태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

"보안성 검수" 란 무엇일까?

 

일반적으로 Black Box Test라고 칭하며 서비스의 오픈 이전의 안전성을 검수하는 절차로서 일반적인 서비스에 대한 부하 테스트 및 과다 연결 테스트와는 별개로 외부로 부터 공격이 가능한 취약성이 존재하는지 여부를 검수하는 프로세스를 말한다.

 

그렇다면 뜬금없이 왜 보안성 검수가 중요하다 하는 것일까?

 

모든 Application [ Web or C/S ]은 개발자가 개발을 하게 되고 오픈일정에 쫓기거나 보안부분을 고려하지 못한 설계 및 코딩으로 인해 문제가 있을 수 밖에 없다. 문제 발생 시점은 전체 프로세스 일정 어느 곳에나 있다.

 

서버의 보안설정 미비 , 네트워크상의 구조적인 문제점 , Application 코딩상의 문제점 , 서버와의 정보 교환의 문제점 등등 실로 개발자 및 운영자가 커버하기에는 범위가 넓어지고 전문화 된 것이 사실이다. 예전 처럼 폐쇄형 구조였을 경우에는 문제가 외부로 노출이 되지 않았으나 모든 것이 공개화 되고 오픈되는 것이 일상화 되어 있는 작금의 현실에서는 사소한 문제 하나로 중요 자산이 위험해 지는 일들이 비일비재 하다.

 

무엇에 집중하고 무엇에 신경을 써야 하는가?

개발자는 서비스의 안정적인 런칭과 창의적인 생각의 구현에 집중을 하고 보안 전문인력은 서비스의 침해 가능성 및 위험성을 통제 하여야만 한다. 모든 개발자가 Secure한 코딩을 한다는 것은 거의 불가능하며 모든 솔루션에는 위험성이 존재한다.

 

아무리 깔끔하고 Secure한 코딩을 한다 하여도 신경 쓰지 못하는 부분이 존재하며 개발자가 모든 일을 다 할 수는 없다. 따라서 보안성 검수라는 절차를 프로세스화 함으로써 [ SDLC : Secure Development LifeCycle] 안정적인 서비스의 오픈 및 운영을 할 수 있도록 하여야 한다.

 

작금의 한국 소프트웨어 개발 현실에서 보안성 검수의 여력을 지닌 회사는 많지 않다. 또한 있다손 치더라도 능력있고 역량이 충분한 검수 인력의 확보 조차도 쉽지 않은 일이다.  문제 해결은 아직 요원하며 하루에도 수십개의 서비스 및 수백개의 신규 웹사이트가 개편되고 런칭 되는 현실에서 보안상 심각한 취약성을 지니는 곳은 많을 수 밖에 없다.

 

요구사항 수집 -> 디자인 -> 설계 -> 개발 -> 테스트 -> 오픈 으로 이루어지는 일반적인 개발 프로세스 상에서 보안상의 코드 리뷰 및 취약성 테스트는 반드시 이루어 져야 하며 최초 요구사항 수집 단계 및 디자인 단계 부터 위험성을 최소화 하는 검증을 시행하는 것은 보다 더 철저하고 문제성이 없는 프로세스를 가능케 한다.

 

개발자에게는 Secure coding을 익히도록 하고 지속적으로 발견되는 문제를 해결 하도록 가이드를 하며 서비스 기획자에게는 설계 및 디자인 단계 부터 문제가 있는 부분에 대해서는 직시를 하도록 한다. 이후 개발이 완료된 단계에서 부터 Open 이전까지 보안성 검수를 지속적으로 시행함으로 인해 발생할 문제를 제거하는 프로세스가 궁극적인 서비스의 안전성을 보장 할 수 있을 것이다.

 

위험성을 100% 제거 할 수는 없으나 가능성을 95% 수준까지 줄이는 것은 충분히 가능하다. 보다 더 많은 인력과 비용이 투입 되어야 하나 신뢰의 문제 , 정보 유출로 인한 심대한 피해를 입을 수 있는 보안상의 Risk는 Business에 부수적인 모델이 아닌 필수적인 요소이다. 지금 보다 앞으로가 더욱 더 중요한 프로세스라 할 수 있다.

 

Secure Development는 간단하게 이루어 지지 않으며 많은 노력이 필요하다. 즉 전 세계의 모든 개발 프로세스의 안정화는 매우 심각하게 불가능하며 다수의 사용자가 집중화 되는 곳을 안정화 함으로써 일정 비율 이상을 증가 시키는 것 외에는 실천방안이 없는 상태이다.

 

더욱 더 많은 비용에 더욱 더 많은 인력의 투입.. 그러나 문제는 계속 된다. 얼마나 더 적은 Risk를 가질 수 있느냐가 향후 글로벌한 환경에서의 중요한 키 포인트가 될 것이다.

 

 - p4ssion : 바다란 

 

Posted by 바다란

댓글을 달아 주세요

최근 이글루스가 SK컴에 인수 되었습니다.

이로서 논점이 드러난 것이 블로그 칼럼이나 글들의 전문성 부분에 대해서 논의가 되고 있더군요.

 

제 스스로의 다짐이지만 최소한 이 블로그에서만은 스크랩이나 펌 없이.. 순수한 사견 및 의견을 제시할 수 있도록 하겠습니다. 가급적 1주에 하나의 칼럼은 올릴 수 있도록 노력을 하겠습니다.

 

보안관련 사이트도 있고 여러 사이트들이 있지만 현재로서 할 수 있는 제 자리에서의 역량은 제가 가지고 있는 생각과 의견을 정리하여 올리는 것이 최선이 아닐까 하는 생각이 듭니다.

 

열심히 살겠다는 것은 현재에 주어진 일에 열심이라는 의미도 있겠으나 보다 더 나은 목표와 방향성을 스스로 설정 할 수 있어야 된다고 개인적으로 생각 하고 있습니다.

이런 글을 올리는 코너들이 방향성을 설정하는 유용한 도구가 될 수 있도록 노력할 필요성을 절감하고 있습니다.

 

현재의 위험레벨 및 전체적인 사안에 대한 안목 부분에서 상당부분 부족한 것이 현실이므로 이런 부족한 부분을 미력한 역량이나마 높이는데 힘쓰도록 하겠습니다.

 

최고를 지향 하였고 노력을 하는 마당에 스스로가 조금은 게을러지고 나태해 진 것은 아닌지 반성하게 됩니다. 조금 더 큰 고통 속으로 저를 밀어내어 좀 더 나은 결과 좀 더 빠른 Alert 이 될 수 있도록 노력 하겠습니다.

 

* 향후 작성할 내용으로는 Zero day 관련된 두번째 칼럼이나 공개문서 형태 작성 할 예정이고 보다 더 높아진 기반시설에 대한 위험성을 위해 SCADA , DCS 관련된 내용도 틈나는 대로 작성할 예정입니다.  차주 중에는 최근의 보안위협 동향에 대해서 전반적으로 체크를 해보도록 하죠. 단순한 사안에 의해 끌려가는 것이 아니라 장기 발생 가능한 위험을 체크할 수 있도록...

 

 

앞으로도 많은 관심 부탁 드리겠습니다.

감사합니다.

 

Posted by 바다란

댓글을 달아 주세요

 

 아래의 기사는 지난해 (2005년) 5월에 주간동아에 기고한 기사입니다.

 


 
보안정보 유통채널 어디 없나
보안 취약성 관련 정보 교환의 장 전무 … 사고 대응 및 위험 통보 없어 수동적 대응
 
 
 
 
 
보안 관련 정보가 유통되지 않고 감춰져 있으면 그로 인한 피해는 더욱 커지게 된다. 

최근 ESG(Enterprise Strategy Group)는 미국에 있는 종업원 1000명 이상의 기업에 근무하는 229명의 보안전문가를 대상으로 ‘기업 내부보안 위협’에 대한 설문조사를 했다. 응답자의 절반가량이 연간 매출 10억 달러 이상의 대기업 소속이었다고 한다.

결과는 일반적인 예상치를 뛰어넘는 심각한 수준이었다. 응답자 중 27%가 사내에서 보안 관련 문제가 발생했는지조차 모르고 있었고, 23%는 지난 1년 동안 내부보안 결함으로 인한 침입이 있었다는 것. 이로 인한 손실은 40%가 주요 시스템이나 서비스 중단을 경험했고, 38%는 데이터 손상이나 손실을 겪어야 했다.

 

“게시판이나 각종 DB 프로그램의 취약점을 알려주려고 해도 알려줄 공간이 없어요.”

 

해커나 크래커를 상대하는 국내 보안전문가들의 최대 고민은 국내에 보안 취약점에 대한 정보 유통 채널이 없다는 것이다. 보안이란 전쟁터에서도 역시 정보싸움은 매우 중요한 부분이 될 수밖에 없다. 거의 날마다 새로운 취약성이 발견될 정도로 보안 관련 정보가 폭증하고 있는 것. 안티바이러스 솔루션을 만드는 회사의 경우 과중되는 업무로 비명을 지를 지경이다.

 

보안에서 가장 핵심적인 내용이라면 일반 사용자 측면과 방어하는 쪽에서의 기술적인 부분이 있을 수 있다. 일반 사용자라면 바이러스 백신의 활용과 PC 보안 조치 및 운영체제의 패치를 즉시 설치하는 정도가 될 수 있겠고, 해커와 맞상대하는 보안전문가라면 앞으로 일어날 위험을 예측하고 사회의 기반시설이 된 인터넷을 안전하게 지킬 수 있도록 노력하는 부분이라고 할 수 있다.

 

해외 메일링 리스트에 의존 앞으로 일어날 위험을 예측한다는 것은 그에 대한 정보가 이미 확보돼 있어야 하며, 특히 취약성에 관련된 정보의 활발한 교류와 적극적인 토론을 통해 방안을 모색해야 한다는 것을 뜻한다. 이제껏 국내에서 그와 같은 구실을 했던 매개체는 한국정보보호진흥원(KISA)에서 운영하는 CERTCC-KR 메일링 리스트(http://www. certcc.or.kr)가 유일하다.

