태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'web'에 해당되는 글 2건

  1. 2010.04.27 Enhanced Web, Enhanced Risk -(상)
  2. 2010.04.27 Enhanced Web, Enhanced Risk -(상)

바다란입니다.

지난해 2007년 2월 경부터 외부 발표 용도로 작성한 Web 2.0 Service Security 라는 제목의 PPT에 대해 기고 형식으로 풀어쓴 글입니다.

전체적으로 Web 2.0 이라는 말은 만약 SNS (Social Network service) 측면에서만 강조되는 부분이라면 Web 2.0의 활성화는 오래 가지 않을 것입니다. 그러나 분명한 것은 Web이라는 도구가 명확하게 확장 되고 있으며 폭 넓은 부분에서의 활용성은 점차 극대화 되고 확대될 것임은 명확합니다.

 

Web 2.0이라는 단어는 허상에 불과하지만 도구로서의 Web의 진화는 향후에도 오랜기간 지속될 것으로 보입니다. 그렇다면 변화의과정에서 나타나는 위험들은 무엇이 있고 현재 직면한 위험들은 무엇들이 있는지 명확한 인지는 필수적이라 할 수 있습니다.

 

본 문서는 Web의 발전에 따른 여러가지 Risk를 직접 보이고 설명하기 위해 만들어진 문서입니다. 최근에 KISA에 기고한 문서이기도 합니다. 좋은 방향으로 향후의 위험성에 대해서 참고 하셨으면 합니다.

 

감사합니다.

 

* 본 시리즈는 3편 정도로 예상 하고 있습니다.

 상편 - Attack Flow의 변화 , 지난 시간 속에 존재하는 Risk들의 변화 과정과 흐름을 살펴보고 현재는 어느 단계 인지 확인 하는 내용

 중편 - 진보된 Web의 발전에 따른 여러가지 다양한 위험요소

 하편 - 결론 부분입니다. Web의 발전에 따른 대응 방안에 대해서 고민하는 부분입니다. 중편이 길어서 중편 부분도 일부 포함될 것 같습니다.

 

그럼 시작합니다.

 

 

개 요

현재의 Web의 발전 방향은 사용자의 접근성 향상을 통해 사용 환경의 변화로 이어지고 있다. 사용자 제작물의 확산과 정보 공유의 통로 확산은 다양한 위협으로 이어지고 있으며 향후 폭넓은 위협에 노출 됨을 예고하고 있다. UCC와 블로그의 확산, 사용자 접근을 위한 위험은 유,무선을 가리지 않고 다양한 위협으로 향후 나타날 것이다. 본 문서에서는 해당 위협을 직시하고 대응 할 수 있는 방안들을 모색함으로써 향후의 위험성에 대해 대비를 할 수 있도록 하고자 한다.

 

■Attack Flow의 변화

Web이라는 도구가 정보 획득의 수단에서 사용자의 의견을 교환하고 다양한 정보를 교환함으로써 새로운 정보를 창출하고 이득을 창출하는 생활 속의 도구로서의 다양한 역할을 하고 있다. 변화하는 위험요소와 변화하는 환경 속에서 Web을 통한 사용자 접근성의 향상은 새로운 시너지를 촉발하고 있으며 IT 서비스 산업을 근본적으로 사용자 중심의 환경으로 전환 하게 만들고 있다. 반대급부로 Web을 통한 위험성도 증가 되고 있다. 현재의 위험 상황은 어느 정도 진행이 되고 있으며 어떤 위험들이 실제로 존재하였는지를 확인 하는 것도 필요한 시점이라 할 수 있다. 공격 흐름의 변화도 사용자에 대한 위험을 극대화 하는 방향으로 진행이 되고 있다. 전체의 공격 흐름을 살펴서 향후를 예측 하고 준비 할 수 있는 자세가 필요하며 앞으로 더 심도 있고 폭넓게 활성화될 서비스 부분에 대해서 Attack 흐름의 변화는 반드시 짚어야만 될 부분이라 할 수 있다.

2000년 이전과 그 이후 얼마간의 공격 흐름은 직접적인 서비스에 대한 공격 유형에서부터 출발이 된다.

 

 

 

CERT.org의 취약성 발표 통계를 통해 드러나지 않는 문제들에 대해 언급을 하여 보면 다음과 같이 정리가 가능하다. 2000년 이후 부터의 증가 현상에 대해서는 인터넷의 활성화에 따른 취약성 증가가 원인이라 보기는 조금 어려운 면이 있다. 시기적으로 나눈다면 세 단계 정도로 구분하는 것이 가능하다.

