정상적인 은행 링크로 보여 클릭을 하게 되는데 ( 만약 국내 은행 중 한 곳이라고 가정하면 이해가 쉬울 것 같다.) 클릭을 하는 순간 임의의 페이지에 패스워드 및 Pin Number를 입력하라고 나온다. 어떤 관계가 있을까?  확인 결과는 정말 허무하지만 왼쪽편의 SouthTrust 메일 전체가 이미지 파일로 구성이 되어 있었다. 링크는 이미지에 대한 링크로 걸려 있는 상태였다. 즉 내부의 어떤 부분을 클릭하더라도 임의의 사이트에 접근이 된다는 것이다.

 

이와 같은 Phishing 유형은 이미 3년 전부터 유행을 하던 형태이다. 사람을 속이고 인지를 못하게끔 발전하는 기법과 수법들은 항상 인식의 빈틈을 노린다. 지금도 마찬가지 이며 위와 같은 위협은 이제 일상적인 위협이라 할 수 있을 것이다.

 

 

악성코드 전파와 관련된 부분은 사실상 국내 IT서비스 산업이 가장 큰 피해를 입었으며 세계적으로도 상당히 많은 공격을 당한 케이스라 할 수 있다. 현재 진행되고 있는 악성코드의 전파 과정에 대해서 그림으로 간략하게 살펴 보자

 

 

국내 사이트에서의 악성코드 유출에 가장 큰 문제는 개발되어 운영중인 Web Application에 Validation check가 전혀 되어 있지 않아서 Web을 통한 Database Access가 가능하고 권한 획득이 가능하다는 점에 있다.

2005년 이후 2년이나 지났지만 지금도 동일한 상황이 계속 되고 있으며 공격자들도 이전의 단순한 유형에서 벗어나 보다 더 찾아내기 어려운 방향으로 악성코드 유포를 지속하고 있다. 악성코드 유포 사이트에 대한 탐지도 계속 되어야 하겠으나 더욱 중요한 것은 근본적인 Web application의 문제를 수정하는 것이 가장 중요하다. Web firewall 이나 Web scanner 등 많은 것들을 사용한다고 하여도 가장 중요한 것은 근본적인 web application coding을 수정하는 것이 해결책이라 할 수 있다.

 

위의 그림에서 보듯이 지금까지 이루어진 공격 유형 ( 2007.9월 이전)의 전형적인 특징이라 할 수 있다. 유명한 사이트를 공격하는 것은 사용자의 접근이 많기 때문에 악성코드의 유포 효과가 정확하게 나타나고 있기 때문이다. 올해 들어서도 주요 언론사 사이트 및 Open blog 사이트에 대한 악성코드 유포 시도는 지속해서 발생이 되고 있다. 악성코드가 유포 된다고 하였을 때 근본 원인을 찾아서 수정하는 것이 아니라 ( 침입이 가능했던 원인을 찾아야 됨) 유포를 시키고 있는 소스 부분만을 삭제 함으로써 해결을 하고 있는데 보다 더 큰 피해를 입을 수 있다는 생각으로 진지하게 접근을 하여야만 한다.

 

지금까지 2005년 이후 언론지상에 드러난 악성코드 유포 사이트들만 뉴스에서 검색하여도 수 백여 곳은 족히 넘는다. 올해에만 드러난 곳이 2000여 개 가량 (Ahnlab.com 기사자료)이라고 한다. (이 부분도 단일 회사에서 집계한 내용이라 전체적인 집계내용을 합칠 경우 규모는 매우 커질 것이다.) 중요한 관점은 악성코드 유포를 하기 위해서는 단순한 스크립트만을 넣는 것이 아니라 시스템에 대한 완전한 제어 권한이 있는 상태에서 직접 Web application의 소스를 수정한다는 이야기가 된다.

 

다시 한번 생각해 보자. 악성코드를 유포한다는 것은 단순한 코드의 삽입이 아니라 소스 코드의 직접적인 수정을 의미한다. 코드를 수정하기 위해서는 모든 권한을 다 가지고 있어야만 한다. 더불어 지금 공격하는 유형들은 모두 Database의 권한을 직접 공격하는 유형이라서 Database에 저장된 많은 자료들은 이미 유출 되었다고 보는 것이 맞을 것이다.

 

지금껏 대규모 사이트들이 해킹을 당한 사례는 얼마나 많았는가? 이 모든 사이트들에서 Database에 저장된 신상정보들이 유출되고 그 이후 악성코드를 유포하는 행위들이 있어왔다. 개인정보를 지키는 것은 매우 중요하다. 그러나 모든 정보의 보호에는 기술적인 가이드와 방안이 있고 난 뒤에야 정책적으로 지키는 것이 가능해진다. 이미 다 유출되었다고 보여지는 정보들에 대해 정책적으로 무엇을 지킬 수 있을 것인지 난감하다.

지금까지는 개인정보의 유출만을 목적으로 하는 악성코드들이 존재해 왔다. 그러나 이제는 산업군 전체에도 영향을 미치는 악성코드들이 나타나고 있다. 이젠 개인정보보호의 문제를 벗어나 서비스 산업의 존폐여부를 심각하게 고민해야 하는 상황에 도달한 것이다.

 

 

 

웹을 통해서 악성코드를 유포하며 이후 감염된 방문자들은 중간 경유지 서버를 통해 명령을 내릴 수 있는 상태가 된다. 이 Command server를 통해 사용자의 PC에 명령을 내리고 이 모든 PC들이 일제히 특정 타켓들을 공격하도록 구성이 되어 있다.

 

세계적인 보안 현황 및 IT 서비스 현상에 있어서 가장 독특하고도 주의해야 될 상황이라고 판단이 된다.

● Web을 통한 DDos 공격 Agent의 유포 ( 지금껏 유례가 없던일이다.)

● 다수의 경유지 서비를 활용한 중복 명령 수행 ( 근절이 어려움)

 

위와 같이 판단 할 수 있으며 상세한 내용은 http://blog.naver.com/p4ssion/50024269739 이 게시물을 참고 하면 보다 상세한 내용과 문제 사항들을 확인 할 수 있다.

 

악성코드 유포와는 다른 유형이나 Web환경에 큰 영향을 미치는 XSS 취약성에 대해서 알아보기로 하자. 사실 XSS 취약성의 경우에는 오래 전부터 알려지기는 하였으나 Web 환경에서의 개인정보 유출 관련 부분이 직접적으로 개인에게 영향을 미치게 되는 지금에 더욱 중요한 취약성으로 취급이 되고 있다.

XSS ( Cross Site Scripting) 관련된 내용은 현재 주된 개인정보를 유출 하기 위한 이슈로 나타나고 있으며 현재의 사용자 접근성 향상에 따른 다양한 Method에 대해 이슈들이 발생 할 수 있다. 각 부분에 대해서 살펴 보자

 

 

RSS, Atom 과 같은 구성요소 각 부분에도 Script의 실행 권한 및 실행이 가능한 부분들이 존재할 수 밖에 없다. 이 부분에 사용자 정보 유출을 하기 위한 개념 코드를 설치하는 것이 가능하며 외부 URL을 입력하여 악성코드 설치를 하도록 유도 할 수 있다. 또는 특정 서비스에서만 사용되는 규격을 조작하여 해당 서비스에 접근하는 모든 사용자들의 개인정보를 유출 하는 것이 가능해진다. 위의 <script> 코드는 개념적인 내용이며 이 부분에 다른 악의적인 행동을 가능케 하는 다양한 조합들이 추가 되어질 수 있다.

현재도 피해는 계속 발송 되고 있으나 적합한 필터링 및 검증 도구는 나타나지 않은 상태이다. 실상 피해를 확인 하는 것도 어려운 점이 존재한다.

2006,7월 Google RSS Reader기에서 있었던 XSS 취약성의 경우에도 취약성을 악의적으로 이용하기 이전에 수정이 되었으나 그렇지 않았을 경우 전세계의 많은 유저들에게 영향을 미쳤을 사안이다.

 

 

Ref: http://ha.ckers.org/blog/20060704/cross-site-scripting-vulnerability-in-google/

 

XSS 취약성은 더 이상 홈페이지 사용자나 일부 개인 사용자들에게 미치는 위험성이 아니며 이제는 Active하게 사용하는 모든 서비스들에 의해 Active한 공격 대상이 될 수 있다고 보아야 한다. 사용자가 선택 하여야만 감염이 되고 피해를 입는 그런 상황에서 이제는 선택 하지 않아도 강제적으로 감염이 되는 상태가 될 수 있는 것이다. 그래서 XSS 취약성은 앞으로도 계속 위험상태를 알리게 될 것이다. 올해 2007년의 Owasp (http://www.owasp.org/index.php/Top_10_2007)에서 XSS 취약성에 대한 문제가 Top 10 취약성 항목에서 1위로 변경이 된 것은 그냥 변경이 된 것이 아니다.

 

 

2.2 Spread Type

 

전파 유형별 Type에 대해서 발전된 Web의 위험요소들은 좀 더 폭 넓게 알아 보아야 한다.

일반적인 유형인 UCC라는 타입에서 동영상 이외에도 댓글, 의견, 게시물, 플래시, 이미지 와 같은 모든 사용자가 저작이 가능한 대상에 대해서 위험성이 존재함을 볼 수 있을 것이다.

가장 가깝게 사용하는 많은 부분들에 존재하는 문제들은 어떤 것들이 있는지 살펴보자.

 

 

- 일반적인 의견을 입력하는 창이다. 위와 같이 Script가 실행이 되는 경우에는 외부 링크 혹은 악성코드의 설치로 직접 유도가 가능하므로 문제가 될 수 밖에 없다. 게시물에 대한 필터링 만이 문제를 해결 할 수 있다.

 

- URL 인자 단위에서 < , > 문자를 필터링 하지 않아서 발생되는 XSS 취약성 문제이다. URL에서 사용되는 인자들의 길이에 대한 제한 이외에도 사용될 수 있는 문자에 대해서 제한을 함으로써 위험성을 줄여야만 할 것이다. 위험성으로는 악성코드의 설치 및 로그인 관련된 쿠키 정보의 외부 유출이 가능하다.

 

 

 

- Flash의 예를 들고 있다. Flash 코드 내에 Action Script를 활용하여 다양한 외부 링크를 넣을 수 있다. Flash 영상에 대해서 공유를 하거나 사용자들에게 올릴 수 있도록 허용된 모든 사이트에서 문제가 발생 한다고 볼 수 있다. 창이 뜨는 것은 ActiveX 설치 유형의 창이며 만약 신규 악성코드에 대한 설치를 위와 같이 할 경우에는 대책 방안이 없다. 백신에서 감지를 하기도 어려운 상태라 거의 무방비로 당할 수 밖에 없을 것이다. 다양한 관점에서 통제가 있어야만 된다.

 

 

- MP3 파일 내에 script를 넣어서 실행 되게끔 한 내용이다. 위의 내용은 모든 mp3 파일에 해당이 되며 스크립트를 넣는 것 대신 악성코드를 다운로드 받게 하거나 사용자 시스템의 정보를 절취하는 등의 행위를 하도록 하는 것이 가능하다. 그렇다면 지금 우리가 사용하고 있는 mp3 파일 중에 위험한 파일은 얼마나 될까? . 한번쯤 고민해 보아야만 한다. 서로간의 공유를 통해 발전하는 커뮤니티 문화가 활성화 되는 시기에 멀티미디어 요소를 통한 악성코드의 유포 및 공격은 향후에도 더욱 심각해 질 것으로 예상이 된다.