 

이 메일링 리스트는 양 방향 채널을 가지고 의사소통을 통해 보안 의식과 취약점에 대한 정보를 공식적으로 언급해왔으나 현재는 유명무실해졌고, 아주 소수의 알려지지 않은, 또는 활동이 매우 뜸한 메일링 리스트만이 정보를 소통하고 있을 뿐이다.

 

그렇다면 우리나라의 보안전문가들은 이 같은 고급 정보들을 어떻게 획득해온 것일까. 대부분이 해외에서 운영하는 메일링 리스트에 의존해왔다. 미국의 Bugtraq(http://www. securityfocus. com/archive/1) 같은 해외 메일링 리스트를 이용해 취약성 정보를 받아왔을 뿐이다. 국내에서는 사이버 안전센터 및 KISA에서 제작하는 취약성 관련 경고문만이 일방적으로 전달되는 실정이다.

 

이 같은 일방적인 정보 전달이 왜 문제인가 하면 지난해 말 발생한 PHP-BB의 취약성을 이용해 웹페이지 변조 및 악성코드를 다운로드 받도록 만들어진 SANTY Worm처럼 프로그램을 직접 이용한 취약성 공격이 빈번해진다는 점, 그리고 올해 초 1000개 이상의 홈페이지가 PHP 취약성에 의해 공격을 당하는 상황에서 볼 수 있듯 앞으로도 새로운 유형의 공격이 증가할 것이라는 우려 때문이다.

 

국내에서 개발된 다수의 애플리케이션(Application)에 대한 취약성도 분명히 존재하며, 이런 취약점을 공개적으로 토론할 장소도 없는 상황에서 국내 취약성이 해외 버그 트랙(Bugtraq)이나 취약성 관련 메일링 리스트에 공개될 경우 해외 크래커들에 의해 악용당할 소지가 매우 높다. 그리고 해외 메일링 리스트에 공개된 취약점이 국내에서 적극적으로 쟁점화되지 않고 보안·네트워크·시스템 관련자들에게서 이슈화되지 못함으로써 수동적인 대응밖에 할 수 없게 된 것.

 

인터넷 인프라가 훌륭한 것은 기반시설이 잘되어 있는 것이고, 기술과 커뮤니티가 활성화되는 것은 발달이 이루어지는 것이다. 보안이라는 부분은 기술과 커뮤니티라는 사회가 무너지지 않도록 보완하는 조직이며 상호적인 관계에 있다. 대한민국의 인프라는 훌륭하며 앞으로도 독창적인 기술과 커뮤니티 문화는 계속 발전하게 될 것이다.

 

위협의 빠른 차단과도 같은 준비는 이미 발생한 위험을 최대한 줄여주는 구실도 한다. 지금의 우리나라 정보보호 준비는 빠른 차단과 확산의 최소화를 목표로 한다. 그러나 위험을 없앨 수는 없고 때로는 치명적인 위험을 입을 수 있다. 그렇다 하더라도 앞으로 발생할지 모르는 위험과 위협에 대해서 적극적으로 토론하는 장이 그 어디에도 없다는 것은 우리에게 너무나 아쉬운 대목이다.   (끝)
 

Posted by 바다란

댓글을 달아 주세요

최근 보안 전문 업체의 업종 다변화와 맞물려 CCRA 인증 협약이 며칠전 발효가 되었다.

 

두 가지 사안과 뉴스가 다른 시점에 나타났으나 연관관계는 매우 밀접하고 또 관계가 깊다.

 

CCRA: 국제 공통평가기준 상호인정협정으로 협약에 가입된 국가간에 보안제품에 대한 인증을 통과한 업체에 대해서는 해당 협약에 가입한 국가에 공통적인 평가 기준으로 인정이 됨을 말한다.

 

예전 90년대 부터 보안 장비 부분을 버티게 해주던 정책이 K4 인증이였다. 국정원에서 보안제품에 대한 인증을 수행하고 해당 장비에 대한 보안성이 검증되면 부여하던 인증인데.. 소스코드 및 기능 설계에 대한 부분도 검증을 받아야만 K4 인증을 받을 수 있는데 외국기업 중 어떤 기업이 한국 시장만을 보고 자사의 전체 재산과도 다름없는 방화벽이나 침입탐지 시스템의 소스코드를 공개할 것인가?.

 

따라서 공공기관에 도입 기준으로 정해진 K4 인증을 획득하지 못하여 진입 자체가 힘들었으며 민간용 구매의 경우에도 세계적으로 점유하고 있는 점유율 만큼을 인정 받지 못하였다.

 

현재 협약이 체결된 CC 인증에 관한 문제는 2년전 부터 이슈화가 된 부분이나 그동안 보안업체들은 무엇을 준비했는지 묻고 싶다. 또한 그 이전에 전문 기술 부분에 대해 얼마나 투자 했는지도 묻고 싶다. 엔지니어가 없는 회사. 전문 엔지니어가 대접받지 못하는 회사. 회사 정책상 얼마만큼의 당장 눈앞에 보이는 수익에 집착하고 그 이익을 위해 불나방처럼 자신의 날개를 불사르는 짓을 얼마나 했던가?

 

침입의 변화와 트렌드의 변화는 조금만이라도 눈을 뜬 자들에게는 그리 어려운 부분이 아니다. 모든 정보가 공유되고 공개되는 세상에서 그다지 어렵지 않은 부분이나 이런 부분을 외면하고 또 장기적인 투자를 외면한 그 실상은 참혹하다 할 수 있다.

 

멸치를 팔고.. 만두를 팔고.. 보안이 아닌 기타업종으로 진출을 하고.. 왜 이럴까?..

보안이 돈이 안되어서?.. 이건 변명꺼리도 될 수 없다. 왜 국내 시장에만 안주 하였는가?

왜 외국 시장에서는 뛰어난 성능으로 견주지 못하였는가?  성능이 안되어서? 독창성이 없어서? 기술이 안되어서?. 모든게 정답일 것이다.

 

작금의 시장은 뛰어난 성능과 남과 다른 그 무엇이라도 있다면 인정 받을 수 있는 시장이다.

그 시장에서 겨루지 못하고 국내시장에만 그것도 제한된 시장에만 안주하여 안정된 이익을 보장 받기를 원한 그 결과라고 볼 수 있다. 위협이 글로벌화된 현재 상황에서 보안 전문분야에서는 기술이 뒷받침 되지 않는 이상 더 이상 방패막이는 없을 수 밖에 없다. 이게 국제 사회에서의 통설이다. 방패막이는 스스로를 죽일뿐인 것을..

 

파장 및 파급효과에 대해서는 따로 기회가 되면 언급을 하겠으나 현재 변화된 상황만 보고 단편적인 이야기만 하면 개인적인 생각은 위와 같다.

기회는 많았으나 그 기회를 볼 줄 아는 눈이 없었다. 당장의 이익을 위해 변화하는 것은 좋으나 큰 방향으로 나아갈 큰 기업이 될 재목은 없었다라고 정의 할 수 있을 것 같다.

 

틈새 시장으로 진출한 보안 업체들도 있고 전문 분야를 고수하고 있는 업체도 있으나 제품을 만드는 곳은 앞으로 힘들어 질 것으로 보인다. 앞서 올린 글들에서도 언급 하였듯이 패러다임의 변화는 이미 대세에 이르렀는데 이제와서 돌아 갈 수는 없는 불변의 변화에서 상황이 호전되기만을 기다린 다는 것은 죽음을 기다리는 것과 같다.

 

생명력이 얼마나 될까?.. 그리 오래 가지는 못할 것이다. 최소한 보안이라는 부분에서.. 권토중래를 하기 위해서는 와신상담이 필수 이건만 이젠 그 기간조차 보장 받지 못할 것이다.

 

살아남은 기업들은 외산제품의 기능이나 연구역량에 밀려 점차 입지가 좁아질 것이므로 특정 기능 및 독창적인 기술에 집착하여야만 성공을 바랄 수 있을 것이고 역량 집중 없이 영업 및 사업 부분 확장으로만 버텨온 기업에게만 더 이상 기댈 것이 없는 시점이 곧 올 것이다. 지금이 그때인지도..

 

만두와 멸치는.. 살아남기 위한 몸부림!.

그러나 이런식의 몸부림으로는 이 보안이라는 분야에서 오래 버티기는 어려울 것이다. 적어도.. 아무리 늦었어도 3~4년 전 쯤에 승부수를 던지고 몸부림을 쳤어야 했다. 그 시점은 2001년에서 2002년 무렵이였을 것이고...

그때 던졌더라면 충분히 될 수도 있었을텐데.. 기술인력 다 보내고 역량 집중도 못하고 기업의 규모가 작아서 그런면도 있었을 테지만..무리한 확장 보다는 내실을 다졌어야 했는데.. 매출이 중요한 것이 아니라 얼마만큼의 독창성을 보유하고 있는지가 중요한 포인트임을 알고 세계의 흐름을 볼 수 있는 눈을 가진 경영자가 있었어야 했는데.. 그렇지 못한 것이 오늘날의 패인이라고 볼 수 있다.

 

경영만을 가지고 1대를 꾸려가는 기업을 만들 수도 있을 것이다.

비전이나 기술이 뒷받침 되지 않고서는 보안과 같은  전문분야 에서는 경영 다각화만으로는 1대 조차도 못 꾸릴 것이다.

 

살아날 길은 무엇일까?.. 틈새기술..독창성.. 그 무엇이든 뼈를 깍는 노력이 필요하다. 구조조정이나 사업 다각화가 아닌 독창성을 보유하기 위한 처절한 몸부림이 있어야만 성공 할 것이다. 그러나 지금 언론지상을 누비는 뉴스에서는 그런 몸부림을 전혀 느낄 수가 없다.

 

* 개인 사견 입니다. ^^ ; p4ssion

 

 

Posted by 바다란

댓글을 달아 주세요

바다란입니다.

 

이 블로그에도 대책을 올렸는데 여전하군요.

가히 안전불감증이 만연되었다고 할 수 있습니다. ( 솔직히 그동안 신경 안썼죠. )
공격된 사이트들도 과감하게 기술 했네요.

sportschosun, joins.com , nate.com , mnet.com , 투니버스 , mbcespn , ohmynews.com 등 대규모 사용자들을 지닌 사이트가 해킹을 당하고 있습니다. 물론 일회성이 아닌 연속적으로 당하고 있죠. 즉 하나가 아닌 여러개를 동시에 하기도 하고 백도어를 심어서 재공격을 하기도 합니다. 위의 사이트 전체의 공통점은 무엇일까요?.

