태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

 - 2011.11.12
공격자의 전략적인 측면을 살펴 봐야 한다. 지금 개별 단위 보안제품의 대응은 사실상 무장해제 상태라고 봐야 하며 공격자들은 일단 규모로서 압도를 하고 탐지 로직을 우회함으로써 무력화 시키는 상황이다.

네트워크 단위의 보안제품의 한계, 패턴 매칭을 통해 탐지를 하는 AV든 Web Firewall 이든 개별적인 대응 밖에 되지 않고 있는 상황이고 전역적인 대응은 언감생심 꿈도 꾸지 못할 상황이다.

날마다 새로이 나오는 악성코드들을 진단 하기 위해서는 악성코드의 수집이 가장 먼저여야 된다. 그동안의 수집 방법을 보면 상당부분이 사용자의 신고, 허니넷, 허니팟 등을 통해서 이루어 지고 있다. 물론 정보의 공유는 시일이 지나서 각 업체들 끼리 이루어 짐으로 시의적절성 측면에서 늦을 수 밖에 없다. 이 각각에 대해 조금 이면을 살펴보자.

  • 만약 공격자가 공격을 수행 하지 않는다면 허니넷이나 허니팟은 무용지물이 된다.  
  • 또한 사용자가 악성이라고 인식을 하는 대부분의 경우도 설치된 AV에서의 탐지를 근거로 한다. 만약 AV가 탐지 하지 못하는 악성코드라면 사용자가 인지할 방안은 없다.

  • 업체간의 정보공유도 이전과 같은 전통적인 전달 매커니즘인 디스켓, USB를 통한 악성코드의 감염은 지역별 확산에 상당한 시간차가 걸렸고 바다를 건넌다는 것도 어려웠다. 이 매커니즘이 깨진건 웜이라는 매개체를 통해서이며 이 웜 조차도 발생지 근처의 네트웍이 먼저 초토화 된 이후 다른 곳으로 확산 된다.

    웜 이후에 발생된 것은 검색엔진을 통한 특화된 공격, 파일 공유등을 통한 확산이 있었고 일정한 특징을 가지고 있었다. 그렇다면 지금은 어떨까?

간단하게 설명하고 상당부분 축약해서 위의 과정을 언급했지만 각 과정마다 언급하지 않은 많은 상세한 부분들이 있다. 그 특징들에 대해서는 지금까지의 발표자료나 본 사이트의 글들을 참고하면 일정 수준 참고가 가능하다.

지금의 공격은 말하자면 불특정 다수를 겨냥한 무차별적인 악성코드 유포이며 주된 공격 대상은 사용자의 PC에 일반적으로 설치된 써드파티 프로그램을 공격하는 코드들이다.

왜 Adobe는 시도 때도 없이 패치를 하는가? 

그 이유는 현재 사용자 PC의 90% 가량에 Flash player가 설치 되어 있기 때문이고 해외도 비율상 조금 낮은 거 이외에는 별반 차이가 없다. 공격자들은 Flash Player의 취약성을 공격하여 사용자 PC의 권한 획득을 하는 것이 가장 효율적인 방안임을 인지하고 있기 때문에  집중적인 공격을 수행한다.

또한 개별 PC를 공격하는 것이 아니라 사용자들이 방문하는 웹서비스들을 집중하여 공략 함으로써 불특정 다수에 대한 공격을 성공적으로 하고 있다. 언론사뿐 아니라 주요 커뮤니티 서비스들, 파일공유 사이트들을 직접 공격하여 웹서비스의 소스를 변경한다. ( 운영자나 개발자가 눈치 채지 못하게 암호화 하거나 기묘한 곳에 아주 짧게 넣는 것은 기본이다.)


< 웹을 통한 악성 코드 유포와 활용에 대한 컨셉>

위의 이미지와 같이 다양하게 활용 되고 있다. 이중 90% 가량은 개인정보 유출 및 백도어 활용이 가능한 용도의 악성코드를 사용자에게 감염 시키고 5% 가량은 DDos 나 Arp spoofing 행위를 보인다. 나머지 5% 가량이 지난 농협 사례와 같이 내부망으로 공격하는 용도의 악성코드라 할 수 있다. 사실은 90%의 개인정보 유출도 동일하게 활용이 가능할 뿐이다. 사용처에 대해 구분을 하자면 이 정도라는 것일뿐.


