본문 바로가기

Security Indicator/Insight

1) Google online security 전략 - 개요

안녕하세요. 바다란입니다.

 

오랜만에 뵙습니다예고를 했었지만 쓰고 싶은 의지가 들지 않아서 오랫동안 포스트를 게재하지 않았습니다. 앞으로도 종종 마음 내키는 대로 게재 하도록 하겠습니다. 누구나 할 수 있는 말이나 분석 보다는 독자적인 시각으로 흐름과 동향을 보도록 하겠다는 마음이니 만큼 불규칙적인 게재에 대해 많은 이해를 구합니다.

  

오늘은 구글의 검색 보안과 관련된 흐름에 대한 내용을 간단하게 살펴 보겠습니다. 올해 들어 매우 빠른 행보를 보이고 있어서 한번쯤 분석을 해볼 필요성이 있을 것 같아서 해봅니다.

 

사실 구글 이라는 검색업체에서도 보안적인 이슈에 대해서는 자사의 서비스 부분의 보안적인 요소에 지금까지 신경을 써왔습니다. 그러나 현재의 흐름은 자신의 서비스뿐 아니라 불특정 다수를 겨냥한 공격이 일반화되고 있어서 자신의 서비스에만 문제가 없다고 하더라도 다른 부분에까지 영향을 받을 수 밖에 없는 구조입니다. 또한 불특정 다수에게 설치된 악성코드를 통해 직접적인 서비스에 영향을 받는 구조로 되어 있어서 높은 신경을 쓸 수 밖에 없습니다. 그러다 보니 의사결정도 아주 신속하게 나오고 있는 상태입니다.

 

검색 보안이라는 용어 자체가 조금 애매모호하지만 단순하게는 Client 보안이라고 할 수 있습니다. 간단하게 말씀 드리면 Google의 검색 결과로 추출된 결과물에 대해서 사용자가 사이트 링크에 클릭을 하였을 때 악성코드 감염되는 유형을 차단하기 위함이라 할 수 있습니다.

 

국내의 경우에는 2005년 하반기부터 유명사이트를 해킹한 이후 악성코드를 유포하는 것이 매우 활성화 되었고 현재는 조금 잠잠해 진 것으로 보이는 유형입니다만 해외에는 지난해 말부터 대응 측면에서 본격적으로 시작이 되는 것 같습니다.  흐름상으로 보면 온라인 게임에 대한 공격이 전세계적으로 최초 시도가 되었고 이후 범위를 확장하여 검색 및 IT 서비스 분야의 어뷰징 유형으로 확산 발전 되는 형태로 볼 수 있습니다.

 

IT service 업체에서 가장 중요한 부분은 Service에 대한 신뢰도입니다. 그 신뢰도의 가장 중요한 부분에 Online security가 포함이 되고 향후 중요한 포석으로 활용이 될 것임을 알 수 있습니다.  

사업의 확장은 M&A를 통해 규모를 확장 하고 영역을 확장합니다. 그러나 가장 중요한 신뢰도의 확보는 정확한 검색 알고리즘과 로직을 통해 나타내는 결과 이외에도 Security라는 측면이 중요한 요소가 있음을 이제 구글도 알아가나 봅니다. ( 한편으로는 내부적으로 얼마나 많은 문제들을 겪었을까 하는 생각도 듭니다. 위험에 대한 인지 계기가 없으면 보안이라는 부분은 항상 중요도가 낮은 부분이 됩니다.)

 

주제는 딱 한 줄로 요약 됩니다. 최소한 구글을 통한 악성코드 전파는 차단 하겠다. 나아가서는 악성코드에 대한 문제는 최소한 구글을 통해서는 일어나지 않도록 하겠다는 의지의 피력 정도 되겠습니다.

목적으로는 검색결과에 대한 신뢰도 향상 , 급증하는 보안 위험요소에 대한 대응 정도 될 것 같습니다.

회사 규모에 비해서 스케일이 작아서 좀 실망스럽긴 합니다만..~~

 

그럼 올해  본격적으로 모습을 드러낸 구글의 Online security에 대한 행보를 퍼즐 맞추기 해보도록 하겠습니다. 공식적으로 발표된 이슈만을 가지고 조합을 함으로 무리수가 따를 수 있으나 개인의 예상이라는 측면에서 봐주시면 될 것 같습니다.

