태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

< O'Reily의 Web 2.0 Image>

 

 

4.12일의 ICAT 2007 워크샵에서 'Web 2.0 Security'라는 article로 발표를 하게 되었습니다. 아래의 내용은 그 발표자료의 골격을 구성하는 내용입니다. 발표 이후 발표자료를 올리도록 하겠습니다. 지금의 Web 2.0의 열풍과 변화에는 간과되고 있는 부분이 너무 많다는 것이 개인 소견입니다.

 

 

 

최근 UCC라 불리는 저작물에 대해서 여러 가지 문제가 발생 하고 있고 사용자 친화 환경의 변화에 따라 많은 위험요소들이 도출 되고 있습니다. 한번쯤 위험요소를 실례로 보고 대책과 대안은 무엇이 있는지 그리고 방향은 어떤 방향으로 가는 것이 맞는 지에 대해서 의견을 피력 하였습니다. 관련 내용 참고 하시면 될 것 같습니다.

 

UCC의 정의부터 다시 해야 할 것 같은데 사용자가 저작하는 모든 유형의 매개물을 UCC라 정의 할 수 있습니다. 사실상 Web2.0이라는 것은 현상을 정의 하기 위한 용어일 뿐입니다. 인터넷을 이용한 부분적인 정보 참고와 정보 획득의 수단으로서의 도구 측면의 접근이 이전 까지의 접근이라면 이제는 생활과 연결 되는 부분에 직접 영향을 미치는 단위까지 인터넷이 확장 되고 있습니다.

정확하게는 확장이 아니며 인터넷의 활용에 숙달이 된 사용자들이 생활 단위와 행동 양식까지도 깊숙하게 끌어 들이고 생활을 변화 시키고 그 변화의 중심에 인터넷이 존재하는 것이죠. 생활과 관련 이 있으니 이제는 IT 서비스 기업들도 직접적인 영향력을 지니게 됩니다. 조금의 시간이 더 지나게 되면  각 분야별로 눈에 보이게 되겠죠.

 

일반 TV를 예로 들면 오로지  3채널 뿐인 것에서   -> 케이블 TV , 위성방송 채널 등 다수의 채널 등장 -> 주문형 TV의 일반화로 볼 수 있습니다. 이 과정에 방송사들의 다시보기 서비스와 같은 것들은 또 밀려 나겠죠. 실시간으로 저장을 하고 사용자가 원하는 시간대에 보도록 할 수 있으니 말입니다.

 

Web2.0은 새로운 기술이 아니며 사용자의 참여를 통해 적극적으로 생활이 변화해 가는 과정의 일부를 지칭하는 용어일 뿐입니다. 패러다임의 전환기를 정의하기 위한 요소 명칭일 뿐인 거죠.

 

차후에 좀 더 개념에 대한 정리를 해보도록 하겠습니다. 지금은 보호 관점에서 생활에 밀접하게 연관되도록 서비스를 제공하고 활용하는 사용자와 기업 두 측면에서 필요한 것들이 무엇이 있을지 간략하게 정리 해 본 수준입니다.

 

실제 문제 사례 :

 

-        Myspace script 코드를 활용한 서비스 내의 사용자 정보의 유출과 전파

-        Yahoo Messenger를 통한 웜의 출현

-        Web 2.0 서비스 기업을 타켓팅화한 Application 취약성 공개의 일반화 [ XSS 등]

-        Youtube , Yahoo ,naver등의 동영상 저작권 및 국가간 규정에  따른 불법적인 동영상  [ 음란 , 폭력  등등 ] 을 통한 사회적인 파급효과 , 3.19일 야후 음란 동영상 게재로 인해 동영상 서비스의 일시 중단 시행.

-        동영상을 파일을 통한 악성코드 유포 [ ActiveX 설치 이외에 사용자 정보를 유출 하기 위한 Script 코드등 다수 해당] Flash , 이미지 파일을 통한 정보 유출

-         사용자 계정의 도용 [ 아바타 및 아이템의 분실, 강탈 증가]

-        부정확한 게시물을 통한 광고 [ 게시물 , 덧글 등]

-        광고를 하기 위한 목적 혹은 사용자 PC를 조정하기 위한 ActiveX [ 사회공학적인 해킹 부분]

-        악성코드의 문제 [ 사용자 접근성 확대에 따른 악성코드 노출 영역의 극대화]

 

 

-서비스 기업으로서의 보호:

 

UCC에 대한 보안성 검증 : 기술적인 보안성을 검증 하여야 함. 게시물에 포함된 악성코드 및 HTML을 허용하여 사용자의 자유도를 높이는 만큼 그 위험성 ( XSS 및 Code Running)에 대해서 보호 방안을 수립 하여야 함. 보호 방안으로서는 Filtering 메소드의 필수적인 환경 구축 및 활용이 필요.  

 

n   Filtering Method

u 개인정보 침해 관련 사안의 조정  댓글 ,게시글

u 악성코드 실행 부분  게시물 , HTML 파일 , Image , Flash , 동영상

u 악성코드 위험 요소 판별을 위한 자동 판별 시스템 도입 및 수작업에 의한 모니터링 필수 [ 모니터링 대상 항목  성인, 개인정보 침해 , 악성코드 설치 , 광고글 , 개인정보 유출 관련 실행 코드 , Virus , Worm ]

 

n    Platform 의 체계화

u Filtering 시스템에 대한 체계적인 구성

u 전체 사용자 입력에 대한 Filtering 구조의 수립

u 전문 보안인력에 의한 Filtering Rule의 추가 및 빠른 변화에 대한 대응 능력 재고 필요

u 사용자의 직접 입력 시에 빠른 모니터링이 안될 경우 기업 입장에서는 치명적인 문제에 노출 될 가능성 증대 됨

 

n    개인정보 보호 관련 대응 방안 수립 필요

u  개인정보 관련 이슈는 기술적 방안으로 최소화 시키는 것이 필요 . Filtering과 연계하여 구성 하는 것이 필요

u  개인 정보 오남용 관련된 모니터링 필수

u  개인정보 오남용시의 필수 대응 프로세스의 수립  고객센터부터 실 서비스 부서까지 빠른 대응 필요

 

n        Web service에 대한 기술적인 보호

u  보안성 검수 프로세스의 일반화  전문인력 및 보안 전문가 집단을 활용한 최신 취약성에 대한 검수 체제 수립

u  Web Service를 구성하는 최신 기술 동향에 대한 취약성 연구

u  Web 2.0의 요소 기술간의 정보 전달 부분의 암호화 및 외부 노출 최소화

u  비정상 행위 탐지를 위한 Anomaly Detection 부분의 구축

u  현재 당면한 SQL Injection 및 XSS [ Cross Site Scripting]에 대한 전면적인 대책 수립 이후의 프로세스화

u  서비스 보호를 위한 전문가 집단의 수시 활용 또는 전문가 집단의 보유 필수

u  사용자 ID/ Password에 대한 보호 방안 수립과 시행 [ ex : password의 단방향 암호화등 ]

 

n        사용자에 대한 Security awareness 강화

u  서비스 차원에서의 게시물에 대한 악성코드 , 위법성 여부에 대한 Awareness 강화

u  불법 악성코드 및 개인정보 유출 관련된 사용자에 대한 합리적인 처벌 방안 마련

u  보안상의 문제 해결을 위한 서비스 기업 차원의 정보 제공 확대 및 위험 여부 , 법적인 위배 사항에 대한 명확한 가이드 수립

 

 

-        사용자 관점에서의 보호

 

사용자 관점에서의 보호는Client 상에서의 Web 2.0관련된 일련의 기술 흐름에 대한 보호 대책을 언급 한다. 향후 발생 가능할 부분에 대한 Security Awareness 측면에서의 사용자 보호 방안

 

n   개인 PC 차원의 보호 방안 수립

u  메일 및 게시물의 링크 선택 시 접근에 유의

u  첨부 파일등에 의한 바이러스, 웜등의 감염 주의

u  AV 백신 및 각 운영 체제별 보안패치 및 설정

u  ActiveX 의 시스템 설치 제한 및 확인

u  주기적인 보안설정 검사 [ AV 체크 , 보안설정 체크 ]

 

n   사용자 정보 보호

u  주기적인 패스워드의 변경

u  사이트별 분류에 따른 등급 관리 및 ID / 패스워드의 분리 활용

u  사이트 가입시의 보안 등급의 확인 [ 일정 수준 이상의 정보보호 수준을 인증  기존의 안전진단 및 보안컨설팅 , ISMS 인증 등에 네트워크 보안 및 ID/PASS 보호 방안에 대한 확인 이후 일정수준의 등급 부여 필요]

u  정부기관 및 신뢰된 사이트로부터 배포되는 보안 솔루션에 대한 선별 설치 필요 [ 키보드 보안 , 보안패치 , AV 솔루션 등등]

 

 

위와 같이 정리가 됩니다.  거칠게 정리한 내용이며 필요한 항목에 대해서만 기술이 되어 있습니다. 어느 정도 단계에 이르면 보다 체계적이고 다양한 방면으로 정리가 될 것 같습니다.

의견 있으신 분들은 적극적으로 의견 주세요.

 

좋은 하루 되세요.

 

Posted by 바다란
 

 

이제서야 처음 언급한 전략이 나오네요. 전략이라고 해봐야 별 거 없습니다.

뭐 특별하고 신출귀몰한 것도 없고 어느 정도 수준 되면 다 보이는 정도입니다. 이런 흐름을 얼마나 역동적으로 리딩을 하고 끌고 가느냐가 생존을 담보 하겠죠. 앞으로의 세상은 더더욱 그럴 것 입니다. 안주하는 서비스기업들은 무너지겠죠. 한 순간에 녹아 내리듯이 그렇게..

힘겹고 고통스러운 일이지만 그 동안 외면 했던 Security 라는 측면을 하지 않으면 생존하기 힘든 상황이 될 것입니다. 눈에 보이는 것이 아닌 체질적으로 서비스에 내재된 기술적 보안역량이 서비스의 질에 매우 큰 차이를 가져오게 될 것입니다. 앞으로는 보유 여부에 따라 극복하기 힘든 절대적인 차이가 발생하게 될 것입니다.

 

 

 

보안전문가와 보안 관리자의 차이( http://blog.naver.com/p4ssion/50014996901 ) 에서 언급한 GSM (General security manager ) SSM (Special Security manager) 의 구분과 동일합니다. GSM이 아닌 SSM의 보유여부에 따라 향후의 IT 서비스 기업의 흥망성쇠는 달라집니다. 최소한 글로벌 비즈니스를 하는 곳은 그러 합니다.  단지 인력을 확보 하고만 있는 것이 아닌 역량 발휘가 가능한 환경까지도 조성이 되어야만 하는 문제입니다. 국내의 현실은 SSM보다는 GSM이 더 우대 받는 현실이지만 앞으로의 다가올 위협에 뼈저리게 느낄 기회가 주어지게 될 것입니다. 위협에 대한 대응에 있어서 국내에서는 유야무야 얼버무리는 것이 된다 하여도 해외사업에서는 절대 그렇게 되지 않을 것입니다. 그때 가서야 알게 될 것입니다. 후회해도 늦었지만.. (하고 싶은 말들은 있습니다만. 이런 내용은 사설로 나중에  더 가슴에 맺히면 쓰도록 하겠습니다. 꾸벅)

 

1. Google online security 전략 개요

http://blog.naver.com/p4ssion/50019586109

 

2. online security 전략 상세  - * Trustworthy web

                                    * Google security strategy

3. online security의 방향과 미래 ??

 

* Google의 전략

 

- Direction : Passive protection ->Active protection으로의 전환

 

개념상으로 단순한 바이러스의 제거  ( 발생 이후에 제거가 가능한 부분) 서비스의 제공에서 벗어나 올해부터는 본격적으로 Active한 보호를 가능케 하도록 서비스 틀이 변화 될 것을 예상 할 수 있습니다. 1~2년 후에 일반화된 경향이 될 것으로 예측 됩니다.

Active한 보호 방안이란 사용자의 선택에 따른 AV 서비스의 제공이 아닌 악성코드 감염을 원천 차단하고 악성코드 유포 사이트에 대한 사전대응 형식으로 사용자에게 노출되는 악성코드를 적극적으로 줄이겠다는 의사로 풀이가 됩니다.

 

서비스적인 측면에서 Passive Active Protection 두 방안의 조화로운 운영을 통해 문제 발생 부분을 최소화 할 것으로 보이며 프로세스상으로는 다음과 같은 일련의 체제를 갖출 것 같습니다.

