태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'어뷰징'에 해당되는 글 3건

  1. 2010.10.07 Facebook 사건과 8억달러의 벌금 - 기사분석 (12)
  2. 2010.10.05 애플과 보안 -2
  3. 2010.09.28 애플과 보안 -1

얼마전 Facebook에서 대량의 메시지 및 어뷰징들이 있었습니다.
최근 판결난 기사를 보니 개인으로서는 상상하기 힘든 금액의 벌금을 부과 했더군요.

http://media.daum.net/digital/view.html?cateid=100031&newsid=20101007021016130&p=yonhap

최근에도 관련 이슈들이 계속 있어 왔습니다만 본 사건은 2008년에 있었던 사건입니다. 400만건이 넘는 스팸성 메시지를 페이스북 유저들에게 발송한 케이스로 벌금 부과액은 8억 달러가 넘습니다. 엄청난 금액이죠.

한가지 주의 깊게 볼 부분은 기사 내용중의 법원 판결 부분입니다.

"법원 기록에 따르면 페이스북은 쿠티에레즈가 피싱(phishing)을 통해 암호를 훔친 뒤 봇넷(botnet) 컴퓨터들을 이용해 페이스북 계정에 침입했다고 주장했다. 봇넷은 해커들에 의해 사용자도 모르는 사이에 스팸이나 바이러스 등을 전파하도록 하는 악성코드 봇(bot)에 감염된 컴퓨터 네트워크를 말한다. "

2008년에도 "애플과 보안 컬럼에서 설명 하였던 구조적 어뷰징은 존재하고 있었습니다. 이미 그 이전 부터 관련 현황을 살펴 보고 있었던 필자의 입장으로서는 좀 더 다른 해석이 가능합니다. 
문제가 되는 부분만 살펴 보겠습니다.

1.피싱을 통해 얼마만큼의 암호를 훔칠 수 있었을까요? 
2.봇넷을 이용해 페이스북 계정에 침입 할때 어떤 식으로?
3.단순한 스팸 메일 이였을까요?

위의 세가지 내용이 대표적인 문제라고 보입니다.
첫번째는 서구권에서는 아직 악성코드에 의한 정보 유출과 계정 정보의 획득에 대해 이해도가 그리 높지 않은 편입니다. 하다못해 보안 분야의 기업들 조차도 심각성에 대해 인지를 잘 못하고 있는 상황인데 법원등에서 이해를 할리 만무합니다.  일반적으로 피싱이란 메일등을 보내어 사용자가 클릭 하였을 경우 임의의 사이트로 이동을 하도록 하고 그곳에서 입력되는 정보를 공격자가 빼내어 가는 것을 말합니다. 실상 성공 비율이 높지 않으며 그 정체가 빨리 드러납니다.  그래서 Facebook에 접근하기도 전에 이미 정체가 파악이 되었을 가능성이 높습니다.

제가 보는 관점은 PC에 설치된 악성코드들을 이용해 페이스북 로그인 시에 입력되는 이메일과 패스워드를 확보 하였을 것으로 보입니다.  로그인 시의 키입력등을 가로채는 방안이 주로 사용 되었을 것입니다. ( 가로채는 방법은 하드웨어적인 키입력을 가로채는 것 이외에도 전송단계에서 가로채기, 브라우저에 올려지는 단계에서 가로채기등 다양한 기법들이 활용 되고 있습니다.) 

해외에서도 zeus 와 같은 봇넷이 활성화 되어 있고 수백만대 이상의 감염수치를 가지고 있음은 의심 할 수 없는 사실입니다.

두번째로 페이스북 계정에 침입 할때 봇넷을 이용하였다는 부분도 설명이 필요합니다. 이 부분은 첫번째 부분과 문제가 충돌 되는데 제가 보는 관점은 일단 정보 확보에만 봇넷을 이용하였을 것이고 이렇게 확보된 정보를 활용하여 몇몇 지점을 통해 페이스북에 로그인 하는 자동적인 프로그램을 활용 하였을 것입니다.

이런 자동 로그인 유형의 프로그램은 개발이 쉽고 간단한 유형이라서 그리 어렵지는 않습니다. HTTP로 전달되는 패턴만을 맞춰 주면 되기 때문이죠. facebook에 유효한 로그인 패턴을 만들고 여기에 사용자 계정 정보를 실어서 전달 하였을 것입니다. 더불어 http 상에서 동작하는 facebook 서비스의 구조 파악이 그리 어려운 것도 아니기에 간단하게 파악을 하고 어떤 식으로 활용 될지도 프로그래밍 되어 있었을 것으로 예상 됩니다.

이전의 사고조사나 샘플 수집을 통해서도 유사 사례를 많이 발견 했었기에 충분한 내용으로 보입니다.

세번째는 스팸메일 발송이라고 했지만 Facebook에서 단순히 타켓이 불분명한 대상에게 보내진 스팸을 가지고 문제를 제기 했을리는 없습니다. 이것은 내부 구조. 즉 Facebook에 등록된 Friends list를 바탕으로 facebook이 위험을 느낄만큼의 타켓화된 메시지 발송이 이루어 졌기 때문에 문제가 된 것입니다.


최종 정리하면 개인 PC에 설치된 악성코드를 통해 개인의 접속정보를 빼내어 가고. ( 비단 facebook만일까요? ..절대 아니죠.) 빼낸 정보를 가지고 facebook 로그인 절차 및 내부 친구 리스트를 이용한 메시지나 쪽지 , 게시물등을 일거에 쓰거나 발송 하는 프로그램을 돌렸을 것입니다. 

Facebook의 대응은 한 계정이나 한 IP에서 과다한 접속이 발생 했을때 통제를 가하는 방법도 하고 있을 것이고 또 경고의 의미로 소송을 걸기도 한 것이구요.. ( 그러나 악성코드를 유포 했을 경우는 소송은 무의미 하겠죠? 누가 만들고 했는지도 모를테니..)  서비스 보호를 위한 어뷰징 대응은 시간이 지날 수록 강화 될 수 밖에 없습니다. 그만큼 사용자 불편도 증가하는 현실이 되겠지만 말입니다.

기사 자체만을 보면 문제는 없지만 내용상의 전개 오류가 많이 보이고 현실을 대변하지 못하는 듯 하여 부연 설명 해 보았습니다. 구조적 문제를 이용한 어뷰징도 앞으로는 더 문제가 깊어질 것으로 보입니다. 한국내에서 유행하는 해외서비스들 대부분이 대응책이 확실하지 않기 때문에 앞으로도 장기간은 문제가 계속 될 것으로 예상됩니다.


- 바다란 세상 가장 낮은 곳의 또다른 이름







Posted by 바다란

댓글을 달아 주세요

  1. .. 2010.10.07 12:25  댓글주소  수정/삭제  댓글쓰기

    좋은 글 감사합니다. 3가지 질문이 있습니다.