 

 

- 동영상 부분이다. 일반적으로 UCC라 칭하기도 하지만 동영상 부분에도 상당히 많은 위험요소들이 존재하고 있다. 현재로서는 광고를 하기 위한 ActiveX 설치 창들이 제일 많이 발견 되고 있으나 악성코드가 첨부된 동영상들도 매우 많다. 또한 저작도구 사용의 일반화에 따라 중간 부분에 악성코드를 넣도록 하는 행위들을 통해 발견도 상당히 어렵다고 할 수 있다. 일반적인 유형들이야 다양한 방식으로 걸러 낼 수 있으나 동영상 중간에 악성코드를 설치하거나 설치하는 악성코드가 신규 악성코드일 경우에는 대응 방안이 거의 전무하다. 향후의 위험성 측면에서도 상당히 큰 위험으로 대두될 것이며 동영상 공유 부분을 통한 악성코드 유포 및 신규 악성코드의 출현을 감지 할 수 있는 유형들도 주의 깊게 살펴 보아야 할 것이다.

 

 

- Quick time movie 파일에 스크립트 실행 관련된 취약성이다. 이 케이스는 일반적인 케이스라기 보다는 2006.12월에 있었던 Myspace의 웜 관련된 유형과 관련이 있다.

Myspace내부의 구조를 이용한 스크립트 베이스의 웜을 동영상 안에 코드로 넣어두고 이 quicktime 무비를 본 모든 사용자들에게 전파 되었었다. 여기서 한 가지 더 생각해 볼 점이 필요하다. 방금 위에서 언급한 quick time 파일의 경우 Myspace 사이트에 여러 일 동안 노출이 되었는데 상당히 많은 규모의 사용자들이 해당 파일을 플레이 하였을 것이다. ( 또한 script base 유형이라 백신에서는 탐지가 불가능함) 즉 모든 사용자들이 스크립트 베이스의 웜에 감염이 되었을 것이라고 보는 것이 정답이다.

이 웜의 특징을 살펴보면 사용자의 Myspace Friends list를 불러와서 이 Friends List들에게도 동일한 스크립트웜을 전파 시켰다. ( 쉽게 설명하자면 일촌 파도타기를 했다고 생각 하면 쉽다. 물론 악성코드 파도타기 이지만..)

피해는 얼마나 될까?. 추산이 불가능할 정도이며 거의 모든 Myspace 회원들이 영향을 입었을 것이다. 미국내의 언론이나 여러 보안관련 매체에는 잘 수습을 했다고는 하지만 어불성설이다. 드러난 현상과 분석만으로도 모든 회원들이 피해를 입었을 것으로 예상이 되는데 문제가 조기에 해결 되었고 특별한 피해가 없었다고 발표를 하였다.

 

피해여부를 떠나서 가장 중요한 이슈는 SNS (Social Network Service)로 대변되는 Cyber life 세상에서의 생활이 그리 안전하지 않으며 앞으로도 많은 위험들이 도사리고 있다는 점을 명확하게 하여야 한다. 더불어 자신의 의사와는 관계없이 특정 서비스 아래에서는 치명적인 영향을 타인으로 인해 받을 수도 있음을 명확하게 인지하여야만 한다.

 

-계속 ( 위험은 계속 된다. 다만 인지하지 못할 뿐이다. - 바다란)

Posted by 바다란

바다란입니다.

지난해 2007년 2월 경부터 외부 발표 용도로 작성한 Web 2.0 Service Security 라는 제목의 PPT에 대해 기고 형식으로 풀어쓴 글입니다.

전체적으로 Web 2.0 이라는 말은 만약 SNS (Social Network service) 측면에서만 강조되는 부분이라면 Web 2.0의 활성화는 오래 가지 않을 것입니다. 그러나 분명한 것은 Web이라는 도구가 명확하게 확장 되고 있으며 폭 넓은 부분에서의 활용성은 점차 극대화 되고 확대될 것임은 명확합니다.

 

Web 2.0이라는 단어는 허상에 불과하지만 도구로서의 Web의 진화는 향후에도 오랜기간 지속될 것으로 보입니다. 그렇다면 변화의과정에서 나타나는 위험들은 무엇이 있고 현재 직면한 위험들은 무엇들이 있는지 명확한 인지는 필수적이라 할 수 있습니다.

 

본 문서는 Web의 발전에 따른 여러가지 Risk를 직접 보이고 설명하기 위해 만들어진 문서입니다. 최근에 KISA에 기고한 문서이기도 합니다. 좋은 방향으로 향후의 위험성에 대해서 참고 하셨으면 합니다.

 

감사합니다.

 

* 본 시리즈는 3편 정도로 예상 하고 있습니다.

 상편 - Attack Flow의 변화 , 지난 시간 속에 존재하는 Risk들의 변화 과정과 흐름을 살펴보고 현재는 어느 단계 인지 확인 하는 내용

 중편 - 진보된 Web의 발전에 따른 여러가지 다양한 위험요소

 하편 - 결론 부분입니다. Web의 발전에 따른 대응 방안에 대해서 고민하는 부분입니다. 중편이 길어서 중편 부분도 일부 포함될 것 같습니다.

 

그럼 시작합니다.

 

 

개 요

현재의 Web의 발전 방향은 사용자의 접근성 향상을 통해 사용 환경의 변화로 이어지고 있다. 사용자 제작물의 확산과 정보 공유의 통로 확산은 다양한 위협으로 이어지고 있으며 향후 폭넓은 위협에 노출 됨을 예고하고 있다. UCC와 블로그의 확산, 사용자 접근을 위한 위험은 유,무선을 가리지 않고 다양한 위협으로 향후 나타날 것이다. 본 문서에서는 해당 위협을 직시하고 대응 할 수 있는 방안들을 모색함으로써 향후의 위험성에 대해 대비를 할 수 있도록 하고자 한다.

 

■Attack Flow의 변화

Web이라는 도구가 정보 획득의 수단에서 사용자의 의견을 교환하고 다양한 정보를 교환함으로써 새로운 정보를 창출하고 이득을 창출하는 생활 속의 도구로서의 다양한 역할을 하고 있다. 변화하는 위험요소와 변화하는 환경 속에서 Web을 통한 사용자 접근성의 향상은 새로운 시너지를 촉발하고 있으며 IT 서비스 산업을 근본적으로 사용자 중심의 환경으로 전환 하게 만들고 있다. 반대급부로 Web을 통한 위험성도 증가 되고 있다. 현재의 위험 상황은 어느 정도 진행이 되고 있으며 어떤 위험들이 실제로 존재하였는지를 확인 하는 것도 필요한 시점이라 할 수 있다. 공격 흐름의 변화도 사용자에 대한 위험을 극대화 하는 방향으로 진행이 되고 있다. 전체의 공격 흐름을 살펴서 향후를 예측 하고 준비 할 수 있는 자세가 필요하며 앞으로 더 심도 있고 폭넓게 활성화될 서비스 부분에 대해서 Attack 흐름의 변화는 반드시 짚어야만 될 부분이라 할 수 있다.

2000년 이전과 그 이후 얼마간의 공격 흐름은 직접적인 서비스에 대한 공격 유형에서부터 출발이 된다.

 

 

 

CERT.org의 취약성 발표 통계를 통해 드러나지 않는 문제들에 대해 언급을 하여 보면 다음과 같이 정리가 가능하다. 2000년 이후 부터의 증가 현상에 대해서는 인터넷의 활성화에 따른 취약성 증가가 원인이라 보기는 조금 어려운 면이 있다. 시기적으로 나눈다면 세 단계 정도로 구분하는 것이 가능하다.

1단계 : 2000년 이전 – 운영체제에 대한 직접적인 취약성 발견에 집중

2단계 : 2000년 이후 ~ 2005년 상반기 – 운영체제에 함께 설치 되는 Application에 대한 취약성 발견이 집중적으로 이루어진 시기

3단계 : 2005년 상반기 이후 - Web으로 구성된 다양한 어플리케이션에 대한 취약성 발견의 증가.

60%의 service owner 들이 Web application을 통한 취약성 노출에 직면 하고 있다.

 

 

Gartner, 09,2005 의 조사에 따르면 60%의 Service Owner들이 Web application을 통한 취약성에 노출에 직면하고 있으며 취약성을 Reporting 하는 Mitre corp의 2006.9월의 조사에도 06년의 첫 9개월간 발견된 취약성은 4375개이며 이중 75%가 Web 관련된 취약성이라 조사가 된바 있다. * 여기에서 Web 관련된 취약성은 Web을 통해 접근이 가능하도록 개발된 Application을 의미한다.

 

위의 3 단계 구분이 모든 현상을 설명하지는 않으나 전체적인 취약성 발견 동향을 Bugtraq ()을 통해서 살펴보면 전체 유형의 흐름을 충분히 파악 할 수 있으며 취약성 발견의 급증 원인에 대한 설명은 위의 1,2,3단계 구분으로서 원인을 찾을 수 있을 것이다. Web의 확산에 따른 공유 환경의 증가와 Web을 통한 서비스 확산과 전 세계적인 네트워크 접근성의 개선은 보다 빠른 Application 서비스 모델을 추구하게 되었고 공격자들에게도 취약성 발견의 기반을 폭넓게 만들게 된 계기가 되었다고 할 수 있다.

 

지역별 특정 Application에 대한 사용비율이 높을 경우에는 해당 지역만을 겨냥한 취약성 발견이 증가하기도 하며 특정 서비스 모델에만 기반화된 제품의 경우에는 서비스를 겨냥한 취약성 발견이 증가 하기도 하였다. 현재도 동일한 유형으로 취약성 발견이 증가하고 있으며 취약성 중에서 전 세계적인 범위를 가지고 있는 Mega vulnerability의 발견은 점차 줄어들고 있으나 지역적 혹은 서비스에 특화된 취약성의 발견은 지속적으로 증가하고 있다. 근본 원인은 Web을 통한 서비스 환경의 개선, Service 모델의 확산, 개발된 Application의 상호연동성 증가 및 매개체로서의 Web의 활용 등을 Web 서비스 기반의 확산 및 취약성 발견 비율의 증가 원인이 될 수 있다.

 

 

2005년 하반기에 Gartner 조사에 따르면 전체 1000여개 가량의 Web site를 상용 Web application scanner를 이용하여 스캔한 결과 위와 같이 98% 가량의 Web service들이 취약성을 가지고 있음을 조사하였다. 2007년 12월인 현재에는 더 치명적인 취약성들과 조사 당시에는 사소한 취약성이 더욱 큰 문제로 대두된 부분들도 명확하게 존재한다.

