태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

빛스캔과 KAIST 사이버보안연구센터에서 공동 운영하는 보안정보 제공 서비스 7월 1주차 국내 인터넷 환경의 위협 분석 내용이며 본 보고서는 빛스캔의 PCDS ( Pre Crime Detect System)의 탐지역량과 KAIST 정보보호대학원. 사이버보안센터의 분석 역량이 결집된 분석 보고서 입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응을 하도록 방향 제시를 하고 있습니다.


본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영 되고 있습니다.


본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.

1. 악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

2. 악성링크가 공격에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 - 패치

3. 내부 감염된 APT 공격의 확인 및 제거에 활용 ( 기술 분석 문서 참고)


* 보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술 되어 있습니다. 각각은 별개 이므로 악성링크 ( 사용자 PC에 악성코드를 내리기 위한 공격코드 )에 대한 분석과 실제 악성코드의 행위와 기능에 대한 분석 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다. 금주 차에는 CVE 2012-1889 ( MS XML Core Zeroday)에 대한 전문분석이 포함 되어 있습니다. 전문분석은 Professional Service를 받는 고객사가 생기는 즉시 해당 고객사에만 전달이 됩니다. 참고 하세요.

 


금주 차의 특징은 패치가 없는 제로데이 (CVE 2012-1889 MS XML Core Service)의 적극적 활용으로 정의가 됩니다. 본 브리핑 작성 시점에 MS의 정규 업데이트 패치에 MS XML Core Service의 패치가 배포 되었으니 즉시 반영이 필요합니다. ( http://technet.microsoft.com/ko-kr/security/bulletin/MS12-043 –자동 업데이트 서비스 활성화를 해두시면 적용이 됩니다. )

 

전주 대비 악성링크가 감소된 비율을 보이고 있으며 MS XML 취약성에 대한 공격이 매우 적극적으로 이용 되었으며 상당한 피해가 발생 되었을 것으로 예측이 되고 있습니다. 대규모 유포 시도가 탐지된 6월 3주차 이후 Malware-net의 활동은 대규모로 감소된 형태를 여전히 보이고 있으며, 신규로 1~20개 이내의 Malware net의 운영은 계속 되고 있습니다. 언제든 규모 확대가 적극적으로 가능한 만큼 계속해서 관찰하고 추적을 하고 있으며 특이 사항 발견 시에는 즉시 반영 되어 전달이 될 것입니다.


공격자들에 대해서 언급 할 때 항상 언급 하는 것이 “비용 대비 효과” 입니다. 이전까지는 최대 6가지 이상의 취약성을 공격하는 형태였으며 이 공격의 성공률은 60% 가량이라고 빛스캔에서 공격로그를 통해 입증한 바가 있습니다. 6월 3주차에 새로운 공격기법으로 장착된 제로데이 ( 2012-1889) 공격으로 인해 공격 성공률은 대폭 높아졌을 것으로 예상된다 말씀 드렸는데 그 효과를 반증하는 데이터가 동향 보고서에 언급 되어 있습니다. 또한 금주 차의 악성링크들은 방문자가 많은 상위 웹서비스들에 집중된 형태로서 제로데이 공격을 적극적으로 활용한 상황입니다. 범위의 축소가 영향력 감소를 의미하지는 않습니다. 항상 일정 수준의 효과, 최상의 효과를 거둘 수 있는 방식에 대해 공격자들은 너무나도 잘 알고 활용 하는 상태입니다.

 

공격자들은 6월 3주차부터 검증 이후 대거 MS XML 공격 코드를 적용 하였고 금주 차에는 거의 모든 공격 세트에 적용을 시킨 상태로 활용이 되었습니다. 전체적으로 악성링크의 수치는 감소 하였고 발견된 악성링크들 대부분이 XML 취약성을 공격하여 이전의 규모와 범위 확대로 거둔 효과와 동일한 결과를 얻은 것으로 판단이 됩니다.

 

EMB00000edc0d6b


<공격에 사용된 악성링크중 XML 취약성 공격 포함 비율>


 

EMB00000edc0d69


< 전체 악성링크의 감소와 XML 취약성 공격 포함 비율 챠트>


악성링크를 줄인 이후에도 공격성공률이 일정 수준 이상을 유지하고 있어서 범위를 확대 시키지 않는 것으로 보이며, 각 주요 인터넷 서비스별 방문자가 상위인 웹서비스를 타켓화 하여 소스를 변조하고 악성코드를 유포함으로써 공격성공률을 늘리는 방식을 적극 활용 한 한 주입니다.

 

모든 악성링크들은 초기에 사용자 브라우저 종류 및 버전을 체크하고 그에 맞는 공격 부분으로 분기를 합니다.공격성공률을 확인하기 위한 통계 정보 수집은 항상 존재하며, 각 IE, Java, Flash 부분에 대한 권한 획득 부분으로 분기하여 그에 맞는 공격코드들을 실행합니다. 그 이후 PC의 권한을 획득하고 최종 악성코드들을 다운로드 하여 PC에 설치하게 됩니다. 이 성공률이 제로데이 출현 이전에는 60%( 10명중 6명 감염) , 현재 적극적 활용 단계에서는 최소 90% 수준으로 예상이 되고 있습니다. 제로데이 출현 이전에는 공격 성공률과 범위 확대를 위해 대규모 Malware-net을 운영하고 적극적으로 활용 하였으나, 지금 상황에는 Malware-net을 운영하지 않아도 충분한 공격효과를 거둘 수 있으므로 적극적인 범위의 확대를 하지 않는 것으로 보입니다. 또한 7.11일 금일 현재 MS의 패치가 배포 되었으므로 향후 Malware net의 확장 및 범위는 적극적으로 늘어날 것으로 예측이 되고 있어 향후 추적에 주의를 기울일 예정입니다.

 

 

금주 공격의 특징은 다음과 같습니다.

