- 2011.11.12
공격자의 전략적인 측면을 살펴 봐야 한다. 지금 개별 단위 보안제품의 대응은 사실상 무장해제 상태라고 봐야 하며 공격자들은 일단 규모로서 압도를 하고 탐지 로직을 우회함으로써 무력화 시키는 상황이다.

네트워크 단위의 보안제품의 한계, 패턴 매칭을 통해 탐지를 하는 AV든 Web Firewall 이든 개별적인 대응 밖에 되지 않고 있는 상황이고 전역적인 대응은 언감생심 꿈도 꾸지 못할 상황이다.

날마다 새로이 나오는 악성코드들을 진단 하기 위해서는 악성코드의 수집이 가장 먼저여야 된다. 그동안의 수집 방법을 보면 상당부분이 사용자의 신고, 허니넷, 허니팟 등을 통해서 이루어 지고 있다. 물론 정보의 공유는 시일이 지나서 각 업체들 끼리 이루어 짐으로 시의적절성 측면에서 늦을 수 밖에 없다. 이 각각에 대해 조금 이면을 살펴보자.

• 만약 공격자가 공격을 수행 하지 않는다면 허니넷이나 허니팟은 무용지물이 된다.  

• 또한 사용자가 악성이라고 인식을 하는 대부분의 경우도 설치된 AV에서의 탐지를 근거로 한다. 만약 AV가 탐지 하지 못하는 악성코드라면 사용자가 인지할 방안은 없다.

• 업체간의 정보공유도 이전과 같은 전통적인 전달 매커니즘인 디스켓, USB를 통한 악성코드의 감염은 지역별 확산에 상당한 시간차가 걸렸고 바다를 건넌다는 것도 어려웠다. 이 매커니즘이 깨진건 웜이라는 매개체를 통해서이며 이 웜 조차도 발생지 근처의 네트웍이 먼저 초토화 된 이후 다른 곳으로 확산 된다.
  
  웜 이후에 발생된 것은 검색엔진을 통한 특화된 공격, 파일 공유등을 통한 확산이 있었고 일정한 특징을 가지고 있었다. 그렇다면 지금은 어떨까?

간단하게 설명하고 상당부분 축약해서 위의 과정을 언급했지만 각 과정마다 언급하지 않은 많은 상세한 부분들이 있다. 그 특징들에 대해서는 지금까지의 발표자료나 본 사이트의 글들을 참고하면 일정 수준 참고가 가능하다.

지금의 공격은 말하자면 불특정 다수를 겨냥한 무차별적인 악성코드 유포이며 주된 공격 대상은 사용자의 PC에 일반적으로 설치된 써드파티 프로그램을 공격하는 코드들이다.

왜 Adobe는 시도 때도 없이 패치를 하는가? 

그 이유는 현재 사용자 PC의 90% 가량에 Flash player가 설치 되어 있기 때문이고 해외도 비율상 조금 낮은 거 이외에는 별반 차이가 없다. 공격자들은 Flash Player의 취약성을 공격하여 사용자 PC의 권한 획득을 하는 것이 가장 효율적인 방안임을 인지하고 있기 때문에  집중적인 공격을 수행한다.

또한 개별 PC를 공격하는 것이 아니라 사용자들이 방문하는 웹서비스들을 집중하여 공략 함으로써 불특정 다수에 대한 공격을 성공적으로 하고 있다. 언론사뿐 아니라 주요 커뮤니티 서비스들, 파일공유 사이트들을 직접 공격하여 웹서비스의 소스를 변경한다. ( 운영자나 개발자가 눈치 채지 못하게 암호화 하거나 기묘한 곳에 아주 짧게 넣는 것은 기본이다.)

< 웹을 통한 악성 코드 유포와 활용에 대한 컨셉>

위의 이미지와 같이 다양하게 활용 되고 있다. 이중 90% 가량은 개인정보 유출 및 백도어 활용이 가능한 용도의 악성코드를 사용자에게 감염 시키고 5% 가량은 DDos 나 Arp spoofing 행위를 보인다. 나머지 5% 가량이 지난 농협 사례와 같이 내부망으로 공격하는 용도의 악성코드라 할 수 있다. 사실은 90%의 개인정보 유출도 동일하게 활용이 가능할 뿐이다. 사용처에 대해 구분을 하자면 이 정도라는 것일뿐.


2011년 11월 12일 현재의 상황


지난 몇년간을 위험성에 대해서 언급을 했었고 개인 차원에서 할 수 있는 최대한으로 발표와 기고, 컬럼을 통해 언급을 했었지만 아직도 우리는 한참을 더 가야 하고 현 상황을 돌아 보고 반성이 필요하지 않나 생각 된다.
물론 우리뿐 아니라 전 세계적으로 마찬가지지만  ..만약 우리가 대응을 잘한다면 미래에서의 인터넷의 주요 파워를 가지게 되지 않을까? 

단순한 예상으로도 보안 문제는 앞으로 더 심각해 지며 , 악성코드의 갯수는 점점 더 많아 질 것이다라고 예상 할 수 있다. 시만텍과 맥아피도 손을 놓는 상황에서 누가 살아 남을 수 있을 것인가? 핵심은 대량유포 매커니즘을 깨야만 하는 것이고 이 매커니즘을 깨기 위해서는 다각적인 노력이 필요하다. 이 노력은 악성코드 유포에 이용 되는 많은 웹 서비스들의 문제점을 개선하는 측면 하나와 대규모 확산 이전에 차단 하는 노력이 병행 되어야 가능 할 것이다.

모든 웹 서비스들의 문제점을 개선하여 공격자가 인위적으로 웹소스를 변경 하지 못하도록 취약성을 제거 한다면 이 문제는 매우 명백하게 해결 되나 이렇게 될 가능성은 앞으로도 인터넷이 존재하는한 불가능하다. 최소한 방문자가 많은 사이트들에게는 일정 수준의 강요가 되어야 하고 즉시적이고 긴급한 대응이 계속 되어야만 한다.

더불어 길목을 차단하는 것으로 수십여곳 이상의 웹서비스에서 악성코드의 경로가 추가되어 모든 방문자들에게 감염 시도를 하는 것을 예방 할 수 있다. 웹 소스에 추가된 경로를 빠르게 인지하여 대응을 한다면 이게 가능해진다.

경로의 빠른 인지는 아직도 원초적인 ( 이벤트 탐지 방식) 방식에만 의존하고 있는데 이걸 우회하고 무력화 하기 위한 공격자들의 전략도 이미 출현한 상태이고 이 부분은 별도의 글로 남기고자 한다.  
전략을 넘어서기 위해서는 좀 더 다른 방식의 접근이 필요하다.

탐지 체계에서도 다른 형태가 필요하며 대응체계 (주로 AV)도 변화가 필요한데 최소한 선제적인 대응이라도 못한다면 빠른 악성코드의 공유체계와 감시체계라고 존재해야만 효율을 높일 수 있다. 솔직히 한국을 대상으로 직접적으로 악성코드를 유포하고 있음에도 불구하고 한국내의 AV업체가 제대로 대응을 하지 못하는 것은 기회를 잃어 버리는 것과도 동일하다. 해외 보안분야 대기업들과 비교할 필요도 없다. 비교 우위를 가질 수 있는 고난의 시간을 그냥 보내는 것은 비극이다.


그럼 여기 금일자로 최소 50여곳 이상의 서비스들에 추가된 경유지를 살펴 보자. (하루 방문자 1만명만 해도 50만명이 감염 범위에 들어간다. 신규 악성코드라면 성공률은 거의 90%라고 봐야 하지 않을까? 최소한..)

A라는 서비스에 B라는 주소가 인위적으로 소스에 추가되어 있다. 우린 그 B를 추적하여 그 근거지를 보여주는 것이다. 일반적으로 사용자는 A라는 서비스에 브라우저로 연결만 하여도 B의 주소의 것도 같이 실행 되게 되어 감염 되는 것이다. 

두 곳을 올렸다. 한 곳은 국내의 커뮤니티 사이트에 직접 올린 내용이고 또 다른 하나는 공격자가 만든 근거지이다.
현재 이 데이터를 확인 하는 것은 이미 발견 시간이 몇 시간좀 지나긴 했지만 아직도 전 세계에서 두번째가 아닐까 싶다.

만들어둔 공격자 다음으로 말이다.

* 최소 50여곳 이상의 웹서비스에서 악성코드를 사용자에게 배포하고 있슴에도 불구하고 구글의 Block 로직은 전혀 동작하지 않는다. Stopbadware의 데이터는 이전 기록을 가지고 대응하는 것일 뿐이지 지금의 문제는 아닌 것이다. 또한 판단근거가 부족하기에 탐지는 어렵다고 봐야 된다.  구글의 서비스 확장전략에 보안도 들어가 있지만 그것은 필히 실패할 것이다. 지난 6년간 수많은 비용을 들여 축적한 데이터의 신뢰도는 낮다. 그걸 입증하는 것도 어렵지 않다.  앞으로는 규모로 한번 해볼 예정이다. 

그렇다면 이중에서 신규 플래쉬 공격코드로 유포되는 악성코드의 탐지는 어느 정도 되는지 확인해 보자.

단순히 보면 알겠지만 전 세계 주요 백신들 중에서 오직 하나 정도만이 휴리스틱으로 ( 악의성이 있다 정도? ) 탐지가 된다. 나머지는 전멸이다. 여기 백신에는 이름만 들어도 알 수 있는 모든 제품들이 포함 되어 있다.

즉 제대로 진단되는 백신은 하나도 없다는 의미와 동일하다.
( 시만텍이든 맥아피든 마찬가지다...)

서비스를 통한 차단을 하는 구글의 Stopbadware도 차단이 되지 않고 가장 악성코드를 많이 분석하는 회사들이나 모든 백신 회사들의 탐지에도 걸리지 않는다. 이게 지금 우리가 마주한 실질적인 위협이다.


지난 3주 이상을 샘플을 일부 분석해 보고 테스트 해봤지만 평균 탐지율은 10% 미만이다. 우리의 지금 상태가 그렇다. 오늘도 파일공유나 언론사, 커뮤니티 사이트에 대량 추가가 되어 있어서 한국내에서만 이 악성코드의 확산은 100만대를 상회할 것이라 예상된다. Adobe의 패치? 기대를 말자!.

우리를 보호하고 지킬 수 있는 것은 우리 자신 밖에 없다. 아무리 불법적인 사이트를 안가고 패치를 잘하고 보안제품을 쓴다고 해도 이젠 위험에 노출된 상황이다. 인터넷 서핑을 하지 말아야만 위험이 줄어 드는데 그럴 수 있는가? 

다른 형태의 위협대응이 긴급하게 요구되고 즉시 대응이 되어야만 한다.


- 바다란 세상 가장 낮은 곳의 또 다른 이름

* 현재 여기에 올린 이미지의 내용을 인지하고 있는 곳도 없고 악성 공격코드의 최초 확보도 현재로서는 우리쪽에서만 가능하다. 좀 더 조용하고 은밀하게 해야 하지만 이 문제의 심각성에 대해서 인식이 부족하여 노출을 감내하면서도 자료를 일부 오픈 할 수 밖에 없다. 그러나 충분한 인식이 되었다면 우리도 정보 노출을 최대한 하지 않을 생각이다. 


*개인적으로 지난 15년간 ( 벌써 ..후.) 많은 공개문서들과 컬럼, 의견들을 올렸는데 한번쯤 정리를 할 필요성을 느낀다. 여전히 새롭게 이 분야에 들어온 많은 분들이 모르는 것들이 많다. 먼지 쌓인 외장 하드의 전원을 한번쯤 올려야 겠다. History of p4ssion 정도
 

XSS : Cross site scripting - 현재 악성코드 설치 유형이 각 웹서버의 게시물에 대해 Cross site scripting을 이용하여 악성코드를 방문자에게 설치하는 유형이 매우 증가하고 있고 사용자의 쿠키를 외부로 빼내어가 인증 용도로 사용할 수 있는 문제점들이 있으므로 심화 진단하여 제거하는 것이 필요한 취약성

 

SQL Injection: 일반적인 SQL Injection이 아닌 URL 인자 단위마다 임의의 SQL command를 입력하여 데이터를 빼내어 가거나 DB 권한을 획득하여 정보를 유출 시킴.. 또한 획득한 DB 권한을 이용하여 웹서버의 소스코드를 직접 변경함.

