- 2011.11.12
공격자의 전략적인 측면을 살펴 봐야 한다. 지금 개별 단위 보안제품의 대응은 사실상 무장해제 상태라고 봐야 하며 공격자들은 일단 규모로서 압도를 하고 탐지 로직을 우회함으로써 무력화 시키는 상황이다.

네트워크 단위의 보안제품의 한계, 패턴 매칭을 통해 탐지를 하는 AV든 Web Firewall 이든 개별적인 대응 밖에 되지 않고 있는 상황이고 전역적인 대응은 언감생심 꿈도 꾸지 못할 상황이다.

날마다 새로이 나오는 악성코드들을 진단 하기 위해서는 악성코드의 수집이 가장 먼저여야 된다. 그동안의 수집 방법을 보면 상당부분이 사용자의 신고, 허니넷, 허니팟 등을 통해서 이루어 지고 있다. 물론 정보의 공유는 시일이 지나서 각 업체들 끼리 이루어 짐으로 시의적절성 측면에서 늦을 수 밖에 없다. 이 각각에 대해 조금 이면을 살펴보자.

• 만약 공격자가 공격을 수행 하지 않는다면 허니넷이나 허니팟은 무용지물이 된다.  

• 또한 사용자가 악성이라고 인식을 하는 대부분의 경우도 설치된 AV에서의 탐지를 근거로 한다. 만약 AV가 탐지 하지 못하는 악성코드라면 사용자가 인지할 방안은 없다.

• 업체간의 정보공유도 이전과 같은 전통적인 전달 매커니즘인 디스켓, USB를 통한 악성코드의 감염은 지역별 확산에 상당한 시간차가 걸렸고 바다를 건넌다는 것도 어려웠다. 이 매커니즘이 깨진건 웜이라는 매개체를 통해서이며 이 웜 조차도 발생지 근처의 네트웍이 먼저 초토화 된 이후 다른 곳으로 확산 된다.
  
  웜 이후에 발생된 것은 검색엔진을 통한 특화된 공격, 파일 공유등을 통한 확산이 있었고 일정한 특징을 가지고 있었다. 그렇다면 지금은 어떨까?

간단하게 설명하고 상당부분 축약해서 위의 과정을 언급했지만 각 과정마다 언급하지 않은 많은 상세한 부분들이 있다. 그 특징들에 대해서는 지금까지의 발표자료나 본 사이트의 글들을 참고하면 일정 수준 참고가 가능하다.

지금의 공격은 말하자면 불특정 다수를 겨냥한 무차별적인 악성코드 유포이며 주된 공격 대상은 사용자의 PC에 일반적으로 설치된 써드파티 프로그램을 공격하는 코드들이다.

왜 Adobe는 시도 때도 없이 패치를 하는가? 

그 이유는 현재 사용자 PC의 90% 가량에 Flash player가 설치 되어 있기 때문이고 해외도 비율상 조금 낮은 거 이외에는 별반 차이가 없다. 공격자들은 Flash Player의 취약성을 공격하여 사용자 PC의 권한 획득을 하는 것이 가장 효율적인 방안임을 인지하고 있기 때문에  집중적인 공격을 수행한다.

또한 개별 PC를 공격하는 것이 아니라 사용자들이 방문하는 웹서비스들을 집중하여 공략 함으로써 불특정 다수에 대한 공격을 성공적으로 하고 있다. 언론사뿐 아니라 주요 커뮤니티 서비스들, 파일공유 사이트들을 직접 공격하여 웹서비스의 소스를 변경한다. ( 운영자나 개발자가 눈치 채지 못하게 암호화 하거나 기묘한 곳에 아주 짧게 넣는 것은 기본이다.)

< 웹을 통한 악성 코드 유포와 활용에 대한 컨셉>

위의 이미지와 같이 다양하게 활용 되고 있다. 이중 90% 가량은 개인정보 유출 및 백도어 활용이 가능한 용도의 악성코드를 사용자에게 감염 시키고 5% 가량은 DDos 나 Arp spoofing 행위를 보인다. 나머지 5% 가량이 지난 농협 사례와 같이 내부망으로 공격하는 용도의 악성코드라 할 수 있다. 사실은 90%의 개인정보 유출도 동일하게 활용이 가능할 뿐이다. 사용처에 대해 구분을 하자면 이 정도라는 것일뿐.


2011년 11월 12일 현재의 상황


지난 몇년간을 위험성에 대해서 언급을 했었고 개인 차원에서 할 수 있는 최대한으로 발표와 기고, 컬럼을 통해 언급을 했었지만 아직도 우리는 한참을 더 가야 하고 현 상황을 돌아 보고 반성이 필요하지 않나 생각 된다.
물론 우리뿐 아니라 전 세계적으로 마찬가지지만  ..만약 우리가 대응을 잘한다면 미래에서의 인터넷의 주요 파워를 가지게 되지 않을까? 

단순한 예상으로도 보안 문제는 앞으로 더 심각해 지며 , 악성코드의 갯수는 점점 더 많아 질 것이다라고 예상 할 수 있다. 시만텍과 맥아피도 손을 놓는 상황에서 누가 살아 남을 수 있을 것인가? 핵심은 대량유포 매커니즘을 깨야만 하는 것이고 이 매커니즘을 깨기 위해서는 다각적인 노력이 필요하다. 이 노력은 악성코드 유포에 이용 되는 많은 웹 서비스들의 문제점을 개선하는 측면 하나와 대규모 확산 이전에 차단 하는 노력이 병행 되어야 가능 할 것이다.

모든 웹 서비스들의 문제점을 개선하여 공격자가 인위적으로 웹소스를 변경 하지 못하도록 취약성을 제거 한다면 이 문제는 매우 명백하게 해결 되나 이렇게 될 가능성은 앞으로도 인터넷이 존재하는한 불가능하다. 최소한 방문자가 많은 사이트들에게는 일정 수준의 강요가 되어야 하고 즉시적이고 긴급한 대응이 계속 되어야만 한다.

더불어 길목을 차단하는 것으로 수십여곳 이상의 웹서비스에서 악성코드의 경로가 추가되어 모든 방문자들에게 감염 시도를 하는 것을 예방 할 수 있다. 웹 소스에 추가된 경로를 빠르게 인지하여 대응을 한다면 이게 가능해진다.

경로의 빠른 인지는 아직도 원초적인 ( 이벤트 탐지 방식) 방식에만 의존하고 있는데 이걸 우회하고 무력화 하기 위한 공격자들의 전략도 이미 출현한 상태이고 이 부분은 별도의 글로 남기고자 한다.  
전략을 넘어서기 위해서는 좀 더 다른 방식의 접근이 필요하다.

탐지 체계에서도 다른 형태가 필요하며 대응체계 (주로 AV)도 변화가 필요한데 최소한 선제적인 대응이라도 못한다면 빠른 악성코드의 공유체계와 감시체계라고 존재해야만 효율을 높일 수 있다. 솔직히 한국을 대상으로 직접적으로 악성코드를 유포하고 있음에도 불구하고 한국내의 AV업체가 제대로 대응을 하지 못하는 것은 기회를 잃어 버리는 것과도 동일하다. 해외 보안분야 대기업들과 비교할 필요도 없다. 비교 우위를 가질 수 있는 고난의 시간을 그냥 보내는 것은 비극이다.


그럼 여기 금일자로 최소 50여곳 이상의 서비스들에 추가된 경유지를 살펴 보자. (하루 방문자 1만명만 해도 50만명이 감염 범위에 들어간다. 신규 악성코드라면 성공률은 거의 90%라고 봐야 하지 않을까? 최소한..)

A라는 서비스에 B라는 주소가 인위적으로 소스에 추가되어 있다. 우린 그 B를 추적하여 그 근거지를 보여주는 것이다. 일반적으로 사용자는 A라는 서비스에 브라우저로 연결만 하여도 B의 주소의 것도 같이 실행 되게 되어 감염 되는 것이다. 

두 곳을 올렸다. 한 곳은 국내의 커뮤니티 사이트에 직접 올린 내용이고 또 다른 하나는 공격자가 만든 근거지이다.
현재 이 데이터를 확인 하는 것은 이미 발견 시간이 몇 시간좀 지나긴 했지만 아직도 전 세계에서 두번째가 아닐까 싶다.

만들어둔 공격자 다음으로 말이다.

* 최소 50여곳 이상의 웹서비스에서 악성코드를 사용자에게 배포하고 있슴에도 불구하고 구글의 Block 로직은 전혀 동작하지 않는다. Stopbadware의 데이터는 이전 기록을 가지고 대응하는 것일 뿐이지 지금의 문제는 아닌 것이다. 또한 판단근거가 부족하기에 탐지는 어렵다고 봐야 된다.  구글의 서비스 확장전략에 보안도 들어가 있지만 그것은 필히 실패할 것이다. 지난 6년간 수많은 비용을 들여 축적한 데이터의 신뢰도는 낮다. 그걸 입증하는 것도 어렵지 않다.  앞으로는 규모로 한번 해볼 예정이다. 

그렇다면 이중에서 신규 플래쉬 공격코드로 유포되는 악성코드의 탐지는 어느 정도 되는지 확인해 보자.