1단계 : 2000년 이전 – 운영체제에 대한 직접적인 취약성 발견에 집중

2단계 : 2000년 이후 ~ 2005년 상반기 – 운영체제에 함께 설치 되는 Application에 대한 취약성 발견이 집중적으로 이루어진 시기

3단계 : 2005년 상반기 이후 - Web으로 구성된 다양한 어플리케이션에 대한 취약성 발견의 증가.

60%의 service owner 들이 Web application을 통한 취약성 노출에 직면 하고 있다.

 

 

Gartner, 09,2005 의 조사에 따르면 60%의 Service Owner들이 Web application을 통한 취약성에 노출에 직면하고 있으며 취약성을 Reporting 하는 Mitre corp의 2006.9월의 조사에도 06년의 첫 9개월간 발견된 취약성은 4375개이며 이중 75%가 Web 관련된 취약성이라 조사가 된바 있다. * 여기에서 Web 관련된 취약성은 Web을 통해 접근이 가능하도록 개발된 Application을 의미한다.

 

위의 3 단계 구분이 모든 현상을 설명하지는 않으나 전체적인 취약성 발견 동향을 Bugtraq ()을 통해서 살펴보면 전체 유형의 흐름을 충분히 파악 할 수 있으며 취약성 발견의 급증 원인에 대한 설명은 위의 1,2,3단계 구분으로서 원인을 찾을 수 있을 것이다. Web의 확산에 따른 공유 환경의 증가와 Web을 통한 서비스 확산과 전 세계적인 네트워크 접근성의 개선은 보다 빠른 Application 서비스 모델을 추구하게 되었고 공격자들에게도 취약성 발견의 기반을 폭넓게 만들게 된 계기가 되었다고 할 수 있다.

 

지역별 특정 Application에 대한 사용비율이 높을 경우에는 해당 지역만을 겨냥한 취약성 발견이 증가하기도 하며 특정 서비스 모델에만 기반화된 제품의 경우에는 서비스를 겨냥한 취약성 발견이 증가 하기도 하였다. 현재도 동일한 유형으로 취약성 발견이 증가하고 있으며 취약성 중에서 전 세계적인 범위를 가지고 있는 Mega vulnerability의 발견은 점차 줄어들고 있으나 지역적 혹은 서비스에 특화된 취약성의 발견은 지속적으로 증가하고 있다. 근본 원인은 Web을 통한 서비스 환경의 개선, Service 모델의 확산, 개발된 Application의 상호연동성 증가 및 매개체로서의 Web의 활용 등을 Web 서비스 기반의 확산 및 취약성 발견 비율의 증가 원인이 될 수 있다.

 

 

2005년 하반기에 Gartner 조사에 따르면 전체 1000여개 가량의 Web site를 상용 Web application scanner를 이용하여 스캔한 결과 위와 같이 98% 가량의 Web service들이 취약성을 가지고 있음을 조사하였다. 2007년 12월인 현재에는 더 치명적인 취약성들과 조사 당시에는 사소한 취약성이 더욱 큰 문제로 대두된 부분들도 명확하게 존재한다.

현재 2005년을 거치면서 국내의 IT 서비스 환경에 가장 큰 영향을 미치는 보안적인 이슈들은 세계적인 흐름과는 달리 정의가 될 수 있으며 세계적인 취약성 발견 및 공격 동향이 미리 발견되는 양상을 나타내고 있다. 그 이유에는 여러 가지 상황들이 뒷받침 될 수 있으나 우선적으로는 빠른 인터넷 환경과 인터넷 생활 문화의 확대와 대중성에 따른 영향이 가장 크다고 볼 수 있다. 국내의 현실에서의 Security라는 paradigm은 어떤 식으로 변화가 되어 왔고 지금에는 어떤 현상을 나타내고 있는지 살펴 보면 다음과 같다.