 

Active (예방 ) - Passive (대응) - Response ( 관리)

 

Active :

GreenBorder Product를 통한 악성코드 감염의 원천방지 ( 전체 사용은 어려울 것으로 예상)

일부 구글팩 및 구글툴바를 활용한 사용자 선택적인 사용이 중점이 될 것으로 예상됨

 

Passive:

구글팩에 포함된 Symantec AV 백신을 통한 사용자 치료 서비스의 강화 , 향후 다양한 멀티 벤더 제품을 사용하도록 할 가능성이 있음.

 

Response:

Stopbadware.org 사이트 운영을 통한 악성코드 유포 가능성을 지닌 사이트의 검색 결과 격리

stopbadware.org 사이트에 등록이 되는 사이트들은 AV벤더와 협력하여 탐지가 되는 결과를 가지고 진행합니다. 한국의 경우에는 KISA와의 협력을 통한 악성코드 유포 사이트 정보를 활용하여 stopbadware.org 사이트에 등록을 하게 될 것으로 보입니다.

 

위와 같이 세가지 방향에서의 online security가 이루어 지고 있으며 움직임이 본격화 되었다는 것은 security라는 측면이 online business에서 얼마나 중요한 가치를 지닐 수 있는지를 인지했다고 볼 수 있습니다. 내부 보안 강화 및 서비스의 보안 강화의 측면에서 한층 더 나아가 user 단위에 까지 영향을 미치는 security가 가미된 서비스로 방향을 설정한 것이라 봅니다. 그리고 현재의 위협 상황에서는 사용자까지도 보호를 해야만 서비스의 안정성이 유지가 되는 것이 사실입니다.

 

기본개념으로는 secure search search integrity (security 측면에서의 무결성- 악성코드로부터 Free..)으로 흐름분석이 가능 한데 일련의 이슈들을  서술 하면 다음과 같습니다.

 

 

Secure search & Browsing

 

secure search라는 부분은 제가 해석한 부분입니다. 대표적인 예로 올해 상반기에 인수된 Greenborder를 예로 들 수 있습니다. 전편에서 언급 하였듯이 검색 서비스 자체의 보안 측면은 아닙니다. 검색을 통해 노출된 사이트들을 통해 사용자가 피해를 입는 부분을 최소화 하자는 것이 근본 방향이 될 것으로 보입니다. Google을 통해 검색을 하고 그 결과를 클릭 하였는데 악성코드에 감염이 되었다는 문제 제기를 피하기 위한 방안으로 인식이 됩니다.

이 움직임은 올해 초에 구글의 Anti malware 팀에서 조사한 내용을 통해 근본 근거를 마련하고 이후의 Action item으로 Greenborder의 인수를 추진한 것으로 확인이 됩니다.  조사되고 발표된 내용은 전체 검색 결과의 10%가 악성코드 및 위험요소를 가지고 있는 유형으로 파악되었다는 자체 조사 결과 입니다.

 

Greenborder에 대한 설명은 전편에 설명을 하였지만 부가적으로 더 언급을 하면 Secure Browsing을 구글 내에서는 가능하게 하겠다는 근본취지를 지니고 있는 개념으로 볼 수 있습니다.  구글을 통해 검색이된 결과는 사용자가 클릭을 하여 해당 사이트로 이동을 하여도 악성코드에 감염되지 않는 Frame을 만들겠다는 관점에서 볼 수 있습니다.

 

대부분의 웹사이트를 방문할 경우 해당 사이트의 컨텐츠들은 사용자 PC의 임시파일 저장소에 저장이 되어 (cache ) 사용자의 브라우저 화면에 보여지게 됩니다. 대부분의 악성코드들이 감염 시키는 방식이 다운로드 이후 실행을 하는 방식을 취하고 있는데 GreenBorder의 경우에는 이 공간을 격리 시킵니다.

격리라는 의미는 별개의 가상공간에서 다운로드를 받고 사용자의 Browser에 보여지게 한 뒤에 사용자가 해당 사이트 이탈 시에는 가상공간을 없애는 유형으로 악성코드가 사용자 PC에 직접 침입 하는 유형을 원천 차단하는 것을 의미합니다.

 

개념 상으로는 좋은 방향이지만 국내의 현실에서는 문제가 많을 것으로 보이며 문제는 다수 발생 할 것으로 보입니다.

ActiveX 또는 부가 설치가 필요한 모든 부분에 대해 예외 설정 등을 하게 되면 문제는 계속 될 것으로 보이며 향후 구글 툴바 혹은 구글팩에 포함되어 사용자의 선택에 의해 사용하게 되는 유형으로 서비스 될 것으로 예상됩니다.

 

7.11일 현재 구글은 postini 라는 이메일 보안 업체를 6000억원을 주고 인수 합병을 하기로 한 기사가 나왔습니다. 관련 업체의 프로필을 살펴본 결과 기업용 제품으로서 단순한 이메일 보안업체가 아닌 일관된 Policy의 적용 및 내부 정보 유출을 방지하는 서비스 유형으로 파악이 되며 Google의 서비스 측면에서 보았을때 향후 기업용 시장에 대한 진출 도구로서 활용이 되고 Gmail에 대한 서비스 강화, 이익 강화 ( 미국의 3대 이메일 보안 서비스 업체라고 함) 측면에서 보는 것이 바람직해 보입니다.

 

 

Search integrity

 

검색결과에 대한 무결성을 보장한다는 의미는 검색 관련된 서비스를 하는 업체에게는 매우 중요한 factor 입니다. 그동안의 무결성이 검색 결과에 대한 정확도의 측면에서 접근 하였다면 지금은 전체적인 Web상의 위험요소 발달에 따라 다른 부분으로 전이가 되고 있습니다.

 

검색결과에 대한 정확도 측면 + 검색결과에 대한 신뢰도 ( 신뢰도 측면은 사용자 PC에 대한 안정성 측면의 신뢰도 입니다.) 가 이제는 기본적인 흐름으로 대두 될 것입니다. 이런 연유에 따라 구글의 Anti malware 팀에서는 구글 검색 결과 중 10%가 악성코드 유포의 위험성이 있다고 스스로 발표를 한 것으로 볼 수 있습니다. 스스로가 발표를 하면서 위험성이 있다는 것도 사용자들에게 알리고 이런 위험성을 제거하기 위해 사용자의 Action을 제한 할 수 있는 서비스를 출시 하는 것으로 볼 수 있습니다.

 

사용자의 Action 제한을 하더라도 큰 범주에서는 사용자의 보호를 위한다는 당위성 확보로 적절하게 활용이 된 것을 볼 수 있습니다.  구글 서비스에서 이루어지는 빠른 변화에 대한 사전작업이라고 보입니다.

 

Search integrity를 확보하기 위해서는 무엇을 하는가? 하는 측면에서 바라보면 드러난 부분으로는 다음과 같습니다.

Stopbadware.org 사이트의 활용 - 하버드 법대에서 운영을 하도록 합니다.  AV 벤더 및 악성코드 유포를 탐지하는 여러 업체 및 기관과 협력하여 거의 실시간에 가깝게 악성코드가 유포되고 있는 사이트 정보를 획득하고 해당 사이트 정보를 구글의 검색 결과에 반영을 합니다. Black list에 등재된 사이트의 경우 검색 결과에 노출이 되어도 사용자가 클릭을 하면 악성코드 유포 위험성 안내와 함께 stopbadware.org 사이트로 이동을 하도록 하고 있습니다.  관련 업체에서 이의제기를 하고 싶어도 구글 에게 직접 하는 것이 아닌 하버드법대에 이의제기를 해야죠.  blacklist에서 제거 되는 부분도 악성코드 유포 위험요소를 제거한 이후에 되도록 되어 있고 black list에서 제거되면 검색결과는 정상적으로 해당 사이트 링크를 활성화 시켜 줍니다.

 

주변 환경을 이용하는 측면에서 영악하다고도 볼 수 있는데 구글의 정보통제 및 독점에 대한 문제 회피를 위해 하버드 법대를 활용한 개념이 있고 또한 거의 실시간에 가까운 전 세계 협력 기관 및 AV 벤더의 자료를 취합해 적용함으로써 신뢰도를 높이는 점이 있을 것 같습니다. 자료를 제공해주는 기관이나 벤더는 향후 대폭 확대될 가능성이 있을 것이며 확대에 따라 신뢰도는 더 높아지는 결과를 유발 할 것입니다. 2007.7.11자로 확인을 해보니 악성코드 유포 가능성이 있고 유포중인 사이트가 197000여 개 정도 리스트업이 되어 있습니다.  

( http:://www.stopbadware.org )

우리나라의 경우에는 KISA에서 제공되는 악성코드 유포 사이트 정보를 활용하여 보다 전문적이고 지역적으로 특화된 내용에 대해서도 대응이 가능한 체제를 수립하려는 것으로 보입니다.

 

Response 영역에 대해서는 특별히 언급할 내용이 없으며 구글팩의 설치부터 AV 백신의 실행까지 모두 사용자 동의 하에 가능한 부분이라 영향은 제한적이지만 향후에는 위협의 증가에 따라 기본으로 제공될 가능성이 존재합니다.

 

 

Integrity Secure search & browsing에 대한 간략한 개념을 설명 드렸습니다.

 

영향은 어떻게 될까요? 짧은 소견이지만 생각 나는 대로 정리 하겠습니다.

 

Google의 검색 안정성 강화 ( 이익 창출을 위한 필수도구로서의 security factor 인식의 산물)

Active , Passive , Response process를 통한 전방위적인 대응체제 수립이 가능할 것으로 보이고 각각의 영향력이 다름으로 인해 효과는 제한적이나 향후 1~2년 이내에 Frame화 되어 정착될 가능성이 높습니다.

 

Active method (Green border technology)의 활용은 제한적이 될 가능성이 높고 위에 언급 하였듯이 Toolbar 혹은 별도의 Plugin 형식으로 전파가 되고 사용자의 선택에 따라 활용하는 용도로 이용될 가능성 있습니다.  단점으로는 언급 하였듯이 전체적인 보안기술의 적용이 어렵습니다. 특히 국내의 경우에는 많은 사이트들에 장애를 일으키거나 정상적인 접근이 어려워 지는 경우가 발생될 것으로 예상됩니다. 사용자의 설정 요구가 매우 많아져서 오히려 사용자를 떨어지게 할 수도 있을 것 같네요.

 

구글은 사용자의 요구와 Security의 강화라는 측면에서 Web 상에서 노출되는 많은 위험들을 앞으로 적극적으로 강조할 것으로 보입니다. 분명한 사실이지만 비지니스적으로는 강조해야만 불편함에 대한 사용자의 요구를 일소 할 수 있는 명분이 생기는 것이겠죠.  

Passive Response에 해당하는 이슈들은 앞으로 많은 영향을 미칠 것으로 보이며 특히 AV벤더와의 협력관계 확대를 통한 Response 영역의 확장은 노하우가 쌓일 수록 강한 힘을 발휘 할 것 같습니다.

 

글을 쓰는 목적은 변화하는 흐름을 분석하고 이해해서 향후 방향 설정에 도움이 되었으면 하는 마음에 분석한 것이며 그 과정에서 최근 구글의 행동이 주목할 만 하여 케이스 스터디 차원일 뿐입니다.

 

감사합니다.

 

* 심각하게 고민한 내용이 아니고 그 동안 나온 기사를 바탕으로 생각나는 대로 나열한 부분입니다. 내용 중에 이해가 어려운 부분도 있을 수 있습니다. 이 부분은 설명하는 사람의 무지를 탓하시면 될 것 같습니다. 또한 내용 중에 정확하지 않은 내용도 있을 수 있습니다.  신문기사만 보고 판단한 것이라 다른 내용들이 있을 수 있습니다. 개인적으로 보는 관점이라고 봐주시면 감사하겠습니다.  재주가 없어서 그런지 이해한 내용을 전달 하는 것도 부족한 부분이 많습니다.

 

- 사족 나갑니다.

