바다란 세상 가장 낮은 곳의 또 다른 이름

5월 2주차 위협분석 ( APT 유형출현)

바다란 — Wed, 16 May 2012 14:24:15 +0900

안녕하세요. 전상훈입니다.

금주의 동향에 대해 총평을 하면 전주 대비 사용자가 직접 노출되는 유포지 수치는 대폭 증가된 형태를 보이고 있습니다. 활발하게 악성코드 유포를 시도하고 있으며 전주까지 사용 되었던 악성링크도 대거 재활용이 되고 있는 상태로서 신규 악성코드 또한 증가된 현황을 보이고 있습니다.

공격을 당한 곳들도 증가하고 있으며 전주에도 언급 하였지만 위협이 줄어든 것이 아니라 대응이 되지 않는 상태이다 보니 계속적인 악성링크의 재활용과 신규 유형들이 유입이 되고 있습니다.

전주까지 확연하게 증가추세를 보였던 Java Applet 취약성 ( CVE 2012-0507, 2011-3544)은 계속 진행 되고 있으며 금주의 공격 부분에는 Flash 취약성 (CVE-2012-0754) 공격코드들도 증가를 하고 있습니다.

현재의 상태로 보면 운영체제에 대한 직접적인 취약성 공격은 빈도가 약해지고 있으며 상대적으로 보안대응이 늦을 수 밖에 없는 Third party application에 대한 공격비율이 매우 높은 것을 볼 수 있습니다. 운영체제의 경우 자동업데이트등을 이용하여 보안성을 일정수준 이상 유지 할 수 있으나 현재까지는 Third party 제품군에 대한 자동업데이트는 그리 활발하지 않은 상황이라 공격 비율이 높아 보입니다.

사내 및 관련부서에 Adobe의 Flash 및 Oracle Java 관련된 취약성의 업데이트를 강력하게 권고를 하셔야 될 상황이며 향후에도 계속적인 관리 포인트를 두셔야 할 것입니다. Flash 최신 버전의 경우에는 자동업데이트 지원이 되고 있으므로 적용을 권고하고 패치가 매우 늦은 Oracle의 경우는 즉시적인 권고를 통해 바로잡아야 합니다.

모든 내부사용자가 인터넷을 이용하지 않는다면 문제가 되지 않습니다만, 현재의 상황은 불가능한 상황이므로 인터넷 상에서 노출되는 위험으로 부터 보호 할 수 있는 방안을 자체적으로 강구해야만 하는 상황입니다. 상대적으로 보안성이 강력한 사이트의 경우에도 배너 및 태그 광고등을 통해 악성코드들이 지속적으로 유입되고 있습니다. 짧게 노출 시키는 것을 계속 반복하는 상황이며 광고의 특성상 수십여개 이상의 사이트에서 동시에 악성코드 유포 효과를 볼 수 있는 형태라 강도높은 주의가 필요합니다.

특징:

- 백신 미탐지 악성코드 유형 대거 출현 (국내외 막론하고 동일합니다.)
- CVE 2012-0507 , CVE 2011-3544 ( Java Applet 신규 취약성) 공격 지속 및 CVE 2012-0754 (Flash 취약성) 공격 증가
- 해외 호스팅 영역을 통한 IP 변경된 공격 지속 및 대학 서비스 중계지 활용 계속
- APT 유형의 드라이버 루트킷 재출현 ( 감염이후 192.168. 대역에 대한 스캔 및 확인 기능) , 국내외 유명게임들의 다수 계정 탈취
- 이전 출현 하였던 악성링크의 재활용 계속 증가 ( 심각한 상황입니다.)
- 배너, 태그 광고 링크에 대한 공격 지속 ( 태그 광고 1곳, 배너광고 2곳 이상)
- Mass sql injection 최초 유형 발견 2곳 시작됨 ( 5.8일 skdjui.com/r.php , 5.13일 koklik.com/r.php )

Mass sql 공격 관련 정보는 http://www.symantec.com/connect/blogs/lizamoon-mass-sql-injection-tried-and-tested-formula 이곳을 참고 하시면 됩니다.

국내에도 빠르게 확산 되고 있으며, 2012-0507 유형이 같이 사용 되고 있으므로 사내의 임직원들에게 강력한 보안 패치 정책을 권고 해야 합니다.

4월 3주차 보고서에서도 웹을 통한 루트킷 ( APT 유형) 유형의 유포에 대해 알려 드렸습니다만, 보다 강화된 형태로 재출현 하였습니다. 시스템상의 드라이버를 교체하는 형태로 루트킷이 설치가 되고 있어서 사후 대응 및 처리에도 상당한 어려움이 있을 것으로 보입니다. 또한 내부 사설망을 스캔하는 형태가 발견 되어 의도가 매우 의심스러운 유형이 유포가 되고 있습니다. 키로깅 이외에 화면 캡쳐 및 녹음기능을 포함한 악성코드 유형도 발견 되었으므로 강도높은 주의가 필요합니다.

각 기술보고서에는 외부 연결 시도를 할 경우 해당 도메인이나 IP가 각각 기술이 되어 있습니다. 해당 정보 참고하여 추적 및 대응에 참고 하실 수 있습니다.

내부망의 사용자 PC가 한대라도 권한 획득을 당했을 경우 그 위험성은 충분히 인지하고 계실 것으로 알고 있습니다. 다양한 대책을 통해 위험을 계속 줄여 나가는 것이 현재 할 수 있는 가장 중요한 일이 아닐까 생각 됩니다.

APT 유형의 악성코드 이외에 게임계정을 노리는 악성코드들이 다수 발견이 되었으며 해당 악성코드들은 윈도우즈 시스템의 시스템 DLL 파일을 변조하여 패킷 전송 시점에 정보를 가로채는 형태로 되어 있습니다. 현재 변조되는 dll은 windows socket 관련된 dll인 ws2help.dll과 safemon.dll 을 대상으로 악성기능을 하도록 변조하고 있으며 대상이 되는 게임들은 국내외 유명게임을 모두 막라하고 있으며 백신 프로세스에 대한 종료코드들도 같이 동작되고 있는 상태입니다.

대상게임: 엔씨 -리니지 , 한게임 -테라 , 넥슨 -메이플스토리,엘소드, 블리자드-와우, CJ인터넷 - 피파온라인, 네오플-던파

대응:

- Java 및 Flash 취약성 공격 코드 증가에 따라 Adobe Update 및 Oracle Java 업데이트 강력 권장

- 해외 호스팅 영역 . 4월 3주,4주,5주차,5월 1주차 차단 권고 영역 유지 필요. - 이전 활용된 악성링크들이 계속 재활용 되고 있습니다.
추가 차단 클래스는 다음과 같습니다. 해당 클래스들은 공격자가 전체 제어권을 가지고 있어서 지속적으로 공격에 활용할 곳으로 예정 되고 있습니다. 차단이 필요한 상황입니다. 주중에도 상시적으로 이용이 되고 있으므로 차단은 강력하게 필요합니다.

205.164.7.[66-75] (USA) - 5월 2주차 추가

50.117.119.0/25
67.213.211.0/25

금주 유포지나 악성링크로 활용된 곳들은 다음과 같습니다.

대학 서비스 중에서는 XXX, XXX 서비스들이 악성코드 중계에 계속 활용 되었고, 팬클럽, 커뮤니티, 언론사,쇼핑몰들이 악성코드 유포에 활용 되었습니다. 언론사 및 대형 쇼핑몰등은 배너 및 태그 광고 서버를 공격하는 형태로 공격이 계속 반복되어 발생 되었으며 피해도도 높을 것으로 예상 됩니다.

*위의 이미지의 한장짜리 요약 보고서는 무료로 받으실 수 있으며 기관/담당자/연락처 기재후 csyong95@kaist.ac.kr 로 신청 하시면 됩니다.

* 본 보안 정보 제공 서비스의 정식 구독 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다.

- 바다란 세상 가장 낮은 곳의 또 다른 이름.

'Security Indicator > Security Analysis' 카테고리의 다른 글

5월 2주차 위협분석 ( APT 유형출현) (0)	14:24:15
5월 1주차 인터넷 위협 분석. (0)	2012/05/09
4월 5주차 인터넷 위협 분석. (4)	2012/05/01
공격자의 전략과 무기력한 대응- 위기의 인터넷 (0)	2011/11/12
해외 보안기사 및 현실에 대한 비평 - 8.25 (0)	2011/08/25
해외 ISP가 악성코드 경유지 주소로 직접 활용된다. (0)	2011/06/26

5월 1주차 인터넷 위협 분석.

바다란 — Wed, 09 May 2012 12:14:53 +0900

5월 1주차 보안 정보제공 서비스는 메일로 전달이 되는 보고서들입니다. 국내.외를 통털어 확인이 어렵고 공개되지 않는 정보들에 대해 분석하고 대책을 마련할 수 있도록 제공되고 있습니다. 제가 메일로 보내는 내용에 대해서는 일부 민감한 내용을 제외하고는 정리를 해드리겠습니다. 현재 우리의 상태와 현실을 아는 기회가 되었으면 합니다.

Mass sql injection과 같은 공개적인 공격들은 아마 본 정보제공에서 최초 공개가 될 수 있을 것이고 그외의 악의적인 링크들은 보고서들에만 기술 될 수 있어서 본 게시물에서는 공개가 불가합니다.