 

 

전체적인 시기의 구분에 따라 Network Worm 발생 이전과 이후로 크게 구분하는 것이 가능하며 이후에는 Web을 통한 불특정 다수에게 악성코드를 유포하는 것으로 구분하는 것이 가능하다. 시기적으로 나뉜 것은 아니며 대응을 하는 부분에 있어서 차별화 되거나 기존의 개념을 뛰어넘는 새로운 이슈라고 보는 관점에서 주관적인 구분을 하였다. 네트워크 Worm 이전에는 공격자를 격리 시키는 것을 주된 관점으로 대응을 하였으며 Network Worm 발생 이후에는 공격자의 격리라는 것의 무의미 해지고 1차 피해자가 추가적인 공격을 본인의 의사와 관계 없이 공격을 진행 하는 것으로서 공격자에 대한 격리라는 정책이 더 이상 유효하지 않게 되었다.

 

Network worm 이전에는 침입자에 대한 차단과 탐지를 위해 IDS와 Firewall 이 주된 보안도구가 되었으나 Network worm 발생 이후에는 차단과 탐지라는 의미가 무의미해짐에 따라 침입을 사전에 막을 수 있고 내부 서비스 서버에 영향을 미치지 않도록 IPS ( Intrusion Prevention System)이 유용한 보안 시스템으로 두각을 나타내게 된다. 그렇다면 위의 이미지 상에서 최종적인 Web을 통한 유포를 통해서는 어떤 방향들이 나타나게 되었을까? 웹 서비스의 방문자를 노린 악성코드 유포는 방문자가 많은 사이트를 중심으로 집중적인 악성코드 유포 시도를 시행한다. 따라서 웹 Application의 취약성이 주된 악성코드 설치의 통로가 됨에 따라 Web Application의 보호를 위한 보안도구들이 일반화되게 됨을 현재 볼 수 있다. Web Firewall의 도입과 SDLC 프로세스의 도입을 통한 안전한 프로그래밍 체제의 도입은 Web Application을 보호하기 위해서 사용이 되고 있다.

 

Web Application의 취약성을 이용하는 악성코드의 영향으로 사용자의 환경에도 직접적인 영향을 미침에 따라 개인사용자 PC를 보호해주기 위해 보안패치 서비스 및 온라인 백신 서비스 등도 현재는 일정 수준이상 일반화 된 것으로 볼 수 있을 것이다. 환경의 변화는 여러 가지 서비스 모델들을 변화 시키고 새로운 부분을 구성하기도 한다. 지금의 인터넷 서비스 환경에서의 위험요소는 상당히 많은 부분을 변화 시킬 것으로 예상이 되고 있고 현재 진행중임에도 불구하고 대응 측면에서 노력이 미진한 부분들이 많이 있어 보인다.

전체적으로 종합하면 환경의 변화와 변화에 따른 대응측면은 다음과 같이 된다.

 

 

위의 그림과 같이 2007년을 가로지르는 중요한 Paradigm은 기업내의 자산과 서비스에 대한 보호에서 개인 PC 단위로까지의 보호 단위 확장을 들 수 있다.

2000년 이후의 Attack Flow에 대해서 공격기법별로 분류를 해보면 발전 방향과 특징을 살펴 볼 수 있으며 점차 진화되고 있는 유형이 어떤 방향으로 이어지고 있는지 살펴 볼 수 있다. 전체적으로는 복잡화된 공격에서 결합화된 공격으로의 발전, 자동화된 공격의 발생과 확산으로 동향이 이어져 가고 있다. 앞으로의 침해사고 유형도 Web service의 취약성을 공격하고 이를 이용한 주변 전파로 확대될 가능성이 높으며, Web service의 확대로 인해 거대 사용자를 확보한 서비스 기업들이 증가하고 있어서 Web을 통한 위험 노출 부분은 향후 일정기간 이상 주된 화두가 될 것이다.

 

 

위의 그림은 Major Attack Trend를 나타내고 있으며 2004년까지의 변화는 전 세계적으로 동일한 유형으로 발전 하여 왔으나 2005년 이후부터 변화가 조금 달라지고 있다. Application에 관련된 공격이 2005년부터 증가를 하고 자동화된 Application Attack이 출현하고 있으며 현재는 복합화된 DDos 공격이 가능한 Agent를 웹 서비스를 통해 유포하는 형태로도 발전이 된 상태이다. Web service의 취약성을 이용하여 2,3차 단계까지 영향을 미치고 있으며 사용자의 PC 단위에 정보를 유출 하는 악성코드의 피해 범주에서 이제는 사용자의 PC를 숙주로 하여 임의의 거대 서비스를 직접 공격하는 DDos 유형으로 발전 하고 있음을 볼 수 있다.