현재 2005년을 거치면서 국내의 IT 서비스 환경에 가장 큰 영향을 미치는 보안적인 이슈들은 세계적인 흐름과는 달리 정의가 될 수 있으며 세계적인 취약성 발견 및 공격 동향이 미리 발견되는 양상을 나타내고 있다. 그 이유에는 여러 가지 상황들이 뒷받침 될 수 있으나 우선적으로는 빠른 인터넷 환경과 인터넷 생활 문화의 확대와 대중성에 따른 영향이 가장 크다고 볼 수 있다. 국내의 현실에서의 Security라는 paradigm은 어떤 식으로 변화가 되어 왔고 지금에는 어떤 현상을 나타내고 있는지 살펴 보면 다음과 같다.

 

 

전체적인 시기의 구분에 따라 Network Worm 발생 이전과 이후로 크게 구분하는 것이 가능하며 이후에는 Web을 통한 불특정 다수에게 악성코드를 유포하는 것으로 구분하는 것이 가능하다. 시기적으로 나뉜 것은 아니며 대응을 하는 부분에 있어서 차별화 되거나 기존의 개념을 뛰어넘는 새로운 이슈라고 보는 관점에서 주관적인 구분을 하였다. 네트워크 Worm 이전에는 공격자를 격리 시키는 것을 주된 관점으로 대응을 하였으며 Network Worm 발생 이후에는 공격자의 격리라는 것의 무의미 해지고 1차 피해자가 추가적인 공격을 본인의 의사와 관계 없이 공격을 진행 하는 것으로서 공격자에 대한 격리라는 정책이 더 이상 유효하지 않게 되었다.

 

Network worm 이전에는 침입자에 대한 차단과 탐지를 위해 IDS와 Firewall 이 주된 보안도구가 되었으나 Network worm 발생 이후에는 차단과 탐지라는 의미가 무의미해짐에 따라 침입을 사전에 막을 수 있고 내부 서비스 서버에 영향을 미치지 않도록 IPS ( Intrusion Prevention System)이 유용한 보안 시스템으로 두각을 나타내게 된다. 그렇다면 위의 이미지 상에서 최종적인 Web을 통한 유포를 통해서는 어떤 방향들이 나타나게 되었을까? 웹 서비스의 방문자를 노린 악성코드 유포는 방문자가 많은 사이트를 중심으로 집중적인 악성코드 유포 시도를 시행한다. 따라서 웹 Application의 취약성이 주된 악성코드 설치의 통로가 됨에 따라 Web Application의 보호를 위한 보안도구들이 일반화되게 됨을 현재 볼 수 있다. Web Firewall의 도입과 SDLC 프로세스의 도입을 통한 안전한 프로그래밍 체제의 도입은 Web Application을 보호하기 위해서 사용이 되고 있다.

 

Web Application의 취약성을 이용하는 악성코드의 영향으로 사용자의 환경에도 직접적인 영향을 미침에 따라 개인사용자 PC를 보호해주기 위해 보안패치 서비스 및 온라인 백신 서비스 등도 현재는 일정 수준이상 일반화 된 것으로 볼 수 있을 것이다. 환경의 변화는 여러 가지 서비스 모델들을 변화 시키고 새로운 부분을 구성하기도 한다. 지금의 인터넷 서비스 환경에서의 위험요소는 상당히 많은 부분을 변화 시킬 것으로 예상이 되고 있고 현재 진행중임에도 불구하고 대응 측면에서 노력이 미진한 부분들이 많이 있어 보인다.

전체적으로 종합하면 환경의 변화와 변화에 따른 대응측면은 다음과 같이 된다.

 

 

위의 그림과 같이 2007년을 가로지르는 중요한 Paradigm은 기업내의 자산과 서비스에 대한 보호에서 개인 PC 단위로까지의 보호 단위 확장을 들 수 있다.

2000년 이후의 Attack Flow에 대해서 공격기법별로 분류를 해보면 발전 방향과 특징을 살펴 볼 수 있으며 점차 진화되고 있는 유형이 어떤 방향으로 이어지고 있는지 살펴 볼 수 있다. 전체적으로는 복잡화된 공격에서 결합화된 공격으로의 발전, 자동화된 공격의 발생과 확산으로 동향이 이어져 가고 있다. 앞으로의 침해사고 유형도 Web service의 취약성을 공격하고 이를 이용한 주변 전파로 확대될 가능성이 높으며, Web service의 확대로 인해 거대 사용자를 확보한 서비스 기업들이 증가하고 있어서 Web을 통한 위험 노출 부분은 향후 일정기간 이상 주된 화두가 될 것이다.

 

 

위의 그림은 Major Attack Trend를 나타내고 있으며 2004년까지의 변화는 전 세계적으로 동일한 유형으로 발전 하여 왔으나 2005년 이후부터 변화가 조금 달라지고 있다. Application에 관련된 공격이 2005년부터 증가를 하고 자동화된 Application Attack이 출현하고 있으며 현재는 복합화된 DDos 공격이 가능한 Agent를 웹 서비스를 통해 유포하는 형태로도 발전이 된 상태이다. Web service의 취약성을 이용하여 2,3차 단계까지 영향을 미치고 있으며 사용자의 PC 단위에 정보를 유출 하는 악성코드의 피해 범주에서 이제는 사용자의 PC를 숙주로 하여 임의의 거대 서비스를 직접 공격하는 DDos 유형으로 발전 하고 있음을 볼 수 있다.

 

전 세계적으로 Botnet에 대한 감시와 주의가 계속 높아지고 있는 상태에서 이와 같은 Web을 통한 DDos 공격 네트워크의 구축은 향후 심각하게 주의를 높여야만 하는 상황이라 할 수 있다. 최초 감지된 공격은 2007년 9월의 국내 아이템 거래 업체에 대한 DDos 공격에서 최초 인지가 된 사안이다. 게임 아이템 거래 업체에 대한 DDos 공격 사례에서 보듯이 웹을 통해 유포된 악성코드가 DDos 공격에 직접 사용이 되는 환경에서는 개인 PC에 대한 보호와 Web Service에 대한 안정성 강화가 향후 에도 주요한 키워드로서 IT 서비스의 발전에 영향을 미칠 것으로 예상이 된다.

 

 

공격자들의 기술 수준과 활용 수준은 시간이 지날수록 복잡화 되고 있고 자동화 되고 있으며 손쉽게 막기 어려운 방향으로 이어지고 있다. 개별 업체에 의해 처리 될 수 있는 범주는 이미 벗어났다고 판단되며 향후 종합적인 대응 방안 수립만이 일정수준의 해결책을 만들 수 있을 것으로 예상된다.

 

 

위의 이미지는 공격 기법에 따른 공격자의 기술수준을 나타내고 있는 챠트이며 기술수준이 예전과는 다르게 인지하기 어려운 기법과 더불어 새로운 방안의 창출로까지 이어지고 있어서 공격자들의 기술수준이 높아지고 있는 것으로 판정 해야만 할 것이다.

Web을 통한 위험의 전파는 향후 Web 환경의 확장과 더불어 증폭 될 것이며 유,무선을 구분하지 않는 전파력으로 서비스에 많은 영향을 미칠 것이다. 또한 2007년 9월에 발생된 아이템거래 사이트에 대한 DDos 공격 또한 Web을 통한 DDos 공격 Agent를 유포함으로써 대규모적인 공격이 가능하였다는 점으로 미루어 볼 때 전체 사용자 환경에 대한 Protection과 Web service 전반에 걸친 안정성 강화는 당장이라도 시급한 화두가 아닐 수 없다. IT 서비스를 주력으로 삼고 있는 기업과 국가라면 더 시급하게 준비를 하여야만 일정 수준의 위험을 경감 시킬 수 있을 것으로 예상된다.

 

- 계속.

Posted by 바다란


해킹 분야의 전환점은 항상 말했듯이.. 이제는 전문화 고급화 에이전트화 입니다.
개별단위의 해킹이 아니라...웜과 같은 이슈가 가장 큰 이벤트를 만들 것입니다.

RPC 취약성은 매우 큰 취약성이여서 개인적으로도 이에대한 권고나 공개문서를 만들기도 했지만 ISS에서도 동일하게 취급을 하였군요.
로버트 그래험의 의견은 GPRS와 VOIP 에 다음 단계의 위험이 있다고 하지만 저는 국내 환경에서는 좀 더 다른 일들이 있을 것으로 보고 있습니다.
유비쿼터스 환경에서 가정의 자동화 , 생활의 자동화 ,교통의 자동화가 진행될 수록 이 분야에 대한 위협은 증가하게 될 것이고 이제는 예전의 웜과 같이 인터넷의 마비가 아닌 일상생활에 치명적인 영향을 주게 될 것입니다.

해커의 수준면에 대해서는 수준이 높아진 것이라기 보다는 환경의 변화가 그들의 능력을 손쉽게 적용할 수 있는 형태로 만들었다고 봅니다. 지금의 환경에서 Bot 계열의 웜이 많은 것도.. 그 만큼 개발지식이 오픈이 되었고 소스코드가 공개가 되어 있으며 또한 손쉽게 공격코드를 추가할 수 있는 형태로 되어 있기 때문에 예전처럼 아주 소수의 전문가 만이 공격코드를 이해하고 추가하는 범위에서 좀 더 폭 넓은 다수의 프로그램 개발과 보안분야의 지식을 이해하는 사람들로 범위가 넓혀 진것이 확대의 관건이고 앞으로는 더욱 자동화된 매커니즘을 지닌 공격으로 전환이 될 것입니다.
인터넷의 확산과 구석구석 미치는 영역이 넓어짐에 따라 당연히 발생할 현상이였고 앞으로는 보안분야에 있는다는 것이 무엇보다도 심한 스트레스를 일으키는 날들이 많이 있을 것입니다. 해야 할 것은 많고 부담은 많은데 그만큼 댓가는 없는 의욕저하 현상이 다반사 일지도... ㅠ,ㅠ


베이글이나 마이둠과 같이 웜 바이러스의 변형은 매우 쉽게 만들 수 있고 이런 변형에 대한 대응은 전세계의 보안회사들 각자가 대응을 하고 있습니다. 한명이 수천명의 전문가를 데리고 노는 듯한 사태가 계속 벌어지고 있는 것이죠. 이런 관점은 보안분야의 협력이 동반되지 않는한 계속 심화될 현상이고 개인에 의해 끌려다니는 문제는 계속 발견이 될 것입니다.

앞으로 국내의 환경을 예측해 발생 가능한 위험을 예측해 보면 일단은 Application단위의 위험이 증가할 것입니다. 특히 웹 Application을 이용해 서비스를 제공하는 회사에 Client 단위의 위험을 주는 요소가 상당부분 증가하여 직접적인 피해를 입힐 것이고 무선에 관련된 의미있는 보안 위협도 출현할 가능성이 높다고 봅니다. 국내의 산업은 일정정도의 보안 수준은 만족을 하고 있지만 공격자들의 지식 진보 수준을 볼때 그 차이가 점점 벌어지고 있습니다.
이런 이야기는 앞으로 치명적인 위험이 출현할 가능성이 높다는 것을 이야기 합니다.

웹상에 존재하는 게시판이나 게시물을 통해 다른 게시판으로 전염이 되는 형태의 새로운 유형의 공격이 출현할 수 있다고 봅니다. 대개의 웹관련 App ( cyworld , 블로그 , msn hompy ...) 등이 사용자 ID에 의한 혹은 고유 번호에 의한 게시물 관리나 계정 관리를 하고 있으므로 자동적으로 전파를 하도록 하는 것이 가능할 것으로 보입니다. 물론 예상입니다.

