태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'어뷰징'에 해당되는 글 3건

  1. 2010.10.07 Facebook 사건과 8억달러의 벌금 - 기사분석 (12)
  2. 2010.10.05 애플과 보안 -2
  3. 2010.09.28 애플과 보안 -1

얼마전 Facebook에서 대량의 메시지 및 어뷰징들이 있었습니다.
최근 판결난 기사를 보니 개인으로서는 상상하기 힘든 금액의 벌금을 부과 했더군요.

http://media.daum.net/digital/view.html?cateid=100031&newsid=20101007021016130&p=yonhap

최근에도 관련 이슈들이 계속 있어 왔습니다만 본 사건은 2008년에 있었던 사건입니다. 400만건이 넘는 스팸성 메시지를 페이스북 유저들에게 발송한 케이스로 벌금 부과액은 8억 달러가 넘습니다. 엄청난 금액이죠.

한가지 주의 깊게 볼 부분은 기사 내용중의 법원 판결 부분입니다.

"법원 기록에 따르면 페이스북은 쿠티에레즈가 피싱(phishing)을 통해 암호를 훔친 뒤 봇넷(botnet) 컴퓨터들을 이용해 페이스북 계정에 침입했다고 주장했다. 봇넷은 해커들에 의해 사용자도 모르는 사이에 스팸이나 바이러스 등을 전파하도록 하는 악성코드 봇(bot)에 감염된 컴퓨터 네트워크를 말한다. "

2008년에도 "애플과 보안 컬럼에서 설명 하였던 구조적 어뷰징은 존재하고 있었습니다. 이미 그 이전 부터 관련 현황을 살펴 보고 있었던 필자의 입장으로서는 좀 더 다른 해석이 가능합니다. 
문제가 되는 부분만 살펴 보겠습니다.

1.피싱을 통해 얼마만큼의 암호를 훔칠 수 있었을까요? 
2.봇넷을 이용해 페이스북 계정에 침입 할때 어떤 식으로?
3.단순한 스팸 메일 이였을까요?

위의 세가지 내용이 대표적인 문제라고 보입니다.
첫번째는 서구권에서는 아직 악성코드에 의한 정보 유출과 계정 정보의 획득에 대해 이해도가 그리 높지 않은 편입니다. 하다못해 보안 분야의 기업들 조차도 심각성에 대해 인지를 잘 못하고 있는 상황인데 법원등에서 이해를 할리 만무합니다.  일반적으로 피싱이란 메일등을 보내어 사용자가 클릭 하였을 경우 임의의 사이트로 이동을 하도록 하고 그곳에서 입력되는 정보를 공격자가 빼내어 가는 것을 말합니다. 실상 성공 비율이 높지 않으며 그 정체가 빨리 드러납니다.  그래서 Facebook에 접근하기도 전에 이미 정체가 파악이 되었을 가능성이 높습니다.

제가 보는 관점은 PC에 설치된 악성코드들을 이용해 페이스북 로그인 시에 입력되는 이메일과 패스워드를 확보 하였을 것으로 보입니다.  로그인 시의 키입력등을 가로채는 방안이 주로 사용 되었을 것입니다. ( 가로채는 방법은 하드웨어적인 키입력을 가로채는 것 이외에도 전송단계에서 가로채기, 브라우저에 올려지는 단계에서 가로채기등 다양한 기법들이 활용 되고 있습니다.) 

해외에서도 zeus 와 같은 봇넷이 활성화 되어 있고 수백만대 이상의 감염수치를 가지고 있음은 의심 할 수 없는 사실입니다.

두번째로 페이스북 계정에 침입 할때 봇넷을 이용하였다는 부분도 설명이 필요합니다. 이 부분은 첫번째 부분과 문제가 충돌 되는데 제가 보는 관점은 일단 정보 확보에만 봇넷을 이용하였을 것이고 이렇게 확보된 정보를 활용하여 몇몇 지점을 통해 페이스북에 로그인 하는 자동적인 프로그램을 활용 하였을 것입니다.

