태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

 

외신 관련 기사 ( Google Adsense 관련된 웜 이슈)

http://news.zdnet.co.uk/security/0,1000000189,39291643,00.htm

 

http://www.bigmouthmedia.com/live/articles/googles-adsense-threatened-by-trojan.asp/4321/

 

전자신문 기사.

http://www.etnews.co.kr/news/detail.html?id=200712210129

 

바다란 입니다..

 

오랜만에 뵙습니다.

지난번 마지막 글 (http://blog.naver.com/p4ssion/50024269739 )에서 IT 서비스 보호를 위한 제안 방안에서 서비스 보호를 위해서는 전역적인 대응체제 구성이 필요하다는 의견을 드렸습니다. 그 필요성이 가장 필요한 케이스가 구글에 나타났습니다. 이른바 Service Hijacking 이라고 할 수 있겠네요.

 

개인 PC에 상존하는 웜들이 자체 전파를 하면서 Adsense를 바꿔치기하고 광고수익을 가로채는 유형인데 위의 기사에 언급 되었듯이 구글의 지대한 매출액과 순이익의 비밀에 40% 가량 기여를 하고 있는 Adsense 부분이 유명무실화될 위기에 처했다고 볼 수 있습니다. 최근에 보안업체에 의해 발견이 된 악성코드 이며 시작은 언제인지 파악하기 어렵습니다. ( 그 이야기는 그동안의 피해산정도 어렵다는 의미이며 통계화 하기도 불가능하다는 이야기와 동일합니다.)

 

IT 서비스 기업에서 가장 중요한 부분은 신뢰성입니다. A B간의 관계에 신뢰성이 존재하여야 거래가 이루어 지는데 이 신뢰 자체가 깨어지게 된 것이죠. 기업과 서비스 간에 있어서 그 동안의 보호의 개념이 자사의 서비스에 대한 보호 관점에서 사용자의 PC에 대한 보호 관점으로 옮겨 갈 수 밖에 없다고 하였고 국내는 이미 2005년 말 게임 부분에 대해 게임에 대한 악성코드를 제거하는 전용백신 및 다양한 온라인 보안 서비스들이 부가 되면서 시작 되었으나 해외 부분은 전혀 그렇지 못했습니다.

 

위의 이미지는 올해 9월의 Item 거래 업체에 대한 DDos 공격 이후에 개념도를 확장한 내용입니다. 개별 서비스 단위까지 영향을 미칠 수 있고 조금만 더 생각을 해보면 구글과 같은 모델에 대해서는 손쉽게 공격이 가능합니다. 국내를 공격한 조직 정도의 기술레벨이라면 충분히 더 큰 규모를 노릴 수도 있는 것이 정답입니다.

최종 단계에서 보듯이 사용자에게 유포된 악성코드를 이용하여 국내에서는 DDos  공격에 이용하였지만 이 내용만 Adsense의 내용으로 바꾸면 될 문제입니다. 그리 어렵지 않게 전환이 가능합니다.

 

 

IT 서비스 부분에 있어서 Security 관련된 위협이 회사의 명운을 걸 정도로 치명적이다라는 것을 인지 못했다고 보는 것이 정확할 것입니다. 나름대로 보안 부서를 정리하고 신규로 만들면서 다양한 서비스 부분에 대해서 구글은 노력했으나 이제는 전방위적인 노력을 해야 할 것 같습니다. 그렇지 않다면 구글의 서비스 모델 자체가 무너질 수도 있는 위기라고 할 수 있을 것 같습니다.

 

아래의 이미지는 공격자들의 기술 발전 좌표입니다. 최근에 제가 갱신한 내용입니다. 이제는 웹을 통한 자동화된 유포 단계에 까지 이어져 있습니다. 아직 구글의 사례가 어떤 케이스인지 정확한 분석은 안되었으나 기사에 나온 현황들로만 유추해 볼때 아직까지 최종 단계까지는 인식을 못하는 것으로 보입니다.

 

 

최근의 동향은 공격자들의 기술수준도 매우 높아졌습니다. 자동화된 도구에 특정 서비스에 특화된 공격들도 함께 붙여진 상태이며 위험 수위가 높다고 할 수 있습니다.

 

앞으로의 구글의 대응은 어떻게 될까요?.

예상하자면.. ( 구글이 살기 위해서라면 )  온라인 보안 서비스(Adsense를 위협하는 악성코드의 제거) 도입 또는 무료백신 서비스의 전세계적인 확장 이외에는 대안이 없을 것입니다.  구글팩에 이미 백신이 포함 되어 있지만 이것은 사용자의 편의를 위한 것이고 이제는 서비스의 생존을 위해서 필요한 부분입니다.

 

이미 발전 방향으로 보았을때 지난해 부터 예견이 된 문제이고 이제서야 나타난 것 뿐입니다.

 

IT 서비스는 불완전 합니다. 다만 완전에 가까울 수 있도록 지속적인 노력을 꾸준하게 하여야만 합니다.

이것을 하기 위해서는 현상에 대한 지속적인 관찰과 예상을 통해 작은 단서를 통해 향후 나타날 수 있는 Risk를 예상 할 수 있어야 하고 조기에 준비를 하여야만 합니다. 그렇지 않으면 세계적인 서비스는 위험에 처할 수 밖에 없습니다.

 

전 세계적으로 기술적인 보안과 Provisioning이 중요시 되고 방향성이 제시 되지 않는 IT 서비스 기업의 생존은 앞으로 험난할 것입니다.

 

 

이미 예견된 문제입니다. 벌써 예견이 된 문제..

 이제는 국내의 무료백신 경쟁과는 관계없이 세계적인 모델이 먼저 나올 것 같군요.

 

 

보안업체의 생존은 고민들 많이 하시겠지만 서비스별로 특화된 방안을 가져 가야만 할 것입니다. 특화하기 위해서는 정보 수집과 연구에 많은 노력이 있어야 되겠지요.  그동안 새로운 접근에 대한 사고와 노력이 부족하여 앞으로 상당기간 어려움이 있을 것 같습니다. 국내업체뿐 아니라 전 세계 보안업체 모두 새로운 위협에 대한 대응은 여전히 인지단계라고 볼 수 밖에 없을 것 같습니다.

 

 좋은 연말연시 되십시요.

 

* 앞으로 언제까지가 될지 모르겠으나 블로그에 많은 포스팅을 하게 될 것 같습니다. 생각 나는대로 올릴 수 있도록 하겠습니다.

 

 

Posted by 바다란

댓글을 달아 주세요

바다란입니다.

 

8월이 다 가고 있습니다. 시간은 흐르고 issue도 변화하고 있습니다. 그러나 올해 초에 예상 했던 근본 취지에서는 아직 벗어나지 않고 있습니다. 주요 이슈는 무엇이고 지금에 발생 하고 있는 세계적인 이슈들과 어떤 관계가 있을까요?

 

 

 

올해 초에 Web 2.0 관련된 보안 이슈들을 전망하고 향후 예측을 한 큰 주제는 네 가지 입니다. 한 가지 더 세계적인 추세(?)라고도 볼 수 있는데 정보 유출의 수단으로 Office 계열의  문서에 Zeroday 공격코드를 심은 사회공학적인 해킹의 증가도 추가 할 수 있겠습니다. 물론 Application에 대한 공격 증가로 포함 시킬 수 있는 범주이지만..~ 

 

1. Application에 대한 공격 증가

2. Ubiquitous Attack

3. 특정 서비스에에 대한 공격

4. Various platform attack

 

위의 네 가지 이슈를 향후에도 지속될 위협이라고 전망 하였습니다. 가장 큰 이슈는 Application에 대한 공격의 일반화 라고 할 수 있습니다. 다양한 플랫폼을 공격하는 유형도 Application이 그 중심에 있기에 가능한 것입니다. 또한 Application은 특정 서비스에 종속 되는 형태이고 유/무선을 가리지 않고 발생 하므로 Ubiquitous Attack이 됩니다.

 

크게 Application Attack과 관련하여 나타난 큰 흐름은 IE에 대한 공격 ( 사용자 정보 유출을 위한 트로이 목마기능 - BHO 사용),Zeroday 악성코드가 포함된 MS Office Attack, Opera에 대한 공격( Apple)을 들 수 있습니다. Opera의 경우에는 유무선 장비에서 사용이 되도록 되어 있어서 iPhone은 물론 Mac까지도 관통하는 Application이라 할 수 있습니다. Virus의 경우에도 Application의 취약성을 이용한 바이러스도 증가를 하고 있습니다. 무차별적인 유포를 위한 바이러스가 아닌 특정 대상에만 한정된 특화된 Zeroday attack을 시도하고 있습니다.

 

 

##########1*

<source kaspersky lab>

 

그렇다면 최근 기사화된 내용을 보면서 살펴볼까요?

 

http://www.etnews.co.kr/news/sokbo_detail.html?id=200708240054

 

몬스터 닷컴의 개인정보가 유출 되었다는 기사입니다. 기사에는 자세히 나오지 않았지만 사후 대응의 한계를 느낄 수 있는 기사입니다. 여기에 나오는 트로이 목마 바이러스 유형은 알려진 바이러스 유형이 아닐 것입니다. 추측성 기사로 임원의 로그인 정보를 알아내어서 내부를 유출 하였다고 하나 전체적인 측면으로 보면 몬스터 닷컴의 해킹 가능성 및 BHO (Browser Helper Object) 와 같은 유형의 IE Plugin 형식으로 메모리 상의 키입력 값을 가로챘을 가능성이 높습니다. 또 한가지 가능성은 Office 계열의 문서에 악성코드( 대부분 Zeroday)를 넣어서 특정 대상자들에게만 받도록 하고 원격에서 컨트롤 하도록 하였을 수도 있습니다.  이 경우에는 몬스터 닷컴의 운영진들이 단체 메일을 받았을 가능성이 높습니다.

