본문 바로가기

Security Indicator/Insight

디지털 페스트 II

디지털 페스트 II

  • 본 컬럼은 지디넷 게재 컬럼입니다.

 

중세 유럽 인구 감소의 결정적인 원인. 통계에 의하면 전체 유럽 인구의 최대 절반에서 1/4 가량이 페스트의 영향으로 죽은 것으로 발표 되고 있다. 단 5년 만에..

 

< https://coursewikis.fas.harvard.edu/aiu18/Decameron >

 

인간 세상의 페스트와 같은 인터넷상의 악성코드들은 대규모 감염 매개체를 통해 확산을 거듭하고 있는 현재의 상황은 페스트가 종횡무진 활약 하였던 중세유럽과 다를 바가 없다.

피부가 검은색으로 변하는 흑사병이라 불리던 페스트와 지금의 악성코드 이슈는 인터넷상에서 공통점을 가지고 있고 인터넷 생활 비중이 높은 지금의 사회는 직접적인 영향을 받는 상황에 놓여 있다.

 

페스트의 사망률보다 높은 최소 60% 이상의 치사율을 가지는 공격코드가 난무하고 때론 제로데이라도 나올라 치면 그 비율은 상상이상의 비율로 높아진다.  공기를 통해 감염 되는 것이 가장 무섭고 대책이 없듯이, 생활 속에서 무심결에 하는 웹서핑 만으로도 감염이 되는 현재의 상황은 더 나을 것이 하나도 없다. 

 

공격기법은 극기야 자동화된 도구로 인해 사용자의 브라우저와 어플리케이션을 직접 공격하는 형태로 변경이 되고 있다. 사용자 PC를 공격하는 기법은 이제 운영체제를 넘어서 어플리케이션까지도 직접 공격하는 형태로 전환 된지 오래 전이며 지금은 나날이 강력해 지고 있음을 알 수 있다. IE 브라우저와 Flash, Java를 공격대상으로 하는 공격도구들은 단 한 순간이라도 빈틈이 보일 경우 완벽하게 권한을 장악한다. 패치를 다한다 하여도 수시로 출현하는 Zeroday ( 패치가 없는 취약성 공격) 공격코드들은 강력한 영향력을 행사하고 있다. 아래의 이미지는 사용자 PC를 공격하는 자동화된 공격도구의 구조도를 나타내고 있다.

< 자동화된 공격도구가 공격에 이용하는 취약성리스트 ( IE, Java, Flash 버전별 공격코드) >

 

대응은 점진적이고 느리게 진행되고 공격은 급진적으로 기술을 향상시켜 전체에 영향을 미치도록 하고 있다. 어디를 지켜야 하고 무엇을 보호해야 하는 최전선의 개념조차 없는 일선에서 진내사격을 뜻하는 Broken arrow가 난무 할 수 밖에 없는 지금의 상황은 어쩌면 스스로가 초래 했는지도 모를 일이다.

 

오래 전부터 경고한 내용이지만 지금껏 그에 대한 대비나 대처도 방향성 측면에서 변화를 따라가지 못한 면이 있다. 이 링크의 컬럼 조차도 2010년에 작성된 것이며 컬럼내에 언급된 대책은 2008년에 언급된 내용이다. ( http://www.zdnet.co.kr/column/column_view.asp?artice_id=20100307155931 )

 

 

2010년의 디지털페스트 컬럼의 경우 추정을 통해 상당히 높은 수준의 위험이 계속 되고 있음을 알렸으나 2012년 상반기에 수집된 공격자의 로그를 통해 치명적인 공격 성공률에 대한 데이터를 확보 할 수 있었다. 그 결과는 사뭇 충격적인 현실을 나타내고 있다.