 

MSSQL DB를 사용하고 Web language는 asp , aspx 등을 사용합니다.
각 게시판 및 링크물에 대한 인자등에 대해 Validation Check 가 제대로 이루어 지지 않음으로 인해 DB 단위까지 SQL Injection 기법을 이용해 DB 권한을 획득합니다. 그 이후 Web Shell 혹은  Web Injection Scanner + Web Entry Detector 등을 이용하여 소스 코드를 변조 하게 됩니다.

추가 되는 악성 코드는 iframe등을 이용하여 자동으로 시스템에 설치 되도록 하는 것이 대다수 유형 이였죠.

 

피해는 점점 커져 가고 그동안 보안 분야에 대해 등안시 하고 중요하게 생각하지 않고 IT 부분이 발전해온 만큼 그 만큼의 댓가를 치루게 될 것 같습니다. 대책이나 대안을 제시해도 이해하고 실행할 만한 인력이 없다는게 가장 충격적이죠.

 

 

그 많던 치즈들은 어디에 갔을까요?.
널린게 보안 전문가 인데..다들 어디로 간거지 하고 찾는 분들은 다시 한번 생각해 보셔야 될 것 같습니다.
자랄 환경도 없는데.. 그 가치를 인정 받지도 못하는데 오랜 동안의 스트레스 및 극도의 긴장을 누가 감내할 수 있을까요?. 사람들은 다 떠나고 몇 안되는 사람들도 격무에 시달려 앞으로 달려 나가지 못하는데 과연 무엇을 위해?.. 의무감에서 무엇을 하는 것이 맞지 않나는 완전히 다른 이야기 입니다.  세상에 그 누가 의무감으로 일을 할까요?. 즐겨서 하는 것이고 지금껏 그래 왔지만 등을 떠밀며 돌리게 만든 환경에서 그 책임을 손가락질 한다면 과연 누가 앞으로 나설 수 있을까요?

 

진작 금년 5월 경에 공개적으로 내용을 오픈 하고 관련 진단 스크립트들도 공개하고자 했지만 처한 입장이 입장이다 보니 공개도 제대로 못하고 대응에 관련된 내용들만 공개를 하였습니다.. 뭐 대단한 것도 아니지만 먹고 살 기를 곤란하게 하고 의무감에 의해 공개를 할까요?. 그동안 많은 공개 문서 및 툴을 오픈 했지만 또 앞으로도 여전히 그럴테지만 현재로서는 위험을 감수하면서 까지 공개하고 싶지는 않습니다.  자체 제작한 툴은 아니여도 드러난 문제가 분명하므로 그 문제를 해결 하기 위한 전반적인 프로세스를 수립하면 되는데.. 사고에 따른 몇 몇 대규모 회사들의 대응을 보면 일시적인 땜빵에 또 머무르고 있습니다. 물론 보안 전문가들을 족쳐서요.. 마음이 싹 사라집니다.  이런 방식이라면 의미 없다고 생각 됩니다.

 

굴뚝 같은 마음이 들지만..그래도... 

 

 

특단의 조치가 과연 무엇일 될런지..궁금 합니다.
일괄적인 Secure coding을 강제화 할 것인지.. 아님 패치를 강제화 할 것인지.. 무엇으로 향할까요?
그 어떤 것을 하던지 간에 일시적인 미봉책에 다름이 아닐 것입니다.

근본적인 방향을 보려 하지 않고 오랜 동안 외면해오고 현실에 적응 만을 이야기 하며 훈계한 댓가라면 너무 냉소적인가요?.

앞으로도 많은 말들이 나올 것 같습니다.
졸지에 보안 전문가들도 도매금으로 욕먹는 그런 상황이 올지도.. ^^;.


http://news.naver.com/news/read.php?mode=LSS2D&office_id=008&article_id=0000580163&section_id=105&section_id2=283&menu_id=105

 

Posted by 바다란

댓글을 달아 주세요

2002년 10월 에 쓴 글이네요.

이 때만 해도 SCADA ,DCS가 어떤 의미인지도 모르시는 분들 많으셨을듯

 

지나간 자료를 보다보니 만들때의 생각이 나네요.

그냥 스스로가 좋아서.. 낯선 분야에서 무언가를 알아가고 체계화 한다는 것에 많은 만족을 가졌던 것 같습니다. 그 누군가의 평가와는 관계없이..

그 덕에 아직도 이렇게 지내지만.. ^^;

 

조금 더 큰 그림을.. 보려고 한계를 넘어 서려고 많은 노력을 했었고. 그 덕에 조금이나마 머리는 트인 것 같은데 아직도 여전합니다.

 

좀 더 큰 그림을 보려하고 체계화 하려는 것은 여전히 지닌 바램.

 

SCADA & DCS 관련 이 글을 쓸때만 해도 웹상에서 자료를 찾기도 어려워서 공부하는데 정말 힘들었었죠. 이것 저것 찾아봐도..자료도 없고.. 물어볼 사람도 없고.. 지금보다는 앞으로 발생할 문제라고 봅니다. 조만간 휴대폰 영역에서도 이슈가 될 것이고 유비쿼터스 환경에서 더더욱 살벌해질 문제라고 할 수 있죠.

 

이걸 만들 무렵에 SCADA &DCS 관련해서 미국토안보부인가에서 5페이지 정도의 보안 가이드를 발표 하더군요. 그나마 비슷한 시기에 만들었다는 헛바람든 만족만은 혼자 지니고 있습니다.

 

그럼.

 

Posted by 바다란

댓글을 달아 주세요

http://www.zdnet.co.kr/news/network/security/0,39031117,39146342,00.htm

 

TCG [Trusted Computing Group]의 지닌 생각은 타당한 생각입니다.

또한 반대편에 존재하는 조지오웰의 독재자의 인상도 타당한 생각입니다.

 

가장 중요한 전제는 이것임을 잊지만 않는다면 타당합니다.

 

가장 중요한 전제는 기업이나 사회의 보안은 End Point로 부터 출발을 하며 현재에는 더욱 더 중요한 위치를 차지하고 있다는 점입니다.

기업에서는 말단 PC에서 부터 노트북에 이르기까지가 기업전체의 존망을 결정할 수도 있으며 사회에서는 현재 이슈가 되고 있는 Bot 이나 웜의 경우에도 최초의 출발은 미약하나 과정은 대폭 짧아지고 결과는 확실하게 나타나는 네트워크형으로의 발전이 눈에 보이게 나타나는 형국입니다.

 

따라서 개개의 단말요소를 중요하게 생각하지 않으면 안되는 시점이며 이런 관점에서의 단편적인 문제해결을 위해 모든 구성요소에 Secure한 요소를 의무적으로 삽입을 하는 점도 충분히 나올 수 있는 판단이라고 보입니다.

그러나 이런 방식도 시일이 지남에 따라 또 다른 문제를 야기 시킬 수 밖에 없으며 방식의 확산 과정에도 충분한 문제가 드러날 수 있습니다.

 

기업의 입장에서는 이와같은 요소에 대해 어떤식으로 대응을 해야 할까요?.

중요 서버에 대한 강력한 접근제한 , 외부에서 접근시에는 SSL VPN , 모든 접근 가능한 단말에 대해서는 PMS [patch management system]의 운용을 통한 Active한 대응 [차단까지도 고려 ] 등이 나올 수 있는 대안이라 판단됩니다.

손쉽게는 보안장비나 장치를 통해서 하려는 발상을 누구나 할 수 있지만 어려운 면이 있으며 일편적인 방식으로는 해결이 되지 않으므로 굳건한 정책과 이에따라 발생하는 기술적인 문제를 해결할 수 있는 지식으로 무장을 하고 단계별 보안을 강화하는 수가 현재에서는 가장 타당한 방안이 아닌가 생각이 됩니다.

 

국가적인 입장에서는 전체 보안 패치의 레벨을 높이고 중요 포인트마다 문제를 발견하고 사전 인지후 차단까지 이어질 수 있는 빠른 대응체제의 수립을 통해 보다 확실한 효과를 볼 수 있겠죠.

 

무엇보다 가장 중요한 것은 첨단으로 진화를 하고 빠르게 발전을 할 수록 사람이 가장 중요한 자원이 됩니다.

능력을 갖추고 명확한 이해를 바탕으로 단계를 설정하고 레벨을 높일 수 있는 인력이 국가든 기업이든 중요한 요소라고 할 수 있습니다. 이런 부분까지 자동화 한다는 것은 앞으로도 매우 요원한 일이 될 것입니다.

 

Secure environment는 장비에 의해서 이루어 지는 것이 아닌 구성원의 노력과 단계적인 레벨업에 의해서 가장 충실해 지지 않을까 하는 의견입니다.

 

##########0*

Posted by 바다란

댓글을 달아 주세요

 

 

 

일본계 기자가 써서 그런지 참 그렇네요.

 

내부에는 봐야할 내용들도 있고 유익한 일들도 있지만 서비스별 중요도별 , 활용도별에 따른 실제적인 통계나 예상이 없어 보입니다.

 

아직 한국이 보안에 강하다는 이야기는 없죠?.. 만약 있다면 문제죠. 이런 환경에서 된다는 것 자체가...

 

피싱뿐 아니라 해킹에 관련된 부분도 이제는 글로벌화 하고 있습니다.

적극적인 대책이 필요한 시점이나 차단 가지고는 되지 않고 인력들이 자랄 수 있고 자생할 수 있는 풍토를 만드는 것이 가장 중요하다고 판단됩니다. ^^;

 

 

금전 노린 해킹「국제적 공조 체제 필요하다」
[ZDNet Korea 2005-07-20 19:49]

피싱 웹사이트를 폐쇄시키느라 노력하고 있는 가빈 레이드는 일이 훨씬 더 어려워졌음을 감지했다. 바로 피싱 공격이 인도에서 일어나고 있었기 때문이다.

인도 기업들은 보통 미국 직장인들이 회사에 출근할 무렵 하루 일과를 끝낸다. 포춘이 선정한 500대 기술 기업 중 한 곳에서 보안 사고 대응팀을 이끌고 있는 레이드는 이런 점 때문에 문제를 해결하는 데 어려움을 겪고 있다.