 

 

http://news.kbs.co.kr/article/world/200708/20070826/1414392.html

 

독일의 주요 정부부처의 PC에서 악성코드가 발견 되었다는 내용입니다. 물론 초기 발견도 매우 어려웠을 것으로 예상 됩니다. 최근의 악성코드는 운영체제와 하드코어한 형태의 결합이 이루어 지는 형태라서 발견 하기가 매우 어렵습니다. 국가간에 이루어지는 집중적인 첩보전이 이제는 일반적으로 사이버 상에서 이루어 집니다. 모든 문서및 정보들은 파일 형태 혹은 data의 형태로 컴퓨터에 보관 되고 있어서 더욱 집중적인 공격의 대상이 됩니다. 물론 전자정부 비율이 매우 높은 대한민국의 경우에도 상상하기 힘들 정도의 위협에 시달리고 있다고 보는 것이 정답일 것입니다. 이 경우에도 zeroday 악성코드 (Office 계열 - Word ,ppt , excel )를  통한 특정 대상자 침입과 확산이 이루어 졌을 것으로 보입니다. 기사화가 될 정도라면 매우 많은 수의 위험 시그널이 있었다는 것이죠. 물론 이면에 보이지 않는 침입과 사실은 엄연히 많을 것입니다. 드러나는 것은 거대 빙산의 아주 조그마한 꼭지 정도일뿐.

 

 

해외의 경우에도 SSL을 이용한 전송 단계의 암호화는 신경을 씁니다만.. 하드웨어 인터럽트와 BHO 영역의 보호에는 미비한 것이 사실입니다. 또한 백신의 경우에도 발견된 단계에서 처리를 할 수 밖에 없음에 따라 알려진 유형 이외에는 처리가 안됩니다. Heuristic method (경험적인 위험요소 진단)의 경우에도 오진 발생 가능성 및 신규 유형에는 무기력한 면이 있습니다. 머지 않아 해외에서도 키입력의 보호와 사용자의 정보 유출 방지를 위해 다른 방안들이 많이 출현하겠죠. ( 생체인식과 같은 부분이 아마 활발한 것도 유사한 위험인식 때문일 것 같습니다.)

 

그리고 특정 대상에게만 현혹할 만한 문구의 Office 문서를 전달 할 경우의 성공률은 매우 높은데 이런 경우에 대한 처리는 공개적으로 발생하는 상황이 아니며 제한적으로 발견 되는 상황이여서 백신을 통한 대응은 상당히 어려운 측면에 들어 갈 수 밖에 없습니다. 샘플 수집이 안되는 한 AV 벤더에서의 처리는 불가능한 상황입니다.

 

 

http://www.etnews.co.kr/news/sokbo_detail.html?id=200708270151

 

iphone에 대한 해킹도 현재 세계적으로 이슈화가 되고 있는데 이 부분은 code reversing과 관련된 내용이라 할 수 있습니다. iphone을 구동하는 OS 및 Application에 대해 다양한 보호조치가 취해졌을 것이나 이 보호 단계를 깨고 리버싱을 한 이후 코드를 조작하는 기법들을 통해 특정 기능의 변경이 이루어 지도록 한 것이죠. 여기에서는 AT&T의 통신망 과 제한적으로 연결 되도록 한 부분을 다른 통신망과도 연결이 되도록 구조를 바꾼 것이라 할 수 있습니다. 조금 더 보면 일단 AT&T와 제한을 하는 부분을 깨고 그 이후에 인증 및 다른 여러가지 요소를 받아야만 가동되도록 하는 부분을 무력화 시켰을 것으로 보입니다. 일정 수준 이상의 능력자들에게 시간만 주어진다면 가능한 일이라 할 수 있습니다. Application에 대한 분석과 공격은 계속 됩니다. 그리고 플랫폼을 넘나드는 공격은 Application을 통해 손쉽게 이루어 질 것입니다.

 

8월에 발생된 주요한 World wide issue는 이 정도 선에서 정리가 될 수 있을 것 같습니다. Application에 대한 Attack이 치밀해 졌고 Zeroday 악성코드를 이용한 사회공학적 (Fake)인 해킹이 국가단위에 까지도 영향을 미치는 정보전으로 격상이 되었으며 세계적인 이슈가 되고 있는 상황입니다. 서비스 부분에 미치는 영향은 말할 것도 없구요. ^^;  물론 앞으로도 지속 됩니다. 계속

 

앞서 말씀 드린 4가지 주요 이슈는 앞으로도 지속될 것입니다. Application에 대한 공격은 향후 더 치밀해 지고 더 적극적으로 나타날 것이고 종래에는 전체 IT 서비스의 방향성을 조금씩 바꿔 나갈 수도 있을 것 입니다. 조금 더 강해지고 조금 더 악랄해 지고...

 

대안은?.. 글쎄요.

꾸준한 노력과 신경질적이라고도 할 수 있는 체계의 구축과 모니터링, 집요함, 인내, 노련한 전문가  정도로 축약이 됩니다만. 정리 하고픈 생각이 든다면 전체적인 방안을 정리해 보도록 하겠습니다.

 

좋은 삶 되십시요.

 

- p4ssionable security explorer 바다란

Posted by 바다란

댓글을 달아 주세요

2009년 4월에 기고한 Facebook과 Twitter의 문제점 들입니다. 그때 당시만 해도 국내에서는 아직 인지도가 떨어질 때였고 사건 사고의 심각성도 모를때 였습니다만 이제는 사용 하시는 많은 분들이 아실 것 같습니다. 이 문제들도 한번쯤 읽어 보시기 바랍니다.

 

Small world Security (Koobface, Mikeyy )  - zdnet 컬럼 바다란.

 

Internet Security의 변화는 지금의 시대에 이르러 완연하게 전환점에 도달해 있다.

기술의 발전과 도구의 개념에서 필수적인 매체로 전환됨에 따라 더욱 밀접하게 사회와 그리고 개개의 인간과 연관성을 지니고 있다. 더불어 취약성과 공격이라는 관점도 변화를 역력하게 보여주고 있다.

 

Internet이라는 개념은 이제 생활의 도구에서 필수적인 요소로 완전하게 자리매김을 하고 있는 상황이며 그 중에서도 Social Network Service 영역은 국내는 물론 전 세계적으로 가장 큰 흐름을 보이고 있는 부분이다.

 

Small World Theory는 케빈베이컨의 6단계를 의미한다. 사람과 사람 사이의 관계에서는 6단계만 거쳤을 때 모르는 사람이 없다는 내용이며 Small world라는 개념으로 이야기 하기도 한다. 마케팅 및 Social Network Service 영역의 기본 바탕이 되는 개념이고 국내의 많은 사이트들과 세계적인 흥행을 하고 있는 여러 서비스들의 기본적인 이해와 연관이 있다. Small World Security는 어떤 관련이 있을까? 관계로 맺어진 Service Network는 과연 안전한가 하는 질문과 함께 가볍게 시작한다.

 

Twitter(www.twitter.com) Facebook(www.facebook.com) 유형의 서비스는 전 세계적인 반향을 얻고 있는 서비스라 할 수 있다.  공격은 항상 가장 많은 반응을 얻을 수 있는 부분에 집중이 된다. 4월에 외신에서 언급된 두 SNS 사이트에서 발생된 이슈들은 한번쯤 심각하게 언급이 되어야만 하는 이슈이다.

 

그럼 어떤 일들이 있었을까?  드러난 사실만을 가지고 분석과 유추를 해본다.

 

먼저 Koobface Facebook에서 발생된 Malware를 의미하고 이 악성코드는 지독하게도 Facebook과 유저를 괴롭혀왔다.  단순하게 Facebook이 지닌 구조를 이용하여 Friend List등에 악성코드를 설치하는 링크를 가진 여러 유형의 메시지를 전달한다.  당연히 무작위적인 스팸보다는 성공률이 높다. 악성코드를 설치하는 링크를 순수하게 Facebook Friend List 구조 (쉽게는 국내의 SNS 1촌관계를 의미)를 이용하여 메시지를 전달함으로 인해 성공률이 높아진 것이다. 또한 다운로드의 경우는 Adobe Flash를 가장하여 설치를 하도록 유도함으로써 악성코드 설치 성공률을 대폭 늘린 케이스다.

3월에 이르러 Facebook은 다른 대응 방안을 모색한다. Koobface라 이름 붙여진 웜의 경우는 다운로드를 통해 사용자의 PC에 설치가 되며 사용자의 정보유출은 물론 Botnet을 구성하는 하나의 좀비 PC로도 활용이 가능한 유형이였고 전파 유형도 구조를 이용하여 지속적인 스팸과 메시지를 보냄으로 인해 기업의 비용도 높아 졌을 것이다. 확산의 속도도 굉장히 빨랐을 것은 명확하다. 개별 소스코드의 수정을 통해서는 이미 설치된 웜에 대해서 대응 하기가 어렵고 Friend List를 이용하는 방안을 수정한다 하여도 공개된 부분인 만큼 분석을 통해 새로운 변형들이 지속적으로 출현 할 수 밖에 없는 상황이였을 것이다.

 

<koobface 웜을 설치하는 다운로드 경로를 지닌 메시지 >

 

구조를 이용한 확산과 신뢰관계를 기반한 악성코드의 확산은 대규모 Botnet의 구성과 정보의 유출이라는 상황에 직면 할 수 밖에 없게된 Facebook은 최근 몇년간 활발하게 Anti Virus 영역에 진출하고 있는 Microsoft와 협력하여 악성코드에 대한 대응을 시도하게 된다. 그 결과는 2주 동안 20만회의 Koobface웜 설치 시도를 133600 여대의 PC에서 탐지하고 제거하게 된다. ( ref: http://news.cnet.com/8301-1009_3-10210376-83.html ) 또한 탐지된 변형만도 100여 종에 이르고 있어서 추가적인 내용은 더 크게 나타날 것으로 보인다.

 

 

속임수라 부를 수 있는 사회적 공학기법 (Adobe Flash 설치로 위장한 점과 흥미를 유발하는 메시지 관점)과 관계를 이용한 설치 경로 제공은 특정 서비스에 국한될 수 밖에 없는 문제를 가지고 있지만 대규모 사용자를 가지고 있는 서비스의 경우에는 특정 서비스에 국한 되더라도 충분한 효과를 가지고 있음을 보이는 것이다.