왜 국내 IT Service 기업들은 변화를 리딩 하지 못할까요?  IT Service에서 안주와 자리 지키기는 죽음에 이르는 길입니다. 죽음의 길에 조금 더 빨리 가도록 하는 것이 학벌과 지연과 인맥에 의한 것이겠죠. 특히 Global Service기업이라면 학벌, 지연, 인맥에 의존 하는 순간 초고속 급행열차로 죽음의 길에 가는 것과 다름 없습니다. 남의 떡이 커 보인다고 키워야 될 자기 것들을 팽개치고 이러다 보면 순식간에 무너지겠죠. 전문직무분야인 보안 분야에서도 그러한데 다른 분야는 오죽하겠습니까? ^^; 위험을 인지 하지도 못한다면 더 심각한 상황이라 할 수 있습니다. 매 순간이 위기인데 말입니다. 백척간두 진일보라는 말은 개인에게만 해당되는 말은 아닙니다. 지금 이 순간의 모든 IT서비스기업들에 해당이 되는 의미입니다. 당장 1년 뒤를 보장할 그 어떠한 것도 없습니다. 세계와의 경쟁에는 학벌과 인맥, 지연이 통하지 않습니다. 그리고 지금의 서비스는 이미 세계와 경쟁 중입니다. 4천만의 시장으로 먹고 살 수 있다고 생각하는 고만고만한 기업이라면 이름 없이 사라짐을 당연하게 알아야 될 것입니다. 아쉽게도 문제는 그런 기업들이 너무 많다는 것이 문제일 뿐입니다. 아쉽지만 여기까지 인 것 같습니다.


 
Posted by 바다란
 

 

바다란 입니다.

 

현재의 인터넷 환경을 주도하고 있는 화두업체인 구글에 있어서 Online security는 어떤 의미인지 이 시점에서 짚어 보는 것이 필요하다고 생각 됩니다.

전체적인 맥락에서 한번 짚어볼 부분은 반드시 있을 것 같아서 이전 Thread에서 약속한 것과 같이 3가지 Article로 정리를 하도록 하겠습니다.

 

1. Google online security 전략 개요

http://blog.naver.com/p4ssion/50019586109

 

2. online security 전략 상세  - * Trustworthy web

                                    * Google online security strategy

3. online security의 방향과 미래

 

오늘은 2번 항목을 정리해 보도록 하겠습니다. 지난 issue 부분에서 논의된 내용을 체계적으로 구성을 하여 향후 방향에 대한 예측 부분으로 정리를 하겠습니다. 3번 항목은 미정입니다.

 

Google Online security 전략은 사실 오래 되지 않은 부분입니다. 그 동안은 자사의 서비스 시스템에 대한 안정화와 Process 강화와 관련된 부분이 가장 컸을 것으로 예상 하고 있습니다. 실상 여타 포털과 비교해서 Contents 제휴 종류와 범위로 따지면 비교도 되지 않는 (?) 구글입니다. 검색 전문업체로 시작하였기에 일면 국내에서 통용되는 포털이라는 개념과는 조금 다른 관점에 있습니다.  내부에서 개발된 Application에 대한 검증도 실시간으로 세계적인 이슈가 통용 되고 있는 보안 부분에 대해 받는 위험도와 압력은 IT 서비스 업체 모두가 해당이 됩니다.  IT 서비스업체나 Google이나 모든 웹서비스 업체는 보안에 대해 실시간으로 동일한 위험과 동일한 압력을 받고 있다고 할 수 있습니다.

 

왜 이런 위험요소들이 도출이 되고 행동들이 있는지는 전체적인 Attack trend를 살펴야만 가능합니다. 현재의 Trend는 다음과 같이 단편화 시킬 수 있습니다.

 

 

 

2005년부터 나타나기 시작한 Application에 대한 공격은 Web의 일반화와 궤를 같이 하고 있습니다. Web service의 활성화와 일반화에 따라 개발되는 모든 Application들이 Web을 통한 연결을 기본으로 하고 있습니다. 일반 C/S 환경에서 활성화 되는 Application의 수는 대폭 줄어들고 있다고 볼 수 있습니다. 아마도 일부 특수한 환경에서 사용되는 Application을 제외하고는 web 연결이 필수적인 Application이 대부분으로 예상이 됩니다. 

Web Application의 출현과 더불어 공격이 출현하게 되고 이전의 운영체제의 취약성을 노리는 직접 공격에서 운영체제 위에 설치 되고 운영이 되는 Web application에 대한 직접 공격이 증가하게 됩니다. 또한 이런 Application에 대한 공격은 자동화된 경향을 나타내며 발전하고 있습니다.

 

특정 서비스에만 특화된 Application attack의 출현도 일반적인 현상이라 할 수 있습니다.  (관련 내용은 올해 들어 여러 곳에 발표를 한 Web 2.0 관련 위험요소라는 PPT를 적당한 시점에 공개토록 하겠습니다. )

 

Web application에 대한 공격이 증가 한다고 하였습니다. 그럼 이런 공격 유형과 기업들의 변화된 움직임은 왜 일까요?. 그 변화에 대한 답은 제가 생각하기에는 다음과 같은 환경의 변화로 인해 기인 합니다.

 

위의 항목에서 보시면 각각의 서비스 기업들의 변화와 보안상의 위험요소와의 연관 관계를 추산할 수 있습니다. 제가 나누는 관점에서는 Worm의 출현에 따라 기업들의 대응과 보호 방안들이 달라지고 있다고 판단 하고 있습니다.

최초에는 Worm의 출현 -> Worm의 일반화 -> Web attack의 출현 -> Web을 통한 무차별적인 악성코드의 유포와 개인정보 도용 이런 유형으로 나눌 수 있으며 그에 따른 기업들의 대책들이 달라지고 있다고 볼 수 있습니다.

 

물론 공격유형이 변화는 사회적인 변화와도 궤를 같이 하고 있으며 세계에서 가장 빨리 위협을 경험한 곳이 대한민국이지만 향후에는 좀 더 다른 양상을 보일 수 있습니다. 개인정보를 유출 하기 위한 악성코드의 출현과 무방비로 노출된 사용자의 PC에 대한 문제는 이제는 IT 서비스를 진행하는 업체 모두에게 위험요소가 되고 있습니다.

직접적인 서비스 공격에 대한 대비도 하여야 하며 또한 서비스를 이용하는 사용자들에 대한 보호 대책도 강구 하여야 합니다. 해외는 이제 사용자들에 대한 보호 대책들이 출현하고 있는 시점이라 할 수 있습니다.

 

이른바 주가는 경기에 선행 한다고 합니다. 경기의 활성화를 미리 가늠 할 수 있는 요소가 주가 지수라는 의미인데 다른 비유를 하자면 Internet Industry의 위험요소를 가장 먼저 경험한 곳이 대한민국이고 그 위험요소가 이제 전체로 전이가 되고 있는 것으로 볼 수 있습니다. 해외 유수 IT 서비스 기업들의 움직임이 그러합니다. 적당한 비유가 생각 나지 않아 가져다 붙였습니다. ,

그 위험요소는 Web에 대한 공격이고 이런 공격들은 2005년부터 국내에 본격화 되었으며 악성코드에 대한 피해도 본격화 되었다고 볼 수 있는데 이런 위험에 대한 인식은 해외 업체들의 경우 인식에 대한 시기 자체가 조금 늦게 시작 되었습니다만 보다 더 꾸준하고 큰 영향력을 미치는 방향으로 이루어 진다는 점에 대해 주목하여야 합니다.

 

소통의 도구로 일반화 되고 향후에도 1분 이내에 전 세계와 소통 할 수 있는 Web의 발달은 더욱 가속화 될 것이고 생활과 더 밀접하게 연관이 있게 될 것입니다. 전 세계 어디에서나 글을 올리고 1분 이내에 접근 할 수 있다면 Web을 통한 모든 위험요소들의 전파도 1분 이내에 전 세계에 영향을 미칠 수 있다는 것과 동일합니다.

 

그만큼 Trustworthy web의 구현은 필수적인 요소가 될 것 입니다.

이런 요소의 중요성에 대해 인식하지 못하는 많은 서비스 업체들은 시행 착오 및  곤란을 다수 겪게 될 것이고 도중에 무너지는 경우도 종종 발생하게 될 것입니다.

지금 까지는 아니지만 앞으로 더 심각해 질 것이라는 것입니다.

 

신뢰할 만한 웹을 만들어야 된다는 것은 이제 서비스 업체들의 지상목표가 될 것이고 많은 노력이 필요하게 될 것입니다. 여기 전 세계 유명 기업들의 신뢰할 만한 웹을 위한 노력을 조금 살펴 볼 수 있는 요소가 있습니다.

 

아래의 Article Cnet.com에서 "웹보안의 미래"라는 제목으로 주요 기업을 인터뷰한 기사입니다. 참고 삼아.. – 본 인터뷰 기사를 통해서도 내부 프로세스의 흐름을 일부 예측 하는 것은 가능합니다. 이 내용은 조만간  (언제나 그랬듯이 쓰고자 하는 의지가 생기면 바로 씁니다.)

 

http://www.zdnet.co.kr/news/internet/search/0,39031339,39158840,00.htm  구글의 치열하고 즐거운 보안 노력

http://www.zdnet.co.kr/news/internet/search/0,39031339,39158918,00.htm   야후 보안, '편집증 환자들'

http://www.zdnet.co.kr/news/internet/etc/0,39031281,39159098,00.htm  MS 데스크톱의 경험을 살리다.

 

* 위의 인터뷰를 보시면 아시겠지만 기술적인 보안이 온라인 서비스 기업에 대해 중요한 영향을 미치고 있음을 알 수 있습니다.  MS는 그 관점에서 보면 아직 갈 길이 많이 남았다고 할 수 있습니다.

 

위에 언급된 인터뷰 기사 각각에서 보듯이 웹이라는 흐름은 이제 대세가 되었으며 이러한 대세의 바탕 위에서 근본적으로 불완전한 웹이라는 메소드에 대한 보안성을 강화하고 신뢰 할 수 있는 웹으로의 전환을 위해 각각의 IT 서비스 기업들이 노력을 하고 있습니다. 그 근간에는 Process + 병적이랄 수 있는 기술적 전문인력 + 원활한 대외 협조 ( 공격자 들 및 제보자들 ) 세 가지 주요 요인으로 정리가 됩니다. 신뢰할 수 있는 웹은 보안적 이슈에 대해 신속한 대응, 문제점 보완을 할 수 있는 기술적 인력들에 의해 가능해 집니다. 인터넷은 통제가 가능한 메소드가 아니기에 더더욱 기술적인 부분이 중요해 집니다.

 

 

Trustworthy Web

 ( Web이라는 매개체가 이제는 소통의 도구에서 생활의 도구로 격상이 된 지금에 이르러서는 불완전한 Web을 신뢰하고 믿을 만한 도구로 격상을 시키는 것이 절대 화두가 될 것입니다.)

보안 부분이 중점을 기울였던 부분을 종합해 보면 자사의 서비스 ( 대부분 Web ) 보안 부분에 많은 역할을 부여하고 있습니다. 특히 IT 관련된 서비스를 직접 운영하는 곳에는 더 많은 필요성이 있을 것으로 보입니다.

 

Cnet의 인터뷰 기사에서 언급된 IT 서비스 기업들의 주된 특징으로는 자사의 서비스 부분에만 많은 신경을 썼지 사용자를 대상으로 한 보안 서비스 부분에는 상당 기간 무관심 하였던 것이 사실 입니다. 지난 해부터는 해외의 포털 및 서비스 업체들도 백신 배포 등과 같은 Action을 취하고 있지만 악성코드의 발전과 진화 속도를 따라잡지 못하고 있는 실정입니다.  다각적인 방안 모색이 필요한 시점이고 현 시점에서 확인 할 수 있는 부분은 Google의 변화 과정이 흥미로운 이슈를 제공 하고 있어서 어떤 방향으로 변화 되는지 살펴 보도록 하겠습니다. 변화를 할 수 밖에 없는 근본적인 흐름을 적어야만 왜 그렇게 하는지에 대한 이해가 가능해 진다는 판단하에 잠시 변화의 근본 원인을 짚어 봅니다.

 개요글 (http://blog.naver.com/p4ssion/50019586109 )에 몇 개의 구글의 변화 요소들을 적었습니다. 변화요소에 기반하여 다음글 한편에 지향하고자 하는 바를 짧게 정리하겠습니다.

 

* Google의 변화된 움직임을 설명하기 위해 전체의 Trend 변화와 우리가 인지 해야만 될 변화 요소에 대해 사전 설명이 필요했습니다. 그렇지 않고서는 모든 행동들의 의미와 가치를 이해 할 수 없기에 적을 수 밖에 없었습니다.

 

 -- to be continue ( 이미 완성은 되었으나 마음에 따라 올리겠습니다. 참 제멋대로죠 쩝 )

 

Posted by 바다란

안녕하세요. 바다란입니다.

