태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'웹해킹'에 해당되는 글 2건

  1. 2011.05.26 거인의 몰락 (소니)
  2. 2011.05.16 소니,현대캐피탈 -시작된 위기

zdnet 컬럼입니다.

 한때 소니라고 불리는 영원할 것 같은 제국이 있었다. 워크맨으로 부터 시작한 거대 IT 제국은 각 영역의 거센 도전자를 만나 점차 힘을 잃어 가고 있었고 부활을 꿈꾸기 위해 시작한 PSP ( Play station ) 사업은 일순간의 영화를 재현하는 것 처럼 보였고 재기를 꿈꾸게 만들었다.

전자기기와 엔터테인먼트 산업의 거인이던 소니는 그 각 산업의 결과물을 결집 하였고 거대한 네트워크를 형성 하였다. 무너지지 않는 성처럼 보이던 거인의 보금자리는 단 한번의 손짓에 완전히 무너지는 과정에 접어 들었다.

 

무려 7500만에 달하는 전 세계 사용자의 정보와 신용카드 정보의 유출은 앞으로의 미래를 예측 할 수 없는 어둠으로 밀어 넣었으며 어쩌면 소니의 재기를 꿈꾸던 산업은 앞으로 더 험난하고 어두운 미래속으로 진입을 한 것이다. 단 하나의 뛰어난 해킹 그룹에 의해 무너졌다고 보기는 어렵다. 그 어떤 누군가에 의해서도 당할 수 밖에 없는 취약한 부분이 있었고 그 부분은 이제 거인의 무릎을 꿇게 하고 있다. 일인당 피해 배상 금액의 한도를 100만 달러 (11)으로 책정한 소니의 사건은 경우에 따라 한 거대기업의 몰락을 직접적으로 볼 수 있게 할 것이다.

 

나뭇잎이 붙은 단 하나의 지점이 치명적인 약점으로 작용한 아킬레스의 건처럼 거인의 온 몸은 튼튼하고 강했지만 사소한 작은 부분 하나가 내부의 혈관을 멈추게 한다. 지금의 기술적 보안의 현실과 다르지 않다. 정문만을 철저하게 보호하고 지키는 것은 당연히 공격자들을 우회하게끔 만들고 그 우회의 결과는 모든 노출 부분이 일정 수준 이상을 항상 유지 하지 않으면 언제든 치명적인 결과를 초래함을 목격하고 있다.

 

n  위험의 시작

 

The register에서 언급된 소니의 해명기사를 보면 사건의 전말을 유추 할 수 있다.

 

Sony: 'PSN attacker exploited known vulnerability'

Sonys Shinji Hasejima, Sonys CIO, told Sonys apologetic news conference that the attack was based on a known vulnerability in the non-specified Web application server platform used in the PSN. However, he declined to stipulate what platform/s were used or what vulnerability was exploited, on the basis that disclosure might expose other users to attack.

Hasejima conceded that Sony management had not been aware of the vulnerability that was exploited, and said it is in response to this that the company has established a new executive-level security position, that of chief information security officer, to improve and enhance such aspects.

 

The Register http://www.theregister.co.uk/2011/05/01/psn_service_restoration/

 

<소니의 해명 기자회견 장에서 공개된 침입 개요도 근본은 달라지지 않는다.>

 

PSN과 연결된 네트워크 영역에 위치한 웹서버가 알려진 공격에 의해 권한을 획득 당했음을 알 수 있다. 일반적은 웹서비스들은 데이터베이스 서버와 연동하여 정보를 웹페이지에 표시를 한다. 즉 웹서비스들은 데이터베이스와 연결 할 수 있는 권한을 가지고 있으며 만약 외부에 노출되어 서비스를 하고 있는 웹서비스가 해킹을 당한다면 이것은 데이터베이스의 정보도 반드시 외부로 유출 될 수 밖에 없다는 점을 의미한다. 소니에게 일어난 최악의 정보유출 사고는 그들의 관리영역 아래에 있는 웹서비스들중 어쩌면 중요도가 떨어지는 서비스가 직접적인 공격을 받고 권한을 이용해 데이터베이스의 전체 내용을 유출한 것이라고 보아야 할 것이다.