  • Malware-Net 활동의 축소 (소규모 Malware net은 계속 활동) 및 제로데이 취약성 공격 활용 대부분 악성링크 이용 

  • 파일공유, 언론사, 커뮤니티, 연예기획사, 소셜쇼핑, K-pop , 부동산 서비스, 포털, 종교 등을 총망라한 상위 사이트에 대한 악성코드 유포 
    • 본 공격들은 대부분 MS 제로데이 공격코드도 동시에 영향을 미치도록 되어 있습니다.
      금주 파악된 MS 제로데이 유포와 연관된 내용은 18종, 59개 정도의 웹서비스에서 활동 하였으며 대형 사이트들이 해당 되었습니다.  그 동안 활동이 미미했던 파일 공유 사이트들도 상위 5개의 웹서비스에서 중계 되어 영향력은 이전과 비교하기 어렵습니다
    • 파일 공유 사이트 및 소셜쇼핑의 경우 3개월 이상 소규모적인 유포 시도들만 있었는데 금주 차에는 적극 활용 되었으며 그 의미는 근본 취약성은 그대로 공격자들이 보유하고 있고 언제든 이용 할 수 있는 상태라는 것을 의미합니다.
  • 최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 하이브리드 형태의 악성링크 공격 계속

  • 국내 주요 백신들에 대한 시스템 파일 직접 변조 발견 ( V3 , 알약 대상) 및 백신 서비스(맥아피 보안 서비스 업데이트)로 위장한 서비스 등록 발견
   
  • 게임 계정 이외에 문화상품권 및 게임머니 거래 사이트에 대한 계정 탈취 시도가 최초 발견 되었습니다.
  • 대부분의 게임 계정 탈취 및 백신 서비스 Killing은 계속 되었으며, 계정 탈취는 BHO 를 이용한 유형이 가장 많이 발견 되고 있어 해당 부분에 대한 전문분석 제공 예정입니다. 지난주 차에 전달 드린 전문분석의 연결 편으로 제공 될 예정입니다.

* 유포지와 중계지의 의미는 사용자 관점 이나 악성링크의 관점에서 다를 수 있습니다. 저희는 사용자 관점에서 웹 서핑시 방문한 웹서비스가 문제가 있어서 감염이 된다면 직접 방문한 사이트는 ‘ 악성코드 유포지’ , 악성코드를 받아 오게 하는 임의의 주소를 ‘ 악성링크’ , 최종 사용자에게 감염을 일으키는 파일 자체를 ‘악성코드’라고 정의 하고 있습니다.


 

 

사용자 PC에 대한 직접적인 공격을 일으키는 취약성은 복합적으로 사용 되고 있으며, 지금까지 많은 비중을 차지 하였던 Java 취약성 및 Flash 취약성 공격은 소폭 감소한 반면, MS의 XML 취약성 공격코드는 대거 채용되어 활용이 되었습니다.  대부분의 APT 및 백도어 유형들이 java 취약성을 이용하였으나 금주에는 MS XML 취약성을 이용한 APT 유형들이 발견 되었습니다.

 

사용자 PC에 설치 되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현 하고 있는 현 상황에서 웹 서핑만 해도, 웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐 하고 있습니다. 항상 말씀 드렸듯이 지금과 같은 상황을 가장 염려하고 있으며 사후 대응이 아닌 사전 대응에 중점을 두어야 된다고 주장한 강력한 원인이기도 합니다.

 

현재 모든 솔루션들은 사후 대응에 중점을 두고 있는데, 가장 중요한 것은 사전에 대응이 되는 것이냐가 핵심입니다. 또한 발생 가능한 위험을 얼마나 컨트롤 할 수 있는지가 핵심이라 할 수 있으며, 문제 해결책을 찾을 수 있을 것입니다. 이번 XML 사안에서 보듯이 3주 가량 무방비 상태에서 노출이 되었으며 단 3주 만에 공격자들은 대거 해당 취약성을 대거 이용하는 형태를 보일 정도로 빠른 적응력을 보이고 있습니다. 향후에도 패치가 없는 제로데이 출현 시 빠르게 이용 할 것으로 보이므로 사후 대응 측면 보다는 사전에 위험을 제거 할 수 있는 선제적인 대응력이 핵심이 되어야 할 것입니다.


  • Oracle Java 취약성, Adobe Flash 취약성 , MS의 XML , Midi 및 IE 취약성이 같이 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰 되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다. 특히 금일자로 패치가 발표된 MS XML (CVE 2012-1889) 취약성의 경우 반드시 업데이트를 적용 하시기 바랍니다.
  • 기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자 PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 높습니다. 또한 백도어 기능의 설치 시에는 시스템상의 백신 프로세스 Kill 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제하여 정체를 은폐하고 있으므로 사전 대응에 만전을 기하세요.

     
  • 기술분석보고서에 언급된 게임계정 유출 악성코드들은 전체 악성코드의 80% 이상이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있으며 현재 목적은 게임계정 탈취로 보여지고 있으나 언제든 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 될 수 있습니다. 

 

  • 백신에 대한 시스템 파일 변조 내용

 

* 정상적인 백신 운영이 될 수 없으므로 각 백신 개발사들의 주요 파일에 대해 변조 여부 강력한 체크가 필요해 보입니다.

백신명

변조된 파일

V3

C:\WINDOWS\system32\Drivers\v3engine.sys

C:\WINDOWS\system32\Drivers\v3core.sys

C:\WINDOWS\system32\Drivers\ahnsze.sys

C:\WINDOWS\system32\Drivers\AhnRghNt.sys

C:\WINDOWS\system32\Drivers\AhnRecNt.sys

C:\WINDOWS\system32\Drivers\AhnRec2k.sys

C:\WINDOWS\system32\Drivers\AhnFltNt.sys

C:\WINDOWS\system32\Drivers\AhnFlt2k.sys

Alyac

C:\WINDOWS\system32\Drivers\EstRtw.sys


 


  • Diablo III에 대한 공격이 추가된 게임 계정 모니터링 및 백신 Kill 항목, 게임 머니 및 문화상품권 탈취 목록 추가


* 본 내용은 최근의 악성코드들이 기본적으로 탑재하고 있는 기능이며 6월 4주차 까지 발견 되었던 백신과 게임 계정 탈취 이외에도 문화상품권과 게임 머니 사이트에 대한 계정 탈취 기능이 추가 되었습니다.

 

프로세스명

프로그램명

백 신

sgbider.exe, vcsvc.exe

vcsvcc.exe

바이러스체이서

NVCAgent.npc, nsvmon.npc

Nsavsvc.npc, NaverAgent.exe

네이버백신

V3LRun.exe, MUpdate2.exe

SgSvc.exe

V3Light.exe, V3LTray.exe

V3LSvc.exe

V3

AYUpdSrv.aye,

AYRTSrv.aye, SkyMon.exe

AYServiceNT.aye

AYupdate.aye, AyAgent.aye

알약

PCOTP.exe

 

넥슨 OTP

게 임

gamehi.co.kr

게임하이

hangame.com

한게임

netmarble.net

넷마블

Raycity.exe

레이시티

ff2client.exe

피파 온라인2

pmang.com

피망

df.nexon.com, dnf.exe

던전 앤 파이터

DragonNest.exe, dragonnest.nexon.com

드래곤 네스트

WinBaram.exe, baram.nexon.com

바람의 나라

heroes.exe

마비노기 영웅전

wow.exe

월드 오브 워크래프트

lin.bin

리니지

MapleStory.exe

메이플 스토리

clubaudition.ndolfin.com

클럽 오디션

www.capogames.netsamwinfo.capogames.net

삼국지w

Diablo III.exe

디아블로III

게임머니&문화상품권

www.booknlife.com

북앤라이프

www.cultureland.co.kr

컬쳐랜드

www.happymoney.co.kr

해피머니

www.teencach.co.kr

틴캐시

 
 

본 보고서에 기술되는 내용들은 이메일등을 이용한 소규모 침투가 아니라 웹서비스를 통한 대량 유포 및 감염입니다.

