태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'sns'에 해당되는 글 2건

  1. 2010.04.27 Enhanced Web, Enhanced Risk-(중)
  2. 2010.04.27 Enhanced Web, Enhanced Risk-(중)

Enhanced Web, Enhanced Risk - 중편 입니다.

계속 갑니다

 

■Enhanced Web

Web 2.0이라는 단어가 화두가 되고 있다. 어떤 방향으로 변화를 하던 Web이라는 도구는 생활 깊숙이 들어왔으며 향후에도 보다 폭 넓게 사용이 되고 활용이 될 것임은 자명하다. 사용자의 참여에 의해 이루어 지는 많은 결과물들이 상호작용을 이루고 사회 현상에 대한 분석까지 이루어 지는 지금의 상황에서 향후의 서비스들은 보다 더 적극적으로 사용자의 참여와 공유를 통해 새로운 서비스 환경들을 만들어 가게 될 것으로 보인다.

대표적인 Web Service의 변화는 다음과 같이 정의를 할 수 있다.

 

- 사용자의 적극적인 참여

- 개방성

- 집단지성의 출현과 활용 ( 사용자에 의한 지식의 집대성)

- 멀티디바이스 ( Ubiquitous) 접근성 확대

- 사용자 접근성의 기술적인 향상 노력 ( RSS, Atom, AJAX, Open Api …)

 

위의 정의는 일반적으로 드러나는 현상에 대한 정의이며 다른 추가적인 정의가 덧붙여 질 수도 있다. 그러나 본 글은 Web의 발전에 따른 문제점을 직시하기 위한 내용이며 발전된 Web에 대한 정의를 하기 위한 글은 아님으로 위에 나열된 정의만으로도 충분히 변화의 성격을 나타낼 수 있다고 판단된다.

중요한 변화의 명제는 Web이라는 도구가 정보획득의수단 -> 생활의 수단으로 변화를한것이며 향후더욱큰폭으로확대가될수밖에없다는점이다. 또한 일부 사용자에 의한 가상 세계의 활동이 큰 폭으로 확대될 것임은 세계적으로 확대를 거듭하고 있는 주요 서비스 기업을 통해서도 확인할 수 있다. ( facebook, second life , Myspace , Amazon,blog , Avatar …)

 

정보획득의 수단에서 생활의 필수 수단으로 변환하고 있는 Web 상에서 가장 중요한 것들은 무엇보다도 사용자 스스로가 제작하는 제작물이며 이른바 UCC (User created contents )라고 할 수 있다. 일반적으로 UCC라고 칭할 경우에는 동영상을 의미하지만 사용자가 작성하는 모든 내용과 행동들이 영향을 미치거나 상호간에 공유가 가능한 형태가 될 때 UCC라고 볼 수 있다. 이와 같은 모든 행동들에는 다양한 것들이 포함 될 수 있다.

게시물 , 덧글, 동영상 , 이미지 , 플래시, 메일과 같은 의견과 정보를 나타내는 모든 유형을 UCC라고 정의하는 것이 바람직 하다. 언급된 UCC의 행위에 포함되는 많은 것들이 주요 IT서비스 기업의 핵심이 되고 있으며 향후 더욱 확대되고 외연 확장이 예고 되고 있는 시기라 할 수 있다.

 

다양한 사용자의 접근성 보장의 이면에도 기술적인 내용들도 포함이 되고 있으며 모든 방향성은 원활한 접근성의 확보에 있다.

 

 

다양한 Software client를 이용하여 Web service에 접근을 하고 유,무선의 구분이 없으며 Client와 Server간에 정보 교환 방법, Database와의 정보 전달 방법들이 다양하게 발전을 하고 복잡화 되고 있으나 중요한 관점은 사용자의 접근성의 향상에 있다는 것이다. 현재의 발전 상황은 향후 기술적으로는 복잡화 될 것이나 사용자에게는 더욱 편리한 형태로 접근성이 강화되는 방향으로 진행 될 것 이다.

 

사용자의 적극적인 참여를 위한 UCC ( User Created Contents)의 제작과 활용은 새로운 서비스 발전에 영향을 주고 있다. 반대 급부로 보다 많은 사용자에게 공유하고 참여를 하는 모델은 악성코드의 전파에도 동일한 영향을 미치고 있다. 기존의 UCC 활성화 이전 단계의 Web service 모델에서 가장 많이 발생 되었고 현재도 발생 중인 위협들은 어떤 유형들이 있는지 간략히 정리해 보자

 

- SQL Injection : 2005년 이후 URL의 인자 단위 공격 도구가 자동화 됨으로 인해 가장 큰 위협으로 대두 되고 있으며 대다수의 악성코드 유포 사례가 이 문제로 인해 발생됨. 현재도 많은 규모의 사이트들이 입력값에 대한 검사 부실로 인해 Injection 가능성을 지니고 있음

- Cookie spoofing 및 Injection

- File Upload

- File Download

- XSS ( Cross Site scripting) : 개인정보 획득 및 Phishing에 활용되는 빈도가 높아지고 있으며 향후 주의를 기울여야 하는 부분. 국내 보다는 해외 부분에서 사고가 많이 발생되고 있음

 

대표적으로 위의 항목들이 일반적인 Web application code level 단위에서 처리되지 못한 문제들을 활용한 공격들이라 할 수 있다. 오래 전부터 알려진 공격기법들도 존재하고 있으며 현재의 시기에 가장 큰 위협이 되고 있는 부분들은 대량 확대 및 전파 가능성을 지니고 있는 XSS 취약성과 SQL Injection 취약성이 가장 중요한 부분이라 할 수 있다.

 

위의 Owasp 취약성 항목에서 중요한 항목은 색으로 변경이 된 항목들이다.

다른 일반적인 항목들은 다양한 기반조치들을 통해서 일정수준 유지하는 것이 가능하나 1,4,6번과 같은 항목은 실제 소스코드를 수정해야 하는 부분과 문제가 있는 부분을 찾아내는 것이 어려운 관계로 향후에도 많은 이슈가 될 부분이다. 추가적으로 2007년의 Owasp 통계에서는 XSS 취약성이 1위 취약성으로 올려져 있으니 문제의 심각성에 대해서 생각해 보아야만 할 것이다.