또한 보고서 상에는 악성링크로 활용이 될때에는 원칙에 따라 보고서상에 공개를 하고 있으며 국내의 서비스들이 악성링크에 이용이 된 경우에도 원칙대로 공개됩니다.

본 서비스를 통해서 얻을 수 있는 다양한 활용은 다음과 같습니다.

1. 업데이트에 대한 강력한 권고 ( 이번주는 Java 업데이트 입니다.)
2. 대응을 위한 차단 정책 적용
3. 감염되었을 경우의 사고대응 참고
4. 게임사들은 고객의 계정정보 보호를 위한 다양한 기술적 보호 방안 강구.

위와 같은 활용들이 가능하니 적극 활용 하시기 바랍니다.

------------------------

지난 주 발생 되었던 위협들에 대해 금주 정리를 해보면 예상 되었던 위협들은 그대로 진행이 되고 있습니다.다만 출현 범위는 줄어든 상태를 보이고 있습니다.

전체적으로 공격을 당한 곳들은 동일한 수치를 보이고 있으나 분석 대상에 포함되지 않은 것은 이전에 활용 하였던 악성링크들을 대거 재활용 하는 경향을 보이고 있어서 전체적인 분석 카운트는 줄어들었습니다. 그러나 현재 상황은 위협이 줄어든 것이 아니라 대응이 되지 않는 상황이라서 자유스럽게 공격자들이 재활용을 하는 상황에 도달한 것으로 보고 있습니다.

각 기술분석 보고서들의 분류는 공격하는 취약성 집합에 따라 분류가 되어 있고 Java applet 취약성인 2012-0507 취약성을 단독 이용 하거나 결합된 형태로 이용하는 사례가 증가하고 있습니다. 따라서 지난주 대거 출현 하였던 2012-0507에 대해 분석된 전문분석 보고서 내용을 전달 드리는 것이 바람직해 보입니다.

기술 보고서에는 간략하게 언급이 되어 있지만 전문분석에는 디컴파일된 형태에서 기능과 역할에 대한 부분들이 분석 되어 있습니다. ( 이외에도 다양한 전문분석 부분들이 진행이 되고 있으며 완료 되는대로 순차적으로 해당 서비스 고객들에게 전달 될 예정입니다.)

특징:

- CVE 2012-0507 ( Java Applet 신규 취약성) 공격 계속
- 해외 호스팅 영역을 통한 IP 변경된 공격 지속 관찰
- 국내 대학의 서버를 활용한 악성코드 유포 계속, 파일 공유 및 언론사를 통한 유포시도 감소
- 이전 출현 하였던 악성링크의 재활용 계속 증가 ( 차단이 되지 않으니 계속 활용 되고 있습니다.)
- 배너, 태그 광고 링크에 대한 공격 지속 ( 태그 광고 1곳, 배너광고 1곳)
- Mass sql injection 최초 유형 발견 2곳 시작됨 ( http://uhijku.com/r.php , http://uhjiku.com/r.php )

Mass sql 공격 관련 정보는 http://www.symantec.com/connect/blogs/lizamoon-mass-sql-injection-tried-and-tested-formula 이곳을 참고 하시면 됩니다.

국내에도 빠르게 확산 되고 있으며 본 메일을 작성 하는 시점에도 추가 유형이 발견 되고 있습니다. 2012-0507 유형이 같이 사용 되고 있으므로 전문분석을 참고하시고 사내의 임직원들에게 강력한 보안 패치 정책을 권고 하셔야 할 것입니다. 내부망의 사용자 PC가 한대라도 권한 획득을 당했을 경우 그 위험성은 충분히 인지하고 계실 것으로 알고 있습니다. 다양한 대책을 통해 위험을 계속 줄여 나가는 것이 현재 할 수 있는 가장 중요한 일이 아닐까 생각 됩니다.

대응:

- CVE 2012-0507 공격기법에 대한 전문분석 제공합니다. 단 서비스 신청된 기업/기관에 한정 합니다.
- 해외 호스팅 영역 . 4월 3주,4주,5주차 차단 권고 영역 유지 필요. - 이전 활용된 악성링크들이 계속 재활용 되고 있습니다.

5주차에 권고 드렸던 하기의 차단 클래스는 그대로 금주에도 발생을 하여 유지하며 추가 차단 클래스는 다음과 같습니다. 해당 클래스들은 공격자가 전체 제어권을 가지고 있어서 지속적으로 공격에 활용할 곳으로 예정 되고 있습니다. 차단이 필요한 상황입니다. 또한 저희쪽에서 이 부분을 공개할 경우 공격자들과 계속해서 숨은그림 찾기를 해야 합니다만 .. 각오하고 올리도록 하겠습니다.

5월 1주차 차단 권고 대역

50.117.119.0/25
67.213.211.0/25

4월 5주차 차단 권고 대역
- 211.100.253.0/24 (China)
- 205.164.0.0/24 (USA)
- 69.4.224.0/24 (USA)
- 209.73.156.0/24 (USA)
- 174.127.79.0/24 (USA)

금주 유포지나 악성링크로 활용된 곳들은 다음과 같습니다.

.....중략 (민감한 부분).

또한 어린이날을 맞아 *** 사이트와 같은 곳에서 악성코드를 뿌릴 수 있도록 집중적으로 공격하여 악성코드에 감염을 시키려는 꼼꼼한 면도 공격자들은 보여주고 있습니다.

본 5월 1주차 정보제공 서비스에 포함된 전문분석 보고서는 향후는 서비스 프로페셔널 서비스 이상에만 제공이 되며 , 시범서비스에는 제공이 되지 않을 예정입니다. 참고하세요. 시범 서비스는 순차적으로 1개월 경과시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 받으셔야 보고서가 누락되지 않습니다.

* 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다.

'Security Indicator > Security Analysis' 카테고리의 다른 글

5월 2주차 위협분석 ( APT 유형출현) (0)	14:24:15
5월 1주차 인터넷 위협 분석. (0)	2012/05/09
4월 5주차 인터넷 위협 분석. (4)	2012/05/01
공격자의 전략과 무기력한 대응- 위기의 인터넷 (0)	2011/11/12
해외 보안기사 및 현실에 대한 비평 - 8.25 (0)	2011/08/25
해외 ISP가 악성코드 경유지 주소로 직접 활용된다. (0)	2011/06/26

4월 5주차 인터넷 위협 분석.

바다란 — Tue, 01 May 2012 11:33:00 +0900

5.1일 Mayday .

보안분석 보고서 발송 되었습니다.

서비스 구독 기업 및 기관들께서는 확인이 필요한 내용들이 많이 있습니다.

이런 정보들 어디에서 보실 수 있으시겠습니까?

기술분석 보고서에는 악성링크로 활용된 국내 유명 도메인 및 국내 도메인들도 원칙에 따라 공개 되어 있습니다. 저희의 원칙은 악성링크는 공개한다 입니다. 온라인상 공개는 어렵고 오프라인상의 보고서에서만 가능합니다. 보고서상에는 공개되어 있습니다.

한 주간의 국내 인터넷상의 위험에 대한 실체적 진실과 대응 방향등이 기술 되어 있습니다. 문제는 날이 갈수록 강도가 강해지고 있고 위험성이 더 높아지고 있다는 점입니다.

현실은 참혹합니다. 수면위는 평안해도 수면 아래는 폭풍이 치는 형국입니다.

준비 되지 않고 대응하지 않는다면 앞으로는 더 힘든 상황으로 계속 갈 수 밖에 없음을 보고서를 통해서 직접 느낄 수 있습니다.

4월 5주차 보고서 전체에 대한 간략한 요약은 다음과 같습니다.

-------------------------------------------------------------

본 서비스는 빛스캔의 비트파인더를 통한 악성링크 탐지와 KAIST 사이버보안연구센터의 분석을 통해 산출된 보고서 입니다. 국내에서 발생되는 악성링크와 악성 코드에 대한 구조와 기능에 대한 분석을 가장 빨리 진행 하고 있으며 악성링크에 대한 정보는 가감없이 오픈을 하고 있습니다. 전문 기술인력과 역량의 결합을 통해 국내에서 자체적으로 생산되고 있는 보고서이며 상당히 많은 리소스와 기술이 투입 되고 있음을 유념해 주십시요.

악성링크에 대한 카운트는 동일한 악성링크가 수십곳 이상의 서비스에 들어가 있어도 저희쪽에서는 1로 카운트 됩니다. 즉 60여개 이상의 악성링크를 발견 했다는 것은 수십~수백곳 이상의 서비스들에서 동시에 유포를 하고 있다는 의미와 동일합니다. 그만큼 파급력이 크고 위험도가 높으므로 적극적인 대응이 필요한 부분이 되겠습니다.

금주의 특징으로는 새로운 공격기법의 적극적 활용 ( CVE 2012-0507) 이 출현과 동시에 대규모 활용이 되고 있습니다. 또한 해외 호스팅을 통한 활발한 공격 ( IP 변경을 통해 차단 우회 및 정체를 은닉)이 계속 되고 있습니다.

유명 도메인 자체 및 파일공유 사이트, 대학의 전산원 페이지 까지도 악성파일이 직접 올려져 유포에 활용 하는 형태의 과감함도 나타나고 있어서 향후 어떤 방향으로 위협이 나타날 것인지 심각한 우려를 표합니다. 지금껏 악성코드 유포를 위한 변조들이 있던 서비스들이 직접적으로 악성코드를 서비스 하는 형태로 변경 된 것에 대해 심각성이 높습니다.

