(2) IT 서비스 보호를 위한 제안- 위험요소들

p4ssion is never fade away. 

눈에 보이지 않는다 하여 없다고 하는 것은 지혜와 노력의 부족함을 탓해야 할 것이다.

 

중국발 Abusing

 

오로지 금전적인 이득을 목적으로 하는 악의적인 크래킹에는 지금까지 관찰된 바에 의하면 크게 두 가지 유형이 존재한다. ( 권한 획득 및 개인정보 거래 등의 번외로 한다.) 하나는 악성코드 유포를 통한 개인정보의 획득이며 또 다른 하나는 DDos 공격 협박을 통한 금전적인 이득의 추구이다.

 

중국발 해킹은 본래 개인정보 ( ID/ Password) 확보를 목적으로 하였으며 그 목적을 달성 하기 위해 사용자가 많은 사이트를 해킹 ( Web Application의 취약성을 이용 : 80% , File upload 등의 일반적인 취약성 20% 정도로 예상 – 2005년경부터 Web App 관련된 취약성을 이용한 공격이 급증하고 일반화됨) 하여 악성코드를 유포하는 형태로 변경 되었다. 악성코드를 일반사용자에게 유포하여 개인 사용자가 특정 게임 사이트나 금융 사이트에 접근 하여 개인정보를 입력할 경우 입력된 개인정보를 유출 하고 공격자는 유출된 정보를 활용하여 이득을 얻는 구조로 일반화 되어 있다. 해당 유형은 2005년 상반기부터 국내에 만연된 유행으로서 국내의 대부분의 서비스들이 공격 시도 혹은 공격에 대해 피해를 입었을 것으로 유추된다.  (ref: http://www.ytn.co.kr/_ln/0103_200710091932264788 )

기사 참조에서 보듯이 국내의 많은 서비스들이 지금도 여전한 피해를 입고 있으며 해당 공격 유형은 Web URL의 인자 각각에 필터링이 부족한 점을 이용하여 Database에 명령을 실행 시키는 것과 같은 행위를 유발한다.

( 기법에 대한 이해를 위해서는 여기를 참조 http://blog.naver.com/p4ssion/40017941957

http://blog.naver.com/p4ssion/40015866029 하면 된다. 시일이 지난 것이나 현재 일어나고 있는 Application 공격에 대한 이해로는 충분할 것이다.)

 

<악성코드 유포 이미지>

위의 이미지는 일반적인 개인정보 획득을 위한 악성코드의 전파 과정을 도식화 한 것이다. 최근에는 Zeroday 공격도 동일 연장선 상에서 악성코드화 되고 있으며 올해 3월에 발표된 Ani cursor ( 윈도우 전 제품군에 해당 )에 대한 취약성도 패치가 발표되자 마자 악성코드가 국내에 유포되는 실례도 존재 한다.  즉 보안 패치의 속도를 넘어서는 형태로 공격이 우위에 있는 것이며 현재에도 새로운 취약성들이 악성코드의 전파 유형에 따라 계속 응용 되고 범위를 확장한다고 볼 수 있다.

 

개인 사용자의 ID/ Password 정보를 유출하는 부분도 지난 몇 년간 발달이 되어 왔는데 기존의 Key logger등을 이용하는 고전적인 방법에서  ( 이 부분은 Keyboard 보안의 일반화로 인해 변화된 것으로 추측 된다.)  IE의 BHO 후킹과 같이 브라우저 전송단계에서 평문화된 ID/ Password를 가로채는 영역으로 변경이 된 상황이다. 즉 하드웨어 이벤트나 네트워크 전송단계에서 정보를 가로채는 것이 아니라 브라우저 상에서 정보를 획득하는 유형이며 현재 언론 등에 악성코드 유포와 관련된 기사에서 언급되는 대부분의 개인정보 탈취용 악성코드가 이에 해당이 된다.   이 BHO 영역이라는 부분은 IE에서 제어하는 부분( IE Browser Extension)으로서 Keyboard 보안 -> IE  -> SSL 과 같은 일반적인 보호 영역중 IE 부분을 이용하는 것으로 어떤 키보드 보안 솔루션이라도 사용자 입력을 암호화한 이후 Site로 전달되기 직전에는 암호화를 풀고 평문으로 변환하여 브라우저에 탑재를 한 이후 SSL로 전달 하여야만 한다. BHO 영역에서는 브라우저의 이벤트 (페이지 이동 등등)를 모니터링 함으로써 개인정보를 획득 할 수 있다.

