'보안'에 해당되는 글 256건

2011/12/06 History of p4ssion (바다란) (2)
2011/11/01 해외 보안 이슈 촌평 및 간략 2011.11.1
2011/09/11 [갱신]구글이 탐지 할 수 없는 위험과 신호 20110910
2011/09/01 진짜 SaaS (Security as a service)의 시작에서
2011/08/25 해외 보안기사 및 현실에 대한 비평 - 8.25
2011/07/01 룰즈섹(LulzSec)이 대수인가? (1)
2011/06/26 해외 ISP가 악성코드 경유지 주소로 직접 활용된다.
2011/06/22 木鷄 - 단계에 이르는 깨달음
2011/05/26 거인의 몰락 (소니)
2011/05/16 소니,현대캐피탈 -시작된 위기
2011/05/11 최근 해킹이슈에 대한 '마이너리티 리포트'
2011/04/28 공격도구로의 웹과 대응 - 악성코드 동향 및 7500만의 해킹에 붙여
2011/04/20 2년 후의 사이버 보안에 대하여 - 미국
2011/04/11 현대캐피탈 해킹. 시사점과 지금의 문제 (2)
2011/03/28 Mysql.com과 Sun의 DB 유출- Blind sql injection
2011/03/26 p2p 및 악성코드 유포지에 대한 심각한 문제제기.
2010/12/25 경유지의 폭발적 변화와 확산. 이건 징후라고 봐야 할 사안들
2010/12/20 구글의 악성코드 차단 정책의 선회가 가지는 의미
2010/12/06 악성코드의 반복적인 발생과 대규모 유포의 원인
2010/10/22 스마트 시대의 보안 대처법과 대응전략 -인터뷰
2010/10/19 Stuxnet (SCADA) 대응과 앞으로의 과제
2010/10/07 Facebook 사건과 8억달러의 벌금 - 기사분석 (12)
2010/10/05 애플과 보안 -2
2010/10/01 Stuxnet? 아직 본게임은 시작도 안했다.
2010/09/28 애플과 보안 -1
2010/09/27 CEO,CTO가 알아야 할 보안 지식 혹은 상식
2010/09/23 홈페이지 해킹, 악순환의 고리를 끊어라 ( SQL Injection) - p4ssion
2010/08/20 인맥(InMc). 왜 인텔은 맥아피를 9조원에 인수 했나? (2)
2010/08/17 세계 50만대 이상의 웹 서비스 봇넷 배포지로.. 그리고.. 의견
2010/08/05 [컬럼] 웹서비스 보안의 불편한 진실 - Mass SQL Injection (6)

History of p4ssion (바다란)

Security Indicator 2011/12/06 13:27

History of p4ssion (바다란) - 2011.12.06 (계속 갱신 예정)

15년 가까이 이 분야를 보면서 여러 활동을 했었습니다. 본 컨텐츠는 여기저기 흩어져 있는 기록과 문서를 종합하기 위해 작성 합니다. 또 지난 십 년 이상의 IT관련 중요 이슈들에 대한 Security 측면의 내용들과 거기에 대한 기록들도 일부 보실 수 있을 것입니다. 공개문서나 컬럼만을 기준으로 정리 하도록 하겠습니다.

1998. “해커의 길 그리고 나의 길” http://p4ssion.com/233

1999. “ 프로그래머가 되는 길” http://p4ssion.com/232

2002.8 Threat of china – 중국발 해킹에 대한 최초 보고서. 이때부터 향후 중국의 공격기술에 대해 심각한 주의를 기울여야 된다고 경고함. (이 당시만 해도 중국은 체계적이고 고급화된 역량을 보유 하지는 못했으며 외부 공개된 공격기술의 집합을 이용 했습니다. 지금은 독자적인 도구와 공격기법으로 무장하고 있죠. 10년 가까운 시간이 흐른 지금은 전 세계 누구도 부정하지 못할 사안입니다만 과연 2002년에도 그랬을까요?)

Threat of China 공격 분석 및 대책 (2002.08, 문서).pdf

2002.8 브라질 해킹 그룹분석 – 중국에 이어 브라질 해킹 그룹에 대한 분석과 영향에 대한 문서

브라질 해킹 그룹 분석 (2002.8).pdf

2002.10 Critical Alert for Cyber terror – 이 또한 국내외를 포함하여 최초의 SCADA & DCS 기반시설에 대한 문제와 대응 방안을 설명한 종합문서. ( 이 당시 국내외를 막론하고 SCADA나 DCS에 대해서 이해하는 사람도 매우 극소수이고 더군다나 보안의 관점에서 보는 사람은 거의 없었습니다. 전 세계적으로 매우 극소수.. 그러나 이건 2010년의 Stuxnet과 현재의 듀큐로 인해 확실하게 증명이 되죠. 너무 빠른 것도 문제이긴 합니다. )

Critical Alert for Cyber Terror (2002.10.31).pdf

2003.1.25 대란 – 1.25 대란의 최초 신고자 및 분석자 ( 최초 신고자 맞습니다. ^^)

1.25일 당일의 1차 분석 문서

2003년 1.25 대란 분석 v0.1 (2003.1.25).pdf

1.26일의 2차 분석 문서

2003년 1.25 대란 분석 v0.2 (2003.01.26).pdf

1.27일 . 최종 시나리오 분석 문서

2003년 1.25 대란 분석 v1.0 (2003.01.27).pdf

2005년 – 1.25대란에 대한 최종 의견 -http://p4ssion.com/117 KT 내부망에서 시작

2003.8 RPC Worm 확산에 따른 분석 문서

RPC Worm (2003.08).pdf

2005.1 Application Attack 에 대한 문서 – PHP Mass Attack에 대한 분석과 대응방안

Application Attack (2005.01).pdf

2005.3 해커의 길 II - http://p4ssion.com/228

2005.4 Zeroday 웜에 대한 발표, 공격기법 분석과 향후의 발전 예상

제로데이 웜 (2005.04).pdf

2005.10 Threat of China 공격 분석 및 대책 발표 – 향후 웹 공격에 대한 집중도가 높아지고 자동화 되어 위험성이 높을 것임을 예상하고 분석한 발표자료, 대응 방안으로 2006년 SourceForge에 등록한 Gamja가 처음 선을 보임.

Threat of China 공격 분석 및 대책 (2005.10, 발표.pdf

2006.2 Winamp Application 문제의 현황 및 해결

Winamp_Application_문제의_현황_및_해결(2006.02.01).pdf

2006.6 개인사용자를 위한 정보보호 실천가이드 문서

개인사용자를 위한 정보보호 실천 가이드 (20.pdf

2006.10 해킹의 발전과 대응 – 발표 내용은 항상 유사합니다.

2006 해킹의 발전과 대응 (2006.10.24).pdf

2006.11 중국발 해킹 분석 및 대응, (기업차원의 방안) 발표자료.

중국발 해킹 분석 및 대응 (2006.11.30).pdf

2007.4 게임산업에서의 Vista 파급효과와 보안의 이슈 – 문서

2007.4 정보보호학회-비스타보안특집-NHN 전상.pdf

2007.6 Web 2.0 위험요소와 대비. 발표자료

Web 2.0 위험요소와 대비 문서 (1) (2007.06).pdf

Web 2.0 위험요소와 대비 문서 (2) (2007.06).pdf

2007.11 IT서비스의 위험과 향후 대응 문서

DDos와 악성코드 확산 모델, 대응 방안에 대해서 기술한 문서.. 대책이 제대로 되었다면 이후의 7.7 DDos나 3.4 DDos도 헤프닝으로 끝날 수도 있었을텐데… 현재까지도 매우 부족한 부분들이 되겠습니다. 앞으로도 많이 해야 하는 부분이기도 하구요.

IT서비스의 위험과 향후 대응 (2007.11.01).pdf

2008.01 Enhanced web, Enhanced Risk –발표자료. Web 2.0의 위험에 대한 발표

Enhanced Web, Enhanced Risk(2008.1).pdf

2008년 이후는 컬럼을 주로 활용 하였습니다.

Bloter.net - http://www.bloter.net/archives/author/p4ssion

Zdnet - http://www.zdnet.co.kr/column/column_list.asp?column=0135

이외 보안뉴스, 전자신문이 있습니다.

2009. 07 . 7.7 DDos에 대한 내용. DDos 악성코드 유포에 대한 추론과 사실 문서

2009.7 DDos 악성코드 유포에 대한 추론과 사실.pdf

2009.11 Inevitable Cyber warfare – 7년만에 내 놓은 SCADA & DCS 위협에 대한 갱신문서 – 사이버 아마겟돈 시나리오 가이드 하면서 갱신판을 작성함. 이후 2010년 Stuxnet 출현

Inevitable Cyber Warfare (2009.11).pdf

2009.11 Change of global threat – 컬럼

2009 Change of Global threat( 2009 글로벌 위협의 변.pdf

2010.07 DDos문제의 핵심과 변화에 대하여 – 문서

2010.07 DDos 문제의 핵심과 변화에 대해.pdf

2010.11 네트워크 단위 보안 솔루션의 미래와 전략 발표자료 - Concert

20101123 네트워크 단위 보안 솔루션의 미래와 .pdf

2010.11 에스토니아 7.7 그리고 미래대응 발표자료 – Ddos 공격과 국가간 사이버전에 대한 분석

SIS 2010_(전상훈) 에스토니아 7.7 그리고 미래 .pdf

2011.3 위기의 인터넷 (현재의 위협과 미래 대응) – 발표자료

20110328- 위기의 인터넷(KAIST 전상훈) .pdf

2011.07 해커의 길, 전문가의 길 발표자료 – 방향성 제시를 위한 자료

해커의 길(전문가의 길) -20110723 발표.pdf

현재까지 검색을 통해 확인한 발표자료와 문서들입니다. 제가 만들었던 자료를 검색을 통해 찾아야 하는 상황이 어이없긴 하지만 ^^; 아직 찾지 못한 문서들도 있고 수록 되지 않은 발표자료들도 있습니다. 이 부분은 차후 계속 갱신 하도록 하겠습니다. 이외에도 프로그램이나 의미 있는 변화를 가져왔던 내용들도 있는데 기업에서 시행 했던 것들 중 대외적으로 영향이 있었던 두 가지만 언급 하도록 하겠습니다.

2005년 . 온라인 보안패치 서비스 실시 – 이전까지의 보안 업데이트는 패치를 MS 웹사이트에서 방문하여 다운로드 받아 설치하는 유형이였으며 이 당시 국내 기업 (소프트런? )과 처음으로 웹서비스에서 자동으로 설치되는 서비스를 운영 하였습니다. 최종 기억으로는 1200만대 가량의 PC에 보안패치를 깔았던 것으로 기억 합니다. 이후 2006년 부터는 MS의 패치 정책이 자동업데이트 방식으로 변경 하는데도 영향을 주지 않았을까 싶습니다. 공격자들이 가장 많이 활용하는 취약성에 대해서 패치를 함으로써 공격자들에게도 영향을 미쳤다고 보고 있습니다. – http://blog.naver.com/p4ssion/50004629544 관련 기사입니다. 이 블로그도 폐쇄 했지만 자료보관 용도로 남겨 두고 있습니다.

2007년. End to End 단계의 키입력 보호 시스템 - 이 당시까지 가장 유행하던 공격기법은 BHO를 이용한 계정 탈취 기법 이였고 이것을 막기 위해 제안한 보호 시스템입니다. 이건 네이버에서 지금도 운영 되고 있죠. 1,2,3 단계 각각마다 의미가 있고 보호율이 매우 높은 체계 였습니다. 이후에는 다수의 기업들에서 모방이랄까? 뭐 그렇더군요. 현재도 유효한 방안입니다.

회사의 경력은 너무 지저분(?) 하여 따로 기술하기가 민망합니다. 쓰다보니 요즘 유행하는 나꼼수의 깔때기 성향이신 분하고 비슷한 스타일이 되었네요.

정리하면서 보니 정말 유사한 말을 많이도 했네요. 그래도 세상은 아주 조금씩 밖에 변하지 않았고 위험들은 그대로 입니다. 앞으로는 말이나 글보다는 직접적으로 보여 줄 생각입니다. 이미 일정궤도에 오른 상태이고 어떤 식으로 눈 덮인 길을 헤쳐 나가는지 진지하게 보실 수 있으실 것입니다.

– 바다란 세상 가장 낮은 곳의 또 다른 이름

'Security Indicator' 카테고리의 다른 글

고급 보안 정보 제공 서비스 시작 (0)	2012/02/08
애플과 구글의 밀월 시작되다. (0)	2012/01/12
History of p4ssion (바다란) (2)	2011/12/06
진짜 SaaS (Security as a service)의 시작에서 (0)	2011/09/01
wmf 이미지 공격을 통한 대규모 피해 우려 (0)	2010/04/27
Top 25 프로그래밍 에러 (0)	2010/04/27

Posted by 바다란

TAG p4ssion, 바다란, 보안, 전상훈, 해킹

트랙백 0개, 댓글 2개가 달렸습니다

해외 보안 이슈 촌평 및 간략 2011.11.1

Security Indicator/Insight Security 2011/11/01 13:30

* Facebook에 올렸던 촌평을 묶어서 게시한 내용입니다. - p4ssion

Chinese Military Suspected in Hacker Attacks on U.S. Satellites - Businessweek

http://www.businessweek.com/news/2011-10-27/chinese-military-suspected-in-hacker-attacks-on-u-s-satellites.html

블룸버그 뉴스보도 입니다. 2007년과 2008년에 미국의 기상관측 위성과 지형관찰 위성에 4회 정도의 침입이 있었다는 보도 입니다.

항상 오해를 하는 것이 위성을 해킹한다는 것은 위성에 직접 침입한다는 것이 아니고 위성을 조정하는 지상의 시스템을 권한 획득 했다는 것이죠. 마찬가지 결과 입니다만 항상 오해를 하죠.

실제 위성에 대한 권한 획득이나 외부조정의 배경에는 중국 군부가 있을 것으로 당연히 예측 되었으나 중국은 부인 하죠.

실제 사이버전의 배경도 마찬가지 입니다. 외부세력에 의해 분쟁이 조정 될 수도 있고 또 다른 세력에 의해 사이버전이 조장 될 수도 있습니다. 그만큼 실체와 정체를 확인 하기가 어려운 전장임은 분명합니다.

또 상대방을 조작하기에도 손쉬운 전장이구요. 미국에서 사이버전을 제 5의 전장으로 정의하고 물리적 전투력을 투입 하겠다는 것은 그래서 위험한 발상입니다. 위험한 발상이지만 그만큼 극도로 위협을 받고 느끼고 있다는 것의 반증이기도 하죠.

그럼 우리나라는??.

흐 손이 아프니 그만 하도록 하죠.

China a minimal cyber security threat: Paper

관련 기사 및 Report 입니다. 한번 일독은 필요한 부분 입니다.
http://www.computerworld.com.au/article/405767/china_minimal_cyber_security_threat_paper/
http://www.securitychallenges.org.au/ArticlePDFs/vol7no2Ball.pdf

중국의 단점은?. 한쪽으로 너무 치우쳐진 불균형적인 사이버전 전력.

극단적인 공격 측면에만 치우쳐져 있고 실상 방어에는 무기력한 면을 보이고 있다는 점. 단순한 기사들과 관련 기사들을 묶어서 종합적인 의견을 도출해낸 페이퍼 정도. 그냥 일상적으로 알고 있는 내용을 묶었다고 생각 하면 될듯.

공격에는 극한대로 올려진 공격력을 가지고 있으나 좀 더 복잡하고 하이브리드한 공격에는 약하며 ( 뭐 시간이 해결해 주겠지만.) 방어 측면에서는 상당히 취약함을 보임. 그러나 가장 두려워 해야 할 곳들은 어디인가를 살펴야 하는데 그게 부족한듯.

ICT가 활성화 되어 활발하게 활용되고 있는 모든 국가들 ( 아마 선진국이나 그 문턱에 걸려 있는 모든 국가가 해당됨), 즉 지켜야 할 것이 많은 국가들은 반드시 방어와 보호에 역량을 갖추어야 된다. 무조건 공격이나 탐지 되면 미사일 쏘겠다는 엄포로는 씨알도 안먹힌다는걸 알아야 되는데 안타까움.

일정수준 이상의 대응 경험, 계속 갱신되는 환경과 정보에 대한 업데이트, 다양한 대응수단, 일정 수준 이상을 항상 유지 할 수 있는 도구나 서비스의 자체 운영 등등.. 해야할 과제들이 이렇게 많은데 그냥 넋을 놓고만 있다.

일단 당하면 시작하자 ..이기도 하고 너무 무지해서 이기도 하며 정보통신은 그저 사회를 유지하는 도구일뿐이라고 생각하기 때문이기도 하다.

인간의 단어는 사람 사이이고 사람 사이는 관계를 의미한다. 이 관계가 사회를 이룬다. 지금의 ICT 는 관계를 시.공간적으로 단축하고 즉시적 반응을 끌어내는 핵심적 도구다. 즉 사회의 기반이라는 말이다. 왜 SNS 인가? 부터..

허긴 당하고서도 허송세월 하기도 하는데 .. 다른 나라들을 말할때가 아니기도 하지.

Process, not just product, will save your IT department • The Register

http://www.theregister.co.uk/2011/10/26/rtfm_process/

일단 여기에 대한 의견은 많음. Grossman 의 의견도 맞지만 프로세스가 모든걸 해결 하지 않으며 그 프로세스가 또한 정답이 될 수 없음. Intermediate 한 도구 및 프로세스가 결합되어야 하는데 현재는 그것과 거리가 있음. ITIL 이나 Cobit , ISO27K 등도 모두 유용한 프로세스이나 이 프로세스를 도입하여 적용 하기에는 성숙도가 너무 떨어짐.

부유하고 여유가 있는 자들만이 이 세상을 가치있게 만드는 것이 아님.
모든 사람들에게 공정한 기회가 주어져야 하고 보안도 마찬가지 여야 된다고 생각함.

지금까지는 가진자들에게만 모든 보호 방안들이 주어졌으나 이제는 그렇게 되어서는 사회 나 시스템 전체를 레벨업 할 수가 없다고 보고 있슴.

그래서 본인의 선택은 ..모든 것을 자세하고 완벽하게 하기 보다는 가장 시급하고 손쉽게 공격당하는 부분들에 대해서 체크하고 아주 저가에 진단이 가능하며 실질적인 코딩 가이드까지 된다면 일차적인 문제는 해결을 할 수 있다고 봄.

빈자나 부자에게나 공정한 기회. 그 기회는 서비스로서 주어질 수 있다.

항상 보안을 한다고 하면 비싼 장비를 먼저 도입하는 것이 순서이고 당연한 것처럼 여겨졌으나 이 문제들은 앞으로도 공격기술의 빠른 진보에 의해 손쉽게 무너질 모래성임. 그렇다고 도입 하지 말자는 아니며 도입하되 더 중요한 가치를 어떻게 지키고 전체의 수준을 어떻게 유지 할 수 있을 것인가에 대한 고민이 필요하다는 점.

부자는 전체를 살펴 볼 수 있게 해주고 빈자에게는 당장의 시급한 문제를 해결 할 수 있게 해준다가 빛스캔의 서비스 컨셉임.

다만 한국에는 실정상 맞지 않는 부분이 있고 이미 알고 있는 부분이며 지금의 서비스 오픈은 차후를 대비한 명분축적용. 이미 글로벌 적용은 눈앞에 온 상황이고 거기에 포커싱이 되어 있을 뿐임.

제대로 되었을 경우의 뒷일에 대해선 언급 불필요.
알아서 느낄리도 없겠지만 댓가는 비싼 댓가를 치룰 것임.

이미 오래된 이야기이고 생각일뿐. 이젠 구체화의 타임.
앉아서 세상을 본다. 이게 인터넷이고 평등한 세상. 모두가 위협을 받는 평등한 세상에서 기회란 접근성의 확대와 시대적 문제를 해결 할 수 있느냐 이고 아직 이런 개념을 가지고 준비하는 곳은 없다. 오로지 돈이 목적일뿐.

이상과 방향이 없는 기업이나 서비스 모델은 이래저래 바뀌고 변경 되다 누더기가 되게 마련이고 종래에는 흔적없이 사라지게 마련이다. 그렇게 만들지는 않을 것이다. 어차피 대상은 여기가 아니니까..

Strong increase in hacker attacks targeting retailers - Security Park news

http://www.securitypark.co.uk/security_article266904.html

Dell Secure works에서 소매점 대상으로 분석한 공격의 증가 현상과 원인에 대한 내용. 의미 있는 내용들이 있슴. 이제 해외에서도 상황에 대한 기본 인지가 되어 간다고 봐야 할듯. 그러나 해답은 저기 먼 안드로메다에 여전히 가 있는 상태. 어쩌면 말그대로 자포자기 상태로 가는지도 모르겠다.

지금껏 그 완벽한 보안솔루션 ( 최초 혹은 완벽 이라는 말이 안 붙은 솔루션이 있던가? .. 단지 현혹을 위한 단어 선택이라면 앞으로 계속 후회하게 될듯) 들의 역사는 그리 오래 되었음에도 불구하고 문제는 계속 더 커지고 확산 되는가 .. 고민이 필요하다.

간단하게 요약하면 전년대비 소매점으로 부터 들어오는 의심 트래픽에 대한 차단이 거의 43%가량 증가 했다는 이야기이고 이 근간에는 세 가지 주요 요인들이 존재 한다고 분석 .

1. SQL Injection에 의한 직접 정보 탈취 및 권한 탈취 -서비스 영역

2. Web kit에 의한 대규모 확산 - 뭐 별거 아니다. Web으로 조정이 가능한 Web bot 정도 생각 하면 된다. 예전 Botnet은 저리 가라 할 정도..

3. Web을 통한 Download action에 의한 감염 - 이건 기본 보호 솔루션들을 통과하여 발생 하고 이후 Web kit을 전파하거나 다양한 공격 도구 및 권한 획득 도구를 시스템에 설치한다.

이 세가지 항목 모두 사용자 베이스 및 서비스 베이스에 동일하게 발생이 된다는 것이고 근본적인 것은 단 하나다.

취약한 웹 애플리케이션에 의한 정보 유출 및 악성코드의 대규모 유포가 핵심!.
그리고 이 문제점을 수정 ,보완 하는 것은 매우 어렵다는 것을 의미한다. 수없이 많은 도메인 , 언제든 수시로 변경 되고 갱신되는 Web app 차원에 상시적인 보안을 유지 한다는것은 매우 어려운 과제이다. 앞으로도 계속 될 문제라는 것.

앞으로 더 증가 할 것은 불을 보듯 뻔한 것 아니겠는가?
기존 도구들로 최대한 노력을 해보길~ 자신 이외에 주변 것들 까지도 같이 수준을 올려야 할 것이다. 듣기좋은 말 하지 않겠다. 할 수 있으면 해볼 것.

'Security Indicator > Insight Security' 카테고리의 다른 글

Malware Detected- 구글 블럭의 문제점 (0)	2012/01/07
Mola Mola와 위기의 인터넷 (0)	2011/11/22
해외 보안 이슈 촌평 및 간략 2011.11.1 (0)	2011/11/01
[갱신]구글이 탐지 할 수 없는 위험과 신호 20110910 (0)	2011/09/11
룰즈섹(LulzSec)이 대수인가? (1)	2011/07/01
거인의 몰락 (소니) (0)	2011/05/26

Posted by 바다란

TAG p4ssion, 바다란, 보안, 전략, 전문가, 해외보안, 해킹

트랙백 0개, 댓글 0개가 달렸습니다.

[갱신]구글이 탐지 할 수 없는 위험과 신호 20110910

Security Indicator/Insight Security 2011/09/11 00:00

* 9.14일의 점검 결과로 추가 보강 하였습니다. 9.10일 3개 사이트 5개의 링크에서 국내만 현재 19800여개의 페이지로 확산 되어 있습니다. 자동화된 공격이 얼마나 일반적인지 확인 하시기 바랍니다. 더불어 구글의 검색 수집과 정렬의 시간차가 있고 공격자들은 이미 이 패턴을 가볍게 벗어난다는 것이죠. 9.14 현재에도 새로운 fake av 유포 URL이 발견 되었습니다.
fake av를 설치하는 링크가 추가된 사이트들 모두 DB의 데이터는 모두 유출 되었다고 봐야 됩니다. 이제는 그 가치도 없어서 다만 fake av를 설치하는 껍데기로 전락한 사례가 되겠죠. 근본 문제 수정 없이는 계속될 이야기 입니다.

------------------------------------------------------------------------------

이틀전 올린 허위백신 설치 통로인 bookmonn.com/ur.php가 구글 검색에 반영되기도 전에 어제( 2011 9,9)부로 새로운 경로로 변경이 되고 있다. 현재 모니터링 대상에서만 70여곳 (국내사이트 ) 이상인데 불구하고 구글 검색에는 10개 정도 나온다. ~

구글 검색 믿지 마시라.~ 그냥 자료 찾는 정도로만 활용하자. 구글의 세이프 브라우저도 마찬가지이다. 크롬이나 파이어팍스 사용중에 붉은색으로 화면 전환 되는 것들 몇 번 경험들 하셨을텐데.. 그 실체가 구글의 데이터 기반 ( stopbadware.org 참고) 이다. 과연 믿을만 한 것인가에 대한 의심은 누구도 하지 않았을 것이다. 또 실제로 구글 같은 규모의 회사와 서비스에 검증할 만한 용기를 가질 곳도 없을 것이다. 전 세계 누구라도..

데이터와 증명이 가능한 수치만 있다면 동일 모집단 대상으로 하였을 경우에도 충분한 설득력을 가질수 있다.

이미 데이터는 누적이 되어 있고.. 잠시 여유 있다면 더 진행 할 예정이나 단순히 눈에 보이는 몇 가지 만으로도 부분적인 확인들은 가능하다.

과연 실제 위험은 무엇인가? 하는 질문도 가져야 할 것이고 빙산의 일각은 정말 운이 좋아야 걸리는 정도라고 해야 될까?

검색을 통해 나오는 공격의 흔적은 이미 검색에 나오는 이상으로 대규모 확산되어 있는 것이 기본이다. 성공한 공격은 통계에 나오지도 않는다. 일부 실패한 것들만 어쩌다 걸릴뿐인거다. 검색어 기반의 패턴을 이용한 매칭은 초기 자료의 정렬에도 많은 시간이 소요 될 수 밖에 없다. 그리고 패턴매핑에 걸려드는 데이터들도 시일이 지나야만 정리가 될 것이고 의미 있는 자료가 될 수 있다. 이때는 이미 공격은 한차례 지나가고 또 다른 변화를 가진 다음일 것이다.

이틀전 9.7일에 발견된 bookmonn.com/ur.php 를 이용한 허위백신 경로가 대폭 변경이 되고 있다.

bookgusa.com/ur.php 로 변경 되었다. 그리고 이 데이터는 지금 이순간 전 세계 어느 누구도 모른다. 오직 공격자와 우리만 알고 있을 뿐이다. 그 결과를 살펴보자.

이미지 상으로 보면 중복제외하고 국내는 세곳이 나온다. 그리고 전세계를 통털어도 10곳 미만이 나온다. (중복제외).. 그러나 빛스캔의 대규모 유포 탐지에는 이미 70곳 이상의 웹서비스에서 유포가 되고 있다.

성공한 공격은 나타나지 않으며 무작위로 대입하다 실패한 것들만 일부 드러나는 현실이라는 점을 인식해야 한다. 또 fake av 설치로 유도하는 경우는 대부분 다운로드 없이 이슈가 발생하고 있어서 탐지나 대응은 아주 한참 뒤에나 가능해 진다. 대체 사전 대응. 즉 선제적 대응이라는 말은 이 분야에서 가당키나 한 것일까?

체계를 위협하는 진짜 위험한 것들은 검색 정도에 걸리지 않는다. 대놓고 공격하는 조무래기들 조차도 제대로 찾지 못하는 마당에 무얼 할 수 있을까?

구글 보다 나은게 뭐냐는 질문이 있어서 .. 신속, 정확, 현실적 위험도를 보는 관점이 다름을 알려 드리기 위해 잠시 소개한다.

또 하나의 그림을 보도록 하자. 9.10일자로 감지된 빛스캔 탐지 체계의 일부 화면은 다음과 같다.
큰 차이를 보이고 있음을 알 수 있다. 웹소스를 분석하는 구글조차도 결과가 형편 없을진대 다른 보안업체들은 말해 무엇하랴.. ( 국내는 비교할 필요 없이 전 세계 주요 기업들 모두 마찬가지이다. ) 현재 거의 할 수 있는 일이 없을 것이다. 한참 지난 후 침해사고 분석이나 여러 자료를 통해서 확인을 할 뿐이고...

좀 더 재밌는건 현재도 유일하게 잡아내는 체계이지만 곧 탐지이후 분석 단계까지 자동화 단계로 돌입 된다는 점이다. 공격하는 자들과 경쟁이 될 수 있을것 같다. 전 세계를 무대로...

다른 기업들과 경쟁 하는 것은 관심이 없다. 공격하는자들, 조롱하는 자들과의 승부가 가능한가에는 관심이 있다. 또 그것이 궁극적으로 최선의 길에 이르게 할 것임을 이미 잘 알고 있다. 그 길에 열정을 다할 뿐인것이다.

* 추가 확인을 위해 9.14일 오후에 확인된 구글 검색 결과를 올려 드립니다.
현재 국내 도메인만 19,800 여개의 페이지에 걸려 있음을 확인 할 수 있습니다. 불과 4일전만 해도 3개 사이트 5개의 페이지만 나오던것에서 말이죠. 현재 공격의 심각성을 분명히 인지해야 할 것입니다.

- 바다란

'Security Indicator > Insight Security' 카테고리의 다른 글

Mola Mola와 위기의 인터넷 (0)	2011/11/22
해외 보안 이슈 촌평 및 간략 2011.11.1 (0)	2011/11/01
[갱신]구글이 탐지 할 수 없는 위험과 신호 20110910 (0)	2011/09/11
룰즈섹(LulzSec)이 대수인가? (1)	2011/07/01
거인의 몰락 (소니) (0)	2011/05/26
소니,현대캐피탈 -시작된 위기 (0)	2011/05/16

Posted by 바다란

TAG bookgusa.com, bookmonn.com, fake av, ur.php, 구글, 보안, 보안전문가, 빛스캔, 해킹, 허위백신

트랙백 0개, 댓글 0개가 달렸습니다.

진짜 SaaS (Security as a service)의 시작에서

Security Indicator 2011/09/01 14:15

진짜 SaaS (Security as a service)는 무엇인가? – 서비스 시작에 부쳐

-바다란

지금의 시기에 Saas의 필요성이란 공격자 우위의 현재 인터넷 상황에서 절대적으로 필요하다. 고급화되고 차별화된 진입장벽을 유지하고 있는 현재의 보안서비스로는 대중적으로 넓게 퍼지고 있고 빠른 확산력을 가지고 있는 공격도구와 기법에 대해 무기력 하기만 하다.

현재 상태에서 공격자들은 대규모적이고 자동화된 공격 방법을 다양하게 가지고 있으며 실제 활용하고 있는 상황이나 대응의 측면에서는 매우 제한적인 영향력을 가질 수 밖에 없다.

첫째는 비용의 문제

“ 보안 서비스를 받는 다는 것은 양질의 서비스를 고급화된 인력으로부터 받기 때문에 그만한 가치를 지불해야만 한다. 자주 변경 되는 웹서비스에 대해 매번 보안진단과 서비스를 받는다는 것은 배보다 배꼽이 더 큰 경우를 자주 양산하게 될 수 밖에 없다. 현재 국내의 상태에서도 보안서비스를 받는 기업의 비율은 전체 웹 서비스에서 10% 미만 이라고 볼 수 밖에 없다. 여력이 있고 지켜야 할 그 무엇이 있는 기업 군에 한해서만 서비스가 이루어 질 수 밖에 없는 환경 이기 때문이다. “

둘째는 기간의 문제

“ 일반적으로 웹 서비스의 개발기간은 그리 길지 않다. 정형화된 형태에 이미지 작업들이 다수 추가 되기 때문이며 아주 특화된 서비스가 아닌 경우에는 항상 일정 기한 내에 끝나게 마련이다. 대부분의 웹 서비스 개발의 문제는 제한된 기한내에 개발을 하되 보안성, 가시성, 편의성을 만족 시켜야 된다고 한다. 기한이 촉박한 경우에는 눈에 보이는 것만을 가지고 평가 할 수 밖에 없다. 즉 눈에 보이지 않는 보안성은 항상 뒷전에 물러날 수 밖에 없고 보이는 것만으로 평가를 할 수 밖에 없으며 개발 업체에서도 가시성과 편의성에 중점을 둔 개발을 할 수 밖에 없다.

잦은 변경이 있는 웹 서비스에서 일반적으로 보안진단을 하기 위해서는 웹 개발자보다 비용이 높은 보안전문가들을 투입하여 개발하는 기간 이상의 정밀 진단과 문제점 파악이 필요한 현 상황에서 비용대비 효과를 맞추기란 쉽지 않다.

잦은 변경과 점검에 걸리는 기간의 문제는 현재 웹 서비스의 보안성을 단순한 도구에 의존하게 하고 있으며 이 도구들은 우회 공격에 취약함을 보이고 있다. 근본 원인 제거 없이는 계속 될 수 밖에 없는 문제라는 것이다.”

셋째는 이해의 문제

“ 한 서비스에 대해서 진단이 되었을 때 그 서비스의 기술적인 보안 문제들을 장문의 결과 보고서에 기록하여 보내준들 그 문제를 이해 할 수준의 개발자들은 거의 없다. 사전식으로 정의 되는 모든 보안 문제들에 대해 일반적인 이야기를 할 때 개발자들은 어느 것을 먼저 해야 하는지? 또 이걸 했을 때 서비스에는 지장이 없는지를 확인 하기가 어렵다. 전문가들 조차도 제대로 이해하기 어려운 보고서의 내용들을 분야가 다른 비전문가들이 읽고 이해 하며 적용을 할 것이라는 것은 상당한 거리감이 있는 이야기 라고 보아야 된다.

문제의 포인트는 가장 시급하면서도 공격자들에게 가장 많이 이용되는 문제들을 지적하고 고칠 수 있는 방안을 실시간으로 제시 할 수 있는가 이다. 보고서와 가이드를 보고 자신의 코드에 적용 시킬 수 있는 사람들은 많지 않다. 그러나 어떤 개발 습관이 또 어떤 코딩이 문제가 있는지를 문제 부분을 지정하여 확인을 시켜 주고 또 재 검증을 할 수 있다면 문제가 달라 질 수 있다.

현재까지의 웹서비스에 대한 보안 방법들의 문제들은 모두 동일한 문제점을 가지고 있다. 사용자 친화적이지 못하며 근본 원인 해결을 위해 부족한 점 ( 비용, 기간, 인력)들이 많을 수 밖에 없다.”

비용과 기간, 이해의 문제를 해결 하기 위해서 필요한 것이 SaaS 서비스이며 보안서비스를 위탁받아 관리를 해주는 것과는 다른 부분이다. 전 세계적으로 가장 필요한 부분이며 가장 대중화된 서비스인 웹서비스 자체를 안전하게 만들기 위해서는 빠르고 직시적이며 바로 반영 할 수 있는 서비스가 절대적으로 필요 할 수 밖에 없다. 국내만의 문제가 아닌 전 세계적인 문제이다.

서비스로서의 보안은 문제 해결을 할 수 있어야 SaaS라 불려져야 한다.

실시간으로 URL을 입력하고 웹서비스의 문제점을 확인 한 후 문제점을 해결 하는 방안을 직시적으로 적용한다. 이후 제대로 적용이 되었는지를 다시 한번 확인을 하게 되면 된다. 숙련된 개발자에게는 이 모든 문제를 해결 하는 시간이 빠르면 30분 늦어도 하루 이내에 완료가 되어야 한다. 그래야 현재의 위기에 처한 인터넷 서비스 상황을 반전 시킬 수가 있다.

SaaS란 지금까지의 패러다임을 바꾸어야만 가능한 모델일 수 밖에 없다.

