태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'worm'에 해당되는 글 29건

  1. 2010.04.27 분석(10) 구글 초비상. 예견된 위협 adsense worm
  2. 2010.04.27 wmf 이미지 공격을 통한 대규모 피해 우려
  3. 2010.04.27 Threat of china 공격 분석 및 대책
  4. 2010.04.27 RPC Worm 관련 문서
  5. 2010.04.27 IT 보안 현황과 위협에 대한 전망
  6. 2010.04.27 Cyber Storm - US의 보안 대응
  7. 2010.04.27 CSI 컨퍼런스 참가 후기
  8. 2010.04.27 해킹시의 기업의 피해에 대한 생각
  9. 2010.04.27 중국 해커에 대해 그리고 분석.. 2006
  10. 2010.04.27 브라질 해킹 그룹 분석
  11. 2010.04.27 보안정보는 공개적으로 논의 되어야 한다.
  12. 2010.04.27 기반시설에 대한 보안 (SCADA & DCS)
  13. 2010.04.27 2005년 공격 유형의 변화 -Application Attack
  14. 2010.04.27 2003년 1.25 대란을 분석한 글
  15. 2010.04.27 zeroday worm (침해사고 유형의 발전)
  16. 2010.04.27 wmf 이미지 공격을 통한 대규모 피해 우려
  17. 2010.04.27 Threat of china 공격 분석 및 대책
  18. 2010.04.27 RPC Worm 관련 문서
  19. 2010.04.27 IT 보안 현황과 위협에 대한 전망
  20. 2010.04.27 Cyber Storm - US의 보안 대응
  21. 2010.04.27 CSI 컨퍼런스 참가 후기
  22. 2010.04.27 해킹시의 기업의 피해에 대한 생각
  23. 2010.04.27 중국 해커에 대해 그리고 분석.. 2006
  24. 2010.04.27 브라질 해킹 그룹 분석
  25. 2010.04.27 보안정보는 공개적으로 논의 되어야 한다.
  26. 2010.04.27 기반시설에 대한 보안 (SCADA & DCS)
  27. 2010.04.27 2005년 공격 유형의 변화 -Application Attack
  28. 2010.04.27 2003년 1.25 대란을 분석한 글
  29. 2010.04.27 zeroday worm (침해사고 유형의 발전)

 

외신 관련 기사 ( Google Adsense 관련된 웜 이슈)

http://news.zdnet.co.uk/security/0,1000000189,39291643,00.htm

 

http://www.bigmouthmedia.com/live/articles/googles-adsense-threatened-by-trojan.asp/4321/

 

전자신문 기사.

http://www.etnews.co.kr/news/detail.html?id=200712210129

 

바다란 입니다..

 

오랜만에 뵙습니다.

지난번 마지막 글 (http://blog.naver.com/p4ssion/50024269739 )에서 IT 서비스 보호를 위한 제안 방안에서 서비스 보호를 위해서는 전역적인 대응체제 구성이 필요하다는 의견을 드렸습니다. 그 필요성이 가장 필요한 케이스가 구글에 나타났습니다. 이른바 Service Hijacking 이라고 할 수 있겠네요.

 

개인 PC에 상존하는 웜들이 자체 전파를 하면서 Adsense를 바꿔치기하고 광고수익을 가로채는 유형인데 위의 기사에 언급 되었듯이 구글의 지대한 매출액과 순이익의 비밀에 40% 가량 기여를 하고 있는 Adsense 부분이 유명무실화될 위기에 처했다고 볼 수 있습니다. 최근에 보안업체에 의해 발견이 된 악성코드 이며 시작은 언제인지 파악하기 어렵습니다. ( 그 이야기는 그동안의 피해산정도 어렵다는 의미이며 통계화 하기도 불가능하다는 이야기와 동일합니다.)

 

IT 서비스 기업에서 가장 중요한 부분은 신뢰성입니다. A B간의 관계에 신뢰성이 존재하여야 거래가 이루어 지는데 이 신뢰 자체가 깨어지게 된 것이죠. 기업과 서비스 간에 있어서 그 동안의 보호의 개념이 자사의 서비스에 대한 보호 관점에서 사용자의 PC에 대한 보호 관점으로 옮겨 갈 수 밖에 없다고 하였고 국내는 이미 2005년 말 게임 부분에 대해 게임에 대한 악성코드를 제거하는 전용백신 및 다양한 온라인 보안 서비스들이 부가 되면서 시작 되었으나 해외 부분은 전혀 그렇지 못했습니다.

 

위의 이미지는 올해 9월의 Item 거래 업체에 대한 DDos 공격 이후에 개념도를 확장한 내용입니다. 개별 서비스 단위까지 영향을 미칠 수 있고 조금만 더 생각을 해보면 구글과 같은 모델에 대해서는 손쉽게 공격이 가능합니다. 국내를 공격한 조직 정도의 기술레벨이라면 충분히 더 큰 규모를 노릴 수도 있는 것이 정답입니다.

최종 단계에서 보듯이 사용자에게 유포된 악성코드를 이용하여 국내에서는 DDos  공격에 이용하였지만 이 내용만 Adsense의 내용으로 바꾸면 될 문제입니다. 그리 어렵지 않게 전환이 가능합니다.

 

 

IT 서비스 부분에 있어서 Security 관련된 위협이 회사의 명운을 걸 정도로 치명적이다라는 것을 인지 못했다고 보는 것이 정확할 것입니다. 나름대로 보안 부서를 정리하고 신규로 만들면서 다양한 서비스 부분에 대해서 구글은 노력했으나 이제는 전방위적인 노력을 해야 할 것 같습니다. 그렇지 않다면 구글의 서비스 모델 자체가 무너질 수도 있는 위기라고 할 수 있을 것 같습니다.

 

아래의 이미지는 공격자들의 기술 발전 좌표입니다. 최근에 제가 갱신한 내용입니다. 이제는 웹을 통한 자동화된 유포 단계에 까지 이어져 있습니다. 아직 구글의 사례가 어떤 케이스인지 정확한 분석은 안되었으나 기사에 나온 현황들로만 유추해 볼때 아직까지 최종 단계까지는 인식을 못하는 것으로 보입니다.

 

 

최근의 동향은 공격자들의 기술수준도 매우 높아졌습니다. 자동화된 도구에 특정 서비스에 특화된 공격들도 함께 붙여진 상태이며 위험 수위가 높다고 할 수 있습니다.

 

앞으로의 구글의 대응은 어떻게 될까요?.

예상하자면.. ( 구글이 살기 위해서라면 )  온라인 보안 서비스(Adsense를 위협하는 악성코드의 제거) 도입 또는 무료백신 서비스의 전세계적인 확장 이외에는 대안이 없을 것입니다.  구글팩에 이미 백신이 포함 되어 있지만 이것은 사용자의 편의를 위한 것이고 이제는 서비스의 생존을 위해서 필요한 부분입니다.

 

이미 발전 방향으로 보았을때 지난해 부터 예견이 된 문제이고 이제서야 나타난 것 뿐입니다.

 

IT 서비스는 불완전 합니다. 다만 완전에 가까울 수 있도록 지속적인 노력을 꾸준하게 하여야만 합니다.

이것을 하기 위해서는 현상에 대한 지속적인 관찰과 예상을 통해 작은 단서를 통해 향후 나타날 수 있는 Risk를 예상 할 수 있어야 하고 조기에 준비를 하여야만 합니다. 그렇지 않으면 세계적인 서비스는 위험에 처할 수 밖에 없습니다.

 

전 세계적으로 기술적인 보안과 Provisioning이 중요시 되고 방향성이 제시 되지 않는 IT 서비스 기업의 생존은 앞으로 험난할 것입니다.

 

 

이미 예견된 문제입니다. 벌써 예견이 된 문제..

 이제는 국내의 무료백신 경쟁과는 관계없이 세계적인 모델이 먼저 나올 것 같군요.

 

 

보안업체의 생존은 고민들 많이 하시겠지만 서비스별로 특화된 방안을 가져 가야만 할 것입니다. 특화하기 위해서는 정보 수집과 연구에 많은 노력이 있어야 되겠지요.  그동안 새로운 접근에 대한 사고와 노력이 부족하여 앞으로 상당기간 어려움이 있을 것 같습니다. 국내업체뿐 아니라 전 세계 보안업체 모두 새로운 위협에 대한 대응은 여전히 인지단계라고 볼 수 밖에 없을 것 같습니다.

 

 좋은 연말연시 되십시요.

 

* 앞으로 언제까지가 될지 모르겠으나 블로그에 많은 포스팅을 하게 될 것 같습니다. 생각 나는대로 올릴 수 있도록 하겠습니다.

 

 

Posted by 바다란

안녕하세요. 바다란입니다.

 

 

wmf 관련된 IM웜 (sdbot ) 및 이메일 전파 웜 , 악성코드 설치 유형이 급격하게 증가하고 있습니다. 12월 말을 기점으로 대폭 증가된 형태로 발견이 되고 있으며 위험성이 높습니다. 현재의 악성코드 루틴과 결합시에 국내 사용자들의  대규모 피해가 우려 됩니다. 공격코드 자체가 그리 어렵지 않다보니 상당히 많은 변형도 출현이 가능하고 피해 노출 방법도 다양한 방식으로 가능하므로 향후 변화가 많을 것으로 판단됩니다.

 

해외 최대 보안관련 사이트인 sans.org 에서는 wmf 취약성을 이용한 웜 및 바이러스에 대해 투표도 진행하고 있습니다. 그냥 사라질 것인가? 아님 2006년을 빛나게(?)할 취약성인가?..하는.. 투표입니다. ㅠ,ㅠ

이슈가 된 메신저 전송 jpg 파일에 대해서 직접 분석을 해본 결과 실제 jpg 파일은 아니며 HTML 컨텐츠 입니다. 내부 소스는 아래와 같은 링크 코드가 존재합니다. 

 

-----------------------------------
<body>
<P ALIGN=center><IFRAME SRC="foto.wmf" WIDTH=0 HEIGHT=0></IFRAME></P>
</body>
-----------------------------------

여기에서 WMF 파일이 악성코드를 실행 시키고 외부 사이트에서 다운로드 하는 역할을 맡고 있습니다.
또한 제가 앞서 말씀드린 대로 이미지 파일 및 팩스 미리 보기 기능과 연관된 DLL 이 문제가 있는 관계로 WMF 파일에 마우스만 올려 두어도 미리보기 기능이 동작하여 바이러스가 감염이 됩니다.
즉 웹사이트 방문 만으로도 감염이 되며 해당 악성코드의 업로드 시에 대량의 피해자가 발생 할 수 있을 것 같습니다.

 

추가적으로 jpg, gif 등 모든 이미지 파일 포맷으로 이름 위장이 가능하며 윈도우 시스템의 특성상 해당 이미지를 보기 위한 최적 DLL을 자동으로 찾는 과정에서문제가 발생할 것으로 예상이 됩니다. 그러므로  우선적으로 wmf 파일의 업로드를 금지하고 내부에 wmf 파일 링크를 지는 URL을 탐지하며 장기적으로는 파일 헤더 검색을 통한 검출루틴이 필요한 부분으로 판단이 됩니다.

제가 판단하기에는 현재의 악성코드를 통한 정보 유출 이슈와 결합시 국내에 폭발적인 피해가 발생 할 것 같습니다.


서비스 제공자 단위 대책:

1. WMF 파일의 업로드 금지 설정

2. WMF 파일을  내부 컨텐츠로 포함시킨 ( Iframe , 링크 등 ) 링크의 검출 및 제거

3. 파일 헤더 검사를 통한 WMF 파일 검출 ( 좀 시일이 걸릴듯 )

 

 

클라이언트 단위 대책:

*.  DLL 등록해제를 통한 임시 해결 방안
  - Microsoft는 보안권고에서 다음과 같이 임시 해결방안을 제시함
    * Windows XP SP1, XP SP2, Server 2003, Server 2003 SP1 사용자의 경우, Windows 사진 및      팩스 뷰어(shimgvw.dll)의 등록을 해제한다.
     step) 윈도우 시작버튼 클릭 -> 실행(R) 클릭
               regsvr32 -u %windir%\system32\shimgvw.dll 입력하고 확인 버튼 클릭
               ※ 이 작업은 이미지 파일을 더블클릭해도 Windows 사진 및 팩스 뷰어로 볼 수 없게 만드는 것임 또한 미리보기 기능이 안됩니다.

 - 향후 마이크로소프트의 패치버전을 설치하면 원래 상태로 되돌릴 수 있다.
      step) 윈도우 시작버튼 클릭 -> 실행(R) 클릭
               regsvr32 %windir%\system32\shimgvw.dll 입력하고 확인 버튼 클릭

 

 *. 비공식 패치의 설치 ( 그다지 권고 하지는 않습니다.)

  http://isc.sans.org/diary.php?date=2005-12-31 - 게시물 항목
  http://handlers.sans.org/tliston/wmffix_hexblog13.exe  - Unofficial Hotfix

 

피해가 우려되는 버전은 다음과 같습니다. ( MS의 KB Article 참조)

Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 
Microsoft Windows Server 2003 for Itanium-based Systems
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME)
 

 

관련 정보 사이트:

http://www.certcc.or.kr/intro/notice_read.jsp?NUM=107&menu=1   - 그래픽 렌더링 엔진 취약점

권고 파일
http://www.microsoft.com/technet/security/advisory/912840.mspx
http://www.f-secure.com/weblog/archives/archive-122005.html#00000752
http://isc.sans.org/diary.php?storyid=972

Posted by 바다란

2002년 8월 초에 작성한 내용입니다.