 

서비스와 연관된 공격은 사실 이 경우가 처음은 아니며 구글에서 운영하는 Orkut의 경우에도 이미 관련된 사례가 존재하고 있다.

(http://blog.naver.com/p4ssion/50026431192 )

 

Koobface 이슈를 보며 이제는 서비스에 국한된 웜이나 악성코드의 경우에도 전역적인 대응이 가능한 매개체 ( Anti virus 업체도 매개체 중의 하나이다.)를 이용하여 대응을 해야 할 정도로 난이도가 있고 서비스업체 자체적으로 처리 하기에는 어려움이 많아짐을 보이고 있다.

 

Mikeyy” 라는 이름은 Michael Moony라는 17세 소년의 애칭으로 볼 수 있다. 이 이름은 최근 몇 주간을 Micro Blogging 서비스로 유명한 Twitter 4월을 시끄럽게 만들었다.

Twitter( Micro Blogging 서비스)를 시끄럽게 했던 이슈는 XSS ( Cross site scripting ) 취약성을 이용한 Application Worm 이라 할 수 있다.

( ref: http://blogs.zdnet.com/security/?p=3125  )

17세 소년은 Twitter에게 문제를 해결 할 수 있도록 제안하는 어떤 통로도 발견 할 수 없었고 문제에 대한 의견을 받은 적이 없어서 어쩔 수 없이 이런 행위를 할 수 밖에 없다는 정당성을 주장하기도 하였지만 피해를 입힌 것은 분명하여 어려움이 있을 것으로 예상 하였다. 그러나 전체적으로 악의성은 적으며 취약성을 알리고자 한 목적이 주된 목적이라는 것이 어느 정도 감안이 되는 방향으로 인식이 되는 것으로 보인다. 문제 해결에 대한 반응이 없을 때마다 추가적인 공격을 시도하고 그 이후 일정수준에서 종료를 하는 방식으로 ( 종료는 중간에 반드시 참고를 하도록 되어 있는 링크를 제거하는 형태로 이루어졌다. ) 이슈화를 시켜 반응을 이끌어낸 점은 분명히 있다.

 

4.17일에 추가된 소식은 4~5가지의 변형을 이용한 XSS 취약성 공격을 직접 보고 능력을 인정한 ExqSoft라는 이름의 Web application 개발 회사에서 Security 담당으로 채용을 했다는 것으로 전해진다.

 

문제의 이슈는 관계형 네트워크 서비스의 장점을 이용하여 악성코드도 충분히 심각한 피해를 입힐 수 있다는 점이고 공격자가 사용한 XSS 공격코드가 만약 악성코드를 다운로드 하거나 설치하는 유형 이라면 심각한 피해를 일으킬 수 있었음을 의미하기도 한다.

 

공격의 출발은 아주 작은 부분에서부터 시작하여 급격하게 확산하는 과정을 거치는 것이 Service Application을 공격하는 유형이다. Twitter worm의 시작은 초기 4개의 계정에서 출발한 것으로 알려진다.  4개의 계정도 공격자가 생성한 계정이며 이 계정에는 외부 링크를 포함하고 있던 것으로 확인된다. 새로 개설한 계정정보를 확인하는 다른 사용자들에게 자동으로 감염을 시키며 외부 링크에 존재하는 스크립트 파일은 또 다시 감염된 사용자의 Twitter 계정정보를 이용하여 profile을 변조하고 사용자의 전체 Friend list에 대해 스팸유형의 메시지를 대량으로 발송하는 것을 반복하도록 코딩이 되어 있다.

 

이 중에는 아래와 같은 특정 사이트 링크로 사용자의 Profile을 변경한 유형을 직접 살펴 볼 수 있다. 아마 1주일만 있었어도 전체 Twitter 사용자의 상당수가 피해를 입었을 것으로 볼 수가 있다. 더불어 악의적인 행위를 하고 악성코드의 전파를 위한 방식을 좀 더 koobface와 같이 교묘하게 하였다면 더 심각한 피해는 불을 보듯 뻔한 사례이다.

 

 

< Twitter worm 에서 변조한 Twitter 사용자의 Profile>

 

이미 2007년의 Myspace웜의 경우에도 발생 하였고 Google의 서비스에서도 발생하였으며 Yahoo, AOL 등과 같은 연관 관계가 있는 서비스 및 Social Network Service를 주력으로 삼고 있는 서비스 기업에는 모두가 수 차례씩 경험이 있을 것이다. Twitter에서 발생한 이슈의 경우는 심각하게 변화하기 이전에 이슈화만을 목적으로 진행한 것이며 개인 PC 및 여러 서비스 부분에 매우 심각한 영향은 존재하지 않았으나 위험성은 충분히 확인된다.

 

 

Small world는 인간 세상의 온라인화를 명확하게 보여주고 있다. 인간의 관계의 측면은 서비스의 프로그래밍적인 구성으로 연결이 되고 있고 이와 같은 구조는 그리 어렵지 않게 파악이 가능하다. Web을 이용한 구성은 접근성의 확대와 서비스의 세계화에 기여하지만 그 구성의 기본을 파악하는 것과 구조를 이해하는 것은 어렵지 않다.

공격자들의 기본은 항상 적은 노력으로 많은 효과를 얻는 곳을 중점적으로 노린다. 운영체제에 대한 일방적인 Worm 유형으로 공격을 하였다면 이제는 보다 더 대상을 구체화 하고 확산효과를 확실히 볼 수 있는 SNS 와 같은 유형으로도 손쉽게 확대된다.

 

최종적으로 올해 4월에 발생된 두 가지 정도의 이슈에서 살펴봐야 할 점은 몇 가지 정도가 존재한다..

 

-      Application에 대한 공격은 개별 Application에 대한 공격을 넘어서 특정 사이트에서 구성하고 있는 논리적인 구조에 대한 공격도 이제는 일반적인 유형이며 대응을 위해 Anti Virus 솔루션까지도 동원을 하여야만 가능한 범주에 들어섰다는 점이다.  이 점은 Facebook에서 발생된 악성코드 전파 유형이 Facebook 자체의 Web Application Logic을 이용하여 전파되고 확산되는 유형을 가지고 있으며 더불어 시스템에 피해를 끼치는 유형까지도 동시에 확산이 되었다는 점이다.  즉 확산속도는 Small world Theory에 걸맞게 급속 확산이 되고 더불어 개인PC를 완벽히 제어하는 악성코드까지 설치 됨으로 인해 피해는 심각한 상황이 된다.

 

-      특정 기업이나 서비스에 특화된 확산 방식을 보임으로 인해 지금까지 출현한 형태 보다 난이도 및 피해가 심각한 유형이 발생될 경우 특정 서비스의 몰락을 매우 손쉽게 가져 올 수 있다는 점이다. 기업측면에서는 서비스에 특화된 보호대책을 반드시 강구해야만 하고 초기 단계에 발견과 대응이 가능한 구조적인 조직과 인력을 유지해야만 한다는 점이다. 새로운 부담으로 다가올 수 있다.

 

-      현재 보다는 악성코드의 결합유형을 보았을 때 향후에는 여러 서비스를 동시에 공격하고 전파하는 Application 차원의 Fusion Worm도 멀지 않아 확인이 가능할 것으로 보인다.

 

 

생소한 내용으로 보일 수 있지만 피해는 개인 사용자에게 직접적으로 다가온다는 점이며 개인 사용자의 관점은 국내와 국외를 가리지 않는다. 국내 서비스에 대한 공격도 만약 이득을 취할 수 있다면 언제든 발생이 가능한 부분이다. 메신저를 이용한 메시지나 악성코드 설치 유형도 동일 관점에서 볼 수 있다. 다만 Web Application의 논리적 구조를 이용한 공격의 경우는 개인 PC외에도 Web Service 상에서도 살아서 그대로 존재하고 있어서 계속 되는 것이 다를 뿐이고 개인 PC 차원의 대응 외에도 서비스 기업 자체의 대응도 있어야만 해결이 된다. 문제의 해결을 위해서는 좀 더 체계적이고 협력적인 관계가 요구 될 수 밖에 없다.

 

국내의 현실은 본 글에서 언급한 Application Attack에 대한 관점보다 더 심각한 상황이지만 어디에서도 언급을 하지 않는다. 아니 전체 인터넷 서비스에 대해 논의가 되지 않는다. 경쟁력과 가능성을 지니고 있음에도 불구하고 애써 외면 당하는 현실이 안타깝기만 하다. Security라는 관점에서 현재의 문제점을 한번쯤 고민 해야만 할 것이다.

 

무형의 가치가 더 중요한 의미를 지니고 있는 시대에 유형의 가치만을 보려고 하는자 얼마나 어리석은가!

 

Internet은 넓으면서도 얼마나 작은 세상 이던가!

 

바다란 세상 가장 낮은 곳의 또 다른 이름 ( http://p4ssion.pe.kr )

 

   

Posted by 바다란

댓글을 달아 주세요


해킹 분야의 전환점은 항상 말했듯이.. 이제는 전문화 고급화 에이전트화 입니다.
개별단위의 해킹이 아니라...웜과 같은 이슈가 가장 큰 이벤트를 만들 것입니다.

RPC 취약성은 매우 큰 취약성이여서 개인적으로도 이에대한 권고나 공개문서를 만들기도 했지만 ISS에서도 동일하게 취급을 하였군요.
로버트 그래험의 의견은 GPRS와 VOIP 에 다음 단계의 위험이 있다고 하지만 저는 국내 환경에서는 좀 더 다른 일들이 있을 것으로 보고 있습니다.
유비쿼터스 환경에서 가정의 자동화 , 생활의 자동화 ,교통의 자동화가 진행될 수록 이 분야에 대한 위협은 증가하게 될 것이고 이제는 예전의 웜과 같이 인터넷의 마비가 아닌 일상생활에 치명적인 영향을 주게 될 것입니다.