4월 5주차 공격 특징:

- CVE 2012-0507 ( Java Applet 신규 취약성) 공격 출현 및 급증

- 해외 호스팅 영역을 통한 IP 변경된 공격 지속 관찰

- 국내 유명 도메인 및 파일 공유 사이트 자체를 악성링크로 활용

- 언론사 기사 항목으로 위장한 악성링크 유포시도 다수 발견 ( 정상 언론사 기사)

- 이전 출현 하였던 악성링크의 재활용 다수 증가 ( 차단이 되지 않으니 계속 활용 되고 있습니다.)

- 배너, 태그 광고 링크에 대한 공격 지속 증가 ( 태그 광고 1곳, 배너 광고 2곳 이상)

- Mass sql injection 최초 유형 발견 ( njukol.com/r.php )

대응:

- CVE 2012-0507 공격기법에 대한 전문분석 완료, 필요시 신청해 주세요.
- 해외 호스팅 영역 . 4월 3주,4주차 차단 권고 영역 유지 및 추가 차단 필요
본 영역들은 공격자가 통제하는 영역이므로 향후 지속적으로 피해가 발생 될 수 있습니다.

- 유명 서비스가 직접 악성링크에 활용된 케이스는 다음과 같습니다.

온라인 상에서는 생략합니다. 상세한 정보는 첨부 기술보고서들을 참고 하십시요.

.....후략

상세한 내용들은 보고서를 참고 하십시요. 보고서의 시범서비스 신청은 기업 및 기관명 / 성명/ 연락처 를 적어서 info@bitscan.co.kr 로 신청 하시면 됩니다. 개인 차원에서는 받으실 수 없습니다.

'Security Indicator > Security Analysis' 카테고리의 다른 글

5월 2주차 위협분석 ( APT 유형출현) (0)	14:24:15
5월 1주차 인터넷 위협 분석. (0)	2012/05/09
4월 5주차 인터넷 위협 분석. (4)	2012/05/01
공격자의 전략과 무기력한 대응- 위기의 인터넷 (0)	2011/11/12
해외 보안기사 및 현실에 대한 비평 - 8.25 (0)	2011/08/25
해외 ISP가 악성코드 경유지 주소로 직접 활용된다. (0)	2011/06/26

권리를 행사하라

바다란 — Wed, 11 Apr 2012 16:32:26 +0900

1시간 30분이 당신이 사는 세상에 책임을 느끼게 해주고 가치를 부여해 줄것이다

4.11오후 4:30분 이제 아직 행동하지 않은 당신의 사회가 침묵으로 당신을 기다린다

권리를 행사하라 지금 이 순간 ..
이 시간이 지나면 또 다시 4년을 기다리고 낭비하게 될것이다

'국제 정치 경제' 카테고리의 다른 글

권리를 행사하라 (0)	2012/04/11
5.23 그리고 현재 (0)	2010/05/24

Malware launch detected !!!

바다란 — Mon, 02 Apr 2012 10:38:55 +0900

- 오늘자 보안인 기고글입니다. 전 주현씨야 인식개선을 위해 워낙 많은 노력을 기울여 오고 계신 분이라 도움을 드리고 싶었는데 이런 형태로 밖에는 아직 안되네요. 참고하세요.

Malware Launch Detected!

바다란 보안컬럼니스트

어찌 보면 지금의 Malware는 인터넷 인프라에서 핵과 같은 폭발력을 지니고 있을 수도 있다. 작은 단초를 무시하면 큰 사고로 이어지는 것은 언제나 당연한 일이다.

1930년대 초 미국의 한 보험회사의 관리자였던 하인리히는 교통사고를 분석해 독특한 법칙을 발견 하였다고 한다. 한번의 대형 사고가 나기 이전에 29번 이상의 경미한 사고와 300번 가량의 징후가 발견 된다는 이른바 ‘하인리히의 법칙’을 발표하게 된다. 이 논리의 핵심은 모든 큰 사고가 발생 되기 이전에는 반드시 징후가 있으며 조짐들이 존재한다는 것이다. 갑작스런 대형 사고는 없다는 점이다. 이 규칙은 지금의 인터넷 세상과 공격자들의 역량에도 동일하게 적용이 될 수 있다.

지금까지 우리가 겪은 수많은 사건 사고들 중 근래 5~6년간 겪었던 공격이나 피해 유출의 사례는 이전과 비교해 얼마나 더 심각성을 띄고 있는지 우리는 인지하고 있을까? 매번 반복되는 피해와 공격에 대해 무감각해진 상태는 아닌지 돌아 봐야 한다. 하인리히의 법칙에서 의미 하듯이 1:29:300의 징후와 사고들에서 우리는 1에 해당하는 대형 사고를 얼마나 많이 겪었던가? 1.25 대란, 3.4 DDoS, 7.7 DDos, 농협의 사고, 그 외 헤아릴 수 없이 많았던 정보 유출 사고들은 모두 사소한 징후라고 볼 수 있을까?

수많은 대형사고들에 앞서 징후들은 분명히 있었고 그 징후를 제대로 보지 못한 문제와 실제 영향을 가지는 대응을 못했기에 계속 발생 되고 있는 상황 속에서 지금 우리는 무엇이 먼저 이고 어떤 것을 중요하게 놓고 진행 해야 하는지에 대해 판단도 어려운 상황이라 할 수 있다.

2007년에 작성하여 공개한 IT서비스의 위험과 향후 대응 의 공개문서에서 언급된 많은 문제들은 그 이후 5년의 시간이 흐른 지금 개선은 말할 것도 없이 공격 기술과의 더 큰 격차 발생으로 심각한 상황에 직면해 있다.

시일이 지난 이야기이지만 지금의 상황도 달라진 것이 없다. MS의 Malware Protection Center의 통계치를 보면 국내의 환경이 어떤 상황인지 좀 더 쉽게 인식 할 수 있다. 이 표에서 언급된 CVE 2011-2110은 Flash Player의 취약성을 이용한 공격으로서 관련 정보는 다음에서 확인 할 수 있다. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2110

2011년 6월에 조사된 데이터이며 그 데이터를 살펴보면 지금 어떤 상황에 처해 있는지 한 단면을 통해 분명하게 확인 할 수 있다.

<ref:http://blogs.technet.com/b/security/archive/2011/07/18/a-very-active-place-the-threat-landscape-in-the-republic-of-korea.aspx >

본 조사결과가 의미하는 바는 Flash 취약성을 이용한 공격에 대해 전 세계의 탐지 데이터를 가지고 비교해 보았더니 한국에서 발생된 공격이 전 세계의 거의 90% 가량을 차지함을 보이고 있다. 또한 모든 급등 기간들은 주말에 집중됨을 알 수 있다. 금,토,일에 걸친 공격의 급등이 전 세계 모든 국가들에 비해 월등함을 확인 할 수 있고 수치 또한 매우 높은 비율을 차지하고 있는 상태이다. 2011년 6월의 조사결과이나 이 현상은 지금도 달라지지 않았고 더 심화되고 있다.

주말마다 급증하는 악성코드에 대한 현상은 일상적인 이야기이지만 MS외에 Kaspersky lab에서 운영하는 Securelist를 통해서 보는 국내의 위험도 동일함을 볼 수 있다.

<ref: securelist.com>

모든 악성코드의 급증한 기간은 주말을 표시하고 있으며 악성코드의 대부분이 트로이쟌 및 백도어, 계정 탈취형 악성코드가 다수를 차지하고 있다. 해외기업들이고 또한 백신에 관련된 기업들의 한계는 명확하다. 악성코드가 발견된 이후에 통계가 누적 될 수 밖에 없으며 최초의 공격코드들이나 백신에 탐지되지 않는 악성코드들에 대한 누계는 심각할 정도로 빠져 있을 수 밖에 없다. 위의 MS나 Kaspersky의 통계가 의미하는 점은 알려진 악성코드에 의한 공격도 주말 집중이 심각할 정도로 높으며 또한 한국 내에 대한 공격이 전 세계에서 가장 높은 비율을 차지함을 보여 주고 있다. 또 다른 통계치는 국내 보안업체인 빛스캔㈜에서 수집한 통계 정보로서 동일한 경향을 확인 할 수 있다.

빛스캔에서 수집된 정보는 악성코드의 종류에 관계 없이 정상적인 웹서비스의 소스코드를 공격자가 변경하여 모든 방문자들에게 악성코드가 배포 되게끔 만들어 주는 Malware link에 대한 통계치 이다. 즉 신규 Flash 공격 코드나 IE, Windows Media, Java에 대한 공격들이 발생 되는 것과 관계없이 위험성에 대해서 인지 할 수 있는 통계라고 할 수 있다. 빛스캔의 통계에서도 주말에 집중된 공격들을 볼 수 있으며 하나의 악성링크에서는 다양한 공격들이 사용자 환경에 맞추어서 발생이 된다.

< 2011.12.1~ 2012.2.4일간의 웹서비스에 추가된 악성링크 발견 수치 >

2011.12.1일부터 2012.2.4일까지의 악성링크에 대한 발견 수치만 보아도 주말 공격은 여전히 계속 되고 있다. 악의적인 링크중 하나에서 사용자 PC로 내려오는 악성코드에 대해서 Virus total을 이용해 탐지여부를 확인한 화면을 보면 43개의 주요 백신에서 5개만 탐지됨을 볼 수 있다.

