태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.


안녕하세요. 바다란입니다.

 

어제 못다한 이야기들을 연이어 써보도록 하겠습니다.

먼저 오늘자 기사를 보다보니 트로이 목마 증가라는 기사가 나오고 있습니다. 한번 읽어 보시면 좋을 것 같습니다.

 

http://news.naver.com/news/read.php?mode=LSS2D&office_id=029&article_id=0000161964&section_id=105&section_id2=283&menu_id=105

 

* 인터넷 뱅킹의 공인인증서 적용 부분에 대해서는 타 OS로도 확장이 되어야 한다는 점에 동감합니다. 그러나 현재 적용된 보호를 위한 ActiveX 프로그램에 대해서는 일반적인 ActiveX를 통한 폐해의 관점에서 보기는 어렵다고 생각합니다.

자유이용에 대한 권리와 현재 포스트에 기술하고 있는 ActiveX 전체의 무용론에 대한 시각은 다른 시각입니다.

 

일단 저는 개발과 관련된 업종에 있지도 않으며 해당 프로그램들과의 이해관계가 전혀 없다는 사실을 명확하게 하는게 좋겠습니다. 미리 설명을 드려야  객관적인 시각으로 보는 것을 이해 하시지 않을까 생각 되네요. [ 블로그의 지난 글들을 읽어 보셔도 쉽게 아실 수 있습니다.]

 

Vista를 통한 기대효과?

 

자.. 지난 포스트에서는  대중성 확보를 통한 생활의 향상이라는 서론이 길었는데 지금의 위험 요소를 짚어볼 필요가 있을 것 같습니다. Vista의 사용자 권한 제어 부분을 통하게 되면 지금과 같은 무변별한 ActiveX를 이용한 악성코드 및 스파이웨어 등이 대부분 줄어들게 됩니다. 악성코드에 감염이 되었거나 스파이웨어를 유포하는 사이트에 들어가도 Alert 창이 활성화 되며 경고를 하게 되겠죠. 따라서 사용자는 부지불식간에 시스템에 설치가 되는 스파이웨어 및 악성코드의 위험을 사전에 인지하게 되고 당연히 피해는 줄어들게 됩니다.

 

사용자의 관점과 서비스 제공자의 관점에서 볼 필요가 있는데 사용자의 관점에서는 위험요소가 줄어들게 됨에 따라 보다 더 안전하게 볼 수가 있을 것입니다. 그렇다면 Vista상에서는 어떤 것이 증가할까요?. 사용자의 선택을 흐리게 하기 위한 phishing 관련 공격이 매우 증가 할 것입니다. 즉 자동 설치가 되는 ActiveX의 유형은 줄어 들겠으나 프로그램 설치 형식으로 되어 있거나 페이지를 속여서 사용자의 정보를 입력케 하는 피싱 공격 유형이 대단히 많이 증가 할 것입니다.  [ 피싱에 대해서는 전세계 모든 회사가 피싱 관련 DB를 공유한다 해도 발견 속도보다 개설 및 제작 속도가 더욱 빨라서  감당이 어렵습니다.]

 

Vista 사용자를 제외한 하위 버전의 운영체제에 대한 공격은 지금까지와 동일하게 유지가 될 것입니다. 여전한 ActiveX를 이용한 스파이웨어 및 악성코드들이 있을 것입니다.

 

Secure Vista?

 

간단하게 검색하여 언론에 나타난 Vista의 취약성 관련 기사들 입니다.

http://www.msnbc.msn.com/id/16359568/

 

http://news.naver.com/news/read.php?mode=LSD&office_id=031&article_id=0000099401&section_id=105&menu_id=105

< Vista의 음성인식 부분의 보안결함에 대한 기사>

 

Vista라고 완전한 것은 아닙니다. 사용자 권한을 이용하려는 부분에 대해서 Alert이 뜬다는 점과 커널에 대해 Protection이 된다는 점에서 보안기능이 강화 되었으나 세상 어느 것이나 완전한 것은 없습니다. 지금 이 순간에도 Vista의 실제 하위 구성 부분까지 낱낱이 분석을 진행하는 공격 그룹들은 매우 많이 있습니다.

예전에는 취약성을 발견하면 벤더들에게 연락하여 취약성을 수정하는 패치 발표 이후에 취약성을 공개 하였으나 이제는 그 방향이 바뀌어 있습니다.  금전적인 이득을 목적으로 취약성을 발견하는 것이 대부분입니다. 더이상 로멘스는 없다는 이야기 입니다.

 

루마니아의 한 전문가가 발견된 Vista의 보안 취약성은 경매에서 5만불의 가치가 매겨졌으며 최근 외국의 보안 회사는 Vista의 취약성을 발견한 사람들에게 8000불 가량의 금전을 지불한 사실이 존재합니다.  빌게이츠는 Vista를 통해 그동안 MS에 덧씌워진 취약성과 문제의 온상이라는 굴레를 벗어나고 싶어하나 그리 쉽게 되지는 않을 것 같습니다.

 

Vista를 사용한다고 해서 보안패치가 나오지 않을 것 같습니까?. 현재의 논의대로라면 Vista상에는 보안패치가 나와서는 안됩니다. 그만큼 치명적인 문제는 없을테니깐요. 올해안에 Vista 운영체제에 대한 보안패치는 나옵니다. 그만큼 완벽한 솔루션은 없다고 단언할 수 있습니다. MS는 지난해 까지 많은 요소 보안 기술 회사들을 인수 하였습니다. [sysinternal 외에 Anti spyware 업체 , 소규모 백신 업체 ] 그리고 MS의 전략은 LiveOnecare 에서도 확인 할 수 있습니다. [ http://news.naver.com/news/read.php?mode=LSD&office_id=092&article_id=0000008770&section_id=105&menu_id=105 ]

Vista상에서 발생하는 보안 이슈에 대해서는 MS에서만 처리가 가능하고 대응이 가능하도록 만들려는 전략이 그들의 방향입니다. 보안에 관련된 시장을 인식하고 이 부분에 대한 독점 체제도 유지 할려고 하고 있다는 것이 제가 보는 사견입니다.

 

만약 Vista에 심각한 결함이나 웜이 발생 되었다고 할때 이것에 대한 대응도 근본적으로는 MS에서만 처리가 가능하고 MS와 협력 구조를 형성한 몇몇 업체에만 권한이 부여 될 수 있을 것입니다. 그래서 시만텍이나 맥아피, 트렌드와 같은 대형 보안업체들이 반발하는 것일 수 있습니다. 이 중에 여타 중소 업체나 규모가 작은 틈새의 보안 업체들은 끼일 방안이 없습니다. 독점은 더욱 심각해지고 치명적인 부분의 대응도 손 놓고 기다릴 수 밖에 없는 상황이 올 수도 있습니다. 물론 제 상상이고 생각입니다.

 

환경의 다름과 변화

 

해외에서는 몇년 전 부터 지금까지 계속해서 피싱 관련된 이슈가 매우 많았습니다. 또한 국내는 해외의 상황과는 사뭇 다른 백도어 및 악성코드에 대한 공격이 매우 많았습니다. 왜 해외에서는 피싱이 유행을 하였을까요?. 발생 현황이 다른 것은 배경이 다른 점에 있습니다.

 

[ http://www.ciphertrust.com/resources/statistics/phishing.php  ] - 피싱에 대한 최근 통계 자료 입니다. 보시면 ebay,paypal에 대한 피싱 공격과 은행에 대한 공격 유형이 많은 것을 볼 수 있습니다. 과연 성공가능성이 없는데도 몇 년간 계속 이런 추세가 계속 되고 있을까요?

 

해외는 아직 주요한 금전거래의 직접적인 인터넷 거래 등이 활성화 되어 있지 않습니다. 활성화 된 부분에 대해서는 매우 집중된 공격이 이루어 지고 있습니다. 페이팔에 대한 직접적인 피싱및 Fraud는 높은 비율을 차지 하고 있는 것이 이 내용을 반증 합니다. 또한 신용카드에 대한 거래도 카드번호 , 기한을 입력하는 것으로 끝입니다. 그만큼 신용카드 정보의 유출은 큰 영향을 미치는 부분이라 할 수 있습니다. 또한 이런 사고로 인해 발생되는 정보도 통계치에 제대로 잡히지 않는 상황이라고 볼 수 있습니다. 그에 반해 우리는 어떤가요?

신용카드이든 뭐든 모든 거래에 인증서를 기반으로 합니다. 카드입력이 된다 하여도 인증서의 보유 및 인증서 비밀번호 입력을 넣어야 됩니다. 따라서 공격을 하는 사람들도 실제의 키 입력을 다 가로채어 간다고 해도 인증서 파일을 가지고 있어야만 금전적인 도용이 가능합니다.

 

*관련 내용은 블로그 게시물을 참조 하시면 좀 더 쉽게 이해가 될 것입니다.

  http://blog.naver.com/p4ssion/50013425045

 

2005년 부터 국내의 사이트에 대한 공격이 급증을 하였습니다. 그러나 해외의 공격과의 차이점을 보면 해외는 피싱을 하기 위한 사이트 유도 및 이메일에 대한 조작등이 많았으나 우리나라에는 유명 사이트에 대한 직접 공격 -> MS의 취약성을 통해 설치가 가능한 악성코드 배포 -> 사이트 방문자 모두에게 취약성에 노출 되었다면 감염 -> 사용자의 키입력 정보 유출  이런 유형으로 볼 수 있고 지금도 동일한 유형입니다. 해외의 사이트에서는 아직 유명 사이트 해킹 한 이후 특정 취약성을 통해 유포되는 악성코드는 그리 많이 찾을 수 없습니다. 왜 이렇게 되었을까요?  이 부분에 대한 대답은 나름대로 다음과 같이 할 수 있습니다.

 

금전적인 이득을 얻을 수 있는가? 라는 질문에 우리는 해당이 되고 해외는 해당이 안되기 때문입니다. 인터넷 사용자의 절반 이상이 온라인 게임을 하고 인터넷 뱅킹을 합니다. 그리고 금전적인 거래 관계가 온라인으로 상당부분 진행이 되고 있고 온라인 상의 생활이 많이 있습니다. 따라서 보호 방안을 가지는 것은 당연합니다.

 

 

 

대중성과 ActiveX의 관계

 

대중성을 확보하기 위해 빠른 인터넷 확산과 세계에서 사례가 없을 만큼의 빠른 실생활의  적용이 있었습니다. 그리고 이를 통한 근본적인 생활을 변화 시켰다고 할 수 있습니다. 근 10년내에 이루어진 대규모 패러다임의 전환이라 할 수 있습니다.

생활 환경이 변화됨에 따라 더욱 편한 것을 추구하는 사용자들은 인터넷 환경에 빠르게 접속이 되었으며 모두가 security에 대해서 몰라도 기본적인 사용법은 쉽게 접근 할 수 있도록 되어 있습니다. 위의 단락에 언급은 되었지만 모든 인터넷 사용자들이 보안 전문가가 아닙니다. 또한 지금의 위협은 보안전문가라 하더라도 악성코드 및 백도어들이 침입 하였을 경우 [ 감지 하는 것도 어렵습니다. ] 해당 악성코드를 제거 하거나 백도어를 제거 하는데 많은 시간과 노력이 필요합니다. 일반 사용자들은 어떨까요? 거의 대책 없다고 볼 수 있습니다.