2011년 11월 12일 현재의 상황


지난 몇년간을 위험성에 대해서 언급을 했었고 개인 차원에서 할 수 있는 최대한으로 발표와 기고, 컬럼을 통해 언급을 했었지만 아직도 우리는 한참을 더 가야 하고 현 상황을 돌아 보고 반성이 필요하지 않나 생각 된다.
물론 우리뿐 아니라 전 세계적으로 마찬가지지만  ..만약 우리가 대응을 잘한다면 미래에서의 인터넷의 주요 파워를 가지게 되지 않을까? 

단순한 예상으로도 보안 문제는 앞으로 더 심각해 지며 , 악성코드의 갯수는 점점 더 많아 질 것이다라고 예상 할 수 있다. 시만텍과 맥아피도 손을 놓는 상황에서 누가 살아 남을 수 있을 것인가? 핵심은 대량유포 매커니즘을 깨야만 하는 것이고 이 매커니즘을 깨기 위해서는 다각적인 노력이 필요하다. 이 노력은 악성코드 유포에 이용 되는 많은 웹 서비스들의 문제점을 개선하는 측면 하나와 대규모 확산 이전에 차단 하는 노력이 병행 되어야 가능 할 것이다.

모든 웹 서비스들의 문제점을 개선하여 공격자가 인위적으로 웹소스를 변경 하지 못하도록 취약성을 제거 한다면 이 문제는 매우 명백하게 해결 되나 이렇게 될 가능성은 앞으로도 인터넷이 존재하는한 불가능하다. 최소한 방문자가 많은 사이트들에게는 일정 수준의 강요가 되어야 하고 즉시적이고 긴급한 대응이 계속 되어야만 한다.

더불어 길목을 차단하는 것으로 수십여곳 이상의 웹서비스에서 악성코드의 경로가 추가되어 모든 방문자들에게 감염 시도를 하는 것을 예방 할 수 있다. 웹 소스에 추가된 경로를 빠르게 인지하여 대응을 한다면 이게 가능해진다.

경로의 빠른 인지는 아직도 원초적인 ( 이벤트 탐지 방식) 방식에만 의존하고 있는데 이걸 우회하고 무력화 하기 위한 공격자들의 전략도 이미 출현한 상태이고 이 부분은 별도의 글로 남기고자 한다.  
전략을 넘어서기 위해서는 좀 더 다른 방식의 접근이 필요하다.

탐지 체계에서도 다른 형태가 필요하며 대응체계 (주로 AV)도 변화가 필요한데 최소한 선제적인 대응이라도 못한다면 빠른 악성코드의 공유체계와 감시체계라고 존재해야만 효율을 높일 수 있다. 솔직히 한국을 대상으로 직접적으로 악성코드를 유포하고 있음에도 불구하고 한국내의 AV업체가 제대로 대응을 하지 못하는 것은 기회를 잃어 버리는 것과도 동일하다. 해외 보안분야 대기업들과 비교할 필요도 없다. 비교 우위를 가질 수 있는 고난의 시간을 그냥 보내는 것은 비극이다.


그럼 여기 금일자로 최소 50여곳 이상의 서비스들에 추가된 경유지를 살펴 보자. (하루 방문자 1만명만 해도 50만명이 감염 범위에 들어간다. 신규 악성코드라면 성공률은 거의 90%라고 봐야 하지 않을까? 최소한..)

A라는 서비스에 B라는 주소가 인위적으로 소스에 추가되어 있다. 우린 그 B를 추적하여 그 근거지를 보여주는 것이다. 일반적으로 사용자는 A라는 서비스에 브라우저로 연결만 하여도 B의 주소의 것도 같이 실행 되게 되어 감염 되는 것이다. 


두 곳을 올렸다. 한 곳은 국내의 커뮤니티 사이트에 직접 올린 내용이고 또 다른 하나는 공격자가 만든 근거지이다.
현재 이 데이터를 확인 하는 것은 이미 발견 시간이 몇 시간좀 지나긴 했지만 아직도 전 세계에서 두번째가 아닐까 싶다.

만들어둔 공격자 다음으로 말이다.

