태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'security'에 해당되는 글 105건

  1. 2010.04.27 테러리스트는 영화대로 하지 않는다.
  2. 2010.04.27 중국으로 부터의 침입 ( 차단과 대응)
  3. 2010.04.27 중국발 해킹 대규모 확산 우려
  4. 2010.04.27 중국 해커에 대해 그리고 분석.. 2006
  5. 2010.04.27 중국 발 해킹대비 홈페이지 보안 워크샵
  6. 2010.04.27 유비쿼터스 환경에 다가오는 위협
  7. 2010.04.27 온라인 한국이 위험하다.
  8. 2010.04.27 안연의 시큐브레인 인수에 대한 사견
  9. 2010.04.27 사이버 보안, 인터넷 그리고 철학
  10. 2010.04.27 브라질 해킹 그룹 분석
  11. 2010.04.27 보안패치 510만대
  12. 2010.04.27 보안성 검수가 왜 중요한가? - 바다란
  13. 2010.04.27 보안에 대한 컬럼을 쓰는 의지
  14. 2010.04.27 보안정보는 공개적으로 논의 되어야 한다.
  15. 2010.04.27 만두...멸치..그리고 CCRA
  16. 2010.04.27 기업이나 사회의 보안에서 가장 중요한것! TCG?
  17. 2010.04.27 대형포털 노리는 해킹 그리고 보안 전문가 (2)
  18. 2010.04.27 금전 노린 해킹 - 국제적 공조 필요
  19. 2010.04.27 기반시설에 대한 보안 (SCADA & DCS)
  20. 2010.04.27 개인을 위한 개인 정보 보호 실천 가이드 - 바다란
  21. 2010.04.27 2006 해킹의 발전과 대응 [ KISA 세미나 발표자료]
  22. 2010.04.27 2005년 공격 유형의 변화 -Application Attack
  23. 2010.04.27 2003년 1.25 대란을 분석한 글
  24. 2010.04.27 1.25 대란에 대한 뒷담화.!. 개인 생각
  25. 2010.04.27 [2009] 글로벌 위협의 변화 -1
  26. 2010.04.27 zeroday worm (침해사고 유형의 발전)
  27. 2010.04.27 Web 2.0 시대의 위험요소와 대책
  28. 2010.04.27 wmf 이미지 공격을 통한 대규모 피해 우려
  29. 2010.04.27 Threat of china 공격 분석 및 대책
  30. 2010.04.27 Threat of China II - 긴급 경고

Terrorists Don't Do Movie Plots


 

http://www.schneier.com 사이트에 가시면 많은 Security 관련된 칼럼 들을 만날 수 있습니다.

브루스 슈나이어는 오래전 부터 익숙한 이름입니다. 암호 부분에 정평이 나있죠. 그러나 한 영역을
고집하지 않고 큰 부분을 보려고 많이 노력한 사람이기도 합니다.
예전 보안 관제 관련 회사에 여러해 동안 근무한 적이 있습니다.
이때에도 슈나이어의  관점과 동일한 컨셉을 가지고 많은 부분을 설계하기도 하였는데
이 글을 읽다보니 사고 방식이나 보는 관점 등에서 동질감을 많이 느끼게 합니다. ^^ 물론 본 적은 없죠..

카운터 페인이라는 회사는 2000년 초기에 설립된 Security Monitoring 관련된 회사 입니다.
미국내 중요 국가 기관들에 대한 IT 보안 이슈를 체크하고 모니터링 해주는 곳이며 전문적인 영역을 지니고 있는 회사입니다.
IT 보안과 물리적 보안은 영역이 매우 다르지만 보는 관점에 따라 동일하게 볼 수도 있습니다.
한 분야의 전문가 영역에서 다른 부분을 비유하여 보는데 아래의 글은 다음과 같이 해석하면
IT 보안 부분에도 동일하게 적용이 됩니다.

테러 -> 해킹 , 크래킹
표적 ( 공항 , 버스 , 지하철  ... ) -> 중요 IT 자산

 

오래전 부터 알고 있던 분야의 전문가가 상당히 관점이 다를 수도 있는 물리적 보안 의 관점에 대해
거시적인  문제를 제기 하고 있는데 이 부분은 IT 부분에도 동일하게 적용이 될 수 있습니다.
테러에 대한 대비책에 있어서 단편적인 대책과 일방향적인 업무처리 , 책임회피를 위한 생색내기 활동등 여러가지 부분들이 상존하는 위협을 없애지 못하는 원인이며 향후에도 지속될 문제라고 지적하는데 일면 타당하다고 보여집니다.
매번 미국의 영화에 단골로 등장하는 스탤론이나 브루스 윌리스는 현실에서는 존재하지 않습니다. 이것이 진정한 현실입니다.


상상과 현실을 혼돈 하지 않는 것에서 모든 것이 출발해야 하죠. 문제의 인식과 원인에 대한 것들 까지도...
미국의 테러에 대한 근본적인 해결은 물론 힘으로 해결하고 자신의 의견을 무력으로라도 관철하려는 의지가 사라지지 않는한 또 주위국가와 함께 가려고 하지 않는 한 해결 되지 않겠지만 IT 보안 부분에 대해서는 많이 다른 관점이 되겠죠.

우리도 이제는 지켜야 할 자산이 매우 많아 졌고 또한 지금까지 여타 회사나 기업체들이 그러하였듯
Security 관련 결정이 단편적이고 매우 낮은 수준에서 이루어 진 것이 현실 입니다.
침입 탐지 시스템을 설치하고 방화벽을 설치하면 보안이 다 되고 웹 관련 방화벽과 스캐너를 구비하면 모든 것이 다 이루어지는 것인양 생각하는 기업들이 많았습니다만 현실은 그렇지 않습니다.

현실과 이상의 괴리는 생각하는 대로 발생하지 않는다는 점에 있습니다. 눈에 보이는 부분이라도
어떻게 강화를 해야 책임추궁을 피하고 면피할 일들이 생기는 것이긴 하나 근본적인 문제의 해결과는 매우 다른 이야기가 됩니다.

여기에서 현업 담당자의 딜레마가 시작이 되는 것이죠. 어떤 방향을 추구하느냐에 따라
허우대만 번쩍하는 것이냐 내공이 있는 그 무엇이 되느냐가 됩니다. ( 개인적으로는 내공을 추구합니다. 물론 어려움이 많지만...)

어떤 방향이 옳을까요?. 단기적인 성과 혹은 장기적인 안정 . 또 그만큼의 시간을 줄만큼 여유와 인내가 있을런지..

연휴동안 보안 관련된 기사나 글들을 읽다보니 느끼는 점이 많은 글이여서 올려 봅니다.


이하 기사는 URL을 참조 하십시요.

 

http://www.schneier.com/essay-087.html  ( English )

http://wired.daum.net/business/article00350.shtm (Korean)

 

Posted by 바다란

댓글을 달아 주세요

2005년 5월 경부터 중국으로 부터의 침입이 급증하고 있다. -본 글은 2005년 5월에 작성한 내용입니다.

 

해당 하는 침입의 유형을 살펴보면 인자 단위의 SQL Injection이 주된 침입 방법이며 그외의 공격 유형은 이전 부터 알려진 잡다한 방법들을 거의 다 동원하고 있다.

 

 

특징을 살펴보면..

 

*인자 단위의 SQL Injection Attack

각 웹 URL의 인자 각각에 대해 DB 쿼리 시도시에 인자에 대해 특수 문자 및 길이에 대한 제한을 제대로 코딩하지 않음으로 인해 DB에 명령이 전달이 되는 문제가 있다.

 

또한 사용자의 브라우저에는 HTTP 500 에러가 발생하지만 Raw Traffic 상에서는 dB의 결과값이 전달이 되어 온다. 즉 DB에서 실행된 결과값이 웹 서버로 리턴이 되지만. HTML 상으로는 웹서버에서 이해할 수 없어서 문제가 발생한다는 500 에러 메시지가 디스플레이 된다.

 

사용자가 보는 것은 Internal server error 와 같은 문장을 보지만 실제 Raw Traffic 상에서는 결과값이 리턴이 되는 것이다.

 

* 자동화된 툴을 이용한 직접공격

기본적으로 SQL Injection 공격을 수행하며 수행된 기법은 일반적으로 알려진 Blind SQL Injection을 이용합니다. DB 계정 및 접속 권한의 획득에는 SQL Injection이 이용이 되며 이후 시스템에 명령을 내리거나 파일의 업로드등을 하기 위해서 DB 서버의 Stored Procedure를 사용한다.

자동화된 툴에서는 수작업으로 진행 해야 했던 위의 모든 과정을 일괄적으로 처리하는 툴이며 툴의 운용시에는 웹서버에 다량의 웹로그가 발생이 된다.  SQL Injection 공격을 수행하는 툴은 상당히 여러종류이며 매우 다양한 형태의  툴이 개발되어져서 중국내의 공격조직에 판매가 되고 있고 악의적으로 사용하는 그룹에 판매가 되고 있어서 널리 사용되고 있다.

 

* 지능적인 시스템 침입

DB서버에 접속이 가능한 상태이라 시스템에 제한적인 작업 및 Db 서버에 악의적인 행동을 할 수 있음에도 불구하고 웹페이지에 사용자 단위의 감염을 유도하는 악성코드만을 삽입한다. 즉 침입의 목적은 해당 서버의 권한 획득이 아니라 일반 인터넷 유저의 정보 획득이 목적이다. 그러므로 대부분의 관리자들이 알아채기가 상당히 어려운 상태이다. 모든 서버의 웹 로그를 볼 수가 없는 상태이고 공격을 모니터링 하지 못하다 보니 사용자 단위의 신고를 통해서만 파악을 할 수 있는 상태이다. 수동적인 대처외에는 수행을 하지 못한다.

 

일단 공격 성공후에는 악성코드를 심는 것 이외에 웹 상에 여러개의 백도어들을 생성한다. 웹 백도어외에 시스템 백도어도 신형으로 다수를 설치하며 해당 백도어를 이용해 원격에서 제어를 손쉽게 하도록 한다. 웹 쉘을 통해 시스템의 설정 파일 및 중요 소스를 임의로 다운 받거나 수정할 수 있다.  시스템 백도어를 이용해서는 리버스 텔넷과 같은 유형으로 내부 서버 및 중요 서비스 영역(사설 IP로 보호) 에 대해 추가적인 공격을 수행한다.

 

*IP 차단에 대한 우회

 

실질적으로 공격이 다수 발생하는 IP 영역은 중국쪽 IP 대역으로 부터 일어나고 있으나 중국쪽 IP 대역을 차단할 경우 국내에 존재하는 다수의 취약서버 및 해외의 취약서버를 통해 우회공격을 시도한다. 우회공격을 이용할 시에는 탐지 기법의 향상과 웹 코드 상의 소스 수준을 높이는 것 외에는 대안이 없다.

 

 

자..위와 같은 유형들의 공격이 일반적으로 발생하고 있다. 또한 공격 기법도 난이도가 높아 졌으며 더욱 위험한 것은 자동화 되어 있다는 점이며 자동화된 공격툴의 사용 목적이 오로지 개인정보 획득을 통한 금전적 이득 취득이 가장 큰 목적으로 되어 있다. 

 

위험한 시기이며 지켜야 할 것이 많은 우리로서는 매우 어렵고 긴 싸움이 될 것으로 보인다.

 

대책으로는 다음과 같다.

 

1.  DB 단위의 대책

현재는 MSSQL에 대한 공격만이 자동화 되어 있으나 Oracle 및 Mysql 에 대한 공격도 머지않아 자동화 될 것으로 예상이된다. 그리고 MSSQL에서는 사용하지 않는 Stored Procedure의 삭제를 권한다.

   xp_cmdshell
   xp_dirtree
   xp_regdeletekey
   xp_regenumvalues
   xp_regread
   xp_regwrite
   sp_makewebtask
   sp_adduser ...등등

또한 DB 쿼리를 사용하기 위해 웹에서 호출을 시행하는 DB 계정의 경우 DML 권한만을 주고 DDL 권한을 주지 않거나 Stored Procedure의 호출 권한을 제거한다. 비단 MS-SQL에만 해당하는 것이 아니라 전체 DB에서도 해당 부분이 고려 되어야 할 것이다.

 

2. 소스 단위의 대책

인자단위의 체크를 강화한다.

(' , <,>,; ,--) 문자들과 같은 특수문자들의 인자값에 포함되지 않도록 필터링 한다.

즉 DB 쿼리시에 사용되는 모든 변수들에 대해 다음과 같은 처리가 되어야 한다.

  - single quote 하나를 single quote 두 개로 replace하거나 \' replace
    data = replace(data, "'", "''")
또는
    data = replace(data, "'", "\'")

  - semi colon
double dash 제거
    data = replace(data, ";", "")
    data = replace(data, "--", "")

등등.. 각 웹 언어 별로 해당하는 처리가 선별 되어 진행이 되어야 한다.

또한 인자의 길이를 반드시 확인 하여야 한다. 특수 문자가 없이 And 문을 붙여 쿼리를 수행하는 것도 기본 공격 유형이므로 인자당 해당하는 길이를 적정정도 예상하여 이후의 문장은 버리거나 하는 것이 매우 중요하다.

 

 

3. 네트웍 차원의 침입 탐지

 

IS_SRVROLEMEMBER , IS_MEMBER('db_owner') , db_name()  ,%5Bsysobjects%5D 와 같은 문자열을 웹 Request 문자열에서  탐지 하도록 IDS에 룰셋을 설정한 이후 해당 패턴이 감지 될 시 차단을 수행하면 네트웍 차원의 대책에 도움이 될 수 있다.

 

 

이상과 같이 공격 현황 및 대책을 분리할 수 있다.

 

Posted by 바다란

댓글을 달아 주세요

기사를 보다보니 중국발 해킹 100만 해커라는 글이 있네요. 그나마 이쪽 부분을 조금 들여다본 사람으로서 조금은 책임있는 글을 써야 하지 않나 하는 생각에 짧게 간략해 보겠습니다.
 
http://news.naver.com/news/read.php?mode=LSS2D&office_id=011&article_id=0000121048&section_id=105&section_id2=283&menu_id=105
 
 
일전 2002년 쯤에 중국으로 부터의 침입 관련 문서를 만들면서 그동안 너무 국내의 현실에만 안주한 것 아니냐는
자기 반성 차원에서 중국쪽의 관련 사이트에 대해서 많은 조사를 한 적이 있습니다.
 
그때 추정 되기를 향후 상당한 위협이 될 것이고 상위그룹의 수준이 빠르게 높아져 가고 있다고
진단을 한 적이 있는데 해당 이슈가 3년이 지난 지금 더욱 폭발적으로 증가를 하고 있네요.
 
지금의 조사와 차이가 있겠지만 2002년 당시에 제가 조사를 하면서 느꼈던 점을 기술 하면 다음과 같습니다.
 
상위레벨 : 취약성을 발견하고 해당 취약성에 대한 공격 코드 작성 가능자
중위레벨:  발견된 취약성에 대한 공격코드 작성이 가능한 자
하위레벨:  취약성에 대한 이해는 부족하나 공격코드의 활용이 가능한자.
무급레벨:  공격코드의 자동화된 툴의 이용자
 
2002년 분석 결과:

기술적 상위레벨 : 전체 인원대비 1% 미만 - 대략 2개 정도의 상위 그룹이 활동 하고 있었고 해당 인원도 10여명 내외의 고수가 존재한 것으로 파악이 되었습니다.
 
중위레벨 :  상위레벨의 10배수 가량이 존재하는 것으로 파악이 되었으며 부분적인 공격코드의 변형 및 작성이 가능한 자로 판단이 됨.
                   게시판 활동내역으로 보면 2~300여명 정도가 활동한 것으로 보임
 
하위레벨: 공격코드의 활용이 가능한자는 프로그래밍에 대한 이해가 조금이라도 있고 기본적인 공격에 대한 개념이 있는자로 몇천 단위로 파악이 되었습니다.
 
무급레벨: 가장 다수의 인력을 보유하고 있으며 가장 무서운 존재이죠. 대략 사용자 수는 미상. 몇십만 이상으로 추정됨.


위의 2002년 판단하에 1~2년 정도 관찰한 결과 대외적인 이슈 발생시 마다 상위레벨을 중심으로
몇개의 그룹화가 되고 분화가 되어 상위레벨에서 대표적인 공격 코드 몇개를 작성을 합니다. 그리고 공유를 하죠. 그룹원들에게만..
그리고 중위레벨이 해당 공격코드를 가지고 자동화된 툴을 작성합니다.
하위레벨은 발표된 공격코들 변화 시키거나 다른 유형을 공격 할 수 있도록 붙이죠.
최종적으로 공개되거나 약속된 사이트에 만들어진 자동화된 툴을 올립니다.
 
가장 무서운 무급레벨에서 만들어진 자동화 툴을 이용하여 무작위로 공격을 시행하죠.
이들에게는 IDS이고 침입에 대한 경고가 먹히지 않습니다. 오로지 공격이지.. IIS 공격 툴을 이용해
Apache에 무작위로 공격 하기도 하고 상당히 많은 공격이 이루어 집니다.
공격이 성공된 후에는 세트로 구성된 권한 획득 툴 및 타 서버의 취약성 스캔 , 공격툴들을 세트 단위로 업로드 합니다. 해당 거점을 이용해 지속적으로 영역을 확장해 나가죠.
 
상위에서 부터 무급레벨까지의 연결 통로에 제한이 없으며 무제한적으로 상호간에 공유가 되고 정보의 교류가 이루어 지고 있습니다.
연결 통로가 되는 사이트만 제한을 해도 피해는 대폭 줄어 들 것이지만 해당 사이트에 대한 제한은 중국 당국만이 열쇠를 쥐고 있을뿐입니다. 우리는 제 3자일뿐인거죠.
 
2002년 이후 2년간의 관찰결과 상위레벨은 3~4배수 정도 증가 하였고 ( 지난해에 중국에서 있었던 Xcon 세미나 및 해당 세미나에 대한 토론 및 기타 논의들을 가지고 추정 ) 중위레벨 및 하위레벨은 매우 폭넓게 확대 된 상태입니다.


2002년만 해도 보안 관련된 정보가 논의되는 일정 수준 이상의 사이트는 몇십개 였으나
지금은 몇 천개 이상으로 보이며 고급정보가 논의되고 배출 되는 사이트도 몇 백개 가량으로 확대된 것으로 파악이 되고 있습니다.  그만큼 저변이 폭넓게 확대 되었다는 반증이죠.
 
현재 시점에서 일정정도 미루어 보면 위에서 언급한 프로세스가 그대로의 유형을 지니고 있고 다만 공격코드 및 자동화된 툴을 만드는 중위레벨에서 해당 툴을 유상으로 판매하는 움직임이 2005년 부터 활발하게 출현을 하였습니다.
상위레벨은 각자 회사를 차리거나 중국내의 IT 인프라 확장에 따른 보안 관리자 및 보안 전문가로 활동을 하고 있죠. 이중 일부가 온라인 게임의 Abusing 및 직접 공격을 통해 부를 축적 하는 것으로 판단이 되고 있습니다.
 
여러 기사에서 보듯이 중국에서의 온라인 게임 공격은 상당히 활발한 상황이며 현재 상황에서 두 가지 정도의 그룹으로 나눌 수 있을 것 같습니다.
크래킹 및 직접 공격을 통한 온라인 게임 공격 , 악성코드 유포를 통한 사용자 정보를 획득한 상태에서의 게임 공격과 같이 부류를 나눌 수 있고 현재 상태에서 범위나 공격 가담 인력은 유추하기 어려운 상태입니다.
 
중국내에서 일어나는 사이버 범죄에 대해서는 중국 공안이 강력하게 대응을 하고 있지만 국외에 대한 공격에는 그다지 강력한 대응을 하지 않고 있습니다.
이런 현상은 몇년전 부터 지속되어오던 현상이지만 현재 상태에서는 공격 거점이나 공격 인원이 추정 불가능할 정도로 늘어난 상태라 단속에도 어려움이 지속 될 수 밖에 없습니다. 이 이야기는 공격에 대한 대응을 하는 것도 한계가 있고 IT 인프라가 확대 될 수록 계속 될 수밖에 없는 문제일 것입니다.
 
앞으로도 IT 산업의 크래킹으로 인한 위협은 계속 될 것이고 증가될 것으로 판단됩니다.
여력있는 기업 및 여력이 있는산업 차원에서만 효율적인 대응으로 일정정도의 효과를 보게 될 것이고  효과의 유지를 위해서도 지속적인 노력 및 비용 투자가 계속 될 수 밖에 없을 것입니다.
 
전체적인 대응 방안을 큰 범주에서 이야기 하면 다음과 같은 유형으로 줄일 수도 있으나
효과가 나오기 까지는 상당기간이 소요될 것으로 판단됩니다.
 
1. 각 기업 마다의 서비스 오픈 및 신규 서비스 , 개편 서비스에 대한 강력한 보안성 검수 - 기존 웹 애플리케이션 및 내부 보안 취약성의 제거를 목적으로 함.
 
2. 일괄적인 자원의 관리를 통해 커널이나 Application 버전의 일률적인 갱신 프로세스
 
3. 개발 프로세스 단위 부터의 보안성 강화 - Secure Programming  - 현재 상태에서는 향후에도 웹관련된 부분에 대한 위험성이 증가할 것이므로  웹 관련 코딩에 대한 절차 이행 여부를 중시해야 함.  실제적으로 현재 까지 출간된 웹 프로그래밍 서적의 보안 부분 강화 및 개편이 되어야 겠죠. ^^
 
4. 내부 중요 Data에 대한 보호 방안 수립 및 강력한 유출 방지 방안의 수립
    - 이미 권한이 다 노출이 된 상태에서도 보호 될 수 있는 방안이 필요합니다. 특정 툴을 사용하는 것이 전부는 아니며 정책 / 사람 / 정보 / 시스템 전반적인 부분이 총괄 되어야 하겠죠.
 
5. 수준 있는 정보보호 인력의 육성 및 분위기 조성 ( 분위기만 조성되면 금새 따라가겠죠. 원래 자질이 우수한 민족이다 보니.. ) 여기서의 정보보호는 보안인력만을 의미하지는 않습니다.
 