    1. 본문 내용 중 "첫번째는 서구권에서는 아직 악성코드에 의한 정보 유출과 계정 정보의 획득에 대해 이해도가 그리 높지 않은 편입니다."라는 부분이 있는데, 그렇다면 동양권에서 해당 부분에 대한 이해도가 더 높다는 말인가요? 만약 그렇다면 객관적인 사례가 있는지 궁금합니다.

    2. 역시 본문 내용 중 "제가 보는 관점은 일단 정보 확보에만 봇넷을 이용하였을 것이고 이렇게 확보된 정보를 활용하여 몇몇 지점" 여기서 말하는 "몇몇 지점" 역시 봇넷의 일부라고 봐야하는 것 아닌가요? 만약 아니라면 구체적으로 어떤 "지점"을 말씀하시는 건지 알려주시면 감사하겠습니다.

    3. 또 본문 내용 중, "Facebook에서 단순히 타켓이 불분명한 대상에게 보내진 스팸을 가지고 문제를 제기 했을리는 없습니다" 라고 말씀하셨습니다. 단순 스팸이 아니라 각종 공격 무기를 이용하여 사용자를 공격했기 때문에 8억 이라는 벌금이 내려졌다고 말씀하시는 것 같은데, 증거 자료가 있는지 알고 싶습니다.

    감사합니다.

  2. 바다란 2010.10.07 12:45 신고  댓글주소  수정/삭제  댓글쓰기

    답변 드립니다. 서구권에 키보드 입력을 가로 채는 악성코드를 막기 위해 벌어지는 액션은 백신 외에는 없습니다. 동양권에서도 이해도는 높지 않습니다. 한국만 비교 했을때 우리가 흔히 이야기 하는 ActiveX 도배라고 하는 기능들이 그 역할을 합니다. 미국내 서비스 접근 할때 설치 하는 것들 없습니다. 그 이야기는 악성코드에 의해 유출 되는 정보를 막을 기능이 없다는 것을 의미 합니다. 미국내 은행들은 대부분 FDS를 사용합니다. 사기판별 시스템이라고 하는데 비정상적인 접근일 경우 한번 더 확인을 하는 케이스를 말합니다. 그러나 키입력이 나가는 것을 막지는 못합니다. 이것은 기업의 통념들이 악성코드 인식의 높은 수준에 도달 하지 못했음을 의미합니다.

    우리가 흔히 웹을 지저분하게 한다는 ActiveX로 설치되는 보안도구들이 이 역할을 하죠. 온라인 상에서의 보안 역할을 직접적으로 할 수 있는 도구들은 아직 서구권역에서는 대거 출현 이전입니다. 국내는 한참 오래전 이야기 입니다.

    두번째. 몇몇지점은 Proxy를 의미합니다. Proxy라는 개념은 도구를 통해 접근을 할때 경유지로 활용을 하는거죠. 특정 IP에서 수천 , 수만명의 로그인을 할 수는 없도록 기본적인 도구들이 있습니다. 이건 기업망 내부에 서비스로 존재하죠. 이걸 회피하기 위해 경유지로 활용 하는겁니다. 몇몇지점은 경유지로 활용되는 Proxy를 의미 한다고 보셔야 됩니다.

    세번째. 여기서 말한 타켓이 불분명한 대상에게 보내진 스팸이 아니라는 의미는 공격무기를 의미 하는게 아닙니다. 약간 오해가 있으신듯. 타켓은 Facebook에 친구로 등록된 신뢰도 높은 대상에게 메시지를 보냈다는 것을 의미합니다.

    8억달러라는 벌금은 상징적 의미도 있겠으나 fb 내부의 대응도 그만큼 난이도가 있게 어려움이 있었고 구조개선에도 어려움이 있었다는 반증이 아닌가 하는 의미입니다.


    증거자료는 당연히 없습니다. 말씀 하신 의미가 아니기에 당연히 아니고 내부자 그것도 사고처리를 담당한 실무자가 아니면 알수가 없는 내용입니다. ^^;

    좋은 하루 되십시요.

    • .. 2010.10.07 13:13  댓글주소  수정/삭제

      답변 감사드립니다.

      그러나 서구권의 웹 서비스에 ActiveX가 없다고 정보 유출에 대한 이해도가 낮다고 말씀하시는 것은 조금 이해가 안가네요. 그쪽 회사에서는 그러한 역할들은 백신의 몫으로 넘기는 개념일 수도 있고, 아니면 비지니스적인 이해 관계가 있을 수도 있습니다.

      개인의 프라이버시에 관한 문제는 서구권이 아직까진 더 높은 인식에 있다는 것은 분명한 사실일 겁니다. 서구권에는 국내와 같은 ActiveX 설치가 대거 출현 이전이라고 하셨는데, 아직 출현하지 않은게 아니라 정책의 차이로 앞으로도 안 나올 가능성이 있다고 생각합니다. 인터내셔널한 포럼 등에 단순히 웹 사이트에 ActiveX가 없다고 정보 유출 등의 문제에 대해서 이해도가 낮다고 언급하시면 논란의 여지도 있을 수 있다고 봅니다.

      둘째, Proxy라고 하셨는데.. Proxy를 사용했다는 증거가 있나요? 물론 해당 사이트의 실무자가 아니기 때문에 로그 등의 참고 자료가 없다는 것은 이해합니다만 "봇넷이 아니라 지점, Proxy를 사용했을 것" 이런 표현들은 사실을 기반으로 한 것이 아니기 때문에 사람들의 오해를 살 여지가 있다고 봅니다. 사실이 아니라 추측인 것이죠.

      세번 째에 관한 질문은.. Facebook의 구조상 친구로 등록된 사람이 아니면 스팸성 메시지를 보내기 힘들다는 것은 그냥 누구나 알고 있다고 생각했기에, 바다란님이 해당 부분을 또 언급한 것은 아니였을 거라고 질문 드린 거였는데 그게 맞았군요.

      답변 감사드립니다.

  3. 바다란 2010.10.07 13:36 신고  댓글주소  수정/삭제  댓글쓰기

    일반론적인 의미를 말씀 드렸습니다. 프라이버시에 대한 인식은 서구권이 높습니다만 아직 치열하게 당하지 않은 영향들이 있습니다. 앞으로 zeus bot에 대한 문제나 여러가지 문제들에 대한 처리를 보시면 아시게 되지 않을까 싶습니다.

    ActiveX라고 총칭한 것은 그런 기능적인 역할을 의미한 것이지 특정기술을 칭한 것은 아닙니다. 그리고 기능에 대한 역할을 말씀 드렸는데 그걸 ActiveX로 모는 것은 바람직 하지 않습니다. 예를 들어 설명한 것 뿐입니다. 궁금하시면 이전 제 컬럼을 참고 하시기 바랍니다. 빗나간 공인인증서 논란이라는 컬럼입니다.