FIRST(Forum of Incident Response & Secutiry Teams)의 프로젝트 리더이기도 한 레이드는 “시간이 너무 이르거나 늦기 때문에 제대로 연락을 취하기가 어렵다”라며 “피싱 공격이 일어난 첫 날 엄청난 손실이 발생했는데 연락을 취해 해결하는 데 무려 3일이 걸렸다”라고 말했다.

해외에서 공격이 시작되면 시간대 문제와 언어 장벽으로 인해 위협에 신속히 대응하기 힘들 수 있다. 해커들이 IT 업계에서 방어가 허술한 국가로 지목하고 있는 중국, 대한민국 같은 곳을 전세계 공격 거점으로 삼게 됨에 따라 문제가 커지고 있다. 또한 전문가들은 보안 대응 기구는 물론 각국의 법 집행 기구들이 공동 대응하고 있음에도 불구하고 아직 서로 조율해야 할 게 많다고 지적한다.

이 때문에 발생하는 위험은 크다. 기업들이 서비스 거부 공격인 새서와 같은 웜의 맹공에 시달리거나 고객의 민감한 정보를 훔쳐내려는 피싱 스캠을 당해 며칠동안 운영에 차질을 빚는 것은 물론 기업 이미지도 손상을 입는다.

이러한 모든 일은 미국 내 기업과 조직에 재정적 손실을 낳는다. CSI(Computer Security Institute)와 FBI가 기업, 정부 기구, 금융 및 의료 기관, 대학을 대상으로 조사한 바에 따르면 바이러스로 5500만달러, 서비스 거부 공격으로 2600만달러의 비용이 든 것으로 나타났다.

이런 문제의 근원은 보통 “좀비” 네트워크 때문이다. 좀비 네트워크란 종종 소유자가 모르는 사이 PC가 원격에서 제어될 수 있도록 공격당한 PC들을 의미한다. 사악한 공격을 감행하는 이들은 이렇게 자신들이 통제할 수 있는 PC를 수천 대 동원할 수 있고 이들을 이용해 스팸, 바이러스, 서비스 거부 공격 등을 퍼붓는 데 사용한다.

이메일 보안 회사인 사이퍼트러스트(CipherTrust)에 따르면 좀비가 가장 많이 발견될 수 있는 국가로 중국과 미국이 1, 2위를 다투고 있으며, 지난 주 중국이 새로운 좀비의 21%를 차지하고 있고 반면 미국은 17%, 대한민국은 6.8%를 차지하고 있는 것으로 밝혀졌다.

APWG(Anti-Phishing Working Group) 의장 데이비드 제반스는 중국과 대한민국에는 초고속 인터넷망이 널리 보급되어 있지만 이들 국가 내 기업과 소비자의 보안 소프트웨어 사용 수치는 극히 적다고 말했다. 이런 상황으로 인해 “봇넷(botnets)”이라고 알려진 좀비 네트워크에 이들 국가가 취약한 상황이라고 그는 지적했다.

FIRST의 레이드는 “컴퓨터에 애드웨어를 설치하면 1페니(5원)도 안되는 돈을 주는 기업들도 있다. 그러니까 200달러를 벌려면 4000대의 컴퓨터를 해킹해야 하니 별로 구미가 당기는 일이 아닐지 모르겠지만, 몇몇 개발도상국에서 200달러는 상당한 돈”이라고 말했다.

전문가들은 또한 교육 수준이 높은 IT 인력이 일자리를 얻지 못하고 있는 동유럽이 사이버 범죄의 온상 중 하나가 되고 있다고 지적하고 있다.

기업들의 대처법

세계 도처에서 위협이 일어나고 있다. 각 기업들은 아래 수칙만은 지키는 것이 좋다.

▲ 기업 내에 컴퓨터 보안 사고 대응팀을 만들어라.

▲ 보안 사고 대응팀을 만들기에 역부족이라면 보안 업무를 담당할 인력을 지정하라.

▲ 보안 패치와 안티바이러스 소프트웨어를 최신으로 유지해라.

▲ 라우터에 데이터 수집 기능을 켜 네트워크에서 사람들의 이동 정보를 얻어내라. 이렇게 하면 침입이나 비정상적인 예외 상황이 어디서 발생했는지 추적할 수 있다.

출처: FIRST(Forum of Incident Response Security Teams)

기업들에 미치는 영향

기업들, 특히 고객의 신용을 먹고 사는 금융 기관에겐 이런 상황은 상당한 영향을 끼치고 있다. 미 캘리포니아 주 산타 로사에 위치한 익스체인지 뱅크(Exchange Bank)는 근원지가 대부분 해외인 피싱과 파밍(pharming) 공격을 당했던 적이 있다고 은행 정보 보안 책임자인 밥 길고리어는 말했다. 피싱과 파밍 공격 모두 신뢰할 수 있는 업체의 웹사이트인 것처럼 꾸며놓고 고객들의 암호나 민감한 개인 정보를 수집한다.

익스체인지 뱅크는 이러한 보안 위협을 뿌리뽑고자 침입 방지 시스템(IPS), 인터넷 시큐리티 시스템과 보안 관리 서비스 계약, 전자 뱅킹 서비스 아웃소싱 등 몇 단계를 거쳤다. 길고리어는 고객들의 PC에 바이러스와 트로이 목마 프로그램이 있는지 검사하는 기술을 사용하기 위해 전자 뱅킹 협력업체와 현재 논의중이라고 말했다.

반격으로 다른 방법도 시도되고 있다. 인터넷 시큐리티 시스템의 CTO인 크리스 로랜드는 몇몇 기업들의 경우 좀비에 대량 감염되어 있는 ISP를 블랙리스트에 올려놓고 있다고 말했다.

하지만 APWG의 제반스는 몇몇 국가의 ISP에게는 고객 하나 막아달라고 이야기하기도 어렵다고 언급했다. 그는 “중국과 대한민국의 경우 ISP나 도메인 이름 등록 업체(registrar)에게 사이트 한 곳을 막아달라고 요청하기 가장 어려운 국가들”이라며 “중국에는 심지어 도메인 이름 등록 업체에 연락처가 없는 경우도 있다. 이러니 막아달라는 연락조차 할 수 없다”고 말했다.

이런 상황에서 지난 달 중국이 국제적인 스팸과의 전쟁인 ‘런던 활동 계획(London Action Plan on Enforcement Collaboration)’에 참여하겠다고 발표한 건 상당히 진일보한 일로, 환영을 받을만한 행동이다.

기업, 정부 기구, 대학, 기관의 사고 대응팀을 위해 전세계적인 정보 센터 역할을 하고 있는 FIRST는 국제적인 위협과 맞서기 위해 많은 권고안을 내고 있다. 예를 들어 FIRST는 기업들에게 컴퓨터 보안 사고 대응팀을 마련하거나 전반적인 보안을 맡을 상주 인력을 적어도 한 명은 두도록 조언하고 있다.

또한 FIRST의 레이드는 기업들이 보안 패치나 안티바이러스 소프트웨어를 업데이트하는 것뿐 아니라 라우터에 데이터 수집 기능도 켜놓도록 해 기업 네트워크에 누가 들어오는지 모니터링해서 예외 상황 발생시 침입 내용을 거꾸로 추적할 수 있도록 해야 한다고 제안했다.

레이드는 보안 위협에 관한 정보를 공유하기 위해 FIRST와 같은 보안 그룹이나 CERT(Computer Emergency Readiness Team)에 기관들도 참여할 것을 주문했다. 이 그룹들은 전세계를 대상으로 한 사이버 보안 위협과 싸워나가면서 부족함을 메워가고 있다.

레이드는 FIRST를 살펴볼 경우 회원사들이 구체적인 위협과 공격의 방향에 대해 정보를 공유할 뿐만 아니라 보안과 관련한 주제와 해결책도 다루고 있다고 말했다. 그는 예를 들어 스웨덴에 있는 한 기관이 어떤 ISP로부터 특정 형태의 해킹이 일어나고 있음을 감지했다는 경고 이메일을 보내게 되면 IBM에서 50개의 다른 ISP 주소에서도 유사한 방법이 감지되었다는 내용을 이메일 토론 주제에 넣게 된다고 말했다.

국제적인 노력

각국의 법 집행 기구들도 사악한 해커들의 활동을 막으려 하고 있지만 난관에 부딪히고 있다.

브라질 연방 경찰의 컴퓨터 범죄 수사 부서를 이끌고 있는 파울로 퀸틸리아노는 만약 브라질이 해외에 있는 한 ISP의 고객 정보를 얻고 싶어한다면 브라질은 정보 압류 승인을 위해 국제 조약이나 국제 재판에 의존할 수는 있겠지만, 6개월에서 2년이 걸릴 수 있다고 언급했다. 그는 이 때문에 2년 전 사이버 범죄 수사와 기소를 신속히 진행하기 위해 프로젝트를 시작했다.

퀸틸리아노는 “브라질 사람이 미국에서 범죄를 저질렀다면 FBI 측에서 내게 해당 ISP의 로그를 보낼 수도 있다. 이에 기초해서 수사를 진행하고 해당 ISP에게 기밀 해제를 요청한다. 이를 통해 브라질에서 범죄를 찾아낼 수 있다”며 “2년을 기다리지 않고서도 2주 내에 필요 정보를 얻을 수 있다”고 말했다.

퀸틸리아노는 브라질이 이런 방법을 통해 미국과 스페인과 공조하고 있다고 말했다. 브라질에서는 키 입력을 가로채는 공격자들로 지난 2년 동안 은행들이 7000만달러의 손실을 입었다.

영국 NHTCU(National Hi-Tech Crime Unit)의 대변인인 펠리시티 불은 NHTCU가 사이버 수사를 위해 미국 연방 수사국(FBI), 미국 비밀 경찰, 미국 우정청을 비롯한 사이버 범죄 관련 부서와 공조하고 있다고 밝혔다. 불은 NHTCU가 러시아의 법 집행 기관 공무원들과 협력하여 라인 도박 회사에 대한 갈취 시도 수사를 진행했으며 이같은 러시아 당국과의 협조로 5명을 체포했다고 말했다.