그 다음은 국가 기반시설에 대한 직접적인 공격 발생이 일어날 수 있고 무선관련된 큼직한 이슈가 발생할 수 있다고 봅니다.

현재까지는 시한폭탄인 것이 무선관련된 이슈인데 아직 중요한 사건들이 발생하지 않았기 때문입니다. 유비쿼터스와 관련하여 PDA와 점차 PC화 되어가는 휴대폰도 예외가 될 수없죠. 기존의 바이러스와는 또 다른 형태의 위험요소가 발생 될 수 있으리라 봅니다.

모든 것은 예측이고 예상입니다. 발생가능성이 있는 예측이죠.


바이러스와 보안 분야의 개념상의 일대전환기는 2001년에 발생했던 Codered 입니다. 그 이후에 폭발적으로 증가를 했고 그게 빠른 시간내에 일반화 됐었죠.. 그리고 지금까지 내려오고 있습니다. 전파방식은 바이러스의 형태이고 공격방식은 해킹을 띄는 그런 유형.. 지금은 혼합이 되어 있습니다. 바이러스 방식의 공격과 해킹 방식 그리고 전파유형까지도 혼재되어 있어서 Fusion 화된 공격이 일반적으로 발생합니다. 방화벽은 그냥 기본인 장비가 되었고 IPS도 발전 속도를 따라잡지 못하고 항상 문제 발생 이후에야 대비를 할 수가 있습니다.
그리고 이제 Application으로 진화를 하고 있습니다. 그 속도는 충분히 눈에 보일 정도나 다른 일을 하다보면 어느새 저만큼 나아가고 있는 것을 확인 할 수 있죠.

우리는 무엇을 준비하고 해야 할까요?
고민스러운 날들입니다.
모든 분야에 동일한 이슈가 있겠으나 IT.. 특히 보안 분야는 전세계를 대상으로 경쟁을 하는 것이다 보니 그만큼 피로도가 높을 수 밖에 .. 노력을 할 여지도 없이 이것저것 일에 적은 인력이 투입 되어야 하고 그 인력은 재충전을 하지 못하니 많은 부분에서 떨어지는 그런 상태가 되고 있습니다. 그렇다고 신규인력이 계속 충원이 되는 것도 아니고...

자..이제 보안회사들도 고민을 해야할 시점이 다가오고 있고 인력들도 마찬가지 입니다. 물론 일이 생긴 뒤에 고민해야 늦겠죠. 누가 어떤 선택을 할까요?

ISS와 같은 돈많고 여유있는 회사의 경우에도 앞으로는 뾰족한 대책없이 흘러갈 뿐입니다. 시만텍도 마찬가지이고..국내의 회사들도 그렇겠죠...~..

사견이였습니다. - 바다란

 

 

-------------------------

위에 글을 언제 썼을까요?.. 어디 사이트를 오랜만에 가다보니 예전에 썼던 글이 있네요.  정확하게는 2004년 11월 5일에 쓴 글입니다. 3년전에 쓴 글인데 지금 어디쯤 와있을까요? 또 위에서 제가 언급한 내용들은 얼마나 진전 되었을까요?

 

아직 진행중인 것들도 있고 제가 일선에서 겪은 것들도 있습니다. 아직 위에 쓴 글에 포함된 내용의 끝을 보지는 못했습니다만 계속 발생됩니다.  진하게 표시하거나 색으로 표시한 부분을 보시면 됩니다.

 

돌아보고 생각을 하면 Application에 대한 Attack은 지금 일반화 되어 있고 국내의 많은 서비스들이 피해를 입고 있고 지금도 피해를 당하고 있습니다. 공격자들의 진보도 눈에 띄고요. 한명이 전 세계 전문가 수천명 이상을 데리고 노는 경우도 심심치 않게 발생 됩니다. ( 최근 바이러스 동향을 보세요.) 그리고 지난해와 올해에 있었던 Myspace, Yahoo에 대한 기사들을 보십시요. -> 본 블로그에 올린 최근 위험 동향에서도 언급이 되어 있습니다. 바로 이전 글.. 

Iphone에 대한 해킹도 보시면 됩니다. Opera 브라우저에 생긴 문제는 Mac , iPhone , ipaq을 관통하는 문제입니다. ( 최근에 나온 Libtiff Overflow를 통한 iphone 해킹도 Application attack과 동일한 경우임) 

 올해 3월의 Ani cursor 관련된 취약성은 모든 윈도우 플랫폼을 관통하는 문제입니다. 유선이든 무선이든 공용으로 사용하는 Application에 발생된 문제이고 권한 획득이 가능하죠. PDA이든 Settop box 이든 PC든 간에 말입니다.

 

앞으로는 어찌될까요?

3년전의 예상을 읽어 보면서 씁쓸함이 드는 것은 벌판에 선 외로움 때문이 아닐까 싶습니다.

 

지금은 어디에 있고 또 앞으로는 어디로 갈까요?  내 열정은 또 어디에....

 

위의 예상글은 2004년 11월에 해커스랩 게시판에 올린 글입니다. 물론 독자의견으로 ^^ 

http://www.hackerslab.org/korg/view.fhz?menu=news&no=2030

Posted by 바다란
 

 

이제서야 처음 언급한 전략이 나오네요. 전략이라고 해봐야 별 거 없습니다.

뭐 특별하고 신출귀몰한 것도 없고 어느 정도 수준 되면 다 보이는 정도입니다. 이런 흐름을 얼마나 역동적으로 리딩을 하고 끌고 가느냐가 생존을 담보 하겠죠. 앞으로의 세상은 더더욱 그럴 것 입니다. 안주하는 서비스기업들은 무너지겠죠. 한 순간에 녹아 내리듯이 그렇게..

힘겹고 고통스러운 일이지만 그 동안 외면 했던 Security 라는 측면을 하지 않으면 생존하기 힘든 상황이 될 것입니다. 눈에 보이는 것이 아닌 체질적으로 서비스에 내재된 기술적 보안역량이 서비스의 질에 매우 큰 차이를 가져오게 될 것입니다. 앞으로는 보유 여부에 따라 극복하기 힘든 절대적인 차이가 발생하게 될 것입니다.

 

 

 

보안전문가와 보안 관리자의 차이( http://blog.naver.com/p4ssion/50014996901 ) 에서 언급한 GSM (General security manager ) SSM (Special Security manager) 의 구분과 동일합니다. GSM이 아닌 SSM의 보유여부에 따라 향후의 IT 서비스 기업의 흥망성쇠는 달라집니다. 최소한 글로벌 비즈니스를 하는 곳은 그러 합니다.  단지 인력을 확보 하고만 있는 것이 아닌 역량 발휘가 가능한 환경까지도 조성이 되어야만 하는 문제입니다. 국내의 현실은 SSM보다는 GSM이 더 우대 받는 현실이지만 앞으로의 다가올 위협에 뼈저리게 느낄 기회가 주어지게 될 것입니다. 위협에 대한 대응에 있어서 국내에서는 유야무야 얼버무리는 것이 된다 하여도 해외사업에서는 절대 그렇게 되지 않을 것입니다. 그때 가서야 알게 될 것입니다. 후회해도 늦었지만.. (하고 싶은 말들은 있습니다만. 이런 내용은 사설로 나중에  더 가슴에 맺히면 쓰도록 하겠습니다. 꾸벅)

 

1. Google online security 전략 개요

http://blog.naver.com/p4ssion/50019586109

 

2. online security 전략 상세  - * Trustworthy web

                                    * Google security strategy

3. online security의 방향과 미래 ??

 

* Google의 전략

 

- Direction : Passive protection ->Active protection으로의 전환

 

개념상으로 단순한 바이러스의 제거  ( 발생 이후에 제거가 가능한 부분) 서비스의 제공에서 벗어나 올해부터는 본격적으로 Active한 보호를 가능케 하도록 서비스 틀이 변화 될 것을 예상 할 수 있습니다. 1~2년 후에 일반화된 경향이 될 것으로 예측 됩니다.

Active한 보호 방안이란 사용자의 선택에 따른 AV 서비스의 제공이 아닌 악성코드 감염을 원천 차단하고 악성코드 유포 사이트에 대한 사전대응 형식으로 사용자에게 노출되는 악성코드를 적극적으로 줄이겠다는 의사로 풀이가 됩니다.

 

서비스적인 측면에서 Passive Active Protection 두 방안의 조화로운 운영을 통해 문제 발생 부분을 최소화 할 것으로 보이며 프로세스상으로는 다음과 같은 일련의 체제를 갖출 것 같습니다.

 

Active (예방 ) - Passive (대응) - Response ( 관리)

 

Active :

GreenBorder Product를 통한 악성코드 감염의 원천방지 ( 전체 사용은 어려울 것으로 예상)

일부 구글팩 및 구글툴바를 활용한 사용자 선택적인 사용이 중점이 될 것으로 예상됨

 

Passive:

구글팩에 포함된 Symantec AV 백신을 통한 사용자 치료 서비스의 강화 , 향후 다양한 멀티 벤더 제품을 사용하도록 할 가능성이 있음.

 

Response:

Stopbadware.org 사이트 운영을 통한 악성코드 유포 가능성을 지닌 사이트의 검색 결과 격리

stopbadware.org 사이트에 등록이 되는 사이트들은 AV벤더와 협력하여 탐지가 되는 결과를 가지고 진행합니다. 한국의 경우에는 KISA와의 협력을 통한 악성코드 유포 사이트 정보를 활용하여 stopbadware.org 사이트에 등록을 하게 될 것으로 보입니다.

 

위와 같이 세가지 방향에서의 online security가 이루어 지고 있으며 움직임이 본격화 되었다는 것은 security라는 측면이 online business에서 얼마나 중요한 가치를 지닐 수 있는지를 인지했다고 볼 수 있습니다. 내부 보안 강화 및 서비스의 보안 강화의 측면에서 한층 더 나아가 user 단위에 까지 영향을 미치는 security가 가미된 서비스로 방향을 설정한 것이라 봅니다. 그리고 현재의 위협 상황에서는 사용자까지도 보호를 해야만 서비스의 안정성이 유지가 되는 것이 사실입니다.

 

기본개념으로는 secure search search integrity (security 측면에서의 무결성- 악성코드로부터 Free..)으로 흐름분석이 가능 한데 일련의 이슈들을  서술 하면 다음과 같습니다.

 

 

Secure search & Browsing

 

secure search라는 부분은 제가 해석한 부분입니다. 대표적인 예로 올해 상반기에 인수된 Greenborder를 예로 들 수 있습니다. 전편에서 언급 하였듯이 검색 서비스 자체의 보안 측면은 아닙니다. 검색을 통해 노출된 사이트들을 통해 사용자가 피해를 입는 부분을 최소화 하자는 것이 근본 방향이 될 것으로 보입니다. Google을 통해 검색을 하고 그 결과를 클릭 하였는데 악성코드에 감염이 되었다는 문제 제기를 피하기 위한 방안으로 인식이 됩니다.