 

2006년인 지금도 중국으로 부터의 위협은 대단히 심각한 상황이지만 그 시작은 2002년 부터라고 보는 것이 정답일껍니다.

이때 처음으로 중국 사이트들 돌아다니면서 현황 파악해보길 향후 심각한 위협이 될 것이라고 판단 했었는데..

 

문서의 근간은 침해사고를 당한 서버에 올려진 공격툴등을 분석한게 기본 모체인데.. 사고 분석을 하다보니 종합선물세트처럼 되어 있더군요.

 

이런 문서를 만들면서 나름대로 공부가 많이 되었던 것 같습니다.

가르쳐 주는 사람이 없어도.. 스스로가 배우는 것이 공부이고 배움이라고 생각 되네요.

가르침이 없어도 좋다. 내가 가르침이 된다. 뭐 이런 궤변인가?..

아무튼 스스로가 배우고자 하고 덤벼들어야만 무언가를 할 수 있는 것이 아닐런지요.

 

이때 여러 사이트에 글을 썼었는데 앞으로 홍커가 온다고 이야기 하던 기억이 나네요.

이제 실감나게 2005년 부터 오고 있으니.. 틀린말은 아닌 것 같습니다.

 

그럼. - 아..하루 업로드 파일 용량 제한이 있네요..이 파일은 다음에 생각나면 다시 올리겠습니다.

Threat of china 로 검색 하시거나 winsnort 또는 바다란 으로 검색하시면 PDF 파일 보실 수 있을 겁니다. - v파일은 올렸습니다.

 

--

아.. 명의 도용의 시작이라기 보다는 명의도용은 오래된 일이고 악성코드를 금전적인 이득을 위해 유포하거나 사이트 해킹을 직접 시도하여 이익을 취하고자 하는 행위는 2005년 부터가 시작이죠. 공격은 2002년 경 부터 시작이 되었다는 이야기 입니다. 뭐 출발지는 똑같죠. 최근의 악성코드 해킹에도 상당히 고수준의 공격자 및 공격툴 제작자들도 돈벌이에 나서는 판이니... 똑같은 뿌리라고 볼 수 있을겁니다.

 

Posted by 바다란

2003년 8월 작성.

RPC 관련 대형 취약성 출현시에 위험성을 알리고 대책을 권고하기 위해 간단히 만든 문서.

 

Posted by 바다란

 

 

 

2005년 현재의 취약성 및 위협 동향 과 향후의 위협 과 대응

 

 

최근 동향을 보면 다음과 같이 요약이 가능합니다.

 

* 클라이언트 단위의 위험 증가 ( 개인 PC 에 대한 중점적인 공격 )

해외에서는 피싱등을 이용한 공격이 증가하고 있고 국내에는 직접적인 클라이언트 PC 공격 및 취약성을 이용한 악성코드 설치가 주된 유형입니다.

 

* 일반 Application에 대한 공격 증가
( 버그트랙이나 기타 메일링을 보아도 운영체제 등에 대한 취약성 보다는 운영체제 기반하에서 영리 목적이나 운영을 목적으로 코딩된 솔루션에 대한 취약성이 집중되고 있습니다.)

http://www.securitymap.net/sdm/docs/attack/Application-Attack-Analysis-PHP.pdf

 

 

* 보다 더 집중화된 Bot의 공격 

( 일전에 Bot 관련된 언급을 하면서 Monster Bot 이라는 용어를 언급한 적이 있습니다. 취약성이 나올때 마다 공격 기능이 하나씩 더 추가가 되어 하나의 Bot이 공격하는 공격의 가지수가 지속적으로 늘어나는 유형이죠. 또한 운영체제의 구분 없이 Application 에 대한 공격 유형도 첨가 되는 형태라 가히 Monster bot으로의 지속적인 진화가 예상 됩니다. )

 

* Application Worm의 일반화 가능성 매우 증대

( 특정 국가 , 특정 지역 , 특정 회사에 기반하여 사용되고 있는 Application 자체의 취약성을 통해 전파되고 통신망을 무력화 하는 공격이 매우 증가할 것으로 판단 됩니다. 무선 관련이나 블루투스 관련된 웜의 전파도 동일 유형이라고 보시면 됩니다.)

http://www.securitymap.net/sdm/docs/virus/Zeroday-worm.pdf

 

 

 

위와 같이 요약이 됩니다.

 

또한 향후 발생할 위협을 정리 해보면 다음과 같이 정리가 됩니다.

 

향후 지속될 위협

 

* 오래전 부터 언급한 기반시설의 IP 전환 및 온라인 노출이 많아 짐으로 인한 위협의 현실화 ( 기반시설의 위협에 관한 문서를 참고 하시면 됩니다.)

너무 빨리 문제제기를 한 면이 있지만 향후 지속적으로  일반화 될 것으로 예상 됩니다.

http://www.securitymap.net/sdm/docs/attack/internetcrisis_conspiracy%20.pdf

http://www.securitymap.net/sdm/docs/general/Critical_Alert_for_Cyber_Terror.pdf

 

* 무선 및 WiBro , DMB의 활성화를 통한 웜 전파

( IP 기반의 모든 머신에 해당이 될 것이며 이 경우에는 프로토콜 간의 Gateway의 보안설정 이나 허용 조건에 따라 보다 많은 편리성을 제공할 경우 광범위하게 전파가 될 것으로 판단됩니다. )

 

* 보안 인력의 부재 지속

( 전문성이 지속적으로 떨어지고 있는 현실에서 각 영역을 종합적으로 대처할 수 있는 보안 인력은 수요는 급증하나 인력은 계속 부재한 상황이 지속 될 것입니다. )

 

시스템 , Application , 네트워크 , 종합적인 대응 , 보안 체계 수립 이 모든 분야를 컨트롤 할 수 있는 마스터급의 보안 인력은 향후 매우 부족하게 될 것으로 판단 됩니다. 또한 Penetration Test의 영역이 매우 확장이 되어 상당히 많은 부분을 커버하게 될 것으로 예상이 됩니다.  물론 수요도 많이 있을테지만 국내의 현실상 오랜기간 숙달된 인력이나 전문성을 유지하고 있는 인력의 부재로 힘겨운 상태가 지속이 될 것 같네요. 협상력만 잘 보완 한다면 적절한 전문성을 유지한 인력의 경우 상당히 좋은 대우를 받을 수도 있을 것 같습니다.

 

* Application 취약성 발견 지속 및 클라이언트 공격 , 피싱 공격을 통한 이익 추구 일반화

( 올해도 지속이 되었듯이 향후에도 지속이 될 가능성이 높습니다. 또한 신규 프로토콜 상의 문제를 이용한 새로운 유형의 공격들이 나올 가능성이 높다고 판단됩니다. 특히 무선 관련된 802.X 대역에 대한 문제 출현 가능성이 높습니다. )

 

* Bot Network의 복잡화 및 일반화

( Bot 공격의 복잡성은 향후 지속적으로 증가 될 것이고 말 그대로 MonsterBot으로의 진화가 진행 중이며 더욱 심화 될 것으로 판단됩니다. 또한 일반적으로 알려지는 고유명사화 될 정도로 피해를 입힐 수 있을 것 입니다.)

 

* 수정 할 수 없는 Application 결함의 증가

( 취약성을 수정하거나 보완의 책임이 없는 공개 소프트웨어 혹은 개발사의 몰락으로 인한 위험성 증가 )

 

위와 같이 예상이 가능합니다.

이에 대한 대응 및 보안 활동으로는 다음과 같은 행위가 이루어 질 수 있습니다.

 

대응 및 보안활동에 따른 현상

 

*Application 개발 프로세스 단계에서의 보안성 검토 일반화

 

*Application 취약성 진단 도구의 활성화

 

*웜의 일반 PC 침투에 따른 PC 보안 강화

( 패치 및 PC 솔루션 회사들 기회가 될 수도..)

 

*바이러스 및 웜 제작의 일반화에 따른 보안의 어려움 따라서 능력이 있는 회사의 경우 자체 제작이나 변형의 요구에 따른 매뉴얼 보안 툴의 출현 가능성  ( clam 백신처럼...)

 

* 공격에 대응하는 속도를 따라가지 못함으로 인해 지속적인 피해 속출 가능성

 

* 보안 전문 인력의 이탈 가속화

( 노력에 대한 성취도가 매우 낮아 질 것으로 보임.. 노력을 기울여야 하는 부분은 매우 많아 질 것이나 그에 따른 성취도는 낮으며 업무강도 및 피로도는 급증 할 것으로 예상됨 )

 

* 위의 항과는 반대로 보안 인력풀은 산업의 요구에 의해 지속적으로 증가 요청이 있을 것임. 그러나 전반적인 하향 평준화는 어쩔 수 없을 것으로 예상됨.

 

 

기타.

 

*MS 등의 OS 벤더의 기타 사업 진출 가속화

( 보안 및 기타 영리 분야로의 대대적 진출)

 

* 구글등에 의한 Contents 제공 회사의 인프라 점유 확대 및 인프라에 대한 비용이 아닌 컨텐츠 제공에 따른 비용을 청구 받을 가능성 매우 증대

( 이런면에서 구글의 인프라 사업 진출 및 무선망 확대 사업은 매우 중요한 의미를 지님)

 

*손쉬운 IT 기업의 창업이 어려워짐

( 일정 규모 이상의 IT 대기업 출현으로 아이디어를 통한 신규 진출 및 창업이 어려워 질 것이며 인프라 및 보안 분야에 대한 일정 수준 이상의 요구를 맞추어야 함으로 더욱 더 어려워 질 것임. 보안 취약성은 기업의 규모를 가리지 않고 발견이 되고 있으며 일반 Application 발견 비율이 매우 높아 안전한 보안성을 지닌 소프트웨어 설계에는 매우 많은 비용이나 시간이 소요 되고 있음 )

 

* 세계적인 보안 부분 대기업 출현

시만텍 등의 보안 전문 출발 회사 부터 네트워크 부분의 시스코등에 의한 보안 분야 흡수 합병을 통한 거대 기업 출현으로 한 분야의 전문회사는 독창성이나 기술 모방성에 대해 독보적인 영역을 지니지 않는 이상 견디기 힘든 환경 지속될 것임.

 

 

위와 같이 아침에 번뜩 든 생각을 정리해 봤습니다.

짧은 생각이지만 참고 하시고 좋은 의견 있으시면 붙여 주세요.

감사합니다.

 

 

보안 전문가에게 듣는 해킹 프로화에 대한 대처 - 아래 글을 읽다 보니 문득 생각이 나서 써봤습니다.

 

http://www.zdnet.co.kr/itbiz/reports/trend/0,39034651,39134824,00.htm

 

딱 부러지는 답변은 없습니다. 그나마 간략한 발전 방향 및 향후 증가되는 유형에 대한 설명만 있을뿐.. 참고 삼아 읽어 보시면 될 것 같습니다.

 

Posted by 바다란

http://www.zdnet.co.kr/news/internet/hack/0,39031287,39144768,00.htm

 

전체적인 기관의 보안 대응 및 사고 발생시의 프로세스를 점검 하기 위한 cyber storm 프로젝트가 1주일간에 걸쳐 이루어 졌다고 합니다.

 

실제 공격 보다는 공격시의 대응 및 전달 체계 구축에 목표를 둔 것으로 보이고 해당 프로세스에 따라 유기적인 대응 조직 구성에 가장 신경을 쓴 것으로 보이네요.

 

향후 부분적으로 실제 공격 단위의 테스트가 이어질 수 있을 것으로 보입니다.

이 사이버 스톰과 관련하여서는 국내에는 을지훈련이 있으며 보다 더 효과적으로 시행이 되고 있는 것으로 보입니다. 지난 몇 년간의 을지훈련 프로세스를 지켜보면 프로세스 및 연결 체계에 있어서 효율성이 보다 더 나은 것으로 보입니다.

 

상당히 많은 조직과 큰 규모를 움직이기 위해서 필요한 프로세스 점검 차원에서 주목할 필요성은 있을 것 같습니다.

 

Posted by 바다란
몇 가지 느낀점이 있는데 간단하게 언급을 하면 다음과 같습니다.
차후 다시 정리를 해볼께요.

CSI  컨퍼런스 :
- 각국 보안 전문가 들이 참가를 하며 주로 미국 인력 ( 정부 기관 및 보안 담당자, 보안 업체 인력 )들이 참여를 합니다. 제품 전시회와 컨퍼런스를 같이 개최를 하며 상당히 조직적으로 운영이 됩니다.