최근의 공격 동향을 보면 웹서비스에 특정 링크를 실행 되도록 넣어두고 ( 일반적으로는 JS 파일 혹은 html 내에 직접 넣기도 한다. ) 사용자 PC의 환경에 맞춰서 다양한 공격코드를 맞춤 형식으로 공격하여 실제 악성코드를 사용자 PC에 설치한다. 맞춤형식의 공격에 이용되는 취약성들이 IE 취약성, Java 취약성, Windows Media 취약성, Flash 취약성 들이며 현재 공격 성공률은 60%라고 분석 되어 있다. (http://www.boan.com/news/articleView.html?idxno=6335) 즉 10명의 방문자중 무조건 6명 이상은 감염이 된다는 것이다. 이런 악성링크들이 일 평균 방문자가 최소 십만 이상인 사이트들 수십 곳에서 동시에 뿌려진다면 감염 수치는 얼마나 될까? 상상하기 힘든 수치가 나올 것임은 분명하다.

< 공격코드의 구조>

백신에 탐지도 되지 않는 악성코드들이 순식간에 웹 서비스 이용자들 다수에게 전파가 되고 감염이 되는 지금의 시점은 사건의 필요충분 조건을 완벽히 갖추고 있다고 볼 수 있다. 하인리히 법칙에서 말하는 1:29:300에서 1이 발생될 가능성이 매우 높다는 것이다. 이미 300번 가량의 징후와 29번 이상의 경미한 사고들은 이미 발생한지 오래 되었으며 이제 언제 사건사고가 발생해도 이상하지 않은 상황에 처해 있다.

빠른 인터넷 속도와 인터넷을 이용한 상거래의 활성화가 일반적인 한국에서 어쩌면 악성코드의 공격이나 유포가 활발한 것은 당연할 수 밖에 없다. 그렇다면 대응은 어떻게 해야 하는가?

대응을 하는 가장 기본적인 자세는 상태에 대한 인식이 먼저 되어야만 한다. 또한 문제 해결을 위해서는 전략이 있어야 한다. 가장 중요한 것은 문제가 무엇인지를 아는 것부터 일 것이다.

문제는 몇 가지로 간추려 질 수 있다. 취약한 웹서비스 (대규모 유포 방안으로 활용) , 정교해진 악성코드 유포 기술 , 탐지를 우회하는 악성코드 정도이고 이 문제의 해결은 기존의 방안과는 다른 차원에서 접근을 해야 한다. 이미 문제의 해결책과 노력들은 충분히 있었으나 지금까지의 노력으로는 문제를 극복하기가 어려워 보인다. 따라서 방향성 차원에서 변화가 필요해 보인다.

장기적으로는 웹서비스의 안정성 강화가 필수적이지만 잦은 변경과 다양한 서비스 환경은 일정수준의 안정성 강화라는 목표와는 괴리감이 크다. 또한 악성코드의 유포 범위의 제한은 일단 대규모적인 유포를 막고 범위를 좁힌다는 관점이지만 웹서비스를 통한 대규모 유포라는 현재의 상황에서는 현실적인 어려움이 있다. 두 가지 전략적 목표 모두 어려움에 처한 상황을 넘어 설 수 있는 기본적인 대안을 제시하고는 있으나 서비스의 확산이나 인식개선에는 부족함이 있을 수 밖에 없다. 이 문제의 해결을 위해 오랫동안 노력해 왔으나 지금도 부족함이 있다. 가장 중요한 점은 아직도 대부분의 사람들이 현재 상태의 심각성과 위험성에 대해 제대로 인지를 못하고 있다는 점이다. 본 기고 글로 현재 우리가 처한 상황에 대해 진지하게 인식을 하였으면 한다.

- 바다란 세상 가장 낮은 곳의 또 다른 이름

*현재 빛스캔에서는 유포지 확인 서비스 ( 인위적으로 공격자가 추가한 악성링크의 존재 유무 확인 서비스), 취약성 진단 서비스를 온라인에서 제공하고 있으며 각 서비스 모두 단순한 회원가입과 클릭만으로 확인 할 수 있도록 되어 있다. 특히 공익적인 목적을 위해 유포지 확인 서비스의 경우는 무상으로 오픈 되어 있으므로 본인이 관리하는 사이트가 악성코드 유포에 이용 되고 있지는 않은지? 자신도 모르는 외부 링크들이 연결 되어 있지는 않은지에 대해서 확인을 하는데 요긴하게 사용 할 수 있다.

취약성 진단 서비스의 경우 DB 훼손이나 서비스 장애가 발생되지 않도록 구성 되어 있으며 온라인 상에서 모든 URL내의 인자들에 대해서 진단이 가능하도록 되어 있다. 현재 서비스 제공은 유상으로 되어 있으나 서비스 금액 자체는 공익성을 목적으로 하고 있어서 비교하기 어려울 정도로 저가에 제공 되고 있다. 서비스의 이용은 scan.bitscan.co.kr 에서 확인 할 수 있다.

대규모 유포에 대한 탐지 시스템을 내부에서 운영하고 있으며 탐지 내역에 대한 분석은 KAIST 사이버보안연구센터가 담당하고 있으며 분석된 내용들은 연간 서비스 가입 고객에 한해 유상으로 제공 되고 있다. 국내의 심각한 현실과 실질적인 공격에 대한 분석이 이루어 지고 있으며 본 정보제공 서비스에 대한 문의는 info@bitscan.co.kr 로 요청 할 수 있다.

'Security Indicator > Insight Security' 카테고리의 다른 글

Malware launch detected !!! (0)	2012/04/02
21세기판 몽골기병의 침략 (2)	2012/03/26
웹을 통한 악성코드 감염 분석 :디지털 페스트- 2012 (0)	2012/03/06
Malware Detected- 구글 블럭의 문제점 (0)	2012/01/07
Mola Mola와 위기의 인터넷 (0)	2011/11/22
해외 보안 이슈 촌평 및 간략 2011.11.1 (0)	2011/11/01

21세기판 몽골기병의 침략

바다란 — Mon, 26 Mar 2012 10:58:56 +0900

- 지디넷 컬럼

1241년 몽골의 칸인 바투는 헝가리의 왕에게 항복을 하라는 서신을보낸다. 이에 헝가리 왕은 교황에게구원을 요청 하였지만 몽골군의 도착은 더 빨랐다. 유럽의 최강국이었던 헝가리의 군사들과 유럽 최정예 연합 기사단등 무려 20만 대군은 몽골군의 침입에 대항 하였고 결과적으로 처참하게 패하여 유럽에 몽골의 악몽을 깊이 새기게 되었다.

일설에 의하면 몽골 장수인 제베가 이끄는 2000명의 기병이 10만의 기사단을 라이프찌히에서 몰살 시켰다고도 한다. 사실여부를떠나 그만큼 강력한 군사력으로 압도를 한 것은 사실 이였을 것이다. 총 인구 100만에 가용 가능한 병사수가 20만인 몽골은 어떻게 대제국을 이루게되었을까? 또한 중세 유럽의 강력한 왕권국가들은 차례로 그들에게 무릎을 꿇을 수 밖에 없었을까? 우리의 예로는 병자호란시의 쌍룡전투에서 몽골기병 300에 의해 조선군 4만이 패한 것도 예가 될 수 있다. 전술이 없고 전략이 없는 대병력은그냥 제물이 될 수 밖에 없음을 이미 역사에서도 증명을 하고 있을 뿐이다. 그러나 유럽의 기사단 연합은동시대 최고의 역량과 조직화된 집단 이였다는 점에서 차별성을 가지고 있다. 지금의 IT 환경에서 공격과 방어의 입장은 유럽의 기사단 연합과 몽골군과의 대결에 더 깊은 유사성을 가지고 있다.

현재의 IT환경은 또 어떤 부분에서 몽골 기병이 활약하였던 중세와어떤 유사성이 있을까?

< 이미지 출처 http://www.mongolfilm.ru>

2012년인 지금에 이르러 800년가량 지난 이야기를 왜 꺼내는 것일까? 하는 의문을 지녀야 한다.

몽골기병은 이미 또 다른 전장인 사이버상에서는 이미 부활 하였고 활발하게 영토를 넓히고 있으며 거침이 없는 지금의상태에서 누가 상대 할 수 있을 것인가? 비유를 하자면 지금 전 세계를 떠들썩 하게 하고 있는 어노니머스와는격이 다른 세계정복자라고 해야 할 것이다. 눈에 잘 보이지 않으며 강력한 영향력을 갖춘 그들은 아직소수만이 인지하고 있을 뿐이다.

몽골기병의 사례는 13세기나 지금이나 들고 있는 무기만 달라졌을 뿐이지전술과 전략은 달라진 것이 없고 유럽에 새겨진 악몽과 같은 경험도 달라진 것이 없다. 몽골기병의 전술과전략은 지금의 시대에서 인터넷상을 유린하고 있는 공격자들의 전술, 전략과도 맞닿아 있으며 당대 최정예라고이름 붙여진 유럽의 기사단들의 몰락에는 전술적 대응의 실패로 전멸을 초래 하는 것과도 이어져 있다. 우선은 적의 정체에 대해서도 몰랐다는 것이 정답일 것이고 21세기인 지금도 마찬가지 일 뿐이다.

우리는 그들에 대해 얼마나 알고 있는가? 공격자들의 전략.