아무도 모를 취약성이란 없다. 더군다나 공개적으로 오픈 될 수 밖에 없는 웹서비스에 대한 취약성은 데이터베이스까지도 직접 위험에 노출 시킴으로 더 심각한 상황에 처하게 되는 것이다. 이 문제의 해결은 접근성의 확대 , 저렴한 비용, 필요 부분에 대한 직접 가이드 제공이 되어야 가능 할 것이고 이때에야 우리는 문제 해결을 시작 할 수 있게 될 것이다.

전문가라면 스스로가 알고 있는 지식과 경험을 가장 낮은 수준에서 널리 이해 할 수 있도록 만드는 사람이 진짜 전문가라 할 수 있다. 보안전문가라면 알고 있는 기술과 경험을 대중에게 제공 할 수 있는 매커니즘을 고민해야 다음 단계로 갈 수 있다고 생각 한다.

이제 공격자들의 적극적 공세에 맞설 수 있는 가이드가 필요한 시대가 되었다.

세계에서 처음 시도되는 과정까지 보여주는 실시간 점검 서비스

국내의 90% 이상의 웹서비스들은 10분 이내에 점검이 완료 되도록 한 속도

가장 많은 공격도구들이 이용하는 웹 애플리케이션 취약성에 대한 집중진단

더불어 구글도 탐지하기 어려운 유포지 탐지는 덤으로 제공한다.

널리 세상을 이롭게 만들자는 가치 아래 시작되는 프로젝트

https://scan.bitscan.co.kr

: 빛스캔- 세상을 바꿀 플랜

'Security Indicator' 카테고리의 다른 글

애플과 구글의 밀월 시작되다. (0)	2012/01/12
History of p4ssion (바다란) (2)	2011/12/06
진짜 SaaS (Security as a service)의 시작에서 (0)	2011/09/01
wmf 이미지 공격을 통한 대규모 피해 우려 (0)	2010/04/27
Top 25 프로그래밍 에러 (0)	2010/04/27
RPC Worm 관련 문서 (0)	2010/04/27

Posted by 바다란

TAG Gamja, p4ssion, Scanner, SQL Injection, XSS, 보안, 보안전문가, 빛스캔, 취약성진단, 해킹

트랙백 0개, 댓글 0개가 달렸습니다.

해외 보안기사 및 현실에 대한 비평 - 8.25

Security Indicator/Security Analysis 2011/08/25 13:57

FB에 올린 450자 짜리 단상을 묶어서 게재 합니다.
별도 컬럼으로 정리가 필요한 것들도 있지만 fb에만 자주 쓰다보니 블로그에는 자주 못 쓰는 경향이 있네요. 또한 450자로도 표현하기 힘든 많은 내용과 생각들이 있어서 아쉬움에 여기에 옮깁니다.
페북 주소

Recruiting and developing the 21st century cyber warrior
http://www.scmagazineus.com/recruiting-and-developing-the-21st-century-cyber-warrior/article/210230/

이 글은 미국방 분야에서 사이버 보안 인력을 뽑을때 문제가 되는 부분들과 비교가 되는 부분들에 대해서 잘 정리가 된 컬럼 이다. 정확하게 문제가 되는 부분들에 대해서 지적하고 있고 이 내용은 국내도 동일하다.

글을 읽어야 할 사람들은 도구로서 이용만 하려 하거나, 숫자만 채우면 된다고 생각 하거나, 시키면 할 것이다라는 모든 사람들에게 해당 된다. 일반 회사도 마찬가지 상황일 것이다.

컬럼 자체는 정책결정 가능한 고위직, 군간부, 기업의 경영진이 꼭 봐야 할 내용이다. 물론 보안을 생각한다면..

결론적으로 가장 중요한 한마디만 요약하면 사이버 보안을 담당하는 인력들을 유인하기 위해 가장 중요한 하나는 동기부여 및 새로운 것에 대한 지적호기심 자극이 가능 중요하다고 할 수 있다. 별도 정리 예정

* 인력을 뽑는 다는 측면에서 고려해야 할 점이 많음을 볼 수 있다. 급여 및 다른 제반조건이 아무리 좋다고 하여도 다른 방향을 보는 사람을 포용하여 공동의 이익을 얻기 위해서는 서로가 같이 맞추어야 할 부분이 많다는 것이다. 가장 중요한 포인트는 두가지. 동기부여 측면과 공격을 강화 하는 것은 보호를 강화하는 것과는 다른 측면이라는 인식이 절대적으로 필요하다는 점이다.

보안분야를 강화하기 위해 인력 양성이나 인력 확보를 노력 하는 모든 기업이나 기관, 국가에서 귀담아 들어야 할 내용이라 생각 된다.

Google hacking exposes large caches of personal data
http://content.usatoday.com/communities/technologylive/post/2011/08/google-hacking-exposes-large-caches-of-personal-data/1

구글을 이용한 정보 유출에 관련된 내용. 특별할 것은 없다. 여기에서 언급된 FTP 검색과 같은 경우 민감한 데이터들이 보호되지 않은 상태에서 나타날 경우 언제든지 외부에 의해 검색 될 수 있다는 점이고 . 예일대의 개인정보 유출 사건과 같이 FTP에 올려진 데이터가 검색에 의해 드러나는 경우를 예로 들고 있다.

구글을 이용한 공격정보 획득은 이미 오래전 부터 이루어 지고 있고 지금도 활발하게 이루어 지고 있다. 고급검색을 통해 특정 URL과 인자를 조회하고 그 부분에 대해서 공격하는 기법, 파일 검색을 통한 정보 유출들은 일상적으로 있어온 일이다. 고급검색을 통한 URL 검출과 인자 검출 부분을 대응하기 위해서는 전체를 검사해야 하는 문제가 있고 이 문제는 앞으로도 오랜기간 지속 될 것이다. .

* 이 구글 해킹은 상당히 오래된 내용이며 단일 도메인에 대해서 공격을 하는 것은 이미 2005년에 출현을 하였다. 이 이전에 있던 것은 구글 도메인이 아닌 다른 유형의 php worm 이나 악성코드들이 있었으나 구글이 검색에서 주도권을 쥔 이후에는 이제 모두 이걸 이용한다. 그렇다고 구글에서 차단을 해 보았자 일정기간내의 횟수를 초과할 경우에만 제한이 걸리는데 이걸 공격자들은 가볍게 우회한다. 프락시 이용으로...

2005년에 출현한 것인 단일 도메인에 대한 공격 이였다면 2008년 무렵부터 지금까지 출현하는 대부분의 공격도구들은 전체를 대상으로 하고 있다. 불특정 도메인 ( 검색 조건에 맞는 모든 도메인이 해당된다. 특정 확장자에 특정 인자 사용 ..) 을 대상으로 공격과 악성코드 유포 시도를 반복하고 있다.

분명한 것은 지금의 공격 양상은 이 글을 읽는 분들이 생각하시는 것보다 휠씬 더 대규모이고 정교하다는 점이다. 이래서 대응이 어려운 것이기도 하고...

< 공격도구의 한 예이다. >

Epson, HSBC Korea, domain registrar hacked: 100,000 domains affected
http://www.zdnet.com/blog/btl/epson-hsbc-korea-domain-registrar-hacked-100000-domains-affected/55864

잭 휘태커에 의해 리스트된 가비아 해킹 사고. 해외에서 이런 기고를 보는 친구들은 어떻게 볼까?. 레지스타가 해킹 되어 주요 도메인을 포함한 10만개 이상의 도메인이 해킹 당한것으로 보이는 현실에서 단순한 문제라고 치부할 것인가? 근원적인 문제를 고민 해야 한다. 1.25때에도 DNS 가 문제가 되어 전체 서비스 연결이 안되었듯이 ( 서비스는 다 살아 있었다. 주소 매핑만 안되었을 뿐이지.) 앞으로도 동일한 현상은 심각한 문제라고 봐야 된다.

덧붙여 SK 컴즈의 해킹 사고에 대해서도 언급을 하고 있다. 해외에서 국내의 이슈에 대해 직접 언급 하는 것으로 볼때 이제 세상에 비밀이란 없고 우리끼리만 아는 것도 없는 것 같다.

공격과 수비의 조합은 절묘해야 팀이 이루어 진다. 공격보다 수비가 어려운 것은 지금의 축구에서도 당연한 일이다.

* 이 부분에 대해서는 별도 언급을 할 필요조차 없다. 공격을 하는 것은 한 지점과 한 부분을 노려서 목적을 달성 할 수 있지만 수비를 한다는 것은 성을 수비하는 것과 같다. 항상 꾸준하고 전술의 변화를 볼 수 있어야 하고 공격 전술의 변화에 따라 능동적으로 대응을 해야 한다.

말이 쉽지.. 전체의 수준을 일정 수준이상 올린 이후에 변화를 따라가고 수성을 한다는 것은 최소한 공격보다 열배 이상.. 아니 그 이상의 노력과 진지함이 필요하다는 것이다.
공격진의 헛발질은 애교이지만 수비진의 헛발질은 자멸이다. 그렇다고 모두가 다 공격일변도로 나갈 것인가? 정말 어려운 것은 공격이 아닌 막는다는 게 더 어렵다는 것을 인식 해야 한다. 우리에게 정말 필요한 것은 이런 막을 수 있는 전략가의 부재와 인력풀의 협소함, 경영층의 인식 부족이 가장 큰 걸림돌이 될 것이다.

Android-becoming-windows-of-mobile-hacking-world

http://www.itpro.co.uk/635725/android-becoming-windows-of-mobile-hacking-world

안드로이드를 Windows에 비교한 기사. 정확하게는 현재의 윈도우 시스템이 아닌 2000년 초반기의 윈도우쯤 될 것이다. 시스템 서비스의 문제로 인한 웜의 범람이 극대화 되었던 그 당시의 윈도우 시스템쯤 될 것이다. 안드로이드가 확대 되면 될수록 공격은 더 진지해 질 것이고 대응은 더 어려워 질 것이다. 대응을 위해서는 기존에 실험하지 못한 새로운 방안들이 도입이 되어야 할 것이다. 패턴 매칭은 이제 규모에 밀려 한계를 가지게 될 것이고 사전 대응이 아닌 사후 처리 용으로 사용하게 될 것이다.

지금의 백신들이 사전대응이라고 생각 하면 오산이다. 이미 확산되고 정체가 확인된 것들을 제거 하는 사후 처리용. 악성코드의 생존기간이 짧고 확산은 빠르고 대규모인 특징이 전세계 AV 업계 전체를 패전처리용으로 몰고 있다. 갈길은 아직 멀었다.

* 사용자가 몰리고 제한이 허술하면 당연히 공격은 증가하게 마련이다. 애플도 안심 할 수 있을까? 그나마 애플은 전수검사라도 하지 안드로이드는 안습니다. 전수검사를 해도 한계가 있고 심각한 문제들이 발생 하는데 그렇지 않은 곳은 계속 문제가 발생 된다.

안드로이드도 마찬가지 상황이 되겠지만 현재의 인터넷 상황은 공격자들의 일방적인 학살과 다름이 없다. 보호를 받고 노력을 기울이는 곳들은 방문자들의 환경 (즉 PC)이 초토화 되어 서비스적인 위험에 노출되어 있고 그렇지 않은 노력을 기울이지 않는 곳들은 그냥 열려 있는 상태이다. 그렇다면 일반 사용자의 환경은 언급하기 어려울 정도로 피폐해진 상황이라 볼 수 있다.

누가 백신을 사전대응이라 하는가? 지금의 양상은 단상에 언급했듯이 전세계 AV 업체 모두가 패전처리용에 몰린 상태라고 봐야 된다. 공격자들의 도구의 활용과 전술의 변화는 AV 뿐 아니라 대부분의 보안업체를 규모에서 압도하고 관찰까지 하는 여유를 보이고 있다. 관찰의 의미는 대응여부를 확인하고 바로바로 변화를 준다는 의미이다.

3일만에 대응이 가능한 AV 업체가 있을까? 구글의 stopbadware는? 날마다 바뀌는 코드의 종류를 탐지가 가능할까? .. DNA를 이용한 검증 조차도 무력화 시키는 도구들이 일상적으로 사용 되고 있는데 앞으로 보안업체 모두가 고난의 시간을 걸어야 할 것이다. AV는 물론이고 정통적인 보안업체들도 마찬가지 이리라.

결론은 지금의 짧은 호황을 좋아 하기에는 상황이 심각하다는 점을 알아야 된다는 이야기이다.

- 바다란 세상 가장 낮은 곳의 또 다른 이름

'Security Indicator > Security Analysis' 카테고리의 다른 글

공격자의 전략과 무기력한 대응- 위기의 인터넷 (0)	2011/11/12
해외 보안기사 및 현실에 대한 비평 - 8.25 (0)	2011/08/25
해외 ISP가 악성코드 경유지 주소로 직접 활용된다. (0)	2011/06/26
2년 후의 사이버 보안에 대하여 - 미국 (0)	2011/04/20
Mysql.com과 Sun의 DB 유출- Blind sql injection (0)	2011/03/28
악성코드의 반복적인 발생과 대규모 유포의 원인 (0)	2010/12/06

Posted by 바다란

TAG cyber warrior, garbia, googledork, 바다란, 보안, 해외, 해킹

트랙백 0개, 댓글 0개가 달렸습니다.

룰즈섹(LulzSec)이 대수인가?

Security Indicator/Insight Security 2011/07/01 12:16

“룰즈섹(Lulz Sec)이 대수인가?” -zdnet

미 상원과 CIA, FBI를 해킹하고 PBS 방송국을 공개적으로 해킹하여 전 세계적인 이슈를 불러 왔던 룰즈섹이 50일간의 활동을 접고 해체한다고 한다. 세계적인 관심을 불러 일으켰던 해킹그룹은 여러 측면에서 현재 인터넷의 위험한 상황을 잘 전달 했다고도 볼 수 있다. 그렇다면 세계 여러 언론들이 언급한대로 룰즈섹은 특별한 기술을 가지고 있고 전 세계 어디든 마음대로 공격이 가능한 집단일까? 또 최고의 멤버로 구성이 되어 있어서 세계적인 화제가 되었을까?

의문을 가져야 한다.

진짜 위급한 상황에 처했을 경우 나타날 수 있는 공격자들도 룰즈섹 정도 일까? 결론적으로 룰즈섹 부류의 공격자들은 지금 이 순간에도 전 세계적인 활동을 하고 있으며 너무나도 일반적이라는 것이다. 진짜는 따로 있다. 이번 컬럼에서는 그 리얼한 모습의 일부분을 제시 하고자 한다.

글로벌 하며 대담하고 체계적인 구성을 갖춘 수준높은 조직들과 언제든지 맞설 수 밖에 없는 상황에서 과연 우리는 어떤 준비가 되어 있는가? 상대의 수준도 모른다면 농협과 같은 혼란상황은 불을 보듯 뻔하다. 먼저 컬럼의 제목대로 룰즈섹의 공격기법과 행위에 대해서 살펴보고 진짜 공격자들의 수준을 가늠할 수 있는 일면을 엿보도록 하자.

룰즈섹 해킹 사례 정리

5월 7일 – 미국 오디션 프로그램 참가자 정보 공개

5월 10일 - 폭스방송 홈페이지 가입자 정보공개

5월 23일 - 소니뮤직(일본) 해킹

5월 30일 – PBS 방송국 홈페이지 변조

6월 2일 – 소니 픽쳐스 정보공개

6월 3일 – 미 FBI 산하의 인프라가드 정보탈취

6월 3일 – 일본 닌텐도 서비스 공격 및 정보 획득

6월 13일 – 미국 상원 홈페이지 정보 획득 및 공개

6월 15일 – Tango Down – 미 CIA 홈페이지 접속차단

5월부터 6월까지 50일 가까운 활동기간동안 언론에 언급된 주요한 팩트들만 9건 이상이 언급이 되고 있다. 물론 더 많은 사례가 있지만 큰 이슈들만 나열 하였다. 정말 특별한 기술을 가진 그룹이기에 세계적인 관심을 끌었을까?

공격과 정보탈취는 이미 인터넷 상에서 일상적으로 일어나는 활동이고 지금도 매우 심각한 상태로 발생 되고 있으며 수없이 많은 서비스들이 권한을 탈취 당한다. 단지 룰즈섹의 경우는 SNS를 이용한 이슈화에 성공 하였을 뿐이며 특별하지는 않다. 9건 가량의 주요 공격을 살펴보면 대부분 웹서비스에 대한 직접 공격 ( SQL Injection이 대부분)과 DDos ( CIA에 대한 공격) 외에 특별한 기술을 발견하기는 어렵다. 이 두가지 기술 모두 현재 일상적으로 발생 되고 있는 공격에 지나지 않는다. 웹서비스에 대한 취약성을 타이트하게 관리하는 CIA의 경우에는 DDoS 공격 정도로 이슈화를 시켰으며 그외의 공격들은 웹서비스의 코딩은 수시로 변경되고 적용이 되고 있어서 엄격한 관리가 어려운점을 이용하여 웹서비스를 공격하여 권한을 획득하고 데이터베이스의 정보를 획득한 것이라 볼 수 있다.

( SQL Injection을 이용한 공격기법의 변화는 여기를 참고 - http://p4ssion.com/207 )

n 난이도 있는 공격?

일상적인 수준의 공격이지만 왜 막기가 어려운 것일까? DDoS의 경우는 대량의 좀비 PC를 이용한 트래픽을 발생 시킬 경우 홈페이지 서비스는 차단 될수 밖에 없다. 상징적인 의미이지 실질적인 정보의 유출은 없는 경우라 할 수 있다. 단 에스토니아처럼 모든 것이 IT화된 국가의 경우 행정업무가 마비되는 것은 큰 문제라고 할 수 있을 것이다.

그렇다면 SQL Injection은 왜 막기가 어려울까? 이미 문제점에 대해서는 최초 알려진것이 10년도 휠씬 이전이다. 그때와 지금의 다른점은 자동화된 도구가 많아졌고 매우 정교해 졌다는 점뿐일 것이다. 그럼에도 불구하고 막기가 어려운 것은 변화무쌍한 웹페이지 코드의 변화때문이기도 하다. 잦은 개발과 수정이 일상적으로 일어나는 웹서비스의 경우 보안적인 안정상태를 유지한다는 것이 매우 힘들다. 다양한 보안도구들이 있으나 모두 한계를 지니고 있으며 결정적으로 개발기간보다 길게 소요되는 문제 해결기간과 우회가 가능한 패턴매칭의 한계가 있기 때문에 소스코드 보안이든 웹보안 장비를 이용한 차단이든 문제가 될수 밖에 없는 것이다.

국내에서 발생된 여러 정보탈취 사건사고들도 별반 다르지 않다. 모두가 정문만을 바라보고 있고 철통같은 경계를 취한다. 그러나 웹서비스가 위치한 지역은 성으로 볼수 있다. 원형의 성에는 외부와 연결되는 여러지점들을 가지고 있으며 이 지점들에는 항상 다른 곳과 연결 될 수 있는 통로가 있다. 즉 어느 곳 한 곳이라도 뚫리게 된다면 내부의 은폐된 정보에 이르는 길은 다 똑같다는 점이다. 모든 웹서비스의 수준을 일정수준이상 유지한다는 것은 매우 어려운 과제가 될수 밖에 없고 공격자들은 이미 전체 노출 범위에 대해 상시적인 공격도구를 보유하고 활발하게 활용하고 있어서 계속적인 위험에 노출되는 것이다.

룰즈섹의 경우에도 정보탈취의 경우는 대부분 웹서비스의 인자값들이 완벽하게 필터링 될 수 없다는 점을 이용하여 성공한 사례일 뿐이다. 이미 오래전 부터 겪어왔던 일의 한 부분일뿐이며 지금 이 순간에도 발생되는 사례일 뿐이다. 룰즈섹의 뛰어난점은 허세와 광고에 능했을 뿐.. 진짜 위기의 순간에 맞닥뜨릴 대상들은 지금도 조용히 웃고 있을 뿐이다.

n 진짜 우리의 상대는?

이제 숨어 있고 잘 알려져 있지 않은 조금 더 수준 높은 자들의 형태를 살펴보자. 공격자들의 역량은 위급상황에 언제든지 태세를 전환하여 큰 피해를 입힐 수 있다는 점을 우리는 농협사태에서 충분히 느낄수 있다. 이면을 살펴 보도록 하자. 먼저 지금까지 공개된바 없는 데이터를 제시한다.

< 공격자들이 인위적으로 웹서비스에 추가한 악성코드 다운로드 경로 및 발견일시>

올해초 부터 국내 사이트를 통해 대규모로 사용자에게 악성코드를 유포하는데 이용된 경유지들의일부이다. 특히 파일공유 사이트 및 주요 서비스들의 웹서비스 소스를 수정하여 인위적인 외부경로를 추가함으로써 웹서비스 방문자에게 악성코드를 설치하도록 하는데 이용된 주소들이며 최근의 어도비의 플래쉬 플레이어 업데이트가 잦은 이유도 바로 이 주소들로 부터 사용자들에게 설치되는 악성코드들이 거의 제로데이에 해당되는 수준으로 사용자 PC 대부분에 (맥 제외) 설치된 어도비 플래쉬 플레이어를 공격했기 때문이기도 하다.

< 공격 및 감염에 대한 개요도>

최근 공격자들의 공격 방식을 보면 국내의 경우 개별 사이트의 해킹을 통한 정보유출은 사실상 종료 되었다고 봐야 한다. 물론 여전히 발생되고 있고 중요정보를 얻기 위한 수단으로 이용이 되고 있으나 현재는 더 큰 범위로 진화를 했다고 보아야 할 것이다. 개별 사이트가 아닌 동시에 수십여개 이상의 웹서비스에 동일한 악성코드 서버링크를 추가하고 모든 방문자들에게 악성코드 감염을 시도한다. 현재 공격코드의 특성(플래쉬 플레이어 공격)으로 보면 개인 PC에 대한 권한 획득 비율은 50% 이상은 넘을 것으로 예상이 된다. 파일공유 사이트 및 언론사, 커뮤니티 사이트등 수십여개의 주요 사이트들에 대해 공격코드를 가지고 있는 주소를 웹소스에 추가함으로써 자연스럽게 좀비 PC를 확산 시키고 있다.

현재까지 공격자들의 목적은 오로지 금전적인 이득이다. 규모와 전략적 차원에서도 비교하기 어려운데 더군다나 국제적이기까지 하다. 악성코드를 뿌리기 위한 수단으로는 국내의 주요 웹서비스를 이용하고 유포하는 주소는 미국의 ISP를 휩쓸다시피한다. 올해 초 부터 관찰되는 데이터에서도 공격자들의 강력함은 여실히 느낄 수 있다. 현재 미국은 정체파악도 못한 상태로 보인다.

사용자들에게 악성코드를 뿌리기 위한 수단 : 파일공유, 언론, 커뮤니티외 다수 웹서비스

웹서비스 소스에 추가하는 악성코드 다운로드경로: 해외 ISP 및 국내의 취약한 웹서비스

단 하루만에 수십에서 수백여개의 웹서비스를 통해 몇십만대의 PC의 권한을 획득 하고 있는 이들이야 말로 진짜 상대가 아닐까? 해외 ISP를 통채로 이용하는 이들에 비하면 룰즈섹은 피래미가 아닐까? 어쩌면 이것도 빙산의 일각일 수 있다. 우리가 위급한 상황에 처했을때 진정으로 상대해야 할 자들중 일부가 지금은 잠시 돈벌이를 할 뿐이 아닐까? 전 세계는 지금 이들의 정체 조차도 잘 모르고 있는 상황이다. 앞으로 “위기의 인터넷”은 더 심각한 국면에 직면 할 것이다. 당신이 어디를 방문하든 그들은 지켜보고 있다. 농협사태의 단초가 이들로 부터 시작 했음을 잊지 마라.

–바다란 세상 가장 낮은 곳의 또 다른 이름

'Security Indicator > Insight Security' 카테고리의 다른 글

해외 보안 이슈 촌평 및 간략 2011.11.1 (0)	2011/11/01
[갱신]구글이 탐지 할 수 없는 위험과 신호 20110910 (0)	2011/09/11
룰즈섹(LulzSec)이 대수인가? (1)	2011/07/01
거인의 몰락 (소니) (0)	2011/05/26
소니,현대캐피탈 -시작된 위기 (0)	2011/05/16
최근 해킹이슈에 대한 '마이너리티 리포트' (0)	2011/05/11

Posted by 바다란

TAG Lulzsec, 룰즈섹, 보안, 전문가, 해킹

트랙백 0개, 댓글 1개가 달렸습니다.

해외 ISP가 악성코드 경유지 주소로 직접 활용된다.

Security Indicator/Security Analysis 2011/06/26 10:47

악성코드 경유지의 변화가 매우 극심하다. 2011년 6.25~26일 기준

어제부터 대체 몇번을 바꿔치기 하는지. 분명히 웹서비스는 공격자들의 소유가 맞다.
사업자는 잠시 임대를 했을뿐.

어제, 오늘의 변화를 생략하더라도 현재 상황 5종류의 경유지들이 8개 이상의 파일공유 사이트 소스에 추가되어 사용자에게 악성코드를 유포하고 있다. 물론 파일 공유사이트 이외에도 다른 서비스들에도 여러 종류들이 활동하고 있다. 전체적으로 경유지 수치는 이틀 사이에 10곳 이상이 활동중에 있다.

특이한 것은 지난번에도 한번 언급했는데.. 시카고와 덴버에 IDC를 가지고 있는 DDos를 전문적으로 대응하는 ISP라고 광고하고 있는 SHARKTECH INTERNET SERVICES 라는 미국 회사의 서비스 대역을 대규모 경유지로 활용하고 있다.

순차적으로 경유지 IP를 변경하면서 사용하고 있는데 .. 지난번 관찰 결과도 보면 호주와 미국의 ISP를 통으로 이용하고 있던데... (이미 해외 ISP의 직접 활용은 3주 이상 관찰이 된바 있다. 대역대를 활용하는 걸로 보아 직접 권한을 가지고 있는 것으로도 볼 수 있다.)

즉 공격자는 전 세계를 무대로 하고 있고 악성코드 유포를 위해 국내 사이트도 직접 해킹을 하고 웹서비스를 변경하며 경유지로 활용하기 위해 해외 주요 ISP 대역을 휩쓸며 악의적인 링크들을 직접 생성하고 올리고 있다. 현재 관찰된 결과는 전 세계적인 활동을 직접하며 이익을 창출 하고 있다는 점이다. 전 세계적인 활동을 하는 공격자들에 대해 국지적인 대응은 효과가 어려울 것이다. 전 세계의 수준을 일정수준이상 올릴 수 있을까?..

앞으로도 불가능해 보인다.

이번 샤크테크 ISP의 특징이라고 할 수있는 DDoS 대응 특화를 하면 뭐하누? 정작 내부는 만신창이인데.. 이 나라의 인터넷을 공격하고 이득을 얻는 공격자들은 글로벌 하게 놀고 있다.

http://www.sharktech.net/index.php?ID=aboutus&PG=2

앞으로도 매우 어려운 싸움이 될 것이다. 사실은 싸움의 상대도 되지 않지만 ...

'Security Indicator > Security Analysis' 카테고리의 다른 글

공격자의 전략과 무기력한 대응- 위기의 인터넷 (0)	2011/11/12
해외 보안기사 및 현실에 대한 비평 - 8.25 (0)	2011/08/25
해외 ISP가 악성코드 경유지 주소로 직접 활용된다. (0)	2011/06/26
2년 후의 사이버 보안에 대하여 - 미국 (0)	2011/04/20
Mysql.com과 Sun의 DB 유출- Blind sql injection (0)	2011/03/28
악성코드의 반복적인 발생과 대규모 유포의 원인 (0)	2010/12/06

Posted by 바다란

TAG DDoS, iSP, malware, Malwarelink, 경유지, 보안, 악성코드, 유포지, 해킹

트랙백 0개, 댓글 0개가 달렸습니다.

木鷄 - 단계에 이르는 깨달음

Security Indicator/Guide for guru 2011/06/22 16:58

木鷄

기성자는 왕을 위해 싸움닭을 훈련시키는 사람이었다.

그는 훌륭한 닭 한 마리를 골라 훈련을 시켰다.

열흘이 지나자 왕은 닭이 싸움할 준비가 되었는가를 물었다.

[단계 1]

조련사는 대답했다.

“아직 안 됐습니다. 아직 불 같은 기운이 넘치고 어떤 닭과도 싸울 자세입니다. 공연히 뽐내기만 하고 자신의 기운을 너무 믿고 있습니다.”

[단계 2]

다시 열흘이 지나 왕이 또 문자 그는 대답했다.

“아직 안 됐습니다. 아직도 다른 닭의 울음소리가 들리면 불끈 성을 냅니다.”

[단계 3]

또다시 열흘이 지났으나 왕의 물음에 여전히 그는 대답했다.

“아직 멀었습니다. 아직도 상대를 보기만 하면 노려보고 깃털을 곤두세웁니다.”

[단계 4]

또 열흘이 지나서 왕이 묻자 기성자는 마침내 대답했다.

“이제 거의 준비가 되었습니다. 다른 닭이 울어도 움직이는 빛이 안 보이고,

먼 데서 바라보면 마치 나무로 조각한 닭과도 같습니다.

이제 성숙한 싸움닭이 되었습니다.

어떤 닭도 감히 덤비지 못할 것이며, 아마 바라보기만 해도 도망칠 것입니다.”

--------------------

나는 어디쯤이던가? 장자의 고사는 분명하면서 명쾌하다.
무언가 빈듯 하면서도 새는 곳이 없는 세상의 진리를 이야기 한다.

단계2와 단계 3의 어디쯤에서 홀로 자라는 싸움닭과도 같다.

그 길의 고독함이야 말해서 무엇 할까?

가이드가 있어서 길이 있는 것도 아니고 스스로 알아서 모든 것을 만들어 가야 하는 길이다. 그 길은 때론 포장길이고 때론 비포장이다. 지금까지는 비포장이 더 많았던것 같다.

굴곡 많은 인생의 길을 걸으면서 삶은 예정된 무엇이 아닌 살아야 할 신비라는 점에 백퍼센트 동감 한다.

기다릴줄 아는 왕과 시기의 적절성과 훈련을 시킬 수 있는 기성자의 조합. 그 둘의 조합에서 싸움닭은 나무로 만든 닭이 되어 간다. 스스로를 준비하고 스스로를 다독이며 스스로가 준비된자. 자연이란 말 자체가 스스로 그러한 것이 아니던가.

단계 1은 확실하게 벗어났지만 아직도 걸어야 할 길들은 많이 남았다. 스스로 그러할 때까지 말 그대로 자연인이 될 수 있을때까지 노력해 보고 세상을 관찰하며 흐름을 볼 수 있어야 하겠다.

이번에 준비된 서비스들은 시류에 편승 할 것이다. 오랜기간 이때가 반드시 올 것이라 여기며 준비한 것들이다. 그 준비 단계가 어떠 했는지, 또 시의 적절한지는 세상에서 평가를 받게 될 것이다.

- 바다란 세상 가장 낮은 곳의 또 다른 이름

'Security Indicator > Guide for guru' 카테고리의 다른 글

고통을 즐길줄 아는 동료를 보내다. (2)	2011/10/06
해커의길 (전문가의 길) KAIST 7.23일 발표자료. (1)	2011/07/25
木鷄 - 단계에 이르는 깨달음 (0)	2011/06/22
IT서비스의 현재 위험과 대응에 대하여 - 종합 (4)	2010/08/04
해커의 길 I (0)	2010/04/27
프로그래머가 되는 길 (0)	2010/04/27

Posted by 바다란

TAG 길, 목계, 보안, 장자, 전문가

트랙백 0개, 댓글 0개가 달렸습니다.

거인의 몰락 (소니)

Security Indicator/Insight Security 2011/05/26 10:23

zdnet 컬럼입니다.

한때 소니라고 불리는 영원할 것 같은 제국이 있었다. 워크맨으로 부터 시작한 거대 IT 제국은 각 영역의 거센 도전자를 만나 점차 힘을 잃어 가고 있었고 부활을 꿈꾸기 위해 시작한 PSP ( Play station ) 사업은 일순간의 영화를 재현하는 것 처럼 보였고 재기를 꿈꾸게 만들었다.

전자기기와 엔터테인먼트 산업의 거인이던 소니는 그 각 산업의 결과물을 결집 하였고 거대한 네트워크를 형성 하였다. 무너지지 않는 성처럼 보이던 거인의 보금자리는 단 한번의 손짓에 완전히 무너지는 과정에 접어 들었다.

무려 7500만에 달하는 전 세계 사용자의 정보와 신용카드 정보의 유출은 앞으로의 미래를 예측 할 수 없는 어둠으로 밀어 넣었으며 어쩌면 소니의 재기를 꿈꾸던 산업은 앞으로 더 험난하고 어두운 미래속으로 진입을 한 것이다. 단 하나의 뛰어난 해킹 그룹에 의해 무너졌다고 보기는 어렵다. 그 어떤 누군가에 의해서도 당할 수 밖에 없는 취약한 부분이 있었고 그 부분은 이제 거인의 무릎을 꿇게 하고 있다. 일인당 피해 배상 금액의 한도를 100만 달러 (11억)으로 책정한 소니의 사건은 경우에 따라 한 거대기업의 몰락을 직접적으로 볼 수 있게 할 것이다.

나뭇잎이 붙은 단 하나의 지점이 치명적인 약점으로 작용한 아킬레스의 건처럼 거인의 온 몸은 튼튼하고 강했지만 사소한 작은 부분 하나가 내부의 혈관을 멈추게 한다. 지금의 기술적 보안의 현실과 다르지 않다. 정문만을 철저하게 보호하고 지키는 것은 당연히 공격자들을 우회하게끔 만들고 그 우회의 결과는 모든 노출 부분이 일정 수준 이상을 항상 유지 하지 않으면 언제든 치명적인 결과를 초래함을 목격하고 있다.

n 위험의 시작

The register에서 언급된 소니의 해명기사를 보면 사건의 전말을 유추 할 수 있다.

Sony: 'PSN attacker exploited known vulnerability'

Sony’s Shinji Hasejima, Sony’s CIO, told Sony’s apologetic news conference that the attack was based on a “known vulnerability” in the non-specified Web application server platform used in the PSN. However, he declined to stipulate what platform/s were used or what vulnerability was exploited, on the basis that disclosure might expose other users to attack.

Hasejima conceded that Sony management had not been aware of the vulnerability that was exploited, and said it is in response to this that the company has established a new executive-level security position, that of chief information security officer, “to improve and enhance such aspects”.

The Register http://www.theregister.co.uk/2011/05/01/psn_service_restoration/

<소니의 해명 기자회견 장에서 공개된 침입 개요도 – 근본은 달라지지 않는다.>

PSN과 연결된 네트워크 영역에 위치한 웹서버가 알려진 공격에 의해 권한을 획득 당했음을 알 수 있다. 일반적은 웹서비스들은 데이터베이스 서버와 연동하여 정보를 웹페이지에 표시를 한다. 즉 웹서비스들은 데이터베이스와 연결 할 수 있는 권한을 가지고 있으며 만약 외부에 노출되어 서비스를 하고 있는 웹서비스가 해킹을 당한다면 이것은 데이터베이스의 정보도 반드시 외부로 유출 될 수 밖에 없다는 점을 의미한다. 소니에게 일어난 최악의 정보유출 사고는 그들의 관리영역 아래에 있는 웹서비스들중 어쩌면 중요도가 떨어지는 서비스가 직접적인 공격을 받고 권한을 이용해 데이터베이스의 전체 내용을 유출한 것이라고 보아야 할 것이다.

n 시나리오의 재구성

PSN ( Play Station Network) 영역에 대한 공격을 기반으로 간략하게 도식화한 침입 과정과 경로는 다음과 같이 예상 할 수 있다.

그림상에 나오는 1,2,3의 순서대로 되었을 것이고 동일 데이터베이스에서 연동되는 형태 였다면 2,3은 같이 묶이는 형태가 될 것이다. 외부에 노출된 서비스 영역에 존재하는 모든 웹서비스를 일정 수준이상 유지를 해야 위험성을 예방 할 수 있지만 개편이 진행 중이거나 통합이 진행중인 상황에서 개발보다 시간이 오래 걸릴 수 있는 보안점검은 오히려 장애물이 될 뿐이였을 것이다.

