미 상원과 CIA, FBI를 해킹하고 PBS 방송국을 공개적으로 해킹하여 전 세계적인 이슈를 불러 왔던 룰즈섹이 50일간의 활동을 접고 해체한다고 한다. 세계적인 관심을 불러 일으켰던 해킹그룹은 여러 측면에서 현재 인터넷의 위험한 상황을 잘 전달 했다고도 볼 수 있다. 그렇다면 세계 여러 언론들이 언급한대로 룰즈섹은 특별한 기술을 가지고 있고 전 세계 어디든 마음대로 공격이 가능한 집단일까? 또 최고의 멤버로 구성이 되어 있어서 세계적인 화제가 되었을까?

의문을 가져야 한다.

진짜 위급한 상황에 처했을 경우 나타날 수 있는 공격자들도 룰즈섹 정도 일까? 결론적으로 룰즈섹 부류의 공격자들은 지금 이 순간에도 전 세계적인 활동을 하고 있으며 너무나도 일반적이라는 것이다. 진짜는 따로 있다. 이번 컬럼에서는 그 리얼한 모습의 일부분을 제시 하고자 한다.

글로벌 하며 대담하고 체계적인 구성을 갖춘 수준높은 조직들과 언제든지 맞설 수 밖에 없는 상황에서 과연 우리는 어떤 준비가 되어 있는가? 상대의 수준도 모른다면 농협과 같은 혼란상황은 불을 보듯 뻔하다. 먼저 컬럼의 제목대로 룰즈섹의 공격기법과 행위에 대해서 살펴보고 진짜 공격자들의 수준을 가늠할 수 있는 일면을 엿보도록 하자.

룰즈섹 해킹 사례 정리

 

5월 7일 – 미국 오디션 프로그램 참가자 정보 공개

5월 10일 - 폭스방송 홈페이지 가입자 정보공개

5월 23일 - 소니뮤직(일본) 해킹

5월 30일 – PBS 방송국 홈페이지 변조

6월 2일 – 소니 픽쳐스 정보공개

6월 3일 – 미 FBI 산하의 인프라가드 정보탈취

6월 3일 – 일본 닌텐도 서비스 공격 및 정보 획득

6월 13일 – 미국 상원 홈페이지 정보 획득 및 공개

6월 15일 – Tango Down – 미 CIA 홈페이지 접속차단

5월부터 6월까지 50일 가까운 활동기간동안 언론에 언급된 주요한 팩트들만 9건 이상이 언급이 되고 있다. 물론 더 많은 사례가 있지만 큰 이슈들만 나열 하였다. 정말 특별한 기술을 가진 그룹이기에 세계적인 관심을 끌었을까?

공격과 정보탈취는 이미 인터넷 상에서 일상적으로 일어나는 활동이고 지금도 매우 심각한 상태로 발생 되고 있으며 수없이 많은 서비스들이 권한을 탈취 당한다. 단지 룰즈섹의 경우는 SNS를 이용한 이슈화에 성공 하였을 뿐이며 특별하지는 않다. 9건 가량의 주요 공격을 살펴보면 대부분 웹서비스에 대한 직접 공격 ( SQL Injection이 대부분)과 DDos ( CIA에 대한 공격) 외에 특별한 기술을 발견하기는 어렵다.  이 두가지 기술 모두 현재 일상적으로 발생 되고 있는 공격에 지나지 않는다. 웹서비스에 대한 취약성을 타이트하게 관리하는 CIA의 경우에는 DDoS 공격 정도로 이슈화를 시켰으며 그외의 공격들은 웹서비스의 코딩은 수시로 변경되고 적용이 되고 있어서 엄격한 관리가 어려운점을 이용하여 웹서비스를 공격하여 권한을 획득하고 데이터베이스의 정보를 획득한 것이라 볼 수 있다.

( SQL Injection을 이용한 공격기법의 변화는 여기를 참고 - http://p4ssion.com/207 )

n  난이도 있는 공격?

일상적인 수준의 공격이지만 왜 막기가 어려운 것일까? DDoS의 경우는 대량의 좀비 PC를 이용한 트래픽을 발생 시킬 경우 홈페이지 서비스는 차단 될수 밖에 없다. 상징적인 의미이지 실질적인 정보의 유출은 없는 경우라 할 수 있다. 단 에스토니아처럼 모든 것이 IT화된 국가의 경우 행정업무가 마비되는 것은 큰 문제라고 할 수 있을 것이다.

그렇다면 SQL Injection은 왜 막기가 어려울까? 이미 문제점에 대해서는 최초 알려진것이 10년도 휠씬 이전이다. 그때와 지금의 다른점은 자동화된 도구가 많아졌고 매우 정교해 졌다는 점뿐일 것이다. 그럼에도 불구하고 막기가 어려운 것은 변화무쌍한 웹페이지 코드의 변화때문이기도 하다. 잦은 개발과 수정이 일상적으로 일어나는 웹서비스의 경우 보안적인 안정상태를 유지한다는 것이 매우 힘들다. 다양한 보안도구들이 있으나 모두 한계를 지니고 있으며 결정적으로 개발기간보다 길게 소요되는 문제 해결기간과 우회가 가능한 패턴매칭의 한계가 있기 때문에 소스코드 보안이든 웹보안 장비를 이용한 차단이든 문제가 될수 밖에 없는 것이다.

국내에서 발생된 여러 정보탈취 사건사고들도 별반 다르지 않다. 모두가 정문만을 바라보고 있고 철통같은 경계를 취한다. 그러나 웹서비스가 위치한 지역은 성으로 볼수 있다. 원형의 성에는 외부와 연결되는 여러지점들을 가지고 있으며 이 지점들에는 항상 다른 곳과 연결 될 수 있는 통로가 있다. 즉 어느 곳 한 곳이라도 뚫리게 된다면 내부의 은폐된 정보에 이르는 길은 다 똑같다는 점이다.  모든 웹서비스의 수준을 일정수준이상 유지한다는 것은 매우 어려운 과제가 될수 밖에 없고 공격자들은 이미 전체 노출 범위에 대해 상시적인 공격도구를 보유하고 활발하게 활용하고 있어서 계속적인 위험에 노출되는 것이다.

룰즈섹의 경우에도 정보탈취의 경우는 대부분 웹서비스의 인자값들이 완벽하게 필터링 될 수 없다는 점을 이용하여 성공한 사례일 뿐이다. 이미 오래전 부터 겪어왔던 일의 한 부분일뿐이며 지금 이 순간에도 발생되는 사례일 뿐이다. 룰즈섹의 뛰어난점은 허세와 광고에 능했을 뿐.. 진짜 위기의 순간에 맞닥뜨릴 대상들은 지금도 조용히 웃고 있을 뿐이다.

n  진짜 우리의 상대는?

이제 숨어 있고 잘 알려져 있지 않은 조금 더 수준 높은 자들의 형태를 살펴보자. 공격자들의 역량은 위급상황에 언제든지 태세를 전환하여 큰 피해를 입힐 수 있다는 점을 우리는 농협사태에서 충분히 느낄수 있다. 이면을 살펴 보도록 하자. 먼저 지금까지 공개된바 없는 데이터를 제시한다.

< 공격자들이 인위적으로 웹서비스에 추가한 악성코드 다운로드 경로 및 발견일시>

올해초 부터 국내 사이트를 통해 대규모로 사용자에게 악성코드를 유포하는데 이용된 경유지들의일부이다. 특히 파일공유 사이트 및 주요 서비스들의 웹서비스 소스를 수정하여 인위적인 외부경로를 추가함으로써 웹서비스 방문자에게 악성코드를 설치하도록 하는데 이용된 주소들이며 최근의 어도비의 플래쉬 플레이어 업데이트가 잦은 이유도 바로 이 주소들로 부터 사용자들에게 설치되는 악성코드들이 거의 제로데이에 해당되는 수준으로 사용자 PC 대부분에 (맥 제외) 설치된 어도비  플래쉬 플레이어를 공격했기 때문이기도 하다.

< 공격 및 감염에 대한 개요도>

최근 공격자들의 공격 방식을 보면 국내의 경우 개별 사이트의 해킹을 통한 정보유출은 사실상 종료 되었다고 봐야 한다. 물론 여전히 발생되고 있고 중요정보를 얻기 위한 수단으로 이용이 되고 있으나 현재는 더 큰 범위로 진화를 했다고 보아야 할 것이다. 개별 사이트가 아닌 동시에 수십여개 이상의 웹서비스에 동일한 악성코드 서버링크를 추가하고 모든 방문자들에게 악성코드 감염을 시도한다. 현재 공격코드의 특성(플래쉬 플레이어 공격)으로 보면 개인 PC에 대한 권한 획득 비율은 50% 이상은 넘을 것으로 예상이 된다. 파일공유 사이트 및 언론사, 커뮤니티 사이트등 수십여개의 주요 사이트들에 대해 공격코드를 가지고 있는 주소를 웹소스에 추가함으로써 자연스럽게 좀비 PC를 확산 시키고 있다.

현재까지 공격자들의 목적은 오로지 금전적인 이득이다. 규모와 전략적 차원에서도 비교하기 어려운데 더군다나 국제적이기까지 하다. 악성코드를 뿌리기 위한 수단으로는 국내의 주요 웹서비스를 이용하고 유포하는 주소는 미국의 ISP를 휩쓸다시피한다. 올해 초 부터 관찰되는 데이터에서도 공격자들의 강력함은 여실히 느낄 수 있다. 현재 미국은 정체파악도 못한 상태로 보인다.

사용자들에게 악성코드를 뿌리기 위한 수단 : 파일공유, 언론, 커뮤니티외 다수 웹서비스

웹서비스 소스에 추가하는 악성코드 다운로드경로: 해외 ISP 및 국내의 취약한 웹서비스

단 하루만에 수십에서 수백여개의 웹서비스를 통해 몇십만대의 PC의 권한을 획득 하고 있는 이들이야 말로 진짜 상대가 아닐까? 해외 ISP를 통채로 이용하는 이들에 비하면 룰즈섹은 피래미가 아닐까? 어쩌면 이것도 빙산의 일각일 수 있다. 우리가 위급한 상황에 처했을때 진정으로 상대해야 할 자들중 일부가 지금은 잠시 돈벌이를 할 뿐이 아닐까? 전 세계는 지금 이들의 정체 조차도 잘 모르고 있는 상황이다. 앞으로 “위기의 인터넷”은 더 심각한 국면에 직면 할 것이다. 당신이 어디를 방문하든 그들은 지켜보고 있다. 농협사태의 단초가 이들로 부터 시작 했음을 잊지 마라.

–바다란 세상 가장 낮은 곳의 또 다른 이름

전자기기와 엔터테인먼트 산업의 거인이던 소니는 그 각 산업의 결과물을 결집 하였고 거대한 네트워크를 형성 하였다. 무너지지 않는 성처럼 보이던 거인의 보금자리는 단 한번의 손짓에 완전히 무너지는 과정에 접어 들었다.

무려 7500만에 달하는 전 세계 사용자의 정보와 신용카드 정보의 유출은 앞으로의 미래를 예측 할 수 없는 어둠으로 밀어 넣었으며 어쩌면 소니의 재기를 꿈꾸던 산업은 앞으로 더 험난하고 어두운 미래속으로 진입을 한 것이다. 단 하나의 뛰어난 해킹 그룹에 의해 무너졌다고 보기는 어렵다. 그 어떤 누군가에 의해서도 당할 수 밖에 없는 취약한 부분이 있었고 그 부분은 이제 거인의 무릎을 꿇게 하고 있다. 일인당 피해 배상 금액의 한도를 100만 달러 (11억)으로 책정한 소니의 사건은 경우에 따라 한 거대기업의 몰락을 직접적으로 볼 수 있게 할 것이다.