    기능을 의미한 것이고 ActiveX 없이도 보호 하는 것들이 가능합니다만 아직 그런 기능들 조차 해외는 출현 이전입니다. 국내 사이트들중 1.2.3단계로 로그인 수준이 나뉜 것들 잘 살펴 보시기 바랍니다. 왜 그런 것들이 출현 했는지.. 해외에는 왜 없는지도요.. 구글이나 트위터가 인증방식을 왜 변경을 했고 왜 할 수 밖에 없었는지도 말입니다.

    Proxy 사용에 대한 증거라고 하셨는데요. 이걸 제가 댈 수 있는 것도 아니구요. 한 기업이나 서비스 운영 담당자로 일해본 경험상 당연히 들어가는 프로세스입니다. 이걸 사실을 기반한 것이 아니라는 말씀은 문제가 있습니다. 기사로 부터 추론한 내용일 뿐입니다. 오해 없으시기 바랍니다.

    세번째 질문에 대한 내용도 기사에는 스팸발송이라고만 되어 있습니다. 한단계 더 나아가 최근의 문제는 자동으로 전파되고 확산되게끔 하는 웜의 형태로 나오고 있죠. 그 부분에 대한 이해도를 높이기 위해 설명한 내용입니다. 스팸이라고 하면 단순한 메일 형태로 생각하시는 분들이 많으셔서.. 그리고 2008년에는 단순하게 메시지만 보냈지만 올해 들어 발생한 FB의 문제는 자동으로 전파되고 클릭하면 또 자동으로 전파가 되는 개념으로 되어 있습니다. 이런 문제가 일상적으로 발생하고 있는데 그 문제도 짚어 보고 싶었지만 ..여긴 짧게 언급하고 넘어 갔습니다.

    한번 현상을 잘 살펴 보시기 바랍니다. 용어로 기능을 단정짓지 마시구요.

    아시다시피 모든 대중을 대상으로 글을 쓸 수는 없습니다. 그리고 본 글은 블로그에 올린 개인의 기사분석입니다. 기사로 나오는 내용은 전체의 아주 일부분만이 나옵니다. 그 내용을 되짚어서 예측을 하는것에 사실에 기반한 예측은 애초부터 불가능한 것 아니겠습니까?

    저는 가정과 추정을 하려는 것이지 사실관계 규명과 증명을 하려는게 아님을 잊지 않으셨으면 합니다.

    감사합니다.

    • .. 2010.10.07 13:54  댓글주소  수정/삭제

      빠른 답변 감사드립니다.

      네.. 기사를 되짚어서 사실을 알아낼 수 없다는 것에 동의합니다. 다만, 정말 사실인지 아니면 그냥 바다란님의 경험적 가정이었는지 궁금했었습니다.

      두 가지를 더 질문드리자면, 저 역시 ActiveX에 집착하는 것은 아닙니다. 다만 바다란님께서 먼저 ActiveX를 언급하셨기에 저 또한 사용한 단어일 뿐입니다. 어쨌든, 제가 알고 있는 지식으로는, ActiveX가 동원되는 인증을 제외한다면 국내나 해외나 동원되는 방어 수준은 큰 차이가 없는 것으로 알고 있습니다.

      ActiveX 등, 추가적인 플러그인이 전혀 사용되지 않는 국내 인증 중에서 어떤 사이트가 구글의 인증보다 더 잘 되어있다는 말씀이신가요?

      두번째, "한 기업이나 서비스 운영 담당자로 일해본 경험상 당연히 들어가는 프로세스입니다."라고 하셨는데, 제가 궁금한 것은 - 봇넷을 통해서 들어오거나 아니면 Proxy를 통해서 들어오는 것은 공격자의 마음인데, 어째서 바다란님은 봇넷이 아니라 Proxy일 것이다라고 생각하셨는지, 그게 궁금하다는 것입니다. 딴지가 아니라, 제 짧은 지식으로는 로그나 증거 자료가 없는 상태에서는 그것을 구분하거나 추측하기가 어려울 거 같은데, 바다란님은 왜 그렇게 언급하셨는지 그게 궁금합니다.

  4. 바다란 2010.10.07 14:07 신고  댓글주소  수정/삭제  댓글쓰기

    인증은 말단 인증이 있습니다. 클라이언트 단위에서 입력되는 정보를 가로채는 걸 어떻게 막을 수 있느냐가 중요합니다. 네트워크 단위에서 전송 단위의 인증과는 별개로 사용자 입력을 보호하지 못하는 것은 거의 대부분의 외국 서비스들이 동일합니다. 로직적인 복잡도를 말하는 것이 아니라 입력되는 정보의 보호를 의미합니다.

    근본 틀을 보시면 악성코드로 인해 사용자정보가 나간다고 했고 키입력을 빼내어 간다고 본문에 설명이 되어 있습니다. 그 입력이 나갔을때 서비스 회사에서 정상 사용자 인지를 확인 할 수 있는 방안은 없습니다. 단순하게 컴퓨터에 대한 추가 인증 정도 외엔 없죠. 그나마 이것도 생긴지 얼마 안된..

    인증이 뛰어나다는 의미는 사용자의 정보가 노출 되는 가능성을 얼마나 줄이고 있냐에 따라 기반한 이야기 입니다. 국내의 서비스들중 일부에서는 단계별로 줄이는 것들을 하고 있고 실제 효과가 있습니다.
    ( 어느 부분인지는 앞선 덧글에서도 언급 드렸지만 빗나간 공인 인증서 논란 컬럼을 참고 하시기 바랍니다.)


    공격자의 마음 이전에 가장 효율적인 수단을 선택 할 수 밖에 없습니다. 봇넷으로 서비스에 로그인을 한다라.. 이건 생각을 좀 더 많이 해보셔야 할 것 같습니다.

    봇넷을 통해서 기업의 서비스에 접근한다는 것은 좀 전의 덧글에서 추가로 올릴려고 하다가 말았는데 봇넷으로 접근을 한다는 의미가 무엇이겠습니까? 단순하게 봇넷으로 확보한 좀비PC를 FB에 로그인 하기 쓴다는게 말이 안된다는거죠. 그리고 그 액션을 각각 배분해야 하는데 ( 동일 사용자가 다수 로그인 할 수 없으므로..) 이게 더 일이 많이가고 손이 많이가죠. 즉 가능성이 매우 떨어집니다.

    봇넷으로 서비스에 로그인 한다는 의미는 상당히 다른 이야기입니다. 봇넷으로 정보를 빼내어가고 DDos 공격에 활용하고는 당연한 일인데 이걸로 로그인을 한다라? 또 서비스에 들어가서 정해진 액션을 한다라?. 이건 생각하기 어려운 이야기죠.
    봇넷과 어플리케이션 웜과 구분을 명확하게 하셔야 할 것 같습니다. 2008년의 현실과 2010년 올해의 현실에는 큰 차이가 있기 때문이죠.

