태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

 - 2011.11.12
공격자의 전략적인 측면을 살펴 봐야 한다. 지금 개별 단위 보안제품의 대응은 사실상 무장해제 상태라고 봐야 하며 공격자들은 일단 규모로서 압도를 하고 탐지 로직을 우회함으로써 무력화 시키는 상황이다.

네트워크 단위의 보안제품의 한계, 패턴 매칭을 통해 탐지를 하는 AV든 Web Firewall 이든 개별적인 대응 밖에 되지 않고 있는 상황이고 전역적인 대응은 언감생심 꿈도 꾸지 못할 상황이다.

날마다 새로이 나오는 악성코드들을 진단 하기 위해서는 악성코드의 수집이 가장 먼저여야 된다. 그동안의 수집 방법을 보면 상당부분이 사용자의 신고, 허니넷, 허니팟 등을 통해서 이루어 지고 있다. 물론 정보의 공유는 시일이 지나서 각 업체들 끼리 이루어 짐으로 시의적절성 측면에서 늦을 수 밖에 없다. 이 각각에 대해 조금 이면을 살펴보자.

  • 만약 공격자가 공격을 수행 하지 않는다면 허니넷이나 허니팟은 무용지물이 된다.  
  • 또한 사용자가 악성이라고 인식을 하는 대부분의 경우도 설치된 AV에서의 탐지를 근거로 한다. 만약 AV가 탐지 하지 못하는 악성코드라면 사용자가 인지할 방안은 없다.

  • 업체간의 정보공유도 이전과 같은 전통적인 전달 매커니즘인 디스켓, USB를 통한 악성코드의 감염은 지역별 확산에 상당한 시간차가 걸렸고 바다를 건넌다는 것도 어려웠다. 이 매커니즘이 깨진건 웜이라는 매개체를 통해서이며 이 웜 조차도 발생지 근처의 네트웍이 먼저 초토화 된 이후 다른 곳으로 확산 된다.

    웜 이후에 발생된 것은 검색엔진을 통한 특화된 공격, 파일 공유등을 통한 확산이 있었고 일정한 특징을 가지고 있었다. 그렇다면 지금은 어떨까?

간단하게 설명하고 상당부분 축약해서 위의 과정을 언급했지만 각 과정마다 언급하지 않은 많은 상세한 부분들이 있다. 그 특징들에 대해서는 지금까지의 발표자료나 본 사이트의 글들을 참고하면 일정 수준 참고가 가능하다.

지금의 공격은 말하자면 불특정 다수를 겨냥한 무차별적인 악성코드 유포이며 주된 공격 대상은 사용자의 PC에 일반적으로 설치된 써드파티 프로그램을 공격하는 코드들이다.

왜 Adobe는 시도 때도 없이 패치를 하는가? 

그 이유는 현재 사용자 PC의 90% 가량에 Flash player가 설치 되어 있기 때문이고 해외도 비율상 조금 낮은 거 이외에는 별반 차이가 없다. 공격자들은 Flash Player의 취약성을 공격하여 사용자 PC의 권한 획득을 하는 것이 가장 효율적인 방안임을 인지하고 있기 때문에  집중적인 공격을 수행한다.

또한 개별 PC를 공격하는 것이 아니라 사용자들이 방문하는 웹서비스들을 집중하여 공략 함으로써 불특정 다수에 대한 공격을 성공적으로 하고 있다. 언론사뿐 아니라 주요 커뮤니티 서비스들, 파일공유 사이트들을 직접 공격하여 웹서비스의 소스를 변경한다. ( 운영자나 개발자가 눈치 채지 못하게 암호화 하거나 기묘한 곳에 아주 짧게 넣는 것은 기본이다.)


< 웹을 통한 악성 코드 유포와 활용에 대한 컨셉>

위의 이미지와 같이 다양하게 활용 되고 있다. 이중 90% 가량은 개인정보 유출 및 백도어 활용이 가능한 용도의 악성코드를 사용자에게 감염 시키고 5% 가량은 DDos 나 Arp spoofing 행위를 보인다. 나머지 5% 가량이 지난 농협 사례와 같이 내부망으로 공격하는 용도의 악성코드라 할 수 있다. 사실은 90%의 개인정보 유출도 동일하게 활용이 가능할 뿐이다. 사용처에 대해 구분을 하자면 이 정도라는 것일뿐.


2011년 11월 12일 현재의 상황


지난 몇년간을 위험성에 대해서 언급을 했었고 개인 차원에서 할 수 있는 최대한으로 발표와 기고, 컬럼을 통해 언급을 했었지만 아직도 우리는 한참을 더 가야 하고 현 상황을 돌아 보고 반성이 필요하지 않나 생각 된다.
물론 우리뿐 아니라 전 세계적으로 마찬가지지만  ..만약 우리가 대응을 잘한다면 미래에서의 인터넷의 주요 파워를 가지게 되지 않을까? 

단순한 예상으로도 보안 문제는 앞으로 더 심각해 지며 , 악성코드의 갯수는 점점 더 많아 질 것이다라고 예상 할 수 있다. 시만텍과 맥아피도 손을 놓는 상황에서 누가 살아 남을 수 있을 것인가? 핵심은 대량유포 매커니즘을 깨야만 하는 것이고 이 매커니즘을 깨기 위해서는 다각적인 노력이 필요하다. 이 노력은 악성코드 유포에 이용 되는 많은 웹 서비스들의 문제점을 개선하는 측면 하나와 대규모 확산 이전에 차단 하는 노력이 병행 되어야 가능 할 것이다.

모든 웹 서비스들의 문제점을 개선하여 공격자가 인위적으로 웹소스를 변경 하지 못하도록 취약성을 제거 한다면 이 문제는 매우 명백하게 해결 되나 이렇게 될 가능성은 앞으로도 인터넷이 존재하는한 불가능하다. 최소한 방문자가 많은 사이트들에게는 일정 수준의 강요가 되어야 하고 즉시적이고 긴급한 대응이 계속 되어야만 한다.

더불어 길목을 차단하는 것으로 수십여곳 이상의 웹서비스에서 악성코드의 경로가 추가되어 모든 방문자들에게 감염 시도를 하는 것을 예방 할 수 있다. 웹 소스에 추가된 경로를 빠르게 인지하여 대응을 한다면 이게 가능해진다.

경로의 빠른 인지는 아직도 원초적인 ( 이벤트 탐지 방식) 방식에만 의존하고 있는데 이걸 우회하고 무력화 하기 위한 공격자들의 전략도 이미 출현한 상태이고 이 부분은 별도의 글로 남기고자 한다.  
전략을 넘어서기 위해서는 좀 더 다른 방식의 접근이 필요하다.

탐지 체계에서도 다른 형태가 필요하며 대응체계 (주로 AV)도 변화가 필요한데 최소한 선제적인 대응이라도 못한다면 빠른 악성코드의 공유체계와 감시체계라고 존재해야만 효율을 높일 수 있다. 솔직히 한국을 대상으로 직접적으로 악성코드를 유포하고 있음에도 불구하고 한국내의 AV업체가 제대로 대응을 하지 못하는 것은 기회를 잃어 버리는 것과도 동일하다. 해외 보안분야 대기업들과 비교할 필요도 없다. 비교 우위를 가질 수 있는 고난의 시간을 그냥 보내는 것은 비극이다.