이런 자동 로그인 유형의 프로그램은 개발이 쉽고 간단한 유형이라서 그리 어렵지는 않습니다. HTTP로 전달되는 패턴만을 맞춰 주면 되기 때문이죠. facebook에 유효한 로그인 패턴을 만들고 여기에 사용자 계정 정보를 실어서 전달 하였을 것입니다. 더불어 http 상에서 동작하는 facebook 서비스의 구조 파악이 그리 어려운 것도 아니기에 간단하게 파악을 하고 어떤 식으로 활용 될지도 프로그래밍 되어 있었을 것으로 예상 됩니다.

이전의 사고조사나 샘플 수집을 통해서도 유사 사례를 많이 발견 했었기에 충분한 내용으로 보입니다.

세번째는 스팸메일 발송이라고 했지만 Facebook에서 단순히 타켓이 불분명한 대상에게 보내진 스팸을 가지고 문제를 제기 했을리는 없습니다. 이것은 내부 구조. 즉 Facebook에 등록된 Friends list를 바탕으로 facebook이 위험을 느낄만큼의 타켓화된 메시지 발송이 이루어 졌기 때문에 문제가 된 것입니다.


최종 정리하면 개인 PC에 설치된 악성코드를 통해 개인의 접속정보를 빼내어 가고. ( 비단 facebook만일까요? ..절대 아니죠.) 빼낸 정보를 가지고 facebook 로그인 절차 및 내부 친구 리스트를 이용한 메시지나 쪽지 , 게시물등을 일거에 쓰거나 발송 하는 프로그램을 돌렸을 것입니다. 

Facebook의 대응은 한 계정이나 한 IP에서 과다한 접속이 발생 했을때 통제를 가하는 방법도 하고 있을 것이고 또 경고의 의미로 소송을 걸기도 한 것이구요.. ( 그러나 악성코드를 유포 했을 경우는 소송은 무의미 하겠죠? 누가 만들고 했는지도 모를테니..)  서비스 보호를 위한 어뷰징 대응은 시간이 지날 수록 강화 될 수 밖에 없습니다. 그만큼 사용자 불편도 증가하는 현실이 되겠지만 말입니다.

기사 자체만을 보면 문제는 없지만 내용상의 전개 오류가 많이 보이고 현실을 대변하지 못하는 듯 하여 부연 설명 해 보았습니다. 구조적 문제를 이용한 어뷰징도 앞으로는 더 문제가 깊어질 것으로 보입니다. 한국내에서 유행하는 해외서비스들 대부분이 대응책이 확실하지 않기 때문에 앞으로도 장기간은 문제가 계속 될 것으로 예상됩니다.


- 바다란 세상 가장 낮은 곳의 또다른 이름







Posted by 바다란

zdnet 연재 컬럼입니다. 컬럼에서는 축약되고 생략된 부분들이 있습니다만 전체적인 맥락은 유사합니다.
여기에는 축약되지 않은 원문을 게재 합니다. 
- 앞선 애플과 보안-1편과 연계하면 이해가 좀 쉽습니다. 그래도 지금편 만으로도 이해는 충분 하실듯.
더불어 Safari 브라우저에 대한 취약성 발견 비율 증가는 애플에 대한 만만치 않은 공격들이 계속 이어 질 것임을 예고 하고 있습니다. cross platform에 대한 문제는 계속 될듯. 또 SNS의 구조적 어뷰징에 관한 문제는 zdnet 컬럼중 small world의 security 편을 참조 하시면 됩니다. http://p4ssion.com/205  이미 지금의 문제는 예상 되어 왔었고 징후는 존재 하고 있었다는점 항상 잊지 않으셨으면 합니다. 다음 편에 좀 더 상세하게 해보도록 하겠습니다.


현재 문제가 되고 있는 어뷰징은 어디에서부터 시작 되는 것일까?

 

어뷰징이라는 관점은 비정상 행위라는 관점에서 볼 수 있다. 9월에 있었던 트위터의 xss취약성의 경우에도 몇십만에 달하는 피해자가 발생 할 수 있었던 근본은 서비스 구조를 이용한 어뷰징이라 할 수 있다. 단순하게 사용자 계정을 활용한 정보탈취와 오용과도 연결이 되어 있다.