이 움직임은 올해 초에 구글의 Anti malware 팀에서 조사한 내용을 통해 근본 근거를 마련하고 이후의 Action item으로 Greenborder의 인수를 추진한 것으로 확인이 됩니다.  조사되고 발표된 내용은 전체 검색 결과의 10%가 악성코드 및 위험요소를 가지고 있는 유형으로 파악되었다는 자체 조사 결과 입니다.

 

Greenborder에 대한 설명은 전편에 설명을 하였지만 부가적으로 더 언급을 하면 Secure Browsing을 구글 내에서는 가능하게 하겠다는 근본취지를 지니고 있는 개념으로 볼 수 있습니다.  구글을 통해 검색이된 결과는 사용자가 클릭을 하여 해당 사이트로 이동을 하여도 악성코드에 감염되지 않는 Frame을 만들겠다는 관점에서 볼 수 있습니다.

 

대부분의 웹사이트를 방문할 경우 해당 사이트의 컨텐츠들은 사용자 PC의 임시파일 저장소에 저장이 되어 (cache ) 사용자의 브라우저 화면에 보여지게 됩니다. 대부분의 악성코드들이 감염 시키는 방식이 다운로드 이후 실행을 하는 방식을 취하고 있는데 GreenBorder의 경우에는 이 공간을 격리 시킵니다.

격리라는 의미는 별개의 가상공간에서 다운로드를 받고 사용자의 Browser에 보여지게 한 뒤에 사용자가 해당 사이트 이탈 시에는 가상공간을 없애는 유형으로 악성코드가 사용자 PC에 직접 침입 하는 유형을 원천 차단하는 것을 의미합니다.

 

개념 상으로는 좋은 방향이지만 국내의 현실에서는 문제가 많을 것으로 보이며 문제는 다수 발생 할 것으로 보입니다.

ActiveX 또는 부가 설치가 필요한 모든 부분에 대해 예외 설정 등을 하게 되면 문제는 계속 될 것으로 보이며 향후 구글 툴바 혹은 구글팩에 포함되어 사용자의 선택에 의해 사용하게 되는 유형으로 서비스 될 것으로 예상됩니다.

 

7.11일 현재 구글은 postini 라는 이메일 보안 업체를 6000억원을 주고 인수 합병을 하기로 한 기사가 나왔습니다. 관련 업체의 프로필을 살펴본 결과 기업용 제품으로서 단순한 이메일 보안업체가 아닌 일관된 Policy의 적용 및 내부 정보 유출을 방지하는 서비스 유형으로 파악이 되며 Google의 서비스 측면에서 보았을때 향후 기업용 시장에 대한 진출 도구로서 활용이 되고 Gmail에 대한 서비스 강화, 이익 강화 ( 미국의 3대 이메일 보안 서비스 업체라고 함) 측면에서 보는 것이 바람직해 보입니다.

 

 

Search integrity

 

검색결과에 대한 무결성을 보장한다는 의미는 검색 관련된 서비스를 하는 업체에게는 매우 중요한 factor 입니다. 그동안의 무결성이 검색 결과에 대한 정확도의 측면에서 접근 하였다면 지금은 전체적인 Web상의 위험요소 발달에 따라 다른 부분으로 전이가 되고 있습니다.

 

검색결과에 대한 정확도 측면 + 검색결과에 대한 신뢰도 ( 신뢰도 측면은 사용자 PC에 대한 안정성 측면의 신뢰도 입니다.) 가 이제는 기본적인 흐름으로 대두 될 것입니다. 이런 연유에 따라 구글의 Anti malware 팀에서는 구글 검색 결과 중 10%가 악성코드 유포의 위험성이 있다고 스스로 발표를 한 것으로 볼 수 있습니다. 스스로가 발표를 하면서 위험성이 있다는 것도 사용자들에게 알리고 이런 위험성을 제거하기 위해 사용자의 Action을 제한 할 수 있는 서비스를 출시 하는 것으로 볼 수 있습니다.

 

사용자의 Action 제한을 하더라도 큰 범주에서는 사용자의 보호를 위한다는 당위성 확보로 적절하게 활용이 된 것을 볼 수 있습니다.  구글 서비스에서 이루어지는 빠른 변화에 대한 사전작업이라고 보입니다.

 

Search integrity를 확보하기 위해서는 무엇을 하는가? 하는 측면에서 바라보면 드러난 부분으로는 다음과 같습니다.

Stopbadware.org 사이트의 활용 - 하버드 법대에서 운영을 하도록 합니다.  AV 벤더 및 악성코드 유포를 탐지하는 여러 업체 및 기관과 협력하여 거의 실시간에 가깝게 악성코드가 유포되고 있는 사이트 정보를 획득하고 해당 사이트 정보를 구글의 검색 결과에 반영을 합니다. Black list에 등재된 사이트의 경우 검색 결과에 노출이 되어도 사용자가 클릭을 하면 악성코드 유포 위험성 안내와 함께 stopbadware.org 사이트로 이동을 하도록 하고 있습니다.  관련 업체에서 이의제기를 하고 싶어도 구글 에게 직접 하는 것이 아닌 하버드법대에 이의제기를 해야죠.  blacklist에서 제거 되는 부분도 악성코드 유포 위험요소를 제거한 이후에 되도록 되어 있고 black list에서 제거되면 검색결과는 정상적으로 해당 사이트 링크를 활성화 시켜 줍니다.

 

주변 환경을 이용하는 측면에서 영악하다고도 볼 수 있는데 구글의 정보통제 및 독점에 대한 문제 회피를 위해 하버드 법대를 활용한 개념이 있고 또한 거의 실시간에 가까운 전 세계 협력 기관 및 AV 벤더의 자료를 취합해 적용함으로써 신뢰도를 높이는 점이 있을 것 같습니다. 자료를 제공해주는 기관이나 벤더는 향후 대폭 확대될 가능성이 있을 것이며 확대에 따라 신뢰도는 더 높아지는 결과를 유발 할 것입니다. 2007.7.11자로 확인을 해보니 악성코드 유포 가능성이 있고 유포중인 사이트가 197000여 개 정도 리스트업이 되어 있습니다.  

( http:://www.stopbadware.org )

우리나라의 경우에는 KISA에서 제공되는 악성코드 유포 사이트 정보를 활용하여 보다 전문적이고 지역적으로 특화된 내용에 대해서도 대응이 가능한 체제를 수립하려는 것으로 보입니다.

 

Response 영역에 대해서는 특별히 언급할 내용이 없으며 구글팩의 설치부터 AV 백신의 실행까지 모두 사용자 동의 하에 가능한 부분이라 영향은 제한적이지만 향후에는 위협의 증가에 따라 기본으로 제공될 가능성이 존재합니다.

 

 

Integrity Secure search & browsing에 대한 간략한 개념을 설명 드렸습니다.

 

영향은 어떻게 될까요? 짧은 소견이지만 생각 나는 대로 정리 하겠습니다.

 

Google의 검색 안정성 강화 ( 이익 창출을 위한 필수도구로서의 security factor 인식의 산물)

Active , Passive , Response process를 통한 전방위적인 대응체제 수립이 가능할 것으로 보이고 각각의 영향력이 다름으로 인해 효과는 제한적이나 향후 1~2년 이내에 Frame화 되어 정착될 가능성이 높습니다.

 

Active method (Green border technology)의 활용은 제한적이 될 가능성이 높고 위에 언급 하였듯이 Toolbar 혹은 별도의 Plugin 형식으로 전파가 되고 사용자의 선택에 따라 활용하는 용도로 이용될 가능성 있습니다.  단점으로는 언급 하였듯이 전체적인 보안기술의 적용이 어렵습니다. 특히 국내의 경우에는 많은 사이트들에 장애를 일으키거나 정상적인 접근이 어려워 지는 경우가 발생될 것으로 예상됩니다. 사용자의 설정 요구가 매우 많아져서 오히려 사용자를 떨어지게 할 수도 있을 것 같네요.

 

구글은 사용자의 요구와 Security의 강화라는 측면에서 Web 상에서 노출되는 많은 위험들을 앞으로 적극적으로 강조할 것으로 보입니다. 분명한 사실이지만 비지니스적으로는 강조해야만 불편함에 대한 사용자의 요구를 일소 할 수 있는 명분이 생기는 것이겠죠.  

Passive Response에 해당하는 이슈들은 앞으로 많은 영향을 미칠 것으로 보이며 특히 AV벤더와의 협력관계 확대를 통한 Response 영역의 확장은 노하우가 쌓일 수록 강한 힘을 발휘 할 것 같습니다.

 

글을 쓰는 목적은 변화하는 흐름을 분석하고 이해해서 향후 방향 설정에 도움이 되었으면 하는 마음에 분석한 것이며 그 과정에서 최근 구글의 행동이 주목할 만 하여 케이스 스터디 차원일 뿐입니다.

 

감사합니다.

 

* 심각하게 고민한 내용이 아니고 그 동안 나온 기사를 바탕으로 생각나는 대로 나열한 부분입니다. 내용 중에 이해가 어려운 부분도 있을 수 있습니다. 이 부분은 설명하는 사람의 무지를 탓하시면 될 것 같습니다. 또한 내용 중에 정확하지 않은 내용도 있을 수 있습니다.  신문기사만 보고 판단한 것이라 다른 내용들이 있을 수 있습니다. 개인적으로 보는 관점이라고 봐주시면 감사하겠습니다.  재주가 없어서 그런지 이해한 내용을 전달 하는 것도 부족한 부분이 많습니다.

 

- 사족 나갑니다.

왜 국내 IT Service 기업들은 변화를 리딩 하지 못할까요?  IT Service에서 안주와 자리 지키기는 죽음에 이르는 길입니다. 죽음의 길에 조금 더 빨리 가도록 하는 것이 학벌과 지연과 인맥에 의한 것이겠죠. 특히 Global Service기업이라면 학벌, 지연, 인맥에 의존 하는 순간 초고속 급행열차로 죽음의 길에 가는 것과 다름 없습니다. 남의 떡이 커 보인다고 키워야 될 자기 것들을 팽개치고 이러다 보면 순식간에 무너지겠죠. 전문직무분야인 보안 분야에서도 그러한데 다른 분야는 오죽하겠습니까? ^^; 위험을 인지 하지도 못한다면 더 심각한 상황이라 할 수 있습니다. 매 순간이 위기인데 말입니다. 백척간두 진일보라는 말은 개인에게만 해당되는 말은 아닙니다. 지금 이 순간의 모든 IT서비스기업들에 해당이 되는 의미입니다. 당장 1년 뒤를 보장할 그 어떠한 것도 없습니다. 세계와의 경쟁에는 학벌과 인맥, 지연이 통하지 않습니다. 그리고 지금의 서비스는 이미 세계와 경쟁 중입니다. 4천만의 시장으로 먹고 살 수 있다고 생각하는 고만고만한 기업이라면 이름 없이 사라짐을 당연하게 알아야 될 것입니다. 아쉽게도 문제는 그런 기업들이 너무 많다는 것이 문제일 뿐입니다. 아쉽지만 여기까지 인 것 같습니다.


 
Posted by 바다란
 

 

바다란 입니다.

