태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

http://www.zdnet.co.kr/news/network/security/0,39031117,39146342,00.htm

 

TCG [Trusted Computing Group]의 지닌 생각은 타당한 생각입니다.

또한 반대편에 존재하는 조지오웰의 독재자의 인상도 타당한 생각입니다.

 

가장 중요한 전제는 이것임을 잊지만 않는다면 타당합니다.

 

가장 중요한 전제는 기업이나 사회의 보안은 End Point로 부터 출발을 하며 현재에는 더욱 더 중요한 위치를 차지하고 있다는 점입니다.

기업에서는 말단 PC에서 부터 노트북에 이르기까지가 기업전체의 존망을 결정할 수도 있으며 사회에서는 현재 이슈가 되고 있는 Bot 이나 웜의 경우에도 최초의 출발은 미약하나 과정은 대폭 짧아지고 결과는 확실하게 나타나는 네트워크형으로의 발전이 눈에 보이게 나타나는 형국입니다.

 

따라서 개개의 단말요소를 중요하게 생각하지 않으면 안되는 시점이며 이런 관점에서의 단편적인 문제해결을 위해 모든 구성요소에 Secure한 요소를 의무적으로 삽입을 하는 점도 충분히 나올 수 있는 판단이라고 보입니다.

그러나 이런 방식도 시일이 지남에 따라 또 다른 문제를 야기 시킬 수 밖에 없으며 방식의 확산 과정에도 충분한 문제가 드러날 수 있습니다.

 

기업의 입장에서는 이와같은 요소에 대해 어떤식으로 대응을 해야 할까요?.

중요 서버에 대한 강력한 접근제한 , 외부에서 접근시에는 SSL VPN , 모든 접근 가능한 단말에 대해서는 PMS [patch management system]의 운용을 통한 Active한 대응 [차단까지도 고려 ] 등이 나올 수 있는 대안이라 판단됩니다.

손쉽게는 보안장비나 장치를 통해서 하려는 발상을 누구나 할 수 있지만 어려운 면이 있으며 일편적인 방식으로는 해결이 되지 않으므로 굳건한 정책과 이에따라 발생하는 기술적인 문제를 해결할 수 있는 지식으로 무장을 하고 단계별 보안을 강화하는 수가 현재에서는 가장 타당한 방안이 아닌가 생각이 됩니다.

 

국가적인 입장에서는 전체 보안 패치의 레벨을 높이고 중요 포인트마다 문제를 발견하고 사전 인지후 차단까지 이어질 수 있는 빠른 대응체제의 수립을 통해 보다 확실한 효과를 볼 수 있겠죠.

 

무엇보다 가장 중요한 것은 첨단으로 진화를 하고 빠르게 발전을 할 수록 사람이 가장 중요한 자원이 됩니다.

능력을 갖추고 명확한 이해를 바탕으로 단계를 설정하고 레벨을 높일 수 있는 인력이 국가든 기업이든 중요한 요소라고 할 수 있습니다. 이런 부분까지 자동화 한다는 것은 앞으로도 매우 요원한 일이 될 것입니다.

 

Secure environment는 장비에 의해서 이루어 지는 것이 아닌 구성원의 노력과 단계적인 레벨업에 의해서 가장 충실해 지지 않을까 하는 의견입니다.

 

##########0*

Posted by 바다란

댓글을 달아 주세요

 

정보보호 체크 가이드  - by 바다란 (p4ssion@naver.com)

 

보안의 강화는 기업을 위한 중요한 활동임과 동시에 개인 정보 유출을 막기 위한 최선의 방책이다.  2005년에 급속도로 증가한 개인정보 유출용 악성코드 및 정보유출을 위한 다양한 위험성들이 늘어나 특별히 보안에 관심을 두지 않는 한 일반직원의 입장에서는 문제가 그리 간단한 것만은 아니다.

 

매번 연말이나 특정한 이슈가 발생할 때면 보안 회사들에서 보안 강화를 위한 방침을 발표하고는 한다. 이런 방침에 항상 빠지지 않는 것이 보안 패치의 활성화 , 백신의 업데이트 철저 와 같은 항목이다.

왜 보안 패치가 중요하고 백신이 중요한 것인가? 개인은 물론 기업, 산업 기반에도 중요한 영향을 미치는 요소로 매번 강조되는 이유는 무엇일까?

 

완벽한 운영체제란 없으며 시일이 지나면서 필요가 변함에 따라 사용환경은 변화하고 진보하기 마련이다. 또한 이전에는 생각지 못했던 새로운 기술과 개념들을 낡거나 부족한 토대위에 올려 놓으려다 보면 고려하기 힘든 부분들도 존재를 하게 되며 새로운 취약성이 발견이 되는 경우도 발생이 된다. 따라서 대부분의 운영체제를 만드는 곳에서는 발견된 문제의 중요성에 따라 보완하는 작업을 진행 한다. 2005년 연말에 발생하였던 wmf  취약성의 경우  Microsoft의 정식 패치 발표일이 아님에도 불구하고 일주일 가량 시간을 당겨서 보안상의 위험성을 보완하는 패치가 발표가 되었다. 문제의 심각성이 그만큼 심각한 사안이라는 경고가 세계 각국의 전문가들로부터 제기 되어 Microsoft도 무시하기는 어려웠으리라.

