2009년 4월에 기고한 Facebook과 Twitter의 문제점 들입니다. 그때 당시만 해도 국내에서는 아직 인지도가 떨어질 때였고 사건 사고의 심각성도 모를때 였습니다만 이제는 사용 하시는 많은 분들이 아실 것 같습니다. 이 문제들도 한번쯤 읽어 보시기 바랍니다.
“Small world” 의 Security (Koobface, Mikeyy ) - zdnet 컬럼 바다란.
Internet Security의 변화는 지금의 시대에 이르러 완연하게 전환점에 도달해 있다.
기술의 발전과 도구의 개념에서 필수적인 매체로 전환됨에 따라 더욱 밀접하게 사회와 그리고 개개의 인간과 연관성을 지니고 있다. 더불어 취약성과 공격이라는 관점도 변화를 역력하게 보여주고 있다.
Internet이라는 개념은 이제 생활의 도구에서 필수적인 요소로 완전하게 자리매김을 하고 있는 상황이며 그 중에서도 Social Network Service 영역은 국내는 물론 전 세계적으로 가장 큰 흐름을 보이고 있는 부분이다.
Small World Theory는 케빈베이컨의 6단계를 의미한다. 사람과 사람 사이의 관계에서는 6단계만 거쳤을 때 모르는 사람이 없다는 내용이며 Small world라는 개념으로 이야기 하기도 한다. 마케팅 및 Social Network Service 영역의 기본 바탕이 되는 개념이고 국내의 많은 사이트들과 세계적인 흥행을 하고 있는 여러 서비스들의 기본적인 이해와 연관이 있다. Small World와 Security는 어떤 관련이 있을까? 관계로 맺어진 Service Network는 과연 안전한가 하는 질문과 함께 가볍게 시작한다.
Twitter(www.twitter.com)와 Facebook(www.facebook.com) 유형의 서비스는 전 세계적인 반향을 얻고 있는 서비스라 할 수 있다. 공격은 항상 가장 많은 반응을 얻을 수 있는 부분에 집중이 된다. 올 4월에 외신에서 언급된 두 SNS 사이트에서 발생된 이슈들은 한번쯤 심각하게 언급이 되어야만 하는 이슈이다.
그럼 어떤 일들이 있었을까? 드러난 사실만을 가지고 분석과 유추를 해본다.
먼저 Koobface는 Facebook에서 발생된 Malware를 의미하고 이 악성코드는 지독하게도 Facebook과 유저를 괴롭혀왔다. 단순하게 Facebook이 지닌 구조를 이용하여 Friend List등에 악성코드를 설치하는 링크를 가진 여러 유형의 메시지를 전달한다. 당연히 무작위적인 스팸보다는 성공률이 높다. 악성코드를 설치하는 링크를 순수하게 Facebook의 Friend List 구조 (쉽게는 국내의 SNS중 1촌관계를 의미)를 이용하여 메시지를 전달함으로 인해 성공률이 높아진 것이다. 또한 다운로드의 경우는 Adobe Flash를 가장하여 설치를 하도록 유도함으로써 악성코드 설치 성공률을 대폭 늘린 케이스다.
3월에 이르러 Facebook은 다른 대응 방안을 모색한다. Koobface라 이름 붙여진 웜의 경우는 다운로드를 통해 사용자의 PC에 설치가 되며 사용자의 정보유출은 물론 Botnet을 구성하는 하나의 좀비 PC로도 활용이 가능한 유형이였고 전파 유형도 구조를 이용하여 지속적인 스팸과 메시지를 보냄으로 인해 기업의 비용도 높아 졌을 것이다. 확산의 속도도 굉장히 빨랐을 것은 명확하다. 개별 소스코드의 수정을 통해서는 이미 설치된 웜에 대해서 대응 하기가 어렵고 Friend List를 이용하는 방안을 수정한다 하여도 공개된 부분인 만큼 분석을 통해 새로운 변형들이 지속적으로 출현 할 수 밖에 없는 상황이였을 것이다.
<koobface 웜을 설치하는 다운로드 경로를 지닌 메시지 >
구조를 이용한 확산과 신뢰관계를 기반한 악성코드의 확산은 대규모 Botnet의 구성과 정보의 유출이라는 상황에 직면 할 수 밖에 없게된 Facebook은 최근 몇년간 활발하게 Anti Virus 영역에 진출하고 있는 Microsoft와 협력하여 악성코드에 대한 대응을 시도하게 된다. 그 결과는 2주 동안 20만회의 Koobface웜 설치 시도를 133600 여대의 PC에서 탐지하고 제거하게 된다. ( ref: http://news.cnet.com/8301-1009_3-10210376-83.html ) 또한 탐지된 변형만도 100여 종에 이르고 있어서 추가적인 내용은 더 크게 나타날 것으로 보인다.
