태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'농협'에 해당되는 글 1건

  1. 2011.05.11 최근 해킹이슈에 대한 '마이너리티 리포트'


지디넷 컬럼 기고본입니다. 2011.5

 

 

일반적으로 마이너리티 리포트라고 하면 톰크루즈 주연의 영화를 떠올리게 마련이다. 
범죄가 일어나기 전 범죄를 예측해 범죄자를 단죄하는 최첨단 치안 시스템이 언급된 영화로 알고 있다.

전체적으로는 진실로 통용되는 치안시스템의 예지와 무시되는 소수의 진실을 예견하는 의견의 충돌로 훼손되는 한 개인의 가치를 조명하고 회복하는 과정을 나타내고 있는 영화라 할 수 있다
.

지금의 상황에서의 마이너리티 리포트에 대한 이야기를 꺼내는 것은 무한한 신뢰가 부여한 시스템이 깨어질때의 충격들이 있는 지금의 시점이 적합한 시점이라 보기 때문이다
.


가려진 눈속에서 볼려고 하는 진실은 어디에 있고 무엇을 말하고자 하는 것인지 또 지금과 같은 위기의 인터넷 상황에서 소수의 의견은 무엇인지 알아 보도록 하자.

 본 컬럼에서는 물론 영화 이야기를 하고자 하는 것이 아니다. 현재의 IT 서비스의 위험 상황에 대해 좀 더 치열하고 전문적이며 문제의 근본이 무엇인가에 대해 정확한 이야기들이 없어 소수의견이 때론 진실에 가까울수 있다는 점을 빌리고 싶을 뿐이다. 보안전문가는 무엇이고 해커는 또 무엇인가?

 보안전문가라는 업종은 보안전문가와 보안관리자의 차이라는 컬럼(http://p4ssion.com/231) 에서 상세하게 구분을 한 적이 있다. 전문가의 관점에서 바라보는 지금의 여러 보안 이슈들은 분명히 가쉽거리와는 다른 관점에서 바라볼 것을 이야기 한다.
 
해킹사고가 빈발하고 이제는 왠만큼 큰 이슈가 아니면 화제거리에도 오르지 못하는 상황에서 언론에 기사화 된 많은 내용들은 실제 인과관계와 상당히 다른 관점의 이야기들을 많이 하고 있다. 정확한 의견과 그 의견에 기반한 문제점을 해결하는 과정을 통해 만들어야 될 많은 가치들이 있음에도 그릇된 길과 방향으로 목표를 설정하게 되면 한참 틀어지게 마련이다.

 
지금의 시점이 틀어지기 직전의 시점이라고 보인다.



사설
IP ( Private area)는 안전한가?

 

일반적으로 내부에서 구축하는 인터넷 환경을 인트라넷이라 부른다. 외부에서는 접근할 수 없는 영역이고 안전하다고 알려져 있다. 접근이 되지 않는데 어떤 침입을 받을 수 있겠는가? 대부분의 전문가가 아니거나 실무자가 아닌 많은 사람들은 외부자가 접근 할 수 없는 영역의 데이터가 유출 되었다고 할때 의심을 가진다. 내부자가 공모하여 내부로 들어 올 수 있도록 만들지는 않았을까? 아니면 정보가 공개적으로 바깥에 나와 있지는 않았을까? 하는 등등..

 

실상은 내부에 있는 모든 정보들도 외부와 연결을 하거나 연동을 하는 지점이 반드시 존재하고 연동이 되어야만 가치를 지니는 정보들이 대부분이라 연결이 될 수 밖에 없는 것이 사실이다.
이 연결 되는 지점의 대부분은 일반적으로 웹 서비스에서 맡고 있으며 대부분의 중요 데이터들은 내부에 있는 데이터베이스 서버에 보관 되곤 한다. 웹 서비스는 그럼 무었일까? 외부에도 공개되어 있으며 내부의 인트라넷 영역에도 접근이 가능한 지점에 위치하는 웹 서비스 및 대외 서비스들이 위치한 영역을 DMZ 영역이라 부른다. 이 영역에 있는 대부분의 서비스들은 IP 주소를 두가지를 가지게 된다. 외부에서 연결이 가능한 외부 IP 주소와 내부로 연결을 하기 위한 IP 주소를 가지게 된다. 외부 IP라는 것은 인터넷으로 연결이 가능하고 단일하고 유일한 주소를 인터넷 상에서 가지게 됨을 의미한다. 내부 IP는 인위적으로 내부 통신 연결을 위해 사용한 것으로 회사로 따지면 회사내의 주소 체계에서만 유일성이 보장되면 된다.