 

 

위험한 개인사용자

 

앞서 wmf 취약성을 예로 들었지만 wmf 취약성이 발표된 지 만 24시간도 되지 않아 취약성을 공격하는 코드가 발견이 되었다. 개념적인 코드차원에서 실제 공격을 하고 권한 획득을 할 수 있는 부분까지 발전이 되었으며 2~3일이 지난 후에는  메신저 ( MSN , Yahoo )를 통해 감염이 되는 웜 형태로도 출현하였으며 앞으로도 계속될 문제로 발전이 될 것이다. 또한 지난 해를 뜨겁게 달구었던 중국발 해킹은 현재도 진행형 이다. 유명하거나 사용자의 방문이 많은 사이트는 집중적인 공격의 대상이 될 수 있을 것이다. 왜 이런 많은 문제들이 발생을 하고 있고 이런 문제들의 해결책은 대체 무엇이 있을까? 여러 가지 문제의 원인이 있을 수 있지만 특히 몇 가지만을 헤아리면 안전하지 못한 프로그래밍 기법의 일반화 ( 보안의 고려가 없었던 시절의 프로그래밍 ) , 악성코드를 통한 정보유출 및 감염에 민감하지 못한 무관심과 같은 두 가지 유형을 대표적으로 들 수가 있다.  프로그래밍 기법의 일반화를 제외한 무관심의 경우는 개인 사용자의 위험 노출이 매우 높음에도 불구하고 인지를 못하고 있어서 향후에도 계속 발생될 수 있는 문제라 할 수 있다.

공격 기법도 계속 변화하고 있으며 2005년 12월에 발견된 wmf 취약성을 이용한 중국발 해킹도 연이어서 발생을 하고 있는 상황이다. 공격하는 자들은 계속 발전하고 있고 변화 하고 있으나 사용자들의 인식은 그에 미치지 못하고 있다. 더욱이 기업의 인식도 그리 많이 나아지지 못하고 있는 상황이다. 

취약성이란 무엇인가?  그렇다면 앞으로도 취약성은 증가하고 Zeroday 위협은 증가 할 것인가?. 대답은 증가 할 수 밖에 없다 이다.

 

일반 사용자들에게는 익숙하지 않으나 전문가들에게는 날마다 쌓이는 보안 관련 취약성 및 위험성 정보가 존재한다.  전 세계에서 개발되고 이용되는 Application의 수치는 얼마나 될 것인가? 또 오늘 당장 개발 되거나 내일 새롭게 발표되는 제품의 수는 얼마나 될까?.  매우 많은 수치의 제품이 현재 사용 중이며  또 개발 중일 것이다. 앞으로의 세상에서는 더욱 더 많은 제품들을 사용하게 될 것이 명확한 사실이다. 

한 가지 더욱 명확한 사실은  이 모든 제품들이 완벽하지는 않다는 점이다.  서로간의 정보교류를 하는 이상 그 어떤 제품도 100% 안전한 제품은 존재하지 않을 것이다. 보다 더 안전한 구성을 통해 안전성을 높다는 것은 보장 할 수 있어도 100%를 보장 할 수는 없을 것이다.

아래와 같은 사이트 ( 정말로 많은 취약성 관련 사이트 들이 존재한다. ) 에는 날마다 취약성에 관련된 신규 정보들이 올려져 온다. 공격코드들이 작성 되어 올려지기도 한다.

 

 이미지는 첨부파일 참조

 

< 취약성 정보가 게시되는 해외 웹 사이트 >

 

보안 관련된 논의 및 메일링을 통해 전 세계의 전문가들과 의견 교환을 할 수 있는 bugtraq 은 취약성의 흐름 및 빠른 정보 수집을 위해 필수적인 사이트 이다.

 

 이미지는 첨부파일 참조

 

< 취약성 관련된 메일링이 교환되는 Bugtraq >

 

발견되는 취약성은 일반직원들이 아는 것 보다 매우 많으며 그 복잡성도 높을 수 밖에 없다. 따라서 개개인이 직접적으로 대처를 하고 대응을 한다는 것은 어려울 수 밖에 없으며 기업 단위의 대처에도 영향을 미칠 수 밖에 없다. 한 기업에 있어서 공식적으로 사용하는 Application 외에 직원들이 사용하는 모든 Application을 알 수 있을까?. 또 취약성이 발견되는 Application의 문제에 대한 해결책을 제때에 적용 할 수 있을까?   

아마 해결책을 찾는 것도 전체의 Application (공식적인 것과 비공식적인 것 모두 포함) 목록을 체계화 하는 것은 일정 규모 이상의 기업에게는 매우 어려울 것이다. 현 상황에서의  조직 차원에서의 완벽한 해결책은 없으며 보다 더 안전할 수 있도록 꾸준하게 노력하는 것 외에는 해결책이 존재하지 않는다.