그럼 여기 금일자로 최소 50여곳 이상의 서비스들에 추가된 경유지를 살펴 보자. (하루 방문자 1만명만 해도 50만명이 감염 범위에 들어간다. 신규 악성코드라면 성공률은 거의 90%라고 봐야 하지 않을까? 최소한..)

A라는 서비스에 B라는 주소가 인위적으로 소스에 추가되어 있다. 우린 그 B를 추적하여 그 근거지를 보여주는 것이다. 일반적으로 사용자는 A라는 서비스에 브라우저로 연결만 하여도 B의 주소의 것도 같이 실행 되게 되어 감염 되는 것이다. 


두 곳을 올렸다. 한 곳은 국내의 커뮤니티 사이트에 직접 올린 내용이고 또 다른 하나는 공격자가 만든 근거지이다.
현재 이 데이터를 확인 하는 것은 이미 발견 시간이 몇 시간좀 지나긴 했지만 아직도 전 세계에서 두번째가 아닐까 싶다.

만들어둔 공격자 다음으로 말이다.

* 최소 50여곳 이상의 웹서비스에서 악성코드를 사용자에게 배포하고 있슴에도 불구하고 구글의 Block 로직은 전혀 동작하지 않는다. Stopbadware의 데이터는 이전 기록을 가지고 대응하는 것일 뿐이지 지금의 문제는 아닌 것이다. 또한 판단근거가 부족하기에 탐지는 어렵다고 봐야 된다.  구글의 서비스 확장전략에 보안도 들어가 있지만 그것은 필히 실패할 것이다. 지난 6년간 수많은 비용을 들여 축적한 데이터의 신뢰도는 낮다. 그걸 입증하는 것도 어렵지 않다.  앞으로는 규모로 한번 해볼 예정이다. 

그렇다면 이중에서 신규 플래쉬 공격코드로 유포되는 악성코드의 탐지는 어느 정도 되는지 확인해 보자.



단순히 보면 알겠지만 전 세계 주요 백신들 중에서 오직 하나 정도만이 휴리스틱으로 ( 악의성이 있다 정도? ) 탐지가 된다. 나머지는 전멸이다. 여기 백신에는 이름만 들어도 알 수 있는 모든 제품들이 포함 되어 있다.

즉 제대로 진단되는 백신은 하나도 없다는 의미와 동일하다.
( 시만텍이든 맥아피든 마찬가지다...)

서비스를 통한 차단을 하는 구글의 Stopbadware도 차단이 되지 않고 가장 악성코드를 많이 분석하는 회사들이나 모든 백신 회사들의 탐지에도 걸리지 않는다. 이게 지금 우리가 마주한 실질적인 위협이다.


지난 3주 이상을 샘플을 일부 분석해 보고 테스트 해봤지만 평균 탐지율은 10% 미만이다. 우리의 지금 상태가 그렇다. 오늘도 파일공유나 언론사, 커뮤니티 사이트에 대량 추가가 되어 있어서 한국내에서만 이 악성코드의 확산은 100만대를 상회할 것이라 예상된다. Adobe의 패치? 기대를 말자!.

우리를 보호하고 지킬 수 있는 것은 우리 자신 밖에 없다. 아무리 불법적인 사이트를 안가고 패치를 잘하고 보안제품을 쓴다고 해도 이젠 위험에 노출된 상황이다. 인터넷 서핑을 하지 말아야만 위험이 줄어 드는데 그럴 수 있는가? 

다른 형태의 위협대응이 긴급하게 요구되고 즉시 대응이 되어야만 한다.


- 바다란 세상 가장 낮은 곳의 또 다른 이름

* 현재 여기에 올린 이미지의 내용을 인지하고 있는 곳도 없고 악성 공격코드의 최초 확보도 현재로서는 우리쪽에서만 가능하다. 좀 더 조용하고 은밀하게 해야 하지만 이 문제의 심각성에 대해서 인식이 부족하여 노출을 감내하면서도 자료를 일부 오픈 할 수 밖에 없다. 그러나 충분한 인식이 되었다면 우리도 정보 노출을 최대한 하지 않을 생각이다. 


*개인적으로 지난 15년간 ( 벌써 ..후.) 많은 공개문서들과 컬럼, 의견들을 올렸는데 한번쯤 정리를 할 필요성을 느낀다. 여전히 새롭게 이 분야에 들어온 많은 분들이 모르는 것들이 많다. 먼지 쌓인 외장 하드의 전원을 한번쯤 올려야 겠다. History of p4ssion 정도
 
Posted by 바다란
- 보안뉴스에 기고한 컬럼입니다. 다른 컬럼들도 계속 연이어 나올 예정입니다. 

 

SQL Injection에 관련된 글을 쓰기 시작한지가 벌써 6년이 지났음에도 불구하고 현재의 문제는 해결될 기미를 보이지 않고 있다. 현재는 더 세계적으로 확산이 되고 있고 문제가 커지고 있는 양상이다. 중요한 사실로 언론 지상에 보도되었던 50만대 가량의 웹서버 (정확하게는 DB 서버의 권한이 획득 당하여 웹서버의 소스코드가 변조된 케이스를 의미한다. ) 감염 이슈는 사실상 일상적인 일이 되어 버렸다.

 

산술적으로 하나의 웹사이트에 5명의 사용자만 방문 한다 하여도 악성코드 유포의 기회는 250만개의 클라이언트에 영향을 미친다. 제로데이 (패치가 나오지 않은 취약성) 공격을 감행 할 경우 성공률은 대폭 높아지게 되고 50%의 성공률로만 잡아도 125만대의 PC를 이용하는 사용자 정보는 언제든지 유출 될 수 있는 상황에 직면해 있다. 모든 상황은 최소치로 잡았을 경우에도 이와 같다.

 

국외의 해킹사고들은 국내만을 피해서 발생 할까? 그렇지 않다. 외면되고 알려지지 않는 많은 사건사고들은 조용하게 수습이 되고 언제 그랬냐는 듯이 사라진다. 근본 문제는 해결 되지 않은 상태에서 단순한 배포 링크만을 제거하는 것으로 문제를 쉽게 해결 했다고 한다.

 

지금의 공격은 오로지 금융정보의 유출과 게임 관련된 사용자 정보의 유출에 목적을 두고 있다. 환금성이 있으며 실질적인 이득을 얻을 수 있기 때문에 타켓팅 된 것이다. 해외의 경우에는 온라인 게임 뿐 아니라 금융 관련된 정보들도 손쉽게 획득 할 수 있도록 공격코드가 구성이 되어 있다. 국내의 경우는 금융 관련된 정보보다 온라인 게임의 사용자 계정 정보가 대부분을 차지하는 것이 다를 뿐이다. 가끔 눈 먼 공격툴이 전세계의 웹서버를 공격하여 국내의 게임 계정을 얻기 위한 코드를 설치하는 일도 비일비재하게 일어난다.