부수적으로 직접 효과를 볼 수 있는 방법은  침입 탐지 및 침입 방지 시스템의 Ruleset의 정밀화및 쉽게 업데이트를 할 수 있는 인력 및 능력의 확보도 중요한 관점이라 할 수 있습니다. 또한 전체적인 공격 유형의 변화를 추정하고 강력하게 권고를 하고 경고를 할 수 있는 레벨의 단체나 기관이 아쉽죠. 사고 발생 이후의 대응 보다는 발생 위험 가능성을 종합적으로 판단하여 사고가 발생하기 이전에 위험성을 경고 할 수 있어야 합니다.  - 이 부분은 사고가 발생하지 않을 경우 해당 경고에 대해서 무감각 하고 중요하게 생각하지 않을 수 있지만 매우 중요한 부분입니다. 현재도 경고를 하고 있지만 수동적인 상태이며 공격의 유형 이나 변화에 대해서 짚어 가는 전략적인 사고는 없는 상태입니다.
 
 
간략하게 위의  정도로 추려서 지속적인 보안레벨을 높일 수 있을 것입니다. 어느하나 쉬운 것이 없습니다. 그래도 진행하지 않으면 문제는 계속 될 수 밖에 없습니다.
현재는 커뮤니티 문화 및 인터넷 문화가 확산되어 금전 거래 및 문화로도 연결이 된 우리 나라에 대해서만 피해가 크게 보이지만 인터넷 문화의 확산에 따라 유비쿼터스 환경의 빠른 확대에 따라 세계 각국으로도 중국의 공격은 유효하게 발생이 될 것입니다. 
 
몇 년이내에 중국 당국의 강력한 조치가 없다면 세계적인 골칫덩이가 될 것이 분명하며 현재로서는 우리나라가 타켓이 된 것일뿐입니다. 위기는 기회라 하였습니다. 현재의 위기를 지혜를 모으고 역량을 모아 헤쳐 나간다면 향후의 IT산업 및 인터넷 산업 부분 전반에 걸친 잠재력과 인력을 확보하게 될 것이라고 판단 하고 있습니다.
 
물론 모든 것은 제 개인의 판단이고 사견입니다. 그리고 이 글도 짧은 시간에 후다닥 쓰는 글이라 다듬어 지지도 않은 내용이구요. 짧은 지식과 식견으로 쓸려니 참 안타깝습니다. 
 
아래 현재 문제에 대한 간략한 대책이나 내용이므로 참고 하시면 될 것 같습니다. 

http://blog.naver.com/p4ssion/40015866029

http://blog.naver.com/p4ssion/40017941957

http://blog.naver.com/p4ssion/40018174273

Posted by 바다란

댓글을 달아 주세요

수요일에 발표한 내용인데 의미 전달이 잘 되었나 모르겠습니다.

그럼.

 

홈페이지 보안기술 세미나…패치관리등 수시체크 필요

지난 5월 이후 계속되고 있는 국내 유명 사이트에 대한 중국발 해킹(출발지 IP가 중국지역인 해킹) 및 악성코드 유포 시도가 향후 더욱 대규모로 확산될 우려가 커 보다 근본적인 대책 마련이 필요하다는 지적이 제기됐다.

NHN IT보안그룹 전상훈 과장은 19일 서울 대치동 섬유센터빌딩에서 한국정보보호진흥원 주최로 열린 `홈페이지 보안 기술 세미나(중국 발 해킹대비 홈페이지 보안 워크숍)'에서 "중국으로부터의 침입 가능성이 점차 증대되고 있으며, 특히 웹 애플리케이션에 대한 유효성 체크가 돼 있지 않아 향후 지속적이고 대규모적인 해킹 가능성이 존재한다"고 지적했다.

전상훈 과장은 "최근의 해킹은 국내ㆍ외 사이트의 모든 시스템 권한을 지니고 있음에도 불구하고 사용자 개인정보를 탈취하기 위한 악성코드 유포만을 목적으로 하고 있는 것이 특징"이라며 "NHN의 경우 키보드 후킹을 통한 정보유출 방지를 위해 키보드 보안모듈을 설치하고, 개인정보를 유출하기 위한 악성코드를 제거하는 전용백신을 운영하는 한편, 사용자들의 악성코드 감염을 원천 제거하기 위해 MS 패치의 자동설치를 게임 시마다 확인하고 설치하도록 하는 패치관리시스템을 운영할 예정"이라고 말했다.

전 과장은 또 "모든 운영자들이 개발ㆍ운용ㆍ데이터베이스ㆍ보안부분에 대해 총체적으로 대응하고 웹 애플리케이션에 대해서도 진단과 수정이 필요하다"며 "특히 기업 내의 IT자산이 중요한 역할을 수행하는 IT기업의 경우 보다 더 강력한 유효성 체크가 있어야 한다"고 설명했다.

또 엔씨소프트 김휘강 팀장은 최근 중국발 공격증가와 관련해 "공격자 패턴 분석결과, 서버ㆍ네트워크 장비에 대한 직접적인 공격보다는 취약한 사용자들의 PC를 공격하는 경우가 많다"며 "해킹을 차단하고 방어시스템을 잘 구축하는 것이 중요하며, 해킹의 목표를 원천 제거하는 차원에서 전략적으로 게임 아이템과 사이버머니 등의 현금거래를 규제하는 대책도 필요하다"고 말했다.

강동식기자@디지털타임스

Posted by 바다란

댓글을 달아 주세요

어찌 어찌 하다보니 발표를 하게 되었네요.

이제 부터 자료 준비를...

관심 있으신 분 참석 함 해보시는 것도.. ^^;

-------------------------------------------------------------

 

안녕하십니까, 한국정보보호진흥원 인터넷침해사고대응지원센터입니다.

올해 상반기의 "홈페이지 보안 기술 세미나"에 이어 웹 취약점을 이용한 해킹사고와
최근 문제가 되고 있는 중국발 해킹 공격에 대한 보안대책을 주제로 한 세미나를 개최할 예정입니다.

홈페이지 및 시스템 관리자, 웹 관련 개발자 여러분들의 많은 관심과 참여를 부탁드립니다.

감사합니다.

o 세미나 명 : 제2차 홈페이지 보안 기술 세미나(중국 발 해킹대비 홈페이지 보안 워크샵)
o 목 적 : 최근 급증하고 있는 중국발 해킹에 대한 사고사례와 보안대책 발표를 통해 국내 홈페이지 보안 향상 도모
o 일 시 : 2005년 10월 19일(수), 09:00~18:00
o 장 소 : 서울 섬유센터빌딩 3층 이벤트홀(지하철 삼성역 4번출구, 현대백화점 맞은편에 위치)
o 참석대상자
- 웹 호스팅 업체 웹 서버 담당자/포탈 업체 담당자
- 일반 기업/대학 등의 웹 서버 관리자

o 세미나 프로그램

- 09:00~09:50 : 등록 및 세미나 자료 배포
- 09:50~10:00 : 행사안내
- 10:00~10:40 : 최신 웹 해킹 기술 및 해킹 시연 (이안시큐리티 정문수)
- 10:40~11:20 : 대규모 온라인 게임 서버의 보안 시스템 구축 사례 (엔씨소프트 김휘강 팀장)
- 11:20~12:00 : 웹 호스팅 업체의 웹해킹 대응 현황 (삼정데이타서비스 최세영)
- 12:00~13:10 : 점심식사
- 13:10~13:50 : 최근 해킹 대응 및 향후 보안대책 (NHN 전상훈 과장)
- 13:50~14:30 : 홈페이지 개발 시 보안 대책 (KISA 정현철 선임)
- 14:30~15:10 : 웹 취약점 사전 점검 방법 및 사례 (패닉시큐리티 신용재 사장)
- 15:10~15:40 : Coffee Break
- 15:40~16:20 : 웹 보안 기술 및 대응 방안 (듀얼시큐어 백진호 이사)
- 16:20~17:00 : 최신 중국 해킹기법 및 해킹 시연 (대학연합 해킹/보안 컨퍼런스 PADOCON 최상명)
- 17:00~18:00 : 패널토의 - 향후 웹 해킹 대응 방안 (발표자 전원)
※ 세부일정은 변동될 수 있습니다.

o 세미나 사전신청

http://www.kisa.or.kr/news/2005/announce_20051004.html

 

Posted by 바다란

댓글을 달아 주세요

 

유비쿼터스 환경에 다가오는 위협

국내개발 Application들도 더 이상 안전지대가 될 수 없다


* 2005년 3월에 외부웹 사이트에 올린 글이네요.. ^^; 참고 삼아 물론 내용은 지금도 그대로 이어지는 내용입니다. 현재의 문제점들이 Application의 문제라면 개발된 단편화된 Application 뿐 아니라 웹 과 DB가 연동되는 모든 부분에서 현재는 문제가 발견이 되고 있죠. 앞으로 가야할 길이 많이 남았습니다. 국가전체적으로 본다면 더더욱... 작년 3월에 쓴 글인데..지금과는 얼마나 연관 되는지 또 얼마나 차이가 있는지도 염두에 두시면 재밌을 것 같네요.


안녕하세요. 버그트랙 메일링을 보던 중 samsung 장비에 대한 문제점을 기술한 내용이 있네요. 앞으로 이런 부분을 커버할려면 많이 고생할 듯 싶네요. 메일을 보면서 느낀 점이 있어서 간단히 써봤습니다.


가능성 측면에서 생각을 해보시면 될 듯 싶습니다. 앞으로의 유비쿼터스 환경에서의 발전에 따른 문제들도 계속 되겠죠. ^^; (다른 곳에도 올린 글 중복해서 올립니다. 관심 있는 분들만)



 

취약성에 대한 향후 발전방향 및 예상에 대해 간략한 의견을 말씀 드리겠습니다.


국내 바이러스 백신에 대한 evasion 및 공격 코드가 추가된 웜/바이러스 유형이 출현 한데 이어 하드웨어 및 네트워크 장비에 대한 문제점들이 노출되어 공격이 발생하고 있습니다.


2005년 3월에 발표된 samsung adsl 모뎀에 대한 Default 다운로드의 경우도 상당히 어

##########0*

 

이없는 버그라고 할 수 있겠죠. 더불어 신규로 출현하는 웜에서는 기존 외국회사들의 백신만을 evasion 하고 종료시키는 코드에서 한국내의 백신벤더에 대한 공격코드도 추가 되어 있습니다.


이것은 한국을 공격의 전진베이스로 이용하고 다수의 사용자가 여전히 보안에 취약한 형태인 것을 이용한다는 것을 시사하고 있습니다. 한국을 바이러스 및 웜 전파의 중요한 숙주로 여긴다는 것이죠.


예전 기억을 더듬어보면 2~3년 전쯤에 모 백신회사의 게이트웨이 시스템(일명 바이러스 월)에 대해 root 권한 획득이 가능한 설정상의 오류가 발생되어 긴급하게 패치가 된 것을 볼 수가 있었는데, 국내 제품들이 외국에 다수 알려지고 또한 하드웨어 및 네트워크 장비에 대한 수출 이 진행됨에 따라 문제점이 다수 발견되고 있습니다.


현재까지는 극히 미미합니다. 이 의미는 향후에 급증할 요소가 많다는 점을 이야기하고 있기도 합니다.


security 취약성의 발견 원칙은 가장 간단합니다. ‘가장 많이 사용하는 제품의 취약성을 발견하라, 그리고 그 파급력을 이용하라’입니다.


그동안 국내 vendor 및 제품에 대한 취약성 권고안은 거의 없었습니다. 왜냐하면 알려진 제품이 없었기 때문이죠. 그리고 그럴 가치도 없었구요. 향후에는 좀 더 다르게 진행이 될 것으로 보입니다.


발전을 함에 따라 또 변화를 추구함에 따라 Closed된 네트워크 환경에서 Open된 네트워크 환경으로 전환할 수밖에 없고 공개가 될 수밖에 없습니다. 즉, 국내의 시장에만 한주해서는 기업의 규모를 유주할 수 없는 상황이 전개가 됨으로 인해 국외의 시장에 필연적으로 진출을 해야 하며 이에 따라 Open된 네트워크 환경으로 모습을 나타내는 것이 반드시 필요한 과정이 됩니다.


소프트웨어에 대한 공격도 증가하고 있고 또한 하드웨어 베이스의 제품에 대한 공격도 증가하고 있습니다. 하드웨어 Applience 제품군에 대한 공격도 점차 증가할 것으로 보이는데 지금껏 발견된 국내 취약성은 어이없는 코딩상의 오류 등에 의한 취약성이 대부분 이였고 점차 시일이 지나고 인지도가 높아질수록 고수준의 권한획득 공격들이 출현할 것입니다.


취약성을 발견하는 동향을 살펴보면 해외 전체로도 고수들의 활동은 적습니다. 적다기 보다는 기존의 운영체제에서 발견될 만한 큰 취약성들은 발견이 되었고 큰 영향을 미치는 Mega-vulnerability는 연 2~3회 정도로 줄어들 것 같습니다. 새로운 운영체제나 트렌드가 변화한다면 또다시 발견횟수가 늘어나겠지만 기존의 알려진 문제들은 대폭 줄어들 것입니다.


취약성의 발견에 따른 흐름을 보면 2003년이 피크였고 작년을 기점으로 운영체제에 대한 큰 이슈는 줄어들었는데 이와 같은 현상은 소스코드 검증 및 Application 진단의 상시화에 따른 것으로 보입니다.


2004년부터의 동향으로는 개별 Application에 대한 취약성 발견 동향이 큰 폭으로 증가하고 있습니다.


현재 신규보고 되는 취약성의 경우 하루에도 몇 백 개씩 발표되는 Application 제품들에 대한 취약성이 주로 발견되고 있어서 특정 제품을 사용하거나 특정 국가에 한정되어 사용되는 제품에 한해 큰 영향을 미치고 있습니다.


현재까지는 유럽권역과 미주권역에 사용되고 있는 상용 application에 대한 취약성 발견 비율이 상대적으로 높은데 향후 아시아 권역 특히 우리나라 제품군에 대한 영향이 매우 확대될 것으로 보입니다.


서두에서 말씀 드렸듯이 초고속 인프라가 고도로 활성화된 구조자체가 가장 큰 매력을

##########1*

 

지니고 있기 때문에 전진기지로서 매우 가치가 높기 때문이며, 휴대폰의 보급이 활성화 될수록, IT가 결합된 컨버젼스 제품 판매가 호조를 보일수록, 더욱 가치 있는 인프라이자 가장 좋은 테스트베드이기 때문입니다.


가까운 예로 zeroboard에 대한 취약성을 예로 들 수 있겠습니다. Application의 취약성을 찾는 그룹이 큰 폭으로 증가를 하였으나 기존의 OS나 가장 보고가 많았던 Application의 경우 많은 시도에 따른 보완이 이루어져 문제점이 적은 반면 신규로 발생하거나 그동안 잘 알려지지 않았던 Application의 경우 기본적인 취약성이 다수 존재하므로 쉬운 대상을 찾아서 이동하고 있습니다.


현재 국내 사이트에 대한 Defacement 동향을 보아도 국내의 해킹 피해 사례는 zeroboard 와 PHP Application 취약성을 이용한 도메인 서버 해킹 그리고 Webdav를 이용한 PUSH method를 이용하여 임의의 파일 push가 대다수입니다.


백신에 대한 공격증가도 향후 국제화가 될수록 더욱 커질 것으로 보입니다. 지금껏 공격이 없었던 것은 취약성이 없어서가 아니라 정확하게는 유명세도 없고 로컬화 된 제품이기 때문에 가치가 없어서 하지 않은 것이지만 많은 Defacement 그룹들이 신규 취약성을 발견하고 직접 공격을 수행하고 있어서 향후 큰 폭 증가가 예상됩니다.


더욱이 우려하고 있는 바로는 디지털 컨버젼스와 관련하여 다수의 제품군에 IT 기반이 접목되는 환경에서 더욱 크게 위협이 점증할 것으로 봅니다. 향후 5년 이내에 직접적으로 가시화 될 것입니다. 유비쿼터스의 경우도 동일하게 적용이 될 것입니다. 휴대폰을 이용한 위협의 내용은 2~3년 이내에 대중화 된 위협으로 나타날 것으로 봅니다.


예전에 작성했던 국가 기반시설에 대한 문서에 기술했던 내용들이 더욱 빠르게 다가 올 것입니다. 그때 그 문서를 만들면서 향후 3~5년 이후에 나타날 것이라 예상했는데 조금 더 기간이 연장되어  맞아 들어갈 것 같습니다.

(http://www.securitymap.net/sdm/docs/general/Critical_Alert_for_Cyber_Terror.pdf )


인터넷이 가능한 냉장고, 인터넷을 이용한 가스 조작 및 검침 , 언제 어디서나 제어가 가능한 모든 머신들과 시스템 , 교통통제 시스템 등이 부분적이라도 오픈되어지는 환경에서부터 소프트웨어적인 문제 이외에 하드웨어적인 장비에 대한 문제에까지 공격을 시도하게 될 것이고, 직접 피해를 입힐 것으로 보입니다. 물론 최악의 상황을 예상하면 이렇습니다.


embedded 운영체제도 기본 로컬의 활동이외에 외부와 연결되는 네트워크 부분이 연결되어 활성화 되는 시점부터 문제는 더욱 리얼하게 다가올 것으로 보입니다.


현재 발생되고 발견되고 있는 Bot 관련 공격 경로에 OS 및 유명 Application에 대한 공격 이외에도 특정 취약성이 존재하는 무료 혹은 상용 Application에 대한 공격도 추가가 되어 있고 향후 발생된 모든 문제점들이 결합되는 구조로 나아갈 수 있을 것입니다. Monster-bot은 앞으로도 계속 진화할 것이고 유비쿼터스 환경에서도 위협은 여전할 것입니다.


피부에는 상당히 느리게 다가오지만 움직임은 상당히 빠릅니다. 또 그것에 대한 예측도 선행이 되어야 하고 부족한 부분에 대한 고려는 항상 존재해야만 합니다. 위협을 과대해석해도 안되지만 덮어놓고 가는 것은 더욱 큰 문제라고 생각합니다.


국가적 성장동력원인 IT제품이 대외적으로 활성화 되고 수출이 보편화 될수록 또 컨버젼스가 빠르게 이루어질수록 위협이 급증하게 된다는 점 하나와 국내의 수많은 개발 Application들도 더 이상 안전지대가 될 수 없다는 점입니다. 그동안 여유 없이 앞만 보고 달려 왔는데 기업의 연속성에 영향을 줄만큼의 위험 요소가 향후에는 존재할 것이라는 예상을 분명히 할 수 있을 것 같습니다.


언제나 의견 있으시면 의견 주십시오. ^^;


  p4ssionable security expert!

  * E-mail: winsnort@cqrity.net , p4ssion@gmail.com



ⓒ 바다란

Posted by 바다란

댓글을 달아 주세요

기사에서 밝힌 것은 작게 축소해서 본 부분입니다.

실제로는 validation 체크가 안된 사이트는 국내 사이트의 2/3이상일 것입니다. 또한 이중에서 직접 해킹이 가능한 서버가 절반정도 될 것이구요.

앞으로도 계속될 사안입니다.

 

 

[머니투데이 성연광 기자]

"대한민국 인터넷 보안에 심각한 구멍이 뚫렸다"

유수 웹사이트를 해킹해 악성코드 유포지로 악용하는 신종해킹수법(일명 '중국發 해킹')을 두고 한 말이다.

지난 5월 한국MSN, 코리아닷컴 등 쟁쟁한 국내 상당수 인터넷 사이트들이 연이어 중국發 해킹에 당해 온라인 게임사용자의 아이디와 비밀번호를 노리는 악성코드가 유포되는 신종 해킹 사건이 터지면서 국내 인터넷보안의 최대 이슈로 대두된 지 반년이 다됐다.

당시부터 정부기관과 민간 보안업계가 이에 대한 권고문, 취약점 진단서비스 등 대책 마련에 나서고 있지만, 언론사 뉴스포털, 케이블방송, 심지어는 국가연구기관까지 가릴것없이 연일 중국발 해킹에 속수무책으로 당하고 있다. 지난 6월부터 현재까지 중국발 해킹수법에 당해 한국정보보호진흥원(KISA)에 공식 집계된 국내 사이트 수만 이미 1000여곳을 넘어섰다.

전문가들은 "자칫 방심했다가는 과거 1.25대란보다 더욱 큰 보안사고에 직면할 수 있다"고 경고하고 있다. 2003년 1.25대란의 경우, 일시적인 네트워크 소통 마비 정도에 국한됐지만, 이번 중국發 해킹수법의 경우, 위협적인 악성코드를 보다 광범위하고 은밀하게 유포시킬 수 있다는 점에서 훨씬 위험하다는 게 이들의 지적이다. 무엇보다 1.25대란의 경우, 근본적인 처방이 가능했지만, 이번 신종해킹수법의 경우, 아직까지 이렇다할 국가차원의 대응책이 없다는 게 큰 문제다.

◇점점 대담해지는 중국發 해킹

지난 6개월 사이 중국발 해킹에 대한 국내 보안대책은 여전히 제자리를 맴돌았던 반면, 공격자들의 수법은 빠른 속도로 교묘해지고 있다. 무엇보다 공격자들의 해킹방식이 보다 용이주도해졌다. 얼마전까지만 해도 보안이 취약한 웹사이트들을 무작위적으로 공격하던 방식에서 벗어나 최근에는 방문자수가 많거나 많을 것으로 추정되는 특정 분야의 웹사이트들을 순차적으로 공격하고 있다.

뉴스포털과 케이블방송이 대표적이다. 네이트닷컴 뉴스포털과 오마이뉴스, 스포츠조선 등 주요 뉴스 사이트들이 일제히 공격을 받은데 이어 최근에는 모 지상파 방송 한곳과 경제일간지도 같은 피해를 입은 것으로 알려졌다.

지난달에는 엠넷, 홈CGV, 내셔널지오그래픽, XTM 등 주요 케이블방송들과 교육방송(EBS) 등 방송 미디어들이 줄줄이 공격받았다.

악성코드를 유포하는 수법 또한 보다 지능화되고 있다. 7월 모 보안업체 웹사이트에 유포된 악성코드의 경우, 감염된 사용자 PC에 만들어진 실행파일 아이콘이 이 회사에서 배포하는 스파이웨어 퇴치 프로그램을 흉내내 제작됐다. 심지어는 온라인 게임에서 기본적으로 깔아주는 키보드 방지 프로그램명을 흉내낸 악성코드도 발견됐다.

지난 9월 모 만화 케이블방송사의 경우, 공격자는 기존 익스플로러 브라우저의 취약점을 이용한 유포방법 대신 액티브 엑스(Active X)를 이용했다. 또 게임 사용자 정보를 빼내는 악성코드는 미디어 웹사이트에서 흔히 내려받을 수 있는 '플래시' 파일로 위장됐다. 이처럼 교묘히 사용자들을 속이기 시작한 것이다.

