태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'보안분석'에 해당되는 글 2건

  1. 2010.04.27 (1) IT서비스의 현재 위험과 Security
  2. 2010.04.27 (1) IT서비스의 현재 위험과 Security

안녕하세요. 바다란입니다.

 

전체적인 이슈 사항이 의미있고 중차대한 부분을 지니고 있어서 올리게 되는 글입니다.

개인적인 의견이므로 개인적인 의견으로 참고하시고 의견 주시면 되겠습니다.

 

IT 서비스 보호를 위한 개인 제안 -1

                                                                  Write by p4ssion.

지금의 IT 서비스는 사회 전반에 걸쳐 많은 영향력을 끼치고 있으며 생활상에 있어 지대한 영향을 미치고 있다. 모든 공공서비스 및 생활 관련된 부분에 영향을 미치고 있으며 또한 시너지 효과를 냄으로 인해 사회의 발전과 프로세스의 개선, 국가의 발전에 큰 기여를 하고 있다고 볼 수 있다. 유형/ 무형의 IT 서비스 부분에서 지금까지 가장 크게 강조된 부분은 유형의 물리적인 장비 부분이 두각 되었으나 지금도 모습을 갖추고 있는 서비스로서의 발전 부분은 향후 더욱 큰 역할을 할 것이 자명하다.

 

IT 서비스의 보호라는 관점이 왜 지금 시점에 중요한 것일까? 국내의 서비스는 시간이 지날수록 IT 서비스와 밀접한 관련을 가지게 되고 사회적으로도 더 큰 영향력을 미칠 수 밖에 없다. 단순하게 공격을 받거나 영향을 받는다는 점은 하나의 개별 서비스가 문제가 되는 것이 아니라 연관된 다른 부분들까지도 영향을 받는다는 것과 동일선상에서 볼 수가 있다.  지금까지는 보안전문 업체 및 네트워크 장비, ISP 등에서 많은 취약요소와 문제점들을 커버 하였으나 지금 서비스 보호를 위한 제안을 하는 시점에서는 한계치에 도달 했다고 판단된다. 한계치라는 것은 개별 서비스 단위에서 보호를 할 수 있는 시점이 아니라는 점이다.

 

국내의 110만여 개 이상의 웹 서비스가 활성화 되어 있고 전국민의 2/3 가량이 인터넷에 노출이 되어 있는 상황에서 시급하게 해결을 해야만 하는 문제들이 돌출 되고 있으며 초기 단계에서 해결 방안을 수립 하지 못할 경우 향후에는 더 큰 피해를 감당해야만 할 것이고 그때에는 지금 보다는 더욱 큰 충격이 있을 것으로 예상이 된다.

 

개인적인 입장에서 현재 발생 되고 있는 Security 관련 이슈들은 중대한 국면에 진입 하였으며 IT 서비스 전체에 영향을 미칠 수 있는 사안으로 볼 수가 있다. 많은 부분을 논하기 보다는 Security라는 측면에서의 위험도와 영향력을 살펴 보도록 한다.

 

크게 DDos 관점과 악성코드의 관점 두 가지 측면에서 살펴 보면 전체의 위험성이 간결하게 드러날 것이다.

 

http://www.hankyung.com/news/app/newsview.php?aid=2007062556301

올해 상반기에 있었던 에스토니아의 시스템 중단과 관련된 연관 기사이다. 에스토니아의 경우 기사에서 설명하듯이 전국민의 절반 이상이 IT 서비스를 이용한 생활을 하고 있었으나 3주간에 걸친 DDos 공격으로 인해 이동통신망 및 은행 , 공공 서비스 등이 전면 중단되었음을 확인 할 수 있다.

 

l       DDos에 대한 사전적인 정의는 여기를 참고하자.

http://terms.naver.com/item.nhn?dirId=700&docId=3305

 

일반적으로 DDos란 대량의 접속 요구를 시스템에 집중 시켜 정상적인 처리를 하지 못하도록 하는데 있다. 다만 2000년 초에 있었던 DDos 유형과 지금의 DDos 유형과의 차이점은 보다 더 교활해 졌다는 점에 차이가 있으나 근본 유형은 동일하다 할 수 있다. 변화된 유형에 대해서는 포괄적인 방식과 유형에 대해서만 간략화 하도록 한다.