불은 “인터넷은 전세계에 걸쳐 있다. 따라서 우리만 고립되어 있을 순 없다”고 말했다.

전세계의 법 집행 기구, 보안 그룹, 기업들은 해외에서 감행되는 공격을 완화하기 위해 여러 방법을 시도하고 있다. 이를테면 특정 지역에서 오는 이메일을 자동적으로 필터링하는 것에서부터 사이버 공격을 막기 위해 전세계적인 공조 강화의 초석을 마련하는 것까지 다양하다.

이러한 노력들은 해외에서 비롯된 위협을 해결하는 데 있어 기업들의 능력을 강화시켜줄 것임에 틀림없다. 하지만 고려해야 할 다른 요소가 있다면 조직적 범죄가 해킹으로 이동함에 따라 공격은 더욱 정교하고 효율적이 되고 있다는 점이다. 한 보안 전문가는 미래에 대해 이야기하며, 앞으로는 바이러스만 해결하는 걸로는 충분하지 않을 것이라고 말했다.

허니넷(HoneyNet) 프로젝트의 랜스 스피츠너는 “범죄 동기에 대한 해결책이 필요하다”며 “3년 전 해커들은 명예를 위해 해킹을 감행했지만 현재 해커들은 부를 얻기 위해 해킹을 시도한다. 보안 문제라고 하기보다는 이제는 범죄라고 봐야 한다”고 말했다. @

##########0* 세계 도처의 위험들 ##########1*   ##########2*
몇몇 국가에서는 봇넷같은 골칫거리로 다른 곳들보다 더 큰 타격을 입고 있다.

호주 : 은행들이 주의를 제대로 기울이지 않고 있고 자주 사용되는 .au가 붙은 이메일 도메인 이름으로 인해 호주의 은행 고객들은 피싱 공격의 손쉬운 표적이 되고 있다.

브라질 : 은행들이 주의를 제대로 기울이지 않고 있고 자주 사용되는 이메일 도메인 이름으로 인해 키입력을 가로채는 트로이 목마 프로그램의 목표가 되고 있다.

중국 : 초고속 통신망이 보급돼 있으나 보안에 대해 인식도가 떨어져서 좀비 네트워크에 노출돼 있다.

대한민국 : 초고속 통신망이 보급돼 있으나 보안에 대해 인식도가 떨어져서 역시 좀비 네트워크에 노출돼 있다.

러시아 : 훌륭한 기술력을 지녔지만 일자리를 구하지 못한 노동력이 많으며, 이로 인해 러시아와 다른 동유럽 국가들이 사이버 범죄의 온상이 되고 있다.

<출처: APWG(Anti-Phishing Working Group>

##########3* ##########4*

Dawn Kawamoto ( CNET News.com )

[ 저작권자 ⓒ ZDNet Korea, CNET Korea,Inc. 무단 전재 및 재배포 금지, ZDNet Korea는 글로벌 IT 미디어 리더 CNET Networks의 브랜드입니다. ]

Posted by 바다란

댓글을 달아 주세요

 

정보보호 체크 가이드  - by 바다란 (p4ssion@naver.com)

 

보안의 강화는 기업을 위한 중요한 활동임과 동시에 개인 정보 유출을 막기 위한 최선의 방책이다.  2005년에 급속도로 증가한 개인정보 유출용 악성코드 및 정보유출을 위한 다양한 위험성들이 늘어나 특별히 보안에 관심을 두지 않는 한 일반직원의 입장에서는 문제가 그리 간단한 것만은 아니다.

 

매번 연말이나 특정한 이슈가 발생할 때면 보안 회사들에서 보안 강화를 위한 방침을 발표하고는 한다. 이런 방침에 항상 빠지지 않는 것이 보안 패치의 활성화 , 백신의 업데이트 철저 와 같은 항목이다.

왜 보안 패치가 중요하고 백신이 중요한 것인가? 개인은 물론 기업, 산업 기반에도 중요한 영향을 미치는 요소로 매번 강조되는 이유는 무엇일까?

 

완벽한 운영체제란 없으며 시일이 지나면서 필요가 변함에 따라 사용환경은 변화하고 진보하기 마련이다. 또한 이전에는 생각지 못했던 새로운 기술과 개념들을 낡거나 부족한 토대위에 올려 놓으려다 보면 고려하기 힘든 부분들도 존재를 하게 되며 새로운 취약성이 발견이 되는 경우도 발생이 된다. 따라서 대부분의 운영체제를 만드는 곳에서는 발견된 문제의 중요성에 따라 보완하는 작업을 진행 한다. 2005년 연말에 발생하였던 wmf  취약성의 경우  Microsoft의 정식 패치 발표일이 아님에도 불구하고 일주일 가량 시간을 당겨서 보안상의 위험성을 보완하는 패치가 발표가 되었다. 문제의 심각성이 그만큼 심각한 사안이라는 경고가 세계 각국의 전문가들로부터 제기 되어 Microsoft도 무시하기는 어려웠으리라.

 

 

위험한 개인사용자

 

앞서 wmf 취약성을 예로 들었지만 wmf 취약성이 발표된 지 만 24시간도 되지 않아 취약성을 공격하는 코드가 발견이 되었다. 개념적인 코드차원에서 실제 공격을 하고 권한 획득을 할 수 있는 부분까지 발전이 되었으며 2~3일이 지난 후에는  메신저 ( MSN , Yahoo )를 통해 감염이 되는 웜 형태로도 출현하였으며 앞으로도 계속될 문제로 발전이 될 것이다. 또한 지난 해를 뜨겁게 달구었던 중국발 해킹은 현재도 진행형 이다. 유명하거나 사용자의 방문이 많은 사이트는 집중적인 공격의 대상이 될 수 있을 것이다. 왜 이런 많은 문제들이 발생을 하고 있고 이런 문제들의 해결책은 대체 무엇이 있을까? 여러 가지 문제의 원인이 있을 수 있지만 특히 몇 가지만을 헤아리면 안전하지 못한 프로그래밍 기법의 일반화 ( 보안의 고려가 없었던 시절의 프로그래밍 ) , 악성코드를 통한 정보유출 및 감염에 민감하지 못한 무관심과 같은 두 가지 유형을 대표적으로 들 수가 있다.  프로그래밍 기법의 일반화를 제외한 무관심의 경우는 개인 사용자의 위험 노출이 매우 높음에도 불구하고 인지를 못하고 있어서 향후에도 계속 발생될 수 있는 문제라 할 수 있다.

공격 기법도 계속 변화하고 있으며 2005년 12월에 발견된 wmf 취약성을 이용한 중국발 해킹도 연이어서 발생을 하고 있는 상황이다. 공격하는 자들은 계속 발전하고 있고 변화 하고 있으나 사용자들의 인식은 그에 미치지 못하고 있다. 더욱이 기업의 인식도 그리 많이 나아지지 못하고 있는 상황이다. 

취약성이란 무엇인가?  그렇다면 앞으로도 취약성은 증가하고 Zeroday 위협은 증가 할 것인가?. 대답은 증가 할 수 밖에 없다 이다.

 

일반 사용자들에게는 익숙하지 않으나 전문가들에게는 날마다 쌓이는 보안 관련 취약성 및 위험성 정보가 존재한다.  전 세계에서 개발되고 이용되는 Application의 수치는 얼마나 될 것인가? 또 오늘 당장 개발 되거나 내일 새롭게 발표되는 제품의 수는 얼마나 될까?.  매우 많은 수치의 제품이 현재 사용 중이며  또 개발 중일 것이다. 앞으로의 세상에서는 더욱 더 많은 제품들을 사용하게 될 것이 명확한 사실이다. 

한 가지 더욱 명확한 사실은  이 모든 제품들이 완벽하지는 않다는 점이다.  서로간의 정보교류를 하는 이상 그 어떤 제품도 100% 안전한 제품은 존재하지 않을 것이다. 보다 더 안전한 구성을 통해 안전성을 높다는 것은 보장 할 수 있어도 100%를 보장 할 수는 없을 것이다.

아래와 같은 사이트 ( 정말로 많은 취약성 관련 사이트 들이 존재한다. ) 에는 날마다 취약성에 관련된 신규 정보들이 올려져 온다. 공격코드들이 작성 되어 올려지기도 한다.

 

 이미지는 첨부파일 참조

 

< 취약성 정보가 게시되는 해외 웹 사이트 >

 

보안 관련된 논의 및 메일링을 통해 전 세계의 전문가들과 의견 교환을 할 수 있는 bugtraq 은 취약성의 흐름 및 빠른 정보 수집을 위해 필수적인 사이트 이다.

 

 이미지는 첨부파일 참조

 

< 취약성 관련된 메일링이 교환되는 Bugtraq >

 

발견되는 취약성은 일반직원들이 아는 것 보다 매우 많으며 그 복잡성도 높을 수 밖에 없다. 따라서 개개인이 직접적으로 대처를 하고 대응을 한다는 것은 어려울 수 밖에 없으며 기업 단위의 대처에도 영향을 미칠 수 밖에 없다. 한 기업에 있어서 공식적으로 사용하는 Application 외에 직원들이 사용하는 모든 Application을 알 수 있을까?. 또 취약성이 발견되는 Application의 문제에 대한 해결책을 제때에 적용 할 수 있을까?   

아마 해결책을 찾는 것도 전체의 Application (공식적인 것과 비공식적인 것 모두 포함) 목록을 체계화 하는 것은 일정 규모 이상의 기업에게는 매우 어려울 것이다. 현 상황에서의  조직 차원에서의 완벽한 해결책은 없으며 보다 더 안전할 수 있도록 꾸준하게 노력하는 것 외에는 해결책이 존재하지 않는다.

기업의 보안 및 보다 큰 공동체의 안정성을 위한 보안 노력도 모두가 개인 및 구성원의 적극적인 노력으로부터 비롯된다. 구성원의 노력 없이는 전체적인 보안태세 및 보안에 대한 노력들도 둑을 무너뜨리는 틈새와 같이 의미 없어 지는 것이 현재의 환경이다.

