본문 바로가기

Security Indicator/Insight

중국 해커에 대해 그리고 분석.. 2006

기사를 보다보니 중국발 해킹 100만 해커라는 글이 있네요. 그나마 이쪽 부분을 조금 들여다본 사람으로서 조금은 책임있는 글을 써야 하지 않나 하는 생각에 짧게 간략해 보겠습니다.
 
http://news.naver.com/news/read.php?mode=LSS2D&office_id=011&article_id=0000121048&section_id=105&section_id2=283&menu_id=105
 
 
일전 2002년 쯤에 중국으로 부터의 침입 관련 문서를 만들면서 그동안 너무 국내의 현실에만 안주한 것 아니냐는
자기 반성 차원에서 중국쪽의 관련 사이트에 대해서 많은 조사를 한 적이 있습니다.
 
그때 추정 되기를 향후 상당한 위협이 될 것이고 상위그룹의 수준이 빠르게 높아져 가고 있다고
진단을 한 적이 있는데 해당 이슈가 3년이 지난 지금 더욱 폭발적으로 증가를 하고 있네요.
 
지금의 조사와 차이가 있겠지만 2002년 당시에 제가 조사를 하면서 느꼈던 점을 기술 하면 다음과 같습니다.
 
상위레벨 : 취약성을 발견하고 해당 취약성에 대한 공격 코드 작성 가능자
중위레벨:  발견된 취약성에 대한 공격코드 작성이 가능한 자
하위레벨:  취약성에 대한 이해는 부족하나 공격코드의 활용이 가능한자.
무급레벨:  공격코드의 자동화된 툴의 이용자
 
2002년 분석 결과:

기술적 상위레벨 : 전체 인원대비 1% 미만 - 대략 2개 정도의 상위 그룹이 활동 하고 있었고 해당 인원도 10여명 내외의 고수가 존재한 것으로 파악이 되었습니다.
 
중위레벨 :  상위레벨의 10배수 가량이 존재하는 것으로 파악이 되었으며 부분적인 공격코드의 변형 및 작성이 가능한 자로 판단이 됨.
                   게시판 활동내역으로 보면 2~300여명 정도가 활동한 것으로 보임
 
하위레벨: 공격코드의 활용이 가능한자는 프로그래밍에 대한 이해가 조금이라도 있고 기본적인 공격에 대한 개념이 있는자로 몇천 단위로 파악이 되었습니다.
 
무급레벨: 가장 다수의 인력을 보유하고 있으며 가장 무서운 존재이죠. 대략 사용자 수는 미상. 몇십만 이상으로 추정됨.


위의 2002년 판단하에 1~2년 정도 관찰한 결과 대외적인 이슈 발생시 마다 상위레벨을 중심으로
몇개의 그룹화가 되고 분화가 되어 상위레벨에서 대표적인 공격 코드 몇개를 작성을 합니다. 그리고 공유를 하죠. 그룹원들에게만..
그리고 중위레벨이 해당 공격코드를 가지고 자동화된 툴을 작성합니다.
하위레벨은 발표된 공격코들 변화 시키거나 다른 유형을 공격 할 수 있도록 붙이죠.
최종적으로 공개되거나 약속된 사이트에 만들어진 자동화된 툴을 올립니다.
 
가장 무서운 무급레벨에서 만들어진 자동화 툴을 이용하여 무작위로 공격을 시행하죠.
이들에게는 IDS이고 침입에 대한 경고가 먹히지 않습니다. 오로지 공격이지.. IIS 공격 툴을 이용해
Apache에 무작위로 공격 하기도 하고 상당히 많은 공격이 이루어 집니다.
공격이 성공된 후에는 세트로 구성된 권한 획득 툴 및 타 서버의 취약성 스캔 , 공격툴들을 세트 단위로 업로드 합니다. 해당 거점을 이용해 지속적으로 영역을 확장해 나가죠.
 
상위에서 부터 무급레벨까지의 연결 통로에 제한이 없으며 무제한적으로 상호간에 공유가 되고 정보의 교류가 이루어 지고 있습니다.
연결 통로가 되는 사이트만 제한을 해도 피해는 대폭 줄어 들 것이지만 해당 사이트에 대한 제한은 중국 당국만이 열쇠를 쥐고 있을뿐입니다. 우리는 제 3자일뿐인거죠.
 
2002년 이후 2년간의 관찰결과 상위레벨은 3~4배수 정도 증가 하였고 ( 지난해에 중국에서 있었던 Xcon 세미나 및 해당 세미나에 대한 토론 및 기타 논의들을 가지고 추정 ) 중위레벨 및 하위레벨은 매우 폭넓게 확대 된 상태입니다.


2002년만 해도 보안 관련된 정보가 논의되는 일정 수준 이상의 사이트는 몇십개 였으나
지금은 몇 천개 이상으로 보이며 고급정보가 논의되고 배출 되는 사이트도 몇 백개 가량으로 확대된 것으로 파악이 되고 있습니다.  그만큼 저변이 폭넓게 확대 되었다는 반증이죠.
 
현재 시점에서 일정정도 미루어 보면 위에서 언급한 프로세스가 그대로의 유형을 지니고 있고 다만 공격코드 및 자동화된 툴을 만드는 중위레벨에서 해당 툴을 유상으로 판매하는 움직임이 2005년 부터 활발하게 출현을 하였습니다.
상위레벨은 각자 회사를 차리거나 중국내의 IT 인프라 확장에 따른 보안 관리자 및 보안 전문가로 활동을 하고 있죠. 이중 일부가 온라인 게임의 Abusing 및 직접 공격을 통해 부를 축적 하는 것으로 판단이 되고 있습니다.
 