* 최소 50여곳 이상의 웹서비스에서 악성코드를 사용자에게 배포하고 있슴에도 불구하고 구글의 Block 로직은 전혀 동작하지 않는다. Stopbadware의 데이터는 이전 기록을 가지고 대응하는 것일 뿐이지 지금의 문제는 아닌 것이다. 또한 판단근거가 부족하기에 탐지는 어렵다고 봐야 된다.  구글의 서비스 확장전략에 보안도 들어가 있지만 그것은 필히 실패할 것이다. 지난 6년간 수많은 비용을 들여 축적한 데이터의 신뢰도는 낮다. 그걸 입증하는 것도 어렵지 않다.  앞으로는 규모로 한번 해볼 예정이다. 

그렇다면 이중에서 신규 플래쉬 공격코드로 유포되는 악성코드의 탐지는 어느 정도 되는지 확인해 보자.



단순히 보면 알겠지만 전 세계 주요 백신들 중에서 오직 하나 정도만이 휴리스틱으로 ( 악의성이 있다 정도? ) 탐지가 된다. 나머지는 전멸이다. 여기 백신에는 이름만 들어도 알 수 있는 모든 제품들이 포함 되어 있다.

즉 제대로 진단되는 백신은 하나도 없다는 의미와 동일하다.
( 시만텍이든 맥아피든 마찬가지다...)

서비스를 통한 차단을 하는 구글의 Stopbadware도 차단이 되지 않고 가장 악성코드를 많이 분석하는 회사들이나 모든 백신 회사들의 탐지에도 걸리지 않는다. 이게 지금 우리가 마주한 실질적인 위협이다.


지난 3주 이상을 샘플을 일부 분석해 보고 테스트 해봤지만 평균 탐지율은 10% 미만이다. 우리의 지금 상태가 그렇다. 오늘도 파일공유나 언론사, 커뮤니티 사이트에 대량 추가가 되어 있어서 한국내에서만 이 악성코드의 확산은 100만대를 상회할 것이라 예상된다. Adobe의 패치? 기대를 말자!.

우리를 보호하고 지킬 수 있는 것은 우리 자신 밖에 없다. 아무리 불법적인 사이트를 안가고 패치를 잘하고 보안제품을 쓴다고 해도 이젠 위험에 노출된 상황이다. 인터넷 서핑을 하지 말아야만 위험이 줄어 드는데 그럴 수 있는가? 

다른 형태의 위협대응이 긴급하게 요구되고 즉시 대응이 되어야만 한다.


- 바다란 세상 가장 낮은 곳의 또 다른 이름

* 현재 여기에 올린 이미지의 내용을 인지하고 있는 곳도 없고 악성 공격코드의 최초 확보도 현재로서는 우리쪽에서만 가능하다. 좀 더 조용하고 은밀하게 해야 하지만 이 문제의 심각성에 대해서 인식이 부족하여 노출을 감내하면서도 자료를 일부 오픈 할 수 밖에 없다. 그러나 충분한 인식이 되었다면 우리도 정보 노출을 최대한 하지 않을 생각이다. 


*개인적으로 지난 15년간 ( 벌써 ..후.) 많은 공개문서들과 컬럼, 의견들을 올렸는데 한번쯤 정리를 할 필요성을 느낀다. 여전히 새롭게 이 분야에 들어온 많은 분들이 모르는 것들이 많다. 먼지 쌓인 외장 하드의 전원을 한번쯤 올려야 겠다. History of p4ssion 정도
 
Posted by 바다란

미국시간으로 8.19일에 있었던 인텔의 맥아피 인수는 시대의 변화를 실감하게 한다. 인수 금액도 보안과 관련된 기업의 인수로서는 사상 최고가인 77억 달러에 달하고 환산하면 9조원에 이르는 막대한 금액을 들여 인수한 경우로 여러 가지 시사점이 있을 수 있다.

단순히 금액적인 면에서 바라 볼 것이 아니라 다른 여러 가지 의미가 있을 수 있음을 염두에 두어야 된다. 개인적인 관점에서 바라보는 인텔의 맥아피 인수 관련된 의미를 살펴 보자.



일단 맥아피는 AntiVirus 전문 기업이 아니며 종합 보안 기업이라는 점을 명확히 해야 한다.

백신의 개발뿐 아니라 다양한 보안장비의 개발 및 운용, 보안 서비스를 하는 종합 보안기업이고 유사한 업체로는 시만텍이 있을 수 있다. 국내에선 규모로는 비교하기 어렵지만 안연구소가 비슷한 행보를 하고 있다. ( 안연구소도 백신만을 만들지는 않는다. 일반적으로 V3만을 생각 할 수 있으나 다양한 보안 분야의 하드웨어 제품과 서비스를 현재도 운용 중에 있다.)  CPU를 만드는 인텔과 백신을 만드는 맥아피라는 조합을 보면 CPU 상에서 동작하는 내장형 Anti Virus 제품을 가장 먼저 생각 할 수 있지만 설마 이 정도에 9조원이 넘는 돈을 들이지는 않는다.