 

 백신 및 보안 제품은 그래서 이용을 합니다. 그러나 모든 사용자들이 백신을 이용하지는 않으며 보안제품을 이용하지도 않습니다. 백신마다 각각 다른 탐지들이 있고 탐지가 안되는 경우도 있습니다. 따라서 공통적인 대응과 빠르고 일괄적인 대응이 필요한 부분이 있습니다.

대중적 편리성을 유지 하면서 문제점들도 해결 하기 위해 기본적인 보안대책들이 강구 되었다 할 수 있습니다.

 

금융 서비스를 제공하거나 사용자에게 중요한 컨텐츠를 지니고 있는 곳일 수록 사용자의 개인적인 피해가 누적이 되면 기업이나 서비스의 손실로 직접 연결이 됩니다. 사회적 통념이나 언론상 문제의 발생 기준을 개인에 두는 것이 아닌 기업이나 서비스 제공자에게 책임을 묻는 분위기가 지금까지 있어왔었기에 서비스를 제공하는 업체는 보안에 대한 대응을 할 수 밖에 없습니다.

 

연세 드신 어르신 부터 미취학 아동들까지도 현재 인터넷 환경을 이용하고 있습니다. 보안의 적용은 Active하게 진행하는 것이 필요하고 사실 필요 하였습니다.

키보드 입력을 가로채는 악성코드 [ 근 2년 동안에만 수천 종류가  발생 하였습니다. ]를 막기 위한 키보드 보안 솔루션  , 개인 사용자의 정보를 빼내어 가기 위한 프로세스가 활성화 되어 있는지 확인 하기 위한 온라인 백신 , 외부와 연결이 되어 있는 지 확인을 하기 위한 온라인 방화벽 등등.. 다양한 ActiveX들이 있습니다.

이 모든 기능들은 시스템 단위의 입력 및 정보 노출까지 찾아내고 제거 하여야 함으로서 시스템 권한이 필요합니다. 

 

대중적인 편리성을 기본 목적으로 삼고 서비스를 확대하고 활용 하였으나 그 부작용으로 악성코드 및 백도어들이 대폭 증가한 결과가 나오게 되었습니다. 그리고 폭넓게 퍼진 문제를 해결하기 위해 모든 사람이 백신이나 보안제품을 구매하지 않아도 거래를 안전하게 할 수 있도록 중요 거래 사이트나 컨텐츠가 있는 사이트의 경우 ActiveX를 활용한 보안 솔루션의 사용이 일반화 되어 있습니다.

 

1.25 대란은 보안패치가 되어 있지 않아서 발생된 부분입니다. 그 이후에도 보안패치는 개인 사용자 단위에서 거의 진행이 되지 않았습니다. 왜냐하면 귀찮아서 입니다. 사실이 그렇습니다.  2005년 부터 발생된 주된 악성코드 나 백도어의 침입 경로는 ActiveX가 아닌 MS의 주된 취약성을 공격하여 사용자 PC에 설치가 되었습니다. 주된 문제 발생 경로는 ActiveX가 아니라고 볼 수 있습니다. 물론 스파이웨어의 경우는 다릅니다. 지금은 정부기관이나 일정 레벨 이상의 컨텐츠를 보유한 사이트에서는 자동으로 보안 패치도 해주고 있습니다.  물론 ActiveX를 이용한 부분입니다.

 

White ActiveX와 Black ActiveX를 구분할 필요가 있으며 모든 ActiveX에 대해서 Anti한 입장을 가질 이유는 없다고 봅니다. 현재 우리가 처한 위협상황에 비하면 대응 수단은 거의 없다고 볼 수 있습니다.  보다 더 발전되었고 실험적인 상황을 진행 하고 있다보니 모든 첨단화된 공격들은 한국에 집중이 되고 있습니다. 일선에서 바라보면 세계 전체의 공격 동향과 비교 하였을때 전체적으로는 6개월 이상 정도는 공격 트렌드가 앞서고 있음을 확인 할 수 있습니다. 물론 세부 부분으로 들어가면 다를 수 있지만 최소한 개인 영역에 미치는 공격의 기술은 6개월 정도는 앞선다고 판단 됩니다. 

IT 강국이라는 트렌드 하에서 얻는 이점의 수면 아래에는 위와 같은 상황도 존재하고 있음을 아시는 것도 필요합니다.

 

Black ActiveX : 악의적인 행동 , 스파이웨어 , 무분별한 설치 유형등등

White ActiveX : 보안 강화를 위해 설치 되는 것들 , 방화벽 , Anti Virus , 보안 패치 등등

 

 

정리 하겠습니다. 계속 질질 끄는 것 같습니다.

 

현재의 인터넷 환경은 완전하게 안전한 이상적인 환경이 아닙니다. 그만큼 많은 문제들이 있고 실제 발생하고 있습니다.  따라서 대안책도 존재하여야만 하고 고려가 되어야만 합니다. 지금까지 발생된 악성코드의 절대 수치 및 기술적인 레벨로만 보아도 세계적인 수준에 해당하는 공격들이 많이 유입이 됩니다. 그만큼 서비스의 다양화와 활발한 온라인활동에 따른 위험도도 높습니다.

 

무분별한 ActiveX에 대한 비난도 옳지 않으며 표준 준수에 대한 논의도 반드시 정답이라고 볼 수는 없습니다. 상황에 따라 필요한 부분은 인정 해야만 합니다.

현재의 현상을 파악하고 배경을 분석한 다음 왜 이런 현상들이 벌어질 수 밖에 없었는지 고민이 되고 향후의 과제와 개선을 위한 점들은 어떤 것들이 있는가? 하는 긍정적인 고민을 해야 할때가 아닐런지요?

 

공인인증서의 타 운영체제 허용은 반드시 고민 되어야 되는 부분입니다. 그러나 ActiveX에 대한 부분도 인정 할 것은 인정 해야만 됩니다. 세계 그 어느나라에도 발달 되지 않았으나 유독 한국에서만 강력하게 발달된 부분이지만 환경에 특화된 발전으로 부분 긍정은 필요합니다.

 

대중의 보호를 위한 ActiveX도 존재하고 이득을 얻기 위한 악성코드 형의 ActiveX도 존재 합니다. 지금의 대중적인 환경이 빠르게 다른 운영체제로 넘어갈 가능성은 없습니다. 그렇다면 정확한 현상 파악을 하고 과제를 도출 하면 됩니다.  그것이 더 바람직하지 않을런지요? 그리고 대중적 편리성에도 부합을 하는 것일테구요.

 

전체적인 설명과 주요한 개요들을 일정 수준 적었으므로 대안은 보다 쉽게 나올 수 있을 것입니다. 방향성은 고민이 필요합니다. 제가 여기에 바로 적을 수 있는 그런 부분은 아닌 것 같습니다.  칼로 자르듯이 바로 그을 수 있는 부분이 아니기에 더더욱...

 

* 기반된 악성코드 유형 및 침해사고 유형등에 대해서 확인 하고 싶으시면 Blog에 올려진 자료들이 있으니 참고 하시면 됩니다.   추가 내용이 필요하다면 다시 포스팅 하도록 합니다. ^^

 

- 바다란 세상 가장 낮은 곳의 또 다른 이름 .. p4ssion

Posted by 바다란

* 본 포스트는 왜 그렇게 밖에 할 수 없었는가에 대해 생각해본 내용입니다.

 

안녕하세요. 바다란입니다.

 

ActiveX에 대한 논란이 가열 되고 있습니다. 그러나 표준을 지켜야 한다..그리고 기술종속이다 라는 측면에서의 문제점 부각만 되고 있는 것 같습니다. slashdot을 비롯한 해외 블로그 포스팅들이 MS에만 집중화된 환경에 대해서 조롱하는 뉘앙스가 많이 보이고 있는데 조금 다른 시각에서 보도록 하겠습니다. [ 지난번 포스트에서 약속(?)한 ActiveX에 대한 글입니다.]

 

결론을 먼저 말씀 드리면  목적에 맞는 활용이 가장 중요한 부분이며 그러한 활용을 대한민국은 가장 효율적으로 활용 했다고 할 수 있습니다. 

Vista에서의 ActiveX가 왜 문제가 되는가 하는 부분은 보안적인 이슈가 가장 크다고 봅니다. 사실상 잘못된 인식의 오류가 Vista에서는 모든  ActiveX가 실행이 되지 않는다고 생각하는 점이 오류라고 볼 수 있습니다. ActiveX가 실행은 됩니다. 코드의 수정이 이루어 지면 충분히 가능합니다. 그러나 명확한 본질은  시스템의 권한을 이용하는 ActiveX의 사용에 문제가 있는 것입니다. 권한 문제는 보안의 문제라고 볼 수 있습니다.  왜 보안의 문제이고 왜 지금의 상황이 초래 되었는지에 대해서 이야기 해보겠습니다.

 

 

http://it.slashdot.org/article.pl?sid=07/01/26/1455224

http://www.kanai.net/weblog/archive/2007/01/26/00h53m55s#003095

 

위의 링크는 해외 이슈에 대한 블로그 및 의견 관련된 글입니다.

 

사견을  말씀 드리면 해외의 상황과 지금 우리의 상황은 다르다는 이야기를 드리고 싶습니다. 그리고 해외 언론이나 의견에 대해  일희일비할때는 충분히 지나지 않았는가 생각 됩니다.   

IT강국이라는 의미는 OS의 다양성에 대한 인정 보다는 IT라는 하나의 도구를 활용하여 얼마나 많은 생활에 접목을 시키고 활용을 하고 실생활을 낫게 만드느냐 하는 점에서 바라 보아야 한다고 생각 됩니다.

 

인터넷 뱅킹을 예를 들면.. 이제 더 이상 금전 납부 및 이체를 위해 은행을 방문 하지 않습니다. 분명히 생활상의 개선과 편리, 비용의 절감이 이루어 졌습니다. 뱅킹을 이용하기 위해 분명한 본인 확인이 필요했고 본인확인의 과정에서 공인인증서라는 것이 이루어 졌습니다. 이런 안전하다고 보장된 인증매개체를 통해 금전 거래가 이루어 지는 것입니다. 물론 정책상 특정 OS 및 특정 환경에 의존된 부분은 분명한 문제라고 여깁니다.

 

그렇다면 왜 특정 OS 및 특정 환경에 의존하게 되었을까요?. 이 부분은 지원 문제와 대중성 , 접근성 때문이라고 정의 할 수 있습니다.

 

MS의 시행착오도 많지만 가장 큰 성과는 컴퓨터라는 도구를 생활속에서 보다 친숙하고 쉽게 접근 하도록 운영체제를 만들었다는 것에 있습니다. 보다 뛰어난 운영체제는 지금껏 있어 왔으나 대중에게 접근이 쉬운 운영체제는 현재로서도 MS의 윈도우즈 플랫폼이 뛰어 나다고 봅니다. 프로그래머나 IT 관련 기반지식이 있는 사용자들에게는 리눅스 플랫폼이 더 뛰어나고 개방성이 있고 조율이 가능하나 모든 사용자에게 해당이 되는 것은 아닙니다.