 

현재의 인터넷 환경을 주도하고 있는 화두업체인 구글에 있어서 Online security는 어떤 의미인지 이 시점에서 짚어 보는 것이 필요하다고 생각 됩니다.

전체적인 맥락에서 한번 짚어볼 부분은 반드시 있을 것 같아서 이전 Thread에서 약속한 것과 같이 3가지 Article로 정리를 하도록 하겠습니다.

 

1. Google online security 전략 개요

http://blog.naver.com/p4ssion/50019586109

 

2. online security 전략 상세  - * Trustworthy web

                                    * Google online security strategy

3. online security의 방향과 미래

 

오늘은 2번 항목을 정리해 보도록 하겠습니다. 지난 issue 부분에서 논의된 내용을 체계적으로 구성을 하여 향후 방향에 대한 예측 부분으로 정리를 하겠습니다. 3번 항목은 미정입니다.

 

Google Online security 전략은 사실 오래 되지 않은 부분입니다. 그 동안은 자사의 서비스 시스템에 대한 안정화와 Process 강화와 관련된 부분이 가장 컸을 것으로 예상 하고 있습니다. 실상 여타 포털과 비교해서 Contents 제휴 종류와 범위로 따지면 비교도 되지 않는 (?) 구글입니다. 검색 전문업체로 시작하였기에 일면 국내에서 통용되는 포털이라는 개념과는 조금 다른 관점에 있습니다.  내부에서 개발된 Application에 대한 검증도 실시간으로 세계적인 이슈가 통용 되고 있는 보안 부분에 대해 받는 위험도와 압력은 IT 서비스 업체 모두가 해당이 됩니다.  IT 서비스업체나 Google이나 모든 웹서비스 업체는 보안에 대해 실시간으로 동일한 위험과 동일한 압력을 받고 있다고 할 수 있습니다.

 

왜 이런 위험요소들이 도출이 되고 행동들이 있는지는 전체적인 Attack trend를 살펴야만 가능합니다. 현재의 Trend는 다음과 같이 단편화 시킬 수 있습니다.

 

 

 

2005년부터 나타나기 시작한 Application에 대한 공격은 Web의 일반화와 궤를 같이 하고 있습니다. Web service의 활성화와 일반화에 따라 개발되는 모든 Application들이 Web을 통한 연결을 기본으로 하고 있습니다. 일반 C/S 환경에서 활성화 되는 Application의 수는 대폭 줄어들고 있다고 볼 수 있습니다. 아마도 일부 특수한 환경에서 사용되는 Application을 제외하고는 web 연결이 필수적인 Application이 대부분으로 예상이 됩니다. 

Web Application의 출현과 더불어 공격이 출현하게 되고 이전의 운영체제의 취약성을 노리는 직접 공격에서 운영체제 위에 설치 되고 운영이 되는 Web application에 대한 직접 공격이 증가하게 됩니다. 또한 이런 Application에 대한 공격은 자동화된 경향을 나타내며 발전하고 있습니다.

 

특정 서비스에만 특화된 Application attack의 출현도 일반적인 현상이라 할 수 있습니다.  (관련 내용은 올해 들어 여러 곳에 발표를 한 Web 2.0 관련 위험요소라는 PPT를 적당한 시점에 공개토록 하겠습니다. )

 

Web application에 대한 공격이 증가 한다고 하였습니다. 그럼 이런 공격 유형과 기업들의 변화된 움직임은 왜 일까요?. 그 변화에 대한 답은 제가 생각하기에는 다음과 같은 환경의 변화로 인해 기인 합니다.

 

위의 항목에서 보시면 각각의 서비스 기업들의 변화와 보안상의 위험요소와의 연관 관계를 추산할 수 있습니다. 제가 나누는 관점에서는 Worm의 출현에 따라 기업들의 대응과 보호 방안들이 달라지고 있다고 판단 하고 있습니다.

최초에는 Worm의 출현 -> Worm의 일반화 -> Web attack의 출현 -> Web을 통한 무차별적인 악성코드의 유포와 개인정보 도용 이런 유형으로 나눌 수 있으며 그에 따른 기업들의 대책들이 달라지고 있다고 볼 수 있습니다.

 

물론 공격유형이 변화는 사회적인 변화와도 궤를 같이 하고 있으며 세계에서 가장 빨리 위협을 경험한 곳이 대한민국이지만 향후에는 좀 더 다른 양상을 보일 수 있습니다. 개인정보를 유출 하기 위한 악성코드의 출현과 무방비로 노출된 사용자의 PC에 대한 문제는 이제는 IT 서비스를 진행하는 업체 모두에게 위험요소가 되고 있습니다.

직접적인 서비스 공격에 대한 대비도 하여야 하며 또한 서비스를 이용하는 사용자들에 대한 보호 대책도 강구 하여야 합니다. 해외는 이제 사용자들에 대한 보호 대책들이 출현하고 있는 시점이라 할 수 있습니다.

 

이른바 주가는 경기에 선행 한다고 합니다. 경기의 활성화를 미리 가늠 할 수 있는 요소가 주가 지수라는 의미인데 다른 비유를 하자면 Internet Industry의 위험요소를 가장 먼저 경험한 곳이 대한민국이고 그 위험요소가 이제 전체로 전이가 되고 있는 것으로 볼 수 있습니다. 해외 유수 IT 서비스 기업들의 움직임이 그러합니다. 적당한 비유가 생각 나지 않아 가져다 붙였습니다. ,

그 위험요소는 Web에 대한 공격이고 이런 공격들은 2005년부터 국내에 본격화 되었으며 악성코드에 대한 피해도 본격화 되었다고 볼 수 있는데 이런 위험에 대한 인식은 해외 업체들의 경우 인식에 대한 시기 자체가 조금 늦게 시작 되었습니다만 보다 더 꾸준하고 큰 영향력을 미치는 방향으로 이루어 진다는 점에 대해 주목하여야 합니다.

 

소통의 도구로 일반화 되고 향후에도 1분 이내에 전 세계와 소통 할 수 있는 Web의 발달은 더욱 가속화 될 것이고 생활과 더 밀접하게 연관이 있게 될 것입니다. 전 세계 어디에서나 글을 올리고 1분 이내에 접근 할 수 있다면 Web을 통한 모든 위험요소들의 전파도 1분 이내에 전 세계에 영향을 미칠 수 있다는 것과 동일합니다.

 

그만큼 Trustworthy web의 구현은 필수적인 요소가 될 것 입니다.

이런 요소의 중요성에 대해 인식하지 못하는 많은 서비스 업체들은 시행 착오 및  곤란을 다수 겪게 될 것이고 도중에 무너지는 경우도 종종 발생하게 될 것입니다.

지금 까지는 아니지만 앞으로 더 심각해 질 것이라는 것입니다.

 

신뢰할 만한 웹을 만들어야 된다는 것은 이제 서비스 업체들의 지상목표가 될 것이고 많은 노력이 필요하게 될 것입니다. 여기 전 세계 유명 기업들의 신뢰할 만한 웹을 위한 노력을 조금 살펴 볼 수 있는 요소가 있습니다.

 

아래의 Article Cnet.com에서 "웹보안의 미래"라는 제목으로 주요 기업을 인터뷰한 기사입니다. 참고 삼아.. – 본 인터뷰 기사를 통해서도 내부 프로세스의 흐름을 일부 예측 하는 것은 가능합니다. 이 내용은 조만간  (언제나 그랬듯이 쓰고자 하는 의지가 생기면 바로 씁니다.)

 

http://www.zdnet.co.kr/news/internet/search/0,39031339,39158840,00.htm  구글의 치열하고 즐거운 보안 노력

http://www.zdnet.co.kr/news/internet/search/0,39031339,39158918,00.htm   야후 보안, '편집증 환자들'

http://www.zdnet.co.kr/news/internet/etc/0,39031281,39159098,00.htm  MS 데스크톱의 경험을 살리다.

 

* 위의 인터뷰를 보시면 아시겠지만 기술적인 보안이 온라인 서비스 기업에 대해 중요한 영향을 미치고 있음을 알 수 있습니다.  MS는 그 관점에서 보면 아직 갈 길이 많이 남았다고 할 수 있습니다.

 

위에 언급된 인터뷰 기사 각각에서 보듯이 웹이라는 흐름은 이제 대세가 되었으며 이러한 대세의 바탕 위에서 근본적으로 불완전한 웹이라는 메소드에 대한 보안성을 강화하고 신뢰 할 수 있는 웹으로의 전환을 위해 각각의 IT 서비스 기업들이 노력을 하고 있습니다. 그 근간에는 Process + 병적이랄 수 있는 기술적 전문인력 + 원활한 대외 협조 ( 공격자 들 및 제보자들 ) 세 가지 주요 요인으로 정리가 됩니다. 신뢰할 수 있는 웹은 보안적 이슈에 대해 신속한 대응, 문제점 보완을 할 수 있는 기술적 인력들에 의해 가능해 집니다. 인터넷은 통제가 가능한 메소드가 아니기에 더더욱 기술적인 부분이 중요해 집니다.

 

 

Trustworthy Web

 ( Web이라는 매개체가 이제는 소통의 도구에서 생활의 도구로 격상이 된 지금에 이르러서는 불완전한 Web을 신뢰하고 믿을 만한 도구로 격상을 시키는 것이 절대 화두가 될 것입니다.)

보안 부분이 중점을 기울였던 부분을 종합해 보면 자사의 서비스 ( 대부분 Web ) 보안 부분에 많은 역할을 부여하고 있습니다. 특히 IT 관련된 서비스를 직접 운영하는 곳에는 더 많은 필요성이 있을 것으로 보입니다.

 

Cnet의 인터뷰 기사에서 언급된 IT 서비스 기업들의 주된 특징으로는 자사의 서비스 부분에만 많은 신경을 썼지 사용자를 대상으로 한 보안 서비스 부분에는 상당 기간 무관심 하였던 것이 사실 입니다. 지난 해부터는 해외의 포털 및 서비스 업체들도 백신 배포 등과 같은 Action을 취하고 있지만 악성코드의 발전과 진화 속도를 따라잡지 못하고 있는 실정입니다.  다각적인 방안 모색이 필요한 시점이고 현 시점에서 확인 할 수 있는 부분은 Google의 변화 과정이 흥미로운 이슈를 제공 하고 있어서 어떤 방향으로 변화 되는지 살펴 보도록 하겠습니다. 변화를 할 수 밖에 없는 근본적인 흐름을 적어야만 왜 그렇게 하는지에 대한 이해가 가능해 진다는 판단하에 잠시 변화의 근본 원인을 짚어 봅니다.

 개요글 (http://blog.naver.com/p4ssion/50019586109 )에 몇 개의 구글의 변화 요소들을 적었습니다. 변화요소에 기반하여 다음글 한편에 지향하고자 하는 바를 짧게 정리하겠습니다.

 

* Google의 변화된 움직임을 설명하기 위해 전체의 Trend 변화와 우리가 인지 해야만 될 변화 요소에 대해 사전 설명이 필요했습니다. 그렇지 않고서는 모든 행동들의 의미와 가치를 이해 할 수 없기에 적을 수 밖에 없었습니다.