 

n  시나리오의 재구성

 

PSN ( Play Station Network) 영역에 대한 공격을 기반으로 간략하게 도식화한 침입 과정과 경로는 다음과 같이 예상 할 수 있다.


 

그림상에 나오는 1,2,3의 순서대로 되었을 것이고 동일 데이터베이스에서 연동되는 형태 였다면 2,3은 같이 묶이는 형태가 될 것이다. 외부에 노출된 서비스 영역에 존재하는 모든 웹서비스를 일정 수준이상 유지를 해야 위험성을 예방 할 수 있지만 개편이 진행 중이거나 통합이 진행중인 상황에서 개발보다 시간이 오래 걸릴 수 있는 보안점검은 오히려 장애물이 될 뿐이였을 것이다.

 

보안규정을 준수하고 모든 보안장비를 설치한다고 하여도 문제의 근원을 제거하지 못한다면 소용이 없다.  보안진단을 꾸준히 받고 많은 비용을 들여 컨설팅을 받는다 하여도 상시적인 수정과 개편이 일상화된 웹서비스에서는 안정성을 계속해서 보장 받는다는 것은 현실적으로 불가능하다.

 

거대기업이든 보안적인 역량이 충분한 기업이든 현재 상태에서는 안정성을 보장하기가 어렵다.

모든 외부 노출 부분에 대해 상시적인 진단과 문제점을 확인 할 수 있는 과정은 아직 출현하지 않았기 때문이며 그만큼 공격자들의 우위는 보다 높은 곳에 있다. 지켜야 할 곳은 많고 잠시의 여유와 한가로움은 치명적인 결과로 돌아오기에 지키는 자들도 힘든 과정에 돌입해 있다.

 

n  무엇이 문제인가?

 

간단하게 말해서 소니의 몰락은 아주 작은 부분에서 부터 시작이 되었으며 그 과정에 며칠이 걸리지도 않았다. 위험으로 부터 보호하기 위한 단계별 조치들은 모두 이루어 졌다 하여도 지켜야 할 범위의 광범위함과 끊임없는 변화 ( 웹서비스의 개편)는 수시로 공격자들에게 기회를 준다. 아주 오래전 부터 알려진 공격이 가능한 문제들이지만 지금의 공격자들은 이미 자동화된 공격도구로 모든 범위를 호시탐탐 노리고 있다. 문제의 수정을 위해서 다양한 도구와 전문성 있는 진단 도구를 활용하여도 전체 범위를 수시로 커버하지 못하는한 문제 해결은 요원한 길이다.

 

모든 개발자를 교육 시키는 것도 어려우며 모든 범위를 안전하게 보호하는 것도 어렵다. 대체 무엇을 할 수 있을 것인가? 소니의 공격 사례는 현대캐피탈의 해킹 이슈와 다른점이 하나도 없다. 국내는 해외든 여기에서 안전할 기업이 있을까? 목표가 되면 거기가 끝이 된다.

 

아킬레스의 생존을 위해서는 온 몸의 구석구석을 일정수준 이상 유지 할 수 있는 실효적인 서비스와 이상 부분을 가장 빠르고 단기간에 확인 할 수 있도록 체계를 유지 하지 않으면 내일의 희생자는 바로 자신이 될 수 밖에 없다. 소니의 몰락을 잊지마라.

 

웹서비스 보안과 관련 하여서는 http://p4ssion.com/241 컬럼을 참고하고 필요 부분에 대해서는 2008년에 작성한 Mass sql injection 대응과 현실이라는 컬럼 (http://p4ssion.com/200)의 내용을 참고 하면 무엇이 필요한지에 대해서 인지 할 수 있다.

 

이미 오래전 예상 되었던 것들이 현실화 된것에 지나지 않으며 국내는 물론이고 전 세계적으로 대응이 되지 않아 앞으로도 오랜기간 유사한 기사와 사례를 다수 접하게 될 것이다. 그때마다 인터넷은 위기의 상황에서 어둠 속의 파도타기를 계속 하게 될 것이다.  바다란

Posted by 바다란

댓글을 달아 주세요

위기의 인터넷은 본궤도에.. 4월의 교훈

-bloter.net 기고컬럼입니다.