 

내부에서만 은밀하게 (?) 공유가 되고 접근 할 수 있다고 하는 정보들은 사실상 외부와 연결된 통로를 항상 지니게 되고 더 이상 은밀하다고 볼 수가 없다. 현대캐피탈과 소니 해킹의 사례가 증명을 한다. 설마 고객정보와 신용카드 정보등을 외부 인터넷에 올려두고 공유하였겠는가? ..

외부에서 직접 접근이 가능한 내부 IP는 없으며 인터넷상의 직접적인 공격으로 부터 보호된다 할 수 있다. 공격자들은 내부 정보를 빼내어 가기 위해 내부의 정보와 연결된 지점을 공격하여 내부로 들어가는 통로를 확보한다.

 정확하게는 웹서비스를 직접 공격하여 (외부 IP 및 내부 사설 IP를 동시에 가지는 웹서비스) 권한을 획득하고 웹서비스의 상태를 이용하여 내부망으로 직접 공격이 가능해 진다. 내부에 존재하는 데이터베이스의 정보를 빼내어 가는 것은 웹 서비스상에 내부 영역의 데이터베이스와 통신을 하고 데이터를 빼내어 웹서비스를 통해 사용자에게 제공하는 부분이 있기 때문에 가능한 것이다.

 

결론적으로 웹서비스를 공격하게 되면 웹 서비스와 연결된 데이테베이스는 그것이 어디에 있든 직접적인 피해를 입게 되고 거점으로 삼게 되면 더 은밀한 정보들이 저장된 곳에도 접근 할 수 있는 거점이 된다는 것이다. 웹서비스에 대한 해킹과 악성코드 유포지로 사용되는 웹 서비스들은 이미 데이터베이스에 대한 제어권을 상실 했다는 의미와도 동일한 것이다.

 

방화벽은 데이터를 보호하는가?

 

항상 내부의 데이터를 보호 한다는 것을 강조하기 위해 몇중의 방화벽으로 데이터가 보호 되고 있다는 언급을 많이 쓴다. 여기에서 몇단계의 수치가 높을 수록 보호되는 강도가 높다고 인식하는 경향이 있는데 전부 오해다.

방화벽의 역할상으로 보면 접근제어 이외에는 전혀 역할을 할 수가 없다
. 접근제어라는 것은 접근이 가능한 서비스나 특정 IP 에서만 접근이 가능하도록 통제하는 역할을 수행하는데 앞서 언급 했던 웹서비스의 역할은 데이터베이스와 연결하여 정보를 서비스를 통해 대외에 표시하는 역할이다. 방화벽에서도 웹서비스와 데이터베이스의 연결은 차단 할 수가 없다. 데이터베이스와 웹서비스를 연결하는 지점을 방화벽에서 막을 경우 정상 서비스는 될 수가 없는 것이다. 정상서비스를 한다는 의미는 웹서비스에 대한 공격과 권한 획득을 통해 데이터베이스에 대한 접근까지도 손쉽게 이루어 진다는 것이다.

 

데이터베이스의 암호화에 대해서 언급을 한다.