사용자의 계정정보가 유출 되었고 또 서비스의 구조적인 문제와 결합될 때 문제는 확산되고 커진다. 단순한 서비스의 취약성을 이용하였을 뿐임에도 불구하고 수십만의 사용자에게 짧은 시간에 확산된 공격은 피해의 심각성을 나타내 주고 있다.

 

구조적인 문제와 개인정보의 유출로 인한 어뷰징으로 분류 할 수 있고 구조적 문제는 서비스의 특성을 이용한 유형이며 개인정보는 유출된 계정정보를 활용하여 서비스에 혼선을 주는 것을 의미한다. 현재 유포되는 대부분의 악성코드는 사용자의 온라인 활동에 관한 중요 정보를 빼내어 가는 것이 주된 목적이다.  대규모로 계정정보를 빼낸 이후 특정 서비스에 대량으로 로그인을 한다.  여기에서 서비스 구조를 이용하여 공격을 지속적으로 확대 시켜 나가는 것이다. 이런 유형을 다른 말로는 서비스웜이라고 부를 수도 있다. 특정 서비스에 국한된 웜이라는 의미로도 볼 수 있다. 트위터에 등록된 팔로워에게 자동적으로 DM이 발송 되도록 하고 친구 혹은 메신저에 등록된 사용자에게 자동적으로 악성코드의 링크나 악성파일이 전달되는 행위 모두가 서비스 웜의 형태에 해당 된다고 볼 수 있다. 애플의 북스토어에서 판매량을 늘리기 위해 순위를 조작한다던가 하는 사안들도 가볍게 포함이 될 수 있다.

 

어뷰징의 시작은 취약한 서비스로 인한 확산 ( 트위터에 대한 XSS 공격- SNS  서비스에는 치명적인 결과를 초래한다. 금융기관에 대한 피싱공격으로 주로 사용되는 XSS 취약성은 SNS 서비스에서는 또 다른 결과를 초래 할 수 밖에 없다. ) 과 대규모 정보 유출로 인한 서비스 혼란과 연결 되어 있다. 취약한 서비스로 인한 확산은 차후에 다시 정리 하도록 하고 현재 TGIF ( Twitter, Google,  Iphone,  Facebook) 로 대변되는 글로벌 혁신의 충돌에서 가장 위험성이 높으며 현재까지 대비가 안되고 있는 부분을 먼저 살펴 보도록 하자.

 

TGIF 서비스 모두 (Iphone 의 경우는 앱스토어의 사례가 해당된다.) 서비스를 운용하고 있으며 모든 인증 기반은 사용자가 입력하는 계정정보에 따라 직관적으로 구분되어지고 영역을 가지고 있다. 즉 로그인 하는 ID/ Password 기반의 정보를 가지고 사적인 영역이 구분되어 있으며 활용이 이루어 지고 있다. 무상으로 활용 할 수 있는 서비스가 아닌 유상으로 이용 할 수 있는 서비스들이 확대되고 있는 상황에서 단순한 ID/Password 인증 이외에 활용하는 보조적인 도구들은 PC에 대한 인증 외에는 없다. 사실상  PC에 대한 인증조차도 또 한번의 확인절차에 지나지 않으며 제한적이고 구속적인 영향력을 가지지는 않는다.

 

해외의 서비스는 개인정보(이른바 주민번호)가 포함되지 않기 때문에 유출 되어도 영향력이 없을 것이라고 이야기 한다. ActiveX로 대변되는 보안도구나 서비스들도 운영 되지 않기 때문에 편리하고 표준을 준수한다고 이야기 하기도 한다.  과연 그럴까?