금일 이전까지 패치가 없는 상태에서 피해는 매우 심각한 상황 이였을 것으로 예상 되고 있습니다.




금주 공격에 사용된 취약성 비율


상세 분석 진행에 따라 취약성 판정 비율이 일정 부분 달라지고 있습니다만 큰 흐름은 차이가 없습니다.. 공격이 많이 복잡한 형태를 띄고 있어서 정확한 CVE 판정이 어려운 상황도 발생 되고 있는 상황입니다.

 

- CVE 2011-3544 ( 24.4%) Java Applet 취약성

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544

- CVE 2012-0507 ( 24.4%) Java Applet 취약성 - Java Web start 취약성

  http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html

- CVE 2012-1889( 23.4%) MS XML Core Service 취약성

  http://technet.microsoft.com/ko-kr/security/advisory/2719615

- CVE 2012-0003 (13.2%) Windows Midi 취약성 –

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003

- CVE 2012-0754 (12.2%) Flash 취약성 –

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754

- CVE 2010-0806 (1%) IE 취약성 ( IE 6,7 대상)

 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806

- CVE 2010-0249 (0%) IE 취약성 –

  http://www.microsoft.com/technet/security/Bulletin/MS10-002.mspx

- CVE 2011-2140 (0%) Adobe Flash 취약성

http://www.adobe.com/support/security/bulletins/apsb11-21.html


취약성 비율을 살펴 보시면 아시겠지만 MS 제로데이 취약성에 대한 공격은 전주 대비 활용도에 있어서 증가 하였습니다.

전주의 공격 시에 효과가 좋았던 것으로 판단되어 적극적으로 활용 하였으며 향후 패치 적용 범위에 따라 다른 공격들도 계속 출현 할 것으로 예상됩니다.


금주의 차단 추가 영역은 다음과 같습니다. 아래 영역은 이미 공격자가 권한을 통제하고 있는 IP대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재활용이 되고 있습니다. 기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각 기관 및 기업별 검토 필요) 차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다.



악성링크에 이용 되는 미국의 EGI Hosting 사의 IP 대역 상당수를 직접 악성링크로 활용한 사례가 발견 되어 해당 IP 대역에 대해 강력한 차단을 유지하실 것을 권고 합니다.


차단 권고 대역


* 기술 분석 보고서에는 별도의 차단 대역들이 존재하니 참고 하시고 사안별로 모니터링 및 차단에 적극 활용 바랍니다.



-공개용은 제외


 

현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다. 또한 어떤 방식으로든 빛스캔의 악성링크 탐지와 분석 내용에 대해서 인지를 일부 하고 있는 것으로 판단 됩니다. 또한 금주의 총평으로는 제로데이의 적극적인 활용입니다. 방문자가 상위인 서비스들을 적극 공략 하였으며 범위의 확대 보다는 효율을 높이는 것에 집중을 하였습니다.  제로데이 공격이 증가한 가장 큰 이유는 공격에 대한 효과가 충분히 검증 되었다는 반증이라 할 수 있으며, 향후에도 유사 사례는 계속 발생 할 것으로 예상 되고 있습니다. 대규모 유포 시도에 대해서 활용 된다면 언제나 가장 먼저 정보 제공이 가능함을 약속 드립니다.


본 정보제공 서비스는 공개, 배포 금지( 내부에서만 활용), 비영리 목적으로만 활용 가능합니다.


공익적인 목적으로 기관에 제공 되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.


감사합니다.


*시범 서비스는 순차적으로 1개월 경과시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다. KAIST CSRC 주간보안동향 보고서는 1p 짜리의 요약형태로 작성이 되며 무료 배포가 가능합니다. 해당 서비스의 신청은csyong95@kaist.ac.kr 로 신청 하시면 됩니다.


* 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다. 본 서비스의 권리는 빛스캔에 있으므로 공개적 활용 및 영리적 목적으로 활용 하실 수 없습니다.


* 본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre crime detect system)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 사이버보안연구센터, 정보보호대학원과 공동으로 진행합니다.

Posted by 바다란




안녕하세요. 전상훈입니다.


금주의 동향에 대해 총평을 하면 전주 대비 사용자가 직접 노출되는 유포지 수치는 대폭 증가된 형태를 보이고 있습니다. 활발하게 악성코드 유포를 시도하고 있으며 전주까지 사용 되었던 악성링크도 대거 재활용이 되고 있는 상태로서 신규 악성코드 또한 증가된 현황을 보이고 있습니다.
공격을 당한 곳들도 증가하고 있으며 전주에도 언급 하였지만 위협이 줄어든 것이 아니라 대응이 되지 않는 상태이다 보니 계속적인 악성링크의 재활용과 신규 유형들이 유입이 되고 있습니다.

전주까지 확연하게 증가추세를 보였던 Java Applet 취약성 ( CVE 2012-0507, 2011-3544)은 계속 진행 되고 있으며 금주의 공격 부분에는 Flash 취약성 (CVE-2012-0754) 공격코드들도 증가를 하고 있습니다. 

현재의 상태로 보면 운영체제에 대한 직접적인 취약성 공격은 빈도가 약해지고 있으며 상대적으로 보안대응이 늦을 수 밖에 없는 Third party application에 대한 공격비율이 매우 높은 것을 볼 수 있습니다. 운영체제의 경우 자동업데이트등을 이용하여 보안성을 일정수준 이상 유지 할 수 있으나 현재까지는 Third party 제품군에 대한 자동업데이트는 그리 활발하지 않은 상황이라 공격 비율이 높아 보입니다.

사내 및 관련부서에 Adobe의 Flash 및 Oracle Java 관련된 취약성의 업데이트를 강력하게 권고를 하셔야 될 상황이며 향후에도 계속적인 관리 포인트를 두셔야 할 것입니다.  Flash 최신 버전의 경우에는 자동업데이트 지원이 되고 있으므로 적용을 권고하고 패치가 매우 늦은 Oracle의 경우는 즉시적인 권고를 통해 바로잡아야 합니다. 