    좀비PC에서는 정보를 획득하고 당연히 획득된 정보를 이용해서 중간 경유지를 거쳐서 ( 특정 IP의 과다접속 차단을 회피 목적) 접근 해야 일관성이 유지 됩니다. 당연한 이야기 입니다. 봇넷으로 서비스 로그인을 하고 어뷰징을 하는 케이스는 들어본적 없습니다. 비용대비 효과 거의 없는 이야기죠.

    그리고 사용자 ID/Pass를 각 봇넷 클라이언트에 어떻게 나눌 수 있습니까? 봇넷의 의미는 중앙에서 정해준 액션을 그대로 예정대로 행하는 것이라고 봐야 됩니다.

    익명으로 계속적인 의견을 올리셔도 충분히 답변을 드렸습니다만 더 이상 익명의 글에 대한 답변은 어려울 것 같습니다.

    • .. 2010.10.07 14:21  댓글주소  수정/삭제

      개인 말단에서 키로그를 예방하는 것은 ActiveX 같은 플러그인의 도움이 반드시 있어야만 하는 것 아닌가요? 제가 질문드린 것은 ActiveX 같은 플러그인을 사용하지 않음에도 불구하고 구글보다 더 나은 말단 보안 인증을 갖고 있는 국내 회사가 있는지 여쭤본 것입니다. 제가 알기로는 없습니다.

      두번째 문제, 공격자가 봇넷을 그렇게 작성할 수도 있는 것이죠. 구조가 더 복잡해질 것도 없습니다. 그냥 봇넷 PC에 프록시 깔아서 쓰면 되니까요. 오히려 공개된 Proxy를 사용한다면 Proxy 운영자에 의해 감시당할 수도 있으니 공격자로서는 더 위험을 감수하게되죠.

      긴 답변 감사드립니다. 익명으로 질문을 남기게 되어 죄송합니다.

  5. 바다란 2010.10.07 14:48 신고  댓글주소  수정/삭제  댓글쓰기

    마지막 답변 드립니다.

    컬럼 읽어 보시기 바랍니다. 키입력단계, BHO 단계, 네트워크 전송단계 (이건 SSL로 해결) 세 단계가 있습니다. 이중 키입력이 ActiveX로 됩니다. BHO 단계에 대한 예방은 아직 해외 서비스에 완전하게 런칭 되어 있지 않습니다. 해외서비스들 대부분 전송단계 보안이 이루어져 있습니다. 이 중간단계인 BHO . 즉 브라우저로 전송되기 직전의 단계에 대한 보호를 의미 합니다. 최근 악성코드들은 대부분 BHO 영역에서 키입력이 전송 단계로 들어가기 전에 가로 챕니다. 이것에 대한 보호를 말합니다. 제가 알기로는 국내 회사들 있습니다.

    구글이라고 특별할 것은 없습니다.

    두번째. 만들 수 있습니다. 그러나 비용대비 효과가 맞지 않습니다. 기본적인 봇넷의 용도를 생각해 보시기 바랍니다. 목적자체가 중앙에서의 일원화된 통제와 동일한 행동이지 개별화된 액션이 아닙니다. 제가 말씀드린 Proxy라는 개념은 중간 경유지라는 의미로 차용해서 쓴겁니다. 봇넷PC에 proxy를 깔아서 쓰는것도 경유지로서 똑같은 의미 입니다. 봇넷 에이전트 전체에서 일어날 수 있는 일은 절대 아닙니다. 일상적으로 사용되는 proxy 시스템을 말한 것이 아닙니다. 그 정도 개념은 충분히 전달 될 수 있으리라 판단됩니다. 말씀하신 proxy 운영자의 감시라는 말은 그래서 해당되지 않습니다.

    경유지로서 활용한다는 의미로 받아 들이시기 바랍니다.

    감사합니다.

    • .. 2010.10.07 15:04  댓글주소  수정/삭제

      의도가 좀 이상하게 전달된 것 같군요. 구글이 특별하다고 말한 적은 단 한번도 없습니다. 그냥 외국 기업이 정보 유출에 대한 이해도가 낮다고 하시길래 지적 호기심에 여쭤본 것이구요.

      말씀하신 BHO에 관련한 것은 - ActiveX 같은 플러그인이 없다면 구현할 수 없는 부분입니다. 그렇기 때문에, 제가 질문드린 것처럼, "ActiveX가 없는 환경"이라면 외국이나 국내나 말단의 보안 수준은 차이가 없다고 볼 수 있습니다.

      아, 두 번째 이야기는 결국 제가 말한 것과 같은 얘기군요. 본문 글 중에, 봇넷과 몇몇 지점의 상관 관계에 관한 설명이 없어서 제가 오해한 것 같네요. 답변 감사 ^^

  6. 바다란 2010.10.07 15:28 신고  댓글주소  수정/삭제  댓글쓰기

    첨언 합니다. 스크립트 단계(Flash?)에서 아예 암호화된 값을 전달 한다면 BHO 통해서 나간다고 해도 원래의 값은 유출 되지 않습니다. "구현 할 수 없다" 라는 말은 틀리셨습니다. 물론 ActiveX 활용해야 하드웨어적인 키입력까지 막을 수 있습니다만.. 그렇지 않더라도 BHO 영역 자체의 악성코드는 End to End 차원의 암호화된 값의 전송으로 해결 됩니다. nonce의 개념도 한번쯤 보시고 BHO 자체의 악성코드를 발상의 전환으로 아예 암호화된 값으로 해버리면 유출 된들 소용 없는 값이 되죠. 고민 하시는데 도움 되시기 바랍니다.

    • .. 2010.10.07 15:31  댓글주소  수정/삭제

      ActiveX의 도움 없이 순수 스크립트 단계에서의 거의 보안이 안 이루어지는 것이나 마찬가지이기 때문에 언급하지 않은 것입니다. :( 그런 식으로 따지 자면 클라이언트 에서 구현할 수 있는 것들은 수도 없이 많으니까요.

      그런 것들을 염두해두시고 국내 사이트가 더 잘 되어 있다고 하시는 거였군요. 전 국내/국외 어디가 더 잘 되어 있다고 주장하는 것이 아니라 도대체 무엇 때문에 바다란 님이 그렇게 말씀하신건지, 그저 그것이 궁금했을 뿐입니다.

      결국 바다란님이 주장하시는 의견에 대한 제 생각은.............