나뭇잎이 붙은 단 하나의 지점이 치명적인 약점으로 작용한 아킬레스의 건처럼 거인의 온 몸은 튼튼하고 강했지만 사소한 작은 부분 하나가 내부의 혈관을 멈추게 한다. 지금의 기술적 보안의 현실과 다르지 않다. 정문만을 철저하게 보호하고 지키는 것은 당연히 공격자들을 우회하게끔 만들고 그 우회의 결과는 모든 노출 부분이 일정 수준 이상을 항상 유지 하지 않으면 언제든 치명적인 결과를 초래함을 목격하고 있다.

n  위험의 시작

The register에서 언급된 소니의 해명기사를 보면 사건의 전말을 유추 할 수 있다.

Sony: 'PSN attacker exploited known vulnerability'

Sony’s Shinji Hasejima, Sony’s CIO, told Sony’s apologetic news conference that the attack was based on a “known vulnerability” in the non-specified Web application server platform used in the PSN. However, he declined to stipulate what platform/s were used or what vulnerability was exploited, on the basis that disclosure might expose other users to attack.

Hasejima conceded that Sony management had not been aware of the vulnerability that was exploited, and said it is in response to this that the company has established a new executive-level security position, that of chief information security officer, “to improve and enhance such aspects”.

The Register http://www.theregister.co.uk/2011/05/01/psn_service_restoration/

<소니의 해명 기자회견 장에서 공개된 침입 개요도 – 근본은 달라지지 않는다.>

PSN과 연결된 네트워크 영역에 위치한 웹서버가 알려진 공격에 의해 권한을 획득 당했음을 알 수 있다. 일반적은 웹서비스들은 데이터베이스 서버와 연동하여 정보를 웹페이지에 표시를 한다. 즉 웹서비스들은 데이터베이스와 연결 할 수 있는 권한을 가지고 있으며 만약 외부에 노출되어 서비스를 하고 있는 웹서비스가 해킹을 당한다면 이것은 데이터베이스의 정보도 반드시 외부로 유출 될 수 밖에 없다는 점을 의미한다. 소니에게 일어난 최악의 정보유출 사고는 그들의 관리영역 아래에 있는 웹서비스들중 어쩌면 중요도가 떨어지는 서비스가 직접적인 공격을 받고 권한을 이용해 데이터베이스의 전체 내용을 유출한 것이라고 보아야 할 것이다.

n  시나리오의 재구성

PSN ( Play Station Network) 영역에 대한 공격을 기반으로 간략하게 도식화한 침입 과정과 경로는 다음과 같이 예상 할 수 있다.

그림상에 나오는 1,2,3의 순서대로 되었을 것이고 동일 데이터베이스에서 연동되는 형태 였다면 2,3은 같이 묶이는 형태가 될 것이다. 외부에 노출된 서비스 영역에 존재하는 모든 웹서비스를 일정 수준이상 유지를 해야 위험성을 예방 할 수 있지만 개편이 진행 중이거나 통합이 진행중인 상황에서 개발보다 시간이 오래 걸릴 수 있는 보안점검은 오히려 장애물이 될 뿐이였을 것이다.

보안규정을 준수하고 모든 보안장비를 설치한다고 하여도 문제의 근원을 제거하지 못한다면 소용이 없다.  보안진단을 꾸준히 받고 많은 비용을 들여 컨설팅을 받는다 하여도 상시적인 수정과 개편이 일상화된 웹서비스에서는 안정성을 계속해서 보장 받는다는 것은 현실적으로 불가능하다.

거대기업이든 보안적인 역량이 충분한 기업이든 현재 상태에서는 안정성을 보장하기가 어렵다.

모든 외부 노출 부분에 대해 상시적인 진단과 문제점을 확인 할 수 있는 과정은 아직 출현하지 않았기 때문이며 그만큼 공격자들의 우위는 보다 높은 곳에 있다. 지켜야 할 곳은 많고 잠시의 여유와 한가로움은 치명적인 결과로 돌아오기에 지키는 자들도 힘든 과정에 돌입해 있다.

n  무엇이 문제인가?

간단하게 말해서 소니의 몰락은 아주 작은 부분에서 부터 시작이 되었으며 그 과정에 며칠이 걸리지도 않았다. 위험으로 부터 보호하기 위한 단계별 조치들은 모두 이루어 졌다 하여도 지켜야 할 범위의 광범위함과 끊임없는 변화 ( 웹서비스의 개편)는 수시로 공격자들에게 기회를 준다. 아주 오래전 부터 알려진 공격이 가능한 문제들이지만 지금의 공격자들은 이미 자동화된 공격도구로 모든 범위를 호시탐탐 노리고 있다. 문제의 수정을 위해서 다양한 도구와 전문성 있는 진단 도구를 활용하여도 전체 범위를 수시로 커버하지 못하는한 문제 해결은 요원한 길이다.

모든 개발자를 교육 시키는 것도 어려우며 모든 범위를 안전하게 보호하는 것도 어렵다. 대체 무엇을 할 수 있을 것인가? 소니의 공격 사례는 현대캐피탈의 해킹 이슈와 다른점이 하나도 없다. 국내는 해외든 여기에서 안전할 기업이 있을까? 목표가 되면 거기가 끝이 된다.

아킬레스의 생존을 위해서는 온 몸의 구석구석을 일정수준 이상 유지 할 수 있는 실효적인 서비스와 이상 부분을 가장 빠르고 단기간에 확인 할 수 있도록 체계를 유지 하지 않으면 내일의 희생자는 바로 자신이 될 수 밖에 없다. 소니의 몰락을 잊지마라.

웹서비스 보안과 관련 하여서는 http://p4ssion.com/241 컬럼을 참고하고 필요 부분에 대해서는 2008년에 작성한 Mass sql injection 대응과 현실이라는 컬럼 (http://p4ssion.com/200)의 내용을 참고 하면 무엇이 필요한지에 대해서 인지 할 수 있다.

이미 오래전 예상 되었던 것들이 현실화 된것에 지나지 않으며 국내는 물론이고 전 세계적으로 대응이 되지 않아 앞으로도 오랜기간 유사한 기사와 사례를 다수 접하게 될 것이다. 그때마다 인터넷은 위기의 상황에서 어둠 속의 파도타기를 계속 하게 될 것이다.  – 바다란

지디넷 컬럼 기고본입니다. 2011.5

일반적으로 마이너리티 리포트라고 하면 톰크루즈 주연의 영화를 떠올리게 마련이다. 
범죄가 일어나기 전 범죄를 예측해 범죄자를 단죄하는 최첨단 치안 시스템이 언급된 영화로 알고 있다.

전체적으로는 진실로 통용되는 치안시스템의 예지와 무시되는 소수의 진실을 예견하는 의견의 충돌로 훼손되는 한 개인의 가치를 조명하고 회복하는 과정을 나타내고 있는 영화라 할 수 있다.

지금의 상황에서의 마이너리티 리포트에 대한 이야기를 꺼내는 것은 무한한 신뢰가 부여한 시스템이 깨어질때의 충격들이 있는 지금의 시점이 적합한 시점이라 보기 때문이다.

가려진 눈속에서 볼려고 하는 진실은 어디에 있고 무엇을 말하고자 하는 것인지 또 지금과 같은 위기의 인터넷 상황에서 소수의 의견은 무엇인지 알아 보도록 하자.

 본 컬럼에서는 물론 영화 이야기를 하고자 하는 것이 아니다. 현재의 IT 서비스의 위험 상황에 대해 좀 더 치열하고 전문적이며 문제의 근본이 무엇인가에 대해 정확한 이야기들이 없어 소수의견이 때론 진실에 가까울수 있다는 점을 빌리고 싶을 뿐이다. 보안전문가는 무엇이고 해커는 또 무엇인가?

 보안전문가라는 업종은 보안전문가와 보안관리자의 차이라는 컬럼(http://p4ssion.com/231) 에서 상세하게 구분을 한 적이 있다. 전문가의 관점에서 바라보는 지금의 여러 보안 이슈들은 분명히 가쉽거리와는 다른 관점에서 바라볼 것을 이야기 한다.
 해킹사고가 빈발하고 이제는 왠만큼 큰 이슈가 아니면 화제거리에도 오르지 못하는 상황에서 언론에 기사화 된 많은 내용들은 실제 인과관계와 상당히 다른 관점의 이야기들을 많이 하고 있다. 정확한 의견과 그 의견에 기반한 문제점을 해결하는 과정을 통해 만들어야 될 많은 가치들이 있음에도 그릇된 길과 방향으로 목표를 설정하게 되면 한참 틀어지게 마련이다.

 지금의 시점이 틀어지기 직전의 시점이라고 보인다.

사설 IP ( Private area)는 안전한가?

일반적으로 내부에서 구축하는 인터넷 환경을 인트라넷이라 부른다. 외부에서는 접근할 수 없는 영역이고 안전하다고 알려져 있다. 접근이 되지 않는데 어떤 침입을 받을 수 있겠는가? 대부분의 전문가가 아니거나 실무자가 아닌 많은 사람들은 외부자가 접근 할 수 없는 영역의 데이터가 유출 되었다고 할때 의심을 가진다. 내부자가 공모하여 내부로 들어 올 수 있도록 만들지는 않았을까? 아니면 정보가 공개적으로 바깥에 나와 있지는 않았을까? 하는 등등..

실상은 내부에 있는 모든 정보들도 외부와 연결을 하거나 연동을 하는 지점이 반드시 존재하고 연동이 되어야만 가치를 지니는 정보들이 대부분이라 연결이 될 수 밖에 없는 것이 사실이다.
이 연결 되는 지점의 대부분은 일반적으로 웹 서비스에서 맡고 있으며 대부분의 중요 데이터들은 내부에 있는 데이터베이스 서버에 보관 되곤 한다. 웹 서비스는 그럼 무었일까? 외부에도 공개되어 있으며 내부의 인트라넷 영역에도 접근이 가능한 지점에 위치하는 웹 서비스 및 대외 서비스들이 위치한 영역을 DMZ 영역이라 부른다. 이 영역에 있는 대부분의 서비스들은 IP 주소를 두가지를 가지게 된다. 외부에서 연결이 가능한 외부 IP 주소와 내부로 연결을 하기 위한 IP 주소를 가지게 된다. 외부 IP라는 것은 인터넷으로 연결이 가능하고 단일하고 유일한 주소를 인터넷 상에서 가지게 됨을 의미한다. 내부 IP는 인위적으로 내부 통신 연결을 위해 사용한 것으로 회사로 따지면 회사내의 주소 체계에서만 유일성이 보장되면 된다.

내부에서만 은밀하게 (?) 공유가 되고 접근 할 수 있다고 하는 정보들은 사실상 외부와 연결된 통로를 항상 지니게 되고 더 이상 은밀하다고 볼 수가 없다. 현대캐피탈과 소니 해킹의 사례가 증명을 한다. 설마 고객정보와 신용카드 정보등을 외부 인터넷에 올려두고 공유하였겠는가? ..

외부에서 직접 접근이 가능한 내부 IP는 없으며 인터넷상의 직접적인 공격으로 부터 보호된다 할 수 있다. 공격자들은 내부 정보를 빼내어 가기 위해 내부의 정보와 연결된 지점을 공격하여 내부로 들어가는 통로를 확보한다.

 정확하게는 웹서비스를 직접 공격하여 (외부 IP 및 내부 사설 IP를 동시에 가지는 웹서비스) 권한을 획득하고 웹서비스의 상태를 이용하여 내부망으로 직접 공격이 가능해 진다. 내부에 존재하는 데이터베이스의 정보를 빼내어 가는 것은 웹 서비스상에 내부 영역의 데이터베이스와 통신을 하고 데이터를 빼내어 웹서비스를 통해 사용자에게 제공하는 부분이 있기 때문에 가능한 것이다.

결론적으로 웹서비스를 공격하게 되면 웹 서비스와 연결된 데이테베이스는 그것이 어디에 있든 직접적인 피해를 입게 되고 거점으로 삼게 되면 더 은밀한 정보들이 저장된 곳에도 접근 할 수 있는 거점이 된다는 것이다. 웹서비스에 대한 해킹과 악성코드 유포지로 사용되는 웹 서비스들은 이미 데이터베이스에 대한 제어권을 상실 했다는 의미와도 동일한 것이다.