과거엔 사용자의 온라인 게임 아이디와 비밀번호를 훔쳐내는 트로이목마가 주로 유포됐으나, 최근에는 해커가 사용자 PC에 직접 접속해 정보를 빼갈 수 있는 백도어와 애드웨어도 같은 방식으로 유포되고 있다. 지난달 해킹을 당한 한국전자통신연구원 게임기술지원센터(ETRI GTSC) 사이트에도 온라인 게임정보 탈취용 트로이목마와 함께 백도어가 발견됐으며, O사 미디어 관련 사이트에서는 중국 애드웨어가 유포된 바 있다.

◇악성코드 탐지도 어렵다

이뿐 아니다. 악성코드도 기존 보안제품이 탐지하기 어렵게 만들어지고 있다. 초기 해킹당한 사이트에 검출된 악성코드의 경우, 대부분의 백신제품들이 이를 탐지해냈으나, 최근에는 어느 백신제품으로나 탐지가 어렵게 제작돼 있다. 공격자들이 계속해서 변종을 만들어내기 때문이다.

악성코드를 숨겨놓는 일명 '숙주서버' 해킹도 갈수록 교묘해지고 있다. 숙주서버란 공격자가 자신을 노출시키 않기 위해 또다른 웹 서버를 해킹에 악성코드를 몰래 숨겨놓는 곳을 말한다.

최근에는 국내 보안이 허술한 중소 웹사이트뿐만 아니라 중국 현지 사이트, 심지어는 멀리 독일에 소재한 사이트까지 해킹해 몰래 숨겨놓고 있다. 해외에 소재한 사이트의 경우, 우리나라 보안당국이 이를 제거하기 쉽지 않다는 점을 노린 것이다.

◇피해 규모는 상상초월할 듯

아직까지 공식적인 피해규모는 발표되지 않았다. 그러나 중국발 해킹과 악성코드 유포방법이 갈수록 은밀해지다보니, 의외로 그 피해규모가 상상을 초월할 수 있다는 지적이다.

실제, 지난달 KISA가 악성코드가 숨겨져 있는 숙주 서버를 분석한 결과, 한곳에서만 1000여명 이상이 악성코드를 받아간 것으로 알려졌다. 현재 이같은 숙주서버만 수백개가 있다. 물론 보안패치가 완료된 사용자 PC에선 실행되지 않지만, 적잖은 네티즌들이 실제적인 피해를 본 것으로 추정된다. 최신 보안패치 적용률이 상대적으로 미미하기 때문이다.

또 올들어 국내 온라인 게임 아이템 거래를 둘러싼 한중 조직간 불법 커넥션이 실제 두차례나 적발된데다, 한국 게이머들을 겨냥한 중국발 해킹이 갈수록 기승을 부리고 있다는 점에 비춰, 실제 이같은 공격이 효과가 있고, 이로인해 피해규모 또한 상당한 것으로 추정된다.

문제는 이같은 중국발 해킹피해가 장기화될 가능성이 높다는 것.

현재 중국발 해킹수법이 방화벽, 침입탐지시스템(IDS) 등으로 방어가 불가능한 웹 애플리케이션의 취약점을 이용하는데, 상당수 국내 웹사이트들이 이같은 취약점에 그대로 노출돼 있는 것으로 지적됐다.

NHN 보안담당자인 전상훈 과장은 "국내 웹사이트의 50% 이상이 이같은 웹 애플리케이션 취약점을 안고 있다"며 "이를 막기 위해선 개별 사이트마다 일일이 보안 체크(인자값 유효성 점검)을 해줘야하는데, 현실적으로 불가능하다"고 말했다.

또 현재까지 주로 국내 유명 온라인 게임 아이디와 비밀번호 유출을 목적으로 하고 있으나, 금융정보 등 앞으로 다른 중요 정보유출에 악용될 가능성도 크다는 게 전문가들의 지적이다.

보안업체인 지오트의 문종현 바이러스분석실장은 "현재 중국발 해킹은 기존 웹사이트 변조사고처럼 단순한 장난이나 실력과시 차원이 아닌, 금전취득과 직결되고 있다는 점에 유념해야한다"며 "인터넷 보안은 앞으로 인터넷서비스 운영업체뿐 아니라 인터넷을 사용하는 국민 스스로 재산을 지키는 필수요소로 이미 자리잡고 있다"고 지적했다.

성연광기자 saint@

Posted by 바다란

댓글을 달아 주세요

http://news.naver.com/news/read.php?mode=LSS2D&office_id=008&article_id=0000685301&section_id=105&section_id2=283&menu_id=105

 

안연구소의 시큐브레인 인수 관련 하여 우려와 기대를 동시에 보낸다.

 

안연구소의 인수에 대한 부분은 처음이 아니며 2001년 경에 한시큐어 인수를 통해 백신 보안 부분 및 PC 보안 부분이 아닌 다른 부분에 진출 하려 하였으나 결론적으로 실패를 한 적이 있다.

 

본인도 연관이 있었기에 지금에 인수 기사를 보며 그때 느꼈던 실패의 원인 및 문제점에 대해서 가급적 객관적으로 언급을 해보면 다음과 같다.

 

1. 과도한 제품 의존에 따른 업무 집중도 분산의 어려움 [ 백신 사업에 너무 편향이 되어 있어서 다른쪽으로의 에너지 전환이 어려운 상황]

 

2. 인식 부족 [ 피인수 업체는 보안관제 및 전반적인 보안 카테고리를 다루는 업체 였으나 백신이라는 카테고리 및 PC보안에 집중 하려는 의지에 따라 지원 및 인식 자체의 범위가 달랐다 ]

 

3. 인수 시점은 PC상의 바이러스에서 네트워크 단위의 웜이 최초 발견되는 전환 시기여서 굉장한 호기가 될 수 있는 시점이였으나 방향 전환을 못했다.

 

4. 백신 시장에의 안주 의지

 

5. 기타로 지금에서 보면 인원이 많지 않았으나 융화 할 수 없게 만드는 경직된 체계 및 의사소통 경로 부족도 들 수 있다. [ 관점에 따라 다를 수 있다.]

 

보는 관점에 따라서 다를 수 있으나 가장 큰 문제는 패러다임이 변화하는 시기에 유연하고 창의적으로 변화하지 못했다는 점과 중간 관리자들의 우유부단함에 의해 보안업체간의 최초 합병이면서도 시너지를 내지 못한 점이 가장 아쉬움으로 남는다.

 

Codered 웜이 최초 발견 되었을때 바이러스 백신 회사 및 네트워크 보안 회사 모두 방향성을 잡지 못한 혼돈의 시기 였는데 해당 시기에 명확한 비젼이 있고 실행의 의지가 있었다면 장족의 발전을 할 수도 있었을 것이다. 이 최초의 발전된 방식의 웜 이후 달라진 현상이 패러다임의 변화가 아니고 무엇인가?

 

백신회사는 해킹을 이용한 방식이므로 대응을 못한다는 논리이고 네트워크 보안 방식은 전파 방식이 바이러스에서 사용하는 형태라서 대응을 못한 부분이 있다.

이 codered 웜 이후에 줄줄이 여러가지 웜들이 발견 되었는데 그 당시에 전 세계 보안 분야의 이슈는 네트워크 보안 전문 업체 나 백신 전문 업체 모두 부족한 부분을 키우기 위해 인수합병에 가열찬 노력을 기울이는 계기가 되었다. 최소한 향후 발전을 위해 부족한 부분을 인식하고 준비하는 기간을 가진 것이라 할 수 있다.

명확한 패러다임의 변화 시기에 변화하지 못한 댓가는 누가 지불 해야 할까?

 

그래서 더 아쉬움이 남긴 하지만 지금까지 와는 다른 입지로..위기감을 지니고 [ 이미 지나버린 기회도 있으므로 ] 절박함으로 노력을 기울여야만 성공 할 수 있을 것이다.

서버보안이라는 것이 그리 쉽게 볼 수 있는 부분은 아니며 지속적인 노력이 필요하며 안연 내부에서도 변화를 위한 확고한 의지가 있고 노력이 실제화 되어야만 합병의 득을 얻어 새로운 성장 동력이 될 수 있다.

 

지금 분명히 안연구소는 위기 상황이며 바이러스 샘플로만 외국과 경쟁하는 시대는 이미 지나갔다. 모든 중요 이슈는 변화 하였으며 이제는 충분히 위기감을 받아 들이고 있을 것이다.

MS의 원캐어 서비스 및 무료 백신 서비스들은 차별화 되지 못하고 있는 안연구소 성장동력인 V3 및 스파이제로에 대해 심각한 위협이 될 것임은 자명하다. 그 시기는 너무나도 빨리 눈앞에 다가와서 종합보안 보다는 몇몇 부분에 특화되고 시너지를 낼 수 있는 보안 부분으로 나아가지 않는한 좌초는 명확해 보인다.

세계적으로 본다면 틈새산업에 진출하여야만 가능성이 있다. 이제와서 글로벌화된 체제를 완벽하게 갖춘 시만텍,맥아피,트렌드와 동종의 제품으로 세계시장에서 성공할 수 있을까?  힘들 것이다.

 

변화만이 나아갈 길이다. 5년전에도 그랬었지만 지금은 더욱 절박할 것이므로 안연구소 스스로가 더 잘 알 것이다.

 

- 한때 잠깐 머물렀던 사람

Posted by 바다란

댓글을 달아 주세요

새 밀레니엄을 맞이 한 것이 엊그제 같은데 벌써 10년 이라는 시간이 훌쩍 흘렀다.

세월의 흐름과 같이 기술의 발전도 폭을 같이하고 인터넷도 더 깊숙이 생활 속으로 들어왔다.

 

사람과 사람 사이를 이어주고 연결해주며 정보를 교환해주는 주된 통로 역할을 하며 가상의 현실을 실제로 가능하게 해주는 인터넷은 그 친밀성만큼 위험성을 항상 가지고 있었다. 친밀성이 더욱 높아지고 실제생활과도 밀접한 관련을 가지게끔 된 생활에서 위험요소는 이제 네트워크상에만 존재하는 위험이 아니다.

 

생활 구석구석 인터넷과 연관 되지 않은 부분을 찾는 것이 더 어렵고 전산화, 자동화 되지 않은 부분을 찾는 것이 더 어려울 정도다. 일반적인 인터넷 서핑 속에서도 생활 속에서도 전기, 가스, 발전, 문화, 전화 등등 모든 것은 연결 되어 있다. 더불어 위험들도 동일한 가치로 연결 되어 있다.

 

2010년의 시작을 전후 하여 1월이 채 가기도 전에 수많은 위험 관련 뉴스와 이슈의 홍수를 직면한다. 이미 시작은 오래 전부터 되어 왔던 것이고 지금에야 모습을 나타내는 것뿐이다. 정보를 얻기 위한 해킹, 권한을 획득하여 자료를 유출하고 내부망에 침입을 하는 백도어들.. 경쟁국가, 경쟁산업, 정치적 견해를 달리하는 집단에 대한 사보타지 등등.. 이쯤에 대량의 트래픽을 발생 시키는 DDos 공격 정도는 애교로 느껴질 정도다.

 

모든 보안회사들과 커뮤니티들은 앞다투어 스마트폰의 보안 위협과 DDos 공격을 가장 큰 위험으로 꼽는 보고서들을 연신 발표 하고 있다. 이미 예정된 것에 지나지 않는다. 이제는 좀 더 다른 방향에서 가치를 부여해야만 하고 관찰 해야만 한다.

 

기술에 능숙한 자는 기술의 관점에서만 사안을 바라보아서는 안 된다. 기술에 익숙한 자는 기술을 바탕으로 하여 세상의 변화를 볼 수 있어야 하고 지금과 같은 상황에서는 왜 국제관계에서 사이버전이 큰 이슈가 되고 있는지도 명확하게 알아야 한다. 그래야 새로움이 있고 예측이 가능해 진다. 눈에 보이는 예상은 실패할 가능성이 없는 정해진 사실일 뿐이다. 모두가 똑 같은 이야기를 한다. 그러나 이면을 통찰 하는 시야는 부족하다.

 

앞으로의 사이버 세상은 더 밀접해진 실생활을 대변하고 있고 세계 무대에서의 중심도 이전 보다는 더욱 더 밀접하게 연관되어 돌아가고 있다. 실생활에 충격적인 영향을 줄 수 있는 부분들도 사이버 세상을 통해서 거래가 되고 전달이 된다. 여기에 영향을 미치는 것은 실제 국제관계, 국가간의 관계도 차갑게 돌변 시킨다. 지금 미국과 중국의 사례를 보라. 서로간의 사이버전을 중재하자는 미국과 러시아의 협력을 보라. 미래 세상을 준비하기 위해 가장 중요한 점은 대응 능력이라는 점을 강하게 표방하고 있는 영악한 미국정부의 대응을 보라.

 

어디쯤에 와 있는가?

 

대량 공격이 일반화 되어 있고 작은 구멍으로도 전체가 공격을 받는다. 내부에 중요한 정보들은 겹겹이 둘러 쌓인 성곽에서 철통 같은 경비로 보관이 되고 있으나 모두가 정문만 철통같이 지킨다. 구중궁궐에 들어가는 방법은 정문이 아니라도 된다. 철통같이 비용을 들이고 인원을 늘려 보호를 한다 하여도 세상을 평안하게 하는 만큼의 태평성대는 구가하기 어렵다.  턱 밑에서 방심하기만을 기다리고 비수를 겨누는 지금의 상황에서는 언제든 털릴 수 밖에 없으리라.

 

자산은 다시 평가 되어야 한다. 중요한 정보를 담고 있는 곳을 데이터베이스라 하고 이 데이터베이스에 접근 할 수 있는 모든 장비와 서비스들은 단계별로 중요도를 다시 산정해야만 한다. 가지고 있는 정보에 의해 중요도를 평가하기도 하지만 여기에 덧붙여 접근 가능성에 따라 기술적인 보호조치들은 달라져야 한다.

 

TJMaxx 에 대한 해킹과 Heartland (한국으로 따지면 대규모 PG)의 정보 유출은 유효한 카드 일억 건 이상의 직접적인 유출이 있었다. 7/11의 내부망 침입 후 현금인출, F-35 설계도의 유출, 이란 사이버 아미라는 단체에 의한 트위터와 바이두의 DNS 변조사건들.. 오래된 일들이 아니다. 지금 이 순간에도 국내에서는 또 다른 문제들이 벌어지고 있고 언제든 수면위로 나타날 수 밖에 없다. 미국내 서른개가 넘는 주요 회사들에 대한 타켓화된 공격은 이미 오래 된 이야기 이다. 다만 대상 영역이 민간부분까지 대폭 확대된 경향이 변화되었을 뿐이다. 제로데이 공격이라는 말의 역사는 최소 5년 이전에 발생된 말이며 오늘 당장 나온 용어가 아님을 잊지마라.

 

종래에는 모든 PC를 포기하는 정책이 나올지도 모르겠다. 모든 PC들은 껍데기이고 중앙에서 통제하는 형태로 진행이 될 수도 있다. Network computer의 꿈은 아직 끝나지 않았다. 비록 바람직한 방향에서의 접근이 아니라 어쩔 수 없는 선택이라는 방안이겠지만.. 적극적인 보호는 공조가 안되어 힘들고 제약들이 많다. 수동적인 보호는 아무리 걸어 잠근다 하여도 한 순간의 헛점들이 전체를 위태롭게 만든다. 그 헛점들은 항상 출현하게 마련이다.

 

개인PC에는 더 이상 개인적인 자료를 담을 수 없다. 신뢰할 수 없는 인터넷의 위기는 앞으로도 더 확산이 될 것이고 더 충격적인 모습으로 영향을 미치게 될 것이다.

 

어쩌면 인류역사상 인간의 지적능력의 진보와 정보 획득 수준을 최대치로 확장케 해준 인터넷은 가장 유용한 도구이며 한 단계 이상을 인류 전체의 지식과 인식체계를 개선 시킬 수 있는 가능성을 지녔다고 할 수 있다. 그러나 현재는 오염 되어 가고 있다. 권력을 쥔 자들은 도구의 활용이 극대화 되기를 두려워할 수도 있을 것이다. 모든 것이 공개되고 비밀은 사라져 가게 되고 권력자들의 입지는 좁아지게 된다. 그래서 오염으로 방치 하는 것일 수도 있다.

 

방치 하기에는 주어진 기회가 너무 아깝고 안타깝다.

사람과 사람 사이를 더 가깝게 만들지 못하는 인터넷, 불신을 초래하는 문화, 지식 수준은 극도로 확장이 되어 버스를 타나, 지하철을 타나 몰입하게 만든다. 방향성을 제대로 잡으면 큰 도움이 되는 도구가 될 수 있으나 그렇지 않다면 손쉽게 나락으로 떨어져 간다.

 

세상을 이롭게 만드는 도구로서 충실하도록 하려면 적극적인 대응이 필요하고 뜻 있는 자들의 모임도 필수적이다. 또한 한 국가에서 시작을 한다면 향후의 새로운 분야에서의 입지도 강화 될 수 밖에 없을 것이다.  세상을 널리 이롭게 하려면 무엇을 해야 하는지부터 생각을 해야 할 것이고 가깝게는 위험을 회피 하려 하기 보다는 근본적인 문제를 없애려고 노력해야 한다. 무엇이 핵심적인 문제인지를 파악 하는 것이 제일 먼저 이겠지만..

 

 

지금의 핵심 문제는 무엇인가?

 

 

개인PC에 대한 해킹이라는 의미는 운영체제의 권한을 획득하여 자유자재로 활용한다는 용어와 동일하다. 개인 PC에 대한 해킹을 하기 위해 타켓화된 공격을 감행하고 인터넷을 통해 감염을 시킨다. 대량으로 감염이 된 PC들은 또 다른 이득과 목적을 위해 이리저리 이용 당한다.

 

사이버 세상을 클린 하게 만들려면 지금의 관점에서 보다 더 장기적인 관점으로 접근을 해야 한다. 당장 눈 앞의 일에 연연해서는 큰 방향성을 잡을 수가 없다. 이슈가 되는 것만을 해결 하기 위해 따라가는 것은 어쩌면 당연한 현상일 수 밖에 없다. 그러나 중심이 없다. 어떤 문제를 해결 하는 것이 가장 먼저이고 그 문제 해결을 위해 어떤 작업들을 순차적으로 해야 하는지에 대한 로드맵이 없다.

 

이버 경우도 현상의 문제만을 기술하고 해결 하기 위한 프로세스, 지원, 방향들을 담았을 뿐이다. 근본적으로 클린한 순방향 도구의 인터넷으로 전환, 확대 시키기 위한 방안으로 언급 된 것은 아니다.

 

변화하는 인터넷의 위협들은 이제 실생활 구석구석까지 난입한다. 이제 그 실체도 확인을 해보기 바란다.

 

-       바다란 세상 가장 낮은 곳의 또 다른 이름.

 

 

 

Posted by 바다란

댓글을 달아 주세요

2002년 8월로 되어 있네요.

 

문서를 찾아서 다시 읽어 보니 부끄러움만..부족함도 많고..

 

그때 브라질 해킹 그룹을 분석하게 된 계기가 내부로 부터 눈을 돌려 외부를 분석하고 그때 당시만 해도 국내의 웹사이트를 공격하는 다수의 고급 크래커들이 브라질 계열이다 보니 적을 알고자 하는 마음으로 분석을 했었죠. 덕분에 새로운 정보 수집 사이트도 찾고 여러 동향도 조금은 객관적으로 불 수 있었던 것 같습니다.

 

아마 해외 그룹에 대한 분석은 처음이 아니었을런지.. ^^; 뭐 얼치기 분석이라도.

 

이래저래 재밌게 보낸 2002년 이었네요. 돌이켜 보면.. 이걸 하루에 왕창 올리면서 이런 생각이 드니  참 세상은 그래도 살만 한가 봅니다. 몰입이란..열정이란.. 항상 이런 질문 하면서 사는데..

 

 

Posted by 바다란

댓글을 달아 주세요

보안패치의 중요성은 아무리 언급을 해도 지나치지 않습니다. 지난해 발생한 대부분의 사용자 정보를 탈취하기 위한 악성코드 대부분이 2 종류의 취약성을 이용하였고 올해 초에 나온 WMF 취약성을 이용한 악성코드도 있습니다. 즉 3 종류의 취약성만 선별하여 막았다면 많은 문제를 해결 할 수 있었다는 것이죠. 이런 점에서 의미를 생각해 볼만한 기사인 것 같습니다.

 

--------------------------------

 

“웜-악성코드, 윈도우 취약성 이용한 공격이 대부분”

윈도우 취약성 근본 원인제거 방법은 ‘보안패치’ 뿐


보안패치의 중요성에 대해 NHN 전상훈 보안분석팀장은 “바이러스나 악성코드 등이 사용자의 PC에 침입하기 위해서 가장 많이 이용하는 것이 윈도우 운영체제의 취약성이며 이 취약성 비율을 줄일 경우 개인 PC를 공격하는 위험성을 줄일 수 있다는 것이 보안패치 서비스의 핵심”이라고 말했다.


NHN은 한게임의 경우는 지난해 12월부터 로그인시 자동 윈도우 보안패치를 실시하고 있고, 네이버는 ‘클린 캠페인’을 통해 올해 4월부터 선택적으로 실시하고 있다.


정부나 MS측에서 고민해오던 보안패치율 증가에 대해 NHN은 그 해답을 제시해주고 있으며 인기 포털과 게임사가 힘을 합할 경우 그 시너지 효과는 엄청날 것으로 전망된다.


예를 들면, 한게임에 보안패치 자동업데이트 서비스가 실시되고 난후 5개월 여만에 전국 PC의 20%에 해당하는 510만대 가량의 PC가 보안패치를 하고 있다. 만약 이런 서비스가 주요 포털이나 인기 게임사이트에 접목 된다면 아마도 정부에서 올해말까지 목표로 하고 있는 보안패치율 80% 달성은 거뜬하지 않을까.   


한국MS측은 “국내 보안패치율을 높이기 위해 포털사나 게임사에 의뢰해 자동서비스 실시를 계획하던 차에 NHN측에서 먼저 바이러스나 악성코드 등에 국민들 PC가 너무 위험에 무방비로 노출돼 있다며 보안패치 서비스를 실시해보자는 제안이 들어와서 너무 고마웠다”고 밝혔다.