단순히 보면 알겠지만 전 세계 주요 백신들 중에서 오직 하나 정도만이 휴리스틱으로 ( 악의성이 있다 정도? ) 탐지가 된다. 나머지는 전멸이다. 여기 백신에는 이름만 들어도 알 수 있는 모든 제품들이 포함 되어 있다.

즉 제대로 진단되는 백신은 하나도 없다는 의미와 동일하다.
( 시만텍이든 맥아피든 마찬가지다...)

서비스를 통한 차단을 하는 구글의 Stopbadware도 차단이 되지 않고 가장 악성코드를 많이 분석하는 회사들이나 모든 백신 회사들의 탐지에도 걸리지 않는다. 이게 지금 우리가 마주한 실질적인 위협이다.


지난 3주 이상을 샘플을 일부 분석해 보고 테스트 해봤지만 평균 탐지율은 10% 미만이다. 우리의 지금 상태가 그렇다. 오늘도 파일공유나 언론사, 커뮤니티 사이트에 대량 추가가 되어 있어서 한국내에서만 이 악성코드의 확산은 100만대를 상회할 것이라 예상된다. Adobe의 패치? 기대를 말자!.

우리를 보호하고 지킬 수 있는 것은 우리 자신 밖에 없다. 아무리 불법적인 사이트를 안가고 패치를 잘하고 보안제품을 쓴다고 해도 이젠 위험에 노출된 상황이다. 인터넷 서핑을 하지 말아야만 위험이 줄어 드는데 그럴 수 있는가? 

다른 형태의 위협대응이 긴급하게 요구되고 즉시 대응이 되어야만 한다.


- 바다란 세상 가장 낮은 곳의 또 다른 이름

* 현재 여기에 올린 이미지의 내용을 인지하고 있는 곳도 없고 악성 공격코드의 최초 확보도 현재로서는 우리쪽에서만 가능하다. 좀 더 조용하고 은밀하게 해야 하지만 이 문제의 심각성에 대해서 인식이 부족하여 노출을 감내하면서도 자료를 일부 오픈 할 수 밖에 없다. 그러나 충분한 인식이 되었다면 우리도 정보 노출을 최대한 하지 않을 생각이다. 


*개인적으로 지난 15년간 ( 벌써 ..후.) 많은 공개문서들과 컬럼, 의견들을 올렸는데 한번쯤 정리를 할 필요성을 느낀다. 여전히 새롭게 이 분야에 들어온 많은 분들이 모르는 것들이 많다. 먼지 쌓인 외장 하드의 전원을 한번쯤 올려야 겠다. History of p4ssion 정도
 

FB에 올린 450자 짜리 단상을 묶어서 게재 합니다.
별도 컬럼으로 정리가 필요한 것들도 있지만 fb에만 자주 쓰다보니 블로그에는 자주 못 쓰는 경향이 있네요. 또한 450자로도 표현하기 힘든 많은 내용과 생각들이 있어서 아쉬움에 여기에 옮깁니다.
페북 주소

Recruiting and developing the 21st century cyber warrior

http://www.scmagazineus.com/recruiting-and-developing-the-21st-century-cyber-warrior/article/210230/

이 글은 미국방 분야에서 사이버 보안 인력을 뽑을때 문제가 되는 부분들과 비교가 되는 부분들에 대해서 잘 정리가 된 컬럼 이다. 정확하게 문제가 되는 부분들에 대해서 지적하고 있고 이 내용은 국내도 동일하다.

글을 읽어야 할 사람들은 도구로서 이용만 하려 하거나, 숫자만 채우면 된다고 생각 하거나, 시키면 할 것이다라는 모든 사람들에게 해당 된다. 일반 회사도 마찬가지 상황일 것이다. 

컬럼 자체는 정책결정 가능한 고위직, 군간부, 기업의 경영진이 꼭 봐야 할 내용이다. 물론 보안을 생각한다면..

결론적으로 가장 중요한 한마디만 요약하면 사이버 보안을 담당하는 인력들을 유인하기 위해 가장 중요한 하나는 동기부여 및 새로운 것에 대한 지적호기심 자극이 가능 중요하다고 할 수 있다. 별도 정리 예정

Google hacking exposes large caches of personal data
http://content.usatoday.com/communities/technologylive/post/2011/08/google-hacking-exposes-large-caches-of-personal-data/1 

구글을 이용한 정보 유출에 관련된 내용. 특별할 것은 없다. 여기에서 언급된 FTP 검색과 같은 경우 민감한 데이터들이 보호되지 않은 상태에서 나타날 경우 언제든지 외부에 의해 검색 될 수 있다는 점이고 . 예일대의 개인정보 유출 사건과 같이 FTP에 올려진 데이터가 검색에 의해 드러나는 경우를 예로 들고 있다. 

구글을 이용한 공격정보 획득은 이미 오래전 부터 이루어 지고 있고 지금도 활발하게 이루어 지고 있다. 고급검색을 통해 특정 URL과 인자를 조회하고 그 부분에 대해서 공격하는 기법, 파일 검색을 통한 정보 유출들은 일상적으로 있어온 일이다. 고급검색을 통한 URL 검출과 인자 검출 부분을 대응하기 위해서는 전체를 검사해야 하는 문제가 있고 이 문제는 앞으로도 오랜기간 지속 될 것이다. .

* 이 구글 해킹은 상당히 오래된 내용이며 단일 도메인에 대해서 공격을 하는 것은 이미 2005년에 출현을 하였다. 이 이전에 있던 것은 구글 도메인이 아닌 다른  유형의 php worm 이나 악성코드들이 있었으나 구글이 검색에서 주도권을 쥔 이후에는 이제 모두 이걸 이용한다. 그렇다고 구글에서 차단을 해 보았자 일정기간내의 횟수를 초과할 경우에만 제한이 걸리는데 이걸 공격자들은 가볍게 우회한다. 프락시 이용으로...

2005년에 출현한 것인 단일 도메인에 대한 공격 이였다면 2008년 무렵부터 지금까지 출현하는 대부분의 공격도구들은 전체를 대상으로 하고 있다. 불특정 도메인 ( 검색 조건에 맞는 모든 도메인이 해당된다. 특정 확장자에 특정 인자 사용 ..) 을 대상으로 공격과 악성코드 유포 시도를 반복하고 있다.

분명한 것은 지금의 공격 양상은 이 글을 읽는 분들이 생각하시는 것보다 휠씬 더 대규모이고 정교하다는 점이다. 이래서 대응이 어려운 것이기도 하고...

< 공격도구의 한 예이다. >

Epson, HSBC Korea, domain registrar hacked: 100,000 domains affected

http://www.zdnet.com/blog/btl/epson-hsbc-korea-domain-registrar-hacked-100000-domains-affected/55864
 

잭 휘태커에 의해 리스트된 가비아 해킹 사고. 해외에서 이런 기고를 보는 친구들은 어떻게 볼까?. 레지스타가 해킹 되어 주요 도메인을 포함한 10만개 이상의 도메인이 해킹 당한것으로 보이는 현실에서 단순한 문제라고 치부할 것인가? 근원적인 문제를 고민 해야 한다. 1.25때에도 DNS 가 문제가 되어 전체 서비스 연결이 안되었듯이 ( 서비스는 다 살아 있었다. 주소 매핑만 안되었을 뿐이지.) 앞으로도 동일한 현상은 심각한 문제라고 봐야 된다.

덧붙여 SK 컴즈의 해킹 사고에 대해서도 언급을 하고 있다. 해외에서 국내의 이슈에 대해 직접 언급 하는 것으로 볼때 이제 세상에 비밀이란 없고 우리끼리만 아는 것도 없는 것 같다. 

공격과 수비의 조합은 절묘해야 팀이 이루어 진다. 공격보다 수비가 어려운 것은 지금의 축구에서도 당연한 일이다.

* 이 부분에 대해서는 별도 언급을 할 필요조차 없다. 공격을 하는 것은 한 지점과 한 부분을 노려서 목적을 달성 할 수 있지만 수비를 한다는 것은 성을 수비하는 것과 같다. 항상 꾸준하고 전술의 변화를 볼 수 있어야 하고 공격 전술의 변화에 따라 능동적으로 대응을 해야 한다.

말이 쉽지.. 전체의 수준을 일정 수준이상 올린 이후에 변화를 따라가고 수성을 한다는 것은 최소한 공격보다 열배 이상.. 아니 그 이상의 노력과 진지함이 필요하다는 것이다.
공격진의 헛발질은 애교이지만 수비진의 헛발질은 자멸이다. 그렇다고 모두가 다 공격일변도로 나갈 것인가? 정말 어려운 것은 공격이 아닌 막는다는 게 더 어렵다는 것을 인식 해야 한다.  우리에게 정말 필요한 것은 이런 막을 수 있는 전략가의 부재와 인력풀의 협소함, 경영층의 인식 부족이 가장 큰 걸림돌이 될 것이다.