 

전 세계적으로 Botnet에 대한 감시와 주의가 계속 높아지고 있는 상태에서 이와 같은 Web을 통한 DDos 공격 네트워크의 구축은 향후 심각하게 주의를 높여야만 하는 상황이라 할 수 있다. 최초 감지된 공격은 2007년 9월의 국내 아이템 거래 업체에 대한 DDos 공격에서 최초 인지가 된 사안이다. 게임 아이템 거래 업체에 대한 DDos 공격 사례에서 보듯이 웹을 통해 유포된 악성코드가 DDos 공격에 직접 사용이 되는 환경에서는 개인 PC에 대한 보호와 Web Service에 대한 안정성 강화가 향후 에도 주요한 키워드로서 IT 서비스의 발전에 영향을 미칠 것으로 예상이 된다.

 

 

공격자들의 기술 수준과 활용 수준은 시간이 지날수록 복잡화 되고 있고 자동화 되고 있으며 손쉽게 막기 어려운 방향으로 이어지고 있다. 개별 업체에 의해 처리 될 수 있는 범주는 이미 벗어났다고 판단되며 향후 종합적인 대응 방안 수립만이 일정수준의 해결책을 만들 수 있을 것으로 예상된다.

 

 

위의 이미지는 공격 기법에 따른 공격자의 기술수준을 나타내고 있는 챠트이며 기술수준이 예전과는 다르게 인지하기 어려운 기법과 더불어 새로운 방안의 창출로까지 이어지고 있어서 공격자들의 기술수준이 높아지고 있는 것으로 판정 해야만 할 것이다.

Web을 통한 위험의 전파는 향후 Web 환경의 확장과 더불어 증폭 될 것이며 유,무선을 구분하지 않는 전파력으로 서비스에 많은 영향을 미칠 것이다. 또한 2007년 9월에 발생된 아이템거래 사이트에 대한 DDos 공격 또한 Web을 통한 DDos 공격 Agent를 유포함으로써 대규모적인 공격이 가능하였다는 점으로 미루어 볼 때 전체 사용자 환경에 대한 Protection과 Web service 전반에 걸친 안정성 강화는 당장이라도 시급한 화두가 아닐 수 없다. IT 서비스를 주력으로 삼고 있는 기업과 국가라면 더 시급하게 준비를 하여야만 일정 수준의 위험을 경감 시킬 수 있을 것으로 예상된다.

 

- 계속.

Posted by 바다란

바다란입니다.

지난해 2007년 2월 경부터 외부 발표 용도로 작성한 Web 2.0 Service Security 라는 제목의 PPT에 대해 기고 형식으로 풀어쓴 글입니다.

전체적으로 Web 2.0 이라는 말은 만약 SNS (Social Network service) 측면에서만 강조되는 부분이라면 Web 2.0의 활성화는 오래 가지 않을 것입니다. 그러나 분명한 것은 Web이라는 도구가 명확하게 확장 되고 있으며 폭 넓은 부분에서의 활용성은 점차 극대화 되고 확대될 것임은 명확합니다.

 

Web 2.0이라는 단어는 허상에 불과하지만 도구로서의 Web의 진화는 향후에도 오랜기간 지속될 것으로 보입니다. 그렇다면 변화의과정에서 나타나는 위험들은 무엇이 있고 현재 직면한 위험들은 무엇들이 있는지 명확한 인지는 필수적이라 할 수 있습니다.

 

본 문서는 Web의 발전에 따른 여러가지 Risk를 직접 보이고 설명하기 위해 만들어진 문서입니다. 최근에 KISA에 기고한 문서이기도 합니다. 좋은 방향으로 향후의 위험성에 대해서 참고 하셨으면 합니다.

 

감사합니다.

 

* 본 시리즈는 3편 정도로 예상 하고 있습니다.

 상편 - Attack Flow의 변화 , 지난 시간 속에 존재하는 Risk들의 변화 과정과 흐름을 살펴보고 현재는 어느 단계 인지 확인 하는 내용

 중편 - 진보된 Web의 발전에 따른 여러가지 다양한 위험요소

 하편 - 결론 부분입니다. Web의 발전에 따른 대응 방안에 대해서 고민하는 부분입니다. 중편이 길어서 중편 부분도 일부 포함될 것 같습니다.

 

그럼 시작합니다.