 

 -- to be continue ( 이미 완성은 되었으나 마음에 따라 올리겠습니다. 참 제멋대로죠 쩝 )

 

Posted by 바다란

안녕하세요. 바다란입니다.

 

오랜만에 뵙습니다예고를 했었지만 쓰고 싶은 의지가 들지 않아서 오랫동안 포스트를 게재하지 않았습니다. 앞으로도 종종 마음 내키는 대로 게재 하도록 하겠습니다. 누구나 할 수 있는 말이나 분석 보다는 독자적인 시각으로 흐름과 동향을 보도록 하겠다는 마음이니 만큼 불규칙적인 게재에 대해 많은 이해를 구합니다.

  

오늘은 구글의 검색 보안과 관련된 흐름에 대한 내용을 간단하게 살펴 보겠습니다. 올해 들어 매우 빠른 행보를 보이고 있어서 한번쯤 분석을 해볼 필요성이 있을 것 같아서 해봅니다.

 

사실 구글 이라는 검색업체에서도 보안적인 이슈에 대해서는 자사의 서비스 부분의 보안적인 요소에 지금까지 신경을 써왔습니다. 그러나 현재의 흐름은 자신의 서비스뿐 아니라 불특정 다수를 겨냥한 공격이 일반화되고 있어서 자신의 서비스에만 문제가 없다고 하더라도 다른 부분에까지 영향을 받을 수 밖에 없는 구조입니다. 또한 불특정 다수에게 설치된 악성코드를 통해 직접적인 서비스에 영향을 받는 구조로 되어 있어서 높은 신경을 쓸 수 밖에 없습니다. 그러다 보니 의사결정도 아주 신속하게 나오고 있는 상태입니다.

 

검색 보안이라는 용어 자체가 조금 애매모호하지만 단순하게는 Client 보안이라고 할 수 있습니다. 간단하게 말씀 드리면 Google의 검색 결과로 추출된 결과물에 대해서 사용자가 사이트 링크에 클릭을 하였을 때 악성코드 감염되는 유형을 차단하기 위함이라 할 수 있습니다.

 

국내의 경우에는 2005년 하반기부터 유명사이트를 해킹한 이후 악성코드를 유포하는 것이 매우 활성화 되었고 현재는 조금 잠잠해 진 것으로 보이는 유형입니다만 해외에는 지난해 말부터 대응 측면에서 본격적으로 시작이 되는 것 같습니다.  흐름상으로 보면 온라인 게임에 대한 공격이 전세계적으로 최초 시도가 되었고 이후 범위를 확장하여 검색 및 IT 서비스 분야의 어뷰징 유형으로 확산 발전 되는 형태로 볼 수 있습니다.

 

IT service 업체에서 가장 중요한 부분은 Service에 대한 신뢰도입니다. 그 신뢰도의 가장 중요한 부분에 Online security가 포함이 되고 향후 중요한 포석으로 활용이 될 것임을 알 수 있습니다.  

사업의 확장은 M&A를 통해 규모를 확장 하고 영역을 확장합니다. 그러나 가장 중요한 신뢰도의 확보는 정확한 검색 알고리즘과 로직을 통해 나타내는 결과 이외에도 Security라는 측면이 중요한 요소가 있음을 이제 구글도 알아가나 봅니다. ( 한편으로는 내부적으로 얼마나 많은 문제들을 겪었을까 하는 생각도 듭니다. 위험에 대한 인지 계기가 없으면 보안이라는 부분은 항상 중요도가 낮은 부분이 됩니다.)

 

주제는 딱 한 줄로 요약 됩니다. 최소한 구글을 통한 악성코드 전파는 차단 하겠다. 나아가서는 악성코드에 대한 문제는 최소한 구글을 통해서는 일어나지 않도록 하겠다는 의지의 피력 정도 되겠습니다.

목적으로는 검색결과에 대한 신뢰도 향상 , 급증하는 보안 위험요소에 대한 대응 정도 될 것 같습니다.

회사 규모에 비해서 스케일이 작아서 좀 실망스럽긴 합니다만..~~

 

그럼 올해  본격적으로 모습을 드러낸 구글의 Online security에 대한 행보를 퍼즐 맞추기 해보도록 하겠습니다. 공식적으로 발표된 이슈만을 가지고 조합을 함으로 무리수가 따를 수 있으나 개인의 예상이라는 측면에서 봐주시면 될 것 같습니다.

 

 

구글의 2007 Security action

 

4 ( Hotbots 2007 ) 악성코드 위험 사이트 발표 ->

4월 말 KISA - Google과 악성코드 탐지 협력 -> 

5 . Greenborder의 인수 ->?

7  postini 이메일 보안업체 인수 -> 이 이슈는  online security와는 아주 조금 관련 될 것으로 예상됩니다.

 

올해들어 처음으로 구글 내부에는 Anti malware라는 조직이 신설된 것으로 알고 있습니다. ( 발표자료 보고 알았습니다.) 해당 조직의 조사에 의해 올해 4월에 있었던 Hotbots 2007 행사에서 450만개의 웹서비스를 대상으로한 악성코드 설치 위험을 지닌 통계를 발표 하였습니다.  

그 결과로 대상인 450만개에서 10% 45만개 가량의 웹서비스에서 사용자에게 영향을 줄 수 있는 악성코드의 위험성이 있다고 발표 되었는데 여기에서 중요한 것은 왜 그 조사를 진행 했으며 무엇을 하기 위해 그 업무를 했느냐가 분석이 되어야 합니다.

 

간략한 참고는 기사화된 내용이 존재 합니다.

http://www.etnews.co.kr/news/detail.html?id=200705140149

 

전문적으로 참고 하실 분은 Hotbots 2007의 컨퍼런스 발표 원문을 보시면 됩니다.

http://www.usenix.org/events/hotbots07/tech/full_papers/provos/provos.pdf

 

Hotbots2007 conference에서 다양한 주제들이 발표 되었으니 관심 있는 분들 참고 하시면 될 것 같습니다.

 

4월 말 경에는 KISA (한국정보보호진흥원) Google의 악성코드 탐지 사이트에 대한 대응 협력도 체결을 한 상황입니다.

http://www.dt.co.kr/contents.html?article_no=2007042502011060713008

 

악성코드 탐지와 관련된 또다른 움직임은  http://stopbadware.org 와도 밀접한 연관이 있습니다.  

 

 

2006년 하반기부터 운영된 사이트로서 구글 검색에서 나온 검색 결과에 대해 링크 클릭시에 악성코드를 유포한다고 보고가 된 사이트에 대한 접근은 stopbadware.org 사이트로 리디렉션 시킵니다. 검색 결과는 보여주되 악성코드를 유포하는 사이트로의 접근은 제한을 거는 것이죠. 여기서 또 트릭이 하나 있는데 검색결과에 대한 링크 허용 요청은 stopbadware.org로 직접 하게 합니다. 이 사이트의 운영은 묘하게도 하버드 법대에서 운영을 하는 것으로 나와 있죠.  항의는 하버드법대에다 진행하고 문제가 해결이 되었다면 stopbadware.org 에서 지워지면 구글도 링크를 허용하겠다 이런 정책으로 보입니다. 좋은 잔머리라고 볼 수 있을 것 같습니다. ^^; 더불어 KISA와의 협력을 통해 보다 더 한국에 특화된 악성코드 대응이 가능해 질 것으로 예상 됩니다.

 

 

Anti malware라는 팀에서의 악성코드 위험성 조사와 더불어 진행된 내용으로는 Greenborder의 인수를 병행하여 추진한 것으로 보이며 5월 말 경에 공식적으로 발표를 합니다. 내부적인 합의는 5월 중순에 완료 되었다고 합니다.

http://www.zdnet.co.kr/news/internet/hack/0,39031287,39157927,00.htm

 

Greenborder의 인수는 왜 이루어 졌을까 하는 의문 당연히 제기 되어야 합니다. 그린보더의 기술은 Firefox IE Browser 내에 가상의 Sandbox 모델을 구축하여 보안을 구현 한다고 되어 있습니다. 정말 어렵게 설명 하죠? 좀 쉽게 설명 하면 다음과 같습니다.

 

모든 웹사이트에 방문을 할 경우에 해당 웹 사이트의 데이터는 개인 PC Temporary 폴더에 저장이 됩니다. Firefox IE든 마찬가지 입니다.  악성코드의 전파는 우선 사이트에 방문 이후 모든 파일이 내려진 이후에 자동 실행등을 통해서 이루어 집니다. 그린보더는 여기에 착안을 하여 비지니스를 진행 합니다.

 

                     <cnet.com greenborder pro2 에 대한 소개 이미지>

 

자세히 들여다 보시면 Browser 테두리를 Green color로 둘러 싸고 있는 것을 볼 수 있습니다. 일단 보호가 되고 있다는 의미를 나타냅니다. 사업의 방향은 간단합니다.  Temporary 폴더로 다운로드 되는 모든 파일에 대해 실행제한을 하게 하고 설치가 되지 않도록 하기 위해  가상화된 공간을 만들고 해당 공간은 시스템에 영향이 없도록 만들어 둡니다. 그 이후 사이트를 떠나거나 브라우저 창을 종료 할 경우 파일의 삭제 혹은 가상화된 공간을 없애는 것이죠.

 

즉 모든 악성코드들의 출발점인 다운로드 이후 실행 경로와의 차단을 목적으로 진행을 합니다만 기본 경로에 대한 차단을 시행하는 역할 을 합니다. 개념상으로는 좋은 아이디어 입니다. 한번 사용을 해봤으면 정확하게 알 수 있는데 구글의 인수 이후 해당 업체를 알게 되었고 다운로드 경로가 모두 삭제되어 사용이 불가하여 웹상에서 드러난 공개자료를 통한 분석 외에는 해볼 수 없었음을 알려 드립니다.

 

이 그린보더의 문제점은 시스템에 대한 보안 적용이 필요한 모든 부분에서 문제를 일으킬 수 있다는 점입니다. 즉 구글을 제외한 모든 사이트들에서 추가적인 도구들을 사용 할 수 없는 문제들이 발생 할 수 있습니다. 이런 문제를 해결 하기 위해서는 앞으로 많은 시간이 필요할 것으로 보이나 해당 업체의 기술을 이용한 검색 결과의 안정성 보장은 빠른 시일 내에 모습을 드러낼 것으로 보입니다.

 

드러난 Google의 행보는 여기까지입니다. 단순하게 세 가지 사실을 가지고 유추해본 바로는 향후 검색 결과에 대한 사용자 신뢰도 확보에 대한 Google의 의지를 볼 수 있고 또한 동양과 서양간의 사회적 인식에 따른 보안 개념의 차이를 볼 수 있습니다.

 

올해부터 보안컨퍼런스에 전면적으로 모습을 드러낸 구글의 모습은 그 필요성에 따라 매우 빠른 움직임을 보이고 있습니다. 그만큼의 위험상황이라고 인식을 하는 것을 볼 수 있습니다. 자사의 검색결과에서 악성코드가 유포되는 유형을 공개적으로 발표를 하는 의도도 그만큼의 위험상황임을 내부에서만 알고 있기에는 위험하다고 판단 했기에 그랬을 것으로 보입니다.