 

자 복잡하다.  명확한 것은 문제가 있고 이 문제를 풀기 위해서는 개개인도 노력을 해야 한다는 점이다. 현재 발생되고 있는 웜이나 악성코드가 얼마나 지독한가?. 웜에 감염되면 주변의 다른 사용자들에게도 동일한 웜이 감염을 시키고 종래에는 IT 회사라면 운영 하는 시스템에 피해를 주거나 업무에 지장을 받을 정도로 영향을 미칠 수 있다. 또 외부에서 자신의 PC를 컨트롤 하여 중요 문서를 가져 간다면 어떻게 될 까?. 이제는 단 하나의 문제점만으로도 충분히 피해를 입을 수 있는 시대이므로 많은 주의가 필요하고 관심이 필요하다. 그러나 모두가 전문가가 될 필요는 없을 것이다. 각자 전문분야는 따로 있을 것이므로..

 

정보보호 실천을 위한 가이드에는 어떠한 것들이 있을 지 알아 보자.

먼저 가장 근본적인 원칙이며 한 달에 한번 정도의 간격으로 체크가 되어야 하는 부분은 다음과 같다.  ( 일반 유저를 대상으로 하며 대부분 Windows 환경에서 문제가 발생하므로 Windows를 기준으로 하였다. )

 

1.       XP의 경우 Service Pack 2를 설치한다.  보안 기능을 활성화 시키고 여기에서 Windows Firewall 의 기능도 적절히 이용하도록 하자

.  

이미지는 첨부파일 참조

 

2.       Windows Update의 정기적인 설정 경험상 점심시간 무렵이 적당한 것 같았다. 새벽시간으로 설정할 경우 PC를 계속 켜두어야 된다.

 

3.       바이러스 백신의 사용 일단 맹신 하지는 말자. 다만 알려진 위협 및 바이러스를 제거해 줄 수 있는 수단이라는 점에서 이용은 필수

 

4.       비정상적인 계정이 있거나 프로그램이 실행 되고 있는지 검수를 한다.  계정의 경우는 사용자 관리 메뉴에서 프로그램은 Regedit 혹은 레지스트리 관련 프로그램에서 시작 프로그램 항목을 체크해 보면 된다. 주위 사람에게 상의 하면 충분히 이행 가능하다.

 

5.       운영체제의 보안 불필요한 서비스 제거 ( TCP/IP Netbios Helper 및 Messenger 서비스등 ) 를 통한 위험요인 제거 불필요한 서비스 항목은 전산 담당자에게 문의 혹은 인터넷 상에서 충분한 가이드를 얻을 수 있다.

 

6.       계정의 보안 강화 및 공유 설정의 강화 공유 디렉토리의 경우 읽기 권한 만 주고 접근 권한 및 사용자를 최소화 한다. 로그인 계정의 경우 6자 이상의 ID 및 6~7 자리를 지니는 Password를 사용하도록 한다. 주기적인 변경도 고려 하여야 한다.

 

* 계정 보안 관련: 외부 인터넷 사이트에 사용자 계정을 만들 때에도 자신만의 규칙을 지니고 생성하는 것이 좋다. 동일한 ID/ 동일한 PW로 거의 대부분의 웹 사이트에 가입을 한다는 것은 자신의 모든 정보를 내 주는 것과 동일한 행위이다. 가입 하는 모든 사이트의 보안성을 장담 할 수 있을까? 하루에도 수백 개의 사이트가 웹사이트 변조를 당하는 상황에서 과연 내 정보는 지켜 질 수 있을까?   사용자 개인의 특성에 맞는 규칙이나 자신만의 방식으로 몇 개의 부류로 나누어서 사용을 한다면 보다 안전한 서핑이 될 것이다.

 

한달 단위의 이행 대책의 경우 주위의 조언이나 전문가에게 도움을 요청해야 하는 사안들이 많이 있으나 주간 및 일간 단위의 체크는 좀 더 다른 방향으로 접근을 수행하면 된다.

 

주간 단위의 검사 항목으로는 다음과 같은 점을 유념하면 될 것이다.

 

1.       바이러스 감염 기록의 확인 및 바이러스 백신의 업데이트 일자 확인  - 감염 기록의 확인은 매우 중요하다. 자신이 인지하지도 못하는 상황에서 감염이 되었다면 추가적인 위험이 있을 수 있으므로 좀 더 주의를 기울여야만 한다.

 

2.       Windows Update 서비스의 정상적인 동작 확인  - 정상적으로 설정이 되었는지 여부를 확인 하는 것이 좋다. 주일의 시작인 월요일이나 금요일에 한번쯤 Update에 시간을 두고 여유를 지니는 것도 좋은 방식이며 자동 설정을 통해 다운로드 발생시 마다 처리하는 것이 가장 좋다.

 

3.       비정상적인 PC의 움직임  - 외부에서 조정을( Mouse 혹은 키보드 ) 하고 있거나 내부의 데이터에 인위적인 손상 등이 있을 때에는 전산담당자와 상의를 해보는 것이 좋다.  그 문제가 사소한 것이든 오해이든 이런 문제에 대해서는 확실히 하는 것이 좋다.

 

일반 보안 회사 및 신문지상에서 가장 많이 언급되는 일간 단위의 검사 항목은 다음과 같다.

 

1.       바이러스 프로그램의 가동 및 업데이트 설정- 모니터링 가능상태 유지

2.       윈도우 보안 패치의 설정 및 설치

3.       E-mail 프로그램 사용시의 수/발신인의 확인 및 첨부 파일에 대한 백신의 검사 및 주의

4.       P2P 프로그램 사용시의 백신을 이용한 검사 준수

5.       메신저 프로그램을 통한 링크 및 URL에 대한 확인 ( 최근 WMF 공격이 URL Link를 이용한 공격이 많이 발생하고 있다. )

6.       공유 권한의 제한

7.       웹사이트 서핑시의 Active X 설치 유형과 같은 악성코드에 대한 주의  - 최근 유형이 매우 많으므로 주의를 기울여야 함.

 

 

 간략하게 살펴 보면 위와 같은 검사 항목을 준수 한다면 전체적인 안정성을 높이는데 도움이 될 수 있을 것이다.  큰 방향성 아래에서 하위 항목을 준수하는 것이 강조 되어야 하며 왜 이런 노력들이 필요한 지에 대한 이해가 선행이 되어야 만 한다.

향후에도 많은 위험들이 있을 것이고 DMB 혹은 WiBro 등 수많은 변화 속에서 또 얼마나 많은 발전이 있을 것인가? 그 발전이 기술의 진보이든 위험의 진보이든 간에

 

 

 

 

Posted by 바다란

댓글을 달아 주세요

안녕하세요. 바다란입니다.

 

지난 10.24일에 KISA에서 주최한 침해사고 대응 세미나가 있었습니다.

해당 세미나에서 침해사고의 발전 유형과 대응 방안에 대해서 고민하고자 했는데 제대로 전달이 되었는지 모르겠네요.

 

가장 중요한 팩트는 이미 취약점 및 공격 유형은 커버가 가능한 범위를 넘어 섰다는 점입니다.

기본적으로 지금까지 알고 있던 유형의 대비책만으로는 한계가 있으며 정량적인 대책으로는 해결 되지 않고.. 정성적인 대책이 있어야만..또 꾸준히 진행 되어야만 문제가 일정 수준 이하로 감소 됨을 확인 할 수 있습니다.

 

현재의 공격유형은 매우 치밀하고도 집요합니다.

기존의 모든 보안솔루션을 무력화 시키고도 가볍게 전파가 됩니다.

그만큼 공격 기술의 전파가 빠르게 또 깊이 있게 공유가 된 탓이라 볼 수 있습니다.

 

보안 기술의 전파는 이에 비하면 거북이 걸음이지요.

 

작은 기술이나.. 작은 시각이나마 여러 방면에서 조망을 하여 보다 더 체계적이고 완전한 구성을 만들었으면 합니다.

 

꾸준한 투자가 들어가야만 산업을 유지 할 수 있는데.. 이제는 이 것이 필수 인데.. 이 것을 인정하지 않는 기업이나 산업은 점차 쇄락할 수 밖에 없을 것 입니다.

이제부터는 보안이라는 측면은 최소한 IT 비지니스를 하는 회사에서는 가장 필수적인 중심요소입니다.

 

자료 참고 하세요.

 

 

Posted by 바다란

댓글을 달아 주세요

Zeroboard 및 PHP 관련 공격이 극성을 부릴때였죠.

2005년 1월초에 만든 문서입니다.

 

이 문서의 기본 개요는 향후에는 Application 레벨의 공격이 일반적이 될 것이라고 일정부분 예상을 했었는데..점쟁이도 아니구... ^^;

 

지난 내용들이지만 이때 당시를 짚어 보시고 한번쯤 생각을 해보시는 것도 좋을 듯 싶습니다.

조금 더 뒤의 일들을 예상하고 대응을 하도록 권고하는 것은 지나고 난뒤에 보면 좀 우습기도 하죠.

 

그냥 자기 만족이려니 하고 하는 것일뿐. ^^;

 

Posted by 바다란

댓글을 달아 주세요

 

지나간 자료 입니다.

저도 어디에 있는지 찾지를 못해서 다른 곳에서 링크 받아서 여기에 올려 둡니다.

 

순서대로 보시면 될 것 같습니다.

아직도 문제의 원인 같은 것은 잘 모르죠. 사고 조사나 자료들만 잘 있었어도 명확했을텐데 하는 아쉬움이 있습니다.

그냥 추론해 가는 과정을 보면 될 것 같습니다. 이때 잠도 못자고 근 3~4일을 회사일 하면서 밤에는 이거 만드느라고 고생 좀 했죠.

 

그냥 지나간 이야기..

 

0.1 ->0.2 ->1.0  까지 입니다. 회사 차원도 아닌 개인이 하는건 정보의 한계가 있더군요. 나름대로 모든 머리를 다 짜내고 글을 쓰고는 했는데 결국 욕도 많이 먹었죠..

 

후후..다 그러려니 합니다. 이외에 글을 썼던 게시판들도 있는데 그 게시판들이 다 사라졌네요.

그냥 이 것만...

Posted by 바다란

댓글을 달아 주세요

1.25 대란에 대해서 많은 고민을 하면서 자료를 내놨지만 뒷 이야기를 안한 것 같다.