온라인상의 서비스에 또 다른 아이덴티티를 가지지 않은 사람은 인터넷 서비스 사용자 중에는 거의 없다. 기업의 입장에서도 마찬가지이다. 온라인상의 활동이 중요해지고 영향력을 가지는 지금에 이르러 온라인 상의 가치를 평가절하 할 수 있는 사람은 별로 없을 것이다.  유료결제가 가능한 서비스들이 활성화 되고 결제 모듈들은 단순한 사용자 정보 입력에 의해 거래가 이루어진다.  공격자에 의해 권한이 모두 획득 당한 PC에서 입력하는 모든 정보들은 공격자에게 고스란히 전해진다.  공격자는 그 정보를 분류하고 정리한 이후 어떤 방식으로 활용 할 것인지 결정 하기만 하면 된다.

 

해외의 모든 서비스들은 현재 사용자가 입력하는 정보를 일단 신뢰한다는 가정하에서 운용이 되고 있으나 그리 오래 갈 수는 없을 것이다. 도용과 오용으로 인한 사고와 문제 발생은 서비스의 입장에서도 문제가 될 수 밖에 없어서 다양한 대책들을 강구 할 수 밖에 없게 될 것이다.  대규모 공격의 피해는 국내에서 가장 극심하게 발생이 되었었다.  메신저나 블로그, 카페, 미니홈피 등에서 자신과 연결된 사람으로부터 사기성 메시지나 광고글, 악성코드 링크를 받아 보지 못한 사용자가 얼마나 될까?   활동이 활발한 사람일수록 위험에 노출 되는 횟수가 잦을 수 밖에 없다.  그 결과로 국내의 금융기관에는 악성코드의 행위를 통제하거나 정보 수집을 방해 하기 위한 다양한 도구와 서비스들이 부착 되었고 로그인 과정에서도 단계별로 나뉘어진 과정들을 지금도 충분히 확인 할 수 있다.   TGIF 로 대변되는 서비스들 모두 그 과정을 따를 수 밖에 없다. 이것은 당연히 예상 될 수 밖에 없는 흐름이다.  애플이 보안을 잘해서 안전한 것이 아니라 공격자들에게 그만큼 이득이 될 가치가 없었기 때문에 실제적인 공격이 발생하지 않은 것이다. 애플에서 만든 사파리 브라우저는 애플의 전체 제품군에 활용이 되고 있고 iphone 에도 기본장착이 되어 있다. 이 의미는 사파리 웹 브라우저의 취약성을 찾게 되면 핸드폰부터 맥OS까지의 모든 라인업을 공격 할 수 있는 도구를 가지게 됨을 의미한다. 그 이후에는 금전적인 이득의 창출로 이어질 것이다.

 

앞으로 금전적 이득을 얻기 위한 공격은 증가 할 것이다. 그만큼 가치가 있고 영향력이 있기 때문에 당연히 증가 할 수 밖에 없다. 그 예는 단순하게 사파리 브라우저에 대한 취약성 발견 빈도만 보아도 확인 할 수 있다.

 

Tippingpoint 에서 발간한 2010 상반기 보고서 참조 - http://dvlabs.tippingpoint.com/toprisks2010

 

2008년부터 부분적으로 문제들이 발견되기 시작하다 2010년에 이르러서는 폭발적으로 증가하는 비율을 볼 수 있다. 애플에서 운용하는 플랫폼이 세계적인 영향력을 발휘하는 시점에 이르러서야 이제 공격자들은 직접적인 활용 방안을 찾으려 함을 볼 수 있다. 취약성은 본래부터 있었으나 다만 비용대비 효과 측면에서 찾아내지 않았을 뿐이다. 여전히 매력 있는 공격 대상은 IE 브라우저이나 최근에는 Adobe사의 PDF Flash player에도 상당히 많은 공격이 발생 되고 있다. 이젠 제로데이가 두려워 PDF 문서도 제대로 읽지 못하고 Flash 도 위험성을 안고 보아야만 하는 상황에 직면해 있다. 공격자들이 형세적으로 압도하고 있는 형국을 느낄 수 있다.