 

 

개 요

현재의 Web의 발전 방향은 사용자의 접근성 향상을 통해 사용 환경의 변화로 이어지고 있다. 사용자 제작물의 확산과 정보 공유의 통로 확산은 다양한 위협으로 이어지고 있으며 향후 폭넓은 위협에 노출 됨을 예고하고 있다. UCC와 블로그의 확산, 사용자 접근을 위한 위험은 유,무선을 가리지 않고 다양한 위협으로 향후 나타날 것이다. 본 문서에서는 해당 위협을 직시하고 대응 할 수 있는 방안들을 모색함으로써 향후의 위험성에 대해 대비를 할 수 있도록 하고자 한다.

 

■Attack Flow의 변화

Web이라는 도구가 정보 획득의 수단에서 사용자의 의견을 교환하고 다양한 정보를 교환함으로써 새로운 정보를 창출하고 이득을 창출하는 생활 속의 도구로서의 다양한 역할을 하고 있다. 변화하는 위험요소와 변화하는 환경 속에서 Web을 통한 사용자 접근성의 향상은 새로운 시너지를 촉발하고 있으며 IT 서비스 산업을 근본적으로 사용자 중심의 환경으로 전환 하게 만들고 있다. 반대급부로 Web을 통한 위험성도 증가 되고 있다. 현재의 위험 상황은 어느 정도 진행이 되고 있으며 어떤 위험들이 실제로 존재하였는지를 확인 하는 것도 필요한 시점이라 할 수 있다. 공격 흐름의 변화도 사용자에 대한 위험을 극대화 하는 방향으로 진행이 되고 있다. 전체의 공격 흐름을 살펴서 향후를 예측 하고 준비 할 수 있는 자세가 필요하며 앞으로 더 심도 있고 폭넓게 활성화될 서비스 부분에 대해서 Attack 흐름의 변화는 반드시 짚어야만 될 부분이라 할 수 있다.

2000년 이전과 그 이후 얼마간의 공격 흐름은 직접적인 서비스에 대한 공격 유형에서부터 출발이 된다.

 

 

 

CERT.org의 취약성 발표 통계를 통해 드러나지 않는 문제들에 대해 언급을 하여 보면 다음과 같이 정리가 가능하다. 2000년 이후 부터의 증가 현상에 대해서는 인터넷의 활성화에 따른 취약성 증가가 원인이라 보기는 조금 어려운 면이 있다. 시기적으로 나눈다면 세 단계 정도로 구분하는 것이 가능하다.

1단계 : 2000년 이전 – 운영체제에 대한 직접적인 취약성 발견에 집중

2단계 : 2000년 이후 ~ 2005년 상반기 – 운영체제에 함께 설치 되는 Application에 대한 취약성 발견이 집중적으로 이루어진 시기

3단계 : 2005년 상반기 이후 - Web으로 구성된 다양한 어플리케이션에 대한 취약성 발견의 증가.

60%의 service owner 들이 Web application을 통한 취약성 노출에 직면 하고 있다.

 

 

Gartner, 09,2005 의 조사에 따르면 60%의 Service Owner들이 Web application을 통한 취약성에 노출에 직면하고 있으며 취약성을 Reporting 하는 Mitre corp의 2006.9월의 조사에도 06년의 첫 9개월간 발견된 취약성은 4375개이며 이중 75%가 Web 관련된 취약성이라 조사가 된바 있다. * 여기에서 Web 관련된 취약성은 Web을 통해 접근이 가능하도록 개발된 Application을 의미한다.

 

위의 3 단계 구분이 모든 현상을 설명하지는 않으나 전체적인 취약성 발견 동향을 Bugtraq ()을 통해서 살펴보면 전체 유형의 흐름을 충분히 파악 할 수 있으며 취약성 발견의 급증 원인에 대한 설명은 위의 1,2,3단계 구분으로서 원인을 찾을 수 있을 것이다. Web의 확산에 따른 공유 환경의 증가와 Web을 통한 서비스 확산과 전 세계적인 네트워크 접근성의 개선은 보다 빠른 Application 서비스 모델을 추구하게 되었고 공격자들에게도 취약성 발견의 기반을 폭넓게 만들게 된 계기가 되었다고 할 수 있다.

