태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

아.. 별건 아닙니다.

 

그냥 객관적으로 생각 할 수 있는 부분까지 생각을 해보고 가다듬어 보고자 하는 차원에서 간단하게 글 써봅니다.

어제 올린 해커 관련 기사에 붙은 글에 추가적으로 예전에 읽었던 기사와 관련된 부분도 있어서 한번 더 추가적인 내용이 필요할 것 같아서 올립니다.

 

http://www.donga.com/docs/magazine/shin/2005/10/24/200510240500033/200510240500033_1.html

 

신동아 2005년 11월호에 나온 기사입니다.

 

 

이 기사에 나온 내용으로 유추를 할 수 있는 부분과 폐쇄되고 고립된 환경에서 선택할 수 있는 방안들에 대해서 언급을 간단히 하도록 하겠습니다.

 

일단 폐쇄된 환경이라는 점은 공격에 유리한 점을 가지게 마련입니다. 그 어떤 제약도 없고 정부 및 기관 자체에서도 그런 면을 독려하게 되죠. 기사에서 보면 MS와 숨결을 같이 한다라는 내용이 있습니다. 이 부분의 의미는 Reverse Engineering을 의미합니다.

 

모든 Binary에 대해서 분석을 한다는 의미이죠. 충분히 가능합니다. 실행 프로그램을 구하는 것도 어렵지 않고 중국을 통해서도 아주 손쉽게 구할 수 있을 것입니다.

 

90년대 후반 부터 시작했으니 GUI 계열의 Window 시리즈 부터 시작 했겠죠. 그리고 Linux도 마찬가지이고.. 소수의 영재들에게 무한한 자원과 자유를 주고 마음껏 해보도록 하였으니 공격 기술 및 분석 기술에 관한한 최고의 레벨에 도달 했을 것이라 유추 하는 것이 가능합니다. 또한 정보의 습득이야 모든 것을 인터넷을 통해 얻고 배울 수 있는 시점이니 간단한 영어 독해 정도만 하여도 충분히 가능할 것입니다.

 

Windows 의 모든 구조 및 하부 실행 단위까지 깊숙하게 진행 되었을 수 있으며 단위별로는 Binary를 리버싱 하여 어셈블리 단위 -> 어셈블리 코드를 pseudo code 단위의 C 레벨 코드 까지 생성해 두었을 것입니다. 그리고 리버싱을 하면서 기본적으로 알려진 취약성들에 대해서 다양한 방안에 대해서 찾아 보았을 것이므로 충분히 많은 문제점들을 발견하고 이용을 할 수 있을 것입니다.

 

중국의 자유 분방함과 통제의 어려움으로 인한 집중 , 인력풀의 다양함 등은 많은 Geek들을 탄생 시켰을 것이고 또한 이러한 geek들은 금전과 결합된 부분 또는 지켜야할 것들이 많은 곳으로 자리를 옮겨 새로운 시도를 하느라 전문성이 다소 무뎌졌을 수 있습니다.

 

* Geek - 출처 네이버 영어사전 : geek

 n.
1 괴한 짓을 하는 흥행사
2·속어괴짜, 기인, 변태[이상(異常)](pervert)
3컴퓨터 (通)[(狂)]

 

그러나 완벽하게 통제된 사회에서는 어떻게 될까요?. 기사에서 언급하듯이 그런 업무에 종사한다는 것조차 조직 및 국가에서 영예라고 생각하는 곳에서는 당연히 보다 더 깊숙하게 또 끊임없이 파고 들었을 것이라 손쉽게 예측이 가능합니다.

 

새로운 취약성에 대한 발견과 이를 이용한 공격등 .. 다양한 부분으로 발현이 되겠죠.

 

최소한 MS 의 패치 시점에 나온 패치 내용에 대한 분석과 회피 방안.. 어떤 유형으로 패치가 되었다 정도는 나오는 시점과 시간 차이 얼마 없이 알아낼 정도가 될 것입니다.  분석을 하면 되니 말입니다. 숙달된 전문가에게는 그리 어렵지 않은 작업이고 단순한 업무일 뿐일 것입니다.

 

가히 공격이나 분석에는 통달한 geek들이 다수 분포해 있을 것으로 보입니다. 전략화된 무기급이라 볼 수 있을 것입니다.

 

지켜야할 대상이 많은 곳들은 그만큼 어려움이 있을 수 밖에 없습니다. 보안전문가와 리버싱 전문가..그리고 공격에 특화된 전문 인력들간의 차이는 점차 켜져 갑니다. 기술의 차이는 차이대로 벌어지고 보는 관점도 달라질 수 밖에 없습니다.

 

정리합니다.

 

폐쇄되고 목적이 분명한 집단에서의 발전 가능성이 있는 부분은 다음과 같이 예상됩니다.