기업의 보안 및 보다 큰 공동체의 안정성을 위한 보안 노력도 모두가 개인 및 구성원의 적극적인 노력으로부터 비롯된다. 구성원의 노력 없이는 전체적인 보안태세 및 보안에 대한 노력들도 둑을 무너뜨리는 틈새와 같이 의미 없어 지는 것이 현재의 환경이다.

 

자 복잡하다.  명확한 것은 문제가 있고 이 문제를 풀기 위해서는 개개인도 노력을 해야 한다는 점이다. 현재 발생되고 있는 웜이나 악성코드가 얼마나 지독한가?. 웜에 감염되면 주변의 다른 사용자들에게도 동일한 웜이 감염을 시키고 종래에는 IT 회사라면 운영 하는 시스템에 피해를 주거나 업무에 지장을 받을 정도로 영향을 미칠 수 있다. 또 외부에서 자신의 PC를 컨트롤 하여 중요 문서를 가져 간다면 어떻게 될 까?. 이제는 단 하나의 문제점만으로도 충분히 피해를 입을 수 있는 시대이므로 많은 주의가 필요하고 관심이 필요하다. 그러나 모두가 전문가가 될 필요는 없을 것이다. 각자 전문분야는 따로 있을 것이므로..

 

정보보호 실천을 위한 가이드에는 어떠한 것들이 있을 지 알아 보자.

먼저 가장 근본적인 원칙이며 한 달에 한번 정도의 간격으로 체크가 되어야 하는 부분은 다음과 같다.  ( 일반 유저를 대상으로 하며 대부분 Windows 환경에서 문제가 발생하므로 Windows를 기준으로 하였다. )

 

1.       XP의 경우 Service Pack 2를 설치한다.  보안 기능을 활성화 시키고 여기에서 Windows Firewall 의 기능도 적절히 이용하도록 하자

.  

이미지는 첨부파일 참조

 

2.       Windows Update의 정기적인 설정 경험상 점심시간 무렵이 적당한 것 같았다. 새벽시간으로 설정할 경우 PC를 계속 켜두어야 된다.

 

3.       바이러스 백신의 사용 일단 맹신 하지는 말자. 다만 알려진 위협 및 바이러스를 제거해 줄 수 있는 수단이라는 점에서 이용은 필수

 

4.       비정상적인 계정이 있거나 프로그램이 실행 되고 있는지 검수를 한다.  계정의 경우는 사용자 관리 메뉴에서 프로그램은 Regedit 혹은 레지스트리 관련 프로그램에서 시작 프로그램 항목을 체크해 보면 된다. 주위 사람에게 상의 하면 충분히 이행 가능하다.

 

5.       운영체제의 보안 불필요한 서비스 제거 ( TCP/IP Netbios Helper 및 Messenger 서비스등 ) 를 통한 위험요인 제거 불필요한 서비스 항목은 전산 담당자에게 문의 혹은 인터넷 상에서 충분한 가이드를 얻을 수 있다.

 

6.       계정의 보안 강화 및 공유 설정의 강화 공유 디렉토리의 경우 읽기 권한 만 주고 접근 권한 및 사용자를 최소화 한다. 로그인 계정의 경우 6자 이상의 ID 및 6~7 자리를 지니는 Password를 사용하도록 한다. 주기적인 변경도 고려 하여야 한다.

 

* 계정 보안 관련: 외부 인터넷 사이트에 사용자 계정을 만들 때에도 자신만의 규칙을 지니고 생성하는 것이 좋다. 동일한 ID/ 동일한 PW로 거의 대부분의 웹 사이트에 가입을 한다는 것은 자신의 모든 정보를 내 주는 것과 동일한 행위이다. 가입 하는 모든 사이트의 보안성을 장담 할 수 있을까? 하루에도 수백 개의 사이트가 웹사이트 변조를 당하는 상황에서 과연 내 정보는 지켜 질 수 있을까?   사용자 개인의 특성에 맞는 규칙이나 자신만의 방식으로 몇 개의 부류로 나누어서 사용을 한다면 보다 안전한 서핑이 될 것이다.

 

한달 단위의 이행 대책의 경우 주위의 조언이나 전문가에게 도움을 요청해야 하는 사안들이 많이 있으나 주간 및 일간 단위의 체크는 좀 더 다른 방향으로 접근을 수행하면 된다.

 

주간 단위의 검사 항목으로는 다음과 같은 점을 유념하면 될 것이다.

 

1.       바이러스 감염 기록의 확인 및 바이러스 백신의 업데이트 일자 확인  - 감염 기록의 확인은 매우 중요하다. 자신이 인지하지도 못하는 상황에서 감염이 되었다면 추가적인 위험이 있을 수 있으므로 좀 더 주의를 기울여야만 한다.

 

2.       Windows Update 서비스의 정상적인 동작 확인  - 정상적으로 설정이 되었는지 여부를 확인 하는 것이 좋다. 주일의 시작인 월요일이나 금요일에 한번쯤 Update에 시간을 두고 여유를 지니는 것도 좋은 방식이며 자동 설정을 통해 다운로드 발생시 마다 처리하는 것이 가장 좋다.