일반적인 사용자들이 알고 있는 유형의 서비스 거부 공격은 DoS 공격이며 하나 혹은 소수의 시스템에서 과다 접속을 일으키는 유형이다. 해당 유형은 대부분 네트워크 장비나 보안 장비에 의해서 걸러지며 전체 시스템에 영향을 미치는 비율은 매우 미미하다. 그러나 현재에 발생되고 있는 유형은 대규모 시스템을 동반하는 DDos가 일반적인 유형이다.

 

최근 가장 이슈가 되고 있는 아이템 거래 업체에 대한 DDos 유형은 특이할 만한 사항이 존재한다. 이 특이 사항으로 인해 본 제안을 작성하게 되었다.

 

http://www.inews24.com/php/news_view.php?g_serial=289309&g_menu=020500

http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1000325793

 

아이템 거래 업체에 대한 DDos 공격으로 인해 추석 이전부터 3주 가까이 모든 아이템 거래 업체의 서비스가 중지 되었으며 일부 업체는 ISP와의 계약 해지가 되기도 하였다. ISP의 계약해지는 전체 ISP내의 가입자를 보호하기 위한 조치이나 서비스 산업을 붕괴시킬 수도 있는 단초를 제공하고 있다.

 

이번 DDos 공격의 특징은 다음과 같다.

 

l       대량의 국내 DDos Agent 운용

l       국내의 개인 PC DDos Agent 유포를 위해 웹 해킹을 사용함

l       컨트롤 서버를 찾기 어렵도록 다단계 형태의 컨트롤을 사용함

n         상위 명령 서버 -> 여러 단계 , 수십 대의 중간 컨트롤 서버 -> 최종 Agent

l        트래픽 랭킹 100위 이내의 업체에 대한 과감한 공격

l       실시간 공격 유형의 변화 UDP, TCP , ICMP

 

일반적인 기사로 보면 중국에서 해당 트래픽이 유입된 것으로 오해하기가 쉽다. 그러나 현재 발생하고 있는 DDos 공격은 국내에서 대부분 발생이 되고 있다. 다만 해외에서 컨트롤을 하고 있는 유형이며 국내의 취약한 서비스들을 통해 다수의 불특정 사용자에게 악성코드를 유포하고 있으며 기존의 사용자 정보의 탈취에서 벗어나 시스템에 대한 완벽한 제어 , 실시간 통제, DDos 공격 기능 과 같은 종합적인 기능이 포함된 악성코드를 통해 IT 서비스 전체를 위협하고 있음을 알 수 있다.

이번 2007 9월부터 시작된 DDos 공격 유형은 이미 지난해부터 금전을 요구하는 DDos 해킹이 일반적으로 있었으나 이번에는 공개적으로 드러내 놓고 진행 했다는 점이 차이가 있다. 그만큼 운용 도구의 폭과 공격의 유형을 다양화 해 놓았을 것으로 판단된다.  이번 공격에서 유추된 기존의 DDos와의 차이점은 다음과 같다.

 

l       실시간 통제

n         기존의 IRC Bot과도 유사하다고 볼 수 있다. Virut 바이러스도 특정 사이트에 대한 DDos 공격 유형을 가지고 있었으나 고정된 주소와 고정된 공격 유형을 가지고 있었다는 점이 다르다. 즉 실시간 통제가 된다는 이야기는 공격 대상의 변경과 공격 방법의 변경이 실시간으로 가능하다는 점이며 이 실시간 통제로 인해 기존의 DDos 대응 방법으로는 대응에 어려움이 존재하였을 것이다. 그래서 트래픽 규모로 상당한 수준에 있는 사이트 임에도 불구하고 속수무책 이였을 것으로 예상된다. 공격하는 Agent를 실시간으로 다양한 트래픽의 공격을 수행하는 것이 가능. TCP , UDP , ICMP 각각에 대해 공격 유형이 있을 수 있으며 고정된 패턴을 가지지 않다 보니 차단과 식별에 어려움이 존재 하였을 것이다. 또한 공격 IP를 위조함으로써 차단 및 식별에 혼선을 많이 주었을 것이다.

n         명령 서버와 Control 서버의 분리 및 다수의 중간 명령 서버 활용 하여 공격이 사이트 차단으로 인해 중단 되는 점을 예상하고 대응 방안을 수립하였다. 정확하게 이번 이슈와 관련하여 중간 전달 서버가 몇대가 존재하는 지는 정확한 파악이 어려울 것으로 보인다. 또 컨트롤이 직접 가능하다는 점에 있어서 수시 변경이 가능한 부분이다.