 

 

구글의 2007 Security action

 

4 ( Hotbots 2007 ) 악성코드 위험 사이트 발표 ->

4월 말 KISA - Google과 악성코드 탐지 협력 -> 

5 . Greenborder의 인수 ->?

7  postini 이메일 보안업체 인수 -> 이 이슈는  online security와는 아주 조금 관련 될 것으로 예상됩니다.

 

올해들어 처음으로 구글 내부에는 Anti malware라는 조직이 신설된 것으로 알고 있습니다. ( 발표자료 보고 알았습니다.) 해당 조직의 조사에 의해 올해 4월에 있었던 Hotbots 2007 행사에서 450만개의 웹서비스를 대상으로한 악성코드 설치 위험을 지닌 통계를 발표 하였습니다.  

그 결과로 대상인 450만개에서 10% 45만개 가량의 웹서비스에서 사용자에게 영향을 줄 수 있는 악성코드의 위험성이 있다고 발표 되었는데 여기에서 중요한 것은 왜 그 조사를 진행 했으며 무엇을 하기 위해 그 업무를 했느냐가 분석이 되어야 합니다.

 

간략한 참고는 기사화된 내용이 존재 합니다.

http://www.etnews.co.kr/news/detail.html?id=200705140149

 

전문적으로 참고 하실 분은 Hotbots 2007의 컨퍼런스 발표 원문을 보시면 됩니다.

http://www.usenix.org/events/hotbots07/tech/full_papers/provos/provos.pdf

 

Hotbots2007 conference에서 다양한 주제들이 발표 되었으니 관심 있는 분들 참고 하시면 될 것 같습니다.

 

4월 말 경에는 KISA (한국정보보호진흥원) Google의 악성코드 탐지 사이트에 대한 대응 협력도 체결을 한 상황입니다.

http://www.dt.co.kr/contents.html?article_no=2007042502011060713008

 

악성코드 탐지와 관련된 또다른 움직임은  http://stopbadware.org 와도 밀접한 연관이 있습니다.  

 

 

2006년 하반기부터 운영된 사이트로서 구글 검색에서 나온 검색 결과에 대해 링크 클릭시에 악성코드를 유포한다고 보고가 된 사이트에 대한 접근은 stopbadware.org 사이트로 리디렉션 시킵니다. 검색 결과는 보여주되 악성코드를 유포하는 사이트로의 접근은 제한을 거는 것이죠. 여기서 또 트릭이 하나 있는데 검색결과에 대한 링크 허용 요청은 stopbadware.org로 직접 하게 합니다. 이 사이트의 운영은 묘하게도 하버드 법대에서 운영을 하는 것으로 나와 있죠.  항의는 하버드법대에다 진행하고 문제가 해결이 되었다면 stopbadware.org 에서 지워지면 구글도 링크를 허용하겠다 이런 정책으로 보입니다. 좋은 잔머리라고 볼 수 있을 것 같습니다. ^^; 더불어 KISA와의 협력을 통해 보다 더 한국에 특화된 악성코드 대응이 가능해 질 것으로 예상 됩니다.

 

 

Anti malware라는 팀에서의 악성코드 위험성 조사와 더불어 진행된 내용으로는 Greenborder의 인수를 병행하여 추진한 것으로 보이며 5월 말 경에 공식적으로 발표를 합니다. 내부적인 합의는 5월 중순에 완료 되었다고 합니다.

http://www.zdnet.co.kr/news/internet/hack/0,39031287,39157927,00.htm

 

Greenborder의 인수는 왜 이루어 졌을까 하는 의문 당연히 제기 되어야 합니다. 그린보더의 기술은 Firefox IE Browser 내에 가상의 Sandbox 모델을 구축하여 보안을 구현 한다고 되어 있습니다. 정말 어렵게 설명 하죠? 좀 쉽게 설명 하면 다음과 같습니다.

 

모든 웹사이트에 방문을 할 경우에 해당 웹 사이트의 데이터는 개인 PC Temporary 폴더에 저장이 됩니다. Firefox IE든 마찬가지 입니다.  악성코드의 전파는 우선 사이트에 방문 이후 모든 파일이 내려진 이후에 자동 실행등을 통해서 이루어 집니다. 그린보더는 여기에 착안을 하여 비지니스를 진행 합니다.