보안규정을 준수하고 모든 보안장비를 설치한다고 하여도 문제의 근원을 제거하지 못한다면 소용이 없다. 보안진단을 꾸준히 받고 많은 비용을 들여 컨설팅을 받는다 하여도 상시적인 수정과 개편이 일상화된 웹서비스에서는 안정성을 계속해서 보장 받는다는 것은 현실적으로 불가능하다.

거대기업이든 보안적인 역량이 충분한 기업이든 현재 상태에서는 안정성을 보장하기가 어렵다.

모든 외부 노출 부분에 대해 상시적인 진단과 문제점을 확인 할 수 있는 과정은 아직 출현하지 않았기 때문이며 그만큼 공격자들의 우위는 보다 높은 곳에 있다. 지켜야 할 곳은 많고 잠시의 여유와 한가로움은 치명적인 결과로 돌아오기에 지키는 자들도 힘든 과정에 돌입해 있다.

n 무엇이 문제인가?

간단하게 말해서 소니의 몰락은 아주 작은 부분에서 부터 시작이 되었으며 그 과정에 며칠이 걸리지도 않았다. 위험으로 부터 보호하기 위한 단계별 조치들은 모두 이루어 졌다 하여도 지켜야 할 범위의 광범위함과 끊임없는 변화 ( 웹서비스의 개편)는 수시로 공격자들에게 기회를 준다. 아주 오래전 부터 알려진 공격이 가능한 문제들이지만 지금의 공격자들은 이미 자동화된 공격도구로 모든 범위를 호시탐탐 노리고 있다. 문제의 수정을 위해서 다양한 도구와 전문성 있는 진단 도구를 활용하여도 전체 범위를 수시로 커버하지 못하는한 문제 해결은 요원한 길이다.

모든 개발자를 교육 시키는 것도 어려우며 모든 범위를 안전하게 보호하는 것도 어렵다. 대체 무엇을 할 수 있을 것인가? 소니의 공격 사례는 현대캐피탈의 해킹 이슈와 다른점이 하나도 없다. 국내는 해외든 여기에서 안전할 기업이 있을까? 목표가 되면 거기가 끝이 된다.

아킬레스의 생존을 위해서는 온 몸의 구석구석을 일정수준 이상 유지 할 수 있는 실효적인 서비스와 이상 부분을 가장 빠르고 단기간에 확인 할 수 있도록 체계를 유지 하지 않으면 내일의 희생자는 바로 자신이 될 수 밖에 없다. 소니의 몰락을 잊지마라.

웹서비스 보안과 관련 하여서는 http://p4ssion.com/241 컬럼을 참고하고 필요 부분에 대해서는 2008년에 작성한 Mass sql injection 대응과 현실이라는 컬럼 (http://p4ssion.com/200)의 내용을 참고 하면 무엇이 필요한지에 대해서 인지 할 수 있다.

이미 오래전 예상 되었던 것들이 현실화 된것에 지나지 않으며 국내는 물론이고 전 세계적으로 대응이 되지 않아 앞으로도 오랜기간 유사한 기사와 사례를 다수 접하게 될 것이다. 그때마다 인터넷은 위기의 상황에서 어둠 속의 파도타기를 계속 하게 될 것이다. – 바다란

'Security Indicator > Insight Security' 카테고리의 다른 글

[갱신]구글이 탐지 할 수 없는 위험과 신호 20110910 (0)	2011/09/11
룰즈섹(LulzSec)이 대수인가? (1)	2011/07/01
거인의 몰락 (소니) (0)	2011/05/26
소니,현대캐피탈 -시작된 위기 (0)	2011/05/16
최근 해킹이슈에 대한 '마이너리티 리포트' (0)	2011/05/11
공격도구로의 웹과 대응 - 악성코드 동향 및 7500만의 해킹에 붙여 (0)	2011/04/28

Posted by 바다란

TAG 보안, 보안전문가, 소니, 웹해킹, 해킹

트랙백 0개, 댓글 0개가 달렸습니다.

소니,현대캐피탈 -시작된 위기

Security Indicator/Insight Security 2011/05/16 15:43

위기의 인터넷은 본궤도에.. 4월의 교훈

-bloter.net 기고컬럼입니다.

국내외적으로 유사한 해킹 사례가 거의 동시에 발생을 하고 국내는 물론 세계적으로 이슈가 된 사례는 흔치 않다. 국내의 금융사와 국제적 IT기업이라고 할 수 있는 소니에 대한 해킹과 피해 사례는 앞으로의 대응에 있어서 많은 시사점을 던져준다.

정확하게는 앞으로의 대응 보다는 지금 당장의 대응이 더 시급한 측면을 가지고 있다. 일전 언론사 기고 컬럼에서 홈페이지 해킹과 악성코드 유포 및 대응방식에 대한 경고를한 적이 있다.

1. 신규 공격코드를 이용해 SQL Injection 자동화 공격도구로 취약한 웹 서비스들에 대해 직접적인 공격이 발생 된다.

2. 웹 서비스를 통해 악성코드가 유포된다.

A. 유관기관에서는 악성코드 신고 접수 시에 악성코드 유포하는 도메인에 대한 차단을진행한다.

B. 백신업체에서는 악성코드의 패턴을 이용해 대응하는 백신을 제작하거나 업데이트 한다.

C. 신규 취약성을 이용할 경우에는 패치를 설치 하라고 언급이 되고 패치가 나오지 않을경우에는 그냥 기다린다.

D. 악성코드가 웹을 통해 감염이 되고 주변 네트워크로도 확산이 되는 것과 같은 특이한상황의 경우 별도의 방안들을 강구하도록 한다. ( ARP Spoofing등)

3. 악성코드의 변형이 유포 될 경우 – 2번 항에 있는 A,B,C 항목은 계속 반복이 된다.

2011년 현재도 악성코드의 유포와 대응에서 사용되고 있는 일반적인 시나리오라고 할 수 있다. 이 시나리오 상에서 이미 사전단계로 생략하고 넘어가는 부분은 이미 공격이 성공하여 악성코드를 유포할 때에는 내부망에 있는 Database에 관한 정보는 다 유출된 것과 마찬가지이고 내부로 침입 할 수 있는 통로는 이미 열려져 있는 것과 마찬가지라는 점이다. ( http://p4ssion.com/261 마이너리티 리포트 참고)

무엇이 문제?

일반적으로 웹서버에 대한 공격에 성공을 하게 되면 언제든 간편하게 들어 올 수 있도록 통로를 만들어 둔다. 이를 백도어라고 부른다. 백도어를 통한 피해사례는 아직 끝나지 않은 현대캐피탈의 사례에서 확인이 가능하다.

소니의 사례라고 다를까? (소니의 사례는 외신에서 언급한 기사를 참고)

현대캐피탈은 보안인증을 받았고 미국에서 사업을 하고 있는 소니의 경우는 PCI-DSS라는 기본적인 보안 절차를 모두 준수할 정도로 두 회사 모두 보안에 신경을 쓰고 역점을 두었음에도 불구하고 결론적으로 최악의 해킹 피해를 당했다고 볼 수 있다. 금융회사의 내부 고객 정보가 유출이 되고 신용카드 내역을 저장한 데이터와 모든 고객정보가 유출되는 사례들은 발생 할 수 있는 최악의 사례라고 보아야 한다. 소니의 경우 정보유출로 인해 피해를 입는 고객에게는 일인당 최대 100만불 (11억원)의 피해보상을 한다는 보도도 있었으며 앞으로의 향방이 더욱 큰 관심을 끌고 있다.

거대기업을 침몰시킬 수도 있는 단초가 인터넷에 노출된 별로 중요하지 않은 웹서버 하나를 통해서도 제공 될 수 있다는 증거로서 목격 하게 될 것이다.

4월에 대표적인 해킹 피해를 입은 두 회사 모두 피해의 지점은 동일하다. 외부에 노출된 웹서버들을 통해 내부망으로 침입이 된 사례이며 웹서비스에 대한 상시적인 보안관리와 문제점 해결을 위한 노력이 모든 외부 노출 서비스 부분에 대해 이루어 지지 않을 경우 막대한 피해와 자칫하면 몰락으로도 이어질 수 있는 사례라 할 수 있다.

문제부분

일반적으로 IT 서비스를 운용하는 회사에서는 여러 종류의 서비스를 활용하고 있다. 예전과 같은 Client/ Server 모델이 아닌 웹을 활용한 정보교환과 업무 활용이 일반적인 상황에서 외부에 노출된 웹 서비스들은 항상 위험을 내포하고 있다.

대표적으로 URL 상에서 SQL ( 데이터베이스 질의 언어) 구문을 입력하여 데이터베이스의 자료를 빼내거나 조작하는 유형의 취약성인 SQL Injection의 경우가 가장 큰 예로 들 수 있는데 직접적으로 내부망에 침입하고 자료를 빼내어 갈 수 있다는 점에서 가장 치명적인 문제라고 할 수 있다. 해결 방안으로는 특수문자의 입력을 막거나 길이제한을 모든 URL 상의 인자들에 대해서 적용을 해야 하는데 사람이 개발하는 이상 항상 빈틈은 있게 마련이다. 또한 웹서비스 운영 Application 자체의 취약성을 이용한 공격들도 일반적인데 이 문제의 경우 정기적인 진단으로도 충분히 문제 해결을 할 수 있으나 잦은 변경이 있는 웹페이지의 경우에는 정기 진단으로 하기에는 변화의 폭이 커서 어려움이 있다.

보안을 강화하고 중요시 하는 기업들의 경우에는 정기적인 진단과 점검을 일상적으로 수행한다. 여기에서 발생하는 문제는 예산과 인력, 시간상의 문제로 인해 우선순위를 정해서 점검을 하게 마련이다. 항상 1순위는 대표 사이트 및 고객이 직접 접근 하는 사이트 및 정보가 저장되는 사이트가 된다. 그 뒤의 순위는 업무용 시스템이나 중요도에서 ( 고객 접근 관점의 중요도) 떨어지는 시스템들이 된다. 여기에서 근본적인 문제가 발생 된다. 지금까지는 사용자들이 많은 즉 정문에 대해서만 이중, 삼중의 진단과 도구들이 설치가 되었다고 봐야 한다. 그러나 공격자들도 정문만을 이용할까?

지금의 공격자들이 보유한 공격도구의 상태는 전문화 되어있고 대규모적인 공격이 가능하도록 되어 있다. 즉 모든 범위에 대해서 단 한가지의 문제점을 찾는 것이 일반적으로 되어 있다는 것이다. 외부에 노출된 모든 부분에 대해 문제점이 있는지를 수시로 점검하고 문제가 발견되면 직접 침입을 시도하게 된다. 지금까지 보안점검을 받던 기업에서는 중요성 있는 서비스와 우선순위에 대한 기준점을 모두 바꾸어야만 가능한 상황에 처해 있다.

해결방안?

외부에 노출된 모든 서비스를 1순위로 놓아야 하고 그 이후 내부에 있는 서비스들에 대해서 선별적으로 순위를 조정 하는 것이 바람직하다. 그리고 한 가지 더 중요한 것은 일년에 몇 차례 하기도 힘든 전체 서비스에 대한 보안 점검을 상시적으로 해야만 현재 기업들과 인터넷이 처한 문제점을 해결 할 수 있는데 사실상 한계가 존재 할 수 밖에 없다. 단 몇 시간 만에도 코드상에 변경이 일어날 수 있는 웹 서비스에 대해 정기진단으로 가능 할 수 있을까 하는 의문을 가져야 한다.

이제 보안 진단과 서비스에 대한 시각과 패러다임을 바꾸어야만 생존이 가능하며 기업의 서비스를 안전하게 유지 할 수 있는 상황에 직면해 있다. 그 누구도 안전하지 않은 상황.. 특히 IT기업 및 인터넷을 활용한 비즈니스가 일반적인 기업이라면 대단한 경각심과 준비를 하지 않으면 안될 것이다. 보안기업들 조차도 웹 서비스가 해킹을 당해 정보가 유출 되는 마당에 안전할 곳은 대체 어디인가?

몇 년 전 경고한 위기의 인터넷은 이제 본 궤도에 올랐다. 4월은 시작이였을 뿐이다.

- 바다란 세상 가장 낮은 곳의 또 다른 이름.

'Security Indicator > Insight Security' 카테고리의 다른 글

룰즈섹(LulzSec)이 대수인가? (1)	2011/07/01
거인의 몰락 (소니) (0)	2011/05/26
소니,현대캐피탈 -시작된 위기 (0)	2011/05/16
최근 해킹이슈에 대한 '마이너리티 리포트' (0)	2011/05/11
공격도구로의 웹과 대응 - 악성코드 동향 및 7500만의 해킹에 붙여 (0)	2011/04/28
현대캐피탈 해킹. 시사점과 지금의 문제 (2)	2011/04/11

Posted by 바다란

TAG p4ssion, 내부망, 보안, 보안전문가, 소니, 웹해킹, 해킹, 현대캐피탈

트랙백 0개, 댓글 0개가 달렸습니다.

최근 해킹이슈에 대한 '마이너리티 리포트'

Security Indicator/Insight Security 2011/05/11 16:24

지디넷 컬럼 기고본입니다. 2011.5

일반적으로 마이너리티 리포트라고 하면 톰크루즈 주연의 영화를 떠올리게 마련이다.
범죄가 일어나기 전 범죄를 예측해 범죄자를 단죄하는 최첨단 치안 시스템이 언급된 영화로 알고 있다.

전체적으로는 진실로 통용되는 치안시스템의 예지와 무시되는 소수의 진실을 예견하는 의견의 충돌로 훼손되는 한 개인의 가치를 조명하고 회복하는 과정을 나타내고 있는 영화라 할 수 있다.

지금의 상황에서의 마이너리티 리포트에 대한 이야기를 꺼내는 것은 무한한 신뢰가 부여한 시스템이 깨어질때의 충격들이 있는 지금의 시점이 적합한 시점이라 보기 때문이다.

가려진 눈속에서 볼려고 하는 진실은 어디에 있고 무엇을 말하고자 하는 것인지 또 지금과 같은 위기의 인터넷 상황에서 소수의 의견은 무엇인지 알아 보도록 하자.

본 컬럼에서는 물론 영화 이야기를 하고자 하는 것이 아니다. 현재의 IT 서비스의 위험 상황에 대해 좀 더 치열하고 전문적이며 문제의 근본이 무엇인가에 대해 정확한 이야기들이 없어 소수의견이 때론 진실에 가까울수 있다는 점을 빌리고 싶을 뿐이다. 보안전문가는 무엇이고 해커는 또 무엇인가?

보안전문가라는 업종은 보안전문가와 보안관리자의 차이라는 컬럼(http://p4ssion.com/231) 에서 상세하게 구분을 한 적이 있다. 전문가의 관점에서 바라보는 지금의 여러 보안 이슈들은 분명히 가쉽거리와는 다른 관점에서 바라볼 것을 이야기 한다.
해킹사고가 빈발하고 이제는 왠만큼 큰 이슈가 아니면 화제거리에도 오르지 못하는 상황에서 언론에 기사화 된 많은 내용들은 실제 인과관계와 상당히 다른 관점의 이야기들을 많이 하고 있다. 정확한 의견과 그 의견에 기반한 문제점을 해결하는 과정을 통해 만들어야 될 많은 가치들이 있음에도 그릇된 길과 방향으로 목표를 설정하게 되면 한참 틀어지게 마련이다.

지금의 시점이 틀어지기 직전의 시점이라고 보인다.

사설 IP ( Private area)는 안전한가?

일반적으로 내부에서 구축하는 인터넷 환경을 인트라넷이라 부른다. 외부에서는 접근할 수 없는 영역이고 안전하다고 알려져 있다. 접근이 되지 않는데 어떤 침입을 받을 수 있겠는가? 대부분의 전문가가 아니거나 실무자가 아닌 많은 사람들은 외부자가 접근 할 수 없는 영역의 데이터가 유출 되었다고 할때 의심을 가진다. 내부자가 공모하여 내부로 들어 올 수 있도록 만들지는 않았을까? 아니면 정보가 공개적으로 바깥에 나와 있지는 않았을까? 하는 등등..

실상은 내부에 있는 모든 정보들도 외부와 연결을 하거나 연동을 하는 지점이 반드시 존재하고 연동이 되어야만 가치를 지니는 정보들이 대부분이라 연결이 될 수 밖에 없는 것이 사실이다.
이 연결 되는 지점의 대부분은 일반적으로 웹 서비스에서 맡고 있으며 대부분의 중요 데이터들은 내부에 있는 데이터베이스 서버에 보관 되곤 한다. 웹 서비스는 그럼 무었일까? 외부에도 공개되어 있으며 내부의 인트라넷 영역에도 접근이 가능한 지점에 위치하는 웹 서비스 및 대외 서비스들이 위치한 영역을 DMZ 영역이라 부른다. 이 영역에 있는 대부분의 서비스들은 IP 주소를 두가지를 가지게 된다. 외부에서 연결이 가능한 외부 IP 주소와 내부로 연결을 하기 위한 IP 주소를 가지게 된다. 외부 IP라는 것은 인터넷으로 연결이 가능하고 단일하고 유일한 주소를 인터넷 상에서 가지게 됨을 의미한다. 내부 IP는 인위적으로 내부 통신 연결을 위해 사용한 것으로 회사로 따지면 회사내의 주소 체계에서만 유일성이 보장되면 된다.

내부에서만 은밀하게 (?) 공유가 되고 접근 할 수 있다고 하는 정보들은 사실상 외부와 연결된 통로를 항상 지니게 되고 더 이상 은밀하다고 볼 수가 없다. 현대캐피탈과 소니 해킹의 사례가 증명을 한다. 설마 고객정보와 신용카드 정보등을 외부 인터넷에 올려두고 공유하였겠는가? ..

외부에서 직접 접근이 가능한 내부 IP는 없으며 인터넷상의 직접적인 공격으로 부터 보호된다 할 수 있다. 공격자들은 내부 정보를 빼내어 가기 위해 내부의 정보와 연결된 지점을 공격하여 내부로 들어가는 통로를 확보한다.

정확하게는 웹서비스를 직접 공격하여 (외부 IP 및 내부 사설 IP를 동시에 가지는 웹서비스) 권한을 획득하고 웹서비스의 상태를 이용하여 내부망으로 직접 공격이 가능해 진다. 내부에 존재하는 데이터베이스의 정보를 빼내어 가는 것은 웹 서비스상에 내부 영역의 데이터베이스와 통신을 하고 데이터를 빼내어 웹서비스를 통해 사용자에게 제공하는 부분이 있기 때문에 가능한 것이다.

결론적으로 웹서비스를 공격하게 되면 웹 서비스와 연결된 데이테베이스는 그것이 어디에 있든 직접적인 피해를 입게 되고 거점으로 삼게 되면 더 은밀한 정보들이 저장된 곳에도 접근 할 수 있는 거점이 된다는 것이다. 웹서비스에 대한 해킹과 악성코드 유포지로 사용되는 웹 서비스들은 이미 데이터베이스에 대한 제어권을 상실 했다는 의미와도 동일한 것이다.

방화벽은 데이터를 보호하는가?

항상 내부의 데이터를 보호 한다는 것을 강조하기 위해 몇중의 방화벽으로 데이터가 보호 되고 있다는 언급을 많이 쓴다. 여기에서 몇단계의 수치가 높을 수록 보호되는 강도가 높다고 인식하는 경향이 있는데 전부 오해다.

방화벽의 역할상으로 보면 접근제어 이외에는 전혀 역할을 할 수가 없다. 접근제어라는 것은 접근이 가능한 서비스나 특정 IP 에서만 접근이 가능하도록 통제하는 역할을 수행하는데 앞서 언급 했던 웹서비스의 역할은 데이터베이스와 연결하여 정보를 서비스를 통해 대외에 표시하는 역할이다. 방화벽에서도 웹서비스와 데이터베이스의 연결은 차단 할 수가 없다. 데이터베이스와 웹서비스를 연결하는 지점을 방화벽에서 막을 경우 정상 서비스는 될 수가 없는 것이다. 정상서비스를 한다는 의미는 웹서비스에 대한 공격과 권한 획득을 통해 데이터베이스에 대한 접근까지도 손쉽게 이루어 진다는 것이다.

데이터베이스의 암호화에 대해서 언급을 한다.

저장 되는 값들을 암호화 한다는 것은 공격자를 한번쯤 더 귀찮게 하는 것일뿐 그것은 절대 장애물이 될 수 없다. 앞서 언급 했듯이 웹서비스의 권한을 획득한다는 것은 모든 권한을 다 가지고 있는 것과 마찬가지이다. 데이터베이스에 암호화된 값들이 들어 있다 하여도 이 모든 값들을 비교하고 정상값 유무를 확인 하는 것은 모두 웹서비스의 코드에서 담당을 하고 있다. 공격자는 이미 웹서비스의 모든 권한을 가지고 있다. 과연 이게 장애물이고 보호 대책이 될 수 있을까? 황당한 이야기일 뿐이다.

내부IP를 가지는 것도 또한 암호화도 데이터베이스 앞의 방화벽도 보호의 의미가 완전하지 않음을 앞서 설명 하였다. 데이터베이스의 기능제한을 위한 모든 것들도 조회 ( Select 구문) 구문을 막을 수는 없다. 단지 삭제와 테이블 변경 정도의 치명적인 문제들에 대해 일부 제한을 할 수 있을뿐이다.

내부에 있는 정보를 지키기 위해서는 외부에 노출된 모든 서비스를 안전하게 유지 하여야 하나 항상 일정수준 이상을 유지하는 것은 서비스 종류가 많을 수록 불가능 할 수 밖에 없다.
예산이 많고 가용한 전문인력이 많아도 항상 한계에 부딪힐 수 밖에 없도록 되어 있다. 기존의 보안기술의 관점에서는 항상 한계를 가질 수 밖에 없을 것이다.

문제 해결을 위해서는 전체의 안정성을 일정수준 이상 올려야 하며 대상은 모든 대외 노출 서비스가 되어야만 한다. 날로 발전하는 공격기술의 수준을 따라가면 모든 서비스의 수준을 높이고 꾸준한 관리가 된다는 것은 병적인 집착과 집요함이 없이는 어렵다. 한 분야만을 깊게 공격하는 공격자들로 부터 모든 범위를 지키기 위해서는 지금과는 다른 관점의 논의가 필요하고 서비스의 패러다임이 필요한 때라 할 수 있다.

무엇을 해야 하는가?

2007년 11월쯤에 “IT 서비스의 현재 위험과 향후 대응에 대하여” 라는 종합 문서를 작성한 적이 있다. (http://p4ssion.com/199 ) 이미 4년전에 제시한 내용이나 현재까지도 제대로 이루어진 케이스는 없다. 국가전체, 산업 전체적인 대응방향을 제시 하였으나 이 부분을 내부로 한정하여 특정 조직 및 기업에 적용하는 것도 문제가 없을 것이다. 2007년에도 앞으로 문제는 심각해 질 것이라고 예상을 했었고 준비가 필요하다고 했었지만 과연 지금껏 무엇을 했는지? 또한 진지한 고민이라도 한번 있었는지 의문스럽다.

지금 당장의 대책 부분도 단기간에 보안장비를 도입하고 인력을 뽑고 팀을 운영하고 외부에 컨설팅을 맡기는 것이 대부분이 되겠지만 실질적인 문제의 근본과 문제지점을 모르는 상태에서는 문제는 계속 될 뿐이다. 소니가 돈이 없고 인력이 없어서 당했을까? 일반적으로 잘 알려진 문제라 할지라도 전체의 서비스에 대한 상시적으로 관리하는 것은 현재 상태에서 불가능 하기 때문에 공격자들에게 계속적으로 당하는 것이다. 앞으로도 계속 그럴 수 밖에 없을 것이고..

무엇보다 지금 공격을 당하고 피해를 입는 원인에 대한 정확한 이해가 필요하고 그에 따른 해결책을 찾아 적용 하는 것이 최우선이다. 지금의 상황은 원인에 대한 정확한 이해가 선행 되지 않은 상태라고 필자는 보고 있다.

위험이 극에 달할 시점을 예상하여 개인적으로 몇 가지 준비한 기술적인 해결책과 방안이 있으며 앞으로의 컬럼에서 직접 언급을 하도록 하겠다.

- 바다란 세상 가장 낮은 곳의 또 다른 이름

'Security Indicator > Insight Security' 카테고리의 다른 글

거인의 몰락 (소니) (0)	2011/05/26
소니,현대캐피탈 -시작된 위기 (0)	2011/05/16
최근 해킹이슈에 대한 '마이너리티 리포트' (0)	2011/05/11
공격도구로의 웹과 대응 - 악성코드 동향 및 7500만의 해킹에 붙여 (0)	2011/04/28
현대캐피탈 해킹. 시사점과 지금의 문제 (2)	2011/04/11
p2p 및 악성코드 유포지에 대한 심각한 문제제기. (0)	2011/03/26

Posted by 바다란

TAG 농협, 마이너리티 리포트, 보안, 보안전문가, 소니, 해킹, 현대캐피탈

트랙백 0개, 댓글 0개가 달렸습니다.

공격도구로의 웹과 대응 - 악성코드 동향 및 7500만의 해킹에 붙여

Security Indicator/Insight Security 2011/04/28 17:25

2011. 4.26일 코엑스의 netsec-kr 튜토리얼 세션에서 발표한 내용입니다.

많은 이야기를 했고 시연도 했지만 현재의 변화는 정말 심각한 상황에 직면해 있다고 봐야 됩니다.
현대 캐피탈에 이어 소니도 해킹을 당했지만 들리는 소식으로는 소니 자체에서 조사를 못하고 외부 보안전문업체를 동원해서 분석을 한다는 군요.

한해 매출이나 이익이 조단위가 되는 회사에서도 자사의 서비스를 책임지고 이해하며 보안적인 이슈를 분석할 사람이 없나 봅니다.

아마 전 세계적으로 보안인력의 품귀 현상이 빚어지겠지만 모두 예측된 일입니다.
더 중요한 것은 아무리 기술이 높은 인력을 채용하고 스카웃 한다고 하여도 내부에서 성장하고 체득 할 수 있는 에코시스템이 갖추어져 있지 않다면 별 소용이 없다는 점이죠.

에코 시스템이란 제대로 일을 할 수 있게 또 역량 발휘를 할 수 있게끔 해주는 것이죠. 금전적인 대우야 하는 일에 맞게 책정 하면 될 것이구요.

항상 보안이라는 분야는 다른 많은 부분과 마찰도 있고 문제도 있지만 중요한 것은 통제를 위한 보안이 아니라 큰 위험을 막고 전체를 보호하기 위한 분야로 인식을 할 때 시너지가 발휘 됩니다. 여기까지 가기 위해서라도 경영진의 위기인식과 의지는 반드시 필요하죠.

인식과 의지가 귀찮으시면 그냥 소니처럼 25조짜리 소송 당하면 됩니다. 왜 해외에서의 문제가 더 심각할까요? 이 부분도 생각해 봐야 합니다. 신용으로 거래되는 해외의 상거래 관행에서 신용카드는 매우 큰 역할을 합니다. 더불어 이 번호가 노출 되었을때 도용 될 수 있는 폭도 매우 크며 도용에 대한 해명 및 어필등을 일정 수준 이상 개인이 해야 하는 사회적 비용이 촉발 됩니다.

또한 실제 피해도 많이 발생 되는데 .. 국내도 지금껏 많은 정보들이 탈취 당했으나 개인 차원에서는 보이스피싱 정도의 피해가 가장 심각한 피해라고 볼 수 있습니다. ( 이번 현대캐피탈 이슈는 제외 하구요..) 해외에서는 정보 유출시 피해가 상당 할 수 밖에 없습니다. - 신용으로 이루어지는 .. 즉 신용카드로 모든게 결재되고 거래되는 사회라는게 사전 대응 보다는 사후 대책에 집중 할 수 밖에 없는 부분이기도 합니다.

Web을 통해 유포 되는 악성코드들은 대부분이 개인정보 유출로 활용 되고 이중 일부는 Arp spoofing & DDos 용도로 활용 되기도 합니다. 사실 DDos 공격 같은 경우는 예전 같으면 애써 구축한 봇넷 네트워크가 무너지기에 금기시 되었지만 요즘 같으면 금새 좀비를 몇 만대 이상을 만들 수 있으므로 훼이크 성으로 할 수도 있겠죠.

지난 3.4 DDos가 많은 점에서 어설프게 보이는 것도 동일 합니다. 본 자료에서는 그 내용도 포함 되어 있습니다. 2시간의 발표 동안 자료 보다 많은 내용을 시연하고 발표를 했습니다만 자료상에는 단순한 챠트가 나열 되어 있습니다. 통찰력 있으신 분들이 그 의미를 깨닫게 되신다면 향후의 대응은 달라질 수 있을 것 같습니다.

위기의 인터넷이라는 부제는 몇 년전 컬럼에서 썼던 제목인데 현재는 그 상태로 완벽하게 진입되어 있는 상태입니다. 그 때 예측한 많은 것들이 실현이 된 것이죠.

뒷부분 대책 부분에서 웹 서비스에 대한 개발 프로세스 전환 부분등에 대해서는 심각하게 생각해 보시길 바랍니다. 기존의 보안도구와 방법론의 문제들은 이미 여러번 언급한 적이 있습니다.

빠른 납기주기: 웹 개발의 경우는 더 빠르겠죠. 이 기간내에 보안점검까지 다하기란 어렵습니다.

보안 스캐너 : 보안 전문가도 한눈에 알아 보기 어려운 설명과 방법, 그리고 실행 시간이 오래 걸립니다. 개발자가 직접 보기에는 무리인 부분이죠.

소스코드 진단도구 : 자동화된 도구들의 경우 기계화된 코딩을 강요하죠. 이 부분에서 절대적 한계, 교육된 개발자가 이탈시엔 모든걸 다시 원점에서 시작.

보안컨설팅: 이벤트 페이지 하나 추가해도 받으 시겠습니까?. 비용은 또 서비스 구조에 익숙하지 많은 전문기술자들의 진단은 때론 핵심을 빗겨 가기도 합니다. 또 소스코드 점검을 컨설팅을 통해 받는다고 하여도 남이 개발한 소스를 직접 보고 문제 부분을 찝어 내는 것은 어렵습니다. 무엇보다 인간입니다. 실수 할 수 있다는 것이죠.

이에 반해 공격도구의 경우는 특정 부분만을 찍어서 들어 옵니다. 그리고 외부 인터넷 노출된 서비스 전체에 대한 확인과 진단도 쉽습니다. 기업에서 내부망으로 침입이나 데이터 유출 ( 이번 소니나 현대캐피탈)을 방지 하기 위해서는든 외부 노출 서비스에 대한 보안 진단이 상시적으로 이루어져야 합니다.

과연 이걸 기존의 Security paradigm으로 할 수 있을까요? 국내뿐 아니라 해외 모두 마찬가지입니다.
방향 전환이 필요한 시기이고 더 늦어지면 이젠 감당키 어려울 것입니다.

Web service의 안전한 운영과 개발을 위해 필요한 부분을 기존과 다른 WSDLC라는 이름으로 명명 하였습니다. 여기에서의 프로세스는 접근성 뛰어나고 빠른 실행이 가능하며 간편한 보고서 형식으로 활용이 가능한 서비스의 필요성에 대해서 언급을 하였고 개발자 자신의 Self learning 뿐 아니라 보안 담당자나 전체 운영자 입장에서는 일목요연한 취약성 형상 관리가 일단위로 가능해 지겠죠.

지금까지의 개념과는 상당히 다른 차원의 접근이 되어야만 현재의 문제를 해결 할 수 있을 것입니다.

전체적으로 악성코드 유포의 동향, 공격자의 의도 ( 왜 주말에만?? ). 2월까지만 해도 3일간격으로 경유지를 변경하던 공격자들이 많은 대응으로 인해 손실이 커지자 주말에만 활동 하는 것으로 바뀌었고 지난주에 출현한 Flash player에 대한 공격 코드 출현으로 인해 주중에도 이젠 대 놓고 공격하는 형태로 변경이 되어 있습니다.

짧은 내용에 담긴 흐름과 변화의 예측. 그리고 대응

* 아무나 할 수 있는 것은 아닌 점이라는것만 확실하게 말씀 드립니다. 상세한 내용은 발표 자료를 통해 유추 하시고 통찰 하시길 바랍니다.

201104 공격 수단으로의 웹과 대응 (위기의 인.pdf

- 바다란 세상 가장 낮은 곳의 또 다른 이름.

'Security Indicator > Insight Security' 카테고리의 다른 글

소니,현대캐피탈 -시작된 위기 (0)	2011/05/16
최근 해킹이슈에 대한 '마이너리티 리포트' (0)	2011/05/11
공격도구로의 웹과 대응 - 악성코드 동향 및 7500만의 해킹에 붙여 (0)	2011/04/28
현대캐피탈 해킹. 시사점과 지금의 문제 (2)	2011/04/11
p2p 및 악성코드 유포지에 대한 심각한 문제제기. (0)	2011/03/26
경유지의 폭발적 변화와 확산. 이건 징후라고 봐야 할 사안들 (0)	2010/12/25

Posted by 바다란

TAG netsec-kr, 보안, 보안전문가, 악성코드, 해킹

트랙백 0개, 댓글 0개가 달렸습니다.

2년 후의 사이버 보안에 대하여 - 미국

Security Indicator/Security Analysis 2011/04/20 21:14

110128_Lewis_CybersecurityTwoYearsLater_Web.pdf

현재 상황에서 장기적 방향 설정에 도움이 될까 싶어 예전 공유한 내용을 게재합니다.

2011년 1월에 발표된 문서입니다.

CSIS에서 발표한 문서인데 간략한 구성을 가지고 있습니다.

간략하게 요약하면 다음과 같습니다.

"미국내의 보안적인 노력들은 여전히 부족한 부분을 가지고 있다.

다양한 부분에서 노력을 하고 있지만 현재의 위협을 감당하기에는 여러 부분에 걸쳐서 부족하다."

미국은 사이버 보안을 국가의 안보를 위협하는 치명적인 요소로 2008년 부터 규정하고 진지한 노력을 해왔지만 2008년 이후 나타난 위협은 더 극한적인 상황에 내몰리고 있는 상황이다. 따라서 진지한 노력이 필요하고 지금까지 해오던 노력들의 재 점검과 방향성 검토가 필요하다 정도로 요약이 됩니다.

필요한 열가지 노력들에 대해서 언급을 했는데 고민을 해야 할 부분 같습니다.

1. 국가 우선순위로서 사이버 보안에 대한 인식과 연방정부 차원의 리더쉽과 조직력 배양을 위한 노력.

- DHS와 DoD의 역할 분담과 더 추가적인 노력 부분들에 대해서 언급 합니다. 아인슈타인을 통해서 "Cloud"보안을 연방 정부 기관내에 구축하고 있으나 현실적으로 현재의 위협을 감당하기에는 부족함이 있다고 언급합니다.

2. 국가 기반시설의 사이버 보안에 대한 명확한 권한과 규정의 필요함과 프라이빗 영역과의 새로운 공조 방안의 개발 필요

- OMB 언급 됩니다. (예산 관리청 입니다.)

3. 글로벌 인터넷을 위한 새로운 비전 창출을 위한 정책 제시 필요함. 사이버 공간상에서의 악의적인 행동들의 인과 관계와 통제에 대한 새로운 접근 방안, 사안 규정을 위한 미국의 힘의 집중을 통해 해외국가의 정책을 만들도록 하는 것 필요

4. 발전된 해외로 부터의 위협에 대해 첩보,군사 정보 능력의 활용을 확장한 역량 필요

5. 디지털 기술 채택을 통한 명확한 규칙과 프로세스를 통해 개인과 시민의 자유를 위한 시야를 강화

6. 국가기반시설에 대한 신원인증의 강화 ( 물리적, 온라인적)

7. 적합한 사이버 보안 기술의 채택을 통한 확장된 영역 구축

- Human capitalism으로 촉발된 인력 유출의 위기에 대한 대안으로 제시하고 있습니다. 아마도 국가기관이나 연방기관에서의 민간 기술의 획득 및 가치에 대한 활용을 활발하게 할 것을 권고 하는 것으로 보입니다.