 

3.       비정상적인 PC의 움직임  - 외부에서 조정을( Mouse 혹은 키보드 ) 하고 있거나 내부의 데이터에 인위적인 손상 등이 있을 때에는 전산담당자와 상의를 해보는 것이 좋다.  그 문제가 사소한 것이든 오해이든 이런 문제에 대해서는 확실히 하는 것이 좋다.

 

일반 보안 회사 및 신문지상에서 가장 많이 언급되는 일간 단위의 검사 항목은 다음과 같다.

 

1.       바이러스 프로그램의 가동 및 업데이트 설정- 모니터링 가능상태 유지

2.       윈도우 보안 패치의 설정 및 설치

3.       E-mail 프로그램 사용시의 수/발신인의 확인 및 첨부 파일에 대한 백신의 검사 및 주의

4.       P2P 프로그램 사용시의 백신을 이용한 검사 준수

5.       메신저 프로그램을 통한 링크 및 URL에 대한 확인 ( 최근 WMF 공격이 URL Link를 이용한 공격이 많이 발생하고 있다. )

6.       공유 권한의 제한

7.       웹사이트 서핑시의 Active X 설치 유형과 같은 악성코드에 대한 주의  - 최근 유형이 매우 많으므로 주의를 기울여야 함.

 

 

 간략하게 살펴 보면 위와 같은 검사 항목을 준수 한다면 전체적인 안정성을 높이는데 도움이 될 수 있을 것이다.  큰 방향성 아래에서 하위 항목을 준수하는 것이 강조 되어야 하며 왜 이런 노력들이 필요한 지에 대한 이해가 선행이 되어야 만 한다.

향후에도 많은 위험들이 있을 것이고 DMB 혹은 WiBro 등 수많은 변화 속에서 또 얼마나 많은 발전이 있을 것인가? 그 발전이 기술의 진보이든 위험의 진보이든 간에

 

 

 

 

Posted by 바다란

댓글을 달아 주세요

 

 

이제서야 처음 언급한 전략이 나오네요. 전략이라고 해봐야 별 거 없습니다.

뭐 특별하고 신출귀몰한 것도 없고 어느 정도 수준 되면 다 보이는 정도입니다. 이런 흐름을 얼마나 역동적으로 리딩을 하고 끌고 가느냐가 생존을 담보 하겠죠. 앞으로의 세상은 더더욱 그럴 것 입니다. 안주하는 서비스기업들은 무너지겠죠. 한 순간에 녹아 내리듯이 그렇게..

힘겹고 고통스러운 일이지만 그 동안 외면 했던 Security 라는 측면을 하지 않으면 생존하기 힘든 상황이 될 것입니다. 눈에 보이는 것이 아닌 체질적으로 서비스에 내재된 기술적 보안역량이 서비스의 질에 매우 큰 차이를 가져오게 될 것입니다. 앞으로는 보유 여부에 따라 극복하기 힘든 절대적인 차이가 발생하게 될 것입니다.

 

 

 

보안전문가와 보안 관리자의 차이( http://blog.naver.com/p4ssion/50014996901 ) 에서 언급한 GSM (General security manager ) SSM (Special Security manager) 의 구분과 동일합니다. GSM이 아닌 SSM의 보유여부에 따라 향후의 IT 서비스 기업의 흥망성쇠는 달라집니다. 최소한 글로벌 비즈니스를 하는 곳은 그러 합니다.  단지 인력을 확보 하고만 있는 것이 아닌 역량 발휘가 가능한 환경까지도 조성이 되어야만 하는 문제입니다. 국내의 현실은 SSM보다는 GSM이 더 우대 받는 현실이지만 앞으로의 다가올 위협에 뼈저리게 느낄 기회가 주어지게 될 것입니다. 위협에 대한 대응에 있어서 국내에서는 유야무야 얼버무리는 것이 된다 하여도 해외사업에서는 절대 그렇게 되지 않을 것입니다. 그때 가서야 알게 될 것입니다. 후회해도 늦었지만.. (하고 싶은 말들은 있습니다만. 이런 내용은 사설로 나중에  더 가슴에 맺히면 쓰도록 하겠습니다. 꾸벅)

 

1. Google online security 전략 개요

http://blog.naver.com/p4ssion/50019586109

 

2. online security 전략 상세  - * Trustworthy web

                                    * Google security strategy

3. online security의 방향과 미래 ??

 

* Google의 전략

 

- Direction : Passive protection ->Active protection으로의 전환

 

개념상으로 단순한 바이러스의 제거  ( 발생 이후에 제거가 가능한 부분) 서비스의 제공에서 벗어나 올해부터는 본격적으로 Active한 보호를 가능케 하도록 서비스 틀이 변화 될 것을 예상 할 수 있습니다. 1~2년 후에 일반화된 경향이 될 것으로 예측 됩니다.