속임수라 부를 수 있는 사회적 공학기법 (Adobe Flash 설치로 위장한 점과 흥미를 유발하는 메시지 관점)과 관계를 이용한 설치 경로 제공은 특정 서비스에 국한될 수 밖에 없는 문제를 가지고 있지만 대규모 사용자를 가지고 있는 서비스의 경우에는 특정 서비스에 국한 되더라도 충분한 효과를 가지고 있음을 보이는 것이다.
서비스와 연관된 공격은 사실 이 경우가 처음은 아니며 구글에서 운영하는 Orkut의 경우에도 이미 관련된 사례가 존재하고 있다.
(http://blog.naver.com/p4ssion/50026431192 )
Koobface 이슈를 보며 이제는 서비스에 국한된 웜이나 악성코드의 경우에도 전역적인 대응이 가능한 매개체 ( Anti virus 업체도 매개체 중의 하나이다.)를 이용하여 대응을 해야 할 정도로 난이도가 있고 서비스업체 자체적으로 처리 하기에는 어려움이 많아짐을 보이고 있다.
“Mikeyy” 라는 이름은 Michael Moony라는 17세 소년의 애칭으로 볼 수 있다. 이 이름은 최근 몇 주간을 Micro Blogging 서비스로 유명한 Twitter의 4월을 시끄럽게 만들었다.
Twitter( Micro Blogging 서비스)를 시끄럽게 했던 이슈는 XSS ( Cross site scripting ) 취약성을 이용한 Application Worm 이라 할 수 있다.
( ref: http://blogs.zdnet.com/security/?p=3125 )
이 17세 소년은 Twitter에게 문제를 해결 할 수 있도록 제안하는 어떤 통로도 발견 할 수 없었고 문제에 대한 의견을 받은 적이 없어서 어쩔 수 없이 이런 행위를 할 수 밖에 없다는 정당성을 주장하기도 하였지만 피해를 입힌 것은 분명하여 어려움이 있을 것으로 예상 하였다. 그러나 전체적으로 악의성은 적으며 취약성을 알리고자 한 목적이 주된 목적이라는 것이 어느 정도 감안이 되는 방향으로 인식이 되는 것으로 보인다. 문제 해결에 대한 반응이 없을 때마다 추가적인 공격을 시도하고 그 이후 일정수준에서 종료를 하는 방식으로 ( 종료는 중간에 반드시 참고를 하도록 되어 있는 링크를 제거하는 형태로 이루어졌다. ) 이슈화를 시켜 반응을 이끌어낸 점은 분명히 있다.
4.17일에 추가된 소식은 4~5가지의 변형을 이용한 XSS 취약성 공격을 직접 보고 능력을 인정한 ExqSoft라는 이름의 Web application 개발 회사에서 Security 담당으로 채용을 했다는 것으로 전해진다.
문제의 이슈는 관계형 네트워크 서비스의 장점을 이용하여 악성코드도 충분히 심각한 피해를 입힐 수 있다는 점이고 공격자가 사용한 XSS 공격코드가 만약 악성코드를 다운로드 하거나 설치하는 유형 이라면 심각한 피해를 일으킬 수 있었음을 의미하기도 한다.
공격의 출발은 아주 작은 부분에서부터 시작하여 급격하게 확산하는 과정을 거치는 것이 Service Application을 공격하는 유형이다. Twitter worm의 시작은 초기 4개의 계정에서 출발한 것으로 알려진다. 이 4개의 계정도 공격자가 생성한 계정이며 이 계정에는 외부 링크를 포함하고 있던 것으로 확인된다. 새로 개설한 계정정보를 확인하는 다른 사용자들에게 자동으로 감염을 시키며 외부 링크에 존재하는 스크립트 파일은 또 다시 감염된 사용자의 Twitter 계정정보를 이용하여 profile을 변조하고 사용자의 전체 Friend list에 대해 스팸유형의 메시지를 대량으로 발송하는 것을 반복하도록 코딩이 되어 있다.
이 중에는 아래와 같은 특정 사이트 링크로 사용자의 Profile을 변경한 유형을 직접 살펴 볼 수 있다. 아마 1주일만 있었어도 전체 Twitter 사용자의 상당수가 피해를 입었을 것으로 볼 수가 있다. 더불어 악의적인 행위를 하고 악성코드의 전파를 위한 방식을 좀 더 koobface와 같이 교묘하게 하였다면 더 심각한 피해는 불을 보듯 뻔한 사례이다.
< Twitter worm 에서 변조한 Twitter 사용자의 Profile>
이미 2007년의 Myspace웜의 경우에도 발생 하였고 Google의 서비스에서도 발생하였으며 Yahoo, AOL 등과 같은 연관 관계가 있는 서비스 및 Social Network Service를 주력으로 삼고 있는 서비스 기업에는 모두가 수 차례씩 경험이 있을 것이다. Twitter에서 발생한 이슈의 경우는 심각하게 변화하기 이전에 이슈화만을 목적으로 진행한 것이며 개인 PC 및 여러 서비스 부분에 매우 심각한 영향은 존재하지 않았으나 위험성은 충분히 확인된다.