KISA는 한게임 보안패치 서비스를 필두로 10여개 포털이나 게임사에 이와같은 서비스를 실시할 것에 대한 협의와 검토 과정을 거치고 있는 것으로 알려졌다. 또한 한게임이나 네이버의 성공적인 서비스 실시에 업체들도 큰 반대없이 따라올 것으로 보인다.


자칫하면 고객들에게 불편을 줄 수도 있어 영리를 목적으로 하는 기업의 특성상 선뜻 시도하기 어려운 부분들이 있었음에도 불구하고 이러한 공익적인 측면에 관심을 기울인 NHN 보안분석팀 전상훈 팀장의 말을 직접 들어보자.    


Interview

NHN 보안분석팀 전상훈 팀장


“국내 PC 2천5백만대 중 510만대가 한게임 통해 보안패치”

“네이버에도 보안패치 서비스 전면 실시 검토중”

안전한 인터넷 환경 조성은 ‘보안패치’ 생활화가 핵심


nhn내부에서 보안패치에 대한 논의가 나온 이유가 있다면?


2005년 상반기에 악성코드 발생 비율을 확인한 결과 사용자 PC의 취약성을 이용한 공격이 대부분 이였으며 한게임의 서비스 보안을 아무리 강화를 한다 해도 사용자 정보를 훔쳐가는 악성코드에 대한 대응을 하기 위해서는 한계가 존재할 수밖에 없었다. 따라서 사용자 PC의 보안을 강화하지 않는 이상 고객의 개인정보를 보호 할 수 있는 방안이 없다는 점에서 보안패치 서비스를 고객에게 설치하는 것이 최초 논의되기 시작 했다. 사용자들의 주된 피해 요소를 확인해 본 결과 2005년에 발생된 악성코드의 경우 두 종류의 운영체제 취약성에 의해 사용자가 극심한 피해를 입은 것으로 조사하게 되었다. (MS 05-001 , MS 04-013 ) 따라서 서비스의 강화 보다는 지속적으로 피해를 입는 사용자를 위해서는 근본 원인을 제거하는 것이 문제 해결을 위한 핵심이라고 판단해 실무팀과 협의를 통해 서비스 제공을 협력하기 시작 했다. 지난해 7월부터 논의를 시작해 그해 12월 보안패치 서비스를 정식 오픈, 현재까지 운영하고 있다.

웜ㆍ바이러스ㆍ악성코드 등이 사용자의 PC에 침입하기 위해서 가장 많이 이용하는 것이 윈도우 운영체제의 취약성이며 이 취약성 비율을 줄일 경우 개인 PC를 공격하는 위험성을 줄일 수 있다는 것이 보안패치 서비스의 핵심이다.


한게임 전용백신 서비스가 실시되고 있는데 이 서비스에 대한 간략한 소개?


전용백신 서비스는 이미 설치되어 고객의 PC에서 운용 되고 있는 악성코드를 제거하기 위한 서비스로서 보안패치 서비스가 근본 원인을 제거하기 위한 서비스라면, 근본 원인 제거와 동시에 이미 설치된 악성코드(게임 관련 개인정보 유출용 악성코드)를 제거하는 부분도 동시에 이루어져야 고객의 정보를 보호할 수 있다는 취지에서 올해 1월부터 지원되고 있는 서비스로, 한게임 접속을 하는 사용자의 정보보호를 위해 실시되고 있는 서비스다. 또한 키보드 보안 서비스도 일원화된 보안 강화 프로세스의 일원으로 지난해 7월부터 진행이 되고 있다.


전용백신에 대한 보안패치만 이루어지는가 아니면 MS운영체제에 대한 보안패치도 함께 이루어지는가?


전용백신에 대한 보안패치는 별도로 이루어 지지 않으며 MS 운영체제에 대해 발생하는 치명적인 내용에 대한 보안패치가 제공되고 있다. 전용백신의 경우, 신규 악성코드 출현 시 마다 업데이트를 통해 악성코드를 제거하기 위한 업데이트가 이루어지고 있는 상황이다.


다른 포털이나 게임사에서는 유저들의 불편함 때문에 주저하고 있는 것으로 알고 있는데 NHN에서 과감하게 실시한 이유가 있다면?


현재 한게임에서는 사용자의 로그인시마다 보안패치 서비스를 선택 없이 사용하게 하고 있으며, 네이버의 경우에는 ‘클린 캠페인’을 통해 네이버 보안패치 서비스를 제공하고 있다.  네이버의 경우에는 올해 4월부터 캠페인 진행을 통해 보안패치 서비스를 제공하고 있다. 고객의 보안성을 강화하는 것이 실제적인 서비스의 향상이라는 취지에 공감하여 선도적인 기업으로서 공익에 부합하고자 하는 명제 하에 서비스를 도입하고 운영하고 있다.


언제 처음 실시했고 실시후 유저들의 반응은 어떤가?


한게임의 경우는 2005년 12월에 실시했고, 네이버는 ‘클린 캠페인’을 통해 올해 4월부터 선택적으로 실시하고 있다. 유저들의 반응은 보안성을 높이고 자신의 중요정보를 보호 할 수 있도록 편리성을 제공한다는 측면에서 좋은 반응을 얻고 있으며, 현재는 한게임의 경우 보안패치 서비스를 설치한 사용자가 5월16일 기준 510만을 넘어서 국가 전체적으로도 상당한 비율의 보안성이 강화됐을 것으로 자체 판단하고 있다.


KISA나 MS측에서는 한게임 자동보안패치서비스로 인해 보안패치율이 상당히 높아졌다고 말하고 있다. 이에 대해 어떻게 생각하는가?


5월16일 현재 510만의 사용자가 보안패치 서비스를 이용하고 있으며, 한게임 사이트 방문시 마다 전문인력이 선별한 위험성이 높은 취약성에 대해서는 실시간으로 체크가 되어 보안성이 강화되고 있다고 할 수 있다. 국가 전체적인 PC 사용비율은 2004년 통계치로 2천500만대 정도로 보고 있는데, 20% 정도의 PC에 대해 기본적인 취약성 문제를 제거함으로써 악성코드 및 웜ㆍ바이러스에 대해 문제가 없는 클린 PC로 만들고 있으므로 상당히 높아졌다고 할 수 있으며, 국가적으로도 위험요소를 줄이고 안전한 인터넷환경을 구축하는데 일정부분 기여하고 있다고 볼 수 있을 것 같다.


네이버 포털 전체로 확대 적용할 계획은 없는가?


올해 4월부터 네이버 부분에 대해서는 ‘클린 인터넷 캠페인’을 통해 사용자에게 제공을 하고 있으며, 향후 확대 적용도 긍정적으로 생각할 수 있는 부분이라 생각 된다.


전용백신 서비스는 자체 개발한 것인가?


전용백신은 외부 백신제작 업체와 협력하에 기획하고 개발이 된 것이며 서비스의 운영 및 관리는 보안팀에서 맡고 있으나, 개발 및 업데이트는 외부 백신 업체에서 담당하고 있다.


보안패치와 관련 다른 계획이 있다면?


현재로서는 연관된 계획이 없으며, 향후 Zeroday 공격이 상당히 증가할 것으로 자체 판단하고 있는데, 해당 공격과 관련해 전문인력을 통해 빠르게 대응함으로써 국가적인 위험요소를 줄여 공익성에 부합하고자 하며, 외부 위험으로부터 사용자를 보호하는 방안은 지속적으로 고민을 하고자 한다.


보안패치와 관련 정부의 지원이나 정책에 대해 하고 싶은 말이 있다면?


2006년 10월을 기해 MS의 정책이 SP2를 사용하지 않으면 보안패치를 제공하지 않는 정책으로 바뀔 예정인데, 국내에는 아직 SP2를 설치하지 않은 사용자가 많으므로 국가적인 문제가 될 수 있다고 본다. 따라서 SP2를 손쉽게 설치할 수 있도록 지원 해주는 것이 필요하다고 생각한다. 보안문제를 해결하기 위해서는 불법적인 운영체제에 대해서도 보안성 강화가 필요한데, 현재 SP2에는 정품인증을 통해 설치를 유도함으로써 불법 운영체제에 대해서는 설치가 되지 않고 있다. 악성코드 및 웜의 전파는 정상적인 사용자들에게도 영향을 미칠 수 있고 전체 인터넷 환경에 대해 위험을 줄 수 있으므로, 보안성 강화는 불법이든 정품 사용자이든 관계없이 강화 조치가 되는 것이 필요하므로, SP2의 설치지원 및 인증 관련 프로세스를 합리적으로 변경하는 것에 대해서 지원이 필요할 것 같다.


보안패치를 설치하지 않고 업그레이드 하지 않으면 어떤 피해를 입을 수 있나?


2006년 1월을 기해 WMF 확장자에 대해 신규 웜과 사용자의 개인정보를 유출하는 악성코드가 출현했는데 해당 문제에 대해서 당사 보안팀에서는 WMF에 대한 보안 패치가 공식 발표된 이후 타당성 검토 및 위험성을 판단하고, 이틀 뒤에 고객들에게 보안패치를 배포하여 문제가 확대 되지 않은 적이 있다. 보안패치를 하지 않음으로써 입을 수 있는 피해는 2005년 내내 사용자의 정보를 유출하도록 시도한 웜과 악성코드가 주로 3가지 정도의 윈도우 기본 취약성을 통해 사용자 PC에 침입한 것으로 조사가 되었다. 피해 규모가 매우 심각해 보안패치 서비스를 기획하게 되었으며, 만약 해당 취약성에 대해 패치가 이뤄지지 않는다면 사용자의 PC는 외부에서 조종할 수 있는 상태나 개인의 신상정보가 유출 될 수밖에 없는 위험성에 처한다고 판단된다. 따라서 보안패치를 시행 하는 것은 알려지거나 위험성이 있는 요소를 사전에 예방할 수 있는 서비스이며, 사용자에게 필수적인 위험요소만 선별하여 보안패치를 제공함으로써 안전한 인터넷 환경이 될 수 있을 것으로 예상하고 있다.

[길민권 기자(reporter21@boannews.com)]


Posted by 바다란

댓글을 달아 주세요

"보안성 검수" 란 무엇일까?

 

일반적으로 Black Box Test라고 칭하며 서비스의 오픈 이전의 안전성을 검수하는 절차로서 일반적인 서비스에 대한 부하 테스트 및 과다 연결 테스트와는 별개로 외부로 부터 공격이 가능한 취약성이 존재하는지 여부를 검수하는 프로세스를 말한다.

 

그렇다면 뜬금없이 왜 보안성 검수가 중요하다 하는 것일까?

 

모든 Application [ Web or C/S ]은 개발자가 개발을 하게 되고 오픈일정에 쫓기거나 보안부분을 고려하지 못한 설계 및 코딩으로 인해 문제가 있을 수 밖에 없다. 문제 발생 시점은 전체 프로세스 일정 어느 곳에나 있다.

 

서버의 보안설정 미비 , 네트워크상의 구조적인 문제점 , Application 코딩상의 문제점 , 서버와의 정보 교환의 문제점 등등 실로 개발자 및 운영자가 커버하기에는 범위가 넓어지고 전문화 된 것이 사실이다. 예전 처럼 폐쇄형 구조였을 경우에는 문제가 외부로 노출이 되지 않았으나 모든 것이 공개화 되고 오픈되는 것이 일상화 되어 있는 작금의 현실에서는 사소한 문제 하나로 중요 자산이 위험해 지는 일들이 비일비재 하다.

 

무엇에 집중하고 무엇에 신경을 써야 하는가?

개발자는 서비스의 안정적인 런칭과 창의적인 생각의 구현에 집중을 하고 보안 전문인력은 서비스의 침해 가능성 및 위험성을 통제 하여야만 한다. 모든 개발자가 Secure한 코딩을 한다는 것은 거의 불가능하며 모든 솔루션에는 위험성이 존재한다.

 

아무리 깔끔하고 Secure한 코딩을 한다 하여도 신경 쓰지 못하는 부분이 존재하며 개발자가 모든 일을 다 할 수는 없다. 따라서 보안성 검수라는 절차를 프로세스화 함으로써 [ SDLC : Secure Development LifeCycle] 안정적인 서비스의 오픈 및 운영을 할 수 있도록 하여야 한다.

 

작금의 한국 소프트웨어 개발 현실에서 보안성 검수의 여력을 지닌 회사는 많지 않다. 또한 있다손 치더라도 능력있고 역량이 충분한 검수 인력의 확보 조차도 쉽지 않은 일이다.  문제 해결은 아직 요원하며 하루에도 수십개의 서비스 및 수백개의 신규 웹사이트가 개편되고 런칭 되는 현실에서 보안상 심각한 취약성을 지니는 곳은 많을 수 밖에 없다.

 

요구사항 수집 -> 디자인 -> 설계 -> 개발 -> 테스트 -> 오픈 으로 이루어지는 일반적인 개발 프로세스 상에서 보안상의 코드 리뷰 및 취약성 테스트는 반드시 이루어 져야 하며 최초 요구사항 수집 단계 및 디자인 단계 부터 위험성을 최소화 하는 검증을 시행하는 것은 보다 더 철저하고 문제성이 없는 프로세스를 가능케 한다.

 

개발자에게는 Secure coding을 익히도록 하고 지속적으로 발견되는 문제를 해결 하도록 가이드를 하며 서비스 기획자에게는 설계 및 디자인 단계 부터 문제가 있는 부분에 대해서는 직시를 하도록 한다. 이후 개발이 완료된 단계에서 부터 Open 이전까지 보안성 검수를 지속적으로 시행함으로 인해 발생할 문제를 제거하는 프로세스가 궁극적인 서비스의 안전성을 보장 할 수 있을 것이다.

 

위험성을 100% 제거 할 수는 없으나 가능성을 95% 수준까지 줄이는 것은 충분히 가능하다. 보다 더 많은 인력과 비용이 투입 되어야 하나 신뢰의 문제 , 정보 유출로 인한 심대한 피해를 입을 수 있는 보안상의 Risk는 Business에 부수적인 모델이 아닌 필수적인 요소이다. 지금 보다 앞으로가 더욱 더 중요한 프로세스라 할 수 있다.

 

Secure Development는 간단하게 이루어 지지 않으며 많은 노력이 필요하다. 즉 전 세계의 모든 개발 프로세스의 안정화는 매우 심각하게 불가능하며 다수의 사용자가 집중화 되는 곳을 안정화 함으로써 일정 비율 이상을 증가 시키는 것 외에는 실천방안이 없는 상태이다.

 

더욱 더 많은 비용에 더욱 더 많은 인력의 투입.. 그러나 문제는 계속 된다. 얼마나 더 적은 Risk를 가질 수 있느냐가 향후 글로벌한 환경에서의 중요한 키 포인트가 될 것이다.

 

 - p4ssion : 바다란 

 

Posted by 바다란

댓글을 달아 주세요

최근 이글루스가 SK컴에 인수 되었습니다.

이로서 논점이 드러난 것이 블로그 칼럼이나 글들의 전문성 부분에 대해서 논의가 되고 있더군요.

 

제 스스로의 다짐이지만 최소한 이 블로그에서만은 스크랩이나 펌 없이.. 순수한 사견 및 의견을 제시할 수 있도록 하겠습니다. 가급적 1주에 하나의 칼럼은 올릴 수 있도록 노력을 하겠습니다.

 

보안관련 사이트도 있고 여러 사이트들이 있지만 현재로서 할 수 있는 제 자리에서의 역량은 제가 가지고 있는 생각과 의견을 정리하여 올리는 것이 최선이 아닐까 하는 생각이 듭니다.

 

열심히 살겠다는 것은 현재에 주어진 일에 열심이라는 의미도 있겠으나 보다 더 나은 목표와 방향성을 스스로 설정 할 수 있어야 된다고 개인적으로 생각 하고 있습니다.

이런 글을 올리는 코너들이 방향성을 설정하는 유용한 도구가 될 수 있도록 노력할 필요성을 절감하고 있습니다.

 

현재의 위험레벨 및 전체적인 사안에 대한 안목 부분에서 상당부분 부족한 것이 현실이므로 이런 부족한 부분을 미력한 역량이나마 높이는데 힘쓰도록 하겠습니다.

 

최고를 지향 하였고 노력을 하는 마당에 스스로가 조금은 게을러지고 나태해 진 것은 아닌지 반성하게 됩니다. 조금 더 큰 고통 속으로 저를 밀어내어 좀 더 나은 결과 좀 더 빠른 Alert 이 될 수 있도록 노력 하겠습니다.

 

* 향후 작성할 내용으로는 Zero day 관련된 두번째 칼럼이나 공개문서 형태 작성 할 예정이고 보다 더 높아진 기반시설에 대한 위험성을 위해 SCADA , DCS 관련된 내용도 틈나는 대로 작성할 예정입니다.  차주 중에는 최근의 보안위협 동향에 대해서 전반적으로 체크를 해보도록 하죠. 단순한 사안에 의해 끌려가는 것이 아니라 장기 발생 가능한 위험을 체크할 수 있도록...

 

 

앞으로도 많은 관심 부탁 드리겠습니다.

감사합니다.

 

Posted by 바다란

댓글을 달아 주세요

 

 아래의 기사는 지난해 (2005년) 5월에 주간동아에 기고한 기사입니다.

 


 
보안정보 유통채널 어디 없나
보안 취약성 관련 정보 교환의 장 전무 … 사고 대응 및 위험 통보 없어 수동적 대응
 
 
 
 
 
보안 관련 정보가 유통되지 않고 감춰져 있으면 그로 인한 피해는 더욱 커지게 된다. 

최근 ESG(Enterprise Strategy Group)는 미국에 있는 종업원 1000명 이상의 기업에 근무하는 229명의 보안전문가를 대상으로 ‘기업 내부보안 위협’에 대한 설문조사를 했다. 응답자의 절반가량이 연간 매출 10억 달러 이상의 대기업 소속이었다고 한다.

결과는 일반적인 예상치를 뛰어넘는 심각한 수준이었다. 응답자 중 27%가 사내에서 보안 관련 문제가 발생했는지조차 모르고 있었고, 23%는 지난 1년 동안 내부보안 결함으로 인한 침입이 있었다는 것. 이로 인한 손실은 40%가 주요 시스템이나 서비스 중단을 경험했고, 38%는 데이터 손상이나 손실을 겪어야 했다.

 

“게시판이나 각종 DB 프로그램의 취약점을 알려주려고 해도 알려줄 공간이 없어요.”

 

해커나 크래커를 상대하는 국내 보안전문가들의 최대 고민은 국내에 보안 취약점에 대한 정보 유통 채널이 없다는 것이다. 보안이란 전쟁터에서도 역시 정보싸움은 매우 중요한 부분이 될 수밖에 없다. 거의 날마다 새로운 취약성이 발견될 정도로 보안 관련 정보가 폭증하고 있는 것. 안티바이러스 솔루션을 만드는 회사의 경우 과중되는 업무로 비명을 지를 지경이다.

 

보안에서 가장 핵심적인 내용이라면 일반 사용자 측면과 방어하는 쪽에서의 기술적인 부분이 있을 수 있다. 일반 사용자라면 바이러스 백신의 활용과 PC 보안 조치 및 운영체제의 패치를 즉시 설치하는 정도가 될 수 있겠고, 해커와 맞상대하는 보안전문가라면 앞으로 일어날 위험을 예측하고 사회의 기반시설이 된 인터넷을 안전하게 지킬 수 있도록 노력하는 부분이라고 할 수 있다.

 

해외 메일링 리스트에 의존 앞으로 일어날 위험을 예측한다는 것은 그에 대한 정보가 이미 확보돼 있어야 하며, 특히 취약성에 관련된 정보의 활발한 교류와 적극적인 토론을 통해 방안을 모색해야 한다는 것을 뜻한다. 이제껏 국내에서 그와 같은 구실을 했던 매개체는 한국정보보호진흥원(KISA)에서 운영하는 CERTCC-KR 메일링 리스트(http://www. certcc.or.kr)가 유일하다.

 

이 메일링 리스트는 양 방향 채널을 가지고 의사소통을 통해 보안 의식과 취약점에 대한 정보를 공식적으로 언급해왔으나 현재는 유명무실해졌고, 아주 소수의 알려지지 않은, 또는 활동이 매우 뜸한 메일링 리스트만이 정보를 소통하고 있을 뿐이다.

 

그렇다면 우리나라의 보안전문가들은 이 같은 고급 정보들을 어떻게 획득해온 것일까. 대부분이 해외에서 운영하는 메일링 리스트에 의존해왔다. 미국의 Bugtraq(http://www. securityfocus. com/archive/1) 같은 해외 메일링 리스트를 이용해 취약성 정보를 받아왔을 뿐이다. 국내에서는 사이버 안전센터 및 KISA에서 제작하는 취약성 관련 경고문만이 일방적으로 전달되는 실정이다.

 

이 같은 일방적인 정보 전달이 왜 문제인가 하면 지난해 말 발생한 PHP-BB의 취약성을 이용해 웹페이지 변조 및 악성코드를 다운로드 받도록 만들어진 SANTY Worm처럼 프로그램을 직접 이용한 취약성 공격이 빈번해진다는 점, 그리고 올해 초 1000개 이상의 홈페이지가 PHP 취약성에 의해 공격을 당하는 상황에서 볼 수 있듯 앞으로도 새로운 유형의 공격이 증가할 것이라는 우려 때문이다.

 

국내에서 개발된 다수의 애플리케이션(Application)에 대한 취약성도 분명히 존재하며, 이런 취약점을 공개적으로 토론할 장소도 없는 상황에서 국내 취약성이 해외 버그 트랙(Bugtraq)이나 취약성 관련 메일링 리스트에 공개될 경우 해외 크래커들에 의해 악용당할 소지가 매우 높다. 그리고 해외 메일링 리스트에 공개된 취약점이 국내에서 적극적으로 쟁점화되지 않고 보안·네트워크·시스템 관련자들에게서 이슈화되지 못함으로써 수동적인 대응밖에 할 수 없게 된 것.

 

인터넷 인프라가 훌륭한 것은 기반시설이 잘되어 있는 것이고, 기술과 커뮤니티가 활성화되는 것은 발달이 이루어지는 것이다. 보안이라는 부분은 기술과 커뮤니티라는 사회가 무너지지 않도록 보완하는 조직이며 상호적인 관계에 있다. 대한민국의 인프라는 훌륭하며 앞으로도 독창적인 기술과 커뮤니티 문화는 계속 발전하게 될 것이다.