리버싱에 특화된 인력 집단 , 취약 부분에 대한 정보를 습득하고 지속적으로 찾는 집단 , 공격 기법의 발달을 추구하는 집단 ..

위의 세부류로 규정이 가능할 것 같습니다. 부대라고 칭하기에는 뭐하지만 세 집단이 체계적으로 움직여서 군을 이루고 있을 가능성이 가장 높지 않나 생각 됩니다.

 

C가 중요하다는 점은 기반 프로그래밍의 중요성을 언급하는 것과 마찬가지 이며 C를 완전히 분석한다는 의미는 시스템 및 시스템 기반위의 시스템 프로그래밍에 대한 이해가 일정 수준을 만족한다는 이야기 입니다. 최적화 그리고 체계화된 프로그래밍 구조를 가지고 있는 C는 하드웨어 접근 및 가독성이 높은 체계화된 소프트웨어를 구축하는데 기본이 됩니다. 하나의 컴퓨터 언어를 이해한다는 것은 하드웨어 레벨의 시스템 프로그래밍 + 활용 구조의 이해 + 네트워크의 구조 이해 등이 함께 이루어 져야만 가능합니다. 마찬가지 관점에서 기사의 논조를 이해하면 될 것 같습니다.

 

보안전문가란 무엇일까요? ..여러 부류가 있을 수 있습니다만.. 가장 이상적인 보안전문가는 공격에 대한 이해 , 프로그래밍 능력, 네트워크 구조 및 기능에 대한 이해 , 합리적인 판단 능력 및 결단력 , 추진력, 공격자 수준에 합당하는 추적 능력 및 대응 능력의 보유가 아닐까 생각 됩니다.

 

지원이 없고 단순한 생계 유지를 위한 방편으로 보안전문가의 길을 간다는 것은 매우 어렵습니다. 커버해야될 범위의 넓음은 차지하더라도 매우 빠르게 변하는 흐름을 따라가는 것 조차도 벅찹니다. 그러나 세분화된 역할을 지니고 충만한 자부심 그리고 지원이 따른다면 많은 발전도 가능하겠지만 특수한 환경에서나 그럴 수 있을 것입니다. 그 특수한 환경이 발달된 곳이 기사에서 언급한 곳의 집단이라 생각 됩니다.

 

그렇다면 우리에겐 그런 전문가가 없느냐?.. 그렇지 않습니다.

충분히 많은 수의 전문가들이 자생적으로 태어났고 현재도 각 분야에서 일을 하고 있습니다만 지켜야할 분야가 너무 많다보니 눈에 보이지 않을 뿐입니다. 지켜야할 대상이 많다는 것은 그만큼의 어려움을 가중 시키고 집중도 어렵게 만듭니다. 

 

공격집단의 역할 세분화 및 기술의 진보는 여전히 빠르고 향후의 근 미래에서는 더욱 큰 위험요소로 전세계에 대두 될 것입니다. 대응은 여전히 미미한 상황일 뿐이고..

 

대책은 과연 무엇이 있을까요?

 

최소한의 규칙을 지키는 자유분방한 토론의 장 ? 그리고 전문가에 대한 대우? .. 똑 같은 이야기를 몇년전 부터 계속 해오고 있지만 여전히 한계의 벽은 존재합니다.  국가차원에서도 전문 인력들의 소통 통로와 정보 교류의 자리 그리고 활발한 학문적 또는 실제적인 토론이 가능한 채널이 존재해야만 일정 수준 이상의 전문가 확보가 가능할 것이고 활발한 전문가들의 활동에 따라 리딩이 되어야만 유사시의 대응이 달라질 수 있을 것으로 보입니다. 이미 기술로서 해결 할 수 있는 단계는 한참 지나지 않았나 하는 생각입니다.

 

 

기업 차원에서도 마찬가지 이겠죠. 지켜야 할 것들이 존재하는 한 전 세계에 존재하는 사이버 위협으로 부터 대비를 하고 준비를 하기 위한 노력이 필요할 것입니다. 보안장비는 기본이고 변화하는 위협을 준비하는 그런 자세도 필요 할 것입니다.

 

좀 더 상세하고  심층적으로 쓰고 싶지만 .. 다음 기회에 또 다른 내용으로 뵙도록 하겠습니다.

 

해커의 길이란 오래전에 쓴 글을 보시면 위에 언급한 학습의 내용 및 방향에 대해서 일정정도 이해가 가능할 것입니다.

 

http://blog.naver.com/p4ssion/40013433481  - 해커의 길 I

http://blog.naver.com/p4ssion/40013433456  - 해커의 길 II

 

어딘가 검색해서 찾아 보시면 프로그래머의 길 이란 별도 컬럼도 있을 것입니다. 그런 내용들을 보시면 일정 수준 이상의 요구 사항 및 위의 장황한 기사에서 언급된 내용들에 대해 보실 수 있을 것으로 보입니다.