 

알려지지 않는 많은 위험들은 이제 실제화 되어 세상에 드러나있고 공격자들은 보다 자연스럽게 공격을 하고 있다. 대규모 해킹이 발생되면 언제나 그렇듯이 전세계의 백신회사들은 바빠진다. 해당 공격 도구의 패턴을 분석하고 업데이트 하느라 분.초를 다투며 대응을 한다. 언제까지 이럴 수 있을까? 지금의 공격도 소수의 공격자가 운용하는 자동화된 공격도구에 의해 발생 되지만 대응은 수천. 수만 명의 전문인력이 전세계적으로 대응해야 하는 비효율적인 양상의 극치를 달리고 있다.  공격자들은 자유자재로 공격코드를 변경한다. 새로운 공격 가능한 취약성이 나온다면 바로 다음날쯤이면 전 세계의 취약한 웹서비스를 통해 악성코드들은 유포가 된다. 가히 리얼타임이라고 하지 않을 수 없다.

 

효율적인 악성코드 설치 매커니즘을 일찌감치 획득한 공격자들은 보다 자동화 되고 효율적인 공격 방법들을 모색하고 있다. asprox라고 불리는 웹으로 유포되는 봇넷의 경우에도 asp+mssql 조합만을 공격 하였으나 확대는 시간 문제라고 볼 수 있다. 그때에는 감당하기 어렵고 대응할 여력조차 없는 상황에 직면 할 수 밖에 없다. 그 시간은 이제 너무나도 가까워져 있다. 근본적인 대응책도 고민을 하지 못하고 논의 되지 못하는 지금의 현실에서 공격도구의 대상 확대는 재앙 같은 의미를 지닌다.

 

일반적인 대응 흐름

 

일반적인 SQL Injection에 관련된 설명이라면 전문가들에게는 식상할 것이고 개발자들 조차도 이젠 심심치 않게 들어본 내용이 될 것이다. 매번 악성코드 유포에 따른 대응은 언론 지상에서 발표가 된다. 국내의 악성코드 대응 흐름은 너무나도 간단 명료하다. 기본 전제는 사건이 있어야 대응을 한다는 점이다.  사건이 발생 하지 않으면 그 어떤 것도 비용으로 분류가 되며 행동이 발생 되지 않는다.

 

대표적인 악성코드 유포에 따른 대응 흐름을 간략히 보면 다음과 같다.

 

1.     신규 공격코드를 이용해 SQL Injection 자동화 공격도구로 취약한 웹 서비스들에 대해 직접적인 공격이 발생 된다.

2.     웹 서비스를 통해 악성코드가 유포된다.

 

A.     유관기관에서는 악성코드 신고 접수 시에 악성코드 유포하는 도메인에 대한 차단을 진행한다.

B.      백신업체에서는 악성코드의 패턴을 이용해 대응하는 백신을 제작하거나 업데이트 한다.

C.      신규 취약성을 이용할 경우에는 패치를 설치 하라고 언급이 되고 패치가 나오지 않을 경우에는 그냥 기다린다.

D.     악성코드가 웹을 통해 감염이 되고 주변 네트워크로도 확산이 되는 것과 같은 특이한 상황의 경우 별도의 방안들을 강구하도록 한다.  ( ARP Spoofing)

 

3.     악성코드의 변형이 유포 될 경우 – 2번 항에 있는 A,B,C 항목은 계속 반복이 된다.

 


여기서 1번 항목은 일반에게 잘 알려지지 않는다. 2번 항목에 대한 내용들만 계속 루프를 돌 뿐이다. 대책으로는 모두 사용자 PC의 안정성을 탓하거나 패치부족, 계정관리의 문제들만을 언급할 뿐이다. 과연 이것만으로 지금의 문제를 정리 할 수 있을까?

 

무언가 빠진 것 같지 않은가?.

진짜 문제는 악성코드가 유포 될 수 있도록 취약성을 간직한 웹서비스들 임에도 대책은 부실하다.

어떤 문제로 인해 공격을 당하는 것은 전문가나 일정 수준에 도달한 사람들이라면 모두 숙지하고 있다. 중요한 것은 어디에 문제가 있느냐 하는 것이다. 어디에서 어떤 부분을 어떻게 해야 하는 모든 과정은 지금 생략 되어 있다.

 

여러 가지 대응 서비스들이 있으나 확산의 한계가 존재하고 비용 문제 또한 만만치 않다. 여기서의 비용은 여러 가지 비용을 산정 할 수 있다. 소스코드의 대폭적인 개선과 보안기능이 강화된 템플릿의 활용, 보안진단 인력, 진단도구의 활용, 웹 보안 도구의 도입 모두 상당한 비용을 수반 할 수 밖에 없다. 일시적인 비용 이외에 지속적인 관리비용 또한 만만치 않게 소요된다. 또 이런 비용과 서비스를 이용해서 보안성을 높인다 하여도 웹 소스코드가 변화 없이 그대로 있었던 경우가 있는가? 매번 변화되고 짧게는 하루에 몇 번, 길게는 몇 달에 한번씩이라도 웹 서비스는 개선이 되고 코드가 갱신된다. 문제는 다시 시작이 된다. 비용대비 효율이라는 측면에서 답이 나오지 않는 해결책이 계속 될 수 밖에 없다.

 

문제의 핵심을 보라

 

악성코드의 변종은 날마다 최대치를 갱신한다. 만약 탐지 건수로만 따진다면 매년마다 신기록을 넘어서고 있을 것이다. 동일한 악성코드가 전 세계에서 발견이 되고 그 숫자는 가공할 만큼의 수치가 발견 될 수 밖에 없다. 왜 이렇게 확산이 되고 범위가 넓혀지는가에 대해 고민을 하고 방안을 마련해야 한다. 그러나 현실은 난감한 상황이다.

 

자유로운 공격자들의 공격에 단순한 대응만으로도 허덕일 지경이니 원인제거를 위한 활동은 단순한 허언에 지나지 않는다. 원인제거 없는 단순한 대응은 보안분야뿐 아니라 IT 생태계 자체가 심각하게 교란되고 혼란해 질 수 밖에 없는 상황으로 점점 더 빨리 달려갈 뿐이다.

 

문제의 핵심은 입력값 검증에 대한 절차 준수와 입력값 검증을 손쉽게 확인 할 수 있는 도구나 서비스가 관건이 될 것이다. 도구나 서비스를 활용해 개발자들이 점진적으로 위험성을 제거해 가고 전체적인 서비스에 존재하는 문제들은 일률적으로 제거 할 수 있도록 가이드 되지 않는 한 이 문제는 인터넷이 사용되는 내내 계속 될 수 밖에 없는 문제이다. 시간 지나면 사라질 문제가 절대 아니다. 2010년 상반기를 결산하는 HP TopRisk Report를 보면 Network 단위에서 발생되는 공격의 80% 이상이 Web application을 노린 공격이다.