 

http://news.naver.com/news/read.php?mode=LSD&office_id=034&article_id=0000346696&section_id=105&menu_id=105

[ 2.1일자 기사 입니다. 인터넷 인구는 3400만 이고 4~50대의 사용비가 증가 하였다고 합니다. 이런 사용비의 증가가 과연 대중성이 없는 운영체제 상에서 가능 하였겠습니까? 과연 리눅스로 이 정도의 대중성을 확보 하는 것이 가능 하였을까요?  ]

 

보다 쉽고 보다 접근이 쉬운 부분. 그 요소를 파악 했기 때문에 대중화가 이루어 진 것이고 한국의 발전 과정에서 보듯 IT 부분에서도 상당한 압축성장이 이루어 졌고 그 매개체는 대중화가 가능한가? 그리고 지원체제의 일원화를 통해 효과가 가장 큰 부분은 무엇인가에 역점을 두었습니다.  그래서 대중성이 높은 운영체제에 대한 지원체제 일원화가 이루어 진 것이죠.

 

90년대 후반 국내의 상황에서 기술의 깊이 보다는 대중성을 통한 적용 범위의 확대 -> 적절한 도구의 선택 [ 대중성 측면에서 MS 솔루션 선호] -> 지원의 집중 [ 이부분에서 다양한 경로를 차단한 것이 실책일 수도 있습니다.]  기반기술을 완벽하게 지닌 것도 아니고 그렇다고 투입 가능한 자원이 무한정인 것도 아니여서 지원에 대한 집중은 어쩔 수 없는 면도 있지 않았을까 생각 됩니다.

 

 

설명이 길었습니다.  정책에 대한 옹호도 아니며 발생된 상황에 대해 왜 그렇게 되었는지에 대해 설명을 하다보니 길어 졌습니다. 본래는 ActiveX , Vista ,보안은 어떤 관계인가에 대해서 설명을 하고자 하였는데... 

 

가장 큰 책임의 주체는 Web을 통한 Active한 컨텐츠의 표현과 기능 구현을 위해 고안된 ActiveX 의 많은 권한 허용입니다. MS의 사상적인 기반과 관련이 있겠지만 인터넷을 통해 모든 것이 가능하게 만드는 방향성과 관련이 밀접한 기반기술중 하나 였을 것입니다. 

 

그 다음은 특정 OS에 한정된 실행 한계의 설정이라고 할 수 있습니다. [ 이 부분은 지원의 집중 차원에서 초기에는 큰 방향에서 타당성이 있다고 보입니다. ]

 

 - to be continue..

 

*보안부분과 Vista , ActiveX에 대한 내용은 길어져서 글을 분리하여 다음 포스팅에 게시 하도록 하겠습니다. 인터넷 뱅킹 , 대중성 , 보안 이 이슈로 묶이는 포스트라 상황에 대한 설명이 필요 한 부분이라 적었습니다.

 

 

Posted by 바다란

공인인증서 및 ActiveX 보안도구들에 대한 컬럼을 게재할 예정입니다.

 

쓰다보니 길어져서 두편 정도로 나뉘어 질 것 같습니다.

 

개인의 의견들이 투사 될 것이고 문제 부분들과 각 도구들이 대략적으로 어떤 역할을 하고 있는지에 대해서 설명이 될 겁니다.

 

그 외 비난하는 측에서 언급하는 SSL +OTP 조합이 그걸 막을 수 있는지도 언급 하게 될 것 같습니다.

 

현재 2/3정도 다 썼는데 빠르면 금주중 게재 합니다.

 

 

공인인증서 사용에 대한 제한을 철폐한다는 공식 입장이 나온 상태라 게으르게 쓸려다가 조금 타이트하게 빨리 쓸 예정입니다.

 

그럼 컬럼에서 뵙겠습니다.

Posted by 바다란

-zdnet 게재 컬럼 입니다.

 

생각하는 방향은 전체적으로 주욱 언급 했습니다. 기본 문제들에 대해서도..

앞으로 조금 더 강하게.. 점진적으로 강하게.. 그렇게 해야죠.

 

 

----------------------

 

빗나간 공인인증서 논란

 

 

브라우저 편향성

 

공인인증서에 대한 비난 중에 브라우저의 편향성을 지적하는 요구는 타당하다. 그러나 국내에서 유독 문제되고 있는 IE만의 문제일까?  2009년 하반기의 데이터를 종합하여 발표한 Cenzic의 자료를 살펴보면 브라우저 별 취약성 동향을 일부 유추 할 수 있다.

 

 <참고 : http://www.cenzic.com/downloads/Cenzic_AppsecTrends_Q3-Q4-2009.pdf >

 

일반적으로 국내의 많은 인터넷 이용자들은 IE를 많이 사용 한다. 그리고 비난하는 측의 초점도 공공기관 및 금융기관이 강제하여 문제가 되고 있다고 주장하기도 한다. 문제점이 많이 발견되고 치명적인 SW IE를 계속 사용하거나 ActiveX의 취약성을 이용해 더 큰 문제가 발생 할 수 있다고도 한다.   그러나 cenzic에서 내놓은 통계치에서는 다른 결과를 살펴 볼 수 있다. Firefox Chrome 그리고 iPhone에서 활용하는 Safari 브라우저에서 발생되는 문제점들도 전체 사용비율에 거의 비례하는 수준으로 나타남을 알 수가 있다. 브라우저에서 발생되는 문제점들은 직접적으로 사용자의 PC나 스마트폰에 영향을 미칠 수 있다.

 

Safari 브라우저의 취약성을 이용해 탈옥을 하지 않은 iPhone의 권한을 획득한 CanSecWest 2010 컨테스트의 결과 (링크 - http://zastita.com/index.php?det=56629)를 보더라도 앞으로의 위험요소를 예측할 수 있다. 결론적으로 브라우저 편향성을 벗어난다고 해서 문제점으로부터 벗어나는 것은 아니며 그 순간부터 또 다른 집중적인 공격의 목표가 하나 더 생기는 것뿐이라고 필자는 생각한다.

 

다양한 브라우저를 지원하고 위험성을 제거하기 위해서는 상당히 많은 노력과 지원이 필요하다. 각 브라우저들마다 지원하는 표준이 미세하게 다른 부분들이 존재하고 제작 철학조차 다른 곳들이 많다. 철학이 다르다는 이야기는 근본적인 제품 설계가 다르다는 관점이며 문제점이 생기는 부분을 다 제거 하기 위해서는 정말 많은 노력이 필요하다는 것을 의미한다. 모든 브라우저를 지원하면서도 근본적인 문제를 탐지하고 제거 할 수 있느냐 하는 점에서는 정말 회의적이라 할 수 밖에 없다. 공인인증서가 문제가 되는 부분도 특정 브라우저에 편향된 부분을 사용량의 변화에 따라 상위 2~3개 정도로 한정하여 지원을 하도록 하고 새로운 개선점들을 주기적으로 논의 하였다면 지금과 같은 논란은 생기지 않았을 것이다. 

 

국내의 환경에서 다양한 종류의 접근성 보다는 다수가 사용하는 분야에 대해 안정성을 확보하는 것이 우선일 수밖에 없음은 인정한다. 또한 영세한 보안업체의 특성상 다양한 브라우저를 지원하고 다양한 운영체제를 지원하면서 근본적인 PC나 스마트폰에 존재하는 악성코드를 제거하며 거래의 안정성을 높이는 것은 사실상 불가능에 가깝다.  다양한 운영체제는 그만큼 다른 방식의 접근을 해야 하고 별개의 개발을 진행 해야 한다. 또한 금융거래에서 피해가 발생 했을 경우 금융기관이 책임을 져야 하는 현재의 상황에서 안정성과 피해 발생 가능성을 낮추는 것이 가장 우선시 될 수 밖에 없고 그 결과 브라우저 편향성이 출현 했다고 볼 수 있다.

 

의도적인 브라우저 편향성은 아니며 PC에 대한 위험요소들이 증가하고 피해가 증가함에 따라 각 단계별 문제해결을 위해 추가적인 도구들이 필요 했을 뿐이다. 해외라고 별반 다를 것은 없다. 봇넷으로 은행계좌를 조정하는 악성코드들의 출현과 최대 2천만대의 PC를 원격 조정하여 정보를 빼내고 거래를 한 사례들은 전 세계적인 이슈라고 볼 수 있다. 뚜렷한 문제 해결 방안은 오로지 백신을 사용하는 것뿐이다. 온라인 거래의 안정성을 유지하려면 PC를 보호 할 수 있는 여러 방안을 고민 할 수 밖에 없을 것이다. 현재의 보안수준에서 해외의 인터넷 뱅킹과 상거래가 만약 국내의 상황과 같은 수준으로 활성화가 된다면 상상 이상의 피해규모를 확인 하게 될 것이다. 현재도 카드를 이용한 거래가 일반적인 해외에서 카드도용에 대한 피해사례는 너무나 일반적인 사례이다.

 

국내의 현실로 돌아오면 국내의 IT 산업 환경에서 위험들을 줄이면서 모든 브라우저를 지원하는 것은 불가능 하였을 것이다. 제한된 자원과 제한된 인력을 가지고 각 브라우저 마다 발생 되는 위협들을 제거 하고 문제를 해결 하는 것은 사실상 불가능한 영역에 속한다. 목적성을 가지고 점진적인 확대 외에는 대안이 없는 실정이다. 그러나 조금 늦은 측면은 문제가 있다고 본다.

 

ActiveX로 설치되는 보안도구

 

앞서 ActiveX로 설치되고 활성화 되는 보안도구들은 다양한 위험들을 제거하여 안정성을 확보하기 위한 목적이라고 기술 했다. 그렇다면 각 도구들의 역할은 어떻게 되어 있을까?

 

 

현재 상태에서 설치 되는 보안도구들과 금융권에서 사용되는 보안적인 기능들을 대부분 열거한 경우이다. 각 케이스마다 역할이 배분되어 있음을 볼 수 있다. 키보드 입력을 탈취하는 것을 방지하기 위한 키보드 보안 솔루션과 악성코드가 활성화 되어 있다면 제거하기 위한 백신의 역할, 비정상적인 외부 연결을 차단하기 위한 방화벽의 역할, 위조된 사이트 여부를 확인하는 피싱 방지 솔루션등 다양한 보안도구들이 각 역할을 수행하고 있다. 핵심은 PC에서 서비스로 전달되는 거래를 안전하게 보호하기 위한 것이다.

 

금융거래로 넘어가면 OTP,보안카드 외에 공인인증서를 사용 하도록 했다. 공인인증서 영역에는 별개의 악성코드를 만들어 백신에 탐지가 되지 않으며 동시에 키보드 보호 솔루션을 회피하면서 키입력을 가로채는 유형이 있어야만 키입력을 가로챌 수 있다. 키 입력 이외에도 OTP 또는 보안카드를 사용하여 추가적인 인증수단을 사용해야만 한다. 최종적으로는 공인인증서의 본인확인 기능 및 부인방지 기능을 서버의 키와 비교하는 방식으로 이루어진다.

 

절차적으로도 상당히 많고 번거롭게 느껴진다. 그러나 각 영역별로 다양한 보호 고민들이 있었으며 그 역할은 충분히 합당하다고 본다. 본래의 목적인 안전성을 기준으로 잡으면 당연한 일이라 할 수 있다.

 

공격자들의 의도를 어렵게 하고 실제 공격 발생 비율을 낮추기 위해서는 단계를 많이 거치도록 하고 여러 조건을 모두 만족해야 하는 상태로 만들어서 어려움을 주어야만 한다.