 

l       Web을 통한 DDos 공격 모듈의 유포

n         보다 진보된 공격 유형의 하나로 볼 수 있다. 이전까지의 웹을 통한 악성코드 유포는 사용자 정보 획득을 위한 동향으로 확인을 할 수 있는데 이제는 Web을 통한 악성코드 유포가 DDos 기능 및 원격 컨트롤 기능까지도 보유함을 볼 수 있다. 지금까지의 대응 방식으로는 한계를 보일 수 밖에 없으며 신규 유형의 악성코드일 경우 ( 기존 AV 업체들이 발견된 샘플에 대해서만 대응을 한다고 보았을 때 사용자의 시스템에 특별한 영향을 주지 않거나 인지가 어려운 악성코드의 경우 발견 및 탐지, 대응이 매우 어려울 것으로 예상된다.) 폭 넓은 전파 범위를 지님으로 인해 빠른 시간에 최대의 효과를 거둘 수 있는 공격유형으로 정의가 가능하다.

l       트래픽 랭킹 상위 업체에 대한 노골적인 공격

n         그동안 DDos 공격이 이루어진 업체는 드러내 놓고 사업을 하기 어려운 부분의 서비스 업체이거나 영세 업체가 주를 이루었으나 아이템 거래 업체에 대한 공격은 트래픽 상위랭킹에 포진한 업체를 대상으로 과감하게 이루어졌고 3주 이상을 정상 서비스를 불가한 상태로 몰아 넣은 것으로 볼 때 향후에는 ( 머지 않아..) 그 이상의 상위 랭킹 서비스 업체에도 영향 및 파급효과가 있을 것이다. 더욱이 더 이상 노출 되는 것을 두려워 하지 않는 대담한 공격은 지금까지의 작은 업체들에 대한 공격을 통해 대응이 어려움을 인지한 것도 영향이 있을 것이다. 지금까지 DDos 측면에 대한 대응 측면에서 트래픽의 과다한 유입을 해소하는 측면에만 방향성을 맞추었는데 더 이상 물리적으로 해결이 어려운 상태에 도달 하였고 이 점은 국지적인 대응이 아닌 전체 서비스 차원의 일원화된 대응이 필요함을 상기 시킨다. ( 이 부분에 대한 내용은 마지막 Article에서 단계별로 나누어 설명을 하도록 한다.)

 

앞서 언급한 세 가지의 특징으로 미루어 보아 Attack Trend를 갱신 해야 할 필요성을 느꼈으며 갱신된 결과는 다음과 같다.

그동안 알려진 일반적인 공격 유형에서 Hybrid DDos Attack이 추가 되었으며 Hybrid라는 의미에는 프로토콜의 자유자재 변경만이 있지는 않다. 명령 서버와 컨트롤 서버를 이용한 구조 및 실시간 통제가 가능한 점에서 기존의 획일화된 공격 Agent와 다른 유형을 포함한다. 또한 유포 방법에 있어서도 웹을 통한 악성코드 유포가 사용이 되어 보다 더 폭넓고 불특정 다수에 대한 공격코드의 설치가 가능해진 점도 Hybrid라는 의미에 포함 될 수 있다.

공격 기법적인 측면에서는 다음과 같이 볼 수 있다.

 

붉은색으로 표시된 부분을 보면 자동화된 툴을 사용함으로 인해 공격자들의 수준이 낮아졌으나 현재는 우회 혹은 컨트롤 하는 기법들이 복합화 됨에 따라 지식수준도 상향 되고 있는 것으로 보인다. 웹을 통한 악성코드 유포에 DDos 기능까지 첨가된 악성코드가 웹을 통해 유포됨으로 인해 현재의 서비스 환경은 아는 자들에게는 재앙과 같은 현실이고 그렇지 않은 자들에게는 답답한 현실이다.