  

* Article이 좀 분량이 있습니다. 계속 올리도록 하겠으며 다음에는 좀더 체계화 되고 전략적인 방향 부분을 짚어 보도록 하겠습니다 2편 정도 더 나올 것 같습니다.

 

감사합니다.

 

 

참고: 동양과 서양간의 사회적 인식에 따른 보안개념의 차이에 대한 사견

 

 - 일반적인 내용은 아닙니다만 사회적 인식에 따라 책임 소재가 국내의 경우 서비스 업체에 집중이 되는 경우가 많습니다. 금융사고의 경우에도 개인 사용자에게 설치된 악성코드로 인해 발생된 사고의 경우에도 금융권에서 배상을 해야 하는 내용등이 있어서 문제 발생 이전에 사전 대응을 주로 하도록 합니다. 수많은 ActiveX가 설치되는 이유 이기도 합니다.

 

서구권의 경우 사고 이후의 분석에 많은 강점을 보이고 있습니다. 즉 사용자에 대한 모든 행위 분석 ( CRM의 일종 )에 따라 비정상적인 행위 패턴을 보일 경우 Alert이 되도록 합니다. 즉 한번도 간적이 없는 곳 또는 사용 기록이 거의 없는 시간대에 거액의 비용을 사용하게 된다면 Abusing이라고 판단하죠. 이걸 Fraud 라고도 합니다. 이런 유형의 검출에 대해 특화된 노력들이 많이 있어 왔습니다.

 

금융권의 예를 들었읍니다만 서비스의 경우에도 개인 사용자야 어찌되든 자신의 서비스로 인해 나타나는 결과의 안정성에만 신경을 쓰는 것을 볼 수 있습니다. Google이 그 케이스를 보여 준다고 생각 됩니다.

 

 

 


 

 
Posted by 바다란

좀 길어 졌습니다.

쓰다보니 중복되는 내용들도 다수 있지만 그냥 올립니다.

 

언제나 그렇듯이 블로그에 올리는 모든 의견들은 제 개인의 의견입니다. 이점 유념 하여 주셨으면 합니다.  이 긴글을 읽어낼 인내심이 당신과 함께 하기를..

 

--

대응

변화를 보라. 변화를 볼 수 없고 느끼지 못하면 도태만이 있을 뿐이다.

 

 

작금의 변화는 언제부터였을까? 지금과 같은 상황은 언제 예견 되었을까? . 전략과 시대를 통찰하는 시각의 부족은 고대부터 항상 있어왔고 지금에도 마찬가지이다. 빠르게 변화하는 세상과 문화의 흐름을 예측하기는 어렵다. 더욱이 지금과 같은 직접교류와 인간과 인간과의 관계가 급속도로 가깝게 연결 되는 시대에는 더 어려울 수 밖에 없다. 현상도 이러할진대 현상에서 촉발되는 많은 문제들 중 IT서비스에 대한 문제와 Security라는 측면에서는 더 큰 어려움이 존재 할 수 밖에 없다.

<?xml:namespace prefix = o /> 

변화를 보려 하고 준비한자는 어디에 있을까?

 

이제 변화의 흐름을 쫓아보자.

작금의 Security 환경의 가장 큰 위협은 전 세계적인 이슈라고 할 수 있다. 세계적인 보안 이슈는 지금까지 Botnet , Phishing 으로 인한 대규모적인 악성 시스템 그룹의 운영과 사기에 초점이 맞춰져 있었다. 거기에 최근 2~3년 사이에 악성코드가 결합한 형태가 나타나서 새로운 흐름이 만들어 지고 있다. 전 세계적인 이슈는 세계 평균적인 서비스의 발전에 따라 나타난다. IT서비스의 발전이란 접점의 확대 ( 이른바 다양한 UCC를 통해 사용자와 교류하고 소통하는 Web 2.0 의 현상이라 할 수도 있다.) IT 인프라의 발전과 발맞추어 나아간다고 할 수 있다. 인프라의 밀집과 고가용성 상태로 보면 세계 최고 수준을 유지하고 있는 한국으로서는 선도적인 서비스 문화들이 많이 발생 하였고 이를 통해 온라인 게임이나 사용자와 교류하는 Web 2.0 모델의 할아버지 격이 될 수 있는 서비스들이 다수 출현되어 현재도 활발하게 서비스 중인 상황이다.

 

세계의 발전도 인프라의 고가용성으로 나아가며 사용자와의 교류가 높아지는 서비스가 주류를 이루어 가고 있다. 점차 Security에 대한 위협도 세계적인 이슈가 될 수 밖에 없다.

 

한국에 최초 출현한 위협들은 악성코드에 대한 위협과 Web Application에 대한 직접 공격을 들 수가 있고 이 위협들은 여전히 현재 진행형이다. 2005년에 최초 출현한 위협들은 이후 확대되어 세계적으로 퍼지고 있는 상황이나 한국만큼 악성코드의 유포 및 활용성이 높은 곳은 아직 미비하다. 향후 몇 년간 전 세계 IT 서비스 부분에 대해 명확한 이슈로 등장할 것이며 그 근본에는 대표적으로 중국이 등장 할 것이다.

 

왜 이런 예상을 하는지 잠시 최근의 근거를 살펴보자. 드러난 것은 전체의 1/10도 되지 않는다는 점에 염두를 두고 살펴 보면 된다.

 

http://blog.naver.com/p4ssion/50002005359  2006 2월에 작성한 글에서 향후 위험성에 대해서 의견 피력을 했고 지금은 1년이 휠씬 더 지난 상황이다.

 

처음 중국으로부터의 해킹 분석을 한 것이 2002년 이였고 이후에도 간헐적으로 의견 제시를 했었지만 지난해 초에는 세계적인 이슈가 될 것이라는 전망을 하였었다.

 

현재는 커뮤니티 문화 및 인터넷 문화가 확산되어 금전 거래 및 문화로도 연결이 된 우리 나라에 대해서만 피해가 크게 보이지만 인터넷 문화의 확산에 따라 유비쿼터스 환경의 빠른 확대에 따라 세계 각국으로도 중국의 공격은 유효하게 발생이 될 것입니다.  본문중

 

본문중에서 발췌한 내용이며 해당 내용의 유효성이 얼마나 실현 되었는지 2007 9월 이후에 언론에 나타난 흔적들을 통해 한번 되새겨 보자.

 

 

 

http://news.naver.com/main/read.nhn?mid=etc&sid1=104&mode=LPOD&oid=001&aid=0001799299  ( 중국내에서도 심각한 문제가 되고 있음을 볼 수 있습니다. )

 

http://www.donga.com/fbin/output?n=200709210153 ( 해킹 동향에 대한 일반론)

http://news.naver.com/news/read.php?mode=LSD&office_id=001&article_id=0001752161&section_id=102&menu_id=102 (뉴질랜드 정부기관 해킹 관련 보도)

http://weekly.hankooki.com/lpage/business/200709/wk2007091012524537060.htm  (펜타곤 및 미 정부망 해킹 관련 보도)

http://news.mk.co.kr/news_forward.php?no=481939&year=2007 (프랑스 총리실 해킹)

http://news.naver.com/news/read.php?mode=LSD&office_id=003&article_id=0000553689&section_id=104&menu_id=104  (,,영국 해킹 관련 보도)

http://www.ytn.co.kr/_ln/0104_200709051801337415

 

 

 

간략하게 20079월 이후 기사화 된 것만을 추려도 위의 항목과 같이 나타나고 있다. 대부분 피해 사실을 숨기고 공개적으로 언급하기를 극도로 꺼려 하는 점을 감안하면 각국 정부의 반응은 예상을 넘어선다. 이 것은 예상을 넘어선 피해가 존재 한다는 의미와 동일하다 할 수 있다.. 가장 처음의 링크를 주의 깊게 볼 필요가 있다. 현재 발생되는 사이버 테러의 가장 큰 피해자는 중국 스스로이며 정보를 가장 많이 얻기도 하지만 가장 많은 공격의 대상이 되기도 한다. 그러나 기질상 금전과 과도한 국수주의 기질로 무장한 공격자들에게 대외적인 이슈가 발생 한다면 국가적인 혹은 산업적인 적대 대상에 대해 집중적인 공격이 발생 할 수 있다. ( 국가망에 대한 공격은 Zeroday Attack이 주로 이용되며 MS Office 계열의 문서를 활용한 백도어류가 주류를 이루고 있다. 백도어의 행위가 매우 지능적이고 찾기가 어려움에 따라 향후 강도 높은 주의가 필요한 부분이다.)

 

Security의 패러다임은 계속 변화하고 있다. 장기간의 변화 방향을 짚기는 어려워도 1~2년 정도의 변화는 누구나 손쉽게 짚어 낼 수 있다. 지금까지의 패러다임을 주관적으로 한번 보면 다음과 같다.

 

모두 2000년 이후의 변화만 기술한 내용이다. 그 이전의 변화는 지금의 흐름과 관계가 없으므로 언급할 필요가 없고 network 단위의 웜의 최초 출현과 그 이후의 변화를 주로 살펴 보면 된다.  Worm이 발생 부분은 전 세계적으로 동일하게 발생 하였고 이후의 Botnet으로의 진화와 변화도 세계적인 흐름이지만 이후의 Web을 통한 Pc의 공격은 중국에서 단연 주도하고 있는 상황이다.  물론 그 이전에 Application에 대한 Attack 흐름은 나타났으나 실제 피해를 입히는 영향도로 보아서는 Web서비스를 통한 악성코드 유포 이슈가 단연 높다고 할 수 있다.

 

Worm 발생 이전에는 격리의 단계에서 이후에는 보호단계로 진입하고 지금에 이르러서는 불특정 다수의 PC환경 까지도 보호해야만 되는 그런 상황으로 나아간다. Web을 통한 전파 가능성만큼 확실하고 대규모적인 악성코드 설치가 가능한 환경도 존재하지 않는다. 따라서 향후에도 Web을 통한 악성코드 전파 및 유포 행위는 전 세계적으로 이슈가 될 것이며 단지 한국의 상황은 조금 빨리 부딪힌 것뿐이다. 위기 상황은 기회를 만들기도 한다. 그러나 정작 국내의 보안산업은 위기 상황에서 어떤 고민들을 했나? 창조적인 준비, 역동성, 열정 이 모든 것들이 결합되지 못하였고 근 미래조차 예상 하지 못하는 근시안적인 판단으로 지금까지 버텨왔다고 보는 것이 필자만의 개인적인 생각일까?.

 

최초 서비스는 많으나 최초의 창의적인 제품들이나 보안 서비스들은 어디에 있을까? 이처럼 독특한 위협들을 몸으로 겪으면서 보안이라는 산업 자체는 최소한 한국 내에서는 위기를 맞게 되었을 것이다. 현업의 서비스 담당자들 보다 떨어지는 실무경험으로 무엇을 가이드 할 수 있단 말인가?  더 이상 정보의 가치는 없다. 누구나 접근 가능하고 취득이 가능한 정보는 그 가치를 잃고 만다. 경험으로 체득한 지혜만이 혜안을 밝힐 수 있으나 그 경험을 누적 시키지 못하고 인재를 양성하지 못한 대가는 향후의 방향성을