* 보안이라는 전 분야에 걸쳐 ( Policy , 기술 , 개발 , Forensic , Web ,감사 ,해킹 등 ) 기술 단계별로 분류한 후  이슈에 대해 세션을 가지고 운영을 합니다. 3일간의 기간 동안 각 섹터별로 세션을 계속 끌고 가더군요.

* 각 단계별로 발표하는 자료에는 구라들도 상당 부분 있었고 가장 마음 아팠던 부분은 정부 기관에서 주도적으로 지원을 하고 있으며 한 분야의 전문가라도 상당히 많은 인지도를 지니고 인정을 받는 것이 속 쓰리더군요.

* 전체적인 기술 수준은 최상위 수준의 경우에도 그다지 이해하기 어렵지는 않았으며 기술레벨이나 세미나의 내용도 그리 높은 수준은 아니였습니다. 그러나 종사 인력이 많아서 그런지 분야에 대해 깊이 있는 이해를 하는 인력들을 종종 볼 수 있었습니다. 우리 처럼 만능 슈퍼맨은 못 봤습니다. ㅠ,ㅠ

* 질문할 내용도 많았고 궁금한 사안도 많았지만 그들만의 리그이고 또 네이티브가 아니다 보니 애로사안들이 돌출 하더군요.. 때론 조잡한 세션들도 많이 있었습니다.

* 전체적으로 풍족하게 컨퍼런스를 진행 하더군요 ( 참가비를 비싸게 받으니..쩝 )  식사 제공 및 기업들의 스폰서 후원이 매우 상당한 수준이였습니다.  - 국방 관련 및 국가 관련 프로젝트에 있는 인력들이 많다보니 기업들의 공식적인 로비 수준으로 접근을 하더군요.

* 개발 및 웹 , 포렌식 , 정책 등의 각 분야별로 폭넓은 저변인력을 가지고 있는 것에 매우 부러웠다는....

* 해킹 관련 세션들도 있었으나 그 수준은 그다지 높지 않았으나 일반적인 보안 인력들에게는 매우 호응도가 높았습니다. 이런 해킹 세션들은 최근의 컨퍼런스 붐에 따른 부가적인 장착이 아닌가 하는 생각도 들더군요.

-------------------
결론적으로 보안이라는 큰 테두리에서 움직이는 역량을 볼 수 있었습니다.  전반적인 기술레벨은 그다지 높지 않았으며 개인적인 평가로 보면 국내 인력들도 각 분야 인력들이 회사 제품 선전하는 설명회 할 여력을 다 모아서 럭셔리 하게 세션 스케쥴 잡아서 진행하면 독자적인 역량을 지닐 수 있을 것을 판단 됩니다.  또 그만큼의 실력도 충분히 됩니다. 각 분야별로 다 일정정도의 전문 영역에 국내 보안 인력들은 도달한 것으로 보입니다. 다만 문제는 세계적인 흐름을 주도하기 위해서는 영어권역에 속해 있는 것이 매우 좋았을 것이나 이 문제로 인하여 향후에도 흐름 주도는 힘들어 보입니다.

성격상 여러 회사를 전전한 까닭에 많은 부분을 보고 느꼈지만 국내도 역량의 결집시 상당히 높은 수준으로 집합이 될 것으로 보입니다. 다만 정책적인 지원이나 주도적인 리딩이 없다는 것이 문제가 되겠죠. Concert와 같은 기회가 좋은 찬스이나  이 세션을 보다 확대하고 다양한 분야에서 참여 하도록 하여야 하며 사전에 일정 수준 이상으로 거를 수 있다면 아주 좋은 기회가 될 듯 싶습니다. 물론 리딩을 하는 그룹의 의지가 있어야 겠지요.

아무튼 가서 궁금증을 해소하든 새로운 주제를 던지든 회화는 자유자재로 해야 할 것 같습니다. 생활영어 말구요..  레벨이나 전문 분야에 대한 내용은 오래지 않아 다시 정리해 보도록 하겠습니다.
간단하게 의견 피력이 필요 할 것 같아. 급히 써 봅니다.

좋은 하루 되세요.
Posted by 바다란

 

안녕하세요 바다란입니다.

 

 

금일자 해킹/바이러스 뉴스를 보다보니 다음과 같은 의미 있는 수치가 발견이 되었습니다.

그동안 막연하게 해킹을 당할 경우 이미지 손실이나 매출액에 부정적인 영향을 미친다고만 알고 있었는데  본격적인 수치로 측정이 된 사례는 이번이 처음인 것 같습니다.

 

해킹 및 크래킹으로 인한 피해 대비 보안 투자 비용은 언제나 고민 스러운 부분이지만 현재 상황에서 IT 기업의 연속성을 유지 하기 위해서는 필수비용이라고 판단이 됩니다. 관련된 소식은 해당 기사를 참조 하시면 될 것 같습니다.

 

http://news.naver.com/news/read.php?mode=LSS2D&office_id=030&article_id=0000131518&section_id=105&section_id2=283&menu_id=105

 

기사에서 언급하듯이 기업의 이미지는 25% 하락하고 매출액에도 12% 이상 영향을 미치는 것으로 발표가 되었습니다.

발표주체는 CONCERT ( Consortium of CERT ) 이며 국내 기업들에 존재하는  침해사고 대응팀의 협의체 입니다.

 

침해사고 대응팀이라는 것이 명목상으로 존재하는 곳들도 있지만 실제 국내 대기업 및 주요 기업들은 다 포함이 되어 있으며 해당 이슈에  미루어  짐작을 해볼때  중요한 의미를 파악 할 수 있습니다.

 

특히 IT 자산을 기반으로 하는  회사의 경우 기사에서 언급된 내용 보다 더욱 심할 것으로 예상이 됩니다. 매출액에 영향을 주는 점은 순간적이나 장기적으로 브랜드 이미지의 하락의 만회는 상당한 시일이 걸린다는 점에서 더욱 중점을 두어야 될 것 같습니다.

 

 

보안의 실행 부분에 대해서

 

예전 부터 보안은 보험이다 라는 이야기를 많이들 했었습니다.

그러나 이제는 바뀌게 되었죠. 보안은 성장을 위한 필수요소로....

 

국내의 많은 기업들 특히 IT 기반의 기업들의 대부분은 침해사고에 대한 사실을 공개하지 않고 있습니다. 그만큼 영향력이 있다는 반증이기도 합니다.  최근 침해 사고를 보게되면 한번 침입 발생 이후  원인제거가 아닌 현상의 제거를 통해 ( 단순히 웹소스의 부분 수정 이나 악성코드의 제거 ) 문제 해결을 하려는 시도를 많이 봐왔습니다. 또 이런 기업들은 어김없이 추가 침입을 당한 사례도 많이 있습니다.

 

개발 프로세스의 문제 혹은 외주 개발사의 문제 등등 발생 될 수 있는 문제는 많고  명확하게  처리 할 수 있는 인력은 없고...

 

지금도 그러하고 앞으로도 그럴 것으로 생각이 되지만  명확한 현상에 대한 처리 및 추가 대응책. 문제의 원인을 짚어서 그 원인을 원천적으로 제거하고 사전 예방이 되도록 만드는 많은 행위는 기존의 구성원들과 많은 대화 및 구성원들의 도움이 없이는 되지 않습니다.

 

국내에도 많은 보안업체들이 있습니다. 전문 서비스를 받는 것도 일시적으로 효과를 볼 수 있습니다. 그러나 적합한 대책 및 이슈에 대한 리딩은 한계가 있을 수 밖에 없습니다.  단기적인 비용을 투자해 순간적인 효과를 볼 수 있으나 깊이 있는 대응 및 리딩을 위해서는 여력이 되는 기업에 한해 보안  조직 구성은 필수의 시대인 것 같습니다. 다른 기업들에게도 많은 부담외 되겠죠

 

브랜드 가치의 하락 및 매출에 직접적인 영향을 줄 수 있다는 점. 이제는 보안이라는 이슈가  보조가 아닌 주된 역량을 기울여야만 되는 영역이라는 점을 알 수 있게 해주는 수치 인 것 같습니다.

 

Posted by 바다란

기사를 보다보니 중국발 해킹 100만 해커라는 글이 있네요. 그나마 이쪽 부분을 조금 들여다본 사람으로서 조금은 책임있는 글을 써야 하지 않나 하는 생각에 짧게 간략해 보겠습니다.
 
http://news.naver.com/news/read.php?mode=LSS2D&office_id=011&article_id=0000121048&section_id=105&section_id2=283&menu_id=105
 
 
일전 2002년 쯤에 중국으로 부터의 침입 관련 문서를 만들면서 그동안 너무 국내의 현실에만 안주한 것 아니냐는
자기 반성 차원에서 중국쪽의 관련 사이트에 대해서 많은 조사를 한 적이 있습니다.
 
그때 추정 되기를 향후 상당한 위협이 될 것이고 상위그룹의 수준이 빠르게 높아져 가고 있다고
진단을 한 적이 있는데 해당 이슈가 3년이 지난 지금 더욱 폭발적으로 증가를 하고 있네요.
 
지금의 조사와 차이가 있겠지만 2002년 당시에 제가 조사를 하면서 느꼈던 점을 기술 하면 다음과 같습니다.
 
상위레벨 : 취약성을 발견하고 해당 취약성에 대한 공격 코드 작성 가능자
중위레벨:  발견된 취약성에 대한 공격코드 작성이 가능한 자
하위레벨:  취약성에 대한 이해는 부족하나 공격코드의 활용이 가능한자.
무급레벨:  공격코드의 자동화된 툴의 이용자
 
2002년 분석 결과:

기술적 상위레벨 : 전체 인원대비 1% 미만 - 대략 2개 정도의 상위 그룹이 활동 하고 있었고 해당 인원도 10여명 내외의 고수가 존재한 것으로 파악이 되었습니다.
 
중위레벨 :  상위레벨의 10배수 가량이 존재하는 것으로 파악이 되었으며 부분적인 공격코드의 변형 및 작성이 가능한 자로 판단이 됨.
                   게시판 활동내역으로 보면 2~300여명 정도가 활동한 것으로 보임
 
하위레벨: 공격코드의 활용이 가능한자는 프로그래밍에 대한 이해가 조금이라도 있고 기본적인 공격에 대한 개념이 있는자로 몇천 단위로 파악이 되었습니다.
 
무급레벨: 가장 다수의 인력을 보유하고 있으며 가장 무서운 존재이죠. 대략 사용자 수는 미상. 몇십만 이상으로 추정됨.


위의 2002년 판단하에 1~2년 정도 관찰한 결과 대외적인 이슈 발생시 마다 상위레벨을 중심으로
몇개의 그룹화가 되고 분화가 되어 상위레벨에서 대표적인 공격 코드 몇개를 작성을 합니다. 그리고 공유를 하죠. 그룹원들에게만..
그리고 중위레벨이 해당 공격코드를 가지고 자동화된 툴을 작성합니다.
하위레벨은 발표된 공격코들 변화 시키거나 다른 유형을 공격 할 수 있도록 붙이죠.
최종적으로 공개되거나 약속된 사이트에 만들어진 자동화된 툴을 올립니다.
 
가장 무서운 무급레벨에서 만들어진 자동화 툴을 이용하여 무작위로 공격을 시행하죠.
이들에게는 IDS이고 침입에 대한 경고가 먹히지 않습니다. 오로지 공격이지.. IIS 공격 툴을 이용해
Apache에 무작위로 공격 하기도 하고 상당히 많은 공격이 이루어 집니다.
공격이 성공된 후에는 세트로 구성된 권한 획득 툴 및 타 서버의 취약성 스캔 , 공격툴들을 세트 단위로 업로드 합니다. 해당 거점을 이용해 지속적으로 영역을 확장해 나가죠.
 
상위에서 부터 무급레벨까지의 연결 통로에 제한이 없으며 무제한적으로 상호간에 공유가 되고 정보의 교류가 이루어 지고 있습니다.
연결 통로가 되는 사이트만 제한을 해도 피해는 대폭 줄어 들 것이지만 해당 사이트에 대한 제한은 중국 당국만이 열쇠를 쥐고 있을뿐입니다. 우리는 제 3자일뿐인거죠.
 
2002년 이후 2년간의 관찰결과 상위레벨은 3~4배수 정도 증가 하였고 ( 지난해에 중국에서 있었던 Xcon 세미나 및 해당 세미나에 대한 토론 및 기타 논의들을 가지고 추정 ) 중위레벨 및 하위레벨은 매우 폭넓게 확대 된 상태입니다.


2002년만 해도 보안 관련된 정보가 논의되는 일정 수준 이상의 사이트는 몇십개 였으나
지금은 몇 천개 이상으로 보이며 고급정보가 논의되고 배출 되는 사이트도 몇 백개 가량으로 확대된 것으로 파악이 되고 있습니다.  그만큼 저변이 폭넓게 확대 되었다는 반증이죠.
 