 

Type Error:  문자를 입력하지 않아야 될 곳에 문자가 입력되는 등의 Vb script error의 경우에도 올해 상반기에 발견된 공격 유형 중 수치를 이용하여 결과를 유출 시키는 유형이 발견됨에 따라  [ 정수를 Ascii code 값으로 치환하여 결과를 리턴하는 유형 ] 강화된 진단 유형이며 일반적인 Input validation check의 개념에 따라 기본 오류를 찾아내도록 구성된 부분

 

전체적으로 Secure web programming 강화가 필요하며 강화를 위해 간단하게 작성된 스크립트 도구에서는 위의 세가지 문제를 URL 단위의 각 인자마다 체크하는 유형으로 간략하게 구성하여 문제를 확인토록 함.

 

국내의 현황

 

악성코드가 유포되는 모든 사이트들은 DB의 권한 탈취를 통해 웹서버의 소스코드를 변경하는 유형이므로 DB에 저장된 회원 정보 및 기밀 데이터들은 안정성을 보장 할 수 없는 상태임. 따라서 회원 DB 다수의 유출은 이미 돌이킬 수 없는 상태에 접어든 것으로 보임. 현재 상태에서 추가적인 악성코드 유포가 되지 않도록 Validation check를 강화하였을 경우 기존에 유출된 회원정보를 이용한 각 서비스 Unit에 대한 어뷰징이 증가 될 것으로 예상됨.

 

 

 

위의 현황과 문제인식에 따라 몇달전 내부적으로 사용하던 Perl script를 공개 하였습니다.

또한 시간이 허락하는한.. 공개적으로 발전을 시키고자 합니다. 따라서 Sourceforge에 며칠전 등록을 하였습니다. 관심이 있는 분들께서는 함께 참여하여 앞으로 보다 나은 환경 구축에 힘 썼으면 하는 개인적인 바램 있습니다.

 

https://sourceforge.net/projects/gamja

 

Project 페이지 입니다. 몇달전 공개한 스크립트 그대로 이며 기본적으로는 Web 진단 도구화 할 생각도 있습니다. 비싸고 효율성이 그다지 높지 않은 상용 App를 넘지는 못하더라도 기본 진단은 충실히 할 수 있도록 향후 발전 시킬 수 있었으면 합니다.

 

많은 참여 바랍니다.

 

* 공개용 스크립트는 위의 sourceforge 사이트 외에 본 블로그에서도 관련 내용을 확인 하실 수 있습니다. http://blog.naver.com/p4ssion/50009547486

 

 

    - 바다란  (p4ssion)

 

오랜만입니다.

 

여러 개인 사정으로 인해 글을 쓸 여유가 없었습니다.

앞으로도 상황은 마찬가지 일 것 같습니다.

 

SQL Injection . 지금에 와서 이 공격의 유형을 모르는 한국이나 전 세계의 웹 개발자 혹은 보안 전문가는 없으리라 봅니다. 3~4년 전만 하여도 일선의 재빠른 사람들에게만 인지 되는 사안들이 이제는 글로벌화된 상황이라 할 수 있습니다.

 

이전에 존재 하였던 SQL Injection 유형과 현재 발생하는 유형의 차이점은 이 블로그의 Mass sql injection 관련 글을 찾아 보시면 좀 더 쉽게 이해가 되시리라 봅니다.

 

현재는 상황 그대로 세계적인 불황입니다. 얼마전 글에서 예측 하였듯이 앞으로 노골적인 공격들이 더욱 거세 질 것 이고 보다 전문화된 공격들도 직접 이용이 될 것입니다. 최근 MS에서 긴급패치가 이루어진 MS08-067의 경우에도 PoC( Proof of concept - 공격 개념코드)가 나오기 이전에 계정정보 유출을 위한 실제 Trojan이 배포 된 이후에 MS 측에서 대응을 한 내용입니다.

 

앞으로 이와 같은 상황은 더욱 거세질 것입니다.  공격의 전문성도 높아지고 유포되는 범주도 지속 되고 있습니다. 지금도 하루에 수 십차례 이상 공격을 받는 곳들이 대다수 일 것이고 문제가 심각한 기업들은 웹보안 장비들의 도입에 열을 올리고 있을 것입니다. 이런 웹 보안장비들의 근본적인 한계에 대해서는 본 블로그에서 여러 차례 지적한 바가 있습니다.

 

 

 

공격의 전문성 강화

 

공격의 전문성이 높아지는 것은 비단 이번의 MS08-067의 예를 들지 않더라도 2년 전 부터 나타난 현상입니다. 하나의 Trojan을 설치하기 위해 수 십가지 이상의 여러 Application에 대한 공격코드들이 최적화 되어 있고 주변으로 전파를 하고 있습니다. 심지어는 ARP spoofing까지도 이루어 지죠. ( SQL Injection 이든 Arp spoofing의 경우에도 기존의 공격 개념과는 다른 관점으로 상당히 발전적인 응용이라 할 수 있습니다. )  공격자들은 그만큼 기존의 공격 기법과 새로운 취약성의 접합과 연구에 적극적입니다.

 

그리고 그들은 이제 전문 영역을 지니게 되었습니다. 이 의미는 하나의 산업으로 존재할 만큼의 기술적인 (?) 공격 역량과 숙련도를 보유하고 있다는 것이라 할 수 있습니다. 이런 기술을 이용하여 이득을 취하기 위한 또 다른 산업 영역도 개척을 한 상태입니다. 즉 소비채널과 유통채널의 구축이 완료된 상태라 할 수 있습니다.  앞으로 더욱 심해 질 것입니다.

 

새로운 Exploit의 최초 발견과 적용이 연구자들 사이에서 나오는 것이 아니라 이제는 공격자들에게서 직접 발생이 되고 있습니다. 이 추세는 향후에도 증가 할 것으로 예상 됩니다. 더불어 SQL Injection의 경우에도 여러 번 거듭 말씀 드렸지만 단순 패턴매칭으로 차단하는 보안장비에서는 해결이 되지 않습니다. 지금도 정말 많은 우회 기법들이 나오고 있고 바로 적용이 되고 있습니다. 공격자는 코드 한번만 바꾸면 되지만 방어자는 수 천, 수 만 아니 그 이상의 장비들에 대해 개별적인 설정이 되어야만 합니다. 

 

이 싸움에서 이길 것이라 보십니까?  저는 진다고 봅니다.

 

 

(Mass sql injection)양식장을 손에 쥔 상어떼

 

이 표현이 적당한 가 모르겠습니다만 제 머리속에 그려지는 이미지로는 이 표현외에는 더 적당한 표현을 할 수가 없습니다. 양식장은 전 세계의 웹 서비스가 해당이 됩니다.

상어떼는 아시다 시피 공격자들이구요. 양식장에 갇힌게 아니라 언제든 잡을 수 있는 그물을 상어떼가 가지고 있는 모양새 입니다.  이 그물을 어떻게 끊을 수 있을까요? 

 

개별 웹 서비스들에 대해서는 가능하겠지만 전 세계적인 범주에서 보면 정말 어려운 일일 것입니다.  전 세계 웹 서비스의 인자 각각에 유효성 체크가 되어야만 하는데 현실적으로 어렵습니다. 스캐너를 이용한 진단의 경우에도 여러 한계가 있음을 지적한 바 있습니다. 앞으로도 오랜 시간이 흘러야 범위가 줄어들 것이고 그 이전까지는 광범위한 Trojan의 유포와 악성코드에 의해 전 세계의 개인 PC가 시달릴 것입니다. 윗 절의 공격의 전문성 강화와 겹쳐져 공격의 전문성과 파급력은 지속이 될 것이고 PC에 설치되는 다양한 Application에 대해 공격이 이루어 질 것입니다.

 

현재의 공격은 서비스에 대한 공격인 DDos 공격과 금전을 목적으로 한 Trojan 유포에 중점이 맞추어져 있습니다. Trojan 유포는 웜과 바이러스를 통한 유포의 범주보다 웹서비스를 통한 광범위한 유포가 일반화 되어 있습니다. 지금의 공격자들의 특성은 자신을 과시하지 않습니다. 오로지 금전적인 정보가 목적일 뿐입니다.

 

전 세계 모든 보안 채널 및 보안 관련 회사들이 새로운 유형의 공격기법이나 취약성이 출현 할때 마다 예전보다 휠씬 더 긴밀하게 협력을 하고 있습니다. 그래도 모자람이 너무 많습니다.

 

 

이런 그물을 끊어야만 하며 끊기 위해서는 개발자를 위한 자가진단이 가능한 저가 웹서비스 혹은 Open source 형태의 서비스가 필요하고 점진적으로 개선을 시킬 수 밖에는 없는 상황입니다.

 

현재 큰 범주에서 문제를 해결 하기 위한 해결책은 한정적입니다. 지역적인 측면이나 기업 측면에서는 비용을 투입하여 해결이 가능하나 웹서비스의 개편시 마다 비용 부담과 끊임없는 지속성을 유지 해야 하는 것이 관건입니다.  Penetration Test ( 모의해킹이라 부르며 시스템에 피해를 입히지 않는 범위에서 공격자의 입장에서 서비스 취약성을 사전 진단하는 유형 )를 할 수 있는 인력들도 한정이 되어 있습니다. 전문기술을 보유하고 있음에도 불구하고 돌쇠타입의 마당쇠로 전방위로 혹사 당하는 것이 지금의 보안 인력 혹은 보안 팀들이라 할 수 있습니다. 언제까지 버틸 수 있을까요? 또 언제까지 혹사를 강요할 수 있을까요? 인력으로 버틸 수 있는 정도는 절대로 아니기에 어려움이 충분히 예상 됩니다. ( 아닌 곳들이 있나요? )

 

 

결론적으로 앞으로 오랜 시간 문제는 지속되고 심화 될 것이고 이 문제를 줄여나가기 위해서는 악성코드 유포의 숙주로 활용되고 있는 웹서비스들의 안정성을 시급하게 보완하고 지속성을 가질 수 있도록 하는 것이 키라고 할 수 있습니다. 이렇게 하여야만 문제를 끝낼 수 있습니다. ( 기술적인 해결책이나 여러 방안들은 http://blog.naver.com/p4ssion 의 여러 Article들을 참조 하시면 됩니다. )   개별 서비스에 대한 해결책의 논의가 아니라 큰 범주에서의 해결 방안은 어떤 성격을 지녀야만 문제 해결에 다가 설 수 있는지를 언급하였습니다.

 

1년 이상을 이런 관점에서 계속적인 의견을 제시하였으나 아직 이런 형태의 서비스나 문제해결 시도는 출현 하지 않았습니다. 그러나 머지 않은 시일 내에 유사한 서비스들이 출현하여 문제점들을 줄여가고 세계적인 방향성을 선도할 것으로 믿어 의심치 않습니다. 누구도 하지 않는다면  저라도..~~

 

 

그럼 .

 

p4ssionable security explorer . 바다란

이미 한참도 전에 발표한 자료입니다. 앞으로의 예상에 대해서 1년도 이전에 예상을 했으나 앞으로도 이런 문제가 지속

될 수 밖에 없다는 점이 가장 큰 문제가 아닐까 싶습니다. 2006년 연말에 작성한 글이지만 첨부 파일을 보시면 지금도 또 앞으로도 유효한 내용들이 있습니다. 대책은 더욱 그러하죠. 참고하시고 보다 안전한 환경이 되었으면 합니다. 올바른 의견의 확산도..

-----------------------------------------------------------------------------------------------

안녕하세요. 바다란입니다.

 

지난해 부터 급격하게 이슈화된 중국발 해킹에 대해 일정 수준 종합이 필요한 것 같습니다.

현재 게시물에 첨부된 문서는 지난 11.30일에 있었던 민.관 전문가 조사단에서 요청하여 발표한 자료입니다.

 

* 기업에 대한 내용 및 문서 중 정보 노출이 있는 부분은 삭제 하였습니다. 그러므로 결론 부분에 집중하시면 될 것 같습니다.

 

중국발 해킹에 대한 기술적인 내용 보다는 기업차원의 대응 수준 및 향후 필요 요구 사항 그리고 정책적인 대응이 필요한 부분들에 대해서 정리를 한 부분입니다.

 

대개 이슈화 되기에는 악성코드의 유포만이 이슈가 되고 있는데 그 동안 악성코드 유포로 지적이 되었고 언론에 발표 되었던 다수의 사이트들을 많이 알고 계실 것입니다. 그러나 악성코드 유포를 통해 게임이나 온라인 서비스를 이용하는 사용자의 정보만을 가로채어가는 것으로 인식이 되고 있는데 가장 중요한 부분을 간과하고 있는 면이 매우 크다고 볼 수 있습니다.