 

백신에 탐지 되지 않는 악성코드를 만들어야 하고 외부 연결은 숨겨야만 하며 키보드 입력 보호 솔루션을 우회해야만 한다. 이 조건 외에 추가적으로 OTP 혹은 보안카드의 키입력 또한 가로채야만 한다. 최종적으로 공인인증서도 탈취해야 하고 공인인증서의 패스워드까지도 별도로 탈취를 해야만 하는 상황이다. 이 정도의 노력과 실력을 가지고 충분히 다른 이득을 얻을 수 있기 때문에 공격을 하지 않는 것뿐이다. 

 

세상에 완벽한 보안이란 존재하지 않는다. 다만 발생 가능성을 줄여주고 사고가 발생 될 경우에 피해를 최소화 하는 일들이 보안의 업무라고 할 수 있다. 사고 발생 가능성을 줄이기 위해서는 공격이 어렵거나 조건이 많아 지도록 만드는 것은 기본이다.

 

 

OTP의 경우 일회적인 패스워드 사용으로 알고 있으나 현재 발견되는 문제점은 다른 위험으로 출현 할 수 있다. OTP의 경우 화면상의 계좌 정보를 실제 전송시에는 다른 계좌로 바꿔치기 할 수도 있을 것이다. 피싱 방지 솔루션이나 백신은 이런 유형의 악성코드나 코드 변조에 대해서 알려줄 수 있는 기능이 부분적으로 존재한다.  또한 최종적으로 공인인증서를 통해 전송 계좌 및 금액에 대해서 추가 확인이 가능하다. 물론 암호화된 내용으로 전달이 되어 중간에 내용을 가로챈다 하여도 특별한 의미를 가질 수는 없는 상황이다.

 

현재 논의 되고 있는 공인인증서 사용에 대한 규제 철폐 및 ActiveX를 통한 보안도구들의 설치 및 기능이 무력화 될 경우에 발생 될 수 있는 위험성은 상상이상이다. 만약 체계적이고 계층적인 대안 없이 진행 된다면 IT 서비스 산업 자체의 위험레벨은 매우 높은 수준을 계속 유지 하게 될 것이다. 대규모 금융 관련 사고가 터진다 해도 이상치 않을 것으로 본다.

 

 

SSL+OTP ?

 

공인인증서 사용에 대한 규제 철폐를 주장하는 측에서 대안으로 제시하는 것은 SSL +OTP 조합이다. 여러 기술적인 설명이야 차지하고서 보안이라는 관점에서 PC에서 발생되는 이슈를 이 단순한 조합으로 보호 할 수 있다는 것은 넌센스다.

 

 

개념적으로 각 부분별로 발생 될 수 있는 문제들을 간략하게 정리해 보았다. 기존의 보안도구를 설치하지 않는 상황과 인증서에 대한 사용이 선택으로 바뀌게 될 경우 위험 요소들은 충분히 더 있을 수 있다. 현재 간단하게 고민한 문제 부분은 위의 그림과 같다.

 

개인 PC에 설치된 악성코드들은 어떻게 해결 할 것이며 특정 은행이나 기업만을 대상으로 한 악성코드의 대응은 어떻게 할 수 있을 것인가? 또 최근 많이 발견 되고 있는 특정 사이트의 보안 수준을 인위적으로 낮추기 위해 HTML을 변조하여 화면상에 표시하는 경우 대책은 무엇인가?

 

OTP를 입력 한다 하여도 화면상의 계좌와 실제 전송되는 계좌가 다르다면 어떻게 거래 내역을 입증 할 수 있을까? 현재 나타나는 악성코드들로도 충분히 가능한 상황이다. 해외 은행의 거래정보를 탈취하는 Zeus bot의 경우 현재 미국에만 360만개의 Agent Pc가 존재한다.

(http://en.wikipedia.org/wiki/Zeus_(trojan_horse) )

키입력을 가로채는 악성코드가 몇 백만대가 기본으로 설치된 상황에서 만약 미국내의 은행에서 자유로운 타인, 타행계좌로의 입출금이 웹을 통해 가능하게 된다면 재앙을 맞이하는 것은 한 순간이다. 이제는 금융거래를 활성화 하기 위해서는 보호방안을 먼저 고려한 이후에 활성화 해야 하는 상황에 직면한 것이다.  앞으로 상당기간 국내 수준으로 활성화 되기는 어려울 것으로 보고 있다.

 

해외에서는 현재도 금융거래에서 피해가 발생 되고 있으며 향후 피해 규모는 더 확대될 것으로 본다. 2000만대의 PC를 움직인 Mariposa botnet의 경우도 금융거래 정보를 탈취하고 있으며 알려지지 않은 많은 botnet들은 지금도 열심히 각 금융기관을 이용하는 사용자 정보를 부지런히 수집하고 있다. 피해는 앞으로 당연히 더 커질 것이다.

현재 해외 금융기관의 대응수준으로 보면 피해는 더 확대될 수 밖에 없으며 금융거래의 발전과 활성화를 위해서는 PC에 일정수준의 제한을 가해야 하는 것은 필연적이라 보고 있다.

 

해외의 개인PC에 대한 피해상황과 비교하여 국내의 PC 환경도 충분히 나쁜 환경에 처해있다. PC의 권한이 탈취되고 악성코드에 의해 조정이 됨에도 불구하고 금융거래의 피해상황은 미미하다. 이 역할은 보안도구들이 일정수준의 역할을 하고 있고 최종적으로 보안카드,OTP, 공인인증서 조합에 의해 피해를 여러 단계에 걸쳐서 막기 때문에 가능하다.

 

SSL+OTP 조합을 사용 했을 경우 아래의 경우에 대책들이 있어야 한다.

 

키보드 입력 보호는 하지 않는가?

MITM(Man in the Middle attack)을 통한 거래내용의 변경을 하는 악성코드 유형은 대안 있는가?

OTP를 사용할 경우 페이지 변조 여부에 대해서 신뢰 할 수 있는가?

한 지역 혹은 ISP 단위의 침해사고가 발생하여 중간 경유 장비에서 트래픽을 전환할 경우 신뢰성을 확보할 방안은?

또한 ARP Spoofing등을 통해 위조된 주소로 접근 한다면?

DNS 변조로 인해 역시 위조된 주소로 사용자가 접근한다면?

또한 인증서를 위조한 경우에는?

(모든 케이스들이 다 발견된 사례들이다. )

 

이 경우 조작된 거래라는 것을 서비스 서버에서 알 수 있는 방법이 존재하는가? 실제 거래가 발생된 이후에도 거래를 본인이 했다는 것을 확인 할 수 있는 확실한 방안은 존재하는가? 위조되거나 잘못된 거래를 찾아내기 위해서 서비스 업체에서 할 수 있는 방법은 무엇이 있을까? 해외 카드 업계에서 하듯이 특정 장소에서만 허용이 되고 별도의 장소로 이동 했을 경우에는 위험이라고 인식을 하고 알리는 Fraud 판별 시스템을 써야 하겠지만 인터넷에서 위치가 아닌 IP기반으로 움직이는 곳에서 그게 과연 의미가 있을까를 고민해야 한다.

개인의 금융거래에도 문제가 발생 되지만 금융 서비스를 제공하는 측에서도 사실관계 확인을 위한 정보는 거의 얻을 수 없는 상태가 된다. 이 경우 문제 해결이 되지 않는 피해사례들은 속출 할 수 밖에 없다.

 

신뢰성을 기반으로 하여 안전성을 추가하는 것이 금융거래의 선결과제이다. 현재의 SSL+OTP 조합은 상당히 많은 부분에서 취약성을 가진다. 모든 것이 안전하고 치명적인 문제가 없다는 전제하에 추진 할 수 있는 것을 너무 쉽게 주장하고 있다. 현실은 그리 만만한 것이 아니다.

 

 

접근성을 확대 하려는 시도는 보편타당하다. 그러나 금융거래에 있어서는 안전성과 신뢰성이 우선이다. 대안과 방안을 마련하지 않은 상태에서의 무조건적인 접근성 강화는 치명적인 결과를 초래할 것이다. 일단 본인확인이 되지 않는 경우에는 금융거래를 제한하는 것이 필요하고 다양한 보안 방안들을 고려 해야만 한다.

 

Pc에 설치되는 악성코드들을 제거하는 공통적인 대응 방안도 없으며 유포되는 주된 경로인 웹서비스의 안정성 확보도 되지 않은 상태에서 문제인식은 너무 부족한 현실이다.

 

스마트폰에서 접근하는 웹은 웹이 아니고 다른 종류라서 안전할까? 웹서비스의 활용도는 앞으로 더 증가할 수 밖에 없다. 사용자나 공격자나 더 매력적인 내용이다.  앞으로는 웹서비스에서 아이폰용, 안드로이드용 악성코드들도 유포가 될 것이다. 당연한 일이다. 국내는 물론이고 세계적으로도 웹서비스의 변조 및 웹을 통한 데이터베이스 정보의 유출은 여전히 계속 되고 있다. 아이폰이나 안드로이드에서 보는 웹도 동일한 웹이기에 위험성도 동일하다. 거기에 금전적인 이득까지 직접 취할 수 있다면 최초 혹은 처음 발견되는 스마트폰용 악성코드들의 성지가 될 것임은 명확하다.

 

현 상태대로 제한이 철폐되고 접근성이 확대된다면 장담하건대 스마트폰용 악성코드의 출현은 매우 빨리 질 것이다. 오랜 기간 관찰해온 바에 의하면 공격자들에게 그것보다 더 유혹적인 이득은 없을 것이기 때문이다. 

 

 

현재의 인터넷 뱅킹이나 금융거래 모델이 문제점을 가지고 있는 것은 사실이나 문제점을 개선하고 발전 시켜야할 부분이지 없애야 하는 수준은 절대로 아니라고 본다. 당연히 장점을 발전 시켜서 수출을 하거나 전 세계 전자 상거래의 활성화를 위해 기여할 부분이 매우 많은 모델임에도 불구하고 하향평준화를 요구 받고 있는 현실은 어리둥절 하기만 하다.

 

현재 상태의 보안도구들도 통일된 도구들이나 공통적인 규약을 가지고 있지 않은 것은 문제라고 할 수 있다. 공통적인 모듈을 활용 하여 다른 사이트를 가더라도 공통적인 기준을 활용 하여 추가적인 설치를 최소화 하거나 비슷한 기능을 다른 브라우저나 운영체제에서도 할 수 있도록 노력을 해야 할 것이다. 그만큼의 투자는 필요하고 충분한 비용은 지급 되어야 할 것이다. 또한 공인인증서 체계의 접근성을 확대하는 것은 지속적으로 노력을 해야 시대의 변화를 따라 갈 수 있다고 본다.  점진적인 발전 모델로서 가치를 가지는 것이지 현 상태의 유지가 정답은 아닐 것이다.

 

 

 

-       바다란 세상 가장 낮은 곳의 또 다른 이름

 

ps:  

一終無終一 -  이 의미대로 살고자 합니다. 오늘 부터가 되겠죠. 두렵지만 더 큰 꿈과 열정은 항상 있었기에 이젠 다른길로..

조금 정리되면 소회를 한번 올려 볼께요.