Active한 보호 방안이란 사용자의 선택에 따른 AV 서비스의 제공이 아닌 악성코드 감염을 원천 차단하고 악성코드 유포 사이트에 대한 사전대응 형식으로 사용자에게 노출되는 악성코드를 적극적으로 줄이겠다는 의사로 풀이가 됩니다.

 

서비스적인 측면에서 Passive Active Protection 두 방안의 조화로운 운영을 통해 문제 발생 부분을 최소화 할 것으로 보이며 프로세스상으로는 다음과 같은 일련의 체제를 갖출 것 같습니다.

 

Active (예방 ) - Passive (대응) - Response ( 관리)

 

Active :

GreenBorder Product를 통한 악성코드 감염의 원천방지 ( 전체 사용은 어려울 것으로 예상)

일부 구글팩 및 구글툴바를 활용한 사용자 선택적인 사용이 중점이 될 것으로 예상됨

 

Passive:

구글팩에 포함된 Symantec AV 백신을 통한 사용자 치료 서비스의 강화 , 향후 다양한 멀티 벤더 제품을 사용하도록 할 가능성이 있음.

 

Response:

Stopbadware.org 사이트 운영을 통한 악성코드 유포 가능성을 지닌 사이트의 검색 결과 격리

stopbadware.org 사이트에 등록이 되는 사이트들은 AV벤더와 협력하여 탐지가 되는 결과를 가지고 진행합니다. 한국의 경우에는 KISA와의 협력을 통한 악성코드 유포 사이트 정보를 활용하여 stopbadware.org 사이트에 등록을 하게 될 것으로 보입니다.

 

위와 같이 세가지 방향에서의 online security가 이루어 지고 있으며 움직임이 본격화 되었다는 것은 security라는 측면이 online business에서 얼마나 중요한 가치를 지닐 수 있는지를 인지했다고 볼 수 있습니다. 내부 보안 강화 및 서비스의 보안 강화의 측면에서 한층 더 나아가 user 단위에 까지 영향을 미치는 security가 가미된 서비스로 방향을 설정한 것이라 봅니다. 그리고 현재의 위협 상황에서는 사용자까지도 보호를 해야만 서비스의 안정성이 유지가 되는 것이 사실입니다.

 

기본개념으로는 secure search search integrity (security 측면에서의 무결성- 악성코드로부터 Free..)으로 흐름분석이 가능 한데 일련의 이슈들을  서술 하면 다음과 같습니다.

 

 

Secure search & Browsing

 

secure search라는 부분은 제가 해석한 부분입니다. 대표적인 예로 올해 상반기에 인수된 Greenborder를 예로 들 수 있습니다. 전편에서 언급 하였듯이 검색 서비스 자체의 보안 측면은 아닙니다. 검색을 통해 노출된 사이트들을 통해 사용자가 피해를 입는 부분을 최소화 하자는 것이 근본 방향이 될 것으로 보입니다. Google을 통해 검색을 하고 그 결과를 클릭 하였는데 악성코드에 감염이 되었다는 문제 제기를 피하기 위한 방안으로 인식이 됩니다.

이 움직임은 올해 초에 구글의 Anti malware 팀에서 조사한 내용을 통해 근본 근거를 마련하고 이후의 Action item으로 Greenborder의 인수를 추진한 것으로 확인이 됩니다.  조사되고 발표된 내용은 전체 검색 결과의 10%가 악성코드 및 위험요소를 가지고 있는 유형으로 파악되었다는 자체 조사 결과 입니다.

 

Greenborder에 대한 설명은 전편에 설명을 하였지만 부가적으로 더 언급을 하면 Secure Browsing을 구글 내에서는 가능하게 하겠다는 근본취지를 지니고 있는 개념으로 볼 수 있습니다.  구글을 통해 검색이된 결과는 사용자가 클릭을 하여 해당 사이트로 이동을 하여도 악성코드에 감염되지 않는 Frame을 만들겠다는 관점에서 볼 수 있습니다.

 

대부분의 웹사이트를 방문할 경우 해당 사이트의 컨텐츠들은 사용자 PC의 임시파일 저장소에 저장이 되어 (cache ) 사용자의 브라우저 화면에 보여지게 됩니다. 대부분의 악성코드들이 감염 시키는 방식이 다운로드 이후 실행을 하는 방식을 취하고 있는데 GreenBorder의 경우에는 이 공간을 격리 시킵니다.

격리라는 의미는 별개의 가상공간에서 다운로드를 받고 사용자의 Browser에 보여지게 한 뒤에 사용자가 해당 사이트 이탈 시에는 가상공간을 없애는 유형으로 악성코드가 사용자 PC에 직접 침입 하는 유형을 원천 차단하는 것을 의미합니다.

 

개념 상으로는 좋은 방향이지만 국내의 현실에서는 문제가 많을 것으로 보이며 문제는 다수 발생 할 것으로 보입니다.

ActiveX 또는 부가 설치가 필요한 모든 부분에 대해 예외 설정 등을 하게 되면 문제는 계속 될 것으로 보이며 향후 구글 툴바 혹은 구글팩에 포함되어 사용자의 선택에 의해 사용하게 되는 유형으로 서비스 될 것으로 예상됩니다.