가장 중요한 점은 악성코드를 유포하기 위해서는 서버 단위에서 소스를 수정할 권한이 있어야 되며 수정할 권한을 지니고 있을 경우에는 모든 연결된 Database의 자료를 빼내어 가는 것이 가능하다는 것이죠.

 

지금까지 해킹을 통해 악성코드 유포로 이용이 된 곳들은 단순한 악성코드 유포를 목적으로 한 곳도 있지만 더 이상 가져갈 자료가 없다고 판단되어 최종적으로 악성코드를 유포하는 유포지로 이용한 의미가 크다고 할 수 있습니다.

 

지난해 10월의 중국발 해킹 대응 세미나를 통해 처음 위험요소를 알렸고 여러 차례의 세미나 및 발표를 통해 충분한 위협을 알렸지만 현재도 향후 발생될 위협에 대한 정확한 인지는 없다고 볼 수 있을 것 같아 조금 정리를 해본 자료 입니다. 중복된 내용 많이 있습니다. ^^;

 

뒷부분의 결론 부분에 들어 있는 내용이 향후 발생될 위험 요소 및 새로운 위협에 대해서 정리를 한 의견이며 앞으로는 기 유출된 수십억건 이상의 개인정보 [ 상세화의 차이는 있는 정보]를 도용한 IT 서비스의 혼란이 주된 요소가 될 수 있을 것 같습니다.

 

전체적인 대응 방안도 꾸준하고 지속적인 계정 관리의 이슈 제기 및 강력한 캠페인 등등 여러 요소가 구비되어야만 가능할 것이며 대응은 느리나 꾸준하게 진행이 되어야 할 것이고 피해는 지속 될 것으로 예상 됩니다.

 

간단한 참고자료 .. 향후 각 서비스별 위험요소에 대한 대비를 통해 일정 수준 대비를 하는 것이 필요할 것 같습니다.

 

의견 있으시면 언제든지 의견 주십시요.

뭐 하루 이틀 된 이야기도 아닙니다.

이미 5~6년 전 부터 징후가 있었고 그 이후 타임워프 하듯이 대규모로 공격 인력이 늘고 기법도 고도화 되어 왔습니다.

 

이젠 대규모적인 대응 없이는 불가능하다고 볼 수 있습니다.

단편적인 대응과 사법기관 공조 만으로는 빙산의 일각도 제거하기 어렵습니다.

 

체계적이고 근원적인 부분에 대해서 장기적인 처방이 필요한데.. 여유와 인내심을 가지고 정책을 진행하고 방향성을 제시 할 수 있을런지가 가장 중요한 부분입니다. 대책 부분에 대해서는 하두 여러번 언급 했었지만 시행에는 상당 시일이 걸리고 시간이 지난 지금에서도 유효한 대응은 적어 보입니다.

 

앞으로 어떻게 될런지..

http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=105&oid=029&aid=0001974017

 

종합적인 대책과 향후 진행 해야 될 부분들에 대해서는 2007년에 언급한 대책과 문제 상황 부분이 있습니다. 정말 힘들고 위급한 상황이 닥쳐 올 것이라고 예상을 하고 좀 길게 설명을 했었는데 이제라도 일부분에 대해서 적극적인 시행이 되어야만 할 것입니다. 그렇지 않다면 문제는 더욱 더 심각도를 높여서 일어날 것으로 보입니다.

 

보안적인 문제를 해결 하지 않았을때 발생 되는 피해와 비용은 상상하기 어려울 정도이며 지금도 마찬가지 입니다. 초기에 대규모 노력이 들어가는 것으로 보이지만 이것이 가장 적은 비용을 들이고 문제를 해결 하는 길입니다.

 

다시 한번 문제 해결을 위한 방안들이 다각도로 ( 문제의 근원을 제대로 인식하고 ) 진행이 되었으면 합니다.

 

http://blog.naver.com/p4ssion/50024269739  <- 첨부파일을 참고하세요.

 

2007년에 작성한 글이나 노력이 진행 되지 않는한 향후 3~4년 이상 유효한 글이 될 것입니다.

 

안녕하세요. 바다란입니다.

 

지난 10.24일에 KISA에서 주최한 침해사고 대응 세미나가 있었습니다.

해당 세미나에서 침해사고의 발전 유형과 대응 방안에 대해서 고민하고자 했는데 제대로 전달이 되었는지 모르겠네요.

 

가장 중요한 팩트는 이미 취약점 및 공격 유형은 커버가 가능한 범위를 넘어 섰다는 점입니다.

기본적으로 지금까지 알고 있던 유형의 대비책만으로는 한계가 있으며 정량적인 대책으로는 해결 되지 않고.. 정성적인 대책이 있어야만..또 꾸준히 진행 되어야만 문제가 일정 수준 이하로 감소 됨을 확인 할 수 있습니다.

 

현재의 공격유형은 매우 치밀하고도 집요합니다.

기존의 모든 보안솔루션을 무력화 시키고도 가볍게 전파가 됩니다.

그만큼 공격 기술의 전파가 빠르게 또 깊이 있게 공유가 된 탓이라 볼 수 있습니다.

 

보안 기술의 전파는 이에 비하면 거북이 걸음이지요.

 

작은 기술이나.. 작은 시각이나마 여러 방면에서 조망을 하여 보다 더 체계적이고 완전한 구성을 만들었으면 합니다.

 

꾸준한 투자가 들어가야만 산업을 유지 할 수 있는데.. 이제는 이 것이 필수 인데.. 이 것을 인정하지 않는 기업이나 산업은 점차 쇄락할 수 밖에 없을 것 입니다.

이제부터는 보안이라는 측면은 최소한 IT 비지니스를 하는 회사에서는 가장 필수적인 중심요소입니다.

 

자료 참고 하세요.

 

 

 

왜 상상하기 어려운 위협인가? - Digital pest!

  - 바다란

   * 1편은   http://p4ssion.com/110여기를 참고 하세요.

 

왜 상상하기 어려운 위협인가? 상상하기 어려운 위협이라는 의미는 개별적인 서비스에 대한 공격에서 이제는 전역적인 대규모 서비스 공격으로 확산되고 있기 때문에 그러합니다. 더군다나 문제점들이 단기간에 개선될 가능성은 전혀 없으므로 앞으로도 전역적인 공격이 계속 될 것입니다. 상상하기 어려운 위협. 위협의 실현. 그리고 확산

 

그 동안 Web Application에 대한 공격은 지속적으로 되어 왔습니다. 그러나 최근에 발견된 공격 유형은 산발적인 공격이 아닌 대규모적인 공격을 의미합니다. 대규모적인 공격에 사용된 도구도 유추가 가능합니다.

아래 이미지 참고 하세요.

 

<ref : Attack structure 0804- made by p4ssion>

 

위의 이미지는 지난 몇 년 동안 공격 유형을 추적하면서 갱신한 공격의 흐름도 입니다. 여기에 새로 추가가 된 부분이 0번에 해당하는 내용입니다. 이제는 개별적인 Famous web service를 공격하는 것이 아니라 무작위적인 Target search 이후 공격이 이루어집니다. 공격 시에는 Google이나 기타 검색엔진을 통해 기본자료 추출 (특정 코드로 개발 –ASP , 특정 DB 사용 –MSSQL)을 통해 공격하는 기초적인 루틴이라 볼 수 있습니다. 무작위적인 Target search에는 전세계 모든 도메인에 대한 자료를 기반으로 공격을 하는 것도 예상 할 수 있습니다. 피해의 규모가 그 동안에는 특정 서비스에 방문하는 유저로 한정 되었다면 이제는 전 세계적인 확산 범위를 갖추고 있다고 보아야 됩니다.

 

공격대상: 전 세계의 Web service를 공격하여 악성코드를 확산

공격목표: 전 세계의 개인 Client PC에 대한 권한 획득 및 중요정보 탈취

 

위와 같은 전제에 가장 충실한 필요충분 조건이 완료 되었다고 볼 수 있습니다. 그 결과가 이번에 나타난 것이며 실제적으로는 조금 더 오래 되었다고 판단 합니다. 악성코드의 발전 방향에 있어서 보안이라는 부분은 전역적으로 이루어 지지 못하고 있습니다. 특정 국가에만 한정하여서도 전역적으로 이루어 지기 어려운 것이 현실이지만 이미 공격자는 전 세계의 영역을 범위에 두고 있습니다.

 

새로운 공격코드의 출현과 새로운 zeroday exploit의 출현은 피해를 기하급수적으로 늘릴 것입니다. 지금까지와 같은 몇 만대, 몇 십 만대의 규모가 아닌 몇 천만대를 기본으로 가지게 될 것입니다.

 

전 세계의 IT 산업 자체가 위험에 빠지게 된 것이라 할 수 있습니다. 특히 글로벌 서비스를 진행하는 금융 및 IT 서비스 업체에게는 직접적인 공격 대상이 될 수 있으며 위험성이 부가가 될 것입니다. 이 의미는 금전적인 관련이나 직접 거래가 발생 할 수 있는 모든 전자 상거래 부분에 있어서 중대한 위협의 출현과 동일합니다.

 

공격자의 예상대로의 시나리오를 대략적으로 유추하면 다음과 같습니다.

 

공격시나리오:

 

1.       신규 Zeroday exploit을 발견 혹은 구매 ( MS 운영체제가 가장 효율적이므로 MS 계열에 집중할 것이 당연함)

2.       Malware에 키보드 후킹 및 중요 사이트에 대한 접근 시 정보 탈취 코드 탑재

A.       S.korea 에서 발견된 DDos 가능한 Agent의 탑재 가능

B.       A항과 동일한 기능이지만 대규모 Botnet의 구성 가능

3.       Malware를 유포할 숙주 도메인에 코드 추가

A.       Malware를 유포하는 링크 도메인으로서 08.4월에 발견된 경우 처럼 1.htm ,1.js등의 코드로 특정 사이트 해킹 이후 해당 파일의 추가를 할 것임

B.       국가에 따라 수십에서 수백여 개의 링크 도메인을 확보 할 것임

4.       대규모 도메인 스캔도구를 활용 주요 도메인에 대한 악성코드 유포루틴 Add

A.       검색엔진 활용 또는 자체 보유한 도메인 리스트를 활용하여 순차적으로 공격을 시행

B.       공격 시 취약성이 발견되면  자동적으로 DB권한 획득 및 획득한 DB의 권한을 이용하여 웹 소스코드의 변조 시행

C.       현재 발견된 코드는 DB 테이블의 내용에 악성코드를 추가하는 루틴 이였으나 조금 더 코드가 갱신되면 충분히 웹페이지 소스코드에 교묘하게 위장하는 것이 가능함

5.       대규모로 유포된 악성코드를 활용한 금전적인 이득 취득

A.       특정 사이트에 대한 대규모 DDos 공격 – 현재 상태의 malware 유포 규모라면 대응 불가

B.       특정 온라인 게임 ( 세계적인 게임- Wow? ) 및 금융 관련 사이트에 대한 키보드 입력 후킹 ( 사용자의 정보 유출 )

                                     i.              온라인 게임 및 온라인 증권사에 대한 위험성이 높음 . 부수적인 인증 수단을 가지고 있는 경우 ( ex : otp , secure card … )를 제외하고는 모든 대상에 대한 위험성 존재

 

* 4번 항목에서 발견된 악성코드 유포를 위한 웹사이트 변조가 08.4월에 발견된 카운트만 전 세계적으로 50만개의 개별 웹서비스(일부 중복 결과라 하여도 예상 결과는 변하지 않음)에 해당됩니다. 악성코드 유포 규모는 최소 천만 단위를 상회할 것으로 추정되며 Zeroday exploit에 따라 그 규모는 몇 십배로 늘거나 백만 단위 규모로 확대 될 것으로 예상됩니다.

 

위와 같이 시나리오가 예상됩니다. DB에 들어 있는 개인정보는 이미 우리 것이 아니죠. 한국뿐 아니라 전 세계 모든 내용이 마찬가지 입니다.