 

오랜만에 뵙습니다예고를 했었지만 쓰고 싶은 의지가 들지 않아서 오랫동안 포스트를 게재하지 않았습니다. 앞으로도 종종 마음 내키는 대로 게재 하도록 하겠습니다. 누구나 할 수 있는 말이나 분석 보다는 독자적인 시각으로 흐름과 동향을 보도록 하겠다는 마음이니 만큼 불규칙적인 게재에 대해 많은 이해를 구합니다.

  

오늘은 구글의 검색 보안과 관련된 흐름에 대한 내용을 간단하게 살펴 보겠습니다. 올해 들어 매우 빠른 행보를 보이고 있어서 한번쯤 분석을 해볼 필요성이 있을 것 같아서 해봅니다.

 

사실 구글 이라는 검색업체에서도 보안적인 이슈에 대해서는 자사의 서비스 부분의 보안적인 요소에 지금까지 신경을 써왔습니다. 그러나 현재의 흐름은 자신의 서비스뿐 아니라 불특정 다수를 겨냥한 공격이 일반화되고 있어서 자신의 서비스에만 문제가 없다고 하더라도 다른 부분에까지 영향을 받을 수 밖에 없는 구조입니다. 또한 불특정 다수에게 설치된 악성코드를 통해 직접적인 서비스에 영향을 받는 구조로 되어 있어서 높은 신경을 쓸 수 밖에 없습니다. 그러다 보니 의사결정도 아주 신속하게 나오고 있는 상태입니다.

 

검색 보안이라는 용어 자체가 조금 애매모호하지만 단순하게는 Client 보안이라고 할 수 있습니다. 간단하게 말씀 드리면 Google의 검색 결과로 추출된 결과물에 대해서 사용자가 사이트 링크에 클릭을 하였을 때 악성코드 감염되는 유형을 차단하기 위함이라 할 수 있습니다.

 

국내의 경우에는 2005년 하반기부터 유명사이트를 해킹한 이후 악성코드를 유포하는 것이 매우 활성화 되었고 현재는 조금 잠잠해 진 것으로 보이는 유형입니다만 해외에는 지난해 말부터 대응 측면에서 본격적으로 시작이 되는 것 같습니다.  흐름상으로 보면 온라인 게임에 대한 공격이 전세계적으로 최초 시도가 되었고 이후 범위를 확장하여 검색 및 IT 서비스 분야의 어뷰징 유형으로 확산 발전 되는 형태로 볼 수 있습니다.

 

IT service 업체에서 가장 중요한 부분은 Service에 대한 신뢰도입니다. 그 신뢰도의 가장 중요한 부분에 Online security가 포함이 되고 향후 중요한 포석으로 활용이 될 것임을 알 수 있습니다.  

사업의 확장은 M&A를 통해 규모를 확장 하고 영역을 확장합니다. 그러나 가장 중요한 신뢰도의 확보는 정확한 검색 알고리즘과 로직을 통해 나타내는 결과 이외에도 Security라는 측면이 중요한 요소가 있음을 이제 구글도 알아가나 봅니다. ( 한편으로는 내부적으로 얼마나 많은 문제들을 겪었을까 하는 생각도 듭니다. 위험에 대한 인지 계기가 없으면 보안이라는 부분은 항상 중요도가 낮은 부분이 됩니다.)

 

주제는 딱 한 줄로 요약 됩니다. 최소한 구글을 통한 악성코드 전파는 차단 하겠다. 나아가서는 악성코드에 대한 문제는 최소한 구글을 통해서는 일어나지 않도록 하겠다는 의지의 피력 정도 되겠습니다.

목적으로는 검색결과에 대한 신뢰도 향상 , 급증하는 보안 위험요소에 대한 대응 정도 될 것 같습니다.

회사 규모에 비해서 스케일이 작아서 좀 실망스럽긴 합니다만..~~

 

그럼 올해  본격적으로 모습을 드러낸 구글의 Online security에 대한 행보를 퍼즐 맞추기 해보도록 하겠습니다. 공식적으로 발표된 이슈만을 가지고 조합을 함으로 무리수가 따를 수 있으나 개인의 예상이라는 측면에서 봐주시면 될 것 같습니다.

 

 

구글의 2007 Security action

 

4 ( Hotbots 2007 ) 악성코드 위험 사이트 발표 ->

4월 말 KISA - Google과 악성코드 탐지 협력 -> 

5 . Greenborder의 인수 ->?

7  postini 이메일 보안업체 인수 -> 이 이슈는  online security와는 아주 조금 관련 될 것으로 예상됩니다.

 

올해들어 처음으로 구글 내부에는 Anti malware라는 조직이 신설된 것으로 알고 있습니다. ( 발표자료 보고 알았습니다.) 해당 조직의 조사에 의해 올해 4월에 있었던 Hotbots 2007 행사에서 450만개의 웹서비스를 대상으로한 악성코드 설치 위험을 지닌 통계를 발표 하였습니다.  

그 결과로 대상인 450만개에서 10% 45만개 가량의 웹서비스에서 사용자에게 영향을 줄 수 있는 악성코드의 위험성이 있다고 발표 되었는데 여기에서 중요한 것은 왜 그 조사를 진행 했으며 무엇을 하기 위해 그 업무를 했느냐가 분석이 되어야 합니다.

 

간략한 참고는 기사화된 내용이 존재 합니다.

http://www.etnews.co.kr/news/detail.html?id=200705140149

 

전문적으로 참고 하실 분은 Hotbots 2007의 컨퍼런스 발표 원문을 보시면 됩니다.

http://www.usenix.org/events/hotbots07/tech/full_papers/provos/provos.pdf

 

Hotbots2007 conference에서 다양한 주제들이 발표 되었으니 관심 있는 분들 참고 하시면 될 것 같습니다.

 

4월 말 경에는 KISA (한국정보보호진흥원) Google의 악성코드 탐지 사이트에 대한 대응 협력도 체결을 한 상황입니다.

http://www.dt.co.kr/contents.html?article_no=2007042502011060713008

 

악성코드 탐지와 관련된 또다른 움직임은  http://stopbadware.org 와도 밀접한 연관이 있습니다.  

 

 

2006년 하반기부터 운영된 사이트로서 구글 검색에서 나온 검색 결과에 대해 링크 클릭시에 악성코드를 유포한다고 보고가 된 사이트에 대한 접근은 stopbadware.org 사이트로 리디렉션 시킵니다. 검색 결과는 보여주되 악성코드를 유포하는 사이트로의 접근은 제한을 거는 것이죠. 여기서 또 트릭이 하나 있는데 검색결과에 대한 링크 허용 요청은 stopbadware.org로 직접 하게 합니다. 이 사이트의 운영은 묘하게도 하버드 법대에서 운영을 하는 것으로 나와 있죠.  항의는 하버드법대에다 진행하고 문제가 해결이 되었다면 stopbadware.org 에서 지워지면 구글도 링크를 허용하겠다 이런 정책으로 보입니다. 좋은 잔머리라고 볼 수 있을 것 같습니다. ^^; 더불어 KISA와의 협력을 통해 보다 더 한국에 특화된 악성코드 대응이 가능해 질 것으로 예상 됩니다.

 

 

Anti malware라는 팀에서의 악성코드 위험성 조사와 더불어 진행된 내용으로는 Greenborder의 인수를 병행하여 추진한 것으로 보이며 5월 말 경에 공식적으로 발표를 합니다. 내부적인 합의는 5월 중순에 완료 되었다고 합니다.

http://www.zdnet.co.kr/news/internet/hack/0,39031287,39157927,00.htm

 

Greenborder의 인수는 왜 이루어 졌을까 하는 의문 당연히 제기 되어야 합니다. 그린보더의 기술은 Firefox IE Browser 내에 가상의 Sandbox 모델을 구축하여 보안을 구현 한다고 되어 있습니다. 정말 어렵게 설명 하죠? 좀 쉽게 설명 하면 다음과 같습니다.

 

모든 웹사이트에 방문을 할 경우에 해당 웹 사이트의 데이터는 개인 PC Temporary 폴더에 저장이 됩니다. Firefox IE든 마찬가지 입니다.  악성코드의 전파는 우선 사이트에 방문 이후 모든 파일이 내려진 이후에 자동 실행등을 통해서 이루어 집니다. 그린보더는 여기에 착안을 하여 비지니스를 진행 합니다.

 

                     <cnet.com greenborder pro2 에 대한 소개 이미지>

 

자세히 들여다 보시면 Browser 테두리를 Green color로 둘러 싸고 있는 것을 볼 수 있습니다. 일단 보호가 되고 있다는 의미를 나타냅니다. 사업의 방향은 간단합니다.  Temporary 폴더로 다운로드 되는 모든 파일에 대해 실행제한을 하게 하고 설치가 되지 않도록 하기 위해  가상화된 공간을 만들고 해당 공간은 시스템에 영향이 없도록 만들어 둡니다. 그 이후 사이트를 떠나거나 브라우저 창을 종료 할 경우 파일의 삭제 혹은 가상화된 공간을 없애는 것이죠.

 

즉 모든 악성코드들의 출발점인 다운로드 이후 실행 경로와의 차단을 목적으로 진행을 합니다만 기본 경로에 대한 차단을 시행하는 역할 을 합니다. 개념상으로는 좋은 아이디어 입니다. 한번 사용을 해봤으면 정확하게 알 수 있는데 구글의 인수 이후 해당 업체를 알게 되었고 다운로드 경로가 모두 삭제되어 사용이 불가하여 웹상에서 드러난 공개자료를 통한 분석 외에는 해볼 수 없었음을 알려 드립니다.

 

이 그린보더의 문제점은 시스템에 대한 보안 적용이 필요한 모든 부분에서 문제를 일으킬 수 있다는 점입니다. 즉 구글을 제외한 모든 사이트들에서 추가적인 도구들을 사용 할 수 없는 문제들이 발생 할 수 있습니다. 이런 문제를 해결 하기 위해서는 앞으로 많은 시간이 필요할 것으로 보이나 해당 업체의 기술을 이용한 검색 결과의 안정성 보장은 빠른 시일 내에 모습을 드러낼 것으로 보입니다.

 

드러난 Google의 행보는 여기까지입니다. 단순하게 세 가지 사실을 가지고 유추해본 바로는 향후 검색 결과에 대한 사용자 신뢰도 확보에 대한 Google의 의지를 볼 수 있고 또한 동양과 서양간의 사회적 인식에 따른 보안 개념의 차이를 볼 수 있습니다.

 

올해부터 보안컨퍼런스에 전면적으로 모습을 드러낸 구글의 모습은 그 필요성에 따라 매우 빠른 움직임을 보이고 있습니다. 그만큼의 위험상황이라고 인식을 하는 것을 볼 수 있습니다. 자사의 검색결과에서 악성코드가 유포되는 유형을 공개적으로 발표를 하는 의도도 그만큼의 위험상황임을 내부에서만 알고 있기에는 위험하다고 판단 했기에 그랬을 것으로 보입니다.

  

* Article이 좀 분량이 있습니다. 계속 올리도록 하겠으며 다음에는 좀더 체계화 되고 전략적인 방향 부분을 짚어 보도록 하겠습니다 2편 정도 더 나올 것 같습니다.

 

감사합니다.

 

 

참고: 동양과 서양간의 사회적 인식에 따른 보안개념의 차이에 대한 사견

 

 - 일반적인 내용은 아닙니다만 사회적 인식에 따라 책임 소재가 국내의 경우 서비스 업체에 집중이 되는 경우가 많습니다. 금융사고의 경우에도 개인 사용자에게 설치된 악성코드로 인해 발생된 사고의 경우에도 금융권에서 배상을 해야 하는 내용등이 있어서 문제 발생 이전에 사전 대응을 주로 하도록 합니다. 수많은 ActiveX가 설치되는 이유 이기도 합니다.

 

서구권의 경우 사고 이후의 분석에 많은 강점을 보이고 있습니다. 즉 사용자에 대한 모든 행위 분석 ( CRM의 일종 )에 따라 비정상적인 행위 패턴을 보일 경우 Alert이 되도록 합니다. 즉 한번도 간적이 없는 곳 또는 사용 기록이 거의 없는 시간대에 거액의 비용을 사용하게 된다면 Abusing이라고 판단하죠. 이걸 Fraud 라고도 합니다. 이런 유형의 검출에 대해 특화된 노력들이 많이 있어 왔습니다.

 

금융권의 예를 들었읍니다만 서비스의 경우에도 개인 사용자야 어찌되든 자신의 서비스로 인해 나타나는 결과의 안정성에만 신경을 쓰는 것을 볼 수 있습니다. Google이 그 케이스를 보여 준다고 생각 됩니다.