 

< 특정일시의 새벽 3시간 동안 국내 사이트 두 곳을 통해 유포된 악성코드 감염 실태>

통계데이터를 살펴보면 다양한 공격 기법들이 사용자 PC에 영향을 미쳤고 최종 결과로는 새벽 3시간 동안이지만 전체 57000명 가량의 순수 방문자들중 3400명 이상의 유니크한 PC의 권한을 장악한 것으로 나타나고 있다. 즉 공격 성공률은 60% 가량 됨을 알 수 있다.

 

기간상이나 감염 비율상으로 볼 때 인터넷상의 페스트라 불릴 수 있는 악성코드의 전파력과 전염력은 이미 중세의 치명적인 페스트를 한참 앞서고 있는 상황이다. 중세의 페스트는 공기로 감염된다 하였으나 지금의 디지털 페스트는 웹서핑 만으로도 감염이 된다. 일상생활에 밀접한 인터넷 어디에도 악성코드는 존재하고 있고 불특정 다수를 향해 수시로 공격코드는 실행이 된다.

 

윈도우 패치를 제때에 하는 사람들은 얼마나 있을 것이며? Java와 Flash의 패치를 매번 확인하여 적용하는 사람들은 얼마나 있을까? 그리고 그 패치들은 얼마나 자주 나왔던가?

 

프로그램의 문제를 없애주는 패치를 적용해도 무용지물인 공격코드들도 난무하는 세상에서 안전한 곳은 어디에도 없다. 지금의 문제는 대량감염이 가능하게 된 것이 가장 큰 문제이고 그 감염의 도구로 이용 되는 곳은 대부분의 웹서비스들이 된다. 그리하여 방문만 하여도 공격코드는 자동으로 사용자 PC로 내려와 실행이 되고 결국 권한을 획득하게 된다. 이후에는 공격자의 의도대로 모든 것이 이루어 지는 상황이다.

 

공격자들은 현명하게도 과시보다는 이득을 택했으며 그 결과 웹페이지의 화면을 바꾸거나 하는 짓들은 하지 않는다. 웹서비스의 모든 권한을 가지고 있으면서도 단지 한 줄의 소스를 변경 하거나 추가 할 뿐이다. 그 결과는 해당 웹서비스를 방문하는 모든 사용자들에게 공격코드의 실행으로 돌아간다. 10명중 6명이 감염이 되고 새로운 공격기법이라도 추가 되는 날에는 당장 90% 가량이 직접적인 영향을 받을 수 밖에 없는 현재의 위험은 상상 이상의 위협이 현실화된 것을 보여주고 있다.

 

경험으로부터 배우지 못하고 애써 외면하며 등 돌린 결과는 부메랑이 되어 겁 없이 세상을 지배하고 있다.

페스트라는 용어 이외에 더 적절한 의미를 찾을 수는 없는 상황이 지금의 상황이다. 악성코드는 지금 이 순간에도 너무 가까운 곳에 존재한다. 마치 공기처럼!

 

 

하나의 새로운 취약성을 발견하거나 공격기법이 발견되면 이젠 눈 깜짝할 사이에 전체가 영향을 받는 구조를 공격자들은 만들고 선보이고 있다. 모든 것이 네트워크로 구축되어 조종이 되는 BotNet 처럼 악성코드를 유포하는 네트워크 체계를 MalwareNet이라 할 수 있다. MalwareNet의 심각성과 전략에 대해서 알아보면 다음과 같다.

< 공격 전략의 도식화>

 

여러 악성링크를 사전에 만들어 두고 취약성이 있는 다수의 서비스나 광고를 이용하는 언론사 등등에 침입을 한다. 침입 이후에는 웹 소스를 변경하여 화면상으로는 아무런 징후를 느낄 수 없으나 자동실행이 되어 사용자의 브라우저를 통해 직접 공격을 하도록 만들어 둔다. 일반적인 예로 다음과 같이 변경을 하는 사례들이 많이 발견 된다.