      "웹 사이트에서 ActiveX 등을 설치하도록 유도하여 말단 보안을 강화" <- ActiveX의 사용 유무는 단순히 정책 차이일 수 있기 때문에 이것을 근거로 어디가 보안 인식이 좋다고 판별하기 어려움

      "스크립트 등을 통해서 암호화할 수 있음" <- 큰 보안 효과를 거둘 수 없음, 그러므로 스크립트를 사용한 인증 사이트가 더욱 더 안전하다는 의견에 동의할 수 없음 :(

      바다란 님 의견은 이제 알거 같습니다. 저도 익명으로 계속 글 남기기 죄송하오니 답글 안 달아주셔도 전 이미 충분히 감사해하고 있습니다 ^^;

  7. 바다란 2010.10.07 16:00 신고  댓글주소  수정/삭제  댓글쓰기

    네 알겠습니다.

    도구의 필요성은 필연적 입니다. ActiveX가 불필요 하다를 떠나서 그런 기능이 필요하다는 이야기 입니다. 현재 일반 PC의 보안은 심각 할 정도로 약한 상태여서 문제가 큽니다. 따라서 서비스 안정성 확보를 위해서는 필수적인 부분이라는 이야기 입니다. 보호 할 수 있는 기능은 필요합니다. 백신을 전체 무료로 배포 하는 것도 방법이겠죠.

    스크립트를 통한건 디컴파일이 가능합니다. 플래시의 경우. 그러나 BHO 영역내에서 암호화된 값을 가지므로 효과는 가질 수 있습니다. 키보드 보안과 연동 되어야 보다 더 확실 하겠지만 말입니다. BHO 영역의 악성코드가 전체의 80% 가량으로 발생 되고 있습니다. 키입력 빼내어 가는 것만 보았을때 말이죠.

    이 영역에만 보호를 한다면 효과는 있습니다. 실 적용 중인 곳도 있구요.

    현재 상황에서 가장 효율적이고 효과가 좋은 방안이 있다면 저는 그게 무엇이든 현상 파악이후 동의 합니다. 그러나 지금까지는 더 효율적인 방법은 나오질 않았습니다.

    어디가 더 안전하다 못하다를 떠나서 상황인식을 하고 노력을 하고 있느냐가 중요합니다. 저는 그점에서 아직 해외 부분은 떨어진다고 보고 있습니다. 단말 PC의 상태의 심각성을 제대로 인지 하지 못했다고 봅니다.

    토론 유익 했습니다. 감사합니다.


zdnet 연재 컬럼입니다. 컬럼에서는 축약되고 생략된 부분들이 있습니다만 전체적인 맥락은 유사합니다.
여기에는 축약되지 않은 원문을 게재 합니다. 
- 앞선 애플과 보안-1편과 연계하면 이해가 좀 쉽습니다. 그래도 지금편 만으로도 이해는 충분 하실듯.
더불어 Safari 브라우저에 대한 취약성 발견 비율 증가는 애플에 대한 만만치 않은 공격들이 계속 이어 질 것임을 예고 하고 있습니다. cross platform에 대한 문제는 계속 될듯. 또 SNS의 구조적 어뷰징에 관한 문제는 zdnet 컬럼중 small world의 security 편을 참조 하시면 됩니다. http://p4ssion.com/205  이미 지금의 문제는 예상 되어 왔었고 징후는 존재 하고 있었다는점 항상 잊지 않으셨으면 합니다. 다음 편에 좀 더 상세하게 해보도록 하겠습니다.


현재 문제가 되고 있는 어뷰징은 어디에서부터 시작 되는 것일까?

 

어뷰징이라는 관점은 비정상 행위라는 관점에서 볼 수 있다. 9월에 있었던 트위터의 xss취약성의 경우에도 몇십만에 달하는 피해자가 발생 할 수 있었던 근본은 서비스 구조를 이용한 어뷰징이라 할 수 있다. 단순하게 사용자 계정을 활용한 정보탈취와 오용과도 연결이 되어 있다.

사용자의 계정정보가 유출 되었고 또 서비스의 구조적인 문제와 결합될 때 문제는 확산되고 커진다. 단순한 서비스의 취약성을 이용하였을 뿐임에도 불구하고 수십만의 사용자에게 짧은 시간에 확산된 공격은 피해의 심각성을 나타내 주고 있다.

 

구조적인 문제와 개인정보의 유출로 인한 어뷰징으로 분류 할 수 있고 구조적 문제는 서비스의 특성을 이용한 유형이며 개인정보는 유출된 계정정보를 활용하여 서비스에 혼선을 주는 것을 의미한다. 현재 유포되는 대부분의 악성코드는 사용자의 온라인 활동에 관한 중요 정보를 빼내어 가는 것이 주된 목적이다.  대규모로 계정정보를 빼낸 이후 특정 서비스에 대량으로 로그인을 한다.  여기에서 서비스 구조를 이용하여 공격을 지속적으로 확대 시켜 나가는 것이다. 이런 유형을 다른 말로는 서비스웜이라고 부를 수도 있다. 특정 서비스에 국한된 웜이라는 의미로도 볼 수 있다. 트위터에 등록된 팔로워에게 자동적으로 DM이 발송 되도록 하고 친구 혹은 메신저에 등록된 사용자에게 자동적으로 악성코드의 링크나 악성파일이 전달되는 행위 모두가 서비스 웜의 형태에 해당 된다고 볼 수 있다. 애플의 북스토어에서 판매량을 늘리기 위해 순위를 조작한다던가 하는 사안들도 가볍게 포함이 될 수 있다.

 

어뷰징의 시작은 취약한 서비스로 인한 확산 ( 트위터에 대한 XSS 공격- SNS  서비스에는 치명적인 결과를 초래한다. 금융기관에 대한 피싱공격으로 주로 사용되는 XSS 취약성은 SNS 서비스에서는 또 다른 결과를 초래 할 수 밖에 없다. ) 과 대규모 정보 유출로 인한 서비스 혼란과 연결 되어 있다. 취약한 서비스로 인한 확산은 차후에 다시 정리 하도록 하고 현재 TGIF ( Twitter, Google,  Iphone,  Facebook) 로 대변되는 글로벌 혁신의 충돌에서 가장 위험성이 높으며 현재까지 대비가 안되고 있는 부분을 먼저 살펴 보도록 하자.

 

TGIF 서비스 모두 (Iphone 의 경우는 앱스토어의 사례가 해당된다.) 서비스를 운용하고 있으며 모든 인증 기반은 사용자가 입력하는 계정정보에 따라 직관적으로 구분되어지고 영역을 가지고 있다. 즉 로그인 하는 ID/ Password 기반의 정보를 가지고 사적인 영역이 구분되어 있으며 활용이 이루어 지고 있다. 무상으로 활용 할 수 있는 서비스가 아닌 유상으로 이용 할 수 있는 서비스들이 확대되고 있는 상황에서 단순한 ID/Password 인증 이외에 활용하는 보조적인 도구들은 PC에 대한 인증 외에는 없다. 사실상  PC에 대한 인증조차도 또 한번의 확인절차에 지나지 않으며 제한적이고 구속적인 영향력을 가지지는 않는다.