 

좋은 하루 되세요.

 

 

* 이제 보안전문가의 길 이란 컬럼을 쓸 때가 된 것 같네요..


Posted by 바다란

http://news.naver.com/news/read.php?mode=LSD&office_id=213&article_id=0000003507&section_id=100&menu_id=100

 

위의 기사입니다. 시사매거진 2580에서 방송을 하였었죠. 저도  잠시 봤었습니다만..^^; 생각보다 근본적인 내용은 없고 두리뭉실한 내용만이 있다고 판단 됩니다.

 

오늘도  가볍게 생각나는대로 자판가는대로 한번 더 써보도록 하겠습니다.

 

기사내용을 보면 북한 해커 부대가 존재하고 공격이 다수 있었다고 하였습니다. 또 유형을 보면 [ 기사 면면을 살펴보면 ] 이메일을 통한 악성코드 [ 신규 취약성을 이용한 것이겠죠.. ^^ 알려지지 않은..새로운 취약성] 전파를 통해 개인 PC를 조정하는 것으로 볼 수 있습니다. 즉 중요시스템에 대한 침입은 일정부분 커버가 되고 있다보니 개인PC를 통한 주된 공격이 발생 하는 것이죠.

 

어제 올려 드린 KISA에서의 발표자료에서 보듯이 공격대상이나 범위가 많이 달라졌습니다. 온라인 게임을 예로 들면 직접 게임사를 공격하는 범주에서 보안이 강화되고 여러 절차를 통과해야 하다보니 [ 사실은 전문 인력들이 투입 되어 상당부분 변경이 되고 전문성이 높아져서 난이도가 매우 어려워졌다는 점에 있습니다.] 개인 PC 단위를 집중공격하는 것이 늘어난 현상을 지난해 부터 볼 수 있습니다. 이 부분은 중요 시설에 대한 공격 동향의 변화에도 진작에 적용이 되었을 것입니다. 중요 인물에 대한 개인 PC 공격 및 정보 유출하기에 가장 좋은 방안은 이메일을 통한 악성코드 설치 유도 이고 설치 이후의 특정단어를 검색하여 중요 문서들을 외부에 전송하게 만드는 방식이 가장 효율적이라 볼 수 있을 것입니다.

 

비슷한 유형에 대한 테스트를 2~3년전쯤..모 보안회사에 근무할때 모사를 위해 제작을 한 적이 있습니다. 그 내용은 여기에서 처음 말씀 드리면 다음과 같습니다.

 

1. 각종 백신들을 설치한 이후 바이러스 코드를 작성한 이후 테스트 한다.

2. 바이러스 코드의 내용은  스크립트 혹은 자동 실행 되는 유형으로 작성한다. [ 이때 작성한게 워드의 매크로 , 스크립트 , 최근엔 mhtml 유형]

3. 백신 4~5가지 정도에서 감지 결과를 확인 한다.[ 백신만 더 있다면 다 테스트 합니다. ^^ .. 조금만 변형해도 안걸리는 유형 다수]

4. 감지 안될 경우 조금씩 변형을 하여 여러 유형을 만들어 둔다.

5. 해당 스크립트의 내용은 개인 PC에서 특정 단어를 검색하여 단어가 포함된 문서를 지정된 이메일 및 FTP 서버로 올려둔다..

6. 해당 PC에는 취약성 존재하며 개인 사용자의 보안의식 부재라는 표식을 남겨둔다.

 

이중에서 5번에 해당되는 내용은 너무 무리하는듯 싶어.. 실제 실행시에는 제거를 하였죠.

그때 당시 제작만 했었고 [ 이것도 3일동안 날림으로 만들었습니다. ㅠ,ㅠ] 테스트는 직접 못하였는데 매년마다 정기적으로 보안의식 점검 수행시에 사용을 한다고 합니다. 그 결과를 한 술자리에서 들을 수 있었는데 자극적인 제목이나 중요정보라고 표시된 메일의 경우 6~70% 가량의 문제점이 초기에 발생 되었다고 합니다. 이 의미는 그 PC에 대한 전체 제어권을 언제든 가질 수 있다는 내용이겠죠.

 

국내에서도 을X훈련이라고 국가기관에 대해 시행하는 사이버 훈련이 존재 합니다. 이 훈련기간에는 보안 관련 업체들은 매우 바쁘죠. 어떤 업체는 테스트를 하기도 하고.. 국가기관을 모니터링 하는 업체는 대응을 하기도 하고 하느라 매우 바쁩니다. 이 훈련기간중에도 유사 내용이 메일을 통해 테스트 되기도 합니다. [ 몇 해전 모 국가기관에서 ORG를 사칭한 메일로 인해 기사화 되기도 하고 사과를 하기도 한 기사도 있습니다. ^^]

 

자 위와 같이 개인에 대한 PC 공격을 제가 알고 경험한 범위 내에서 정리를 해보았습니다.