목축과 수렵으로 단련된 군사들과 대규모 사냥으로 길러진 조직적인 전술 행동력과 능수능란한 작전이 겸비된 그들앞에 온갖 철갑을 두르고 긴 창을 지닌 기사단들이 나타난다. 둔탁하고 느리며 정면승부만을 고집한다. 그들은 기사단을 둘러싸고 포위한 채로사정거리가 긴 활을 수시로 대열 속으로 발사를 하고 틈이 생겼을 경우에는 일거에 돌입하여 대열을 흐트러뜨리고 격파를 한다. 영화에서나 보던 이런 장면은 눈에 잘보이지는 않으나 인터넷상의 활발한 공격 흐름에서도 손쉽게 관찰이 되고 있다. 역할 분담이 된 공격자들과 수시로 빈틈을 노리고 배회하는 취약성 공격들.. 그러다 한 곳이라도 빈틈이 발견되면 일거에 점령하고 무장해제를 시킨다. 공격자들로부터 지키기 위해서는 모든 부분을 일정수준 이상 유지해야 하고한 눈이라도 잠깐 팔았다간 순식간에 제어권은 넘어가고 만다.

몽골기병의 특징은 다음과 같다.

기동성 , 무기 (강한활), 전술 (유인과 기습)

21세기판 몽골기병의 특징도 다를 바가 없다.

기동성 ( 관리자를 농락하는 치고 빠지기 ) , 무기 ( 강력하고 직접적인 취약성 공격), 전술 (악성코드의 대량 유포 및 탐지 회피 )

최소 4개국 이상으로 구성된 연합 기사단은 지금의 보안 분야의 대응정도 될 것이고 몽골기병은 현재의 인터넷을 유린하고 있는 공격자 정도 될 것이다.

공격자들이 너무나도 빨리 다녀가는 바람에 왔다 갔는지도 모르는 지금의 상황은 유럽을 휩쓸던 몽골기병이 칸의 죽음으로본국으로 귀국하여 사라진 그때처럼 정체도 몰랐었던 중세의 유럽과 다를 바가 없다. 신무기 ( 새로운 취약성)를 적극적으로 받아들이고 연구하며 치고 빠지며 기습을 하는 악성코드 유포 전략,하루에도 수 차례 이상을 침입하여 유포 경로를 변경하고 조작하는 기동성으로 무장한 공격자들은 거칠 것이 없다. 하물며 공개적으로 세계적인 기관과 기업들을 해킹하고 공개하는 어노니머스와 같은 그룹도 있는 판국에 그들보다몇 수 위인 공격자들은 조용히 그들의 실익을 챙겨가고 있다.

당대 최고로 구성된 기사단의 전멸은 많은 점을 시사한다. 같은 부류의싸움에서는 보다 튼튼한 장갑과 긴 창으로 무장하고 정면 충돌을 통해 우위를 점할 수 있다. 그러나 전략이다르고 근본적 구조가 다른 그룹과의 충돌은 치명적일 수 밖에 없다. 보다 뛰어난 사정거리의 활, 기마에 숙련된 환경, 사냥을 통해 길러진 협력 전술은 마치 기사단을사냥감처럼 구석으로 몰아 세우고 결국에는 전멸을 시키는 모양새와도 유사하다.

우리의 현실.

보다 강력한 시스템 보호 환경을 위해 잦은 업데이트를 하고 최신 판단 기술로 완벽한 보호를 다짐하고 있는 다양한보안 체계들이 있다. 그러나 공격자들은 상시적인 보완이 느릴 수 밖에 없는 Application에 대한 직접적인 공격과 권한 획득, 악성코드탐지 시스템의 우회와 회피를 통해 순식간에 침입을 하고 그 침입을 통해 목적을 달성한 이후 유유히 사라져 간다. 사라져간 이후에나 중무장을 한 전문가들과 보안제품들은 공격자를 추적하기시작한다. 이미 거기에는 쓰레기와 같은 접속 흔적만이 남아 있다.

왜 전 유럽이 몽골의 기병에게 유린 당했는지는 여러 의견들이 있겠지만 기동성과 전략, 뛰어난 무기가 큰 역할을 했음은 분명하다. 21세기인 지금의 현실도달라진 것은 없다.

< Securelist.com - Korea Stat >

주말마다 공격을 반복하는 공격자들의 흔적은 비단 다른 통계를 들지 않더라도 백신 회사인 카스퍼스키랩의 통계만을보아도 확인 할 수 있다. 대부분 트로이쟌과 키로깅, 백도어들이 유포되고 있으며 전 세계적 비율에서도 가장 월등한 비율이 한국에서 나타나고 있다. 분명한 것은 이 수치도 빙산의 일각일 가능성이 매우 높다는 점이다. 백신의 특성상 발견 이후 대응까지는 일정 시일이 소요 될 수 밖에 없기 때문이다.

< 빛스캔㈜ 발표- 실제로그 분석을 통한 악성코드 공격 성공률 - 60%>

위의 발표 내용을 보면 새벽 3시간 동안의 소규모 사이트 공격을 통해서도 34천대의 좀비 PC를 확보 하는 것을 확인 할 수 있다. 공격 성공률은 60%에 육박함을 확인 할 수 있다.

공격자들이 취약한 웹서버를 공격하여 얻는 이득은 4~5년 전만 하여도데이터베이스에 있는 정보를 탈취하여 팔거나, 내부에 침입을 하기 위한 경로 확보 목적이 다수였으나, 지금은 그 목적이 아니다. 이미 저장된 정보의 대부분은 탈취 되었거나보다 더 높은 가치를 가지지 못하기 때문이다. 공격자는 더 높은 가치를 가지고 있는 부분으로 공격 대상을전환 하였고 그 목적에 맞게 웹서버를 침입하고 (특히 방문자들이 많은 사이트가 대상이 된다. ) 악성코드를 사용자에게 배포 할 수 있도록 소스코드에 악성링크를 살짝 추가한다. 이후 정상적이라 믿는 웹 서비스에 접근 하는 모든 사용자들에게는 악성코드가 배달이 된다. 그리고 그 악성코드들은 사용자의 키입력과 ID/ Password를 부지런히 수집하고 전달 한다. 수익은 그이후에 발생이 될 뿐이다.

무엇이 필요한가?

공격자들이 떠난 이후에 둔한 움직임으로 그들을 추적하는 대군은 항상 뒤만 쫓아 다닐 수 밖에 없으며 기습적인공격에 의해 수시로 피해를 감내 할 수 밖에 없는 상황에 직면하고 있다. 그들이 떠난 자리에 폴리스라인을 쳐둔들 잡을 수 있겠는가? Chrome 브라우저에서 웹서핑시 나타나는 Malware Detected라는 붉은 경고로 공격자들의 기동성을 막기 위해서는모든 접근 가능한 웹 서비스에 대해 접근 금지를 해야만 가능 할 것이다.

지금 그들을 이겨내기 위해서는 전술의 변화와 발상의 전환이 심각하게 요구된다.

웹서비스의 문제점을 수시로 찾아내어 보완하는 프로세스와 도구 혹은 서비스가 필요하며 초기 단계에서 악성코드의확산을 감지하고 차단 할 수 있는 선제적 대응 도구가 절실히 필요하다. 그것이 공격자들이 가진 역량을이길 수 있는 무기이며 공격효과를 반감 시키는 변화가 될 것이다. 아직 시작도 되지 않은 대응일 뿐이지만 오래지 않아 출현하게 될 것이다.

지금 21세기판 몽골 기병들은 거침없이 그들만의 정복을 하고 있을뿐이다. 어쩌면 한국을 대상으로체계적인 훈련을 하고 있는 것인지도 모를 일이다. 그들이 무대를 옮기는 순간 정복은 한 순간이 될 것이다. 우리는 그 다음을 준비해야 하고, 지금의 현실을 극복할 방안을 마련해야만살아 남을 수 있을 것이다.

-바다란 세상 가장 낮은 곳의 또 다른 이름

'Security Indicator > Insight Security' 카테고리의 다른 글

Malware launch detected !!! (0)	2012/04/02
21세기판 몽골기병의 침략 (2)	2012/03/26
웹을 통한 악성코드 감염 분석 :디지털 페스트- 2012 (0)	2012/03/06
Malware Detected- 구글 블럭의 문제점 (0)	2012/01/07
Mola Mola와 위기의 인터넷 (0)	2011/11/22
해외 보안 이슈 촌평 및 간략 2011.11.1 (0)	2011/11/01

웹을 통한 악성코드 감염 분석 :디지털 페스트- 2012

바다란 — Tue, 06 Mar 2012 15:54:07 +0900

* 본 내용은 국내에서 처음으로 발견된 공격자의 악성코드 감염에 대한 성공률을 나타내는 최초의 자료이며, 현 시점의 정확한 데이터를 포함하고 있습니다.

하루에 좀비 PC를 몇대를 만들 수 있는지는 단지 공격자의 의지에 달렸을 뿐인 지금의 상황을 정확하게 보시길 바랍니다. 방문자 10명중 6명이 감염이 되는 지금의 시대는 말 그대로 혼란이겠죠. 겉으로는 평온해 보여도 속으로는 매우 심각한 상태인데 이제 언제든 밖으로 드러나도 이상하지 않은 상황이 되어 버렸습니다.