 

위협의 빠른 차단과도 같은 준비는 이미 발생한 위험을 최대한 줄여주는 구실도 한다. 지금의 우리나라 정보보호 준비는 빠른 차단과 확산의 최소화를 목표로 한다. 그러나 위험을 없앨 수는 없고 때로는 치명적인 위험을 입을 수 있다. 그렇다 하더라도 앞으로 발생할지 모르는 위험과 위협에 대해서 적극적으로 토론하는 장이 그 어디에도 없다는 것은 우리에게 너무나 아쉬운 대목이다.   (끝)
 

Posted by 바다란

댓글을 달아 주세요

최근 보안 전문 업체의 업종 다변화와 맞물려 CCRA 인증 협약이 며칠전 발효가 되었다.

 

두 가지 사안과 뉴스가 다른 시점에 나타났으나 연관관계는 매우 밀접하고 또 관계가 깊다.

 

CCRA: 국제 공통평가기준 상호인정협정으로 협약에 가입된 국가간에 보안제품에 대한 인증을 통과한 업체에 대해서는 해당 협약에 가입한 국가에 공통적인 평가 기준으로 인정이 됨을 말한다.

 

예전 90년대 부터 보안 장비 부분을 버티게 해주던 정책이 K4 인증이였다. 국정원에서 보안제품에 대한 인증을 수행하고 해당 장비에 대한 보안성이 검증되면 부여하던 인증인데.. 소스코드 및 기능 설계에 대한 부분도 검증을 받아야만 K4 인증을 받을 수 있는데 외국기업 중 어떤 기업이 한국 시장만을 보고 자사의 전체 재산과도 다름없는 방화벽이나 침입탐지 시스템의 소스코드를 공개할 것인가?.

 

따라서 공공기관에 도입 기준으로 정해진 K4 인증을 획득하지 못하여 진입 자체가 힘들었으며 민간용 구매의 경우에도 세계적으로 점유하고 있는 점유율 만큼을 인정 받지 못하였다.

 

현재 협약이 체결된 CC 인증에 관한 문제는 2년전 부터 이슈화가 된 부분이나 그동안 보안업체들은 무엇을 준비했는지 묻고 싶다. 또한 그 이전에 전문 기술 부분에 대해 얼마나 투자 했는지도 묻고 싶다. 엔지니어가 없는 회사. 전문 엔지니어가 대접받지 못하는 회사. 회사 정책상 얼마만큼의 당장 눈앞에 보이는 수익에 집착하고 그 이익을 위해 불나방처럼 자신의 날개를 불사르는 짓을 얼마나 했던가?

 

침입의 변화와 트렌드의 변화는 조금만이라도 눈을 뜬 자들에게는 그리 어려운 부분이 아니다. 모든 정보가 공유되고 공개되는 세상에서 그다지 어렵지 않은 부분이나 이런 부분을 외면하고 또 장기적인 투자를 외면한 그 실상은 참혹하다 할 수 있다.

 

멸치를 팔고.. 만두를 팔고.. 보안이 아닌 기타업종으로 진출을 하고.. 왜 이럴까?..

보안이 돈이 안되어서?.. 이건 변명꺼리도 될 수 없다. 왜 국내 시장에만 안주 하였는가?

왜 외국 시장에서는 뛰어난 성능으로 견주지 못하였는가?  성능이 안되어서? 독창성이 없어서? 기술이 안되어서?. 모든게 정답일 것이다.

 

작금의 시장은 뛰어난 성능과 남과 다른 그 무엇이라도 있다면 인정 받을 수 있는 시장이다.

그 시장에서 겨루지 못하고 국내시장에만 그것도 제한된 시장에만 안주하여 안정된 이익을 보장 받기를 원한 그 결과라고 볼 수 있다. 위협이 글로벌화된 현재 상황에서 보안 전문분야에서는 기술이 뒷받침 되지 않는 이상 더 이상 방패막이는 없을 수 밖에 없다. 이게 국제 사회에서의 통설이다. 방패막이는 스스로를 죽일뿐인 것을..

 

파장 및 파급효과에 대해서는 따로 기회가 되면 언급을 하겠으나 현재 변화된 상황만 보고 단편적인 이야기만 하면 개인적인 생각은 위와 같다.

기회는 많았으나 그 기회를 볼 줄 아는 눈이 없었다. 당장의 이익을 위해 변화하는 것은 좋으나 큰 방향으로 나아갈 큰 기업이 될 재목은 없었다라고 정의 할 수 있을 것 같다.

 

틈새 시장으로 진출한 보안 업체들도 있고 전문 분야를 고수하고 있는 업체도 있으나 제품을 만드는 곳은 앞으로 힘들어 질 것으로 보인다. 앞서 올린 글들에서도 언급 하였듯이 패러다임의 변화는 이미 대세에 이르렀는데 이제와서 돌아 갈 수는 없는 불변의 변화에서 상황이 호전되기만을 기다린 다는 것은 죽음을 기다리는 것과 같다.

 

생명력이 얼마나 될까?.. 그리 오래 가지는 못할 것이다. 최소한 보안이라는 부분에서.. 권토중래를 하기 위해서는 와신상담이 필수 이건만 이젠 그 기간조차 보장 받지 못할 것이다.

 

살아남은 기업들은 외산제품의 기능이나 연구역량에 밀려 점차 입지가 좁아질 것이므로 특정 기능 및 독창적인 기술에 집착하여야만 성공을 바랄 수 있을 것이고 역량 집중 없이 영업 및 사업 부분 확장으로만 버텨온 기업에게만 더 이상 기댈 것이 없는 시점이 곧 올 것이다. 지금이 그때인지도..

 

만두와 멸치는.. 살아남기 위한 몸부림!.

그러나 이런식의 몸부림으로는 이 보안이라는 분야에서 오래 버티기는 어려울 것이다. 적어도.. 아무리 늦었어도 3~4년 전 쯤에 승부수를 던지고 몸부림을 쳤어야 했다. 그 시점은 2001년에서 2002년 무렵이였을 것이고...

그때 던졌더라면 충분히 될 수도 있었을텐데.. 기술인력 다 보내고 역량 집중도 못하고 기업의 규모가 작아서 그런면도 있었을 테지만..무리한 확장 보다는 내실을 다졌어야 했는데.. 매출이 중요한 것이 아니라 얼마만큼의 독창성을 보유하고 있는지가 중요한 포인트임을 알고 세계의 흐름을 볼 수 있는 눈을 가진 경영자가 있었어야 했는데.. 그렇지 못한 것이 오늘날의 패인이라고 볼 수 있다.

 

경영만을 가지고 1대를 꾸려가는 기업을 만들 수도 있을 것이다.

비전이나 기술이 뒷받침 되지 않고서는 보안과 같은  전문분야 에서는 경영 다각화만으로는 1대 조차도 못 꾸릴 것이다.

 

살아날 길은 무엇일까?.. 틈새기술..독창성.. 그 무엇이든 뼈를 깍는 노력이 필요하다. 구조조정이나 사업 다각화가 아닌 독창성을 보유하기 위한 처절한 몸부림이 있어야만 성공 할 것이다. 그러나 지금 언론지상을 누비는 뉴스에서는 그런 몸부림을 전혀 느낄 수가 없다.

 

* 개인 사견 입니다. ^^ ; p4ssion

 

 

Posted by 바다란

댓글을 달아 주세요

http://www.zdnet.co.kr/news/network/security/0,39031117,39146342,00.htm

 

TCG [Trusted Computing Group]의 지닌 생각은 타당한 생각입니다.

또한 반대편에 존재하는 조지오웰의 독재자의 인상도 타당한 생각입니다.

 

가장 중요한 전제는 이것임을 잊지만 않는다면 타당합니다.

 

가장 중요한 전제는 기업이나 사회의 보안은 End Point로 부터 출발을 하며 현재에는 더욱 더 중요한 위치를 차지하고 있다는 점입니다.

기업에서는 말단 PC에서 부터 노트북에 이르기까지가 기업전체의 존망을 결정할 수도 있으며 사회에서는 현재 이슈가 되고 있는 Bot 이나 웜의 경우에도 최초의 출발은 미약하나 과정은 대폭 짧아지고 결과는 확실하게 나타나는 네트워크형으로의 발전이 눈에 보이게 나타나는 형국입니다.

 

따라서 개개의 단말요소를 중요하게 생각하지 않으면 안되는 시점이며 이런 관점에서의 단편적인 문제해결을 위해 모든 구성요소에 Secure한 요소를 의무적으로 삽입을 하는 점도 충분히 나올 수 있는 판단이라고 보입니다.

그러나 이런 방식도 시일이 지남에 따라 또 다른 문제를 야기 시킬 수 밖에 없으며 방식의 확산 과정에도 충분한 문제가 드러날 수 있습니다.

 

기업의 입장에서는 이와같은 요소에 대해 어떤식으로 대응을 해야 할까요?.

중요 서버에 대한 강력한 접근제한 , 외부에서 접근시에는 SSL VPN , 모든 접근 가능한 단말에 대해서는 PMS [patch management system]의 운용을 통한 Active한 대응 [차단까지도 고려 ] 등이 나올 수 있는 대안이라 판단됩니다.

손쉽게는 보안장비나 장치를 통해서 하려는 발상을 누구나 할 수 있지만 어려운 면이 있으며 일편적인 방식으로는 해결이 되지 않으므로 굳건한 정책과 이에따라 발생하는 기술적인 문제를 해결할 수 있는 지식으로 무장을 하고 단계별 보안을 강화하는 수가 현재에서는 가장 타당한 방안이 아닌가 생각이 됩니다.

 

국가적인 입장에서는 전체 보안 패치의 레벨을 높이고 중요 포인트마다 문제를 발견하고 사전 인지후 차단까지 이어질 수 있는 빠른 대응체제의 수립을 통해 보다 확실한 효과를 볼 수 있겠죠.

 

무엇보다 가장 중요한 것은 첨단으로 진화를 하고 빠르게 발전을 할 수록 사람이 가장 중요한 자원이 됩니다.

능력을 갖추고 명확한 이해를 바탕으로 단계를 설정하고 레벨을 높일 수 있는 인력이 국가든 기업이든 중요한 요소라고 할 수 있습니다. 이런 부분까지 자동화 한다는 것은 앞으로도 매우 요원한 일이 될 것입니다.

 

Secure environment는 장비에 의해서 이루어 지는 것이 아닌 구성원의 노력과 단계적인 레벨업에 의해서 가장 충실해 지지 않을까 하는 의견입니다.

 

##########0*

Posted by 바다란

댓글을 달아 주세요

바다란입니다.

 

이 블로그에도 대책을 올렸는데 여전하군요.

가히 안전불감증이 만연되었다고 할 수 있습니다. ( 솔직히 그동안 신경 안썼죠. )
공격된 사이트들도 과감하게 기술 했네요.

sportschosun, joins.com , nate.com , mnet.com , 투니버스 , mbcespn , ohmynews.com 등 대규모 사용자들을 지닌 사이트가 해킹을 당하고 있습니다. 물론 일회성이 아닌 연속적으로 당하고 있죠. 즉 하나가 아닌 여러개를 동시에 하기도 하고 백도어를 심어서 재공격을 하기도 합니다. 위의 사이트 전체의 공통점은 무엇일까요?.

 

MSSQL DB를 사용하고 Web language는 asp , aspx 등을 사용합니다.
각 게시판 및 링크물에 대한 인자등에 대해 Validation Check 가 제대로 이루어 지지 않음으로 인해 DB 단위까지 SQL Injection 기법을 이용해 DB 권한을 획득합니다. 그 이후 Web Shell 혹은  Web Injection Scanner + Web Entry Detector 등을 이용하여 소스 코드를 변조 하게 됩니다.

추가 되는 악성 코드는 iframe등을 이용하여 자동으로 시스템에 설치 되도록 하는 것이 대다수 유형 이였죠.

 

피해는 점점 커져 가고 그동안 보안 분야에 대해 등안시 하고 중요하게 생각하지 않고 IT 부분이 발전해온 만큼 그 만큼의 댓가를 치루게 될 것 같습니다. 대책이나 대안을 제시해도 이해하고 실행할 만한 인력이 없다는게 가장 충격적이죠.

 

 

그 많던 치즈들은 어디에 갔을까요?.
널린게 보안 전문가 인데..다들 어디로 간거지 하고 찾는 분들은 다시 한번 생각해 보셔야 될 것 같습니다.
자랄 환경도 없는데.. 그 가치를 인정 받지도 못하는데 오랜 동안의 스트레스 및 극도의 긴장을 누가 감내할 수 있을까요?. 사람들은 다 떠나고 몇 안되는 사람들도 격무에 시달려 앞으로 달려 나가지 못하는데 과연 무엇을 위해?.. 의무감에서 무엇을 하는 것이 맞지 않나는 완전히 다른 이야기 입니다.  세상에 그 누가 의무감으로 일을 할까요?. 즐겨서 하는 것이고 지금껏 그래 왔지만 등을 떠밀며 돌리게 만든 환경에서 그 책임을 손가락질 한다면 과연 누가 앞으로 나설 수 있을까요?

 

진작 금년 5월 경에 공개적으로 내용을 오픈 하고 관련 진단 스크립트들도 공개하고자 했지만 처한 입장이 입장이다 보니 공개도 제대로 못하고 대응에 관련된 내용들만 공개를 하였습니다.. 뭐 대단한 것도 아니지만 먹고 살 기를 곤란하게 하고 의무감에 의해 공개를 할까요?. 그동안 많은 공개 문서 및 툴을 오픈 했지만 또 앞으로도 여전히 그럴테지만 현재로서는 위험을 감수하면서 까지 공개하고 싶지는 않습니다.  자체 제작한 툴은 아니여도 드러난 문제가 분명하므로 그 문제를 해결 하기 위한 전반적인 프로세스를 수립하면 되는데.. 사고에 따른 몇 몇 대규모 회사들의 대응을 보면 일시적인 땜빵에 또 머무르고 있습니다. 물론 보안 전문가들을 족쳐서요.. 마음이 싹 사라집니다.  이런 방식이라면 의미 없다고 생각 됩니다.

 

굴뚝 같은 마음이 들지만..그래도... 

 

 

특단의 조치가 과연 무엇일 될런지..궁금 합니다.
일괄적인 Secure coding을 강제화 할 것인지.. 아님 패치를 강제화 할 것인지.. 무엇으로 향할까요?
그 어떤 것을 하던지 간에 일시적인 미봉책에 다름이 아닐 것입니다.

근본적인 방향을 보려 하지 않고 오랜 동안 외면해오고 현실에 적응 만을 이야기 하며 훈계한 댓가라면 너무 냉소적인가요?.

앞으로도 많은 말들이 나올 것 같습니다.
졸지에 보안 전문가들도 도매금으로 욕먹는 그런 상황이 올지도.. ^^;.


http://news.naver.com/news/read.php?mode=LSS2D&office_id=008&article_id=0000580163&section_id=105&section_id2=283&menu_id=105

 

Posted by 바다란

댓글을 달아 주세요

  1. 이제대딩 2012.01.09 23:42  댓글주소  수정/삭제  댓글쓰기

    안녕하세요 전 이제대딩이되는학생인데요 정보보안전문가가 늘 꿈이었는데요..ㅜ
    지금 상황이 많이 심각한가요? 비전있는직업1위 뭐이런건 한국의 현실에 안 맞는 말인가요??
    신입으로 취업하기가 많이 힘든가요???ㅜㅜㅜ

    • 바다란 2012.01.10 06:21 신고  댓글주소  수정/삭제

      본인의 의지에 달린 문제입니다. 취직만을 목적으로 한다면 말리고 싶구요.. 본인의 성취나 방향이 있다면 적극 추천합니다. 비전이 있다는 이야기는 그만큼 문제가 심각하다는 이야기이고 비단 취업만이 아닌 문제 해결이 가능한 그런 인력으로 성장해야만 가능합니다. 그럼

 

 

 

일본계 기자가 써서 그런지 참 그렇네요.

 

내부에는 봐야할 내용들도 있고 유익한 일들도 있지만 서비스별 중요도별 , 활용도별에 따른 실제적인 통계나 예상이 없어 보입니다.

 

아직 한국이 보안에 강하다는 이야기는 없죠?.. 만약 있다면 문제죠. 이런 환경에서 된다는 것 자체가...

 

피싱뿐 아니라 해킹에 관련된 부분도 이제는 글로벌화 하고 있습니다.

적극적인 대책이 필요한 시점이나 차단 가지고는 되지 않고 인력들이 자랄 수 있고 자생할 수 있는 풍토를 만드는 것이 가장 중요하다고 판단됩니다. ^^;

 

 

금전 노린 해킹「국제적 공조 체제 필요하다」
[ZDNet Korea 2005-07-20 19:49]

피싱 웹사이트를 폐쇄시키느라 노력하고 있는 가빈 레이드는 일이 훨씬 더 어려워졌음을 감지했다. 바로 피싱 공격이 인도에서 일어나고 있었기 때문이다.

인도 기업들은 보통 미국 직장인들이 회사에 출근할 무렵 하루 일과를 끝낸다. 포춘이 선정한 500대 기술 기업 중 한 곳에서 보안 사고 대응팀을 이끌고 있는 레이드는 이런 점 때문에 문제를 해결하는 데 어려움을 겪고 있다.

FIRST(Forum of Incident Response & Secutiry Teams)의 프로젝트 리더이기도 한 레이드는 “시간이 너무 이르거나 늦기 때문에 제대로 연락을 취하기가 어렵다”라며 “피싱 공격이 일어난 첫 날 엄청난 손실이 발생했는데 연락을 취해 해결하는 데 무려 3일이 걸렸다”라고 말했다.

해외에서 공격이 시작되면 시간대 문제와 언어 장벽으로 인해 위협에 신속히 대응하기 힘들 수 있다. 해커들이 IT 업계에서 방어가 허술한 국가로 지목하고 있는 중국, 대한민국 같은 곳을 전세계 공격 거점으로 삼게 됨에 따라 문제가 커지고 있다. 또한 전문가들은 보안 대응 기구는 물론 각국의 법 집행 기구들이 공동 대응하고 있음에도 불구하고 아직 서로 조율해야 할 게 많다고 지적한다.

이 때문에 발생하는 위험은 크다. 기업들이 서비스 거부 공격인 새서와 같은 웜의 맹공에 시달리거나 고객의 민감한 정보를 훔쳐내려는 피싱 스캠을 당해 며칠동안 운영에 차질을 빚는 것은 물론 기업 이미지도 손상을 입는다.

이러한 모든 일은 미국 내 기업과 조직에 재정적 손실을 낳는다. CSI(Computer Security Institute)와 FBI가 기업, 정부 기구, 금융 및 의료 기관, 대학을 대상으로 조사한 바에 따르면 바이러스로 5500만달러, 서비스 거부 공격으로 2600만달러의 비용이 든 것으로 나타났다.

이런 문제의 근원은 보통 “좀비” 네트워크 때문이다. 좀비 네트워크란 종종 소유자가 모르는 사이 PC가 원격에서 제어될 수 있도록 공격당한 PC들을 의미한다. 사악한 공격을 감행하는 이들은 이렇게 자신들이 통제할 수 있는 PC를 수천 대 동원할 수 있고 이들을 이용해 스팸, 바이러스, 서비스 거부 공격 등을 퍼붓는 데 사용한다.

이메일 보안 회사인 사이퍼트러스트(CipherTrust)에 따르면 좀비가 가장 많이 발견될 수 있는 국가로 중국과 미국이 1, 2위를 다투고 있으며, 지난 주 중국이 새로운 좀비의 21%를 차지하고 있고 반면 미국은 17%, 대한민국은 6.8%를 차지하고 있는 것으로 밝혀졌다.

APWG(Anti-Phishing Working Group) 의장 데이비드 제반스는 중국과 대한민국에는 초고속 인터넷망이 널리 보급되어 있지만 이들 국가 내 기업과 소비자의 보안 소프트웨어 사용 수치는 극히 적다고 말했다. 이런 상황으로 인해 “봇넷(botnets)”이라고 알려진 좀비 네트워크에 이들 국가가 취약한 상황이라고 그는 지적했다.

FIRST의 레이드는 “컴퓨터에 애드웨어를 설치하면 1페니(5원)도 안되는 돈을 주는 기업들도 있다. 그러니까 200달러를 벌려면 4000대의 컴퓨터를 해킹해야 하니 별로 구미가 당기는 일이 아닐지 모르겠지만, 몇몇 개발도상국에서 200달러는 상당한 돈”이라고 말했다.

전문가들은 또한 교육 수준이 높은 IT 인력이 일자리를 얻지 못하고 있는 동유럽이 사이버 범죄의 온상 중 하나가 되고 있다고 지적하고 있다.

기업들의 대처법

세계 도처에서 위협이 일어나고 있다. 각 기업들은 아래 수칙만은 지키는 것이 좋다.

▲ 기업 내에 컴퓨터 보안 사고 대응팀을 만들어라.

▲ 보안 사고 대응팀을 만들기에 역부족이라면 보안 업무를 담당할 인력을 지정하라.

▲ 보안 패치와 안티바이러스 소프트웨어를 최신으로 유지해라.

▲ 라우터에 데이터 수집 기능을 켜 네트워크에서 사람들의 이동 정보를 얻어내라. 이렇게 하면 침입이나 비정상적인 예외 상황이 어디서 발생했는지 추적할 수 있다.

출처: FIRST(Forum of Incident Response Security Teams)

기업들에 미치는 영향

기업들, 특히 고객의 신용을 먹고 사는 금융 기관에겐 이런 상황은 상당한 영향을 끼치고 있다. 미 캘리포니아 주 산타 로사에 위치한 익스체인지 뱅크(Exchange Bank)는 근원지가 대부분 해외인 피싱과 파밍(pharming) 공격을 당했던 적이 있다고 은행 정보 보안 책임자인 밥 길고리어는 말했다. 피싱과 파밍 공격 모두 신뢰할 수 있는 업체의 웹사이트인 것처럼 꾸며놓고 고객들의 암호나 민감한 개인 정보를 수집한다.

익스체인지 뱅크는 이러한 보안 위협을 뿌리뽑고자 침입 방지 시스템(IPS), 인터넷 시큐리티 시스템과 보안 관리 서비스 계약, 전자 뱅킹 서비스 아웃소싱 등 몇 단계를 거쳤다. 길고리어는 고객들의 PC에 바이러스와 트로이 목마 프로그램이 있는지 검사하는 기술을 사용하기 위해 전자 뱅킹 협력업체와 현재 논의중이라고 말했다.