 

지금까지 웹 환경의 발전 방향과 현존하는 일반적인 위협들에 대해서 확인을 해보았다. 특히 근래에 들어서 전 세계적으로 이슈가 되고 있는 중국발 해킹 및 동유럽 권역의 Phishing 관련된 이슈는 XSS 취약성과 SQL Injection 취약성이 매우 많은 비중을 차지 하고 있으며 Web Application에 관련된 많은 이슈들이 전세계적인 이슈를 불러 일으키고 있을 만큼 중요도가 높다고 판단된다. 그럼 이제는 Web 환경의 확장에 따른 위험요소들은 무엇이 있는지 살펴 보도록 하자.

 

Web 환경의 확장에 따른 위험들은 전파 유형별 , 기술적 , 형식적 타입과 같은 유형으로 임의적으로 나눌 수 있다. 전체 위험들에 대해서 임의로 유형별로 나눈 이후 각 항목에 따른 실제 예를 확인 하는 방식으로 점검을 해보도록 하자

 

● Technical Type

i. 광고 (ActiveX)

ii. 악성코드 전파 유형

iii. 개인정보 관련 ( 욕성, 비방, 개인정보 탈취), Phishing

iv. 서비스 해킹 – XSS ( 다양한 XSS 해킹 ) , SQL Injection , Request Forgery , DoM , Script Attack …

● Spread Type

i. 게시물 ( Blogging?)

ii. Feedback, RSS …

iii. Movie, 이미지, 플래쉬, 음악 등등.

● Formation Type

i. Open Api (Mashup ..) , 다양한 서비스 접근 메소드의 활용 ( Ajax,SOAP,DOM)

ii. 특정 서비스에 기반한 공격 – ex)Myspace Attack, Yahoo Attack

 

 

 

2.1 Technical Type

기술적 타입에 대한 설명은 ActiveX를 활용한 광고가 일반적이라 할 수 있다.

 

일반적인 유형으로서 ActiveX 설치를 유도함으로써 광고를 설치하게 하는 유형이라 할 수 있다. 이와 같은 광고 유형은 현재도 많이 존재하고 있으며 사용자를 혼란 시키거나 속이는 행위등과 같은 사회공학적인 기법들을 활용하여 여전히 많은 부분에서 영향을 미치고 있다 할 수 있다.

 

최근에 발생하는 대부분의 광고 유형 및 ActiveX 설치 유형들은 사회공학적인 기법을 사용하고 있으며 주의를 기울여야 한다. ActiveX의 유형 이외에도 Web 환경의 발전에 따라 나타나고 있는 Risk는 RSS 관련된 피드백 문화의 활성화라고 할 수 있다. RSS의 범람은 해외의 경우 RSS를 통한 광고를 전문으로 하는 전문회사가 존재 할 정도로 활성화 되어 있으나 자동화된 도구를 이용하여 자동적으로 피드백을 남기도록 함으로 인해 피해를 발생 시킨다고 볼 수도 있다.

RSS 피드백을 활용하여 사용자의 의견을 모으고 교류하고자 하였으나 도움이 되는 정보를 확인하고 걸러내는데 시간이 더 투자 될 수도 있는 그런 상황이라고 할 수도 있다.

 

 

RSS 관련된 이슈들은 향후 정확한 피드백과 반영이 필요한 피드백을 정교하게 골라내는데 더 많은 역량 확보가 필요할 것이다. 편리한 공유와 의견 교류를 위해 만들어 진 것이나 정보의 홍수와 광고의 홍수 속에 필요한 것을 찾아내는 것에 대한 역량은 향후 Web 관련된 서비스 기업에도 작은 과제가 되지 않을까 생각한다.

 

Phishing 관련된 예는 근래에도 상당히 많은 메일과 페이지 링크들을 확인하고 있으나 3 년 전쯤에 받았던 Phishing 메일 한 통의 경우 그때 당시에 느꼈던 독특함으로 인해 지금도 보관을 하고 있다. Phishing이란 어떤 유형으로 사람을 속이고 목적을 달성하고자 하는지 확인 해보자. Phishing은 개인정보의 탈취를 통해 금전적인 이득을 취하고자 하는 목적에서 이루어 지고 있으며 해외의 경우에는 금융기관, 은행 , Paypal 과 같은 사이트를 위장한 곳들이 많으며 국내의 경우에는 게임사이트를 위장한 경우가 다수 있었다.

 

왼쪽편의 SouthTrust 뱅크에 대한 이메일이 전달 되었을 때 보통 일반적인 사람이라면 가운데 부분의 Hyper Text Link 부분만을 확인하게 된다. 정확한 은행 명인지 확인 하여 이상 여부를 검증하곤 한다. 링크만 보았을때는 정상적인 은행 링크로 보여 클릭을 하게 되는데 ( 만약 국내 은행 중 한 곳이라고 가정하면 이해가 쉬울 것 같다.) 클릭을 하는 순간 임의의 페이지에 패스워드 및 Pin Number를 입력하라고 나온다. 어떤 관계가 있을까?  확인 결과는 정말 허무하지만 왼쪽편의 SouthTrust 메일 전체가 이미지 파일로 구성이 되어 있었다. 링크는 이미지에 대한 링크로 걸려 있는 상태였다. 즉 내부의 어떤 부분을 클릭하더라도 임의의 사이트에 접근이 된다는 것이다.

 

이와 같은 Phishing 유형은 이미 3년 전부터 유행을 하던 형태이다. 사람을 속이고 인지를 못하게끔 발전하는 기법과 수법들은 항상 인식의 빈틈을 노린다. 지금도 마찬가지 이며 위와 같은 위협은 이제 일상적인 위협이라 할 수 있을 것이다.

 

 

악성코드 전파와 관련된 부분은 사실상 국내 IT서비스 산업이 가장 큰 피해를 입었으며 세계적으로도 상당히 많은 공격을 당한 케이스라 할 수 있다. 현재 진행되고 있는 악성코드의 전파 과정에 대해서 그림으로 간략하게 살펴 보자

 

 

국내 사이트에서의 악성코드 유출에 가장 큰 문제는 개발되어 운영중인 Web Application에 Validation check가 전혀 되어 있지 않아서 Web을 통한 Database Access가 가능하고 권한 획득이 가능하다는 점에 있다.

2005년 이후 2년이나 지났지만 지금도 동일한 상황이 계속 되고 있으며 공격자들도 이전의 단순한 유형에서 벗어나 보다 더 찾아내기 어려운 방향으로 악성코드 유포를 지속하고 있다. 악성코드 유포 사이트에 대한 탐지도 계속 되어야 하겠으나 더욱 중요한 것은 근본적인 Web application의 문제를 수정하는 것이 가장 중요하다. Web firewall 이나 Web scanner 등 많은 것들을 사용한다고 하여도 가장 중요한 것은 근본적인 web application coding을 수정하는 것이 해결책이라 할 수 있다.