현재 시점에서 일정정도 미루어 보면 위에서 언급한 프로세스가 그대로의 유형을 지니고 있고 다만 공격코드 및 자동화된 툴을 만드는 중위레벨에서 해당 툴을 유상으로 판매하는 움직임이 2005년 부터 활발하게 출현을 하였습니다.
상위레벨은 각자 회사를 차리거나 중국내의 IT 인프라 확장에 따른 보안 관리자 및 보안 전문가로 활동을 하고 있죠. 이중 일부가 온라인 게임의 Abusing 및 직접 공격을 통해 부를 축적 하는 것으로 판단이 되고 있습니다.
 
여러 기사에서 보듯이 중국에서의 온라인 게임 공격은 상당히 활발한 상황이며 현재 상황에서 두 가지 정도의 그룹으로 나눌 수 있을 것 같습니다.
크래킹 및 직접 공격을 통한 온라인 게임 공격 , 악성코드 유포를 통한 사용자 정보를 획득한 상태에서의 게임 공격과 같이 부류를 나눌 수 있고 현재 상태에서 범위나 공격 가담 인력은 유추하기 어려운 상태입니다.
 
중국내에서 일어나는 사이버 범죄에 대해서는 중국 공안이 강력하게 대응을 하고 있지만 국외에 대한 공격에는 그다지 강력한 대응을 하지 않고 있습니다.
이런 현상은 몇년전 부터 지속되어오던 현상이지만 현재 상태에서는 공격 거점이나 공격 인원이 추정 불가능할 정도로 늘어난 상태라 단속에도 어려움이 지속 될 수 밖에 없습니다. 이 이야기는 공격에 대한 대응을 하는 것도 한계가 있고 IT 인프라가 확대 될 수록 계속 될 수밖에 없는 문제일 것입니다.
 
앞으로도 IT 산업의 크래킹으로 인한 위협은 계속 될 것이고 증가될 것으로 판단됩니다.
여력있는 기업 및 여력이 있는산업 차원에서만 효율적인 대응으로 일정정도의 효과를 보게 될 것이고  효과의 유지를 위해서도 지속적인 노력 및 비용 투자가 계속 될 수 밖에 없을 것입니다.
 
전체적인 대응 방안을 큰 범주에서 이야기 하면 다음과 같은 유형으로 줄일 수도 있으나
효과가 나오기 까지는 상당기간이 소요될 것으로 판단됩니다.
 
1. 각 기업 마다의 서비스 오픈 및 신규 서비스 , 개편 서비스에 대한 강력한 보안성 검수 - 기존 웹 애플리케이션 및 내부 보안 취약성의 제거를 목적으로 함.
 
2. 일괄적인 자원의 관리를 통해 커널이나 Application 버전의 일률적인 갱신 프로세스
 
3. 개발 프로세스 단위 부터의 보안성 강화 - Secure Programming  - 현재 상태에서는 향후에도 웹관련된 부분에 대한 위험성이 증가할 것이므로  웹 관련 코딩에 대한 절차 이행 여부를 중시해야 함.  실제적으로 현재 까지 출간된 웹 프로그래밍 서적의 보안 부분 강화 및 개편이 되어야 겠죠. ^^
 
4. 내부 중요 Data에 대한 보호 방안 수립 및 강력한 유출 방지 방안의 수립
    - 이미 권한이 다 노출이 된 상태에서도 보호 될 수 있는 방안이 필요합니다. 특정 툴을 사용하는 것이 전부는 아니며 정책 / 사람 / 정보 / 시스템 전반적인 부분이 총괄 되어야 하겠죠.
 
5. 수준 있는 정보보호 인력의 육성 및 분위기 조성 ( 분위기만 조성되면 금새 따라가겠죠. 원래 자질이 우수한 민족이다 보니.. ) 여기서의 정보보호는 보안인력만을 의미하지는 않습니다.
 
부수적으로 직접 효과를 볼 수 있는 방법은  침입 탐지 및 침입 방지 시스템의 Ruleset의 정밀화및 쉽게 업데이트를 할 수 있는 인력 및 능력의 확보도 중요한 관점이라 할 수 있습니다. 또한 전체적인 공격 유형의 변화를 추정하고 강력하게 권고를 하고 경고를 할 수 있는 레벨의 단체나 기관이 아쉽죠. 사고 발생 이후의 대응 보다는 발생 위험 가능성을 종합적으로 판단하여 사고가 발생하기 이전에 위험성을 경고 할 수 있어야 합니다.  - 이 부분은 사고가 발생하지 않을 경우 해당 경고에 대해서 무감각 하고 중요하게 생각하지 않을 수 있지만 매우 중요한 부분입니다. 현재도 경고를 하고 있지만 수동적인 상태이며 공격의 유형 이나 변화에 대해서 짚어 가는 전략적인 사고는 없는 상태입니다.
 
 
간략하게 위의  정도로 추려서 지속적인 보안레벨을 높일 수 있을 것입니다. 어느하나 쉬운 것이 없습니다. 그래도 진행하지 않으면 문제는 계속 될 수 밖에 없습니다.
현재는 커뮤니티 문화 및 인터넷 문화가 확산되어 금전 거래 및 문화로도 연결이 된 우리 나라에 대해서만 피해가 크게 보이지만 인터넷 문화의 확산에 따라 유비쿼터스 환경의 빠른 확대에 따라 세계 각국으로도 중국의 공격은 유효하게 발생이 될 것입니다. 
 
몇 년이내에 중국 당국의 강력한 조치가 없다면 세계적인 골칫덩이가 될 것이 분명하며 현재로서는 우리나라가 타켓이 된 것일뿐입니다. 위기는 기회라 하였습니다. 현재의 위기를 지혜를 모으고 역량을 모아 헤쳐 나간다면 향후의 IT산업 및 인터넷 산업 부분 전반에 걸친 잠재력과 인력을 확보하게 될 것이라고 판단 하고 있습니다.
 
물론 모든 것은 제 개인의 판단이고 사견입니다. 그리고 이 글도 짧은 시간에 후다닥 쓰는 글이라 다듬어 지지도 않은 내용이구요. 짧은 지식과 식견으로 쓸려니 참 안타깝습니다. 
 
아래 현재 문제에 대한 간략한 대책이나 내용이므로 참고 하시면 될 것 같습니다. 

http://blog.naver.com/p4ssion/40015866029

http://blog.naver.com/p4ssion/40017941957

http://blog.naver.com/p4ssion/40018174273

Posted by 바다란

2002년 8월로 되어 있네요.

 

문서를 찾아서 다시 읽어 보니 부끄러움만..부족함도 많고..

 

그때 브라질 해킹 그룹을 분석하게 된 계기가 내부로 부터 눈을 돌려 외부를 분석하고 그때 당시만 해도 국내의 웹사이트를 공격하는 다수의 고급 크래커들이 브라질 계열이다 보니 적을 알고자 하는 마음으로 분석을 했었죠. 덕분에 새로운 정보 수집 사이트도 찾고 여러 동향도 조금은 객관적으로 불 수 있었던 것 같습니다.

 

아마 해외 그룹에 대한 분석은 처음이 아니었을런지.. ^^; 뭐 얼치기 분석이라도.

 

이래저래 재밌게 보낸 2002년 이었네요. 돌이켜 보면.. 이걸 하루에 왕창 올리면서 이런 생각이 드니  참 세상은 그래도 살만 한가 봅니다. 몰입이란..열정이란.. 항상 이런 질문 하면서 사는데..

 

 

Posted by 바다란

 

 아래의 기사는 지난해 (2005년) 5월에 주간동아에 기고한 기사입니다.

 


 
보안정보 유통채널 어디 없나
보안 취약성 관련 정보 교환의 장 전무 … 사고 대응 및 위험 통보 없어 수동적 대응
 
 
 
 
 
보안 관련 정보가 유통되지 않고 감춰져 있으면 그로 인한 피해는 더욱 커지게 된다. 

최근 ESG(Enterprise Strategy Group)는 미국에 있는 종업원 1000명 이상의 기업에 근무하는 229명의 보안전문가를 대상으로 ‘기업 내부보안 위협’에 대한 설문조사를 했다. 응답자의 절반가량이 연간 매출 10억 달러 이상의 대기업 소속이었다고 한다.

결과는 일반적인 예상치를 뛰어넘는 심각한 수준이었다. 응답자 중 27%가 사내에서 보안 관련 문제가 발생했는지조차 모르고 있었고, 23%는 지난 1년 동안 내부보안 결함으로 인한 침입이 있었다는 것. 이로 인한 손실은 40%가 주요 시스템이나 서비스 중단을 경험했고, 38%는 데이터 손상이나 손실을 겪어야 했다.

 

“게시판이나 각종 DB 프로그램의 취약점을 알려주려고 해도 알려줄 공간이 없어요.”

 

해커나 크래커를 상대하는 국내 보안전문가들의 최대 고민은 국내에 보안 취약점에 대한 정보 유통 채널이 없다는 것이다. 보안이란 전쟁터에서도 역시 정보싸움은 매우 중요한 부분이 될 수밖에 없다. 거의 날마다 새로운 취약성이 발견될 정도로 보안 관련 정보가 폭증하고 있는 것. 안티바이러스 솔루션을 만드는 회사의 경우 과중되는 업무로 비명을 지를 지경이다.

 

보안에서 가장 핵심적인 내용이라면 일반 사용자 측면과 방어하는 쪽에서의 기술적인 부분이 있을 수 있다. 일반 사용자라면 바이러스 백신의 활용과 PC 보안 조치 및 운영체제의 패치를 즉시 설치하는 정도가 될 수 있겠고, 해커와 맞상대하는 보안전문가라면 앞으로 일어날 위험을 예측하고 사회의 기반시설이 된 인터넷을 안전하게 지킬 수 있도록 노력하는 부분이라고 할 수 있다.

 

해외 메일링 리스트에 의존 앞으로 일어날 위험을 예측한다는 것은 그에 대한 정보가 이미 확보돼 있어야 하며, 특히 취약성에 관련된 정보의 활발한 교류와 적극적인 토론을 통해 방안을 모색해야 한다는 것을 뜻한다. 이제껏 국내에서 그와 같은 구실을 했던 매개체는 한국정보보호진흥원(KISA)에서 운영하는 CERTCC-KR 메일링 리스트(http://www. certcc.or.kr)가 유일하다.

 

이 메일링 리스트는 양 방향 채널을 가지고 의사소통을 통해 보안 의식과 취약점에 대한 정보를 공식적으로 언급해왔으나 현재는 유명무실해졌고, 아주 소수의 알려지지 않은, 또는 활동이 매우 뜸한 메일링 리스트만이 정보를 소통하고 있을 뿐이다.

 

그렇다면 우리나라의 보안전문가들은 이 같은 고급 정보들을 어떻게 획득해온 것일까. 대부분이 해외에서 운영하는 메일링 리스트에 의존해왔다. 미국의 Bugtraq(http://www. securityfocus. com/archive/1) 같은 해외 메일링 리스트를 이용해 취약성 정보를 받아왔을 뿐이다. 국내에서는 사이버 안전센터 및 KISA에서 제작하는 취약성 관련 경고문만이 일방적으로 전달되는 실정이다.

 

이 같은 일방적인 정보 전달이 왜 문제인가 하면 지난해 말 발생한 PHP-BB의 취약성을 이용해 웹페이지 변조 및 악성코드를 다운로드 받도록 만들어진 SANTY Worm처럼 프로그램을 직접 이용한 취약성 공격이 빈번해진다는 점, 그리고 올해 초 1000개 이상의 홈페이지가 PHP 취약성에 의해 공격을 당하는 상황에서 볼 수 있듯 앞으로도 새로운 유형의 공격이 증가할 것이라는 우려 때문이다.

 

국내에서 개발된 다수의 애플리케이션(Application)에 대한 취약성도 분명히 존재하며, 이런 취약점을 공개적으로 토론할 장소도 없는 상황에서 국내 취약성이 해외 버그 트랙(Bugtraq)이나 취약성 관련 메일링 리스트에 공개될 경우 해외 크래커들에 의해 악용당할 소지가 매우 높다. 그리고 해외 메일링 리스트에 공개된 취약점이 국내에서 적극적으로 쟁점화되지 않고 보안·네트워크·시스템 관련자들에게서 이슈화되지 못함으로써 수동적인 대응밖에 할 수 없게 된 것.

 

인터넷 인프라가 훌륭한 것은 기반시설이 잘되어 있는 것이고, 기술과 커뮤니티가 활성화되는 것은 발달이 이루어지는 것이다. 보안이라는 부분은 기술과 커뮤니티라는 사회가 무너지지 않도록 보완하는 조직이며 상호적인 관계에 있다. 대한민국의 인프라는 훌륭하며 앞으로도 독창적인 기술과 커뮤니티 문화는 계속 발전하게 될 것이다.

 

위협의 빠른 차단과도 같은 준비는 이미 발생한 위험을 최대한 줄여주는 구실도 한다. 지금의 우리나라 정보보호 준비는 빠른 차단과 확산의 최소화를 목표로 한다. 그러나 위험을 없앨 수는 없고 때로는 치명적인 위험을 입을 수 있다. 그렇다 하더라도 앞으로 발생할지 모르는 위험과 위협에 대해서 적극적으로 토론하는 장이 그 어디에도 없다는 것은 우리에게 너무나 아쉬운 대목이다.   (끝)
 

Posted by 바다란

2002년 10월 에 쓴 글이네요.