 

지역별 특정 Application에 대한 사용비율이 높을 경우에는 해당 지역만을 겨냥한 취약성 발견이 증가하기도 하며 특정 서비스 모델에만 기반화된 제품의 경우에는 서비스를 겨냥한 취약성 발견이 증가 하기도 하였다. 현재도 동일한 유형으로 취약성 발견이 증가하고 있으며 취약성 중에서 전 세계적인 범위를 가지고 있는 Mega vulnerability의 발견은 점차 줄어들고 있으나 지역적 혹은 서비스에 특화된 취약성의 발견은 지속적으로 증가하고 있다. 근본 원인은 Web을 통한 서비스 환경의 개선, Service 모델의 확산, 개발된 Application의 상호연동성 증가 및 매개체로서의 Web의 활용 등을 Web 서비스 기반의 확산 및 취약성 발견 비율의 증가 원인이 될 수 있다.

 

 

2005년 하반기에 Gartner 조사에 따르면 전체 1000여개 가량의 Web site를 상용 Web application scanner를 이용하여 스캔한 결과 위와 같이 98% 가량의 Web service들이 취약성을 가지고 있음을 조사하였다. 2007년 12월인 현재에는 더 치명적인 취약성들과 조사 당시에는 사소한 취약성이 더욱 큰 문제로 대두된 부분들도 명확하게 존재한다.

현재 2005년을 거치면서 국내의 IT 서비스 환경에 가장 큰 영향을 미치는 보안적인 이슈들은 세계적인 흐름과는 달리 정의가 될 수 있으며 세계적인 취약성 발견 및 공격 동향이 미리 발견되는 양상을 나타내고 있다. 그 이유에는 여러 가지 상황들이 뒷받침 될 수 있으나 우선적으로는 빠른 인터넷 환경과 인터넷 생활 문화의 확대와 대중성에 따른 영향이 가장 크다고 볼 수 있다. 국내의 현실에서의 Security라는 paradigm은 어떤 식으로 변화가 되어 왔고 지금에는 어떤 현상을 나타내고 있는지 살펴 보면 다음과 같다.

 

 

전체적인 시기의 구분에 따라 Network Worm 발생 이전과 이후로 크게 구분하는 것이 가능하며 이후에는 Web을 통한 불특정 다수에게 악성코드를 유포하는 것으로 구분하는 것이 가능하다. 시기적으로 나뉜 것은 아니며 대응을 하는 부분에 있어서 차별화 되거나 기존의 개념을 뛰어넘는 새로운 이슈라고 보는 관점에서 주관적인 구분을 하였다. 네트워크 Worm 이전에는 공격자를 격리 시키는 것을 주된 관점으로 대응을 하였으며 Network Worm 발생 이후에는 공격자의 격리라는 것의 무의미 해지고 1차 피해자가 추가적인 공격을 본인의 의사와 관계 없이 공격을 진행 하는 것으로서 공격자에 대한 격리라는 정책이 더 이상 유효하지 않게 되었다.

 

Network worm 이전에는 침입자에 대한 차단과 탐지를 위해 IDS와 Firewall 이 주된 보안도구가 되었으나 Network worm 발생 이후에는 차단과 탐지라는 의미가 무의미해짐에 따라 침입을 사전에 막을 수 있고 내부 서비스 서버에 영향을 미치지 않도록 IPS ( Intrusion Prevention System)이 유용한 보안 시스템으로 두각을 나타내게 된다. 그렇다면 위의 이미지 상에서 최종적인 Web을 통한 유포를 통해서는 어떤 방향들이 나타나게 되었을까? 웹 서비스의 방문자를 노린 악성코드 유포는 방문자가 많은 사이트를 중심으로 집중적인 악성코드 유포 시도를 시행한다. 따라서 웹 Application의 취약성이 주된 악성코드 설치의 통로가 됨에 따라 Web Application의 보호를 위한 보안도구들이 일반화되게 됨을 현재 볼 수 있다. Web Firewall의 도입과 SDLC 프로세스의 도입을 통한 안전한 프로그래밍 체제의 도입은 Web Application을 보호하기 위해서 사용이 되고 있다.

 

Web Application의 취약성을 이용하는 악성코드의 영향으로 사용자의 환경에도 직접적인 영향을 미침에 따라 개인사용자 PC를 보호해주기 위해 보안패치 서비스 및 온라인 백신 서비스 등도 현재는 일정 수준이상 일반화 된 것으로 볼 수 있을 것이다. 환경의 변화는 여러 가지 서비스 모델들을 변화 시키고 새로운 부분을 구성하기도 한다. 지금의 인터넷 서비스 환경에서의 위험요소는 상당히 많은 부분을 변화 시킬 것으로 예상이 되고 있고 현재 진행중임에도 불구하고 대응 측면에서 노력이 미진한 부분들이 많이 있어 보인다.