 

위의 그림에서 보듯이 지금까지 이루어진 공격 유형 ( 2007.9월 이전)의 전형적인 특징이라 할 수 있다. 유명한 사이트를 공격하는 것은 사용자의 접근이 많기 때문에 악성코드의 유포 효과가 정확하게 나타나고 있기 때문이다. 올해 들어서도 주요 언론사 사이트 및 Open blog 사이트에 대한 악성코드 유포 시도는 지속해서 발생이 되고 있다. 악성코드가 유포 된다고 하였을 때 근본 원인을 찾아서 수정하는 것이 아니라 ( 침입이 가능했던 원인을 찾아야 됨) 유포를 시키고 있는 소스 부분만을 삭제 함으로써 해결을 하고 있는데 보다 더 큰 피해를 입을 수 있다는 생각으로 진지하게 접근을 하여야만 한다.

 

지금까지 2005년 이후 언론지상에 드러난 악성코드 유포 사이트들만 뉴스에서 검색하여도 수 백여 곳은 족히 넘는다. 올해에만 드러난 곳이 2000여 개 가량 (Ahnlab.com 기사자료)이라고 한다. (이 부분도 단일 회사에서 집계한 내용이라 전체적인 집계내용을 합칠 경우 규모는 매우 커질 것이다.) 중요한 관점은 악성코드 유포를 하기 위해서는 단순한 스크립트만을 넣는 것이 아니라 시스템에 대한 완전한 제어 권한이 있는 상태에서 직접 Web application의 소스를 수정한다는 이야기가 된다.

 

다시 한번 생각해 보자. 악성코드를 유포한다는 것은 단순한 코드의 삽입이 아니라 소스 코드의 직접적인 수정을 의미한다. 코드를 수정하기 위해서는 모든 권한을 다 가지고 있어야만 한다. 더불어 지금 공격하는 유형들은 모두 Database의 권한을 직접 공격하는 유형이라서 Database에 저장된 많은 자료들은 이미 유출 되었다고 보는 것이 맞을 것이다.

 

지금껏 대규모 사이트들이 해킹을 당한 사례는 얼마나 많았는가? 이 모든 사이트들에서 Database에 저장된 신상정보들이 유출되고 그 이후 악성코드를 유포하는 행위들이 있어왔다. 개인정보를 지키는 것은 매우 중요하다. 그러나 모든 정보의 보호에는 기술적인 가이드와 방안이 있고 난 뒤에야 정책적으로 지키는 것이 가능해진다. 이미 다 유출되었다고 보여지는 정보들에 대해 정책적으로 무엇을 지킬 수 있을 것인지 난감하다.

지금까지는 개인정보의 유출만을 목적으로 하는 악성코드들이 존재해 왔다. 그러나 이제는 산업군 전체에도 영향을 미치는 악성코드들이 나타나고 있다. 이젠 개인정보보호의 문제를 벗어나 서비스 산업의 존폐여부를 심각하게 고민해야 하는 상황에 도달한 것이다.

 

 

 

웹을 통해서 악성코드를 유포하며 이후 감염된 방문자들은 중간 경유지 서버를 통해 명령을 내릴 수 있는 상태가 된다. 이 Command server를 통해 사용자의 PC에 명령을 내리고 이 모든 PC들이 일제히 특정 타켓들을 공격하도록 구성이 되어 있다.

 

세계적인 보안 현황 및 IT 서비스 현상에 있어서 가장 독특하고도 주의해야 될 상황이라고 판단이 된다.

● Web을 통한 DDos 공격 Agent의 유포 ( 지금껏 유례가 없던일이다.)

● 다수의 경유지 서비를 활용한 중복 명령 수행 ( 근절이 어려움)

 

위와 같이 판단 할 수 있으며 상세한 내용은 http://blog.naver.com/p4ssion/50024269739 이 게시물을 참고 하면 보다 상세한 내용과 문제 사항들을 확인 할 수 있다.

 

악성코드 유포와는 다른 유형이나 Web환경에 큰 영향을 미치는 XSS 취약성에 대해서 알아보기로 하자. 사실 XSS 취약성의 경우에는 오래 전부터 알려지기는 하였으나 Web 환경에서의 개인정보 유출 관련 부분이 직접적으로 개인에게 영향을 미치게 되는 지금에 더욱 중요한 취약성으로 취급이 되고 있다.

XSS ( Cross Site Scripting) 관련된 내용은 현재 주된 개인정보를 유출 하기 위한 이슈로 나타나고 있으며 현재의 사용자 접근성 향상에 따른 다양한 Method에 대해 이슈들이 발생 할 수 있다. 각 부분에 대해서 살펴 보자

 

 

RSS, Atom 과 같은 구성요소 각 부분에도 Script의 실행 권한 및 실행이 가능한 부분들이 존재할 수 밖에 없다. 이 부분에 사용자 정보 유출을 하기 위한 개념 코드를 설치하는 것이 가능하며 외부 URL을 입력하여 악성코드 설치를 하도록 유도 할 수 있다. 또는 특정 서비스에서만 사용되는 규격을 조작하여 해당 서비스에 접근하는 모든 사용자들의 개인정보를 유출 하는 것이 가능해진다. 위의 <script> 코드는 개념적인 내용이며 이 부분에 다른 악의적인 행동을 가능케 하는 다양한 조합들이 추가 되어질 수 있다.

현재도 피해는 계속 발송 되고 있으나 적합한 필터링 및 검증 도구는 나타나지 않은 상태이다. 실상 피해를 확인 하는 것도 어려운 점이 존재한다.

2006,7월 Google RSS Reader기에서 있었던 XSS 취약성의 경우에도 취약성을 악의적으로 이용하기 이전에 수정이 되었으나 그렇지 않았을 경우 전세계의 많은 유저들에게 영향을 미쳤을 사안이다.