방화벽은 데이터를 보호하는가?

항상 내부의 데이터를 보호 한다는 것을 강조하기 위해 몇중의 방화벽으로 데이터가 보호 되고 있다는 언급을 많이 쓴다. 여기에서 몇단계의 수치가 높을 수록 보호되는 강도가 높다고 인식하는 경향이 있는데 전부 오해다.

방화벽의 역할상으로 보면 접근제어 이외에는 전혀 역할을 할 수가 없다. 접근제어라는 것은 접근이 가능한 서비스나 특정 IP 에서만 접근이 가능하도록 통제하는 역할을 수행하는데 앞서 언급 했던 웹서비스의 역할은 데이터베이스와 연결하여 정보를 서비스를 통해 대외에 표시하는 역할이다. 방화벽에서도 웹서비스와 데이터베이스의 연결은 차단 할 수가 없다. 데이터베이스와 웹서비스를 연결하는 지점을 방화벽에서 막을 경우 정상 서비스는 될 수가 없는 것이다. 정상서비스를 한다는 의미는 웹서비스에 대한 공격과 권한 획득을 통해 데이터베이스에 대한 접근까지도 손쉽게 이루어 진다는 것이다.

데이터베이스의 암호화에 대해서 언급을 한다.

저장 되는 값들을 암호화 한다는 것은 공격자를 한번쯤 더 귀찮게 하는 것일뿐 그것은 절대 장애물이 될 수 없다. 앞서 언급 했듯이 웹서비스의 권한을 획득한다는 것은 모든 권한을 다 가지고 있는 것과 마찬가지이다. 데이터베이스에 암호화된 값들이 들어 있다 하여도 이 모든 값들을 비교하고 정상값 유무를 확인 하는 것은 모두 웹서비스의 코드에서 담당을 하고 있다. 공격자는 이미 웹서비스의 모든 권한을 가지고 있다. 과연 이게 장애물이고 보호 대책이 될 수 있을까? 황당한 이야기일 뿐이다.

 내부IP를 가지는 것도 또한 암호화도 데이터베이스 앞의 방화벽도 보호의 의미가 완전하지 않음을 앞서 설명 하였다.  데이터베이스의 기능제한을 위한 모든 것들도 조회 ( Select  구문) 구문을 막을 수는 없다. 단지 삭제와 테이블 변경 정도의 치명적인 문제들에 대해 일부 제한을 할 수 있을뿐이다.

 
 내부에 있는 정보를 지키기 위해서는 외부에 노출된 모든 서비스를 안전하게 유지 하여야 하나 항상 일정수준 이상을 유지하는 것은 서비스 종류가 많을 수록 불가능 할 수 밖에 없다.
예산이 많고 가용한 전문인력이 많아도 항상 한계에 부딪힐 수 밖에 없도록 되어 있다. 기존의 보안기술의 관점에서는 항상 한계를 가질 수 밖에 없을 것이다.

문제 해결을 위해서는 전체의 안정성을 일정수준 이상 올려야 하며 대상은 모든 대외 노출 서비스가 되어야만 한다. 날로 발전하는 공격기술의 수준을 따라가면 모든 서비스의 수준을 높이고 꾸준한 관리가 된다는 것은 병적인 집착과 집요함이 없이는 어렵다.  한 분야만을 깊게 공격하는 공격자들로 부터 모든 범위를 지키기 위해서는 지금과는 다른 관점의 논의가 필요하고 서비스의 패러다임이 필요한 때라 할 수 있다.

무엇을 해야 하는가?

2007년 11월쯤에 “IT 서비스의 현재 위험과 향후 대응에 대하여” 라는 종합 문서를 작성한 적이 있다. (http://p4ssion.com/199 ) 이미 4년전에 제시한 내용이나 현재까지도 제대로 이루어진 케이스는 없다. 국가전체, 산업 전체적인 대응방향을 제시 하였으나 이 부분을 내부로 한정하여 특정 조직 및 기업에 적용하는 것도 문제가 없을 것이다. 2007년에도 앞으로 문제는 심각해 질 것이라고 예상을 했었고 준비가 필요하다고 했었지만 과연 지금껏 무엇을 했는지? 또한 진지한 고민이라도 한번 있었는지 의문스럽다.

 지금 당장의 대책 부분도 단기간에 보안장비를 도입하고 인력을 뽑고 팀을 운영하고 외부에 컨설팅을 맡기는 것이 대부분이 되겠지만 실질적인 문제의 근본과 문제지점을 모르는 상태에서는 문제는 계속 될 뿐이다. 소니가 돈이 없고 인력이 없어서 당했을까? 일반적으로 잘 알려진 문제라 할지라도 전체의 서비스에 대한 상시적으로 관리하는 것은 현재 상태에서 불가능 하기 때문에 공격자들에게 계속적으로 당하는 것이다.  앞으로도 계속 그럴 수 밖에 없을 것이고..

무엇보다 지금 공격을 당하고 피해를 입는 원인에 대한 정확한 이해가 필요하고 그에 따른 해결책을 찾아 적용 하는 것이 최우선이다. 지금의 상황은 원인에 대한 정확한 이해가 선행 되지 않은 상태라고 필자는 보고 있다.

위험이 극에 달할 시점을 예상하여 개인적으로 몇 가지 준비한 기술적인 해결책과 방안이 있으며 앞으로의 컬럼에서 직접 언급을 하도록 하겠다.

-       바다란 세상 가장 낮은 곳의 또 다른 이름

정보보호 21에 기고한 컬럼 입니다. - p4ssion@gmail.com

지금의 시대는 속도를 따라가기 어려울 정도로 빠르게 변화하고 있다. 특히 IT기업의 CEO라면 알아야 될 기술의 종류와 표준, 변화는 크고 다양해서 따라가기가 힘겨울 정도다. 아이폰으로 촉발된 모바일 접속환경의 변화와 생활의 변화는 소셜 네트워크에 강력한 힘을 실어주고 있다. 접속환경의 변화는 서비스를 변화시키고 서비스의 변화는 국외뿐 아니라 국내에서도 기업환경에 많은 변화를 가져오고 있다. 이 현상은 점차 더 심화될 것이다.

환경의 변화를 살펴보고 향후 미래의 경영환경을 예측하는 것은 CEO들에게 가장 중요한 숙제이자 과제이다. 간략하게 살펴보면 IT기기의 변화와 사용 형태의 변화는 향후의 환경이 다양한 단말기기로부터 정보를 획득하고 재생산되며 부분적으로는 기업의 고용형태를 변화시킬 수도 있다.

역동적으로 변화해가는 환경에서 기존의 보안이라는 개념은 상당히 협소적인 의미에만 지금껏 머물러 있었다. 일반적으로 보안이라고 여겼을 때 바이러스나 직접적인 해킹만을 염두에 두고 보안장비나 소프트웨어를 구매하고 설치를 하였다. 또한 법제화된 법안 준수를 위해 다양한 종류의 인증을 받거나 추진하는 형태가 일반적 이였다.

위협은 시간이 지날수록 변화해 가고 진화해 가는데 대응방식은 여전히 오래 전의 개념에 머물러 있는 것이 사실이다. CEO가 알아야 할 기본적인 보안상식 혹은 지식은 변화된 환경에 맞추어서 달라져야 하며 경영환경의 변화에 따라 충분히 역동적 이여야 한다.

기본적인 보안도구들은 그 기본에 충실한 역할을 할 뿐이다. 글로벌 환경에서의 다국적기업들의 변화를 살펴보면 특히 IT기업의 경우 핵심 부분에 보안이라는 역할을 포함 시키는 환경을 쉽게 관찰 할 수 있다. 8월에 있었던 인텔의 맥아피 인수는 향후 환경의 변화를 살짝 엿볼 수 있다. 또한 구글, MS, 어도비와 같은 글로벌 IT기업들은 내부적으로 보안기술의 획득과 역량을 확보하기 위해 다양한 노력을 하고 있다.

왜 그들은 기본적인 보안으로도 충분 하게 여기지 않고 더 많은 역량확보를 하기 위해 노력을 하고 있을까? 환경의 변화에 따라 시스템에 대한 직접적인 공격은 감소하고 있고 표면적으로 심각하게 드러나지 않고 있다. 그러나 구글의 검색서비스를 이용한 자동화된 해킹기법과 어도비의 PDF나 Flash의 취약성을 이용한 공격, MS의 운영체제 혹은 어플리케이션에 대한 공격을 통해 사용자에 대한 위협은 실제화 되고 있다.

공격 기술의 변화는 이제 서비스를 직접 공격하거나 서비스의 구조를 이용한 공격으로 상당부분 전이가 되고 있다. 서비스를 보호하지 않는 기업의 제품이나 서비스들은 지속적으로 사라질 수 밖에 없다. 위험성이 있는 소프트웨어나 서비스는 이제 사용자에게 직접적인 영향을 미치고 그 결과는 서비스의 존폐에도 영향을 미치기 때문이다.

현재의 글로벌 IT기업들의 움직임은 단순히 보안을 개별 요소기술로 보는 것이 아니라 전체 서비스의 경쟁력을 확보하기 위한 필수적인 요소로서 활용을 하고 있는 것이다. 보안에 대한 많은 노력들은 실제로는 서비스를 보호하기 위해서는 내부의 구조를 강하게 만들거나 다양한 취약성이 존재하고 있는 서비스나 제품을 즉시적으로 또는 상시적으로 보완을 해야 하고 보호조치를 취해야 하기 때문이다. 그래야만 경쟁력을 가지기 때문에 노력하는 것이다.

단순히 장비의 성능으로 경쟁에서 이길 수 없다. 보다 더 중요한 것은 플랫폼이고 서비스이다. 앞으로의 환경 변화도 플랫폼과 서비스에서 촉발이 될 것이고 여기에서 주도권을 가지는 기업이 앞서나가게 될 것이다. 이 주도권을 쥐게 해주는 핵심 부분은 아이디어와 혁신성 이외에 보안에서 판가름 나게 될 수 밖에 없다. 폐쇄적인 환경에서 개방적인 환경으로 전환되는 과정은 서비스의 도움 없이는 어렵다. 국내의 IT기업 및 서비스를 하는 기업이라면 이 점을 염두에 두어야만 한다.

위험은 이제 기본적인 보안 위협 (바이러스, 웜, 직접해킹)을 포함하면서 더 나아간 서비스 구조에 대한 공격으로 진화되어 있다. 단순한 보안장비로서는 이제 대응이 어려운 측면에 진입한 것이다. 백신에 탐지되지 않는 악성코드들과 날마다 새롭게 쏟아지는 소프트웨어들의 취약성은 사용자의 정보를 빼내어간다. 종래에는 서비스의 훼손과 공격자의 이득창출을 위해 빼내간 정보들은 고스란히 활용이 된다. 이것을 보호하지 못하면 서비스의 신뢰도는 보장 받을 수 없으며 해외 진출은 언감생심일 수 밖에 없다.

CEO가 알아야 할 보안 지식은 변화의 인지로부터 시작되어야 하고 지금의 변화를 느낄 수 있어야 효과적일 수 밖에 없다. 현재의 환경의 변화를 간단히 정리해 보자.

1. 공격 형태의 변화 : 직접적인 해킹에서 사용자 정보를 유출하는 형태로 변화됨

2. 서비스에 대한 공격 증가: 유출한 정보를 이용한 서비스 공격이 늘어나고 있다.

3. 경쟁력 있는 서비스에는 보안적인 기능은 필수적이다.

4. 기존의 보안장비로 탐지 할 수 없는 신규 공격과 대규모 공격이 일상화 되어 있다.

5. 접속 환경의 변화에 따른 다양한 단말기기로부터의 공격 증가 예상

기업의 업무환경 변화도 기본적인 보안 지식이 없다면 황당한 일들은 언제나 발생하게 마련이다. 보안전문가들에게 자문을 구하거나 문제점을 확인하고 보완하지 않는다면 위협은 이제 일상적일 수 밖에 없다. 단순히 휴대폰으로 PC를 통제하거나 사내메일을 확인 하는 편리성을 강조한 방식들은 편리함이 증가한 만큼 위험도 그에 비례하여 늘어날 수 밖에 없다.