 

7.11일 현재 구글은 postini 라는 이메일 보안 업체를 6000억원을 주고 인수 합병을 하기로 한 기사가 나왔습니다. 관련 업체의 프로필을 살펴본 결과 기업용 제품으로서 단순한 이메일 보안업체가 아닌 일관된 Policy의 적용 및 내부 정보 유출을 방지하는 서비스 유형으로 파악이 되며 Google의 서비스 측면에서 보았을때 향후 기업용 시장에 대한 진출 도구로서 활용이 되고 Gmail에 대한 서비스 강화, 이익 강화 ( 미국의 3대 이메일 보안 서비스 업체라고 함) 측면에서 보는 것이 바람직해 보입니다.

 

 

Search integrity

 

검색결과에 대한 무결성을 보장한다는 의미는 검색 관련된 서비스를 하는 업체에게는 매우 중요한 factor 입니다. 그동안의 무결성이 검색 결과에 대한 정확도의 측면에서 접근 하였다면 지금은 전체적인 Web상의 위험요소 발달에 따라 다른 부분으로 전이가 되고 있습니다.

 

검색결과에 대한 정확도 측면 + 검색결과에 대한 신뢰도 ( 신뢰도 측면은 사용자 PC에 대한 안정성 측면의 신뢰도 입니다.) 가 이제는 기본적인 흐름으로 대두 될 것입니다. 이런 연유에 따라 구글의 Anti malware 팀에서는 구글 검색 결과 중 10%가 악성코드 유포의 위험성이 있다고 스스로 발표를 한 것으로 볼 수 있습니다. 스스로가 발표를 하면서 위험성이 있다는 것도 사용자들에게 알리고 이런 위험성을 제거하기 위해 사용자의 Action을 제한 할 수 있는 서비스를 출시 하는 것으로 볼 수 있습니다.

 

사용자의 Action 제한을 하더라도 큰 범주에서는 사용자의 보호를 위한다는 당위성 확보로 적절하게 활용이 된 것을 볼 수 있습니다.  구글 서비스에서 이루어지는 빠른 변화에 대한 사전작업이라고 보입니다.

 

Search integrity를 확보하기 위해서는 무엇을 하는가? 하는 측면에서 바라보면 드러난 부분으로는 다음과 같습니다.

Stopbadware.org 사이트의 활용 - 하버드 법대에서 운영을 하도록 합니다.  AV 벤더 및 악성코드 유포를 탐지하는 여러 업체 및 기관과 협력하여 거의 실시간에 가깝게 악성코드가 유포되고 있는 사이트 정보를 획득하고 해당 사이트 정보를 구글의 검색 결과에 반영을 합니다. Black list에 등재된 사이트의 경우 검색 결과에 노출이 되어도 사용자가 클릭을 하면 악성코드 유포 위험성 안내와 함께 stopbadware.org 사이트로 이동을 하도록 하고 있습니다.  관련 업체에서 이의제기를 하고 싶어도 구글 에게 직접 하는 것이 아닌 하버드법대에 이의제기를 해야죠.  blacklist에서 제거 되는 부분도 악성코드 유포 위험요소를 제거한 이후에 되도록 되어 있고 black list에서 제거되면 검색결과는 정상적으로 해당 사이트 링크를 활성화 시켜 줍니다.

 

주변 환경을 이용하는 측면에서 영악하다고도 볼 수 있는데 구글의 정보통제 및 독점에 대한 문제 회피를 위해 하버드 법대를 활용한 개념이 있고 또한 거의 실시간에 가까운 전 세계 협력 기관 및 AV 벤더의 자료를 취합해 적용함으로써 신뢰도를 높이는 점이 있을 것 같습니다. 자료를 제공해주는 기관이나 벤더는 향후 대폭 확대될 가능성이 있을 것이며 확대에 따라 신뢰도는 더 높아지는 결과를 유발 할 것입니다. 2007.7.11자로 확인을 해보니 악성코드 유포 가능성이 있고 유포중인 사이트가 197000여 개 정도 리스트업이 되어 있습니다.  

( http:://www.stopbadware.org )

우리나라의 경우에는 KISA에서 제공되는 악성코드 유포 사이트 정보를 활용하여 보다 전문적이고 지역적으로 특화된 내용에 대해서도 대응이 가능한 체제를 수립하려는 것으로 보입니다.

 

Response 영역에 대해서는 특별히 언급할 내용이 없으며 구글팩의 설치부터 AV 백신의 실행까지 모두 사용자 동의 하에 가능한 부분이라 영향은 제한적이지만 향후에는 위협의 증가에 따라 기본으로 제공될 가능성이 존재합니다.

 

 

Integrity Secure search & browsing에 대한 간략한 개념을 설명 드렸습니다.

 

영향은 어떻게 될까요? 짧은 소견이지만 생각 나는 대로 정리 하겠습니다.

 

Google의 검색 안정성 강화 ( 이익 창출을 위한 필수도구로서의 security factor 인식의 산물)

Active , Passive , Response process를 통한 전방위적인 대응체제 수립이 가능할 것으로 보이고 각각의 영향력이 다름으로 인해 효과는 제한적이나 향후 1~2년 이내에 Frame화 되어 정착될 가능성이 높습니다.