국내외적으로 유사한 해킹 사례가 거의 동시에 발생을 하고 국내는 물론 세계적으로 이슈가 된 사례는 흔치 않다. 국내의 금융사와 국제적 IT기업이라고 할 수 있는 소니에 대한 해킹과 피해 사례는 앞으로의 대응에 있어서 많은 시사점을 던져준다.

정확하게는 앞으로의 대응 보다는 지금 당장의 대응이 더 시급한 측면을 가지고 있다. 일전 언론사 기고 컬럼에서 홈페이지 해킹과 악성코드 유포 및 대응방식에 대한 경고를한 적이 있다.

1. 신규 공격코드를 이용해 SQL Injection 자동화 공격도구로 취약한  서비스들에 대해 직접적인 공격이 발생 된다.

2.  서비스를 통해 악성코드가 유포된다.

A. 유관기관에서는 악성코드 신고 접수 시에 악성코드 유포하는 도메인에 대한 차단을진행한다.

B. 백신업체에서는 악성코드의 패턴을 이용해 대응하는 백신을 제작하거나 업데이트 한다.

C. 신규 취약성을 이용할 경우에는 패치를 설치 하라고 언급이 되고 패치가 나오지 않을경우에는 그냥 기다린다.

D. 악성코드가 웹을 통해 감염이 되고 주변 네트워크로도 확산이 되는 것과 같은 특이한상황의 경우 별도의 방안들을 강구하도록 한다.  ( ARP Spoofing)

3. 악성코드의 변형이 유포  경우 – 2 항에 있는 A,B,C 항목은 계속 반복이 된다.


2011년 현재도 악성코드의 유포와 대응에서 사용되고 있는 일반적인 시나리오라고 할 수 있다. 이 시나리오 상에서 이미 사전단계로 생략하고 넘어가는 부분은 이미 공격이 성공하여 악성코드를 유포할 때에는 내부망에 있는 Database에 관한 정보는 다 유출된 것과 마찬가지이고 내부로 침입 할 수 있는 통로는 이미 열려져 있는 것과 마찬가지라는 점이다.     ( http://p4ssion.com/261 마이너리티 리포트 참고)


무엇이 문제?

일반적으로 웹서버에 대한 공격에 성공을 하게 되면 언제든 간편하게 들어 올 수 있도록 통로를 만들어 둔다. 이를 백도어라고 부른다.  백도어를 통한 피해사례는 아직 끝나지 않은 현대캐피탈의 사례에서 확인이 가능하다.

소니의 사례라고 다를까? (소니의 사례는 외신에서 언급한 기사를 참고)

현대캐피탈은 보안인증을 받았고 미국에서 사업을 하고 있는 소니의 경우는 PCI-DSS라는 기본적인 보안 절차를 모두 준수할 정도로 두 회사 모두 보안에 신경을 쓰고 역점을 두었음에도 불구하고 결론적으로 최악의 해킹 피해를 당했다고 볼 수 있다. 금융회사의 내부 고객 정보가 유출이 되고 신용카드 내역을 저장한 데이터와 모든 고객정보가 유출되는 사례들은 발생 할 수 있는 최악의 사례라고 보아야 한다. 소니의 경우 정보유출로 인해 피해를 입는 고객에게는 일인당 최대 100만불 (11억원)의 피해보상을 한다는 보도도 있었으며 앞으로의 향방이 더욱 큰 관심을 끌고 있다.

거대기업을 침몰시킬 수도 있는 단초가 인터넷에 노출된 별로 중요하지 않은 웹서버 하나를 통해서도 제공 될 수 있다는 증거로서 목격 하게 될 것이다.

4월에 대표적인 해킹 피해를 입은 두 회사 모두 피해의 지점은 동일하다. 외부에 노출된 웹서버들을 통해 내부망으로 침입이 된 사례이며 웹서비스에 대한 상시적인 보안관리와 문제점 해결을 위한 노력이 모든 외부 노출 서비스 부분에 대해 이루어 지지 않을 경우 막대한 피해와 자칫하면 몰락으로도 이어질 수 있는 사례라 할 수 있다.