Posted by 바다란

안녕하세요. 바다란입니다.

 

어제 못다한 이야기들을 연이어 써보도록 하겠습니다.

먼저 오늘자 기사를 보다보니 트로이 목마 증가라는 기사가 나오고 있습니다. 한번 읽어 보시면 좋을 것 같습니다.

 

http://news.naver.com/news/read.php?mode=LSS2D&office_id=029&article_id=0000161964&section_id=105&section_id2=283&menu_id=105

 

* 인터넷 뱅킹의 공인인증서 적용 부분에 대해서는 타 OS로도 확장이 되어야 한다는 점에 동감합니다. 그러나 현재 적용된 보호를 위한 ActiveX 프로그램에 대해서는 일반적인 ActiveX를 통한 폐해의 관점에서 보기는 어렵다고 생각합니다.

자유이용에 대한 권리와 현재 포스트에 기술하고 있는 ActiveX 전체의 무용론에 대한 시각은 다른 시각입니다.

 

일단 저는 개발과 관련된 업종에 있지도 않으며 해당 프로그램들과의 이해관계가 전혀 없다는 사실을 명확하게 하는게 좋겠습니다. 미리 설명을 드려야  객관적인 시각으로 보는 것을 이해 하시지 않을까 생각 되네요. [ 블로그의 지난 글들을 읽어 보셔도 쉽게 아실 수 있습니다.]

 

Vista를 통한 기대효과?

 

자.. 지난 포스트에서는  대중성 확보를 통한 생활의 향상이라는 서론이 길었는데 지금의 위험 요소를 짚어볼 필요가 있을 것 같습니다. Vista의 사용자 권한 제어 부분을 통하게 되면 지금과 같은 무변별한 ActiveX를 이용한 악성코드 및 스파이웨어 등이 대부분 줄어들게 됩니다. 악성코드에 감염이 되었거나 스파이웨어를 유포하는 사이트에 들어가도 Alert 창이 활성화 되며 경고를 하게 되겠죠. 따라서 사용자는 부지불식간에 시스템에 설치가 되는 스파이웨어 및 악성코드의 위험을 사전에 인지하게 되고 당연히 피해는 줄어들게 됩니다.

 

사용자의 관점과 서비스 제공자의 관점에서 볼 필요가 있는데 사용자의 관점에서는 위험요소가 줄어들게 됨에 따라 보다 더 안전하게 볼 수가 있을 것입니다. 그렇다면 Vista상에서는 어떤 것이 증가할까요?. 사용자의 선택을 흐리게 하기 위한 phishing 관련 공격이 매우 증가 할 것입니다. 즉 자동 설치가 되는 ActiveX의 유형은 줄어 들겠으나 프로그램 설치 형식으로 되어 있거나 페이지를 속여서 사용자의 정보를 입력케 하는 피싱 공격 유형이 대단히 많이 증가 할 것입니다.  [ 피싱에 대해서는 전세계 모든 회사가 피싱 관련 DB를 공유한다 해도 발견 속도보다 개설 및 제작 속도가 더욱 빨라서  감당이 어렵습니다.]

 

Vista 사용자를 제외한 하위 버전의 운영체제에 대한 공격은 지금까지와 동일하게 유지가 될 것입니다. 여전한 ActiveX를 이용한 스파이웨어 및 악성코드들이 있을 것입니다.

 

Secure Vista?

 

간단하게 검색하여 언론에 나타난 Vista의 취약성 관련 기사들 입니다.

http://www.msnbc.msn.com/id/16359568/

 

http://news.naver.com/news/read.php?mode=LSD&office_id=031&article_id=0000099401&section_id=105&menu_id=105

< Vista의 음성인식 부분의 보안결함에 대한 기사>

 

Vista라고 완전한 것은 아닙니다. 사용자 권한을 이용하려는 부분에 대해서 Alert이 뜬다는 점과 커널에 대해 Protection이 된다는 점에서 보안기능이 강화 되었으나 세상 어느 것이나 완전한 것은 없습니다. 지금 이 순간에도 Vista의 실제 하위 구성 부분까지 낱낱이 분석을 진행하는 공격 그룹들은 매우 많이 있습니다.

예전에는 취약성을 발견하면 벤더들에게 연락하여 취약성을 수정하는 패치 발표 이후에 취약성을 공개 하였으나 이제는 그 방향이 바뀌어 있습니다.  금전적인 이득을 목적으로 취약성을 발견하는 것이 대부분입니다. 더이상 로멘스는 없다는 이야기 입니다.

 

루마니아의 한 전문가가 발견된 Vista의 보안 취약성은 경매에서 5만불의 가치가 매겨졌으며 최근 외국의 보안 회사는 Vista의 취약성을 발견한 사람들에게 8000불 가량의 금전을 지불한 사실이 존재합니다.  빌게이츠는 Vista를 통해 그동안 MS에 덧씌워진 취약성과 문제의 온상이라는 굴레를 벗어나고 싶어하나 그리 쉽게 되지는 않을 것 같습니다.

 

Vista를 사용한다고 해서 보안패치가 나오지 않을 것 같습니까?. 현재의 논의대로라면 Vista상에는 보안패치가 나와서는 안됩니다. 그만큼 치명적인 문제는 없을테니깐요. 올해안에 Vista 운영체제에 대한 보안패치는 나옵니다. 그만큼 완벽한 솔루션은 없다고 단언할 수 있습니다. MS는 지난해 까지 많은 요소 보안 기술 회사들을 인수 하였습니다. [sysinternal 외에 Anti spyware 업체 , 소규모 백신 업체 ] 그리고 MS의 전략은 LiveOnecare 에서도 확인 할 수 있습니다. [ http://news.naver.com/news/read.php?mode=LSD&office_id=092&article_id=0000008770&section_id=105&menu_id=105 ]

Vista상에서 발생하는 보안 이슈에 대해서는 MS에서만 처리가 가능하고 대응이 가능하도록 만들려는 전략이 그들의 방향입니다. 보안에 관련된 시장을 인식하고 이 부분에 대한 독점 체제도 유지 할려고 하고 있다는 것이 제가 보는 사견입니다.

 

만약 Vista에 심각한 결함이나 웜이 발생 되었다고 할때 이것에 대한 대응도 근본적으로는 MS에서만 처리가 가능하고 MS와 협력 구조를 형성한 몇몇 업체에만 권한이 부여 될 수 있을 것입니다. 그래서 시만텍이나 맥아피, 트렌드와 같은 대형 보안업체들이 반발하는 것일 수 있습니다. 이 중에 여타 중소 업체나 규모가 작은 틈새의 보안 업체들은 끼일 방안이 없습니다. 독점은 더욱 심각해지고 치명적인 부분의 대응도 손 놓고 기다릴 수 밖에 없는 상황이 올 수도 있습니다. 물론 제 상상이고 생각입니다.

 

환경의 다름과 변화

 

해외에서는 몇년 전 부터 지금까지 계속해서 피싱 관련된 이슈가 매우 많았습니다. 또한 국내는 해외의 상황과는 사뭇 다른 백도어 및 악성코드에 대한 공격이 매우 많았습니다. 왜 해외에서는 피싱이 유행을 하였을까요?. 발생 현황이 다른 것은 배경이 다른 점에 있습니다.

 

[ http://www.ciphertrust.com/resources/statistics/phishing.php  ] - 피싱에 대한 최근 통계 자료 입니다. 보시면 ebay,paypal에 대한 피싱 공격과 은행에 대한 공격 유형이 많은 것을 볼 수 있습니다. 과연 성공가능성이 없는데도 몇 년간 계속 이런 추세가 계속 되고 있을까요?

 

해외는 아직 주요한 금전거래의 직접적인 인터넷 거래 등이 활성화 되어 있지 않습니다. 활성화 된 부분에 대해서는 매우 집중된 공격이 이루어 지고 있습니다. 페이팔에 대한 직접적인 피싱및 Fraud는 높은 비율을 차지 하고 있는 것이 이 내용을 반증 합니다. 또한 신용카드에 대한 거래도 카드번호 , 기한을 입력하는 것으로 끝입니다. 그만큼 신용카드 정보의 유출은 큰 영향을 미치는 부분이라 할 수 있습니다. 또한 이런 사고로 인해 발생되는 정보도 통계치에 제대로 잡히지 않는 상황이라고 볼 수 있습니다. 그에 반해 우리는 어떤가요?

신용카드이든 뭐든 모든 거래에 인증서를 기반으로 합니다. 카드입력이 된다 하여도 인증서의 보유 및 인증서 비밀번호 입력을 넣어야 됩니다. 따라서 공격을 하는 사람들도 실제의 키 입력을 다 가로채어 간다고 해도 인증서 파일을 가지고 있어야만 금전적인 도용이 가능합니다.

 

*관련 내용은 블로그 게시물을 참조 하시면 좀 더 쉽게 이해가 될 것입니다.

  http://blog.naver.com/p4ssion/50013425045

 

2005년 부터 국내의 사이트에 대한 공격이 급증을 하였습니다. 그러나 해외의 공격과의 차이점을 보면 해외는 피싱을 하기 위한 사이트 유도 및 이메일에 대한 조작등이 많았으나 우리나라에는 유명 사이트에 대한 직접 공격 -> MS의 취약성을 통해 설치가 가능한 악성코드 배포 -> 사이트 방문자 모두에게 취약성에 노출 되었다면 감염 -> 사용자의 키입력 정보 유출  이런 유형으로 볼 수 있고 지금도 동일한 유형입니다. 해외의 사이트에서는 아직 유명 사이트 해킹 한 이후 특정 취약성을 통해 유포되는 악성코드는 그리 많이 찾을 수 없습니다. 왜 이렇게 되었을까요?  이 부분에 대한 대답은 나름대로 다음과 같이 할 수 있습니다.

 

금전적인 이득을 얻을 수 있는가? 라는 질문에 우리는 해당이 되고 해외는 해당이 안되기 때문입니다. 인터넷 사용자의 절반 이상이 온라인 게임을 하고 인터넷 뱅킹을 합니다. 그리고 금전적인 거래 관계가 온라인으로 상당부분 진행이 되고 있고 온라인 상의 생활이 많이 있습니다. 따라서 보호 방안을 가지는 것은 당연합니다.

 

 

 

대중성과 ActiveX의 관계

 

대중성을 확보하기 위해 빠른 인터넷 확산과 세계에서 사례가 없을 만큼의 빠른 실생활의  적용이 있었습니다. 그리고 이를 통한 근본적인 생활을 변화 시켰다고 할 수 있습니다. 근 10년내에 이루어진 대규모 패러다임의 전환이라 할 수 있습니다.

생활 환경이 변화됨에 따라 더욱 편한 것을 추구하는 사용자들은 인터넷 환경에 빠르게 접속이 되었으며 모두가 security에 대해서 몰라도 기본적인 사용법은 쉽게 접근 할 수 있도록 되어 있습니다. 위의 단락에 언급은 되었지만 모든 인터넷 사용자들이 보안 전문가가 아닙니다. 또한 지금의 위협은 보안전문가라 하더라도 악성코드 및 백도어들이 침입 하였을 경우 [ 감지 하는 것도 어렵습니다. ] 해당 악성코드를 제거 하거나 백도어를 제거 하는데 많은 시간과 노력이 필요합니다. 일반 사용자들은 어떨까요? 거의 대책 없다고 볼 수 있습니다.