이 때만 해도 SCADA ,DCS가 어떤 의미인지도 모르시는 분들 많으셨을듯

 

지나간 자료를 보다보니 만들때의 생각이 나네요.

그냥 스스로가 좋아서.. 낯선 분야에서 무언가를 알아가고 체계화 한다는 것에 많은 만족을 가졌던 것 같습니다. 그 누군가의 평가와는 관계없이..

그 덕에 아직도 이렇게 지내지만.. ^^;

 

조금 더 큰 그림을.. 보려고 한계를 넘어 서려고 많은 노력을 했었고. 그 덕에 조금이나마 머리는 트인 것 같은데 아직도 여전합니다.

 

좀 더 큰 그림을 보려하고 체계화 하려는 것은 여전히 지닌 바램.

 

SCADA & DCS 관련 이 글을 쓸때만 해도 웹상에서 자료를 찾기도 어려워서 공부하는데 정말 힘들었었죠. 이것 저것 찾아봐도..자료도 없고.. 물어볼 사람도 없고.. 지금보다는 앞으로 발생할 문제라고 봅니다. 조만간 휴대폰 영역에서도 이슈가 될 것이고 유비쿼터스 환경에서 더더욱 살벌해질 문제라고 할 수 있죠.

 

이걸 만들 무렵에 SCADA &DCS 관련해서 미국토안보부인가에서 5페이지 정도의 보안 가이드를 발표 하더군요. 그나마 비슷한 시기에 만들었다는 헛바람든 만족만은 혼자 지니고 있습니다.

 

그럼.

 

Posted by 바다란

Zeroboard 및 PHP 관련 공격이 극성을 부릴때였죠.

2005년 1월초에 만든 문서입니다.

 

이 문서의 기본 개요는 향후에는 Application 레벨의 공격이 일반적이 될 것이라고 일정부분 예상을 했었는데..점쟁이도 아니구... ^^;

 

지난 내용들이지만 이때 당시를 짚어 보시고 한번쯤 생각을 해보시는 것도 좋을 듯 싶습니다.

조금 더 뒤의 일들을 예상하고 대응을 하도록 권고하는 것은 지나고 난뒤에 보면 좀 우습기도 하죠.

 

그냥 자기 만족이려니 하고 하는 것일뿐. ^^;

 

Posted by 바다란

 

지나간 자료 입니다.

저도 어디에 있는지 찾지를 못해서 다른 곳에서 링크 받아서 여기에 올려 둡니다.

 

순서대로 보시면 될 것 같습니다.

아직도 문제의 원인 같은 것은 잘 모르죠. 사고 조사나 자료들만 잘 있었어도 명확했을텐데 하는 아쉬움이 있습니다.

그냥 추론해 가는 과정을 보면 될 것 같습니다. 이때 잠도 못자고 근 3~4일을 회사일 하면서 밤에는 이거 만드느라고 고생 좀 했죠.

 

그냥 지나간 이야기..

 

0.1 ->0.2 ->1.0  까지 입니다. 회사 차원도 아닌 개인이 하는건 정보의 한계가 있더군요. 나름대로 모든 머리를 다 짜내고 글을 쓰고는 했는데 결국 욕도 많이 먹었죠..

 

후후..다 그러려니 합니다. 이외에 글을 썼던 게시판들도 있는데 그 게시판들이 다 사라졌네요.

그냥 이 것만...


Posted by 바다란

2005년 4월 작성 문서입니다.

 

여기에서 두 가지 용어를 썼었죠. zeroday worm 과 Monster bot . 현재 취약성이 발표 되거나 패치가 발표되면 치명적인 것들은 빠르면 1일에서 2일 정도 후에 공격코드가 출현 하고 있습니다. 또 발표 안된 문제들에 대한 공격코드들도 많이 있겠죠.

 

앞으로 더욱 많아 질 것 같습니다. 그리고 악성코드 설치를 위한 사이트 직접 해킹으로 이슈화가 덜되고는 있지만 여전히 상당히 많은 bot이 국내의 PC에 설치가 되고 있습니다.

 

더욱 많은 취약성을 공격 하는 Monster 이죠.

 

참고 하시면 될 것 같습니다.

 

이제 찾을 수 있는 것은 얼추 다 찾아서 올린거 같은데여..

Posted by 바다란

안녕하세요. 바다란입니다.

 

 

wmf 관련된 IM웜 (sdbot ) 및 이메일 전파 웜 , 악성코드 설치 유형이 급격하게 증가하고 있습니다. 12월 말을 기점으로 대폭 증가된 형태로 발견이 되고 있으며 위험성이 높습니다. 현재의 악성코드 루틴과 결합시에 국내 사용자들의  대규모 피해가 우려 됩니다. 공격코드 자체가 그리 어렵지 않다보니 상당히 많은 변형도 출현이 가능하고 피해 노출 방법도 다양한 방식으로 가능하므로 향후 변화가 많을 것으로 판단됩니다.

 

해외 최대 보안관련 사이트인 sans.org 에서는 wmf 취약성을 이용한 웜 및 바이러스에 대해 투표도 진행하고 있습니다. 그냥 사라질 것인가? 아님 2006년을 빛나게(?)할 취약성인가?..하는.. 투표입니다. ㅠ,ㅠ

이슈가 된 메신저 전송 jpg 파일에 대해서 직접 분석을 해본 결과 실제 jpg 파일은 아니며 HTML 컨텐츠 입니다. 내부 소스는 아래와 같은 링크 코드가 존재합니다. 

 

-----------------------------------
<body>
<P ALIGN=center><IFRAME SRC="foto.wmf" WIDTH=0 HEIGHT=0></IFRAME></P>
</body>
-----------------------------------

여기에서 WMF 파일이 악성코드를 실행 시키고 외부 사이트에서 다운로드 하는 역할을 맡고 있습니다.
또한 제가 앞서 말씀드린 대로 이미지 파일 및 팩스 미리 보기 기능과 연관된 DLL 이 문제가 있는 관계로 WMF 파일에 마우스만 올려 두어도 미리보기 기능이 동작하여 바이러스가 감염이 됩니다.
즉 웹사이트 방문 만으로도 감염이 되며 해당 악성코드의 업로드 시에 대량의 피해자가 발생 할 수 있을 것 같습니다.

 

추가적으로 jpg, gif 등 모든 이미지 파일 포맷으로 이름 위장이 가능하며 윈도우 시스템의 특성상 해당 이미지를 보기 위한 최적 DLL을 자동으로 찾는 과정에서문제가 발생할 것으로 예상이 됩니다. 그러므로  우선적으로 wmf 파일의 업로드를 금지하고 내부에 wmf 파일 링크를 지는 URL을 탐지하며 장기적으로는 파일 헤더 검색을 통한 검출루틴이 필요한 부분으로 판단이 됩니다.

제가 판단하기에는 현재의 악성코드를 통한 정보 유출 이슈와 결합시 국내에 폭발적인 피해가 발생 할 것 같습니다.


서비스 제공자 단위 대책:

1. WMF 파일의 업로드 금지 설정

2. WMF 파일을  내부 컨텐츠로 포함시킨 ( Iframe , 링크 등 ) 링크의 검출 및 제거

3. 파일 헤더 검사를 통한 WMF 파일 검출 ( 좀 시일이 걸릴듯 )

 

 

클라이언트 단위 대책:

*.  DLL 등록해제를 통한 임시 해결 방안
  - Microsoft는 보안권고에서 다음과 같이 임시 해결방안을 제시함
    * Windows XP SP1, XP SP2, Server 2003, Server 2003 SP1 사용자의 경우, Windows 사진 및      팩스 뷰어(shimgvw.dll)의 등록을 해제한다.
     step) 윈도우 시작버튼 클릭 -> 실행(R) 클릭
               regsvr32 -u %windir%\system32\shimgvw.dll 입력하고 확인 버튼 클릭
               ※ 이 작업은 이미지 파일을 더블클릭해도 Windows 사진 및 팩스 뷰어로 볼 수 없게 만드는 것임 또한 미리보기 기능이 안됩니다.

 - 향후 마이크로소프트의 패치버전을 설치하면 원래 상태로 되돌릴 수 있다.
      step) 윈도우 시작버튼 클릭 -> 실행(R) 클릭
               regsvr32 %windir%\system32\shimgvw.dll 입력하고 확인 버튼 클릭

 

 *. 비공식 패치의 설치 ( 그다지 권고 하지는 않습니다.)

  http://isc.sans.org/diary.php?date=2005-12-31 - 게시물 항목
  http://handlers.sans.org/tliston/wmffix_hexblog13.exe  - Unofficial Hotfix

 

피해가 우려되는 버전은 다음과 같습니다. ( MS의 KB Article 참조)

Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 
Microsoft Windows Server 2003 for Itanium-based Systems
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME)
 

 

관련 정보 사이트:

http://www.certcc.or.kr/intro/notice_read.jsp?NUM=107&menu=1   - 그래픽 렌더링 엔진 취약점

권고 파일
http://www.microsoft.com/technet/security/advisory/912840.mspx
http://www.f-secure.com/weblog/archives/archive-122005.html#00000752
http://isc.sans.org/diary.php?storyid=972

Posted by 바다란

2002년 8월 초에 작성한 내용입니다.

 

2006년인 지금도 중국으로 부터의 위협은 대단히 심각한 상황이지만 그 시작은 2002년 부터라고 보는 것이 정답일껍니다.

이때 처음으로 중국 사이트들 돌아다니면서 현황 파악해보길 향후 심각한 위협이 될 것이라고 판단 했었는데..

 

문서의 근간은 침해사고를 당한 서버에 올려진 공격툴등을 분석한게 기본 모체인데.. 사고 분석을 하다보니 종합선물세트처럼 되어 있더군요.

 

이런 문서를 만들면서 나름대로 공부가 많이 되었던 것 같습니다.

가르쳐 주는 사람이 없어도.. 스스로가 배우는 것이 공부이고 배움이라고 생각 되네요.

가르침이 없어도 좋다. 내가 가르침이 된다. 뭐 이런 궤변인가?..

아무튼 스스로가 배우고자 하고 덤벼들어야만 무언가를 할 수 있는 것이 아닐런지요.

 

이때 여러 사이트에 글을 썼었는데 앞으로 홍커가 온다고 이야기 하던 기억이 나네요.

이제 실감나게 2005년 부터 오고 있으니.. 틀린말은 아닌 것 같습니다.

 

그럼. - 아..하루 업로드 파일 용량 제한이 있네요..이 파일은 다음에 생각나면 다시 올리겠습니다.

Threat of china 로 검색 하시거나 winsnort 또는 바다란 으로 검색하시면 PDF 파일 보실 수 있을 겁니다. - v파일은 올렸습니다.

 

--

아.. 명의 도용의 시작이라기 보다는 명의도용은 오래된 일이고 악성코드를 금전적인 이득을 위해 유포하거나 사이트 해킹을 직접 시도하여 이익을 취하고자 하는 행위는 2005년 부터가 시작이죠. 공격은 2002년 경 부터 시작이 되었다는 이야기 입니다. 뭐 출발지는 똑같죠. 최근의 악성코드 해킹에도 상당히 고수준의 공격자 및 공격툴 제작자들도 돈벌이에 나서는 판이니... 똑같은 뿌리라고 볼 수 있을겁니다.

 

Posted by 바다란

2003년 8월 작성.

RPC 관련 대형 취약성 출현시에 위험성을 알리고 대책을 권고하기 위해 간단히 만든 문서.

 

Posted by 바다란

 

 

 

2005년 현재의 취약성 및 위협 동향 과 향후의 위협 과 대응

 

 

최근 동향을 보면 다음과 같이 요약이 가능합니다.

 

* 클라이언트 단위의 위험 증가 ( 개인 PC 에 대한 중점적인 공격 )

해외에서는 피싱등을 이용한 공격이 증가하고 있고 국내에는 직접적인 클라이언트 PC 공격 및 취약성을 이용한 악성코드 설치가 주된 유형입니다.

 

* 일반 Application에 대한 공격 증가
( 버그트랙이나 기타 메일링을 보아도 운영체제 등에 대한 취약성 보다는 운영체제 기반하에서 영리 목적이나 운영을 목적으로 코딩된 솔루션에 대한 취약성이 집중되고 있습니다.)

http://www.securitymap.net/sdm/docs/attack/Application-Attack-Analysis-PHP.pdf

 

 

* 보다 더 집중화된 Bot의 공격 

( 일전에 Bot 관련된 언급을 하면서 Monster Bot 이라는 용어를 언급한 적이 있습니다. 취약성이 나올때 마다 공격 기능이 하나씩 더 추가가 되어 하나의 Bot이 공격하는 공격의 가지수가 지속적으로 늘어나는 유형이죠. 또한 운영체제의 구분 없이 Application 에 대한 공격 유형도 첨가 되는 형태라 가히 Monster bot으로의 지속적인 진화가 예상 됩니다. )

 

* Application Worm의 일반화 가능성 매우 증대

( 특정 국가 , 특정 지역 , 특정 회사에 기반하여 사용되고 있는 Application 자체의 취약성을 통해 전파되고 통신망을 무력화 하는 공격이 매우 증가할 것으로 판단 됩니다. 무선 관련이나 블루투스 관련된 웜의 전파도 동일 유형이라고 보시면 됩니다.)

http://www.securitymap.net/sdm/docs/virus/Zeroday-worm.pdf

 

 

 

위와 같이 요약이 됩니다.