8. 보안이 강화된 제품과 서비스를 사용하도록 시장을 리딩하기 위해 연방 제품의 조달 관련 정책을 변경하는 것이 필요

9. 정책과 법적인 프레임웍을 재구성하여 정부차원의 사이버 보안 행동을 가이드 한다.

10. R&D는 사이버 보안의 어려운 문제에 집중하도록 하고 문제를 명확하게 하도록 하며 조정자의 관점에서 펀딩을 할당 하도록 하여 지원을 할 수 있도록 한다.

이상과 같이 간단하게 정리 했습니다. 여기는 국가기관 차원에서 민간 부분을 선도하고 가이드 하고 방향성을 제시할려고 하고 있습니다만 우리와는 조금 다른 측면이 있습니다. 역할도 그렇구요. ^^;

문서를 보시면 자세히 잘 나옵니다만 번역 관계 없이 주요 포인트들만 생각대로 의역 했습니다. 참고 하시고 보시면 될 것 같습니다.

다른 기사로는 DHS(국토안보부)에서 4000만 달러의 상금을 걸로 14개 가량의 기술적 분야에 대해 정부기관이나 인터넷 분야에서의 혁신적으로 보안성을 강화 시킬 수 있는 구조에 대해서 상금을 걸고 있습니다. 기술적 분야 하나 마다 400만불 가량의 상금을 걸고 있어서 좀 더 제안들이 구체화 될 것으로 보입니다.

http://blogs.forbes.com/jeffreycarr/2011/02/03/an-autobahn-for-cyberspace/

- 바다란 세상 가장 낮은 곳의 또 다른 이름

'Security Indicator > Security Analysis' 카테고리의 다른 글

해외 보안기사 및 현실에 대한 비평 - 8.25 (0)	2011/08/25
해외 ISP가 악성코드 경유지 주소로 직접 활용된다. (0)	2011/06/26
2년 후의 사이버 보안에 대하여 - 미국 (0)	2011/04/20
Mysql.com과 Sun의 DB 유출- Blind sql injection (0)	2011/03/28
악성코드의 반복적인 발생과 대규모 유포의 원인 (0)	2010/12/06
Facebook 사건과 8억달러의 벌금 - 기사분석 (12)	2010/10/07

Posted by 바다란

TAG OMB, security, 보안, 보안전문가, 해킹

트랙백 0개, 댓글 0개가 달렸습니다.

현대캐피탈 해킹. 시사점과 지금의 문제

Security Indicator/Insight Security 2011/04/11 17:58

기업과 시스템에 대한 보안이라는 것은 철학이 있어야 된다.

남들 하는 만큼만 한다는 자세는 비난을 피할 수는 있어도 절대 최선은 될 수 없다.

남과 다른 시도를 하는 것은 또한 최선은 될 수 있으나 시기어린 시선과 과도하다는 비난으로 부터 자유롭지 않다.

경계선을 지킨 다는 것은 어렵다. 그러나 지금의 공격자들은 방어하는 입장에서 건들지 말았으면 하는 선들을 너무나도 잘안다. 계속 당 할 수 밖에 없는 이유기도 하다.

시스템과 조직이라는 것은 정문만 있는 것이 아니다. 지켜야 할 모든 것들은 원형을 이루고 있다. 즉 단방향의 통로만 존재하는 것이 아니라 아무리 최소화 하고 극소화 한다 하여도 한계를 가지게 마련이다.

현대캐피탈의 해킹 사고를 보면서 오랜기간 침해사고를 맡았고 한 기업에서 5년 이상을 핵심적으로 역량을 기울인 부분이여서 안타까움과 함께 현재의 문제에 대해서 지적을 안 할 수가 없다.

정문에만 4~5겹의 통로와 감시병을 세우면 뭐하는가? 창문은? 뒷문은?.. 그외 모든 통로들은?.. 성이 있어도 지금은 공중으로 날아 오는 판국이다. 이 상황에서 주변도 돌아보지 못하는 현 상황은 개탄스럽다.

기업의 보안성을 보자면 여러가지 분야가 있지만 기술적인 분야만 한정 하자면 다음과 같은 부분들을 보아야 한다.

네트워크 :

기업망의 네트워크가 충분히 세분화 되어 있고 각 단계에서 중요도가 선별이 되어 각각에 대한 제어가 되고 있는지가 중요하다. 내부 (특히 사설 IP를 쓴다고 안전하다는건 심각한 상황이다.) 망에서도 중요도 별로 선별이 되어야 하고 중요도에 따라 접근 영역도 달라야 한다. 특히 웹 서버의 경우에는 DB와 연결 되는 경우가 대부분인데 이 부분에 대해서도 구분과 대책이 필요하다고 할 수 있다. 실험 해보고 적용 해 본 것들은 여러가지 사례가 있지만 DB와 연결 지점, 연결 프로그램에 대한 제어와 모니터링이 가장 효과적인 방안으로 보고 있다.

그러면 국내에 대다수 기업들은 이렇게 하고 있을까?.. 많은 기업들은 하고 있지만 실효적인 유효성 보다는 정책과 연계된 형식적 프로세스 형태로 운용 하고 있을 가능성이 매우 높다. 즉 새는 구멍들은 계속 생길 수 있다는 것이다.

시스템:

공격자의 최종 목표는 결국에는 시스템에 대한 제어권한 획득이 목적이다. 이 목적을 위해 어플리케이션을 공격하고 네트워크망을 이용해 중요 시스템까지 접근 할 수 있도록 루트개척을 한다. ( 어차피 이 분야도 등산과 같다. 목적지에 도달하기 위해 거쳐야 하는 여러 포인트를 거칠 뿐인것이다. ) 목표가 되는 시스템은 항상 그렇듯이 회원관련된 정보나 현금화가 가능한 모든 것들이 포함된다. ( 소스코드 및 산업기밀 등도 모두 해당된다.)

이런 중요 시스템들은 대부분 내부의 보호되는 영역들에 존재한다고 믿고 있다. 그러나 이 보호되는 영역이 깨지는 것은 지금은 단순히 웹을 공격 함으로써도 가능하다. 일반적인 경로를 살펴보면 동일 네트워크나 같은 영역에 있을 것으로 예상되는 웹서버들에 대한 공격 -> 취약한 웹과 연결된 일부 DB 서버에 대한 권한 획득 -> 백도어 설치 -> 내부망 스캔 -> 내부망에서의 권한 획득 확대 -> 목표 달성 -> 외부로 부터 연결 가능하거나 명령 제어가 가능한 채널 설치 ..

위와 같이 볼 수 있다. 특별히 벗어나지도 않는다. 이 과정에서 중요한 것은 여러 포인트들에 대한 체계적인 관리와 집중적인 노력이 필요한 부분이 있다. 대부분의 보안 전문가나 관리자들은 개별 포인트에 집중하기도 한다. 종합적으로 보기가 어렵고 여건상 어려운 부분이 존재하기 때문이다. 이 부분은 보안전문가들이 결정권을 가지지 못하기에 발생 되기도 한다.

외부에 직접 노출된 시스템들은 보안성이 항상 높은 수준을 유지 하도록 강요된다. 그러나 내부에 있는 시스템들은 대부분의 사람들이 인지하듯이 외부 인터넷망과 분리 되어 있기 때문에 안전하다는 이유로 방치 되다시피 하고 있는것이 현실이다.

공격자가 하나의 경로를 확보하게 되면 내부망을 휘젓는 것은 일도 아니다. 패치 안 된 다수의 시스템들.. 기본적인 보안 검사 없이 노출된 많은 어플리케이션들.. 포트 통제도 되지 않는 서비스들은 무지막지한 공격의 대상이 될 뿐이다. 더 문제가 되는 것은 내부망에서 발생되는 공격들을 탐지할 어떠한 것들도 가지고 있지 않다는 점이다. 대부분의 보호 도구들은 밖을 향해 있다. 내부에서 발생되는 공격들은 범위 밖인 것이다.

인지가 가능한 경우는 단지 서비스의 장애나 시스템의 리붓등이 발생 될 때에나 수동적으로 발견 할 뿐이다. 그렇지 않을 경우 발견 하기란 하늘의 별 따기이다.

언제 일어날 지 모를 내부에서의 사고를 위해 막대한 비용을 들여 기존의 보호 장치를 적용 할 수 있는 곳들은 많지 않다. DB에 대한 보호 조치나 암호화도 정답이 될 수 없는 것이 암호화를 푸는 모듈이 장착된 웹서비스나 어플을 공격 할 경우 암호화는 의미가 없어진다.

시스템에 대한 최종 보호도구나 기본적인 감시 도구의 필요성은 이래서 필요하다. 폐쇄망에서의 치명적인 침해사고를 염려 하는 점도 위와 같은 이유에서다. 언젠가는 ( 곧) 발생 되겠지만 말이다.

어플리케이션:

가장 논란이 되는 부분이 어플리케이션이다. 기존의 많은 보호도구들이 네트워크나 시스템에 집중 되었다면 2005년을 기점으로 어플리케이션에 대한 공격이 전 세계에서 발생 되는 주요 공격의 대부분을 차지 하고 있다. 웜이나 바이러스를 통해 유출 되는 정보의 비율보다 어플리케이션 공격을 통해 자료를 유출하거나 전용하는 비율은 엄청난 차이를 보이고 있다. 기업망에서 중요하게 바라 보아야 하는 것은 지켜야 할 것이 무엇이고 연결된 것은 무엇이며 어떤 방식으로 안전성을 유지하며 단계적으로 해결을 하느냐는 점이다.

기업내에서도 많은 어플리케이션들이 개발되고 편리를 위해 운용이 된다.
그 접근의 편리함은 공격자에게도 동일하게 적용이 된다. 공격의 편리성도 똑같다는 의미이다.

외부에 노출된 많은 웹 애플리케이션들은 현재도 감당하기 힘든 공격들에 직면한 상태이고 매번 새롭게 개편이 되고 갱신이 될때마다 새로운 문제들에 노출이 된다. 근본적으로는 개발자에 대한 Secure coding이 습관화되고 고착 되어야 하지만 이 길은 너무나도 먼 길이다.

개발 프로세스보다 더 긴 보안 점검 일정은 인내심의 한계를 촉발하고 대부분 개발자들에게 주어진 제한된 빠른 일정을 벗어나게 만든다. 또한 작은 페이지 하나 정도 추가 하는 것에도 1시간도 안걸리는 작업에 보안 점검이 하루 이상이 소요 된다면 모든 것은 문제가 될 수 밖에 없다.

개발자에 대한 교육을 하기 위해 Secure programming guide를 한다는 점도 좋은 시도이다. 그러나 방향성은 맞지만 현재 전 세계적인 방법론은 틀렸다고 본다. 일반 C/S 프로그래밍과 일정이 긴 소프트웨어 개발에는 맞는 방향일 수 있으나 현재 문제가 되고 있는 Web 어플리케이션에 대한 방향성과는 전혀 맞지가 않는다.

개발자가 구현 할 수 있는 창의성에 대한 제한, 또 교육과 습득에 까지 이르는 수많은 시간, 모든 것은 개인의 역량에 달린 문제여서 이직 할 경우는 처음부터 원점에서 다시 시작해야 하는점 등등.

소스코드를 점검 하기 위해서는 엄청난 출혈을 감내 해야만 한다. 비용과 인력, 시간등에 있어서 비용 대비 효과는 기대하기 어려운 부분이다. 그래도 방법이 없으니 쓸 수 밖에 없다.

많은 기업과 조직들이 이 문제 해결을 위해 웹 보안 도구를 사용 하고 있으나 우회 공격에 취약하며 또한 새로운 유형의 공격에 취약 할 수 밖에 없다. 또한 변화되는 네트웍 환경에 따른 오탐과 장애의 문제는 실질적인 문제이다.

개발자들이 손쉽게 문제가 되는 부분을 Live한 상황에서 실시간 점검을 하고 문제점을 해결 할 수 있다면 비용, 시간, 인력의 문제를 해결 할 수 있을텐데 아직 세계적으로 그런 서비스는 출현하지 않고 있다. 여러 구현의 어려움과 한계 때문에 출현이 없으나 웹 어플리케이션에 대한 Secure한 상태의 유지는 지금 당장 당면한 과제 이므로 반드시 되어야만 할 것이다.

현재 미국에서는 소스코드 보안성을 강화하는 방향의 회사 제품을 국방부 차원에서 도입하여 적용하고 테스트를 하고 있다. 방안이 없기에 이럴 수 밖에 없다. 그러나 비용 대비 효과는 미미할 것으로 예상이 된다. 발전도 제한이 될 것이고 말이다.

이 문제를 해결 하기 위한 서비스를 준비 중에 있다. 곧 보실 수 있을 것이다. 완벽한 보안이 아닌 기본적인 보안 수준은 유지 할 수 있도록 하여 대규모 공격이나 일반적인 공격도구에는 당하지 않는 상태로 만들고 개발자들의 실시간 검사를 통해 기존 도구들이 가지는 한계를 한번에 넘길 수 있는 패러다임이라 할 수 있다.

현재 발생된 문제도 이 패러다임에서 벗어나지 못한다. 모든 애플리케이션에 대한 보안성 강화와 문제 해결을 할 수 없기에 주요 서비스에만 보안성을 강화하고 노력을 하였지만 문제는 모든 것은 이어져 있고 동일 대역 혹은 접근 가능 대역에 중요하지 않은 서비스들도 위치하고 있다는 점이다. 기사로만 유추해 보면 현대캐피탈의 문제도 여기에서 부터 비롯된 것이다.

정책:

정책적인 문제는 기술적 보안을 실행 하고 운영하기 위한 프로세스적인 정책을 의미한다. 일반적인 감시와 모니터링,통제를 위한 정책 부분은 지금의 상황 설명에는 문제가 있기에 연관성이 떨어진다고 할 수 있다. 정책적으로 모든 부분에 대해 문제가 없고 절차를 다 지켰다고 하여도 .. 관리가 덜 되고 있는 주변 서비스에 대한 집중 공격으로 진입점이 생긴 것에 대해서는 정책적으로 통제 한다는 것은 범위를 벗어난 이야기이다.

내부자에 대한 통제와 모니터링, 프로세스 체계에 관점을 가지고 있는 부분과는 현재 문제는 조금 다른 관점의 이야기라 할 수 있다. 여기에서 말하는 정책은 기술적 보안을 하기 위한 정책적 지원 관점에서 논의를 하는 것이며 그 관점에서 보게 되면 기존의 기술적 보안 방향에서는 전체 서비스 ( 규모가 클 수록 더 많은 인자를 가진다.)에 대해 일정수준 이상의 보안성을 유지 한다는 것은 엄청난 노력이 소요됨을 의미한다.

외부 보안업체와 긴밀한 협력 이외에도 내부 기술적 보안 인력의 역량과 리더십이 결합이 되어야 하며 모든 서비스에해 일정수준을 유지 하기 위해서는 최소 2년 이상의 전력질주가 필요하다. ( 필자의 경우에는 2년 정도가 소요 되었다. - 규모에 따라서 이 기간은 대폭 축소 될 수 있다. ) 전체 서비스에 대한 체계적인 진단과 문제점에 대한 팔로윙, 문제 해결의 적절성 검증이 필요하고 새로 만들어지고 변화되는 서비스에 대해서는 전체 문제점 진단하는 과정이 필요하다.

용어적으로는 보안진단과 보안성 검수라는 말로 정의 할 수 있다. 보안성을 테스트 하고 문제점을 해결 할때 계획을 수립하고 범위를 한정하여 진단하는 보안 진단과 개별 서비스에 대한 보안성 검수를 통해 문제를 해결 하는 과정으로 진행 할 수 있다. 현재 대부분이라 할 수 있는 IT 기술에 종속된 보안이라는 측면에서는 제한적인 부분들이 많을 수 밖에 없다. 이런 문제를 해결해 주는 체계적인 정책과 프로세스가 핵심이라 할 수 있다.

* 보안 전문가들의 의견이 받아 들여지지 않고 그들을 침묵하게 만드는 시스템과 체계라면 변화를 꿈꾸기 힘들 것이다. 단지 문서상으로 완전함을 보이기는 쉽다. 눈에 보이는 것을 실행 하고 상위에 보고 하는 것은 쉬우나 언제 결과가 나타날지 모르는 미래에 대해 준비를 하도록 만드는 것은 경영진의 철학이 없으면 안된다. 판단에 있어서 독선이 나타 나는 순간 최악은 금새 나타난다.

규모에 맞는 보안성을 추구하고 방향성 차원에서 항상 돌아보고 의견을 존중해야 한다. 어려울때만 , 문제가 생겼을 때만 해결을 위해 보안 전문가들을 찾는 것이 아니라 상시적으로 이야기를 들을 수 있고 의견을 반영 할 수 있을때에야 문제 해결에 가까워 질 것이다.

투자와 노력 없이 사람을 닥달하여 얻을 수 있는 것은 이제 큰 한계에 직면 하고 있다.
겉으로 드러나지 않게 숨기고 위장하는 것도 한계에 도달한 상황이다.

철학과 방향성을 잘 생각하라.

기업의 이득을 창출 하는 것은 미래 발생 가능한 손실을 얼마나 줄여가며 성장 동력을 유지하느냐에 있다. 손실의 범위는 기업의 흥망성쇠와 밀접한 관련을 가지고 있다. 소탐대실이라는 것은 국가든 조직이든 동일하다. 미래의 가능성을 보지 못할때 (전문가에 대한 의견 존중, 의견의 적극적 활용과 고민, 기술적 조직의 고도화 등등 매우 많다.) 문제는 이미 발생 되는 것이다.

당장 눈앞의 이득에 함몰되어 의견이 무시되는 순간 위험은 감내 할 각오가 필요하고 준비가 필요한 것이다. 그래야 다음을 기약 할 수 있다.

기사를 보다보니 단편적인 안타까움과 문제들이 눈에 보여 손가는 대로 써서 포스팅 한다.
각자 도움이 될 수 있는 부분이나 참고 할 수 있는 부분이 있다면 참고 하면 될 것이다. 차후 좀 더 여유가 생긴다면 체계적으로 작성을 할 수 있도록 하겠다.

- 바다란 세상 가장 낮은 곳의 또 다른 이름.

'Security Indicator > Insight Security' 카테고리의 다른 글

최근 해킹이슈에 대한 '마이너리티 리포트' (0)	2011/05/11
공격도구로의 웹과 대응 - 악성코드 동향 및 7500만의 해킹에 붙여 (0)	2011/04/28
현대캐피탈 해킹. 시사점과 지금의 문제 (2)	2011/04/11
p2p 및 악성코드 유포지에 대한 심각한 문제제기. (0)	2011/03/26
경유지의 폭발적 변화와 확산. 이건 징후라고 봐야 할 사안들 (0)	2010/12/25
구글의 악성코드 차단 정책의 선회가 가지는 의미 (0)	2010/12/20

Posted by 바다란

TAG security, 보안, 해킹

트랙백 0개, 댓글 2개가 달렸습니다

Mysql.com과 Sun의 DB 유출- Blind sql injection

Security Indicator/Security Analysis 2011/03/28 21:49

Web application의 취약성으로 인해 DB 정보가 유출 되었군요. Oracle에 인수된 Mysql 과 Sun 모두 Blind sql injection으로 인해 기업의 중요 정보가 유출 되었습니다. 참고적으로 볼만 하네요. 세계적인 IT 대기업조차 이런 상황입니다. 이걸 찾아내고 문제점을 검증하고 개발자가 개발시에 웹 어플리케이션의 취약성을 사전 인지 할 수 있도록 하는 것이 제가 만든 서비스의 기본 모토입니다.

특히 Web의 경우는 개발기간이 짧고 변화가 많아 기존의 SDLC로는 커버가 안됩니다. 새로운 방향의 개발 보안 프로세스가 필요하고 거기에는 시간과 접근성, 비용이 모두 효과적이고 효율적인 서비스로서의 접근이 타당하다는 생각입니다.

Malware link detect service 와 Web application scan service는 둘 다 웹상에서 접근하고 확인할 수 있도록 되어 있습니다. 두 서비스가 IT 세상을 또 극적으로 바꿀 것입니다.

* DB 정보를 볼 수 있으려면 이미 권한은 획득한 것이고 여기에서 악성코드 유포나 백도어가 만들어 지는 것도 특별한 일은 아니겠죠. mysql.com만 해도 어마어마한 방문자 리스트를 가질테니 말입니다.

http://nakedsecurity.sophos.com/2011/03/27/mysql-com-and-sun-hacked-through-sql-injection/

Proving that no website is ever truly secure, it is being reported that MySQL.com has succumbed to a SQL injection attack. It was first disclosed to the Full Disclosure mailing list early this morning. Hackers have now posted a dump of usernames and password hashes to pastebin.com.

MySQL hashes on Pastebin

Most embarrassingly, the Director of Product Management's WordPress password was set to a four digit number... his ATM PIN perhaps? Several accounts had passwords like "qa". The irony is that they weren't compromised by means of their ridiculously simple passwords, but rather flaws in the implementation of their site.

Sun SQL disclosure MySQL's parent company Sun/Oracle has alsobeen attacked. Both tables and emails were dumped from their databases, but no passwords.

It does not appear to be a vulnerability in the MySQL software, but rather flaws in the implementation of their websites.

Auditing your websites for SQL injection is an essential practice, as well as using secure passwords.

Either can lead you down a road that ends in tears. If you haven't reviewed your web coding practices, this might be a good time to perform an audit of your public-facing assets to be sure your organization won't become the next headline.

It was noted on Twitter that mysql.com is also subject to an XSS (cross-site scripting) vulnerability that was reported in January 2011 and has not been remedied.

http://seclists.org/fulldisclosure/2011/Mar/309?utm_source=twitterfeed&utm_medium=twitter
---------------------------------------------------------------------------------------
[+] MySQL.com Vulnerable To Blind SQL Injection vulnerability
[+] Author: Jackh4xor @ w4ck1ng
[+] Site: http://www.jackh4xor.com
---------------------------------------------------------------------------------------

About MySQL.com :
--------------------------------------------------------------------------------------------------------------------

The Mysql website offers database software, services and support for your business, including the Enterprise server, 
the Network monitoring and advisory services and the production support. The wide range of products include: Mysql 
clusters, embedded database, drivers for JDBC, ODBC and Net, visual database tools (query browser, migration toolkit) 
and last but not least the MaxDB- the open source database certified for SAP/R3. The Mysql services are also made 
available for you. Choose among the Mysql training for database solutions, Mysql certification for the Developers and 
DBAs, Mysql consulting and support. It makes no difference if you are new in the database technology or a skilled 
developer of DBA, Mysql proposes services of all sorts for their customers. 
--------------------------------------------------------------------------------------------------------------------

                                   

Vulnerable Target  :   http://mysql.com/customers/view/index.html?id=1170
Host IP                  :   213.136.52.29
Web Server           :   Apache/2.2.15 (Fedora)
Powered-by           :   PHP/5.2.13
Injection Type        :   MySQL Blind
Current DB             :   web

Data Bases:    

information_schema
bk
certification
c?ashme
cust_sync_interim
customer
dbasavings
downloads
feedback
glassfish_interface
intranet
kaj
license_customers
manual
manual_search
mem
mysql
mysqlforge
mysqlweb
news_events
partner_t?aining
partners
partners_bak
phorum5
planetmysql
qa_contribution
quickpoll
robin
rp
sampo
sampo_interface
sessions
softrax
softrax_interim
solutions
tco
test
track
track_refer
wb
web
web_control
web_projects
web_training
webwiki
wordpress
zack

Current DB: web

Tables

xing_validation        
v_web_submissions      
userbk 
user_extra     

user  Columns: cwpid version lead_quality sfid industry address2 created last_modified lang notify newsletter gid title 
fax cell phone country zipcode state city address business company position lastname firstname passwd verified bounces 
email user_id

us_zip_state   
us_area_state  
unsub_log      
trials 
trial_external_log     
trial_data     
trial_alias    
training_redirect      
tag_blacklist  
tag_applied    
tag    
support_feeds_DROP     
support_entries_DROP   
states 
snapshots_builds       
snapshots      
sakilapoints   
regions        
quote_customer 
quote  
quicklinks     
promo  
product_releases       
position       
partner        
paper_lead     
paper_details_options  
paper_details_old      
paper_details  
paper  
newsletter_unsub       
nav_sites      
nav_items      
mysql_history  
mirror_status  
mirror_country 
mirror_continent       
mirror 
mailing_list_member    
mailing_list   
locks  
lead_validity_rules    
lead_source_xref       
lead_source_external   
lead_source    
lead_routing_rule      
lead_rep       
lead_old       
lead_note      
lead_extra_old 
lead_extra_new 
lead_extra     
lead_companies 
lead_campaign_member   
lead   
language_strings       
language_modules       
imagecache     
hall_of_fame   
g_search_term  
g_search_data  
g_blog_data    
forum_comment  
forms  
field_xref     
field_options  
field_match    
email_blacklist        
email_a_friend 
drpl_manual_review     
drpl_denied    
drpl_check_log 
drpl_cache     
customer_meta_sets     
customer_meta_set      
customer_meta  
customer       
coupon_product 
coupon_campaign_attribute      
coupon_campaign        
coupon 
country        
countries      
campaign_type  
campaign_topic 
campaign_score 
campaign_listdata      
campaign_detail        
business       
bounces        

Database : mysql
Table:

user_info    

user     Column: Update_pri Insert_priv Select_priv Password User Host

time_zone_transition_type    
time_zone_transition    
time_zone_name    
time_zone_leap_second    
time_zone    
tables_priv    
slow_log    
?ervers    
procs_priv    
proc    
plugin    
ndb_binlog_index    
inventory    
host    
help_topic    
help_relation    
help_keyword    
help_category    
general_log    
func    
event    
db    
columns_priv


# mysql.user Data

Password                                      User            Host
                                                wembaster     %
                                            monitor     10.%
                                            sys             %
                                            sys             localhost
*06581D0A5474DFF4D5DA3CE0CD7702FA52601412     forumread     %
*0702AEBF8E92A002E95D40247776E1A67CD2CA3F     wb             %
*2A57F767D29295B3CB8D01C760D9939649483F85     flipper     10.%
*32F623705BFFFE682E7BD18D5357B38EF8A5BAA9     wordpress     %
*66A905D4110DF14B41D585FDBCE0666AD13DD8C1     nagios             %
*704EB56151317F27573BB4DDA98EDF00FFABAAF8     root             localhost
*ED1BDC19B08FD41017EE180169E5CEB2C77F941A     mysqlforge     %
*FD75B177FFEC3590FE5D7E8459B3DDC60AE8147B     webleads     10.%
00680dd718880337                             olof             %
077f61a849269b62     qa_r     %
077f61a849269b62     qa_rw     %
077f61a849269b62     qa_adm     %
0c2f46ba6b87d4ea     trials_admin     10.%
1856b9b03b5a6f47     cacti     %
19519e95545509b5     certification     %
1a39dcad63bbc7a6     gf_mschiff     %
2277fd7d562ec459     webslave     localhost
2277fd7d562ec459     webslave     %
304404b114b5516c     planetmysql_rw     %
35e376451a87adb0     planetmysql_ro     %
4e203d581b756a93     webmaster     localhost
4e203d581b756a93     webmaster     %
4e93479179a8ec93     sysadm     %
575ec47e16c7e20e     phorum5     %
575ec47e16c7e20e     lenz     %
5f340ec40a706f64     robin     %
61113da02d2c97a5     regdata     %
616075f256f111ba     myadmin     10.100.6.44
61711eea3de509ac     merlin     127.0.0.1
6302de0909a369a1     ebraswell     %
6b72b2824cc7f6fe     mysqlweb     %
6ffd2b17498cdd44     zack     %
70599cf351c6f591     repl     %
740284817e3ed5a8     webwiki     %
74c5529b41a97cc2     web_projects    

Databsae: web_control

Table:
system    
system_command    
service_request    
run_control    
request_daemon    
rebuild_server    
rebuild_queue    
rebuild_control    
quarterly_lead_report    
newsletter_log    
newsletter_control    
ips    
hosts  Columns:notes description name
dns_servers Columns: name internal ip


Database: certification

Tables:
signup    
corpcustomers    
certexamdata    
certcandidatedata    
certaccess


Database: wordpress

Tables:

wp_4_term_taxonom    
wp_4_term_relationships    
wp_4_posts    
wp_4_postmeta    
wp_4_options    
wp_4_links    
wp_4_comments    
wp_3_terms    
wp_3_term_taxonomy    
wp_3_term_relationships    
wp_3_posts    
wp_3_postmeta    
wp_3_options    
wp_3_links    
wp_3_comments    
wp_2_terms    
wp_2_term_taxonomy    
wp_2_term_relationships    
wp_2_posts    
wp_2_postmeta    
wp_2_options    
wp_2_links    
wp_2_comments    
wp_1_terms    
wp_1_term_taxonomy    
wp_1_term_relationships    
wp_1_posts    
wp_1_postmeta    
wp_1_options    
wp_1_links    
wp_1_comments    
wp_11_terms    
wp_11_term_taxonomy    
wp_11_term_relationships    
wp_11_posts    
wp_11_postmeta    
wp_11_options    
wp_11_links    
wp_11_comments    
wp_10_terms    
wp_10_term_taxonomy    
wp_10_term_relationships    
wp_10_posts    
wp_10_postmeta    
wp_10_options    
wp_10_links    
wp_10_comments    
remove_queries



Database: bk

Table:
wp_backupterm_taxonomy    
wp_backupterm_relationships    
wp_backupposts    
wp_backuppostmeta    
wp_backupoptions    
wp_backuplinks    
wp_backupcomments


-----------------------------------------------------------------------------------
Signed : Jackh4xor ! 

Greetz : rooto, Mr.52, zone-hacker, w4ck1ng

(In)Security
-------------------------------------------------------------------------------------

'Security Indicator > Security Analysis' 카테고리의 다른 글

해외 ISP가 악성코드 경유지 주소로 직접 활용된다. (0)	2011/06/26
2년 후의 사이버 보안에 대하여 - 미국 (0)	2011/04/20
Mysql.com과 Sun의 DB 유출- Blind sql injection (0)	2011/03/28
악성코드의 반복적인 발생과 대규모 유포의 원인 (0)	2010/12/06
Facebook 사건과 8억달러의 벌금 - 기사분석 (12)	2010/10/07
세계 50만대 이상의 웹 서비스 봇넷 배포지로.. 그리고.. 의견 (0)	2010/08/17

Posted by 바다란

TAG blind sql injection, SQL 인젝션, 보안, 해킹

트랙백 0개, 댓글 0개가 달렸습니다.

p2p 및 악성코드 유포지에 대한 심각한 문제제기.

Security Indicator/Insight Security 2011/03/26 12:55

3.26일 오전 12시 현재 p2p 및 빗토런트 사이트들 최소 8곳 이상에서 4종류 이상의 악성코드를 유포하고 있음. 경유지가 4종류이며 사용하는 공격기법도 다 제각각임.

더불어 언론사 홈페이지 몇곳, 유제품 업체, 그룹사 홈페이지등에 대한 악성코드 경유지가 추가 되어 방문자들에게 유포를 하고 있음.

금일과 어제 새로 발견된 경유지들은 20곳 이상이며 모두 국내사이트에 추가된 경유지들이다. 각 개별 발생 카운트는 정리 하지 않았으며 몇몇 경유지의 경우는 정리할 필요성이 있을것으로 보임.

Mass sqli 도 신규로 추가된 것으로 나옴.

이번 주말도 아주 화끈한 한주를 보낼 것으로 예상됨. p2p만 쳐다 보다 당하는 일 없기를. 근본 문제 수정이 먼저이지만 안되면 차단이라도 빠르게 해야 할듯. 아님 1.25 대란 정도는 수시로 발생 될 것임.

차주중 관련된 컬럼을 작성할 예정.

일단 통계적 수치와 변화도를 나타낼 수 있는 카운트를 가지고 있다.
그냥 말로만 하는 위험성 과 문제제기가 아닐 것이다.

이건 앞으로도 변함이 없을 것이다.~

변화무쌍한 공격자의 행위를 잡아 낼 수 있는건 기본적인 구조에서 잡아야 된다.
그 아래는 변화가 너무 많기 때문에 이전에 잡아야만 문제 해결의 단초를 잡을 수 있다.

지금 이 일을 할 수 있는 곳은 오직 한 곳 밖에 없다.! 아직까지는 ..바로 우리

'Security Indicator > Insight Security' 카테고리의 다른 글

공격도구로의 웹과 대응 - 악성코드 동향 및 7500만의 해킹에 붙여 (0)	2011/04/28
현대캐피탈 해킹. 시사점과 지금의 문제 (2)	2011/04/11
p2p 및 악성코드 유포지에 대한 심각한 문제제기. (0)	2011/03/26
경유지의 폭발적 변화와 확산. 이건 징후라고 봐야 할 사안들 (0)	2010/12/25
구글의 악성코드 차단 정책의 선회가 가지는 의미 (0)	2010/12/20
스마트 시대의 보안 대처법과 대응전략 -인터뷰 (0)	2010/10/22

Posted by 바다란

TAG malware, 경유지, 보안, 악성코드, 해킹

트랙백 0개, 댓글 0개가 달렸습니다.

경유지의 폭발적 변화와 확산. 이건 징후라고 봐야 할 사안들

Security Indicator/Insight Security 2010/12/25 16:21

12.18일 제로보드에 대한 신규 공격을 발견하고 .. 정확하게는 신규 공격이 아니다. 다만 사용처에 비정상적인 경로가 추가 된 것을 최초 발견 하였고 추적을 할 수 있었다.

그 이후 대응은 아시다 시피 추가된 문자열의 제거 , 제로보드 버전의 업그레이드등 다양하게 이루어 지고 있지만 과연 충분 할까? 금일자로 또 다시 경유지가 변경이 되어 동일한 문제점을 지닌 곳들에 대규모로 추가가 되었다. 물론 악성코드는 신형으로 다시 내려 온다.

해외 IP를 이용한 경유지 활용이 아닌 국내에 널린 취약한 웹사이트들 여기저기에 올려두고 경로를 비비 꼬아 둔다.

언론사들.. 온라인 주문이 가능한 쇼핑이나 먹거리 사이트들 등등이 여전한 영향권 내에 있다.

http://blog.websanitizer.com/ko/?p=634 24,25일 추가된 악성코드 유포에 사용되는 경유지들은 몇 가지 특징들이 있다. 어떤 형태는 대규모 자동화된 공격에 의해 발생이 된다는 점이고 또한 링크 중에는 악성코드 다운로드가 없는 비정상적인 경로들도 존재한다. gifimg.php 라는 녀석인데.. 처음에 한 두개 정도 발견 될때는 무시 하였는데 최근 들어 추가 빈도가 매우 높아 졌다. 따라서 차후 어떤 행위로도 활용이 될 수 있는 부분이라 권고가 필요한 부분이라 할 수 있다.

보안분야에서는 팩트를 중요시 한다. 즉 악성코드가 있어야 실체가 있다고 한다. 반은 맞고 반은 틀리다.

악성코드를 뿌릴 수 있는 경로를 먼저 만들어 두고 나중에 한번에 올린다면? 그 감당을 할 수 있을까?

먼저 뿌릴 수 있는 . 더 많은 사용자를 확보 할 수 있는 경로를 먼저 다수 확보한다. 그 이후에 일시에 악성코드를 올린다. 현재 세계의 대응태세나 특히 국내의 대응태세로는 한계라고 봐야 한다.

공격자들의 심리와 프레임을 알 수 있고 예측 할 수 있어야 싸움이 된다.

지금의 모습은 어른과 동네 꼬마가 무기 없이 1:1 싸움을 하는 형국이다. 물론 무술로 단련된 어른은 공격자다. 대응 할 수 있는 방안은 행위를 예측하고 사전에 막는 수 밖에..

취약성개선에 대한 문제는 일단 나중이라고 치고..

웹 서비스에 대한 반복적인 해킹은 지금껏 알려진바가 없으며 담당자에 의해 몰래몰래 처리 되는게 일반적이였다.