 

Android-becoming-windows-of-mobile-hacking-world
 
http://www.itpro.co.uk/635725/android-becoming-windows-of-mobile-hacking-world 

 

안드로이드를 Windows에 비교한 기사. 정확하게는 현재의 윈도우 시스템이 아닌 2000년 초반기의 윈도우쯤 될 것이다. 시스템 서비스의 문제로 인한 웜의 범람이 극대화 되었던 그 당시의 윈도우 시스템쯤 될 것이다. 안드로이드가 확대 되면 될수록 공격은 더 진지해 질 것이고 대응은 더 어려워 질 것이다. 대응을 위해서는 기존에 실험하지 못한 새로운 방안들이 도입이 되어야 할 것이다. 패턴 매칭은 이제 규모에 밀려 한계를 가지게 될 것이고 사전 대응이 아닌 사후 처리 용으로 사용하게 될 것이다.

지금의 백신들이 사전대응이라고 생각 하면 오산이다. 이미 확산되고 정체가 확인된 것들을 제거 하는 사후 처리용. 악성코드의 생존기간이 짧고 확산은 빠르고 대규모인 특징이 전세계 AV 업계 전체를 패전처리용으로 몰고 있다. 갈길은 아직 멀었다.

 

* 사용자가 몰리고 제한이 허술하면 당연히 공격은 증가하게 마련이다. 애플도 안심 할 수 있을까? 그나마 애플은 전수검사라도 하지 안드로이드는 안습니다.  전수검사를 해도 한계가 있고 심각한 문제들이 발생 하는데 그렇지 않은 곳은 계속 문제가 발생 된다. 

안드로이드도 마찬가지 상황이 되겠지만 현재의 인터넷 상황은 공격자들의 일방적인 학살과 다름이 없다. 보호를 받고 노력을 기울이는 곳들은 방문자들의 환경 (즉 PC)이 초토화 되어 서비스적인 위험에 노출되어 있고 그렇지 않은 노력을 기울이지 않는 곳들은 그냥 열려 있는 상태이다.  그렇다면 일반 사용자의 환경은 언급하기 어려울 정도로 피폐해진 상황이라 볼 수 있다.

누가 백신을 사전대응이라 하는가? 지금의 양상은 단상에 언급했듯이 전세계 AV 업체 모두가 패전처리용에 몰린 상태라고 봐야 된다. 공격자들의 도구의 활용과 전술의 변화는 AV 뿐 아니라 대부분의 보안업체를 규모에서 압도하고 관찰까지 하는 여유를 보이고 있다. 관찰의 의미는 대응여부를 확인하고 바로바로 변화를 준다는 의미이다.

3일만에 대응이 가능한 AV 업체가 있을까? 구글의 stopbadware는? 날마다 바뀌는 코드의 종류를 탐지가 가능할까? .. DNA를 이용한 검증 조차도 무력화 시키는 도구들이 일상적으로 사용 되고 있는데 앞으로 보안업체 모두가 고난의 시간을 걸어야 할 것이다. AV는 물론이고 정통적인 보안업체들도 마찬가지 이리라.

결론은 지금의 짧은 호황을 좋아 하기에는 상황이 심각하다는 점을 알아야 된다는 이야기이다.

- 바다란 세상 가장 낮은 곳의 또 다른 이름

악성코드 경유지의 변화가 매우 극심하다.  2011년 6.25~26일 기준

어제부터 대체 몇번을 바꿔치기 하는지. 분명히 웹서비스는 공격자들의 소유가 맞다.
사업자는 잠시 임대를 했을뿐.

 

어제, 오늘의 변화를 생략하더라도 현재 상황 5종류의 경유지들이 8개 이상의 파일공유 사이트 소스에 추가되어 사용자에게 악성코드를 유포하고 있다. 물론 파일 공유사이트 이외에도 다른 서비스들에도 여러 종류들이 활동하고 있다. 전체적으로 경유지 수치는 이틀 사이에 10곳 이상이 활동중에 있다.

 

특이한 것은 지난번에도 한번 언급했는데.. 시카고와 덴버에 IDC를 가지고 있는 DDos를 전문적으로 대응하는 ISP라고 광고하고 있는 SHARKTECH INTERNET SERVICES 라는 미국 회사의 서비스 대역을 대규모 경유지로 활용하고 있다.

 

 

 

순차적으로 경유지 IP를 변경하면서 사용하고 있는데 .. 지난번 관찰 결과도 보면 호주와 미국의 ISP를 통으로 이용하고 있던데... (이미 해외 ISP의 직접 활용은 3주 이상 관찰이 된바 있다. 대역대를 활용하는 걸로 보아 직접 권한을 가지고 있는 것으로도 볼 수 있다.)

즉 공격자는 전 세계를 무대로 하고 있고 악성코드 유포를 위해 국내 사이트도 직접 해킹을 하고 웹서비스를 변경하며 경유지로 활용하기 위해 해외 주요 ISP 대역을 휩쓸며 악의적인 링크들을 직접 생성하고 올리고 있다. 현재 관찰된 결과는 전 세계적인 활동을 직접하며 이익을 창출 하고 있다는 점이다.  전 세계적인 활동을 하는 공격자들에 대해 국지적인 대응은 효과가 어려울 것이다. 전 세계의 수준을 일정수준이상 올릴 수 있을까?..

앞으로도 불가능해 보인다.
 

이번 샤크테크 ISP의 특징이라고 할 수있는 DDoS 대응 특화를 하면 뭐하누? 정작 내부는 만신창이인데.. 이 나라의 인터넷을 공격하고 이득을 얻는 공격자들은 글로벌 하게 놀고 있다.

http://www.sharktech.net/index.php?ID=aboutus&PG=2

 

앞으로도 매우 어려운 싸움이 될 것이다. 사실은 싸움의 상대도 되지 않지만 ...

Web application의 취약성으로 인해 DB 정보가 유출 되었군요.  Oracle에 인수된  Mysql 과 Sun 모두 Blind sql injection으로 인해 기업의 중요 정보가 유출 되었습니다. 참고적으로 볼만 하네요. 세계적인 IT 대기업조차 이런 상황입니다. 이걸 찾아내고 문제점을 검증하고 개발자가 개발시에 웹 어플리케이션의 취약성을 사전 인지 할 수 있도록 하는 것이 제가 만든 서비스의 기본 모토입니다.

특히  Web의 경우는 개발기간이 짧고 변화가 많아 기존의  SDLC로는 커버가 안됩니다. 새로운 방향의 개발 보안 프로세스가 필요하고 거기에는 시간과 접근성, 비용이 모두 효과적이고 효율적인 서비스로서의 접근이 타당하다는 생각입니다.

Malware link detect service 와 Web application scan service는 둘 다 웹상에서 접근하고 확인할 수 있도록 되어 있습니다. 두 서비스가 IT 세상을 또 극적으로 바꿀 것입니다.

* DB 정보를 볼 수 있으려면 이미 권한은 획득한 것이고 여기에서 악성코드 유포나 백도어가 만들어 지는 것도 특별한 일은 아니겠죠. mysql.com만 해도 어마어마한 방문자 리스트를 가질테니 말입니다.

http://nakedsecurity.sophos.com/2011/03/27/mysql-com-and-sun-hacked-through-sql-injection/
 

Proving that no website is ever truly secure, it is being reported that MySQL.com has succumbed to a SQL injection attack. It was first disclosed to the Full Disclosure mailing list early this morning. Hackers have now posted a dump of usernames and password hashes to pastebin.com.

Most embarrassingly, the Director of Product Management's WordPress password was set to a four digit number... his ATM PIN perhaps? Several accounts had passwords like "qa". The irony is that they weren't compromised by means of their ridiculously simple passwords, but rather flaws in the implementation of their site.

MySQL's parent company Sun/Oracle has alsobeen attacked. Both tables and emails were dumped from their databases, but no passwords.

It does not appear to be a vulnerability in the MySQL software, but rather flaws in the implementation of their websites.

Auditing your websites for SQL injection is an essential practice, as well as using secure passwords.

Either can lead you down a road that ends in tears. If you haven't reviewed your web coding practices, this might be a good time to perform an audit of your public-facing assets to be sure your organization won't become the next headline.

It was noted on Twitter that mysql.com is also subject to an XSS (cross-site scripting) vulnerability that was reported in January 2011 and has not been remedied.

여기 나온 악성코드 경유지 주소들 보다 더 많은 정보들이 있다.

그러나 그 정보들은 오픈하기가 어려운 상태.

 

IP를 기반으로 철저하게 백도어 용도로 이용이 되고 있고 순식간에 전체를 바꿔치기 한다.

정보를 오픈하면 바꾸고 오픈하지 않으면 그냥 둔다. 하루에도 두세번 바꾸는건 일도 아니다.

 

대부분 국내 서비스 해킹하고 IP주소를 이용해 악성코드 다운로드 링크들을 올려 둔다.

이걸 국내 주요 사이트들에다 추가 하는 형식. js 파일내에 document.write 를 이용해 쓰거나

css 파일에 추가 또는 iframe으로 추가 한다.

 

근본 적인 취약성은 그대로 있는데 이 링크만 지운다고 없어질까? 

다 부질 없는 짓이다. 

 

암의 근본 원인 제거 없이 겉으로 흐르는 피만 닦아 내고 밴드를 붙인다고 해서 상처가 없는건 아니다.

다만 보이지만 않을 뿐. 언제든 나타난다. 계속해서..

 

자동화된 악성코드 저작 도구가 있다고 해서 널리 퍼지는 것은 아니다.