 

왜 상상하지 못할 위협인지 아무도 인지를 못하고 있습니다. 세계 어느 누구도 또 어떤 회사도 심각성에 대해서 그다지 인지를 못하고 있는 것으로 보입니다. 두렵습니다. 이젠 해결책도 제안 할 수 있는 범위를 넘어서 버렸습니다. 한국 내에서 발생하는 이슈들에 대해서도 몇 년 전부터 해결책을 직접 제안하고 다각도로 방안을 제시 했었는데 그 범주와 동일한 해결 방안들이 전 세계적으로 제안이 되어야만 가능한 상황이 되어 버렸습니다.

 

얼치기 Security product들만 또 근본 문제 해결 없는 땜빵 들만 전 세계적으로 출몰하게 생겼습니다. 안타까운 일입니다.

 

 

제품으로 해결될 부분은 없습니다. 단지 현 상태를 잠시 피할 수만 있을 뿐입니다. 근본적인 문제를 수정하지 않는 한 문제는 계속 될 수 밖에 없습니다. 근본 문제를 수정 한다는 것은 전 세계적인 Web Application 취약성 부분에 대해 수정이 되는 것을 의미합니다. 과연 가능할까요?

 

2005년에도 국가 전체적인 대응 방안을 제시한 적이 있습니다. 그 내용은 지금도 여전히 유효하며 지금부터 전 세계적인 영향력을 가집니다.

지금의 상황은 전체 Web Application의 위기이며 또한 IT산업 (장치산업 제외)의 위기입니다. 전 세계 거의 모든 Web application 개발 관련 서적에서 URL 인자에 대한 필터링을 강조하는 서적은 없습니다. 최근에 나온 Security 관련 개발서적 외에는 찾을 수가 없습니다. 이 문제는 앞으로도 계속됨을 의미합니다. 문제는 MS 관련 제품뿐 아니라 모든 Web 개발언어에도 동일하게 적용됩니다. 기대효과 측면에서 MS 제품에 대한 코드가 먼저 실현 된 것 뿐입니다.

 

문제의 근본원인은 SQL Injection 및 XSS 취약성과 같은 Web application 소스의 필터링 부족 문제입니다. SQL Injection은 DB로 전달되는 인자에 대한 필터링 부족이 문제이며 XSS는 사용자 입력에 대한 특수문자 혹은 실행가능 스크립트에 대한 필터링 부족이 문제입니다. 모든 문제가 필터링에서 비롯되고 있습니다. 이후의 공격에 대한 차단은 별개 문제입니다. 중환자의 근본 원인을 제거하지 않고 부수적으로 나타나는 현상에만 집착을 하고 있습니다. 속에서는 암이 퍼지고 있는데 열이 난다고 밴드를 머리에 붙인 형국입니다. 이제 그 암은 전체에 영향을 미치는 범주로 확대 되었습니다. 밴드를 붙이고 해열제를 놓는다고 해결될 문제가 아닙니다. 근본 체질을 변경하고 지속적이고 꾸준한 노력만이 개선을 할 수 있습니다.  Pest는 이미 확산된 상황입니다. ( 여기서의 pest는 해충이 아닌 흑사병입니다. –치명적이므로..)

 

 

해결방안은 간단하면서도 어렵습니다.

 

1. Web application에 대한 취약성의 제거 – 제거를 위해서는 정확한 진단이 필요합니다. 현재 상용화된 Web app scanner로는 감당이 어렵습니다. Web security product에 대한 내용은 차후에 별도로 설명 합니다.  또한 제품의 가격도 만만치 않으며 지속적인 문제의 발견과 갱신이 어렵습니다. 한마디로 현재 상태로는 국소적인 혹은 여력 있는 기업들에서나 일부 주기적인 대응이 가능하나 문제는 계속 될 것으로 보입니다.

 

 - Web security 관련 scanner 제품이 효율성을 지니려면 다음과 같은 질문에 해답을 지니고 있어야 됩니다.

URL 수백 개 이상 혹은 그 이상의 도메인 리스트에 대해 짧은 시일 내에 효율적인 진단이 가능한 스캐너가 존재합니까?

대규모 연결구조를 가지는 도메인에 대한 효율적인 진단이 가능합니까?

웹 서비스의 개발속도는 빠르며  유지보수 횟수는 매우 많습니다. 매번 마다 효율적인 진단이 가능합니까?

웹서비스의 개발 비용 및 유지보수 비용 보다 낮은 비용으로 진단이 가능합니까?

수정 해야 될 코드 부분과 문제 발생 부분을 정확하게 직시 합니까?

 

여기에서 효율적인 진단이라는 의미는 최소한 공격도구보다 빠른 시간 내에  문제점을 찾아내는 것을 의미합니다. 도메인 하나당 최대한 1일을 경과 하여서는 효율성은 없다고 봐야 할 것입니다.

 

2. Malware 유포에 대응하기 위한 신속한 협의체 구성 – 주로 전 세계 백신 업체들

각 회사간의 이해관계로 어려움이 있을 것입니다. 그러나 전 세계를 대상으로 일관성을 가지고 유포되는 악성코드에 대한 대응에는 글로벌 보안 협의체가 필요하며 빠른 정보교환으로 사후 발생 문제를 최소화 하여야 합니다.

 

백신업체들 간에 대응책을 구비하려면 다음과 같은 질문이 필요합니다.

문제의 발생은 전역적으로 발생하고 있습니다만 해결책은 최초 발견 백신 범주에서만 제공 되고 있지 않습니까?

새로운 zeroday 유형의 백도어를 얼마나 발견하고 있습니까? ( system , web )

Heuristic method의 효율성은 얼마나 될까요? (오탐비율은 얼마나 줄었습니까? )

타 백신 개발사들과의 샘플 교환 및 정보 교류는 얼마나 활발 합니까?

 

3. 서비스 단위의 정보 유출의 방지를 위한 노력 – 키보드 후킹등에 의해 사이트 로그인 정보들이 노출 되지 않도록 End to End 단위의 암호화 전송 수준을 전체적으로 높여야만 합니다.  이 부분은 개별 기업들에서 진행을 하여야 하며 상당 수준의 노력이 필요하여 향후 어려움이 계속 될 부분입니다. – 더불어 서구권역에서는 매우 힘들 것으로 보입니다.

 

키보드 입력부터 BHO (IE의 Plugin) -> 전송단계까지의 크게 3단계에 이르는 보안성을 완전하게 한 서비스 기업은 전 세계에 얼마나 될까요?

 

각 단위에 대한 해결책의 상세한 내용이나 전개는 이미 여러 해 전에 기술해 둔 바 있습니다. http://p4ssion.com 에 올려둔 최근 발표자료를 참고 하시면 됩니다.

(IT 서비스의 현재 위험과 대응에 대하여- http://p4ssion.com/199  첨부파일 참고)

 

 

세계적이며 전역적이고 포괄적인 대응책이 이루어 져야만 문제를 점차 줄여가고 해결 할 수 있습니다. ( 지구방위대라 불리는 상상의 기관이라도 동원 해야 가능할까요? )

 

저만 느끼는 공포였으면 했는데 이제는 눈 앞에 정체가 드러났네요. 어떤 식으로 풀어 갈 수 있을지 혼돈의 세상입니다.

 

예고드린 대로 상상하기 어려운 위협에 대한 내용입니다. 두편 입니다. 호러물 정도 될 것 같습니다.

 

 

 

일전에 중국발 해킹이 전 세계로 확산 될 것을 예상 하였고 관련 내용들을 여러 번 공유를 한 적이 있습니다. 이제 실제적인 위협으로 직접 출현을 하고 있습니다. 국내는 2005년부터 일반적으로 발생 하였고 세계적으로 확대된 시기는 2006년 하반기쯤으로 예상을 하고 있습니다. 2007년에도 세계적으로 많은 이슈들이 생산 되었습니다. 올해 들어서는 더욱 드라마틱한 증가를 보이고 있는데 특이한 사항들이 눈에 드러나고 있습니다.

 

http://securitylabs.websense.com/content/Alerts/3070.aspx

http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9080580

 

위의 Websense 사의 조사 결과 이외에도 ( 위의 조사 결과는 google을 통한 동일 도메인 스크립트와 게시물의 링크만을 조회한 내용이며 실제적으로는 더욱 많은 피해가 있음은 당연한 이야기 입니다. 중복된 결과가 반영 된다 하여도 상상하기 힘든 수치입니다. ) 국내에서도 동일한 유형으로 조사를 한 결과 약 5만개 이상의 침입을 당한 사이트가 존재 하는 것이 확인 되었습니다.

http://www.boannews.com/media/view.asp?idx=9671&kind=0

 

위의 사안들에서 일반 사용자들은 물론이고 전문가들 조차도 오해와 잘못된 인식이 있는 부분들이 존재하고 있습니다. 이런 부분들에 대해서 정리하는 것도 필요하고 근본적인 원인 제거를 위해서는 어떤 것들이 필요한 지에 대해서 정리가 필요합니다.

 

 

 

상상하기 어려운 위협

 

 

실제화된 위협입니다.

상상하기 어려울 정도의 혼란이 다가 올 수도 있습니다. 이미 시작은 된 상태입니다.

위에 기사화된 내용이 전체를 나타내고 있지 않습니다. 확대 시키지도 않고 위에 나타난 내용대로만 기술을 해봅니다. 

 

50만대의 PC라 해도 규모가 엄청나다고 할 수 있는데 이건 PC가 아닙니다. 50만대의 웹서비스 입니다. 그렇다면 방문자를 곱하면 얼마나 될까요? 하루에 열명이 방문하는 정말 초라한 웹서비스라 할지라도 50만 * 10 = 500만 입니다. 이미 인터넷상에 오픈 된지가 오래 되었으므로(10일 정도 노출을 추산) 여기에 또 * 10을 합니다. 5000만대의 개인 PC입니다.  정말 최소치로 잡은 내용입니다.  5000만대 중 정말 여유롭게 잡아서 스크립트에 포함된 공격코드가 실행이 안 되는 패치 설치자 및 다른 종류의 운영체제를 쓰는 사용자 비율을 40%로 보겠습니다. IE가 아닌 다른 브라우저의 사용자라 하여도 Windows 계열의 사용자들은 영향을 받습니다.

 

##########0*

<ref: http://en.wikipedia.org/wiki/Usage_share_of_web_browsers >

 

현재 Windows pc를 사용하는 일반 사용자의 비율은 90% 가량에 이릅니다.

<ref: http://en.wikipedia.org/wiki/Usage_share_of_desktop_operating_systems >

한국의 예가 아니라 전 세계적인 통계치의 예입니다.

 

거의 열에 아홉은 공격 대상자에 포함이 됩니다. 이중 패치를 설치한 사용자 비율을 30% 이상으로 산정하고 10% 가량을 해당 사항이 없는 운영체제로 보면 5000만대의 PC 중 60%에 달하는 개인PC들에 영향을 미침을 알 수 있습니다. 무려 3000만대 입니다.

 

보수적인 계산을 하였다는 가정입니다. 50만개의 웹사이트에 하루에 열명 정도의 방문자만 있고 노출 기간이 열흘이라고 산정 한 정말 최소의 결과라 할 수 있습니다.

 

l        일례로 Autoweb 이라는 회사도 공격의 대상이 되었습니다만 일일 방문자가 25000명 이라고 합니다. 10*10을 한 100명이 아니구요. 공격 대상이 얼마나 되었을지는 상상에 맡깁니다.

Ref: http://www.networkworld.com/news/2008/050108-autoweb.html 

 

위의 통계치에서 산출된 PC의 수치는 말 그대로 계산의 편리성을 위해 비약 없이 산정한 것이며 실제로는 이보다 더한 경우라고 판단 됩니다. 노출 기간은 앞으로도 상당기간 계속 될 수 밖에 없어서 문제는 더해질 수 밖에 없는 부분이죠.

 

 

 

 

왜 상상하기가 어려울만큼의 위협인가?

 

 

근본적인 문제를 지적 합니다.

 

50만대의 웹서비스에 악성코드를 설치하는 코드를 넣기 위해서는 전제 조건이 필요합니다.

해외의 기사 및 국내의 기사들도 이런 부분을 간과하고 있습니다. 심지어 전문가들 조차도...

 

 

l       문제의 시작은 필터링이 되지 않은 Web service의 코딩 문제

 

l       Database의 완전한 권한 획득 (이미 DB에 저장된 정보는 공격자의 것입니다.)