CPU와 밀접하게 연관된 보안서비스는 지금도 나와 있고 물론 앞으로도 더 활발하게 출현 할 수 밖에 없을 것이다.

변화하는 보안의 위협요소들은 플랫폼을 가리지 않고 발생 하고 있으며 앞으로 더 큰 문제들은 계속해서 발생 할 수 밖에 없다. 인텔은 CPU뿐 아니라 다양한 IT 장비와 소프트웨어, 플랫폼을 개발한 종합 IT 회사이며 그 중 CPU 부분이 주력 분야라 할 수 있다.

왜 인텔은 맥아피를 인수 했을까? 어쩌면 전문 분야가 다른 상당히 이질적인 회사 일 수도 있는 분야를 9조원이라는 어마어마한 금액으로 인수를 했을까? 필자가 생각 하기에 그 대답은 대단히 전략적인 선택이라는 말로 갈음 할 수 있다. 각 기업의 현재 상황을 간략하게 살펴보고 의미를 새겨보자. 개인적인 관점에서 보는 시각임을 잊지 말자

  • 인텔

한정된 분야에서 인텔은 막강한 힘을 발휘해 왔다. 이제 하드웨어 제품의 벤더로서 주도적인 역할도 점점 줄어 들 수 밖에 없다. 무선 플랫폼의 확대와 CPU 시장의 경쟁구도는 인텔의 입지가 주도적인 입장에서 약간은 빗겨난 상태로 볼 수 있다. 향후에는 입지가 더 좁아 질 수도 있으며 시장의 혁신을 주도하는 것은 어려움이 있다. 시장의 혁신을 주도하던 황금 시기는 정점을 지나지 않았나 판단이 된다.  일반 PC 플랫폼의 성장정체와 맞물려 어려움은 가중 될 수 밖에 없고 윈텔이라 불리던 MS와의 조합도 예전 만큼의 시너지를 내지는 못한다고 보고 있다.  유비쿼터스로 대변 되는 향후 미래의 발전상에서 주도적인 아이템이 불확실한 상태다.  그래서 모바일 시장에서의 성장동력 강화와 새롭게 주도권을 쥘 수 있는 분야가 절실하게 필요 했고 또 다른 영향력을 확고하게 하는 것이 필요 했을 것이다. 규모를 키우기 위해 맥아피를 인수한 것은 절대로 아니며 주도권과 영향력 행사를 몇 년 이내에 할 수 있는 계기가 있을 것이라는 판단 하에 인수한 것으로 판단 된다.


  • 맥아피

다양한 보안 분야에 대해서 대응을 하고 특히 AntiVirus 분야에서도 꾸준한 연구와 대응을 해왔다. 그러나 항상 1위 기업인 시만텍에 눌려 있었고 어떤 보안 분야이든 1위는 아니며 2,3위에 랭크 되어 있다. 최근에는 모바일 보안 관련된 보안기업들을 몇 곳 인수를 하기도 했으며 기업용 및 일반 소비자용 모바일 보안 서비스를 제공 하려고 노력을 했었다. 또한  맥아피 자체적으로는 시만텍의 영향력을 벗어나기 위해 모바일 보안 분야에 상당한 노력을 기울였다는 점에 있어서 인텔의 결정이 의미를 가질 수도 있다.

맥아피가 진행한 보안 서비스는 백신 이외에도 침입방지 시스템, 네트워크 접근제어, 방화벽 제품들을 개발하여 판매 하고 있고 서비스를 진행 하고 있으며 통합적인 보안을 구성 할 수 있는 라인업을 가진 몇 안 되는 종합 보안 회사이다. 단순한 보안기술과의 연동으로 보기에는 지금의 인수합병과는 괴리감이 있다.

인텔과 맥아피의 현황을 주관적인 관점에서 간단하게 살펴 보았다. 이제는 전략적인 선택의 의미를 알아 보자.

  • 전략적인 선택인가? 분야의 확장인가?