현재에는 과연 어떨까요?.

 

보안의식을 지니지 못한 개인에게는 거의 재앙과도 같은 결과가 나옵니다. 보안제품이 아무리 뛰어나다 하여도 이런 제품들은 기본적으로 signature base 입니다. 즉 공격코드의 기본 유형 검사를 통해 진단을 한다는 점입니다. 따라서 걸러지는 것은 알려진 위험에 대해서만 100% 처리가 될 뿐이고 알려지지 않은 신형의 위험에 대해서는 0% 입니다.

 

최근들어 MS Office 군에 대한 신규 취약성 발표가 매우 증가 하고 있습니다. 이 부분도 시사할 점들이 있습니다. Office 군에 대한 취약성은 대부분 개인 PC 공격에 사용이 될 수 있습니다. 개인 PC에 대한 제어권 획득에 중요한 역할 을 할 수 있습니다.  취약성은 어떻게 찾아낼까요?. 개발업체가 똑똑해서 스스로 문제를 찾을까요?.. 절대 그렇지 않습니다.

외부의 제보 혹은 문제가 발생된 이후 사안을 분석한 결과 새로운 취약성이라고 판단되어 취약성에 대해 패치가 이루어 지고 취약성이 있다고 인정하게 되는것이 대부분입니다.  그만큼 많은 위험에 처해 있다고 볼 수 있을 것 입니다.

 

기밀의 보호를 위해서는 문서보안 솔루션등 다양한 방안들이 고민되고 현재 사용이 되는 것도 마찬가지 맥락이라 볼 수 있을 것입니다.

 

아.. 사설이 길었습니다. 가볍게 쓴다는 것이..그만...

 

북한해커 부대에 대해 나온 기사중에 의미 있는 기사는  단 한 부분입니다. 각 영역별로 담당자가 존재한다는 점. 이 부분은 참 매서운 내용입니다. 회사내의 또 기관내의 그 누구도 한 부분에서 지속적으로 관찰하고 대응한다는 점은 어렵습니다. 그러나 공격자들은 그런 부분을 한다는 것이죠. 네트워크 단위의 미묘한 변화나 설정 변경 그리고 작업 내역등에 대해서 오랜기간 작업을 하고 작업자의 사고까지도 추측을 하고 추정을 합니다.  이런 전문인력이 전담을 하고 오랜기간 관찰 하였다면 이 부분은 헛점이 드러날 수 밖에 없는 부분입니다.

 

어디든 완벽한 시스템과 완벽한 보안체계는 없습니다. 미 국방성의 경우도 보안의식을 지니고 체계적인 프로세스 및 방안을 인지하는 직원 비율이 30%를 갓넘는 다고 합니다. 하물면 일반기업은 오죽 하겠습니까?.. 그런 빈틈 하나가 큰 구멍을 만들고 중요한 시국에는 댐을 무너뜨리는 역할을 하는 것이겠죠.

 

그렇다면 대안은?..

 

Security라는 점을 전술적으로 이해를 하는 것이 필요합니다. 단기전술과 장기전술이 있고 또 전략적으로 안정적인 포지셔닝을 하기 위해 가장 중요한 요소라는 점을 인지해야만 가능합니다. 기업이든 국가든 기관이든 마찬가지 입니다. 공격자의 입장이 아닌 방어자의 입장에서 보면 그렇습니다. 전술적으로 가치를 지니는 지점에는 강화되고 전문화된 인력집단을 활용하여 체계적인 대응 및 일사분란한 Process 만이 위험요소를 줄이게 될 것입니다.

새로운 취약성에 대한 연구도 하여야 하고 지속적인 위험 노출 범위를 위해 내부직원들에 대해 불편을 감수하게도 만들어야 하고 그리고 욕도 먹어야 합니다. 그러나 절대 뜻을 굽혀서는 안되는 이중적인 상황에 처할 수도 있습니다. 그리고 그 누구에게도 인정받지 못할 수도 있습니다. 그러나 해야만 생존이 가능합니다.  ~~

 

왠지 과격한 헤드라인을 보니 대안 부분도 조금 과격하게 나가는 것 같습니다만... 기술적인..즉 계량이 가능한 대책만 가지고는 어려우며 전략적이고도 강력한 의지가 있는 상황에서 전반적인 대응체제를 갖추는 것이 해결책이 될 수 있다고 봅니다. 그러기 위해서는 뛰어난 인력은 필수 이겠지만.. 현재 국내의 상황은 그다지 좋아 보이지만은 않습니다.

 

^^;.  오늘은 여기까지 입니다.

Posted by 바다란