본문 바로가기

Security Indicator/Insight

해외 보안기사 및 현실에 대한 비평 - 8.25


FB에 올린 450자 짜리 단상을 묶어서 게재 합니다.
별도 컬럼으로 정리가 필요한 것들도 있지만 fb에만 자주 쓰다보니 블로그에는 자주 못 쓰는 경향이 있네요. 또한 450자로도 표현하기 힘든 많은 내용과 생각들이 있어서 아쉬움에 여기에 옮깁니다.
페북 주소


Recruiting and developing the 21st century cyber warrior

http://www.scmagazineus.com/recruiting-and-developing-the-21st-century-cyber-warrior/article/210230/


이 글은 미국방 분야에서 사이버 보안 인력을 뽑을때 문제가 되는 부분들과 비교가 되는 부분들에 대해서 잘 정리가 된 컬럼 이다. 정확하게 문제가 되는 부분들에 대해서 지적하고 있고 이 내용은 국내도 동일하다.

글을 읽어야 할 사람들은 도구로서 이용만 하려 하거나, 숫자만 채우면 된다고 생각 하거나, 시키면 할 것이다라는 모든 사람들에게 해당 된다. 일반 회사도 마찬가지 상황일 것이다. 
컬럼 자체는 정책결정 가능한 고위직, 군간부, 기업의 경영진이 꼭 봐야 할 내용이다. 물론 보안을 생각한다면..

결론적으로 가장 중요한 한마디만 요약하면 사이버 보안을 담당하는 인력들을 유인하기 위해 가장 중요한 하나는 동기부여 및 새로운 것에 대한 지적호기심 자극이 가능 중요하다고 할 수 있다. 별도 정리 예정


* 인력을 뽑는 다는 측면에서 고려해야 할 점이 많음을 볼 수 있다. 급여 및 다른 제반조건이 아무리 좋다고 하여도 다른 방향을 보는 사람을 포용하여 공동의 이익을 얻기 위해서는 서로가 같이 맞추어야 할 부분이 많다는 것이다. 가장 중요한 포인트는 두가지. 동기부여 측면과 공격을 강화 하는 것은 보호를 강화하는 것과는 다른 측면이라는 인식이 절대적으로 필요하다는 점이다. 

보안분야를 강화하기 위해 인력 양성이나 인력 확보를 노력 하는 모든 기업이나 기관, 국가에서 귀담아 들어야 할 내용이라 생각 된다.


구글을 이용한 정보 유출에 관련된 내용. 특별할 것은 없다. 여기에서 언급된 FTP 검색과 같은 경우 민감한 데이터들이 보호되지 않은 상태에서 나타날 경우 언제든지 외부에 의해 검색 될 수 있다는 점이고 . 예일대의 개인정보 유출 사건과 같이 FTP에 올려진 데이터가 검색에 의해 드러나는 경우를 예로 들고 있다. 


구글을 이용한 공격정보 획득은 이미 오래전 부터 이루어 지고 있고 지금도 활발하게 이루어 지고 있다. 고급검색을 통해 특정 URL과 인자를 조회하고 그 부분에 대해서 공격하는 기법, 파일 검색을 통한 정보 유출들은 일상적으로 있어온 일이다. 고급검색을 통한 URL 검출과 인자 검출 부분을 대응하기 위해서는 전체를 검사해야 하는 문제가 있고 이 문제는 앞으로도 오랜기간 지속 될 것이다. .

* 이 구글 해킹은 상당히 오래된 내용이며 단일 도메인에 대해서 공격을 하는 것은 이미 2005년에 출현을 하였다. 이 이전에 있던 것은 구글 도메인이 아닌 다른  유형의 php worm 이나 악성코드들이 있었으나 구글이 검색에서 주도권을 쥔 이후에는 이제 모두 이걸 이용한다. 그렇다고 구글에서 차단을 해 보았자 일정기간내의 횟수를 초과할 경우에만 제한이 걸리는데 이걸 공격자들은 가볍게 우회한다. 프락시 이용으로...

2005년에 출현한 것인 단일 도메인에 대한 공격 이였다면 2008년 무렵부터 지금까지 출현하는 대부분의 공격도구들은 전체를 대상으로 하고 있다. 불특정 도메인 ( 검색 조건에 맞는 모든 도메인이 해당된다. 특정 확장자에 특정 인자 사용 ..) 을 대상으로 공격과 악성코드 유포 시도를 반복하고 있다.

분명한 것은 지금의 공격 양상은 이 글을 읽는 분들이 생각하시는 것보다 휠씬 더 대규모이고 정교하다는 점이다. 이래서 대응이 어려운 것이기도 하고...

< 공격도구의 한 예이다. >

Epson, HSBC Korea, domain registrar hacked: 100,000 domains affected

http://www.zdnet.com/blog/btl/epson-hsbc-korea-domain-registrar-hacked-100000-domains-affected/55864
 

잭 휘태커에 의해 리스트된 가비아 해킹 사고. 해외에서 이런 기고를 보는 친구들은 어떻게 볼까?. 레지스타가 해킹 되어 주요 도메인을 포함한 10만개 이상의 도메인이 해킹 당한것으로 보이는 현실에서 단순한 문제라고 치부할 것인가? 근원적인 문제를 고민 해야 한다. 1.25때에도 DNS 가 문제가 되어 전체 서비스 연결이 안되었듯이 ( 서비스는 다 살아 있었다. 주소 매핑만 안되었을 뿐이지.) 앞으로도 동일한 현상은 심각한 문제라고 봐야 된다.