 

해외의 서비스는 개인정보(이른바 주민번호)가 포함되지 않기 때문에 유출 되어도 영향력이 없을 것이라고 이야기 한다. ActiveX로 대변되는 보안도구나 서비스들도 운영 되지 않기 때문에 편리하고 표준을 준수한다고 이야기 하기도 한다.  과연 그럴까?

온라인상의 서비스에 또 다른 아이덴티티를 가지지 않은 사람은 인터넷 서비스 사용자 중에는 거의 없다. 기업의 입장에서도 마찬가지이다. 온라인상의 활동이 중요해지고 영향력을 가지는 지금에 이르러 온라인 상의 가치를 평가절하 할 수 있는 사람은 별로 없을 것이다.  유료결제가 가능한 서비스들이 활성화 되고 결제 모듈들은 단순한 사용자 정보 입력에 의해 거래가 이루어진다.  공격자에 의해 권한이 모두 획득 당한 PC에서 입력하는 모든 정보들은 공격자에게 고스란히 전해진다.  공격자는 그 정보를 분류하고 정리한 이후 어떤 방식으로 활용 할 것인지 결정 하기만 하면 된다.

 

해외의 모든 서비스들은 현재 사용자가 입력하는 정보를 일단 신뢰한다는 가정하에서 운용이 되고 있으나 그리 오래 갈 수는 없을 것이다. 도용과 오용으로 인한 사고와 문제 발생은 서비스의 입장에서도 문제가 될 수 밖에 없어서 다양한 대책들을 강구 할 수 밖에 없게 될 것이다.  대규모 공격의 피해는 국내에서 가장 극심하게 발생이 되었었다.  메신저나 블로그, 카페, 미니홈피 등에서 자신과 연결된 사람으로부터 사기성 메시지나 광고글, 악성코드 링크를 받아 보지 못한 사용자가 얼마나 될까?   활동이 활발한 사람일수록 위험에 노출 되는 횟수가 잦을 수 밖에 없다.  그 결과로 국내의 금융기관에는 악성코드의 행위를 통제하거나 정보 수집을 방해 하기 위한 다양한 도구와 서비스들이 부착 되었고 로그인 과정에서도 단계별로 나뉘어진 과정들을 지금도 충분히 확인 할 수 있다.   TGIF 로 대변되는 서비스들 모두 그 과정을 따를 수 밖에 없다. 이것은 당연히 예상 될 수 밖에 없는 흐름이다.  애플이 보안을 잘해서 안전한 것이 아니라 공격자들에게 그만큼 이득이 될 가치가 없었기 때문에 실제적인 공격이 발생하지 않은 것이다. 애플에서 만든 사파리 브라우저는 애플의 전체 제품군에 활용이 되고 있고 iphone 에도 기본장착이 되어 있다. 이 의미는 사파리 웹 브라우저의 취약성을 찾게 되면 핸드폰부터 맥OS까지의 모든 라인업을 공격 할 수 있는 도구를 가지게 됨을 의미한다. 그 이후에는 금전적인 이득의 창출로 이어질 것이다.

 

앞으로 금전적 이득을 얻기 위한 공격은 증가 할 것이다. 그만큼 가치가 있고 영향력이 있기 때문에 당연히 증가 할 수 밖에 없다. 그 예는 단순하게 사파리 브라우저에 대한 취약성 발견 빈도만 보아도 확인 할 수 있다.

 

Tippingpoint 에서 발간한 2010 상반기 보고서 참조 - http://dvlabs.tippingpoint.com/toprisks2010

 

2008년부터 부분적으로 문제들이 발견되기 시작하다 2010년에 이르러서는 폭발적으로 증가하는 비율을 볼 수 있다. 애플에서 운용하는 플랫폼이 세계적인 영향력을 발휘하는 시점에 이르러서야 이제 공격자들은 직접적인 활용 방안을 찾으려 함을 볼 수 있다. 취약성은 본래부터 있었으나 다만 비용대비 효과 측면에서 찾아내지 않았을 뿐이다. 여전히 매력 있는 공격 대상은 IE 브라우저이나 최근에는 Adobe사의 PDF Flash player에도 상당히 많은 공격이 발생 되고 있다. 이젠 제로데이가 두려워 PDF 문서도 제대로 읽지 못하고 Flash 도 위험성을 안고 보아야만 하는 상황에 직면해 있다. 공격자들이 형세적으로 압도하고 있는 형국을 느낄 수 있다.

 

Flash player에 대한 취약성 발견도 급증하고 있으며 IE 브라우저에 대한 신규 취약성 발견도 2009년에 급증 하였으며 현재는 소강 상태임을 볼 수 있다. 이 모든 취약성 발견이 사용자의 개인정보를 획득하고 개인 PC를 좀비PC로 만들기 위한 노력으로 완전하게 연결이 된다.


* 악성코드 유포 현황이나 취약성 발견 비율을 살펴 보면 지금의 흐름을 이해 할 수 있다. 어떤 문제들이 심각하게 대두되고 있고 문제가 될 수 있는지에 대해 손쉬운 이해가 가능해 진다.


이제는 바야흐로 개인PC를 공격하여 점유하고 서비스를 혼란케 하여 이득을 취하고자 하는 공격자들의 시대이다. 서비스를 완전하게 만든다 하여도 개인의 입력을 신뢰할 수 없다면 위험은 계속 될 수 밖에 없다. 구조적 해킹으로 볼 수 있는 서비스에 대한 어뷰징 시도는 사용자 정보의 유출과 밀접하게 관련되어 영향을 미칠 것이다. 더불어 트위터의 사례에서 볼 수 있듯이 SNS 서비스의 취약성은 사용자에게 직접적인 영향을 줄 것이다.

 

사용자 정보유출을 위한 공격 방식의 변경은 기업이나 서비스망에 대한 직접적인 해킹에서 사용자의 PC에서 정보를 빼내어 가는 것으로 변화하고 있다. 기업과 서비스망에 대한 보호 절차 강화와 저장 데이터의 암호화 등으로 침입이 어려워지고 직접적인 데이터의 활용이 어려워 짐에 따라 개인 PC를 공격 하는 방식으로 변경 되었다. 이 과정에서 핵심요소는 얼마나 많은 사용자에게 효과적으로 악성코드를 유포 할 수 있느냐 하는 유포 방식에 대한 것이 핵심이다.

 

지지금의 악성코드 유포 방식은 바이러스나 웜, 스팸메일과 같은 고전적인 공격 보다는 SNS와 같은 신뢰를 가진 서비스를 통한 전파나 웹사이트에 방문만 하여도 감염이 되는 웹 사이트를 통한 악성코드 유포가 일반적인 유포방식으로 대두되고 있다.