이젠 대규모로 글로벌 하게 퍼트릴 수 있는 방안이 있어서 크게 문제가 되는 것이다.

 

왜 더 이상 한국에 특화된 바이러스가 없을까?. 특화된 악성코드도 없고 말이다.

전 세계 어디에서나 찾아 볼 수 있다. 근본을 모르면 계속 휘둘리게 마련이다.

 

보안 전문가들이나 보안 회사들, 정책 당국은 이점을 명심 해야 한다.

예전에도 자동화된 악성코드 제작 도구는 있었다. 단 지금 만큼의 속도는 아니였다.

그러나 예전에도 이렇게 흔들렸던가? 전 세계 전문 인력들이 지쳐 쓰러질 만큼 힘들 정도 였던가?

규모의 경제를 갖춘 회사만이 버틴다. ( 전문인력의 대규모 보유) . 나머지는 다 지쳐 쓰러진다.

 

지금 문제는 확산 매커니즘이다. SNS와 취약한 웹서비스를 통해 자동으로 설치되는 악성코드가 확산의 주된 매커니지늠이다. 이걸 잊지 마라. 앞으로도 계속 된다. 그 누구도 멈출 수 없다. 발상의 전환이 없다면 말이다.

 

- 바다란 세상 가장 낮은 곳의  또 다른 이름

 

 * 매번 자세하게 썼지만 애써 보려 하지 않는 사람들이 많아 앞으로도 계속 꾸준하게..또 자세히 쓸 예정입니다. 

 

http://blog.websanitizer.com/ko/?p=588

 

최근 악성코드가 유포되는 과정은 일반적으로 다음과 같습니다.

• 인터넷 등에서 감염된 파일을 다운로드하여 PC에서 실행하여 감염되는 경우
• 스팸 메일의 첨부 파일을 실행하여 감염되는 경우
• USB 메모리와 같은 이동형 매체를 통해 감염되는 경우
• 웹 취약점이나 해킹 등으로 변조된 웹사이트를 방문하는 과정에서 감염되는 경우

이 과정 중에서 1, 2, 3 항목은 안티바이러스 및 안티스팸 솔루션에서 해결하는 경우가 많습니다. 물론, 새로운 악성코드가 발생하는 경우에 미처 대처하지 못하는 경우도 있습니다. 안티바이러스 업체에서는 이러한 한계점에 대해 다양한 연구 및 검토를 거쳐, 휴리스틱(인공지능), 클라우드, 화이트리스트, 샌드박시와 같은 첨단 기술을 이용하여 미연에 방지하고자 노력하고 있습니다.

당사에서 주목하고 있는 악성코드의 유포 환경은 바로 안전하지 않은 웹사이트의 방문으로 인해 사용자의 PC가 알지도 못하는 사이에 감염되는 경우입니다. 웹사이트 개발 초기에 보안에 관련된 사항을 고려하지 않아 발생하는 문제점으로 보통 서버의 취약점을 이용하여 해킹을 하거나 SQL Injection과 같은 웹취약점을 이용합니다.

특히, SQL Injection 취약점은 전체 웹사이트의 약 80% 이상 가지고 있을 정도로 매우 광범위하게 노출되어 있는 문제점으로 해결을 위해서는 웹방화벽이 주로 도입되고 있지만, 가장 근본적인 해결책은 웹소스 자체를 수정해야 합니다. 하지만, 웹 소스를 수정하기 위해서는 기술적, 시간적, 금전적 부담이 매우 커서 SQL Injection 취약점이 전세계에서 유행하기 시작한 2002년도부터 지금까지도 위험한 상태 그대로 인 경우가 많습니다.

최근에는 Mass SQL Injection 공격과 제로데이 취약점을 이용하는 악성코드가 결합하여 보다 강력한 전파력을 보이고 있습니다. 즉, SQL Injection 취약점이 있는 사이트의 DB에 제로데이 취약점을 이용하는 악성코드로 유도하게 하는 스크립트(JS)를 삽입합니다. 사용자가 이러한 사실을 모르는 상태로 이 웹사이트에 방문하는 경우에는 PC의 안티바이러스(백신)이나 최신 보안 패치가 적용되지 않는 경우에는 즉시 감염되게 됩니다.

당사에서는 이러한 악성 코드의 유포 정보를 수집하는 검색 엔진을 개발하여 이를 통해 9월 말부터 악성코드가 유포되는 URL을 수집하여 분석하 고 있습니다. 아래의 링크 가운데에는 기존에 이미 유포되었던 링크도 포함되어 있습니다. 왜냐하면, 악성코드가 유포되면 사이트 관리자가 이 부분을 인지하고 삭제하기 때문이며, 그 이후에 다시 같은 또는 유사한 URL을 삽입하는 행동이 반복되고 있습니다.

발견일 악성 URL

2010-12-03 hxxp://rozprodam.cz/index.xxx

2010-12-01 hxxp://tzv-stats.info/xx.php

2010-12-01 hxxp://www.pkupe.com/xx/pic.js

2010-12-01 hxxp://www.alahb.com/xxx/pic.js

2010-11-29 hxxp://www.jingmen.info/xx/pic.js

2010-11-27 hxxp://multi-stats.info/xx.php

2010-11-25 hxxp://www.yiqicall.com/xx/pic.js

2010-11-22 hxxp://www.xufu9.com/xx/pic.js

2010-11-18 hxxp://210.109.97.xxx/P.asp

2010-11-17 hxxp://110.45.144.xxx/S.asp

2010-11-17 hxxp://www.samdecaux.com/xx/img.js

2010-11-15 hxxp://mount-tai.com.cn/xxxxxx/img.js

2010-11-13 hxxp://www.zyxyfy.com/xx/pic.js

2010-11-12 hxxp://www.szdamuzhi.com/xx/img.js

2010-11-11 hxxp://121.254.231.xxx/w.asp

2010-11-10 hxxp://180.69.254.xxx/main.asp

2010-11-10 hxxp://www.qpbay.com/xxxxData/img.js

2010-11-06 hxxp://www.womenzz.com/xxxxxx/img.js – Mass SQL Injection 공격

2010-11-03 hxxp://www.cqgx.net/xx/img.js – Mass SQL Injection 공격

2010-10-31 hxxp://www.jdcmmc.com/xxx/img.js – ARP Spoofing + Mass SQL Injection 공격

2010-10-30 hxxp://www.gdkfzx.org.cn/Script/img.js – Arp Spoofing 공격

2010-10-29 hxxp://www.96363.com/upfiles/img.js – Mass SQL Injection 공격

2010-10-25 hxxp://www.winitpro.com.cn/xx/img.js

2010-10-23 hxxp://www.shrono.com/xx/img.js

2010-10-23 hxxp://121.254.235.xx/H.asp

2010-10-23 hxxp://a5b.xx/n.js

2010-10-23 hxxp://www.zzyaya.com/xx/img.js

2010-10-22 hxxp://www.3emath.com/~~~/img.js

2010-10-22 hxxp://125.141.196.1**/F.asp

2010-10-21 hxxp://www.thwg08.com/xx/img.js

2010-10-19 hxxp://www.igo88.com/xxx/img.js

2010-10-17 hxxp://222.231.57.xxx/r.asp

2010-10-16 hxxp://smaug.xx/portfoliox/tutorials.php

2010-10-16 hxxp://58.120.227.xxx/F.asp

2010-10-16 hxxp://789.fanli8.xx/tj.html?zhizun

2010-10-15 hxxp://www.sxsia.org.xx/images/xxxxx.js

2010-10-13 hxxp://www.xatarena.xxx/images/img.js

2010-10-12 hxxp://www.adw95.xxx/b.js

2010-10-11 hxxp://318x.xxx/

2010-10-11 hxxp://210.109.97.XX/TT.asp

2010-10-11 hxxp://121.78.116.XX/TT.asp

2010-10-10 hxxp://www.lancang-mekong.xxx/uploadfile/img.js

2010-10-09 hxxp://www.aspder.xxx/1.js

2010-10-09 hxxp://kr.nnqc.xxx/cs.js

2010-10-08 hxxp://b.mm861.xxx/images/1.js

2010-10-08 hxxp://www.gdfreeway.xxx/js/img.js

2010-10-07 hxxp://118.103.28.XXX/R.asp

2010-10-07 hxxp://211.234.93.XXX/U.asp

2010-10-07 hxxp://175.124.121.XX/time.js

2010-10-07 hxxp://www.xhedu.xxx/js/img.js

2010-10-07 hxxp://211.234.93.XXX/U.asp

2010-10-06 hxxp://3god.xxx/c.js

2010-10-06 hxxp://318x.xxx

2010-10-06 hxxp://222.234.3.XXX/hh.asp

2010-10-06 hxxp://www.xhedu.xxx/

2010-10-05 hxxp://www.XXXXcollege.co.kr/zboard/data/yahoo.xx

2010-10-04 hxxp://iopap.upperdarby26.xxx/GUI.js

2010-10-04 hxxp://118.103.28.XXX/R.asp

2010-10-04 hxxp://wefd4.xx/

2010-10-04 hxxp://211.115.234.XXX/P.asp

2010-10-04 hxxp://211.233.60.XX/h.asp

2010-10-04 hxxp://uc.wooam.xxx/cp/w3.js

2010-10-04 hxxp://www.e0570.xxx/images/img.js

2010-09-30 hxxp://203.206.159.XXX/image/head.js

2010-09-30 hxxp://www.dnf666.xxx/u.js

2010-09-29 hxxp://mysy8.xxx/1/1.js

 

 유포 URL을 클릭하면 해당 링크에 대한 분석 정보를 보실 수 있으며, 이 문서는 최신 악성코드 URL이 발견될 때마다 갱신됩니다.

