유비쿼터스 환경에 다가오는 위협
국내개발 Application들도 더 이상 안전지대가 될 수 없다
* 2005년 3월에 외부웹 사이트에 올린 글이네요.. ^^; 참고 삼아 물론 내용은 지금도 그대로 이어지는 내용입니다. 현재의 문제점들이 Application의 문제라면 개발된 단편화된 Application 뿐 아니라 웹 과 DB가 연동되는 모든 부분에서 현재는 문제가 발견이 되고 있죠. 앞으로 가야할 길이 많이 남았습니다. 국가전체적으로 본다면 더더욱... 작년 3월에 쓴 글인데..지금과는 얼마나 연관 되는지 또 얼마나 차이가 있는지도 염두에 두시면 재밌을 것 같네요.
안녕하세요. 버그트랙 메일링을 보던 중 samsung 장비에 대한 문제점을 기술한 내용이 있네요. 앞으로 이런 부분을 커버할려면 많이 고생할 듯 싶네요. 메일을 보면서 느낀 점이 있어서 간단히 써봤습니다.
가능성 측면에서 생각을 해보시면 될 듯 싶습니다. 앞으로의 유비쿼터스 환경에서의 발전에 따른 문제들도 계속 되겠죠. ^^; (다른 곳에도 올린 글 중복해서 올립니다. 관심 있는 분들만)
취약성에 대한 향후 발전방향 및 예상에 대해 간략한 의견을 말씀 드리겠습니다.
국내 바이러스 백신에 대한 evasion 및 공격 코드가 추가된 웜/바이러스 유형이 출현 한데 이어 하드웨어 및 네트워크 장비에 대한 문제점들이 노출되어 공격이 발생하고 있습니다.
2005년 3월에 발표된 samsung adsl 모뎀에 대한 Default 다운로드의 경우도 상당히 어
이없는 버그라고 할 수 있겠죠. 더불어 신규로 출현하는 웜에서는 기존 외국회사들의 백신만을 evasion 하고 종료시키는 코드에서 한국내의 백신벤더에 대한 공격코드도 추가 되어 있습니다. ##########0*
이것은 한국을 공격의 전진베이스로 이용하고 다수의 사용자가 여전히 보안에 취약한 형태인 것을 이용한다는 것을 시사하고 있습니다. 한국을 바이러스 및 웜 전파의 중요한 숙주로 여긴다는 것이죠.
예전 기억을 더듬어보면 2~3년 전쯤에 모 백신회사의 게이트웨이 시스템(일명 바이러스 월)에 대해 root 권한 획득이 가능한 설정상의 오류가 발생되어 긴급하게 패치가 된 것을 볼 수가 있었는데, 국내 제품들이 외국에 다수 알려지고 또한 하드웨어 및 네트워크 장비에 대한 수출 이 진행됨에 따라 문제점이 다수 발견되고 있습니다.
현재까지는 극히 미미합니다. 이 의미는 향후에 급증할 요소가 많다는 점을 이야기하고 있기도 합니다.
security 취약성의 발견 원칙은 가장 간단합니다. ‘가장 많이 사용하는 제품의 취약성을 발견하라, 그리고 그 파급력을 이용하라’입니다.
그동안 국내 vendor 및 제품에 대한 취약성 권고안은 거의 없었습니다. 왜냐하면 알려진 제품이 없었기 때문이죠. 그리고 그럴 가치도 없었구요. 향후에는 좀 더 다르게 진행이 될 것으로 보입니다.
발전을 함에 따라 또 변화를 추구함에 따라 Closed된 네트워크 환경에서 Open된 네트워크 환경으로 전환할 수밖에 없고 공개가 될 수밖에 없습니다. 즉, 국내의 시장에만 한주해서는 기업의 규모를 유주할 수 없는 상황이 전개가 됨으로 인해 국외의 시장에 필연적으로 진출을 해야 하며 이에 따라 Open된 네트워크 환경으로 모습을 나타내는 것이 반드시 필요한 과정이 됩니다.
소프트웨어에 대한 공격도 증가하고 있고 또한 하드웨어 베이스의 제품에 대한 공격도 증가하고 있습니다. 하드웨어 Applience 제품군에 대한 공격도 점차 증가할 것으로 보이는데 지금껏 발견된 국내 취약성은 어이없는 코딩상의 오류 등에 의한 취약성이 대부분 이였고 점차 시일이 지나고 인지도가 높아질수록 고수준의 권한획득 공격들이 출현할 것입니다.
취약성을 발견하는 동향을 살펴보면 해외 전체로도 고수들의 활동은 적습니다. 적다기 보다는 기존의 운영체제에서 발견될 만한 큰 취약성들은 발견이 되었고 큰 영향을 미치는 Mega-vulnerability는 연 2~3회 정도로 줄어들 것 같습니다. 새로운 운영체제나 트렌드가 변화한다면 또다시 발견횟수가 늘어나겠지만 기존의 알려진 문제들은 대폭 줄어들 것입니다.
취약성의 발견에 따른 흐름을 보면 2003년이 피크였고 작년을 기점으로 운영체제에 대한 큰 이슈는 줄어들었는데 이와 같은 현상은 소스코드 검증 및 Application 진단의 상시화에 따른 것으로 보입니다.
2004년부터의 동향으로는 개별 Application에 대한 취약성 발견 동향이 큰 폭으로 증가하고 있습니다.
현재 신규보고 되는 취약성의 경우 하루에도 몇 백 개씩 발표되는 Application 제품들에 대한 취약성이 주로 발견되고 있어서 특정 제품을 사용하거나 특정 국가에 한정되어 사용되는 제품에 한해 큰 영향을 미치고 있습니다.