 

l       DB 권한을 통한 웹서비스 소스의 자유자재 변경 권한 (50만대의 웹서비스를 동시에 하나의 웹페이지로 변경하는 것도 가능하겠죠? 그러나 공격자들은 하지 않습니다.) 소스의 변경권한이 있어야 웹소스 내용에 악성코드를 유포하는 스크립트를 추가 하는 것이 가능합니다. 더불어 DB에 쓰기가 가능한 것도 마찬가지 이겠죠. 이건 시스템에 대한 완벽한 제어 기능과도 동일합니다.

   

 

위와 같은 세 개의 전제가 깔려 있습니다. 현상만을 논하기엔 문제가 많습니다. 50만대의 웹서비스 혹은 50만대의 개별 Database ( PC가 아닙니다. )에 저장된 정보의 유출, 또 최소한의 방문자에게도 유포되는 악성코드들의 파장 ( 위의 계산대로 최소화 하여 3000만대 이상의 수치입니다. ) 은 어디까지 미칠 수 있을까요?

 

현재의 공격코드는 지난 해에 패치가 나온 취약성을 공격하는 유형이지만 새로운 유형으로 변경이 된다면? 또 백신이나 보안소프트웨어에서 탐지가 어려운 Zeroday 유형이라면 어떤 결과가 초래 될까요?

 

키보드로부터 입력 되는 것들에 대한 로깅뿐 아니라 백도어 설치를 통한 원격제어 기능들까지도 이미 시현이 된 공격기술입니다. 폭넓은 Agent의 배포수단으로 웹서비스를 택한 것이고 이제는 무차별적인 웹서비스 공격이 시작도 아니고 발견된 것 뿐입니다.

 

Websense나 F-secure와 같은 보안 전문 회사들에서의 인식도 심각한 수준입니다.

너무 많은 iframe 삽입 루틴이 발견 되고 MS 계열의 웹 서비스 ( IIS + ASP + MSSQL)에서 발견이 되고 있으니 새로운 유형의 웜이나 공격코드가 미 발견된 MS의 취약성을 공격하는 것으로 오인을 하고 있습니다. 안타까운 인식입니다. 이런 유형의 오해는 공격에 대한 이해와 관찰부족으로 인합니다. 또한 종합적인 상황인식의 부족에서 기인합니다.  

문제의 원인은 Web application 개발 시에 사용되는 모든 언어들 (php, asp, jsp, html, pl 등등 모든 종류)에서 Database로 전달되는 쿼리에 대해 유효한 쿼리 구문인지에 대한 필터링이 되지 않아서 발생하는 문제입니다. 이런 공격 근거를 몰라서 발생된 오해입니다. 

 

새로운 유형의 웜이나 공격코드가 발견이 된다면 이것은 MS의 취약성을 ( ref: http://www.news.com/8301-10789_3-9930452-57.html?tag=nefd.pop ) 공격하는 것이 아니라 URL의 인자를 DB로 전달하는 부분에서 SQL query에 대한 필터링을 하지 않아서 발생하는 문제입니다. 웜이라 하여도 이건 지능화된 Application 공격 유형의 웜 입니다.

 

 

SQL Injection의 설명

 

Web application을 개발하는 모든 개발언어들은 Database와 연결을 가집니다. 사용자의 선택에 따라서 DB에 저장된 다양한 컨텐츠를 웹페이지에 보여주는 형식을 지닙니다. 어떤 테이블에 몇 번째에 해당하는 데이터를 가져 오겠다고 정의하는 것이 Web app에서 사용하는 SQL 쿼리라고 할 수 있으며 쿼리의 조건은 사용자의 선택에 따라 선별 되게 됩니다. 간단하게  www.vuln.com/list.php?id=1&field=1100 과 같은 URL이 전달된다면 Web service 상에서는 Database에 다음과 같은 유형의 쿼리를 전달 합니다. Select * from Bulletin where tableid=’1’ and fieldid=’1100’ 와 유사한 쿼리가 발생하게 되죠.

공격의 핵심은 이것에서 기인합니다. 만약 URL 인자에 SQL query를 덧붙이게 되면 어떻게 될까? 여기에서부터 기인을 하며 www.vuln.com/list.php?id=1’&field=1100’   과 같이 인자의 뒤에 ‘ 문자 (인용부호)를  붙이게 되면 SQL query는 구성상에 에러를 발생 시킵니다.

Select * from Bulletin where tableid=’1’’ and fieldid=’1100’’  와 같은 구성이 되며 이 경우에 “Unclosed quotation mark error”와 같은 DB의 에러 구문을 보내게 되죠.  Web 상에는 다양한 SQL Injection 관련된 설명들이 있습니다.  이런 유형들을 간단한 검색으로도 찾을 수가 있습니다.

Sql injection에 대한 간단한 설명: http://blog.naver.com/p4ssion/40017941957

대책에 대한 설명: http://blog.naver.com/p4ssion/40015866029

2005년에 이미 대책과 공격에 대한 위험에 대해서 알린 바가 있습니다.

 

 

위의 SQL injection에 대한 설명은 간단한 공격기법에 대한 설명입니다. 중요한 점은 수십~ 수백 번의 SQL 쿼리 어쩌면 그 이상의 공격 횟수가 필요합니다만 중국의 공격자들은 이와 같은 공격들을 자동화된 도구로 만들었다는 점입니다. 이미 3년도 전에 만들어진 상태입니다.

 

지금의 공격유형은 여기에 몇 가지 기능이 더 부가된 것으로 판단됩니다. 끔찍한 결과를 가져오는 내용이며 앞으로도 계속 유효할 내용입니다.

( 전 세계의 Web application을 각 인자 별로 Filtering을 완전하게 하거나 모든 DB와의 연결을 끊는 것이죠. 사실상 불가능합니다. )

 

문제에 대한 상세한 설명 및 부가적인 대책자료는 중복 내용이므로 자료를 참고 하시기 바랍니다.

http://blog.naver.com/p4ssion/40015866029 개별 시스템에 해당하는 대책이며 전체적이고 광역적인 대책은 별도 언급 하겠습니다.

 

 

 

- 다음편으로 계속 됩니다.

XSS : Cross site scripting - 현재 악성코드 설치 유형이 각 웹서버의 게시물에 대해 Cross site scripting을 이용하여 악성코드를 방문자에게 설치하는 유형이 매우 증가하고 있고 사용자의 쿠키를 외부로 빼내어가 인증 용도로 사용할 수 있는 문제점들이 있으므로 심화 진단하여 제거하는 것이 필요한 취약성

 

SQL Injection: 일반적인 SQL Injection이 아닌 URL 인자 단위마다 임의의 SQL command를 입력하여 데이터를 빼내어 가거나 DB 권한을 획득하여 정보를 유출 시킴.. 또한 획득한 DB 권한을 이용하여 웹서버의 소스코드를 직접 변경함.

 

Type Error:  문자를 입력하지 않아야 될 곳에 문자가 입력되는 등의 Vb script error의 경우에도 올해 상반기에 발견된 공격 유형 중 수치를 이용하여 결과를 유출 시키는 유형이 발견됨에 따라  [ 정수를 Ascii code 값으로 치환하여 결과를 리턴하는 유형 ] 강화된 진단 유형이며 일반적인 Input validation check의 개념에 따라 기본 오류를 찾아내도록 구성된 부분

 

전체적으로 Secure web programming 강화가 필요하며 강화를 위해 간단하게 작성된 스크립트 도구에서는 위의 세가지 문제를 URL 단위의 각 인자마다 체크하는 유형으로 간략하게 구성하여 문제를 확인토록 함.

 

국내의 현황

 

악성코드가 유포되는 모든 사이트들은 DB의 권한 탈취를 통해 웹서버의 소스코드를 변경하는 유형이므로 DB에 저장된 회원 정보 및 기밀 데이터들은 안정성을 보장 할 수 없는 상태임. 따라서 회원 DB 다수의 유출은 이미 돌이킬 수 없는 상태에 접어든 것으로 보임. 현재 상태에서 추가적인 악성코드 유포가 되지 않도록 Validation check를 강화하였을 경우 기존에 유출된 회원정보를 이용한 각 서비스 Unit에 대한 어뷰징이 증가 될 것으로 예상됨.

 

 

 

위의 현황과 문제인식에 따라 몇달전 내부적으로 사용하던 Perl script를 공개 하였습니다.

또한 시간이 허락하는한.. 공개적으로 발전을 시키고자 합니다. 따라서 Sourceforge에 며칠전 등록을 하였습니다. 관심이 있는 분들께서는 함께 참여하여 앞으로 보다 나은 환경 구축에 힘 썼으면 하는 개인적인 바램 있습니다.

 

https://sourceforge.net/projects/gamja

 

Project 페이지 입니다. 몇달전 공개한 스크립트 그대로 이며 기본적으로는 Web 진단 도구화 할 생각도 있습니다. 비싸고 효율성이 그다지 높지 않은 상용 App를 넘지는 못하더라도 기본 진단은 충실히 할 수 있도록 향후 발전 시킬 수 있었으면 합니다.

 

많은 참여 바랍니다.

 

* 공개용 스크립트는 위의 sourceforge 사이트 외에 본 블로그에서도 관련 내용을 확인 하실 수 있습니다. http://blog.naver.com/p4ssion/50009547486

 

 

    - 바다란  (p4ssion)

 

오랜만입니다.

 

여러 개인 사정으로 인해 글을 쓸 여유가 없었습니다.

앞으로도 상황은 마찬가지 일 것 같습니다.

 

SQL Injection . 지금에 와서 이 공격의 유형을 모르는 한국이나 전 세계의 웹 개발자 혹은 보안 전문가는 없으리라 봅니다. 3~4년 전만 하여도 일선의 재빠른 사람들에게만 인지 되는 사안들이 이제는 글로벌화된 상황이라 할 수 있습니다.

 

이전에 존재 하였던 SQL Injection 유형과 현재 발생하는 유형의 차이점은 이 블로그의 Mass sql injection 관련 글을 찾아 보시면 좀 더 쉽게 이해가 되시리라 봅니다.

 

현재는 상황 그대로 세계적인 불황입니다. 얼마전 글에서 예측 하였듯이 앞으로 노골적인 공격들이 더욱 거세 질 것 이고 보다 전문화된 공격들도 직접 이용이 될 것입니다. 최근 MS에서 긴급패치가 이루어진 MS08-067의 경우에도 PoC( Proof of concept - 공격 개념코드)가 나오기 이전에 계정정보 유출을 위한 실제 Trojan이 배포 된 이후에 MS 측에서 대응을 한 내용입니다.

 

앞으로 이와 같은 상황은 더욱 거세질 것입니다.  공격의 전문성도 높아지고 유포되는 범주도 지속 되고 있습니다. 지금도 하루에 수 십차례 이상 공격을 받는 곳들이 대다수 일 것이고 문제가 심각한 기업들은 웹보안 장비들의 도입에 열을 올리고 있을 것입니다. 이런 웹 보안장비들의 근본적인 한계에 대해서는 본 블로그에서 여러 차례 지적한 바가 있습니다.

 

 

 

공격의 전문성 강화

 

공격의 전문성이 높아지는 것은 비단 이번의 MS08-067의 예를 들지 않더라도 2년 전 부터 나타난 현상입니다. 하나의 Trojan을 설치하기 위해 수 십가지 이상의 여러 Application에 대한 공격코드들이 최적화 되어 있고 주변으로 전파를 하고 있습니다. 심지어는 ARP spoofing까지도 이루어 지죠. ( SQL Injection 이든 Arp spoofing의 경우에도 기존의 공격 개념과는 다른 관점으로 상당히 발전적인 응용이라 할 수 있습니다. )  공격자들은 그만큼 기존의 공격 기법과 새로운 취약성의 접합과 연구에 적극적입니다.

 

그리고 그들은 이제 전문 영역을 지니게 되었습니다. 이 의미는 하나의 산업으로 존재할 만큼의 기술적인 (?) 공격 역량과 숙련도를 보유하고 있다는 것이라 할 수 있습니다. 이런 기술을 이용하여 이득을 취하기 위한 또 다른 산업 영역도 개척을 한 상태입니다. 즉 소비채널과 유통채널의 구축이 완료된 상태라 할 수 있습니다.  앞으로 더욱 심해 질 것입니다.

 

새로운 Exploit의 최초 발견과 적용이 연구자들 사이에서 나오는 것이 아니라 이제는 공격자들에게서 직접 발생이 되고 있습니다. 이 추세는 향후에도 증가 할 것으로 예상 됩니다. 더불어 SQL Injection의 경우에도 여러 번 거듭 말씀 드렸지만 단순 패턴매칭으로 차단하는 보안장비에서는 해결이 되지 않습니다. 지금도 정말 많은 우회 기법들이 나오고 있고 바로 적용이 되고 있습니다. 공격자는 코드 한번만 바꾸면 되지만 방어자는 수 천, 수 만 아니 그 이상의 장비들에 대해 개별적인 설정이 되어야만 합니다. 