문제부분

일반적으로 IT 서비스를 운용하는 회사에서는 여러 종류의 서비스를 활용하고 있다.  예전과 같은 Client/ Server 모델이 아닌 웹을 활용한 정보교환과 업무 활용이 일반적인 상황에서 외부에 노출된 웹 서비스들은 항상 위험을 내포하고 있다.

대표적으로 URL 상에서 SQL ( 데이터베이스 질의 언어) 구문을 입력하여 데이터베이스의 자료를 빼내거나 조작하는 유형의 취약성인 SQL Injection의 경우가 가장 큰 예로 들 수 있는데 직접적으로 내부망에 침입하고 자료를 빼내어 갈 수 있다는 점에서 가장 치명적인 문제라고 할 수 있다. 해결 방안으로는 특수문자의 입력을 막거나 길이제한을 모든 URL 상의 인자들에 대해서 적용을 해야 하는데 사람이 개발하는 이상 항상 빈틈은 있게 마련이다. 또한 웹서비스 운영 Application 자체의 취약성을 이용한 공격들도 일반적인데 이 문제의 경우 정기적인 진단으로도 충분히 문제 해결을 할 수 있으나 잦은 변경이 있는 웹페이지의 경우에는 정기 진단으로 하기에는 변화의 폭이 커서 어려움이 있다.

보안을 강화하고 중요시 하는 기업들의 경우에는 정기적인 진단과 점검을 일상적으로 수행한다. 여기에서 발생하는 문제는 예산과 인력, 시간상의 문제로 인해 우선순위를 정해서 점검을 하게 마련이다. 항상 1순위는 대표 사이트 및 고객이 직접 접근 하는 사이트 및 정보가 저장되는 사이트가 된다. 그 뒤의 순위는 업무용 시스템이나 중요도에서 ( 고객 접근 관점의 중요도) 떨어지는 시스템들이 된다. 여기에서 근본적인 문제가 발생 된다. 지금까지는 사용자들이 많은 즉 정문에 대해서만 이중, 삼중의 진단과 도구들이 설치가 되었다고 봐야 한다. 그러나 공격자들도 정문만을 이용할까?

지금의 공격자들이 보유한 공격도구의 상태는 전문화 되어있고 대규모적인 공격이 가능하도록 되어 있다.  즉 모든 범위에 대해서 단 한가지의 문제점을 찾는 것이 일반적으로 되어 있다는 것이다.  외부에 노출된 모든 부분에 대해 문제점이 있는지를 수시로 점검하고 문제가 발견되면 직접 침입을 시도하게 된다.  지금까지 보안점검을 받던 기업에서는 중요성 있는 서비스와 우선순위에 대한 기준점을 모두 바꾸어야만 가능한 상황에 처해 있다.


해결방안?

외부에 노출된 모든 서비스를 1순위로 놓아야 하고 그 이후 내부에 있는 서비스들에 대해서 선별적으로 순위를 조정 하는 것이 바람직하다. 그리고 한 가지 더 중요한 것은 일년에 몇 차례 하기도 힘든 전체 서비스에 대한 보안 점검을 상시적으로 해야만 현재 기업들과 인터넷이 처한 문제점을 해결 할 수 있는데 사실상 한계가 존재 할 수 밖에 없다.  단 몇 시간 만에도 코드상에 변경이 일어날 수 있는 웹 서비스에 대해 정기진단으로 가능 할 수 있을까 하는 의문을 가져야 한다.

이제 보안 진단과 서비스에 대한 시각과 패러다임을 바꾸어야만 생존이 가능하며 기업의 서비스를 안전하게 유지 할 수 있는 상황에 직면해 있다. 그 누구도 안전하지 않은 상황.. 특히 IT기업 및 인터넷을 활용한 비즈니스가 일반적인 기업이라면 대단한 경각심과 준비를 하지 않으면 안될 것이다. 보안기업들 조차도 웹 서비스가 해킹을 당해 정보가 유출 되는 마당에 안전할 곳은 대체 어디인가?

몇 년 전 경고한 위기의 인터넷은 이제 본 궤도에 올랐다. 4월은 시작이였을 뿐이다.

- 바다란 세상 가장 낮은 곳의 또 다른 이름.

Posted by 바다란

댓글을 달아 주세요