(http://dvlabs.tippingpoint.com/toprisks2010 )

공격의 측면은 두 가지로 진행이 되어 왔고 앞으로도 진행 될 것이다.

 

1. 전파를 위한 도구의 고도화 및 확장 ( Mass sql injection tool – MSSQL, Oracle, Mysql)

2. 클라이언트 침입을 위한 다양한 어플리케이션의 제로데이 발견 ( IE, FF, Safari, Flash, PDF …)


우리는 지금 1번에 대한 대응은 생각도 못한 상태에서 클라이언트 침입을 확인 할 수 있는 최소한의 도구만을 지녔을 뿐이다. 물론 이마저도 없는 나라들도 부지기수 이지만

도구가 활용되는 통로를 어떻게 최소화 하고 줄일 수 있느냐에 따라 제로데이의 영향력도 축소가 될 것이다.

 

지금과 같은 대응이라면 매일매일 동일한 대응의 지루한 반복만이 계속 될 뿐이며 나갈 수 있는 정보들은 모두 빠져나가고 악의적으로 활용 될 수 밖에 없으며 결국 서비스 자체 뿐 아니라 서비스의 생태계에도 충분히 큰 영향을 줄 것이다.

 

이미 오래 전 예상된 바이고 이젠 그 결과를 모든 사용자가 간접적으로 느낄 수 밖에 없을 것이다. 문제 발견 이후의 클라이언트에 설치된 어플리케이션의 패치들은 이제 빠른 확산 도구를 갖추고 있는 상태에서 매번 소 잃고 외양간 고치는 것이 반복 될 수 밖에 없다.  빠른 확산 도구인 웹 어플리케이션의 취약성을 각 개별 사이트 마다 찾아서 보완을 하지 않는다면 이 도구는 계속해서 확장하여 종래에는 감당하기 어려운 상황으로 갈 수 있다. 

 

이젠 전략적이며 적극적으로 웹어플리케이션에 존재하는 문제들을 제거하고 보완 할 수 있는 지속적인 방법과 도구를 찾고 활용 함으로써 늦었지만 근본 대응을 모색 할 때이다. 전 세계적으로..

 

-       바다란 세상 가장 낮은 곳의 또 다른 이름

 

* 여기에서의 웹 어플리케이션은 개발자가 다양한 언어 ( asp ,php ,jsp, aspx )를 활용하여 목적에 맞도록 Database와 연결 하고 그 결과를 사용자에게 보여주는 홈페이지를 의미한다. 대부분의 기업 및 서비스 홈페이지가 그 범주에 해당된다.

 

Sql injection 에 대한 설명들은 필자 블로그의 컬럼들을 참조.

Mass sql injection 대응과 현실 - http://p4ssion.com/200
SQL Injection
공격 변화 - http://p4ssion.com/207
Posted by 바다란

인터넷 뱅킹 해킹의 이면 바다란 세상 가장 낮은 곳의 또 다른 이름 zdnet 컬럼

 

1~2년 전 부터 인터넷 뱅킹에 대한 해킹이 간간히 언론의 지면을 장식하고 있다. 과연 인터넷 뱅킹은 안전한가? 라는 질문이 나올법하다. 그러나 정작 중요한 것은 논의가 되지 않는다. 단지 어느 은행의 인터넷 뱅킹이 해킹을 당했다라는 단발성 기사만 활자화 되고 논의가 되고 있다. 인간은 단순하지 않다. 사실도 단순하지 않다. 사건이란 우연히 일어나는 것이 아니라 발생할 환경이 조성이 되면 그제서야 발생이 되는 것이다. 현재의 인터넷 뱅킹에 대한 해킹은 인터넷 환경의 현주소를 의미하는 것과 동일하다. Security라는 관점에서 다시 한번 이야기를 할 필요는 분명하게 있다. 이제 몇 년 전 이야기 했던 이야기를 다시 한번 해본다.

 

 

이면에 숨겨진 이야기는 한참 이전부터 필자가 이야기 해온 인터넷 환경의 위치를 보여주고 있다.  위험요소는 이미 2~3년 전부터 나타나고 있었으며 그 상황이 여전히 지속되고 있음을 의미한다. 지금의 위험요소는 어떤 상황으로 나타나고 있을까? 언론에 나타나지 않는다 하여 피해가 없는 것일까? 하는 의문은 끝내야 될 시점이고 현실적이고 종합적인 대책이 나타나지 않는다면 앞으로의 웹에 대한 접근성은 더 복잡하고 어려워 질 것이고 인터넷 환경의 위험은 더욱 깊숙하게 실생활에 영향을 미칠 것이다.

 

2007년에 작성한 국내의 인터넷 환경의 위험요소와 대응에 관한 문서에서 다음과 같은 관점을 기술한 바 있다.

 

현재의 위험 상황

 

웹을 통한 악성코드 유포 및 DDos 공격 , 개인 PC에 대한 완벽 제어

 

안전하지 못한 웹 서비스를 통한 악성코드 유포의 일반화

 

IT서비스 환경 근간을 위협하는 트래픽 공격

 

백신 및 보안 서비스의 전역적인 대응 효과 미비

 

인터넷 환경의 급격한 개선에 따라 향후 위험성은 전 세계 서비스로 확대 될 것임

    현재는 가장 빠르고 구조적인 인프라를 보유한 국내를 대상으로 지속적인 해킹 시도

 

국내 개인 PC 인프라 장악 이후 공격에 이용 : 탐지 및 차단의 어려움

 

 

향후를 위한 대응

 * 방향성: 단기간의 공격에는 당할 수 밖에 없으나 그 이상은 당하지 않으며 공격도구의 분석을 통한 전역적인 대응으로 공격 도구의 상실을 기획 하여야 함

 

전역적인 대응 체제 구성의 절대적 필요성

   사용자 개개인에게 보안패치와 백신의 설치 권고만으로는 해결이 불가능함

 

ISP 와 분석기관 , 대응 기관의 절대적 협업 필요

    정보획득 -> 분석 -> 대응의 일원화된 프로세스 필요

 

개인 PC 환경의 획기적인 보안성 강화 필요

    트래픽 이상유무 감지 혹은 과다 증가 검출 루틴 필요

    전국적인 대응 체제가 가능한 협의체 ( AV 업체의 연합) 또는 무료백신의 필요성

 

Secure한 웹서비스를 위한 Validation check 서비스의 일반화

   국내 웹 App 80% 이상이 URL 인자 단위의 문제를 포함하고 있음

  ( XSS , SQL Injection ) 따라서 악성코드 유  포지로서 이용되지 않도록 IT서비스 차원의 특화된 대응 필요

  단기: Validation check 서비스 활성화를 통한 일정규모 이상의 서비스 검수

  장기: Secure programming 의 일반화를 위한 Awareness 확대 - 서적 , 교육 등등

[출처] IT서비스의 현재 위험과 대응에 대하여 - 종합|작성자 바다란

 

 

문제가 되고 있다고 지적한 6가지 부분에 대해 현재까지도 명확한 대응을 하는 부분은 거의 없다. 일부 있다고 하여도 전체로의 적용은 한참 더 먼 길을 가야만 하는 상황이다. 대책 부분에서도 기술한 내용들은 동시에 진행이 되었어야만 2년의 시간이 지난 지금쯤 나은 환경에 이르렀을 것이다. 그러나 지금 변한 것은 아무 것도 없다. DDos의 위험은 예전에도 있었고 지금도 마찬가지 이다. 달라진 것이 있다면 인터넷 서비스 기업의 생존과 사용자의 불편함이 전보다 더 증가해서 더 두드러지게 나타날 뿐인 상황이다. 