 

Flash player에 대한 취약성 발견도 급증하고 있으며 IE 브라우저에 대한 신규 취약성 발견도 2009년에 급증 하였으며 현재는 소강 상태임을 볼 수 있다. 이 모든 취약성 발견이 사용자의 개인정보를 획득하고 개인 PC를 좀비PC로 만들기 위한 노력으로 완전하게 연결이 된다.


* 악성코드 유포 현황이나 취약성 발견 비율을 살펴 보면 지금의 흐름을 이해 할 수 있다. 어떤 문제들이 심각하게 대두되고 있고 문제가 될 수 있는지에 대해 손쉬운 이해가 가능해 진다.


이제는 바야흐로 개인PC를 공격하여 점유하고 서비스를 혼란케 하여 이득을 취하고자 하는 공격자들의 시대이다. 서비스를 완전하게 만든다 하여도 개인의 입력을 신뢰할 수 없다면 위험은 계속 될 수 밖에 없다. 구조적 해킹으로 볼 수 있는 서비스에 대한 어뷰징 시도는 사용자 정보의 유출과 밀접하게 관련되어 영향을 미칠 것이다. 더불어 트위터의 사례에서 볼 수 있듯이 SNS 서비스의 취약성은 사용자에게 직접적인 영향을 줄 것이다.

 

사용자 정보유출을 위한 공격 방식의 변경은 기업이나 서비스망에 대한 직접적인 해킹에서 사용자의 PC에서 정보를 빼내어 가는 것으로 변화하고 있다. 기업과 서비스망에 대한 보호 절차 강화와 저장 데이터의 암호화 등으로 침입이 어려워지고 직접적인 데이터의 활용이 어려워 짐에 따라 개인 PC를 공격 하는 방식으로 변경 되었다. 이 과정에서 핵심요소는 얼마나 많은 사용자에게 효과적으로 악성코드를 유포 할 수 있느냐 하는 유포 방식에 대한 것이 핵심이다.

 

지지금의 악성코드 유포 방식은 바이러스나 웜, 스팸메일과 같은 고전적인 공격 보다는 SNS와 같은 신뢰를 가진 서비스를 통한 전파나 웹사이트에 방문만 하여도 감염이 되는 웹 사이트를 통한 악성코드 유포가 일반적인 유포방식으로 대두되고 있다.

 

신뢰하는 자에게서 온 링크를 클릭 할 비율은 높아진다. SNS를 통한 악성코드 유포는 신뢰에 기반한 서비스를 무너뜨린다. 웹사이트에 방문하여 기사나 게시물을 읽기 위해 접근만 하여도 PC에 설치된 백신들은 알려진 악성코드 일 경우 악성코드 발견을 경고한다. 그러나 새로운 취약성들은 계속 발견이 되고 제로데이라 불리는 대책 없는 공격들은 계속 증가 할 수 밖에 없다.

사용자 PC에 설치된 악성코드들은 헤아릴 수 없이 많은 개인정보들을 직접 유출 하고 이 정보를 이용해 공격자는 서비스에 대한 직접적인 어뷰징을 가하고 때로는 오프라인에서의 도용을 하기도 한다. 어눌한 말투의 보이스 피싱 전화나 메시지의 폭발적인 증가가 대규모 정보 유출 이후부터가 아니였을까? 단순한 보이스 피싱에서부터 신상정보를 알고 있는 듯한 정확성을 가진 보이스피싱이나 메신저 피싱까지 모두가 아무런 정보도 없는 상태에서 시작 되었을까? 금융기관의 예금이 사라져 기업이 파산의 위기에 내몰리는 해외의 사례는 정말 개인정보 취급의 문제일까?

근본적인 고민을 해야 할 때 이다.

 

대책과 관련해서는 2007년에 작성해 둔 향후 나타날 위험과 대응 방안에 관한 문서를 참고 하는 것이 좀 더 실상을 알 수 있게 해줄 것이고 문제가 어떤 부분인지 조금 더 자세히 알 수 있을 것이다. . http://p4ssion.com/199 (IT 서비스의 현재 위험과 대응에 대해- 첨부문서 참고)

 

이미 현재의 상황은 예상 되었던 바이고 준비는 그에 미치지 못하는 부분들이 있을 뿐이다.