우리의 인터넷의 현 주소입니다. 방문만 하여도 열에 여섯은 감염 되는 현실이 중세의 페스트가 아니고 무엇일까요? . 예전에 지디넷 컬럼으로 썼던 디지털 페스트의 현실화를 입증하는 데이터네요.

자..그럼~
-----------------

국내의 웹 서비스를 통한 악성코드 유포와 감염에 대한 실태 – 2012년 2월 11일 사례 조사

공동 분석 기관: 빛스캔 – KAIST 사이버보안연구센터

2012년 1월부터 빛스캔㈜에서는 KAIST 사이버보안연구센터와 공동으로 웹 서비스상에서의 악성링크 판별과 사용자 PC에 설치되는 최종 악성코드에 대해서 분석을 진행해 오고 있다. 공동 분석을 진행 중 2012년 들어 악성코드 유포 행위가 가장 극심했던 2월 11일 새벽에 공격자가 생성한 흔적(로그)을 발견하게 되었고, 이 로그에는 유포 시간대에 접속한 모든 사용자에 대한 기록들이 저장이 되어 있었다. 로그를 분석한 결과 국내에서 몇 년 전부터 꾸준하게 발생되어 오고 있는 웹서비스를 통한 악성코드 유포가 얼마나 많은 효과를 거두고 있으며 왜 지금도 멈추지 않고 계속 되고 있는지를 확인 할 수 있었다. 2월 11일 새벽 3시간 동안 발생된 기록의 단면을 통해 국내의 악성코드 유포에 대한 피해여파와 대책의 효율성에 대해 고려해야 할 시점이다.

일반적으로 공격자들은 공격의 효과와 유효성 검증을 위해 접속자에 대한 로그를 항상 유료화된 통계 사이트로 전달해 오고 있어서 공격의 효과를 대응 측면에서 판단하는 것이 매우 어렵고 공격의 전체적인 규모를 파악하는 것이 불가능하였다. 또한 여러 사이트를 동시에 해킹 하고 악성코드 유포를 시도한 이후에 통계 사이트를 통해 관리와 기록을 함으로써 공격의 효율성을 높이고 있는 상황에서 실질적인 공격의 피해와 범위를 살펴 보는 것은 사실상 불가능한 부분이라 할 수 있다. 본 분석의 결과로 국내에서 일상적으로 발생 되고 있는 웹 서비스를 통한 악성코드 유포의 심각성에 대해 환기가 되었으면 한다.

<공격자들이 주로 사용하는 통계 사이트 – Referer 체크를 통해 접속자 실시간 관찰>

2월 10일부터 12일까지(3일) 최근 몇 년 이내에 가장 큰 규모로 다양한 악성코드를 유포한 주말기간 이였으며 이 당시에 발견된 악성 링크들만 30여 종 이상이고 특히 하나의 악성링크가 50여 곳 이상의 웹서비스들에서 중계되는 사례도 발견이 된 시기이다. 이번에 발견된 공격흔적은 이 중에서도 소규모에 해당하는 서비스들을 공격하여 감염을 시킨 흔적들이며 중소 언론사 한곳과 게임 커뮤니티 사이트 두 곳의 방문자들에게만 감염이 되도록 되어 있었다. 다른 큰 규모의 공격들에 대해서도 분석이 된다면 국내의 실질적인 현실에 대해서 보다 더 정확하게 인지 할 수 있겠으나 공격자의 실수가 없다면 파악을 한다는 것은 절대적으로 불가능한 사안이다. 우리는 이 작은 사례를 통해서 국내의 IT환경에 대한 직접적인 위험을 인지해야 하며 적극적인 대책을 적용 해야만 할 시기에 직면했음을 알아야 할 것이다. 전체의 피해 사례는 더 크고 대규모 일 수 밖에 없다. 지금 이 순간에도 말이다.

로그파일의 사이즈는 55M , 활성화된 시간은 2012년 2월 11일 00:23:46 ~ 03:24:30 이며 총 3시간에 걸친 기록이다. 총 로그의 카운트는 270,384회이다.

중복된 방문자를 제외한 Unique IP의 수치 통계는 다음과 같다. ( AWSTAT 활용한 통계)

Summary

Reported period	Month Feb 2012
First visit	11 Feb 2012 - 00:23
Last visit	11 Feb 2012 - 03:24
	Unique visitors	Number of visits	Pages	Hits	Bandwidth
Viewed traffic *	56,995	57,380 (1 visits/visitor)	125,210 (2.18 Pages/Visit)	126,606 (2.2 Hits/Visit)	1.01 GB (18.38 KB/Visit)
Not viewed traffic *			36,517	143,776	158.92 MB

웹로그 27만 여개 중에서 고유 방문자는 56,995명이며 해당 방문자들은 평균 2회 가량의 페이지를 자동으로 방문한 것으로 나오고 있다.

고유 방문자가 실제 감염 대상으로 볼 수 있으며 해당 악성링크 사이트에 존재하는 exe 파일을 제한 없이 사용자 PC에 설치된 횟수가 악성코드 감염 PC 갯수로 판단할 수 있다.

최종 고유 방문자 대비 성공 비율은 60%선을 보이고 있다. 결론적으로 소규모 사이트 두 곳 만을 이용한 공격이며 더구나 새벽시간대의 3시간 가량의 악성링크 노출만으로도 공격 성공률 60%와 3만 4천대 이상의 좀비 PC를 확보 하고 있음을 증명하고 있다. 방문자가 더 많은 대규모 사이트들에 대한 공격도 이 시기에 동시적으로 발생 하였으므로 감염 수치는 추산하기 어려울 정도이며 놀랄 만큼 많은 대규모 좀비 PC를 확보 하고 있을 것으로 추정이 가능하다.

유포된 악성파일 자체는 게임계정 탈취와 키로깅을 주목적으로 하고 있으며 국내 주요 백신에서는 탐지가 되지 않음을 확인 하였다. 공격 코드는 IE 버전별 Flash 취약성, IE 자체의 취약성, Windows Media Player 취약성, Oracle Java 관련 취약성이 활용 되었으며 본 로그 상에서는 Oracle Java 관련 취약성 공격 성공률은 1385회 정도를 보이고 있다. 그 외의 IE, Flash 취약성과 Windows Media Player관련 취약성 공격이 공격 성공의 대부분을 차지하고 있음을 알 수 있다.

< 방문자의 취약성별 악성코드 감염 구조도(예시) >

사용자의 Flash 버전 및 IE의 버전, java, Windows Media player에 대한 공격코드가 각각 방문자의 PC환경에 맞추어서 공격이 발생되도록 되어 있고 최종적으로는 악성파일을 방문자 PC에 설치하여 좀비 PC로 만드는 것을 목적으로 하고 있다. 공격된 취약성의 종류는 다음과 같다.

사용 취약점(CVE)

CVE-2012-0003 MIDI Remote Code Execution Vulnerability

CVE-2011-3544 Oracle Java Applet Rhino Script Engine Remote Code Execution

CVE-2011-2140 Adobe Flash Player MP4 sequenceParameterSetNALUnit Vulnerability

CVE-2010-0806 IE Remote Code Execution Vulnerability

좀비 PC를 만들기 위해 공격자들은 환경에 맞는 공격코드들을 세트 형식으로 운용을 하고 있으며 방문자의 다양한 PC 환경에 맞추어 여러 취약성들을 나누어서 공격하도록 되어 있다. 최종적으로는 악성코드의 설치에 여러 취약성을 이용하는 형태를 띄고 있다. 더구나 이 모든 악성코드들은 국내의 사용 비율이 높은 백신들에 대해서는 이미 우회 테스트를 한 상태에서 내려와서 실시간 대응은 매우 어려운 환경이며 악성코드 파일 자체가 다운로드 된 것은 제한 없이 방문자 PC를 좀비 PC화 했다는 것을 의미한다. 각 취약성에 대한 보안업데이트들은 충분히 나와 있으나 현재 상태에서도 국내의 일반적인 PC 환경은 업데이트 미비로 인한 피해도가 매우 높음을 알 수 있다. 업데이트가 출현한 상태에서도 성공률이 60%인데, 업데이트도 나오지 않은 제로데이 공격이면 성공률은 90% 이상으로 높아질 것으로 보인다. 그러나 현재 상태에서도 충분히 공격자는 소기의 목적을 달성 하고 있다고 볼 수 있다.

l 분석 데이터

접속횟수의 기준은 레퍼러(Referer)를 기준으로 한 수치이며 중소 IT 전문 언론사를 통한 새벽 시간대의 유입도 상당히 높은 수준임을 볼 수 있다. 더불어 게임 커뮤니티의 접속은 공격 시작 시간이 새벽임에도 불구하고 접속률은 매우 높은 통계를 보이고 있다.

동 시간대의 접속 국가별 통계는 다음과 같다.

<접속 IP 통계 >

국내 IT관련 언론사 한 곳과 국내의 게임 커뮤니티 사이트에 대한 공격이라 92% 이상의 접근 IP가 국내의 IP임을 확인 할 수 있다. 방문자들의 운영체제 비율은 95.2% 가량이 Windows 운영체제임을 보이고 있다.

악성링크에 연결된 브라우저별 접근 정보는 다음과 같다.