 

저장 되는 값들을 암호화 한다는 것은 공격자를 한번쯤 더 귀찮게 하는 것일뿐 그것은 절대 장애물이 될 수 없다. 앞서 언급 했듯이 웹서비스의 권한을 획득한다는 것은 모든 권한을 다 가지고 있는 것과 마찬가지이다. 데이터베이스에 암호화된 값들이 들어 있다 하여도 이 모든 값들을 비교하고 정상값 유무를 확인 하는 것은 모두 웹서비스의 코드에서 담당을 하고 있다. 공격자는 이미 웹서비스의 모든 권한을 가지고 있다. 과연 이게 장애물이고 보호 대책이 될 수 있을까? 황당한 이야기일 뿐이다.

 내부IP를 가지는 것도 또한 암호화도 데이터베이스 앞의 방화벽도 보호의 의미가 완전하지 않음을 앞서 설명 하였다.  데이터베이스의 기능제한을 위한 모든 것들도 조회 ( Select  구문) 구문을 막을 수는 없다. 단지 삭제와 테이블 변경 정도의 치명적인 문제들에 대해 일부 제한을 할 수 있을뿐이다.

 
 
내부에 있는 정보를 지키기 위해서는 외부에 노출된 모든 서비스를 안전하게 유지 하여야 하나 항상 일정수준 이상을 유지하는 것은 서비스 종류가 많을 수록 불가능 할 수 밖에 없다.
예산이 많고 가용한 전문인력이 많아도 항상 한계에 부딪힐 수 밖에 없도록 되어 있다. 기존의 보안기술의 관점에서는 항상 한계를 가질 수 밖에 없을 것이다.

문제 해결을 위해서는 전체의 안정성을 일정수준 이상 올려야 하며 대상은 모든 대외 노출 서비스가 되어야만 한다. 날로 발전하는 공격기술의 수준을 따라가면 모든 서비스의 수준을 높이고 꾸준한 관리가 된다는 것은 병적인 집착과 집요함이 없이는 어렵다.  한 분야만을 깊게 공격하는 공격자들로 부터 모든 범위를 지키기 위해서는 지금과는 다른 관점의 논의가 필요하고 서비스의 패러다임이 필요한 때라 할 수 있다.

 

무엇을 해야 하는가?

 

2007 11월쯤에 “IT 서비스의 현재 위험과 향후 대응에 대하여라는 종합 문서를 작성한 적이 있다. (http://p4ssion.com/199 ) 이미 4년전에 제시한 내용이나 현재까지도 제대로 이루어진 케이스는 없다. 국가전체, 산업 전체적인 대응방향을 제시 하였으나 이 부분을 내부로 한정하여 특정 조직 및 기업에 적용하는 것도 문제가 없을 것이다. 2007년에도 앞으로 문제는 심각해 질 것이라고 예상을 했었고 준비가 필요하다고 했었지만 과연 지금껏 무엇을 했는지? 또한 진지한 고민이라도 한번 있었는지 의문스럽다.

 지금 당장의 대책 부분도 단기간에 보안장비를 도입하고 인력을 뽑고 팀을 운영하고 외부에 컨설팅을 맡기는 것이 대부분이 되겠지만 실질적인 문제의 근본과 문제지점을 모르는 상태에서는 문제는 계속 될 뿐이다. 소니가 돈이 없고 인력이 없어서 당했을까? 일반적으로 잘 알려진 문제라 할지라도 전체의 서비스에 대한 상시적으로 관리하는 것은 현재 상태에서 불가능 하기 때문에 공격자들에게 계속적으로 당하는 것이다.  앞으로도 계속 그럴 수 밖에 없을 것이고..

 

무엇보다 지금 공격을 당하고 피해를 입는 원인에 대한 정확한 이해가 필요하고 그에 따른 해결책을 찾아 적용 하는 것이 최우선이다. 지금의 상황은 원인에 대한 정확한 이해가 선행 되지 않은 상태라고 필자는 보고 있다.

 

위험이 극에 달할 시점을 예상하여 개인적으로 몇 가지 준비한 기술적인 해결책과 방안이 있으며 앞으로의 컬럼에서 직접 언급을 하도록 하겠다.

 

-       바다란 세상 가장 낮은 곳의 또 다른 이름

Posted by 바다란