해커의 수준면에 대해서는 수준이 높아진 것이라기 보다는 환경의 변화가 그들의 능력을 손쉽게 적용할 수 있는 형태로 만들었다고 봅니다. 지금의 환경에서 Bot 계열의 웜이 많은 것도.. 그 만큼 개발지식이 오픈이 되었고 소스코드가 공개가 되어 있으며 또한 손쉽게 공격코드를 추가할 수 있는 형태로 되어 있기 때문에 예전처럼 아주 소수의 전문가 만이 공격코드를 이해하고 추가하는 범위에서 좀 더 폭 넓은 다수의 프로그램 개발과 보안분야의 지식을 이해하는 사람들로 범위가 넓혀 진것이 확대의 관건이고 앞으로는 더욱 자동화된 매커니즘을 지닌 공격으로 전환이 될 것입니다.
인터넷의 확산과 구석구석 미치는 영역이 넓어짐에 따라 당연히 발생할 현상이였고 앞으로는 보안분야에 있는다는 것이 무엇보다도 심한 스트레스를 일으키는 날들이 많이 있을 것입니다. 해야 할 것은 많고 부담은 많은데 그만큼 댓가는 없는 의욕저하 현상이 다반사 일지도... ㅠ,ㅠ


베이글이나 마이둠과 같이 웜 바이러스의 변형은 매우 쉽게 만들 수 있고 이런 변형에 대한 대응은 전세계의 보안회사들 각자가 대응을 하고 있습니다. 한명이 수천명의 전문가를 데리고 노는 듯한 사태가 계속 벌어지고 있는 것이죠. 이런 관점은 보안분야의 협력이 동반되지 않는한 계속 심화될 현상이고 개인에 의해 끌려다니는 문제는 계속 발견이 될 것입니다.

앞으로 국내의 환경을 예측해 발생 가능한 위험을 예측해 보면 일단은 Application단위의 위험이 증가할 것입니다. 특히 웹 Application을 이용해 서비스를 제공하는 회사에 Client 단위의 위험을 주는 요소가 상당부분 증가하여 직접적인 피해를 입힐 것이고 무선에 관련된 의미있는 보안 위협도 출현할 가능성이 높다고 봅니다. 국내의 산업은 일정정도의 보안 수준은 만족을 하고 있지만 공격자들의 지식 진보 수준을 볼때 그 차이가 점점 벌어지고 있습니다.
이런 이야기는 앞으로 치명적인 위험이 출현할 가능성이 높다는 것을 이야기 합니다.

웹상에 존재하는 게시판이나 게시물을 통해 다른 게시판으로 전염이 되는 형태의 새로운 유형의 공격이 출현할 수 있다고 봅니다. 대개의 웹관련 App ( cyworld , 블로그 , msn hompy ...) 등이 사용자 ID에 의한 혹은 고유 번호에 의한 게시물 관리나 계정 관리를 하고 있으므로 자동적으로 전파를 하도록 하는 것이 가능할 것으로 보입니다. 물론 예상입니다.

그 다음은 국가 기반시설에 대한 직접적인 공격 발생이 일어날 수 있고 무선관련된 큼직한 이슈가 발생할 수 있다고 봅니다.

현재까지는 시한폭탄인 것이 무선관련된 이슈인데 아직 중요한 사건들이 발생하지 않았기 때문입니다. 유비쿼터스와 관련하여 PDA와 점차 PC화 되어가는 휴대폰도 예외가 될 수없죠. 기존의 바이러스와는 또 다른 형태의 위험요소가 발생 될 수 있으리라 봅니다.

모든 것은 예측이고 예상입니다. 발생가능성이 있는 예측이죠.


바이러스와 보안 분야의 개념상의 일대전환기는 2001년에 발생했던 Codered 입니다. 그 이후에 폭발적으로 증가를 했고 그게 빠른 시간내에 일반화 됐었죠.. 그리고 지금까지 내려오고 있습니다. 전파방식은 바이러스의 형태이고 공격방식은 해킹을 띄는 그런 유형.. 지금은 혼합이 되어 있습니다. 바이러스 방식의 공격과 해킹 방식 그리고 전파유형까지도 혼재되어 있어서 Fusion 화된 공격이 일반적으로 발생합니다. 방화벽은 그냥 기본인 장비가 되었고 IPS도 발전 속도를 따라잡지 못하고 항상 문제 발생 이후에야 대비를 할 수가 있습니다.
그리고 이제 Application으로 진화를 하고 있습니다. 그 속도는 충분히 눈에 보일 정도나 다른 일을 하다보면 어느새 저만큼 나아가고 있는 것을 확인 할 수 있죠.

우리는 무엇을 준비하고 해야 할까요?
고민스러운 날들입니다.
모든 분야에 동일한 이슈가 있겠으나 IT.. 특히 보안 분야는 전세계를 대상으로 경쟁을 하는 것이다 보니 그만큼 피로도가 높을 수 밖에 .. 노력을 할 여지도 없이 이것저것 일에 적은 인력이 투입 되어야 하고 그 인력은 재충전을 하지 못하니 많은 부분에서 떨어지는 그런 상태가 되고 있습니다. 그렇다고 신규인력이 계속 충원이 되는 것도 아니고...

자..이제 보안회사들도 고민을 해야할 시점이 다가오고 있고 인력들도 마찬가지 입니다. 물론 일이 생긴 뒤에 고민해야 늦겠죠. 누가 어떤 선택을 할까요?

ISS와 같은 돈많고 여유있는 회사의 경우에도 앞으로는 뾰족한 대책없이 흘러갈 뿐입니다. 시만텍도 마찬가지이고..국내의 회사들도 그렇겠죠...~..

사견이였습니다. - 바다란

 

 

-------------------------

위에 글을 언제 썼을까요?.. 어디 사이트를 오랜만에 가다보니 예전에 썼던 글이 있네요.  정확하게는 2004년 11월 5일에 쓴 글입니다. 3년전에 쓴 글인데 지금 어디쯤 와있을까요? 또 위에서 제가 언급한 내용들은 얼마나 진전 되었을까요?

 

아직 진행중인 것들도 있고 제가 일선에서 겪은 것들도 있습니다. 아직 위에 쓴 글에 포함된 내용의 끝을 보지는 못했습니다만 계속 발생됩니다.  진하게 표시하거나 색으로 표시한 부분을 보시면 됩니다.

 

돌아보고 생각을 하면 Application에 대한 Attack은 지금 일반화 되어 있고 국내의 많은 서비스들이 피해를 입고 있고 지금도 피해를 당하고 있습니다. 공격자들의 진보도 눈에 띄고요. 한명이 전 세계 전문가 수천명 이상을 데리고 노는 경우도 심심치 않게 발생 됩니다. ( 최근 바이러스 동향을 보세요.) 그리고 지난해와 올해에 있었던 Myspace, Yahoo에 대한 기사들을 보십시요. -> 본 블로그에 올린 최근 위험 동향에서도 언급이 되어 있습니다. 바로 이전 글.. 

Iphone에 대한 해킹도 보시면 됩니다. Opera 브라우저에 생긴 문제는 Mac , iPhone , ipaq을 관통하는 문제입니다. ( 최근에 나온 Libtiff Overflow를 통한 iphone 해킹도 Application attack과 동일한 경우임) 

 올해 3월의 Ani cursor 관련된 취약성은 모든 윈도우 플랫폼을 관통하는 문제입니다. 유선이든 무선이든 공용으로 사용하는 Application에 발생된 문제이고 권한 획득이 가능하죠. PDA이든 Settop box 이든 PC든 간에 말입니다.

 

앞으로는 어찌될까요?

3년전의 예상을 읽어 보면서 씁쓸함이 드는 것은 벌판에 선 외로움 때문이 아닐까 싶습니다.

 

지금은 어디에 있고 또 앞으로는 어디로 갈까요?  내 열정은 또 어디에....

 

위의 예상글은 2004년 11월에 해커스랩 게시판에 올린 글입니다. 물론 독자의견으로 ^^ 

http://www.hackerslab.org/korg/view.fhz?menu=news&no=2030

Posted by 바다란

댓글을 달아 주세요

바다란입니다. 오랜만에 뵙습니다.

 

* 디지털 액자에 숨겨진 악성코드가 사진 변경이나 추가를 위해 직접 연결되는 PC에 감염을 시키는 유형의 출현

<imgref: http://www.techgadgets.in/images/bestbuy-frame-infected.jpg >

 

 

악성코드 유포의 새로운 유형이 출현 하였습니다.

디지털 액자를 통한 악성코드의 유포 유형인데 해외 언론에서도 특이함에 주목을 하고 있지만 다른 관점에서 보아야 할 이슈들이 있습니다. 한국내의 현실에서는 그다지 새로울 것이 없는 유형이지만 시사하는 점이 여럿 존재하고 있습니다. 악성코드의 유형은 온라인 게임(특히 MMO- 아마 WoW가 아닐까 예상 됩니다.)의 계정정보를 유출하기 위한 형태이지만 근래에 발견되는 악성코드의 특징대로 사용자의 모든 개인정보에 대한 유출이 가능한 형태라 할 수 있습니다. -* 모든 개인정보에 대한 유출이 가능 하다는 의미는 시스템에 대한 완벽제어가 가능하다는 것과 동일함.

 

 

1. On/Offline 연계를 통한 악성코드의 유포

 

2. 공격 기술의 진보 가속화 (Quality Assurance ??) - Vaccine evasion

 

3. Application Attack의 일반화 및 영향력 확대 - 세계화

 

 

주요 시사점은 위의 세 가지 정도로 볼 수 있습니다.

일반적으로 판매되고 있는 디지털 액자를 통해 Worm 유형의 악성코드 유포를 한 사안인데 심각한 사안은 제조공정에서나 탑재가 가능한 Application에 악성코드가 심어져 있는 것이 발견이 된 것입니다.

 

문제가 된 버젼은 insignia 사에서 제조한 10.4inch의 디지털 액자이며 2007년에만 디지털 액자가 미국 내에서 천만개 가량 팔린 것으로 조사가 되고 있습니다. 이중에 몇 개나 문제가 되고 있는지는 파악하기는 어렵지 않을까 싶습니다.

 

미국 내 대형 유통 업체인 Bestbuy( Sam's club, Costco 등에서도 판매가 되었다고 함)를 통해 Offline 판매가 되었으며 올해의 신년 Holiday 기간 중에 판매된 제품들 중에서 문제가 최초 발견이 된 것으로 보고가 되고 있습니다. 공식적으로 Bestbuy에서는 해당 제품의 판매수치에 대해 언급 하지는 않고 있습니다. 또한 이와 같은 이슈에 대해 제품에 대한 Recall도 없는 상태이구요.