여전히 국내에서는 Windows 플랫폼과 Internet Explorer의 사용비율이 높음을 볼 수 있다. 그리고 본 통계치는 공격자에 의해 수집된 로그를 기반으로 하였고 특정 커뮤니티와 제한된 시간이라는 제약이 있어서 전체적인 평균을 대변 하기는 어려움이 있는 자료이다. 최근 공격 동향으로는 Flash에 대한 공격이 매우 자주 발생 되고 있고 계속 변화되고 있어서 비단 IE와 Windows 의 사용비율이 높다고 하여 감염이 높은 것으로 보기에도 어려움이 있다.

긴급하게 국내의 PC 환경에서 필요한 부분들은 각 어플리케이션에 대한 업데이트가 필요하며, 업데이트 출현 이전이라도 (Flash와 Java의 경우) 공격이 발생 되었을 경우 차단 할 수 있는 방안들에 대한 진지한 모색이 필요하다. 사후 대응으로는 현재의 심각한 상황을 넘기기엔 힘겨워 보인다.

결론적으로 악성코드 감염 비율로 살펴 보았을 때 Flash, IE, Java, Windows Media에 대한 복합화된 공격의 성공률은 현재 60% 수준으로 볼 수 있다. 공격자들은 단일 취약성을 공격하는 것이 아닌 여러 취약성을 동시에 공격하여 이 중 하나만 문제가 있어도 바로 권한을 획득하는 형태로 공격 형태가 갖추어져 있으며 그 결과로 악성코드를 중계하는 모든 웹서비스의 방문자중 60% 가량은 좀비 PC화가 된다. 국내의 대규모 커뮤니티 및 파일 공유 사이트의 방문자들중 60% 가량은 좀비 PC일 가능성이 매우 높다는 것을 증명하는 최초의 증거이다. 문제 원인으로는 여전히 각 취약성별 업데이트가 제대로 이루어지지 않고 있다는 것과 국내에서 주로 사용 되고 있는 백신 제품들에 의한 차단 효과가 그리 높지 않음을 의미 하며, 또한 Java와 Flash 같은 개별 제품의 업데이트에 의존하는 어플리케이션들도 지금과 같은 수동적인 업데이트 방식과 늦은 대응으로는 한계가 있을 수 밖에 없다는 것을 증명한다.

악성코드 및 악성링크에 대한 공동 분석을 주도 했던 전 상훈 빛스캔㈜ 기술이사는 “ 그 동안 알려지지 않았던 웹을 통한 악성코드 유포의 결과와 위험성에 대한 실제적인 데이터가 발견 되어 국내의 상황이 생각보다 심각함을 확인 할 수 있었고, 현재의 대응 수준보다 더 선제적이고 빠른 대응이 시급하게 요구 되는 상황이다.” 라고 분석의 결과와 의미를 정리 하였다.

* 국내 환경에서 발생되는 실질적인 공격과 위험성에 대한 조사와 대응을 위해 빛스캔㈜와 카이스트 사이버보안연구센터에서는 공동으로 위협정보 제공 서비스를 3월부터 운영을 할 예정입니다. 제한된 고객사 (기업, 기관 등의 실무 보안조직과 운영 조직이 있는 경우에 필요한 정보임)에 한해 유상으로 서비스를 시작 할 예정이므로 샘플 보고서와 서비스에 대한 안내가 필요한 기업은 info@bitscan.co.kr 로 메일로 문의 바랍니다.

'Security Indicator > Insight Security' 카테고리의 다른 글

Malware launch detected !!! (0)	2012/04/02
21세기판 몽골기병의 침략 (2)	2012/03/26
웹을 통한 악성코드 감염 분석 :디지털 페스트- 2012 (0)	2012/03/06
Malware Detected- 구글 블럭의 문제점 (0)	2012/01/07
Mola Mola와 위기의 인터넷 (0)	2011/11/22
해외 보안 이슈 촌평 및 간략 2011.11.1 (0)	2011/11/01

신규 인력 채용 - 빛스캔: 세상을 바꾸는 플랜

바다란 — Thu, 01 Mar 2012 15:46:04 +0900

그동안 소수 정예로 유지해오던 빛스캔이 비지니스 범위 확장과 신규 서비스 런칭에 따른 보안 인력을 채용 합니다. 사실상 첫 채용이며 함께 혁신을 꿈꾸는 열정적인 사람을 희망하고 있습니다.

현재 빛스캔은 서비스를 통한 세계시장 진출과 혁신적인 아이디어로 세상을 바꿀 플랜을 기획하고 실현 중에 있습니다.

특전:
* 국내 및 세계 최초의 악성링크 및 샘플을 마음껏 구경 하실 수 있습니다.
* 세계 정복의 실현을 목격 하실 수 있습니다.
* 본인의 의지에 따라 과도한 레벨업을 하실 수 있습니다.
( 분석 할 대상이 널렸는데 ..의지만 있다면 충분히 가능한 거죠.)
* 학력, 성별, 연령 제한 철폐 기업입니다.
* 악성링크나 악성코드 발생 주기에 따른 근무 패턴 입니다. ( 주말근무 , 주중 휴무도 가능 할듯..)

- 기본적인 보안에 대한 지식과 열의, 악성코드 분석에 관심 있는 분들의 지원 바랍니다.

Mail : info@bitscan.co.kr

빛스캔㈜ 정규직 모집 요강

1. 담당 업무: 웹 보안 전문가, 악성코드 분석가, 전산운영 관리

2. 고용 형태: 정규직 (1명)

3. 급여 조건: 회사 내규에 따름(면접 후 결정)

4. 자격 요건
A. 경력: 신입, 경력
B. 학력: 제한 없음
C. 성별: 무관
D. 나이: 제한 없음
E. 특이사항: 병역필 또는 면제자, 해외 여행시 결격사유가 없는자, 주말(휴일)근무 가능자

5. 주요 업무
A. 웹 취약점 분석 및 대응
B. 악성코드 유포 수집, 모니터링, 분석 및 대응
C. 침해 사고 대응

6. 근무지: 당사 사무실 ( 도곡동 )

7. 우대 사항
A. 웹 보안 및 악성코드에 대한 관심과 의지를 가지고 계신 분
B. 자기 개발 의지가 뛰어나고 성실한 분

8. 접수 방법: 이메일(info@bitscan.co.kr)

9. 전형 방법: 서류전형 -> 면접

10. 회사 소개
당사는 웹보안 전문 벤처 기업으로 Saas 기반의 웹 취약점 분석 서비스와 악성코드 유포지 탐지 서비스를 국내에서 제공하고 있으며, KAIST와 연계하여 온라인 위협 보안 정보 구독 서비스도 제공할 예정입니다. 특히, 일본 보안 시장에도 당사의 서비스를 수출한 바 있습니다

'IT governance' 카테고리의 다른 글

신규 인력 채용 - 빛스캔: 세상을 바꾸는 플랜 (0)	2012/03/01
KAIST, 구글보다 빠른 악성코드 탐지기술 개발 (0)	2011/03/15
인맥(InMc). 왜 인텔은 맥아피를 9조원에 인수 했나? (2)	2010/08/20
인터넷 종량제의 포기 시사관련 (0)	2010/07/07
발전의 한계를 넘어라 - 컨텐츠가 대안 (0)	2010/07/07
기로에선 무선인터넷 - 칼럼 (0)	2010/07/07

고급 보안 정보 제공 서비스 시작

바다란 — Wed, 08 Feb 2012 18:39:19 +0900

KAIST와 협력으로 정보제공 서비스를 시작 합니다.

그동안 페북에 올린 감질나는 짤막한 정보만 보셨죠? ( 페북 http://www.facebook.com/p4ssion )
화끈하게 국내의 위험 정보에 대해서 선별된 고객들에게만 제공 하고자 합니다. 이제 프로세스 구축 되었고 서비스로 제한된 제공을 하고자 합니다.

국내의 한주간 공격 동향 ( 웹을 이용한 악성코드 유포 현황)
특정 공격 기술에 대한 심화 분석.
악성코드 유포 기법에 대한 기술적 분석

이상의 세 가지 보고서 유형이 제공 될 예정입니다. 최소 한달에 4회 가량 제공이 됩니다.

보고서 분류는.

주간동향 보고서 :

주간 단위의 공격 변화와 흐름에 대해서 나타내며 공격에 이용된 기법들에 대해 개략화된 정보를 제공 합니다. 국내 유포 현황도 일부 공개 되며 해외에서의 동향도 전달될 예정입니다.

기술분석 보고서:

웹을 통해 유포되는 악성코드 배포에 대한 구조도와 구성에 대한 분석 보고서 - 기본적인 악성코드에 대한 분석 진행 됩니다.

전문분석 보고서 :
새로운 공격기법이나 신규 유형의 exploit 기법 출현시 상세 분석하고 악성코드 분석 보고서 입니다.

세 종류이며 차등하여 제공 될 수 있도록 준비를 하고 있습니다.

위기의 인터넷이고 문제가 심각하다는 여러 의견과 컬럼들을 써왔는데 제한적으로 쓸 수 밖에 없었습니다. 이제는 그 문제를 해결 하고 화끈하게 보여 드리도록 하겠습니다.

빛스캔은 소스를 제공하고 카이스트 사이버보안연구센터에서 전문 분석을 한 내용들을 서비스 형태로 제공 하고자 합니다. 여기서 분석이 진행되는 악성링크 혹은 악성코드들은 국내 혹은 세계적으로 가장 최신의 공격 유형을 입수한 내용을 의미 합니다. 공격 유형에 대해서도 가장 빠른 정보를 받고 분석을 할 예정입니다.