모든 내부사용자가 인터넷을 이용하지 않는다면 문제가 되지 않습니다만, 현재의 상황은 불가능한 상황이므로 인터넷 상에서 노출되는 위험으로 부터 보호 할 수 있는 방안을 자체적으로 강구해야만 하는 상황입니다. 상대적으로 보안성이 강력한 사이트의 경우에도 배너 및 태그 광고등을 통해 악성코드들이 지속적으로 유입되고 있습니다.  짧게 노출 시키는 것을 계속 반복하는 상황이며 광고의 특성상 수십여개 이상의 사이트에서 동시에 악성코드 유포 효과를 볼 수 있는 형태라 강도높은 주의가 필요합니다.


특징: 

- 백신 미탐지 악성코드 유형 대거 출현 (국내외 막론하고 동일합니다.)
- CVE 2012-0507 , CVE 2011-3544 ( Java Applet 신규 취약성) 공격 지속 및 CVE 2012-0754 (Flash 취약성) 공격 증가 
- 해외 호스팅 영역을 통한 IP 변경된 공격 지속 및 대학 서비스 중계지 활용 계속
- APT 유형의 드라이버 루트킷 재출현 ( 감염이후 192.168. 대역에 대한 스캔 및 확인 기능) , 국내외 유명게임들의 다수 계정 탈취
- 이전 출현 하였던 악성링크의 재활용 계속 증가 ( 심각한 상황입니다.)
- 배너, 태그 광고 링크에 대한 공격 지속  ( 태그 광고 1곳, 배너광고 2곳 이상)
- Mass sql injection  최초 유형 발견 2곳 시작됨 ( 5.8일 skdjui.com/r.php , 5.13일 koklik.com/r.php )
     
Mass sql 공격 관련 정보는 http://www.symantec.com/connect/blogs/lizamoon-mass-sql-injection-tried-and-tested-formula 이곳을 참고 하시면 됩니다.
국내에도 빠르게 확산 되고 있으며, 2012-0507 유형이 같이 사용 되고 있으므로  사내의 임직원들에게 강력한 보안 패치 정책을 권고 해야 합니다. 

4월 3주차 보고서에서도 웹을 통한 루트킷 ( APT 유형) 유형의 유포에 대해 알려 드렸습니다만, 보다 강화된 형태로 재출현 하였습니다. 시스템상의 드라이버를 교체하는 형태로 루트킷이 설치가 되고 있어서 사후 대응 및 처리에도 상당한 어려움이 있을 것으로 보입니다. 또한 내부 사설망을 스캔하는 형태가 발견 되어 의도가 매우 의심스러운 유형이 유포가 되고 있습니다.  키로깅 이외에 화면 캡쳐 및 녹음기능을 포함한 악성코드 유형도 발견 되었으므로 강도높은 주의가 필요합니다.
각 기술보고서에는 외부 연결 시도를 할 경우 해당 도메인이나 IP가 각각 기술이 되어 있습니다. 해당 정보 참고하여 추적 및 대응에 참고 하실 수 있습니다.

내부망의 사용자 PC가 한대라도 권한 획득을 당했을 경우 그 위험성은 충분히 인지하고 계실 것으로 알고 있습니다. 다양한 대책을 통해 위험을 계속 줄여 나가는 것이 현재 할 수 있는 가장 중요한 일이 아닐까 생각 됩니다.

 
APT 유형의 악성코드 이외에 게임계정을 노리는 악성코드들이 다수 발견이 되었으며 해당 악성코드들은 윈도우즈 시스템의 시스템 DLL 파일을 변조하여 패킷 전송 시점에 정보를 가로채는 형태로 되어 있습니다. 현재 변조되는 dll은 windows socket 관련된 dll인 ws2help.dll과 safemon.dll 을 대상으로 악성기능을 하도록 변조하고 있으며 대상이 되는 게임들은 국내외 유명게임을 모두 막라하고 있으며 백신 프로세스에 대한 종료코드들도 같이 동작되고 있는 상태입니다.

대상게임: 엔씨 -리니지 , 한게임 -테라 , 넥슨 -메이플스토리,엘소드, 블리자드-와우, CJ인터넷 - 피파온라인, 네오플-던파 


대응:


 - Java 및 Flash 취약성 공격 코드 증가에 따라  Adobe Update 및 Oracle Java 업데이트 강력 권장
- 해외 호스팅 영역 . 4월 3주,4주,5주차,5월 1주차 차단 권고 영역 유지 필요. - 이전 활용된 악성링크들이 계속 재활용 되고 있습니다.
추가 차단 클래스는 다음과 같습니다. 해당 클래스들은 공격자가 전체 제어권을 가지고 있어서 지속적으로 공격에 활용할 곳으로 예정 되고 있습니다. 차단이 필요한 상황입니다. 주중에도 상시적으로 이용이 되고 있으므로 차단은 강력하게 필요합니다.
 

           205.164.7.[66-75] (USA)  - 5월 2주차 추가         
           50.117.119.0/25
            67.213.211.0/25 
  1. 211.100.253.0/24 (China)
  2. 205.164.0.0/24 (USA)
  3. 69.4.224.0/24 (USA)
  4. 209.73.156.0/24 (USA)
  5. 174.127.79.0/24 (USA)

금주 유포지나 악성링크로 활용된 곳들은 다음과 같습니다.     
대학 서비스 중에서는  XXX, XXX 서비스들이 악성코드 중계에 계속 활용 되었고, 팬클럽, 커뮤니티, 언론사,쇼핑몰들이 악성코드 유포에 활용 되었습니다. 언론사 및 대형 쇼핑몰등은 배너 및 태그 광고 서버를 공격하는 형태로 공격이 계속 반복되어 발생 되었으며 피해도도 높을 것으로 예상 됩니다.

*위의 이미지의 한장짜리 요약 보고서는 무료로 받으실 수 있으며 기관/담당자/연락처 기재후 csyong95@kaist.ac.kr 로 신청 하시면 됩니다.

* 본 보안 정보 제공 서비스의  정식 구독  가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다.

- 바다란 세상 가장 낮은 곳의 또 다른 이름.

Posted by 바다란

 

2009. Change of Global Threat - I

*zdnet 기고 컬럼 입니다.

 

공격과 방어의 현실

 

2005년 이후 격렬하게 이루어 졌던 어플리케이션에 대한 공격은 2008년을 거치면서 동아시아 권역을 넘어 전 세계적으로 파급력 있는 이슈들을 생산해 왔다. 2009년을 얼마 남겨 놓지 않은 지금 그 변화들은 어떤 과정과 결과를 만들었을까?

 

과연 지금 우리가 선택하고 하고자 하는 방향은 올바른 방향인가에 대해 고민하고 보다 더 나은 방향을 만들어야만 한다.

 

변화의 흐름을 보기 위한 자료들을 몇 가지 정도 취합을 하다 보니 확연하게 드러나는 결과들이 있어서 본 컬럼에서 설명을 하고 방향성에 대해서 찾아 보고자 한다.