운영하시는 사이트에서 이러한 문제점으로 어려움을 겪는 분들은 아래 자료를 참고하여 주십시오.

http://blog.websanitizer.com/ko/?p=422

그리고, 사업 및 기타 목적으로 제휴를 원하시는 업체 관계자분들은 아래 링크를 통해 연락 주시기 바랍니다.

http://blog.websanitizer.com/ko/?p=49

감사합니다.

세계 50만대 이상의 웹 서비스 봇넷 배포지로.. 그리고..

 

관련기사: http://www.thetechherald.com/article.php/201033/6024/TTH-Labs-New-SQL-Injection-attack-hits-thousands-of-sites

 

일상적인 일중의 하나로 치부되고 있는 대규모 해킹은 지금도 맹위를 떨치고 있다.

Mass SQL Injection 도구에 의한 해킹 피해는 나날이 도를 더해가고 있는 상황에서 우리가 할 수 있는 일은 무력하기만 하다. 규모가 있는 사이트들은 자체 역량 및 외부 보안업체의 도움을 통해 보안성을 강화하고 문제를 해결 하지만 현재 피해를 입는 사이트들은 일부 보안이 된 사이트들을 포함하여 역량이 부족한 사이트들이 피해를 입고 있다.

 

결국 피해는 개인에게로 돌아오고 사회적 도구로서 자리매김을 확고히 한 IT 서비스의 근간을 흔들게 될 것임은 자명하다.

 

피해의 순서는 웹 서비스 정보 유출 -> 웹 서비스를 통한 악성코드 유포 -> 개인정보 유출 -> 다시 웹 서비스에 대한 Abusement로 이어진다. 유출된 사용자 정보는 금융 정보 및 ID/PW를 막론하고 다시 재활용되고 혼란스러워진다.

 

이미 지난 글에서 (http://p4ssion.com/241) “웹 서비스 보안의 불편한 진실” 이라는 항목으로 피해의 심각성과 향후의 문제들에 대해서 기술한 바 있다. 동일한 상황은 계속해서 이어 질 수 밖에 없다. 구글에 의해 표시된 악성코드 감염 수치는 55만개 이상의 웹 서비스에서 악성코드가 유포되고 있음을 나타내고 있다.

 

또한 국내의 사이트로 한정을 하면 1만대 이상의 웹 서비스를 통해 악성코드가 유포되는 현실을 볼 수 있다.

악성코드의 특성에 대한 내용은 이미 별도의 블로그(http://www.moonslab.com/1072)에 정리된 내용이 있어서 상세한 분석은 생략하며 특징만을 간략하게 언급 하도록 한다. 기술적인 분석에 대해서는 SANS의 분석 내용을 참고 하면 된다. (http://isc.sans.edu/diary.html?storyid=9397)

 

특징

 

현재 악성코드가 연결된 사이트는 .ru 라는 러시아 도메인을 가지고 있다. 그러나 등록된 주소는 중국으로 되어 있으며 실제 주소도 중국으로 판명이 되고 있다. 일차적인 특징으로 볼 수 있는 내용인데 중국의 공격자들이 이제는 도메인을 위장하여 손쉽게 판별되는 .cn 도메인을 넘어서 타 국가의 도메인을 활용하고 있음을 볼 수 있다.

 

두 번째로는 설치되는 악성코드의 다양함을 들 수 있다. 실제 분석은 되지 않았지만 구글에서 파악된 기본적인 내용을 살펴 보면 13개의 Trojan과 9개 이상의 Exploit 코드들이 유포 되었음을 알 수 있다.  (http://www.google.com/safebrowsing/diagnostic?site=nemohuildiin.ru/&hl=en )

 

세번째로는 봇넷 채널을 직접 연결하여 Zeus Botnet과 연결된 가능성이 매우 높다는 점이다. 웹을 통해 악성코드를 유포하고 감염된 개인 PC들은 봇넷 Agent로 활용이 되는 것이다. 금융정보 및 키입력 정보, 화면 정보를 모두 유출 시키며 원격에서 직접 통제가 가능한 도구로 손쉽게 활용이 된다는 점이다.

 

Zeus Botnet은 국내에는 일반인들에게 잘 알려져 있지는 않지만 해외에서는 금융적인 피해가 직접 발생 하고 있어서 신경을 많이 쓰고 있는 Botnet이라 할 수 있다.

 

Black Market에서 가장 순도 있고 가치 있는 정보를 빼내고 직접 활용이 가능하다는 점에서 가치가 높은 BotNet 이라고도 불려 진다.

 

기존에 존재하던 웹 보안 장비들은 대부분 공격패턴을 인식하여 차단하는 유형으로 구성이 되어 있다. 그러나 공격기법은 계속 변화한다. 대소문자를 섞어서 쓴다든지 ASCII 코드값을 직접 입력 하는 유형등과 같은 변형된 공격기법은 헤아릴 수도 없이 많이 존재한다. 수없이 많은 패턴을 유지하는 보안장비들은 그만큼 속도가 느려질 수 밖에 없으며 보안적인 위협을 막기 위한 목적으로 도입한 장비들이 본 서비스의 접근 속도를 느리게 하는 요소로서 작용 할 수도 있다.

 

국내의 보안 현실 및 세계적인 보안의 근본적인 문제점은 대중과는 어느 정도 거리가 있는 사후 대응의 측면에만 집중하는 것이 현실이다. 근본적인 유포망을 없애지 않고서는 악성코드로 인한 개인 정보 유출의 피해와 또 유출된 개인정보로 인한 서비스망의 교란과 혼란은 개인과 서비스를 운영하는 기업 모두에게 큰 손실이 될 수 밖에 없고 문제는 점차 더 커질 수 밖에 없다.

 

 

 

빈익빈 부익부

 

빈익빈 부익부의 현실은 깊어만 간다. 현재의 IT서비스의 현황을 살펴보면 빈자들의 서비스에는 보안을 신경 쓸 여력이 없고 서비스 운영에만 중점을 두고 있어서 실질적인 이득 창출과는 약간 거리가 있게 느껴지는 보안 분야는 등한시 되고 있는 실정이다.

그러나 조금 만 더 멀리 보면 보안은 기업의 이익을 보호하고 신뢰를 형성하여 장기적인 안정성을 유지할 수 있게 한다는 점에서 큰 이득이 될 수 밖에 없다.

 

국내 및 해외의 보안 현실과 IT 환경을 맞추어 보면 가난한 기업들은 계속 해서 위험에 노출 되고 여력이 있는 곳들은 빠르게 문제점을 보완하고 비용을 적극 투자한다.  보안 관련된 기업측면에서는 모두가 수익을 창출 할 수 있는 사후 대응에 머물러 있으며 사전 대응과 위험요소에 대한 관리라는 측면에서는 활동이 미미할 뿐이다.

 

오래도록 가지고 있는 잘못된 편견중의 하나는 사고가 발생 한 뒤에야 중요성을 인지한다는 점이다. 그래서 국내외를 막론하고 수없이 많은 보안회사들은 사후대응에만 중점을 두고 있는지도 모른다. 이제 시대는 충분히 바뀌었고 많은 변화가 있었다. 변화를 따라가지 못한다면 소도 잃고 외양간의 기둥마저 무너질 수도 있다.

 

개인 PC를 공격하는 공격도구가 윈도우 시스템에 IE 사용자만으로 한정이 될까? 이미 작은 흐름에서는 타 운영체제 및 별개의 도구를 사용하는 시스템에도 충분한 시도들이 있었고 현재 공격이 눈에 띄게 드러나지 않는 것은 노력 대비 성과가 부족하기 때문일 것이다.

 

가난한 기업과 서비스 운영주체들은 힘이 없다. 역량이 부족하고 전문적인 지식의 도움을 얻고자 해도 돈이 없다. 또 문제를 수정 하고자 해도 어디가 문제인지 어떻게 고치면 되는지에 대한 협력은 절대적으로 부족하다. 비단 국내만의 문제가 아닌 전 세계적인 문제이다.

 

이젠 시대의 흐름에 맞게 변화를 크게 주어야 할 때이다.

 

역량이 있는 기업들 조차도 잦은 횟수로 변경이 되는 웹 서비스의 관리와 보안성에 대해 어려움을 겪고 있는데 하물며 가난한 기업과 서비스들은 무엇을 할 수 있겠는가?

 

국가나 산업차원에서 저렴하고도 신뢰 할 수 있으며 접근성이 높은 서비스는 반드시 제공 되어야만 하고 이제 머지 않아 출현 해야만 현재의 인터넷과 IT 서비스의 위기 상황을 개선 시켜 나갈 수 있을 것이다.