 

 

DDOS

 

DDos공격이 어떤 방식으로 이루어 지는지에 대해서 논하는 것은 이 컬럼의 논지를 벗어난다. 다만 DDos의 공격이 예전에는 특정 지역이나 국가에서 집중하여 전달이 되었다면 상위 네트워크 관리 기관에서 해당 지역의 차단과 트래픽 우회 등을 통해서 문제를 해결하는 것이 가능하였으나 지금은 국내의 수많은 개인 PC(좀비 PC라고 칭한다.)에 설치된 악성코드를 이용하여 DDos 공격을 한다.

 

예전엔 출발지점이 일정하여 일원화된 대응 방안들이 효과적 이였으나 지금은 전국에서 서로 다른 네트워크 망에서 유사한 특징을 가진 트래픽들이 한 지점으로 집중이 된다. 이 방식에서의 대응은 집중되는 지점에서 해결 할 수 밖에 없다. 이 점에서 문제가 발생된다. 이전에 발생된 DDos와 현상적인 차이점이 존재하는 것이다. 출발지를 특정 할 수 없는 불특정 다수의 지점으로부터 유입되는 유사한 특성의 트래픽은 도착지에서 해결 할 수 밖에 없다.

 

천 여대의 PC에서 공격이 발생 된다고 하였을 때 가장 막기 쉬운 방법은 천 여대의 PC가 일정한 규칙을 가지고 있을 때 막는 것이 쉽다. 동일한 IP 대역을 사용 하고 있거나 특정 ISP만을 사용하고 있거나 할 때 처리하는 것이 어느 정도 용이하고 간편하다. 그러나 지금의 DDos 공격은 그렇지 않다. 규칙을 정할 수 없는 천 여대의 각자 다른 PC에서 동일한 사이트로 접속을 하는 것이다.

그리고 그 전달속도는 전 세계에서 가장 빠르다. 속도라도 느린 곳은 일시에 과다한 트래픽을 모으는 것이 어렵다. 전달경로가 제 각각이기에 큰 효과를 내기 위해서는 많은 PC를 동원해야 한다. 그러나 국내의 인터넷 환경은 전송 경로상의 미세한 차이는 눈에 보이지도 않을 만큼 빠른 속도를 자랑한다. 그럼 이제 이 모든 트래픽들이 전달되는 곳에서는 이 문제를 처리해야만 한다. 공격자에 대한 처리는 힘들어 지고 방어하는 곳은 더 높게 성을 쌓아야만 한다. 성을 쌓는 비용도 만만치 않다. 큰 흐름을 잡을 수 없기 때문에 이 문제는 향후에도 더 심각해질 것임은 당연한 일이다.

 

불황기의 공격은 더 악독해 지는 것이 사실이고 빈익빈 부익부의 현상은 인터넷 환경의 서비스 업체에서는 더 실감나게 다가올 것이다. 누가 더 성을 크게 쌓고 넓게 쌓느냐에 따라 흥망성쇠가 달라 질 수 있다. 성을 제외한 환경은 초토화가 될지라도 말이다.

 

지금 시점의 DDos가 문제가 되는 것은 공격 출발지의 분포도가 매우 다양하다는 점과 과도한 트래픽이 문제 해결을 어렵게 만드는 부분이다. 또한 불특정 다수의 공격자들을 모집하는 방법에서 이전의 DDos 공격과 큰 차이를 보인다. 현재 문제가 되는 부분은 불특정 다수라는 측면에서 문제가 가장 크다고 볼 수 있다. 과정을 간략히 살펴보면 다음과 같다.

 

자동화된 공격도구를 이용한 취약한 웹사이트 해킹 -> 악성코드 유포를 위한 웹 소스코드 변조 -> 사이트 방문자에 대한 악성코드 유포-> 악성코드 자체의 업데이트 혹은 다운로드 -> 완벽한 Remote Control  (이 시점이 되면 Botnet Client 이던 사용자 PC의 정보이던 무엇이든지 유출 및 이용이 가능한 상태라 할 수 있다.)

 

불특정 다수에게 악성코드를 유포하는 방법으로 웹서비스 해킹을 사용하고 있으며 2005년 이전의 특정 사이트에 대한 단발성 공격이 아닌 불특정 사이트 다수를 대상으로 한 Mass Attack이 주를 이루고 있다. 현재 드러나는 추세로는 점차 악성코드의 유포 자체도 은폐 시도를 하고 있어서 공격 흔적을 찾기가 쉽지 않다. 악성코드의 은닉화와 정교함도 깊이를 더해 어느 정도의 깊이가 있지 않고서는 대응이 어려운 실정이다.

 

 

정보유출

 

정보유출의 관점도 사용자 PC에 설치되는 악성코드의 특징과 긴밀한 관련이 있다. 현재 유포되고 있는 대다수의 악성코드는 키입력 로깅 및 화면 캡쳐 등 사실상 개인 PC의 모든 권한을 원격에서 마음대로 좌우 할 수 있는 형태이다. 이와 같은 유형의 백도어들은 국내 관측은 2005년쯤부터 관찰이 되고 있는 상태이고 이후 2006년 이후에 이르러서는 정교함이 더 깊어졌고 불특정 다수에 대한 악성코드 유포와 결합하여 피해를 높이고 있는 상황이다. 현재의 상황은 그 보다 더 진전 되었을 것으로 유추가 된다. 사용자가 입력하는 키보드 정보를 모두 가져가는 공격을 막기 위해 키보드 보안 및 다양한 보안 솔루션들이 설치가 되고 있으나 알려진 악성코드의 제거와 하드웨어 입력을 노출이 안되도록 암호화 하는 역할만을 할 수 있을 뿐이며 현재의 상황을 넘기기엔 부족함이 있음을 의미한다.

 

 

2005년 무렵에 발견된 일부 악성코드 유형은 전송 단계에서 IE Browser에서 전송 직전에 변환되는 암호화된 정보를 가로채는 BHO (Browser Helper Object) 유형의 악성코드가 존재 하였으며 현재는 그 비율은 거의 대부분이라고 할 정도이다. 보안솔루션으로는 해결하기 어려운 범주이며 온라인 서비스 자체의 구조변경 외에는 뚜렷한 답이 없다. BHO 유형의 정보탈취를 막기 위해서는 서비스 차원에서의 암호화와 암호화된 정보가 서버 단위까지 전송되는 유형이 필요하며 이 것은 전체적인 서비스의 개편을 의미 한다. 상세내용은 곳의 첨부파일을 참고하기 바란다.