 

                     <cnet.com greenborder pro2 에 대한 소개 이미지>

 

자세히 들여다 보시면 Browser 테두리를 Green color로 둘러 싸고 있는 것을 볼 수 있습니다. 일단 보호가 되고 있다는 의미를 나타냅니다. 사업의 방향은 간단합니다.  Temporary 폴더로 다운로드 되는 모든 파일에 대해 실행제한을 하게 하고 설치가 되지 않도록 하기 위해  가상화된 공간을 만들고 해당 공간은 시스템에 영향이 없도록 만들어 둡니다. 그 이후 사이트를 떠나거나 브라우저 창을 종료 할 경우 파일의 삭제 혹은 가상화된 공간을 없애는 것이죠.

 

즉 모든 악성코드들의 출발점인 다운로드 이후 실행 경로와의 차단을 목적으로 진행을 합니다만 기본 경로에 대한 차단을 시행하는 역할 을 합니다. 개념상으로는 좋은 아이디어 입니다. 한번 사용을 해봤으면 정확하게 알 수 있는데 구글의 인수 이후 해당 업체를 알게 되었고 다운로드 경로가 모두 삭제되어 사용이 불가하여 웹상에서 드러난 공개자료를 통한 분석 외에는 해볼 수 없었음을 알려 드립니다.

 

이 그린보더의 문제점은 시스템에 대한 보안 적용이 필요한 모든 부분에서 문제를 일으킬 수 있다는 점입니다. 즉 구글을 제외한 모든 사이트들에서 추가적인 도구들을 사용 할 수 없는 문제들이 발생 할 수 있습니다. 이런 문제를 해결 하기 위해서는 앞으로 많은 시간이 필요할 것으로 보이나 해당 업체의 기술을 이용한 검색 결과의 안정성 보장은 빠른 시일 내에 모습을 드러낼 것으로 보입니다.

 

드러난 Google의 행보는 여기까지입니다. 단순하게 세 가지 사실을 가지고 유추해본 바로는 향후 검색 결과에 대한 사용자 신뢰도 확보에 대한 Google의 의지를 볼 수 있고 또한 동양과 서양간의 사회적 인식에 따른 보안 개념의 차이를 볼 수 있습니다.

 

올해부터 보안컨퍼런스에 전면적으로 모습을 드러낸 구글의 모습은 그 필요성에 따라 매우 빠른 움직임을 보이고 있습니다. 그만큼의 위험상황이라고 인식을 하는 것을 볼 수 있습니다. 자사의 검색결과에서 악성코드가 유포되는 유형을 공개적으로 발표를 하는 의도도 그만큼의 위험상황임을 내부에서만 알고 있기에는 위험하다고 판단 했기에 그랬을 것으로 보입니다.

  

* Article이 좀 분량이 있습니다. 계속 올리도록 하겠으며 다음에는 좀더 체계화 되고 전략적인 방향 부분을 짚어 보도록 하겠습니다 2편 정도 더 나올 것 같습니다.

 

감사합니다.

 

 

참고: 동양과 서양간의 사회적 인식에 따른 보안개념의 차이에 대한 사견

 

 - 일반적인 내용은 아닙니다만 사회적 인식에 따라 책임 소재가 국내의 경우 서비스 업체에 집중이 되는 경우가 많습니다. 금융사고의 경우에도 개인 사용자에게 설치된 악성코드로 인해 발생된 사고의 경우에도 금융권에서 배상을 해야 하는 내용등이 있어서 문제 발생 이전에 사전 대응을 주로 하도록 합니다. 수많은 ActiveX가 설치되는 이유 이기도 합니다.

 

서구권의 경우 사고 이후의 분석에 많은 강점을 보이고 있습니다. 즉 사용자에 대한 모든 행위 분석 ( CRM의 일종 )에 따라 비정상적인 행위 패턴을 보일 경우 Alert이 되도록 합니다. 즉 한번도 간적이 없는 곳 또는 사용 기록이 거의 없는 시간대에 거액의 비용을 사용하게 된다면 Abusing이라고 판단하죠. 이걸 Fraud 라고도 합니다. 이런 유형의 검출에 대해 특화된 노력들이 많이 있어 왔습니다.

 

금융권의 예를 들었읍니다만 서비스의 경우에도 개인 사용자야 어찌되든 자신의 서비스로 인해 나타나는 결과의 안정성에만 신경을 쓰는 것을 볼 수 있습니다. Google이 그 케이스를 보여 준다고 생각 됩니다.