반격으로 다른 방법도 시도되고 있다. 인터넷 시큐리티 시스템의 CTO인 크리스 로랜드는 몇몇 기업들의 경우 좀비에 대량 감염되어 있는 ISP를 블랙리스트에 올려놓고 있다고 말했다.

하지만 APWG의 제반스는 몇몇 국가의 ISP에게는 고객 하나 막아달라고 이야기하기도 어렵다고 언급했다. 그는 “중국과 대한민국의 경우 ISP나 도메인 이름 등록 업체(registrar)에게 사이트 한 곳을 막아달라고 요청하기 가장 어려운 국가들”이라며 “중국에는 심지어 도메인 이름 등록 업체에 연락처가 없는 경우도 있다. 이러니 막아달라는 연락조차 할 수 없다”고 말했다.

이런 상황에서 지난 달 중국이 국제적인 스팸과의 전쟁인 ‘런던 활동 계획(London Action Plan on Enforcement Collaboration)’에 참여하겠다고 발표한 건 상당히 진일보한 일로, 환영을 받을만한 행동이다.

기업, 정부 기구, 대학, 기관의 사고 대응팀을 위해 전세계적인 정보 센터 역할을 하고 있는 FIRST는 국제적인 위협과 맞서기 위해 많은 권고안을 내고 있다. 예를 들어 FIRST는 기업들에게 컴퓨터 보안 사고 대응팀을 마련하거나 전반적인 보안을 맡을 상주 인력을 적어도 한 명은 두도록 조언하고 있다.

또한 FIRST의 레이드는 기업들이 보안 패치나 안티바이러스 소프트웨어를 업데이트하는 것뿐 아니라 라우터에 데이터 수집 기능도 켜놓도록 해 기업 네트워크에 누가 들어오는지 모니터링해서 예외 상황 발생시 침입 내용을 거꾸로 추적할 수 있도록 해야 한다고 제안했다.

레이드는 보안 위협에 관한 정보를 공유하기 위해 FIRST와 같은 보안 그룹이나 CERT(Computer Emergency Readiness Team)에 기관들도 참여할 것을 주문했다. 이 그룹들은 전세계를 대상으로 한 사이버 보안 위협과 싸워나가면서 부족함을 메워가고 있다.

레이드는 FIRST를 살펴볼 경우 회원사들이 구체적인 위협과 공격의 방향에 대해 정보를 공유할 뿐만 아니라 보안과 관련한 주제와 해결책도 다루고 있다고 말했다. 그는 예를 들어 스웨덴에 있는 한 기관이 어떤 ISP로부터 특정 형태의 해킹이 일어나고 있음을 감지했다는 경고 이메일을 보내게 되면 IBM에서 50개의 다른 ISP 주소에서도 유사한 방법이 감지되었다는 내용을 이메일 토론 주제에 넣게 된다고 말했다.

국제적인 노력

각국의 법 집행 기구들도 사악한 해커들의 활동을 막으려 하고 있지만 난관에 부딪히고 있다.

브라질 연방 경찰의 컴퓨터 범죄 수사 부서를 이끌고 있는 파울로 퀸틸리아노는 만약 브라질이 해외에 있는 한 ISP의 고객 정보를 얻고 싶어한다면 브라질은 정보 압류 승인을 위해 국제 조약이나 국제 재판에 의존할 수는 있겠지만, 6개월에서 2년이 걸릴 수 있다고 언급했다. 그는 이 때문에 2년 전 사이버 범죄 수사와 기소를 신속히 진행하기 위해 프로젝트를 시작했다.

퀸틸리아노는 “브라질 사람이 미국에서 범죄를 저질렀다면 FBI 측에서 내게 해당 ISP의 로그를 보낼 수도 있다. 이에 기초해서 수사를 진행하고 해당 ISP에게 기밀 해제를 요청한다. 이를 통해 브라질에서 범죄를 찾아낼 수 있다”며 “2년을 기다리지 않고서도 2주 내에 필요 정보를 얻을 수 있다”고 말했다.

퀸틸리아노는 브라질이 이런 방법을 통해 미국과 스페인과 공조하고 있다고 말했다. 브라질에서는 키 입력을 가로채는 공격자들로 지난 2년 동안 은행들이 7000만달러의 손실을 입었다.

영국 NHTCU(National Hi-Tech Crime Unit)의 대변인인 펠리시티 불은 NHTCU가 사이버 수사를 위해 미국 연방 수사국(FBI), 미국 비밀 경찰, 미국 우정청을 비롯한 사이버 범죄 관련 부서와 공조하고 있다고 밝혔다. 불은 NHTCU가 러시아의 법 집행 기관 공무원들과 협력하여 라인 도박 회사에 대한 갈취 시도 수사를 진행했으며 이같은 러시아 당국과의 협조로 5명을 체포했다고 말했다.

불은 “인터넷은 전세계에 걸쳐 있다. 따라서 우리만 고립되어 있을 순 없다”고 말했다.

전세계의 법 집행 기구, 보안 그룹, 기업들은 해외에서 감행되는 공격을 완화하기 위해 여러 방법을 시도하고 있다. 이를테면 특정 지역에서 오는 이메일을 자동적으로 필터링하는 것에서부터 사이버 공격을 막기 위해 전세계적인 공조 강화의 초석을 마련하는 것까지 다양하다.

이러한 노력들은 해외에서 비롯된 위협을 해결하는 데 있어 기업들의 능력을 강화시켜줄 것임에 틀림없다. 하지만 고려해야 할 다른 요소가 있다면 조직적 범죄가 해킹으로 이동함에 따라 공격은 더욱 정교하고 효율적이 되고 있다는 점이다. 한 보안 전문가는 미래에 대해 이야기하며, 앞으로는 바이러스만 해결하는 걸로는 충분하지 않을 것이라고 말했다.

허니넷(HoneyNet) 프로젝트의 랜스 스피츠너는 “범죄 동기에 대한 해결책이 필요하다”며 “3년 전 해커들은 명예를 위해 해킹을 감행했지만 현재 해커들은 부를 얻기 위해 해킹을 시도한다. 보안 문제라고 하기보다는 이제는 범죄라고 봐야 한다”고 말했다. @

##########0* 세계 도처의 위험들 ##########1*   ##########2*
몇몇 국가에서는 봇넷같은 골칫거리로 다른 곳들보다 더 큰 타격을 입고 있다.

호주 : 은행들이 주의를 제대로 기울이지 않고 있고 자주 사용되는 .au가 붙은 이메일 도메인 이름으로 인해 호주의 은행 고객들은 피싱 공격의 손쉬운 표적이 되고 있다.

브라질 : 은행들이 주의를 제대로 기울이지 않고 있고 자주 사용되는 이메일 도메인 이름으로 인해 키입력을 가로채는 트로이 목마 프로그램의 목표가 되고 있다.

중국 : 초고속 통신망이 보급돼 있으나 보안에 대해 인식도가 떨어져서 좀비 네트워크에 노출돼 있다.

대한민국 : 초고속 통신망이 보급돼 있으나 보안에 대해 인식도가 떨어져서 역시 좀비 네트워크에 노출돼 있다.

러시아 : 훌륭한 기술력을 지녔지만 일자리를 구하지 못한 노동력이 많으며, 이로 인해 러시아와 다른 동유럽 국가들이 사이버 범죄의 온상이 되고 있다.

<출처: APWG(Anti-Phishing Working Group>

##########3* ##########4*

Dawn Kawamoto ( CNET News.com )

[ 저작권자 ⓒ ZDNet Korea, CNET Korea,Inc. 무단 전재 및 재배포 금지, ZDNet Korea는 글로벌 IT 미디어 리더 CNET Networks의 브랜드입니다. ]

Posted by 바다란

댓글을 달아 주세요

2002년 10월 에 쓴 글이네요.

이 때만 해도 SCADA ,DCS가 어떤 의미인지도 모르시는 분들 많으셨을듯

 

지나간 자료를 보다보니 만들때의 생각이 나네요.

그냥 스스로가 좋아서.. 낯선 분야에서 무언가를 알아가고 체계화 한다는 것에 많은 만족을 가졌던 것 같습니다. 그 누군가의 평가와는 관계없이..

그 덕에 아직도 이렇게 지내지만.. ^^;

 

조금 더 큰 그림을.. 보려고 한계를 넘어 서려고 많은 노력을 했었고. 그 덕에 조금이나마 머리는 트인 것 같은데 아직도 여전합니다.

 

좀 더 큰 그림을 보려하고 체계화 하려는 것은 여전히 지닌 바램.

 

SCADA & DCS 관련 이 글을 쓸때만 해도 웹상에서 자료를 찾기도 어려워서 공부하는데 정말 힘들었었죠. 이것 저것 찾아봐도..자료도 없고.. 물어볼 사람도 없고.. 지금보다는 앞으로 발생할 문제라고 봅니다. 조만간 휴대폰 영역에서도 이슈가 될 것이고 유비쿼터스 환경에서 더더욱 살벌해질 문제라고 할 수 있죠.

 

이걸 만들 무렵에 SCADA &DCS 관련해서 미국토안보부인가에서 5페이지 정도의 보안 가이드를 발표 하더군요. 그나마 비슷한 시기에 만들었다는 헛바람든 만족만은 혼자 지니고 있습니다.

 

그럼.

 

Posted by 바다란

댓글을 달아 주세요

 

정보보호 체크 가이드  - by 바다란 (p4ssion@naver.com)

 

보안의 강화는 기업을 위한 중요한 활동임과 동시에 개인 정보 유출을 막기 위한 최선의 방책이다.  2005년에 급속도로 증가한 개인정보 유출용 악성코드 및 정보유출을 위한 다양한 위험성들이 늘어나 특별히 보안에 관심을 두지 않는 한 일반직원의 입장에서는 문제가 그리 간단한 것만은 아니다.

 

매번 연말이나 특정한 이슈가 발생할 때면 보안 회사들에서 보안 강화를 위한 방침을 발표하고는 한다. 이런 방침에 항상 빠지지 않는 것이 보안 패치의 활성화 , 백신의 업데이트 철저 와 같은 항목이다.

왜 보안 패치가 중요하고 백신이 중요한 것인가? 개인은 물론 기업, 산업 기반에도 중요한 영향을 미치는 요소로 매번 강조되는 이유는 무엇일까?

 

완벽한 운영체제란 없으며 시일이 지나면서 필요가 변함에 따라 사용환경은 변화하고 진보하기 마련이다. 또한 이전에는 생각지 못했던 새로운 기술과 개념들을 낡거나 부족한 토대위에 올려 놓으려다 보면 고려하기 힘든 부분들도 존재를 하게 되며 새로운 취약성이 발견이 되는 경우도 발생이 된다. 따라서 대부분의 운영체제를 만드는 곳에서는 발견된 문제의 중요성에 따라 보완하는 작업을 진행 한다. 2005년 연말에 발생하였던 wmf  취약성의 경우  Microsoft의 정식 패치 발표일이 아님에도 불구하고 일주일 가량 시간을 당겨서 보안상의 위험성을 보완하는 패치가 발표가 되었다. 문제의 심각성이 그만큼 심각한 사안이라는 경고가 세계 각국의 전문가들로부터 제기 되어 Microsoft도 무시하기는 어려웠으리라.

 

 

위험한 개인사용자

 

앞서 wmf 취약성을 예로 들었지만 wmf 취약성이 발표된 지 만 24시간도 되지 않아 취약성을 공격하는 코드가 발견이 되었다. 개념적인 코드차원에서 실제 공격을 하고 권한 획득을 할 수 있는 부분까지 발전이 되었으며 2~3일이 지난 후에는  메신저 ( MSN , Yahoo )를 통해 감염이 되는 웜 형태로도 출현하였으며 앞으로도 계속될 문제로 발전이 될 것이다. 또한 지난 해를 뜨겁게 달구었던 중국발 해킹은 현재도 진행형 이다. 유명하거나 사용자의 방문이 많은 사이트는 집중적인 공격의 대상이 될 수 있을 것이다. 왜 이런 많은 문제들이 발생을 하고 있고 이런 문제들의 해결책은 대체 무엇이 있을까? 여러 가지 문제의 원인이 있을 수 있지만 특히 몇 가지만을 헤아리면 안전하지 못한 프로그래밍 기법의 일반화 ( 보안의 고려가 없었던 시절의 프로그래밍 ) , 악성코드를 통한 정보유출 및 감염에 민감하지 못한 무관심과 같은 두 가지 유형을 대표적으로 들 수가 있다.  프로그래밍 기법의 일반화를 제외한 무관심의 경우는 개인 사용자의 위험 노출이 매우 높음에도 불구하고 인지를 못하고 있어서 향후에도 계속 발생될 수 있는 문제라 할 수 있다.

공격 기법도 계속 변화하고 있으며 2005년 12월에 발견된 wmf 취약성을 이용한 중국발 해킹도 연이어서 발생을 하고 있는 상황이다. 공격하는 자들은 계속 발전하고 있고 변화 하고 있으나 사용자들의 인식은 그에 미치지 못하고 있다. 더욱이 기업의 인식도 그리 많이 나아지지 못하고 있는 상황이다. 

취약성이란 무엇인가?  그렇다면 앞으로도 취약성은 증가하고 Zeroday 위협은 증가 할 것인가?. 대답은 증가 할 수 밖에 없다 이다.

 

일반 사용자들에게는 익숙하지 않으나 전문가들에게는 날마다 쌓이는 보안 관련 취약성 및 위험성 정보가 존재한다.  전 세계에서 개발되고 이용되는 Application의 수치는 얼마나 될 것인가? 또 오늘 당장 개발 되거나 내일 새롭게 발표되는 제품의 수는 얼마나 될까?.  매우 많은 수치의 제품이 현재 사용 중이며  또 개발 중일 것이다. 앞으로의 세상에서는 더욱 더 많은 제품들을 사용하게 될 것이 명확한 사실이다. 

한 가지 더욱 명확한 사실은  이 모든 제품들이 완벽하지는 않다는 점이다.  서로간의 정보교류를 하는 이상 그 어떤 제품도 100% 안전한 제품은 존재하지 않을 것이다. 보다 더 안전한 구성을 통해 안전성을 높다는 것은 보장 할 수 있어도 100%를 보장 할 수는 없을 것이다.

아래와 같은 사이트 ( 정말로 많은 취약성 관련 사이트 들이 존재한다. ) 에는 날마다 취약성에 관련된 신규 정보들이 올려져 온다. 공격코드들이 작성 되어 올려지기도 한다.

 

 이미지는 첨부파일 참조

 

< 취약성 정보가 게시되는 해외 웹 사이트 >

 

보안 관련된 논의 및 메일링을 통해 전 세계의 전문가들과 의견 교환을 할 수 있는 bugtraq 은 취약성의 흐름 및 빠른 정보 수집을 위해 필수적인 사이트 이다.

 

 이미지는 첨부파일 참조

 

< 취약성 관련된 메일링이 교환되는 Bugtraq >

 

발견되는 취약성은 일반직원들이 아는 것 보다 매우 많으며 그 복잡성도 높을 수 밖에 없다. 따라서 개개인이 직접적으로 대처를 하고 대응을 한다는 것은 어려울 수 밖에 없으며 기업 단위의 대처에도 영향을 미칠 수 밖에 없다. 한 기업에 있어서 공식적으로 사용하는 Application 외에 직원들이 사용하는 모든 Application을 알 수 있을까?. 또 취약성이 발견되는 Application의 문제에 대한 해결책을 제때에 적용 할 수 있을까?   

아마 해결책을 찾는 것도 전체의 Application (공식적인 것과 비공식적인 것 모두 포함) 목록을 체계화 하는 것은 일정 규모 이상의 기업에게는 매우 어려울 것이다. 현 상황에서의  조직 차원에서의 완벽한 해결책은 없으며 보다 더 안전할 수 있도록 꾸준하게 노력하는 것 외에는 해결책이 존재하지 않는다.

기업의 보안 및 보다 큰 공동체의 안정성을 위한 보안 노력도 모두가 개인 및 구성원의 적극적인 노력으로부터 비롯된다. 구성원의 노력 없이는 전체적인 보안태세 및 보안에 대한 노력들도 둑을 무너뜨리는 틈새와 같이 의미 없어 지는 것이 현재의 환경이다.

 

자 복잡하다.  명확한 것은 문제가 있고 이 문제를 풀기 위해서는 개개인도 노력을 해야 한다는 점이다. 현재 발생되고 있는 웜이나 악성코드가 얼마나 지독한가?. 웜에 감염되면 주변의 다른 사용자들에게도 동일한 웜이 감염을 시키고 종래에는 IT 회사라면 운영 하는 시스템에 피해를 주거나 업무에 지장을 받을 정도로 영향을 미칠 수 있다. 또 외부에서 자신의 PC를 컨트롤 하여 중요 문서를 가져 간다면 어떻게 될 까?. 이제는 단 하나의 문제점만으로도 충분히 피해를 입을 수 있는 시대이므로 많은 주의가 필요하고 관심이 필요하다. 그러나 모두가 전문가가 될 필요는 없을 것이다. 각자 전문분야는 따로 있을 것이므로..

 

정보보호 실천을 위한 가이드에는 어떠한 것들이 있을 지 알아 보자.

먼저 가장 근본적인 원칙이며 한 달에 한번 정도의 간격으로 체크가 되어야 하는 부분은 다음과 같다.  ( 일반 유저를 대상으로 하며 대부분 Windows 환경에서 문제가 발생하므로 Windows를 기준으로 하였다. )

 

1.       XP의 경우 Service Pack 2를 설치한다.  보안 기능을 활성화 시키고 여기에서 Windows Firewall 의 기능도 적절히 이용하도록 하자

.  

이미지는 첨부파일 참조

 

2.       Windows Update의 정기적인 설정 경험상 점심시간 무렵이 적당한 것 같았다. 새벽시간으로 설정할 경우 PC를 계속 켜두어야 된다.

 

3.       바이러스 백신의 사용 일단 맹신 하지는 말자. 다만 알려진 위협 및 바이러스를 제거해 줄 수 있는 수단이라는 점에서 이용은 필수

 

4.       비정상적인 계정이 있거나 프로그램이 실행 되고 있는지 검수를 한다.  계정의 경우는 사용자 관리 메뉴에서 프로그램은 Regedit 혹은 레지스트리 관련 프로그램에서 시작 프로그램 항목을 체크해 보면 된다. 주위 사람에게 상의 하면 충분히 이행 가능하다.

 

5.       운영체제의 보안 불필요한 서비스 제거 ( TCP/IP Netbios Helper 및 Messenger 서비스등 ) 를 통한 위험요인 제거 불필요한 서비스 항목은 전산 담당자에게 문의 혹은 인터넷 상에서 충분한 가이드를 얻을 수 있다.

 

6.       계정의 보안 강화 및 공유 설정의 강화 공유 디렉토리의 경우 읽기 권한 만 주고 접근 권한 및 사용자를 최소화 한다. 로그인 계정의 경우 6자 이상의 ID 및 6~7 자리를 지니는 Password를 사용하도록 한다. 주기적인 변경도 고려 하여야 한다.

 

* 계정 보안 관련: 외부 인터넷 사이트에 사용자 계정을 만들 때에도 자신만의 규칙을 지니고 생성하는 것이 좋다. 동일한 ID/ 동일한 PW로 거의 대부분의 웹 사이트에 가입을 한다는 것은 자신의 모든 정보를 내 주는 것과 동일한 행위이다. 가입 하는 모든 사이트의 보안성을 장담 할 수 있을까? 하루에도 수백 개의 사이트가 웹사이트 변조를 당하는 상황에서 과연 내 정보는 지켜 질 수 있을까?   사용자 개인의 특성에 맞는 규칙이나 자신만의 방식으로 몇 개의 부류로 나누어서 사용을 한다면 보다 안전한 서핑이 될 것이다.

 

한달 단위의 이행 대책의 경우 주위의 조언이나 전문가에게 도움을 요청해야 하는 사안들이 많이 있으나 주간 및 일간 단위의 체크는 좀 더 다른 방향으로 접근을 수행하면 된다.

 

주간 단위의 검사 항목으로는 다음과 같은 점을 유념하면 될 것이다.

 

1.       바이러스 감염 기록의 확인 및 바이러스 백신의 업데이트 일자 확인  - 감염 기록의 확인은 매우 중요하다. 자신이 인지하지도 못하는 상황에서 감염이 되었다면 추가적인 위험이 있을 수 있으므로 좀 더 주의를 기울여야만 한다.

 

2.       Windows Update 서비스의 정상적인 동작 확인  - 정상적으로 설정이 되었는지 여부를 확인 하는 것이 좋다. 주일의 시작인 월요일이나 금요일에 한번쯤 Update에 시간을 두고 여유를 지니는 것도 좋은 방식이며 자동 설정을 통해 다운로드 발생시 마다 처리하는 것이 가장 좋다.

 

3.       비정상적인 PC의 움직임  - 외부에서 조정을( Mouse 혹은 키보드 ) 하고 있거나 내부의 데이터에 인위적인 손상 등이 있을 때에는 전산담당자와 상의를 해보는 것이 좋다.  그 문제가 사소한 것이든 오해이든 이런 문제에 대해서는 확실히 하는 것이 좋다.

 

일반 보안 회사 및 신문지상에서 가장 많이 언급되는 일간 단위의 검사 항목은 다음과 같다.

 

1.       바이러스 프로그램의 가동 및 업데이트 설정- 모니터링 가능상태 유지

2.       윈도우 보안 패치의 설정 및 설치

3.       E-mail 프로그램 사용시의 수/발신인의 확인 및 첨부 파일에 대한 백신의 검사 및 주의

4.       P2P 프로그램 사용시의 백신을 이용한 검사 준수

5.       메신저 프로그램을 통한 링크 및 URL에 대한 확인 ( 최근 WMF 공격이 URL Link를 이용한 공격이 많이 발생하고 있다. )

6.       공유 권한의 제한

7.       웹사이트 서핑시의 Active X 설치 유형과 같은 악성코드에 대한 주의  - 최근 유형이 매우 많으므로 주의를 기울여야 함.

 

 

 간략하게 살펴 보면 위와 같은 검사 항목을 준수 한다면 전체적인 안정성을 높이는데 도움이 될 수 있을 것이다.  큰 방향성 아래에서 하위 항목을 준수하는 것이 강조 되어야 하며 왜 이런 노력들이 필요한 지에 대한 이해가 선행이 되어야 만 한다.