 

 

Ref: http://ha.ckers.org/blog/20060704/cross-site-scripting-vulnerability-in-google/

 

XSS 취약성은 더 이상 홈페이지 사용자나 일부 개인 사용자들에게 미치는 위험성이 아니며 이제는 Active하게 사용하는 모든 서비스들에 의해 Active한 공격 대상이 될 수 있다고 보아야 한다. 사용자가 선택 하여야만 감염이 되고 피해를 입는 그런 상황에서 이제는 선택 하지 않아도 강제적으로 감염이 되는 상태가 될 수 있는 것이다. 그래서 XSS 취약성은 앞으로도 계속 위험상태를 알리게 될 것이다. 올해 2007년의 Owasp (http://www.owasp.org/index.php/Top_10_2007)에서 XSS 취약성에 대한 문제가 Top 10 취약성 항목에서 1위로 변경이 된 것은 그냥 변경이 된 것이 아니다.

 

 

2.2 Spread Type

 

전파 유형별 Type에 대해서 발전된 Web의 위험요소들은 좀 더 폭 넓게 알아 보아야 한다.

일반적인 유형인 UCC라는 타입에서 동영상 이외에도 댓글, 의견, 게시물, 플래시, 이미지 와 같은 모든 사용자가 저작이 가능한 대상에 대해서 위험성이 존재함을 볼 수 있을 것이다.

가장 가깝게 사용하는 많은 부분들에 존재하는 문제들은 어떤 것들이 있는지 살펴보자.

 

 

- 일반적인 의견을 입력하는 창이다. 위와 같이 Script가 실행이 되는 경우에는 외부 링크 혹은 악성코드의 설치로 직접 유도가 가능하므로 문제가 될 수 밖에 없다. 게시물에 대한 필터링 만이 문제를 해결 할 수 있다.

 

- URL 인자 단위에서 < , > 문자를 필터링 하지 않아서 발생되는 XSS 취약성 문제이다. URL에서 사용되는 인자들의 길이에 대한 제한 이외에도 사용될 수 있는 문자에 대해서 제한을 함으로써 위험성을 줄여야만 할 것이다. 위험성으로는 악성코드의 설치 및 로그인 관련된 쿠키 정보의 외부 유출이 가능하다.

 

 

 

- Flash의 예를 들고 있다. Flash 코드 내에 Action Script를 활용하여 다양한 외부 링크를 넣을 수 있다. Flash 영상에 대해서 공유를 하거나 사용자들에게 올릴 수 있도록 허용된 모든 사이트에서 문제가 발생 한다고 볼 수 있다. 창이 뜨는 것은 ActiveX 설치 유형의 창이며 만약 신규 악성코드에 대한 설치를 위와 같이 할 경우에는 대책 방안이 없다. 백신에서 감지를 하기도 어려운 상태라 거의 무방비로 당할 수 밖에 없을 것이다. 다양한 관점에서 통제가 있어야만 된다.

 

 

- MP3 파일 내에 script를 넣어서 실행 되게끔 한 내용이다. 위의 내용은 모든 mp3 파일에 해당이 되며 스크립트를 넣는 것 대신 악성코드를 다운로드 받게 하거나 사용자 시스템의 정보를 절취하는 등의 행위를 하도록 하는 것이 가능하다. 그렇다면 지금 우리가 사용하고 있는 mp3 파일 중에 위험한 파일은 얼마나 될까? . 한번쯤 고민해 보아야만 한다. 서로간의 공유를 통해 발전하는 커뮤니티 문화가 활성화 되는 시기에 멀티미디어 요소를 통한 악성코드의 유포 및 공격은 향후에도 더욱 심각해 질 것으로 예상이 된다.

 

 

- 동영상 부분이다. 일반적으로 UCC라 칭하기도 하지만 동영상 부분에도 상당히 많은 위험요소들이 존재하고 있다. 현재로서는 광고를 하기 위한 ActiveX 설치 창들이 제일 많이 발견 되고 있으나 악성코드가 첨부된 동영상들도 매우 많다. 또한 저작도구 사용의 일반화에 따라 중간 부분에 악성코드를 넣도록 하는 행위들을 통해 발견도 상당히 어렵다고 할 수 있다. 일반적인 유형들이야 다양한 방식으로 걸러 낼 수 있으나 동영상 중간에 악성코드를 설치하거나 설치하는 악성코드가 신규 악성코드일 경우에는 대응 방안이 거의 전무하다. 향후의 위험성 측면에서도 상당히 큰 위험으로 대두될 것이며 동영상 공유 부분을 통한 악성코드 유포 및 신규 악성코드의 출현을 감지 할 수 있는 유형들도 주의 깊게 살펴 보아야 할 것이다.

 

 

- Quick time movie 파일에 스크립트 실행 관련된 취약성이다. 이 케이스는 일반적인 케이스라기 보다는 2006.12월에 있었던 Myspace의 웜 관련된 유형과 관련이 있다.

Myspace내부의 구조를 이용한 스크립트 베이스의 웜을 동영상 안에 코드로 넣어두고 이 quicktime 무비를 본 모든 사용자들에게 전파 되었었다. 여기서 한 가지 더 생각해 볼 점이 필요하다. 방금 위에서 언급한 quick time 파일의 경우 Myspace 사이트에 여러 일 동안 노출이 되었는데 상당히 많은 규모의 사용자들이 해당 파일을 플레이 하였을 것이다. ( 또한 script base 유형이라 백신에서는 탐지가 불가능함) 즉 모든 사용자들이 스크립트 베이스의 웜에 감염이 되었을 것이라고 보는 것이 정답이다.

이 웜의 특징을 살펴보면 사용자의 Myspace Friends list를 불러와서 이 Friends List들에게도 동일한 스크립트웜을 전파 시켰다. ( 쉽게 설명하자면 일촌 파도타기를 했다고 생각 하면 쉽다. 물론 악성코드 파도타기 이지만..)

피해는 얼마나 될까?. 추산이 불가능할 정도이며 거의 모든 Myspace 회원들이 영향을 입었을 것이다. 미국내의 언론이나 여러 보안관련 매체에는 잘 수습을 했다고는 하지만 어불성설이다. 드러난 현상과 분석만으로도 모든 회원들이 피해를 입었을 것으로 예상이 되는데 문제가 조기에 해결 되었고 특별한 피해가 없었다고 발표를 하였다.

 

피해여부를 떠나서 가장 중요한 이슈는 SNS (Social Network Service)로 대변되는 Cyber life 세상에서의 생활이 그리 안전하지 않으며 앞으로도 많은 위험들이 도사리고 있다는 점을 명확하게 하여야 한다. 더불어 자신의 의사와는 관계없이 특정 서비스 아래에서는 치명적인 영향을 타인으로 인해 받을 수도 있음을 명확하게 인지하여야만 한다.