새로운 시대를 대비하거나 준비하기 위해서는 이제 진지한 고민이 있어야 하고 IT기업 혹은 IT 서비스를 기획하는 곳들은 성장하고 싶고 세계시장에 진출하고 싶다면 보안적인 기능에 많은 역할을 부여해야만 할 것이다. 품질관리 (Quality Assurance)는 단순히 하드웨어 제품에만 있는 절차가 아니며 서비스와 소프트웨어에도 필수적 이여야 한다. 특히 보안이 강화된 품질관리 (SQA – Secured Quality Assurance) 는 시대가 요구하는 과정이 될 것이다.

환경의 변화는 지금 보안적인 기능의 강화가 절실하게 요구됨을 말하고 있다. 또 그것이 경쟁력이 될 것임을 의미하고 있다. 9조원의 현금으로 맥아피를 인수한 인텔이 왜 그랬을까? 한번쯤 고민해야 할 주제가 아닐까 싶다.

- 바다란 세상 가장 낮은 곳의 또 다른 이름.

일상적으로 접속해 정보를 상호 소통을 하는 중요한 매개체로 자리잡은 웹서비스는 그만큼의 신뢰도를 가지고 있다고 할 수 있을까?

안전한 웹 서비스로 가는 길은 멀고도 험하다. 그러나 대부분이 쉽게 생각한다. 공격자들은 항상 그 빈틈을 노리고 끊임없이 공격한다. 일반 인터넷 사용자들은 자신의 아이디와 패스워드가 노출 되어 금전적인 손실이 발생 하거나 피해를 입었을 경우에만 민감하게 반응한다.

악성코드를 유포하는 링크들의 업데이트 현황 중 일부는 여기에서 (http://securedmz.com/reference.php) 확인이 가능하다. 이 링크도 일부분임을 기억하자. 공격자 몇 명에 의해 생성되는 링크일 뿐이다. 실제 규모는 휠씬 더 심각한 상황 일 수 밖에 없다. 드러난 것은 10% 미만이라고 본다. 또한 검색엔진에 나타나지 않는 세밀한 공격은 통계치의 밖에 있다.

단순한 일회성의 공격이 아니다. 공격자들은 새로운 공격코드를 몇 십 만대에 또 다시 넣을 필요 없이 단순하게 악성코드를 다운로드 받는 주소에 있는 악성코드만을 새로운 것으로 바꿈으로 영향력을 가지게 된다.

전 세계의 보안 관련된 회사들을 단지 2~3명 정도의 공격자가 손쉽게 농락 할 수 있는 상황이 된 것이다.

2. 검색엔진 및 리스트를 통해 Mass Sql Injection 공격을 자동으로 진행 하도록 하고 공격 성공 시에는 악성코드 유포 주소를 삽입한다. (소스코드에 링크 추가 또는 데이터베이스 테이블 내용 변경)

만약 백신 개발업체에서 대응 백신을 개발한다면 공격자들은 초기 b.js 안에 실행되거나 다운로드 되는 악성코드를 변경 한다.

싸움은 더 이상 신사의 싸움이 아니며 공개적인 영역까지 침범을 당하고 대응하기 어려운 상태에 빠져 있다. 공격은 광범위하고 폭넓게 퍼져 있다. 현재는 asp, aspx + Ms sql 에 대한 대규모 공격도구가 활성화된 상태이지만 다른 개발언어와 데이터베이스를 향한 도구도 이미 일반적이다. 대규모로 확산 되는 것은 시간 문제일 따름이다.

■각 대책 별 문제
 
전제: 웹 서비스는 잦은 사이트 개편과 갱신이 수시로 발생된다 이 모든 과정에서 보안적인 위험을 걸러낼 수 있어야 하나 현재 보안전문인력을 운영하고 상시적인 검사 프로세스를 갖춘 곳은 국내의 1% 미만의 업체만이 가능한 상태이다. 그 업체의 경우에도 전체 사이트 문제를 수시로 체크 할 수는 없는 상태이며 6개월 혹은 1년 단위로 전체 서비스를 검사하는 정기검진의 형태로만 진행 한다. 웹서비스의 잦은 개편과 갱신을 절대로 따라 갈 수 없는 상태가 된다.

2. 소스코드 검사: 시일이 오래 걸리며 전문적인 인력이나 전문업체의 도움을 받아야 됨. 비용과 시간의 문제가 발생됨.

4.12일의 ICAT 2007 워크샵에서 'Web 2.0 Security'라는 article로 발표를 하게 되었습니다. 아래의 내용은 그 발표자료의 골격을 구성하는 내용입니다. 발표 이후 발표자료를 올리도록 하겠습니다. 지금의 Web 2.0의 열풍과 변화에는 간과되고 있는 부분이 너무 많다는 것이 개인 소견입니다.

최근 UCC라 불리는 저작물에 대해서 여러 가지 문제가 발생 하고 있고 사용자 친화 환경의 변화에 따라 많은 위험요소들이 도출 되고 있습니다. 한번쯤 위험요소를 실례로 보고 대책과 대안은 무엇이 있는지 그리고 방향은 어떤 방향으로 가는 것이 맞는 지에 대해서 의견을 피력 하였습니다. 관련 내용 참고 하시면 될 것 같습니다.

UCC의 정의부터 다시 해야 할 것 같은데 사용자가 저작하는 모든 유형의 매개물을 UCC라 정의 할 수 있습니다. 사실상 Web2.0이라는 것은 현상을 정의 하기 위한 용어일 뿐입니다. 인터넷을 이용한 부분적인 정보 참고와 정보 획득의 수단으로서의 도구 측면의 접근이 이전 까지의 접근이라면 이제는 생활과 연결 되는 부분에 직접 영향을 미치는 단위까지 인터넷이 확장 되고 있습니다.

정확하게는 확장이 아니며 인터넷의 활용에 숙달이 된 사용자들이 생활 단위와 행동 양식까지도 깊숙하게 끌어 들이고 생활을 변화 시키고 그 변화의 중심에 인터넷이 존재하는 것이죠. 생활과 관련 이 있으니 이제는 IT 서비스 기업들도 직접적인 영향력을 지니게 됩니다. 조금의 시간이 더 지나게 되면  각 분야별로 눈에 보이게 되겠죠.

일반 TV를 예로 들면 오로지  3채널 뿐인 것에서   -> 케이블 TV , 위성방송 채널 등 다수의 채널 등장 -> 주문형 TV의 일반화로 볼 수 있습니다. 이 과정에 방송사들의 다시보기 서비스와 같은 것들은 또 밀려 나겠죠. 실시간으로 저장을 하고 사용자가 원하는 시간대에 보도록 할 수 있으니 말입니다.

Web2.0은 새로운 기술이 아니며 사용자의 참여를 통해 적극적으로 생활이 변화해 가는 과정의 일부를 지칭하는 용어일 뿐입니다. 패러다임의 전환기를 정의하기 위한 요소 명칭일 뿐인 거죠.

차후에 좀 더 개념에 대한 정리를 해보도록 하겠습니다. 지금은 보호 관점에서 생활에 밀접하게 연관되도록 서비스를 제공하고 활용하는 사용자와 기업 두 측면에서 필요한 것들이 무엇이 있을지 간략하게 정리 해 본 수준입니다.

실제 문제 사례 :

-        Myspace script 코드를 활용한 서비스 내의 사용자 정보의 유출과 전파

-        Yahoo Messenger를 통한 웜의 출현

-        Web 2.0 서비스 기업을 타켓팅화한 Application 취약성 공개의 일반화 [ XSS 등]

-        Youtube , Yahoo ,naver등의 동영상 저작권 및 국가간 규정에  따른 불법적인 동영상  [ 음란 , 폭력  등등 ] 을 통한 사회적인 파급효과 , 3.19일 야후 음란 동영상 게재로 인해 동영상 서비스의 일시 중단 시행.

-        동영상을 파일을 통한 악성코드 유포 [ ActiveX 설치 이외에 사용자 정보를 유출 하기 위한 Script 코드등 다수 해당] Flash , 이미지 파일을 통한 정보 유출

-         사용자 계정의 도용 [ 아바타 및 아이템의 분실, 강탈 증가]

-        부정확한 게시물을 통한 광고 [ 게시물 , 덧글 등]

-        광고를 하기 위한 목적 혹은 사용자 PC를 조정하기 위한 ActiveX [ 사회공학적인 해킹 부분]

-        악성코드의 문제 [ 사용자 접근성 확대에 따른 악성코드 노출 영역의 극대화]

-서비스 기업으로서의 보호:

UCC에 대한 보안성 검증 : 기술적인 보안성을 검증 하여야 함. 게시물에 포함된 악성코드 및 HTML을 허용하여 사용자의 자유도를 높이는 만큼 그 위험성 ( XSS 및 Code Running)에 대해서 보호 방안을 수립 하여야 함. 보호 방안으로서는 Filtering 메소드의 필수적인 환경 구축 및 활용이 필요.  

n   Filtering Method

u 개인정보 침해 관련 사안의 조정 – 댓글 ,게시글

u 악성코드 실행 부분 – 게시물 , HTML 파일 , Image , Flash , 동영상

u 악성코드 위험 요소 판별을 위한 자동 판별 시스템 도입 및 수작업에 의한 모니터링 필수 [ 모니터링 대상 항목 – 성인, 개인정보 침해 , 악성코드 설치 , 광고글 , 개인정보 유출 관련 실행 코드 , Virus , Worm ]

n    Platform 의 체계화

u Filtering 시스템에 대한 체계적인 구성

u 전체 사용자 입력에 대한 Filtering 구조의 수립

u 전문 보안인력에 의한 Filtering Rule의 추가 및 빠른 변화에 대한 대응 능력 재고 필요

u 사용자의 직접 입력 시에 빠른 모니터링이 안될 경우 기업 입장에서는 치명적인 문제에 노출 될 가능성 증대 됨

n    개인정보 보호 관련 대응 방안 수립 필요

u  개인정보 관련 이슈는 기술적 방안으로 최소화 시키는 것이 필요 . Filtering과 연계하여 구성 하는 것이 필요

u  개인 정보 오남용 관련된 모니터링 필수

u  개인정보 오남용시의 필수 대응 프로세스의 수립 – 고객센터부터 실 서비스 부서까지 빠른 대응 필요

n        Web service에 대한 기술적인 보호

u  보안성 검수 프로세스의 일반화 – 전문인력 및 보안 전문가 집단을 활용한 최신 취약성에 대한 검수 체제 수립

u  Web Service를 구성하는 최신 기술 동향에 대한 취약성 연구

u  Web 2.0의 요소 기술간의 정보 전달 부분의 암호화 및 외부 노출 최소화

u  비정상 행위 탐지를 위한 Anomaly Detection 부분의 구축

u  현재 당면한 SQL Injection 및 XSS [ Cross Site Scripting]에 대한 전면적인 대책 수립 이후의 프로세스화

u  서비스 보호를 위한 전문가 집단의 수시 활용 또는 전문가 집단의 보유 필수

u  사용자 ID/ Password에 대한 보호 방안 수립과 시행 [ ex : password의 단방향 암호화등 ]

n        사용자에 대한 Security awareness 강화

u  서비스 차원에서의 게시물에 대한 악성코드 , 위법성 여부에 대한 Awareness 강화

u  불법 악성코드 및 개인정보 유출 관련된 사용자에 대한 합리적인 처벌 방안 마련

u  보안상의 문제 해결을 위한 서비스 기업 차원의 정보 제공 확대 및 위험 여부 , 법적인 위배 사항에 대한 명확한 가이드 수립

-        사용자 관점에서의 보호

사용자 관점에서의 보호는Client 상에서의 Web 2.0관련된 일련의 기술 흐름에 대한 보호 대책을 언급 한다. 향후 발생 가능할 부분에 대한 Security Awareness 측면에서의 사용자 보호 방안

n   개인 PC 차원의 보호 방안 수립

u  메일 및 게시물의 링크 선택 시 접근에 유의

u  첨부 파일등에 의한 바이러스, 웜등의 감염 주의

u  AV 백신 및 각 운영 체제별 보안패치 및 설정

u  ActiveX 의 시스템 설치 제한 및 확인

u  주기적인 보안설정 검사 [ AV 체크 , 보안설정 체크 ]

n   사용자 정보 보호

u  주기적인 패스워드의 변경

u  사이트별 분류에 따른 등급 관리 및 ID / 패스워드의 분리 활용

u  사이트 가입시의 보안 등급의 확인 [ 일정 수준 이상의 정보보호 수준을 인증 – 기존의 안전진단 및 보안컨설팅 , ISMS 인증 등에 네트워크 보안 및 ID/PASS 보호 방안에 대한 확인 이후 일정수준의 등급 부여 필요]

u  정부기관 및 신뢰된 사이트로부터 배포되는 보안 솔루션에 대한 선별 설치 필요 [ 키보드 보안 , 보안패치 , AV 솔루션 등등]

위와 같이 정리가 됩니다.  거칠게 정리한 내용이며 필요한 항목에 대해서만 기술이 되어 있습니다. 어느 정도 단계에 이르면 보다 체계적이고 다양한 방면으로 정리가 될 것 같습니다.