지금도 가끔 꺼림찍한 기분이 드는 부분이 있어서 생각 난 김에 뒷이야기를 한번 해보자.

 

http://mfiles.naver.net/66b051899fc6aa1c334e/data13/2006/2/17/151/internetcrisis-0.1-p4ssion.pdf

 

위의 파일은 최초 1.25 대란 발생이후 저녁에 작성하여 1.26일 업데이트 한 자료이다. 수집된 정보도 없고 현상만을 가지고 체크 하였으며 해당 부분에 대해 충분한 가설을 제공 하였다고 판단된다. 물론 그때 당시 접근할 수 있는 정보나 얻어진 자료에 비해 정말 고민 많이 했던 자료이다.

최초 이 파일을 작성할 때 가장 안타까웠던 것은 피해 당사자의 언급도 없고 참 난감한 상황에서 작성한 글인데 나중에 도매금으로 욕을 먹죠. 개인이 할 수 있는 최선 이였다고 아직도 생각 하고 있습니다. ^^;

 

http://mfiles.naver.net/6bbd5c8492cba7113b58/data13/2006/2/17/226/internetcrisis-0.2-p4ssion.pdf

 

두번째글은 DNS 다운과 관련된 내용 및 1434 포트의 확인과 관련된 추가 내용을 기술한 글입니다. 글 서두에 보면 아시겠지만 Unix Bind DNS 서버를 사용한다고 KT가 공식 발표를 한 상황이라 MSSQL에 집중 할 수 밖에 없었죠. 약간 미심쩍은 면이 있었지만...

 

http://mfiles.naver.net/6bbd5c8492cba7113b58/data14/2006/2/17/172/internetcrisis-1.0_-p4ssion.pdf

 

DNS가 죽을 가능성은 두 가지 외에는 없습니다. 마지막글은 DNS에 대한 DDOS 공격이 가능함을 보이고 있고 실제 공격이 가능한 소스가 존재함을 보였습니다. 그러나 해당 소스의 공격결과 몇 달뒤에 확인이 된 바로는 실제 공격 량은 현저하게 적어서 DNS 트래픽에 영향을 미칠 수 없다는게 판단이였죠.

 

이래서 DNS에 대한 DDOS 공격 과 Slammer 웜에 의한 영향이 결합되어 문제가 발생 되었고 이후에는 네트웍상에 부분적으로 문제가 남아 있는 부분에서 과잉 대응을 통한 부가 문제 발생으로 최종 시나리오를 적었습니다.

 

이때 마지막으로 쓰고 싶었던 말이 있었는데 2002년 경에 기사상에 KT의 기간계 시스템중 하나에 Windows 계열을 도입했다고 하는 기사가 있었습니다.  기간계가 6개 정도 있는데 그 중 하나를 윈도우로 대체를 하였다는 기사가 2002년경에 나왔었죠.

 

그리고 관련 기사를 스크랩해서 개인 웹사이트에 올려 놨는데 데이터가 날라갔네요.

 

제가 생각한 마지막 방안은 이겁니다. DNS 서버가 죽을 가능성은 최초에 있어서는 외부로 부터의 트래픽이 아닌 내부망에서의 웜으로 인해 네트웍 라인 자체가 죽었을 것으로 생각을 하였습니다.

 

이 문제는 KT가 걸린 문제라 언급을 안했지만 시일 상으로 3년이 지난 지금에는 이야기를 해도 되겠죠. 차후에 확인된 이야기로는 DNS 포트인 53번만 열어 놓은 것이 아니라 DB와 연결하기 위한 1434 포트도 KT쪽에서 오픈이 되어 있었다고 하더군요. - 기억이 가물가물.

 

KT의 의견대로 Unix Bind 서버를 사용한다고 믿을 수 밖에 없었고 이런 상황에서라면 DNS 서버에 대한 직접 query 어택외에는 방안이 있을 수 없다고 생각 했습니다. 그러면서 확인된 이야기는 아니지만 KT 내부에 문제가 있을 것 같다고 생각을 했었죠. 문서에는 쓰고 싶었으나 확인되지 않은 정황으로 쓸 수는 없기에 안그래도 모자란 머리 쪼개고 또 쪼개서 시나리오도 고민하고 했었죠.

 

이 정도의 위험성이 나올 시나리오는 무엇일까?. 무엇이 이 결과를 초래 했을까?..

 

결과로 부터 되짚어 가는 수 밖에는 없더군요. 드러나는 여러가지 가능성을 하나 하나 지워갔을때 최종으로 나온 결론은 DNS에 대한 직접 공격 외에는 없었습니다.

 

그러나 KT 내부 기간계 시스템에서 문제가 발생을 하였다면?.. Slammer 웜이 그 하루전이 1.24일 금요일 늦게 부터 움직였었고 일정 수치 이상의 감염 이후에  인터넷이 무너지게 된 것은 KT 내부망이 최초 침해를 당한 이후 내부의 트래픽 폭주로 인해 기간망이 마비되었을 가능성이 매우 높을 것으로 판단이 됩니다. - 아직도 의심을 하고 있습니다. ^^;

확인 안된 사실이죠. KT 내부 담당자가 아니면 절대 모르는 이야기.. 왜냐.. 기본 사실은 있는데 정황을 한번도 공개를 안했으므로...

 

 

지나간 이야기 입니다만.. 아직도 가끔 이 이야기를 하시는 분이 있어서 잊었던 생각 한번 꺼내 봤습니다.

 

참 황당한 것은 전체 인터넷망이 위험하다고 신고 했더니 ..그것도 오후 일찍...  근거 없는 소리 말라고 일축하던 분들이 조금 생각 나네요.  그때 아무일 없었으면 저는 미친놈 될뻔 했죠. 후훗.

 

즐거운 하루 되세요.

Posted by 바다란

댓글을 달아 주세요

 

2009. Change of Global Threat - I

*zdnet 기고 컬럼 입니다.

 

공격과 방어의 현실

 

2005년 이후 격렬하게 이루어 졌던 어플리케이션에 대한 공격은 2008년을 거치면서 동아시아 권역을 넘어 전 세계적으로 파급력 있는 이슈들을 생산해 왔다. 2009년을 얼마 남겨 놓지 않은 지금 그 변화들은 어떤 과정과 결과를 만들었을까?

 

과연 지금 우리가 선택하고 하고자 하는 방향은 올바른 방향인가에 대해 고민하고 보다 더 나은 방향을 만들어야만 한다.

 

변화의 흐름을 보기 위한 자료들을 몇 가지 정도 취합을 하다 보니 확연하게 드러나는 결과들이 있어서 본 컬럼에서 설명을 하고 방향성에 대해서 찾아 보고자 한다.

 

위의 Threat gap은 공격 기술과 방어 기술간의 격차를 의미 하는 것으로서 실제 이와 같은 형식의 자료와 챠트들은 많이 있어왔다. 그러나 본 데이터는 2004년에 발간된 미공군의 기술자료에 언급이 된 내용이다. 실제 많은 사례들을 경험 하면서 기술간의 격차를 사실적으로 기술한 것으로 볼 수 있다. 다수의 보안 전문가들도 구체적인 데이터는 존재하지 않지만 많은 경험으로 인해 이미 오래 전부터 인지하고 있는 내용일 것이다.

 

공격 기술이 방어기술을 넘어선 전환점은 2001~2003년 간격으로 보고 있다. 그 사이에 우리는 최초의 무차별적인 전파와 확산을 하고 대규모 피해를 유발하는 최초의 웜인 Codered를 만났고 Nimda, Blaster, Welchia 등과 같은 운영체제에 존재하는 서비스를 직접 공격하여 권한을 획득하고 재 전파하는 유형의 공격들을 받았었다. 위의 Threat gap과 연관 하여 볼 수 있는 공격기술과 난이도에 대한 상관관계는 다음에서 살펴 볼 수 있다.

 

 

전체적인 공격기술의 난이도는 어려워 지고 있다. 그러나 공격자들의 기술 수준은 점점 낮아지고 있다. Threat gap을 나타내는 것과 모순되는 점이 보인다. 이 모순의 핵심에는 공격 기술의 공유와 거래, 대량 전파 매커니즘 (웹서비스, 스팸, SNS )을 확보한 것이 가장 큰 역할을 하고 있다.

 

공격자들은 특별한 전문지식이 없이도 새로운 공격유형을 만들고 재생산 할 수 있는 제조 템플릿을 가지고 있으며 (웜 또는 바이러스 생성기) 공격에 사용되는 기본적인 유형들과 기능들은 공개된 상태로 통용이 되고 있다. 새로운 취약성이 나오게 되면 불과 하루 이틀 사이에 웜으로 발전이 되어 전 세계에 영향을 미친다. 이전에는 패치가 안된 운영체제의 경우 생존 기간이 길었으나 지금은 더욱 짧아지고 있다.  운영체제에 심각한 영향을 미치지 않으면서도 자연스럽게 권한을 획득 할 수 있는 Application에 대한 취약성들은 심각할 정도로 증가하고 있는 추세를 보이고 있다.

 

공격자들은 활발한 커뮤니티를 구성하고 거래를 통해 서로의 부족한 부분을 보충하고 개선한다. 특별한 공격방법이나 도구들이 출현하게 되면 그 즉시 그들의 세상에서는 빠르게 통용이 된다. 2005년쯤에 국내에서 최초 자동화된 공격이 목격 되었던 SQL Injection의 경우 2007년 무렵에 대규모 웹서버리스트들에 대해 무차별적인 공격을 수행하고 자동적으로 웹서비스에서 악성코드를 유포 할 수 있는 형태로 전환이 되었다. 이제 개인 PC의 제어권한을 하루에 십만 대 정도 확보하는 것은 일도 아닌 상태가 되어 버린 것이다. (참고: http://blog.naver.com/p4ssion/50031034464 )

 

현재의 인터넷의 상태이고 현실이다. 보호되고 있다고 믿는 모든 것들은 무차별적인 공격 대상의 하나로 전락 하였고 도입만 하면 모든 위험들로부터 보호 될 수 있을 것이라 선전 되었던 많은 도구들은 하루가 다르게 변화에 뒤쳐지고 있다.