 

또한 향후 발생할 위협을 정리 해보면 다음과 같이 정리가 됩니다.

 

향후 지속될 위협

 

* 오래전 부터 언급한 기반시설의 IP 전환 및 온라인 노출이 많아 짐으로 인한 위협의 현실화 ( 기반시설의 위협에 관한 문서를 참고 하시면 됩니다.)

너무 빨리 문제제기를 한 면이 있지만 향후 지속적으로  일반화 될 것으로 예상 됩니다.

http://www.securitymap.net/sdm/docs/attack/internetcrisis_conspiracy%20.pdf

http://www.securitymap.net/sdm/docs/general/Critical_Alert_for_Cyber_Terror.pdf

 

* 무선 및 WiBro , DMB의 활성화를 통한 웜 전파

( IP 기반의 모든 머신에 해당이 될 것이며 이 경우에는 프로토콜 간의 Gateway의 보안설정 이나 허용 조건에 따라 보다 많은 편리성을 제공할 경우 광범위하게 전파가 될 것으로 판단됩니다. )

 

* 보안 인력의 부재 지속

( 전문성이 지속적으로 떨어지고 있는 현실에서 각 영역을 종합적으로 대처할 수 있는 보안 인력은 수요는 급증하나 인력은 계속 부재한 상황이 지속 될 것입니다. )

 

시스템 , Application , 네트워크 , 종합적인 대응 , 보안 체계 수립 이 모든 분야를 컨트롤 할 수 있는 마스터급의 보안 인력은 향후 매우 부족하게 될 것으로 판단 됩니다. 또한 Penetration Test의 영역이 매우 확장이 되어 상당히 많은 부분을 커버하게 될 것으로 예상이 됩니다.  물론 수요도 많이 있을테지만 국내의 현실상 오랜기간 숙달된 인력이나 전문성을 유지하고 있는 인력의 부재로 힘겨운 상태가 지속이 될 것 같네요. 협상력만 잘 보완 한다면 적절한 전문성을 유지한 인력의 경우 상당히 좋은 대우를 받을 수도 있을 것 같습니다.

 

* Application 취약성 발견 지속 및 클라이언트 공격 , 피싱 공격을 통한 이익 추구 일반화

( 올해도 지속이 되었듯이 향후에도 지속이 될 가능성이 높습니다. 또한 신규 프로토콜 상의 문제를 이용한 새로운 유형의 공격들이 나올 가능성이 높다고 판단됩니다. 특히 무선 관련된 802.X 대역에 대한 문제 출현 가능성이 높습니다. )

 

* Bot Network의 복잡화 및 일반화

( Bot 공격의 복잡성은 향후 지속적으로 증가 될 것이고 말 그대로 MonsterBot으로의 진화가 진행 중이며 더욱 심화 될 것으로 판단됩니다. 또한 일반적으로 알려지는 고유명사화 될 정도로 피해를 입힐 수 있을 것 입니다.)

 

* 수정 할 수 없는 Application 결함의 증가

( 취약성을 수정하거나 보완의 책임이 없는 공개 소프트웨어 혹은 개발사의 몰락으로 인한 위험성 증가 )

 

위와 같이 예상이 가능합니다.

이에 대한 대응 및 보안 활동으로는 다음과 같은 행위가 이루어 질 수 있습니다.

 

대응 및 보안활동에 따른 현상

 

*Application 개발 프로세스 단계에서의 보안성 검토 일반화

 

*Application 취약성 진단 도구의 활성화

 

*웜의 일반 PC 침투에 따른 PC 보안 강화

( 패치 및 PC 솔루션 회사들 기회가 될 수도..)

 

*바이러스 및 웜 제작의 일반화에 따른 보안의 어려움 따라서 능력이 있는 회사의 경우 자체 제작이나 변형의 요구에 따른 매뉴얼 보안 툴의 출현 가능성  ( clam 백신처럼...)

 

* 공격에 대응하는 속도를 따라가지 못함으로 인해 지속적인 피해 속출 가능성

 

* 보안 전문 인력의 이탈 가속화

( 노력에 대한 성취도가 매우 낮아 질 것으로 보임.. 노력을 기울여야 하는 부분은 매우 많아 질 것이나 그에 따른 성취도는 낮으며 업무강도 및 피로도는 급증 할 것으로 예상됨 )

 

* 위의 항과는 반대로 보안 인력풀은 산업의 요구에 의해 지속적으로 증가 요청이 있을 것임. 그러나 전반적인 하향 평준화는 어쩔 수 없을 것으로 예상됨.

 

 

기타.

 

*MS 등의 OS 벤더의 기타 사업 진출 가속화

( 보안 및 기타 영리 분야로의 대대적 진출)

 

* 구글등에 의한 Contents 제공 회사의 인프라 점유 확대 및 인프라에 대한 비용이 아닌 컨텐츠 제공에 따른 비용을 청구 받을 가능성 매우 증대

( 이런면에서 구글의 인프라 사업 진출 및 무선망 확대 사업은 매우 중요한 의미를 지님)

 

*손쉬운 IT 기업의 창업이 어려워짐

( 일정 규모 이상의 IT 대기업 출현으로 아이디어를 통한 신규 진출 및 창업이 어려워 질 것이며 인프라 및 보안 분야에 대한 일정 수준 이상의 요구를 맞추어야 함으로 더욱 더 어려워 질 것임. 보안 취약성은 기업의 규모를 가리지 않고 발견이 되고 있으며 일반 Application 발견 비율이 매우 높아 안전한 보안성을 지닌 소프트웨어 설계에는 매우 많은 비용이나 시간이 소요 되고 있음 )

 

* 세계적인 보안 부분 대기업 출현

시만텍 등의 보안 전문 출발 회사 부터 네트워크 부분의 시스코등에 의한 보안 분야 흡수 합병을 통한 거대 기업 출현으로 한 분야의 전문회사는 독창성이나 기술 모방성에 대해 독보적인 영역을 지니지 않는 이상 견디기 힘든 환경 지속될 것임.

 

 

위와 같이 아침에 번뜩 든 생각을 정리해 봤습니다.

짧은 생각이지만 참고 하시고 좋은 의견 있으시면 붙여 주세요.

감사합니다.

 

 

보안 전문가에게 듣는 해킹 프로화에 대한 대처 - 아래 글을 읽다 보니 문득 생각이 나서 써봤습니다.

 

http://www.zdnet.co.kr/itbiz/reports/trend/0,39034651,39134824,00.htm

 

딱 부러지는 답변은 없습니다. 그나마 간략한 발전 방향 및 향후 증가되는 유형에 대한 설명만 있을뿐.. 참고 삼아 읽어 보시면 될 것 같습니다.

 

Posted by 바다란

http://www.zdnet.co.kr/news/internet/hack/0,39031287,39144768,00.htm

 

전체적인 기관의 보안 대응 및 사고 발생시의 프로세스를 점검 하기 위한 cyber storm 프로젝트가 1주일간에 걸쳐 이루어 졌다고 합니다.

 

실제 공격 보다는 공격시의 대응 및 전달 체계 구축에 목표를 둔 것으로 보이고 해당 프로세스에 따라 유기적인 대응 조직 구성에 가장 신경을 쓴 것으로 보이네요.

 

향후 부분적으로 실제 공격 단위의 테스트가 이어질 수 있을 것으로 보입니다.

이 사이버 스톰과 관련하여서는 국내에는 을지훈련이 있으며 보다 더 효과적으로 시행이 되고 있는 것으로 보입니다. 지난 몇 년간의 을지훈련 프로세스를 지켜보면 프로세스 및 연결 체계에 있어서 효율성이 보다 더 나은 것으로 보입니다.

 

상당히 많은 조직과 큰 규모를 움직이기 위해서 필요한 프로세스 점검 차원에서 주목할 필요성은 있을 것 같습니다.

 

Posted by 바다란
몇 가지 느낀점이 있는데 간단하게 언급을 하면 다음과 같습니다.
차후 다시 정리를 해볼께요.

CSI  컨퍼런스 :
- 각국 보안 전문가 들이 참가를 하며 주로 미국 인력 ( 정부 기관 및 보안 담당자, 보안 업체 인력 )들이 참여를 합니다. 제품 전시회와 컨퍼런스를 같이 개최를 하며 상당히 조직적으로 운영이 됩니다.

* 보안이라는 전 분야에 걸쳐 ( Policy , 기술 , 개발 , Forensic , Web ,감사 ,해킹 등 ) 기술 단계별로 분류한 후  이슈에 대해 세션을 가지고 운영을 합니다. 3일간의 기간 동안 각 섹터별로 세션을 계속 끌고 가더군요.

* 각 단계별로 발표하는 자료에는 구라들도 상당 부분 있었고 가장 마음 아팠던 부분은 정부 기관에서 주도적으로 지원을 하고 있으며 한 분야의 전문가라도 상당히 많은 인지도를 지니고 인정을 받는 것이 속 쓰리더군요.

* 전체적인 기술 수준은 최상위 수준의 경우에도 그다지 이해하기 어렵지는 않았으며 기술레벨이나 세미나의 내용도 그리 높은 수준은 아니였습니다. 그러나 종사 인력이 많아서 그런지 분야에 대해 깊이 있는 이해를 하는 인력들을 종종 볼 수 있었습니다. 우리 처럼 만능 슈퍼맨은 못 봤습니다. ㅠ,ㅠ

* 질문할 내용도 많았고 궁금한 사안도 많았지만 그들만의 리그이고 또 네이티브가 아니다 보니 애로사안들이 돌출 하더군요.. 때론 조잡한 세션들도 많이 있었습니다.

* 전체적으로 풍족하게 컨퍼런스를 진행 하더군요 ( 참가비를 비싸게 받으니..쩝 )  식사 제공 및 기업들의 스폰서 후원이 매우 상당한 수준이였습니다.  - 국방 관련 및 국가 관련 프로젝트에 있는 인력들이 많다보니 기업들의 공식적인 로비 수준으로 접근을 하더군요.

* 개발 및 웹 , 포렌식 , 정책 등의 각 분야별로 폭넓은 저변인력을 가지고 있는 것에 매우 부러웠다는....

* 해킹 관련 세션들도 있었으나 그 수준은 그다지 높지 않았으나 일반적인 보안 인력들에게는 매우 호응도가 높았습니다. 이런 해킹 세션들은 최근의 컨퍼런스 붐에 따른 부가적인 장착이 아닌가 하는 생각도 들더군요.

-------------------
결론적으로 보안이라는 큰 테두리에서 움직이는 역량을 볼 수 있었습니다.  전반적인 기술레벨은 그다지 높지 않았으며 개인적인 평가로 보면 국내 인력들도 각 분야 인력들이 회사 제품 선전하는 설명회 할 여력을 다 모아서 럭셔리 하게 세션 스케쥴 잡아서 진행하면 독자적인 역량을 지닐 수 있을 것을 판단 됩니다.  또 그만큼의 실력도 충분히 됩니다. 각 분야별로 다 일정정도의 전문 영역에 국내 보안 인력들은 도달한 것으로 보입니다. 다만 문제는 세계적인 흐름을 주도하기 위해서는 영어권역에 속해 있는 것이 매우 좋았을 것이나 이 문제로 인하여 향후에도 흐름 주도는 힘들어 보입니다.

성격상 여러 회사를 전전한 까닭에 많은 부분을 보고 느꼈지만 국내도 역량의 결집시 상당히 높은 수준으로 집합이 될 것으로 보입니다. 다만 정책적인 지원이나 주도적인 리딩이 없다는 것이 문제가 되겠죠. Concert와 같은 기회가 좋은 찬스이나  이 세션을 보다 확대하고 다양한 분야에서 참여 하도록 하여야 하며 사전에 일정 수준 이상으로 거를 수 있다면 아주 좋은 기회가 될 듯 싶습니다. 물론 리딩을 하는 그룹의 의지가 있어야 겠지요.

아무튼 가서 궁금증을 해소하든 새로운 주제를 던지든 회화는 자유자재로 해야 할 것 같습니다. 생활영어 말구요..  레벨이나 전문 분야에 대한 내용은 오래지 않아 다시 정리해 보도록 하겠습니다.
간단하게 의견 피력이 필요 할 것 같아. 급히 써 봅니다.

좋은 하루 되세요.
Posted by 바다란

 

안녕하세요 바다란입니다.

 

 

금일자 해킹/바이러스 뉴스를 보다보니 다음과 같은 의미 있는 수치가 발견이 되었습니다.

그동안 막연하게 해킹을 당할 경우 이미지 손실이나 매출액에 부정적인 영향을 미친다고만 알고 있었는데  본격적인 수치로 측정이 된 사례는 이번이 처음인 것 같습니다.