...계속.

Posted by 바다란

댓글을 달아 주세요

안녕하세요. 바다란입니다.

 

전체적인 이슈 사항이 의미있고 중차대한 부분을 지니고 있어서 올리게 되는 글입니다.

개인적인 의견이므로 개인적인 의견으로 참고하시고 의견 주시면 되겠습니다.

 

IT 서비스 보호를 위한 개인 제안 -1

                                                                  Write by p4ssion.

지금의 IT 서비스는 사회 전반에 걸쳐 많은 영향력을 끼치고 있으며 생활상에 있어 지대한 영향을 미치고 있다. 모든 공공서비스 및 생활 관련된 부분에 영향을 미치고 있으며 또한 시너지 효과를 냄으로 인해 사회의 발전과 프로세스의 개선, 국가의 발전에 큰 기여를 하고 있다고 볼 수 있다. 유형/ 무형의 IT 서비스 부분에서 지금까지 가장 크게 강조된 부분은 유형의 물리적인 장비 부분이 두각 되었으나 지금도 모습을 갖추고 있는 서비스로서의 발전 부분은 향후 더욱 큰 역할을 할 것이 자명하다.

 

IT 서비스의 보호라는 관점이 왜 지금 시점에 중요한 것일까? 국내의 서비스는 시간이 지날수록 IT 서비스와 밀접한 관련을 가지게 되고 사회적으로도 더 큰 영향력을 미칠 수 밖에 없다. 단순하게 공격을 받거나 영향을 받는다는 점은 하나의 개별 서비스가 문제가 되는 것이 아니라 연관된 다른 부분들까지도 영향을 받는다는 것과 동일선상에서 볼 수가 있다.  지금까지는 보안전문 업체 및 네트워크 장비, ISP 등에서 많은 취약요소와 문제점들을 커버 하였으나 지금 서비스 보호를 위한 제안을 하는 시점에서는 한계치에 도달 했다고 판단된다. 한계치라는 것은 개별 서비스 단위에서 보호를 할 수 있는 시점이 아니라는 점이다.

 

국내의 110만여 개 이상의 웹 서비스가 활성화 되어 있고 전국민의 2/3 가량이 인터넷에 노출이 되어 있는 상황에서 시급하게 해결을 해야만 하는 문제들이 돌출 되고 있으며 초기 단계에서 해결 방안을 수립 하지 못할 경우 향후에는 더 큰 피해를 감당해야만 할 것이고 그때에는 지금 보다는 더욱 큰 충격이 있을 것으로 예상이 된다.

 

개인적인 입장에서 현재 발생 되고 있는 Security 관련 이슈들은 중대한 국면에 진입 하였으며 IT 서비스 전체에 영향을 미칠 수 있는 사안으로 볼 수가 있다. 많은 부분을 논하기 보다는 Security라는 측면에서의 위험도와 영향력을 살펴 보도록 한다.

 

크게 DDos 관점과 악성코드의 관점 두 가지 측면에서 살펴 보면 전체의 위험성이 간결하게 드러날 것이다.

 

http://www.hankyung.com/news/app/newsview.php?aid=2007062556301

올해 상반기에 있었던 에스토니아의 시스템 중단과 관련된 연관 기사이다. 에스토니아의 경우 기사에서 설명하듯이 전국민의 절반 이상이 IT 서비스를 이용한 생활을 하고 있었으나 3주간에 걸친 DDos 공격으로 인해 이동통신망 및 은행 , 공공 서비스 등이 전면 중단되었음을 확인 할 수 있다.

 

l       DDos에 대한 사전적인 정의는 여기를 참고하자.

http://terms.naver.com/item.nhn?dirId=700&docId=3305

 

일반적으로 DDos란 대량의 접속 요구를 시스템에 집중 시켜 정상적인 처리를 하지 못하도록 하는데 있다. 다만 2000년 초에 있었던 DDos 유형과 지금의 DDos 유형과의 차이점은 보다 더 교활해 졌다는 점에 차이가 있으나 근본 유형은 동일하다 할 수 있다. 변화된 유형에 대해서는 포괄적인 방식과 유형에 대해서만 간략화 하도록 한다.