인텔은 새로운 영향력과 주도권을 잡을 수 있는 분야의 하나로 “보안”을 선택했다.  미래의 성장동력으로서 보안 분야는  발전 가능성도 중요하지만 영향력 측면에서 가치를 발휘 할 수 밖에 없다. 가트너의 보안소프트웨어 시장 예측을 보면 매년 11% 가량의 성장이 예상되고 165억 달러의 시장규모를 가지고 있다고 한다.  과연 소프트웨어의 시장 규모가 165억 달러인데 77억 달러의 현금을 주고 1위도 아닌 업체를 인수한 인텔은 무엇을 보았을까?

미래를 위한 전략적인 선택이라는 이면에는 다양한 판단이 있을 수 있다. 그러나 필자가 보는 관점은 조금 다를 수 있다.


  • 향후 IT 서비스와 실생활에 밀접한 관련을 가질 수 있는 분야로서 하드웨어가 아닌 플랫폼과 서비스라는 점을 인식
  • 무선 및 다양한 유비쿼터스형 장비에도 필수적으로 보안이 필요하다는 것을 인식 했다는 점
  • 향후 보안적인 위협은 IT 서비스의 근간을 흔들 수도 있다라는 판단을 한 것. 근간을 흔들 수 있다는 점은 주도권을 쥐고 다시 전면에 나설 수 있다는 점을 의미 하기도 한다.
  • 인텔의 막강한 라인을 이용한 기업형 통합 보안 서비스 시장 진출 ( 새로운 수익모델 발굴)
  • 모바일 서비스 분야에서의 주도권은 놓쳤으나 이후 파생되는 분야 (위험관리 등)에서의 주도권 확보
  • 단순하게는 인텔의 제품 라인업에 보안서비스와 보안제품을 필수적으로 제공 하여 경쟁력을 확보하고 서비스 차별화를 할 수 있다는 점.


간략하게 위의 여섯 가지 정도를 꼽을 수 있다.
인텔 제품에 기본으로 탑재되는 보안 서비스들은 빠르면 내년 중에 출현을 할 것이다. 또 서비스 형태로 관리 될 수 있는 보안 서비스 제품들도 머지않아 출현 하게 될 것이다. 보안 회사간의 M&A는 일상적으로 있어 왔으며 새로운 분야로 시장 확대를 위해서 보안 회사를 핵심적으로 인수한 기업들도 있었다. ( 구글의 기업형 보안 서비스 시장 진입 – postini 사를 6억2천만불에 인수)

2005년에 했던 향후 시장의 변화 방향 예상은 그리 많이 빗나가지 않았다. 이후로도 계속될 내용들이다. 보안분야를 보강하지 않는 거대 IT기업의 성장은 어려울 것이며 그 과정에 구글이 있고 인텔이 있다.

위협은 계속 되고 위험강도는 점점 더 높아 질 수 밖에 없다.  인텔의 맥아피 인수는 세계적 백신 벤더들에게는 어쩌면 재앙이 될 수도 있다. 그리고 또 다른 거대기업에서의 M&A 시도로 인해 절호의 기회가 될 수도 있다.  이제 명확해진 사실은 Security는 IT 서비스의 기본이라는 점이다. 시간이 지날 수록 더 선명해 질 것이다.

기업형 보안 서비스 시장의 각축은 시만텍의  1위자리가 위협 받을 것으로 보이며 인텔의 맥아피 라인업의 활용과 결합 정도에 따라 수많은 IT 서비스들이 영향을 받고 자극을 받을 것으로 예상된다. 단 인텔이 현명하다면..

한 분야의 강자에서 IT 서비스 전분야로의 도약을 꿈꾸며 그 발판으로 보안을 선택한 인텔은 맥아피내의 인텔이 될 수도 있다. Intel inside McAfee 또 그렇게 해야만 인텔은 도약이 가능할 것이다. 자신의 전문분야를 고집하는 순간 맥아피 인수 효과는 그리 크지 않을 것이고 제한적일 것이다.

국내의 보안과 IT서비스의 현실은 글로 남기기에도 민망해 따로 적지 않는다. 왜 인텔은 맥아피를 9조원이라는 어마어마한 거액에 인수 했는지 사업 방향 확대가 아닌 다른 의미를 한번쯤 진지하게 생각해 볼 것을 권고할 뿐이다.

- 바다란 세상 가장 낮은 곳의 또 다른 이름


Posted by 바다란