( 그렇다면 Worm을 어떻게 제거 할까요? 디지털 액자에도 AntiVirus를 설치해야 하는 것인지 아니면 PC 연결 이후 해당 디지털 액자에 대해 Storage 검사를 해야 하는 것인지 궁금하네요. 아마도 후자일 것 같습니다.)

 

http://fatmatrix.com/digital-frames-infected-with-virus.html

기사를 확인하여 보면 Insignia와 Bestbuy측은 최초 웜의 발견 이후에 발표된 논평에서 일반적인 바이러스 이며 대부분의 Anti Virus 소프트웨어를 통해 탐지 및 제거가 가능한 유형이라고 해명을 하였으나 이후 전문 AntiVirus 업체인 CA의 분석결과는 또 다른 유형으로 나오고 있습니다.

 

http://www.eurogamer.net/article.php?article_id=92900

온라인 게임 관련 매거진의 내용대로라면 Antivirus 제품에 의한 탐지를 피하고 Windows Firewall ( 이 의미는 외부 연결 제한을 우회 할 수 있다는 의미로서 조금 더 확장하여 보면 독자적인 정보 전달 통로를 제한 없이 이용 할 수 있음을 의미합니다.)의 제한 회피등이 가능하다고 되어 있습니다.

 

좀 더 자세하게 나타난 자료를 찾아 보니 다음과 같습니다. 공신력이 있는 UPI를 통한 언론 보도이니 신뢰가 가능할 것 같습니다.

http://www.upi.com/NewsTrack/Science/2008/02/18/digital_frame_virus_traced_to_china/9409/

위의 기사에서는 좀 더 상세한 내용들이 나오고 있습니다.

 

최소 100여 개 이상의 Antivirus 제품으로 부터 탐지를 회피하고 있으며 Windows system의 보안기능을 우회하는 기능을 가지고 있습니다. 더불어 추적이 힘들도록 구성이 되어 있다고 CA의 제품개발 담당이 이야기를 하고 있습니다. Nuclear  bomb 이라고 언급을 하기도 합니다. 이 의미에는 악성코드의 유포방식, 보안제품에 대한 탐지 우회, 시스템의 제한 우회, 추적 회피 등과 같은 다양한 이슈가 포함 되어 있다고 보입니다.

 

 

언론이나 온라인의 기사만으로 사실 추론은 위와 같이 가능합니다. 그렇다면 이슈가 되는 부분들은 무엇이 있을까요?

 

가장 먼저는 insignia 사의 제품 제조 공정까지 침입한 공격자를 들 수가 있습니다. 제품제조 공정시에 탑재되는 Application을 변조 시킬 정도라면 해당 회사의 전체 시스템도 매우 위험한 상태에 놓여 있으며 이미 공격자가 시스템 대다수의 권한을 가지고 있다고 볼 수 있습니다. 공격이 가능한 지점은 내부 담당자에게 악성코드가 담긴 이메일 전송을 통해 ( 최근엔 Office 계열 파일이 다수 사용됨) 권한 획득을 하였을 경우와 외부로부터 직접 웹 서비스의  Application 취약성을 공격하여 차근차근 권한 획득을 한 두 가지 경우로 볼 수 있습니다.

 

중요한 관점은 사용자들에게 배포되기 직전 단계의 Application 변조가 일어났다는 것이며 그 어떤 AV 제품으로도 탐지가 되지 않는 신형 악성코드가 추가 되었다는 점입니다. 더불어 주변기기를 통한 전파를 노린 점도 향후의 위험성을 증대 시킵니다. 그 어디에도 이런 의미를 논하고 있지는 않습니다.  실제 우리가 사용하고 있는 모든 디지털 관련 제품들이 향후 더욱 큰 위협들에 노출 될 수 밖에 없음을 실증적으로 보여주는 사례라 할 수 있으며 악성코드 전파 방법의 특이성 또한 염두에 둘만 합니다.

 

두 번째로는 악성코드의 진화입니다. 최소 100여 개 이상의 Antivirus 제품으로부터 탐지를 회피한다는 의미는 공격자들이 공유하고 있는 기술 수준이 높음을 의미합니다. 또한 곧 일반화 될 것으로 예상됩니다. 한 해에 몇 천개 혹은 몇 만개 정도씩 만들어 지는 중국발 악성코드의 기능들이 대폭 업그레이드 될 가능성을 내포하고 있다고 볼 수 있습니다. 운영체제의 보호기능 정도는 당연히 더 쉬운 상태라 할 수 있습니다.

 

세 번째로는 Online 상의 방문자가 많은 사이트를 통한 악성코드 유포 이외에도 Offline상의 Digital 주변기기를 통한 전파 방식입니다. 기존에는 방문자가 많은 사이트를 공격하여 소스코드를 변조함으로써 악성코드를 유포하는 방식을 일관되게 사용하였으나 이제는 주변기기 제조회사 등을 공격하여 Offline상에서도 배포가 되는 방향도 시도가 되었다는 점은 여러 가지를 생각하게끔 합니다.

 

 

앞으로의 예상은 중국발 해킹의 세계화와 온라인게임의 risk 지속 확대, 온라인 생활(금융, SNS 등)의 위험 증가가 일반적인 상황이라고 할 수 있습니다.

 

중국발 해킹은 2005년부터 위험요소를 언급 하고 세계적으로 확대 될 것이라고 개인적으로 여러 자리에서 공언 하였습니다. 현재의 상황은 그 공언을 실증적으로 보여주고 있습니다. 앞으로도 상당기간 지속될 것이고 전 세계적인 Risk가 될 것으로 보입니다.  온라인 게임 혹은 금융과 같은 다양한 온라인의 생활은 금전적인 가치와 결부되는 순간에 공격의 대상이 됩니다. 시대의 변화는 온라인에 가치를 부여하는 것이 당연한 것이므로 앞으로의 위험은 모든 부분에 걸쳐 나타날 것으로 예상 됩니다.

 

 

중국발 해킹의 근본적인 부분은 현재 상태에서 두 가지에 기인합니다.  Office 파일을 이용한 신규 백도어 설치 방법 ( 주로 이메일을 활용) , Web Application Attack을 통한  권한획득과 웹 Application 소스코드의 변조를 통한 악성코드 유포입니다.

근본적으로 백도어를 활용한 방식 (주로 폐쇄적인 망을 공격합니다. 주요 국가들의 국가기관들의 공격, 산업기밀의 유출등..) 과 Web Application Attack이 일반적입니다. 아니 이 두 가지가 전부라 할 수 있습니다.

 

백도어를 활용한 방식 부분은 운영체제적인 면과 Antivirus 측면에서 충분한 대응 방안들이 나올 수 있습니다. 그러나 사람이 제작하는 Web Application에 대한 공격은 향후에도 많은 어려움이 있을 수 밖에 없습니다. 아직 중국발 해킹은 2라운드 초반입니다. 이제 겨우 세계로 진출한 것이라 할 수 있습니다.  Web Application의 공격 방식을 유추하여 모든 사이트에서 공격에 사용될 근본 원인을 제거 하지 않는 한 문제는 계속 됩니다.

 

URL에 사용되는 모든 인자들에 대한 Validation check가 문제 해결의 시작이 될 것입니다.

 

국내의 상황을 한번쯤 생각해 보시죠 어떤 위험들이 앞으로 다가 올 것인지... ( IPTV, 유.무선연동 등등 무궁무진 하겠네요..)

 

감사합니다.

 

Posted by 바다란

댓글을 달아 주세요

Small world Security (Koobface, Mikeyy )  - zdnet 컬럼 바다란.

 

Internet Security의 변화는 지금의 시대에 이르러 완연하게 전환점에 도달해 있다.

기술의 발전과 도구의 개념에서 필수적인 매체로 전환됨에 따라 더욱 밀접하게 사회와 그리고 개개의 인간과 연관성을 지니고 있다. 더불어 취약성과 공격이라는 관점도 변화를 역력하게 보여주고 있다.

 

Internet이라는 개념은 이제 생활의 도구에서 필수적인 요소로 완전하게 자리매김을 하고 있는 상황이며 그 중에서도 Social Network Service 영역은 국내는 물론 전 세계적으로 가장 큰 흐름을 보이고 있는 부분이다.

 

Small World Theory는 케빈베이컨의 6단계를 의미한다. 사람과 사람 사이의 관계에서는 6단계만 거쳤을 때 모르는 사람이 없다는 내용이며 Small world라는 개념으로 이야기 하기도 한다. 마케팅 및 Social Network Service 영역의 기본 바탕이 되는 개념이고 국내의 많은 사이트들과 세계적인 흥행을 하고 있는 여러 서비스들의 기본적인 이해와 연관이 있다. Small World Security는 어떤 관련이 있을까? 관계로 맺어진 Service Network는 과연 안전한가 하는 질문과 함께 가볍게 시작한다.

 

Twitter(www.twitter.com) Facebook(www.facebook.com) 유형의 서비스는 전 세계적인 반향을 얻고 있는 서비스라 할 수 있다.  공격은 항상 가장 많은 반응을 얻을 수 있는 부분에 집중이 된다. 4월에 외신에서 언급된 두 SNS 사이트에서 발생된 이슈들은 한번쯤 심각하게 언급이 되어야만 하는 이슈이다.

 

그럼 어떤 일들이 있었을까?  드러난 사실만을 가지고 분석과 유추를 해본다.

 

먼저 Koobface Facebook에서 발생된 Malware를 의미하고 이 악성코드는 지독하게도 Facebook과 유저를 괴롭혀왔다.  단순하게 Facebook이 지닌 구조를 이용하여 Friend List등에 악성코드를 설치하는 링크를 가진 여러 유형의 메시지를 전달한다.  당연히 무작위적인 스팸보다는 성공률이 높다. 악성코드를 설치하는 링크를 순수하게 Facebook Friend List 구조 (쉽게는 국내의 SNS 1촌관계를 의미)를 이용하여 메시지를 전달함으로 인해 성공률이 높아진 것이다. 또한 다운로드의 경우는 Adobe Flash를 가장하여 설치를 하도록 유도함으로써 악성코드 설치 성공률을 대폭 늘린 케이스다.