의견 있으신 분들은 적극적으로 의견 주세요.

좋은 하루 되세요.

안녕하세요. 바다란입니다.

어제 못다한 이야기들을 연이어 써보도록 하겠습니다.

먼저 오늘자 기사를 보다보니 트로이 목마 증가라는 기사가 나오고 있습니다. 한번 읽어 보시면 좋을 것 같습니다.

http://news.naver.com/news/read.php?mode=LSS2D&office_id=029&article_id=0000161964&section_id=105&section_id2=283&menu_id=105

* 인터넷 뱅킹의 공인인증서 적용 부분에 대해서는 타 OS로도 확장이 되어야 한다는 점에 동감합니다. 그러나 현재 적용된 보호를 위한 ActiveX 프로그램에 대해서는 일반적인 ActiveX를 통한 폐해의 관점에서 보기는 어렵다고 생각합니다.

자유이용에 대한 권리와 현재 포스트에 기술하고 있는 ActiveX 전체의 무용론에 대한 시각은 다른 시각입니다.

일단 저는 개발과 관련된 업종에 있지도 않으며 해당 프로그램들과의 이해관계가 전혀 없다는 사실을 명확하게 하는게 좋겠습니다. 미리 설명을 드려야  객관적인 시각으로 보는 것을 이해 하시지 않을까 생각 되네요. [ 블로그의 지난 글들을 읽어 보셔도 쉽게 아실 수 있습니다.]

Vista를 통한 기대효과?

자.. 지난 포스트에서는  대중성 확보를 통한 생활의 향상이라는 서론이 길었는데 지금의 위험 요소를 짚어볼 필요가 있을 것 같습니다. Vista의 사용자 권한 제어 부분을 통하게 되면 지금과 같은 무변별한 ActiveX를 이용한 악성코드 및 스파이웨어 등이 대부분 줄어들게 됩니다. 악성코드에 감염이 되었거나 스파이웨어를 유포하는 사이트에 들어가도 Alert 창이 활성화 되며 경고를 하게 되겠죠. 따라서 사용자는 부지불식간에 시스템에 설치가 되는 스파이웨어 및 악성코드의 위험을 사전에 인지하게 되고 당연히 피해는 줄어들게 됩니다.

사용자의 관점과 서비스 제공자의 관점에서 볼 필요가 있는데 사용자의 관점에서는 위험요소가 줄어들게 됨에 따라 보다 더 안전하게 볼 수가 있을 것입니다. 그렇다면 Vista상에서는 어떤 것이 증가할까요?. 사용자의 선택을 흐리게 하기 위한 phishing 관련 공격이 매우 증가 할 것입니다. 즉 자동 설치가 되는 ActiveX의 유형은 줄어 들겠으나 프로그램 설치 형식으로 되어 있거나 페이지를 속여서 사용자의 정보를 입력케 하는 피싱 공격 유형이 대단히 많이 증가 할 것입니다.  [ 피싱에 대해서는 전세계 모든 회사가 피싱 관련 DB를 공유한다 해도 발견 속도보다 개설 및 제작 속도가 더욱 빨라서  감당이 어렵습니다.]

Vista 사용자를 제외한 하위 버전의 운영체제에 대한 공격은 지금까지와 동일하게 유지가 될 것입니다. 여전한 ActiveX를 이용한 스파이웨어 및 악성코드들이 있을 것입니다.

Secure Vista?

간단하게 검색하여 언론에 나타난 Vista의 취약성 관련 기사들 입니다.

http://www.msnbc.msn.com/id/16359568/

http://news.naver.com/news/read.php?mode=LSD&office_id=031&article_id=0000099401&section_id=105&menu_id=105

< Vista의 음성인식 부분의 보안결함에 대한 기사>

Vista라고 완전한 것은 아닙니다. 사용자 권한을 이용하려는 부분에 대해서 Alert이 뜬다는 점과 커널에 대해 Protection이 된다는 점에서 보안기능이 강화 되었으나 세상 어느 것이나 완전한 것은 없습니다. 지금 이 순간에도 Vista의 실제 하위 구성 부분까지 낱낱이 분석을 진행하는 공격 그룹들은 매우 많이 있습니다.

예전에는 취약성을 발견하면 벤더들에게 연락하여 취약성을 수정하는 패치 발표 이후에 취약성을 공개 하였으나 이제는 그 방향이 바뀌어 있습니다.  금전적인 이득을 목적으로 취약성을 발견하는 것이 대부분입니다. 더이상 로멘스는 없다는 이야기 입니다.

루마니아의 한 전문가가 발견된 Vista의 보안 취약성은 경매에서 5만불의 가치가 매겨졌으며 최근 외국의 보안 회사는 Vista의 취약성을 발견한 사람들에게 8000불 가량의 금전을 지불한 사실이 존재합니다.  빌게이츠는 Vista를 통해 그동안 MS에 덧씌워진 취약성과 문제의 온상이라는 굴레를 벗어나고 싶어하나 그리 쉽게 되지는 않을 것 같습니다.

Vista를 사용한다고 해서 보안패치가 나오지 않을 것 같습니까?. 현재의 논의대로라면 Vista상에는 보안패치가 나와서는 안됩니다. 그만큼 치명적인 문제는 없을테니깐요. 올해안에 Vista 운영체제에 대한 보안패치는 나옵니다. 그만큼 완벽한 솔루션은 없다고 단언할 수 있습니다. MS는 지난해 까지 많은 요소 보안 기술 회사들을 인수 하였습니다. [sysinternal 외에 Anti spyware 업체 , 소규모 백신 업체 ] 그리고 MS의 전략은 LiveOnecare 에서도 확인 할 수 있습니다. [ http://news.naver.com/news/read.php?mode=LSD&office_id=092&article_id=0000008770&section_id=105&menu_id=105 ]

즉 Vista상에서 발생하는 보안 이슈에 대해서는 MS에서만 처리가 가능하고 대응이 가능하도록 만들려는 전략이 그들의 방향입니다. 보안에 관련된 시장을 인식하고 이 부분에 대한 독점 체제도 유지 할려고 하고 있다는 것이 제가 보는 사견입니다.

만약 Vista에 심각한 결함이나 웜이 발생 되었다고 할때 이것에 대한 대응도 근본적으로는 MS에서만 처리가 가능하고 MS와 협력 구조를 형성한 몇몇 업체에만 권한이 부여 될 수 있을 것입니다. 그래서 시만텍이나 맥아피, 트렌드와 같은 대형 보안업체들이 반발하는 것일 수 있습니다. 이 중에 여타 중소 업체나 규모가 작은 틈새의 보안 업체들은 끼일 방안이 없습니다. 독점은 더욱 심각해지고 치명적인 부분의 대응도 손 놓고 기다릴 수 밖에 없는 상황이 올 수도 있습니다. 물론 제 상상이고 생각입니다.

환경의 다름과 변화

해외에서는 몇년 전 부터 지금까지 계속해서 피싱 관련된 이슈가 매우 많았습니다. 또한 국내는 해외의 상황과는 사뭇 다른 백도어 및 악성코드에 대한 공격이 매우 많았습니다. 왜 해외에서는 피싱이 유행을 하였을까요?. 발생 현황이 다른 것은 배경이 다른 점에 있습니다.

[ http://www.ciphertrust.com/resources/statistics/phishing.php  ] - 피싱에 대한 최근 통계 자료 입니다. 보시면 ebay,paypal에 대한 피싱 공격과 은행에 대한 공격 유형이 많은 것을 볼 수 있습니다. 과연 성공가능성이 없는데도 몇 년간 계속 이런 추세가 계속 되고 있을까요?

해외는 아직 주요한 금전거래의 직접적인 인터넷 거래 등이 활성화 되어 있지 않습니다. 활성화 된 부분에 대해서는 매우 집중된 공격이 이루어 지고 있습니다. 페이팔에 대한 직접적인 피싱및 Fraud는 높은 비율을 차지 하고 있는 것이 이 내용을 반증 합니다. 또한 신용카드에 대한 거래도 카드번호 , 기한을 입력하는 것으로 끝입니다. 그만큼 신용카드 정보의 유출은 큰 영향을 미치는 부분이라 할 수 있습니다. 또한 이런 사고로 인해 발생되는 정보도 통계치에 제대로 잡히지 않는 상황이라고 볼 수 있습니다. 그에 반해 우리는 어떤가요?

신용카드이든 뭐든 모든 거래에 인증서를 기반으로 합니다. 카드입력이 된다 하여도 인증서의 보유 및 인증서 비밀번호 입력을 넣어야 됩니다. 따라서 공격을 하는 사람들도 실제의 키 입력을 다 가로채어 간다고 해도 인증서 파일을 가지고 있어야만 금전적인 도용이 가능합니다.

*관련 내용은 블로그 게시물을 참조 하시면 좀 더 쉽게 이해가 될 것입니다.

  http://blog.naver.com/p4ssion/50013425045

2005년 부터 국내의 사이트에 대한 공격이 급증을 하였습니다. 그러나 해외의 공격과의 차이점을 보면 해외는 피싱을 하기 위한 사이트 유도 및 이메일에 대한 조작등이 많았으나 우리나라에는 유명 사이트에 대한 직접 공격 -> MS의 취약성을 통해 설치가 가능한 악성코드 배포 -> 사이트 방문자 모두에게 취약성에 노출 되었다면 감염 -> 사용자의 키입력 정보 유출  이런 유형으로 볼 수 있고 지금도 동일한 유형입니다. 해외의 사이트에서는 아직 유명 사이트 해킹 한 이후 특정 취약성을 통해 유포되는 악성코드는 그리 많이 찾을 수 없습니다. 왜 이렇게 되었을까요?  이 부분에 대한 대답은 나름대로 다음과 같이 할 수 있습니다.

금전적인 이득을 얻을 수 있는가? 라는 질문에 우리는 해당이 되고 해외는 해당이 안되기 때문입니다. 인터넷 사용자의 절반 이상이 온라인 게임을 하고 인터넷 뱅킹을 합니다. 그리고 금전적인 거래 관계가 온라인으로 상당부분 진행이 되고 있고 온라인 상의 생활이 많이 있습니다. 따라서 보호 방안을 가지는 것은 당연합니다.

대중성과 ActiveX의 관계

대중성을 확보하기 위해 빠른 인터넷 확산과 세계에서 사례가 없을 만큼의 빠른 실생활의  적용이 있었습니다. 그리고 이를 통한 근본적인 생활을 변화 시켰다고 할 수 있습니다. 근 10년내에 이루어진 대규모 패러다임의 전환이라 할 수 있습니다.