 

 

앞으로 발생 될 수 있는 위험들은 위험수준을 잘 관리하고 있는 기업들에게도 동일한 영향을 미칠 것이다. 대규모 웹 서비스 해킹을 통해 악성코드를 유포하는 행위와 서비스에 공통적인 요소를 공격하여 대규모 유포를 하는 유형으로 나눌 수 있을 것이다.  기발한 공격 기법은 이제 상상력의 한계에만 그치지 않는다.

 

http://www.eweek.com/c/a/Security/Infected-Widget-Compromises-Parked-Domains/

위의 기사는 Network Solution사에서 운영하는 Widget을 해킹하여 악성코드를 유포한 기사이며 현재는 중지 되었지만 단순히 Widget 배포처를 해킹함으로써 최소 50만개에서 최대 500만개 이상의 도메인을 통해 악성코드가 유포 되었음을 보여 준다.

 

빈익빈 부익부의 틀은 IT사회에서도 정확하게 적용이 된다.

그러나 이제 피해는 빈자와 부자를 가리지 않을 것이다.

시스템과 체계를 정비 하지 않는다면 앞으로도 오랜 기간 지속 될 수 밖에 없다.

 

특정 서비스의 구조적인 문제를 공격하는 웜이나 공격코드들은 2005년부터 있어 왔다. 앞으로 트위터나 페이스북의 서비스에서 문제가 생긴다면 그 피해 대상은 얼마나 될까? 더불어 공격코드가 스마트폰별 공격코드와 OS별 공격코드를 가지고 있을 때 피해 양상은 얼마나 될까?

 

상상하기 어려울 것이다. 그러나 아무도 눈을 뜨고 보려 하지 않는다.

 

빈자를 위한 도구가 결국엔 모든 것을 살리게 될 것이다. 거기에서부터 시작을 해야 하는데 아직 세계는 손쉽게 정보를 얻고 일정 수준이상의 기본지식이 필요함을 인식하지도 못하고 있다.

 

다음 블로그 글은 아마도 구조적 해킹 ( 일반적으로 서비스 어뷰징으로 불리워 지는 것)에 대한 것과 국외기업들의 서비스 연관, 악성코드와의 관련 등에 대해서 한번 정리해 볼 생각이다.

 

 

 -twitter: @p4ssion  -바다란 세상 가장 낮은 곳의 또 다른 이름

올해 초에 기고한 글이지만 지금의 상황은 더 적절하게 맞아 들어가고 있다.
예상이 맞아 들어간다는 것은 더 안 좋은 길로 최적의 코스로 진입하고 있음을 의미한다.
디지털 페스트 혹은 인터넷 상에 연결된 다수의 Agent (사용자 PC 및 기타 단말 - 스마트폰)에 번지는 악성코드의 흐름은
근본적인 원인 제거가 되지 않음으로 인해 향후에도 오랜기간 지속될 문제이고 비단 클라이언트 단위만의 문제가 아닌 더 심각한 흐름으로 전환이 될 것이다.  아이튠즈나 유투브의 xss 영향은 아주 미세한 일부분일 뿐이다.

이것과 관련된 내용도 곧 컬럼으로 게재할 예정이다. 2010.07


zdnet 컬럼 기고 글입니다.

디지털 페스트

 

 

디지털 페스트라는 용어 자체는 존재하지 않는다. 비유적인 의미에서 사용된 용어라고 할 수 있다. 빠른 전염속도와 중세의 유럽을 공포에 가까운 치명적인 상황까지 밀어 넣은 전염병과 같은 상황에 인터넷이 놓여져 있음을 비유하고자 2008년 5월에 처음으로 디지털 페스트라는 제목으로 블로그에 글을 쓴 적이 있다.

 

 

왜 디지털 페스트인가?

접촉에 의해 무차별적으로 감염이 되는 현상이 있고 인터넷 상의 생활을 치명적인 상황까지 이끌고 인터넷으로 촉발된 문화와 경제활동에 치명적인 영향을 주기 때문에 디지털 페스트라 할 수 있다.  중세와 달라진 것은 없다. 단지 활동 무대가 실제의 생활이 아닌 인터넷의 생활로 옮겨졌을 뿐이다. 실생활과 밀접한 연관을 가질 수 밖에 없고 앞으로 더 커질 수 밖에 없는 인터넷의 영향력은 두말할 필요가 없다. 그만큼 위험성도 높을 수 밖에 없으며 앞으로 더 많은 영향을 미치게 될 것이다.

 

2008년 5월의 디지털 페스트 인식의 시작은 2008년 4월에 있었던 전 세계적인 웹서비스 변조 사건과 맞물려 있다. 세계적으로 50만대에 달하는 웹서비스가 변조를 당해 악성코드를 유포한 사례는 치명적인 결과를 초래 할 수 있으며 앞으로 그 결과를 목격하게 될 수밖에 없음을 밝힌 바 있다. 이제 그 빙산의 일각을 만나보자.

 

 

2010년 3월 스페인에서 발견된 사상 최대의 봇넷 조직은 개연성을 태연하게 증명하고 있다. 누구나 할 수 있는 예상이고 예상된 규모라고 할 수 있다. 

(http://www.abc.net.au/news/stories/2010/03/04/2835930.htm?section=world)

간략하게 기사를 살펴보면 1800만대의 PC에 설치된 악성코드를 원격에서 조정 할 수 있으며 이 모든 악성코드들은 개인PC에 대한 원격조정뿐 아니라 계정, 비밀번호와 같은 키 입력을 가로채고

모든 권한을 수행 할 수 있는 기능이라 알려져 있다. 현재 출현하는 대부분의 악성코드가 가진 특성과 동일한 특징을 가지고 있다. 운영자는 3~4명으로 알려져 있고 적발 당시 80만명에 해당하는 개인정보들이 발견 되었다고 한다. 다른 기사에서는 이 그룹들은 1800만대의 PC중의 일부들을 임대해 주고 비용을 받는 등의 목적으로도 활용 되었다고 한다. 1800만대의 좀비 Pc들은 포춘 1000 리스트의 절반에 해당하는 기업들과 40개 이상의 메이저 은행들의 네트워크에도 존재 하고 있었다고 한다. 공격자들이 과연 신비로운 기술을 이용해 1800만대의 PC를 감염시키고 운영했을까?

 

간략한 기사를 통해 우선 인식해야 될 부분들은 몇 가지가 있다.

규모적인 측면에서 1800만대에 해당하는 좀비 PC들의 네트워크를 어떻게 가질 수 있었느냐 하는 것이고 이 거대한 규모를 3~4명 정도가 운영 하고 있었다는 점 그리고 부분적인 임대를 통해 수익을 추구했다는 점이 가장 큰 특징으로 볼 수 있다. 개인정보의 전면적인 유출은 규모를 추산하기 어려울 정도이다.

 

그렇다면 1800만대를 어떤 방식으로 감염 시킬 수 있었는가 하는 점을 살펴 보아야 하고 보안 설정과 장비들이 고도로 도입된 세계적인 기업들과 폐쇄적 네트워크 환경을 갖춘 은행권에는 어떻게 침입과 전파가 가능했는지도 궁금 해야 한다.

 

일반적인 바이러스와 웜의 형태로는 1800만대라는 규모를 감염 시키기가 매우 어렵다고 볼 수 있다. 무작위적인 바이러스와 웜 전파 형태는 반드시 주요 감시망에 걸리기 마련이고 대규모로 확산 하는 것이 매우 어렵다. 그렇다면 유포나 전파 방식은 어떤 방식을 썼을까?

 

필자가 보는 방식은 다양한 제로데이 익스플로잇을 통하는 것과 불특정 다수에 대한 감염을 가능 하게 할 수 있는 웹 서비스를 통한 전파가 복합적으로 일어 날 때 가능할 것으로 보고 있다.

 

모든 문제점들이 공개적으로 논의 되지는 않는다. 문제가 있는 부분은 일정기간을 거쳐 패치나 보완 형식을 통해 문제점이 제거가 된다. 단 문제가 알려졌을 때만이다.

문제가 알려지지 않는다면 또 발견되지 않는다면 계속 진행이 된다.

 

 

< 참고 - http://p4ssion.com/112 디지털페스트 중>

 

위의 참고 이미지는 2008년 4월에 작성한 개요를 나타내고 있다. 이 당시의 50만대 가량의 웹서비스 변조 이슈가 향후 어떤 문제를 초래 할 수 있고 어떤 영향을 미칠 수 있는지에 대한 문제의식은 높지 않았고 지금도 별반 달라지지는 않았다. 조금 더 많은 사람들이 알아가고 있는 중이라는 의미 외에는 특별한 교훈도 주지 못한 상태이다.

 

순서적으로 대량 SQL 삽입 공격 (Mass sql injection) 공격을 통해 무차별적으로 웹서비스를 해킹을 하여 악성코드를 유포 하도록 하고 이 악성코드는 Zeroday 공격코드를 포함하도록 한다. 그리고 웹서비스를 방문하는 모든 사용자들은 감염이 된다. 이후에는 공격자가 운영하는 봇넷에 연결이 이루어 지고 그 이후에는 모든 개인적인 비밀을 잃어 버린 좀비의 상태가 된다.