3월에 이르러 Facebook은 다른 대응 방안을 모색한다. Koobface라 이름 붙여진 웜의 경우는 다운로드를 통해 사용자의 PC에 설치가 되며 사용자의 정보유출은 물론 Botnet을 구성하는 하나의 좀비 PC로도 활용이 가능한 유형이였고 전파 유형도 구조를 이용하여 지속적인 스팸과 메시지를 보냄으로 인해 기업의 비용도 높아 졌을 것이다. 확산의 속도도 굉장히 빨랐을 것은 명확하다. 개별 소스코드의 수정을 통해서는 이미 설치된 웜에 대해서 대응 하기가 어렵고 Friend List를 이용하는 방안을 수정한다 하여도 공개된 부분인 만큼 분석을 통해 새로운 변형들이 지속적으로 출현 할 수 밖에 없는 상황이였을 것이다.

 

<koobface 웜을 설치하는 다운로드 경로를 지닌 메시지 >

 

구조를 이용한 확산과 신뢰관계를 기반한 악성코드의 확산은 대규모 Botnet의 구성과 정보의 유출이라는 상황에 직면 할 수 밖에 없게된 Facebook은 최근 몇년간 활발하게 Anti Virus 영역에 진출하고 있는 Microsoft와 협력하여 악성코드에 대한 대응을 시도하게 된다. 그 결과는 2주 동안 20만회의 Koobface웜 설치 시도를 133600 여대의 PC에서 탐지하고 제거하게 된다. ( ref: http://news.cnet.com/8301-1009_3-10210376-83.html ) 또한 탐지된 변형만도 100여 종에 이르고 있어서 추가적인 내용은 더 크게 나타날 것으로 보인다.

 

 

속임수라 부를 수 있는 사회적 공학기법 (Adobe Flash 설치로 위장한 점과 흥미를 유발하는 메시지 관점)과 관계를 이용한 설치 경로 제공은 특정 서비스에 국한될 수 밖에 없는 문제를 가지고 있지만 대규모 사용자를 가지고 있는 서비스의 경우에는 특정 서비스에 국한 되더라도 충분한 효과를 가지고 있음을 보이는 것이다.

 

서비스와 연관된 공격은 사실 이 경우가 처음은 아니며 구글에서 운영하는 Orkut의 경우에도 이미 관련된 사례가 존재하고 있다.

(http://blog.naver.com/p4ssion/50026431192 )

 

Koobface 이슈를 보며 이제는 서비스에 국한된 웜이나 악성코드의 경우에도 전역적인 대응이 가능한 매개체 ( Anti virus 업체도 매개체 중의 하나이다.)를 이용하여 대응을 해야 할 정도로 난이도가 있고 서비스업체 자체적으로 처리 하기에는 어려움이 많아짐을 보이고 있다.

 

Mikeyy” 라는 이름은 Michael Moony라는 17세 소년의 애칭으로 볼 수 있다. 이 이름은 최근 몇 주간을 Micro Blogging 서비스로 유명한 Twitter 4월을 시끄럽게 만들었다.

Twitter( Micro Blogging 서비스)를 시끄럽게 했던 이슈는 XSS ( Cross site scripting ) 취약성을 이용한 Application Worm 이라 할 수 있다.

( ref: http://blogs.zdnet.com/security/?p=3125  )

17세 소년은 Twitter에게 문제를 해결 할 수 있도록 제안하는 어떤 통로도 발견 할 수 없었고 문제에 대한 의견을 받은 적이 없어서 어쩔 수 없이 이런 행위를 할 수 밖에 없다는 정당성을 주장하기도 하였지만 피해를 입힌 것은 분명하여 어려움이 있을 것으로 예상 하였다. 그러나 전체적으로 악의성은 적으며 취약성을 알리고자 한 목적이 주된 목적이라는 것이 어느 정도 감안이 되는 방향으로 인식이 되는 것으로 보인다. 문제 해결에 대한 반응이 없을 때마다 추가적인 공격을 시도하고 그 이후 일정수준에서 종료를 하는 방식으로 ( 종료는 중간에 반드시 참고를 하도록 되어 있는 링크를 제거하는 형태로 이루어졌다. ) 이슈화를 시켜 반응을 이끌어낸 점은 분명히 있다.

 

4.17일에 추가된 소식은 4~5가지의 변형을 이용한 XSS 취약성 공격을 직접 보고 능력을 인정한 ExqSoft라는 이름의 Web application 개발 회사에서 Security 담당으로 채용을 했다는 것으로 전해진다.

 

문제의 이슈는 관계형 네트워크 서비스의 장점을 이용하여 악성코드도 충분히 심각한 피해를 입힐 수 있다는 점이고 공격자가 사용한 XSS 공격코드가 만약 악성코드를 다운로드 하거나 설치하는 유형 이라면 심각한 피해를 일으킬 수 있었음을 의미하기도 한다.

 

공격의 출발은 아주 작은 부분에서부터 시작하여 급격하게 확산하는 과정을 거치는 것이 Service Application을 공격하는 유형이다. Twitter worm의 시작은 초기 4개의 계정에서 출발한 것으로 알려진다.  4개의 계정도 공격자가 생성한 계정이며 이 계정에는 외부 링크를 포함하고 있던 것으로 확인된다. 새로 개설한 계정정보를 확인하는 다른 사용자들에게 자동으로 감염을 시키며 외부 링크에 존재하는 스크립트 파일은 또 다시 감염된 사용자의 Twitter 계정정보를 이용하여 profile을 변조하고 사용자의 전체 Friend list에 대해 스팸유형의 메시지를 대량으로 발송하는 것을 반복하도록 코딩이 되어 있다.

 

이 중에는 아래와 같은 특정 사이트 링크로 사용자의 Profile을 변경한 유형을 직접 살펴 볼 수 있다. 아마 1주일만 있었어도 전체 Twitter 사용자의 상당수가 피해를 입었을 것으로 볼 수가 있다. 더불어 악의적인 행위를 하고 악성코드의 전파를 위한 방식을 좀 더 koobface와 같이 교묘하게 하였다면 더 심각한 피해는 불을 보듯 뻔한 사례이다.

 

 

< Twitter worm 에서 변조한 Twitter 사용자의 Profile>

 

이미 2007년의 Myspace웜의 경우에도 발생 하였고 Google의 서비스에서도 발생하였으며 Yahoo, AOL 등과 같은 연관 관계가 있는 서비스 및 Social Network Service를 주력으로 삼고 있는 서비스 기업에는 모두가 수 차례씩 경험이 있을 것이다. Twitter에서 발생한 이슈의 경우는 심각하게 변화하기 이전에 이슈화만을 목적으로 진행한 것이며 개인 PC 및 여러 서비스 부분에 매우 심각한 영향은 존재하지 않았으나 위험성은 충분히 확인된다.

 

 

Small world는 인간 세상의 온라인화를 명확하게 보여주고 있다. 인간의 관계의 측면은 서비스의 프로그래밍적인 구성으로 연결이 되고 있고 이와 같은 구조는 그리 어렵지 않게 파악이 가능하다. Web을 이용한 구성은 접근성의 확대와 서비스의 세계화에 기여하지만 그 구성의 기본을 파악하는 것과 구조를 이해하는 것은 어렵지 않다.

공격자들의 기본은 항상 적은 노력으로 많은 효과를 얻는 곳을 중점적으로 노린다. 운영체제에 대한 일방적인 Worm 유형으로 공격을 하였다면 이제는 보다 더 대상을 구체화 하고 확산효과를 확실히 볼 수 있는 SNS 와 같은 유형으로도 손쉽게 확대된다.

 

최종적으로 올해 4월에 발생된 두 가지 정도의 이슈에서 살펴봐야 할 점은 몇 가지 정도가 존재한다..

 

-      Application에 대한 공격은 개별 Application에 대한 공격을 넘어서 특정 사이트에서 구성하고 있는 논리적인 구조에 대한 공격도 이제는 일반적인 유형이며 대응을 위해 Anti Virus 솔루션까지도 동원을 하여야만 가능한 범주에 들어섰다는 점이다.  이 점은 Facebook에서 발생된 악성코드 전파 유형이 Facebook 자체의 Web Application Logic을 이용하여 전파되고 확산되는 유형을 가지고 있으며 더불어 시스템에 피해를 끼치는 유형까지도 동시에 확산이 되었다는 점이다.  즉 확산속도는 Small world Theory에 걸맞게 급속 확산이 되고 더불어 개인PC를 완벽히 제어하는 악성코드까지 설치 됨으로 인해 피해는 심각한 상황이 된다.

 

-      특정 기업이나 서비스에 특화된 확산 방식을 보임으로 인해 지금까지 출현한 형태 보다 난이도 및 피해가 심각한 유형이 발생될 경우 특정 서비스의 몰락을 매우 손쉽게 가져 올 수 있다는 점이다. 기업측면에서는 서비스에 특화된 보호대책을 반드시 강구해야만 하고 초기 단계에 발견과 대응이 가능한 구조적인 조직과 인력을 유지해야만 한다는 점이다. 새로운 부담으로 다가올 수 있다.

 

-      현재 보다는 악성코드의 결합유형을 보았을 때 향후에는 여러 서비스를 동시에 공격하고 전파하는 Application 차원의 Fusion Worm도 멀지 않아 확인이 가능할 것으로 보인다.

 

 

생소한 내용으로 보일 수 있지만 피해는 개인 사용자에게 직접적으로 다가온다는 점이며 개인 사용자의 관점은 국내와 국외를 가리지 않는다. 국내 서비스에 대한 공격도 만약 이득을 취할 수 있다면 언제든 발생이 가능한 부분이다. 메신저를 이용한 메시지나 악성코드 설치 유형도 동일 관점에서 볼 수 있다. 다만 Web Application의 논리적 구조를 이용한 공격의 경우는 개인 PC외에도 Web Service 상에서도 살아서 그대로 존재하고 있어서 계속 되는 것이 다를 뿐이고 개인 PC 차원의 대응 외에도 서비스 기업 자체의 대응도 있어야만 해결이 된다. 문제의 해결을 위해서는 좀 더 체계적이고 협력적인 관계가 요구 될 수 밖에 없다.