 

신뢰하는 자에게서 온 링크를 클릭 할 비율은 높아진다. SNS를 통한 악성코드 유포는 신뢰에 기반한 서비스를 무너뜨린다. 웹사이트에 방문하여 기사나 게시물을 읽기 위해 접근만 하여도 PC에 설치된 백신들은 알려진 악성코드 일 경우 악성코드 발견을 경고한다. 그러나 새로운 취약성들은 계속 발견이 되고 제로데이라 불리는 대책 없는 공격들은 계속 증가 할 수 밖에 없다.

사용자 PC에 설치된 악성코드들은 헤아릴 수 없이 많은 개인정보들을 직접 유출 하고 이 정보를 이용해 공격자는 서비스에 대한 직접적인 어뷰징을 가하고 때로는 오프라인에서의 도용을 하기도 한다. 어눌한 말투의 보이스 피싱 전화나 메시지의 폭발적인 증가가 대규모 정보 유출 이후부터가 아니였을까? 단순한 보이스 피싱에서부터 신상정보를 알고 있는 듯한 정확성을 가진 보이스피싱이나 메신저 피싱까지 모두가 아무런 정보도 없는 상태에서 시작 되었을까? 금융기관의 예금이 사라져 기업이 파산의 위기에 내몰리는 해외의 사례는 정말 개인정보 취급의 문제일까?

근본적인 고민을 해야 할 때 이다.

 

대책과 관련해서는 2007년에 작성해 둔 향후 나타날 위험과 대응 방안에 관한 문서를 참고 하는 것이 좀 더 실상을 알 수 있게 해줄 것이고 문제가 어떤 부분인지 조금 더 자세히 알 수 있을 것이다. . http://p4ssion.com/199 (IT 서비스의 현재 위험과 대응에 대해- 첨부문서 참고)

 

이미 현재의 상황은 예상 되었던 바이고 준비는 그에 미치지 못하는 부분들이 있을 뿐이다.

 

-       바다란 세상 가장 낮은 곳의 또 다른 이름

Posted by 바다란

댓글을 달아 주세요


*zdnet 컬럼입니다. 원래 한편인데 양이 길어서 두편으로 잘렸습니다. 이럴줄 알았으면 더 길게 쓸 걸 그랬습니다. ^^; 더불어 컬럼 게재용 이기에 뒷부분을 못 올리는 걸 양해 바랍니다. 다음편의 내용은 속칭 TGIF가 직면한 구조적 공격과 위험에 대한 내용쯤 됩니다. 가볍게 쓴다는게 무거워져서 길어진점 양해를.. 향후에 TGIF의 문제에 대해서는 다시 한번 정리를 해보겠습니다. 참 돈 안되는 일에 죽자사자 매달리는 것 같아서 좀 그렇긴 합니다.

전 세계적으로 이슈의 중심에 선 기업답게 애플과 관련된 사고들이 적지 않다. 중요하게 생각 하지 않는 다수의 사용자들도 있으나 시간이 지날수록 문제는 커질 것이고 사용자에게 직접적인 영향과 피해를 끼칠 수 있을 사안이 될 수밖에 없어서 한번 짚어야 할 부분이다. 

 

현재까지 발생한 애플 관련 보안 이슈들의 일부는 아이튠스를 통한 계정도용과 비정상적인 결제, 순위조작과 같은 문제들을 포함한다.

 

기술적인 측면에서 애플을 곤혹스럽게 만드는 부분이 분명히 있다. 현재 문제의 양상과 언급들을 보면 과거 MS와 구글이 연상될 만큼 상징적인 파장이 크다. 애플의 영향력이 빠르게 커져가고 있음을 알 수 있다.

 

애플의 다양한 제품을 묶어주는 서비스들은 향후에 사용자들에게 더욱 큰 영향을 미칠 것이다. 세계화된 서비스 특성상 특정 지역에만 국한된 문제는 아닐 것이다. 더불어 국내에서도 붐을 일으키고 있는 페이스북, 트위터에서 발생 될 수 있는 문제들과도 맞닿아 있는 부분이다. 

 

모든 문제는 근본적인 원인이 존재하고 문제가 표면에 드러나는 것은 임계점에 도달했을때 일반 사용자들에게 알려진다. 국내 인터넷 서비스들은 이미 문제 국면에 들어섰고 일정부분 대책이 수립된 곳들도 있고 그렇지 않은 곳들도 있다 국내 몇몇 서비스들은 위험 대응이라는 측면에서 적절한 수준을 경험하고 대안을 갖췄다고 볼 수 있다. 대다수는 그렇지 못한 상황이긴 하지만.. 

 

그럼 사용자와 기업 그리고 서비스 측면에서 어떤 문제들이 있을 수 있는지 짚어보고 위험성을 알아보도록 하자.

 

이번 칼럼 타이틀은 애플과 보안이라고 붙였지만 현재 가장 이슈가 되고 있는 대표적인 기업들도 보안적인 문제에서 자유롭지 못하며 그 결과는 모든 사용자들에게 돌아 올 수 밖에 없다. 애플은 그중 하나의 예일 뿐이다.

 

비단 애플만의 문제일까? 

 

인터넷에서 발생하는 보안 이슈들은 개별 기업의 시스템과 체계를 통해 해결을 할 수는 없다. 내부 시스템에 문제가 없게 하는 것은 가능하나 이미 서비스 범위와 영향도는 한 기업의 시스템과 체계에 얽매이지 않는다. 지리적이고 공간적인 차이를 벗어난 인터넷상에서 폐쇄적이고 강력한 절차적 검증을 거친다 해도 문제는 항상 있게 마련이다. 

 

정상이라고 가정 했던 모든 것들이 비정상으로 판명 될 때 무리한 대응이 나오게 마련이다. 탈옥(Jail Break)과 같은 시스템에 대한 통제들은 언제나 그렇듯 해제되게 마련이다. 보다 더 폭넓은 사용의 자유를 느끼고 싶고 시스템에 의해 통제되는 것을 싫어하는 부류는 항상 있게 마련이고 금전적인 이득을 얻을 수 있다면 더 한 일들도 당연하게 일어 날 수 밖에 없다.

 

애플이 특허를 보호하려 하는 것은 현재 애플과 관련된 문제들이 내부적인 프로세스에 의해 발생 되는 것이 아니라 사용자의 단말 상태에 따라 좌우되고 있음을 의미한다. 일정부분 타당성이 있다. 

 

그러나 해결책으로 제시한 내용은 단편적이고 자칫 지나친 통제로도 인식 될 수 있는 부분들도 있어 문제가 될 수 있다. 세계적인 기업들의 서비스 보호 움직임은 두 가지 정도로 축약된다. 개방화된 상태에서 전체적인 수준을 올릴 것이냐 아니면 폐쇄화된 상태에서 꾸준한 관리와 통제로 보호 수준을 올릴 것인가 정도로 흐름을 볼 수 있다. 애플과 구글을 예로 들 수 있다.