그러다 보니 지금과 같은 상황에 이르게 된 것 아닐까?

대부분 악성코드들은 신규 유형의 코드 이며 또한 경유지 경로로 자유자재로 바꾸어서 취약한 웹서비스들을 농락한다.

공격자는 경유지와 유포지 두 곳 모두를 공격하는 것을 너무나도 쉽고 자연 스럽게 한다. 거기에 비해 대응은?

경유지 증가가 폭발적이고 이중에는 간혹 잔머리를 굴리는 듯한 유형들도 발견이 된다. 그 모든 것을 보고 판단하는 것은 식은죽 먹기다.

내가 보는 눈에서는 식은죽이고 정보의 가치가 매우 높다고 생각 하지만 ( 하다 못해 구글보다 빠른 곳은 없지 않나? 그리고 신고 없이 독자적으로 찾아 내는 것도 신규 악성코드만 있지 경유지는 전 세계에 없지 않나? )

나라는 존재 자체가 받아 들이기에 어려운 뜨거운 감자 인갑다.

물론 앞으로 나아 지겠지만..

존재를 부정 할 수는 없고 받아 들이지나 자신들의 방식에 대한 과오를 인정 하는 형태가 되니..

현명한 선택이든 무엇이든 당장 급하면 해야 할 것이다.

실용적인 태도가 필요한 시점이다. 자존과 얄팍한 계산으로는 지금을 넘지 못한다. 모두가..

'Security Indicator > Insight Security' 카테고리의 다른 글

현대캐피탈 해킹. 시사점과 지금의 문제 (2)	2011/04/11
p2p 및 악성코드 유포지에 대한 심각한 문제제기. (0)	2011/03/26
경유지의 폭발적 변화와 확산. 이건 징후라고 봐야 할 사안들 (0)	2010/12/25
구글의 악성코드 차단 정책의 선회가 가지는 의미 (0)	2010/12/20
스마트 시대의 보안 대처법과 대응전략 -인터뷰 (0)	2010/10/22
Stuxnet (SCADA) 대응과 앞으로의 과제 (0)	2010/10/19

Posted by 바다란

TAG SQL Injection, websanitizer, 경유지, 보안, 해킹

트랙백 0개, 댓글 0개가 달렸습니다.

구글의 악성코드 차단 정책의 선회가 가지는 의미

Security Indicator/Insight Security 2010/12/20 01:01

http://news.cnet.com/8301-27080_3-20026015-245.html?part=rss&tag=feed&subj=News-Security&utm_source=twitterfeed&utm_medium=twitter

구글이 2006년 부터 해온 stopbadware를 활용한 붉은색 경고 마크 정책을 변경 한단다. 정확하게는 변경이 아니라 다른 부가적인 서비스를 붙이는 것이지만..

왜 이럴까?. 악성코드 유포지로 확인된 사이트들에 대해 Alert 하는 정책으로는 지금과 같은 악성코드의 홍수를 막을 수 없기 때문이겠지. 당연히..

현재 Malware link를 찾거나 대응 할 수 있는 서비스는 여러개가 있지만 그중 가장 파워풀 한 것이 구글의 정책이다. ms와의 브라우저 전쟁이나 OS 전쟁에서도 이길 수 있는 ( 여긴 애플은 아직 애송이일 뿐) 방책이기도 하다. 그러나 DB 갱신이나 정보 확인 에는 시간이 걸린다. 아무리 빨라야 3일 정도.. 근데 3일이면 공격하는 자들은 또 바꾼다. 취약한 웹 서버는 어디에나 있기에..

2~3일에 한번씩 바뀌는 공격자들이 악성코드를 업로드 하거나 업로드된 경로로 유도하는 링크를 수도 없이 만들어 내고 이것을 취약한 웹 서비스들에 추가한다. 끝도 없이.

상상하기 힘든 위협이라고 몇 년전부터 이야기 해왔다. 이제 그 한계에 도달하고 있다.

전체 보안인력들이 대응 하기 힘든 한계에 도달하고 있으며 이 한계는 그들의 극한을 시험 할 것이다.

가장 많은 데이터를 가지고 있는 구글조차도 해결 하지 못하는 난제를 위해 그들은 자신들의 호스팅을 받을 것을 권한다. 구글의 관리자 도구를 활용하면 운영자가 추가하지 않은 링크들이 웹 서비스에 추가 될때 Alert을 해준다는 것이다. 문제는 다양하다. 매번 소스코드 변경이나 추가 혹은 링크를 통제 할때 마다 구글의 시험을 통과 해야 한다.

또한 그 통과의 간극은 계속 지속 될 수 밖에 없다. 그리고 구글 관리자 도구를 계속 써야 하는 이유도 그렇고..

이게 과연 해결책이 될 수 있을까? 구글은 인터넷 전체를 통제 한다 하여도 불가능한 꿈을 꾸고 있다.

2~3일에 한번씩 발생 하는 Alert과 장기적으로는 차단으로 이어지는 상황이 된다면 이건 정상적인 인터넷을 향한 길이 아니다. 문제는 왜 그렇게 발생이 되고 재발이 되는지에 대한 근본적인 개선 노력이 병행 되어야만 가능하다.

아직 구글도 단순히 오프라인 상에서의 부분적인 점검만 가능한 도구를 오픈 했을뿐 다른 노력은 어디에도 없다.

그들이 못한 걸 다 가지고 있다. 3일의 간극을 넘을 수 있는 도구도.. 근본 문제를 해결 할 수 있는 도구와 서비스도 다 가지고 있다. 아직은 하룻강아지일 뿐이지만 ^^

이 것을 제어 하는자가 다음 전쟁의 주도권을 쥔다.

일단 칼은 내 손안에 있다. 하하핫.

'Security Indicator > Insight Security' 카테고리의 다른 글

p2p 및 악성코드 유포지에 대한 심각한 문제제기. (0)	2011/03/26
경유지의 폭발적 변화와 확산. 이건 징후라고 봐야 할 사안들 (0)	2010/12/25
구글의 악성코드 차단 정책의 선회가 가지는 의미 (0)	2010/12/20
스마트 시대의 보안 대처법과 대응전략 -인터뷰 (0)	2010/10/22
Stuxnet (SCADA) 대응과 앞으로의 과제 (0)	2010/10/19
애플과 보안 -2 (0)	2010/10/05

Posted by 바다란

TAG Google, 구글, 보안, 해킹

트랙백 0개, 댓글 0개가 달렸습니다.

악성코드의 반복적인 발생과 대규모 유포의 원인

Security Indicator/Security Analysis 2010/12/06 11:04

여기 나온 악성코드 경유지 주소들 보다 더 많은 정보들이 있다.

그러나 그 정보들은 오픈하기가 어려운 상태.

IP를 기반으로 철저하게 백도어 용도로 이용이 되고 있고 순식간에 전체를 바꿔치기 한다.

정보를 오픈하면 바꾸고 오픈하지 않으면 그냥 둔다. 하루에도 두세번 바꾸는건 일도 아니다.

대부분 국내 서비스 해킹하고 IP주소를 이용해 악성코드 다운로드 링크들을 올려 둔다.

이걸 국내 주요 사이트들에다 추가 하는 형식. js 파일내에 document.write 를 이용해 쓰거나

css 파일에 추가 또는 iframe으로 추가 한다.

근본 적인 취약성은 그대로 있는데 이 링크만 지운다고 없어질까?

다 부질 없는 짓이다.

암의 근본 원인 제거 없이 겉으로 흐르는 피만 닦아 내고 밴드를 붙인다고 해서 상처가 없는건 아니다.

다만 보이지만 않을 뿐. 언제든 나타난다. 계속해서..

자동화된 악성코드 저작 도구가 있다고 해서 널리 퍼지는 것은 아니다.

이젠 대규모로 글로벌 하게 퍼트릴 수 있는 방안이 있어서 크게 문제가 되는 것이다.

왜 더 이상 한국에 특화된 바이러스가 없을까?. 특화된 악성코드도 없고 말이다.

전 세계 어디에서나 찾아 볼 수 있다. 근본을 모르면 계속 휘둘리게 마련이다.

보안 전문가들이나 보안 회사들, 정책 당국은 이점을 명심 해야 한다.

예전에도 자동화된 악성코드 제작 도구는 있었다. 단 지금 만큼의 속도는 아니였다.

그러나 예전에도 이렇게 흔들렸던가? 전 세계 전문 인력들이 지쳐 쓰러질 만큼 힘들 정도 였던가?

규모의 경제를 갖춘 회사만이 버틴다. ( 전문인력의 대규모 보유) . 나머지는 다 지쳐 쓰러진다.

지금 문제는 확산 매커니즘이다. SNS와 취약한 웹서비스를 통해 자동으로 설치되는 악성코드가 확산의 주된 매커니지늠이다. 이걸 잊지 마라. 앞으로도 계속 된다. 그 누구도 멈출 수 없다. 발상의 전환이 없다면 말이다.

- 바다란 세상 가장 낮은 곳의 또 다른 이름

* 매번 자세하게 썼지만 애써 보려 하지 않는 사람들이 많아 앞으로도 계속 꾸준하게..또 자세히 쓸 예정입니다.

http://blog.websanitizer.com/ko/?p=588

최근 악성코드가 유포되는 과정은 일반적으로 다음과 같습니다.

인터넷 등에서 감염된 파일을 다운로드하여 PC에서 실행하여 감염되는 경우
스팸 메일의 첨부 파일을 실행하여 감염되는 경우
USB 메모리와 같은 이동형 매체를 통해 감염되는 경우
웹 취약점이나 해킹 등으로 변조된 웹사이트를 방문하는 과정에서 감염되는 경우

이 과정 중에서 1, 2, 3 항목은 안티바이러스 및 안티스팸 솔루션에서 해결하는 경우가 많습니다. 물론, 새로운 악성코드가 발생하는 경우에 미처 대처하지 못하는 경우도 있습니다. 안티바이러스 업체에서는 이러한 한계점에 대해 다양한 연구 및 검토를 거쳐, 휴리스틱(인공지능), 클라우드, 화이트리스트, 샌드박시와 같은 첨단 기술을 이용하여 미연에 방지하고자 노력하고 있습니다.

당사에서 주목하고 있는 악성코드의 유포 환경은 바로 안전하지 않은 웹사이트의 방문으로 인해 사용자의 PC가 알지도 못하는 사이에 감염되는 경우입니다. 웹사이트 개발 초기에 보안에 관련된 사항을 고려하지 않아 발생하는 문제점으로 보통 서버의 취약점을 이용하여 해킹을 하거나 SQL Injection과 같은 웹취약점을 이용합니다.

특히, SQL Injection 취약점은 전체 웹사이트의 약 80% 이상 가지고 있을 정도로 매우 광범위하게 노출되어 있는 문제점으로 해결을 위해서는 웹방화벽이 주로 도입되고 있지만, 가장 근본적인 해결책은 웹소스 자체를 수정해야 합니다. 하지만, 웹 소스를 수정하기 위해서는 기술적, 시간적, 금전적 부담이 매우 커서 SQL Injection 취약점이 전세계에서 유행하기 시작한 2002년도부터 지금까지도 위험한 상태 그대로 인 경우가 많습니다.

최근에는 Mass SQL Injection 공격과 제로데이 취약점을 이용하는 악성코드가 결합하여 보다 강력한 전파력을 보이고 있습니다. 즉, SQL Injection 취약점이 있는 사이트의 DB에 제로데이 취약점을 이용하는 악성코드로 유도하게 하는 스크립트(JS)를 삽입합니다. 사용자가 이러한 사실을 모르는 상태로 이 웹사이트에 방문하는 경우에는 PC의 안티바이러스(백신)이나 최신 보안 패치가 적용되지 않는 경우에는 즉시 감염되게 됩니다.

당사에서는 이러한 악성 코드의 유포 정보를 수집하는 검색 엔진을 개발하여 이를 통해 9월 말부터 악성코드가 유포되는 URL을 수집하여 분석하 고 있습니다. 아래의 링크 가운데에는 기존에 이미 유포되었던 링크도 포함되어 있습니다. 왜냐하면, 악성코드가 유포되면 사이트 관리자가 이 부분을 인지하고 삭제하기 때문이며, 그 이후에 다시 같은 또는 유사한 URL을 삽입하는 행동이 반복되고 있습니다.

발견일 악성 URL

2010-12-03 hxxp://rozprodam.cz/index.xxx

2010-12-01 hxxp://tzv-stats.info/xx.php

2010-12-01 hxxp://www.pkupe.com/xx/pic.js

2010-12-01 hxxp://www.alahb.com/xxx/pic.js

2010-11-29 hxxp://www.jingmen.info/xx/pic.js

2010-11-27 hxxp://multi-stats.info/xx.php

2010-11-25 hxxp://www.yiqicall.com/xx/pic.js

2010-11-22 hxxp://www.xufu9.com/xx/pic.js

2010-11-18 hxxp://210.109.97.xxx/P.asp

2010-11-17 hxxp://110.45.144.xxx/S.asp

2010-11-17 hxxp://www.samdecaux.com/xx/img.js

2010-11-15 hxxp://mount-tai.com.cn/xxxxxx/img.js

2010-11-13 hxxp://www.zyxyfy.com/xx/pic.js

2010-11-12 hxxp://www.szdamuzhi.com/xx/img.js

2010-11-11 hxxp://121.254.231.xxx/w.asp

2010-11-10 hxxp://180.69.254.xxx/main.asp

2010-11-10 hxxp://www.qpbay.com/xxxxData/img.js

2010-11-06 hxxp://www.womenzz.com/xxxxxx/img.js – Mass SQL Injection 공격

2010-11-03 hxxp://www.cqgx.net/xx/img.js – Mass SQL Injection 공격

2010-10-31 hxxp://www.jdcmmc.com/xxx/img.js – ARP Spoofing + Mass SQL Injection 공격

2010-10-30 hxxp://www.gdkfzx.org.cn/Script/img.js – Arp Spoofing 공격

2010-10-29 hxxp://www.96363.com/upfiles/img.js – Mass SQL Injection 공격

2010-10-25 hxxp://www.winitpro.com.cn/xx/img.js

2010-10-23 hxxp://www.shrono.com/xx/img.js

2010-10-23 hxxp://121.254.235.xx/H.asp

2010-10-23 hxxp://a5b.xx/n.js

2010-10-23 hxxp://www.zzyaya.com/xx/img.js

2010-10-22 hxxp://www.3emath.com/~~~/img.js

2010-10-22 hxxp://125.141.196.1**/F.asp

2010-10-21 hxxp://www.thwg08.com/xx/img.js

2010-10-19 hxxp://www.igo88.com/xxx/img.js

2010-10-17 hxxp://222.231.57.xxx/r.asp

2010-10-16 hxxp://smaug.xx/portfoliox/tutorials.php

2010-10-16 hxxp://58.120.227.xxx/F.asp

2010-10-16 hxxp://789.fanli8.xx/tj.html?zhizun

2010-10-15 hxxp://www.sxsia.org.xx/images/xxxxx.js

2010-10-13 hxxp://www.xatarena.xxx/images/img.js

2010-10-12 hxxp://www.adw95.xxx/b.js

2010-10-11 hxxp://318x.xxx/

2010-10-11 hxxp://210.109.97.XX/TT.asp

2010-10-11 hxxp://121.78.116.XX/TT.asp

2010-10-10 hxxp://www.lancang-mekong.xxx/uploadfile/img.js

2010-10-09 hxxp://www.aspder.xxx/1.js

2010-10-09 hxxp://kr.nnqc.xxx/cs.js

2010-10-08 hxxp://b.mm861.xxx/images/1.js

2010-10-08 hxxp://www.gdfreeway.xxx/js/img.js

2010-10-07 hxxp://118.103.28.XXX/R.asp

2010-10-07 hxxp://211.234.93.XXX/U.asp

2010-10-07 hxxp://175.124.121.XX/time.js

2010-10-07 hxxp://www.xhedu.xxx/js/img.js

2010-10-07 hxxp://211.234.93.XXX/U.asp

2010-10-06 hxxp://3god.xxx/c.js

2010-10-06 hxxp://318x.xxx

2010-10-06 hxxp://222.234.3.XXX/hh.asp

2010-10-06 hxxp://www.xhedu.xxx/

2010-10-05 hxxp://www.XXXXcollege.co.kr/zboard/data/yahoo.xx

2010-10-04 hxxp://iopap.upperdarby26.xxx/GUI.js

2010-10-04 hxxp://118.103.28.XXX/R.asp

2010-10-04 hxxp://wefd4.xx/

2010-10-04 hxxp://211.115.234.XXX/P.asp

2010-10-04 hxxp://211.233.60.XX/h.asp

2010-10-04 hxxp://uc.wooam.xxx/cp/w3.js

2010-10-04 hxxp://www.e0570.xxx/images/img.js

2010-09-30 hxxp://203.206.159.XXX/image/head.js

2010-09-30 hxxp://www.dnf666.xxx/u.js

2010-09-29 hxxp://mysy8.xxx/1/1.js

유포 URL을 클릭하면 해당 링크에 대한 분석 정보를 보실 수 있으며, 이 문서는 최신 악성코드 URL이 발견될 때마다 갱신됩니다.

운영하시는 사이트에서 이러한 문제점으로 어려움을 겪는 분들은 아래 자료를 참고하여 주십시오.

http://blog.websanitizer.com/ko/?p=422

그리고, 사업 및 기타 목적으로 제휴를 원하시는 업체 관계자분들은 아래 링크를 통해 연락 주시기 바랍니다.

http://blog.websanitizer.com/ko/?p=49

감사합니다.

'Security Indicator > Security Analysis' 카테고리의 다른 글

2년 후의 사이버 보안에 대하여 - 미국 (0)	2011/04/20
Mysql.com과 Sun의 DB 유출- Blind sql injection (0)	2011/03/28
악성코드의 반복적인 발생과 대규모 유포의 원인 (0)	2010/12/06
Facebook 사건과 8억달러의 벌금 - 기사분석 (12)	2010/10/07
세계 50만대 이상의 웹 서비스 봇넷 배포지로.. 그리고.. 의견 (0)	2010/08/17
[컬럼] Digital pest - 지금은 더 힘든길로 진입 (0)	2010/07/12

Posted by 바다란

TAG malware, 보안, 악성코드, 해킹

트랙백 0개, 댓글 0개가 달렸습니다.

스마트 시대의 보안 대처법과 대응전략 -인터뷰

Security Indicator/Insight Security 2010/10/22 11:07

http://www.ddaily.co.kr/news/news_view.php?uid=69569

디지털 데일리 인터뷰 기사 입니다.

제가 보는 모바일 분야의 위협은 인터뷰 기사 내용 그대로 입니다.

현재로서는 단편적인 대책외에는 없고 종합적인 시각은 없다 입니다.

종합적으로 향후 발생 될 수 있는 위협을 찾아내야 하고 그걸 막을 수 있는 방안과 문제점을 최소화 할 수 있는 도구들을 찾고 만들어야 할 때입니다.

스마트 시대의 보안 대처법과 대응전략이라는 주제로 인터뷰를 했는데 김홍선 대표와 같이 실렸네요. 제가 보는 위협의 임계점은 모바일이나 스마트폰으로 금전적인 거래나 이익 창출이 가능한 시점에 도달 했을때 폭발적으로 늘어날 것이라는 점입니다.

티핑 포인트에서 발간한 위협 분석 보고서에서 보듯이 사파리 브라우저에 대한 공격과 취약성 발견 비율은 2009년 부터 급증하고 있습니다. 이 이야기는 아이폰의 서비스 활성화 시기와도 일치한다고 봐야죠. 전 세계적으로 활용 할 가치가 있을때 그 때부터 공격과 취약성 발견은 시작 됩니다.

애플의 보안적인 문제가 없다고 하는 것은 착각이라고 할 수 있습니다. 지금껏 공격이 다양하게 발생 하지 않은 이유는 그만큼의 가치가 없었기 때문이죠. ( 공격을 통해 얻을 수 있는 수익이 적기 때문에 발생 하지 않았다고 봅니다.)

이제는 충분히 이득을 창출 할 만큼의 시장이나 가치가 있기 때문에 지금 이 순간에도 새로운 취약성들과 알려지지 않은 문제점들을 활용한 공격들이 충분히 나올 것입니다.

운영체제의 문제와 관련해서는 모바일 분야에서 왜 우리가 주도적인 보호 역할을 할 수 없느냐 하는 것은 PC의 운영체제와도 비교해 보아야 합니다. 윈도우 운영체제의 경우 시스템 레벨에 접근하여 작업을 하거나 변경을 하는 것들이 가능해 진지는 몇년 되지 않습니다. 문서화 되지 않은 코어 부분에 대해서는 SW 대기업 몇몇 곳들만 협력하여 정보를 공유했었죠. 국내의 보안업체의 경우에도 MS와 협력을 통해 시스템단위의 정보 공유를 하기 시작한 것이 몇년 되지 않으며 업체도 많지 않습니다. 문제를 근본적으로 막는 구조적인 보호대책은 MS만 할 수 있습니다. 여러가지 문제들이 있기 때문이죠.

모바일 분야에서는 예를 들어 애플의 IOS 시스템 단위에서 작동하는 보호도구를 만들 수 있을까요? 시스템과 밀접하게 연결되어 상호 보완적인 역할 을 하는 보안도구를 설치 할 수 있을까요? 아마 어려울껍니다. 앞으로도 아주 오랫동안 어려울 것으로 보입니다. 주도적인 역할은 어렵다고 보며 잘해야 보조적인 역할을 할 수 있는 것이죠.

그래서 근본적인 보안 위협에 대한 대책은 단편적으로 흐를 수 밖에 없습니다.

이게 현실인거죠.

앞으로의 위협들은 지금까지와는 다른 양상으로 발전을 할 것입니다.

대처 방안도 그리 많지 않아서 꾸준한 협력과 체제의 구축이 일정 부분 발생 가능한 위협을 줄일 수 있을 것으로 보고 있습니다.

한편, 전상훈 팀장은 지금이 “향후 나타날 수 있는 스마트폰 보안위협을 보다 종합적인 관점에서 분석하고 전망해야 할 때”라고 강조했습니다.

“아직은 스마트폰으로는 공격자들이 얻을 가치가 떨어져 그 보안위협이 현실화되지 않았지만, 앞으로 스마트폰을 이용한 상거래, 금융거래가 활성화되는 시점이 오면 위험이 폭발적으로 증가할 것”이란 게 그의 전망입니다.

스마트폰 금융거래가 일반화되는 시점에 PC만큼, 아니 그보다 더 강력한 보안위협이 다가올 것이라고 전 팀장은 확언했습니다. 스마트폰 가입자가 폭증하는만큼 스마트폰 기반 전자금융서비스 가입자도 매달 폭발적으로 증가하는 추세인데요. (참고 - 금융감독원 집계)

모바일 운영체제를 직접 국내에서 개발하고 있지 않기 때문에 기본적으로 한계가 존재하겠지만, 현재 우리가 접근하고 있는 스마트폰 보안 대책은 “단편적”이라는 것이 전 팀장의 지적입니다.

전 팀장은 “스마트폰 보안은 백신 위주의 단말기 보안이나 웜, 악성코드 대책과 같은 단편적인 방식으로는 종합적인 대책을 마련할 수 없다”면서, “스마트폰 단말기와 와이파이, 3G/4G 등 통신망, 인터넷 기반 금융거래 환경, 웹 등 모든 서비스 구성요소까지 포괄해 향후 발생가능한 보안위협과 위험 시나리오를 예상해야 하고, 그에 따른 세부 대책을 수립해야 한다”고 강조했습니다.

미래 위협을 전망한다는 것이 쉬운 일은 아닐텐데요. 전 팀장은 “PC와 인터넷에서 경험한 위협에서부터 시작해 이를 바탕으로 스마트폰에서 발생 가능한 것을 찾아내는 것이 하나의 방법이 될 수 있다”고 제시했습니다.

현재 전 팀장은 카이스트 사이버보안센터에서 미래 발생가능한 보안위협에 대처할 도구와 체계, 서비스를 만드는 일을 직접 하고 있습니다.

그는 미래 위협을 예상하는데 있어 올해 등장, 전세계적으로 이슈화된 두가지 악성코드에 주목하고 있습니다. 하나는 지난 8월 이슈화됐던 아이폰 운영체제(iOS) 취약점을 악용해 강제로 탈옥시킬 수 있는 악성코드와 원자력발전소 등 폐쇄된 산업시설을 감염시키는 악성코드 ‘스턱스넷’입니다.

'Security Indicator > Insight Security' 카테고리의 다른 글

경유지의 폭발적 변화와 확산. 이건 징후라고 봐야 할 사안들 (0)	2010/12/25
구글의 악성코드 차단 정책의 선회가 가지는 의미 (0)	2010/12/20
스마트 시대의 보안 대처법과 대응전략 -인터뷰 (0)	2010/10/22
Stuxnet (SCADA) 대응과 앞으로의 과제 (0)	2010/10/19
애플과 보안 -2 (0)	2010/10/05
Stuxnet? 아직 본게임은 시작도 안했다. (0)	2010/10/01

Posted by 바다란

TAG p4ssion, 디지털데일리, 딜라이트, 바다란, 보안, 인터뷰, 해킹

트랙백 0개, 댓글 0개가 달렸습니다.

Stuxnet (SCADA) 대응과 앞으로의 과제

Security Indicator/Insight Security 2010/10/19 16:44

* 전자신문의 보안전문 저널인 boan.com 에 기고된 컬럼 글입니다.

컬럼은 여기: http://www.boan.com/news/articleView.html?idxno=3273

현재의 Stuxnet 에 대한 대응이나 SCADA 부분에 대한 논의들이 논점이 빗나가는 부분들이 많아서 향후 필요한 부분들에 대한 대책과 문제점을 짚어 봤습니다. 표현이 정제되지 않은 Raw 컬럼을 사이트에 게재 합니다. 여기는 링크들이 정상적으로 살아 있습니다.

===============================================================================

Stuxnet이 주는 충격은 실생활이 직접적으로 영향을 받을 것이라는 점에서 많은 사람들에게 각인이 되고 있다. 또한 앞으로 기반시설에 대한 보안 이슈와 관심도 그 어느 때 보다 높아 질 것으로 예상 된다. 세계적으로 이슈가 되고 있는 Stuxnet은 일반적인 보안업체에서도 향후의 방향성에 대해서 한번쯤 고민을 해야 될 이슈를 던져 주고 있다. 기존과는 다른 접근이 필요한 분야라는 점도 인식을 해야 할 것이다.

현상으로 돌아가면 시만텍의 Stuxnet에 대해 한국내 감염 수치가 8% 이상일 것이라는 점은 사실이다. 더불어 시만텍의 CTO인 슈나이더의 통계수치도 사실이다. 실제 감염된 것은 맞지만 기사내의 정부 당국자의 이야기가 분명한 사실을 이야기 한다. 감염된 것은 맞지만 실제 기반시설 장비에는 감염이 안되었다는 것이 정확한 이야기이고 사실에 가까운 것이라 할 수 있다.

Stuxnet은 기반시설 장비에만 감염되는 것이 아니다. 기본적인 윈도우 취약성을 이용하여 전파가 되고 USB를 통한 전파도 일반적이기에 시만텍에서 이야기한 감염수치 부분은 단순 PC 감염으로 봐야 한다. 즉 해외에서 언급된 통계치의 대부분은 실제의 위험과는 약간 괴리감이 있는 수치일 가능성이 높다. Stuxnet은 분명 위험한 웜이고 타켓화된 웜인 것은 명확하다. 큰 피해를 입힐 가능성이 매우 높음을 증명한 실질적인 위협이며 사이버상의 위험이 더 이상 현실과 괴리가 있는 동떨어진 이야기가 아님을 실제적으로 증빙한다. 그렇다면 비록 허수라 하더라고 감염 수치를 무시 할 수 있는가? 라는 질문을 할 수 있다.

현재 정확한 감염 수치는 그 어디에서도 얻을 수 없다. 모든 탐지 사례를 허수라고 가정한다 하여도 찾아내지 못한 곳 중 하나라도 웜이 기반시설망에 존재하는 순간 아수라장이 될 수 밖에 없다. 그것은 폐쇄망의 특징에 기인하기도 하고 대응의 어려움에 기인하기도 한다. 기존의 온라인 상에서의 대응과는 상당부분 다른 관점으로 보아야만 한다.

기반시설을 위협하는 Stuxnet의 위험성은 실제 기반시설 운영 시스템에 직접 영향을 미칠 수 있고 조정이 가능하다는 점에서 웜 자체가 가지는 심각성과 의미는 높다. 그렇다면 향후에 기반시설 장비를 보호하기 위해 무엇을 어떻게 해야 하는지에 대해서도 상당수준의 경각심을 가지고 준비를 해야만 한다.

현재의 감염수치는 온라인상에서 수집된 데이터들이 대부분이라 폐쇄망을 기본으로 하는 SCADA 시설에서는 신뢰도가 떨어질 수 밖에 없을 것이다. 그러나 목표의 중요성으로 볼 때 향후 더 치밀하고 은밀한 방식으로의 접근과 공격이 증가 할 것임은 당연한 사실이다.

2002년 즈음에 기반시설의 보안에 관련된 문서를 작성한 적이 있다. 그 문서에는 전문가와 비전문가를 막론하고 항상 오해를 하는 세가지 주요 부분을 정리한 바가 있다. 그 세가지는 다음과 같다.

1. 제어시스템은 물리적으로 분리된 독자적 네트워크 상에 존재한다

일반적으로 분리된 독자적 네트워크 상에 존재하는 것은 사실이다. 그러나 아주 적게나마 원격에서 접속이 가능한 지점이 존재하고 기업정보시스템과의 연동의 필요성으로 인해 통합된 지점이 거의 존재한다.

2. SCADA시스템과 기업정보 시스템과의 연결에는 강한 접근제어 정책으로 보호되고 있다.

대부분의 경우에 SCADA시스템은 방화벽과 보호장치가 이중으로 되어 있는 구조 이나 정보시스템으로부터 혹은 외부로부터 접속이 가능한 몇몇 개의 접속지점이 반드시 존재한다.중대사고 발생시의 Hot line 혹은 외부에서 연결을 통한 연결지점, 정보시스템에서

정보의 활용을 위해 제어시스템과 연결이 되는 부분이 반드시 존재한다.

3. SCADA 시스템을 운용하기 위해서는 특별한 지식이 필요하며 침입자가 접근하고 제어하기가 어렵게 만든다.

SCADA 시스템의 운영에 사용하는 소프트웨어나 제어장치에 대한 매뉴얼은 이미 전체의70프로 이상이 인터넷 상에 공개가 되어 있다. 그러므로 이전과 같이 정보가 없어서 지식을 획득하지 못하는 일은 없다. SCADA시스템을 제작하는 회사는 사후지원과 Update등을 위해 인터넷을 통해 다운로드 받는 형태로 매뉴얼을 제공하는데 이를 통해 충분한 지식의 습득이 가능하다.

발췌 Critical Alert for Cyber Terror-p4ssion 2002년

2002년에 작성한 항목이나 현재도 인식에 관해서는 별반 다르지 않다. 각 항목별로 현재의 Stuxnet 사례는 좋은 예시가 될 수 있다. “기반시설은 물리적으로 분리된 망에 존재하며 정보시스템과의 연결에는 엄격한 통제가 있고 방안들이 있어서 접근이 불가능하다. 또한 장비의 운영에는 특별한 지식이 필요해서 침입자가 접근하고 제어 하기가 어렵다.”라는 일반적인 인식들은 지금의 Stuxnet을 살펴보면 해당사항이 없음을 알 수 있다.

비단 지멘스 장비에만 국한된 문제일까?

지멘스사의 솔루션 이외에도 몇몇 대형벤더(이를테면 GE) 들의 전 세계적인 SCADA 장비 점유율이 높은 상태여서 공격자 입장에서는 좀 더 쉽게 공용적인 공격기반을 만들 수 있다. 이번 Stuxnet은 지멘스 장비를 대상으로 하였지만 앞으로는 보다 더 타켓화 되고 일반화된 형태의 공격들이 일상적으로 발생이 될 것이다. 가능성에 대해서만 인지를 한 국가들 조차도 기반시설 장비가 위험해졌을 때의 파괴력과 영향력에 대해서 확실하게 인식을 하였을 것이고 사이버 전장의 영역은 이제 기반시설 장비까지도 직접적으로 노릴 것이다. 아마 오래 전부터 해왔던 많은 행위들이 이번에 노출되었다고 보는 것이 정확하지 않을까? 폐쇄망 내부의 감염을 위해 작성한 감염코드가 일반 인터넷 영역에 우연히 노출 되면서 확산이 되고 알려지지 않았을까? 그 모든 가정을 한다 하여도 이제는 실제의 영역에 들어온 부분이다. 이미 예전부터 준비가 되어 있어야 하지만 지금의 상태는 어떠하고 또 대응책은 적절한지, 알려지지 않은 위협들에 대해 충분히 인지 하고 있었는지가 향후를 가늠할 핵심이 될 수 밖에 없다.

SCADA 장비에 대한 위험들은 수면 아래에서 Stuxnet을 통해 수면위로 떠올랐다. 이제 우리는 실존 하는 위협을 마주하고 있다. 실존하는 위협에 대해 대응하고자 한다면 우선 현황을 이해해야 한다. 현실에 대한 이해를 바탕으로 현실적인 대책들이 수립되어야 한다.

SCADA 장비가 운용되는 곳들의 일반적인 특징

1. 폐쇄망

일반적인 네트워크 라인과 분리가 되어 있으나 내부에서의 통신을 위한 제한적인 라인들은 장비들끼리 연결 되어 있을 것이다. 또 통제시스템도 마찬가지로 연결 되어 있을 것이다. 폐쇄망이라는 의미는 인터넷 연결이 되어 있지 않다는 의미 일뿐이며 독자적인 설비 상태로 존재하는 것이라는 것을 이해하자.

2. 중단 없는 운영

기반시설에 운영되는 장비는 대부분 24시간 365일 운영을 원칙으로 할 수 밖에 없다. 발전시설과 전력, 교통등 다양한 기반 분야에 활용되는 장비들의 특성은 항상 작동 되고 있어야 한다는 의미이다.

3. 독자적인 프로토콜 사용 및 목적에 맞게 변형된 장비나 운영체제의 사용

SCADA 장비에는 복잡하지는 않으나 독자적인 프로토콜이 사용된다. 다만 이 프로토콜의 사용법과 활용도에서는 인터넷에 일정수준 공개되어 있으며 장비를 직접 제어하는 PLC 명령코드는 그리 어렵지 않다. 목적에 맞도록 운영체제도 일정수준의 기능을 제거하거나 용도에 맞도록 변형된 임베디드 운영체제가 사용되고 장비도 독자적인 변형을 가진 장비 형태가 사용된다.

크게 위의 세가지 사항을 일반적인 특징으로 볼 수 있다. 특징을 고려하지 않은 대응과 대비책은 많은 문제를 가질 수 밖에 없으며 현실적인 적용이 어려울 수 밖에 없다. 현재 SCADA 보안과 관련된 부분은 정책적인 부분과 정기적인 외부 노출 부분에 대한 부분적인 보안점검으로 이루어 지고 있는 것이 현실이며 임베디드 운영체제를 사용하는 SCADA 장비에는 별도의 보안솔루션 설치가 어려운 부분들이 많이 있다. 따라서 직접적인 대응은 많은 난관을 가지고 있다.

Stuxnet의 처리와 관련하여 각 백신제조 회사들 마다 온라인에서의 제거용 전용백신을 올리고 있으며 설치하여 탐지 및 제거 할 것을 권고한다. 또 운영체제에 대한 보안 패치를 적용 할 것을 대부분 권고하고 있다. 실상과 거리가 있다고 볼 수 밖에 없다. 폐쇄망에 있는 장비에 적용 하기 위해서는 온라인과 연결된 망에서 USB나 별도 이동식 매체를 이용해 백신과 보안업데이트를 다운 받은 이후 폐쇄망 내의 개별 시스템에 연결하여 문제를 처리해야 된다. 이 과정에서 더 많은 문제들이 확산될 가능성도 충분히 있다.