일반적인 사용자들이 알고 있는 유형의 서비스 거부 공격은 DoS 공격이며 하나 혹은 소수의 시스템에서 과다 접속을 일으키는 유형이다. 해당 유형은 대부분 네트워크 장비나 보안 장비에 의해서 걸러지며 전체 시스템에 영향을 미치는 비율은 매우 미미하다. 그러나 현재에 발생되고 있는 유형은 대규모 시스템을 동반하는 DDos가 일반적인 유형이다.

 

최근 가장 이슈가 되고 있는 아이템 거래 업체에 대한 DDos 유형은 특이할 만한 사항이 존재한다. 이 특이 사항으로 인해 본 제안을 작성하게 되었다.

 

http://www.inews24.com/php/news_view.php?g_serial=289309&g_menu=020500

http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1000325793

 

아이템 거래 업체에 대한 DDos 공격으로 인해 추석 이전부터 3주 가까이 모든 아이템 거래 업체의 서비스가 중지 되었으며 일부 업체는 ISP와의 계약 해지가 되기도 하였다. ISP의 계약해지는 전체 ISP내의 가입자를 보호하기 위한 조치이나 서비스 산업을 붕괴시킬 수도 있는 단초를 제공하고 있다.

 

이번 DDos 공격의 특징은 다음과 같다.

 

l       대량의 국내 DDos Agent 운용

l       국내의 개인 PC DDos Agent 유포를 위해 웹 해킹을 사용함

l       컨트롤 서버를 찾기 어렵도록 다단계 형태의 컨트롤을 사용함

n         상위 명령 서버 -> 여러 단계 , 수십 대의 중간 컨트롤 서버 -> 최종 Agent

l        트래픽 랭킹 100위 이내의 업체에 대한 과감한 공격

l       실시간 공격 유형의 변화 UDP, TCP , ICMP

 

일반적인 기사로 보면 중국에서 해당 트래픽이 유입된 것으로 오해하기가 쉽다. 그러나 현재 발생하고 있는 DDos 공격은 국내에서 대부분 발생이 되고 있다. 다만 해외에서 컨트롤을 하고 있는 유형이며 국내의 취약한 서비스들을 통해 다수의 불특정 사용자에게 악성코드를 유포하고 있으며 기존의 사용자 정보의 탈취에서 벗어나 시스템에 대한 완벽한 제어 , 실시간 통제, DDos 공격 기능 과 같은 종합적인 기능이 포함된 악성코드를 통해 IT 서비스 전체를 위협하고 있음을 알 수 있다.

이번 2007 9월부터 시작된 DDos 공격 유형은 이미 지난해부터 금전을 요구하는 DDos 해킹이 일반적으로 있었으나 이번에는 공개적으로 드러내 놓고 진행 했다는 점이 차이가 있다. 그만큼 운용 도구의 폭과 공격의 유형을 다양화 해 놓았을 것으로 판단된다.  이번 공격에서 유추된 기존의 DDos와의 차이점은 다음과 같다.

 

l       실시간 통제

n         기존의 IRC Bot과도 유사하다고 볼 수 있다. Virut 바이러스도 특정 사이트에 대한 DDos 공격 유형을 가지고 있었으나 고정된 주소와 고정된 공격 유형을 가지고 있었다는 점이 다르다. 즉 실시간 통제가 된다는 이야기는 공격 대상의 변경과 공격 방법의 변경이 실시간으로 가능하다는 점이며 이 실시간 통제로 인해 기존의 DDos 대응 방법으로는 대응에 어려움이 존재하였을 것이다. 그래서 트래픽 규모로 상당한 수준에 있는 사이트 임에도 불구하고 속수무책 이였을 것으로 예상된다. 공격하는 Agent를 실시간으로 다양한 트래픽의 공격을 수행하는 것이 가능. TCP , UDP , ICMP 각각에 대해 공격 유형이 있을 수 있으며 고정된 패턴을 가지지 않다 보니 차단과 식별에 어려움이 존재 하였을 것이다. 또한 공격 IP를 위조함으로써 차단 및 식별에 혼선을 많이 주었을 것이다.

n         명령 서버와 Control 서버의 분리 및 다수의 중간 명령 서버 활용 하여 공격이 사이트 차단으로 인해 중단 되는 점을 예상하고 대응 방안을 수립하였다. 정확하게 이번 이슈와 관련하여 중간 전달 서버가 몇대가 존재하는 지는 정확한 파악이 어려울 것으로 보인다. 또 컨트롤이 직접 가능하다는 점에 있어서 수시 변경이 가능한 부분이다.