 

 

 


 

 
Posted by 바다란
< O'Reily의 Web 2.0 Image>

 

 

4.12일의 ICAT 2007 워크샵에서 'Web 2.0 Security'라는 article로 발표를 하게 되었습니다. 아래의 내용은 그 발표자료의 골격을 구성하는 내용입니다. 발표 이후 발표자료를 올리도록 하겠습니다. 지금의 Web 2.0의 열풍과 변화에는 간과되고 있는 부분이 너무 많다는 것이 개인 소견입니다.

 

 

 

최근 UCC라 불리는 저작물에 대해서 여러 가지 문제가 발생 하고 있고 사용자 친화 환경의 변화에 따라 많은 위험요소들이 도출 되고 있습니다. 한번쯤 위험요소를 실례로 보고 대책과 대안은 무엇이 있는지 그리고 방향은 어떤 방향으로 가는 것이 맞는 지에 대해서 의견을 피력 하였습니다. 관련 내용 참고 하시면 될 것 같습니다.

 

UCC의 정의부터 다시 해야 할 것 같은데 사용자가 저작하는 모든 유형의 매개물을 UCC라 정의 할 수 있습니다. 사실상 Web2.0이라는 것은 현상을 정의 하기 위한 용어일 뿐입니다. 인터넷을 이용한 부분적인 정보 참고와 정보 획득의 수단으로서의 도구 측면의 접근이 이전 까지의 접근이라면 이제는 생활과 연결 되는 부분에 직접 영향을 미치는 단위까지 인터넷이 확장 되고 있습니다.

정확하게는 확장이 아니며 인터넷의 활용에 숙달이 된 사용자들이 생활 단위와 행동 양식까지도 깊숙하게 끌어 들이고 생활을 변화 시키고 그 변화의 중심에 인터넷이 존재하는 것이죠. 생활과 관련 이 있으니 이제는 IT 서비스 기업들도 직접적인 영향력을 지니게 됩니다. 조금의 시간이 더 지나게 되면  각 분야별로 눈에 보이게 되겠죠.

 

일반 TV를 예로 들면 오로지  3채널 뿐인 것에서   -> 케이블 TV , 위성방송 채널 등 다수의 채널 등장 -> 주문형 TV의 일반화로 볼 수 있습니다. 이 과정에 방송사들의 다시보기 서비스와 같은 것들은 또 밀려 나겠죠. 실시간으로 저장을 하고 사용자가 원하는 시간대에 보도록 할 수 있으니 말입니다.

 

Web2.0은 새로운 기술이 아니며 사용자의 참여를 통해 적극적으로 생활이 변화해 가는 과정의 일부를 지칭하는 용어일 뿐입니다. 패러다임의 전환기를 정의하기 위한 요소 명칭일 뿐인 거죠.

 

차후에 좀 더 개념에 대한 정리를 해보도록 하겠습니다. 지금은 보호 관점에서 생활에 밀접하게 연관되도록 서비스를 제공하고 활용하는 사용자와 기업 두 측면에서 필요한 것들이 무엇이 있을지 간략하게 정리 해 본 수준입니다.

 

실제 문제 사례 :

 

-        Myspace script 코드를 활용한 서비스 내의 사용자 정보의 유출과 전파

-        Yahoo Messenger를 통한 웜의 출현

-        Web 2.0 서비스 기업을 타켓팅화한 Application 취약성 공개의 일반화 [ XSS 등]

-        Youtube , Yahoo ,naver등의 동영상 저작권 및 국가간 규정에  따른 불법적인 동영상  [ 음란 , 폭력  등등 ] 을 통한 사회적인 파급효과 , 3.19일 야후 음란 동영상 게재로 인해 동영상 서비스의 일시 중단 시행.

-        동영상을 파일을 통한 악성코드 유포 [ ActiveX 설치 이외에 사용자 정보를 유출 하기 위한 Script 코드등 다수 해당] Flash , 이미지 파일을 통한 정보 유출

-         사용자 계정의 도용 [ 아바타 및 아이템의 분실, 강탈 증가]

-        부정확한 게시물을 통한 광고 [ 게시물 , 덧글 등]

-        광고를 하기 위한 목적 혹은 사용자 PC를 조정하기 위한 ActiveX [ 사회공학적인 해킹 부분]

-        악성코드의 문제 [ 사용자 접근성 확대에 따른 악성코드 노출 영역의 극대화]

 

 

-서비스 기업으로서의 보호:

 

UCC에 대한 보안성 검증 : 기술적인 보안성을 검증 하여야 함. 게시물에 포함된 악성코드 및 HTML을 허용하여 사용자의 자유도를 높이는 만큼 그 위험성 ( XSS 및 Code Running)에 대해서 보호 방안을 수립 하여야 함. 보호 방안으로서는 Filtering 메소드의 필수적인 환경 구축 및 활용이 필요.  

 

n   Filtering Method

u 개인정보 침해 관련 사안의 조정  댓글 ,게시글

u 악성코드 실행 부분  게시물 , HTML 파일 , Image , Flash , 동영상

u 악성코드 위험 요소 판별을 위한 자동 판별 시스템 도입 및 수작업에 의한 모니터링 필수 [ 모니터링 대상 항목  성인, 개인정보 침해 , 악성코드 설치 , 광고글 , 개인정보 유출 관련 실행 코드 , Virus , Worm ]

 

n    Platform 의 체계화

u Filtering 시스템에 대한 체계적인 구성

u 전체 사용자 입력에 대한 Filtering 구조의 수립

u 전문 보안인력에 의한 Filtering Rule의 추가 및 빠른 변화에 대한 대응 능력 재고 필요

u 사용자의 직접 입력 시에 빠른 모니터링이 안될 경우 기업 입장에서는 치명적인 문제에 노출 될 가능성 증대 됨

 

n    개인정보 보호 관련 대응 방안 수립 필요

u  개인정보 관련 이슈는 기술적 방안으로 최소화 시키는 것이 필요 . Filtering과 연계하여 구성 하는 것이 필요

u  개인 정보 오남용 관련된 모니터링 필수

u  개인정보 오남용시의 필수 대응 프로세스의 수립  고객센터부터 실 서비스 부서까지 빠른 대응 필요

 

n        Web service에 대한 기술적인 보호

u  보안성 검수 프로세스의 일반화  전문인력 및 보안 전문가 집단을 활용한 최신 취약성에 대한 검수 체제 수립

u  Web Service를 구성하는 최신 기술 동향에 대한 취약성 연구

u  Web 2.0의 요소 기술간의 정보 전달 부분의 암호화 및 외부 노출 최소화

u  비정상 행위 탐지를 위한 Anomaly Detection 부분의 구축

u  현재 당면한 SQL Injection 및 XSS [ Cross Site Scripting]에 대한 전면적인 대책 수립 이후의 프로세스화

u  서비스 보호를 위한 전문가 집단의 수시 활용 또는 전문가 집단의 보유 필수

u  사용자 ID/ Password에 대한 보호 방안 수립과 시행 [ ex : password의 단방향 암호화등 ]

 

n        사용자에 대한 Security awareness 강화

u  서비스 차원에서의 게시물에 대한 악성코드 , 위법성 여부에 대한 Awareness 강화

u  불법 악성코드 및 개인정보 유출 관련된 사용자에 대한 합리적인 처벌 방안 마련

u  보안상의 문제 해결을 위한 서비스 기업 차원의 정보 제공 확대 및 위험 여부 , 법적인 위배 사항에 대한 명확한 가이드 수립

 

 

-        사용자 관점에서의 보호

 

사용자 관점에서의 보호는Client 상에서의 Web 2.0관련된 일련의 기술 흐름에 대한 보호 대책을 언급 한다. 향후 발생 가능할 부분에 대한 Security Awareness 측면에서의 사용자 보호 방안

 

n   개인 PC 차원의 보호 방안 수립

u  메일 및 게시물의 링크 선택 시 접근에 유의

u  첨부 파일등에 의한 바이러스, 웜등의 감염 주의

u  AV 백신 및 각 운영 체제별 보안패치 및 설정

u  ActiveX 의 시스템 설치 제한 및 확인

u  주기적인 보안설정 검사 [ AV 체크 , 보안설정 체크 ]

 

n   사용자 정보 보호

u  주기적인 패스워드의 변경

u  사이트별 분류에 따른 등급 관리 및 ID / 패스워드의 분리 활용

u  사이트 가입시의 보안 등급의 확인 [ 일정 수준 이상의 정보보호 수준을 인증  기존의 안전진단 및 보안컨설팅 , ISMS 인증 등에 네트워크 보안 및 ID/PASS 보호 방안에 대한 확인 이후 일정수준의 등급 부여 필요]

u  정부기관 및 신뢰된 사이트로부터 배포되는 보안 솔루션에 대한 선별 설치 필요 [ 키보드 보안 , 보안패치 , AV 솔루션 등등]

 

 

위와 같이 정리가 됩니다.  거칠게 정리한 내용이며 필요한 항목에 대해서만 기술이 되어 있습니다. 어느 정도 단계에 이르면 보다 체계적이고 다양한 방면으로 정리가 될 것 같습니다.

의견 있으신 분들은 적극적으로 의견 주세요.

 

좋은 하루 되세요.

 

Posted by 바다란
 

 

이제서야 처음 언급한 전략이 나오네요. 전략이라고 해봐야 별 거 없습니다.

뭐 특별하고 신출귀몰한 것도 없고 어느 정도 수준 되면 다 보이는 정도입니다. 이런 흐름을 얼마나 역동적으로 리딩을 하고 끌고 가느냐가 생존을 담보 하겠죠. 앞으로의 세상은 더더욱 그럴 것 입니다. 안주하는 서비스기업들은 무너지겠죠. 한 순간에 녹아 내리듯이 그렇게..

힘겹고 고통스러운 일이지만 그 동안 외면 했던 Security 라는 측면을 하지 않으면 생존하기 힘든 상황이 될 것입니다. 눈에 보이는 것이 아닌 체질적으로 서비스에 내재된 기술적 보안역량이 서비스의 질에 매우 큰 차이를 가져오게 될 것입니다. 앞으로는 보유 여부에 따라 극복하기 힘든 절대적인 차이가 발생하게 될 것입니다.

 

 

 

보안전문가와 보안 관리자의 차이( http://blog.naver.com/p4ssion/50014996901 ) 에서 언급한 GSM (General security manager ) SSM (Special Security manager) 의 구분과 동일합니다. GSM이 아닌 SSM의 보유여부에 따라 향후의 IT 서비스 기업의 흥망성쇠는 달라집니다. 최소한 글로벌 비즈니스를 하는 곳은 그러 합니다.  단지 인력을 확보 하고만 있는 것이 아닌 역량 발휘가 가능한 환경까지도 조성이 되어야만 하는 문제입니다. 국내의 현실은 SSM보다는 GSM이 더 우대 받는 현실이지만 앞으로의 다가올 위협에 뼈저리게 느낄 기회가 주어지게 될 것입니다. 위협에 대한 대응에 있어서 국내에서는 유야무야 얼버무리는 것이 된다 하여도 해외사업에서는 절대 그렇게 되지 않을 것입니다. 그때 가서야 알게 될 것입니다. 후회해도 늦었지만.. (하고 싶은 말들은 있습니다만. 이런 내용은 사설로 나중에  더 가슴에 맺히면 쓰도록 하겠습니다. 꾸벅)

 

1. Google online security 전략 개요

http://blog.naver.com/p4ssion/50019586109

 

2. online security 전략 상세  - * Trustworthy web

                                    * Google security strategy

3. online security의 방향과 미래 ??

 

* Google의 전략

 

- Direction : Passive protection ->Active protection으로의 전환

 

개념상으로 단순한 바이러스의 제거  ( 발생 이후에 제거가 가능한 부분) 서비스의 제공에서 벗어나 올해부터는 본격적으로 Active한 보호를 가능케 하도록 서비스 틀이 변화 될 것을 예상 할 수 있습니다. 1~2년 후에 일반화된 경향이 될 것으로 예측 됩니다.

Active한 보호 방안이란 사용자의 선택에 따른 AV 서비스의 제공이 아닌 악성코드 감염을 원천 차단하고 악성코드 유포 사이트에 대한 사전대응 형식으로 사용자에게 노출되는 악성코드를 적극적으로 줄이겠다는 의사로 풀이가 됩니다.

 

서비스적인 측면에서 Passive Active Protection 두 방안의 조화로운 운영을 통해 문제 발생 부분을 최소화 할 것으로 보이며 프로세스상으로는 다음과 같은 일련의 체제를 갖출 것 같습니다.