 

현재 발생되는 문제들의 이면을 살펴보면 사용자 정보 유출 (거의 아이디와 패스워드에 해당된다.)로 인한 문제가 대부분이다. 사용자의 관련 정보가 유출되는 경로는 데이터베이스에 저장된 정보가 빠져 나갔을 때와 사용자 단말기에서 유출 되는 경우가 있을 수 있다.

 

단순히 개인정보가 빠져 나간 것으로 그치지 않고 정상적인 서비스 운영을 방해하거나 조작해 금전적인 이득을 얻음으로써 사회적인 문제가 되고 있다. (웹서비스 보안의 불편한 진실 참고

 

이전까지의 보안 개념이라면 관리영역에 있는 시스템들과 서비스만 안전하게 하면 문제가 없었지만 지금은  사용자를 대상으로 폭넓게 이뤄져야만 한다. 사용자를 보호하지 못하는 서비스들은 구조적인 문제 ( 어뷰징-Abusing 이라고도 한다. )에 직면하게 된다. 

 

블로그에 광고가 도배 되거나 자신의 계정으로 서비스에 등록된 사람들에게 전체 메시지가 발송되는 경우, 구매하지도 않은 제품에 대한 결제요구, 자신의 아이템이 타인에게 팔리고 거래가 된 경우 등 다양한 피해를 유발한다. 모든 피해 현황은 개인에 집중돼 전체 규모는 크지 않게 보일 수도 있다.

 

그러나 과연 개인에게만 국한된 것일까? 개인 계정을 대규모로 운영하면서 광고를 일시에 전달하거나 악성코드를 자동적으로 전파하는 것은 공격도구의 자동화로 인해 어렵지 않게 할 수 있다. 특정 서비스를 노리고 자동적으로 악의적인 행위들을 하게 하는 것은 공격의 기본적인 것이다. 아마도 눈에 보이거나 언론에 기사화된 것은 피해규모나 심각도로 보면 빙산의 일각일 뿐이다. 해당 서비스를 운영하는 기업들은 전체적인 상황을 볼 수 있어서 스스로가 심각성을 절실 하게 느끼고 있을 것이다. 분주한 서비스 개편과 구조의 변경은 심각성의 반증으로 볼 수 있다.

 

지금 발생되고 있는 문제들은 겉으로는 평안하나 내부적으로는 치열하게 진행중이다. 세계적인 기업들이 왜 보안 전문 인력을 뽑는데 혈안이 되어 있는지, 또 국가차원에서 지원과 육성을 통해 전문인력을 양성하려고 하는지 한번쯤 생각해 볼 필요가 있다. 인텔과 같은 칩 제조업체가 9조원을 들여 전문보안업체인 맥아피를 인수한 것도 같은 맥락에서 살펴 볼 필요가 있다. 

 

보안을 강화하기 위한 노력은 20만개 이상의 활용 애플리케이션을 가지고 있는 트위터가 혼란이 있을 것을 알면서도 인증 시스템을 변경한 사례도 해당된다. 그러나 여전히 부족할 수 밖에 없다. 앞으로도 서비스 구조를 이용한 공격과 개인정보 탈취 및 도용은 확산될 것이며, 웹2.0의 화두였던 연결과 소통처럼 구조를 이용한 공격은 각 서비스에 있어서 핵심적인 내용이 될 것 이다.
 
(구조적 문제를 이용한 공격은 2007년에 예상한 미래위협 참고 http://p4ssion.com/215 
계정탈취에 대한 공격은 이전 지디넷코리아 칼럼 참고- 빗나간 공인인증서 논란-1

 

폐쇄와 공유 그리고 TGIF 

구글의 대응이 오픈된 형태에서의 폭넓은 협력을 통한 대응이라면 애플은 폐쇄화된 플랫폼에서의 대응을 지향한다.

 

물론 검색을 기반으로 하는 구글과 서비스 애플리케이션을 기본 구조로 하는 애플은 대응 방식에서 다를 수 밖에 없다. 

 

최근 애플 iOS 운영체제 취약점을 활용해 웹사이트만 방문해도 아이폰 탈옥을 가능케 하는 십스가 등장해 주목을 받았다. 애플은 패치를 통해 OS를 업데이트했지만 애플과 보안에 대해 생각해볼 수 있는 기회였다.

 

폐쇄된 플랫폼 아래에서 평안은 그리 오래 가지 않고 깨졌을 경우 파급력은 휠씬 더 클 수 밖에 없다. 단순한 취약성이라고 누가 말을 할 수 있을까? 

 

단순히 사이트를 방문하기만 해도 설치되고 시스템 설정들이 변경이 되는 문제를 가볍게 여길 수는 없다. 지금 유행하고 있는 악성코드들의 전형적인 전파방식을 그대로 따랐기 때문에 심각하며 과연 앞으로도 문제가 없을 것인가 장담은 절대 할 수 없는 상태이고 곧 유사한 형태의 공격들은 애플의 서비스 플랫폼에 계속 나타날 수 밖에 없다.

구글의 지원아래 악성코드 유포 사이트 정보를 관리하고 있는 stopbadware.org 사이트의 항목이다. 9.8일 기준으로 489천여개의 URL에서 악성코드가 유포되고 있으며 위험성이 있음을 볼 수 있다. 

경고 표시는 위의 이미지와 같이 검색결과를 보여주는 화면에서 사용자에게 악성코드 유포 위험이 있음을 알려주는 메시지와 함께 검색 이후의 접근을 제한하도록 하고 있다. 악성코드가 유포되는 도메인에 대한 정보는 보안업체와 함께 협력 하거나 보안기능을 활용하여 탐지를 하여 stopbadware.org 사이트에 등록하도록 하는 형식을 취하고 있다. 

 

악성코드의 유포문제를 직접 해결하기 보다는 자사의 검색서비스를 통해 사용자 PC에 영향을 줄 수 있는 접근을 차단하거나 최소화 하는 방식으로 접근을 하고 있음을 알 수 있다.

 

애플의 경우에는 앱스토어에 올려지는 다양한 애플리케이션들을 직접 통제하고 체크함으로써 위험도를 판단하고 등록시켜주기 때문에, 앱을 통한 문제점 확산은 가능성이 적은 편이다. 그러나 직접적인 모니터링과 관리 부분에 많은 비용이 소요되는 구조다.  애플 소프트웨어의 취약성을 통한 시스템 침입에는 관리와 모니터링이 영향을 미칠 수 없다.

 

그러나 시스템 변화만으로 위험을 제거하기는 어렵다. 특히 봇넷은 SNS를 통해 퍼질 수 있고, 애플도 예외가 될 수 없다. 구조를 겨냥한 어뷰징 기법은 점점 TGIF(트위터, 구글, 아이폰, 페이스북을 의미)를 위협하는 존재로 떠오르고 있다. 구체적인 내용은 다음 칼럼에서 다뤄보기로 하자. 
Posted by 바다란

댓글을 달아 주세요