<BHO 영역의 악성코드 개요>

현재 발견되는 개인정보 탈취용 악성코드의 다수는 IE의 BHO (Browser Helper Object) 영역에서 개인정보를 가로채는 유형으로 키보드 보안솔루션으로 암호화된 데이터를 최종 단계까지 ( Server 영역) 받지 않으면 해결이 되지 않는 문제라 할 수 있다. 인증서와 결부한 암호화 전달 방안도 대안이 될 수는 있을 것이다.

2007년 9월에만 발견된 악성코드의 수는 500여 개 이상이며 이중 20% 이상이 BHO 영역에서 개인정보를 탈취하는 유형이라 할 수 있다.

( Ref:  http://www.krcert.or.kr/statReportNewList.do  2007년 9월 통계 분석월보 참고)

 

물론 발견된 수치는 신고 또는 모니터링에 의해 확인이 된 수치만을 언급한다. 올해에만 2000여 개 이상의 브라우저 영역에서의 정보 획득을 위한 악성코드가 발견이 되었으나 근본적인 대책 마련은 어려움이 따른다. 보안패치로는 악성코드의 감염 및 설치 단계를 예방 할 수 있으나 Zeroday 공격유형에는 ( 07.3월의 ani cursor vulnerability) 대안이 없으며 백신은 알려진 악성코드가 아니면 처리가 될 수가 없다. 더불어 최근에는 악성코드 제작자들도 기본적인 백신들에 대해 탐지 여부를 확인하고 탐지가 어렵도록 제작하는 것이 일반적인 추세여서 어려움이 존재한다.

 

이런 유형의 개인정보 탈취 악성코드의 출현은 2005년부터 볼 수 있는데 2년이나 지난 지금까지 어떤 해결책들이 제시 되었는지 살펴볼 필요가 있다.  기존의 바이러스들은 사용자의 PC에 영향을 미쳤으나 개인정보 탈취 유형의 악성코드는 온라인 상의 활동에 영향을 미친다.  사용자의 PC에 영향을 미치는 것은 이후에 처리를 하면 복구가 되지만 어디 온라인 상의 활동도 복구가 되는가?  계정 정보는 다 유출되고 난 이후에 악성코드들이 분석되어 업데이트 된들 어디에다 쓸 수가 있을 것인가 의문스럽다. 악성코드는 날마다 갱신되어 나오고 심지어 시간대 별로 다른 유형의 동일 악성코드가 출현 하고 있는 상황에서는 어려움은 가중이 되고 정보가 업데이트 된다고 한들 자사 제품에만 갱신이 되고 있다.

 

DDos 관련된 공격 유형에 대한 분석은 언론 기사에 나온 정보 및 주변 정보를 종합해 보면 다음과 같이 도식화 하는 것이 가능하다.