 

이 싸움에서 이길 것이라 보십니까?  저는 진다고 봅니다.

 

 

(Mass sql injection)양식장을 손에 쥔 상어떼

 

이 표현이 적당한 가 모르겠습니다만 제 머리속에 그려지는 이미지로는 이 표현외에는 더 적당한 표현을 할 수가 없습니다. 양식장은 전 세계의 웹 서비스가 해당이 됩니다.

상어떼는 아시다 시피 공격자들이구요. 양식장에 갇힌게 아니라 언제든 잡을 수 있는 그물을 상어떼가 가지고 있는 모양새 입니다.  이 그물을 어떻게 끊을 수 있을까요? 

 

개별 웹 서비스들에 대해서는 가능하겠지만 전 세계적인 범주에서 보면 정말 어려운 일일 것입니다.  전 세계 웹 서비스의 인자 각각에 유효성 체크가 되어야만 하는데 현실적으로 어렵습니다. 스캐너를 이용한 진단의 경우에도 여러 한계가 있음을 지적한 바 있습니다. 앞으로도 오랜 시간이 흘러야 범위가 줄어들 것이고 그 이전까지는 광범위한 Trojan의 유포와 악성코드에 의해 전 세계의 개인 PC가 시달릴 것입니다. 윗 절의 공격의 전문성 강화와 겹쳐져 공격의 전문성과 파급력은 지속이 될 것이고 PC에 설치되는 다양한 Application에 대해 공격이 이루어 질 것입니다.

 

현재의 공격은 서비스에 대한 공격인 DDos 공격과 금전을 목적으로 한 Trojan 유포에 중점이 맞추어져 있습니다. Trojan 유포는 웜과 바이러스를 통한 유포의 범주보다 웹서비스를 통한 광범위한 유포가 일반화 되어 있습니다. 지금의 공격자들의 특성은 자신을 과시하지 않습니다. 오로지 금전적인 정보가 목적일 뿐입니다.

 

전 세계 모든 보안 채널 및 보안 관련 회사들이 새로운 유형의 공격기법이나 취약성이 출현 할때 마다 예전보다 휠씬 더 긴밀하게 협력을 하고 있습니다. 그래도 모자람이 너무 많습니다.

 

 

이런 그물을 끊어야만 하며 끊기 위해서는 개발자를 위한 자가진단이 가능한 저가 웹서비스 혹은 Open source 형태의 서비스가 필요하고 점진적으로 개선을 시킬 수 밖에는 없는 상황입니다.

 

현재 큰 범주에서 문제를 해결 하기 위한 해결책은 한정적입니다. 지역적인 측면이나 기업 측면에서는 비용을 투입하여 해결이 가능하나 웹서비스의 개편시 마다 비용 부담과 끊임없는 지속성을 유지 해야 하는 것이 관건입니다.  Penetration Test ( 모의해킹이라 부르며 시스템에 피해를 입히지 않는 범위에서 공격자의 입장에서 서비스 취약성을 사전 진단하는 유형 )를 할 수 있는 인력들도 한정이 되어 있습니다. 전문기술을 보유하고 있음에도 불구하고 돌쇠타입의 마당쇠로 전방위로 혹사 당하는 것이 지금의 보안 인력 혹은 보안 팀들이라 할 수 있습니다. 언제까지 버틸 수 있을까요? 또 언제까지 혹사를 강요할 수 있을까요? 인력으로 버틸 수 있는 정도는 절대로 아니기에 어려움이 충분히 예상 됩니다. ( 아닌 곳들이 있나요? )

 

 

결론적으로 앞으로 오랜 시간 문제는 지속되고 심화 될 것이고 이 문제를 줄여나가기 위해서는 악성코드 유포의 숙주로 활용되고 있는 웹서비스들의 안정성을 시급하게 보완하고 지속성을 가질 수 있도록 하는 것이 키라고 할 수 있습니다. 이렇게 하여야만 문제를 끝낼 수 있습니다. ( 기술적인 해결책이나 여러 방안들은 http://blog.naver.com/p4ssion 의 여러 Article들을 참조 하시면 됩니다. )   개별 서비스에 대한 해결책의 논의가 아니라 큰 범주에서의 해결 방안은 어떤 성격을 지녀야만 문제 해결에 다가 설 수 있는지를 언급하였습니다.

 

1년 이상을 이런 관점에서 계속적인 의견을 제시하였으나 아직 이런 형태의 서비스나 문제해결 시도는 출현 하지 않았습니다. 그러나 머지 않은 시일 내에 유사한 서비스들이 출현하여 문제점들을 줄여가고 세계적인 방향성을 선도할 것으로 믿어 의심치 않습니다. 누구도 하지 않는다면  저라도..~~

 

 

그럼 .

 

p4ssionable security explorer . 바다란

이미 한참도 전에 발표한 자료입니다. 앞으로의 예상에 대해서 1년도 이전에 예상을 했으나 앞으로도 이런 문제가 지속

될 수 밖에 없다는 점이 가장 큰 문제가 아닐까 싶습니다. 2006년 연말에 작성한 글이지만 첨부 파일을 보시면 지금도 또 앞으로도 유효한 내용들이 있습니다. 대책은 더욱 그러하죠. 참고하시고 보다 안전한 환경이 되었으면 합니다. 올바른 의견의 확산도..

-----------------------------------------------------------------------------------------------

안녕하세요. 바다란입니다.

 

지난해 부터 급격하게 이슈화된 중국발 해킹에 대해 일정 수준 종합이 필요한 것 같습니다.

현재 게시물에 첨부된 문서는 지난 11.30일에 있었던 민.관 전문가 조사단에서 요청하여 발표한 자료입니다.

 

* 기업에 대한 내용 및 문서 중 정보 노출이 있는 부분은 삭제 하였습니다. 그러므로 결론 부분에 집중하시면 될 것 같습니다.

 

중국발 해킹에 대한 기술적인 내용 보다는 기업차원의 대응 수준 및 향후 필요 요구 사항 그리고 정책적인 대응이 필요한 부분들에 대해서 정리를 한 부분입니다.

 

대개 이슈화 되기에는 악성코드의 유포만이 이슈가 되고 있는데 그 동안 악성코드 유포로 지적이 되었고 언론에 발표 되었던 다수의 사이트들을 많이 알고 계실 것입니다. 그러나 악성코드 유포를 통해 게임이나 온라인 서비스를 이용하는 사용자의 정보만을 가로채어가는 것으로 인식이 되고 있는데 가장 중요한 부분을 간과하고 있는 면이 매우 크다고 볼 수 있습니다.

가장 중요한 점은 악성코드를 유포하기 위해서는 서버 단위에서 소스를 수정할 권한이 있어야 되며 수정할 권한을 지니고 있을 경우에는 모든 연결된 Database의 자료를 빼내어 가는 것이 가능하다는 것이죠.

 

지금까지 해킹을 통해 악성코드 유포로 이용이 된 곳들은 단순한 악성코드 유포를 목적으로 한 곳도 있지만 더 이상 가져갈 자료가 없다고 판단되어 최종적으로 악성코드를 유포하는 유포지로 이용한 의미가 크다고 할 수 있습니다.

 

지난해 10월의 중국발 해킹 대응 세미나를 통해 처음 위험요소를 알렸고 여러 차례의 세미나 및 발표를 통해 충분한 위협을 알렸지만 현재도 향후 발생될 위협에 대한 정확한 인지는 없다고 볼 수 있을 것 같아 조금 정리를 해본 자료 입니다. 중복된 내용 많이 있습니다. ^^;

 

뒷부분의 결론 부분에 들어 있는 내용이 향후 발생될 위험 요소 및 새로운 위협에 대해서 정리를 한 의견이며 앞으로는 기 유출된 수십억건 이상의 개인정보 [ 상세화의 차이는 있는 정보]를 도용한 IT 서비스의 혼란이 주된 요소가 될 수 있을 것 같습니다.

 

전체적인 대응 방안도 꾸준하고 지속적인 계정 관리의 이슈 제기 및 강력한 캠페인 등등 여러 요소가 구비되어야만 가능할 것이며 대응은 느리나 꾸준하게 진행이 되어야 할 것이고 피해는 지속 될 것으로 예상 됩니다.

 

간단한 참고자료 .. 향후 각 서비스별 위험요소에 대한 대비를 통해 일정 수준 대비를 하는 것이 필요할 것 같습니다.

 

의견 있으시면 언제든지 의견 주십시요.

뭐 하루 이틀 된 이야기도 아닙니다.

이미 5~6년 전 부터 징후가 있었고 그 이후 타임워프 하듯이 대규모로 공격 인력이 늘고 기법도 고도화 되어 왔습니다.

 

이젠 대규모적인 대응 없이는 불가능하다고 볼 수 있습니다.

단편적인 대응과 사법기관 공조 만으로는 빙산의 일각도 제거하기 어렵습니다.

 

체계적이고 근원적인 부분에 대해서 장기적인 처방이 필요한데.. 여유와 인내심을 가지고 정책을 진행하고 방향성을 제시 할 수 있을런지가 가장 중요한 부분입니다. 대책 부분에 대해서는 하두 여러번 언급 했었지만 시행에는 상당 시일이 걸리고 시간이 지난 지금에서도 유효한 대응은 적어 보입니다.

 

앞으로 어떻게 될런지..

http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=105&oid=029&aid=0001974017

 

종합적인 대책과 향후 진행 해야 될 부분들에 대해서는 2007년에 언급한 대책과 문제 상황 부분이 있습니다. 정말 힘들고 위급한 상황이 닥쳐 올 것이라고 예상을 하고 좀 길게 설명을 했었는데 이제라도 일부분에 대해서 적극적인 시행이 되어야만 할 것입니다. 그렇지 않다면 문제는 더욱 더 심각도를 높여서 일어날 것으로 보입니다.

 

보안적인 문제를 해결 하지 않았을때 발생 되는 피해와 비용은 상상하기 어려울 정도이며 지금도 마찬가지 입니다. 초기에 대규모 노력이 들어가는 것으로 보이지만 이것이 가장 적은 비용을 들이고 문제를 해결 하는 길입니다.

 

다시 한번 문제 해결을 위한 방안들이 다각도로 ( 문제의 근원을 제대로 인식하고 ) 진행이 되었으면 합니다.

 

http://blog.naver.com/p4ssion/50024269739  <- 첨부파일을 참고하세요.

 

2007년에 작성한 글이나 노력이 진행 되지 않는한 향후 3~4년 이상 유효한 글이 될 것입니다.

 

안녕하세요. 바다란입니다.

 

지난 10.24일에 KISA에서 주최한 침해사고 대응 세미나가 있었습니다.

해당 세미나에서 침해사고의 발전 유형과 대응 방안에 대해서 고민하고자 했는데 제대로 전달이 되었는지 모르겠네요.

 

가장 중요한 팩트는 이미 취약점 및 공격 유형은 커버가 가능한 범위를 넘어 섰다는 점입니다.

기본적으로 지금까지 알고 있던 유형의 대비책만으로는 한계가 있으며 정량적인 대책으로는 해결 되지 않고.. 정성적인 대책이 있어야만..또 꾸준히 진행 되어야만 문제가 일정 수준 이하로 감소 됨을 확인 할 수 있습니다.

 

현재의 공격유형은 매우 치밀하고도 집요합니다.

기존의 모든 보안솔루션을 무력화 시키고도 가볍게 전파가 됩니다.

그만큼 공격 기술의 전파가 빠르게 또 깊이 있게 공유가 된 탓이라 볼 수 있습니다.

 

보안 기술의 전파는 이에 비하면 거북이 걸음이지요.

 

작은 기술이나.. 작은 시각이나마 여러 방면에서 조망을 하여 보다 더 체계적이고 완전한 구성을 만들었으면 합니다.

 

꾸준한 투자가 들어가야만 산업을 유지 할 수 있는데.. 이제는 이 것이 필수 인데.. 이 것을 인정하지 않는 기업이나 산업은 점차 쇄락할 수 밖에 없을 것 입니다.

이제부터는 보안이라는 측면은 최소한 IT 비지니스를 하는 회사에서는 가장 필수적인 중심요소입니다.