 

 백신 및 보안 제품은 그래서 이용을 합니다. 그러나 모든 사용자들이 백신을 이용하지는 않으며 보안제품을 이용하지도 않습니다. 백신마다 각각 다른 탐지들이 있고 탐지가 안되는 경우도 있습니다. 따라서 공통적인 대응과 빠르고 일괄적인 대응이 필요한 부분이 있습니다.

대중적 편리성을 유지 하면서 문제점들도 해결 하기 위해 기본적인 보안대책들이 강구 되었다 할 수 있습니다.

 

금융 서비스를 제공하거나 사용자에게 중요한 컨텐츠를 지니고 있는 곳일 수록 사용자의 개인적인 피해가 누적이 되면 기업이나 서비스의 손실로 직접 연결이 됩니다. 사회적 통념이나 언론상 문제의 발생 기준을 개인에 두는 것이 아닌 기업이나 서비스 제공자에게 책임을 묻는 분위기가 지금까지 있어왔었기에 서비스를 제공하는 업체는 보안에 대한 대응을 할 수 밖에 없습니다.

 

연세 드신 어르신 부터 미취학 아동들까지도 현재 인터넷 환경을 이용하고 있습니다. 보안의 적용은 Active하게 진행하는 것이 필요하고 사실 필요 하였습니다.

키보드 입력을 가로채는 악성코드 [ 근 2년 동안에만 수천 종류가  발생 하였습니다. ]를 막기 위한 키보드 보안 솔루션  , 개인 사용자의 정보를 빼내어 가기 위한 프로세스가 활성화 되어 있는지 확인 하기 위한 온라인 백신 , 외부와 연결이 되어 있는 지 확인을 하기 위한 온라인 방화벽 등등.. 다양한 ActiveX들이 있습니다.

이 모든 기능들은 시스템 단위의 입력 및 정보 노출까지 찾아내고 제거 하여야 함으로서 시스템 권한이 필요합니다. 

 

대중적인 편리성을 기본 목적으로 삼고 서비스를 확대하고 활용 하였으나 그 부작용으로 악성코드 및 백도어들이 대폭 증가한 결과가 나오게 되었습니다. 그리고 폭넓게 퍼진 문제를 해결하기 위해 모든 사람이 백신이나 보안제품을 구매하지 않아도 거래를 안전하게 할 수 있도록 중요 거래 사이트나 컨텐츠가 있는 사이트의 경우 ActiveX를 활용한 보안 솔루션의 사용이 일반화 되어 있습니다.

 

1.25 대란은 보안패치가 되어 있지 않아서 발생된 부분입니다. 그 이후에도 보안패치는 개인 사용자 단위에서 거의 진행이 되지 않았습니다. 왜냐하면 귀찮아서 입니다. 사실이 그렇습니다.  2005년 부터 발생된 주된 악성코드 나 백도어의 침입 경로는 ActiveX가 아닌 MS의 주된 취약성을 공격하여 사용자 PC에 설치가 되었습니다. 주된 문제 발생 경로는 ActiveX가 아니라고 볼 수 있습니다. 물론 스파이웨어의 경우는 다릅니다. 지금은 정부기관이나 일정 레벨 이상의 컨텐츠를 보유한 사이트에서는 자동으로 보안 패치도 해주고 있습니다.  물론 ActiveX를 이용한 부분입니다.

 

White ActiveX와 Black ActiveX를 구분할 필요가 있으며 모든 ActiveX에 대해서 Anti한 입장을 가질 이유는 없다고 봅니다. 현재 우리가 처한 위협상황에 비하면 대응 수단은 거의 없다고 볼 수 있습니다.  보다 더 발전되었고 실험적인 상황을 진행 하고 있다보니 모든 첨단화된 공격들은 한국에 집중이 되고 있습니다. 일선에서 바라보면 세계 전체의 공격 동향과 비교 하였을때 전체적으로는 6개월 이상 정도는 공격 트렌드가 앞서고 있음을 확인 할 수 있습니다. 물론 세부 부분으로 들어가면 다를 수 있지만 최소한 개인 영역에 미치는 공격의 기술은 6개월 정도는 앞선다고 판단 됩니다. 

IT 강국이라는 트렌드 하에서 얻는 이점의 수면 아래에는 위와 같은 상황도 존재하고 있음을 아시는 것도 필요합니다.

 

Black ActiveX : 악의적인 행동 , 스파이웨어 , 무분별한 설치 유형등등

White ActiveX : 보안 강화를 위해 설치 되는 것들 , 방화벽 , Anti Virus , 보안 패치 등등

 

 

정리 하겠습니다. 계속 질질 끄는 것 같습니다.

 

현재의 인터넷 환경은 완전하게 안전한 이상적인 환경이 아닙니다. 그만큼 많은 문제들이 있고 실제 발생하고 있습니다.  따라서 대안책도 존재하여야만 하고 고려가 되어야만 합니다. 지금까지 발생된 악성코드의 절대 수치 및 기술적인 레벨로만 보아도 세계적인 수준에 해당하는 공격들이 많이 유입이 됩니다. 그만큼 서비스의 다양화와 활발한 온라인활동에 따른 위험도도 높습니다.

 

무분별한 ActiveX에 대한 비난도 옳지 않으며 표준 준수에 대한 논의도 반드시 정답이라고 볼 수는 없습니다. 상황에 따라 필요한 부분은 인정 해야만 합니다.

현재의 현상을 파악하고 배경을 분석한 다음 왜 이런 현상들이 벌어질 수 밖에 없었는지 고민이 되고 향후의 과제와 개선을 위한 점들은 어떤 것들이 있는가? 하는 긍정적인 고민을 해야 할때가 아닐런지요?

 

공인인증서의 타 운영체제 허용은 반드시 고민 되어야 되는 부분입니다. 그러나 ActiveX에 대한 부분도 인정 할 것은 인정 해야만 됩니다. 세계 그 어느나라에도 발달 되지 않았으나 유독 한국에서만 강력하게 발달된 부분이지만 환경에 특화된 발전으로 부분 긍정은 필요합니다.

 

대중의 보호를 위한 ActiveX도 존재하고 이득을 얻기 위한 악성코드 형의 ActiveX도 존재 합니다. 지금의 대중적인 환경이 빠르게 다른 운영체제로 넘어갈 가능성은 없습니다. 그렇다면 정확한 현상 파악을 하고 과제를 도출 하면 됩니다.  그것이 더 바람직하지 않을런지요? 그리고 대중적 편리성에도 부합을 하는 것일테구요.

 

전체적인 설명과 주요한 개요들을 일정 수준 적었으므로 대안은 보다 쉽게 나올 수 있을 것입니다. 방향성은 고민이 필요합니다. 제가 여기에 바로 적을 수 있는 그런 부분은 아닌 것 같습니다.  칼로 자르듯이 바로 그을 수 있는 부분이 아니기에 더더욱...

 

* 기반된 악성코드 유형 및 침해사고 유형등에 대해서 확인 하고 싶으시면 Blog에 올려진 자료들이 있으니 참고 하시면 됩니다.   추가 내용이 필요하다면 다시 포스팅 하도록 합니다. ^^

 

- 바다란 세상 가장 낮은 곳의 또 다른 이름 .. p4ssion

Posted by 바다란

* 본 포스트는 왜 그렇게 밖에 할 수 없었는가에 대해 생각해본 내용입니다.

 

안녕하세요. 바다란입니다.

 

ActiveX에 대한 논란이 가열 되고 있습니다. 그러나 표준을 지켜야 한다..그리고 기술종속이다 라는 측면에서의 문제점 부각만 되고 있는 것 같습니다. slashdot을 비롯한 해외 블로그 포스팅들이 MS에만 집중화된 환경에 대해서 조롱하는 뉘앙스가 많이 보이고 있는데 조금 다른 시각에서 보도록 하겠습니다. [ 지난번 포스트에서 약속(?)한 ActiveX에 대한 글입니다.]

 

결론을 먼저 말씀 드리면  목적에 맞는 활용이 가장 중요한 부분이며 그러한 활용을 대한민국은 가장 효율적으로 활용 했다고 할 수 있습니다. 

Vista에서의 ActiveX가 왜 문제가 되는가 하는 부분은 보안적인 이슈가 가장 크다고 봅니다. 사실상 잘못된 인식의 오류가 Vista에서는 모든  ActiveX가 실행이 되지 않는다고 생각하는 점이 오류라고 볼 수 있습니다. ActiveX가 실행은 됩니다. 코드의 수정이 이루어 지면 충분히 가능합니다. 그러나 명확한 본질은  시스템의 권한을 이용하는 ActiveX의 사용에 문제가 있는 것입니다. 권한 문제는 보안의 문제라고 볼 수 있습니다.  왜 보안의 문제이고 왜 지금의 상황이 초래 되었는지에 대해서 이야기 해보겠습니다.

 

 

http://it.slashdot.org/article.pl?sid=07/01/26/1455224

http://www.kanai.net/weblog/archive/2007/01/26/00h53m55s#003095

 

위의 링크는 해외 이슈에 대한 블로그 및 의견 관련된 글입니다.

 

사견을  말씀 드리면 해외의 상황과 지금 우리의 상황은 다르다는 이야기를 드리고 싶습니다. 그리고 해외 언론이나 의견에 대해  일희일비할때는 충분히 지나지 않았는가 생각 됩니다.   

IT강국이라는 의미는 OS의 다양성에 대한 인정 보다는 IT라는 하나의 도구를 활용하여 얼마나 많은 생활에 접목을 시키고 활용을 하고 실생활을 낫게 만드느냐 하는 점에서 바라 보아야 한다고 생각 됩니다.

 

인터넷 뱅킹을 예를 들면.. 이제 더 이상 금전 납부 및 이체를 위해 은행을 방문 하지 않습니다. 분명히 생활상의 개선과 편리, 비용의 절감이 이루어 졌습니다. 뱅킹을 이용하기 위해 분명한 본인 확인이 필요했고 본인확인의 과정에서 공인인증서라는 것이 이루어 졌습니다. 이런 안전하다고 보장된 인증매개체를 통해 금전 거래가 이루어 지는 것입니다. 물론 정책상 특정 OS 및 특정 환경에 의존된 부분은 분명한 문제라고 여깁니다.

 

그렇다면 왜 특정 OS 및 특정 환경에 의존하게 되었을까요?. 이 부분은 지원 문제와 대중성 , 접근성 때문이라고 정의 할 수 있습니다.

 

MS의 시행착오도 많지만 가장 큰 성과는 컴퓨터라는 도구를 생활속에서 보다 친숙하고 쉽게 접근 하도록 운영체제를 만들었다는 것에 있습니다. 보다 뛰어난 운영체제는 지금껏 있어 왔으나 대중에게 접근이 쉬운 운영체제는 현재로서도 MS의 윈도우즈 플랫폼이 뛰어 나다고 봅니다. 프로그래머나 IT 관련 기반지식이 있는 사용자들에게는 리눅스 플랫폼이 더 뛰어나고 개방성이 있고 조율이 가능하나 모든 사용자에게 해당이 되는 것은 아닙니다.