생활 환경이 변화됨에 따라 더욱 편한 것을 추구하는 사용자들은 인터넷 환경에 빠르게 접속이 되었으며 모두가 security에 대해서 몰라도 기본적인 사용법은 쉽게 접근 할 수 있도록 되어 있습니다. 위의 단락에 언급은 되었지만 모든 인터넷 사용자들이 보안 전문가가 아닙니다. 또한 지금의 위협은 보안전문가라 하더라도 악성코드 및 백도어들이 침입 하였을 경우 [ 감지 하는 것도 어렵습니다. ] 해당 악성코드를 제거 하거나 백도어를 제거 하는데 많은 시간과 노력이 필요합니다. 일반 사용자들은 어떨까요? 거의 대책 없다고 볼 수 있습니다.

 백신 및 보안 제품은 그래서 이용을 합니다. 그러나 모든 사용자들이 백신을 이용하지는 않으며 보안제품을 이용하지도 않습니다. 백신마다 각각 다른 탐지들이 있고 탐지가 안되는 경우도 있습니다. 따라서 공통적인 대응과 빠르고 일괄적인 대응이 필요한 부분이 있습니다.

대중적 편리성을 유지 하면서 문제점들도 해결 하기 위해 기본적인 보안대책들이 강구 되었다 할 수 있습니다.

금융 서비스를 제공하거나 사용자에게 중요한 컨텐츠를 지니고 있는 곳일 수록 사용자의 개인적인 피해가 누적이 되면 기업이나 서비스의 손실로 직접 연결이 됩니다. 사회적 통념이나 언론상 문제의 발생 기준을 개인에 두는 것이 아닌 기업이나 서비스 제공자에게 책임을 묻는 분위기가 지금까지 있어왔었기에 서비스를 제공하는 업체는 보안에 대한 대응을 할 수 밖에 없습니다.

연세 드신 어르신 부터 미취학 아동들까지도 현재 인터넷 환경을 이용하고 있습니다. 보안의 적용은 Active하게 진행하는 것이 필요하고 사실 필요 하였습니다.

키보드 입력을 가로채는 악성코드 [ 근 2년 동안에만 수천 종류가  발생 하였습니다. ]를 막기 위한 키보드 보안 솔루션  , 개인 사용자의 정보를 빼내어 가기 위한 프로세스가 활성화 되어 있는지 확인 하기 위한 온라인 백신 , 외부와 연결이 되어 있는 지 확인을 하기 위한 온라인 방화벽 등등.. 다양한 ActiveX들이 있습니다.

이 모든 기능들은 시스템 단위의 입력 및 정보 노출까지 찾아내고 제거 하여야 함으로서 시스템 권한이 필요합니다. 

대중적인 편리성을 기본 목적으로 삼고 서비스를 확대하고 활용 하였으나 그 부작용으로 악성코드 및 백도어들이 대폭 증가한 결과가 나오게 되었습니다. 그리고 폭넓게 퍼진 문제를 해결하기 위해 모든 사람이 백신이나 보안제품을 구매하지 않아도 거래를 안전하게 할 수 있도록 중요 거래 사이트나 컨텐츠가 있는 사이트의 경우 ActiveX를 활용한 보안 솔루션의 사용이 일반화 되어 있습니다.

1.25 대란은 보안패치가 되어 있지 않아서 발생된 부분입니다. 그 이후에도 보안패치는 개인 사용자 단위에서 거의 진행이 되지 않았습니다. 왜냐하면 귀찮아서 입니다. 사실이 그렇습니다.  2005년 부터 발생된 주된 악성코드 나 백도어의 침입 경로는 ActiveX가 아닌 MS의 주된 취약성을 공격하여 사용자 PC에 설치가 되었습니다. 주된 문제 발생 경로는 ActiveX가 아니라고 볼 수 있습니다. 물론 스파이웨어의 경우는 다릅니다. 지금은 정부기관이나 일정 레벨 이상의 컨텐츠를 보유한 사이트에서는 자동으로 보안 패치도 해주고 있습니다.  물론 ActiveX를 이용한 부분입니다.

White ActiveX와 Black ActiveX를 구분할 필요가 있으며 모든 ActiveX에 대해서 Anti한 입장을 가질 이유는 없다고 봅니다. 현재 우리가 처한 위협상황에 비하면 대응 수단은 거의 없다고 볼 수 있습니다.  보다 더 발전되었고 실험적인 상황을 진행 하고 있다보니 모든 첨단화된 공격들은 한국에 집중이 되고 있습니다. 일선에서 바라보면 세계 전체의 공격 동향과 비교 하였을때 전체적으로는 6개월 이상 정도는 공격 트렌드가 앞서고 있음을 확인 할 수 있습니다. 물론 세부 부분으로 들어가면 다를 수 있지만 최소한 개인 영역에 미치는 공격의 기술은 6개월 정도는 앞선다고 판단 됩니다. 

IT 강국이라는 트렌드 하에서 얻는 이점의 수면 아래에는 위와 같은 상황도 존재하고 있음을 아시는 것도 필요합니다.

Black ActiveX : 악의적인 행동 , 스파이웨어 , 무분별한 설치 유형등등

White ActiveX : 보안 강화를 위해 설치 되는 것들 , 방화벽 , Anti Virus , 보안 패치 등등

정리 하겠습니다. 계속 질질 끄는 것 같습니다.

현재의 인터넷 환경은 완전하게 안전한 이상적인 환경이 아닙니다. 그만큼 많은 문제들이 있고 실제 발생하고 있습니다.  따라서 대안책도 존재하여야만 하고 고려가 되어야만 합니다. 지금까지 발생된 악성코드의 절대 수치 및 기술적인 레벨로만 보아도 세계적인 수준에 해당하는 공격들이 많이 유입이 됩니다. 그만큼 서비스의 다양화와 활발한 온라인활동에 따른 위험도도 높습니다.

무분별한 ActiveX에 대한 비난도 옳지 않으며 표준 준수에 대한 논의도 반드시 정답이라고 볼 수는 없습니다. 상황에 따라 필요한 부분은 인정 해야만 합니다.

현재의 현상을 파악하고 배경을 분석한 다음 왜 이런 현상들이 벌어질 수 밖에 없었는지 고민이 되고 향후의 과제와 개선을 위한 점들은 어떤 것들이 있는가? 하는 긍정적인 고민을 해야 할때가 아닐런지요?

공인인증서의 타 운영체제 허용은 반드시 고민 되어야 되는 부분입니다. 그러나 ActiveX에 대한 부분도 인정 할 것은 인정 해야만 됩니다. 세계 그 어느나라에도 발달 되지 않았으나 유독 한국에서만 강력하게 발달된 부분이지만 환경에 특화된 발전으로 부분 긍정은 필요합니다.

대중의 보호를 위한 ActiveX도 존재하고 이득을 얻기 위한 악성코드 형의 ActiveX도 존재 합니다. 지금의 대중적인 환경이 빠르게 다른 운영체제로 넘어갈 가능성은 없습니다. 그렇다면 정확한 현상 파악을 하고 과제를 도출 하면 됩니다.  그것이 더 바람직하지 않을런지요? 그리고 대중적 편리성에도 부합을 하는 것일테구요.

전체적인 설명과 주요한 개요들을 일정 수준 적었으므로 대안은 보다 쉽게 나올 수 있을 것입니다. 방향성은 고민이 필요합니다. 제가 여기에 바로 적을 수 있는 그런 부분은 아닌 것 같습니다.  칼로 자르듯이 바로 그을 수 있는 부분이 아니기에 더더욱...

* 기반된 악성코드 유형 및 침해사고 유형등에 대해서 확인 하고 싶으시면 Blog에 올려진 자료들이 있으니 참고 하시면 됩니다.   추가 내용이 필요하다면 다시 포스팅 하도록 합니다. ^^

- 바다란 세상 가장 낮은 곳의 또 다른 이름 .. p4ssion

* 본 포스트는 왜 그렇게 밖에 할 수 없었는가에 대해 생각해본 내용입니다.

안녕하세요. 바다란입니다.

ActiveX에 대한 논란이 가열 되고 있습니다. 그러나 표준을 지켜야 한다..그리고 기술종속이다 라는 측면에서의 문제점 부각만 되고 있는 것 같습니다. slashdot을 비롯한 해외 블로그 포스팅들이 MS에만 집중화된 환경에 대해서 조롱하는 뉘앙스가 많이 보이고 있는데 조금 다른 시각에서 보도록 하겠습니다. [ 지난번 포스트에서 약속(?)한 ActiveX에 대한 글입니다.]

결론을 먼저 말씀 드리면  목적에 맞는 활용이 가장 중요한 부분이며 그러한 활용을 대한민국은 가장 효율적으로 활용 했다고 할 수 있습니다. 

Vista에서의 ActiveX가 왜 문제가 되는가 하는 부분은 보안적인 이슈가 가장 크다고 봅니다. 사실상 잘못된 인식의 오류가 Vista에서는 모든  ActiveX가 실행이 되지 않는다고 생각하는 점이 오류라고 볼 수 있습니다. ActiveX가 실행은 됩니다. 코드의 수정이 이루어 지면 충분히 가능합니다. 그러나 명확한 본질은  시스템의 권한을 이용하는 ActiveX의 사용에 문제가 있는 것입니다. 권한 문제는 보안의 문제라고 볼 수 있습니다.  왜 보안의 문제이고 왜 지금의 상황이 초래 되었는지에 대해서 이야기 해보겠습니다.

http://it.slashdot.org/article.pl?sid=07/01/26/1455224

http://www.kanai.net/weblog/archive/2007/01/26/00h53m55s#003095

위의 링크는 해외 이슈에 대한 블로그 및 의견 관련된 글입니다.

사견을  말씀 드리면 해외의 상황과 지금 우리의 상황은 다르다는 이야기를 드리고 싶습니다. 그리고 해외 언론이나 의견에 대해  일희일비할때는 충분히 지나지 않았는가 생각 됩니다.   

IT강국이라는 의미는 OS의 다양성에 대한 인정 보다는 IT라는 하나의 도구를 활용하여 얼마나 많은 생활에 접목을 시키고 활용을 하고 실생활을 낫게 만드느냐 하는 점에서 바라 보아야 한다고 생각 됩니다.

인터넷 뱅킹을 예를 들면.. 이제 더 이상 금전 납부 및 이체를 위해 은행을 방문 하지 않습니다. 분명히 생활상의 개선과 편리, 비용의 절감이 이루어 졌습니다. 뱅킹을 이용하기 위해 분명한 본인 확인이 필요했고 본인확인의 과정에서 공인인증서라는 것이 이루어 졌습니다. 이런 안전하다고 보장된 인증매개체를 통해 금전 거래가 이루어 지는 것입니다. 물론 정책상 특정 OS 및 특정 환경에 의존된 부분은 분명한 문제라고 여깁니다.

그렇다면 왜 특정 OS 및 특정 환경에 의존하게 되었을까요?. 이 부분은 지원 문제와 대중성 , 접근성 때문이라고 정의 할 수 있습니다.

MS의 시행착오도 많지만 가장 큰 성과는 컴퓨터라는 도구를 생활속에서 보다 친숙하고 쉽게 접근 하도록 운영체제를 만들었다는 것에 있습니다. 보다 뛰어난 운영체제는 지금껏 있어 왔으나 대중에게 접근이 쉬운 운영체제는 현재로서도 MS의 윈도우즈 플랫폼이 뛰어 나다고 봅니다. 프로그래머나 IT 관련 기반지식이 있는 사용자들에게는 리눅스 플랫폼이 더 뛰어나고 개방성이 있고 조율이 가능하나 모든 사용자에게 해당이 되는 것은 아닙니다.

http://news.naver.com/news/read.php?mode=LSD&office_id=034&article_id=0000346696&section_id=105&menu_id=105

[ 2.1일자 기사 입니다. 인터넷 인구는 3400만 이고 4~50대의 사용비가 증가 하였다고 합니다. 이런 사용비의 증가가 과연 대중성이 없는 운영체제 상에서 가능 하였겠습니까? 과연 리눅스로 이 정도의 대중성을 확보 하는 것이 가능 하였을까요?  ]

보다 쉽고 보다 접근이 쉬운 부분. 그 요소를 파악 했기 때문에 대중화가 이루어 진 것이고 한국의 발전 과정에서 보듯 IT 부분에서도 상당한 압축성장이 이루어 졌고 그 매개체는 대중화가 가능한가? 그리고 지원체제의 일원화를 통해 효과가 가장 큰 부분은 무엇인가에 역점을 두었습니다.  그래서 대중성이 높은 운영체제에 대한 지원체제 일원화가 이루어 진 것이죠.