 

-       바다란 세상 가장 낮은 곳의 또 다른 이름

Posted by 바다란

*zdnet 컬럼입니다. 원래 한편인데 양이 길어서 두편으로 잘렸습니다. 이럴줄 알았으면 더 길게 쓸 걸 그랬습니다. ^^; 더불어 컬럼 게재용 이기에 뒷부분을 못 올리는 걸 양해 바랍니다. 다음편의 내용은 속칭 TGIF가 직면한 구조적 공격과 위험에 대한 내용쯤 됩니다. 가볍게 쓴다는게 무거워져서 길어진점 양해를.. 향후에 TGIF의 문제에 대해서는 다시 한번 정리를 해보겠습니다. 참 돈 안되는 일에 죽자사자 매달리는 것 같아서 좀 그렇긴 합니다.

전 세계적으로 이슈의 중심에 선 기업답게 애플과 관련된 사고들이 적지 않다. 중요하게 생각 하지 않는 다수의 사용자들도 있으나 시간이 지날수록 문제는 커질 것이고 사용자에게 직접적인 영향과 피해를 끼칠 수 있을 사안이 될 수밖에 없어서 한번 짚어야 할 부분이다. 

 

현재까지 발생한 애플 관련 보안 이슈들의 일부는 아이튠스를 통한 계정도용과 비정상적인 결제, 순위조작과 같은 문제들을 포함한다.

 

기술적인 측면에서 애플을 곤혹스럽게 만드는 부분이 분명히 있다. 현재 문제의 양상과 언급들을 보면 과거 MS와 구글이 연상될 만큼 상징적인 파장이 크다. 애플의 영향력이 빠르게 커져가고 있음을 알 수 있다.

 

애플의 다양한 제품을 묶어주는 서비스들은 향후에 사용자들에게 더욱 큰 영향을 미칠 것이다. 세계화된 서비스 특성상 특정 지역에만 국한된 문제는 아닐 것이다. 더불어 국내에서도 붐을 일으키고 있는 페이스북, 트위터에서 발생 될 수 있는 문제들과도 맞닿아 있는 부분이다. 

 

모든 문제는 근본적인 원인이 존재하고 문제가 표면에 드러나는 것은 임계점에 도달했을때 일반 사용자들에게 알려진다. 국내 인터넷 서비스들은 이미 문제 국면에 들어섰고 일정부분 대책이 수립된 곳들도 있고 그렇지 않은 곳들도 있다 국내 몇몇 서비스들은 위험 대응이라는 측면에서 적절한 수준을 경험하고 대안을 갖췄다고 볼 수 있다. 대다수는 그렇지 못한 상황이긴 하지만.. 

 

그럼 사용자와 기업 그리고 서비스 측면에서 어떤 문제들이 있을 수 있는지 짚어보고 위험성을 알아보도록 하자.

 

이번 칼럼 타이틀은 애플과 보안이라고 붙였지만 현재 가장 이슈가 되고 있는 대표적인 기업들도 보안적인 문제에서 자유롭지 못하며 그 결과는 모든 사용자들에게 돌아 올 수 밖에 없다. 애플은 그중 하나의 예일 뿐이다.

 

비단 애플만의 문제일까? 

 

인터넷에서 발생하는 보안 이슈들은 개별 기업의 시스템과 체계를 통해 해결을 할 수는 없다. 내부 시스템에 문제가 없게 하는 것은 가능하나 이미 서비스 범위와 영향도는 한 기업의 시스템과 체계에 얽매이지 않는다. 지리적이고 공간적인 차이를 벗어난 인터넷상에서 폐쇄적이고 강력한 절차적 검증을 거친다 해도 문제는 항상 있게 마련이다. 

 

정상이라고 가정 했던 모든 것들이 비정상으로 판명 될 때 무리한 대응이 나오게 마련이다. 탈옥(Jail Break)과 같은 시스템에 대한 통제들은 언제나 그렇듯 해제되게 마련이다. 보다 더 폭넓은 사용의 자유를 느끼고 싶고 시스템에 의해 통제되는 것을 싫어하는 부류는 항상 있게 마련이고 금전적인 이득을 얻을 수 있다면 더 한 일들도 당연하게 일어 날 수 밖에 없다.