<DDos 공격 유형의 분석>

위의 이미지에서 보듯이 중간 경유지 및 개인 PC에 대한 권한을 제어 하는 부분까지 추가된 것을 제외하고는 악성코드 유포를 통한 개인정보 획득과 비슷한 유형으로 정리가 된다.  개인 PC를 좀비 PC로 만들기 위해 기존에는 윈도우 관련된 취약성을 이용하여 Bot을 설치하는 유형으로 이루어 졌으나 이번 DDos 경우에는 웹을 통한 악성코드 전파가 동시에 사용이 된 것으로 파악이 된다. 전 세계적으로도 주목해야만 될 변화이다.   또한 국내적으로는 음성적인 IT 서비스 부분에 대한 공격은 어느 정도 좌시 될 수 있었으나 이젠 표면적으로 드러난 움직임을 보였다는 점에 있어 강력한 대응정책 적용이 필수적인 사안이다. 아마 공격한 자들도 이 정도의 효과를 볼 것이라고는 ( 대규모 복수 사이트의 3주 이상의 무력화) 생각지도 못했을 것이기에 또 다른 유형으로 사고를 전환하여 기관망에 대한 공격도 발생 할 수 있을 것이다. 고도화된 IT 서비스망은 항상 위험에 노출 될 수 밖에 없다. 그리고 대응방법도 새로운 방식의 대응 방안들이 항상 고민 되어야만 하는 부분이다. 지금의 우리 현실은 어떠한지 되돌아 볼 필요가 있으며 정리가 필요한 부분이다. 향후 DDos와 연계 되어서 나올 부분으로는 중국으로부터의 공격에 근래에 자주 사용되었던 ARP Spoofing도 향후 자주 사용이 될 것으로 보인다. 만약 아이템 거래 사이트들 전체를 마비 시키고 부분적인 Gateway나 DNS에 대해 ARP spoofing을 시도하여 아이템 거래 사이트를 위장한 임의의 사이트를 제작하였다면 그 피해는 얼마나 될까?  악성코드의 확산을 위해 Arp spoofing 기법을 사용하였으나 이제는 대규모로 spoofing 시도가 가능할 수도 있을 것이다.

( ARP Spoofing에 대한 공격은 krcert의 자료를 참고하면 이해가 높다.

http://www.krcert.or.kr/unimDocsDownload.do?fileName1=IN2007003.pdf&docNo=IN2007003&docKind=3 )

 

현재 가장 이슈가 되고 있고 향후에도 영향성을 미칠 두 가지 Fact에 대해 지금까지 Security분야에서는 어떠한 대응을 하였을까?

 

먼저 개인정보 탈취형 악성코드 부분.

BHO 영역을 공격하는 악성코드 부분은 신고된 악성코드에 대해서만 제한적인 업데이트만 이루어졌으며 공격코드의 발전을 따라 가지 못했다. Security라는 측면은 근본 원인제거가 가장 중요하나 BHO 영역에서 후킹을 통해 정보를 가로채는 유형에 대해서는 근본적인 대책자체가 불가능한 상황이다. IE의 구조 자체를 변경 하기 이전에는 계속되는 위험에 노출 될 수 밖에 없으며 대책을 진행 하는 부분도 인증체계 자체를 변경하지 않는 한 위험은 계속 될 수 밖에 없다.

 

신규 악성코드를 만드는데 공격자는 매우 짧은 시간에 생성을 하고 대응하는 측면에서는 시간적인 여유가 있어야만 대응이 가능하다. 즉 온라인 상에서 정보 노출이 이루어 지고 난 뒤에야 해결이 가능하다는 측면이다. 인식의 전환이 절대적으로 필요한 부분이다. 파일에 대한 복구나 시스템에 대한 복구의 측면이 아닌 정보의 절취를 막기 위한 부분이라는 관점에서 접근을 하여야만 한다. 이 측면에 대한 대책 부분은 다음 Article에서 제시 하도록 한다.

기존의 보호라는 측면이 시스템에 대한 보호가 아닌 온라인 상의 정보보호라는 측면에서 지금까지의 대응 속도가 매우 늦고 효과가 매우 제한적 이였으며 그로 인해 피해는 계속 되고 있는 것이다.  Security라는 산업 자체가 존속하기 위해서는 산업의 요구를 미리 선점하고 이해하여 그에 필요한 요구를 제시 할 수 있어야만 한다. 과연 이러한 유형의 악성코드가 출현한 이후 역할이 적당하였는지 심각하게 고민할 필요가 있다.