 

현재의 인터넷 뱅킹에서 일부 사건이 발생 되고 있는 것은 많은 정보가 유출 되었지만 여러 단계의 인증수단과 각 단계별 보호 대책에 온라인이 아닌 오프라인 메소드들이 존재하기에 문제가 이 정도에 그치고 있는 것이다. OTP의 활용 및 오프라인 보안카드의 활용 등은 인터넷뱅킹의 해킹을 어렵게 만들고 있다. 그러나 반대로 생각하면 몇 가지 방안 외에는 모든 것이 다 넘겨진 상태라 보아도 무방한 상황인 것이다. 만약 보안솔루션을 사용하지 않았다면 지금 보다 더 심각한 상황에 일찌감치 도달 하였을 것임은 명확하며 거의 대다수 국내 인터넷 사용자들이 활용하고 있는 인터넷 뱅킹과 전자 상거래 부분은 꽃을 피우지도 못하였을 것이다. 해외의 은행들은 아직 온라인 계좌 이체 부분에 있어서 자유도가 극히 낮다. 인터넷 뱅킹의 용도가 잔액 확인과 사전에 확인되고 알려진 계좌에 대한 제한적인 이체 외에는 사용빈도가 높지 않다. 따라서 공격자들은 다른 방식의 정보 활용을 통해 이득을 얻고 있는 상황이다. 이 중 일부 기사화된 내용은 다음의 분석을 참고 하면 된다. 직접적인 금액의 인출이 아니라 사용자의 계좌를 도용하여 쓰레기 주식을 매입한 이후 시세를 조작하여 대규모 이득을 얻은 사례에 대한 내용이다. 만약 인터넷 상의 계좌 이체 등이 활발하고 자유로웠다면 이런 유형의 공격은 발생하지 않았을 것이다. 단지 번거롭고 손이 많이 간다는 이유만으로도 빈도는 대폭 낮았을 것이다.

 

 

문제의 근원을 보아야 한다.

 

인터넷 뱅킹에 대한 문제는 이제 금융사 단위에서 해결을 하기 위한 범주는 넘지 않았나 생각 된다. 사용자 PC에 대한 보호대책의 한계가 있고 모든 웹 서비스의 보호에도 한계가 있다. 그러나 공격자들에게 주어진 한계란 없다. 새롭게 발전 하고 새로운 취약성의 즉시적인 이용에도 능숙하다. 반면 대응은 느리고 미숙하다. 항상 사고 발생 이후에야 느린 대응을 할 수 있고 어느 정도 대응이 완료 되는 시점에는 또 다른 위험요소에 직면 할 수 밖에 없다. 사용자에 대한 보안의식 고취로도 사회 공학적인 기법의 해킹과 고 난이도로 무장된 악성코드에는 당해낼 사람이 없다. 하물며 보안전문가 조차도 처리에 어려움이 있는 상태이니 말이다. 가장 처음의 시작은 자동화된 공격도구에 의해 손쉽게 당하는 취약한 웹 서비스들을 어떤 방식으로 고도화 시킬 것이고 단계적으로 강화를 시킬 것인가 하는 것이 핵심이다. 그러나 아직 방안도 계획도 없어 보인다. 금융기관에 대한 비난도 사용자의 보안적인 무지함에 대한 논의도 범주를 벗어난 이야기이다. 현실에 기반하여 냉철하게 다음 단계를 예상하고 종합적인 대책을 고려 하여야 함은 전문가의 숙명이다.

 

공격자의 효율적인 공격통로를 차단하는 것이 가장 기본이며 공격의 대상이 무엇인지에 중점을 두어야 한다. 효율적인 유포 수단으로 사용되고 있는 웹서비스의 취약성을 빠르게 없애지 않는다면 현재의 혼란은 끝도 없이 계속 될 수 밖에 없다. 그것도 점차 복잡하고 큰 규모로 이루어 질 것이다. 악성코드의 문제는 단지 빙산의 일각일 뿐이다. 앞으로 더욱 생활과 밀접한 Web 2.0의 실험적인 공격들과 사회공학적인 속임수들이 창궐할 것이다. 이미 예상 되었던 것 그 이상도 이하도 아니다.

 

대책은 이미 여러 해 전에 종합적으로 제시를 한 바 있다. 이제는 국내만의 문제가 아닌 전 세계적인 인터넷 서비스의 문제가 된 상황에서 기회가 될 수도 있고 좌절이 될 수 있다. 온 세상에서 녹색을 이야기 한다. 그러나 필자의 눈에는 인터넷 세상은 잿빛이다. 그것도 검은색에 가까운...

 

 

 

사람 사는 세상을 꿈 꾼 인터넷 대통령의 서거를 깊은 슬픔으로 애도합니다.

Posted by 바다란

인터넷 뱅킹 해킹의 이면 바다란 세상 가장 낮은 곳의 또 다른 이름 zdnet 컬럼

 

1~2년 전 부터 인터넷 뱅킹에 대한 해킹이 간간히 언론의 지면을 장식하고 있다. 과연 인터넷 뱅킹은 안전한가? 라는 질문이 나올법하다. 그러나 정작 중요한 것은 논의가 되지 않는다. 단지 어느 은행의 인터넷 뱅킹이 해킹을 당했다라는 단발성 기사만 활자화 되고 논의가 되고 있다. 인간은 단순하지 않다. 사실도 단순하지 않다. 사건이란 우연히 일어나는 것이 아니라 발생할 환경이 조성이 되면 그제서야 발생이 되는 것이다. 현재의 인터넷 뱅킹에 대한 해킹은 인터넷 환경의 현주소를 의미하는 것과 동일하다. Security라는 관점에서 다시 한번 이야기를 할 필요는 분명하게 있다. 이제 몇 년 전 이야기 했던 이야기를 다시 한번 해본다.

 

 

이면에 숨겨진 이야기는 한참 이전부터 필자가 이야기 해온 인터넷 환경의 위치를 보여주고 있다.  위험요소는 이미 2~3년 전부터 나타나고 있었으며 그 상황이 여전히 지속되고 있음을 의미한다. 지금의 위험요소는 어떤 상황으로 나타나고 있을까? 언론에 나타나지 않는다 하여 피해가 없는 것일까? 하는 의문은 끝내야 될 시점이고 현실적이고 종합적인 대책이 나타나지 않는다면 앞으로의 웹에 대한 접근성은 더 복잡하고 어려워 질 것이고 인터넷 환경의 위험은 더욱 깊숙하게 실생활에 영향을 미칠 것이다.

 

2007년에 작성한 국내의 인터넷 환경의 위험요소와 대응에 관한 문서에서 다음과 같은 관점을 기술한 바 있다.