 

2008년의 상황과 달라진 상황들도 현재의 악성코드 유포 현황을 관찰해 보면 존재 하고 있다.

 

현재 관찰 되고 있는 바로는 공격자들도 다운로드 되는 악성코드를 실시간으로 관찰하고 변경 하는 것을 볼 수 있다. 신규 악성코드 유형이나 제로데이 취약성이 발견되면 불과 몇 시간 내에 다운로드 되는 악성코드의 특징이 바뀌고 있다. 이것은 실시간으로 운영이 되는 유포 관리 봇넷이 별도로 관리되고 있음을 의미 한다. 공격자들의 진보는 상당히 빠르게 움직인다. 일반 웹서비스를 침입하여 특정 악성코드만을 다운로드 되게 하는 방식을 벗어나 유포되는 악성코드도 실시간으로 변경 하도록 구성이 되어 있다고 확신 한다.

 

유포관리 소규모봇넷 -> 악성코드 다운로드 서버 -> 악성코드 유포 서비스 -> 일반 사용자

일반사용자 PC에 설치된 악성코드들은 대규모 봇넷으로 다시 활용이 된다.

 

악성코드를 유포하는 서비스를 구축하기 위해 대량 공격을 감행하고 다운로드 하는 서버의 주소를 페이지 소스에 첨가 시킨다. 공격자들은 다운로드 서버에 올려지는 악성코드를 실시간으로 관리하면서 변경을 한다. 즉 새로운 공격은 공격코드가 출현하면 3~12시간 이내에 업데이트가 발생 되게 되고 일반사용자들에게도 직접적인 영향을 미치는 구조를 가지고 있다.

 

모든 악성코드는 이제 단 하루 정도면 갱신이 되고 업데이트 및 배포 구조를 가질 수 있는 상황인 것이다.

 

보안장비 및 보안도구들 조차도 하지 못하는 구조를 이미 구축한 상황에서 인터넷 자체는 심각한 상황에 처해 있음은 두말 할 필요가 없다. 디지털 페스트는 이미 현실에 깊숙이 들어온 형국이며 1800만대라는 수치도 빙산의 일각일 뿐이다. 댓수의 규모 보다 봇넷 그룹을 운영하는 자들은 얼마나 많을 것이며 중복된 봇넷 이외에도 얼마나 많은 수치의 봇넷이 존재 할지는 상상하기 어렵다. 악성코드를 유포할 수 있는 대규모 공격도구를 갖추고 인터넷 서비스를 공격하며 무차별적으로 악성코드를 사용자들에게 유포한다. 스마트폰 이나 IPTV등을 가리지 않고 인터넷을 보거나 연결이 되어 있는 대부분의 기기들에게도 동일한 위험성이 존재한다.

 

인터넷에 연결 되어 있으면서 위험으로부터 안전한 기기는 존재하지 않는다. 지금껏 문제가 발생 되지 않은 소프트웨어들은 존재하지 않으며 안전한 운영체제도 존재하지 않는다.  이것은 현실이다. 디지털 흑사병은 그 전파력만큼이나 심각성이 높으며 앞으로 영향력은 더 커질 것으로 예상 할 수 밖에 없다. 2년 전의 위기감은 그리 멀지 않은 미래에 현실화 될 수 밖에 없다는 위기감이나 막상 현실에 도달한 상황에서는 개인으로서 어찌 할 수 없는 현실에 좌절감을 느낄 뿐이다.

 

대책은 짧게 세 가지 정도의 큰 줄기를 가진다.

-                    Web application에 대한 취약성 제거

-                    Malware 유포에 대한 신속한 협의체 구성

협의체 구성도 해당 되지만 통일된 프로세스 및 대응체계를 만드는 것이 가장 중요하다. 2010년 들어 미국의 백악관에서 아인슈타인2 라는 일괄 대응이 가능한 장비를 전 기관에 배포 하는 움직임도 동일한 관점의 노력이다. 아직 그 누구도 제대로 시작하지 못했다.

-                    서비스 단위 정보유출 방지를 위한 노력

 

대책은 빠를수록 좋다. 이 대책 조차도 2008년에 작성한 글에 존재하고 있다. 디지털 페스트라는 글에서 작성된 내용을 간략하게 아래에 인용한다. 원문은 블로그를 참고 하시면 된다.

 

아무도 없는 길에서의 외로움은 상상 이상이다. – 바다란

 

  -----------------------------------------------------------------------------------------------------------

 

공격대상: 전 세계의 Web service를 공격하여 악성코드를 확산

공격목표: 전 세계의 개인 Client PC에 대한 권한 획득 및 중요정보 탈취

 

 

새로운 공격코드의 출현과 새로운 zeroday exploit의 출현은 피해를 기하급수적으로 늘릴 것입니다. 지금까지와 같은 몇 만대, 몇 십 만대의 규모가 아닌 몇 천만대를 기본으로 가지게 될 것입니다.

 

 

공격시나리오:

 

1.      신규 Zeroday exploit을 발견 혹은 구매 ( MS 운영체제가 가장 효율적이므로 MS 계열에 집중할 것이 당연함)

2.      Malware에 키보드 후킹 및 중요 사이트에 대한 접근 시 정보 탈취 코드 탑재

      S.korea 에서 발견된 DDos 가능한 Agent의 탑재 가능

      동일한 기능이지만 대규모 Botnet의 구성 가능

3.      Malware를 유포할 숙주 도메인에 코드 추가

    Malware를 유포하는 링크 도메인으로서 08.4월에 발견된 경우처럼 1.htm ,1.js등의 코드로 특정 사이트 해킹 이후 해당 파일의 추가를 할 것임

      국가에 따라 수십에서 수백여 개의 링크 도메인을 확보 할 것임

4.      대규모 도메인 스캔도구를 활용 주요 도메인에 대한 악성코드 유포루틴 Add

      검색엔진 활용 또는 자체 보유한 도메인 리스트를 활용하여 순차적으로 공격을 시행

      공격 시 취약성이 발견되면 자동적으로 DB권한 획득 및 획득한 DB의 권한을 이용하여 웹 소스코드의 변조 시행

      현재 발견된 코드는 DB 테이블의 내용에 악성코드를 추가하는 루틴 이였으나 조금 더 코드가 갱신되면 충분히 웹페이지 소스코드에 교묘하게 위장하는 것이 가능함

5.      대규모로 유포된 악성코드를 활용한 금전적인 이득 취득

- 특정 사이트에 대한 대규모 DDos 공격 – 현재 상태의 malware 유포 규모라면 대응 불가

-      특정 온라인 게임 ( 세계적인 게임- Wow? ) 및 금융 관련 사이트에 대한 키보드 입력 후킹 ( 사용자의 정보 유출 )

 

온라인 게임 및 온라인 증권사에 대한 위험성이 높음 . 부수적인 인증 수단을 가지고 있는 경우 ( ex : otp , secure card … )를 제외하고는 모든 대상에 대한 위험성 존재

 

* 4번 항목에서 발견된 악성코드 유포를 위한 웹사이트 변조가 08.4월에 발견된 카운트만 전 세계적으로 50만개의 개별 웹서비스(일부 중복 결과라 하여도 예상 결과는 변하지 않음)에 해당됩니다. 악성코드 유포 규모는 최소 천만 단위를 상회할 것으로 추정되며 Zeroday exploit에 따라 그 규모는 몇 십 배로 늘거나 백만 단위 규모로 확대 될 것으로 예상됩니다.

 

 

 

[zdnet 컬럼 게재글입니다.]

DDos 문제의 핵심과 변화 (에스토니아, 7.7) - 바다란

7.7 DDos 관련된 의견들이 1년이 지난 지금 시점에 다시금 많은 분야에서 회자 되고 있다. 문제에 대한 분석과 적절한 대응 체계에 대한 논의가 계속 되고 있는 시점에 DDos 논란의 핵심은 무엇인가 하는 명제에 대해서 명확한 설명은 아직 잘 설명 되지 않고 있는 듯 하다.

 

DDos에 대한 핵심적인 이해 분야에 대한 접근 방법도 상이한 점이 많이 있다. 공격 주체는 분명히 개인의 PC이며 공격을 받는 대상은 기업 및 기관의 서비스를 대상으로 하고 있다. 그러나 현재 논의 되고 있는 대책의 대부분은 공격 받는 대상의 보호대책을 강화하는 측면에만 머물러 있다. DDos 대응 장비의 도입과 체계의 도입은 단기적으로 타당한 방향이다. 그러나 근본적인 원인제거를 하지 않는 다면 미봉책에 머물 뿐이다. 공격자들은 보다 더 많은 공격자원을 더 은밀하게 모집하고 더 대량의 자원을 동원하여 공격을 할 것이다. 실제로 은밀하게 모집 하려고도 하지 않는다. 일반적인 웹 서비스를 해킹하여 악성코드를 사용자 PC에 설치하는 행위는 너무나도 일반적으로 발생하는 현상일 뿐이다.

 

DDos 공격에 대해 보다 더 많은 대응자원을 투입하고 대응 실무인력을 투입하는 것은 무제한적인 공격도구 확보가 가능한 공격자들에 비한다면 수술이 필요한 환자에게 붕대만을 처방하는 행위가 될 뿐이다.