90년대 후반 국내의 상황에서 기술의 깊이 보다는 대중성을 통한 적용 범위의 확대 -> 적절한 도구의 선택 [ 대중성 측면에서 MS 솔루션 선호] -> 지원의 집중 [ 이부분에서 다양한 경로를 차단한 것이 실책일 수도 있습니다.]  기반기술을 완벽하게 지닌 것도 아니고 그렇다고 투입 가능한 자원이 무한정인 것도 아니여서 지원에 대한 집중은 어쩔 수 없는 면도 있지 않았을까 생각 됩니다.

설명이 길었습니다.  정책에 대한 옹호도 아니며 발생된 상황에 대해 왜 그렇게 되었는지에 대해 설명을 하다보니 길어 졌습니다. 본래는 ActiveX , Vista ,보안은 어떤 관계인가에 대해서 설명을 하고자 하였는데... 

가장 큰 책임의 주체는 Web을 통한 Active한 컨텐츠의 표현과 기능 구현을 위해 고안된 ActiveX 의 많은 권한 허용입니다. MS의 사상적인 기반과 관련이 있겠지만 인터넷을 통해 모든 것이 가능하게 만드는 방향성과 관련이 밀접한 기반기술중 하나 였을 것입니다. 

그 다음은 특정 OS에 한정된 실행 한계의 설정이라고 할 수 있습니다. [ 이 부분은 지원의 집중 차원에서 초기에는 큰 방향에서 타당성이 있다고 보입니다. ]

 - to be continue..

*보안부분과 Vista , ActiveX에 대한 내용은 길어져서 글을 분리하여 다음 포스팅에 게시 하도록 하겠습니다. 인터넷 뱅킹 , 대중성 , 보안 이 이슈로 묶이는 포스트라 상황에 대한 설명이 필요 한 부분이라 적었습니다.

안녕하세요. 바다란입니다. -본문서는 2006년 9월에 작성한 내용입니다.

지난해에 중국발 해킹 대응 워크샵에서 발표한 자료입니다.

그때 당시에는 문서 공유가 많이 될 줄 알았는데 생각 보다 안되네요.

관련 내용중에서 중국발 해킹 내용 부분만 발췌하여 PDF로 컨버젼한 내용입니다.

지금도 여전히 유효한 부분들이여서 부분적으로 참고 하시면 될 것 같습니다.

본 블로그에도 올려 놓은 http://blog.naver.com/p4ssion/40015866029 게시물에 게시한 내용과 거의 동일합니다. 사실 지난해에 이런 내용들을 발표하고 난뒤에도 워크샵에만 발표를 하고 할 일을 다 했다는 생각을 가지곤 했습니다.

좀 더 적극적으로 하지 않으면 향후에도 여러 위협들이 계속 될 것으로 생각 되어 마인드를 바꾸기로 하였습니다. ^^;

SQL Injection 관련 문제 및 [ 각 Web App 스크립트에 모두 문제 있음 ] Validation check 부분이 강화 되어야만 문제가 해결이 됩니다. 흔적들 한번 찾아 보시고 DB 서버에 공격 유사 테이블이 존재 할 경우 Web Application에 대한 코딩 변경 및 탐지 정책들을 변경 하여 적용 하여야 합니다.

관련 문서 확인 하시고..최근 들어온 흔적 및 체크 내용등을 주시하여 대책에 도움이 되었으면 합니다. 근 1년 지난 시점에 올리게 되어 죄송 합니다.

Threat_of_china_v2_[sql_injection_,_Attack_method]-p4ssion.pdf

안녕하세요. 바다란입니다.

금년 5월 부터 유명 사이트에 대한 해킹들이 연이어져 왔습니다.

이 문제의 근본은 여러번 언급 하였지만 Validation Check가 되지 않은 불안전한 프로그래밍으로 인해 발생합니다. 즉 DB서버와 Web Server와는 서로 직접적인 연결이 되어 있습니다. ASP , ASPX , PHP , JSP 등등을 이용하여 DB와 직접 연결하는 구조입니다.

이 부분에서 Validation 체크가 안된다는 것은 DB에 쿼리를 실행하도록 웹서버상의 언어에서 인자를 입력할때 이 인자의 유효성에 대한 체크가 전혀 되지 않아서 문제가 됩니다.

' 문자나 And 문자를 웹 URL의 인자 각각의 값에 덧 붙여 넣었을 경우 500 Error가 발생하거나 Unclosed Quotation Mark와 같은 DB에러가 Display 된다면 여러번의 다중 쿼리를 통하여 DB의 권한 획득이 가능하고  ( user , Password 획득 가능 ) DB 테이블 전체에 대한 조회가 가능해 집니다.

일반적으로 500 에러가 발생할 경우 Internal Server Error 라고 IE 화면에 Display 되어 DB와의 연결 작업에서 에러가 발생한 것으로만 알았으나 실제 실행된 값도  ^  ^ 문자로 둘러 쌓여서 전송이 되고 다만 화면에 표시될때에만 500 에러에 대한 화면이 표시되므로 문제가 있는지 여부를 몰랐죠.

그러나 실제 트래픽을 모니터링 하여 오는 값을 필터링 할 경우 DB의 모든 값들에 대한 조회가 가능합니다.

국내 대부분의 사이트에서 ASP + MSSQL 서버 조합에 대해서는 위험 경고를 내립니다.

그외의 jsp , php  + mysql , Oracle 조합에 대해서는 주의 경고를 내립니다.

위험 경고는 지금 당장 DB에 대한 권한이 유출될 수 있으며 시스템에 대한 위해행위가 계속 될 수 있음을 의미 합니다. 그리고 ASP + MSSQL 조합에 대해서는 이미 공격하는 자동화된 툴들이 다수 중국에서 유통이 되고 있는 상황이므로 긴급한 경고가 필요합니다.

* MSSQL을 운영하시는 분들은 지금 당장 확인해 보십시요 . DB 테이블에 D_.... , X_... , Jiaozou , t_jiaozou , xiarou  등과 같은 테이블 명이 있다면 이미 시스템에 백도어가 생성이 되어 있을 수 있고 한차례 이상 시스템에 대한 명령이 실행 되었다는 것을 의미 합니다. 아마 매우 많은 수치의 MSSQL DB에 위와 같은 테이블이 생성이 되어 있을 것입니다.

국내 사이트들을 보면 Secure Programming에 대한 의식이 전혀 없이 일반적인 지식을 지닌 프로그래머들을  저가에 고용을 하다보니 문제가 발생하였고 서적들의 경우에도 웹 프로그래밍에 대한 서적들은 많지만 근본적인 보안상의 문제가 발생할 만한 부분을 지적한 서적은 전혀 없습니다. 모든 서적들이 기능에 촛점이 맞춰져 있다보니 이런 문제가 발생하고 있으며 국내 대부분의 웹사이트가 크고 작은 문제를 지니고 있을 것입니다.

ASP + MSSQL 조합으로 이루어진 모든 웹사이트가 국내에 얼마나 될까요?..

이 사이트들 전부다가 경고의 대상이며 최소한 전체 웹사이트의 절반 이상이 위험한 상태입니다.

중국내의 공격 동향의 경우 google등의 검색엔진을 이용하여 url에 asp를 사용하고 사이트를 유명사이트로 고정을 하여 검색한 뒤 각 인자에 대해  ' 문자 혹은 And 문자를 대입하여 에러 여부를 검색하거나 자동화된 툴을 이용하여 임의적인 공격을 수행합니다.

포털 및 게임 사이트 전체 , IT 관련 기업 , 언론 사이트들 전부가 위험하며 각 사이트의 하위 도메인에 분명히 ASP + MSSQL 조합을 사용하는 사이트들이 다수 존재합니다. 이런 사이트를 통해 악성코드 전파지로 계속해서 언론 지상에 오르게 될 것입니다.

지금껏 나온 수많은 유명 사이트들은 빙산의 일각입니다.

저의 경고는 내년까지도 유효한 경고 입니다.

10월 중순에 KISA에서 웹 보안 관련된 세미나를 한다는 군요. 기회가 된다면 제가 발표를 하게 될 것 같습니다. 그때에도 심각한 주제를 전달 하도록 하겠습니다.

지금 한번 찾아보세요. MSSQL DB내에 위에 언급한 테이블들이 존재하는지?... 아마도 존재할껍니다. 그렇다면 이미 DB의 권한 및 데이터는 다 나간 상태이며 시스템에 대한 제어도 장담 못할 상태라는 거죠.

대책은 임시로  이 글을 참고 하세요. http://blog.naver.com/p4ssion/40015866029 

이 글 외에도 몇 몇 참고할 글들이 해킹 웜 바이러스 섹션에 있을 것입니다.

그럼 좋은 나날들 되십시요.

2002년 8월 초에 작성한 내용입니다.

2006년인 지금도 중국으로 부터의 위협은 대단히 심각한 상황이지만 그 시작은 2002년 부터라고 보는 것이 정답일껍니다.

이때 처음으로 중국 사이트들 돌아다니면서 현황 파악해보길 향후 심각한 위협이 될 것이라고 판단 했었는데..

문서의 근간은 침해사고를 당한 서버에 올려진 공격툴등을 분석한게 기본 모체인데.. 사고 분석을 하다보니 종합선물세트처럼 되어 있더군요.

이런 문서를 만들면서 나름대로 공부가 많이 되었던 것 같습니다.

가르쳐 주는 사람이 없어도.. 스스로가 배우는 것이 공부이고 배움이라고 생각 되네요.

가르침이 없어도 좋다. 내가 가르침이 된다. 뭐 이런 궤변인가?..

아무튼 스스로가 배우고자 하고 덤벼들어야만 무언가를 할 수 있는 것이 아닐런지요.

이때 여러 사이트에 글을 썼었는데 앞으로 홍커가 온다고 이야기 하던 기억이 나네요.

이제 실감나게 2005년 부터 오고 있으니.. 틀린말은 아닌 것 같습니다.

그럼. - 아..하루 업로드 파일 용량 제한이 있네요..이 파일은 다음에 생각나면 다시 올리겠습니다.

Threat of china 로 검색 하시거나 winsnort 또는 바다란 으로 검색하시면 PDF 파일 보실 수 있을 겁니다. - v파일은 올렸습니다.

--

아.. 명의 도용의 시작이라기 보다는 명의도용은 오래된 일이고 악성코드를 금전적인 이득을 위해 유포하거나 사이트 해킹을 직접 시도하여 이익을 취하고자 하는 행위는 2005년 부터가 시작이죠. 공격은 2002년 경 부터 시작이 되었다는 이야기 입니다. 뭐 출발지는 똑같죠. 최근의 악성코드 해킹에도 상당히 고수준의 공격자 및 공격툴 제작자들도 돈벌이에 나서는 판이니... 똑같은 뿌리라고 볼 수 있을겁니다.

 * 2010년 4월중에 이전 블로그의 글을 완전이전 하면서 링크 부분들을 손 본 내용입니다. 지금의 현실도 여전히 계속 됩니다. 해결 되지 않은 문제들입니다만 이전의 링크와 게시된 시간을 알고 싶으신 분은 blog.naver.com/p4ssion 으로 방문 하시면 됩니다. 앞으로의 모든 갱신은 본 사이트에서만 이루어 집니다. 감사합니다.
아래의 글에서 2007년 이후 부터 현재까지의 내용은 지금 이 시간에도 동일하게 적용 됩니다. 범위만 국내뿐 아닌 전 세계적으로 확장 되었을 뿐입니다. 이 점을 참고 하시면 될 것 같습니다.