 

-계속 ( 위험은 계속 된다. 다만 인지하지 못할 뿐이다. - 바다란)

Posted by 바다란

Enhanced Web, Enhanced Risk - 중편 입니다.

계속 갑니다

 

■Enhanced Web

Web 2.0이라는 단어가 화두가 되고 있다. 어떤 방향으로 변화를 하던 Web이라는 도구는 생활 깊숙이 들어왔으며 향후에도 보다 폭 넓게 사용이 되고 활용이 될 것임은 자명하다. 사용자의 참여에 의해 이루어 지는 많은 결과물들이 상호작용을 이루고 사회 현상에 대한 분석까지 이루어 지는 지금의 상황에서 향후의 서비스들은 보다 더 적극적으로 사용자의 참여와 공유를 통해 새로운 서비스 환경들을 만들어 가게 될 것으로 보인다.

대표적인 Web Service의 변화는 다음과 같이 정의를 할 수 있다.

 

- 사용자의 적극적인 참여

- 개방성

- 집단지성의 출현과 활용 ( 사용자에 의한 지식의 집대성)

- 멀티디바이스 ( Ubiquitous) 접근성 확대

- 사용자 접근성의 기술적인 향상 노력 ( RSS, Atom, AJAX, Open Api …)

 

위의 정의는 일반적으로 드러나는 현상에 대한 정의이며 다른 추가적인 정의가 덧붙여 질 수도 있다. 그러나 본 글은 Web의 발전에 따른 문제점을 직시하기 위한 내용이며 발전된 Web에 대한 정의를 하기 위한 글은 아님으로 위에 나열된 정의만으로도 충분히 변화의 성격을 나타낼 수 있다고 판단된다.

중요한 변화의 명제는 Web이라는 도구가 정보획득의수단 -> 생활의 수단으로 변화를한것이며 향후더욱큰폭으로확대가될수밖에없다는점이다. 또한 일부 사용자에 의한 가상 세계의 활동이 큰 폭으로 확대될 것임은 세계적으로 확대를 거듭하고 있는 주요 서비스 기업을 통해서도 확인할 수 있다. ( facebook, second life , Myspace , Amazon,blog , Avatar …)

 

정보획득의 수단에서 생활의 필수 수단으로 변환하고 있는 Web 상에서 가장 중요한 것들은 무엇보다도 사용자 스스로가 제작하는 제작물이며 이른바 UCC (User created contents )라고 할 수 있다. 일반적으로 UCC라고 칭할 경우에는 동영상을 의미하지만 사용자가 작성하는 모든 내용과 행동들이 영향을 미치거나 상호간에 공유가 가능한 형태가 될 때 UCC라고 볼 수 있다. 이와 같은 모든 행동들에는 다양한 것들이 포함 될 수 있다.

게시물 , 덧글, 동영상 , 이미지 , 플래시, 메일과 같은 의견과 정보를 나타내는 모든 유형을 UCC라고 정의하는 것이 바람직 하다. 언급된 UCC의 행위에 포함되는 많은 것들이 주요 IT서비스 기업의 핵심이 되고 있으며 향후 더욱 확대되고 외연 확장이 예고 되고 있는 시기라 할 수 있다.

 

다양한 사용자의 접근성 보장의 이면에도 기술적인 내용들도 포함이 되고 있으며 모든 방향성은 원활한 접근성의 확보에 있다.

 

 

다양한 Software client를 이용하여 Web service에 접근을 하고 유,무선의 구분이 없으며 Client와 Server간에 정보 교환 방법, Database와의 정보 전달 방법들이 다양하게 발전을 하고 복잡화 되고 있으나 중요한 관점은 사용자의 접근성의 향상에 있다는 것이다. 현재의 발전 상황은 향후 기술적으로는 복잡화 될 것이나 사용자에게는 더욱 편리한 형태로 접근성이 강화되는 방향으로 진행 될 것 이다.

 

사용자의 적극적인 참여를 위한 UCC ( User Created Contents)의 제작과 활용은 새로운 서비스 발전에 영향을 주고 있다. 반대 급부로 보다 많은 사용자에게 공유하고 참여를 하는 모델은 악성코드의 전파에도 동일한 영향을 미치고 있다. 기존의 UCC 활성화 이전 단계의 Web service 모델에서 가장 많이 발생 되었고 현재도 발생 중인 위협들은 어떤 유형들이 있는지 간략히 정리해 보자

 

- SQL Injection : 2005년 이후 URL의 인자 단위 공격 도구가 자동화 됨으로 인해 가장 큰 위협으로 대두 되고 있으며 대다수의 악성코드 유포 사례가 이 문제로 인해 발생됨. 현재도 많은 규모의 사이트들이 입력값에 대한 검사 부실로 인해 Injection 가능성을 지니고 있음

- Cookie spoofing 및 Injection

- File Upload

- File Download

- XSS ( Cross Site scripting) : 개인정보 획득 및 Phishing에 활용되는 빈도가 높아지고 있으며 향후 주의를 기울여야 하는 부분. 국내 보다는 해외 부분에서 사고가 많이 발생되고 있음

 

대표적으로 위의 항목들이 일반적인 Web application code level 단위에서 처리되지 못한 문제들을 활용한 공격들이라 할 수 있다. 오래 전부터 알려진 공격기법들도 존재하고 있으며 현재의 시기에 가장 큰 위협이 되고 있는 부분들은 대량 확대 및 전파 가능성을 지니고 있는 XSS 취약성과 SQL Injection 취약성이 가장 중요한 부분이라 할 수 있다.

 

위의 Owasp 취약성 항목에서 중요한 항목은 색으로 변경이 된 항목들이다.

다른 일반적인 항목들은 다양한 기반조치들을 통해서 일정수준 유지하는 것이 가능하나 1,4,6번과 같은 항목은 실제 소스코드를 수정해야 하는 부분과 문제가 있는 부분을 찾아내는 것이 어려운 관계로 향후에도 많은 이슈가 될 부분이다. 추가적으로 2007년의 Owasp 통계에서는 XSS 취약성이 1위 취약성으로 올려져 있으니 문제의 심각성에 대해서 생각해 보아야만 할 것이다.