 

http://news.naver.com/news/read.php?mode=LSD&office_id=034&article_id=0000346696&section_id=105&menu_id=105

[ 2.1일자 기사 입니다. 인터넷 인구는 3400만 이고 4~50대의 사용비가 증가 하였다고 합니다. 이런 사용비의 증가가 과연 대중성이 없는 운영체제 상에서 가능 하였겠습니까? 과연 리눅스로 이 정도의 대중성을 확보 하는 것이 가능 하였을까요?  ]

 

보다 쉽고 보다 접근이 쉬운 부분. 그 요소를 파악 했기 때문에 대중화가 이루어 진 것이고 한국의 발전 과정에서 보듯 IT 부분에서도 상당한 압축성장이 이루어 졌고 그 매개체는 대중화가 가능한가? 그리고 지원체제의 일원화를 통해 효과가 가장 큰 부분은 무엇인가에 역점을 두었습니다.  그래서 대중성이 높은 운영체제에 대한 지원체제 일원화가 이루어 진 것이죠.

 

90년대 후반 국내의 상황에서 기술의 깊이 보다는 대중성을 통한 적용 범위의 확대 -> 적절한 도구의 선택 [ 대중성 측면에서 MS 솔루션 선호] -> 지원의 집중 [ 이부분에서 다양한 경로를 차단한 것이 실책일 수도 있습니다.]  기반기술을 완벽하게 지닌 것도 아니고 그렇다고 투입 가능한 자원이 무한정인 것도 아니여서 지원에 대한 집중은 어쩔 수 없는 면도 있지 않았을까 생각 됩니다.

 

 

설명이 길었습니다.  정책에 대한 옹호도 아니며 발생된 상황에 대해 왜 그렇게 되었는지에 대해 설명을 하다보니 길어 졌습니다. 본래는 ActiveX , Vista ,보안은 어떤 관계인가에 대해서 설명을 하고자 하였는데... 

 

가장 큰 책임의 주체는 Web을 통한 Active한 컨텐츠의 표현과 기능 구현을 위해 고안된 ActiveX 의 많은 권한 허용입니다. MS의 사상적인 기반과 관련이 있겠지만 인터넷을 통해 모든 것이 가능하게 만드는 방향성과 관련이 밀접한 기반기술중 하나 였을 것입니다. 

 

그 다음은 특정 OS에 한정된 실행 한계의 설정이라고 할 수 있습니다. [ 이 부분은 지원의 집중 차원에서 초기에는 큰 방향에서 타당성이 있다고 보입니다. ]

 

 - to be continue..

 

*보안부분과 Vista , ActiveX에 대한 내용은 길어져서 글을 분리하여 다음 포스팅에 게시 하도록 하겠습니다. 인터넷 뱅킹 , 대중성 , 보안 이 이슈로 묶이는 포스트라 상황에 대한 설명이 필요 한 부분이라 적었습니다.

 

 

Posted by 바다란

공인인증서 및 ActiveX 보안도구들에 대한 컬럼을 게재할 예정입니다.

 

쓰다보니 길어져서 두편 정도로 나뉘어 질 것 같습니다.

 

개인의 의견들이 투사 될 것이고 문제 부분들과 각 도구들이 대략적으로 어떤 역할을 하고 있는지에 대해서 설명이 될 겁니다.

 

그 외 비난하는 측에서 언급하는 SSL +OTP 조합이 그걸 막을 수 있는지도 언급 하게 될 것 같습니다.

 

현재 2/3정도 다 썼는데 빠르면 금주중 게재 합니다.

 

 

공인인증서 사용에 대한 제한을 철폐한다는 공식 입장이 나온 상태라 게으르게 쓸려다가 조금 타이트하게 빨리 쓸 예정입니다.

 

그럼 컬럼에서 뵙겠습니다.

Posted by 바다란

-zdnet 게재 컬럼 입니다.

 

생각하는 방향은 전체적으로 주욱 언급 했습니다. 기본 문제들에 대해서도..

앞으로 조금 더 강하게.. 점진적으로 강하게.. 그렇게 해야죠.

 

 

----------------------

 

빗나간 공인인증서 논란

 

 

브라우저 편향성

 

공인인증서에 대한 비난 중에 브라우저의 편향성을 지적하는 요구는 타당하다. 그러나 국내에서 유독 문제되고 있는 IE만의 문제일까?  2009년 하반기의 데이터를 종합하여 발표한 Cenzic의 자료를 살펴보면 브라우저 별 취약성 동향을 일부 유추 할 수 있다.

 

 <참고 : http://www.cenzic.com/downloads/Cenzic_AppsecTrends_Q3-Q4-2009.pdf >

 

일반적으로 국내의 많은 인터넷 이용자들은 IE를 많이 사용 한다. 그리고 비난하는 측의 초점도 공공기관 및 금융기관이 강제하여 문제가 되고 있다고 주장하기도 한다. 문제점이 많이 발견되고 치명적인 SW IE를 계속 사용하거나 ActiveX의 취약성을 이용해 더 큰 문제가 발생 할 수 있다고도 한다.   그러나 cenzic에서 내놓은 통계치에서는 다른 결과를 살펴 볼 수 있다. Firefox Chrome 그리고 iPhone에서 활용하는 Safari 브라우저에서 발생되는 문제점들도 전체 사용비율에 거의 비례하는 수준으로 나타남을 알 수가 있다. 브라우저에서 발생되는 문제점들은 직접적으로 사용자의 PC나 스마트폰에 영향을 미칠 수 있다.

 

Safari 브라우저의 취약성을 이용해 탈옥을 하지 않은 iPhone의 권한을 획득한 CanSecWest 2010 컨테스트의 결과 (링크 - http://zastita.com/index.php?det=56629)를 보더라도 앞으로의 위험요소를 예측할 수 있다. 결론적으로 브라우저 편향성을 벗어난다고 해서 문제점으로부터 벗어나는 것은 아니며 그 순간부터 또 다른 집중적인 공격의 목표가 하나 더 생기는 것뿐이라고 필자는 생각한다.

 

다양한 브라우저를 지원하고 위험성을 제거하기 위해서는 상당히 많은 노력과 지원이 필요하다. 각 브라우저들마다 지원하는 표준이 미세하게 다른 부분들이 존재하고 제작 철학조차 다른 곳들이 많다. 철학이 다르다는 이야기는 근본적인 제품 설계가 다르다는 관점이며 문제점이 생기는 부분을 다 제거 하기 위해서는 정말 많은 노력이 필요하다는 것을 의미한다. 모든 브라우저를 지원하면서도 근본적인 문제를 탐지하고 제거 할 수 있느냐 하는 점에서는 정말 회의적이라 할 수 밖에 없다. 공인인증서가 문제가 되는 부분도 특정 브라우저에 편향된 부분을 사용량의 변화에 따라 상위 2~3개 정도로 한정하여 지원을 하도록 하고 새로운 개선점들을 주기적으로 논의 하였다면 지금과 같은 논란은 생기지 않았을 것이다. 

 

국내의 환경에서 다양한 종류의 접근성 보다는 다수가 사용하는 분야에 대해 안정성을 확보하는 것이 우선일 수밖에 없음은 인정한다. 또한 영세한 보안업체의 특성상 다양한 브라우저를 지원하고 다양한 운영체제를 지원하면서 근본적인 PC나 스마트폰에 존재하는 악성코드를 제거하며 거래의 안정성을 높이는 것은 사실상 불가능에 가깝다.  다양한 운영체제는 그만큼 다른 방식의 접근을 해야 하고 별개의 개발을 진행 해야 한다. 또한 금융거래에서 피해가 발생 했을 경우 금융기관이 책임을 져야 하는 현재의 상황에서 안정성과 피해 발생 가능성을 낮추는 것이 가장 우선시 될 수 밖에 없고 그 결과 브라우저 편향성이 출현 했다고 볼 수 있다.

 

의도적인 브라우저 편향성은 아니며 PC에 대한 위험요소들이 증가하고 피해가 증가함에 따라 각 단계별 문제해결을 위해 추가적인 도구들이 필요 했을 뿐이다. 해외라고 별반 다를 것은 없다. 봇넷으로 은행계좌를 조정하는 악성코드들의 출현과 최대 2천만대의 PC를 원격 조정하여 정보를 빼내고 거래를 한 사례들은 전 세계적인 이슈라고 볼 수 있다. 뚜렷한 문제 해결 방안은 오로지 백신을 사용하는 것뿐이다. 온라인 거래의 안정성을 유지하려면 PC를 보호 할 수 있는 여러 방안을 고민 할 수 밖에 없을 것이다. 현재의 보안수준에서 해외의 인터넷 뱅킹과 상거래가 만약 국내의 상황과 같은 수준으로 활성화가 된다면 상상 이상의 피해규모를 확인 하게 될 것이다. 현재도 카드를 이용한 거래가 일반적인 해외에서 카드도용에 대한 피해사례는 너무나 일반적인 사례이다.

 

국내의 현실로 돌아오면 국내의 IT 산업 환경에서 위험들을 줄이면서 모든 브라우저를 지원하는 것은 불가능 하였을 것이다. 제한된 자원과 제한된 인력을 가지고 각 브라우저 마다 발생 되는 위협들을 제거 하고 문제를 해결 하는 것은 사실상 불가능한 영역에 속한다. 목적성을 가지고 점진적인 확대 외에는 대안이 없는 실정이다. 그러나 조금 늦은 측면은 문제가 있다고 본다.

 

ActiveX로 설치되는 보안도구

 

앞서 ActiveX로 설치되고 활성화 되는 보안도구들은 다양한 위험들을 제거하여 안정성을 확보하기 위한 목적이라고 기술 했다. 그렇다면 각 도구들의 역할은 어떻게 되어 있을까?

 

 

현재 상태에서 설치 되는 보안도구들과 금융권에서 사용되는 보안적인 기능들을 대부분 열거한 경우이다. 각 케이스마다 역할이 배분되어 있음을 볼 수 있다. 키보드 입력을 탈취하는 것을 방지하기 위한 키보드 보안 솔루션과 악성코드가 활성화 되어 있다면 제거하기 위한 백신의 역할, 비정상적인 외부 연결을 차단하기 위한 방화벽의 역할, 위조된 사이트 여부를 확인하는 피싱 방지 솔루션등 다양한 보안도구들이 각 역할을 수행하고 있다. 핵심은 PC에서 서비스로 전달되는 거래를 안전하게 보호하기 위한 것이다.

 

금융거래로 넘어가면 OTP,보안카드 외에 공인인증서를 사용 하도록 했다. 공인인증서 영역에는 별개의 악성코드를 만들어 백신에 탐지가 되지 않으며 동시에 키보드 보호 솔루션을 회피하면서 키입력을 가로채는 유형이 있어야만 키입력을 가로챌 수 있다. 키 입력 이외에도 OTP 또는 보안카드를 사용하여 추가적인 인증수단을 사용해야만 한다. 최종적으로는 공인인증서의 본인확인 기능 및 부인방지 기능을 서버의 키와 비교하는 방식으로 이루어진다.

 

절차적으로도 상당히 많고 번거롭게 느껴진다. 그러나 각 영역별로 다양한 보호 고민들이 있었으며 그 역할은 충분히 합당하다고 본다. 본래의 목적인 안전성을 기준으로 잡으면 당연한 일이라 할 수 있다.

 

공격자들의 의도를 어렵게 하고 실제 공격 발생 비율을 낮추기 위해서는 단계를 많이 거치도록 하고 여러 조건을 모두 만족해야 하는 상태로 만들어서 어려움을 주어야만 한다.