폐쇄망이라는 의미는 내부의 별도 네트워크를 가지고 있으며 외부 연결과는 차단된 상태를 의미한다. 즉 내부로 어떤 방식으로든 유입이 되었을 경우 물리적 단절을 통해 근본적인 보안이 해결된다는 폐쇄망 내에서는 무방비 상태일 수 밖에 없다. 무방비 상태라는 것은 웜의 확산과 전파를 막을 수 있는 단계나 도구가 많지 않음을 의미한다. 또한 탐지와 관련된 측면에서도 비정상적인 시스템 운영을 하게하는 악의적인 명령과 또 폐쇄망내에서의 웜의 확산을 막거나 탐지하기 위한 보안장비의 설치도 현실적인 어려움이 있다. 프로토콜 체제가 다르고 또 새로운 유형의 위험을 탐지 하기 에는 기존의 PC 체계에서의 대응 도구들로서는 한계가 있다.

운영체제의 업데이트와 중요 보안 설정과 관련된 부분들은 중단 없는 운영이라는 SCADA 장비의 기본 전제에 비추어 볼 때 설치가 어려운 부분이 있다. 대부분의 업데이트와 보안설정은 활성화를 시키기 위해서는 리부팅이 필수이기 때문이다. 따라서 현재 운영중인 기반시설 장비들에 대해서는 직접적인 대응이 어렵다. Stuxnet의 경우에도 시스템의 중요 DLL을 설치하는 방식이므로 완벽한 제거를 위해서는 메모리에 올려진 DLL까지 제거해야 가능하다. 메모리 클린은 당연히 리부팅을 통해서만 가능해진다. 대체장비를 투입한 이후에야 제거나 보안성 강화등이 가능한 형태가 된다.

독자적인 운영체제의 변경과 별도 장비의 사용도 만약 보안설정과 시스템의 업데이트를 할 경우 정상운영이 어려운 상황이 발생 될 수 있다. 장비의 정상적인 운영을 위해서는 SCADA장비 제작사와의 긴밀한 협력을 통해 각 상황에 따른 정상 작동 여부를 오랜 기간 관찰 해야만 안정성을 확보 할 수 있다.

지금의 SCADA장비에 대한 대응은 현실과는 동떨어져 있으며 주의 사항과 문제 부분에 대해 신중한 접근이 부족하며 단순한 온라인 상에서의 PC의 악성코드 처리와 동일한 관점으로 접근을 하고 있다. 현실적인 상황 인식이 부족한 부분이다.

그렇다면 SCADA 장비에 대한 보안 강화와 향후에 급증 할 것으로 예상되는 기반시설 장비들에 대한 공격에 대해 어떤 식으로 대처를 해야 근본적인 위험을 줄일 수 있을 것인가에 대해 생각해 보자.

폐쇄망의 특성과 임베디드 운영체제, 기존의 PC와는 상이한 프로토콜 및 운영원칙은 기본적인 보호 대책을 다른 관점에서 살펴야 된다.

일차적으로는 시스템 자체의 변화를 감지 할 수 있는 수동적인 탐지 도구가 필요하며 각 중요 시스템마다 상황을 일목요연하게 파악 할 수 있는 체계도 필요하다. 수동적인 탐지 도구라는 의미는 시스템의 상태변화 (DLL 혹은 중요 시스템 파일의 교체, 비정상적인 사용자 및 권한의 탈취, 명령실행 등)를 모니터링 하고 이상유무를 상시적으로 체크할 수 있는 시스템을 의미한다. 기존의 PC기반의 악성코드 탐지와 같은 패턴매칭으로 대응 하는 것은 어려움이 있다. 또한 폐쇄망 네트워크내에서 어느 지점이나 문제를 통해 문제가 확산되는지 여부를 확인 하는 것도 어려움이 있다. 이미 2003년의 1.25 대란때의 슬래머 웜에 의해 미국의 오하이오 핵발전소가 정지된 사례도 충분히 있는 만큼 물리적인 단절 만으로 대책이 완료 되었다는 생각은 잊어 버릴 때가 되었다. 어떤 경로를 통해서든 침입이 성공하게 되면 치명적인 위험이 존재하게 되고 또 자체적인 전파가 가능한 유형이라 폐쇄망 내부에서의 확산도 손쉽게 이루어 질 수 있다. 기반시설 시스템의 보호를 위해서는 통신을 위한 가장 제한적인 프로토콜과 연결만이 허용 되어야 하고 그 기반 하에서 시스템의 변화를 감지 할 수 있는 수동적인 탐지 도구 및 전체적인 현황을 볼 수 있는 시스템과 체계가 필수적으로 요구된다.

향후의 사이버전은 온.오프라인을 망라하게 되고 일상생활에도 치명적인 영향을 줄 수 있다. 오래전 예상한대로 그 위험은 이제 실제상황이 되어 버렸다. 일이 발생 되기 이전에 문제에 대해서 대비 하는 것이 필요하며 문제가 발생 되었을 때는 차분하게 향후의 위험들 까지도 고려하여 대비책을 세우는 것이 정답이다. 단순한 현황 파악만으로는 위험한 상황은 지속 될 것이다.

이 모든 것은 이미 오래 전부터 예상 되었던 바이다. 이제는 수면위로 올려진 문제를 적극적으로 또 장기적으로 보호 할 수 있는 방안에 대해서 심도 있게 고민을 해야 할 시기이다.

-바다란 세상 가장 낮은 곳의 또 다른 이름

참고자료:

2009년에 작성한 문서. Inevitable cyber warfare

2002년에 작성한 Critical alert for cyber terror –

다이하드 4.0과 cyber terror

ps> 두 가지 정도 빠른 시일내에 작성할 내용들이 있습니다. 2010년의 이슈중 미래에 영향을 미칠 이슈들과 중국발 해킹의 심각성을 좀 리얼하게 보여줄 컬럼들을 준비 중입니다.

'Security Indicator > Insight Security' 카테고리의 다른 글

구글의 악성코드 차단 정책의 선회가 가지는 의미 (0)	2010/12/20
스마트 시대의 보안 대처법과 대응전략 -인터뷰 (0)	2010/10/22
Stuxnet (SCADA) 대응과 앞으로의 과제 (0)	2010/10/19
애플과 보안 -2 (0)	2010/10/05
Stuxnet? 아직 본게임은 시작도 안했다. (0)	2010/10/01
애플과 보안 -1 (0)	2010/09/28

Posted by 바다란

TAG cyberwar, p4ssion, SCADA, stuxnet, 보안, 컬럼, 해킹

트랙백 0개, 댓글 0개가 달렸습니다.

Facebook 사건과 8억달러의 벌금 - 기사분석

Security Indicator/Security Analysis 2010/10/07 11:54

얼마전 Facebook에서 대량의 메시지 및 어뷰징들이 있었습니다.

최근 판결난 기사를 보니 개인으로서는 상상하기 힘든 금액의 벌금을 부과 했더군요.

http://media.daum.net/digital/view.html?cateid=100031&newsid=20101007021016130&p=yonhap

최근에도 관련 이슈들이 계속 있어 왔습니다만 본 사건은 2008년에 있었던 사건입니다. 400만건이 넘는 스팸성 메시지를 페이스북 유저들에게 발송한 케이스로 벌금 부과액은 8억 달러가 넘습니다. 엄청난 금액이죠.

한가지 주의 깊게 볼 부분은 기사 내용중의 법원 판결 부분입니다.

"법원 기록에 따르면 페이스북은 쿠티에레즈가 피싱(phishing)을 통해 암호를 훔친 뒤 봇넷(botnet) 컴퓨터들을 이용해 페이스북 계정에 침입했다고 주장했다. 봇넷은 해커들에 의해 사용자도 모르는 사이에 스팸이나 바이러스 등을 전파하도록 하는 악성코드 봇(bot)에 감염된 컴퓨터 네트워크를 말한다. "

2008년에도 "애플과 보안 컬럼에서 설명 하였던 구조적 어뷰징은 존재하고 있었습니다. 이미 그 이전 부터 관련 현황을 살펴 보고 있었던 필자의 입장으로서는 좀 더 다른 해석이 가능합니다.

문제가 되는 부분만 살펴 보겠습니다.

1.피싱을 통해 얼마만큼의 암호를 훔칠 수 있었을까요?

2.봇넷을 이용해 페이스북 계정에 침입 할때 어떤 식으로?

3.단순한 스팸 메일 이였을까요?

위의 세가지 내용이 대표적인 문제라고 보입니다.

첫번째는 서구권에서는 아직 악성코드에 의한 정보 유출과 계정 정보의 획득에 대해 이해도가 그리 높지 않은 편입니다. 하다못해 보안 분야의 기업들 조차도 심각성에 대해 인지를 잘 못하고 있는 상황인데 법원등에서 이해를 할리 만무합니다. 일반적으로 피싱이란 메일등을 보내어 사용자가 클릭 하였을 경우 임의의 사이트로 이동을 하도록 하고 그곳에서 입력되는 정보를 공격자가 빼내어 가는 것을 말합니다. 실상 성공 비율이 높지 않으며 그 정체가 빨리 드러납니다. 그래서 Facebook에 접근하기도 전에 이미 정체가 파악이 되었을 가능성이 높습니다.

제가 보는 관점은 PC에 설치된 악성코드들을 이용해 페이스북 로그인 시에 입력되는 이메일과 패스워드를 확보 하였을 것으로 보입니다. 로그인 시의 키입력등을 가로채는 방안이 주로 사용 되었을 것입니다. ( 가로채는 방법은 하드웨어적인 키입력을 가로채는 것 이외에도 전송단계에서 가로채기, 브라우저에 올려지는 단계에서 가로채기등 다양한 기법들이 활용 되고 있습니다.)

해외에서도 zeus 와 같은 봇넷이 활성화 되어 있고 수백만대 이상의 감염수치를 가지고 있음은 의심 할 수 없는 사실입니다.

두번째로 페이스북 계정에 침입 할때 봇넷을 이용하였다는 부분도 설명이 필요합니다. 이 부분은 첫번째 부분과 문제가 충돌 되는데 제가 보는 관점은 일단 정보 확보에만 봇넷을 이용하였을 것이고 이렇게 확보된 정보를 활용하여 몇몇 지점을 통해 페이스북에 로그인 하는 자동적인 프로그램을 활용 하였을 것입니다.

이런 자동 로그인 유형의 프로그램은 개발이 쉽고 간단한 유형이라서 그리 어렵지는 않습니다. HTTP로 전달되는 패턴만을 맞춰 주면 되기 때문이죠. facebook에 유효한 로그인 패턴을 만들고 여기에 사용자 계정 정보를 실어서 전달 하였을 것입니다. 더불어 http 상에서 동작하는 facebook 서비스의 구조 파악이 그리 어려운 것도 아니기에 간단하게 파악을 하고 어떤 식으로 활용 될지도 프로그래밍 되어 있었을 것으로 예상 됩니다.

이전의 사고조사나 샘플 수집을 통해서도 유사 사례를 많이 발견 했었기에 충분한 내용으로 보입니다.

세번째는 스팸메일 발송이라고 했지만 Facebook에서 단순히 타켓이 불분명한 대상에게 보내진 스팸을 가지고 문제를 제기 했을리는 없습니다. 이것은 내부 구조. 즉 Facebook에 등록된 Friends list를 바탕으로 facebook이 위험을 느낄만큼의 타켓화된 메시지 발송이 이루어 졌기 때문에 문제가 된 것입니다.

최종 정리하면 개인 PC에 설치된 악성코드를 통해 개인의 접속정보를 빼내어 가고. ( 비단 facebook만일까요? ..절대 아니죠.) 빼낸 정보를 가지고 facebook 로그인 절차 및 내부 친구 리스트를 이용한 메시지나 쪽지 , 게시물등을 일거에 쓰거나 발송 하는 프로그램을 돌렸을 것입니다.

Facebook의 대응은 한 계정이나 한 IP에서 과다한 접속이 발생 했을때 통제를 가하는 방법도 하고 있을 것이고 또 경고의 의미로 소송을 걸기도 한 것이구요.. ( 그러나 악성코드를 유포 했을 경우는 소송은 무의미 하겠죠? 누가 만들고 했는지도 모를테니..) 서비스 보호를 위한 어뷰징 대응은 시간이 지날 수록 강화 될 수 밖에 없습니다. 그만큼 사용자 불편도 증가하는 현실이 되겠지만 말입니다.

기사 자체만을 보면 문제는 없지만 내용상의 전개 오류가 많이 보이고 현실을 대변하지 못하는 듯 하여 부연 설명 해 보았습니다. 구조적 문제를 이용한 어뷰징도 앞으로는 더 문제가 깊어질 것으로 보입니다. 한국내에서 유행하는 해외서비스들 대부분이 대응책이 확실하지 않기 때문에 앞으로도 장기간은 문제가 계속 될 것으로 예상됩니다.

- 바다란 세상 가장 낮은 곳의 또다른 이름

'Security Indicator > Security Analysis' 카테고리의 다른 글

Mysql.com과 Sun의 DB 유출- Blind sql injection (0)	2011/03/28
악성코드의 반복적인 발생과 대규모 유포의 원인 (0)	2010/12/06
Facebook 사건과 8억달러의 벌금 - 기사분석 (12)	2010/10/07
세계 50만대 이상의 웹 서비스 봇넷 배포지로.. 그리고.. 의견 (0)	2010/08/17
[컬럼] Digital pest - 지금은 더 힘든길로 진입 (0)	2010/07/12
[컬럼] 7.7 DDos 핵심은 무엇인가? (0)	2010/07/06

Posted by 바다란

TAG Facebook, 바다란, 보안, 어뷰징, 페이스북, 해킹

트랙백 0개, 댓글 12개가 달렸습니다

애플과 보안 -2

Security Indicator/Insight Security 2010/10/05 10:13

zdnet 연재 컬럼입니다. 컬럼에서는 축약되고 생략된 부분들이 있습니다만 전체적인 맥락은 유사합니다.

여기에는 축약되지 않은 원문을 게재 합니다.

- 앞선 애플과 보안-1편과 연계하면 이해가 좀 쉽습니다. 그래도 지금편 만으로도 이해는 충분 하실듯.

더불어 Safari 브라우저에 대한 취약성 발견 비율 증가는 애플에 대한 만만치 않은 공격들이 계속 이어 질 것임을 예고 하고 있습니다. cross platform에 대한 문제는 계속 될듯. 또 SNS의 구조적 어뷰징에 관한 문제는 zdnet 컬럼중 small world의 security 편을 참조 하시면 됩니다. http://p4ssion.com/205 이미 지금의 문제는 예상 되어 왔었고 징후는 존재 하고 있었다는점 항상 잊지 않으셨으면 합니다. 다음 편에 좀 더 상세하게 해보도록 하겠습니다.

현재 문제가 되고 있는 어뷰징은 어디에서부터 시작 되는 것일까?

어뷰징이라는 관점은 비정상 행위라는 관점에서 볼 수 있다. 9월에 있었던 트위터의 xss취약성의 경우에도 몇십만에 달하는 피해자가 발생 할 수 있었던 근본은 서비스 구조를 이용한 어뷰징이라 할 수 있다. 단순하게 사용자 계정을 활용한 정보탈취와 오용과도 연결이 되어 있다.

사용자의 계정정보가 유출 되었고 또 서비스의 구조적인 문제와 결합될 때 문제는 확산되고 커진다. 단순한 서비스의 취약성을 이용하였을 뿐임에도 불구하고 수십만의 사용자에게 짧은 시간에 확산된 공격은 피해의 심각성을 나타내 주고 있다.

구조적인 문제와 개인정보의 유출로 인한 어뷰징으로 분류 할 수 있고 구조적 문제는 서비스의 특성을 이용한 유형이며 개인정보는 유출된 계정정보를 활용하여 서비스에 혼선을 주는 것을 의미한다. 현재 유포되는 대부분의 악성코드는 사용자의 온라인 활동에 관한 중요 정보를 빼내어 가는 것이 주된 목적이다. 대규모로 계정정보를 빼낸 이후 특정 서비스에 대량으로 로그인을 한다. 여기에서 서비스 구조를 이용하여 공격을 지속적으로 확대 시켜 나가는 것이다. 이런 유형을 다른 말로는 서비스웜이라고 부를 수도 있다. 특정 서비스에 국한된 웜이라는 의미로도 볼 수 있다. 트위터에 등록된 팔로워에게 자동적으로 DM이 발송 되도록 하고 친구 혹은 메신저에 등록된 사용자에게 자동적으로 악성코드의 링크나 악성파일이 전달되는 행위 모두가 서비스 웜의 형태에 해당 된다고 볼 수 있다. 애플의 북스토어에서 판매량을 늘리기 위해 순위를 조작한다던가 하는 사안들도 가볍게 포함이 될 수 있다.

어뷰징의 시작은 취약한 서비스로 인한 확산 ( 트위터에 대한 XSS 공격- SNS 서비스에는 치명적인 결과를 초래한다. 금융기관에 대한 피싱공격으로 주로 사용되는 XSS 취약성은 SNS 서비스에서는 또 다른 결과를 초래 할 수 밖에 없다. ) 과 대규모 정보 유출로 인한 서비스 혼란과 연결 되어 있다. 취약한 서비스로 인한 확산은 차후에 다시 정리 하도록 하고 현재 TGIF ( Twitter, Google, Iphone, Facebook) 로 대변되는 글로벌 혁신의 충돌에서 가장 위험성이 높으며 현재까지 대비가 안되고 있는 부분을 먼저 살펴 보도록 하자.

TGIF 서비스 모두 (Iphone 의 경우는 앱스토어의 사례가 해당된다.) 서비스를 운용하고 있으며 모든 인증 기반은 사용자가 입력하는 계정정보에 따라 직관적으로 구분되어지고 영역을 가지고 있다. 즉 로그인 하는 ID/ Password 기반의 정보를 가지고 사적인 영역이 구분되어 있으며 활용이 이루어 지고 있다. 무상으로 활용 할 수 있는 서비스가 아닌 유상으로 이용 할 수 있는 서비스들이 확대되고 있는 상황에서 단순한 ID/Password 인증 이외에 활용하는 보조적인 도구들은 PC에 대한 인증 외에는 없다. 사실상 PC에 대한 인증조차도 또 한번의 확인절차에 지나지 않으며 제한적이고 구속적인 영향력을 가지지는 않는다.

해외의 서비스는 개인정보(이른바 주민번호)가 포함되지 않기 때문에 유출 되어도 영향력이 없을 것이라고 이야기 한다. 또 ActiveX로 대변되는 보안도구나 서비스들도 운영 되지 않기 때문에 편리하고 표준을 준수한다고 이야기 하기도 한다. 과연 그럴까?

온라인상의 서비스에 또 다른 아이덴티티를 가지지 않은 사람은 인터넷 서비스 사용자 중에는 거의 없다. 기업의 입장에서도 마찬가지이다. 온라인상의 활동이 중요해지고 영향력을 가지는 지금에 이르러 온라인 상의 가치를 평가절하 할 수 있는 사람은 별로 없을 것이다. 유료결제가 가능한 서비스들이 활성화 되고 결제 모듈들은 단순한 사용자 정보 입력에 의해 거래가 이루어진다. 공격자에 의해 권한이 모두 획득 당한 PC에서 입력하는 모든 정보들은 공격자에게 고스란히 전해진다. 공격자는 그 정보를 분류하고 정리한 이후 어떤 방식으로 활용 할 것인지 결정 하기만 하면 된다.

해외의 모든 서비스들은 현재 사용자가 입력하는 정보를 일단 신뢰한다는 가정하에서 운용이 되고 있으나 그리 오래 갈 수는 없을 것이다. 도용과 오용으로 인한 사고와 문제 발생은 서비스의 입장에서도 문제가 될 수 밖에 없어서 다양한 대책들을 강구 할 수 밖에 없게 될 것이다. 대규모 공격의 피해는 국내에서 가장 극심하게 발생이 되었었다. 메신저나 블로그, 카페, 미니홈피 등에서 자신과 연결된 사람으로부터 사기성 메시지나 광고글, 악성코드 링크를 받아 보지 못한 사용자가 얼마나 될까? 활동이 활발한 사람일수록 위험에 노출 되는 횟수가 잦을 수 밖에 없다. 그 결과로 국내의 금융기관에는 악성코드의 행위를 통제하거나 정보 수집을 방해 하기 위한 다양한 도구와 서비스들이 부착 되었고 로그인 과정에서도 단계별로 나뉘어진 과정들을 지금도 충분히 확인 할 수 있다. TGIF 로 대변되는 서비스들 모두 그 과정을 따를 수 밖에 없다. 이것은 당연히 예상 될 수 밖에 없는 흐름이다. 애플이 보안을 잘해서 안전한 것이 아니라 공격자들에게 그만큼 이득이 될 가치가 없었기 때문에 실제적인 공격이 발생하지 않은 것이다. 애플에서 만든 사파리 브라우저는 애플의 전체 제품군에 활용이 되고 있고 iphone 에도 기본장착이 되어 있다. 이 의미는 사파리 웹 브라우저의 취약성을 찾게 되면 핸드폰부터 맥OS까지의 모든 라인업을 공격 할 수 있는 도구를 가지게 됨을 의미한다. 그 이후에는 금전적인 이득의 창출로 이어질 것이다.

앞으로 금전적 이득을 얻기 위한 공격은 증가 할 것이다. 그만큼 가치가 있고 영향력이 있기 때문에 당연히 증가 할 수 밖에 없다. 그 예는 단순하게 사파리 브라우저에 대한 취약성 발견 빈도만 보아도 확인 할 수 있다.

Tippingpoint 에서 발간한 2010 상반기 보고서 참조 - http://dvlabs.tippingpoint.com/toprisks2010

2008년부터 부분적으로 문제들이 발견되기 시작하다 2010년에 이르러서는 폭발적으로 증가하는 비율을 볼 수 있다. 애플에서 운용하는 플랫폼이 세계적인 영향력을 발휘하는 시점에 이르러서야 이제 공격자들은 직접적인 활용 방안을 찾으려 함을 볼 수 있다. 취약성은 본래부터 있었으나 다만 비용대비 효과 측면에서 찾아내지 않았을 뿐이다. 여전히 매력 있는 공격 대상은 IE 브라우저이나 최근에는 Adobe사의 PDF와 Flash player에도 상당히 많은 공격이 발생 되고 있다. 이젠 제로데이가 두려워 PDF 문서도 제대로 읽지 못하고 Flash 도 위험성을 안고 보아야만 하는 상황에 직면해 있다. 공격자들이 형세적으로 압도하고 있는 형국을 느낄 수 있다.

Flash player에 대한 취약성 발견도 급증하고 있으며 IE 브라우저에 대한 신규 취약성 발견도 2009년에 급증 하였으며 현재는 소강 상태임을 볼 수 있다. 이 모든 취약성 발견이 사용자의 개인정보를 획득하고 개인 PC를 좀비PC로 만들기 위한 노력으로 완전하게 연결이 된다.

* 악성코드 유포 현황이나 취약성 발견 비율을 살펴 보면 지금의 흐름을 이해 할 수 있다. 어떤 문제들이 심각하게 대두되고 있고 문제가 될 수 있는지에 대해 손쉬운 이해가 가능해 진다.

이제는 바야흐로 개인PC를 공격하여 점유하고 서비스를 혼란케 하여 이득을 취하고자 하는 공격자들의 시대이다. 서비스를 완전하게 만든다 하여도 개인의 입력을 신뢰할 수 없다면 위험은 계속 될 수 밖에 없다. 구조적 해킹으로 볼 수 있는 서비스에 대한 어뷰징 시도는 사용자 정보의 유출과 밀접하게 관련되어 영향을 미칠 것이다. 더불어 트위터의 사례에서 볼 수 있듯이 SNS 서비스의 취약성은 사용자에게 직접적인 영향을 줄 것이다.

사용자 정보유출을 위한 공격 방식의 변경은 기업이나 서비스망에 대한 직접적인 해킹에서 사용자의 PC에서 정보를 빼내어 가는 것으로 변화하고 있다. 기업과 서비스망에 대한 보호 절차 강화와 저장 데이터의 암호화 등으로 침입이 어려워지고 직접적인 데이터의 활용이 어려워 짐에 따라 개인 PC를 공격 하는 방식으로 변경 되었다. 이 과정에서 핵심요소는 얼마나 많은 사용자에게 효과적으로 악성코드를 유포 할 수 있느냐 하는 유포 방식에 대한 것이 핵심이다.

지지금의 악성코드 유포 방식은 바이러스나 웜, 스팸메일과 같은 고전적인 공격 보다는 SNS와 같은 신뢰를 가진 서비스를 통한 전파나 웹사이트에 방문만 하여도 감염이 되는 웹 사이트를 통한 악성코드 유포가 일반적인 유포방식으로 대두되고 있다.

신뢰하는 자에게서 온 링크를 클릭 할 비율은 높아진다. SNS를 통한 악성코드 유포는 신뢰에 기반한 서비스를 무너뜨린다. 웹사이트에 방문하여 기사나 게시물을 읽기 위해 접근만 하여도 PC에 설치된 백신들은 알려진 악성코드 일 경우 악성코드 발견을 경고한다. 그러나 새로운 취약성들은 계속 발견이 되고 제로데이라 불리는 대책 없는 공격들은 계속 증가 할 수 밖에 없다.

사용자 PC에 설치된 악성코드들은 헤아릴 수 없이 많은 개인정보들을 직접 유출 하고 이 정보를 이용해 공격자는 서비스에 대한 직접적인 어뷰징을 가하고 때로는 오프라인에서의 도용을 하기도 한다. 어눌한 말투의 보이스 피싱 전화나 메시지의 폭발적인 증가가 대규모 정보 유출 이후부터가 아니였을까? 단순한 보이스 피싱에서부터 신상정보를 알고 있는 듯한 정확성을 가진 보이스피싱이나 메신저 피싱까지 모두가 아무런 정보도 없는 상태에서 시작 되었을까? 금융기관의 예금이 사라져 기업이 파산의 위기에 내몰리는 해외의 사례는 정말 개인정보 취급의 문제일까?

근본적인 고민을 해야 할 때 이다.

대책과 관련해서는 2007년에 작성해 둔 향후 나타날 위험과 대응 방안에 관한 문서를 참고 하는 것이 좀 더 실상을 알 수 있게 해줄 것이고 문제가 어떤 부분인지 조금 더 자세히 알 수 있을 것이다. . http://p4ssion.com/199 (IT 서비스의 현재 위험과 대응에 대해- 첨부문서 참고)

이미 현재의 상황은 예상 되었던 바이고 준비는 그에 미치지 못하는 부분들이 있을 뿐이다.

- 바다란 세상 가장 낮은 곳의 또 다른 이름

'Security Indicator > Insight Security' 카테고리의 다른 글

스마트 시대의 보안 대처법과 대응전략 -인터뷰 (0)	2010/10/22
Stuxnet (SCADA) 대응과 앞으로의 과제 (0)	2010/10/19
애플과 보안 -2 (0)	2010/10/05
Stuxnet? 아직 본게임은 시작도 안했다. (0)	2010/10/01
애플과 보안 -1 (0)	2010/09/28
CEO,CTO가 알아야 할 보안 지식 혹은 상식 (0)	2010/09/27

Posted by 바다란

TAG abusing, Apple, 동향, 바다란, 보안, 어뷰징, 해킹

트랙백 1개, 댓글 0개가 달렸습니다.

Stuxnet? 아직 본게임은 시작도 안했다.

Security Indicator/Insight Security 2010/10/01 12:18

필자가 Scada 보안과 관련하여 글을 쓴지 벌써 9년의 시간이 지났다.

그 이후 임베디드 Scada 장비에서의 웜이라 할 수 있는 Stuxnet이 나와서 세계적으로 이슈가 되고 있다.

이와 같은 문제는 이미 예상이 되었던 바이고 물리적 분리와 논리적 분리를 오해 하시는 많은 담당자들에 의해 여전히 문제가 되고 있는 부분이다.

물리적으로 분리가 되었다 하여도 정보 및 데이터의 가공을 위해서는 접근 할 수 밖에 없고 임베디드 장비들은 대부분 모니터링 용도에 사용이 된다. 만약 모든 시설이나 하드웨어 장비가 정상적으로 가동된다 하여도 모니터링 장비에 오류가 발생하면 중단 될 수 밖에 없다. 지난 블래스터 웜의 오하이오 핵발전소가 그랬다.

지금의 stuxnet의 경우 지멘스 장비를 타켓팅 했지만 글로벌 벤더에서 스카다 장비 제품군을 제작하는 회사가 몇개 되지 않고 광범위하게 활용이 되고 있어서 영향력이 있을 수 있다. 단순히 USB를 통한 침입 이외에도 일반적인 공격이 결합이 된 내용이고 웜 코드의 내부에는 PLC ( 기계를 직접 움직일 수 있는 낮은 수준의 프로그래밍 언어. Programmable Logic Controller. ) 컨트롤 명령도 들어 있는 것으로 보이는데.. 모든 기계를 범용적으로 처리 할 수 있도록 되어 있을 것이다.

그리고 이 모든 것은 앞으로 출현할 위험이 실제적으로 시작됨을 의미한다.

본게임은 이제 부터이고 그 어디에도 안전한 곳은 없다.

- Inevitable Cyber warfare - 중에서 ..

"사이버전에 대한 논의는 DDos 와 개인정보 유출의 범주를 떠나서 실제 최악의 상황에 직면 하였을 때 발생 할 수 있는 경우를 살펴보고 현재 상태의 발전이 특별한 고민이 없이 진행 된다면 어떠한 결과를 초래 할 수 있는 지도 반드시 논의 되어야만 한다. 앞으로의 전장은 총칼이 부딪히기 이전에 사이버 전쟁이 먼저 촉발이 될 것이다.

준비된 자와 준비되지 않은 자, 잃을 것이 있는 자와 잃을 것이 없는 자의 싸움은 사이버전에서 극명하게 차이를 드러낼 것이고 그 시작은 지금껏 일어나고 있는 서비스 거부 공격 (DoS)과 더불어 기반시설에 대한 직접적인 위험으로 시작 될 것이다.

기반시설에 대한 이슈 제기를 처음 제기 하였을 때는 2002년 이였고 당시에는 기반시설에 대한 침해사례와 실제 가능한 시나리오의 경우가 적어서 현실화 되기에는 많은 시일이 걸릴 것으로 예상을 하였다. 이후 몇 년의 시간이 지난 뒤에 무시 할 수 없는 수치의 사건들이 실제적으로 발생을 하였고 생활에 영향을 미쳤음을 충분히 알 수 있었다.

기반시설은 스마트 그리드의 형태로 점점 더 생활에 밀접하게 되고 통제의 범위도 대규모, 자동화, 집중화 되는 것으로 방향성이 잡혀지고 있으며 앞으로 더 심화될 것이다. 더불어 공격유형의 변화와 환경에 위협을 주는 요소들도 시대상황과 기술의 발전에 따라 많이 달라질 수 밖에 없고 그 상황에 대한 준비를 하고 대비를 하는 것이 사이버전에 대한 대응이 될 수 있을 것이다.

전체적인 공격 유형의 변화와 현재의 위험에 대해서 살펴보고 기반시설에서 발생된 문제를 살펴 볼 것이다. 이후에 다양한 공격 방안들이 어떻게 가능한지를 검토해보자. 최종적으로는 가상의 시나리오를 통해 최악의 경우가 어떻게 다가 오는 것인지 살펴 볼 것이다.

준비 해야 될 부분은 무엇이 있고 앞으로 어떤 관점에서 역량을 기울여야 하는 지에 대해서는 대책 부분에서 개념적으로 기술을 한다.

이제 사이버전은 인터넷 공간에서만 존재하는 것이 아닌 실제 생활에도 막대한 영향을 미치고 충격을 줄 수 있을 만큼의 거대한 연결고리를 가지고 있음을 명확히 하고자 하며 그 동안 개념적으로 이해해 왔던 여러 이슈들에 대한 설명을 통해 연관관계를 분석 하도록 할 것이다.

충분히 노력하지 않고 준비 하지 않는다면 그 결과는 최악에 가까워 질 것이다.

2002년의 문제제기가 주의를 촉구하는 것 이였다면 7년이 지난 지금은 경고의 의미이다."

2002년의 초기 자료와 지난해 작성된 자료를 같이 살펴 보고 앞으로 나올 위험도 심각하게 대비를 해야한다.

다행스럽게도 이제는 scada와 dcs에 대해서 어느정도 연구나 보안적인 이슈들에 대해서도 준비가 된 상태라 백지 상태는 아닌 것이 다행이라고 해야 할까?

꾸준하게 노력하신 분들이 그 노력의 댓가를 인정 받는 그런 사회가 되었으면 한다.

2002년판은 일반론 적이고 앞으로 나타 날 수 있는 위험에 대해서 언급이 되어 있다.

기본적인 SCADA망에 대한 인식과 향후 나타날 위험이다. 여기에 Stuxnet과 유사한 개념이 소개 되어 있다. 더불어 지난해 하반기에 방영된 SBS스페셜의 사이버 아마게돈 중에 SCADA망에 대한 침투로 낮은 수준의 USB 전파 및 내부 백도어 연결이 있었는데 이것도 Stuxnet과 유사한 개념이다. 2009년에 작성된 개념은 앞으로 근 미래에 닥칠 위험이라고 봐야 된다. 이외에도 scada 관련 글은 컬럼으로도 기고한 글들이 있어서 참고 하시면 이해에 도움이 될 수 있을 것이다.

이제 주의 수준이 아닌 경고가 왜 경고인지 알게 되지 않을까?

Inevitable Cyber warfare-p4ssion.pdf

Critical_Alert_for_Cyber_Terror-p4ssion.pdf

'Security Indicator > Insight Security' 카테고리의 다른 글

Stuxnet (SCADA) 대응과 앞으로의 과제 (0)	2010/10/19
애플과 보안 -2 (0)	2010/10/05
Stuxnet? 아직 본게임은 시작도 안했다. (0)	2010/10/01
애플과 보안 -1 (0)	2010/09/28
CEO,CTO가 알아야 할 보안 지식 혹은 상식 (0)	2010/09/27
홈페이지 해킹, 악순환의 고리를 끊어라 ( SQL Injection) - p4ssion (0)	2010/09/23

Posted by 바다란

TAG SCADA, stuxnet, 보안, 스카다, 해킹

트랙백 0개, 댓글 0개가 달렸습니다.

애플과 보안 -1

Security Indicator/Insight Security 2010/09/28 17:26

*zdnet 컬럼입니다. 원래 한편인데 양이 길어서 두편으로 잘렸습니다. 이럴줄 알았으면 더 길게 쓸 걸 그랬습니다. ^^; 더불어 컬럼 게재용 이기에 뒷부분을 못 올리는 걸 양해 바랍니다. 다음편의 내용은 속칭 TGIF가 직면한 구조적 공격과 위험에 대한 내용쯤 됩니다. 가볍게 쓴다는게 무거워져서 길어진점 양해를.. 향후에 TGIF의 문제에 대해서는 다시 한번 정리를 해보겠습니다. 참 돈 안되는 일에 죽자사자 매달리는 것 같아서 좀 그렇긴 합니다.

전 세계적으로 이슈의 중심에 선 기업답게 애플과 관련된 사고들이 적지 않다. 중요하게 생각 하지 않는 다수의 사용자들도 있으나 시간이 지날수록 문제는 커질 것이고 사용자에게 직접적인 영향과 피해를 끼칠 수 있을 사안이 될 수밖에 없어서 한번 짚어야 할 부분이다.

현재까지 발생한 애플 관련 보안 이슈들의 일부는 아이튠스를 통한 계정도용과 비정상적인 결제, 순위조작과 같은 문제들을 포함한다.

기술적인 측면에서 애플을 곤혹스럽게 만드는 부분이 분명히 있다. 현재 문제의 양상과 언급들을 보면 과거 MS와 구글이 연상될 만큼 상징적인 파장이 크다. 애플의 영향력이 빠르게 커져가고 있음을 알 수 있다.