 

현재의 위험 상황

 

웹을 통한 악성코드 유포 및 DDos 공격 , 개인 PC에 대한 완벽 제어

 

안전하지 못한 웹 서비스를 통한 악성코드 유포의 일반화

 

IT서비스 환경 근간을 위협하는 트래픽 공격

 

백신 및 보안 서비스의 전역적인 대응 효과 미비

 

인터넷 환경의 급격한 개선에 따라 향후 위험성은 전 세계 서비스로 확대 될 것임

    현재는 가장 빠르고 구조적인 인프라를 보유한 국내를 대상으로 지속적인 해킹 시도

 

국내 개인 PC 인프라 장악 이후 공격에 이용 : 탐지 및 차단의 어려움

 

 

향후를 위한 대응

 * 방향성: 단기간의 공격에는 당할 수 밖에 없으나 그 이상은 당하지 않으며 공격도구의 분석을 통한 전역적인 대응으로 공격 도구의 상실을 기획 하여야 함

 

전역적인 대응 체제 구성의 절대적 필요성

   사용자 개개인에게 보안패치와 백신의 설치 권고만으로는 해결이 불가능함

 

ISP 와 분석기관 , 대응 기관의 절대적 협업 필요

    정보획득 -> 분석 -> 대응의 일원화된 프로세스 필요

 

개인 PC 환경의 획기적인 보안성 강화 필요

    트래픽 이상유무 감지 혹은 과다 증가 검출 루틴 필요

    전국적인 대응 체제가 가능한 협의체 ( AV 업체의 연합) 또는 무료백신의 필요성

 

Secure한 웹서비스를 위한 Validation check 서비스의 일반화

   국내 웹 App 80% 이상이 URL 인자 단위의 문제를 포함하고 있음

  ( XSS , SQL Injection ) 따라서 악성코드 유  포지로서 이용되지 않도록 IT서비스 차원의 특화된 대응 필요

  단기: Validation check 서비스 활성화를 통한 일정규모 이상의 서비스 검수

  장기: Secure programming 의 일반화를 위한 Awareness 확대 - 서적 , 교육 등등

[출처] IT서비스의 현재 위험과 대응에 대하여 - 종합|작성자 바다란

 

 

문제가 되고 있다고 지적한 6가지 부분에 대해 현재까지도 명확한 대응을 하는 부분은 거의 없다. 일부 있다고 하여도 전체로의 적용은 한참 더 먼 길을 가야만 하는 상황이다. 대책 부분에서도 기술한 내용들은 동시에 진행이 되었어야만 2년의 시간이 지난 지금쯤 나은 환경에 이르렀을 것이다. 그러나 지금 변한 것은 아무 것도 없다. DDos의 위험은 예전에도 있었고 지금도 마찬가지 이다. 달라진 것이 있다면 인터넷 서비스 기업의 생존과 사용자의 불편함이 전보다 더 증가해서 더 두드러지게 나타날 뿐인 상황이다. 

 

 

DDOS

 

DDos공격이 어떤 방식으로 이루어 지는지에 대해서 논하는 것은 이 컬럼의 논지를 벗어난다. 다만 DDos의 공격이 예전에는 특정 지역이나 국가에서 집중하여 전달이 되었다면 상위 네트워크 관리 기관에서 해당 지역의 차단과 트래픽 우회 등을 통해서 문제를 해결하는 것이 가능하였으나 지금은 국내의 수많은 개인 PC(좀비 PC라고 칭한다.)에 설치된 악성코드를 이용하여 DDos 공격을 한다.

 

예전엔 출발지점이 일정하여 일원화된 대응 방안들이 효과적 이였으나 지금은 전국에서 서로 다른 네트워크 망에서 유사한 특징을 가진 트래픽들이 한 지점으로 집중이 된다. 이 방식에서의 대응은 집중되는 지점에서 해결 할 수 밖에 없다. 이 점에서 문제가 발생된다. 이전에 발생된 DDos와 현상적인 차이점이 존재하는 것이다. 출발지를 특정 할 수 없는 불특정 다수의 지점으로부터 유입되는 유사한 특성의 트래픽은 도착지에서 해결 할 수 밖에 없다.

 

천 여대의 PC에서 공격이 발생 된다고 하였을 때 가장 막기 쉬운 방법은 천 여대의 PC가 일정한 규칙을 가지고 있을 때 막는 것이 쉽다. 동일한 IP 대역을 사용 하고 있거나 특정 ISP만을 사용하고 있거나 할 때 처리하는 것이 어느 정도 용이하고 간편하다. 그러나 지금의 DDos 공격은 그렇지 않다. 규칙을 정할 수 없는 천 여대의 각자 다른 PC에서 동일한 사이트로 접속을 하는 것이다.

그리고 그 전달속도는 전 세계에서 가장 빠르다. 속도라도 느린 곳은 일시에 과다한 트래픽을 모으는 것이 어렵다. 전달경로가 제 각각이기에 큰 효과를 내기 위해서는 많은 PC를 동원해야 한다. 그러나 국내의 인터넷 환경은 전송 경로상의 미세한 차이는 눈에 보이지도 않을 만큼 빠른 속도를 자랑한다. 그럼 이제 이 모든 트래픽들이 전달되는 곳에서는 이 문제를 처리해야만 한다. 공격자에 대한 처리는 힘들어 지고 방어하는 곳은 더 높게 성을 쌓아야만 한다. 성을 쌓는 비용도 만만치 않다. 큰 흐름을 잡을 수 없기 때문에 이 문제는 향후에도 더 심각해질 것임은 당연한 일이다.

 

불황기의 공격은 더 악독해 지는 것이 사실이고 빈익빈 부익부의 현상은 인터넷 환경의 서비스 업체에서는 더 실감나게 다가올 것이다. 누가 더 성을 크게 쌓고 넓게 쌓느냐에 따라 흥망성쇠가 달라 질 수 있다. 성을 제외한 환경은 초토화가 될지라도 말이다.

 

지금 시점의 DDos가 문제가 되는 것은 공격 출발지의 분포도가 매우 다양하다는 점과 과도한 트래픽이 문제 해결을 어렵게 만드는 부분이다. 또한 불특정 다수의 공격자들을 모집하는 방법에서 이전의 DDos 공격과 큰 차이를 보인다. 현재 문제가 되는 부분은 불특정 다수라는 측면에서 문제가 가장 크다고 볼 수 있다. 과정을 간략히 살펴보면 다음과 같다.

 

자동화된 공격도구를 이용한 취약한 웹사이트 해킹 -> 악성코드 유포를 위한 웹 소스코드 변조 -> 사이트 방문자에 대한 악성코드 유포-> 악성코드 자체의 업데이트 혹은 다운로드 -> 완벽한 Remote Control  (이 시점이 되면 Botnet Client 이던 사용자 PC의 정보이던 무엇이든지 유출 및 이용이 가능한 상태라 할 수 있다.)