2008.11.7  p4ssion.

한국은 바로미터다.

중국발 해킹의 전초 단계로서 향후의 전 세계로 확대되는 공격 양상을 짚어 볼 수 있는 중요한 척도점이 되어 있다. 그 시작은 2002년 부터라 할 수 있다.

필자가 처음 중국발 해킹에 대해 분석을 한 것이 ( http://p4ssion.com/208 ) 2002년 8월 문서이니 그 이후로 여러 단계의 변천사를 볼 수 있다.

주관적인 경험하에 중국발 해킹을 분석해 보면 다음과 같은 단계로 요약이 가능하다.

1기: 2002~2005년초

특징: System에 대한 직접 공격 , 일부 운영체제에 대한 취약성 공격 및 주변 네트워크 공격을 위한 대량의 패키지를 동반하는 유형으로 진행 , 대부분 시스템의 권한 획득을 목적으로 이루어 짐 . 일부 DB의 정보를 빼내어 가기 위한 시도가 존재 하였음.  따라서 한국내의 정보유출 및 위기의 시작은 이 시기 부터라고 보는 것이 합당함.  

2기: 2005년 4월 ~ 2007년 중반

특징: SQL Injection 자동화 툴의 출현 시기와 동일하며 국내의 대부분의 웹사이트 (추정키로는 전체의 60% 이상)가 공격대상에 포함 되었음. 이 부분은 보안산업에서 조차도 예상치 못하여 대응에 시일이 다소 소요된 부분임. URL의 취약한 인자를 공격함으로써 DB의 권한을 획득하고 정보를 빼내어 가는 것이 일반화 된 공격으로 이루어 지며 지역적 혹은 소규모로 발생하던 해킹이 대규모로 변질 되는 기회가 되었음.

[참고  풀어쓴 Sql injection 공격  http://p4ssion.com/171 ,

                                                 http://p4ssion.com/209

          Threat of china v2  . http://p4ssion.com/210 - 첨부파일 참고 ]

대량의 개인정보 유출 시기로 확정하며 이 시기에 유출된 개인정보 범위는 상상을 초월할 정도로 예상됨. 

또한 웹을 통한 악성코드 유포의 시발점으로 볼 수 있으며 바이러스와 웜을 통한 악성코드 전파를 벗어나 웹을 통한 악성코드의 전파라는 새로운 공격 전략이 탄생된 시점으로 불 수 있음.

서비스에 대한 보호의 관점에서 일반 사용자를 위한 보호관점으로 포커싱을 급격하게 이동해야 하는 시점이나 일부 국내기업들을 제외하고는 변화에 대한 대응이 늦었으며 공격자들은 유유히 유린을 한 상태로 판단이 됨.

이후 웹보안 관련 장비들과 진단 스캐너들의 출현으로 문제는 표면적으로 드러나지는 않으나 우회적인 통로를 통한 SQL 공격으로 여전히 중요정보에 대한 유출 및 악성코드의 웹을 통한 유포는 계속 되었슴.

통계치로 잡기가 어려울 정도로 피해가 많았던 시기라고 볼 수 있음.  이 시기에 유출된 개인정보들로 인해 사회적인 혼란상은 현재에도 지속되고 있음. Voice Phishing의 정확도가 높아져서 피해도가 높아진 이유도 이 시기에 유출된 상세한 개인정보로 인한 것으로 예상.

3기 2007년 말 ~ 현재 (세부기법으로 별도 분류)

2007년말 ~ 2008년 8월

 Massl SQL Injection의 본격화 및 웹 보안장비의 본격적인 대응 시기. Get, Post 와 같은 HTTP Action에서 사용되는 특정 인자에 위험요소를 차단하는 방식으로 일차적인 대응들이 진행됨. 웹 보안장비의 대중적인 도입이 이루어짐. 그러나 기본적인 한계로 인해 문제가 발생됨은 이후에도 여러 차례 지적이 됨. 패턴매칭의 한계 및 모든 웹 프로그래밍이 획일화 될 수는 없으므로 각 사이트마다 커스터마이징 이슈가 대두됨. 즉 수익성이 그리 높지 않았을 것으로 예상이 됨. 이후 공격 패턴의 변화에 따라 상당히 많은 노력이 지속적으로 필요한 상황이라 할 수 있음.

국내의 상당수의 사이트에서 악성코드들은 지속적으로 유포되고 국내의 인터넷 환경은 오염도가 높아졌을 것으로 예상되나 신뢰도 있는 통계 추출의 도구가 존재하지 않음으로 인해 통계 작성이 불가능함. 평균적으로 일일 4~5만여개의 웹서비스에서 악성 코드가 유포되고 있는 것으로 추정이 됨. 근거는 Mass sql injection 분석 시에 작성한 자료를 참고 하며 5만에서 6만여대의 웹서비스에서 수시 악성코드 유포 되는 것을 확인 함.

이 시기에 다수의 주요 IT 서비스 기업들에서는 웹 보안 장비 및 문제점을 제거 할 수 있는 프로세스 (보안성 검수)를 도입 함으로써 피해의 최소화 및 방어가 가능한 상태로 돌입한 것으로 관측됨.

     2008년 8월~ 현재 

우회 패턴의 등장으로 위험요소가 증폭됨 Get / Post외에도 Cookie에 URL 인자를 넣어서 공격하는 우회 패턴 등장으로 일대 혼란 발생. 이 혼란은 웹보안장비에만 의존하여 근본적인 소스코드의 수정에는 등안시한 결과로서 문제는 계속 될 것임. 더불어 URL 인자에 다양한 우회패턴 (% 인자와 같은 )를 입력하여 패턴매칭에 의한 차단이라는 웹보안장비의 기본 룰을 가볍게 우회함으로써 혼란은 계속 되고 있음. 이 상황은 예견된 바 있음.

11.5일에 제보를 받은 SQL Injection 공격도구의 판매를 위한 자료화면에도 다양한 DB ( Mssql , mysql , access , oracle )와 공격기법이 명기되어 상용으로 판매가 되고 있는 상황임.

 < Mass sql injection attack tool - 다양한 DB 및 Cookie 및 Head verb에 대한 공격 기법이 별개로 존재하고 있다. >

각 시기별로 한국에 집중된 공격에 대해서는 위와 같이 정리가 가능하며 세계적인 확산의 시기는 시기적으로 늦게 나타나고 있다. 국내를 벗어나 이제 IT로 연결된 세계적인 관점에서의 공격동향은 다음과 같다.

세계적으로 SQL injection Attack의 최초 인지는 2008년 초쯤으로 예상되며 대규모로 인지가 된 시기는 2008년 4월의 Mass sql injection 관련 이슈이다. 

[ 상상하기 어려운 위협.       http://p4ssion.com/110 ,

                                          http://p4ssion.com/112    

  Mass sql injection에 대한 분석 참고  http://p4ssion.com/200 ]

이후에는 4월 이후에 발견된 Mass sql injection issue가  세계적으로  지속되고 있는 상황이라 할 수 있다. 전 세계 인터넷 환경의 오염도는 따로 측정하기는 어렵지만 Google에서 협조를 하고 있는 사이트 (http://www.stopbadware.org/ 11.7일 현재)에 따르면 악성코드를 유포하고 있는 사이트는 현재 166000 여개 가량의 사이트에서 악성코드가 유포 되고 있는 것으로 나와 있다.  물론 실제는 이것보다 더욱 많다. 통계치로 잡히는 것은 백신이나 AV 사이트의 협조아래 탐지 되는 유형에 대한 것들만 나열 된 것으로서 실제로는 변형과 탐지가 안되는 항목이 더 많다고 보았을때 얼마나 많은 비율이 존재 할지는 상상하기 어렵다.

인터넷은 오염되어가고 있다. 금전거래와 일상생활 영위의 도구로서 사용이 되고 있는 현재의 인터넷은 사용자들에게 심각한 위협을 동시에 안겨주는 생활로 다가오는 실정이다.

대부분의 악성코드 유포 환경들이 SQL Injection에 의한 웹사이트 변조 (악성코드를 유포하는 코드 추가 형태) 그리고 게시물 등에 XSS 취약성을 이용해 악성코드 유포 사이트로 Redirection이 가능한 문제들이 다수라고 할 수 있다. 실제 전체의 90% 이상이 이 경우에 해당 될 것으로 예상된다.

결론

이상과 같이 간략하게 2002년 부터 시작된 중국으로 부터의 공격 동향에 대해서 살펴 보았다. 문제의 근본은 현재 Web application의 취약한 인자에 대한 필터링으로 귀결이 된다. 이 문제를 해결하지 않는 이상 모든 대책은 사후약방문이다. 이 문제만 완전하게 처리 된다 하여도 현재와 같은 혼란상은 발생 하지 않을 것이며 피해는 상당히 제한적일 것이다. 기업내의 정보유출뿐 아니라 개인 사용자에게도 심각한 피해를 입히는 현재의 공격유형을 그대로 둘 경우 인터넷 환경의 위험도는 심각한 양상을 넘어 서게 될 것이다.

악성코드를 유포하는 사이트를 찾아내는 것도 현재의 상황을 타개 하는 임시방편이며 악성코드를 탐지하여 제거하는 AV도 근원적인 해결책이 되지 못한다. 최근에 발견된 MS08-067과 같은 Zeroday exploit의 경우를 보더라도 손쉽게 인지를 할 수 있다.

중국발 해킹은 전 세계적인 불황시기에 더욱 확산이 될 것이고 중국내의 Black Market은 중국의 불황을 틈타 급격하게 확산되어 전 세계를 위협하게 될 것이다. ( 6년전에 한 예측이 이렇게 빨리 현실화 될 것이라고는 필자도 생각지 못한 부분이긴 하다. 그 만큼 공격 기술의 발전과 웹서비스의 세계화가 빠르게 진행 된 탓이라 할 수 있다. )

문제의 해결책은 이미 본 블로그의 여러 Article에서 제안한 바 있다. 개별 사이트에 대한 대응책들은 안전한 웹 코딩 가이드(KISA)를 이용하여 소스코드를 변경 하거나 웹보안장비를 도입하였다면 해당 장비의 상태를 최신 수준으로 상시 유지하는 것, 웹 취약성 진단 스캐너 ( Sourceforge.net 에서 검색 하여도 다양한 sql injection 진단 도구들이 존재한다.)를 활용하여 문제를 수시로 찾고 제거 하는 것이 최선의 대응이라 할 수 있다.

[ http://www.krcert.or.kr/secureNoticeView.do?num=287&seq=-1  이곳의 대응책을 참고.]

전 세계적인 움직임 혹은 범세계적인 서비스를 통해 웹 서비스의 코딩 수준을 높이지 않는 이상 현재의 중국발 해킹은 점점 더 심각한 양상으로 발전 할 것이다.

보안장비의 도입도 취약성 스캐너의 도입과 점검도 다 중요하다 그러나 가장 중요한 것은 웹개발자의 개발 코드가 안전한지 확인이 가능한 요소가 가장 중요하다 할 수 있다. Secure coding은 SDLC 방법론으로 따지자면 웹개발에는 맞지 않다. 개발의 속도가 너무 빠르기 때문이다. 개발 시기 보다 더 많은 시간이 투자 된다는 점에 있어서 방법론과 적용 기술의 변화가 필요하다. 

개발자가 매번 코딩 시에 반복된 오류를 하지 않도록 확인하고 문제를 제거하여 궁극적으로는 전 세계 웹 개발자들이 Secure coding이 생활화 될때 이 문제는 해결이 된다. 그러자면 개발자들의 접근이 용이하고 비용이 저렴하며 정확도를 확보한 url 인자 값의 유효성을 체크하는 도구의 개발과 서비스의 확산이 문제 해결의 첫 걸음이 될 것이다.

아직 갈 길은 멀었고 피해는 점차 심각한 양상으로 변질 될 것이다.

아무도 이야기 하지 않는 예상과 예측. p4ssionable security explorer . 바다란.