 

국내의 현실은 본 글에서 언급한 Application Attack에 대한 관점보다 더 심각한 상황이지만 어디에서도 언급을 하지 않는다. 아니 전체 인터넷 서비스에 대해 논의가 되지 않는다. 경쟁력과 가능성을 지니고 있음에도 불구하고 애써 외면 당하는 현실이 안타깝기만 하다. Security라는 관점에서 현재의 문제점을 한번쯤 고민 해야만 할 것이다.

 

무형의 가치가 더 중요한 의미를 지니고 있는 시대에 유형의 가치만을 보려고 하는자 얼마나 어리석은가!

 

Internet은 넓으면서도 얼마나 작은 세상 이던가!

 

바다란 세상 가장 낮은 곳의 또 다른 이름 ( http://p4ssion.pe.kr )

 

   

Posted by 바다란

댓글을 달아 주세요


해킹 분야의 전환점은 항상 말했듯이.. 이제는 전문화 고급화 에이전트화 입니다.
개별단위의 해킹이 아니라...웜과 같은 이슈가 가장 큰 이벤트를 만들 것입니다.

RPC 취약성은 매우 큰 취약성이여서 개인적으로도 이에대한 권고나 공개문서를 만들기도 했지만 ISS에서도 동일하게 취급을 하였군요.
로버트 그래험의 의견은 GPRS와 VOIP 에 다음 단계의 위험이 있다고 하지만 저는 국내 환경에서는 좀 더 다른 일들이 있을 것으로 보고 있습니다.
유비쿼터스 환경에서 가정의 자동화 , 생활의 자동화 ,교통의 자동화가 진행될 수록 이 분야에 대한 위협은 증가하게 될 것이고 이제는 예전의 웜과 같이 인터넷의 마비가 아닌 일상생활에 치명적인 영향을 주게 될 것입니다.

해커의 수준면에 대해서는 수준이 높아진 것이라기 보다는 환경의 변화가 그들의 능력을 손쉽게 적용할 수 있는 형태로 만들었다고 봅니다. 지금의 환경에서 Bot 계열의 웜이 많은 것도.. 그 만큼 개발지식이 오픈이 되었고 소스코드가 공개가 되어 있으며 또한 손쉽게 공격코드를 추가할 수 있는 형태로 되어 있기 때문에 예전처럼 아주 소수의 전문가 만이 공격코드를 이해하고 추가하는 범위에서 좀 더 폭 넓은 다수의 프로그램 개발과 보안분야의 지식을 이해하는 사람들로 범위가 넓혀 진것이 확대의 관건이고 앞으로는 더욱 자동화된 매커니즘을 지닌 공격으로 전환이 될 것입니다.
인터넷의 확산과 구석구석 미치는 영역이 넓어짐에 따라 당연히 발생할 현상이였고 앞으로는 보안분야에 있는다는 것이 무엇보다도 심한 스트레스를 일으키는 날들이 많이 있을 것입니다. 해야 할 것은 많고 부담은 많은데 그만큼 댓가는 없는 의욕저하 현상이 다반사 일지도... ㅠ,ㅠ


베이글이나 마이둠과 같이 웜 바이러스의 변형은 매우 쉽게 만들 수 있고 이런 변형에 대한 대응은 전세계의 보안회사들 각자가 대응을 하고 있습니다. 한명이 수천명의 전문가를 데리고 노는 듯한 사태가 계속 벌어지고 있는 것이죠. 이런 관점은 보안분야의 협력이 동반되지 않는한 계속 심화될 현상이고 개인에 의해 끌려다니는 문제는 계속 발견이 될 것입니다.

앞으로 국내의 환경을 예측해 발생 가능한 위험을 예측해 보면 일단은 Application단위의 위험이 증가할 것입니다. 특히 웹 Application을 이용해 서비스를 제공하는 회사에 Client 단위의 위험을 주는 요소가 상당부분 증가하여 직접적인 피해를 입힐 것이고 무선에 관련된 의미있는 보안 위협도 출현할 가능성이 높다고 봅니다. 국내의 산업은 일정정도의 보안 수준은 만족을 하고 있지만 공격자들의 지식 진보 수준을 볼때 그 차이가 점점 벌어지고 있습니다.
이런 이야기는 앞으로 치명적인 위험이 출현할 가능성이 높다는 것을 이야기 합니다.

웹상에 존재하는 게시판이나 게시물을 통해 다른 게시판으로 전염이 되는 형태의 새로운 유형의 공격이 출현할 수 있다고 봅니다. 대개의 웹관련 App ( cyworld , 블로그 , msn hompy ...) 등이 사용자 ID에 의한 혹은 고유 번호에 의한 게시물 관리나 계정 관리를 하고 있으므로 자동적으로 전파를 하도록 하는 것이 가능할 것으로 보입니다. 물론 예상입니다.

그 다음은 국가 기반시설에 대한 직접적인 공격 발생이 일어날 수 있고 무선관련된 큼직한 이슈가 발생할 수 있다고 봅니다.

현재까지는 시한폭탄인 것이 무선관련된 이슈인데 아직 중요한 사건들이 발생하지 않았기 때문입니다. 유비쿼터스와 관련하여 PDA와 점차 PC화 되어가는 휴대폰도 예외가 될 수없죠. 기존의 바이러스와는 또 다른 형태의 위험요소가 발생 될 수 있으리라 봅니다.

모든 것은 예측이고 예상입니다. 발생가능성이 있는 예측이죠.


바이러스와 보안 분야의 개념상의 일대전환기는 2001년에 발생했던 Codered 입니다. 그 이후에 폭발적으로 증가를 했고 그게 빠른 시간내에 일반화 됐었죠.. 그리고 지금까지 내려오고 있습니다. 전파방식은 바이러스의 형태이고 공격방식은 해킹을 띄는 그런 유형.. 지금은 혼합이 되어 있습니다. 바이러스 방식의 공격과 해킹 방식 그리고 전파유형까지도 혼재되어 있어서 Fusion 화된 공격이 일반적으로 발생합니다. 방화벽은 그냥 기본인 장비가 되었고 IPS도 발전 속도를 따라잡지 못하고 항상 문제 발생 이후에야 대비를 할 수가 있습니다.
그리고 이제 Application으로 진화를 하고 있습니다. 그 속도는 충분히 눈에 보일 정도나 다른 일을 하다보면 어느새 저만큼 나아가고 있는 것을 확인 할 수 있죠.

우리는 무엇을 준비하고 해야 할까요?
고민스러운 날들입니다.
모든 분야에 동일한 이슈가 있겠으나 IT.. 특히 보안 분야는 전세계를 대상으로 경쟁을 하는 것이다 보니 그만큼 피로도가 높을 수 밖에 .. 노력을 할 여지도 없이 이것저것 일에 적은 인력이 투입 되어야 하고 그 인력은 재충전을 하지 못하니 많은 부분에서 떨어지는 그런 상태가 되고 있습니다. 그렇다고 신규인력이 계속 충원이 되는 것도 아니고...

자..이제 보안회사들도 고민을 해야할 시점이 다가오고 있고 인력들도 마찬가지 입니다. 물론 일이 생긴 뒤에 고민해야 늦겠죠. 누가 어떤 선택을 할까요?

ISS와 같은 돈많고 여유있는 회사의 경우에도 앞으로는 뾰족한 대책없이 흘러갈 뿐입니다. 시만텍도 마찬가지이고..국내의 회사들도 그렇겠죠...~..

사견이였습니다. - 바다란

 

 

-------------------------

위에 글을 언제 썼을까요?.. 어디 사이트를 오랜만에 가다보니 예전에 썼던 글이 있네요.  정확하게는 2004년 11월 5일에 쓴 글입니다. 3년전에 쓴 글인데 지금 어디쯤 와있을까요? 또 위에서 제가 언급한 내용들은 얼마나 진전 되었을까요?

 

아직 진행중인 것들도 있고 제가 일선에서 겪은 것들도 있습니다. 아직 위에 쓴 글에 포함된 내용의 끝을 보지는 못했습니다만 계속 발생됩니다.  진하게 표시하거나 색으로 표시한 부분을 보시면 됩니다.

 

돌아보고 생각을 하면 Application에 대한 Attack은 지금 일반화 되어 있고 국내의 많은 서비스들이 피해를 입고 있고 지금도 피해를 당하고 있습니다. 공격자들의 진보도 눈에 띄고요. 한명이 전 세계 전문가 수천명 이상을 데리고 노는 경우도 심심치 않게 발생 됩니다. ( 최근 바이러스 동향을 보세요.) 그리고 지난해와 올해에 있었던 Myspace, Yahoo에 대한 기사들을 보십시요. -> 본 블로그에 올린 최근 위험 동향에서도 언급이 되어 있습니다. 바로 이전 글.. 

Iphone에 대한 해킹도 보시면 됩니다. Opera 브라우저에 생긴 문제는 Mac , iPhone , ipaq을 관통하는 문제입니다. ( 최근에 나온 Libtiff Overflow를 통한 iphone 해킹도 Application attack과 동일한 경우임) 

 올해 3월의 Ani cursor 관련된 취약성은 모든 윈도우 플랫폼을 관통하는 문제입니다. 유선이든 무선이든 공용으로 사용하는 Application에 발생된 문제이고 권한 획득이 가능하죠. PDA이든 Settop box 이든 PC든 간에 말입니다.

 

앞으로는 어찌될까요?

3년전의 예상을 읽어 보면서 씁쓸함이 드는 것은 벌판에 선 외로움 때문이 아닐까 싶습니다.

 

지금은 어디에 있고 또 앞으로는 어디로 갈까요?  내 열정은 또 어디에....

 

위의 예상글은 2004년 11월에 해커스랩 게시판에 올린 글입니다. 물론 독자의견으로 ^^ 

http://www.hackerslab.org/korg/view.fhz?menu=news&no=2030

Posted by 바다란

댓글을 달아 주세요

바다란입니다. 오랜만에 뵙습니다.