애플의 다양한 제품을 묶어주는 서비스들은 향후에 사용자들에게 더욱 큰 영향을 미칠 것이다. 세계화된 서비스 특성상 특정 지역에만 국한된 문제는 아닐 것이다. 더불어 국내에서도 붐을 일으키고 있는 페이스북, 트위터에서 발생 될 수 있는 문제들과도 맞닿아 있는 부분이다.

모든 문제는 근본적인 원인이 존재하고 문제가 표면에 드러나는 것은 임계점에 도달했을때 일반 사용자들에게 알려진다. 국내 인터넷 서비스들은 이미 문제 국면에 들어섰고 일정부분 대책이 수립된 곳들도 있고 그렇지 않은 곳들도 있다 국내 몇몇 서비스들은 위험 대응이라는 측면에서 적절한 수준을 경험하고 대안을 갖췄다고 볼 수 있다. 대다수는 그렇지 못한 상황이긴 하지만..

그럼 사용자와 기업 그리고 서비스 측면에서 어떤 문제들이 있을 수 있는지 짚어보고 위험성을 알아보도록 하자.

이번 칼럼 타이틀은 애플과 보안이라고 붙였지만 현재 가장 이슈가 되고 있는 대표적인 기업들도 보안적인 문제에서 자유롭지 못하며 그 결과는 모든 사용자들에게 돌아 올 수 밖에 없다. 애플은 그중 하나의 예일 뿐이다.

■비단 애플만의 문제일까?

인터넷에서 발생하는 보안 이슈들은 개별 기업의 시스템과 체계를 통해 해결을 할 수는 없다. 내부 시스템에 문제가 없게 하는 것은 가능하나 이미 서비스 범위와 영향도는 한 기업의 시스템과 체계에 얽매이지 않는다. 지리적이고 공간적인 차이를 벗어난 인터넷상에서 폐쇄적이고 강력한 절차적 검증을 거친다 해도 문제는 항상 있게 마련이다.

정상이라고 가정 했던 모든 것들이 비정상으로 판명 될 때 무리한 대응이 나오게 마련이다. 탈옥(Jail Break)과 같은 시스템에 대한 통제들은 언제나 그렇듯 해제되게 마련이다. 보다 더 폭넓은 사용의 자유를 느끼고 싶고 시스템에 의해 통제되는 것을 싫어하는 부류는 항상 있게 마련이고 금전적인 이득을 얻을 수 있다면 더 한 일들도 당연하게 일어 날 수 밖에 없다.

애플이 특허를 보호하려 하는 것은 현재 애플과 관련된 문제들이 내부적인 프로세스에 의해 발생 되는 것이 아니라 사용자의 단말 상태에 따라 좌우되고 있음을 의미한다. 일정부분 타당성이 있다.

그러나 해결책으로 제시한 내용은 단편적이고 자칫 지나친 통제로도 인식 될 수 있는 부분들도 있어 문제가 될 수 있다. 세계적인 기업들의 서비스 보호 움직임은 두 가지 정도로 축약된다. 개방화된 상태에서 전체적인 수준을 올릴 것이냐 아니면 폐쇄화된 상태에서 꾸준한 관리와 통제로 보호 수준을 올릴 것인가 정도로 흐름을 볼 수 있다. 애플과 구글을 예로 들 수 있다.

현재 발생되는 문제들의 이면을 살펴보면 사용자 정보 유출 (거의 아이디와 패스워드에 해당된다.)로 인한 문제가 대부분이다. 사용자의 관련 정보가 유출되는 경로는 데이터베이스에 저장된 정보가 빠져 나갔을 때와 사용자 단말기에서 유출 되는 경우가 있을 수 있다.

단순히 개인정보가 빠져 나간 것으로 그치지 않고 정상적인 서비스 운영을 방해하거나 조작해 금전적인 이득을 얻음으로써 사회적인 문제가 되고 있다. (웹서비스 보안의 불편한 진실 참고)

이전까지의 보안 개념이라면 관리영역에 있는 시스템들과 서비스만 안전하게 하면 문제가 없었지만 지금은 사용자를 대상으로 폭넓게 이뤄져야만 한다. 사용자를 보호하지 못하는 서비스들은 구조적인 문제 ( 어뷰징-Abusing 이라고도 한다. )에 직면하게 된다.

블로그에 광고가 도배 되거나 자신의 계정으로 서비스에 등록된 사람들에게 전체 메시지가 발송되는 경우, 구매하지도 않은 제품에 대한 결제요구, 자신의 아이템이 타인에게 팔리고 거래가 된 경우 등 다양한 피해를 유발한다. 모든 피해 현황은 개인에 집중돼 전체 규모는 크지 않게 보일 수도 있다.

그러나 과연 개인에게만 국한된 것일까? 개인 계정을 대규모로 운영하면서 광고를 일시에 전달하거나 악성코드를 자동적으로 전파하는 것은 공격도구의 자동화로 인해 어렵지 않게 할 수 있다. 특정 서비스를 노리고 자동적으로 악의적인 행위들을 하게 하는 것은 공격의 기본적인 것이다. 아마도 눈에 보이거나 언론에 기사화된 것은 피해규모나 심각도로 보면 빙산의 일각일 뿐이다. 해당 서비스를 운영하는 기업들은 전체적인 상황을 볼 수 있어서 스스로가 심각성을 절실 하게 느끼고 있을 것이다. 분주한 서비스 개편과 구조의 변경은 심각성의 반증으로 볼 수 있다.

지금 발생되고 있는 문제들은 겉으로는 평안하나 내부적으로는 치열하게 진행중이다. 세계적인 기업들이 왜 보안 전문 인력을 뽑는데 혈안이 되어 있는지, 또 국가차원에서 지원과 육성을 통해 전문인력을 양성하려고 하는지 한번쯤 생각해 볼 필요가 있다. 인텔과 같은 칩 제조업체가 9조원을 들여 전문보안업체인 맥아피를 인수한 것도 같은 맥락에서 살펴 볼 필요가 있다.

보안을 강화하기 위한 노력은 20만개 이상의 활용 애플리케이션을 가지고 있는 트위터가 혼란이 있을 것을 알면서도 인증 시스템을 변경한 사례도 해당된다. 그러나 여전히 부족할 수 밖에 없다. 앞으로도 서비스 구조를 이용한 공격과 개인정보 탈취 및 도용은 확산될 것이며, 웹2.0의 화두였던 연결과 소통처럼 구조를 이용한 공격은 각 서비스에 있어서 핵심적인 내용이 될 것 이다.

(구조적 문제를 이용한 공격은 2007년에 예상한 미래위협 참고 http://p4ssion.com/215
계정탈취에 대한 공격은 이전 지디넷코리아 칼럼 참고- 빗나간 공인인증서 논란-1

■폐쇄와 공유 그리고 TGIF

구글의 대응이 오픈된 형태에서의 폭넓은 협력을 통한 대응이라면 애플은 폐쇄화된 플랫폼에서의 대응을 지향한다.

물론 검색을 기반으로 하는 구글과 서비스 애플리케이션을 기본 구조로 하는 애플은 대응 방식에서 다를 수 밖에 없다.

최근 애플 iOS 운영체제 취약점을 활용해 웹사이트만 방문해도 아이폰 탈옥을 가능케 하는 십스가 등장해 주목을 받았다. 애플은 패치를 통해 OS를 업데이트했지만 애플과 보안에 대해 생각해볼 수 있는 기회였다.

폐쇄된 플랫폼 아래에서 평안은 그리 오래 가지 않고 깨졌을 경우 파급력은 휠씬 더 클 수 밖에 없다. 단순한 취약성이라고 누가 말을 할 수 있을까?

단순히 사이트를 방문하기만 해도 설치되고 시스템 설정들이 변경이 되는 문제를 가볍게 여길 수는 없다. 지금 유행하고 있는 악성코드들의 전형적인 전파방식을 그대로 따랐기 때문에 심각하며 과연 앞으로도 문제가 없을 것인가 장담은 절대 할 수 없는 상태이고 곧 유사한 형태의 공격들은 애플의 서비스 플랫폼에 계속 나타날 수 밖에 없다.

구글의 지원아래 악성코드 유포 사이트 정보를 관리하고 있는 stopbadware.org 사이트의 항목이다. 9.8일 기준으로 489천여개의 URL에서 악성코드가 유포되고 있으며 위험성이 있음을 볼 수 있다.

경고 표시는 위의 이미지와 같이 검색결과를 보여주는 화면에서 사용자에게 악성코드 유포 위험이 있음을 알려주는 메시지와 함께 검색 이후의 접근을 제한하도록 하고 있다. 악성코드가 유포되는 도메인에 대한 정보는 보안업체와 함께 협력 하거나 보안기능을 활용하여 탐지를 하여 stopbadware.org 사이트에 등록하도록 하는 형식을 취하고 있다.

악성코드의 유포문제를 직접 해결하기 보다는 자사의 검색서비스를 통해 사용자 PC에 영향을 줄 수 있는 접근을 차단하거나 최소화 하는 방식으로 접근을 하고 있음을 알 수 있다.

애플의 경우에는 앱스토어에 올려지는 다양한 애플리케이션들을 직접 통제하고 체크함으로써 위험도를 판단하고 등록시켜주기 때문에, 앱을 통한 문제점 확산은 가능성이 적은 편이다. 그러나 직접적인 모니터링과 관리 부분에 많은 비용이 소요되는 구조다. 애플 소프트웨어의 취약성을 통한 시스템 침입에는 관리와 모니터링이 영향을 미칠 수 없다.

그러나 시스템 변화만으로 위험을 제거하기는 어렵다. 특히 봇넷은 SNS를 통해 퍼질 수 있고, 애플도 예외가 될 수 없다. 구조를 겨냥한 어뷰징 기법은 점점 TGIF(트위터, 구글, 아이폰, 페이스북을 의미)를 위협하는 존재로 떠오르고 있다. 구체적인 내용은 다음 칼럼에서 다뤄보기로 하자.

'Security Indicator > Insight Security' 카테고리의 다른 글

애플과 보안 -2 (0)	2010/10/05
Stuxnet? 아직 본게임은 시작도 안했다. (0)	2010/10/01
애플과 보안 -1 (0)	2010/09/28
CEO,CTO가 알아야 할 보안 지식 혹은 상식 (0)	2010/09/27
홈페이지 해킹, 악순환의 고리를 끊어라 ( SQL Injection) - p4ssion (0)	2010/09/23
[컬럼] 웹서비스 보안의 불편한 진실 - Mass SQL Injection (6)	2010/08/05

Posted by 바다란

TAG abusing, Apple, 보안, 애플, 어뷰징, 해킹

트랙백 0개, 댓글 0개가 달렸습니다.

CEO,CTO가 알아야 할 보안 지식 혹은 상식

Security Indicator/Insight Security 2010/09/27 15:36

정보보호 21에 기고한 컬럼 입니다. - p4ssion@gmail.com

지금의 시대는 속도를 따라가기 어려울 정도로 빠르게 변화하고 있다. 특히 IT기업의 CEO라면 알아야 될 기술의 종류와 표준, 변화는 크고 다양해서 따라가기가 힘겨울 정도다. 아이폰으로 촉발된 모바일 접속환경의 변화와 생활의 변화는 소셜 네트워크에 강력한 힘을 실어주고 있다. 접속환경의 변화는 서비스를 변화시키고 서비스의 변화는 국외뿐 아니라 국내에서도 기업환경에 많은 변화를 가져오고 있다. 이 현상은 점차 더 심화될 것이다.

환경의 변화를 살펴보고 향후 미래의 경영환경을 예측하는 것은 CEO들에게 가장 중요한 숙제이자 과제이다. 간략하게 살펴보면 IT기기의 변화와 사용 형태의 변화는 향후의 환경이 다양한 단말기기로부터 정보를 획득하고 재생산되며 부분적으로는 기업의 고용형태를 변화시킬 수도 있다.

역동적으로 변화해가는 환경에서 기존의 보안이라는 개념은 상당히 협소적인 의미에만 지금껏 머물러 있었다. 일반적으로 보안이라고 여겼을 때 바이러스나 직접적인 해킹만을 염두에 두고 보안장비나 소프트웨어를 구매하고 설치를 하였다. 또한 법제화된 법안 준수를 위해 다양한 종류의 인증을 받거나 추진하는 형태가 일반적 이였다.

위협은 시간이 지날수록 변화해 가고 진화해 가는데 대응방식은 여전히 오래 전의 개념에 머물러 있는 것이 사실이다. CEO가 알아야 할 기본적인 보안상식 혹은 지식은 변화된 환경에 맞추어서 달라져야 하며 경영환경의 변화에 따라 충분히 역동적 이여야 한다.

기본적인 보안도구들은 그 기본에 충실한 역할을 할 뿐이다. 글로벌 환경에서의 다국적기업들의 변화를 살펴보면 특히 IT기업의 경우 핵심 부분에 보안이라는 역할을 포함 시키는 환경을 쉽게 관찰 할 수 있다. 8월에 있었던 인텔의 맥아피 인수는 향후 환경의 변화를 살짝 엿볼 수 있다. 또한 구글, MS, 어도비와 같은 글로벌 IT기업들은 내부적으로 보안기술의 획득과 역량을 확보하기 위해 다양한 노력을 하고 있다.

왜 그들은 기본적인 보안으로도 충분 하게 여기지 않고 더 많은 역량확보를 하기 위해 노력을 하고 있을까? 환경의 변화에 따라 시스템에 대한 직접적인 공격은 감소하고 있고 표면적으로 심각하게 드러나지 않고 있다. 그러나 구글의 검색서비스를 이용한 자동화된 해킹기법과 어도비의 PDF나 Flash의 취약성을 이용한 공격, MS의 운영체제 혹은 어플리케이션에 대한 공격을 통해 사용자에 대한 위협은 실제화 되고 있다.

공격 기술의 변화는 이제 서비스를 직접 공격하거나 서비스의 구조를 이용한 공격으로 상당부분 전이가 되고 있다. 서비스를 보호하지 않는 기업의 제품이나 서비스들은 지속적으로 사라질 수 밖에 없다. 위험성이 있는 소프트웨어나 서비스는 이제 사용자에게 직접적인 영향을 미치고 그 결과는 서비스의 존폐에도 영향을 미치기 때문이다.

현재의 글로벌 IT기업들의 움직임은 단순히 보안을 개별 요소기술로 보는 것이 아니라 전체 서비스의 경쟁력을 확보하기 위한 필수적인 요소로서 활용을 하고 있는 것이다. 보안에 대한 많은 노력들은 실제로는 서비스를 보호하기 위해서는 내부의 구조를 강하게 만들거나 다양한 취약성이 존재하고 있는 서비스나 제품을 즉시적으로 또는 상시적으로 보완을 해야 하고 보호조치를 취해야 하기 때문이다. 그래야만 경쟁력을 가지기 때문에 노력하는 것이다.

단순히 장비의 성능으로 경쟁에서 이길 수 없다. 보다 더 중요한 것은 플랫폼이고 서비스이다. 앞으로의 환경 변화도 플랫폼과 서비스에서 촉발이 될 것이고 여기에서 주도권을 가지는 기업이 앞서나가게 될 것이다. 이 주도권을 쥐게 해주는 핵심 부분은 아이디어와 혁신성 이외에 보안에서 판가름 나게 될 수 밖에 없다. 폐쇄적인 환경에서 개방적인 환경으로 전환되는 과정은 서비스의 도움 없이는 어렵다. 국내의 IT기업 및 서비스를 하는 기업이라면 이 점을 염두에 두어야만 한다.

위험은 이제 기본적인 보안 위협 (바이러스, 웜, 직접해킹)을 포함하면서 더 나아간 서비스 구조에 대한 공격으로 진화되어 있다. 단순한 보안장비로서는 이제 대응이 어려운 측면에 진입한 것이다. 백신에 탐지되지 않는 악성코드들과 날마다 새롭게 쏟아지는 소프트웨어들의 취약성은 사용자의 정보를 빼내어간다. 종래에는 서비스의 훼손과 공격자의 이득창출을 위해 빼내간 정보들은 고스란히 활용이 된다. 이것을 보호하지 못하면 서비스의 신뢰도는 보장 받을 수 없으며 해외 진출은 언감생심일 수 밖에 없다.

CEO가 알아야 할 보안 지식은 변화의 인지로부터 시작되어야 하고 지금의 변화를 느낄 수 있어야 효과적일 수 밖에 없다. 현재의 환경의 변화를 간단히 정리해 보자.

1. 공격 형태의 변화 : 직접적인 해킹에서 사용자 정보를 유출하는 형태로 변화됨

2. 서비스에 대한 공격 증가: 유출한 정보를 이용한 서비스 공격이 늘어나고 있다.

3. 경쟁력 있는 서비스에는 보안적인 기능은 필수적이다.

4. 기존의 보안장비로 탐지 할 수 없는 신규 공격과 대규모 공격이 일상화 되어 있다.

5. 접속 환경의 변화에 따른 다양한 단말기기로부터의 공격 증가 예상

기업의 업무환경 변화도 기본적인 보안 지식이 없다면 황당한 일들은 언제나 발생하게 마련이다. 보안전문가들에게 자문을 구하거나 문제점을 확인하고 보완하지 않는다면 위협은 이제 일상적일 수 밖에 없다. 단순히 휴대폰으로 PC를 통제하거나 사내메일을 확인 하는 편리성을 강조한 방식들은 편리함이 증가한 만큼 위험도 그에 비례하여 늘어날 수 밖에 없다.

새로운 시대를 대비하거나 준비하기 위해서는 이제 진지한 고민이 있어야 하고 IT기업 혹은 IT 서비스를 기획하는 곳들은 성장하고 싶고 세계시장에 진출하고 싶다면 보안적인 기능에 많은 역할을 부여해야만 할 것이다. 품질관리 (Quality Assurance)는 단순히 하드웨어 제품에만 있는 절차가 아니며 서비스와 소프트웨어에도 필수적 이여야 한다. 특히 보안이 강화된 품질관리 (SQA – Secured Quality Assurance) 는 시대가 요구하는 과정이 될 것이다.

환경의 변화는 지금 보안적인 기능의 강화가 절실하게 요구됨을 말하고 있다. 또 그것이 경쟁력이 될 것임을 의미하고 있다. 9조원의 현금으로 맥아피를 인수한 인텔이 왜 그랬을까? 한번쯤 고민해야 할 주제가 아닐까 싶다.

- 바다란 세상 가장 낮은 곳의 또 다른 이름.

'Security Indicator > Insight Security' 카테고리의 다른 글

Stuxnet? 아직 본게임은 시작도 안했다. (0)	2010/10/01
애플과 보안 -1 (0)	2010/09/28
CEO,CTO가 알아야 할 보안 지식 혹은 상식 (0)	2010/09/27
홈페이지 해킹, 악순환의 고리를 끊어라 ( SQL Injection) - p4ssion (0)	2010/09/23
[컬럼] 웹서비스 보안의 불편한 진실 - Mass SQL Injection (6)	2010/08/05
에스토니아, 7.7 DDos 그리고 미래 (0)	2010/06/15

Posted by 바다란

TAG security, 보안, 보안상식, 해킹

트랙백 0개, 댓글 0개가 달렸습니다.

홈페이지 해킹, 악순환의 고리를 끊어라 ( SQL Injection) - p4ssion

Security Indicator/Insight Security 2010/09/23 23:26

- 보안뉴스에 기고한 컬럼입니다. 다른 컬럼들도 계속 연이어 나올 예정입니다.

SQL Injection에 관련된 글을 쓰기 시작한지가 벌써 6년이 지났음에도 불구하고 현재의 문제는 해결될 기미를 보이지 않고 있다. 현재는 더 세계적으로 확산이 되고 있고 문제가 커지고 있는 양상이다. 중요한 사실로 언론 지상에 보도되었던 50만대 가량의 웹서버 (정확하게는 DB 서버의 권한이 획득 당하여 웹서버의 소스코드가 변조된 케이스를 의미한다. ) 감염 이슈는 사실상 일상적인 일이 되어 버렸다.

산술적으로 하나의 웹사이트에 5명의 사용자만 방문 한다 하여도 악성코드 유포의 기회는 250만개의 클라이언트에 영향을 미친다. 제로데이 (패치가 나오지 않은 취약성) 공격을 감행 할 경우 성공률은 대폭 높아지게 되고 50%의 성공률로만 잡아도 125만대의 PC를 이용하는 사용자 정보는 언제든지 유출 될 수 있는 상황에 직면해 있다. 모든 상황은 최소치로 잡았을 경우에도 이와 같다.

국외의 해킹사고들은 국내만을 피해서 발생 할까? 그렇지 않다. 외면되고 알려지지 않는 많은 사건사고들은 조용하게 수습이 되고 언제 그랬냐는 듯이 사라진다. 근본 문제는 해결 되지 않은 상태에서 단순한 배포 링크만을 제거하는 것으로 문제를 쉽게 해결 했다고 한다.

지금의 공격은 오로지 금융정보의 유출과 게임 관련된 사용자 정보의 유출에 목적을 두고 있다. 환금성이 있으며 실질적인 이득을 얻을 수 있기 때문에 타켓팅 된 것이다. 해외의 경우에는 온라인 게임 뿐 아니라 금융 관련된 정보들도 손쉽게 획득 할 수 있도록 공격코드가 구성이 되어 있다. 국내의 경우는 금융 관련된 정보보다 온라인 게임의 사용자 계정 정보가 대부분을 차지하는 것이 다를 뿐이다. 가끔 눈 먼 공격툴이 전세계의 웹서버를 공격하여 국내의 게임 계정을 얻기 위한 코드를 설치하는 일도 비일비재하게 일어난다.

알려지지 않는 많은 위험들은 이제 실제화 되어 세상에 드러나있고 공격자들은 보다 자연스럽게 공격을 하고 있다. 대규모 해킹이 발생되면 언제나 그렇듯이 전세계의 백신회사들은 바빠진다. 해당 공격 도구의 패턴을 분석하고 업데이트 하느라 분.초를 다투며 대응을 한다. 언제까지 이럴 수 있을까? 지금의 공격도 소수의 공격자가 운용하는 자동화된 공격도구에 의해 발생 되지만 대응은 수천. 수만 명의 전문인력이 전세계적으로 대응해야 하는 비효율적인 양상의 극치를 달리고 있다. 공격자들은 자유자재로 공격코드를 변경한다. 새로운 공격 가능한 취약성이 나온다면 바로 다음날쯤이면 전 세계의 취약한 웹서비스를 통해 악성코드들은 유포가 된다. 가히 리얼타임이라고 하지 않을 수 없다.

효율적인 악성코드 설치 매커니즘을 일찌감치 획득한 공격자들은 보다 자동화 되고 효율적인 공격 방법들을 모색하고 있다. asprox라고 불리는 웹으로 유포되는 봇넷의 경우에도 asp+mssql 조합만을 공격 하였으나 확대는 시간 문제라고 볼 수 있다. 그때에는 감당하기 어렵고 대응할 여력조차 없는 상황에 직면 할 수 밖에 없다. 그 시간은 이제 너무나도 가까워져 있다. 근본적인 대응책도 고민을 하지 못하고 논의 되지 못하는 지금의 현실에서 공격도구의 대상 확대는 재앙 같은 의미를 지닌다.

일반적인 대응 흐름

일반적인 SQL Injection에 관련된 설명이라면 전문가들에게는 식상할 것이고 개발자들 조차도 이젠 심심치 않게 들어본 내용이 될 것이다. 매번 악성코드 유포에 따른 대응은 언론 지상에서 발표가 된다. 국내의 악성코드 대응 흐름은 너무나도 간단 명료하다. 기본 전제는 사건이 있어야 대응을 한다는 점이다. 사건이 발생 하지 않으면 그 어떤 것도 비용으로 분류가 되며 행동이 발생 되지 않는다.

대표적인 악성코드 유포에 따른 대응 흐름을 간략히 보면 다음과 같다.

1. 신규 공격코드를 이용해 SQL Injection 자동화 공격도구로 취약한 웹 서비스들에 대해 직접적인 공격이 발생 된다.

2. 웹 서비스를 통해 악성코드가 유포된다.

A. 유관기관에서는 악성코드 신고 접수 시에 악성코드 유포하는 도메인에 대한 차단을 진행한다.

B. 백신업체에서는 악성코드의 패턴을 이용해 대응하는 백신을 제작하거나 업데이트 한다.

C. 신규 취약성을 이용할 경우에는 패치를 설치 하라고 언급이 되고 패치가 나오지 않을 경우에는 그냥 기다린다.

D. 악성코드가 웹을 통해 감염이 되고 주변 네트워크로도 확산이 되는 것과 같은 특이한 상황의 경우 별도의 방안들을 강구하도록 한다. ( ARP Spoofing등)

3. 악성코드의 변형이 유포 될 경우 – 2번 항에 있는 A,B,C 항목은 계속 반복이 된다.

여기서 1번 항목은 일반에게 잘 알려지지 않는다. 2번 항목에 대한 내용들만 계속 루프를 돌 뿐이다. 대책으로는 모두 사용자 PC의 안정성을 탓하거나 패치부족, 계정관리의 문제들만을 언급할 뿐이다. 과연 이것만으로 지금의 문제를 정리 할 수 있을까?

무언가 빠진 것 같지 않은가?.

진짜 문제는 악성코드가 유포 될 수 있도록 취약성을 간직한 웹서비스들 임에도 대책은 부실하다.

어떤 문제로 인해 공격을 당하는 것은 전문가나 일정 수준에 도달한 사람들이라면 모두 숙지하고 있다. 중요한 것은 어디에 문제가 있느냐 하는 것이다. 어디에서 어떤 부분을 어떻게 해야 하는 모든 과정은 지금 생략 되어 있다.

여러 가지 대응 서비스들이 있으나 확산의 한계가 존재하고 비용 문제 또한 만만치 않다. 여기서의 비용은 여러 가지 비용을 산정 할 수 있다. 소스코드의 대폭적인 개선과 보안기능이 강화된 템플릿의 활용, 보안진단 인력, 진단도구의 활용, 웹 보안 도구의 도입 모두 상당한 비용을 수반 할 수 밖에 없다. 일시적인 비용 이외에 지속적인 관리비용 또한 만만치 않게 소요된다. 또 이런 비용과 서비스를 이용해서 보안성을 높인다 하여도 웹 소스코드가 변화 없이 그대로 있었던 경우가 있는가? 매번 변화되고 짧게는 하루에 몇 번, 길게는 몇 달에 한번씩이라도 웹 서비스는 개선이 되고 코드가 갱신된다. 문제는 다시 시작이 된다. 비용대비 효율이라는 측면에서 답이 나오지 않는 해결책이 계속 될 수 밖에 없다.

문제의 핵심을 보라

악성코드의 변종은 날마다 최대치를 갱신한다. 만약 탐지 건수로만 따진다면 매년마다 신기록을 넘어서고 있을 것이다. 동일한 악성코드가 전 세계에서 발견이 되고 그 숫자는 가공할 만큼의 수치가 발견 될 수 밖에 없다. 왜 이렇게 확산이 되고 범위가 넓혀지는가에 대해 고민을 하고 방안을 마련해야 한다. 그러나 현실은 난감한 상황이다.

자유로운 공격자들의 공격에 단순한 대응만으로도 허덕일 지경이니 원인제거를 위한 활동은 단순한 허언에 지나지 않는다. 원인제거 없는 단순한 대응은 보안분야뿐 아니라 IT 생태계 자체가 심각하게 교란되고 혼란해 질 수 밖에 없는 상황으로 점점 더 빨리 달려갈 뿐이다.

문제의 핵심은 입력값 검증에 대한 절차 준수와 입력값 검증을 손쉽게 확인 할 수 있는 도구나 서비스가 관건이 될 것이다. 도구나 서비스를 활용해 개발자들이 점진적으로 위험성을 제거해 가고 전체적인 서비스에 존재하는 문제들은 일률적으로 제거 할 수 있도록 가이드 되지 않는 한 이 문제는 인터넷이 사용되는 내내 계속 될 수 밖에 없는 문제이다. 시간 지나면 사라질 문제가 절대 아니다. 2010년 상반기를 결산하는 HP의 TopRisk Report를 보면 Network 단위에서 발생되는 공격의 80% 이상이 Web application을 노린 공격이다.

(http://dvlabs.tippingpoint.com/toprisks2010 )

공격의 측면은 두 가지로 진행이 되어 왔고 앞으로도 진행 될 것이다.

1. 전파를 위한 도구의 고도화 및 확장 ( Mass sql injection tool – MSSQL, Oracle, Mysql)

2. 클라이언트 침입을 위한 다양한 어플리케이션의 제로데이 발견 ( IE, FF, Safari, Flash, PDF …)

우리는 지금 1번에 대한 대응은 생각도 못한 상태에서 클라이언트 침입을 확인 할 수 있는 최소한의 도구만을 지녔을 뿐이다. 물론 이마저도 없는 나라들도 부지기수 이지만 …

도구가 활용되는 통로를 어떻게 최소화 하고 줄일 수 있느냐에 따라 제로데이의 영향력도 축소가 될 것이다.

지금과 같은 대응이라면 매일매일 동일한 대응의 지루한 반복만이 계속 될 뿐이며 나갈 수 있는 정보들은 모두 빠져나가고 악의적으로 활용 될 수 밖에 없으며 결국 서비스 자체 뿐 아니라 서비스의 생태계에도 충분히 큰 영향을 줄 것이다.

이미 오래 전 예상된 바이고 이젠 그 결과를 모든 사용자가 간접적으로 느낄 수 밖에 없을 것이다. 문제 발견 이후의 클라이언트에 설치된 어플리케이션의 패치들은 이제 빠른 확산 도구를 갖추고 있는 상태에서 매번 소 잃고 외양간 고치는 것이 반복 될 수 밖에 없다. 빠른 확산 도구인 웹 어플리케이션의 취약성을 각 개별 사이트 마다 찾아서 보완을 하지 않는다면 이 도구는 계속해서 확장하여 종래에는 감당하기 어려운 상황으로 갈 수 있다.

이젠 전략적이며 적극적으로 웹어플리케이션에 존재하는 문제들을 제거하고 보완 할 수 있는 지속적인 방법과 도구를 찾고 활용 함으로써 늦었지만 근본 대응을 모색 할 때이다. 전 세계적으로..

- 바다란 세상 가장 낮은 곳의 또 다른 이름

* 여기에서의 웹 어플리케이션은 개발자가 다양한 언어 ( asp ,php ,jsp, aspx 등)를 활용하여 목적에 맞도록 Database와 연결 하고 그 결과를 사용자에게 보여주는 홈페이지를 의미한다. 대부분의 기업 및 서비스 홈페이지가 그 범주에 해당된다.

Sql injection 에 대한 설명들은 필자 블로그의 컬럼들을 참조.

Mass sql injection 대응과 현실 - http://p4ssion.com/200
SQL Injection 공격 변화 - http://p4ssion.com/207

'Security Indicator > Insight Security' 카테고리의 다른 글

애플과 보안 -1 (0)	2010/09/28
CEO,CTO가 알아야 할 보안 지식 혹은 상식 (0)	2010/09/27
홈페이지 해킹, 악순환의 고리를 끊어라 ( SQL Injection) - p4ssion (0)	2010/09/23
[컬럼] 웹서비스 보안의 불편한 진실 - Mass SQL Injection (6)	2010/08/05
에스토니아, 7.7 DDos 그리고 미래 (0)	2010/06/15
Web 2.0의 위험요소와 대비 문서 (0)	2010/04/27

Posted by 바다란

TAG Masssqlinjection, SQL Injection, SQL 인젝션, 보안, 웹서비스, 해킹

트랙백 0개, 댓글 0개가 달렸습니다.

인맥(InMc). 왜 인텔은 맥아피를 9조원에 인수 했나?

IT governance 2010/08/20 12:11

미국시간으로 8.19일에 있었던 인텔의 맥아피 인수는 시대의 변화를 실감하게 한다. 인수 금액도 보안과 관련된 기업의 인수로서는 사상 최고가인 77억 달러에 달하고 환산하면 9조원에 이르는 막대한 금액을 들여 인수한 경우로 여러 가지 시사점이 있을 수 있다.

단순히 금액적인 면에서 바라 볼 것이 아니라 다른 여러 가지 의미가 있을 수 있음을 염두에 두어야 된다. 개인적인 관점에서 바라보는 인텔의 맥아피 인수 관련된 의미를 살펴 보자.

일단 맥아피는 AntiVirus 전문 기업이 아니며 종합 보안 기업이라는 점을 명확히 해야 한다.

백신의 개발뿐 아니라 다양한 보안장비의 개발 및 운용, 보안 서비스를 하는 종합 보안기업이고 유사한 업체로는 시만텍이 있을 수 있다. 국내에선 규모로는 비교하기 어렵지만 안연구소가 비슷한 행보를 하고 있다. ( 안연구소도 백신만을 만들지는 않는다. 일반적으로 V3만을 생각 할 수 있으나 다양한 보안 분야의 하드웨어 제품과 서비스를 현재도 운용 중에 있다.) CPU를 만드는 인텔과 백신을 만드는 맥아피라는 조합을 보면 CPU 상에서 동작하는 내장형 Anti Virus 제품을 가장 먼저 생각 할 수 있지만 설마 이 정도에 9조원이 넘는 돈을 들이지는 않는다.

CPU와 밀접하게 연관된 보안서비스는 지금도 나와 있고 물론 앞으로도 더 활발하게 출현 할 수 밖에 없을 것이다.

변화하는 보안의 위협요소들은 플랫폼을 가리지 않고 발생 하고 있으며 앞으로 더 큰 문제들은 계속해서 발생 할 수 밖에 없다. 인텔은 CPU뿐 아니라 다양한 IT 장비와 소프트웨어, 플랫폼을 개발한 종합 IT 회사이며 그 중 CPU 부분이 주력 분야라 할 수 있다.

왜 인텔은 맥아피를 인수 했을까? 어쩌면 전문 분야가 다른 상당히 이질적인 회사 일 수도 있는 분야를 9조원이라는 어마어마한 금액으로 인수를 했을까? 필자가 생각 하기에 그 대답은 대단히 전략적인 선택이라는 말로 갈음 할 수 있다. 각 기업의 현재 상황을 간략하게 살펴보고 의미를 새겨보자. 개인적인 관점에서 보는 시각임을 잊지 말자

인텔

한정된 분야에서 인텔은 막강한 힘을 발휘해 왔다. 이제 하드웨어 제품의 벤더로서 주도적인 역할도 점점 줄어 들 수 밖에 없다. 무선 플랫폼의 확대와 CPU 시장의 경쟁구도는 인텔의 입지가 주도적인 입장에서 약간은 빗겨난 상태로 볼 수 있다. 향후에는 입지가 더 좁아 질 수도 있으며 시장의 혁신을 주도하는 것은 어려움이 있다. 시장의 혁신을 주도하던 황금 시기는 정점을 지나지 않았나 판단이 된다. 일반 PC 플랫폼의 성장정체와 맞물려 어려움은 가중 될 수 밖에 없고 윈텔이라 불리던 MS와의 조합도 예전 만큼의 시너지를 내지는 못한다고 보고 있다. 유비쿼터스로 대변 되는 향후 미래의 발전상에서 주도적인 아이템이 불확실한 상태다. 그래서 모바일 시장에서의 성장동력 강화와 새롭게 주도권을 쥘 수 있는 분야가 절실하게 필요 했고 또 다른 영향력을 확고하게 하는 것이 필요 했을 것이다. 규모를 키우기 위해 맥아피를 인수한 것은 절대로 아니며 주도권과 영향력 행사를 몇 년 이내에 할 수 있는 계기가 있을 것이라는 판단 하에 인수한 것으로 판단 된다.

맥아피

다양한 보안 분야에 대해서 대응을 하고 특히 AntiVirus 분야에서도 꾸준한 연구와 대응을 해왔다. 그러나 항상 1위 기업인 시만텍에 눌려 있었고 어떤 보안 분야이든 1위는 아니며 2,3위에 랭크 되어 있다. 최근에는 모바일 보안 관련된 보안기업들을 몇 곳 인수를 하기도 했으며 기업용 및 일반 소비자용 모바일 보안 서비스를 제공 하려고 노력을 했었다. 또한 맥아피 자체적으로는 시만텍의 영향력을 벗어나기 위해 모바일 보안 분야에 상당한 노력을 기울였다는 점에 있어서 인텔의 결정이 의미를 가질 수도 있다.