 

애플이 특허를 보호하려 하는 것은 현재 애플과 관련된 문제들이 내부적인 프로세스에 의해 발생 되는 것이 아니라 사용자의 단말 상태에 따라 좌우되고 있음을 의미한다. 일정부분 타당성이 있다. 

 

그러나 해결책으로 제시한 내용은 단편적이고 자칫 지나친 통제로도 인식 될 수 있는 부분들도 있어 문제가 될 수 있다. 세계적인 기업들의 서비스 보호 움직임은 두 가지 정도로 축약된다. 개방화된 상태에서 전체적인 수준을 올릴 것이냐 아니면 폐쇄화된 상태에서 꾸준한 관리와 통제로 보호 수준을 올릴 것인가 정도로 흐름을 볼 수 있다. 애플과 구글을 예로 들 수 있다.

 

현재 발생되는 문제들의 이면을 살펴보면 사용자 정보 유출 (거의 아이디와 패스워드에 해당된다.)로 인한 문제가 대부분이다. 사용자의 관련 정보가 유출되는 경로는 데이터베이스에 저장된 정보가 빠져 나갔을 때와 사용자 단말기에서 유출 되는 경우가 있을 수 있다.

 

단순히 개인정보가 빠져 나간 것으로 그치지 않고 정상적인 서비스 운영을 방해하거나 조작해 금전적인 이득을 얻음으로써 사회적인 문제가 되고 있다. (웹서비스 보안의 불편한 진실 참고

 

이전까지의 보안 개념이라면 관리영역에 있는 시스템들과 서비스만 안전하게 하면 문제가 없었지만 지금은  사용자를 대상으로 폭넓게 이뤄져야만 한다. 사용자를 보호하지 못하는 서비스들은 구조적인 문제 ( 어뷰징-Abusing 이라고도 한다. )에 직면하게 된다. 

 

블로그에 광고가 도배 되거나 자신의 계정으로 서비스에 등록된 사람들에게 전체 메시지가 발송되는 경우, 구매하지도 않은 제품에 대한 결제요구, 자신의 아이템이 타인에게 팔리고 거래가 된 경우 등 다양한 피해를 유발한다. 모든 피해 현황은 개인에 집중돼 전체 규모는 크지 않게 보일 수도 있다.

 

그러나 과연 개인에게만 국한된 것일까? 개인 계정을 대규모로 운영하면서 광고를 일시에 전달하거나 악성코드를 자동적으로 전파하는 것은 공격도구의 자동화로 인해 어렵지 않게 할 수 있다. 특정 서비스를 노리고 자동적으로 악의적인 행위들을 하게 하는 것은 공격의 기본적인 것이다. 아마도 눈에 보이거나 언론에 기사화된 것은 피해규모나 심각도로 보면 빙산의 일각일 뿐이다. 해당 서비스를 운영하는 기업들은 전체적인 상황을 볼 수 있어서 스스로가 심각성을 절실 하게 느끼고 있을 것이다. 분주한 서비스 개편과 구조의 변경은 심각성의 반증으로 볼 수 있다.

 

지금 발생되고 있는 문제들은 겉으로는 평안하나 내부적으로는 치열하게 진행중이다. 세계적인 기업들이 왜 보안 전문 인력을 뽑는데 혈안이 되어 있는지, 또 국가차원에서 지원과 육성을 통해 전문인력을 양성하려고 하는지 한번쯤 생각해 볼 필요가 있다. 인텔과 같은 칩 제조업체가 9조원을 들여 전문보안업체인 맥아피를 인수한 것도 같은 맥락에서 살펴 볼 필요가 있다. 