향후에도 많은 위험들이 있을 것이고 DMB 혹은 WiBro 등 수많은 변화 속에서 또 얼마나 많은 발전이 있을 것인가? 그 발전이 기술의 진보이든 위험의 진보이든 간에

 

 

 

 

Posted by 바다란

댓글을 달아 주세요

Zeroboard 및 PHP 관련 공격이 극성을 부릴때였죠.

2005년 1월초에 만든 문서입니다.

 

이 문서의 기본 개요는 향후에는 Application 레벨의 공격이 일반적이 될 것이라고 일정부분 예상을 했었는데..점쟁이도 아니구... ^^;

 

지난 내용들이지만 이때 당시를 짚어 보시고 한번쯤 생각을 해보시는 것도 좋을 듯 싶습니다.

조금 더 뒤의 일들을 예상하고 대응을 하도록 권고하는 것은 지나고 난뒤에 보면 좀 우습기도 하죠.

 

그냥 자기 만족이려니 하고 하는 것일뿐. ^^;

 

Posted by 바다란

댓글을 달아 주세요

안녕하세요. 바다란입니다.

 

지난 10.24일에 KISA에서 주최한 침해사고 대응 세미나가 있었습니다.

해당 세미나에서 침해사고의 발전 유형과 대응 방안에 대해서 고민하고자 했는데 제대로 전달이 되었는지 모르겠네요.

 

가장 중요한 팩트는 이미 취약점 및 공격 유형은 커버가 가능한 범위를 넘어 섰다는 점입니다.

기본적으로 지금까지 알고 있던 유형의 대비책만으로는 한계가 있으며 정량적인 대책으로는 해결 되지 않고.. 정성적인 대책이 있어야만..또 꾸준히 진행 되어야만 문제가 일정 수준 이하로 감소 됨을 확인 할 수 있습니다.

 

현재의 공격유형은 매우 치밀하고도 집요합니다.

기존의 모든 보안솔루션을 무력화 시키고도 가볍게 전파가 됩니다.

그만큼 공격 기술의 전파가 빠르게 또 깊이 있게 공유가 된 탓이라 볼 수 있습니다.

 

보안 기술의 전파는 이에 비하면 거북이 걸음이지요.

 

작은 기술이나.. 작은 시각이나마 여러 방면에서 조망을 하여 보다 더 체계적이고 완전한 구성을 만들었으면 합니다.

 

꾸준한 투자가 들어가야만 산업을 유지 할 수 있는데.. 이제는 이 것이 필수 인데.. 이 것을 인정하지 않는 기업이나 산업은 점차 쇄락할 수 밖에 없을 것 입니다.

이제부터는 보안이라는 측면은 최소한 IT 비지니스를 하는 회사에서는 가장 필수적인 중심요소입니다.

 

자료 참고 하세요.

 

 

Posted by 바다란

댓글을 달아 주세요

 

지나간 자료 입니다.

저도 어디에 있는지 찾지를 못해서 다른 곳에서 링크 받아서 여기에 올려 둡니다.

 

순서대로 보시면 될 것 같습니다.

아직도 문제의 원인 같은 것은 잘 모르죠. 사고 조사나 자료들만 잘 있었어도 명확했을텐데 하는 아쉬움이 있습니다.

그냥 추론해 가는 과정을 보면 될 것 같습니다. 이때 잠도 못자고 근 3~4일을 회사일 하면서 밤에는 이거 만드느라고 고생 좀 했죠.

 

그냥 지나간 이야기..

 

0.1 ->0.2 ->1.0  까지 입니다. 회사 차원도 아닌 개인이 하는건 정보의 한계가 있더군요. 나름대로 모든 머리를 다 짜내고 글을 쓰고는 했는데 결국 욕도 많이 먹었죠..

 

후후..다 그러려니 합니다. 이외에 글을 썼던 게시판들도 있는데 그 게시판들이 다 사라졌네요.

그냥 이 것만...


Posted by 바다란

댓글을 달아 주세요

1.25 대란에 대해서 많은 고민을 하면서 자료를 내놨지만 뒷 이야기를 안한 것 같다.

지금도 가끔 꺼림찍한 기분이 드는 부분이 있어서 생각 난 김에 뒷이야기를 한번 해보자.

 


 

위의 파일은 최초 1.25 대란 발생이후 저녁에 작성하여 1.26일 업데이트 한 자료이다. 수집된 정보도 없고 현상만을 가지고 체크 하였으며 해당 부분에 대해 충분한 가설을 제공 하였다고 판단된다. 물론 그때 당시 접근할 수 있는 정보나 얻어진 자료에 비해 정말 고민 많이 했던 자료이다.

최초 이 파일을 작성할 때 가장 안타까웠던 것은 피해 당사자의 언급도 없고 참 난감한 상황에서 작성한 글인데 나중에 도매금으로 욕을 먹죠. 개인이 할 수 있는 최선 이였다고 아직도 생각 하고 있습니다. ^^;

 


 

두번째글은 DNS 다운과 관련된 내용 및 1434 포트의 확인과 관련된 추가 내용을 기술한 글입니다. 글 서두에 보면 아시겠지만 Unix Bind DNS 서버를 사용한다고 KT가 공식 발표를 한 상황이라 MSSQL에 집중 할 수 밖에 없었죠. 약간 미심쩍은 면이 있었지만...

 


 

DNS가 죽을 가능성은 두 가지 외에는 없습니다. 마지막글은 DNS에 대한 DDOS 공격이 가능함을 보이고 있고 실제 공격이 가능한 소스가 존재함을 보였습니다. 그러나 해당 소스의 공격결과 몇 달뒤에 확인이 된 바로는 실제 공격 량은 현저하게 적어서 DNS 트래픽에 영향을 미칠 수 없다는게 판단이였죠.

 

이래서 DNS에 대한 DDOS 공격 과 Slammer 웜에 의한 영향이 결합되어 문제가 발생 되었고 이후에는 네트웍상에 부분적으로 문제가 남아 있는 부분에서 과잉 대응을 통한 부가 문제 발생으로 최종 시나리오를 적었습니다.

 

이때 마지막으로 쓰고 싶었던 말이 있었는데 2002년 경에 기사상에 KT의 기간계 시스템중 하나에 Windows 계열을 도입했다고 하는 기사가 있었습니다.  기간계가 6개 정도 있는데 그 중 하나를 윈도우로 대체를 하였다는 기사가 2002년경에 나왔었죠.

 

그리고 관련 기사를 스크랩해서 개인 웹사이트에 올려 놨는데 데이터가 날라갔네요.

 

제가 생각한 마지막 방안은 이겁니다. DNS 서버가 죽을 가능성은 최초에 있어서는 외부로 부터의 트래픽이 아닌 내부망에서의 웜으로 인해 네트웍 라인 자체가 죽었을 것으로 생각을 하였습니다.

 

이 문제는 KT가 걸린 문제라 언급을 안했지만 시일 상으로 3년이 지난 지금에는 이야기를 해도 되겠죠. 차후에 확인된 이야기로는 DNS 포트인 53번만 열어 놓은 것이 아니라 DB와 연결하기 위한 1434 포트도 KT쪽에서 오픈이 되어 있었다고 하더군요. - 기억이 가물가물.

 

KT의 의견대로 Unix Bind 서버를 사용한다고 믿을 수 밖에 없었고 이런 상황에서라면 DNS 서버에 대한 직접 query 어택외에는 방안이 있을 수 없다고 생각 했습니다. 그러면서 확인된 이야기는 아니지만 KT 내부에 문제가 있을 것 같다고 생각을 했었죠. 문서에는 쓰고 싶었으나 확인되지 않은 정황으로 쓸 수는 없기에 안그래도 모자란 머리 쪼개고 또 쪼개서 시나리오도 고민하고 했었죠.

 

이 정도의 위험성이 나올 시나리오는 무엇일까?. 무엇이 이 결과를 초래 했을까?..

 

결과로 부터 되짚어 가는 수 밖에는 없더군요. 드러나는 여러가지 가능성을 하나 하나 지워갔을때 최종으로 나온 결론은 DNS에 대한 직접 공격 외에는 없었습니다.

 

그러나 KT 내부 기간계 시스템에서 문제가 발생을 하였다면?.. Slammer 웜이 그 하루전이 1.24일 금요일 늦게 부터 움직였었고 일정 수치 이상의 감염 이후에  인터넷이 무너지게 된 것은 KT 내부망이 최초 침해를 당한 이후 내부의 트래픽 폭주로 인해 기간망이 마비되었을 가능성이 매우 높을 것으로 판단이 됩니다. - 아직도 의심을 하고 있습니다. ^^;

확인 안된 사실이죠. KT 내부 담당자가 아니면 절대 모르는 이야기.. 왜냐.. 기본 사실은 있는데 정황을 한번도 공개를 안했으므로...

 

 

지나간 이야기 입니다만.. 아직도 가끔 이 이야기를 하시는 분이 있어서 잊었던 생각 한번 꺼내 봤습니다.

 

참 황당한 것은 전체 인터넷망이 위험하다고 신고 했더니 ..그것도 오후 일찍...  근거 없는 소리 말라고 일축하던 분들이 조금 생각 나네요.  그때 아무일 없었으면 저는 미친놈 될뻔 했죠. 후훗.

 

즐거운 하루 되세요.

Posted by 바다란

댓글을 달아 주세요

 

2009. Change of Global Threat - I

*zdnet 기고 컬럼 입니다.

 

공격과 방어의 현실

 

2005년 이후 격렬하게 이루어 졌던 어플리케이션에 대한 공격은 2008년을 거치면서 동아시아 권역을 넘어 전 세계적으로 파급력 있는 이슈들을 생산해 왔다. 2009년을 얼마 남겨 놓지 않은 지금 그 변화들은 어떤 과정과 결과를 만들었을까?

 

과연 지금 우리가 선택하고 하고자 하는 방향은 올바른 방향인가에 대해 고민하고 보다 더 나은 방향을 만들어야만 한다.

 

변화의 흐름을 보기 위한 자료들을 몇 가지 정도 취합을 하다 보니 확연하게 드러나는 결과들이 있어서 본 컬럼에서 설명을 하고 방향성에 대해서 찾아 보고자 한다.

 

위의 Threat gap은 공격 기술과 방어 기술간의 격차를 의미 하는 것으로서 실제 이와 같은 형식의 자료와 챠트들은 많이 있어왔다. 그러나 본 데이터는 2004년에 발간된 미공군의 기술자료에 언급이 된 내용이다. 실제 많은 사례들을 경험 하면서 기술간의 격차를 사실적으로 기술한 것으로 볼 수 있다. 다수의 보안 전문가들도 구체적인 데이터는 존재하지 않지만 많은 경험으로 인해 이미 오래 전부터 인지하고 있는 내용일 것이다.

 

공격 기술이 방어기술을 넘어선 전환점은 2001~2003년 간격으로 보고 있다. 그 사이에 우리는 최초의 무차별적인 전파와 확산을 하고 대규모 피해를 유발하는 최초의 웜인 Codered를 만났고 Nimda, Blaster, Welchia 등과 같은 운영체제에 존재하는 서비스를 직접 공격하여 권한을 획득하고 재 전파하는 유형의 공격들을 받았었다. 위의 Threat gap과 연관 하여 볼 수 있는 공격기술과 난이도에 대한 상관관계는 다음에서 살펴 볼 수 있다.

 

 

전체적인 공격기술의 난이도는 어려워 지고 있다. 그러나 공격자들의 기술 수준은 점점 낮아지고 있다. Threat gap을 나타내는 것과 모순되는 점이 보인다. 이 모순의 핵심에는 공격 기술의 공유와 거래, 대량 전파 매커니즘 (웹서비스, 스팸, SNS )을 확보한 것이 가장 큰 역할을 하고 있다.

 

공격자들은 특별한 전문지식이 없이도 새로운 공격유형을 만들고 재생산 할 수 있는 제조 템플릿을 가지고 있으며 (웜 또는 바이러스 생성기) 공격에 사용되는 기본적인 유형들과 기능들은 공개된 상태로 통용이 되고 있다. 새로운 취약성이 나오게 되면 불과 하루 이틀 사이에 웜으로 발전이 되어 전 세계에 영향을 미친다. 이전에는 패치가 안된 운영체제의 경우 생존 기간이 길었으나 지금은 더욱 짧아지고 있다.  운영체제에 심각한 영향을 미치지 않으면서도 자연스럽게 권한을 획득 할 수 있는 Application에 대한 취약성들은 심각할 정도로 증가하고 있는 추세를 보이고 있다.

 

공격자들은 활발한 커뮤니티를 구성하고 거래를 통해 서로의 부족한 부분을 보충하고 개선한다. 특별한 공격방법이나 도구들이 출현하게 되면 그 즉시 그들의 세상에서는 빠르게 통용이 된다. 2005년쯤에 국내에서 최초 자동화된 공격이 목격 되었던 SQL Injection의 경우 2007년 무렵에 대규모 웹서버리스트들에 대해 무차별적인 공격을 수행하고 자동적으로 웹서비스에서 악성코드를 유포 할 수 있는 형태로 전환이 되었다. 이제 개인 PC의 제어권한을 하루에 십만 대 정도 확보하는 것은 일도 아닌 상태가 되어 버린 것이다. (참고: http://blog.naver.com/p4ssion/50031034464 )

 

현재의 인터넷의 상태이고 현실이다. 보호되고 있다고 믿는 모든 것들은 무차별적인 공격 대상의 하나로 전락 하였고 도입만 하면 모든 위험들로부터 보호 될 수 있을 것이라 선전 되었던 많은 도구들은 하루가 다르게 변화에 뒤쳐지고 있다.

 

지금까지 일관되게 현재의 위기 상황과 실태에 대해서 주장을 하여 왔다. 이제 시일이 지난 만큼 전세계적인 기업들에서는 기업의 보안현실과 노력들은 어떤 식으로 변화 하였는지 살펴 보자. 실제 시간이 지난 이후에 결과를 분석하는 것만큼 쉬운 일도 없다. 분석된 결과는 예상과 전망에 대한 강한 뒷받침이 되는 것은 두말 할 필요가 없을 것이다.

 

글로벌한 위협현황

 

매년 연말에 개최되는 CSI Conference에서는 주요 참가 기업의 담당자들을 대상으로 보안 활동과 침해사고에 대한 설문조사를 실시하고 있다. 담당자들의 구성 비율은 다음과 같다.

 

 

CSI/FBI Computer Crime and Security Survey -2008 의 설문조사에 응답한 응답자들의 직급을 보여주고 있다. 전체 응답자의 60% 이상이 주요정책 및 의사를 결정 할 수 있는 결정권자의 부분에 속하고 있음을 보여주고 있다. 단순한 실무를 담당하는 보안 담당자들의 의견을 취합한 것은 아니라는 점을 명확하게 보여 주고 있다.

 

 

설문 결과 중에서 사고의 유형을 퍼센테이지로 도식화한 챠트이다. 2007년 이후부터 출현한 항목으로는 DNS에 대한 직접공격과 Bot을 이용한 공격들이 활성화 되는 것을 볼 수 있다. 사고의 발생 비율을 보면 정보유출로 인한 사고들과 Malware가 포함된 Virus에 의한 사고들은 여전히 높은 상태를 보이고 있으며 내부자에 의한 사고들도 꾸준함을 볼 수 있다. 주의 깊게 살펴 보아야 할 것은 2007년 이전의 Botnet( 공격자가 자유자재로 다룰 수 있는 좀비 PC들의 네트워크망)을 구축하는 것보다 앞으로 시간이 지날수록 더욱더 손쉽게 대규모 Botnet을 구축 할 수 있다는 점이 의미 심장하고 Bot 관련된 계열은 별도로 독립하여 큰 범주를 이룰 것으로 예상 할 수 있다.

 

내부자에 의한 사고와 외부자에 의한 사고 부분은 별도의 컬럼에서 정리하고자 한다. 그 동안 알려진 것들과는 다른 개연성들을 충분히 유출 할 수 있으므로 별도의 컬럼에서 정리한다.

 

CSI의 조사에서 언급한 사건들은 실제 사건을 사례별로 조사한 것이라 영향력과 파급력 부분은 고려되지 않은 데이터라 할 수 있다. 전체적인 수치와 비율을 참고하는 정도로만 사용 할 수 있다. 그러나 2008년 까지의 데이터 유출 사례를 실제로 조사하고 분석한 Verizon 레포트에는 좀 더 실질적인 위협이 되는 부분을 살펴 볼 수 있다.

 

 

 

실제 기업내부의 중요데이터가 유출 되거나 기밀이 누설된 케이스를 분석한 결과는 사뭇 다르다. CSI의 통계치 에서는 전체적인 공격 유형과 위협의 유형들을 볼 수 있으나 Verizon의 데이터 유출 관련된 분석 보고서에서는 실제 어떤 위협들이 중요 데이터를 유출 시킨 것과 직접적인 관련이 있었는지를 보여 주고 있다.

 

가장 많이 발견된 사례는 Hacking Malware, Misuse를 들 수 있다. 바이러스 백신들과 다수의 보안장비들이 도입이 되어 공격에 대한 탐지로그들은 매우 많음을 확인 할 수 있고 잘못된 사용 또는 실수라고도 할 수 있는 Misuse 부분에서는 탐지 할 수 있는 근거자료나 로그들이 매우 적음을 관찰 할 수도 있다. 일반적으로 공격시도에 대해서 대부분 Hacking이라고 일반적인 표현을 하나 Verizon Report에서 언급한 Hacking의 대부분은 Web application에 대한 SQL Injection 공격과 Remote Access 도구에 대한 접근,기본 설정 및 권한에 대한 공격으로 분석이 되고 있다.

 

Hacking Malware, Misuse와 같은 대부분의 정보유출의 원인들에는 사용자, 관리자, 개발자의 실책에 대한 이슈가 67% 가량을 차지하고 있음을 볼 수 있다. URL의 인자가 필터링 되지 않는 경우를 공격하는 SQL Injection의 경우에도 Error라고 표시가 되기는 하였으나 현실적으로 취약성을 빠른 시간 이내에 발견하고 수정을 할 수 있도록 하는 도구가 없음으로 인해 실질적인 Error 항목에 기입하기에는 어려움이 있다.

 

조사에서 보듯이 전체적인 사건의 2008년까지의 발생 현황은 새로운 공격흐름을 보여주기도 하며 실제 피해 사례에 가장 큰 영향을 미치고 중요성을 지니고 있는 부분이 어떤 부분인지를 보여주고 있다.

 

국내의 사례는 지금껏 공개적으로 조사되고 분석되어 종합된 자료가 없다. 그러나 전 세계적인 동향과 위협들의 범주에서 벗어날 수는 없다. 사건, 사고 사실을 의도적으로 무시하는 것은 보다 더 큰 치명적인 피해를 유발 할 수 밖에 없다는 점에서 국내의 심각성은 더 높은 상태가 아닐까 생각 된다.

 

 

위협에 대한 대응 노력

 

위협들은 실질적으로 Application에 대한 직접적인 공격과 대량화, 자동화된 공격, Client에 대한 직접 공격으로 축약 할 수 있다. 2008년은 물론이고 지금까지도 또 앞으로 몇 년 이상을 이와 같은 동향은 계속 유지 될 것으로 전망된다. 각 기업들의 대책들은 어떤 방식으로 이루어 졌을까?

 

기업이든 국가이든 형식적인 공격이 아니라 실제의 피해를 일으키는 공격에 대해서만 반응을 하게 마련이다. CSI의 조사는 2006년부터 2008년까지의 각 기업 혹은 기관별로 사용된 보안 기술들을 나타내고 있다. 위협의 변화에 따라 달라진 부분을 확연하게 볼 수 있다.

 

VPN, Firewall, Anti-Virus와 같은 보안장비는 이미 일상화된 보안 도구로 볼 수가 있다. 증가된 폭을 보게 되면 App firewall의 도입이 큰 폭으로 증가 추세에 있음을 볼 수 있다. 실제 공격이 집중 되고 피해가 발생 하기 때문에 도입 될 수 밖에 없는 부분이다. 두 번째로는 개인 PC와 자료의 보호를 위해 NAC 장비의 도입, 암호화 장비나 도구의 사용이 늘어나는 현상을 관측 할 수 있다.

실제 피해사례를 조사한 Verizon의 보고서에서 원인으로 제시된 항목들은 조사 이전부터 계속 발생 되어온 문제이다. 집중적으로 문제가 발생 되는 부분에 대해 대책을 세우는 과정에서 드러난 현상으로 Application에 대한 보안 강화, Endpoint에 대한 보안 강화, 자료의 암호화를 통한 강화를 중점적으로 살펴 볼 수 있다. 국내의 변화도 마찬가지가 아닐까 싶다.

 

각 기업들은 어느 정도의 위험성을 알고 있고 대비하기 위해 어떤 부분에 중점을 두고 노력을 하였을까를 알아보는 것도 위협의 변화와 연관성이 높다. 공격 기술과 방어기술의 차이를 염두에 두면 방어기술의 진보는 느리고 더디게 나아간다. 즉 변화가 있다고 하여도 공격기술의 발전 정도에는 미치지 못함을 사전적으로 알고 있으면 미래의 방향을 예측 하는 것이 보다 쉽다.

 

전체적인 공격동향을 보고 세부적으로는 중요 정보의 실제 유출 사례 조사를 살펴 보면서 우리는 앞으로 중점을 두어야 할 부분이 어디이고 세계 속의 기업과 기관들은 어떤 준비와 대응을 해왔는지 고려해야 한다.

 

지난 몇 년간 꾸준하게 예상을 해온 바들도 Client 보안과 Application에 대한 직접적인 보안 강화에 대해서 강조를 했었다. 전체를 정확하게 볼 수 있는 분석들은 아니지만 동향을 확인 할 수 있다는 점에서 인용된 자료들은 충분한 근거를 제시하고 있다.

 

노력하고 준비하지 않으면 이제는 더 나아가기 힘든 상황이 올 것이다. 보안은 완벽하게 막기 위해 존재하는 것이 아니라 이미 알려진 것들에 대해서는 막을 수 있도록 하고 피해를 최소화하며 빠르게 대응을 하는 것이 핵심이다.

 

국내는 완벽하게 막는 것이 보안인 것으로 종종 오해를 한다. 현실은 가혹하다. 더 많은 비용과 인력을 투입하고서도 완전해 지지 못하는 세계적 기업과 기관, 국가들이 많다. 공격 기술과 방어기술의 차이는 점점 더 벌어 질 수 밖에 없는 구조라 앞으로 더 어려움이 있을 것이다.