맥아피가 진행한 보안 서비스는 백신 이외에도 침입방지 시스템, 네트워크 접근제어, 방화벽 제품들을 개발하여 판매 하고 있고 서비스를 진행 하고 있으며 통합적인 보안을 구성 할 수 있는 라인업을 가진 몇 안 되는 종합 보안 회사이다. 단순한 보안기술과의 연동으로 보기에는 지금의 인수합병과는 괴리감이 있다.

인텔과 맥아피의 현황을 주관적인 관점에서 간단하게 살펴 보았다. 이제는 전략적인 선택의 의미를 알아 보자.

전략적인 선택인가? 분야의 확장인가?

인텔은 새로운 영향력과 주도권을 잡을 수 있는 분야의 하나로 “보안”을 선택했다. 미래의 성장동력으로서 보안 분야는 발전 가능성도 중요하지만 영향력 측면에서 가치를 발휘 할 수 밖에 없다. 가트너의 보안소프트웨어 시장 예측을 보면 매년 11% 가량의 성장이 예상되고 165억 달러의 시장규모를 가지고 있다고 한다. 과연 소프트웨어의 시장 규모가 165억 달러인데 77억 달러의 현금을 주고 1위도 아닌 업체를 인수한 인텔은 무엇을 보았을까?

미래를 위한 전략적인 선택이라는 이면에는 다양한 판단이 있을 수 있다. 그러나 필자가 보는 관점은 조금 다를 수 있다.

향후 IT 서비스와 실생활에 밀접한 관련을 가질 수 있는 분야로서 하드웨어가 아닌 플랫폼과 서비스라는 점을 인식
무선 및 다양한 유비쿼터스형 장비에도 필수적으로 보안이 필요하다는 것을 인식 했다는 점
향후 보안적인 위협은 IT 서비스의 근간을 흔들 수도 있다라는 판단을 한 것. 근간을 흔들 수 있다는 점은 주도권을 쥐고 다시 전면에 나설 수 있다는 점을 의미 하기도 한다.
인텔의 막강한 라인을 이용한 기업형 통합 보안 서비스 시장 진출 ( 새로운 수익모델 발굴)
모바일 서비스 분야에서의 주도권은 놓쳤으나 이후 파생되는 분야 (위험관리 등)에서의 주도권 확보
단순하게는 인텔의 제품 라인업에 보안서비스와 보안제품을 필수적으로 제공 하여 경쟁력을 확보하고 서비스 차별화를 할 수 있다는 점.

간략하게 위의 여섯 가지 정도를 꼽을 수 있다.
인텔 제품에 기본으로 탑재되는 보안 서비스들은 빠르면 내년 중에 출현을 할 것이다. 또 서비스 형태로 관리 될 수 있는 보안 서비스 제품들도 머지않아 출현 하게 될 것이다. 보안 회사간의 M&A는 일상적으로 있어 왔으며 새로운 분야로 시장 확대를 위해서 보안 회사를 핵심적으로 인수한 기업들도 있었다. ( 구글의 기업형 보안 서비스 시장 진입 – postini 사를 6억2천만불에 인수)

2005년에 했던 향후 시장의 변화 방향 예상은 그리 많이 빗나가지 않았다. 이후로도 계속될 내용들이다. 보안분야를 보강하지 않는 거대 IT기업의 성장은 어려울 것이며 그 과정에 구글이 있고 인텔이 있다.

위협은 계속 되고 위험강도는 점점 더 높아 질 수 밖에 없다. 인텔의 맥아피 인수는 세계적 백신 벤더들에게는 어쩌면 재앙이 될 수도 있다. 그리고 또 다른 거대기업에서의 M&A 시도로 인해 절호의 기회가 될 수도 있다. 이제 명확해진 사실은 Security는 IT 서비스의 기본이라는 점이다. 시간이 지날 수록 더 선명해 질 것이다.

기업형 보안 서비스 시장의 각축은 시만텍의 1위자리가 위협 받을 것으로 보이며 인텔의 맥아피 라인업의 활용과 결합 정도에 따라 수많은 IT 서비스들이 영향을 받고 자극을 받을 것으로 예상된다. 단 인텔이 현명하다면..

한 분야의 강자에서 IT 서비스 전분야로의 도약을 꿈꾸며 그 발판으로 보안을 선택한 인텔은 맥아피내의 인텔이 될 수도 있다. Intel inside McAfee 또 그렇게 해야만 인텔은 도약이 가능할 것이다. 자신의 전문분야를 고집하는 순간 맥아피 인수 효과는 그리 크지 않을 것이고 제한적일 것이다.

국내의 보안과 IT서비스의 현실은 글로 남기기에도 민망해 따로 적지 않는다. 왜 인텔은 맥아피를 9조원이라는 어마어마한 거액에 인수 했는지 사업 방향 확대가 아닌 다른 의미를 한번쯤 진지하게 생각해 볼 것을 권고할 뿐이다.

- 바다란 세상 가장 낮은 곳의 또 다른 이름

'IT governance' 카테고리의 다른 글

KAIST, 구글보다 빠른 악성코드 탐지기술 개발 (0)	2011/03/15
인맥(InMc). 왜 인텔은 맥아피를 9조원에 인수 했나? (2)	2010/08/20
인터넷 종량제의 포기 시사관련 (0)	2010/07/07
발전의 한계를 넘어라 - 컨텐츠가 대안 (0)	2010/07/07
기로에선 무선인터넷 - 칼럼 (0)	2010/07/07
Paradigm의 전환이 필요한 대한민국 (0)	2010/07/07

Posted by 바다란

TAG intel, 맥아피, 보안, 인텔, 해킹

트랙백 0개, 댓글 2개가 달렸습니다

세계 50만대 이상의 웹 서비스 봇넷 배포지로.. 그리고.. 의견

Security Indicator/Security Analysis 2010/08/17 18:26

세계 50만대 이상의 웹 서비스 봇넷 배포지로.. 그리고..

일상적인 일중의 하나로 치부되고 있는 대규모 해킹은 지금도 맹위를 떨치고 있다.

Mass SQL Injection 도구에 의한 해킹 피해는 나날이 도를 더해가고 있는 상황에서 우리가 할 수 있는 일은 무력하기만 하다. 규모가 있는 사이트들은 자체 역량 및 외부 보안업체의 도움을 통해 보안성을 강화하고 문제를 해결 하지만 현재 피해를 입는 사이트들은 일부 보안이 된 사이트들을 포함하여 역량이 부족한 사이트들이 피해를 입고 있다.

결국 피해는 개인에게로 돌아오고 사회적 도구로서 자리매김을 확고히 한 IT 서비스의 근간을 흔들게 될 것임은 자명하다.

피해의 순서는 웹 서비스 정보 유출 -> 웹 서비스를 통한 악성코드 유포 -> 개인정보 유출 -> 다시 웹 서비스에 대한 Abusement로 이어진다. 유출된 사용자 정보는 금융 정보 및 ID/PW를 막론하고 다시 재활용되고 혼란스러워진다.

이미 지난 글에서 (http://p4ssion.com/241) “웹 서비스 보안의 불편한 진실” 이라는 항목으로 피해의 심각성과 향후의 문제들에 대해서 기술한 바 있다. 동일한 상황은 계속해서 이어 질 수 밖에 없다. 구글에 의해 표시된 악성코드 감염 수치는 55만개 이상의 웹 서비스에서 악성코드가 유포되고 있음을 나타내고 있다.

Malware count

또한 국내의 사이트로 한정을 하면 1만대 이상의 웹 서비스를 통해 악성코드가 유포되는 현실을 볼 수 있다.

악성코드의 특성에 대한 내용은 이미 별도의 블로그(http://www.moonslab.com/1072)에 정리된 내용이 있어서 상세한 분석은 생략하며 특징만을 간략하게 언급 하도록 한다. 기술적인 분석에 대해서는 SANS의 분석 내용을 참고 하면 된다. (http://isc.sans.edu/diary.html?storyid=9397)

특징

현재 악성코드가 연결된 사이트는 .ru 라는 러시아 도메인을 가지고 있다. 그러나 등록된 주소는 중국으로 되어 있으며 실제 주소도 중국으로 판명이 되고 있다. 일차적인 특징으로 볼 수 있는 내용인데 중국의 공격자들이 이제는 도메인을 위장하여 손쉽게 판별되는 .cn 도메인을 넘어서 타 국가의 도메인을 활용하고 있음을 볼 수 있다.

두 번째로는 설치되는 악성코드의 다양함을 들 수 있다. 실제 분석은 되지 않았지만 구글에서 파악된 기본적인 내용을 살펴 보면 13개의 Trojan과 9개 이상의 Exploit 코드들이 유포 되었음을 알 수 있다. (http://www.google.com/safebrowsing/diagnostic?site=nemohuildiin.ru/&hl=en )

세번째로는 봇넷 채널을 직접 연결하여 Zeus Botnet과 연결된 가능성이 매우 높다는 점이다. 웹을 통해 악성코드를 유포하고 감염된 개인 PC들은 봇넷 Agent로 활용이 되는 것이다. 금융정보 및 키입력 정보, 화면 정보를 모두 유출 시키며 원격에서 직접 통제가 가능한 도구로 손쉽게 활용이 된다는 점이다.

Zeus Botnet은 국내에는 일반인들에게 잘 알려져 있지는 않지만 해외에서는 금융적인 피해가 직접 발생 하고 있어서 신경을 많이 쓰고 있는 Botnet이라 할 수 있다.

Black Market에서 가장 순도 있고 가치 있는 정보를 빼내고 직접 활용이 가능하다는 점에서 가치가 높은 BotNet 이라고도 불려 진다.

기존에 존재하던 웹 보안 장비들은 대부분 공격패턴을 인식하여 차단하는 유형으로 구성이 되어 있다. 그러나 공격기법은 계속 변화한다. 대소문자를 섞어서 쓴다든지 ASCII 코드값을 직접 입력 하는 유형등과 같은 변형된 공격기법은 헤아릴 수도 없이 많이 존재한다. 수없이 많은 패턴을 유지하는 보안장비들은 그만큼 속도가 느려질 수 밖에 없으며 보안적인 위협을 막기 위한 목적으로 도입한 장비들이 본 서비스의 접근 속도를 느리게 하는 요소로서 작용 할 수도 있다.

국내의 보안 현실 및 세계적인 보안의 근본적인 문제점은 대중과는 어느 정도 거리가 있는 사후 대응의 측면에만 집중하는 것이 현실이다. 근본적인 유포망을 없애지 않고서는 악성코드로 인한 개인 정보 유출의 피해와 또 유출된 개인정보로 인한 서비스망의 교란과 혼란은 개인과 서비스를 운영하는 기업 모두에게 큰 손실이 될 수 밖에 없고 문제는 점차 더 커질 수 밖에 없다.

빈익빈 부익부

빈익빈 부익부의 현실은 깊어만 간다. 현재의 IT서비스의 현황을 살펴보면 빈자들의 서비스에는 보안을 신경 쓸 여력이 없고 서비스 운영에만 중점을 두고 있어서 실질적인 이득 창출과는 약간 거리가 있게 느껴지는 보안 분야는 등한시 되고 있는 실정이다.

그러나 조금 만 더 멀리 보면 보안은 기업의 이익을 보호하고 신뢰를 형성하여 장기적인 안정성을 유지할 수 있게 한다는 점에서 큰 이득이 될 수 밖에 없다.

국내 및 해외의 보안 현실과 IT 환경을 맞추어 보면 가난한 기업들은 계속 해서 위험에 노출 되고 여력이 있는 곳들은 빠르게 문제점을 보완하고 비용을 적극 투자한다. 보안 관련된 기업측면에서는 모두가 수익을 창출 할 수 있는 사후 대응에 머물러 있으며 사전 대응과 위험요소에 대한 관리라는 측면에서는 활동이 미미할 뿐이다.

오래도록 가지고 있는 잘못된 편견중의 하나는 사고가 발생 한 뒤에야 중요성을 인지한다는 점이다. 그래서 국내외를 막론하고 수없이 많은 보안회사들은 사후대응에만 중점을 두고 있는지도 모른다. 이제 시대는 충분히 바뀌었고 많은 변화가 있었다. 변화를 따라가지 못한다면 소도 잃고 외양간의 기둥마저 무너질 수도 있다.

개인 PC를 공격하는 공격도구가 윈도우 시스템에 IE 사용자만으로 한정이 될까? 이미 작은 흐름에서는 타 운영체제 및 별개의 도구를 사용하는 시스템에도 충분한 시도들이 있었고 현재 공격이 눈에 띄게 드러나지 않는 것은 노력 대비 성과가 부족하기 때문일 것이다.

가난한 기업과 서비스 운영주체들은 힘이 없다. 역량이 부족하고 전문적인 지식의 도움을 얻고자 해도 돈이 없다. 또 문제를 수정 하고자 해도 어디가 문제인지 어떻게 고치면 되는지에 대한 협력은 절대적으로 부족하다. 비단 국내만의 문제가 아닌 전 세계적인 문제이다.

이젠 시대의 흐름에 맞게 변화를 크게 주어야 할 때이다.

역량이 있는 기업들 조차도 잦은 횟수로 변경이 되는 웹 서비스의 관리와 보안성에 대해 어려움을 겪고 있는데 하물며 가난한 기업과 서비스들은 무엇을 할 수 있겠는가?

국가나 산업차원에서 저렴하고도 신뢰 할 수 있으며 접근성이 높은 서비스는 반드시 제공 되어야만 하고 이제 머지 않아 출현 해야만 현재의 인터넷과 IT 서비스의 위기 상황을 개선 시켜 나갈 수 있을 것이다.

앞으로 발생 될 수 있는 위험들은 위험수준을 잘 관리하고 있는 기업들에게도 동일한 영향을 미칠 것이다. 대규모 웹 서비스 해킹을 통해 악성코드를 유포하는 행위와 서비스에 공통적인 요소를 공격하여 대규모 유포를 하는 유형으로 나눌 수 있을 것이다. 기발한 공격 기법은 이제 상상력의 한계에만 그치지 않는다.

http://www.eweek.com/c/a/Security/Infected-Widget-Compromises-Parked-Domains/

위의 기사는 Network Solution사에서 운영하는 Widget을 해킹하여 악성코드를 유포한 기사이며 현재는 중지 되었지만 단순히 Widget 배포처를 해킹함으로써 최소 50만개에서 최대 500만개 이상의 도메인을 통해 악성코드가 유포 되었음을 보여 준다.

빈익빈 부익부의 틀은 IT사회에서도 정확하게 적용이 된다.

그러나 이제 피해는 빈자와 부자를 가리지 않을 것이다.

시스템과 체계를 정비 하지 않는다면 앞으로도 오랜 기간 지속 될 수 밖에 없다.

특정 서비스의 구조적인 문제를 공격하는 웜이나 공격코드들은 2005년부터 있어 왔다. 앞으로 트위터나 페이스북의 서비스에서 문제가 생긴다면 그 피해 대상은 얼마나 될까? 더불어 공격코드가 스마트폰별 공격코드와 OS별 공격코드를 가지고 있을 때 피해 양상은 얼마나 될까?

상상하기 어려울 것이다. 그러나 아무도 눈을 뜨고 보려 하지 않는다.

빈자를 위한 도구가 결국엔 모든 것을 살리게 될 것이다. 거기에서부터 시작을 해야 하는데 아직 세계는 손쉽게 정보를 얻고 일정 수준이상의 기본지식이 필요함을 인식하지도 못하고 있다.

다음 블로그 글은 아마도 구조적 해킹 ( 일반적으로 서비스 어뷰징으로 불리워 지는 것)에 대한 것과 국외기업들의 서비스 연관, 악성코드와의 관련 등에 대해서 한번 정리해 볼 생각이다.

-twitter: @p4ssion -바다란 세상 가장 낮은 곳의 또 다른 이름

'Security Indicator > Security Analysis' 카테고리의 다른 글

악성코드의 반복적인 발생과 대규모 유포의 원인 (0)	2010/12/06
Facebook 사건과 8억달러의 벌금 - 기사분석 (12)	2010/10/07
세계 50만대 이상의 웹 서비스 봇넷 배포지로.. 그리고.. 의견 (0)	2010/08/17
[컬럼] Digital pest - 지금은 더 힘든길로 진입 (0)	2010/07/12
[컬럼] 7.7 DDos 핵심은 무엇인가? (0)	2010/07/06
분석(10) 구글 초비상. 예견된 위협 adsense worm (0)	2010/04/27

Posted by 바다란

TAG Masssqlinjection, security, sqlinjection, 보안, 분석, 해킹

트랙백 0개, 댓글 0개가 달렸습니다.

[컬럼] 웹서비스 보안의 불편한 진실 - Mass SQL Injection

Security Indicator/Insight Security 2010/08/05 13:46

-zdnet 게재 컬럼입니다.

과연 인터넷 웹 서비스는 안전한가?

일상적으로 접속해 정보를 상호 소통을 하는 중요한 매개체로 자리잡은 웹서비스는 그만큼의 신뢰도를 가지고 있다고 할 수 있을까?

여기 보려 하지 않고 외면 하고자 하는 불편한 진실이 있다. 이미 오래된 이야기지만 지금까지도 진행형 이고 앞으로도 심각성이 더 높아 질 수 밖에 없는 불편한 진실이다. 아직도 많은 이들의 관심 밖에서 이뤄지는 현실이 여기있다.

안전한 웹 서비스로 가는 길은 멀고도 험하다. 그러나 대부분이 쉽게 생각한다. 공격자들은 항상 그 빈틈을 노리고 끊임없이 공격한다. 일반 인터넷 사용자들은 자신의 아이디와 패스워드가 노출 되어 금전적인 손실이 발생 하거나 피해를 입었을 경우에만 민감하게 반응한다.

개인 PC에 설치된 악성코드의 문제를 개인 사용자의 부주의로 돌리는 것은 잘못된 것이다. 이제는 기본적인 보안 대책을 철저하게 실천한다해도 악성코드로부터 안전하지 않다.

어떤 접속 도구를 이용하던 웹 서핑을 하면서 자료를 확인 하고 정보를 공유하는 지금의 시대에 안전한 상태로 개인 PC를 유지 하려면 인터넷을 하지 말아야하는 수준이다. 사용자PC의 안전한 설정은 가능성을 조금 줄이는 옵션일 뿐이다.

왜 이런 상황까지 전개가 된 것일까?

일단 기본 설명에 대한 이해를 참고 하도록 한다.

대규모(Mass) SQL 인젝션(Injection)에 관련된 설명은 다음을 참고 한다.
Mass sql injection 대응과 현실 - http://p4ssion.com/200
SQL Injection 공격 변화 - http://p4ssion.com/207

본시 SQL 인젝션 공격은 2005년 무렵부터 자동화된 도구를 이용하여 처음 시작이 되었다. 이전에는 공격자의 수작업에 의한 소위 타켓팅한 공격만이 있었다. 자동화된 도구에 의한 공격은 한국이 최초의 테스트 베드가 됐고 그 시작은 2005년부터다.

자동화된 도구를 이용한 SQL 인젝션 공격은 2007년을 지나면서 다른 양상으로 전개 되기 시작한다. 단일 사이트에 대한 자동화된 공격을 벗어나 대규모 도메인에 대한 자동화된 공격으로 전이가 된 것이다. 차이점은 자동화된 공격 도구의 대상을 단일 도메인으로 지정하는 것이 아니라 대규모 도메인 혹은 구글과 같은 검색엔진을 통한 무차별적인 공격으로 방향을 전환 했다는 점이다.

단일 서비스에 대한 공격으로 한정이 될 때는 공격자도 그만큼 많은 노력을 기울여서 여러 사이트를 반복해서 공격 할 수 밖에 없었지만 수집된 도메인 리스트에 기반한 공격과 검색엔진을 동원한 공격은 국가와 지역의 차이를 넘어서 무차별적인 서비스 공격으로 나타나고 있다.

서비스를 공격한 후에는 웹 서비스에 악성코드를 유포하는 URL을 삽입한다. 물론 데이터베이스안에 있는 내용은 관심 밖이다. 이미 가져갈 만큼 다 가져 갔는데 또 가져갈 필요성이 있을까? 이젠 데이터베이스에 저장된 내용이 아닌 방문자의 정보가 필요할 뿐이다.

웹 사이트 방문자의 PC에는 웹 사이트에 방문 할 때 마다 악성코드가 다운로드가 되고 조금 신경을 쓰면 방문자의 PC 운영체제에 따른 공격이 발생되게 된다.

이제 개인 사용자가 금융거래 사이트 또는 인터넷 서비스에 접근 할 때 마다 사용자가 입력하는 키입력 정보는 공격자에게로 전송된다. 때론 봇넷 에이전트를 동원해 분산서비스거부(DDoS) 공격을 하기도 하고 협박을 하기도 한다. 공격자들은 유출된 개인정보를 이용해 블로그나 카페, SNS 매체에 광고를 하는 등 다양한 방식으로 금전적인 이득도 추구하고 있다.

국내 금융권의 경우 다단계 보호수단들이 있으나 해외 금융기관들은 보호수단이 없거나 미비한 경우가 많아 피해 금액이나 사례는 국내보다 해외에서 더 큰 문제로 대두되고 있다.

현재의 대규모 SQL 인젝션 공격 동향을 살펴보면 두 가지 유형을 살펴 볼 수 있다. 좀 더 세밀하게 다듬어진 공격과 무차별적인 공격으로 구분 할 수 있는데 그 특징은 다음과 같다.

1. 웹 서비스의 소스를 일부 수정한다. *.js 와 같은 스크립트 유형의 코드를 웹 서비스 소스에 심어 두고 웹 사이트 방문자가 방문 할 때 마다 해당코드가 자동으로 실행 되도록 한다. 스크립트 코드에는 원격에서 사용자의 PC의 권한을 획득하기 위해 악성코드들이 다운로드 되고 실행이 된다.

2. 무차별 공격은 DB 테이블에 악성코드를 다운로드 하는 스크립트를 무작위로 삽입 하는 방식으로 이루어진다. 이 경우 전체적인 공격현황이 검색을 통해 손쉽게 드러난다. 그러나 공격자의 개입 없이도 자동적인 실행과 반복이 가능함으로 대규모 피해가 수반되고 있다. 2와 같은 경우는 많은 웹 서비스들이 데이터베이스에 들어 있는 콘텐츠를 일반 텍스트가 아닌 HTML로 화면상에 전환해 뿌려줌에 따라 자동적으로 실행된다. 텍스트로 읽어 들이는 경우에는 방문자 PC에 있는 브라우저 상에 스크립트 코드 링크들이 중간중간 삽입된 형태로 깨어지는 것을 확인 할 수 있다.

1번과 같은 세밀한 방식은 안티 바이러스 솔루션을 통해서 공격감지가 가능하다. 단 제로데이 공격이 아닐 경우에만 탐지가 가능한 경우다. 하루가 다르게 수많은 애플리케이션에서 취약성이 발견되는 현재에는 탐지 되지 않는 경우가 점차 증가 할 수 밖에 없다. 2번의 경우는 관리자가 손쉽게 데이터베이스 변조 여부를 확인 할 수 있으나 데이터 복구에 시간이 걸리는 문제들이 발견 되고 있다.

현상적으로 발견 할 수 있는 SQL인젝션 공격의 폐해는 무차별적인 공격의 경우 간략하게 검색엔진을 통해서 확인 할 수 있다. 최근까지 발견된 악성코드 유포 링크를 기준으로 검색한 결과는 상상 이상의 웹 서비스들이 해킹을 당하고 악성코드 유포에 이용이 되고 있음을 확인 할 수 있다.

22dnf.com/ff/y.js (국내용) 31,200개
www.dbrgf.ru/script.js (국내외용) 2,810개
mysy8.com/1/1.js (국내용)
s.ardoshanghai.com/s.js (국내용) 1,840,000개
sion.or.kr/iis.swf (국내용) 253,000개
bq346.cn (국내용) 4,930개
mekiller.com/1/1.js (국내외용) 27,500개
*.postfolkovs.ru/js.js (국외용) 125,000개
4589.in/yahoo.js (국외용) 254,000개
s.lbs66.cn/kr.js (국내용) 262,000개
s1.cawjb.com/s.js (국외용) 2,030,000개
s1.cawjb.com/kr.js (국내용) 950,000개
www.adst.ru/ads.js (국외용) 2,280,000개
www.24aspx.com/script.js (국외용) 12,400개
www.dnf666.net/u.js 전체: 530,000 / 국내: 463,000
www.adw95.com/b.js 전체: 61,200 / 국내: 3,940
www.nihao112.com/m.js 전체: 22,000 / 국내: 6
www.update34.com/b.js 전체: 16,500 / 국내: 6
기준 검색 일시: 2010. 7.1

*감염수치는 근사치로 활용이 되어야 하고 각 검색 시점에 따라 다를 수 있다. 또한 수치 확인에는 검색엔진의 검색결과를 이용 하였으므로 중복된 결과도 일부 존재 할 수 있다. 그러나 대강의 상황을 유추 할 수 있다는 점에 있어서 충분한 인용가치는 있다고 본다.

현재 검색 할 경우에는 차이가 많음을 확인 할 수 있다. 그러나 수치 차이는 검색엔진에서의 필터링과 대응을 통해 조회 시점의 수치보다 낮아 질 수 밖에 없다. 악성코드 유포 링크들이 여전히 일부 서비스들에 남아 있다는 것은 문제가 발생 된 이후에도 전혀 수정이 안되었음을 의미한다. 많은 서비스들이 공격이 가능했던 근본적인 소스코드 수정은 하지 않고 추가된 악성코드 유포 링크의 제거에만 신경을 쓰고 있는 것이 현실이다. 새로운 SQL 인젝션 패턴이 발생 될 경우에는 또 다시 몇 백 만대의 서비스들에서 악성코드를 유포하는 현황을 앞으로도 손쉽게 살필 수 있을 것이다.

악성코드를 유포하는 링크들의 업데이트 현황 중 일부는 여기에서 (http://securedmz.com/reference.php) 확인이 가능하다. 이 링크도 일부분임을 기억하자. 공격자 몇 명에 의해 생성되는 링크일 뿐이다. 실제 규모는 휠씬 더 심각한 상황 일 수 밖에 없다. 드러난 것은 10% 미만이라고 본다. 또한 검색엔진에 나타나지 않는 세밀한 공격은 통계치의 밖에 있다.

화면 상에 보듯이 검색결과의 차이가 상당함을 볼 수가 있다. 가장 최근에 보고가 된 Mass SQL Injection 공격으로 삽입된 악성코드 링크는 b.js를 포함하는 링크이다. 검색 결과는 다음과 같다.

2010년 8월 현재 152만개의 서비스에서 악성코드 유포 흔적들이 있다고 나타나고 있다. 그러나 이 중에는 정확한 분석 또는 단순 질의도 포함이 되어 있을 수 있다. 그러나 1/3만 유효한 링크라고 잡아도 50만대의 웹서비스에서 악성코드를 유포하는 것이다.

하루 방문자를 최소화 한다고 하여도 50만대의 웹 서비스에 최소 5명씩만 방문 한다고 하여도 250만대의 PC가 (실제는 휠씬 더 많을 수 밖에 없다.) 영향을 받는 것이다. 공격 성공률은 제로데이 (패치가 나오지 않은 공격) 공격일 경우 매우 높을 것임은 명확하다.

단순한 일회성의 공격이 아니다. 공격자들은 새로운 공격코드를 몇 십 만대에 또 다시 넣을 필요 없이 단순하게 악성코드를 다운로드 받는 주소에 있는 악성코드만을 새로운 것으로 바꿈으로 영향력을 가지게 된다.

전 세계의 보안 관련된 회사들을 단지 2~3명 정도의 공격자가 손쉽게 농락 할 수 있는 상황이 된 것이다.

공격방법 및 활용 시나리오를 간략하게 요약하자.

1. 악성코드를 유포할 숙주 도메인을 확보한다. 가급적 여러 개의 도메인을 확보. 위의 예에서는 b.js 파일이 올려진 사이트가 되겠다.

2. 검색엔진 및 리스트를 통해 Mass Sql Injection 공격을 자동으로 진행 하도록 하고 공격 성공 시에는 악성코드 유포 주소를 삽입한다. (소스코드에 링크 추가 또는 데이터베이스 테이블 내용 변경)

3. 이제 웹서비스를 통해 유포되는 악성코드들이 웹서비스 방문자의 PC에 설치 되기만 기다리면 된다.

4. 사용자들은 웹브라우저를 통해 웹사이트에 접근 하는 것 만으로도 악성코드가 다운로드 되고 실행 될 수 있는 환경이 된다. 이후 키입력은 모두 유출되고 PC는 좀비 PC가 된다.

만약 백신 개발업체에서 대응 백신을 개발한다면 공격자들은 초기 b.js 안에 실행되거나 다운로드 되는 악성코드를 변경 한다.

새로운 취약성이 있다면 즉시 활용을 하게 된다. 평균 신규 취약성이 나온 이후 며칠이 걸리던 것에서 이젠 12시간 이내에 새로운 악성코드로 전환 되는 것을 확인 할 수 있다. 개인 사용자가 사용하는 백신이 업데이트 된다 하여도 웹 서비스에 들어 있는 악성코드 링크가 사라지지 않는다면 최소 12시간 이내에 또 다른 공격을 맞이 하게 된다는 이야기 이다.

싸움은 더 이상 신사의 싸움이 아니며 공개적인 영역까지 침범을 당하고 대응하기 어려운 상태에 빠져 있다. 공격은 광범위하고 폭넓게 퍼져 있다. 현재는 asp, aspx + Ms sql 에 대한 대규모 공격도구가 활성화된 상태이지만 다른 개발언어와 데이터베이스를 향한 도구도 이미 일반적이다. 대규모로 확산 되는 것은 시간 문제일 따름이다.

현실은 앞에서 언급 했듯이 엄중한 현실이나 대책은 현실적으로 역부족일 수 밖에 없다. 공격을 당하지 않기 위해 웹 서비스 단위에서 진행 되거나 할 수 있는 대책은 크게 4가지 정도로 볼 수 있다.

웹 방화벽과 소스코드 검사, 모의해킹, 웹 스캐너 도입을 통한 문제점 해결 과 같은 유형이며 개인 사용자를 위한 대책은 오로지 바이러스 백신 외에는 없는 현실이다. 각 대책 별 문제와 이슈는 간략하게 다음과 같다.

■각 대책 별 문제

전제: 웹 서비스는 잦은 사이트 개편과 갱신이 수시로 발생된다 이 모든 과정에서 보안적인 위험을 걸러낼 수 있어야 하나 현재 보안전문인력을 운영하고 상시적인 검사 프로세스를 갖춘 곳은 국내의 1% 미만의 업체만이 가능한 상태이다. 그 업체의 경우에도 전체 사이트 문제를 수시로 체크 할 수는 없는 상태이며 6개월 혹은 1년 단위로 전체 서비스를 검사하는 정기검진의 형태로만 진행 한다. 웹서비스의 잦은 개편과 갱신을 절대로 따라 갈 수 없는 상태가 된다.

1. 웹 방화벽: 우회 공격에 취약하며 근본 문제 해결이 아님. 비용 및 관리의 문제 발생

2. 소스코드 검사: 시일이 오래 걸리며 전문적인 인력이나 전문업체의 도움을 받아야 됨. 비용과 시간의 문제가 발생됨.

3. 모의해킹: 모의해킹을 통해서는 모든 문제가 발견 되는 것이 아니라 해당 사이트의 권한 획득만을 한 이후 종료 되는 과정이 대부분임. 이후 수정에 대한 피드백 제공 불확실. 비용의 문제 존재

4. 웹스캐너 도입: 상대적으로 고가의 솔루션이며 전문적인 결과가 도출 됨으로 인해 스캐너 결과를 이해 할 수 있는 인력의 도입이 필요하며 스캐너 비용 자체도 외산과 국산 모두 고가의 가격으로 도입에는 부담이 있음. 더불어 즉시적인 검사가 어려움 (개발속도 보다 진단 속도가 늦는 경우가 다수 발생)

이제 대책은 전 세계의 웹 서비스 개발 프로그래머를 일정 수준 이상으로 끌어 올리고 상시적인 점검이 가능한 체계를 어디에서 먼저 구축하느냐에 따라 달려 있다. 상당히 먼 길이 될 것이다.

앞으로의 현실은 오래 전 예상 했던 대로 상상 그 이상의 현실을 보게 될 것이다. -바다란

'Security Indicator > Insight Security' 카테고리의 다른 글

CEO,CTO가 알아야 할 보안 지식 혹은 상식 (0)	2010/09/27
홈페이지 해킹, 악순환의 고리를 끊어라 ( SQL Injection) - p4ssion (0)	2010/09/23
[컬럼] 웹서비스 보안의 불편한 진실 - Mass SQL Injection (6)	2010/08/05
에스토니아, 7.7 DDos 그리고 미래 (0)	2010/06/15
Web 2.0의 위험요소와 대비 문서 (0)	2010/04/27
Web 2.0 시대의 위험요소와 대책 (0)	2010/04/27

Posted by 바다란

TAG Masssql, Masssqlinjection, SQL, sqlinjection, 보안, 해킹

트랙백 1개, 댓글 6개가 달렸습니다

이전 1 2 3 4 5 ... 9 다음

태터데스크 관리자

태터데스크 메시지

'보안'에 해당되는 글 256건

'Security Indicator' 카테고리의 다른 글

'Security Indicator > Insight Security' 카테고리의 다른 글

'Security Indicator > Insight Security' 카테고리의 다른 글

'Security Indicator' 카테고리의 다른 글

Recruiting and developing the 21st century cyber warrior

Epson, HSBC Korea, domain registrar hacked: 100,000 domains affected

덧붙여 SK 컴즈의 해킹 사고에 대해서도 언급을 하고 있다. 해외에서 국내의 이슈에 대해 직접 언급 하는 것으로 볼때 이제 세상에 비밀이란 없고 우리끼리만 아는 것도 없는 것 같다.

공격과 수비의 조합은 절묘해야 팀이 이루어 진다. 공격보다 수비가 어려운 것은 지금의 축구에서도 당연한 일이다.

Android-becoming-windows-of-mobile-hacking-world http://www.itpro.co.uk/635725/android-becoming-windows-of-mobile-hacking-world

'Security Indicator > Security Analysis' 카테고리의 다른 글

'Security Indicator > Insight Security' 카테고리의 다른 글

'Security Indicator > Security Analysis' 카테고리의 다른 글

'Security Indicator > Guide for guru' 카테고리의 다른 글

'Security Indicator > Insight Security' 카테고리의 다른 글

'Security Indicator > Insight Security' 카테고리의 다른 글

'Security Indicator > Insight Security' 카테고리의 다른 글

'Security Indicator > Insight Security' 카테고리의 다른 글

'Security Indicator > Security Analysis' 카테고리의 다른 글

'Security Indicator > Insight Security' 카테고리의 다른 글

'Security Indicator > Security Analysis' 카테고리의 다른 글

'Security Indicator > Insight Security' 카테고리의 다른 글

'Security Indicator > Insight Security' 카테고리의 다른 글

'Security Indicator > Insight Security' 카테고리의 다른 글

'Security Indicator > Security Analysis' 카테고리의 다른 글

'Security Indicator > Insight Security' 카테고리의 다른 글

'Security Indicator > Insight Security' 카테고리의 다른 글

'Security Indicator > Security Analysis' 카테고리의 다른 글

'Security Indicator > Insight Security' 카테고리의 다른 글

'Security Indicator > Insight Security' 카테고리의 다른 글

'Security Indicator > Insight Security' 카테고리의 다른 글

'Security Indicator > Insight Security' 카테고리의 다른 글

'Security Indicator > Insight Security' 카테고리의 다른 글

'IT governance' 카테고리의 다른 글

'Security Indicator > Security Analysis' 카테고리의 다른 글

'Security Indicator > Insight Security' 카테고리의 다른 글

카테고리

태그목록

최근에 올라온 글

최근에 달린 댓글

달력

Android-becoming-windows-of-mobile-hacking-world

http://www.itpro.co.uk/635725/android-becoming-windows-of-mobile-hacking-world