 

지금까지 웹 환경의 발전 방향과 현존하는 일반적인 위협들에 대해서 확인을 해보았다. 특히 근래에 들어서 전 세계적으로 이슈가 되고 있는 중국발 해킹 및 동유럽 권역의 Phishing 관련된 이슈는 XSS 취약성과 SQL Injection 취약성이 매우 많은 비중을 차지 하고 있으며 Web Application에 관련된 많은 이슈들이 전세계적인 이슈를 불러 일으키고 있을 만큼 중요도가 높다고 판단된다. 그럼 이제는 Web 환경의 확장에 따른 위험요소들은 무엇이 있는지 살펴 보도록 하자.

 

Web 환경의 확장에 따른 위험들은 전파 유형별 , 기술적 , 형식적 타입과 같은 유형으로 임의적으로 나눌 수 있다. 전체 위험들에 대해서 임의로 유형별로 나눈 이후 각 항목에 따른 실제 예를 확인 하는 방식으로 점검을 해보도록 하자

 

● Technical Type

i. 광고 (ActiveX)

ii. 악성코드 전파 유형

iii. 개인정보 관련 ( 욕성, 비방, 개인정보 탈취), Phishing

iv. 서비스 해킹 – XSS ( 다양한 XSS 해킹 ) , SQL Injection , Request Forgery , DoM , Script Attack …

● Spread Type

i. 게시물 ( Blogging?)

ii. Feedback, RSS …

iii. Movie, 이미지, 플래쉬, 음악 등등.

● Formation Type

i. Open Api (Mashup ..) , 다양한 서비스 접근 메소드의 활용 ( Ajax,SOAP,DOM)

ii. 특정 서비스에 기반한 공격 – ex)Myspace Attack, Yahoo Attack

 

 

 

2.1 Technical Type

기술적 타입에 대한 설명은 ActiveX를 활용한 광고가 일반적이라 할 수 있다.

 

일반적인 유형으로서 ActiveX 설치를 유도함으로써 광고를 설치하게 하는 유형이라 할 수 있다. 이와 같은 광고 유형은 현재도 많이 존재하고 있으며 사용자를 혼란 시키거나 속이는 행위등과 같은 사회공학적인 기법들을 활용하여 여전히 많은 부분에서 영향을 미치고 있다 할 수 있다.

 

최근에 발생하는 대부분의 광고 유형 및 ActiveX 설치 유형들은 사회공학적인 기법을 사용하고 있으며 주의를 기울여야 한다. ActiveX의 유형 이외에도 Web 환경의 발전에 따라 나타나고 있는 Risk는 RSS 관련된 피드백 문화의 활성화라고 할 수 있다. RSS의 범람은 해외의 경우 RSS를 통한 광고를 전문으로 하는 전문회사가 존재 할 정도로 활성화 되어 있으나 자동화된 도구를 이용하여 자동적으로 피드백을 남기도록 함으로 인해 피해를 발생 시킨다고 볼 수도 있다.

RSS 피드백을 활용하여 사용자의 의견을 모으고 교류하고자 하였으나 도움이 되는 정보를 확인하고 걸러내는데 시간이 더 투자 될 수도 있는 그런 상황이라고 할 수도 있다.

 

 

RSS 관련된 이슈들은 향후 정확한 피드백과 반영이 필요한 피드백을 정교하게 골라내는데 더 많은 역량 확보가 필요할 것이다. 편리한 공유와 의견 교류를 위해 만들어 진 것이나 정보의 홍수와 광고의 홍수 속에 필요한 것을 찾아내는 것에 대한 역량은 향후 Web 관련된 서비스 기업에도 작은 과제가 되지 않을까 생각한다.

 

Phishing 관련된 예는 근래에도 상당히 많은 메일과 페이지 링크들을 확인하고 있으나 3 년 전쯤에 받았던 Phishing 메일 한 통의 경우 그때 당시에 느꼈던 독특함으로 인해 지금도 보관을 하고 있다. Phishing이란 어떤 유형으로 사람을 속이고 목적을 달성하고자 하는지 확인 해보자. Phishing은 개인정보의 탈취를 통해 금전적인 이득을 취하고자 하는 목적에서 이루어 지고 있으며 해외의 경우에는 금융기관, 은행 , Paypal 과 같은 사이트를 위장한 곳들이 많으며 국내의 경우에는 게임사이트를 위장한 경우가 다수 있었다.

 

왼쪽편의 SouthTrust 뱅크에 대한 이메일이 전달 되었을 때 보통 일반적인 사람이라면 가운데 부분의 Hyper Text Link 부분만을 확인하게 된다. 정확한 은행 명인지 확인 하여 이상 여부를 검증하곤 한다. 링크만 보았을때는 정상적인 은행 링크로 보여 클릭을 하게 되는데 ( 만약 국내 은행 중 한 곳이라고 가정하면 이해가 쉬울 것 같다.) 클릭을 하는 순간 임의의 페이지에 패스워드 및 Pin Number를 입력하라고 나온다. 어떤 관계가 있을까?  확인 결과는 정말 허무하지만 왼쪽편의 SouthTrust 메일 전체가 이미지 파일로 구성이 되어 있었다. 링크는 이미지에 대한 링크로 걸려 있는 상태였다. 즉 내부의 어떤 부분을 클릭하더라도 임의의 사이트에 접근이 된다는 것이다.

 

이와 같은 Phishing 유형은 이미 3년 전부터 유행을 하던 형태이다. 사람을 속이고 인지를 못하게끔 발전하는 기법과 수법들은 항상 인식의 빈틈을 노린다. 지금도 마찬가지 이며 위와 같은 위협은 이제 일상적인 위협이라 할 수 있을 것이다.

 

 

악성코드 전파와 관련된 부분은 사실상 국내 IT서비스 산업이 가장 큰 피해를 입었으며 세계적으로도 상당히 많은 공격을 당한 케이스라 할 수 있다. 현재 진행되고 있는 악성코드의 전파 과정에 대해서 그림으로 간략하게 살펴 보자

 

 

국내 사이트에서의 악성코드 유출에 가장 큰 문제는 개발되어 운영중인 Web Application에 Validation check가 전혀 되어 있지 않아서 Web을 통한 Database Access가 가능하고 권한 획득이 가능하다는 점에 있다.

2005년 이후 2년이나 지났지만 지금도 동일한 상황이 계속 되고 있으며 공격자들도 이전의 단순한 유형에서 벗어나 보다 더 찾아내기 어려운 방향으로 악성코드 유포를 지속하고 있다. 악성코드 유포 사이트에 대한 탐지도 계속 되어야 하겠으나 더욱 중요한 것은 근본적인 Web application의 문제를 수정하는 것이 가장 중요하다. Web firewall 이나 Web scanner 등 많은 것들을 사용한다고 하여도 가장 중요한 것은 근본적인 web application coding을 수정하는 것이 해결책이라 할 수 있다.