 

해킹 및 크래킹으로 인한 피해 대비 보안 투자 비용은 언제나 고민 스러운 부분이지만 현재 상황에서 IT 기업의 연속성을 유지 하기 위해서는 필수비용이라고 판단이 됩니다. 관련된 소식은 해당 기사를 참조 하시면 될 것 같습니다.

 

http://news.naver.com/news/read.php?mode=LSS2D&office_id=030&article_id=0000131518&section_id=105&section_id2=283&menu_id=105

 

기사에서 언급하듯이 기업의 이미지는 25% 하락하고 매출액에도 12% 이상 영향을 미치는 것으로 발표가 되었습니다.

발표주체는 CONCERT ( Consortium of CERT ) 이며 국내 기업들에 존재하는  침해사고 대응팀의 협의체 입니다.

 

침해사고 대응팀이라는 것이 명목상으로 존재하는 곳들도 있지만 실제 국내 대기업 및 주요 기업들은 다 포함이 되어 있으며 해당 이슈에  미루어  짐작을 해볼때  중요한 의미를 파악 할 수 있습니다.

 

특히 IT 자산을 기반으로 하는  회사의 경우 기사에서 언급된 내용 보다 더욱 심할 것으로 예상이 됩니다. 매출액에 영향을 주는 점은 순간적이나 장기적으로 브랜드 이미지의 하락의 만회는 상당한 시일이 걸린다는 점에서 더욱 중점을 두어야 될 것 같습니다.

 

 

보안의 실행 부분에 대해서

 

예전 부터 보안은 보험이다 라는 이야기를 많이들 했었습니다.

그러나 이제는 바뀌게 되었죠. 보안은 성장을 위한 필수요소로....

 

국내의 많은 기업들 특히 IT 기반의 기업들의 대부분은 침해사고에 대한 사실을 공개하지 않고 있습니다. 그만큼 영향력이 있다는 반증이기도 합니다.  최근 침해 사고를 보게되면 한번 침입 발생 이후  원인제거가 아닌 현상의 제거를 통해 ( 단순히 웹소스의 부분 수정 이나 악성코드의 제거 ) 문제 해결을 하려는 시도를 많이 봐왔습니다. 또 이런 기업들은 어김없이 추가 침입을 당한 사례도 많이 있습니다.

 

개발 프로세스의 문제 혹은 외주 개발사의 문제 등등 발생 될 수 있는 문제는 많고  명확하게  처리 할 수 있는 인력은 없고...

 

지금도 그러하고 앞으로도 그럴 것으로 생각이 되지만  명확한 현상에 대한 처리 및 추가 대응책. 문제의 원인을 짚어서 그 원인을 원천적으로 제거하고 사전 예방이 되도록 만드는 많은 행위는 기존의 구성원들과 많은 대화 및 구성원들의 도움이 없이는 되지 않습니다.

 

국내에도 많은 보안업체들이 있습니다. 전문 서비스를 받는 것도 일시적으로 효과를 볼 수 있습니다. 그러나 적합한 대책 및 이슈에 대한 리딩은 한계가 있을 수 밖에 없습니다.  단기적인 비용을 투자해 순간적인 효과를 볼 수 있으나 깊이 있는 대응 및 리딩을 위해서는 여력이 되는 기업에 한해 보안  조직 구성은 필수의 시대인 것 같습니다. 다른 기업들에게도 많은 부담외 되겠죠

 

브랜드 가치의 하락 및 매출에 직접적인 영향을 줄 수 있다는 점. 이제는 보안이라는 이슈가  보조가 아닌 주된 역량을 기울여야만 되는 영역이라는 점을 알 수 있게 해주는 수치 인 것 같습니다.

 

Posted by 바다란

기사를 보다보니 중국발 해킹 100만 해커라는 글이 있네요. 그나마 이쪽 부분을 조금 들여다본 사람으로서 조금은 책임있는 글을 써야 하지 않나 하는 생각에 짧게 간략해 보겠습니다.
 
http://news.naver.com/news/read.php?mode=LSS2D&office_id=011&article_id=0000121048&section_id=105&section_id2=283&menu_id=105
 
 
일전 2002년 쯤에 중국으로 부터의 침입 관련 문서를 만들면서 그동안 너무 국내의 현실에만 안주한 것 아니냐는
자기 반성 차원에서 중국쪽의 관련 사이트에 대해서 많은 조사를 한 적이 있습니다.
 
그때 추정 되기를 향후 상당한 위협이 될 것이고 상위그룹의 수준이 빠르게 높아져 가고 있다고
진단을 한 적이 있는데 해당 이슈가 3년이 지난 지금 더욱 폭발적으로 증가를 하고 있네요.
 
지금의 조사와 차이가 있겠지만 2002년 당시에 제가 조사를 하면서 느꼈던 점을 기술 하면 다음과 같습니다.
 
상위레벨 : 취약성을 발견하고 해당 취약성에 대한 공격 코드 작성 가능자
중위레벨:  발견된 취약성에 대한 공격코드 작성이 가능한 자
하위레벨:  취약성에 대한 이해는 부족하나 공격코드의 활용이 가능한자.
무급레벨:  공격코드의 자동화된 툴의 이용자
 
2002년 분석 결과:

기술적 상위레벨 : 전체 인원대비 1% 미만 - 대략 2개 정도의 상위 그룹이 활동 하고 있었고 해당 인원도 10여명 내외의 고수가 존재한 것으로 파악이 되었습니다.
 
중위레벨 :  상위레벨의 10배수 가량이 존재하는 것으로 파악이 되었으며 부분적인 공격코드의 변형 및 작성이 가능한 자로 판단이 됨.
                   게시판 활동내역으로 보면 2~300여명 정도가 활동한 것으로 보임
 
하위레벨: 공격코드의 활용이 가능한자는 프로그래밍에 대한 이해가 조금이라도 있고 기본적인 공격에 대한 개념이 있는자로 몇천 단위로 파악이 되었습니다.
 
무급레벨: 가장 다수의 인력을 보유하고 있으며 가장 무서운 존재이죠. 대략 사용자 수는 미상. 몇십만 이상으로 추정됨.


위의 2002년 판단하에 1~2년 정도 관찰한 결과 대외적인 이슈 발생시 마다 상위레벨을 중심으로
몇개의 그룹화가 되고 분화가 되어 상위레벨에서 대표적인 공격 코드 몇개를 작성을 합니다. 그리고 공유를 하죠. 그룹원들에게만..
그리고 중위레벨이 해당 공격코드를 가지고 자동화된 툴을 작성합니다.
하위레벨은 발표된 공격코들 변화 시키거나 다른 유형을 공격 할 수 있도록 붙이죠.
최종적으로 공개되거나 약속된 사이트에 만들어진 자동화된 툴을 올립니다.
 
가장 무서운 무급레벨에서 만들어진 자동화 툴을 이용하여 무작위로 공격을 시행하죠.
이들에게는 IDS이고 침입에 대한 경고가 먹히지 않습니다. 오로지 공격이지.. IIS 공격 툴을 이용해
Apache에 무작위로 공격 하기도 하고 상당히 많은 공격이 이루어 집니다.
공격이 성공된 후에는 세트로 구성된 권한 획득 툴 및 타 서버의 취약성 스캔 , 공격툴들을 세트 단위로 업로드 합니다. 해당 거점을 이용해 지속적으로 영역을 확장해 나가죠.
 
상위에서 부터 무급레벨까지의 연결 통로에 제한이 없으며 무제한적으로 상호간에 공유가 되고 정보의 교류가 이루어 지고 있습니다.
연결 통로가 되는 사이트만 제한을 해도 피해는 대폭 줄어 들 것이지만 해당 사이트에 대한 제한은 중국 당국만이 열쇠를 쥐고 있을뿐입니다. 우리는 제 3자일뿐인거죠.
 
2002년 이후 2년간의 관찰결과 상위레벨은 3~4배수 정도 증가 하였고 ( 지난해에 중국에서 있었던 Xcon 세미나 및 해당 세미나에 대한 토론 및 기타 논의들을 가지고 추정 ) 중위레벨 및 하위레벨은 매우 폭넓게 확대 된 상태입니다.


2002년만 해도 보안 관련된 정보가 논의되는 일정 수준 이상의 사이트는 몇십개 였으나
지금은 몇 천개 이상으로 보이며 고급정보가 논의되고 배출 되는 사이트도 몇 백개 가량으로 확대된 것으로 파악이 되고 있습니다.  그만큼 저변이 폭넓게 확대 되었다는 반증이죠.
 
현재 시점에서 일정정도 미루어 보면 위에서 언급한 프로세스가 그대로의 유형을 지니고 있고 다만 공격코드 및 자동화된 툴을 만드는 중위레벨에서 해당 툴을 유상으로 판매하는 움직임이 2005년 부터 활발하게 출현을 하였습니다.
상위레벨은 각자 회사를 차리거나 중국내의 IT 인프라 확장에 따른 보안 관리자 및 보안 전문가로 활동을 하고 있죠. 이중 일부가 온라인 게임의 Abusing 및 직접 공격을 통해 부를 축적 하는 것으로 판단이 되고 있습니다.
 
여러 기사에서 보듯이 중국에서의 온라인 게임 공격은 상당히 활발한 상황이며 현재 상황에서 두 가지 정도의 그룹으로 나눌 수 있을 것 같습니다.
크래킹 및 직접 공격을 통한 온라인 게임 공격 , 악성코드 유포를 통한 사용자 정보를 획득한 상태에서의 게임 공격과 같이 부류를 나눌 수 있고 현재 상태에서 범위나 공격 가담 인력은 유추하기 어려운 상태입니다.
 
중국내에서 일어나는 사이버 범죄에 대해서는 중국 공안이 강력하게 대응을 하고 있지만 국외에 대한 공격에는 그다지 강력한 대응을 하지 않고 있습니다.
이런 현상은 몇년전 부터 지속되어오던 현상이지만 현재 상태에서는 공격 거점이나 공격 인원이 추정 불가능할 정도로 늘어난 상태라 단속에도 어려움이 지속 될 수 밖에 없습니다. 이 이야기는 공격에 대한 대응을 하는 것도 한계가 있고 IT 인프라가 확대 될 수록 계속 될 수밖에 없는 문제일 것입니다.
 
앞으로도 IT 산업의 크래킹으로 인한 위협은 계속 될 것이고 증가될 것으로 판단됩니다.
여력있는 기업 및 여력이 있는산업 차원에서만 효율적인 대응으로 일정정도의 효과를 보게 될 것이고  효과의 유지를 위해서도 지속적인 노력 및 비용 투자가 계속 될 수 밖에 없을 것입니다.
 
전체적인 대응 방안을 큰 범주에서 이야기 하면 다음과 같은 유형으로 줄일 수도 있으나
효과가 나오기 까지는 상당기간이 소요될 것으로 판단됩니다.
 
1. 각 기업 마다의 서비스 오픈 및 신규 서비스 , 개편 서비스에 대한 강력한 보안성 검수 - 기존 웹 애플리케이션 및 내부 보안 취약성의 제거를 목적으로 함.
 
2. 일괄적인 자원의 관리를 통해 커널이나 Application 버전의 일률적인 갱신 프로세스
 
3. 개발 프로세스 단위 부터의 보안성 강화 - Secure Programming  - 현재 상태에서는 향후에도 웹관련된 부분에 대한 위험성이 증가할 것이므로  웹 관련 코딩에 대한 절차 이행 여부를 중시해야 함.  실제적으로 현재 까지 출간된 웹 프로그래밍 서적의 보안 부분 강화 및 개편이 되어야 겠죠. ^^
 
4. 내부 중요 Data에 대한 보호 방안 수립 및 강력한 유출 방지 방안의 수립
    - 이미 권한이 다 노출이 된 상태에서도 보호 될 수 있는 방안이 필요합니다. 특정 툴을 사용하는 것이 전부는 아니며 정책 / 사람 / 정보 / 시스템 전반적인 부분이 총괄 되어야 하겠죠.
 
5. 수준 있는 정보보호 인력의 육성 및 분위기 조성 ( 분위기만 조성되면 금새 따라가겠죠. 원래 자질이 우수한 민족이다 보니.. ) 여기서의 정보보호는 보안인력만을 의미하지는 않습니다.
 
부수적으로 직접 효과를 볼 수 있는 방법은  침입 탐지 및 침입 방지 시스템의 Ruleset의 정밀화및 쉽게 업데이트를 할 수 있는 인력 및 능력의 확보도 중요한 관점이라 할 수 있습니다. 또한 전체적인 공격 유형의 변화를 추정하고 강력하게 권고를 하고 경고를 할 수 있는 레벨의 단체나 기관이 아쉽죠. 사고 발생 이후의 대응 보다는 발생 위험 가능성을 종합적으로 판단하여 사고가 발생하기 이전에 위험성을 경고 할 수 있어야 합니다.  - 이 부분은 사고가 발생하지 않을 경우 해당 경고에 대해서 무감각 하고 중요하게 생각하지 않을 수 있지만 매우 중요한 부분입니다. 현재도 경고를 하고 있지만 수동적인 상태이며 공격의 유형 이나 변화에 대해서 짚어 가는 전략적인 사고는 없는 상태입니다.
 