 

Active (예방 ) - Passive (대응) - Response ( 관리)

 

Active :

GreenBorder Product를 통한 악성코드 감염의 원천방지 ( 전체 사용은 어려울 것으로 예상)

일부 구글팩 및 구글툴바를 활용한 사용자 선택적인 사용이 중점이 될 것으로 예상됨

 

Passive:

구글팩에 포함된 Symantec AV 백신을 통한 사용자 치료 서비스의 강화 , 향후 다양한 멀티 벤더 제품을 사용하도록 할 가능성이 있음.

 

Response:

Stopbadware.org 사이트 운영을 통한 악성코드 유포 가능성을 지닌 사이트의 검색 결과 격리

stopbadware.org 사이트에 등록이 되는 사이트들은 AV벤더와 협력하여 탐지가 되는 결과를 가지고 진행합니다. 한국의 경우에는 KISA와의 협력을 통한 악성코드 유포 사이트 정보를 활용하여 stopbadware.org 사이트에 등록을 하게 될 것으로 보입니다.

 

위와 같이 세가지 방향에서의 online security가 이루어 지고 있으며 움직임이 본격화 되었다는 것은 security라는 측면이 online business에서 얼마나 중요한 가치를 지닐 수 있는지를 인지했다고 볼 수 있습니다. 내부 보안 강화 및 서비스의 보안 강화의 측면에서 한층 더 나아가 user 단위에 까지 영향을 미치는 security가 가미된 서비스로 방향을 설정한 것이라 봅니다. 그리고 현재의 위협 상황에서는 사용자까지도 보호를 해야만 서비스의 안정성이 유지가 되는 것이 사실입니다.

 

기본개념으로는 secure search search integrity (security 측면에서의 무결성- 악성코드로부터 Free..)으로 흐름분석이 가능 한데 일련의 이슈들을  서술 하면 다음과 같습니다.

 

 

Secure search & Browsing

 

secure search라는 부분은 제가 해석한 부분입니다. 대표적인 예로 올해 상반기에 인수된 Greenborder를 예로 들 수 있습니다. 전편에서 언급 하였듯이 검색 서비스 자체의 보안 측면은 아닙니다. 검색을 통해 노출된 사이트들을 통해 사용자가 피해를 입는 부분을 최소화 하자는 것이 근본 방향이 될 것으로 보입니다. Google을 통해 검색을 하고 그 결과를 클릭 하였는데 악성코드에 감염이 되었다는 문제 제기를 피하기 위한 방안으로 인식이 됩니다.

이 움직임은 올해 초에 구글의 Anti malware 팀에서 조사한 내용을 통해 근본 근거를 마련하고 이후의 Action item으로 Greenborder의 인수를 추진한 것으로 확인이 됩니다.  조사되고 발표된 내용은 전체 검색 결과의 10%가 악성코드 및 위험요소를 가지고 있는 유형으로 파악되었다는 자체 조사 결과 입니다.

 

Greenborder에 대한 설명은 전편에 설명을 하였지만 부가적으로 더 언급을 하면 Secure Browsing을 구글 내에서는 가능하게 하겠다는 근본취지를 지니고 있는 개념으로 볼 수 있습니다.  구글을 통해 검색이된 결과는 사용자가 클릭을 하여 해당 사이트로 이동을 하여도 악성코드에 감염되지 않는 Frame을 만들겠다는 관점에서 볼 수 있습니다.

 

대부분의 웹사이트를 방문할 경우 해당 사이트의 컨텐츠들은 사용자 PC의 임시파일 저장소에 저장이 되어 (cache ) 사용자의 브라우저 화면에 보여지게 됩니다. 대부분의 악성코드들이 감염 시키는 방식이 다운로드 이후 실행을 하는 방식을 취하고 있는데 GreenBorder의 경우에는 이 공간을 격리 시킵니다.

격리라는 의미는 별개의 가상공간에서 다운로드를 받고 사용자의 Browser에 보여지게 한 뒤에 사용자가 해당 사이트 이탈 시에는 가상공간을 없애는 유형으로 악성코드가 사용자 PC에 직접 침입 하는 유형을 원천 차단하는 것을 의미합니다.

 

개념 상으로는 좋은 방향이지만 국내의 현실에서는 문제가 많을 것으로 보이며 문제는 다수 발생 할 것으로 보입니다.

ActiveX 또는 부가 설치가 필요한 모든 부분에 대해 예외 설정 등을 하게 되면 문제는 계속 될 것으로 보이며 향후 구글 툴바 혹은 구글팩에 포함되어 사용자의 선택에 의해 사용하게 되는 유형으로 서비스 될 것으로 예상됩니다.

 

7.11일 현재 구글은 postini 라는 이메일 보안 업체를 6000억원을 주고 인수 합병을 하기로 한 기사가 나왔습니다. 관련 업체의 프로필을 살펴본 결과 기업용 제품으로서 단순한 이메일 보안업체가 아닌 일관된 Policy의 적용 및 내부 정보 유출을 방지하는 서비스 유형으로 파악이 되며 Google의 서비스 측면에서 보았을때 향후 기업용 시장에 대한 진출 도구로서 활용이 되고 Gmail에 대한 서비스 강화, 이익 강화 ( 미국의 3대 이메일 보안 서비스 업체라고 함) 측면에서 보는 것이 바람직해 보입니다.

 

 

Search integrity

 

검색결과에 대한 무결성을 보장한다는 의미는 검색 관련된 서비스를 하는 업체에게는 매우 중요한 factor 입니다. 그동안의 무결성이 검색 결과에 대한 정확도의 측면에서 접근 하였다면 지금은 전체적인 Web상의 위험요소 발달에 따라 다른 부분으로 전이가 되고 있습니다.

 

검색결과에 대한 정확도 측면 + 검색결과에 대한 신뢰도 ( 신뢰도 측면은 사용자 PC에 대한 안정성 측면의 신뢰도 입니다.) 가 이제는 기본적인 흐름으로 대두 될 것입니다. 이런 연유에 따라 구글의 Anti malware 팀에서는 구글 검색 결과 중 10%가 악성코드 유포의 위험성이 있다고 스스로 발표를 한 것으로 볼 수 있습니다. 스스로가 발표를 하면서 위험성이 있다는 것도 사용자들에게 알리고 이런 위험성을 제거하기 위해 사용자의 Action을 제한 할 수 있는 서비스를 출시 하는 것으로 볼 수 있습니다.

 

사용자의 Action 제한을 하더라도 큰 범주에서는 사용자의 보호를 위한다는 당위성 확보로 적절하게 활용이 된 것을 볼 수 있습니다.  구글 서비스에서 이루어지는 빠른 변화에 대한 사전작업이라고 보입니다.

 

Search integrity를 확보하기 위해서는 무엇을 하는가? 하는 측면에서 바라보면 드러난 부분으로는 다음과 같습니다.

Stopbadware.org 사이트의 활용 - 하버드 법대에서 운영을 하도록 합니다.  AV 벤더 및 악성코드 유포를 탐지하는 여러 업체 및 기관과 협력하여 거의 실시간에 가깝게 악성코드가 유포되고 있는 사이트 정보를 획득하고 해당 사이트 정보를 구글의 검색 결과에 반영을 합니다. Black list에 등재된 사이트의 경우 검색 결과에 노출이 되어도 사용자가 클릭을 하면 악성코드 유포 위험성 안내와 함께 stopbadware.org 사이트로 이동을 하도록 하고 있습니다.  관련 업체에서 이의제기를 하고 싶어도 구글 에게 직접 하는 것이 아닌 하버드법대에 이의제기를 해야죠.  blacklist에서 제거 되는 부분도 악성코드 유포 위험요소를 제거한 이후에 되도록 되어 있고 black list에서 제거되면 검색결과는 정상적으로 해당 사이트 링크를 활성화 시켜 줍니다.

 

주변 환경을 이용하는 측면에서 영악하다고도 볼 수 있는데 구글의 정보통제 및 독점에 대한 문제 회피를 위해 하버드 법대를 활용한 개념이 있고 또한 거의 실시간에 가까운 전 세계 협력 기관 및 AV 벤더의 자료를 취합해 적용함으로써 신뢰도를 높이는 점이 있을 것 같습니다. 자료를 제공해주는 기관이나 벤더는 향후 대폭 확대될 가능성이 있을 것이며 확대에 따라 신뢰도는 더 높아지는 결과를 유발 할 것입니다. 2007.7.11자로 확인을 해보니 악성코드 유포 가능성이 있고 유포중인 사이트가 197000여 개 정도 리스트업이 되어 있습니다.  

( http:://www.stopbadware.org )

우리나라의 경우에는 KISA에서 제공되는 악성코드 유포 사이트 정보를 활용하여 보다 전문적이고 지역적으로 특화된 내용에 대해서도 대응이 가능한 체제를 수립하려는 것으로 보입니다.

 

Response 영역에 대해서는 특별히 언급할 내용이 없으며 구글팩의 설치부터 AV 백신의 실행까지 모두 사용자 동의 하에 가능한 부분이라 영향은 제한적이지만 향후에는 위협의 증가에 따라 기본으로 제공될 가능성이 존재합니다.

 

 

Integrity Secure search & browsing에 대한 간략한 개념을 설명 드렸습니다.

 

영향은 어떻게 될까요? 짧은 소견이지만 생각 나는 대로 정리 하겠습니다.

 

Google의 검색 안정성 강화 ( 이익 창출을 위한 필수도구로서의 security factor 인식의 산물)

Active , Passive , Response process를 통한 전방위적인 대응체제 수립이 가능할 것으로 보이고 각각의 영향력이 다름으로 인해 효과는 제한적이나 향후 1~2년 이내에 Frame화 되어 정착될 가능성이 높습니다.

 

Active method (Green border technology)의 활용은 제한적이 될 가능성이 높고 위에 언급 하였듯이 Toolbar 혹은 별도의 Plugin 형식으로 전파가 되고 사용자의 선택에 따라 활용하는 용도로 이용될 가능성 있습니다.  단점으로는 언급 하였듯이 전체적인 보안기술의 적용이 어렵습니다. 특히 국내의 경우에는 많은 사이트들에 장애를 일으키거나 정상적인 접근이 어려워 지는 경우가 발생될 것으로 예상됩니다. 사용자의 설정 요구가 매우 많아져서 오히려 사용자를 떨어지게 할 수도 있을 것 같네요.

 

구글은 사용자의 요구와 Security의 강화라는 측면에서 Web 상에서 노출되는 많은 위험들을 앞으로 적극적으로 강조할 것으로 보입니다. 분명한 사실이지만 비지니스적으로는 강조해야만 불편함에 대한 사용자의 요구를 일소 할 수 있는 명분이 생기는 것이겠죠.  

Passive Response에 해당하는 이슈들은 앞으로 많은 영향을 미칠 것으로 보이며 특히 AV벤더와의 협력관계 확대를 통한 Response 영역의 확장은 노하우가 쌓일 수록 강한 힘을 발휘 할 것 같습니다.

 

글을 쓰는 목적은 변화하는 흐름을 분석하고 이해해서 향후 방향 설정에 도움이 되었으면 하는 마음에 분석한 것이며 그 과정에서 최근 구글의 행동이 주목할 만 하여 케이스 스터디 차원일 뿐입니다.

 

감사합니다.

 

* 심각하게 고민한 내용이 아니고 그 동안 나온 기사를 바탕으로 생각나는 대로 나열한 부분입니다. 내용 중에 이해가 어려운 부분도 있을 수 있습니다. 이 부분은 설명하는 사람의 무지를 탓하시면 될 것 같습니다. 또한 내용 중에 정확하지 않은 내용도 있을 수 있습니다.  신문기사만 보고 판단한 것이라 다른 내용들이 있을 수 있습니다. 개인적으로 보는 관점이라고 봐주시면 감사하겠습니다.  재주가 없어서 그런지 이해한 내용을 전달 하는 것도 부족한 부분이 많습니다.

 

- 사족 나갑니다.