 

* 디지털 액자에 숨겨진 악성코드가 사진 변경이나 추가를 위해 직접 연결되는 PC에 감염을 시키는 유형의 출현

<imgref: http://www.techgadgets.in/images/bestbuy-frame-infected.jpg >

 

 

악성코드 유포의 새로운 유형이 출현 하였습니다.

디지털 액자를 통한 악성코드의 유포 유형인데 해외 언론에서도 특이함에 주목을 하고 있지만 다른 관점에서 보아야 할 이슈들이 있습니다. 한국내의 현실에서는 그다지 새로울 것이 없는 유형이지만 시사하는 점이 여럿 존재하고 있습니다. 악성코드의 유형은 온라인 게임(특히 MMO- 아마 WoW가 아닐까 예상 됩니다.)의 계정정보를 유출하기 위한 형태이지만 근래에 발견되는 악성코드의 특징대로 사용자의 모든 개인정보에 대한 유출이 가능한 형태라 할 수 있습니다. -* 모든 개인정보에 대한 유출이 가능 하다는 의미는 시스템에 대한 완벽제어가 가능하다는 것과 동일함.

 

 

1. On/Offline 연계를 통한 악성코드의 유포

 

2. 공격 기술의 진보 가속화 (Quality Assurance ??) - Vaccine evasion

 

3. Application Attack의 일반화 및 영향력 확대 - 세계화

 

 

주요 시사점은 위의 세 가지 정도로 볼 수 있습니다.

일반적으로 판매되고 있는 디지털 액자를 통해 Worm 유형의 악성코드 유포를 한 사안인데 심각한 사안은 제조공정에서나 탑재가 가능한 Application에 악성코드가 심어져 있는 것이 발견이 된 것입니다.

 

문제가 된 버젼은 insignia 사에서 제조한 10.4inch의 디지털 액자이며 2007년에만 디지털 액자가 미국 내에서 천만개 가량 팔린 것으로 조사가 되고 있습니다. 이중에 몇 개나 문제가 되고 있는지는 파악하기는 어렵지 않을까 싶습니다.

 

미국 내 대형 유통 업체인 Bestbuy( Sam's club, Costco 등에서도 판매가 되었다고 함)를 통해 Offline 판매가 되었으며 올해의 신년 Holiday 기간 중에 판매된 제품들 중에서 문제가 최초 발견이 된 것으로 보고가 되고 있습니다. 공식적으로 Bestbuy에서는 해당 제품의 판매수치에 대해 언급 하지는 않고 있습니다. 또한 이와 같은 이슈에 대해 제품에 대한 Recall도 없는 상태이구요.

( 그렇다면 Worm을 어떻게 제거 할까요? 디지털 액자에도 AntiVirus를 설치해야 하는 것인지 아니면 PC 연결 이후 해당 디지털 액자에 대해 Storage 검사를 해야 하는 것인지 궁금하네요. 아마도 후자일 것 같습니다.)

 

http://fatmatrix.com/digital-frames-infected-with-virus.html

기사를 확인하여 보면 Insignia와 Bestbuy측은 최초 웜의 발견 이후에 발표된 논평에서 일반적인 바이러스 이며 대부분의 Anti Virus 소프트웨어를 통해 탐지 및 제거가 가능한 유형이라고 해명을 하였으나 이후 전문 AntiVirus 업체인 CA의 분석결과는 또 다른 유형으로 나오고 있습니다.

 

http://www.eurogamer.net/article.php?article_id=92900

온라인 게임 관련 매거진의 내용대로라면 Antivirus 제품에 의한 탐지를 피하고 Windows Firewall ( 이 의미는 외부 연결 제한을 우회 할 수 있다는 의미로서 조금 더 확장하여 보면 독자적인 정보 전달 통로를 제한 없이 이용 할 수 있음을 의미합니다.)의 제한 회피등이 가능하다고 되어 있습니다.

 

좀 더 자세하게 나타난 자료를 찾아 보니 다음과 같습니다. 공신력이 있는 UPI를 통한 언론 보도이니 신뢰가 가능할 것 같습니다.

http://www.upi.com/NewsTrack/Science/2008/02/18/digital_frame_virus_traced_to_china/9409/

위의 기사에서는 좀 더 상세한 내용들이 나오고 있습니다.

 

최소 100여 개 이상의 Antivirus 제품으로 부터 탐지를 회피하고 있으며 Windows system의 보안기능을 우회하는 기능을 가지고 있습니다. 더불어 추적이 힘들도록 구성이 되어 있다고 CA의 제품개발 담당이 이야기를 하고 있습니다. Nuclear  bomb 이라고 언급을 하기도 합니다. 이 의미에는 악성코드의 유포방식, 보안제품에 대한 탐지 우회, 시스템의 제한 우회, 추적 회피 등과 같은 다양한 이슈가 포함 되어 있다고 보입니다.

 

 

언론이나 온라인의 기사만으로 사실 추론은 위와 같이 가능합니다. 그렇다면 이슈가 되는 부분들은 무엇이 있을까요?

 

가장 먼저는 insignia 사의 제품 제조 공정까지 침입한 공격자를 들 수가 있습니다. 제품제조 공정시에 탑재되는 Application을 변조 시킬 정도라면 해당 회사의 전체 시스템도 매우 위험한 상태에 놓여 있으며 이미 공격자가 시스템 대다수의 권한을 가지고 있다고 볼 수 있습니다. 공격이 가능한 지점은 내부 담당자에게 악성코드가 담긴 이메일 전송을 통해 ( 최근엔 Office 계열 파일이 다수 사용됨) 권한 획득을 하였을 경우와 외부로부터 직접 웹 서비스의  Application 취약성을 공격하여 차근차근 권한 획득을 한 두 가지 경우로 볼 수 있습니다.

 

중요한 관점은 사용자들에게 배포되기 직전 단계의 Application 변조가 일어났다는 것이며 그 어떤 AV 제품으로도 탐지가 되지 않는 신형 악성코드가 추가 되었다는 점입니다. 더불어 주변기기를 통한 전파를 노린 점도 향후의 위험성을 증대 시킵니다. 그 어디에도 이런 의미를 논하고 있지는 않습니다.  실제 우리가 사용하고 있는 모든 디지털 관련 제품들이 향후 더욱 큰 위협들에 노출 될 수 밖에 없음을 실증적으로 보여주는 사례라 할 수 있으며 악성코드 전파 방법의 특이성 또한 염두에 둘만 합니다.

 

두 번째로는 악성코드의 진화입니다. 최소 100여 개 이상의 Antivirus 제품으로부터 탐지를 회피한다는 의미는 공격자들이 공유하고 있는 기술 수준이 높음을 의미합니다. 또한 곧 일반화 될 것으로 예상됩니다. 한 해에 몇 천개 혹은 몇 만개 정도씩 만들어 지는 중국발 악성코드의 기능들이 대폭 업그레이드 될 가능성을 내포하고 있다고 볼 수 있습니다. 운영체제의 보호기능 정도는 당연히 더 쉬운 상태라 할 수 있습니다.

 

세 번째로는 Online 상의 방문자가 많은 사이트를 통한 악성코드 유포 이외에도 Offline상의 Digital 주변기기를 통한 전파 방식입니다. 기존에는 방문자가 많은 사이트를 공격하여 소스코드를 변조함으로써 악성코드를 유포하는 방식을 일관되게 사용하였으나 이제는 주변기기 제조회사 등을 공격하여 Offline상에서도 배포가 되는 방향도 시도가 되었다는 점은 여러 가지를 생각하게끔 합니다.

 

 

앞으로의 예상은 중국발 해킹의 세계화와 온라인게임의 risk 지속 확대, 온라인 생활(금융, SNS 등)의 위험 증가가 일반적인 상황이라고 할 수 있습니다.

 

중국발 해킹은 2005년부터 위험요소를 언급 하고 세계적으로 확대 될 것이라고 개인적으로 여러 자리에서 공언 하였습니다. 현재의 상황은 그 공언을 실증적으로 보여주고 있습니다. 앞으로도 상당기간 지속될 것이고 전 세계적인 Risk가 될 것으로 보입니다.  온라인 게임 혹은 금융과 같은 다양한 온라인의 생활은 금전적인 가치와 결부되는 순간에 공격의 대상이 됩니다. 시대의 변화는 온라인에 가치를 부여하는 것이 당연한 것이므로 앞으로의 위험은 모든 부분에 걸쳐 나타날 것으로 예상 됩니다.

 

 

중국발 해킹의 근본적인 부분은 현재 상태에서 두 가지에 기인합니다.  Office 파일을 이용한 신규 백도어 설치 방법 ( 주로 이메일을 활용) , Web Application Attack을 통한  권한획득과 웹 Application 소스코드의 변조를 통한 악성코드 유포입니다.

근본적으로 백도어를 활용한 방식 (주로 폐쇄적인 망을 공격합니다. 주요 국가들의 국가기관들의 공격, 산업기밀의 유출등..) 과 Web Application Attack이 일반적입니다. 아니 이 두 가지가 전부라 할 수 있습니다.

 

백도어를 활용한 방식 부분은 운영체제적인 면과 Antivirus 측면에서 충분한 대응 방안들이 나올 수 있습니다. 그러나 사람이 제작하는 Web Application에 대한 공격은 향후에도 많은 어려움이 있을 수 밖에 없습니다. 아직 중국발 해킹은 2라운드 초반입니다. 이제 겨우 세계로 진출한 것이라 할 수 있습니다.  Web Application의 공격 방식을 유추하여 모든 사이트에서 공격에 사용될 근본 원인을 제거 하지 않는 한 문제는 계속 됩니다.

 

URL에 사용되는 모든 인자들에 대한 Validation check가 문제 해결의 시작이 될 것입니다.

 

국내의 상황을 한번쯤 생각해 보시죠 어떤 위험들이 앞으로 다가 올 것인지... ( IPTV, 유.무선연동 등등 무궁무진 하겠네요..)

 

감사합니다.

 

Posted by 바다란

댓글을 달아 주세요