 

위의 Threat gap은 공격 기술과 방어 기술간의 격차를 의미 하는 것으로서 실제 이와 같은 형식의 자료와 챠트들은 많이 있어왔다. 그러나 본 데이터는 2004년에 발간된 미공군의 기술자료에 언급이 된 내용이다. 실제 많은 사례들을 경험 하면서 기술간의 격차를 사실적으로 기술한 것으로 볼 수 있다. 다수의 보안 전문가들도 구체적인 데이터는 존재하지 않지만 많은 경험으로 인해 이미 오래 전부터 인지하고 있는 내용일 것이다.

 

공격 기술이 방어기술을 넘어선 전환점은 2001~2003년 간격으로 보고 있다. 그 사이에 우리는 최초의 무차별적인 전파와 확산을 하고 대규모 피해를 유발하는 최초의 웜인 Codered를 만났고 Nimda, Blaster, Welchia 등과 같은 운영체제에 존재하는 서비스를 직접 공격하여 권한을 획득하고 재 전파하는 유형의 공격들을 받았었다. 위의 Threat gap과 연관 하여 볼 수 있는 공격기술과 난이도에 대한 상관관계는 다음에서 살펴 볼 수 있다.

 

 

전체적인 공격기술의 난이도는 어려워 지고 있다. 그러나 공격자들의 기술 수준은 점점 낮아지고 있다. Threat gap을 나타내는 것과 모순되는 점이 보인다. 이 모순의 핵심에는 공격 기술의 공유와 거래, 대량 전파 매커니즘 (웹서비스, 스팸, SNS )을 확보한 것이 가장 큰 역할을 하고 있다.

 

공격자들은 특별한 전문지식이 없이도 새로운 공격유형을 만들고 재생산 할 수 있는 제조 템플릿을 가지고 있으며 (웜 또는 바이러스 생성기) 공격에 사용되는 기본적인 유형들과 기능들은 공개된 상태로 통용이 되고 있다. 새로운 취약성이 나오게 되면 불과 하루 이틀 사이에 웜으로 발전이 되어 전 세계에 영향을 미친다. 이전에는 패치가 안된 운영체제의 경우 생존 기간이 길었으나 지금은 더욱 짧아지고 있다.  운영체제에 심각한 영향을 미치지 않으면서도 자연스럽게 권한을 획득 할 수 있는 Application에 대한 취약성들은 심각할 정도로 증가하고 있는 추세를 보이고 있다.

 

공격자들은 활발한 커뮤니티를 구성하고 거래를 통해 서로의 부족한 부분을 보충하고 개선한다. 특별한 공격방법이나 도구들이 출현하게 되면 그 즉시 그들의 세상에서는 빠르게 통용이 된다. 2005년쯤에 국내에서 최초 자동화된 공격이 목격 되었던 SQL Injection의 경우 2007년 무렵에 대규모 웹서버리스트들에 대해 무차별적인 공격을 수행하고 자동적으로 웹서비스에서 악성코드를 유포 할 수 있는 형태로 전환이 되었다. 이제 개인 PC의 제어권한을 하루에 십만 대 정도 확보하는 것은 일도 아닌 상태가 되어 버린 것이다. (참고: http://blog.naver.com/p4ssion/50031034464 )

 

현재의 인터넷의 상태이고 현실이다. 보호되고 있다고 믿는 모든 것들은 무차별적인 공격 대상의 하나로 전락 하였고 도입만 하면 모든 위험들로부터 보호 될 수 있을 것이라 선전 되었던 많은 도구들은 하루가 다르게 변화에 뒤쳐지고 있다.

 

지금까지 일관되게 현재의 위기 상황과 실태에 대해서 주장을 하여 왔다. 이제 시일이 지난 만큼 전세계적인 기업들에서는 기업의 보안현실과 노력들은 어떤 식으로 변화 하였는지 살펴 보자. 실제 시간이 지난 이후에 결과를 분석하는 것만큼 쉬운 일도 없다. 분석된 결과는 예상과 전망에 대한 강한 뒷받침이 되는 것은 두말 할 필요가 없을 것이다.

 

글로벌한 위협현황

 

매년 연말에 개최되는 CSI Conference에서는 주요 참가 기업의 담당자들을 대상으로 보안 활동과 침해사고에 대한 설문조사를 실시하고 있다. 담당자들의 구성 비율은 다음과 같다.

 

 

CSI/FBI Computer Crime and Security Survey -2008 의 설문조사에 응답한 응답자들의 직급을 보여주고 있다. 전체 응답자의 60% 이상이 주요정책 및 의사를 결정 할 수 있는 결정권자의 부분에 속하고 있음을 보여주고 있다. 단순한 실무를 담당하는 보안 담당자들의 의견을 취합한 것은 아니라는 점을 명확하게 보여 주고 있다.

 

 

설문 결과 중에서 사고의 유형을 퍼센테이지로 도식화한 챠트이다. 2007년 이후부터 출현한 항목으로는 DNS에 대한 직접공격과 Bot을 이용한 공격들이 활성화 되는 것을 볼 수 있다. 사고의 발생 비율을 보면 정보유출로 인한 사고들과 Malware가 포함된 Virus에 의한 사고들은 여전히 높은 상태를 보이고 있으며 내부자에 의한 사고들도 꾸준함을 볼 수 있다. 주의 깊게 살펴 보아야 할 것은 2007년 이전의 Botnet( 공격자가 자유자재로 다룰 수 있는 좀비 PC들의 네트워크망)을 구축하는 것보다 앞으로 시간이 지날수록 더욱더 손쉽게 대규모 Botnet을 구축 할 수 있다는 점이 의미 심장하고 Bot 관련된 계열은 별도로 독립하여 큰 범주를 이룰 것으로 예상 할 수 있다.

 

내부자에 의한 사고와 외부자에 의한 사고 부분은 별도의 컬럼에서 정리하고자 한다. 그 동안 알려진 것들과는 다른 개연성들을 충분히 유출 할 수 있으므로 별도의 컬럼에서 정리한다.

 

CSI의 조사에서 언급한 사건들은 실제 사건을 사례별로 조사한 것이라 영향력과 파급력 부분은 고려되지 않은 데이터라 할 수 있다. 전체적인 수치와 비율을 참고하는 정도로만 사용 할 수 있다. 그러나 2008년 까지의 데이터 유출 사례를 실제로 조사하고 분석한 Verizon 레포트에는 좀 더 실질적인 위협이 되는 부분을 살펴 볼 수 있다.

 

 

 

실제 기업내부의 중요데이터가 유출 되거나 기밀이 누설된 케이스를 분석한 결과는 사뭇 다르다. CSI의 통계치 에서는 전체적인 공격 유형과 위협의 유형들을 볼 수 있으나 Verizon의 데이터 유출 관련된 분석 보고서에서는 실제 어떤 위협들이 중요 데이터를 유출 시킨 것과 직접적인 관련이 있었는지를 보여 주고 있다.