 

내일을 살펴 보려 하지 않고 준비하지 않는 자에게는 지금이 마지막의 시작일 수도 있을 것이다. – 다음 컬럼에 계속

 

- 바다란 세상 가장 낮은 곳의 또 다른 이름

Posted by 바다란

댓글을 달아 주세요

2005년 4월 작성 문서입니다.

 

여기에서 두 가지 용어를 썼었죠. zeroday worm 과 Monster bot . 현재 취약성이 발표 되거나 패치가 발표되면 치명적인 것들은 빠르면 1일에서 2일 정도 후에 공격코드가 출현 하고 있습니다. 또 발표 안된 문제들에 대한 공격코드들도 많이 있겠죠.

 

앞으로 더욱 많아 질 것 같습니다. 그리고 악성코드 설치를 위한 사이트 직접 해킹으로 이슈화가 덜되고는 있지만 여전히 상당히 많은 bot이 국내의 PC에 설치가 되고 있습니다.

 

더욱 많은 취약성을 공격 하는 Monster 이죠.

 

참고 하시면 될 것 같습니다.

 

이제 찾을 수 있는 것은 얼추 다 찾아서 올린거 같은데여..

Posted by 바다란

댓글을 달아 주세요

안녕하세요. 바다란입니다.

 

 

wmf 관련된 IM웜 (sdbot ) 및 이메일 전파 웜 , 악성코드 설치 유형이 급격하게 증가하고 있습니다. 12월 말을 기점으로 대폭 증가된 형태로 발견이 되고 있으며 위험성이 높습니다. 현재의 악성코드 루틴과 결합시에 국내 사용자들의  대규모 피해가 우려 됩니다. 공격코드 자체가 그리 어렵지 않다보니 상당히 많은 변형도 출현이 가능하고 피해 노출 방법도 다양한 방식으로 가능하므로 향후 변화가 많을 것으로 판단됩니다.

 

해외 최대 보안관련 사이트인 sans.org 에서는 wmf 취약성을 이용한 웜 및 바이러스에 대해 투표도 진행하고 있습니다. 그냥 사라질 것인가? 아님 2006년을 빛나게(?)할 취약성인가?..하는.. 투표입니다. ㅠ,ㅠ

이슈가 된 메신저 전송 jpg 파일에 대해서 직접 분석을 해본 결과 실제 jpg 파일은 아니며 HTML 컨텐츠 입니다. 내부 소스는 아래와 같은 링크 코드가 존재합니다. 

 

-----------------------------------
<body>
<P ALIGN=center><IFRAME SRC="foto.wmf" WIDTH=0 HEIGHT=0></IFRAME></P>
</body>
-----------------------------------

여기에서 WMF 파일이 악성코드를 실행 시키고 외부 사이트에서 다운로드 하는 역할을 맡고 있습니다.
또한 제가 앞서 말씀드린 대로 이미지 파일 및 팩스 미리 보기 기능과 연관된 DLL 이 문제가 있는 관계로 WMF 파일에 마우스만 올려 두어도 미리보기 기능이 동작하여 바이러스가 감염이 됩니다.
즉 웹사이트 방문 만으로도 감염이 되며 해당 악성코드의 업로드 시에 대량의 피해자가 발생 할 수 있을 것 같습니다.

 

추가적으로 jpg, gif 등 모든 이미지 파일 포맷으로 이름 위장이 가능하며 윈도우 시스템의 특성상 해당 이미지를 보기 위한 최적 DLL을 자동으로 찾는 과정에서문제가 발생할 것으로 예상이 됩니다. 그러므로  우선적으로 wmf 파일의 업로드를 금지하고 내부에 wmf 파일 링크를 지는 URL을 탐지하며 장기적으로는 파일 헤더 검색을 통한 검출루틴이 필요한 부분으로 판단이 됩니다.

제가 판단하기에는 현재의 악성코드를 통한 정보 유출 이슈와 결합시 국내에 폭발적인 피해가 발생 할 것 같습니다.


서비스 제공자 단위 대책:

1. WMF 파일의 업로드 금지 설정

2. WMF 파일을  내부 컨텐츠로 포함시킨 ( Iframe , 링크 등 ) 링크의 검출 및 제거

3. 파일 헤더 검사를 통한 WMF 파일 검출 ( 좀 시일이 걸릴듯 )

 

 

클라이언트 단위 대책:

*.  DLL 등록해제를 통한 임시 해결 방안
  - Microsoft는 보안권고에서 다음과 같이 임시 해결방안을 제시함
    * Windows XP SP1, XP SP2, Server 2003, Server 2003 SP1 사용자의 경우, Windows 사진 및      팩스 뷰어(shimgvw.dll)의 등록을 해제한다.
     step) 윈도우 시작버튼 클릭 -> 실행(R) 클릭
               regsvr32 -u %windir%\system32\shimgvw.dll 입력하고 확인 버튼 클릭
               ※ 이 작업은 이미지 파일을 더블클릭해도 Windows 사진 및 팩스 뷰어로 볼 수 없게 만드는 것임 또한 미리보기 기능이 안됩니다.

 - 향후 마이크로소프트의 패치버전을 설치하면 원래 상태로 되돌릴 수 있다.
      step) 윈도우 시작버튼 클릭 -> 실행(R) 클릭
               regsvr32 %windir%\system32\shimgvw.dll 입력하고 확인 버튼 클릭

 

 *. 비공식 패치의 설치 ( 그다지 권고 하지는 않습니다.)

  http://isc.sans.org/diary.php?date=2005-12-31 - 게시물 항목
  http://handlers.sans.org/tliston/wmffix_hexblog13.exe  - Unofficial Hotfix

 

피해가 우려되는 버전은 다음과 같습니다. ( MS의 KB Article 참조)

Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 
Microsoft Windows Server 2003 for Itanium-based Systems
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME)
 

 

관련 정보 사이트:

http://www.certcc.or.kr/intro/notice_read.jsp?NUM=107&menu=1   - 그래픽 렌더링 엔진 취약점

권고 파일
http://www.microsoft.com/technet/security/advisory/912840.mspx
http://www.f-secure.com/weblog/archives/archive-122005.html#00000752
http://isc.sans.org/diary.php?storyid=972

Posted by 바다란

댓글을 달아 주세요

< O'Reily의 Web 2.0 Image>

 

 

4.12일의 ICAT 2007 워크샵에서 'Web 2.0 Security'라는 article로 발표를 하게 되었습니다. 아래의 내용은 그 발표자료의 골격을 구성하는 내용입니다. 발표 이후 발표자료를 올리도록 하겠습니다. 지금의 Web 2.0의 열풍과 변화에는 간과되고 있는 부분이 너무 많다는 것이 개인 소견입니다.

 

 

 

최근 UCC라 불리는 저작물에 대해서 여러 가지 문제가 발생 하고 있고 사용자 친화 환경의 변화에 따라 많은 위험요소들이 도출 되고 있습니다. 한번쯤 위험요소를 실례로 보고 대책과 대안은 무엇이 있는지 그리고 방향은 어떤 방향으로 가는 것이 맞는 지에 대해서 의견을 피력 하였습니다. 관련 내용 참고 하시면 될 것 같습니다.

 

UCC의 정의부터 다시 해야 할 것 같은데 사용자가 저작하는 모든 유형의 매개물을 UCC라 정의 할 수 있습니다. 사실상 Web2.0이라는 것은 현상을 정의 하기 위한 용어일 뿐입니다. 인터넷을 이용한 부분적인 정보 참고와 정보 획득의 수단으로서의 도구 측면의 접근이 이전 까지의 접근이라면 이제는 생활과 연결 되는 부분에 직접 영향을 미치는 단위까지 인터넷이 확장 되고 있습니다.

정확하게는 확장이 아니며 인터넷의 활용에 숙달이 된 사용자들이 생활 단위와 행동 양식까지도 깊숙하게 끌어 들이고 생활을 변화 시키고 그 변화의 중심에 인터넷이 존재하는 것이죠. 생활과 관련 이 있으니 이제는 IT 서비스 기업들도 직접적인 영향력을 지니게 됩니다. 조금의 시간이 더 지나게 되면  각 분야별로 눈에 보이게 되겠죠.

 

일반 TV를 예로 들면 오로지  3채널 뿐인 것에서   -> 케이블 TV , 위성방송 채널 등 다수의 채널 등장 -> 주문형 TV의 일반화로 볼 수 있습니다. 이 과정에 방송사들의 다시보기 서비스와 같은 것들은 또 밀려 나겠죠. 실시간으로 저장을 하고 사용자가 원하는 시간대에 보도록 할 수 있으니 말입니다.

 

Web2.0은 새로운 기술이 아니며 사용자의 참여를 통해 적극적으로 생활이 변화해 가는 과정의 일부를 지칭하는 용어일 뿐입니다. 패러다임의 전환기를 정의하기 위한 요소 명칭일 뿐인 거죠.

 

차후에 좀 더 개념에 대한 정리를 해보도록 하겠습니다. 지금은 보호 관점에서 생활에 밀접하게 연관되도록 서비스를 제공하고 활용하는 사용자와 기업 두 측면에서 필요한 것들이 무엇이 있을지 간략하게 정리 해 본 수준입니다.

 

실제 문제 사례 :

 

-        Myspace script 코드를 활용한 서비스 내의 사용자 정보의 유출과 전파

-        Yahoo Messenger를 통한 웜의 출현

-        Web 2.0 서비스 기업을 타켓팅화한 Application 취약성 공개의 일반화 [ XSS 등]

-        Youtube , Yahoo ,naver등의 동영상 저작권 및 국가간 규정에  따른 불법적인 동영상  [ 음란 , 폭력  등등 ] 을 통한 사회적인 파급효과 , 3.19일 야후 음란 동영상 게재로 인해 동영상 서비스의 일시 중단 시행.

-        동영상을 파일을 통한 악성코드 유포 [ ActiveX 설치 이외에 사용자 정보를 유출 하기 위한 Script 코드등 다수 해당] Flash , 이미지 파일을 통한 정보 유출

-         사용자 계정의 도용 [ 아바타 및 아이템의 분실, 강탈 증가]

-        부정확한 게시물을 통한 광고 [ 게시물 , 덧글 등]

-        광고를 하기 위한 목적 혹은 사용자 PC를 조정하기 위한 ActiveX [ 사회공학적인 해킹 부분]

-        악성코드의 문제 [ 사용자 접근성 확대에 따른 악성코드 노출 영역의 극대화]

 

 

-서비스 기업으로서의 보호:

 

UCC에 대한 보안성 검증 : 기술적인 보안성을 검증 하여야 함. 게시물에 포함된 악성코드 및 HTML을 허용하여 사용자의 자유도를 높이는 만큼 그 위험성 ( XSS 및 Code Running)에 대해서 보호 방안을 수립 하여야 함. 보호 방안으로서는 Filtering 메소드의 필수적인 환경 구축 및 활용이 필요.  

 

n   Filtering Method

u 개인정보 침해 관련 사안의 조정  댓글 ,게시글

u 악성코드 실행 부분  게시물 , HTML 파일 , Image , Flash , 동영상

u 악성코드 위험 요소 판별을 위한 자동 판별 시스템 도입 및 수작업에 의한 모니터링 필수 [ 모니터링 대상 항목  성인, 개인정보 침해 , 악성코드 설치 , 광고글 , 개인정보 유출 관련 실행 코드 , Virus , Worm ]

 

n    Platform 의 체계화

u Filtering 시스템에 대한 체계적인 구성

u 전체 사용자 입력에 대한 Filtering 구조의 수립

u 전문 보안인력에 의한 Filtering Rule의 추가 및 빠른 변화에 대한 대응 능력 재고 필요

u 사용자의 직접 입력 시에 빠른 모니터링이 안될 경우 기업 입장에서는 치명적인 문제에 노출 될 가능성 증대 됨

 

n    개인정보 보호 관련 대응 방안 수립 필요

u  개인정보 관련 이슈는 기술적 방안으로 최소화 시키는 것이 필요 . Filtering과 연계하여 구성 하는 것이 필요

u  개인 정보 오남용 관련된 모니터링 필수

u  개인정보 오남용시의 필수 대응 프로세스의 수립  고객센터부터 실 서비스 부서까지 빠른 대응 필요

 

n        Web service에 대한 기술적인 보호

u  보안성 검수 프로세스의 일반화  전문인력 및 보안 전문가 집단을 활용한 최신 취약성에 대한 검수 체제 수립

u  Web Service를 구성하는 최신 기술 동향에 대한 취약성 연구

u  Web 2.0의 요소 기술간의 정보 전달 부분의 암호화 및 외부 노출 최소화

u  비정상 행위 탐지를 위한 Anomaly Detection 부분의 구축

u  현재 당면한 SQL Injection 및 XSS [ Cross Site Scripting]에 대한 전면적인 대책 수립 이후의 프로세스화

u  서비스 보호를 위한 전문가 집단의 수시 활용 또는 전문가 집단의 보유 필수

u  사용자 ID/ Password에 대한 보호 방안 수립과 시행 [ ex : password의 단방향 암호화등 ]

 

n        사용자에 대한 Security awareness 강화

u  서비스 차원에서의 게시물에 대한 악성코드 , 위법성 여부에 대한 Awareness 강화

u  불법 악성코드 및 개인정보 유출 관련된 사용자에 대한 합리적인 처벌 방안 마련

u  보안상의 문제 해결을 위한 서비스 기업 차원의 정보 제공 확대 및 위험 여부 , 법적인 위배 사항에 대한 명확한 가이드 수립

 

 

-        사용자 관점에서의 보호

 

사용자 관점에서의 보호는Client 상에서의 Web 2.0관련된 일련의 기술 흐름에 대한 보호 대책을 언급 한다. 향후 발생 가능할 부분에 대한 Security Awareness 측면에서의 사용자 보호 방안

 

n   개인 PC 차원의 보호 방안 수립

u  메일 및 게시물의 링크 선택 시 접근에 유의

u  첨부 파일등에 의한 바이러스, 웜등의 감염 주의

u  AV 백신 및 각 운영 체제별 보안패치 및 설정

u  ActiveX 의 시스템 설치 제한 및 확인

u  주기적인 보안설정 검사 [ AV 체크 , 보안설정 체크 ]

 

n   사용자 정보 보호

u  주기적인 패스워드의 변경

u  사이트별 분류에 따른 등급 관리 및 ID / 패스워드의 분리 활용

u  사이트 가입시의 보안 등급의 확인 [ 일정 수준 이상의 정보보호 수준을 인증  기존의 안전진단 및 보안컨설팅 , ISMS 인증 등에 네트워크 보안 및 ID/PASS 보호 방안에 대한 확인 이후 일정수준의 등급 부여 필요]

u  정부기관 및 신뢰된 사이트로부터 배포되는 보안 솔루션에 대한 선별 설치 필요 [ 키보드 보안 , 보안패치 , AV 솔루션 등등]

 

 

위와 같이 정리가 됩니다.  거칠게 정리한 내용이며 필요한 항목에 대해서만 기술이 되어 있습니다. 어느 정도 단계에 이르면 보다 체계적이고 다양한 방면으로 정리가 될 것 같습니다.

의견 있으신 분들은 적극적으로 의견 주세요.

 

좋은 하루 되세요.

 

Posted by 바다란

댓글을 달아 주세요

2002년 8월 초에 작성한 내용입니다.

 

2006년인 지금도 중국으로 부터의 위협은 대단히 심각한 상황이지만 그 시작은 2002년 부터라고 보는 것이 정답일껍니다.

이때 처음으로 중국 사이트들 돌아다니면서 현황 파악해보길 향후 심각한 위협이 될 것이라고 판단 했었는데..

 

문서의 근간은 침해사고를 당한 서버에 올려진 공격툴등을 분석한게 기본 모체인데.. 사고 분석을 하다보니 종합선물세트처럼 되어 있더군요.

 

이런 문서를 만들면서 나름대로 공부가 많이 되었던 것 같습니다.

가르쳐 주는 사람이 없어도.. 스스로가 배우는 것이 공부이고 배움이라고 생각 되네요.

가르침이 없어도 좋다. 내가 가르침이 된다. 뭐 이런 궤변인가?..

아무튼 스스로가 배우고자 하고 덤벼들어야만 무언가를 할 수 있는 것이 아닐런지요.

 

이때 여러 사이트에 글을 썼었는데 앞으로 홍커가 온다고 이야기 하던 기억이 나네요.

이제 실감나게 2005년 부터 오고 있으니.. 틀린말은 아닌 것 같습니다.

 

그럼. - 아..하루 업로드 파일 용량 제한이 있네요..이 파일은 다음에 생각나면 다시 올리겠습니다.

Threat of china 로 검색 하시거나 winsnort 또는 바다란 으로 검색하시면 PDF 파일 보실 수 있을 겁니다. - v파일은 올렸습니다.

 

--

아.. 명의 도용의 시작이라기 보다는 명의도용은 오래된 일이고 악성코드를 금전적인 이득을 위해 유포하거나 사이트 해킹을 직접 시도하여 이익을 취하고자 하는 행위는 2005년 부터가 시작이죠. 공격은 2002년 경 부터 시작이 되었다는 이야기 입니다. 뭐 출발지는 똑같죠. 최근의 악성코드 해킹에도 상당히 고수준의 공격자 및 공격툴 제작자들도 돈벌이에 나서는 판이니... 똑같은 뿌리라고 볼 수 있을겁니다.

 

Posted by 바다란

댓글을 달아 주세요

 

안녕하세요. 바다란입니다.

 

금년 5월 부터 유명 사이트에 대한 해킹들이 연이어져 왔습니다.

이 문제의 근본은 여러번 언급 하였지만 Validation Check가 되지 않은 불안전한 프로그래밍으로 인해 발생합니다. 즉 DB서버와 Web Server와는 서로 직접적인 연결이 되어 있습니다. ASP , ASPX , PHP , JSP 등등을 이용하여 DB와 직접 연결하는 구조입니다.

이 부분에서 Validation 체크가 안된다는 것은 DB에 쿼리를 실행하도록 웹서버상의 언어에서 인자를 입력할때 이 인자의 유효성에 대한 체크가 전혀 되지 않아서 문제가 됩니다.

 

' 문자나 And 문자를 웹 URL의 인자 각각의 값에 덧 붙여 넣었을 경우 500 Error가 발생하거나 Unclosed Quotation Mark와 같은 DB에러가 Display 된다면 여러번의 다중 쿼리를 통하여 DB의 권한 획득이 가능하고  ( user , Password 획득 가능 ) DB 테이블 전체에 대한 조회가 가능해 집니다.

 

일반적으로 500 에러가 발생할 경우 Internal Server Error 라고 IE 화면에 Display 되어 DB와의 연결 작업에서 에러가 발생한 것으로만 알았으나 실제 실행된 값도  ^  ^ 문자로 둘러 쌓여서 전송이 되고 다만 화면에 표시될때에만 500 에러에 대한 화면이 표시되므로 문제가 있는지 여부를 몰랐죠.

그러나 실제 트래픽을 모니터링 하여 오는 값을 필터링 할 경우 DB의 모든 값들에 대한 조회가 가능합니다.

 

국내 대부분의 사이트에서 ASP + MSSQL 서버 조합에 대해서는 위험 경고를 내립니다.

그외의 jsp , php  + mysql , Oracle 조합에 대해서는 주의 경고를 내립니다.

 

위험 경고는 지금 당장 DB에 대한 권한이 유출될 수 있으며 시스템에 대한 위해행위가 계속 될 수 있음을 의미 합니다. 그리고 ASP + MSSQL 조합에 대해서는 이미 공격하는 자동화된 툴들이 다수 중국에서 유통이 되고 있는 상황이므로 긴급한 경고가 필요합니다.

 

* MSSQL을 운영하시는 분들은 지금 당장 확인해 보십시요 . DB 테이블에 D_.... , X_... , Jiaozou , t_jiaozou , xiarou  등과 같은 테이블 명이 있다면 이미 시스템에 백도어가 생성이 되어 있을 수 있고 한차례 이상 시스템에 대한 명령이 실행 되었다는 것을 의미 합니다. 아마 매우 많은 수치의 MSSQL DB에 위와 같은 테이블이 생성이 되어 있을 것입니다.

 

국내 사이트들을 보면 Secure Programming에 대한 의식이 전혀 없이 일반적인 지식을 지닌 프로그래머들을  저가에 고용을 하다보니 문제가 발생하였고 서적들의 경우에도 웹 프로그래밍에 대한 서적들은 많지만 근본적인 보안상의 문제가 발생할 만한 부분을 지적한 서적은 전혀 없습니다. 모든 서적들이 기능에 촛점이 맞춰져 있다보니 이런 문제가 발생하고 있으며 국내 대부분의 웹사이트가 크고 작은 문제를 지니고 있을 것입니다.

 

ASP + MSSQL 조합으로 이루어진 모든 웹사이트가 국내에 얼마나 될까요?..

이 사이트들 전부다가 경고의 대상이며 최소한 전체 웹사이트의 절반 이상이 위험한 상태입니다.

중국내의 공격 동향의 경우 google등의 검색엔진을 이용하여 url에 asp를 사용하고 사이트를 유명사이트로 고정을 하여 검색한 뒤 각 인자에 대해  ' 문자 혹은 And 문자를 대입하여 에러 여부를 검색하거나 자동화된 툴을 이용하여 임의적인 공격을 수행합니다.

 

포털 및 게임 사이트 전체 , IT 관련 기업 , 언론 사이트들 전부가 위험하며 각 사이트의 하위 도메인에 분명히 ASP + MSSQL 조합을 사용하는 사이트들이 다수 존재합니다. 이런 사이트를 통해 악성코드 전파지로 계속해서 언론 지상에 오르게 될 것입니다.

지금껏 나온 수많은 유명 사이트들은 빙산의 일각입니다.

 

저의 경고는 내년까지도 유효한 경고 입니다.

 

10월 중순에 KISA에서 웹 보안 관련된 세미나를 한다는 군요. 기회가 된다면 제가 발표를 하게 될 것 같습니다. 그때에도 심각한 주제를 전달 하도록 하겠습니다.

지금 한번 찾아보세요. MSSQL DB내에 위에 언급한 테이블들이 존재하는지?... 아마도 존재할껍니다. 그렇다면 이미 DB의 권한 및 데이터는 다 나간 상태이며 시스템에 대한 제어도 장담 못할 상태라는 거죠.

 

대책은 임시로  이 글을 참고 하세요. http://blog.naver.com/p4ssion/40015866029 

이 글 외에도 몇 몇 참고할 글들이 해킹 웜 바이러스 섹션에 있을 것입니다.

 

그럼 좋은 나날들 되십시요.

Posted by 바다란

댓글을 달아 주세요