 

불특정 다수에게 악성코드를 유포하는 방법으로 웹서비스 해킹을 사용하고 있으며 2005년 이전의 특정 사이트에 대한 단발성 공격이 아닌 불특정 사이트 다수를 대상으로 한 Mass Attack이 주를 이루고 있다. 현재 드러나는 추세로는 점차 악성코드의 유포 자체도 은폐 시도를 하고 있어서 공격 흔적을 찾기가 쉽지 않다. 악성코드의 은닉화와 정교함도 깊이를 더해 어느 정도의 깊이가 있지 않고서는 대응이 어려운 실정이다.

 

 

정보유출

 

정보유출의 관점도 사용자 PC에 설치되는 악성코드의 특징과 긴밀한 관련이 있다. 현재 유포되고 있는 대다수의 악성코드는 키입력 로깅 및 화면 캡쳐 등 사실상 개인 PC의 모든 권한을 원격에서 마음대로 좌우 할 수 있는 형태이다. 이와 같은 유형의 백도어들은 국내 관측은 2005년쯤부터 관찰이 되고 있는 상태이고 이후 2006년 이후에 이르러서는 정교함이 더 깊어졌고 불특정 다수에 대한 악성코드 유포와 결합하여 피해를 높이고 있는 상황이다. 현재의 상황은 그 보다 더 진전 되었을 것으로 유추가 된다. 사용자가 입력하는 키보드 정보를 모두 가져가는 공격을 막기 위해 키보드 보안 및 다양한 보안 솔루션들이 설치가 되고 있으나 알려진 악성코드의 제거와 하드웨어 입력을 노출이 안되도록 암호화 하는 역할만을 할 수 있을 뿐이며 현재의 상황을 넘기기엔 부족함이 있음을 의미한다.

 

 

2005년 무렵에 발견된 일부 악성코드 유형은 전송 단계에서 IE Browser에서 전송 직전에 변환되는 암호화된 정보를 가로채는 BHO (Browser Helper Object) 유형의 악성코드가 존재 하였으며 현재는 그 비율은 거의 대부분이라고 할 정도이다. 보안솔루션으로는 해결하기 어려운 범주이며 온라인 서비스 자체의 구조변경 외에는 뚜렷한 답이 없다. BHO 유형의 정보탈취를 막기 위해서는 서비스 차원에서의 암호화와 암호화된 정보가 서버 단위까지 전송되는 유형이 필요하며 이 것은 전체적인 서비스의 개편을 의미 한다. 상세내용은 곳의 첨부파일을 참고하기 바란다.

 

현재의 인터넷 뱅킹에서 일부 사건이 발생 되고 있는 것은 많은 정보가 유출 되었지만 여러 단계의 인증수단과 각 단계별 보호 대책에 온라인이 아닌 오프라인 메소드들이 존재하기에 문제가 이 정도에 그치고 있는 것이다. OTP의 활용 및 오프라인 보안카드의 활용 등은 인터넷뱅킹의 해킹을 어렵게 만들고 있다. 그러나 반대로 생각하면 몇 가지 방안 외에는 모든 것이 다 넘겨진 상태라 보아도 무방한 상황인 것이다. 만약 보안솔루션을 사용하지 않았다면 지금 보다 더 심각한 상황에 일찌감치 도달 하였을 것임은 명확하며 거의 대다수 국내 인터넷 사용자들이 활용하고 있는 인터넷 뱅킹과 전자 상거래 부분은 꽃을 피우지도 못하였을 것이다. 해외의 은행들은 아직 온라인 계좌 이체 부분에 있어서 자유도가 극히 낮다. 인터넷 뱅킹의 용도가 잔액 확인과 사전에 확인되고 알려진 계좌에 대한 제한적인 이체 외에는 사용빈도가 높지 않다. 따라서 공격자들은 다른 방식의 정보 활용을 통해 이득을 얻고 있는 상황이다. 이 중 일부 기사화된 내용은 다음의 분석을 참고 하면 된다. 직접적인 금액의 인출이 아니라 사용자의 계좌를 도용하여 쓰레기 주식을 매입한 이후 시세를 조작하여 대규모 이득을 얻은 사례에 대한 내용이다. 만약 인터넷 상의 계좌 이체 등이 활발하고 자유로웠다면 이런 유형의 공격은 발생하지 않았을 것이다. 단지 번거롭고 손이 많이 간다는 이유만으로도 빈도는 대폭 낮았을 것이다.

 

 

문제의 근원을 보아야 한다.

 

인터넷 뱅킹에 대한 문제는 이제 금융사 단위에서 해결을 하기 위한 범주는 넘지 않았나 생각 된다. 사용자 PC에 대한 보호대책의 한계가 있고 모든 웹 서비스의 보호에도 한계가 있다. 그러나 공격자들에게 주어진 한계란 없다. 새롭게 발전 하고 새로운 취약성의 즉시적인 이용에도 능숙하다. 반면 대응은 느리고 미숙하다. 항상 사고 발생 이후에야 느린 대응을 할 수 있고 어느 정도 대응이 완료 되는 시점에는 또 다른 위험요소에 직면 할 수 밖에 없다. 사용자에 대한 보안의식 고취로도 사회 공학적인 기법의 해킹과 고 난이도로 무장된 악성코드에는 당해낼 사람이 없다. 하물며 보안전문가 조차도 처리에 어려움이 있는 상태이니 말이다. 가장 처음의 시작은 자동화된 공격도구에 의해 손쉽게 당하는 취약한 웹 서비스들을 어떤 방식으로 고도화 시킬 것이고 단계적으로 강화를 시킬 것인가 하는 것이 핵심이다. 그러나 아직 방안도 계획도 없어 보인다. 금융기관에 대한 비난도 사용자의 보안적인 무지함에 대한 논의도 범주를 벗어난 이야기이다. 현실에 기반하여 냉철하게 다음 단계를 예상하고 종합적인 대책을 고려 하여야 함은 전문가의 숙명이다.

 

공격자의 효율적인 공격통로를 차단하는 것이 가장 기본이며 공격의 대상이 무엇인지에 중점을 두어야 한다. 효율적인 유포 수단으로 사용되고 있는 웹서비스의 취약성을 빠르게 없애지 않는다면 현재의 혼란은 끝도 없이 계속 될 수 밖에 없다. 그것도 점차 복잡하고 큰 규모로 이루어 질 것이다. 악성코드의 문제는 단지 빙산의 일각일 뿐이다. 앞으로 더욱 생활과 밀접한 Web 2.0의 실험적인 공격들과 사회공학적인 속임수들이 창궐할 것이다. 이미 예상 되었던 것 그 이상도 이하도 아니다.

 

대책은 이미 여러 해 전에 종합적으로 제시를 한 바 있다. 이제는 국내만의 문제가 아닌 전 세계적인 인터넷 서비스의 문제가 된 상황에서 기회가 될 수도 있고 좌절이 될 수 있다. 온 세상에서 녹색을 이야기 한다. 그러나 필자의 눈에는 인터넷 세상은 잿빛이다. 그것도 검은색에 가까운...

 

 

 

사람 사는 세상을 꿈 꾼 인터넷 대통령의 서거를 깊은 슬픔으로 애도합니다.

Posted by 바다란