 

l       Web을 통한 DDos 공격 모듈의 유포

n         보다 진보된 공격 유형의 하나로 볼 수 있다. 이전까지의 웹을 통한 악성코드 유포는 사용자 정보 획득을 위한 동향으로 확인을 할 수 있는데 이제는 Web을 통한 악성코드 유포가 DDos 기능 및 원격 컨트롤 기능까지도 보유함을 볼 수 있다. 지금까지의 대응 방식으로는 한계를 보일 수 밖에 없으며 신규 유형의 악성코드일 경우 ( 기존 AV 업체들이 발견된 샘플에 대해서만 대응을 한다고 보았을 때 사용자의 시스템에 특별한 영향을 주지 않거나 인지가 어려운 악성코드의 경우 발견 및 탐지, 대응이 매우 어려울 것으로 예상된다.) 폭 넓은 전파 범위를 지님으로 인해 빠른 시간에 최대의 효과를 거둘 수 있는 공격유형으로 정의가 가능하다.

l       트래픽 랭킹 상위 업체에 대한 노골적인 공격

n         그동안 DDos 공격이 이루어진 업체는 드러내 놓고 사업을 하기 어려운 부분의 서비스 업체이거나 영세 업체가 주를 이루었으나 아이템 거래 업체에 대한 공격은 트래픽 상위랭킹에 포진한 업체를 대상으로 과감하게 이루어졌고 3주 이상을 정상 서비스를 불가한 상태로 몰아 넣은 것으로 볼 때 향후에는 ( 머지 않아..) 그 이상의 상위 랭킹 서비스 업체에도 영향 및 파급효과가 있을 것이다. 더욱이 더 이상 노출 되는 것을 두려워 하지 않는 대담한 공격은 지금까지의 작은 업체들에 대한 공격을 통해 대응이 어려움을 인지한 것도 영향이 있을 것이다. 지금까지 DDos 측면에 대한 대응 측면에서 트래픽의 과다한 유입을 해소하는 측면에만 방향성을 맞추었는데 더 이상 물리적으로 해결이 어려운 상태에 도달 하였고 이 점은 국지적인 대응이 아닌 전체 서비스 차원의 일원화된 대응이 필요함을 상기 시킨다. ( 이 부분에 대한 내용은 마지막 Article에서 단계별로 나누어 설명을 하도록 한다.)

 

앞서 언급한 세 가지의 특징으로 미루어 보아 Attack Trend를 갱신 해야 할 필요성을 느꼈으며 갱신된 결과는 다음과 같다.

그동안 알려진 일반적인 공격 유형에서 Hybrid DDos Attack이 추가 되었으며 Hybrid라는 의미에는 프로토콜의 자유자재 변경만이 있지는 않다. 명령 서버와 컨트롤 서버를 이용한 구조 및 실시간 통제가 가능한 점에서 기존의 획일화된 공격 Agent와 다른 유형을 포함한다. 또한 유포 방법에 있어서도 웹을 통한 악성코드 유포가 사용이 되어 보다 더 폭넓고 불특정 다수에 대한 공격코드의 설치가 가능해진 점도 Hybrid라는 의미에 포함 될 수 있다.

공격 기법적인 측면에서는 다음과 같이 볼 수 있다.

 

붉은색으로 표시된 부분을 보면 자동화된 툴을 사용함으로 인해 공격자들의 수준이 낮아졌으나 현재는 우회 혹은 컨트롤 하는 기법들이 복합화 됨에 따라 지식수준도 상향 되고 있는 것으로 보인다. 웹을 통한 악성코드 유포에 DDos 기능까지 첨가된 악성코드가 웹을 통해 유포됨으로 인해 현재의 서비스 환경은 아는 자들에게는 재앙과 같은 현실이고 그렇지 않은 자들에게는 답답한 현실이다.

...계속.

Posted by 바다란

댓글을 달아 주세요