현재까지는 유럽권역과 미주권역에 사용되고 있는 상용 application에 대한 취약성 발견 비율이 상대적으로 높은데 향후 아시아 권역 특히 우리나라 제품군에 대한 영향이 매우 확대될 것으로 보입니다.
서두에서 말씀 드렸듯이 초고속 인프라가 고도로 활성화된 구조자체가 가장 큰 매력을
지니고 있기 때문에 전진기지로서 매우 가치가 높기 때문이며, 휴대폰의 보급이 활성화 될수록, IT가 결합된 컨버젼스 제품 판매가 호조를 보일수록, 더욱 가치 있는 인프라이자 가장 좋은 테스트베드이기 때문입니다. ##########1*
가까운 예로 zeroboard에 대한 취약성을 예로 들 수 있겠습니다. Application의 취약성을 찾는 그룹이 큰 폭으로 증가를 하였으나 기존의 OS나 가장 보고가 많았던 Application의 경우 많은 시도에 따른 보완이 이루어져 문제점이 적은 반면 신규로 발생하거나 그동안 잘 알려지지 않았던 Application의 경우 기본적인 취약성이 다수 존재하므로 쉬운 대상을 찾아서 이동하고 있습니다.
현재 국내 사이트에 대한 Defacement 동향을 보아도 국내의 해킹 피해 사례는 zeroboard 와 PHP Application 취약성을 이용한 도메인 서버 해킹 그리고 Webdav를 이용한 PUSH method를 이용하여 임의의 파일 push가 대다수입니다.
백신에 대한 공격증가도 향후 국제화가 될수록 더욱 커질 것으로 보입니다. 지금껏 공격이 없었던 것은 취약성이 없어서가 아니라 정확하게는 유명세도 없고 로컬화 된 제품이기 때문에 가치가 없어서 하지 않은 것이지만 많은 Defacement 그룹들이 신규 취약성을 발견하고 직접 공격을 수행하고 있어서 향후 큰 폭 증가가 예상됩니다.
더욱이 우려하고 있는 바로는 디지털 컨버젼스와 관련하여 다수의 제품군에 IT 기반이 접목되는 환경에서 더욱 크게 위협이 점증할 것으로 봅니다. 향후 5년 이내에 직접적으로 가시화 될 것입니다. 유비쿼터스의 경우도 동일하게 적용이 될 것입니다. 휴대폰을 이용한 위협의 내용은 2~3년 이내에 대중화 된 위협으로 나타날 것으로 봅니다.
예전에 작성했던 국가 기반시설에 대한 문서에 기술했던 내용들이 더욱 빠르게 다가 올 것입니다. 그때 그 문서를 만들면서 향후 3~5년 이후에 나타날 것이라 예상했는데 조금 더 기간이 연장되어 맞아 들어갈 것 같습니다.
(http://www.securitymap.net/sdm/docs/general/Critical_Alert_for_Cyber_Terror.pdf )
인터넷이 가능한 냉장고, 인터넷을 이용한 가스 조작 및 검침 , 언제 어디서나 제어가 가능한 모든 머신들과 시스템 , 교통통제 시스템 등이 부분적이라도 오픈되어지는 환경에서부터 소프트웨어적인 문제 이외에 하드웨어적인 장비에 대한 문제에까지 공격을 시도하게 될 것이고, 직접 피해를 입힐 것으로 보입니다. 물론 최악의 상황을 예상하면 이렇습니다.
embedded 운영체제도 기본 로컬의 활동이외에 외부와 연결되는 네트워크 부분이 연결되어 활성화 되는 시점부터 문제는 더욱 리얼하게 다가올 것으로 보입니다.
현재 발생되고 발견되고 있는 Bot 관련 공격 경로에 OS 및 유명 Application에 대한 공격 이외에도 특정 취약성이 존재하는 무료 혹은 상용 Application에 대한 공격도 추가가 되어 있고 향후 발생된 모든 문제점들이 결합되는 구조로 나아갈 수 있을 것입니다. Monster-bot은 앞으로도 계속 진화할 것이고 유비쿼터스 환경에서도 위협은 여전할 것입니다.
피부에는 상당히 느리게 다가오지만 움직임은 상당히 빠릅니다. 또 그것에 대한 예측도 선행이 되어야 하고 부족한 부분에 대한 고려는 항상 존재해야만 합니다. 위협을 과대해석해도 안되지만 덮어놓고 가는 것은 더욱 큰 문제라고 생각합니다.
국가적 성장동력원인 IT제품이 대외적으로 활성화 되고 수출이 보편화 될수록 또 컨버젼스가 빠르게 이루어질수록 위협이 급증하게 된다는 점 하나와 국내의 수많은 개발 Application들도 더 이상 안전지대가 될 수 없다는 점입니다. 그동안 여유 없이 앞만 보고 달려 왔는데 기업의 연속성에 영향을 줄만큼의 위험 요소가 향후에는 존재할 것이라는 예상을 분명히 할 수 있을 것 같습니다.
언제나 의견 있으시면 의견 주십시오. ^^;
p4ssionable security expert! * E-mail: winsnort@cqrity.net , p4ssion@gmail.com |
ⓒ 바다란
'Security Indicator' 카테고리의 다른 글
중국 발 해킹대비 홈페이지 보안 워크샵 (0) | 2010.04.27 |
---|---|
전세계 IT기업의 인수합병과 보안분야에 대한 단상 (0) | 2010.04.27 |
위기의 인터넷 -컬럼 (0) | 2010.04.27 |
예고) 상상하기 어려운 위협의 실현. (0) | 2010.04.27 |
예고) 국가 IT 서비스 보호를 위한 제안 (0) | 2010.04.27 |