 

가장 많이 발견된 사례는 Hacking Malware, Misuse를 들 수 있다. 바이러스 백신들과 다수의 보안장비들이 도입이 되어 공격에 대한 탐지로그들은 매우 많음을 확인 할 수 있고 잘못된 사용 또는 실수라고도 할 수 있는 Misuse 부분에서는 탐지 할 수 있는 근거자료나 로그들이 매우 적음을 관찰 할 수도 있다. 일반적으로 공격시도에 대해서 대부분 Hacking이라고 일반적인 표현을 하나 Verizon Report에서 언급한 Hacking의 대부분은 Web application에 대한 SQL Injection 공격과 Remote Access 도구에 대한 접근,기본 설정 및 권한에 대한 공격으로 분석이 되고 있다.

 

Hacking Malware, Misuse와 같은 대부분의 정보유출의 원인들에는 사용자, 관리자, 개발자의 실책에 대한 이슈가 67% 가량을 차지하고 있음을 볼 수 있다. URL의 인자가 필터링 되지 않는 경우를 공격하는 SQL Injection의 경우에도 Error라고 표시가 되기는 하였으나 현실적으로 취약성을 빠른 시간 이내에 발견하고 수정을 할 수 있도록 하는 도구가 없음으로 인해 실질적인 Error 항목에 기입하기에는 어려움이 있다.

 

조사에서 보듯이 전체적인 사건의 2008년까지의 발생 현황은 새로운 공격흐름을 보여주기도 하며 실제 피해 사례에 가장 큰 영향을 미치고 중요성을 지니고 있는 부분이 어떤 부분인지를 보여주고 있다.

 

국내의 사례는 지금껏 공개적으로 조사되고 분석되어 종합된 자료가 없다. 그러나 전 세계적인 동향과 위협들의 범주에서 벗어날 수는 없다. 사건, 사고 사실을 의도적으로 무시하는 것은 보다 더 큰 치명적인 피해를 유발 할 수 밖에 없다는 점에서 국내의 심각성은 더 높은 상태가 아닐까 생각 된다.

 

 

위협에 대한 대응 노력

 

위협들은 실질적으로 Application에 대한 직접적인 공격과 대량화, 자동화된 공격, Client에 대한 직접 공격으로 축약 할 수 있다. 2008년은 물론이고 지금까지도 또 앞으로 몇 년 이상을 이와 같은 동향은 계속 유지 될 것으로 전망된다. 각 기업들의 대책들은 어떤 방식으로 이루어 졌을까?

 

기업이든 국가이든 형식적인 공격이 아니라 실제의 피해를 일으키는 공격에 대해서만 반응을 하게 마련이다. CSI의 조사는 2006년부터 2008년까지의 각 기업 혹은 기관별로 사용된 보안 기술들을 나타내고 있다. 위협의 변화에 따라 달라진 부분을 확연하게 볼 수 있다.

 

VPN, Firewall, Anti-Virus와 같은 보안장비는 이미 일상화된 보안 도구로 볼 수가 있다. 증가된 폭을 보게 되면 App firewall의 도입이 큰 폭으로 증가 추세에 있음을 볼 수 있다. 실제 공격이 집중 되고 피해가 발생 하기 때문에 도입 될 수 밖에 없는 부분이다. 두 번째로는 개인 PC와 자료의 보호를 위해 NAC 장비의 도입, 암호화 장비나 도구의 사용이 늘어나는 현상을 관측 할 수 있다.

실제 피해사례를 조사한 Verizon의 보고서에서 원인으로 제시된 항목들은 조사 이전부터 계속 발생 되어온 문제이다. 집중적으로 문제가 발생 되는 부분에 대해 대책을 세우는 과정에서 드러난 현상으로 Application에 대한 보안 강화, Endpoint에 대한 보안 강화, 자료의 암호화를 통한 강화를 중점적으로 살펴 볼 수 있다. 국내의 변화도 마찬가지가 아닐까 싶다.

 

각 기업들은 어느 정도의 위험성을 알고 있고 대비하기 위해 어떤 부분에 중점을 두고 노력을 하였을까를 알아보는 것도 위협의 변화와 연관성이 높다. 공격 기술과 방어기술의 차이를 염두에 두면 방어기술의 진보는 느리고 더디게 나아간다. 즉 변화가 있다고 하여도 공격기술의 발전 정도에는 미치지 못함을 사전적으로 알고 있으면 미래의 방향을 예측 하는 것이 보다 쉽다.

 

전체적인 공격동향을 보고 세부적으로는 중요 정보의 실제 유출 사례 조사를 살펴 보면서 우리는 앞으로 중점을 두어야 할 부분이 어디이고 세계 속의 기업과 기관들은 어떤 준비와 대응을 해왔는지 고려해야 한다.

 

지난 몇 년간 꾸준하게 예상을 해온 바들도 Client 보안과 Application에 대한 직접적인 보안 강화에 대해서 강조를 했었다. 전체를 정확하게 볼 수 있는 분석들은 아니지만 동향을 확인 할 수 있다는 점에서 인용된 자료들은 충분한 근거를 제시하고 있다.

 

노력하고 준비하지 않으면 이제는 더 나아가기 힘든 상황이 올 것이다. 보안은 완벽하게 막기 위해 존재하는 것이 아니라 이미 알려진 것들에 대해서는 막을 수 있도록 하고 피해를 최소화하며 빠르게 대응을 하는 것이 핵심이다.

 

국내는 완벽하게 막는 것이 보안인 것으로 종종 오해를 한다. 현실은 가혹하다. 더 많은 비용과 인력을 투입하고서도 완전해 지지 못하는 세계적 기업과 기관, 국가들이 많다. 공격 기술과 방어기술의 차이는 점점 더 벌어 질 수 밖에 없는 구조라 앞으로 더 어려움이 있을 것이다.

 

내일을 살펴 보려 하지 않고 준비하지 않는 자에게는 지금이 마지막의 시작일 수도 있을 것이다. – 다음 컬럼에 계속

 

- 바다란 세상 가장 낮은 곳의 또 다른 이름

Posted by 바다란

 

2009. Change of Global Threat - I

*zdnet 기고 컬럼 입니다.

 

공격과 방어의 현실

 

2005년 이후 격렬하게 이루어 졌던 어플리케이션에 대한 공격은 2008년을 거치면서 동아시아 권역을 넘어 전 세계적으로 파급력 있는 이슈들을 생산해 왔다. 2009년을 얼마 남겨 놓지 않은 지금 그 변화들은 어떤 과정과 결과를 만들었을까?