< 공용 함수 역할을 하는 Js 파일 내에 사용자가 인지 할 수 없는 사이즈의 링크를 추가하여 실행>

 

Js 파일의 경우 웹서비스 방문 시에 자동으로 사용자 PC로 불려지며 사용자의 브라우저상에서 서비스의 기능들을 수행하도록 만들어 주는 역할을 한다. 아주 쉽게 웹페이지에서 주민번호 입력을 체크하거나 전화번호를 체크하여 잘못된 숫자나 범위가 입력 되는 것을 검토하고 방지하도록 하는 기능들도 대부분 공용 JS 파일에 넣어두고 활용 한다. 사용자가 회원가입을 위해 서비스를 방문하는 순간 숫자의 범위나 입력 값을 체크하는 기능들도 기본적으로 사용자 PC에 내려진 상태에서 실행이 됨을 말한다. 그 상태에서 위의 코드가 실행이 된다는 것은 악성링크를 사용자 PC로 불러와서 실행 하라는 것과 동일한 의미가 된다.

 

A라는 웹서비스에 악성링크가 들어 있다면 방문하는 모든 사용자들은 그 내부의 악성링크를 찾아서 클릭하지 않더라도 자동으로 실행이 되고 영향권 내에 들어가 있는 상태라 할 수 있다.

 

만약 A라는 웹서비스 이외에도 수없이 많은 웹서비스에 동일한 악성링크를 넣어둔다면? 그리고 공격자는 위의 이미지처럼 S.asp 라는 악성링크의 내용만 변경 한다면 어떻게 될까? .. 순식간에 수십에서 수백여 개 이상의 웹서비스들은 또 다른 형태의 악성코드들을 즉시 전송하는 새로운 패러다임이 형성된다. 디지털 페스트라고 부를 수 있는 강력한 영향력은 여기에서부터 출발이 된다고 할 수 있다.

 

일반적으로 바이러스나 공격이라고 하는 것들은 기존의 관념대로라면 이메일을 통해서 바이러스를 받거나 이상한 프로그램을 다운 받아서 설치할 경우에 발생하는 것이라고 지난 오랜 시간 동안 알려져 왔었다. 그러나 그 시기에도 대규모 유포 시도들은 산발적으로 계속 되어 왔으며, 지금에 이르러서는 네트워크를 구성한 다단계 유포 형태로 고착화 된 상황이라 할 수 있다.

 

 

 

사실상 전 국민의 PC에 대해 동시에 각 어플리케이션과 운영체제에 대해서 패치를 한다는 것은 불가능하다. 현재 공격자들의 전술상으로 살펴 볼 때 대규모 유포에 이용 되는 악성링크를 빠르게 발견하고 선제적으로 차단하여 감염이 확산 되지 않도록 하는 것이 최선이라 할 수 있을 것이다.

 

1. 공격 링크의 조기 발견 및 피해 범위 최소화

2. 근본적인 문제 원인이 되고 있는 취약한 웹 서비스들의 주기적 관리 체계 및 보호 방안

3. 보안이라고 하는 것은 이제 일상 생활에 직접적인 영향을 미치므로 전체적인 지식 강화

 

단계별로 1,2,3 단계로 나누어서 진행이 되어야 하며 가장 급한 것은 피해 범위의 최소화가 될 것이다. 2008년에 제시한 해결책은 여전히 유효하다. 그리고 아직도 상황은 그대로이다. 전자 상거래의 기반이 되는 공인인증서 부분에서도 인증 관련 서비스에서 조차도 악성코드 유포가 발생 되는 지금의 현실은 공포감을 넘어선 심각한 상황이라 할 것이다.

 

상대를 알아야 이길 수 있고 최소한의 통제력은 지니고 있어야만 조절이 가능하다. 그러나 지금의 상태는 그 어느 것도 하지 못한 상태이다. 디지털 페스트는 날이 갈수록 더 강력해 지고 있다. 지금 이 순간에도..

 

www.facebook.com/bitscan 에 더 많은 한국 인터넷 위협에 대한 자료와 설명들이 공개 되어 있습니다.