전체적으로 종합하면 환경의 변화와 변화에 따른 대응측면은 다음과 같이 된다.

 

 

위의 그림과 같이 2007년을 가로지르는 중요한 Paradigm은 기업내의 자산과 서비스에 대한 보호에서 개인 PC 단위로까지의 보호 단위 확장을 들 수 있다.

2000년 이후의 Attack Flow에 대해서 공격기법별로 분류를 해보면 발전 방향과 특징을 살펴 볼 수 있으며 점차 진화되고 있는 유형이 어떤 방향으로 이어지고 있는지 살펴 볼 수 있다. 전체적으로는 복잡화된 공격에서 결합화된 공격으로의 발전, 자동화된 공격의 발생과 확산으로 동향이 이어져 가고 있다. 앞으로의 침해사고 유형도 Web service의 취약성을 공격하고 이를 이용한 주변 전파로 확대될 가능성이 높으며, Web service의 확대로 인해 거대 사용자를 확보한 서비스 기업들이 증가하고 있어서 Web을 통한 위험 노출 부분은 향후 일정기간 이상 주된 화두가 될 것이다.

 

 

위의 그림은 Major Attack Trend를 나타내고 있으며 2004년까지의 변화는 전 세계적으로 동일한 유형으로 발전 하여 왔으나 2005년 이후부터 변화가 조금 달라지고 있다. Application에 관련된 공격이 2005년부터 증가를 하고 자동화된 Application Attack이 출현하고 있으며 현재는 복합화된 DDos 공격이 가능한 Agent를 웹 서비스를 통해 유포하는 형태로도 발전이 된 상태이다. Web service의 취약성을 이용하여 2,3차 단계까지 영향을 미치고 있으며 사용자의 PC 단위에 정보를 유출 하는 악성코드의 피해 범주에서 이제는 사용자의 PC를 숙주로 하여 임의의 거대 서비스를 직접 공격하는 DDos 유형으로 발전 하고 있음을 볼 수 있다.

 

전 세계적으로 Botnet에 대한 감시와 주의가 계속 높아지고 있는 상태에서 이와 같은 Web을 통한 DDos 공격 네트워크의 구축은 향후 심각하게 주의를 높여야만 하는 상황이라 할 수 있다. 최초 감지된 공격은 2007년 9월의 국내 아이템 거래 업체에 대한 DDos 공격에서 최초 인지가 된 사안이다. 게임 아이템 거래 업체에 대한 DDos 공격 사례에서 보듯이 웹을 통해 유포된 악성코드가 DDos 공격에 직접 사용이 되는 환경에서는 개인 PC에 대한 보호와 Web Service에 대한 안정성 강화가 향후 에도 주요한 키워드로서 IT 서비스의 발전에 영향을 미칠 것으로 예상이 된다.

 

 

공격자들의 기술 수준과 활용 수준은 시간이 지날수록 복잡화 되고 있고 자동화 되고 있으며 손쉽게 막기 어려운 방향으로 이어지고 있다. 개별 업체에 의해 처리 될 수 있는 범주는 이미 벗어났다고 판단되며 향후 종합적인 대응 방안 수립만이 일정수준의 해결책을 만들 수 있을 것으로 예상된다.

 

 

위의 이미지는 공격 기법에 따른 공격자의 기술수준을 나타내고 있는 챠트이며 기술수준이 예전과는 다르게 인지하기 어려운 기법과 더불어 새로운 방안의 창출로까지 이어지고 있어서 공격자들의 기술수준이 높아지고 있는 것으로 판정 해야만 할 것이다.

Web을 통한 위험의 전파는 향후 Web 환경의 확장과 더불어 증폭 될 것이며 유,무선을 구분하지 않는 전파력으로 서비스에 많은 영향을 미칠 것이다. 또한 2007년 9월에 발생된 아이템거래 사이트에 대한 DDos 공격 또한 Web을 통한 DDos 공격 Agent를 유포함으로써 대규모적인 공격이 가능하였다는 점으로 미루어 볼 때 전체 사용자 환경에 대한 Protection과 Web service 전반에 걸친 안정성 강화는 당장이라도 시급한 화두가 아닐 수 없다. IT 서비스를 주력으로 삼고 있는 기업과 국가라면 더 시급하게 준비를 하여야만 일정 수준의 위험을 경감 시킬 수 있을 것으로 예상된다.

 

- 계속.

Posted by 바다란