 

과연 지금 우리가 선택하고 하고자 하는 방향은 올바른 방향인가에 대해 고민하고 보다 더 나은 방향을 만들어야만 한다.

 

변화의 흐름을 보기 위한 자료들을 몇 가지 정도 취합을 하다 보니 확연하게 드러나는 결과들이 있어서 본 컬럼에서 설명을 하고 방향성에 대해서 찾아 보고자 한다.

 

위의 Threat gap은 공격 기술과 방어 기술간의 격차를 의미 하는 것으로서 실제 이와 같은 형식의 자료와 챠트들은 많이 있어왔다. 그러나 본 데이터는 2004년에 발간된 미공군의 기술자료에 언급이 된 내용이다. 실제 많은 사례들을 경험 하면서 기술간의 격차를 사실적으로 기술한 것으로 볼 수 있다. 다수의 보안 전문가들도 구체적인 데이터는 존재하지 않지만 많은 경험으로 인해 이미 오래 전부터 인지하고 있는 내용일 것이다.

 

공격 기술이 방어기술을 넘어선 전환점은 2001~2003년 간격으로 보고 있다. 그 사이에 우리는 최초의 무차별적인 전파와 확산을 하고 대규모 피해를 유발하는 최초의 웜인 Codered를 만났고 Nimda, Blaster, Welchia 등과 같은 운영체제에 존재하는 서비스를 직접 공격하여 권한을 획득하고 재 전파하는 유형의 공격들을 받았었다. 위의 Threat gap과 연관 하여 볼 수 있는 공격기술과 난이도에 대한 상관관계는 다음에서 살펴 볼 수 있다.

 

 

전체적인 공격기술의 난이도는 어려워 지고 있다. 그러나 공격자들의 기술 수준은 점점 낮아지고 있다. Threat gap을 나타내는 것과 모순되는 점이 보인다. 이 모순의 핵심에는 공격 기술의 공유와 거래, 대량 전파 매커니즘 (웹서비스, 스팸, SNS )을 확보한 것이 가장 큰 역할을 하고 있다.

 

공격자들은 특별한 전문지식이 없이도 새로운 공격유형을 만들고 재생산 할 수 있는 제조 템플릿을 가지고 있으며 (웜 또는 바이러스 생성기) 공격에 사용되는 기본적인 유형들과 기능들은 공개된 상태로 통용이 되고 있다. 새로운 취약성이 나오게 되면 불과 하루 이틀 사이에 웜으로 발전이 되어 전 세계에 영향을 미친다. 이전에는 패치가 안된 운영체제의 경우 생존 기간이 길었으나 지금은 더욱 짧아지고 있다.  운영체제에 심각한 영향을 미치지 않으면서도 자연스럽게 권한을 획득 할 수 있는 Application에 대한 취약성들은 심각할 정도로 증가하고 있는 추세를 보이고 있다.

 

공격자들은 활발한 커뮤니티를 구성하고 거래를 통해 서로의 부족한 부분을 보충하고 개선한다. 특별한 공격방법이나 도구들이 출현하게 되면 그 즉시 그들의 세상에서는 빠르게 통용이 된다. 2005년쯤에 국내에서 최초 자동화된 공격이 목격 되었던 SQL Injection의 경우 2007년 무렵에 대규모 웹서버리스트들에 대해 무차별적인 공격을 수행하고 자동적으로 웹서비스에서 악성코드를 유포 할 수 있는 형태로 전환이 되었다. 이제 개인 PC의 제어권한을 하루에 십만 대 정도 확보하는 것은 일도 아닌 상태가 되어 버린 것이다. (참고: http://blog.naver.com/p4ssion/50031034464 )

 

현재의 인터넷의 상태이고 현실이다. 보호되고 있다고 믿는 모든 것들은 무차별적인 공격 대상의 하나로 전락 하였고 도입만 하면 모든 위험들로부터 보호 될 수 있을 것이라 선전 되었던 많은 도구들은 하루가 다르게 변화에 뒤쳐지고 있다.

 

지금까지 일관되게 현재의 위기 상황과 실태에 대해서 주장을 하여 왔다. 이제 시일이 지난 만큼 전세계적인 기업들에서는 기업의 보안현실과 노력들은 어떤 식으로 변화 하였는지 살펴 보자. 실제 시간이 지난 이후에 결과를 분석하는 것만큼 쉬운 일도 없다. 분석된 결과는 예상과 전망에 대한 강한 뒷받침이 되는 것은 두말 할 필요가 없을 것이다.

 

글로벌한 위협현황

 

매년 연말에 개최되는 CSI Conference에서는 주요 참가 기업의 담당자들을 대상으로 보안 활동과 침해사고에 대한 설문조사를 실시하고 있다. 담당자들의 구성 비율은 다음과 같다.

 

 

CSI/FBI Computer Crime and Security Survey -2008 의 설문조사에 응답한 응답자들의 직급을 보여주고 있다. 전체 응답자의 60% 이상이 주요정책 및 의사를 결정 할 수 있는 결정권자의 부분에 속하고 있음을 보여주고 있다. 단순한 실무를 담당하는 보안 담당자들의 의견을 취합한 것은 아니라는 점을 명확하게 보여 주고 있다.

 

 

설문 결과 중에서 사고의 유형을 퍼센테이지로 도식화한 챠트이다. 2007년 이후부터 출현한 항목으로는 DNS에 대한 직접공격과 Bot을 이용한 공격들이 활성화 되는 것을 볼 수 있다. 사고의 발생 비율을 보면 정보유출로 인한 사고들과 Malware가 포함된 Virus에 의한 사고들은 여전히 높은 상태를 보이고 있으며 내부자에 의한 사고들도 꾸준함을 볼 수 있다. 주의 깊게 살펴 보아야 할 것은 2007년 이전의 Botnet( 공격자가 자유자재로 다룰 수 있는 좀비 PC들의 네트워크망)을 구축하는 것보다 앞으로 시간이 지날수록 더욱더 손쉽게 대규모 Botnet을 구축 할 수 있다는 점이 의미 심장하고 Bot 관련된 계열은 별도로 독립하여 큰 범주를 이룰 것으로 예상 할 수 있다.

 

내부자에 의한 사고와 외부자에 의한 사고 부분은 별도의 컬럼에서 정리하고자 한다. 그 동안 알려진 것들과는 다른 개연성들을 충분히 유출 할 수 있으므로 별도의 컬럼에서 정리한다.

 

CSI의 조사에서 언급한 사건들은 실제 사건을 사례별로 조사한 것이라 영향력과 파급력 부분은 고려되지 않은 데이터라 할 수 있다. 전체적인 수치와 비율을 참고하는 정도로만 사용 할 수 있다. 그러나 2008년 까지의 데이터 유출 사례를 실제로 조사하고 분석한 Verizon 레포트에는 좀 더 실질적인 위협이 되는 부분을 살펴 볼 수 있다.