 
간략하게 위의  정도로 추려서 지속적인 보안레벨을 높일 수 있을 것입니다. 어느하나 쉬운 것이 없습니다. 그래도 진행하지 않으면 문제는 계속 될 수 밖에 없습니다.
현재는 커뮤니티 문화 및 인터넷 문화가 확산되어 금전 거래 및 문화로도 연결이 된 우리 나라에 대해서만 피해가 크게 보이지만 인터넷 문화의 확산에 따라 유비쿼터스 환경의 빠른 확대에 따라 세계 각국으로도 중국의 공격은 유효하게 발생이 될 것입니다. 
 
몇 년이내에 중국 당국의 강력한 조치가 없다면 세계적인 골칫덩이가 될 것이 분명하며 현재로서는 우리나라가 타켓이 된 것일뿐입니다. 위기는 기회라 하였습니다. 현재의 위기를 지혜를 모으고 역량을 모아 헤쳐 나간다면 향후의 IT산업 및 인터넷 산업 부분 전반에 걸친 잠재력과 인력을 확보하게 될 것이라고 판단 하고 있습니다.
 
물론 모든 것은 제 개인의 판단이고 사견입니다. 그리고 이 글도 짧은 시간에 후다닥 쓰는 글이라 다듬어 지지도 않은 내용이구요. 짧은 지식과 식견으로 쓸려니 참 안타깝습니다. 
 
아래 현재 문제에 대한 간략한 대책이나 내용이므로 참고 하시면 될 것 같습니다. 

http://blog.naver.com/p4ssion/40015866029

http://blog.naver.com/p4ssion/40017941957

http://blog.naver.com/p4ssion/40018174273

Posted by 바다란

2002년 8월로 되어 있네요.

 

문서를 찾아서 다시 읽어 보니 부끄러움만..부족함도 많고..

 

그때 브라질 해킹 그룹을 분석하게 된 계기가 내부로 부터 눈을 돌려 외부를 분석하고 그때 당시만 해도 국내의 웹사이트를 공격하는 다수의 고급 크래커들이 브라질 계열이다 보니 적을 알고자 하는 마음으로 분석을 했었죠. 덕분에 새로운 정보 수집 사이트도 찾고 여러 동향도 조금은 객관적으로 불 수 있었던 것 같습니다.

 

아마 해외 그룹에 대한 분석은 처음이 아니었을런지.. ^^; 뭐 얼치기 분석이라도.

 

이래저래 재밌게 보낸 2002년 이었네요. 돌이켜 보면.. 이걸 하루에 왕창 올리면서 이런 생각이 드니  참 세상은 그래도 살만 한가 봅니다. 몰입이란..열정이란.. 항상 이런 질문 하면서 사는데..

 

 

Posted by 바다란

 

 아래의 기사는 지난해 (2005년) 5월에 주간동아에 기고한 기사입니다.

 


 
보안정보 유통채널 어디 없나
보안 취약성 관련 정보 교환의 장 전무 … 사고 대응 및 위험 통보 없어 수동적 대응
 
 
 
 
 
보안 관련 정보가 유통되지 않고 감춰져 있으면 그로 인한 피해는 더욱 커지게 된다. 

최근 ESG(Enterprise Strategy Group)는 미국에 있는 종업원 1000명 이상의 기업에 근무하는 229명의 보안전문가를 대상으로 ‘기업 내부보안 위협’에 대한 설문조사를 했다. 응답자의 절반가량이 연간 매출 10억 달러 이상의 대기업 소속이었다고 한다.

결과는 일반적인 예상치를 뛰어넘는 심각한 수준이었다. 응답자 중 27%가 사내에서 보안 관련 문제가 발생했는지조차 모르고 있었고, 23%는 지난 1년 동안 내부보안 결함으로 인한 침입이 있었다는 것. 이로 인한 손실은 40%가 주요 시스템이나 서비스 중단을 경험했고, 38%는 데이터 손상이나 손실을 겪어야 했다.

 

“게시판이나 각종 DB 프로그램의 취약점을 알려주려고 해도 알려줄 공간이 없어요.”

 

해커나 크래커를 상대하는 국내 보안전문가들의 최대 고민은 국내에 보안 취약점에 대한 정보 유통 채널이 없다는 것이다. 보안이란 전쟁터에서도 역시 정보싸움은 매우 중요한 부분이 될 수밖에 없다. 거의 날마다 새로운 취약성이 발견될 정도로 보안 관련 정보가 폭증하고 있는 것. 안티바이러스 솔루션을 만드는 회사의 경우 과중되는 업무로 비명을 지를 지경이다.

 

보안에서 가장 핵심적인 내용이라면 일반 사용자 측면과 방어하는 쪽에서의 기술적인 부분이 있을 수 있다. 일반 사용자라면 바이러스 백신의 활용과 PC 보안 조치 및 운영체제의 패치를 즉시 설치하는 정도가 될 수 있겠고, 해커와 맞상대하는 보안전문가라면 앞으로 일어날 위험을 예측하고 사회의 기반시설이 된 인터넷을 안전하게 지킬 수 있도록 노력하는 부분이라고 할 수 있다.

 

해외 메일링 리스트에 의존 앞으로 일어날 위험을 예측한다는 것은 그에 대한 정보가 이미 확보돼 있어야 하며, 특히 취약성에 관련된 정보의 활발한 교류와 적극적인 토론을 통해 방안을 모색해야 한다는 것을 뜻한다. 이제껏 국내에서 그와 같은 구실을 했던 매개체는 한국정보보호진흥원(KISA)에서 운영하는 CERTCC-KR 메일링 리스트(http://www. certcc.or.kr)가 유일하다.

 

이 메일링 리스트는 양 방향 채널을 가지고 의사소통을 통해 보안 의식과 취약점에 대한 정보를 공식적으로 언급해왔으나 현재는 유명무실해졌고, 아주 소수의 알려지지 않은, 또는 활동이 매우 뜸한 메일링 리스트만이 정보를 소통하고 있을 뿐이다.

 

그렇다면 우리나라의 보안전문가들은 이 같은 고급 정보들을 어떻게 획득해온 것일까. 대부분이 해외에서 운영하는 메일링 리스트에 의존해왔다. 미국의 Bugtraq(http://www. securityfocus. com/archive/1) 같은 해외 메일링 리스트를 이용해 취약성 정보를 받아왔을 뿐이다. 국내에서는 사이버 안전센터 및 KISA에서 제작하는 취약성 관련 경고문만이 일방적으로 전달되는 실정이다.

 

이 같은 일방적인 정보 전달이 왜 문제인가 하면 지난해 말 발생한 PHP-BB의 취약성을 이용해 웹페이지 변조 및 악성코드를 다운로드 받도록 만들어진 SANTY Worm처럼 프로그램을 직접 이용한 취약성 공격이 빈번해진다는 점, 그리고 올해 초 1000개 이상의 홈페이지가 PHP 취약성에 의해 공격을 당하는 상황에서 볼 수 있듯 앞으로도 새로운 유형의 공격이 증가할 것이라는 우려 때문이다.

 

국내에서 개발된 다수의 애플리케이션(Application)에 대한 취약성도 분명히 존재하며, 이런 취약점을 공개적으로 토론할 장소도 없는 상황에서 국내 취약성이 해외 버그 트랙(Bugtraq)이나 취약성 관련 메일링 리스트에 공개될 경우 해외 크래커들에 의해 악용당할 소지가 매우 높다. 그리고 해외 메일링 리스트에 공개된 취약점이 국내에서 적극적으로 쟁점화되지 않고 보안·네트워크·시스템 관련자들에게서 이슈화되지 못함으로써 수동적인 대응밖에 할 수 없게 된 것.

 

인터넷 인프라가 훌륭한 것은 기반시설이 잘되어 있는 것이고, 기술과 커뮤니티가 활성화되는 것은 발달이 이루어지는 것이다. 보안이라는 부분은 기술과 커뮤니티라는 사회가 무너지지 않도록 보완하는 조직이며 상호적인 관계에 있다. 대한민국의 인프라는 훌륭하며 앞으로도 독창적인 기술과 커뮤니티 문화는 계속 발전하게 될 것이다.

 

위협의 빠른 차단과도 같은 준비는 이미 발생한 위험을 최대한 줄여주는 구실도 한다. 지금의 우리나라 정보보호 준비는 빠른 차단과 확산의 최소화를 목표로 한다. 그러나 위험을 없앨 수는 없고 때로는 치명적인 위험을 입을 수 있다. 그렇다 하더라도 앞으로 발생할지 모르는 위험과 위협에 대해서 적극적으로 토론하는 장이 그 어디에도 없다는 것은 우리에게 너무나 아쉬운 대목이다.   (끝)
 

Posted by 바다란

2002년 10월 에 쓴 글이네요.

이 때만 해도 SCADA ,DCS가 어떤 의미인지도 모르시는 분들 많으셨을듯

 

지나간 자료를 보다보니 만들때의 생각이 나네요.

그냥 스스로가 좋아서.. 낯선 분야에서 무언가를 알아가고 체계화 한다는 것에 많은 만족을 가졌던 것 같습니다. 그 누군가의 평가와는 관계없이..

그 덕에 아직도 이렇게 지내지만.. ^^;

 

조금 더 큰 그림을.. 보려고 한계를 넘어 서려고 많은 노력을 했었고. 그 덕에 조금이나마 머리는 트인 것 같은데 아직도 여전합니다.

 

좀 더 큰 그림을 보려하고 체계화 하려는 것은 여전히 지닌 바램.

 

SCADA & DCS 관련 이 글을 쓸때만 해도 웹상에서 자료를 찾기도 어려워서 공부하는데 정말 힘들었었죠. 이것 저것 찾아봐도..자료도 없고.. 물어볼 사람도 없고.. 지금보다는 앞으로 발생할 문제라고 봅니다. 조만간 휴대폰 영역에서도 이슈가 될 것이고 유비쿼터스 환경에서 더더욱 살벌해질 문제라고 할 수 있죠.

 

이걸 만들 무렵에 SCADA &DCS 관련해서 미국토안보부인가에서 5페이지 정도의 보안 가이드를 발표 하더군요. 그나마 비슷한 시기에 만들었다는 헛바람든 만족만은 혼자 지니고 있습니다.

 

그럼.

 

Posted by 바다란

 

지나간 자료 입니다.

저도 어디에 있는지 찾지를 못해서 다른 곳에서 링크 받아서 여기에 올려 둡니다.

 

순서대로 보시면 될 것 같습니다.

아직도 문제의 원인 같은 것은 잘 모르죠. 사고 조사나 자료들만 잘 있었어도 명확했을텐데 하는 아쉬움이 있습니다.

그냥 추론해 가는 과정을 보면 될 것 같습니다. 이때 잠도 못자고 근 3~4일을 회사일 하면서 밤에는 이거 만드느라고 고생 좀 했죠.

 

그냥 지나간 이야기..

 

0.1 ->0.2 ->1.0  까지 입니다. 회사 차원도 아닌 개인이 하는건 정보의 한계가 있더군요. 나름대로 모든 머리를 다 짜내고 글을 쓰고는 했는데 결국 욕도 많이 먹었죠..

 

후후..다 그러려니 합니다. 이외에 글을 썼던 게시판들도 있는데 그 게시판들이 다 사라졌네요.

그냥 이 것만...

Posted by 바다란

Zeroboard 및 PHP 관련 공격이 극성을 부릴때였죠.

2005년 1월초에 만든 문서입니다.

 

이 문서의 기본 개요는 향후에는 Application 레벨의 공격이 일반적이 될 것이라고 일정부분 예상을 했었는데..점쟁이도 아니구... ^^;

 

지난 내용들이지만 이때 당시를 짚어 보시고 한번쯤 생각을 해보시는 것도 좋을 듯 싶습니다.

조금 더 뒤의 일들을 예상하고 대응을 하도록 권고하는 것은 지나고 난뒤에 보면 좀 우습기도 하죠.

 

그냥 자기 만족이려니 하고 하는 것일뿐. ^^;

 

Posted by 바다란

2005년 4월 작성 문서입니다.

 

여기에서 두 가지 용어를 썼었죠. zeroday worm 과 Monster bot . 현재 취약성이 발표 되거나 패치가 발표되면 치명적인 것들은 빠르면 1일에서 2일 정도 후에 공격코드가 출현 하고 있습니다. 또 발표 안된 문제들에 대한 공격코드들도 많이 있겠죠.

 

앞으로 더욱 많아 질 것 같습니다. 그리고 악성코드 설치를 위한 사이트 직접 해킹으로 이슈화가 덜되고는 있지만 여전히 상당히 많은 bot이 국내의 PC에 설치가 되고 있습니다.

 

더욱 많은 취약성을 공격 하는 Monster 이죠.

 

참고 하시면 될 것 같습니다.

 

이제 찾을 수 있는 것은 얼추 다 찾아서 올린거 같은데여..

Posted by 바다란