 

비근한 예로 2007년에 발생된 에스토니아의 DDos 사례와 7.7 DDos의 차이점에 대한 근본적인 고찰도 부족한 현 상황에서 대책이라는 부분은 지속되는 공격에 대한 소모성 대책과 다를 바가 없다.

본 컬럼에서는 근본적인 DDos 공격의 변화를 간략하게 살펴 보고 앞으로의 대응에 중점이 되어야 할 부분에 대해서 짚어 볼 수 있도록 한다.

 

먼저 에스토니아를 향한 공격의 전체적인 동향은 다음과 같다.

 

일반적인 cyber 공격 유형이라 할 수 있는 통신 대역폭을 가득 채우는 공격과 함께 일반적인 혼란을 초래 할 수 있는 spam메일, Phishing, Web 변조 등이 동시 다발적으로 발생할 것을 확인 할 수 있다.

 

왜 에스토니아는 외부와 완벽하게 고립된 섬처럼 2~3주간에 걸쳐서 지속적인 피해를 입을 수 밖에 없었을까? 그만큼 취약한 국가였을까? 아니면 취약한 대응능력을 지니고 있었을까?

일반적으로 언론 기사를 통해서는 정확한 면모를 확인하는 것이 어렵다. 단순히 작은 국가가 대규모 공격에 의해 대응능력이 없이 무너졌다고 보는 측면이 강하다. 그러나 IT세상에서는 크고 작음의 판단 기준이 영토에 준하지는 않는다. 

 

에스토니아 국가 자체가 IT화를 통해 국가 발전을 도모한 결과 EU와 NATO에 2004년 동시 가입될 정도로 동유럽에서는 발전화된 시도를 많이 한 국가로 볼 수 있다.  또한 전세계 최초로 인터넷을 통한 선거를 실시함으로써 실험적인 시도를 많이 한 동유럽의 정보통신 강국의 하나였다.

왜 동유럽의 정보통신 강국은 고립된 섬이 될 정도로 심각한 피해를 입었을까?

 

<http://www.riso.ee/en/information-policy/projects/x-road>

 

위의 이미지는 에스토니아의 기반 정보 시스템에 대한 간략화된 이미지 이다. X-road라는 정보시스템을 인터넷 기반으로 유지하고 있음을 볼 수 있다. 또한 국가 예산 및 운영에 필요한 가장 자원이라 할 수 있는 인구 통계와 차량등록, 건강보험 관련된 내용이 통합되어 300여 개 이상의 국가기관과 연동되어 서비스 되고 있으며 금융기관과도 연동된 형태로 서비스 되고 있음을 알 수 있다. 각 연결지점에는 해킹이나 데이터 유출에 대비하여 암호화된 지점들을 모두 운영 하고 있음에도 불구하고 연결 자체가 되지 않도록 하는 DDos 공격에는 무차별적으로 무너질 수 밖에 없는 구조를 가지고 있었다.

 

에스토니아의 사례는 국가나 한 산업 자체가 밀접한 연관을 가지고 있고 공개된 통로를 이용할 경우에 치명적인 피해를 입을 수 있는 Cyber war의 전형적인 모습을 관찰 할 수 있다. 이 당시에 활용된 DDos 공격은 일반적인 DDos 공격 세트라고 할 수 있는 각 프로토콜별 자원 고갈형의 공격이 지속 되었으며 공격에 대한 대응은 외부 유입되는 트래픽을 일시적으로 모두 차단 함으로써 일차적인 회복을 할 수 있었다. 국가 내부의 망은 정상화 시킬 수 있었으나 외부와 연결 되는 모든 통로를 차단한 채로 지낼 수 밖에 없어서 고립된 섬으로 불려진 것이다.

 

 

2007년에 발생된 에스토니아의 공격이 일반적인 DDos 공격 이외에도 다양한 공격이 병행되어 진행된 것을 볼 때 이후 3년의 시간이 지난 지금에 이르러서는 더 치명적인 내용으로 전개 될 수 밖에 없음은 명확하다.

 

2009년 7.7일에 발생된 DDos 공격의 경우 일반적인 DDos 공격과는 차이점이 존재하고 있으며 그 변화상을 일면 짐작 할 수 있다.  KISA의 자료를 통해 7.7 DDos의 현황을 살펴 보면 다음과 같은 이미지로 간략하게 요약이 된다.

 

< ref: KISA >

 

1차, 2차, 3차로 세분화된 공격의 특징은 지정된 일시에 지정된 목표를 향해 예정된 공격을 수행 했다는 특징이 있다. 단순한 트래픽 소모를 위한 DDos 공격과는 별개로 서비스 자원 소모를 위한 DDos 공격도 병행되어 활용이 되었으며 해외로부터 유입되는 공격의 경우 손쉽게 차단되는 점을 이용하여 국내에 존재하는 대량의 좀비PC를 활용 했다는 점이 눈에 띄게 달라진 점이라고 판단된다. 

 

일반적인 DDos 발생시에 대응은 좀비PC를 조종하는 C&C ( Command & Control) 서버를 찾아 연결을 차단함으로써 좀비 PC에 설치된 공격도구를 무력화 시키는 방식으로 진행이 이루어 진다. 그러나 7.7 에서는 왜 예정된 3일의 공격을 무력화 시키지 못했을까?

 

그 이유는 이미 3일간의 공격이 세분화 되어 예정이 되어 있었기 때문이며 좀비 PC를 직접 통제하는 형태가 아닌 좀비 PC에서 명령이 존재하는 서버로 연결을 하고 추가적인 명령을 확인 하는 형태로 구성이 되어 있기 때문이다.

 

중요한 차이점은 기존의 DDos 공격 방식에 대한 대응으로는 어려울 수 밖에 없는 이미 예정된 공격이었다는 점이다.

 

간단하게 정리한 DDos 형태의 변화이다.

DDos 공격 유형은 공격 형태에 따라 기술적인 분류가 가능하나 현재 나타난 여러 유형의 DDos 현상을 형태적으로 분석해 보면 연결타입과 공격유입소스라는 부분을 통해 구분을 할 수가 있다. 각 연결 형태와 공격유입 소스의 출발점에 따라 대응은 모두 달라질 수 밖에 없다.

 

에스토니아

연결타입 : Active – 해외의 Botnet을 이용한 공격

공격유입소스: Outside – 해외에 존재하는 좀비 PC 활용

 

일반적 DDos

연결타입: Active – Botnet을 이용한 공격

공격유입소스: Inside – 국가 내의 PC를 공격하여 획득한 좀비 PC Agent를 활용한 봇넷 공격 (알려진 유형의 공격이 일반적임)

7.7 DDos

연결타입: Semi Active – Botnet C&C 서버가 직접 통제하는 것이 아닌 좀비PC들이 여러 서버들에 접근하여 공격정보를 획득하는 유형

공격유입소스: Inside – 국가내의 PC를 공격하여 좀비 PC 획득 (알려지지 않은 유형의 공격 기법 사용으로 사전탐지 안되었음)

각 형태별 대응방식의 변화를 간단하게 도식화 하면 다음과 같다.

 

DDos 공격에 대한 기본적인 기술대응은 논외로 하더라도 형태의 변화에 따른 심각성은 충분하게 나타난다고 볼 수 있다. 백신에서 사전탐지가 되지 않는 Malware성의 도구 유포와 반능동방식의 조정을 통한 공격 효과는 7.7 DDos에서 보듯이 명확한 효과를 나타내고 있다. 만약 1년이 지난 지금 시점에도 동일한 공격이 더 대규모로 발생 된다면 기술적인 대응을 일정수준 이상 끌어 올린 기업들 조차도 어려움을 겪을 수 밖에 없을 것이다.

 

근본적으로 DDos 대응의 과제는 이제 일반적인 PC 환경을 얼마나 클린하게 만들고 사전에 위험을 인지 할 수 있고 또 즉각적인 협력과 대응을 통해 피해를 최소화 할 수 있느냐 하는 점에 집중이 되어야 한다.

 

24시간이 지나면 몇 만대 이상의 웹서비스들이 자동화된 도구에 의해 해킹을 당하고 악성코드를 유포하는 상황에서 좀비 PC의 확보는 더 이상 어려운 일도 아니고 너무나도 쉬운 과제임에는 명확하다. 근본적으로 악성코드가 손쉽게 퍼지는 환경을 개선하는 것이 가장 시급한 과제이며 대응장비의 증설과 대응인력의 확대는 눈 앞의 위험만을 피하고자 하는 대책일 뿐이다. 근본 환경의 개선은 현상적인 문제가 드러난 7.7 이후 달라진 점은 없다고 본다.

 

앞으로도 근본 환경의 개선 없이는 사태는 점차 심각한 국면으로 진입 할 수 밖에 없을 것이다.

다음 컬럼에는 Mass sql injection에 대한 컬럼을 게재할 예정이다.

 

* 좀 더 상세한 자료 및 관련 발표 자료는 블로그에서 찾을 수 있습니다.

http://p4ssion.tistory.com/entry/에스토니아-77-DDos-그리고-미래

http://p4ssion.tistory.com/attachment/cfile10.uf@165F670E4C16F178AE44ED.pdf  <- 발표자료

twitter:  @p4ssion