 

위의 그림에서 보듯이 지금까지 이루어진 공격 유형 ( 2007.9월 이전)의 전형적인 특징이라 할 수 있다. 유명한 사이트를 공격하는 것은 사용자의 접근이 많기 때문에 악성코드의 유포 효과가 정확하게 나타나고 있기 때문이다. 올해 들어서도 주요 언론사 사이트 및 Open blog 사이트에 대한 악성코드 유포 시도는 지속해서 발생이 되고 있다. 악성코드가 유포 된다고 하였을 때 근본 원인을 찾아서 수정하는 것이 아니라 ( 침입이 가능했던 원인을 찾아야 됨) 유포를 시키고 있는 소스 부분만을 삭제 함으로써 해결을 하고 있는데 보다 더 큰 피해를 입을 수 있다는 생각으로 진지하게 접근을 하여야만 한다.

 

지금까지 2005년 이후 언론지상에 드러난 악성코드 유포 사이트들만 뉴스에서 검색하여도 수 백여 곳은 족히 넘는다. 올해에만 드러난 곳이 2000여 개 가량 (Ahnlab.com 기사자료)이라고 한다. (이 부분도 단일 회사에서 집계한 내용이라 전체적인 집계내용을 합칠 경우 규모는 매우 커질 것이다.) 중요한 관점은 악성코드 유포를 하기 위해서는 단순한 스크립트만을 넣는 것이 아니라 시스템에 대한 완전한 제어 권한이 있는 상태에서 직접 Web application의 소스를 수정한다는 이야기가 된다.

 

다시 한번 생각해 보자. 악성코드를 유포한다는 것은 단순한 코드의 삽입이 아니라 소스 코드의 직접적인 수정을 의미한다. 코드를 수정하기 위해서는 모든 권한을 다 가지고 있어야만 한다. 더불어 지금 공격하는 유형들은 모두 Database의 권한을 직접 공격하는 유형이라서 Database에 저장된 많은 자료들은 이미 유출 되었다고 보는 것이 맞을 것이다.

 

지금껏 대규모 사이트들이 해킹을 당한 사례는 얼마나 많았는가? 이 모든 사이트들에서 Database에 저장된 신상정보들이 유출되고 그 이후 악성코드를 유포하는 행위들이 있어왔다. 개인정보를 지키는 것은 매우 중요하다. 그러나 모든 정보의 보호에는 기술적인 가이드와 방안이 있고 난 뒤에야 정책적으로 지키는 것이 가능해진다. 이미 다 유출되었다고 보여지는 정보들에 대해 정책적으로 무엇을 지킬 수 있을 것인지 난감하다.

지금까지는 개인정보의 유출만을 목적으로 하는 악성코드들이 존재해 왔다. 그러나 이제는 산업군 전체에도 영향을 미치는 악성코드들이 나타나고 있다. 이젠 개인정보보호의 문제를 벗어나 서비스 산업의 존폐여부를 심각하게 고민해야 하는 상황에 도달한 것이다.

 

 

 

웹을 통해서 악성코드를 유포하며 이후 감염된 방문자들은 중간 경유지 서버를 통해 명령을 내릴 수 있는 상태가 된다. 이 Command server를 통해 사용자의 PC에 명령을 내리고 이 모든 PC들이 일제히 특정 타켓들을 공격하도록 구성이 되어 있다.

 

세계적인 보안 현황 및 IT 서비스 현상에 있어서 가장 독특하고도 주의해야 될 상황이라고 판단이 된다.

● Web을 통한 DDos 공격 Agent의 유포 ( 지금껏 유례가 없던일이다.)

● 다수의 경유지 서비를 활용한 중복 명령 수행 ( 근절이 어려움)

 

위와 같이 판단 할 수 있으며 상세한 내용은 http://blog.naver.com/p4ssion/50024269739 이 게시물을 참고 하면 보다 상세한 내용과 문제 사항들을 확인 할 수 있다.

 

악성코드 유포와는 다른 유형이나 Web환경에 큰 영향을 미치는 XSS 취약성에 대해서 알아보기로 하자. 사실 XSS 취약성의 경우에는 오래 전부터 알려지기는 하였으나 Web 환경에서의 개인정보 유출 관련 부분이 직접적으로 개인에게 영향을 미치게 되는 지금에 더욱 중요한 취약성으로 취급이 되고 있다.

XSS ( Cross Site Scripting) 관련된 내용은 현재 주된 개인정보를 유출 하기 위한 이슈로 나타나고 있으며 현재의 사용자 접근성 향상에 따른 다양한 Method에 대해 이슈들이 발생 할 수 있다. 각 부분에 대해서 살펴 보자

 

 

RSS, Atom 과 같은 구성요소 각 부분에도 Script의 실행 권한 및 실행이 가능한 부분들이 존재할 수 밖에 없다. 이 부분에 사용자 정보 유출을 하기 위한 개념 코드를 설치하는 것이 가능하며 외부 URL을 입력하여 악성코드 설치를 하도록 유도 할 수 있다. 또는 특정 서비스에서만 사용되는 규격을 조작하여 해당 서비스에 접근하는 모든 사용자들의 개인정보를 유출 하는 것이 가능해진다. 위의 <script> 코드는 개념적인 내용이며 이 부분에 다른 악의적인 행동을 가능케 하는 다양한 조합들이 추가 되어질 수 있다.

현재도 피해는 계속 발송 되고 있으나 적합한 필터링 및 검증 도구는 나타나지 않은 상태이다. 실상 피해를 확인 하는 것도 어려운 점이 존재한다.

2006,7월 Google RSS Reader기에서 있었던 XSS 취약성의 경우에도 취약성을 악의적으로 이용하기 이전에 수정이 되었으나 그렇지 않았을 경우 전세계의 많은 유저들에게 영향을 미쳤을 사안이다.

 

 

Ref: http://ha.ckers.org/blog/20060704/cross-site-scripting-vulnerability-in-google/

 

XSS 취약성은 더 이상 홈페이지 사용자나 일부 개인 사용자들에게 미치는 위험성이 아니며 이제는 Active하게 사용하는 모든 서비스들에 의해 Active한 공격 대상이 될 수 있다고 보아야 한다. 사용자가 선택 하여야만 감염이 되고 피해를 입는 그런 상황에서 이제는 선택 하지 않아도 강제적으로 감염이 되는 상태가 될 수 있는 것이다. 그래서 XSS 취약성은 앞으로도 계속 위험상태를 알리게 될 것이다. 올해 2007년의 Owasp (http://www.owasp.org/index.php/Top_10_2007)에서 XSS 취약성에 대한 문제가 Top 10 취약성 항목에서 1위로 변경이 된 것은 그냥 변경이 된 것이 아니다.