왜 국내 IT Service 기업들은 변화를 리딩 하지 못할까요?  IT Service에서 안주와 자리 지키기는 죽음에 이르는 길입니다. 죽음의 길에 조금 더 빨리 가도록 하는 것이 학벌과 지연과 인맥에 의한 것이겠죠. 특히 Global Service기업이라면 학벌, 지연, 인맥에 의존 하는 순간 초고속 급행열차로 죽음의 길에 가는 것과 다름 없습니다. 남의 떡이 커 보인다고 키워야 될 자기 것들을 팽개치고 이러다 보면 순식간에 무너지겠죠. 전문직무분야인 보안 분야에서도 그러한데 다른 분야는 오죽하겠습니까? ^^; 위험을 인지 하지도 못한다면 더 심각한 상황이라 할 수 있습니다. 매 순간이 위기인데 말입니다. 백척간두 진일보라는 말은 개인에게만 해당되는 말은 아닙니다. 지금 이 순간의 모든 IT서비스기업들에 해당이 되는 의미입니다. 당장 1년 뒤를 보장할 그 어떠한 것도 없습니다. 세계와의 경쟁에는 학벌과 인맥, 지연이 통하지 않습니다. 그리고 지금의 서비스는 이미 세계와 경쟁 중입니다. 4천만의 시장으로 먹고 살 수 있다고 생각하는 고만고만한 기업이라면 이름 없이 사라짐을 당연하게 알아야 될 것입니다. 아쉽게도 문제는 그런 기업들이 너무 많다는 것이 문제일 뿐입니다. 아쉽지만 여기까지 인 것 같습니다.


 
Posted by 바다란
 

 

바다란 입니다.

 

현재의 인터넷 환경을 주도하고 있는 화두업체인 구글에 있어서 Online security는 어떤 의미인지 이 시점에서 짚어 보는 것이 필요하다고 생각 됩니다.

전체적인 맥락에서 한번 짚어볼 부분은 반드시 있을 것 같아서 이전 Thread에서 약속한 것과 같이 3가지 Article로 정리를 하도록 하겠습니다.

 

1. Google online security 전략 개요

http://blog.naver.com/p4ssion/50019586109

 

2. online security 전략 상세  - * Trustworthy web

                                    * Google online security strategy

3. online security의 방향과 미래

 

오늘은 2번 항목을 정리해 보도록 하겠습니다. 지난 issue 부분에서 논의된 내용을 체계적으로 구성을 하여 향후 방향에 대한 예측 부분으로 정리를 하겠습니다. 3번 항목은 미정입니다.

 

Google Online security 전략은 사실 오래 되지 않은 부분입니다. 그 동안은 자사의 서비스 시스템에 대한 안정화와 Process 강화와 관련된 부분이 가장 컸을 것으로 예상 하고 있습니다. 실상 여타 포털과 비교해서 Contents 제휴 종류와 범위로 따지면 비교도 되지 않는 (?) 구글입니다. 검색 전문업체로 시작하였기에 일면 국내에서 통용되는 포털이라는 개념과는 조금 다른 관점에 있습니다.  내부에서 개발된 Application에 대한 검증도 실시간으로 세계적인 이슈가 통용 되고 있는 보안 부분에 대해 받는 위험도와 압력은 IT 서비스 업체 모두가 해당이 됩니다.  IT 서비스업체나 Google이나 모든 웹서비스 업체는 보안에 대해 실시간으로 동일한 위험과 동일한 압력을 받고 있다고 할 수 있습니다.

 

왜 이런 위험요소들이 도출이 되고 행동들이 있는지는 전체적인 Attack trend를 살펴야만 가능합니다. 현재의 Trend는 다음과 같이 단편화 시킬 수 있습니다.

 

 

 

2005년부터 나타나기 시작한 Application에 대한 공격은 Web의 일반화와 궤를 같이 하고 있습니다. Web service의 활성화와 일반화에 따라 개발되는 모든 Application들이 Web을 통한 연결을 기본으로 하고 있습니다. 일반 C/S 환경에서 활성화 되는 Application의 수는 대폭 줄어들고 있다고 볼 수 있습니다. 아마도 일부 특수한 환경에서 사용되는 Application을 제외하고는 web 연결이 필수적인 Application이 대부분으로 예상이 됩니다. 

Web Application의 출현과 더불어 공격이 출현하게 되고 이전의 운영체제의 취약성을 노리는 직접 공격에서 운영체제 위에 설치 되고 운영이 되는 Web application에 대한 직접 공격이 증가하게 됩니다. 또한 이런 Application에 대한 공격은 자동화된 경향을 나타내며 발전하고 있습니다.

 

특정 서비스에만 특화된 Application attack의 출현도 일반적인 현상이라 할 수 있습니다.  (관련 내용은 올해 들어 여러 곳에 발표를 한 Web 2.0 관련 위험요소라는 PPT를 적당한 시점에 공개토록 하겠습니다. )

 

Web application에 대한 공격이 증가 한다고 하였습니다. 그럼 이런 공격 유형과 기업들의 변화된 움직임은 왜 일까요?. 그 변화에 대한 답은 제가 생각하기에는 다음과 같은 환경의 변화로 인해 기인 합니다.

 

위의 항목에서 보시면 각각의 서비스 기업들의 변화와 보안상의 위험요소와의 연관 관계를 추산할 수 있습니다. 제가 나누는 관점에서는 Worm의 출현에 따라 기업들의 대응과 보호 방안들이 달라지고 있다고 판단 하고 있습니다.

최초에는 Worm의 출현 -> Worm의 일반화 -> Web attack의 출현 -> Web을 통한 무차별적인 악성코드의 유포와 개인정보 도용 이런 유형으로 나눌 수 있으며 그에 따른 기업들의 대책들이 달라지고 있다고 볼 수 있습니다.

 

물론 공격유형이 변화는 사회적인 변화와도 궤를 같이 하고 있으며 세계에서 가장 빨리 위협을 경험한 곳이 대한민국이지만 향후에는 좀 더 다른 양상을 보일 수 있습니다. 개인정보를 유출 하기 위한 악성코드의 출현과 무방비로 노출된 사용자의 PC에 대한 문제는 이제는 IT 서비스를 진행하는 업체 모두에게 위험요소가 되고 있습니다.

직접적인 서비스 공격에 대한 대비도 하여야 하며 또한 서비스를 이용하는 사용자들에 대한 보호 대책도 강구 하여야 합니다. 해외는 이제 사용자들에 대한 보호 대책들이 출현하고 있는 시점이라 할 수 있습니다.

 

이른바 주가는 경기에 선행 한다고 합니다. 경기의 활성화를 미리 가늠 할 수 있는 요소가 주가 지수라는 의미인데 다른 비유를 하자면 Internet Industry의 위험요소를 가장 먼저 경험한 곳이 대한민국이고 그 위험요소가 이제 전체로 전이가 되고 있는 것으로 볼 수 있습니다. 해외 유수 IT 서비스 기업들의 움직임이 그러합니다. 적당한 비유가 생각 나지 않아 가져다 붙였습니다. ,

그 위험요소는 Web에 대한 공격이고 이런 공격들은 2005년부터 국내에 본격화 되었으며 악성코드에 대한 피해도 본격화 되었다고 볼 수 있는데 이런 위험에 대한 인식은 해외 업체들의 경우 인식에 대한 시기 자체가 조금 늦게 시작 되었습니다만 보다 더 꾸준하고 큰 영향력을 미치는 방향으로 이루어 진다는 점에 대해 주목하여야 합니다.

 

소통의 도구로 일반화 되고 향후에도 1분 이내에 전 세계와 소통 할 수 있는 Web의 발달은 더욱 가속화 될 것이고 생활과 더 밀접하게 연관이 있게 될 것입니다. 전 세계 어디에서나 글을 올리고 1분 이내에 접근 할 수 있다면 Web을 통한 모든 위험요소들의 전파도 1분 이내에 전 세계에 영향을 미칠 수 있다는 것과 동일합니다.

 

그만큼 Trustworthy web의 구현은 필수적인 요소가 될 것 입니다.

이런 요소의 중요성에 대해 인식하지 못하는 많은 서비스 업체들은 시행 착오 및  곤란을 다수 겪게 될 것이고 도중에 무너지는 경우도 종종 발생하게 될 것입니다.

지금 까지는 아니지만 앞으로 더 심각해 질 것이라는 것입니다.

 

신뢰할 만한 웹을 만들어야 된다는 것은 이제 서비스 업체들의 지상목표가 될 것이고 많은 노력이 필요하게 될 것입니다. 여기 전 세계 유명 기업들의 신뢰할 만한 웹을 위한 노력을 조금 살펴 볼 수 있는 요소가 있습니다.

 

아래의 Article Cnet.com에서 "웹보안의 미래"라는 제목으로 주요 기업을 인터뷰한 기사입니다. 참고 삼아.. – 본 인터뷰 기사를 통해서도 내부 프로세스의 흐름을 일부 예측 하는 것은 가능합니다. 이 내용은 조만간  (언제나 그랬듯이 쓰고자 하는 의지가 생기면 바로 씁니다.)

 

http://www.zdnet.co.kr/news/internet/search/0,39031339,39158840,00.htm  구글의 치열하고 즐거운 보안 노력

http://www.zdnet.co.kr/news/internet/search/0,39031339,39158918,00.htm   야후 보안, '편집증 환자들'

http://www.zdnet.co.kr/news/internet/etc/0,39031281,39159098,00.htm  MS 데스크톱의 경험을 살리다.

 

* 위의 인터뷰를 보시면 아시겠지만 기술적인 보안이 온라인 서비스 기업에 대해 중요한 영향을 미치고 있음을 알 수 있습니다.  MS는 그 관점에서 보면 아직 갈 길이 많이 남았다고 할 수 있습니다.

 

위에 언급된 인터뷰 기사 각각에서 보듯이 웹이라는 흐름은 이제 대세가 되었으며 이러한 대세의 바탕 위에서 근본적으로 불완전한 웹이라는 메소드에 대한 보안성을 강화하고 신뢰 할 수 있는 웹으로의 전환을 위해 각각의 IT 서비스 기업들이 노력을 하고 있습니다. 그 근간에는 Process + 병적이랄 수 있는 기술적 전문인력 + 원활한 대외 협조 ( 공격자 들 및 제보자들 ) 세 가지 주요 요인으로 정리가 됩니다. 신뢰할 수 있는 웹은 보안적 이슈에 대해 신속한 대응, 문제점 보완을 할 수 있는 기술적 인력들에 의해 가능해 집니다. 인터넷은 통제가 가능한 메소드가 아니기에 더더욱 기술적인 부분이 중요해 집니다.

 

 

Trustworthy Web

 ( Web이라는 매개체가 이제는 소통의 도구에서 생활의 도구로 격상이 된 지금에 이르러서는 불완전한 Web을 신뢰하고 믿을 만한 도구로 격상을 시키는 것이 절대 화두가 될 것입니다.)

보안 부분이 중점을 기울였던 부분을 종합해 보면 자사의 서비스 ( 대부분 Web ) 보안 부분에 많은 역할을 부여하고 있습니다. 특히 IT 관련된 서비스를 직접 운영하는 곳에는 더 많은 필요성이 있을 것으로 보입니다.

 

Cnet의 인터뷰 기사에서 언급된 IT 서비스 기업들의 주된 특징으로는 자사의 서비스 부분에만 많은 신경을 썼지 사용자를 대상으로 한 보안 서비스 부분에는 상당 기간 무관심 하였던 것이 사실 입니다. 지난 해부터는 해외의 포털 및 서비스 업체들도 백신 배포 등과 같은 Action을 취하고 있지만 악성코드의 발전과 진화 속도를 따라잡지 못하고 있는 실정입니다.  다각적인 방안 모색이 필요한 시점이고 현 시점에서 확인 할 수 있는 부분은 Google의 변화 과정이 흥미로운 이슈를 제공 하고 있어서 어떤 방향으로 변화 되는지 살펴 보도록 하겠습니다. 변화를 할 수 밖에 없는 근본적인 흐름을 적어야만 왜 그렇게 하는지에 대한 이해가 가능해 진다는 판단하에 잠시 변화의 근본 원인을 짚어 봅니다.

 개요글 (http://blog.naver.com/p4ssion/50019586109 )에 몇 개의 구글의 변화 요소들을 적었습니다. 변화요소에 기반하여 다음글 한편에 지향하고자 하는 바를 짧게 정리하겠습니다.

 

* Google의 변화된 움직임을 설명하기 위해 전체의 Trend 변화와 우리가 인지 해야만 될 변화 요소에 대해 사전 설명이 필요했습니다. 그렇지 않고서는 모든 행동들의 의미와 가치를 이해 할 수 없기에 적을 수 밖에 없었습니다.

 

 -- to be continue ( 이미 완성은 되었으나 마음에 따라 올리겠습니다. 참 제멋대로죠 쩝 )

 

Posted by 바다란

안녕하세요. 바다란입니다.