덧붙여 SK 컴즈의 해킹 사고에 대해서도 언급을 하고 있다. 해외에서 국내의 이슈에 대해 직접 언급 하는 것으로 볼때 이제 세상에 비밀이란 없고 우리끼리만 아는 것도 없는 것 같다. 


공격과 수비의 조합은 절묘해야 팀이 이루어 진다. 공격보다 수비가 어려운 것은 지금의 축구에서도 당연한 일이다.


* 이 부분에 대해서는 별도 언급을 할 필요조차 없다. 공격을 하는 것은 한 지점과 한 부분을 노려서 목적을 달성 할 수 있지만 수비를 한다는 것은 성을 수비하는 것과 같다. 항상 꾸준하고 전술의 변화를 볼 수 있어야 하고 공격 전술의 변화에 따라 능동적으로 대응을 해야 한다.

말이 쉽지.. 전체의 수준을 일정 수준이상 올린 이후에 변화를 따라가고 수성을 한다는 것은 최소한 공격보다 열배 이상.. 아니 그 이상의 노력과 진지함이 필요하다는 것이다.
공격진의 헛발질은 애교이지만 수비진의 헛발질은 자멸이다. 그렇다고 모두가 다 공격일변도로 나갈 것인가? 정말 어려운 것은 공격이 아닌 막는다는 게 더 어렵다는 것을 인식 해야 한다.  우리에게 정말 필요한 것은 이런 막을 수 있는 전략가의 부재와 인력풀의 협소함, 경영층의 인식 부족이 가장 큰 걸림돌이 될 것이다.

 

Android-becoming-windows-of-mobile-hacking-world
 

http://www.itpro.co.uk/635725/android-becoming-windows-of-mobile-hacking-world 

 

안드로이드를 Windows에 비교한 기사. 정확하게는 현재의 윈도우 시스템이 아닌 2000년 초반기의 윈도우쯤 될 것이다. 시스템 서비스의 문제로 인한 웜의 범람이 극대화 되었던 그 당시의 윈도우 시스템쯤 될 것이다. 안드로이드가 확대 되면 될수록 공격은 더 진지해 질 것이고 대응은 더 어려워 질 것이다. 대응을 위해서는 기존에 실험하지 못한 새로운 방안들이 도입이 되어야 할 것이다. 패턴 매칭은 이제 규모에 밀려 한계를 가지게 될 것이고 사전 대응이 아닌 사후 처리 용으로 사용하게 될 것이다.


지금의 백신들이 사전대응이라고 생각 하면 오산이다. 이미 확산되고 정체가 확인된 것들을 제거 하는 사후 처리용. 악성코드의 생존기간이 짧고 확산은 빠르고 대규모인 특징이 전세계 AV 업계 전체를 패전처리용으로 몰고 있다. 갈길은 아직 멀었다.

 


* 사용자가 몰리고 제한이 허술하면 당연히 공격은 증가하게 마련이다. 애플도 안심 할 수 있을까? 그나마 애플은 전수검사라도 하지 안드로이드는 안습니다.  전수검사를 해도 한계가 있고 심각한 문제들이 발생 하는데 그렇지 않은 곳은 계속 문제가 발생 된다. 

안드로이드도 마찬가지 상황이 되겠지만 현재의 인터넷 상황은 공격자들의 일방적인 학살과 다름이 없다. 보호를 받고 노력을 기울이는 곳들은 방문자들의 환경 (즉 PC)이 초토화 되어 서비스적인 위험에 노출되어 있고 그렇지 않은 노력을 기울이지 않는 곳들은 그냥 열려 있는 상태이다.  그렇다면 일반 사용자의 환경은 언급하기 어려울 정도로 피폐해진 상황이라 볼 수 있다.

누가 백신을 사전대응이라 하는가? 지금의 양상은 단상에 언급했듯이 전세계 AV 업체 모두가 패전처리용에 몰린 상태라고 봐야 된다. 공격자들의 도구의 활용과 전술의 변화는 AV 뿐 아니라 대부분의 보안업체를 규모에서 압도하고 관찰까지 하는 여유를 보이고 있다. 관찰의 의미는 대응여부를 확인하고 바로바로 변화를 준다는 의미이다.

3일만에 대응이 가능한 AV 업체가 있을까? 구글의 stopbadware는? 날마다 바뀌는 코드의 종류를 탐지가 가능할까? .. DNA를 이용한 검증 조차도 무력화 시키는 도구들이 일상적으로 사용 되고 있는데 앞으로 보안업체 모두가 고난의 시간을 걸어야 할 것이다. AV는 물론이고 정통적인 보안업체들도 마찬가지 이리라.

결론은 지금의 짧은 호황을 좋아 하기에는 상황이 심각하다는 점을 알아야 된다는 이야기이다.

- 바다란 세상 가장 낮은 곳의 또 다른 이름