 

더불어 악성코드의 유포와 관련된 웹서비스의 취약성에 대해서도 근본적인 대책 수립이 부족한 부분이 존재한다. 원인제거의 역할로 SDLC (Secure Development Life Cycle)를 강조하나 변화가 빠른 웹 Application의 개발현황에 적용 하기에는 매우 더디고 느린 흐름이라 할 수 있다. 강조되어야 하는 부분은 맞으나 장기적인 로드맵을 가지고 움직여야 하며 단기적인 효과는 매우 부족한 부분이라 할 수 있다.

 

과도한 트래픽을 전송하는 DDos 의 경우 현재의 네트워크 장비와 산발적인 노력으로는 한계에 부딪혔으며 모든 문제가 연결되어 발생이 되고 있다. 네트웍적인 현상만으로 대책을 수립하기에는 한계에 도달 하였으며 근본 원인제거 및 일시적이고 체계적인 대응으로 문제의 원인과 악성코드들의 제거만이 해결책이 될 수 있다. Hybrid DDos의 경우 정상 트래픽 위장도 매우 손쉬우며 정형적인 패턴을 찾기가 어려울 수가 있어서 네트워크 장비 단위에서는 처리가 매우 어려울 것으로 보인다. 비정상 패턴을 탐지 하는 것 조차 어려움에 도달 한 상황이라 할 수 있다.

 

 즉 개별 보안 산업의 노력으로는 한계에 도달 하였다고 볼 수 있다. 원인제거 + 초기 감염 탐지 + 대응 + 트래픽 이상 유무 판단  등과 같은 Action들이 동시적이고 대규모로 이루어 지지 않으면 지금의 상황은  대응이 불가능한 상황이다.

 

 

창의적인 노력이나 고민은 어디에 있었을까? 현상을 지배할 만한 창의적인 노력은 어디에 있었을까?. 당장 내일의 매출을 고민하는 것도 중요하지만 연구와 치열한 고민이 부족하였다. 인력 부족은 늘 상 언급 되는 것이지만 상반되는 각고의 노력이 없는 일상적인 불만이나 고민은 사소하게 치부될 따름이다. Security라는 측면에서 IT서비스를 보호하기 위해 얼마나 많은 노력을 하였는지 냉철하게 되짚어 볼 필요성이 있다.

 

SQL Injection이나 XSS 취약성을 막기 위해 Web 보안 장비를 도입을 한다. 그러나 여러가지 방안에 의해 우회가 계속 되고 있고 새로운 유형의 문제들이 계속 발생이 된다. 지금의 Wild network 현장은 2000년 이전의 정형화된 패턴의 문제들이 존재하는 환경이 아니다. 지금의 환경은 다양한 웹 솔루션의 개발과 환경의 발전으로 다양한 매개체와 환경을 종합하고 분화하며 또 새로운 부분을 만들어 낸다. 즉 문제도 매우 빠르게 진화하는데 고정적인 패턴만으로는 금새 한계에 부딪힌다.

 

개인정보의 유출을 막기 위해서는 노출되는 요소를 줄이는 것도 중요하지만 기술적인 부분에서 큰 방향성을 잡고 세부기술로 적용하는 것이 필요하다. 현상만을 바라 보는 것은 기둥도 없는데 큰 비를 막고자 지붕만 올린 상황이다. 기둥이 중요하다. 지금 국내의 정책 현실은 어떠한지도 되돌아 볼 필요가 있다. 비가 가랑비라면 다행이나 가랑비가 아닌 폭우가 내리는데도 기둥 없는 지붕만 수선을 하고 있지는 않은지 느껴야만 될 것이다.

 

 

정보와 지식을 공유하고 또 하나의 실제와 연계된 생활이 이루어 지고 있는 현재의 IT 서비스는 개인정보 유출을 위한 악성코드와 IT 서비스를 직접 위협하는 DDos 공격 유형으로 인해 압박을 받는 형국에 처해 있다.  이제 살릴 수 있고 보호 될 수 있는 큰 그림은 무엇이 있을지 짚어 보도록 하자.. 계속….