 

오랜만에 뵙습니다예고를 했었지만 쓰고 싶은 의지가 들지 않아서 오랫동안 포스트를 게재하지 않았습니다. 앞으로도 종종 마음 내키는 대로 게재 하도록 하겠습니다. 누구나 할 수 있는 말이나 분석 보다는 독자적인 시각으로 흐름과 동향을 보도록 하겠다는 마음이니 만큼 불규칙적인 게재에 대해 많은 이해를 구합니다.

  

오늘은 구글의 검색 보안과 관련된 흐름에 대한 내용을 간단하게 살펴 보겠습니다. 올해 들어 매우 빠른 행보를 보이고 있어서 한번쯤 분석을 해볼 필요성이 있을 것 같아서 해봅니다.

 

사실 구글 이라는 검색업체에서도 보안적인 이슈에 대해서는 자사의 서비스 부분의 보안적인 요소에 지금까지 신경을 써왔습니다. 그러나 현재의 흐름은 자신의 서비스뿐 아니라 불특정 다수를 겨냥한 공격이 일반화되고 있어서 자신의 서비스에만 문제가 없다고 하더라도 다른 부분에까지 영향을 받을 수 밖에 없는 구조입니다. 또한 불특정 다수에게 설치된 악성코드를 통해 직접적인 서비스에 영향을 받는 구조로 되어 있어서 높은 신경을 쓸 수 밖에 없습니다. 그러다 보니 의사결정도 아주 신속하게 나오고 있는 상태입니다.

 

검색 보안이라는 용어 자체가 조금 애매모호하지만 단순하게는 Client 보안이라고 할 수 있습니다. 간단하게 말씀 드리면 Google의 검색 결과로 추출된 결과물에 대해서 사용자가 사이트 링크에 클릭을 하였을 때 악성코드 감염되는 유형을 차단하기 위함이라 할 수 있습니다.

 

국내의 경우에는 2005년 하반기부터 유명사이트를 해킹한 이후 악성코드를 유포하는 것이 매우 활성화 되었고 현재는 조금 잠잠해 진 것으로 보이는 유형입니다만 해외에는 지난해 말부터 대응 측면에서 본격적으로 시작이 되는 것 같습니다.  흐름상으로 보면 온라인 게임에 대한 공격이 전세계적으로 최초 시도가 되었고 이후 범위를 확장하여 검색 및 IT 서비스 분야의 어뷰징 유형으로 확산 발전 되는 형태로 볼 수 있습니다.

 

IT service 업체에서 가장 중요한 부분은 Service에 대한 신뢰도입니다. 그 신뢰도의 가장 중요한 부분에 Online security가 포함이 되고 향후 중요한 포석으로 활용이 될 것임을 알 수 있습니다.  

사업의 확장은 M&A를 통해 규모를 확장 하고 영역을 확장합니다. 그러나 가장 중요한 신뢰도의 확보는 정확한 검색 알고리즘과 로직을 통해 나타내는 결과 이외에도 Security라는 측면이 중요한 요소가 있음을 이제 구글도 알아가나 봅니다. ( 한편으로는 내부적으로 얼마나 많은 문제들을 겪었을까 하는 생각도 듭니다. 위험에 대한 인지 계기가 없으면 보안이라는 부분은 항상 중요도가 낮은 부분이 됩니다.)

 

주제는 딱 한 줄로 요약 됩니다. 최소한 구글을 통한 악성코드 전파는 차단 하겠다. 나아가서는 악성코드에 대한 문제는 최소한 구글을 통해서는 일어나지 않도록 하겠다는 의지의 피력 정도 되겠습니다.

목적으로는 검색결과에 대한 신뢰도 향상 , 급증하는 보안 위험요소에 대한 대응 정도 될 것 같습니다.

회사 규모에 비해서 스케일이 작아서 좀 실망스럽긴 합니다만..~~

 

그럼 올해  본격적으로 모습을 드러낸 구글의 Online security에 대한 행보를 퍼즐 맞추기 해보도록 하겠습니다. 공식적으로 발표된 이슈만을 가지고 조합을 함으로 무리수가 따를 수 있으나 개인의 예상이라는 측면에서 봐주시면 될 것 같습니다.

 

 

구글의 2007 Security action

 

4 ( Hotbots 2007 ) 악성코드 위험 사이트 발표 ->

4월 말 KISA - Google과 악성코드 탐지 협력 -> 

5 . Greenborder의 인수 ->?

7  postini 이메일 보안업체 인수 -> 이 이슈는  online security와는 아주 조금 관련 될 것으로 예상됩니다.

 

올해들어 처음으로 구글 내부에는 Anti malware라는 조직이 신설된 것으로 알고 있습니다. ( 발표자료 보고 알았습니다.) 해당 조직의 조사에 의해 올해 4월에 있었던 Hotbots 2007 행사에서 450만개의 웹서비스를 대상으로한 악성코드 설치 위험을 지닌 통계를 발표 하였습니다.  

그 결과로 대상인 450만개에서 10% 45만개 가량의 웹서비스에서 사용자에게 영향을 줄 수 있는 악성코드의 위험성이 있다고 발표 되었는데 여기에서 중요한 것은 왜 그 조사를 진행 했으며 무엇을 하기 위해 그 업무를 했느냐가 분석이 되어야 합니다.

 

간략한 참고는 기사화된 내용이 존재 합니다.

http://www.etnews.co.kr/news/detail.html?id=200705140149

 

전문적으로 참고 하실 분은 Hotbots 2007의 컨퍼런스 발표 원문을 보시면 됩니다.

http://www.usenix.org/events/hotbots07/tech/full_papers/provos/provos.pdf

 

Hotbots2007 conference에서 다양한 주제들이 발표 되었으니 관심 있는 분들 참고 하시면 될 것 같습니다.

 

4월 말 경에는 KISA (한국정보보호진흥원) Google의 악성코드 탐지 사이트에 대한 대응 협력도 체결을 한 상황입니다.

http://www.dt.co.kr/contents.html?article_no=2007042502011060713008

 

악성코드 탐지와 관련된 또다른 움직임은  http://stopbadware.org 와도 밀접한 연관이 있습니다.  

 

 

2006년 하반기부터 운영된 사이트로서 구글 검색에서 나온 검색 결과에 대해 링크 클릭시에 악성코드를 유포한다고 보고가 된 사이트에 대한 접근은 stopbadware.org 사이트로 리디렉션 시킵니다. 검색 결과는 보여주되 악성코드를 유포하는 사이트로의 접근은 제한을 거는 것이죠. 여기서 또 트릭이 하나 있는데 검색결과에 대한 링크 허용 요청은 stopbadware.org로 직접 하게 합니다. 이 사이트의 운영은 묘하게도 하버드 법대에서 운영을 하는 것으로 나와 있죠.  항의는 하버드법대에다 진행하고 문제가 해결이 되었다면 stopbadware.org 에서 지워지면 구글도 링크를 허용하겠다 이런 정책으로 보입니다. 좋은 잔머리라고 볼 수 있을 것 같습니다. ^^; 더불어 KISA와의 협력을 통해 보다 더 한국에 특화된 악성코드 대응이 가능해 질 것으로 예상 됩니다.

 

 

Anti malware라는 팀에서의 악성코드 위험성 조사와 더불어 진행된 내용으로는 Greenborder의 인수를 병행하여 추진한 것으로 보이며 5월 말 경에 공식적으로 발표를 합니다. 내부적인 합의는 5월 중순에 완료 되었다고 합니다.

http://www.zdnet.co.kr/news/internet/hack/0,39031287,39157927,00.htm

 

Greenborder의 인수는 왜 이루어 졌을까 하는 의문 당연히 제기 되어야 합니다. 그린보더의 기술은 Firefox IE Browser 내에 가상의 Sandbox 모델을 구축하여 보안을 구현 한다고 되어 있습니다. 정말 어렵게 설명 하죠? 좀 쉽게 설명 하면 다음과 같습니다.

 

모든 웹사이트에 방문을 할 경우에 해당 웹 사이트의 데이터는 개인 PC Temporary 폴더에 저장이 됩니다. Firefox IE든 마찬가지 입니다.  악성코드의 전파는 우선 사이트에 방문 이후 모든 파일이 내려진 이후에 자동 실행등을 통해서 이루어 집니다. 그린보더는 여기에 착안을 하여 비지니스를 진행 합니다.

 

                     <cnet.com greenborder pro2 에 대한 소개 이미지>

 

자세히 들여다 보시면 Browser 테두리를 Green color로 둘러 싸고 있는 것을 볼 수 있습니다. 일단 보호가 되고 있다는 의미를 나타냅니다. 사업의 방향은 간단합니다.  Temporary 폴더로 다운로드 되는 모든 파일에 대해 실행제한을 하게 하고 설치가 되지 않도록 하기 위해  가상화된 공간을 만들고 해당 공간은 시스템에 영향이 없도록 만들어 둡니다. 그 이후 사이트를 떠나거나 브라우저 창을 종료 할 경우 파일의 삭제 혹은 가상화된 공간을 없애는 것이죠.

 

즉 모든 악성코드들의 출발점인 다운로드 이후 실행 경로와의 차단을 목적으로 진행을 합니다만 기본 경로에 대한 차단을 시행하는 역할 을 합니다. 개념상으로는 좋은 아이디어 입니다. 한번 사용을 해봤으면 정확하게 알 수 있는데 구글의 인수 이후 해당 업체를 알게 되었고 다운로드 경로가 모두 삭제되어 사용이 불가하여 웹상에서 드러난 공개자료를 통한 분석 외에는 해볼 수 없었음을 알려 드립니다.

 

이 그린보더의 문제점은 시스템에 대한 보안 적용이 필요한 모든 부분에서 문제를 일으킬 수 있다는 점입니다. 즉 구글을 제외한 모든 사이트들에서 추가적인 도구들을 사용 할 수 없는 문제들이 발생 할 수 있습니다. 이런 문제를 해결 하기 위해서는 앞으로 많은 시간이 필요할 것으로 보이나 해당 업체의 기술을 이용한 검색 결과의 안정성 보장은 빠른 시일 내에 모습을 드러낼 것으로 보입니다.

 

드러난 Google의 행보는 여기까지입니다. 단순하게 세 가지 사실을 가지고 유추해본 바로는 향후 검색 결과에 대한 사용자 신뢰도 확보에 대한 Google의 의지를 볼 수 있고 또한 동양과 서양간의 사회적 인식에 따른 보안 개념의 차이를 볼 수 있습니다.

 

올해부터 보안컨퍼런스에 전면적으로 모습을 드러낸 구글의 모습은 그 필요성에 따라 매우 빠른 움직임을 보이고 있습니다. 그만큼의 위험상황이라고 인식을 하는 것을 볼 수 있습니다. 자사의 검색결과에서 악성코드가 유포되는 유형을 공개적으로 발표를 하는 의도도 그만큼의 위험상황임을 내부에서만 알고 있기에는 위험하다고 판단 했기에 그랬을 것으로 보입니다.

  

* Article이 좀 분량이 있습니다. 계속 올리도록 하겠으며 다음에는 좀더 체계화 되고 전략적인 방향 부분을 짚어 보도록 하겠습니다 2편 정도 더 나올 것 같습니다.

 

감사합니다.

 

 

참고: 동양과 서양간의 사회적 인식에 따른 보안개념의 차이에 대한 사견

 

 - 일반적인 내용은 아닙니다만 사회적 인식에 따라 책임 소재가 국내의 경우 서비스 업체에 집중이 되는 경우가 많습니다. 금융사고의 경우에도 개인 사용자에게 설치된 악성코드로 인해 발생된 사고의 경우에도 금융권에서 배상을 해야 하는 내용등이 있어서 문제 발생 이전에 사전 대응을 주로 하도록 합니다. 수많은 ActiveX가 설치되는 이유 이기도 합니다.

 

서구권의 경우 사고 이후의 분석에 많은 강점을 보이고 있습니다. 즉 사용자에 대한 모든 행위 분석 ( CRM의 일종 )에 따라 비정상적인 행위 패턴을 보일 경우 Alert이 되도록 합니다. 즉 한번도 간적이 없는 곳 또는 사용 기록이 거의 없는 시간대에 거액의 비용을 사용하게 된다면 Abusing이라고 판단하죠. 이걸 Fraud 라고도 합니다. 이런 유형의 검출에 대해 특화된 노력들이 많이 있어 왔습니다.

 

금융권의 예를 들었읍니다만 서비스의 경우에도 개인 사용자야 어찌되든 자신의 서비스로 인해 나타나는 결과의 안정성에만 신경을 쓰는 것을 볼 수 있습니다. Google이 그 케이스를 보여 준다고 생각 됩니다.

 

 

 


 

 
Posted by 바다란