여러 기사에서 보듯이 중국에서의 온라인 게임 공격은 상당히 활발한 상황이며 현재 상황에서 두 가지 정도의 그룹으로 나눌 수 있을 것 같습니다.
크래킹 및 직접 공격을 통한 온라인 게임 공격 , 악성코드 유포를 통한 사용자 정보를 획득한 상태에서의 게임 공격과 같이 부류를 나눌 수 있고 현재 상태에서 범위나 공격 가담 인력은 유추하기 어려운 상태입니다.
 
중국내에서 일어나는 사이버 범죄에 대해서는 중국 공안이 강력하게 대응을 하고 있지만 국외에 대한 공격에는 그다지 강력한 대응을 하지 않고 있습니다.
이런 현상은 몇년전 부터 지속되어오던 현상이지만 현재 상태에서는 공격 거점이나 공격 인원이 추정 불가능할 정도로 늘어난 상태라 단속에도 어려움이 지속 될 수 밖에 없습니다. 이 이야기는 공격에 대한 대응을 하는 것도 한계가 있고 IT 인프라가 확대 될 수록 계속 될 수밖에 없는 문제일 것입니다.
 
앞으로도 IT 산업의 크래킹으로 인한 위협은 계속 될 것이고 증가될 것으로 판단됩니다.
여력있는 기업 및 여력이 있는산업 차원에서만 효율적인 대응으로 일정정도의 효과를 보게 될 것이고  효과의 유지를 위해서도 지속적인 노력 및 비용 투자가 계속 될 수 밖에 없을 것입니다.
 
전체적인 대응 방안을 큰 범주에서 이야기 하면 다음과 같은 유형으로 줄일 수도 있으나
효과가 나오기 까지는 상당기간이 소요될 것으로 판단됩니다.
 
1. 각 기업 마다의 서비스 오픈 및 신규 서비스 , 개편 서비스에 대한 강력한 보안성 검수 - 기존 웹 애플리케이션 및 내부 보안 취약성의 제거를 목적으로 함.
 
2. 일괄적인 자원의 관리를 통해 커널이나 Application 버전의 일률적인 갱신 프로세스
 
3. 개발 프로세스 단위 부터의 보안성 강화 - Secure Programming  - 현재 상태에서는 향후에도 웹관련된 부분에 대한 위험성이 증가할 것이므로  웹 관련 코딩에 대한 절차 이행 여부를 중시해야 함.  실제적으로 현재 까지 출간된 웹 프로그래밍 서적의 보안 부분 강화 및 개편이 되어야 겠죠. ^^
 
4. 내부 중요 Data에 대한 보호 방안 수립 및 강력한 유출 방지 방안의 수립
    - 이미 권한이 다 노출이 된 상태에서도 보호 될 수 있는 방안이 필요합니다. 특정 툴을 사용하는 것이 전부는 아니며 정책 / 사람 / 정보 / 시스템 전반적인 부분이 총괄 되어야 하겠죠.
 
5. 수준 있는 정보보호 인력의 육성 및 분위기 조성 ( 분위기만 조성되면 금새 따라가겠죠. 원래 자질이 우수한 민족이다 보니.. ) 여기서의 정보보호는 보안인력만을 의미하지는 않습니다.
 
부수적으로 직접 효과를 볼 수 있는 방법은  침입 탐지 및 침입 방지 시스템의 Ruleset의 정밀화및 쉽게 업데이트를 할 수 있는 인력 및 능력의 확보도 중요한 관점이라 할 수 있습니다. 또한 전체적인 공격 유형의 변화를 추정하고 강력하게 권고를 하고 경고를 할 수 있는 레벨의 단체나 기관이 아쉽죠. 사고 발생 이후의 대응 보다는 발생 위험 가능성을 종합적으로 판단하여 사고가 발생하기 이전에 위험성을 경고 할 수 있어야 합니다.  - 이 부분은 사고가 발생하지 않을 경우 해당 경고에 대해서 무감각 하고 중요하게 생각하지 않을 수 있지만 매우 중요한 부분입니다. 현재도 경고를 하고 있지만 수동적인 상태이며 공격의 유형 이나 변화에 대해서 짚어 가는 전략적인 사고는 없는 상태입니다.
 
 
간략하게 위의  정도로 추려서 지속적인 보안레벨을 높일 수 있을 것입니다. 어느하나 쉬운 것이 없습니다. 그래도 진행하지 않으면 문제는 계속 될 수 밖에 없습니다.
현재는 커뮤니티 문화 및 인터넷 문화가 확산되어 금전 거래 및 문화로도 연결이 된 우리 나라에 대해서만 피해가 크게 보이지만 인터넷 문화의 확산에 따라 유비쿼터스 환경의 빠른 확대에 따라 세계 각국으로도 중국의 공격은 유효하게 발생이 될 것입니다. 
 
몇 년이내에 중국 당국의 강력한 조치가 없다면 세계적인 골칫덩이가 될 것이 분명하며 현재로서는 우리나라가 타켓이 된 것일뿐입니다. 위기는 기회라 하였습니다. 현재의 위기를 지혜를 모으고 역량을 모아 헤쳐 나간다면 향후의 IT산업 및 인터넷 산업 부분 전반에 걸친 잠재력과 인력을 확보하게 될 것이라고 판단 하고 있습니다.
 
물론 모든 것은 제 개인의 판단이고 사견입니다. 그리고 이 글도 짧은 시간에 후다닥 쓰는 글이라 다듬어 지지도 않은 내용이구요. 짧은 지식과 식견으로 쓸려니 참 안타깝습니다. 
 
아래 현재 문제에 대한 간략한 대책이나 내용이므로 참고 하시면 될 것 같습니다. 

http://blog.naver.com/p4ssion/40015866029

http://blog.naver.com/p4ssion/40017941957

http://blog.naver.com/p4ssion/40018174273