 

 

2.2 Spread Type

 

전파 유형별 Type에 대해서 발전된 Web의 위험요소들은 좀 더 폭 넓게 알아 보아야 한다.

일반적인 유형인 UCC라는 타입에서 동영상 이외에도 댓글, 의견, 게시물, 플래시, 이미지 와 같은 모든 사용자가 저작이 가능한 대상에 대해서 위험성이 존재함을 볼 수 있을 것이다.

가장 가깝게 사용하는 많은 부분들에 존재하는 문제들은 어떤 것들이 있는지 살펴보자.

 

 

- 일반적인 의견을 입력하는 창이다. 위와 같이 Script가 실행이 되는 경우에는 외부 링크 혹은 악성코드의 설치로 직접 유도가 가능하므로 문제가 될 수 밖에 없다. 게시물에 대한 필터링 만이 문제를 해결 할 수 있다.

 

- URL 인자 단위에서 < , > 문자를 필터링 하지 않아서 발생되는 XSS 취약성 문제이다. URL에서 사용되는 인자들의 길이에 대한 제한 이외에도 사용될 수 있는 문자에 대해서 제한을 함으로써 위험성을 줄여야만 할 것이다. 위험성으로는 악성코드의 설치 및 로그인 관련된 쿠키 정보의 외부 유출이 가능하다.

 

 

 

- Flash의 예를 들고 있다. Flash 코드 내에 Action Script를 활용하여 다양한 외부 링크를 넣을 수 있다. Flash 영상에 대해서 공유를 하거나 사용자들에게 올릴 수 있도록 허용된 모든 사이트에서 문제가 발생 한다고 볼 수 있다. 창이 뜨는 것은 ActiveX 설치 유형의 창이며 만약 신규 악성코드에 대한 설치를 위와 같이 할 경우에는 대책 방안이 없다. 백신에서 감지를 하기도 어려운 상태라 거의 무방비로 당할 수 밖에 없을 것이다. 다양한 관점에서 통제가 있어야만 된다.

 

 

- MP3 파일 내에 script를 넣어서 실행 되게끔 한 내용이다. 위의 내용은 모든 mp3 파일에 해당이 되며 스크립트를 넣는 것 대신 악성코드를 다운로드 받게 하거나 사용자 시스템의 정보를 절취하는 등의 행위를 하도록 하는 것이 가능하다. 그렇다면 지금 우리가 사용하고 있는 mp3 파일 중에 위험한 파일은 얼마나 될까? . 한번쯤 고민해 보아야만 한다. 서로간의 공유를 통해 발전하는 커뮤니티 문화가 활성화 되는 시기에 멀티미디어 요소를 통한 악성코드의 유포 및 공격은 향후에도 더욱 심각해 질 것으로 예상이 된다.

 

 

- 동영상 부분이다. 일반적으로 UCC라 칭하기도 하지만 동영상 부분에도 상당히 많은 위험요소들이 존재하고 있다. 현재로서는 광고를 하기 위한 ActiveX 설치 창들이 제일 많이 발견 되고 있으나 악성코드가 첨부된 동영상들도 매우 많다. 또한 저작도구 사용의 일반화에 따라 중간 부분에 악성코드를 넣도록 하는 행위들을 통해 발견도 상당히 어렵다고 할 수 있다. 일반적인 유형들이야 다양한 방식으로 걸러 낼 수 있으나 동영상 중간에 악성코드를 설치하거나 설치하는 악성코드가 신규 악성코드일 경우에는 대응 방안이 거의 전무하다. 향후의 위험성 측면에서도 상당히 큰 위험으로 대두될 것이며 동영상 공유 부분을 통한 악성코드 유포 및 신규 악성코드의 출현을 감지 할 수 있는 유형들도 주의 깊게 살펴 보아야 할 것이다.

 

 

- Quick time movie 파일에 스크립트 실행 관련된 취약성이다. 이 케이스는 일반적인 케이스라기 보다는 2006.12월에 있었던 Myspace의 웜 관련된 유형과 관련이 있다.

Myspace내부의 구조를 이용한 스크립트 베이스의 웜을 동영상 안에 코드로 넣어두고 이 quicktime 무비를 본 모든 사용자들에게 전파 되었었다. 여기서 한 가지 더 생각해 볼 점이 필요하다. 방금 위에서 언급한 quick time 파일의 경우 Myspace 사이트에 여러 일 동안 노출이 되었는데 상당히 많은 규모의 사용자들이 해당 파일을 플레이 하였을 것이다. ( 또한 script base 유형이라 백신에서는 탐지가 불가능함) 즉 모든 사용자들이 스크립트 베이스의 웜에 감염이 되었을 것이라고 보는 것이 정답이다.

이 웜의 특징을 살펴보면 사용자의 Myspace Friends list를 불러와서 이 Friends List들에게도 동일한 스크립트웜을 전파 시켰다. ( 쉽게 설명하자면 일촌 파도타기를 했다고 생각 하면 쉽다. 물론 악성코드 파도타기 이지만..)

피해는 얼마나 될까?. 추산이 불가능할 정도이며 거의 모든 Myspace 회원들이 영향을 입었을 것이다. 미국내의 언론이나 여러 보안관련 매체에는 잘 수습을 했다고는 하지만 어불성설이다. 드러난 현상과 분석만으로도 모든 회원들이 피해를 입었을 것으로 예상이 되는데 문제가 조기에 해결 되었고 특별한 피해가 없었다고 발표를 하였다.

 

피해여부를 떠나서 가장 중요한 이슈는 SNS (Social Network Service)로 대변되는 Cyber life 세상에서의 생활이 그리 안전하지 않으며 앞으로도 많은 위험들이 도사리고 있다는 점을 명확하게 하여야 한다. 더불어 자신의 의사와는 관계없이 특정 서비스 아래에서는 치명적인 영향을 타인으로 인해 받을 수도 있음을 명확하게 인지하여야만 한다.

 

-계속 ( 위험은 계속 된다. 다만 인지하지 못할 뿐이다. - 바다란)

Posted by 바다란