 

백신에 탐지 되지 않는 악성코드를 만들어야 하고 외부 연결은 숨겨야만 하며 키보드 입력 보호 솔루션을 우회해야만 한다. 이 조건 외에 추가적으로 OTP 혹은 보안카드의 키입력 또한 가로채야만 한다. 최종적으로 공인인증서도 탈취해야 하고 공인인증서의 패스워드까지도 별도로 탈취를 해야만 하는 상황이다. 이 정도의 노력과 실력을 가지고 충분히 다른 이득을 얻을 수 있기 때문에 공격을 하지 않는 것뿐이다. 

 

세상에 완벽한 보안이란 존재하지 않는다. 다만 발생 가능성을 줄여주고 사고가 발생 될 경우에 피해를 최소화 하는 일들이 보안의 업무라고 할 수 있다. 사고 발생 가능성을 줄이기 위해서는 공격이 어렵거나 조건이 많아 지도록 만드는 것은 기본이다.

 

 

OTP의 경우 일회적인 패스워드 사용으로 알고 있으나 현재 발견되는 문제점은 다른 위험으로 출현 할 수 있다. OTP의 경우 화면상의 계좌 정보를 실제 전송시에는 다른 계좌로 바꿔치기 할 수도 있을 것이다. 피싱 방지 솔루션이나 백신은 이런 유형의 악성코드나 코드 변조에 대해서 알려줄 수 있는 기능이 부분적으로 존재한다.  또한 최종적으로 공인인증서를 통해 전송 계좌 및 금액에 대해서 추가 확인이 가능하다. 물론 암호화된 내용으로 전달이 되어 중간에 내용을 가로챈다 하여도 특별한 의미를 가질 수는 없는 상황이다.

 

현재 논의 되고 있는 공인인증서 사용에 대한 규제 철폐 및 ActiveX를 통한 보안도구들의 설치 및 기능이 무력화 될 경우에 발생 될 수 있는 위험성은 상상이상이다. 만약 체계적이고 계층적인 대안 없이 진행 된다면 IT 서비스 산업 자체의 위험레벨은 매우 높은 수준을 계속 유지 하게 될 것이다. 대규모 금융 관련 사고가 터진다 해도 이상치 않을 것으로 본다.

 

 

SSL+OTP ?

 

공인인증서 사용에 대한 규제 철폐를 주장하는 측에서 대안으로 제시하는 것은 SSL +OTP 조합이다. 여러 기술적인 설명이야 차지하고서 보안이라는 관점에서 PC에서 발생되는 이슈를 이 단순한 조합으로 보호 할 수 있다는 것은 넌센스다.

 

 

개념적으로 각 부분별로 발생 될 수 있는 문제들을 간략하게 정리해 보았다. 기존의 보안도구를 설치하지 않는 상황과 인증서에 대한 사용이 선택으로 바뀌게 될 경우 위험 요소들은 충분히 더 있을 수 있다. 현재 간단하게 고민한 문제 부분은 위의 그림과 같다.

 

개인 PC에 설치된 악성코드들은 어떻게 해결 할 것이며 특정 은행이나 기업만을 대상으로 한 악성코드의 대응은 어떻게 할 수 있을 것인가? 또 최근 많이 발견 되고 있는 특정 사이트의 보안 수준을 인위적으로 낮추기 위해 HTML을 변조하여 화면상에 표시하는 경우 대책은 무엇인가?

 

OTP를 입력 한다 하여도 화면상의 계좌와 실제 전송되는 계좌가 다르다면 어떻게 거래 내역을 입증 할 수 있을까? 현재 나타나는 악성코드들로도 충분히 가능한 상황이다. 해외 은행의 거래정보를 탈취하는 Zeus bot의 경우 현재 미국에만 360만개의 Agent Pc가 존재한다.

(http://en.wikipedia.org/wiki/Zeus_(trojan_horse) )

키입력을 가로채는 악성코드가 몇 백만대가 기본으로 설치된 상황에서 만약 미국내의 은행에서 자유로운 타인, 타행계좌로의 입출금이 웹을 통해 가능하게 된다면 재앙을 맞이하는 것은 한 순간이다. 이제는 금융거래를 활성화 하기 위해서는 보호방안을 먼저 고려한 이후에 활성화 해야 하는 상황에 직면한 것이다.  앞으로 상당기간 국내 수준으로 활성화 되기는 어려울 것으로 보고 있다.

 

해외에서는 현재도 금융거래에서 피해가 발생 되고 있으며 향후 피해 규모는 더 확대될 것으로 본다. 2000만대의 PC를 움직인 Mariposa botnet의 경우도 금융거래 정보를 탈취하고 있으며 알려지지 않은 많은 botnet들은 지금도 열심히 각 금융기관을 이용하는 사용자 정보를 부지런히 수집하고 있다. 피해는 앞으로 당연히 더 커질 것이다.

현재 해외 금융기관의 대응수준으로 보면 피해는 더 확대될 수 밖에 없으며 금융거래의 발전과 활성화를 위해서는 PC에 일정수준의 제한을 가해야 하는 것은 필연적이라 보고 있다.

 

해외의 개인PC에 대한 피해상황과 비교하여 국내의 PC 환경도 충분히 나쁜 환경에 처해있다. PC의 권한이 탈취되고 악성코드에 의해 조정이 됨에도 불구하고 금융거래의 피해상황은 미미하다. 이 역할은 보안도구들이 일정수준의 역할을 하고 있고 최종적으로 보안카드,OTP, 공인인증서 조합에 의해 피해를 여러 단계에 걸쳐서 막기 때문에 가능하다.

 

SSL+OTP 조합을 사용 했을 경우 아래의 경우에 대책들이 있어야 한다.

 

키보드 입력 보호는 하지 않는가?

MITM(Man in the Middle attack)을 통한 거래내용의 변경을 하는 악성코드 유형은 대안 있는가?

OTP를 사용할 경우 페이지 변조 여부에 대해서 신뢰 할 수 있는가?

한 지역 혹은 ISP 단위의 침해사고가 발생하여 중간 경유 장비에서 트래픽을 전환할 경우 신뢰성을 확보할 방안은?

또한 ARP Spoofing등을 통해 위조된 주소로 접근 한다면?

DNS 변조로 인해 역시 위조된 주소로 사용자가 접근한다면?

또한 인증서를 위조한 경우에는?

(모든 케이스들이 다 발견된 사례들이다. )

 

이 경우 조작된 거래라는 것을 서비스 서버에서 알 수 있는 방법이 존재하는가? 실제 거래가 발생된 이후에도 거래를 본인이 했다는 것을 확인 할 수 있는 확실한 방안은 존재하는가? 위조되거나 잘못된 거래를 찾아내기 위해서 서비스 업체에서 할 수 있는 방법은 무엇이 있을까? 해외 카드 업계에서 하듯이 특정 장소에서만 허용이 되고 별도의 장소로 이동 했을 경우에는 위험이라고 인식을 하고 알리는 Fraud 판별 시스템을 써야 하겠지만 인터넷에서 위치가 아닌 IP기반으로 움직이는 곳에서 그게 과연 의미가 있을까를 고민해야 한다.

개인의 금융거래에도 문제가 발생 되지만 금융 서비스를 제공하는 측에서도 사실관계 확인을 위한 정보는 거의 얻을 수 없는 상태가 된다. 이 경우 문제 해결이 되지 않는 피해사례들은 속출 할 수 밖에 없다.

 

신뢰성을 기반으로 하여 안전성을 추가하는 것이 금융거래의 선결과제이다. 현재의 SSL+OTP 조합은 상당히 많은 부분에서 취약성을 가진다. 모든 것이 안전하고 치명적인 문제가 없다는 전제하에 추진 할 수 있는 것을 너무 쉽게 주장하고 있다. 현실은 그리 만만한 것이 아니다.

 

 

접근성을 확대 하려는 시도는 보편타당하다. 그러나 금융거래에 있어서는 안전성과 신뢰성이 우선이다. 대안과 방안을 마련하지 않은 상태에서의 무조건적인 접근성 강화는 치명적인 결과를 초래할 것이다. 일단 본인확인이 되지 않는 경우에는 금융거래를 제한하는 것이 필요하고 다양한 보안 방안들을 고려 해야만 한다.

 

Pc에 설치되는 악성코드들을 제거하는 공통적인 대응 방안도 없으며 유포되는 주된 경로인 웹서비스의 안정성 확보도 되지 않은 상태에서 문제인식은 너무 부족한 현실이다.

 

스마트폰에서 접근하는 웹은 웹이 아니고 다른 종류라서 안전할까? 웹서비스의 활용도는 앞으로 더 증가할 수 밖에 없다. 사용자나 공격자나 더 매력적인 내용이다.  앞으로는 웹서비스에서 아이폰용, 안드로이드용 악성코드들도 유포가 될 것이다. 당연한 일이다. 국내는 물론이고 세계적으로도 웹서비스의 변조 및 웹을 통한 데이터베이스 정보의 유출은 여전히 계속 되고 있다. 아이폰이나 안드로이드에서 보는 웹도 동일한 웹이기에 위험성도 동일하다. 거기에 금전적인 이득까지 직접 취할 수 있다면 최초 혹은 처음 발견되는 스마트폰용 악성코드들의 성지가 될 것임은 명확하다.

 

현 상태대로 제한이 철폐되고 접근성이 확대된다면 장담하건대 스마트폰용 악성코드의 출현은 매우 빨리 질 것이다. 오랜 기간 관찰해온 바에 의하면 공격자들에게 그것보다 더 유혹적인 이득은 없을 것이기 때문이다. 

 

 

현재의 인터넷 뱅킹이나 금융거래 모델이 문제점을 가지고 있는 것은 사실이나 문제점을 개선하고 발전 시켜야할 부분이지 없애야 하는 수준은 절대로 아니라고 본다. 당연히 장점을 발전 시켜서 수출을 하거나 전 세계 전자 상거래의 활성화를 위해 기여할 부분이 매우 많은 모델임에도 불구하고 하향평준화를 요구 받고 있는 현실은 어리둥절 하기만 하다.

 

현재 상태의 보안도구들도 통일된 도구들이나 공통적인 규약을 가지고 있지 않은 것은 문제라고 할 수 있다. 공통적인 모듈을 활용 하여 다른 사이트를 가더라도 공통적인 기준을 활용 하여 추가적인 설치를 최소화 하거나 비슷한 기능을 다른 브라우저나 운영체제에서도 할 수 있도록 노력을 해야 할 것이다. 그만큼의 투자는 필요하고 충분한 비용은 지급 되어야 할 것이다. 또한 공인인증서 체계의 접근성을 확대하는 것은 지속적으로 노력을 해야 시대의 변화를 따라 갈 수 있다고 본다.  점진적인 발전 모델로서 가치를 가지는 것이지 현 상태의 유지가 정답은 아닐 것이다.

 

 

 

-       바다란 세상 가장 낮은 곳의 또 다른 이름

 

ps:  

一終無終一 -  이 의미대로 살고자 합니다. 오늘 부터가 되겠죠. 두렵지만 더 큰 꿈과 열정은 항상 있었기에 이젠 다른길로..

조금 정리되면 소회를 한번 올려 볼께요.

Posted by 바다란