 

지금까지 일관되게 현재의 위기 상황과 실태에 대해서 주장을 하여 왔다. 이제 시일이 지난 만큼 전세계적인 기업들에서는 기업의 보안현실과 노력들은 어떤 식으로 변화 하였는지 살펴 보자. 실제 시간이 지난 이후에 결과를 분석하는 것만큼 쉬운 일도 없다. 분석된 결과는 예상과 전망에 대한 강한 뒷받침이 되는 것은 두말 할 필요가 없을 것이다.

 

글로벌한 위협현황

 

매년 연말에 개최되는 CSI Conference에서는 주요 참가 기업의 담당자들을 대상으로 보안 활동과 침해사고에 대한 설문조사를 실시하고 있다. 담당자들의 구성 비율은 다음과 같다.

 

 

CSI/FBI Computer Crime and Security Survey -2008 의 설문조사에 응답한 응답자들의 직급을 보여주고 있다. 전체 응답자의 60% 이상이 주요정책 및 의사를 결정 할 수 있는 결정권자의 부분에 속하고 있음을 보여주고 있다. 단순한 실무를 담당하는 보안 담당자들의 의견을 취합한 것은 아니라는 점을 명확하게 보여 주고 있다.

 

 

설문 결과 중에서 사고의 유형을 퍼센테이지로 도식화한 챠트이다. 2007년 이후부터 출현한 항목으로는 DNS에 대한 직접공격과 Bot을 이용한 공격들이 활성화 되는 것을 볼 수 있다. 사고의 발생 비율을 보면 정보유출로 인한 사고들과 Malware가 포함된 Virus에 의한 사고들은 여전히 높은 상태를 보이고 있으며 내부자에 의한 사고들도 꾸준함을 볼 수 있다. 주의 깊게 살펴 보아야 할 것은 2007년 이전의 Botnet( 공격자가 자유자재로 다룰 수 있는 좀비 PC들의 네트워크망)을 구축하는 것보다 앞으로 시간이 지날수록 더욱더 손쉽게 대규모 Botnet을 구축 할 수 있다는 점이 의미 심장하고 Bot 관련된 계열은 별도로 독립하여 큰 범주를 이룰 것으로 예상 할 수 있다.

 

내부자에 의한 사고와 외부자에 의한 사고 부분은 별도의 컬럼에서 정리하고자 한다. 그 동안 알려진 것들과는 다른 개연성들을 충분히 유출 할 수 있으므로 별도의 컬럼에서 정리한다.

 

CSI의 조사에서 언급한 사건들은 실제 사건을 사례별로 조사한 것이라 영향력과 파급력 부분은 고려되지 않은 데이터라 할 수 있다. 전체적인 수치와 비율을 참고하는 정도로만 사용 할 수 있다. 그러나 2008년 까지의 데이터 유출 사례를 실제로 조사하고 분석한 Verizon 레포트에는 좀 더 실질적인 위협이 되는 부분을 살펴 볼 수 있다.

 

 

 

실제 기업내부의 중요데이터가 유출 되거나 기밀이 누설된 케이스를 분석한 결과는 사뭇 다르다. CSI의 통계치 에서는 전체적인 공격 유형과 위협의 유형들을 볼 수 있으나 Verizon의 데이터 유출 관련된 분석 보고서에서는 실제 어떤 위협들이 중요 데이터를 유출 시킨 것과 직접적인 관련이 있었는지를 보여 주고 있다.

 

가장 많이 발견된 사례는 Hacking Malware, Misuse를 들 수 있다. 바이러스 백신들과 다수의 보안장비들이 도입이 되어 공격에 대한 탐지로그들은 매우 많음을 확인 할 수 있고 잘못된 사용 또는 실수라고도 할 수 있는 Misuse 부분에서는 탐지 할 수 있는 근거자료나 로그들이 매우 적음을 관찰 할 수도 있다. 일반적으로 공격시도에 대해서 대부분 Hacking이라고 일반적인 표현을 하나 Verizon Report에서 언급한 Hacking의 대부분은 Web application에 대한 SQL Injection 공격과 Remote Access 도구에 대한 접근,기본 설정 및 권한에 대한 공격으로 분석이 되고 있다.

 

Hacking Malware, Misuse와 같은 대부분의 정보유출의 원인들에는 사용자, 관리자, 개발자의 실책에 대한 이슈가 67% 가량을 차지하고 있음을 볼 수 있다. URL의 인자가 필터링 되지 않는 경우를 공격하는 SQL Injection의 경우에도 Error라고 표시가 되기는 하였으나 현실적으로 취약성을 빠른 시간 이내에 발견하고 수정을 할 수 있도록 하는 도구가 없음으로 인해 실질적인 Error 항목에 기입하기에는 어려움이 있다.

 

조사에서 보듯이 전체적인 사건의 2008년까지의 발생 현황은 새로운 공격흐름을 보여주기도 하며 실제 피해 사례에 가장 큰 영향을 미치고 중요성을 지니고 있는 부분이 어떤 부분인지를 보여주고 있다.

 

국내의 사례는 지금껏 공개적으로 조사되고 분석되어 종합된 자료가 없다. 그러나 전 세계적인 동향과 위협들의 범주에서 벗어날 수는 없다. 사건, 사고 사실을 의도적으로 무시하는 것은 보다 더 큰 치명적인 피해를 유발 할 수 밖에 없다는 점에서 국내의 심각성은 더 높은 상태가 아닐까 생각 된다.

 

 

위협에 대한 대응 노력

 

위협들은 실질적으로 Application에 대한 직접적인 공격과 대량화, 자동화된 공격, Client에 대한 직접 공격으로 축약 할 수 있다. 2008년은 물론이고 지금까지도 또 앞으로 몇 년 이상을 이와 같은 동향은 계속 유지 될 것으로 전망된다. 각 기업들의 대책들은 어떤 방식으로 이루어 졌을까?

 

기업이든 국가이든 형식적인 공격이 아니라 실제의 피해를 일으키는 공격에 대해서만 반응을 하게 마련이다. CSI의 조사는 2006년부터 2008년까지의 각 기업 혹은 기관별로 사용된 보안 기술들을 나타내고 있다. 위협의 변화에 따라 달라진 부분을 확연하게 볼 수 있다.

 

VPN, Firewall, Anti-Virus와 같은 보안장비는 이미 일상화된 보안 도구로 볼 수가 있다. 증가된 폭을 보게 되면 App firewall의 도입이 큰 폭으로 증가 추세에 있음을 볼 수 있다. 실제 공격이 집중 되고 피해가 발생 하기 때문에 도입 될 수 밖에 없는 부분이다. 두 번째로는 개인 PC와 자료의 보호를 위해 NAC 장비의 도입, 암호화 장비나 도구의 사용이 늘어나는 현상을 관측 할 수 있다.

실제 피해사례를 조사한 Verizon의 보고서에서 원인으로 제시된 항목들은 조사 이전부터 계속 발생 되어온 문제이다. 집중적으로 문제가 발생 되는 부분에 대해 대책을 세우는 과정에서 드러난 현상으로 Application에 대한 보안 강화, Endpoint에 대한 보안 강화, 자료의 암호화를 통한 강화를 중점적으로 살펴 볼 수 있다. 국내의 변화도 마찬가지가 아닐까 싶다.

 

각 기업들은 어느 정도의 위험성을 알고 있고 대비하기 위해 어떤 부분에 중점을 두고 노력을 하였을까를 알아보는 것도 위협의 변화와 연관성이 높다. 공격 기술과 방어기술의 차이를 염두에 두면 방어기술의 진보는 느리고 더디게 나아간다. 즉 변화가 있다고 하여도 공격기술의 발전 정도에는 미치지 못함을 사전적으로 알고 있으면 미래의 방향을 예측 하는 것이 보다 쉽다.

 

전체적인 공격동향을 보고 세부적으로는 중요 정보의 실제 유출 사례 조사를 살펴 보면서 우리는 앞으로 중점을 두어야 할 부분이 어디이고 세계 속의 기업과 기관들은 어떤 준비와 대응을 해왔는지 고려해야 한다.

 

지난 몇 년간 꾸준하게 예상을 해온 바들도 Client 보안과 Application에 대한 직접적인 보안 강화에 대해서 강조를 했었다. 전체를 정확하게 볼 수 있는 분석들은 아니지만 동향을 확인 할 수 있다는 점에서 인용된 자료들은 충분한 근거를 제시하고 있다.

 

노력하고 준비하지 않으면 이제는 더 나아가기 힘든 상황이 올 것이다. 보안은 완벽하게 막기 위해 존재하는 것이 아니라 이미 알려진 것들에 대해서는 막을 수 있도록 하고 피해를 최소화하며 빠르게 대응을 하는 것이 핵심이다.

 

국내는 완벽하게 막는 것이 보안인 것으로 종종 오해를 한다. 현실은 가혹하다. 더 많은 비용과 인력을 투입하고서도 완전해 지지 못하는 세계적 기업과 기관, 국가들이 많다. 공격 기술과 방어기술의 차이는 점점 더 벌어 질 수 밖에 없는 구조라 앞으로 더 어려움이 있을 것이다.

 

내일을 살펴 보려 하지 않고 준비하지 않는 자에게는 지금이 마지막의 시작일 수도 있을 것이다. – 다음 컬럼에 계속

 

- 바다란 세상 가장 낮은 곳의 또 다른 이름

Posted by 바다란

댓글을 달아 주세요

2005년 4월 작성 문서입니다.

 

여기에서 두 가지 용어를 썼었죠. zeroday worm 과 Monster bot . 현재 취약성이 발표 되거나 패치가 발표되면 치명적인 것들은 빠르면 1일에서 2일 정도 후에 공격코드가 출현 하고 있습니다. 또 발표 안된 문제들에 대한 공격코드들도 많이 있겠죠.

 

앞으로 더욱 많아 질 것 같습니다. 그리고 악성코드 설치를 위한 사이트 직접 해킹으로 이슈화가 덜되고는 있지만 여전히 상당히 많은 bot이 국내의 PC에 설치가 되고 있습니다.

 

더욱 많은 취약성을 공격 하는 Monster 이죠.

 

참고 하시면 될 것 같습니다.

 

이제 찾을 수 있는 것은 얼추 다 찾아서 올린거 같은데여..

Posted by 바다란

댓글을 달아 주세요