 

Active method (Green border technology)의 활용은 제한적이 될 가능성이 높고 위에 언급 하였듯이 Toolbar 혹은 별도의 Plugin 형식으로 전파가 되고 사용자의 선택에 따라 활용하는 용도로 이용될 가능성 있습니다.  단점으로는 언급 하였듯이 전체적인 보안기술의 적용이 어렵습니다. 특히 국내의 경우에는 많은 사이트들에 장애를 일으키거나 정상적인 접근이 어려워 지는 경우가 발생될 것으로 예상됩니다. 사용자의 설정 요구가 매우 많아져서 오히려 사용자를 떨어지게 할 수도 있을 것 같네요.

 

구글은 사용자의 요구와 Security의 강화라는 측면에서 Web 상에서 노출되는 많은 위험들을 앞으로 적극적으로 강조할 것으로 보입니다. 분명한 사실이지만 비지니스적으로는 강조해야만 불편함에 대한 사용자의 요구를 일소 할 수 있는 명분이 생기는 것이겠죠.  

Passive Response에 해당하는 이슈들은 앞으로 많은 영향을 미칠 것으로 보이며 특히 AV벤더와의 협력관계 확대를 통한 Response 영역의 확장은 노하우가 쌓일 수록 강한 힘을 발휘 할 것 같습니다.

 

글을 쓰는 목적은 변화하는 흐름을 분석하고 이해해서 향후 방향 설정에 도움이 되었으면 하는 마음에 분석한 것이며 그 과정에서 최근 구글의 행동이 주목할 만 하여 케이스 스터디 차원일 뿐입니다.

 

감사합니다.

 

* 심각하게 고민한 내용이 아니고 그 동안 나온 기사를 바탕으로 생각나는 대로 나열한 부분입니다. 내용 중에 이해가 어려운 부분도 있을 수 있습니다. 이 부분은 설명하는 사람의 무지를 탓하시면 될 것 같습니다. 또한 내용 중에 정확하지 않은 내용도 있을 수 있습니다.  신문기사만 보고 판단한 것이라 다른 내용들이 있을 수 있습니다. 개인적으로 보는 관점이라고 봐주시면 감사하겠습니다.  재주가 없어서 그런지 이해한 내용을 전달 하는 것도 부족한 부분이 많습니다.

 

- 사족 나갑니다.

왜 국내 IT Service 기업들은 변화를 리딩 하지 못할까요?  IT Service에서 안주와 자리 지키기는 죽음에 이르는 길입니다. 죽음의 길에 조금 더 빨리 가도록 하는 것이 학벌과 지연과 인맥에 의한 것이겠죠. 특히 Global Service기업이라면 학벌, 지연, 인맥에 의존 하는 순간 초고속 급행열차로 죽음의 길에 가는 것과 다름 없습니다. 남의 떡이 커 보인다고 키워야 될 자기 것들을 팽개치고 이러다 보면 순식간에 무너지겠죠. 전문직무분야인 보안 분야에서도 그러한데 다른 분야는 오죽하겠습니까? ^^; 위험을 인지 하지도 못한다면 더 심각한 상황이라 할 수 있습니다. 매 순간이 위기인데 말입니다. 백척간두 진일보라는 말은 개인에게만 해당되는 말은 아닙니다. 지금 이 순간의 모든 IT서비스기업들에 해당이 되는 의미입니다. 당장 1년 뒤를 보장할 그 어떠한 것도 없습니다. 세계와의 경쟁에는 학벌과 인맥, 지연이 통하지 않습니다. 그리고 지금의 서비스는 이미 세계와 경쟁 중입니다. 4천만의 시장으로 먹고 살 수 있다고 생각하는 고만고만한 기업이라면 이름 없이 사라짐을 당연하게 알아야 될 것입니다. 아쉽게도 문제는 그런 기업들이 너무 많다는 것이 문제일 뿐입니다. 아쉽지만 여기까지 인 것 같습니다.


 
Posted by 바다란

댓글을 달아 주세요

1.25 대란에 대해서 많은 고민을 하면서 자료를 내놨지만 뒷 이야기를 안한 것 같다.

지금도 가끔 꺼림찍한 기분이 드는 부분이 있어서 생각 난 김에 뒷이야기를 한번 해보자.

 

http://mfiles.naver.net/66b051899fc6aa1c334e/data13/2006/2/17/151/internetcrisis-0.1-p4ssion.pdf

 

위의 파일은 최초 1.25 대란 발생이후 저녁에 작성하여 1.26일 업데이트 한 자료이다. 수집된 정보도 없고 현상만을 가지고 체크 하였으며 해당 부분에 대해 충분한 가설을 제공 하였다고 판단된다. 물론 그때 당시 접근할 수 있는 정보나 얻어진 자료에 비해 정말 고민 많이 했던 자료이다.