 

자료 참고 하세요.

 

 

 

왜 상상하기 어려운 위협인가? - Digital pest!

  - 바다란

   * 초기 설명은  http://blog.naver.com/p4ssion/50031034464 여기를 참고 하세요.

 

왜 상상하기 어려운 위협인가? 상상하기 어려운 위협이라는 의미는 개별적인 서비스에 대한 공격에서 이제는 전역적인 대규모 서비스 공격으로 확산되고 있기 때문에 그러합니다. 더군다나 문제점들이 단기간에 개선될 가능성은 전혀 없으므로 앞으로도 전역적인 공격이 계속 될 것입니다. 상상하기 어려운 위협. 위협의 실현. 그리고 확산

 

그 동안 Web Application에 대한 공격은 지속적으로 되어 왔습니다. 그러나 최근에 발견된 공격 유형은 산발적인 공격이 아닌 대규모적인 공격을 의미합니다. 대규모적인 공격에 사용된 도구도 유추가 가능합니다.

아래 이미지 참고 하세요.

 

<ref : Attack structure 0804- made by p4ssion>

 

위의 이미지는 지난 몇 년 동안 공격 유형을 추적하면서 갱신한 공격의 흐름도 입니다. 여기에 새로 추가가 된 부분이 0번에 해당하는 내용입니다. 이제는 개별적인 Famous web service를 공격하는 것이 아니라 무작위적인 Target search 이후 공격이 이루어집니다. 공격 시에는 Google이나 기타 검색엔진을 통해 기본자료 추출 (특정 코드로 개발 –ASP , 특정 DB 사용 –MSSQL)을 통해 공격하는 기초적인 루틴이라 볼 수 있습니다. 무작위적인 Target search에는 전세계 모든 도메인에 대한 자료를 기반으로 공격을 하는 것도 예상 할 수 있습니다. 피해의 규모가 그 동안에는 특정 서비스에 방문하는 유저로 한정 되었다면 이제는 전 세계적인 확산 범위를 갖추고 있다고 보아야 됩니다.

 

공격대상: 전 세계의 Web service를 공격하여 악성코드를 확산

공격목표: 전 세계의 개인 Client PC에 대한 권한 획득 및 중요정보 탈취

 

위와 같은 전제에 가장 충실한 필요충분 조건이 완료 되었다고 볼 수 있습니다. 그 결과가 이번에 나타난 것이며 실제적으로는 조금 더 오래 되었다고 판단 합니다. 악성코드의 발전 방향에 있어서 보안이라는 부분은 전역적으로 이루어 지지 못하고 있습니다. 특정 국가에만 한정하여서도 전역적으로 이루어 지기 어려운 것이 현실이지만 이미 공격자는 전 세계의 영역을 범위에 두고 있습니다.

 

새로운 공격코드의 출현과 새로운 zeroday exploit의 출현은 피해를 기하급수적으로 늘릴 것입니다. 지금까지와 같은 몇 만대, 몇 십 만대의 규모가 아닌 몇 천만대를 기본으로 가지게 될 것입니다.

 

전 세계의 IT 산업 자체가 위험에 빠지게 된 것이라 할 수 있습니다. 특히 글로벌 서비스를 진행하는 금융 및 IT 서비스 업체에게는 직접적인 공격 대상이 될 수 있으며 위험성이 부가가 될 것입니다. 이 의미는 금전적인 관련이나 직접 거래가 발생 할 수 있는 모든 전자 상거래 부분에 있어서 중대한 위협의 출현과 동일합니다.

 

공격자의 예상대로의 시나리오를 대략적으로 유추하면 다음과 같습니다.

 

공격시나리오:

 

1.       신규 Zeroday exploit을 발견 혹은 구매 ( MS 운영체제가 가장 효율적이므로 MS 계열에 집중할 것이 당연함)

2.       Malware에 키보드 후킹 및 중요 사이트에 대한 접근 시 정보 탈취 코드 탑재

A.       S.korea 에서 발견된 DDos 가능한 Agent의 탑재 가능

B.       A항과 동일한 기능이지만 대규모 Botnet의 구성 가능

3.       Malware를 유포할 숙주 도메인에 코드 추가

A.       Malware를 유포하는 링크 도메인으로서 08.4월에 발견된 경우 처럼 1.htm ,1.js등의 코드로 특정 사이트 해킹 이후 해당 파일의 추가를 할 것임

B.       국가에 따라 수십에서 수백여 개의 링크 도메인을 확보 할 것임

4.       대규모 도메인 스캔도구를 활용 주요 도메인에 대한 악성코드 유포루틴 Add

A.       검색엔진 활용 또는 자체 보유한 도메인 리스트를 활용하여 순차적으로 공격을 시행

B.       공격 시 취약성이 발견되면  자동적으로 DB권한 획득 및 획득한 DB의 권한을 이용하여 웹 소스코드의 변조 시행

C.       현재 발견된 코드는 DB 테이블의 내용에 악성코드를 추가하는 루틴 이였으나 조금 더 코드가 갱신되면 충분히 웹페이지 소스코드에 교묘하게 위장하는 것이 가능함

5.       대규모로 유포된 악성코드를 활용한 금전적인 이득 취득

A.       특정 사이트에 대한 대규모 DDos 공격 – 현재 상태의 malware 유포 규모라면 대응 불가

B.       특정 온라인 게임 ( 세계적인 게임- Wow? ) 및 금융 관련 사이트에 대한 키보드 입력 후킹 ( 사용자의 정보 유출 )

                                     i.              온라인 게임 및 온라인 증권사에 대한 위험성이 높음 . 부수적인 인증 수단을 가지고 있는 경우 ( ex : otp , secure card … )를 제외하고는 모든 대상에 대한 위험성 존재

 

* 4번 항목에서 발견된 악성코드 유포를 위한 웹사이트 변조가 08.4월에 발견된 카운트만 전 세계적으로 50만개의 개별 웹서비스(일부 중복 결과라 하여도 예상 결과는 변하지 않음)에 해당됩니다. 악성코드 유포 규모는 최소 천만 단위를 상회할 것으로 추정되며 Zeroday exploit에 따라 그 규모는 몇 십배로 늘거나 백만 단위 규모로 확대 될 것으로 예상됩니다.

 

위와 같이 시나리오가 예상됩니다. DB에 들어 있는 개인정보는 이미 우리 것이 아니죠. 한국뿐 아니라 전 세계 모든 내용이 마찬가지 입니다.

 

왜 상상하지 못할 위협인지 아무도 인지를 못하고 있습니다. 세계 어느 누구도 또 어떤 회사도 심각성에 대해서 그다지 인지를 못하고 있는 것으로 보입니다. 두렵습니다. 이젠 해결책도 제안 할 수 있는 범위를 넘어서 버렸습니다. 한국 내에서 발생하는 이슈들에 대해서도 몇 년 전부터 해결책을 직접 제안하고 다각도로 방안을 제시 했었는데 그 범주와 동일한 해결 방안들이 전 세계적으로 제안이 되어야만 가능한 상황이 되어 버렸습니다.

 

얼치기 Security product들만 또 근본 문제 해결 없는 땜빵 들만 전 세계적으로 출몰하게 생겼습니다. 안타까운 일입니다.

 

 

제품으로 해결될 부분은 없습니다. 단지 현 상태를 잠시 피할 수만 있을 뿐입니다. 근본적인 문제를 수정하지 않는 한 문제는 계속 될 수 밖에 없습니다. 근본 문제를 수정 한다는 것은 전 세계적인 Web Application 취약성 부분에 대해 수정이 되는 것을 의미합니다. 과연 가능할까요?

 

2005년에도 국가 전체적인 대응 방안을 제시한 적이 있습니다. 그 내용은 지금도 여전히 유효하며 지금부터 전 세계적인 영향력을 가집니다.

지금의 상황은 전체 Web Application의 위기이며 또한 IT산업 (장치산업 제외)의 위기입니다. 전 세계 거의 모든 Web application 개발 관련 서적에서 URL 인자에 대한 필터링을 강조하는 서적은 없습니다. 최근에 나온 Security 관련 개발서적 외에는 찾을 수가 없습니다. 이 문제는 앞으로도 계속됨을 의미합니다. 문제는 MS 관련 제품뿐 아니라 모든 Web 개발언어에도 동일하게 적용됩니다. 기대효과 측면에서 MS 제품에 대한 코드가 먼저 실현 된 것 뿐입니다.

 

문제의 근본원인은 SQL Injection 및 XSS 취약성과 같은 Web application 소스의 필터링 부족 문제입니다. SQL Injection은 DB로 전달되는 인자에 대한 필터링 부족이 문제이며 XSS는 사용자 입력에 대한 특수문자 혹은 실행가능 스크립트에 대한 필터링 부족이 문제입니다. 모든 문제가 필터링에서 비롯되고 있습니다. 이후의 공격에 대한 차단은 별개 문제입니다. 중환자의 근본 원인을 제거하지 않고 부수적으로 나타나는 현상에만 집착을 하고 있습니다. 속에서는 암이 퍼지고 있는데 열이 난다고 밴드를 머리에 붙인 형국입니다. 이제 그 암은 전체에 영향을 미치는 범주로 확대 되었습니다. 밴드를 붙이고 해열제를 놓는다고 해결될 문제가 아닙니다. 근본 체질을 변경하고 지속적이고 꾸준한 노력만이 개선을 할 수 있습니다.  Pest는 이미 확산된 상황입니다. ( 여기서의 pest는 해충이 아닌 흑사병입니다. –치명적이므로..)

 

 

해결방안은 간단하면서도 어렵습니다.

 

1. Web application에 대한 취약성의 제거 – 제거를 위해서는 정확한 진단이 필요합니다. 현재 상용화된 Web app scanner로는 감당이 어렵습니다. Web security product에 대한 내용은 차후에 별도로 설명 합니다.  또한 제품의 가격도 만만치 않으며 지속적인 문제의 발견과 갱신이 어렵습니다. 한마디로 현재 상태로는 국소적인 혹은 여력 있는 기업들에서나 일부 주기적인 대응이 가능하나 문제는 계속 될 것으로 보입니다.

 

 - Web security 관련 scanner 제품이 효율성을 지니려면 다음과 같은 질문에 해답을 지니고 있어야 됩니다.

URL 수백 개 이상 혹은 그 이상의 도메인 리스트에 대해 짧은 시일 내에 효율적인 진단이 가능한 스캐너가 존재합니까?

대규모 연결구조를 가지는 도메인에 대한 효율적인 진단이 가능합니까?

웹 서비스의 개발속도는 빠르며  유지보수 횟수는 매우 많습니다. 매번 마다 효율적인 진단이 가능합니까?

웹서비스의 개발 비용 및 유지보수 비용 보다 낮은 비용으로 진단이 가능합니까?

수정 해야 될 코드 부분과 문제 발생 부분을 정확하게 직시 합니까?

 

여기에서 효율적인 진단이라는 의미는 최소한 공격도구보다 빠른 시간 내에  문제점을 찾아내는 것을 의미합니다. 도메인 하나당 최대한 1일을 경과 하여서는 효율성은 없다고 봐야 할 것입니다.

 

2. Malware 유포에 대응하기 위한 신속한 협의체 구성 – 주로 전 세계 백신 업체들

각 회사간의 이해관계로 어려움이 있을 것입니다. 그러나 전 세계를 대상으로 일관성을 가지고 유포되는 악성코드에 대한 대응에는 글로벌 보안 협의체가 필요하며 빠른 정보교환으로 사후 발생 문제를 최소화 하여야 합니다.

 

백신업체들 간에 대응책을 구비하려면 다음과 같은 질문이 필요합니다.

문제의 발생은 전역적으로 발생하고 있습니다만 해결책은 최초 발견 백신 범주에서만 제공 되고 있지 않습니까?

새로운 zeroday 유형의 백도어를 얼마나 발견하고 있습니까? ( system , web )

Heuristic method의 효율성은 얼마나 될까요? (오탐비율은 얼마나 줄었습니까? )

타 백신 개발사들과의 샘플 교환 및 정보 교류는 얼마나 활발 합니까?

 

3. 서비스 단위의 정보 유출의 방지를 위한 노력 – 키보드 후킹등에 의해 사이트 로그인 정보들이 노출 되지 않도록 End to End 단위의 암호화 전송 수준을 전체적으로 높여야만 합니다.  이 부분은 개별 기업들에서 진행을 하여야 하며 상당 수준의 노력이 필요하여 향후 어려움이 계속 될 부분입니다. – 더불어 서구권역에서는 매우 힘들 것으로 보입니다.

