태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.


2011. 4.26일 코엑스의 netsec-kr 튜토리얼 세션에서 발표한 내용입니다. 

많은 이야기를 했고 시연도 했지만 현재의 변화는 정말 심각한 상황에 직면해 있다고 봐야 됩니다.
현대 캐피탈에 이어 소니도 해킹을 당했지만 들리는 소식으로는 소니 자체에서 조사를 못하고 외부 보안전문업체를 동원해서 분석을 한다는 군요.

한해 매출이나 이익이 조단위가 되는 회사에서도 자사의 서비스를 책임지고 이해하며 보안적인 이슈를 분석할 사람이 없나 봅니다.

아마 전 세계적으로 보안인력의 품귀 현상이 빚어지겠지만 모두 예측된 일입니다.
더 중요한 것은 아무리 기술이 높은 인력을 채용하고 스카웃 한다고 하여도 내부에서 성장하고 체득 할 수 있는 에코시스템이 갖추어져 있지 않다면 별 소용이 없다는 점이죠.

에코 시스템이란 제대로 일을 할 수 있게 또 역량 발휘를 할 수 있게끔 해주는 것이죠. 금전적인 대우야 하는 일에 맞게 책정 하면 될 것이구요.

항상 보안이라는 분야는 다른 많은 부분과 마찰도 있고 문제도 있지만 중요한 것은 통제를 위한 보안이 아니라 큰 위험을 막고 전체를 보호하기 위한 분야로 인식을 할 때 시너지가 발휘 됩니다. 여기까지 가기 위해서라도 경영진의 위기인식과 의지는 반드시 필요하죠.

인식과 의지가 귀찮으시면 그냥 소니처럼 25조짜리 소송 당하면 됩니다. 왜 해외에서의 문제가 더 심각할까요? 이 부분도 생각해 봐야 합니다. 신용으로 거래되는 해외의 상거래 관행에서 신용카드는 매우 큰 역할을 합니다. 더불어 이 번호가 노출 되었을때 도용 될 수 있는 폭도 매우 크며 도용에 대한 해명 및 어필등을 일정 수준 이상 개인이 해야 하는 사회적 비용이 촉발 됩니다.
 

또한 실제 피해도 많이 발생 되는데 .. 국내도 지금껏 많은  정보들이 탈취 당했으나 개인 차원에서는 보이스피싱 정도의 피해가 가장 심각한 피해라고 볼 수 있습니다. ( 이번 현대캐피탈 이슈는 제외 하구요..) 해외에서는 정보 유출시 피해가 상당 할 수 밖에 없습니다. - 신용으로 이루어지는 .. 즉 신용카드로 모든게 결재되고 거래되는 사회라는게 사전 대응 보다는 사후 대책에 집중 할 수 밖에 없는 부분이기도 합니다.


 
Web을 통해 유포 되는 악성코드들은 대부분이 개인정보 유출로 활용 되고 이중 일부는 Arp spoofing & DDos 용도로 활용 되기도 합니다. 사실 DDos 공격 같은 경우는 예전 같으면 애써 구축한 봇넷 네트워크가 무너지기에 금기시 되었지만 요즘 같으면 금새 좀비를 몇 만대 이상을 만들 수 있으므로 훼이크 성으로 할 수도 있겠죠.

지난 3.4 DDos가 많은 점에서 어설프게 보이는 것도 동일 합니다. 본 자료에서는 그 내용도 포함 되어 있습니다. 2시간의 발표 동안  자료 보다 많은 내용을 시연하고 발표를 했습니다만 자료상에는 단순한 챠트가 나열 되어 있습니다.  통찰력 있으신 분들이 그 의미를 깨닫게 되신다면 향후의 대응은 달라질 수 있을 것 같습니다.

위기의 인터넷이라는 부제는 몇 년전 컬럼에서 썼던 제목인데 현재는 그 상태로 완벽하게 진입되어 있는 상태입니다. 그 때 예측한 많은 것들이 실현이 된 것이죠.  

뒷부분 대책 부분에서 웹 서비스에 대한 개발 프로세스 전환 부분등에 대해서는 심각하게 생각해 보시길 바랍니다. 기존의 보안도구와 방법론의 문제들은 이미 여러번 언급한 적이 있습니다.

빠른 납기주기: 웹 개발의 경우는 더 빠르겠죠. 이 기간내에 보안점검까지 다하기란 어렵습니다.

보안 스캐너 :
보안 전문가도 한눈에 알아 보기 어려운 설명과 방법, 그리고 실행 시간이 오래 걸립니다. 개발자가 직접 보기에는 무리인 부분이죠.

소스코드 진단도구 :
자동화된 도구들의 경우 기계화된 코딩을 강요하죠. 이 부분에서 절대적 한계, 교육된 개발자가 이탈시엔 모든걸 다시 원점에서 시작.

보안컨설팅:
이벤트 페이지 하나 추가해도 받으 시겠습니까?. 비용은 또 서비스 구조에 익숙하지 많은 전문기술자들의 진단은 때론 핵심을 빗겨 가기도 합니다. 또 소스코드 점검을 컨설팅을 통해 받는다고 하여도 남이 개발한 소스를 직접 보고 문제 부분을 찝어 내는 것은 어렵습니다. 무엇보다 인간입니다. 실수 할 수 있다는 것이죠.


이에 반해 공격도구의 경우는 특정 부분만을 찍어서 들어 옵니다. 그리고 외부 인터넷 노출된 서비스 전체에 대한 확인과 진단도 쉽습니다. 기업에서 내부망으로 침입이나 데이터 유출 ( 이번 소니나 현대캐피탈)을 방지 하기 위해서는든 외부 노출 서비스에 대한 보안 진단이 상시적으로 이루어져야 합니다.

과연 이걸 기존의 Security paradigm으로 할 수 있을까요? 국내뿐 아니라 해외 모두 마찬가지입니다.
방향 전환이 필요한 시기이고 더 늦어지면 이젠 감당키 어려울 것입니다.

Web service의 안전한 운영과 개발을 위해 필요한 부분을 기존과 다른 WSDLC라는 이름으로 명명 하였습니다. 여기에서의 프로세스는 접근성 뛰어나고 빠른 실행이 가능하며 간편한 보고서 형식으로 활용이 가능한 서비스의 필요성에 대해서 언급을 하였고 개발자 자신의 Self learning 뿐 아니라 보안 담당자나 전체 운영자 입장에서는 일목요연한 취약성 형상 관리가 일단위로 가능해 지겠죠.


지금까지의 개념과는 상당히 다른 차원의 접근이 되어야만 현재의 문제를 해결 할 수 있을 것입니다.

전체적으로 악성코드 유포의 동향, 공격자의 의도 ( 왜 주말에만?? ). 2월까지만 해도 3일간격으로 경유지를 변경하던 공격자들이 많은 대응으로 인해 손실이 커지자 주말에만 활동 하는 것으로 바뀌었고 지난주에 출현한 Flash player에 대한 공격 코드 출현으로 인해 주중에도 이젠 대 놓고 공격하는 형태로 변경이 되어 있습니다.

짧은 내용에 담긴 흐름과 변화의 예측. 그리고 대응

* 아무나 할 수 있는 것은 아닌 점이라는것만 확실하게 말씀 드립니다. 상세한 내용은 발표 자료를 통해 유추 하시고 통찰 하시길 바랍니다.



- 바다란 세상 가장 낮은 곳의 또 다른 이름. 
Posted by 바다란

댓글을 달아 주세요