 

보안을 강화하기 위한 노력은 20만개 이상의 활용 애플리케이션을 가지고 있는 트위터가 혼란이 있을 것을 알면서도 인증 시스템을 변경한 사례도 해당된다. 그러나 여전히 부족할 수 밖에 없다. 앞으로도 서비스 구조를 이용한 공격과 개인정보 탈취 및 도용은 확산될 것이며, 웹2.0의 화두였던 연결과 소통처럼 구조를 이용한 공격은 각 서비스에 있어서 핵심적인 내용이 될 것 이다.
 
(구조적 문제를 이용한 공격은 2007년에 예상한 미래위협 참고 http://p4ssion.com/215 
계정탈취에 대한 공격은 이전 지디넷코리아 칼럼 참고- 빗나간 공인인증서 논란-1

 

폐쇄와 공유 그리고 TGIF 

구글의 대응이 오픈된 형태에서의 폭넓은 협력을 통한 대응이라면 애플은 폐쇄화된 플랫폼에서의 대응을 지향한다.

 

물론 검색을 기반으로 하는 구글과 서비스 애플리케이션을 기본 구조로 하는 애플은 대응 방식에서 다를 수 밖에 없다. 

 

최근 애플 iOS 운영체제 취약점을 활용해 웹사이트만 방문해도 아이폰 탈옥을 가능케 하는 십스가 등장해 주목을 받았다. 애플은 패치를 통해 OS를 업데이트했지만 애플과 보안에 대해 생각해볼 수 있는 기회였다.

 

폐쇄된 플랫폼 아래에서 평안은 그리 오래 가지 않고 깨졌을 경우 파급력은 휠씬 더 클 수 밖에 없다. 단순한 취약성이라고 누가 말을 할 수 있을까? 

 

단순히 사이트를 방문하기만 해도 설치되고 시스템 설정들이 변경이 되는 문제를 가볍게 여길 수는 없다. 지금 유행하고 있는 악성코드들의 전형적인 전파방식을 그대로 따랐기 때문에 심각하며 과연 앞으로도 문제가 없을 것인가 장담은 절대 할 수 없는 상태이고 곧 유사한 형태의 공격들은 애플의 서비스 플랫폼에 계속 나타날 수 밖에 없다.

구글의 지원아래 악성코드 유포 사이트 정보를 관리하고 있는 stopbadware.org 사이트의 항목이다. 9.8일 기준으로 489천여개의 URL에서 악성코드가 유포되고 있으며 위험성이 있음을 볼 수 있다. 

경고 표시는 위의 이미지와 같이 검색결과를 보여주는 화면에서 사용자에게 악성코드 유포 위험이 있음을 알려주는 메시지와 함께 검색 이후의 접근을 제한하도록 하고 있다. 악성코드가 유포되는 도메인에 대한 정보는 보안업체와 함께 협력 하거나 보안기능을 활용하여 탐지를 하여 stopbadware.org 사이트에 등록하도록 하는 형식을 취하고 있다. 

 

악성코드의 유포문제를 직접 해결하기 보다는 자사의 검색서비스를 통해 사용자 PC에 영향을 줄 수 있는 접근을 차단하거나 최소화 하는 방식으로 접근을 하고 있음을 알 수 있다.

 

애플의 경우에는 앱스토어에 올려지는 다양한 애플리케이션들을 직접 통제하고 체크함으로써 위험도를 판단하고 등록시켜주기 때문에, 앱을 통한 문제점 확산은 가능성이 적은 편이다. 그러나 직접적인 모니터링과 관리 부분에 많은 비용이 소요되는 구조다.  애플 소프트웨어의 취약성을 통한 시스템 침입에는 관리와 모니터링이 영향을 미칠 수 없다.

 

그러나 시스템 변화만으로 위험을 제거하기는 어렵다. 특히 봇넷은 SNS를 통해 퍼질 수 있고, 애플도 예외가 될 수 없다. 구조를 겨냥한 어뷰징 기법은 점점 TGIF(트위터, 구글, 아이폰, 페이스북을 의미)를 위협하는 존재로 떠오르고 있다. 구체적인 내용은 다음 칼럼에서 다뤄보기로 하자. 
Posted by 바다란