 

 

 

실제 기업내부의 중요데이터가 유출 되거나 기밀이 누설된 케이스를 분석한 결과는 사뭇 다르다. CSI의 통계치 에서는 전체적인 공격 유형과 위협의 유형들을 볼 수 있으나 Verizon의 데이터 유출 관련된 분석 보고서에서는 실제 어떤 위협들이 중요 데이터를 유출 시킨 것과 직접적인 관련이 있었는지를 보여 주고 있다.

 

가장 많이 발견된 사례는 Hacking Malware, Misuse를 들 수 있다. 바이러스 백신들과 다수의 보안장비들이 도입이 되어 공격에 대한 탐지로그들은 매우 많음을 확인 할 수 있고 잘못된 사용 또는 실수라고도 할 수 있는 Misuse 부분에서는 탐지 할 수 있는 근거자료나 로그들이 매우 적음을 관찰 할 수도 있다. 일반적으로 공격시도에 대해서 대부분 Hacking이라고 일반적인 표현을 하나 Verizon Report에서 언급한 Hacking의 대부분은 Web application에 대한 SQL Injection 공격과 Remote Access 도구에 대한 접근,기본 설정 및 권한에 대한 공격으로 분석이 되고 있다.

 

Hacking Malware, Misuse와 같은 대부분의 정보유출의 원인들에는 사용자, 관리자, 개발자의 실책에 대한 이슈가 67% 가량을 차지하고 있음을 볼 수 있다. URL의 인자가 필터링 되지 않는 경우를 공격하는 SQL Injection의 경우에도 Error라고 표시가 되기는 하였으나 현실적으로 취약성을 빠른 시간 이내에 발견하고 수정을 할 수 있도록 하는 도구가 없음으로 인해 실질적인 Error 항목에 기입하기에는 어려움이 있다.

 

조사에서 보듯이 전체적인 사건의 2008년까지의 발생 현황은 새로운 공격흐름을 보여주기도 하며 실제 피해 사례에 가장 큰 영향을 미치고 중요성을 지니고 있는 부분이 어떤 부분인지를 보여주고 있다.

 

국내의 사례는 지금껏 공개적으로 조사되고 분석되어 종합된 자료가 없다. 그러나 전 세계적인 동향과 위협들의 범주에서 벗어날 수는 없다. 사건, 사고 사실을 의도적으로 무시하는 것은 보다 더 큰 치명적인 피해를 유발 할 수 밖에 없다는 점에서 국내의 심각성은 더 높은 상태가 아닐까 생각 된다.

 

 

위협에 대한 대응 노력

 

위협들은 실질적으로 Application에 대한 직접적인 공격과 대량화, 자동화된 공격, Client에 대한 직접 공격으로 축약 할 수 있다. 2008년은 물론이고 지금까지도 또 앞으로 몇 년 이상을 이와 같은 동향은 계속 유지 될 것으로 전망된다. 각 기업들의 대책들은 어떤 방식으로 이루어 졌을까?

 

기업이든 국가이든 형식적인 공격이 아니라 실제의 피해를 일으키는 공격에 대해서만 반응을 하게 마련이다. CSI의 조사는 2006년부터 2008년까지의 각 기업 혹은 기관별로 사용된 보안 기술들을 나타내고 있다. 위협의 변화에 따라 달라진 부분을 확연하게 볼 수 있다.

 

VPN, Firewall, Anti-Virus와 같은 보안장비는 이미 일상화된 보안 도구로 볼 수가 있다. 증가된 폭을 보게 되면 App firewall의 도입이 큰 폭으로 증가 추세에 있음을 볼 수 있다. 실제 공격이 집중 되고 피해가 발생 하기 때문에 도입 될 수 밖에 없는 부분이다. 두 번째로는 개인 PC와 자료의 보호를 위해 NAC 장비의 도입, 암호화 장비나 도구의 사용이 늘어나는 현상을 관측 할 수 있다.

실제 피해사례를 조사한 Verizon의 보고서에서 원인으로 제시된 항목들은 조사 이전부터 계속 발생 되어온 문제이다. 집중적으로 문제가 발생 되는 부분에 대해 대책을 세우는 과정에서 드러난 현상으로 Application에 대한 보안 강화, Endpoint에 대한 보안 강화, 자료의 암호화를 통한 강화를 중점적으로 살펴 볼 수 있다. 국내의 변화도 마찬가지가 아닐까 싶다.

 

각 기업들은 어느 정도의 위험성을 알고 있고 대비하기 위해 어떤 부분에 중점을 두고 노력을 하였을까를 알아보는 것도 위협의 변화와 연관성이 높다. 공격 기술과 방어기술의 차이를 염두에 두면 방어기술의 진보는 느리고 더디게 나아간다. 즉 변화가 있다고 하여도 공격기술의 발전 정도에는 미치지 못함을 사전적으로 알고 있으면 미래의 방향을 예측 하는 것이 보다 쉽다.

 

전체적인 공격동향을 보고 세부적으로는 중요 정보의 실제 유출 사례 조사를 살펴 보면서 우리는 앞으로 중점을 두어야 할 부분이 어디이고 세계 속의 기업과 기관들은 어떤 준비와 대응을 해왔는지 고려해야 한다.

 

지난 몇 년간 꾸준하게 예상을 해온 바들도 Client 보안과 Application에 대한 직접적인 보안 강화에 대해서 강조를 했었다. 전체를 정확하게 볼 수 있는 분석들은 아니지만 동향을 확인 할 수 있다는 점에서 인용된 자료들은 충분한 근거를 제시하고 있다.

 

노력하고 준비하지 않으면 이제는 더 나아가기 힘든 상황이 올 것이다. 보안은 완벽하게 막기 위해 존재하는 것이 아니라 이미 알려진 것들에 대해서는 막을 수 있도록 하고 피해를 최소화하며 빠르게 대응을 하는 것이 핵심이다.

 

국내는 완벽하게 막는 것이 보안인 것으로 종종 오해를 한다. 현실은 가혹하다. 더 많은 비용과 인력을 투입하고서도 완전해 지지 못하는 세계적 기업과 기관, 국가들이 많다. 공격 기술과 방어기술의 차이는 점점 더 벌어 질 수 밖에 없는 구조라 앞으로 더 어려움이 있을 것이다.

 

내일을 살펴 보려 하지 않고 준비하지 않는 자에게는 지금이 마지막의 시작일 수도 있을 것이다. – 다음 컬럼에 계속

 

- 바다란 세상 가장 낮은 곳의 또 다른 이름

Posted by 바다란