최초 이 파일을 작성할 때 가장 안타까웠던 것은 피해 당사자의 언급도 없고 참 난감한 상황에서 작성한 글인데 나중에 도매금으로 욕을 먹죠. 개인이 할 수 있는 최선 이였다고 아직도 생각 하고 있습니다. ^^;

 

http://mfiles.naver.net/6bbd5c8492cba7113b58/data13/2006/2/17/226/internetcrisis-0.2-p4ssion.pdf

 

두번째글은 DNS 다운과 관련된 내용 및 1434 포트의 확인과 관련된 추가 내용을 기술한 글입니다. 글 서두에 보면 아시겠지만 Unix Bind DNS 서버를 사용한다고 KT가 공식 발표를 한 상황이라 MSSQL에 집중 할 수 밖에 없었죠. 약간 미심쩍은 면이 있었지만...

 

http://mfiles.naver.net/6bbd5c8492cba7113b58/data14/2006/2/17/172/internetcrisis-1.0_-p4ssion.pdf

 

DNS가 죽을 가능성은 두 가지 외에는 없습니다. 마지막글은 DNS에 대한 DDOS 공격이 가능함을 보이고 있고 실제 공격이 가능한 소스가 존재함을 보였습니다. 그러나 해당 소스의 공격결과 몇 달뒤에 확인이 된 바로는 실제 공격 량은 현저하게 적어서 DNS 트래픽에 영향을 미칠 수 없다는게 판단이였죠.

 

이래서 DNS에 대한 DDOS 공격 과 Slammer 웜에 의한 영향이 결합되어 문제가 발생 되었고 이후에는 네트웍상에 부분적으로 문제가 남아 있는 부분에서 과잉 대응을 통한 부가 문제 발생으로 최종 시나리오를 적었습니다.

 

이때 마지막으로 쓰고 싶었던 말이 있었는데 2002년 경에 기사상에 KT의 기간계 시스템중 하나에 Windows 계열을 도입했다고 하는 기사가 있었습니다.  기간계가 6개 정도 있는데 그 중 하나를 윈도우로 대체를 하였다는 기사가 2002년경에 나왔었죠.

 

그리고 관련 기사를 스크랩해서 개인 웹사이트에 올려 놨는데 데이터가 날라갔네요.

 

제가 생각한 마지막 방안은 이겁니다. DNS 서버가 죽을 가능성은 최초에 있어서는 외부로 부터의 트래픽이 아닌 내부망에서의 웜으로 인해 네트웍 라인 자체가 죽었을 것으로 생각을 하였습니다.

 

이 문제는 KT가 걸린 문제라 언급을 안했지만 시일 상으로 3년이 지난 지금에는 이야기를 해도 되겠죠. 차후에 확인된 이야기로는 DNS 포트인 53번만 열어 놓은 것이 아니라 DB와 연결하기 위한 1434 포트도 KT쪽에서 오픈이 되어 있었다고 하더군요. - 기억이 가물가물.

 

KT의 의견대로 Unix Bind 서버를 사용한다고 믿을 수 밖에 없었고 이런 상황에서라면 DNS 서버에 대한 직접 query 어택외에는 방안이 있을 수 없다고 생각 했습니다. 그러면서 확인된 이야기는 아니지만 KT 내부에 문제가 있을 것 같다고 생각을 했었죠. 문서에는 쓰고 싶었으나 확인되지 않은 정황으로 쓸 수는 없기에 안그래도 모자란 머리 쪼개고 또 쪼개서 시나리오도 고민하고 했었죠.

 

이 정도의 위험성이 나올 시나리오는 무엇일까?. 무엇이 이 결과를 초래 했을까?..

 

결과로 부터 되짚어 가는 수 밖에는 없더군요. 드러나는 여러가지 가능성을 하나 하나 지워갔을때 최종으로 나온 결론은 DNS에 대한 직접 공격 외에는 없었습니다.

 

그러나 KT 내부 기간계 시스템에서 문제가 발생을 하였다면?.. Slammer 웜이 그 하루전이 1.24일 금요일 늦게 부터 움직였었고 일정 수치 이상의 감염 이후에  인터넷이 무너지게 된 것은 KT 내부망이 최초 침해를 당한 이후 내부의 트래픽 폭주로 인해 기간망이 마비되었을 가능성이 매우 높을 것으로 판단이 됩니다. - 아직도 의심을 하고 있습니다. ^^;

확인 안된 사실이죠. KT 내부 담당자가 아니면 절대 모르는 이야기.. 왜냐.. 기본 사실은 있는데 정황을 한번도 공개를 안했으므로...

 

 

지나간 이야기 입니다만.. 아직도 가끔 이 이야기를 하시는 분이 있어서 잊었던 생각 한번 꺼내 봤습니다.

 

참 황당한 것은 전체 인터넷망이 위험하다고 신고 했더니 ..그것도 오후 일찍...  근거 없는 소리 말라고 일축하던 분들이 조금 생각 나네요.  그때 아무일 없었으면 저는 미친놈 될뻔 했죠. 후훗.

 

즐거운 하루 되세요.

Posted by 바다란

댓글을 달아 주세요