 

키보드 입력부터 BHO (IE의 Plugin) -> 전송단계까지의 크게 3단계에 이르는 보안성을 완전하게 한 서비스 기업은 전 세계에 얼마나 될까요?

 

각 단위에 대한 해결책의 상세한 내용이나 전개는 이미 여러 해 전에 기술해 둔 바 있습니다. http://Blog.naver.com/p4ssion 에 올려둔 최근 발표자료를 참고 하시면 됩니다.

(IT 서비스의 현재 위험과 대응에 대하여- http://blog.naver.com/p4ssion/50024269739 )

 

 

세계적이며 전역적이고 포괄적인 대응책이 이루어 져야만 문제를 점차 줄여가고 해결 할 수 있습니다. ( 지구방위대라 불리는 상상의 기관이라도 동원 해야 가능할까요? )

 

저만 느끼는 공포였으면 했는데 이제는 눈 앞에 정체가 드러났네요. 어떤 식으로 풀어 갈 수 있을지 혼돈의 세상입니다.

 

예고드린 대로 상상하기 어려운 위협에 대한 내용입니다. 두편 입니다. 호러물 정도 될 것 같습니다.

 

 

 

일전에 중국발 해킹이 전 세계로 확산 될 것을 예상 하였고 관련 내용들을 여러 번 공유를 한 적이 있습니다. 이제 실제적인 위협으로 직접 출현을 하고 있습니다. 국내는 2005년부터 일반적으로 발생 하였고 세계적으로 확대된 시기는 2006년 하반기쯤으로 예상을 하고 있습니다. 2007년에도 세계적으로 많은 이슈들이 생산 되었습니다. 올해 들어서는 더욱 드라마틱한 증가를 보이고 있는데 특이한 사항들이 눈에 드러나고 있습니다.

 

http://securitylabs.websense.com/content/Alerts/3070.aspx

http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9080580

 

위의 Websense 사의 조사 결과 이외에도 ( 위의 조사 결과는 google을 통한 동일 도메인 스크립트와 게시물의 링크만을 조회한 내용이며 실제적으로는 더욱 많은 피해가 있음은 당연한 이야기 입니다. 중복된 결과가 반영 된다 하여도 상상하기 힘든 수치입니다. ) 국내에서도 동일한 유형으로 조사를 한 결과 약 5만개 이상의 침입을 당한 사이트가 존재 하는 것이 확인 되었습니다.

http://www.boannews.com/media/view.asp?idx=9671&kind=0

 

위의 사안들에서 일반 사용자들은 물론이고 전문가들 조차도 오해와 잘못된 인식이 있는 부분들이 존재하고 있습니다. 이런 부분들에 대해서 정리하는 것도 필요하고 근본적인 원인 제거를 위해서는 어떤 것들이 필요한 지에 대해서 정리가 필요합니다.

 

 

 

상상하기 어려운 위협

 

 

실제화된 위협입니다.

상상하기 어려울 정도의 혼란이 다가 올 수도 있습니다. 이미 시작은 된 상태입니다.

위에 기사화된 내용이 전체를 나타내고 있지 않습니다. 확대 시키지도 않고 위에 나타난 내용대로만 기술을 해봅니다. 

 

50만대의 PC라 해도 규모가 엄청나다고 할 수 있는데 이건 PC가 아닙니다. 50만대의 웹서비스 입니다. 그렇다면 방문자를 곱하면 얼마나 될까요? 하루에 열명이 방문하는 정말 초라한 웹서비스라 할지라도 50만 * 10 = 500만 입니다. 이미 인터넷상에 오픈 된지가 오래 되었으므로(10일 정도 노출을 추산) 여기에 또 * 10을 합니다. 5000만대의 개인 PC입니다.  정말 최소치로 잡은 내용입니다.  5000만대 중 정말 여유롭게 잡아서 스크립트에 포함된 공격코드가 실행이 안 되는 패치 설치자 및 다른 종류의 운영체제를 쓰는 사용자 비율을 40%로 보겠습니다. IE가 아닌 다른 브라우저의 사용자라 하여도 Windows 계열의 사용자들은 영향을 받습니다.

 

##########0*

<ref: http://en.wikipedia.org/wiki/Usage_share_of_web_browsers >

 

현재 Windows pc를 사용하는 일반 사용자의 비율은 90% 가량에 이릅니다.

<ref: http://en.wikipedia.org/wiki/Usage_share_of_desktop_operating_systems >

한국의 예가 아니라 전 세계적인 통계치의 예입니다.

 

거의 열에 아홉은 공격 대상자에 포함이 됩니다. 이중 패치를 설치한 사용자 비율을 30% 이상으로 산정하고 10% 가량을 해당 사항이 없는 운영체제로 보면 5000만대의 PC 중 60%에 달하는 개인PC들에 영향을 미침을 알 수 있습니다. 무려 3000만대 입니다.

 

보수적인 계산을 하였다는 가정입니다. 50만개의 웹사이트에 하루에 열명 정도의 방문자만 있고 노출 기간이 열흘이라고 산정 한 정말 최소의 결과라 할 수 있습니다.

 

l        일례로 Autoweb 이라는 회사도 공격의 대상이 되었습니다만 일일 방문자가 25000명 이라고 합니다. 10*10을 한 100명이 아니구요. 공격 대상이 얼마나 되었을지는 상상에 맡깁니다.

Ref: http://www.networkworld.com/news/2008/050108-autoweb.html 

 

위의 통계치에서 산출된 PC의 수치는 말 그대로 계산의 편리성을 위해 비약 없이 산정한 것이며 실제로는 이보다 더한 경우라고 판단 됩니다. 노출 기간은 앞으로도 상당기간 계속 될 수 밖에 없어서 문제는 더해질 수 밖에 없는 부분이죠.

 

 

 

 

왜 상상하기가 어려울만큼의 위협인가?

 

 

근본적인 문제를 지적 합니다.

 

50만대의 웹서비스에 악성코드를 설치하는 코드를 넣기 위해서는 전제 조건이 필요합니다.

해외의 기사 및 국내의 기사들도 이런 부분을 간과하고 있습니다. 심지어 전문가들 조차도...

 

 

l       문제의 시작은 필터링이 되지 않은 Web service의 코딩 문제

 

l       Database의 완전한 권한 획득 (이미 DB에 저장된 정보는 공격자의 것입니다.)

 

l       DB 권한을 통한 웹서비스 소스의 자유자재 변경 권한 (50만대의 웹서비스를 동시에 하나의 웹페이지로 변경하는 것도 가능하겠죠? 그러나 공격자들은 하지 않습니다.) 소스의 변경권한이 있어야 웹소스 내용에 악성코드를 유포하는 스크립트를 추가 하는 것이 가능합니다. 더불어 DB에 쓰기가 가능한 것도 마찬가지 이겠죠. 이건 시스템에 대한 완벽한 제어 기능과도 동일합니다.

   

 

위와 같은 세 개의 전제가 깔려 있습니다. 현상만을 논하기엔 문제가 많습니다. 50만대의 웹서비스 혹은 50만대의 개별 Database ( PC가 아닙니다. )에 저장된 정보의 유출, 또 최소한의 방문자에게도 유포되는 악성코드들의 파장 ( 위의 계산대로 최소화 하여 3000만대 이상의 수치입니다. ) 은 어디까지 미칠 수 있을까요?

 

현재의 공격코드는 지난 해에 패치가 나온 취약성을 공격하는 유형이지만 새로운 유형으로 변경이 된다면? 또 백신이나 보안소프트웨어에서 탐지가 어려운 Zeroday 유형이라면 어떤 결과가 초래 될까요?

 

키보드로부터 입력 되는 것들에 대한 로깅뿐 아니라 백도어 설치를 통한 원격제어 기능들까지도 이미 시현이 된 공격기술입니다. 폭넓은 Agent의 배포수단으로 웹서비스를 택한 것이고 이제는 무차별적인 웹서비스 공격이 시작도 아니고 발견된 것 뿐입니다.

 

Websense나 F-secure와 같은 보안 전문 회사들에서의 인식도 심각한 수준입니다.

너무 많은 iframe 삽입 루틴이 발견 되고 MS 계열의 웹 서비스 ( IIS + ASP + MSSQL)에서 발견이 되고 있으니 새로운 유형의 웜이나 공격코드가 미 발견된 MS의 취약성을 공격하는 것으로 오인을 하고 있습니다. 안타까운 인식입니다. 이런 유형의 오해는 공격에 대한 이해와 관찰부족으로 인합니다. 또한 종합적인 상황인식의 부족에서 기인합니다.  

문제의 원인은 Web application 개발 시에 사용되는 모든 언어들 (php, asp, jsp, html, pl 등등 모든 종류)에서 Database로 전달되는 쿼리에 대해 유효한 쿼리 구문인지에 대한 필터링이 되지 않아서 발생하는 문제입니다. 이런 공격 근거를 몰라서 발생된 오해입니다. 

 

새로운 유형의 웜이나 공격코드가 발견이 된다면 이것은 MS의 취약성을 ( ref: http://www.news.com/8301-10789_3-9930452-57.html?tag=nefd.pop ) 공격하는 것이 아니라 URL의 인자를 DB로 전달하는 부분에서 SQL query에 대한 필터링을 하지 않아서 발생하는 문제입니다. 웜이라 하여도 이건 지능화된 Application 공격 유형의 웜 입니다.

 

 

SQL Injection의 설명

 

Web application을 개발하는 모든 개발언어들은 Database와 연결을 가집니다. 사용자의 선택에 따라서 DB에 저장된 다양한 컨텐츠를 웹페이지에 보여주는 형식을 지닙니다. 어떤 테이블에 몇 번째에 해당하는 데이터를 가져 오겠다고 정의하는 것이 Web app에서 사용하는 SQL 쿼리라고 할 수 있으며 쿼리의 조건은 사용자의 선택에 따라 선별 되게 됩니다. 간단하게  www.vuln.com/list.php?id=1&field=1100 과 같은 URL이 전달된다면 Web service 상에서는 Database에 다음과 같은 유형의 쿼리를 전달 합니다. Select * from Bulletin where tableid=’1’ and fieldid=’1100’ 와 유사한 쿼리가 발생하게 되죠.

공격의 핵심은 이것에서 기인합니다. 만약 URL 인자에 SQL query를 덧붙이게 되면 어떻게 될까? 여기에서부터 기인을 하며 www.vuln.com/list.php?id=1’&field=1100’   과 같이 인자의 뒤에 ‘ 문자 (인용부호)를  붙이게 되면 SQL query는 구성상에 에러를 발생 시킵니다.

Select * from Bulletin where tableid=’1’’ and fieldid=’1100’’  와 같은 구성이 되며 이 경우에 “Unclosed quotation mark error”와 같은 DB의 에러 구문을 보내게 되죠.  Web 상에는 다양한 SQL Injection 관련된 설명들이 있습니다.  이런 유형들을 간단한 검색으로도 찾을 수가 있습니다.

Sql injection에 대한 간단한 설명: http://blog.naver.com/p4ssion/40017941957

대책에 대한 설명: http://blog.naver.com/p4ssion/40015866029

2005년에 이미 대책과 공격에 대한 위험에 대해서 알린 바가 있습니다.

 

 

위의 SQL injection에 대한 설명은 간단한 공격기법에 대한 설명입니다. 중요한 점은 수십~ 수백 번의 SQL 쿼리 어쩌면 그 이상의 공격 횟수가 필요합니다만 중국의 공격자들은 이와 같은 공격들을 자동화된 도구로 만들었다는 점입니다. 이미 3년도 전에 만들어진 상태입니다.

 

지금의 공격유형은 여기에 몇 가지 기능이 더 부가된 것으로 판단됩니다. 끔찍한 결과를 가져오는 내용이며 앞으로도 계속 유효할 내용입니다.

( 전 세계의 Web application을 각 인자 별로 Filtering을 완전하게 하거나 모든 DB와의 연결을 끊는 것이죠. 사실상 불가능합니다. )

 

문제에 대한 상세한 설명 및 부가적인 대책자료는 중복 내용이므로 자료를 참고 하시기 바랍니다.

http://blog.naver.com/p4ssion/40015866029 개별 시스템에 해당하는 대책이며 전체적이고 광역적인 대책은 별도 언급 하겠습니다.

 

 

 

- 다음편으로 계속 됩니다.