Small world는 인간 세상의 온라인화를 명확하게 보여주고 있다. 인간의 관계의 측면은 서비스의 프로그래밍적인 구성으로 연결이 되고 있고 이와 같은 구조는 그리 어렵지 않게 파악이 가능하다. Web을 이용한 구성은 접근성의 확대와 서비스의 세계화에 기여하지만 그 구성의 기본을 파악하는 것과 구조를 이해하는 것은 어렵지 않다.
공격자들의 기본은 항상 적은 노력으로 많은 효과를 얻는 곳을 중점적으로 노린다. 운영체제에 대한 일방적인 Worm 유형으로 공격을 하였다면 이제는 보다 더 대상을 구체화 하고 확산효과를 확실히 볼 수 있는 SNS 와 같은 유형으로도 손쉽게 확대된다.
최종적으로 올해 4월에 발생된 두 가지 정도의 이슈에서 살펴봐야 할 점은 몇 가지 정도가 존재한다..
- Application에 대한 공격은 개별 Application에 대한 공격을 넘어서 특정 사이트에서 구성하고 있는 논리적인 구조에 대한 공격도 이제는 일반적인 유형이며 대응을 위해 Anti Virus 솔루션까지도 동원을 하여야만 가능한 범주에 들어섰다는 점이다. 이 점은 Facebook에서 발생된 악성코드 전파 유형이 Facebook 자체의 Web Application Logic을 이용하여 전파되고 확산되는 유형을 가지고 있으며 더불어 시스템에 피해를 끼치는 유형까지도 동시에 확산이 되었다는 점이다. 즉 확산속도는 Small world Theory에 걸맞게 급속 확산이 되고 더불어 개인PC를 완벽히 제어하는 악성코드까지 설치 됨으로 인해 피해는 심각한 상황이 된다.
- 특정 기업이나 서비스에 특화된 확산 방식을 보임으로 인해 지금까지 출현한 형태 보다 난이도 및 피해가 심각한 유형이 발생될 경우 특정 서비스의 몰락을 매우 손쉽게 가져 올 수 있다는 점이다. 기업측면에서는 서비스에 특화된 보호대책을 반드시 강구해야만 하고 초기 단계에 발견과 대응이 가능한 구조적인 조직과 인력을 유지해야만 한다는 점이다. 새로운 부담으로 다가올 수 있다.
- 현재 보다는 악성코드의 결합유형을 보았을 때 향후에는 여러 서비스를 동시에 공격하고 전파하는 Application 차원의 Fusion Worm도 멀지 않아 확인이 가능할 것으로 보인다.
생소한 내용으로 보일 수 있지만 피해는 개인 사용자에게 직접적으로 다가온다는 점이며 개인 사용자의 관점은 국내와 국외를 가리지 않는다. 국내 서비스에 대한 공격도 만약 이득을 취할 수 있다면 언제든 발생이 가능한 부분이다. 메신저를 이용한 메시지나 악성코드 설치 유형도 동일 관점에서 볼 수 있다. 다만 Web Application의 논리적 구조를 이용한 공격의 경우는 개인 PC외에도 Web Service 상에서도 살아서 그대로 존재하고 있어서 계속 되는 것이 다를 뿐이고 개인 PC 차원의 대응 외에도 서비스 기업 자체의 대응도 있어야만 해결이 된다. 문제의 해결을 위해서는 좀 더 체계적이고 협력적인 관계가 요구 될 수 밖에 없다.
국내의 현실은 본 글에서 언급한 Application Attack에 대한 관점보다 더 심각한 상황이지만 어디에서도 언급을 하지 않는다. 아니 전체 인터넷 서비스에 대해 논의가 되지 않는다. 경쟁력과 가능성을 지니고 있음에도 불구하고 애써 외면 당하는 현실이 안타깝기만 하다. Security라는 관점에서 현재의 문제점을 한번쯤 고민 해야만 할 것이다.
무형의 가치가 더 중요한 의미를 지니고 있는 시대에 유형의 가치만을 보려고 하는자 얼마나 어리석은가!
Internet은 넓으면서도 얼마나 작은 세상 이던가!
바다란 세상 가장 낮은 곳의 또 다른 이름 ( http://p4ssion.pe.kr )
'Security Indicator > Insight' 카테고리의 다른 글
SQL injection 공격 변화 & 중국발 해킹 요약 (0) | 2010.04.27 |
---|---|
Sourceforge 등록 - 효과 있는 웹 스캐너 개발 참여 (0) | 2010.04.27 |
Service Attack (ex:Google의 orkut)의 세계화 (0) | 2010.04.27 |
IT리스크의 현실- 글로벌 보안 위협 -2 (0) | 2010.04.27 |
[컬럼]IT관리자들의 10가지 실수- 두번째 (0) | 2010.04.27 |