물론 무료가 아니고 유료 입니다. 수익은 보다 정확하고 신속한 정보 분석을 위한 전문 인력 양성과 기술 확보에 재 투입 될 예정입니다.

개인이 받으시기에는 부적절하며 보안부서가 있는 기업, IDC, ISP , 기관, 게임 및 포털 기업들에게 유용한 정보가 될 수 있을 것입니다. 더불어 한국의 인터넷 위협에 대한 리얼한 실상을 보실 수 있을 것입니다.

분석보고서의 예는 이미지로 올린 파일처럼 1.21일 발견된 Windows Media Player에 대한 공격에 대한 전문 분석은 1.25일 완료 되었고 기법과 추가적 공격에 대한 내용들이 들어가 있습니다. 발견과 분석자료 모두 최초의 자료 들입니다.

또한 기술분석에는 지난 주말에 최초로 포착된 Flash , IE , Java, Windows Media 취약성 공격이 복합화된 정보를 포함 하고 있습니다.

관심 있으신 기업이나 기관은 소속을 알려 주시고 메일을 주십시요. 샘플 보고서를 전달해 드리겠습니다. 메일은 p4ssion@gmail.com 입니다. 기관에 따라 별도 정보 제공도 가능합니다.

'Security Indicator' 카테고리의 다른 글

고급 보안 정보 제공 서비스 시작 (0)	2012/02/08
애플과 구글의 밀월 시작되다. (0)	2012/01/12
History of p4ssion (바다란) (2)	2011/12/06
진짜 SaaS (Security as a service)의 시작에서 (0)	2011/09/01
wmf 이미지 공격을 통한 대규모 피해 우려 (0)	2010/04/27
Top 25 프로그래밍 에러 (0)	2010/04/27

애플과 구글의 밀월 시작되다.

바다란 — Thu, 12 Jan 2012 12:01:51 +0900

-지디넷 컬럼입니다.
스티브 잡스의 존재와 협력은 여러 의미를 가진다. 잡스 시절의 애플은 폐쇄적이고 독자적인 영역을 가지려는 방향이 매우 강했고 실제로도 그렇게 했다. 잡스 이후의 애플은 어떨까?

애플과 구글은 모바일 분야를 중심으로 강력한 라이벌 구도를 유지해 왔기에 양사에게 협력이라는 단어가 썩 어울리는 편은 아니다. 이러한 거대기업들이 협력을 시작 했다면 IT 세계의 흐름은 어떤 식으로 흘러 갈 것인지 예측 하기가 매우 어려워진다. 특히 그 분야가 보안 측면이라면 변화의 폭은 매우 커질 수도 있는 문제이다. 은밀한 밀월은 조용히 시작되었다.

애플과 구글의 전략적 차이점은 다음과 같다.

애플의 iOS는 폐쇄형으로 독자적인 생태계를 유지해 생존했고, 구글의 안드로이드는 오픈 플랫폼으로 자유도를 부여함으로써 비중을 높이는 전략을 사용해 모바일 시장에서 성장했다. 다른 방식으로 성장한 양사의 플랫폼에서 협업이 이루어 진다는 것은, 다른 기업들에 재앙의 시작이 될 수도 있을 것이다. 비단 보안뿐 아니라 산업 전체의 측면에서 말이다. 이미 변화가 시작됐다는 것을 알아채고는 있을까?

지난 2011년 10월, 애플 iOS에 작은 변화가 있었다. 아직 이를 눈치채고 있는 사람은 그리 많지 않아 보인다. 이 변화의 시작은 사파리 브라우저를 통해 시작되고 있으며 애플의 아이튠즈(iTunes)에서도 미세하나마 변화가 적용되기 시작했다. 그 내용은 구글이 2006년부터 데이터와 비용을 제공해 운영 중인 사이트 ‘스톱배드웨어(Stopbadware)’로부터 시작이 된다. ‘세이프브라우징(Safe Browsing)’이라는 이름으로, 인터넷 서핑 중에 악성코드 감염 가능성이 있는 도메인을 사용자에게 알려줌으로써 위험성을 사전에 인지하도록 하는 것이 주된 목적이다.

▲ 구글 크롬의 세이프브라우징 경고

■웹으로부터 시스템을 보호하라

그렇다면 왜 애플의 사파리 브라우저는 구글의 세이프브라우징 데이터를 이용하는 것인가?

그 이유는 무선 환경에서의 웹서핑도 (유선과) 동일한 위험에 노출된다는 것을 인정 했기 때문이다. 사파리를 이용한 웹 기반 탈옥은 2010년에 이미 증명됐고 웹 서핑만을 통해서도 기기에 대한 탈옥과 설정 변경이 자유롭다는 것이 증명된 바 있다. 애플리케이션(이하 앱)을 통한 위험과는 차원이 다른 위험에 직면한 것이다.

▲ http://www.jailbreakme.com/ - 사파리 브라우저를 통해 방문만으로 탈옥이 가능함을 입증

단언컨대 지금껏 애플에 대한 공격이 그리 심하지 않았던 것은 그럴만한 가치가 없었기 때문이지 문제가 없어서가 아니다. 시스템에 대한 보호는 폐쇄적인 운영만으로는 한계를 지닐 수 밖에 없다. 스스로가 잘 할 수 있는 분야에 집중을 한다는 것은 상대적으로 다른 분야에서의 부족함을 노출 시키게 되고, 이런 부족한 부분을 상쇄하기 위해 협력이 진행이 된다.

그렇다면 왜 구글인가? 무선 플랫폼에서 경쟁하고 있는 애플의 iOS와 구글의 안드로이드가 협력을 해야 할만큼 절박한 것들은 무엇이었을까?

▲ Stopbadware.org – 구글에서 2006년부터 데이터와 비용을 후원하여 운영 중임

스톱배드웨어 사이트의 경우 2012년 1월 현재 79만여 개의 위험성이 있는 URL 정보를 보유하고 있다. 그 URL 정보의 대부분은 구글 검색과 밀접하게 연관이 되어 있다. 방문한 도메인을 색인화 하는 과정에서 악성코드 유포에 대한 흔적과 시도를 발견한 것들을 전 세계적으로 리스팅하고 있으며, 2006년 처음 시작 시기부터 주의 깊게 살펴 보던 전략 중 하나였다.

악성코드를 유포한다는 것은 특정 웹사이트를 방문 하였을 때 액티브X든 어떤 형태의 악성코드 감염 행위가 사용자의 PC에 발생 된다는 것을 의미한다. 이 정보를 현재 활용하고 있는 파이어폭스(Firefox)와 크롬(Chrome), 페이팔(Paypal)에 이어 애플의 사파리가 추가됐다. 사파리 브라우저가 추가됐다는 의미는 스마트폰 환경의 절반 가량을 차지하고 있는 애플의 i-시리즈 모두에 적용되고 있다는 뜻이다.

무선과 유선 인터넷의 차이점은 없다. 또한 스마트폰 운영체제도 이젠 웬만한 PC 사양과 동일하지 않던가? 좀 더 경량화 되고 단순화됐을 뿐이지 그 핵심은 달라지지 않는다. 따라서 공격도 동일한 효과를 가지게 되며 효율적인 전파 수단으로 웹이 사용되고 있을 뿐이다.

■애플의 Safe Browsing

애플에서의 세이프브라우징 관련된 일부 이슈는 여기에서(http://blog.intego.com/google-safe-browsing-data-syncs-to-ios-devices-via-itunes/ ) 확인이 가능하다. 공식적으로 알려지지도 않았고 대부분의 사용자들이 인지하지 못하는 사이에 기능은 추가됐고 사용이 시작되고 있다.

▲ 아이폰 사파리 설정에 들어있는 가짜 Fraud Warning 항목

이 Fraud Warning의 의미는 사파리 브라우저를 이용해 웹 서핑을 할 때, 구글에서 판정한 위험성 있는 사이트에 대해 경고를 하겠다는 의미이다. 클라이언트에서 데이터를 받아서 이를 활용해 차단을 하는 것이기에 일정기간이 지나야만 하고, 또 동기화 횟수가 의미 있는 횟수까지 진행돼야 블록이 되는 것을 볼 수 있을 것이다. 아직은 시작일 뿐이다.

▲ 아이튠즈 동기화시 최종 6단계 이후 세이프브라우징 데이터 추가 화면

이제 안드로이드 플랫폼에서도 언제든지 운영체제의 지원과 버전업을 통해 기능 추가가 가능한 구글이 모바일 시장을 평정한 것은 아닐까? 최소한 보안이라는 측면에서 보면 이는 분명해 보인다.

구글이 흔들 수 있는 플랫폼의 규모는 이제 절대적이다. 안드로이드라는 모바일 플랫폼 이외에도 애플의 모바일 운영체제까지 일부 영향을 끼치기 시작했다. 그리고 그 범위는 점진적으로 확대 되고 애플로서는 선택의 여지가 없게 될 것이다. 다른 기업들도 마찬가지다. 애플과 구글을 빼고 모바일 플랫폼을 이야기 할 수 없고, 이들 양사가 협력하는 부분은 절대적이 될 수 밖에 없다. 오랫동안 준비해 온 구글의 또 다른 무기는 이렇게 공개적으로 나타나고 있다.

■Why Google, Why Stopbadware?

구글은 이미 2006년부터 스톱배드웨어를 지원해 왔다. 악성코드 유포 행위의 심각성은 이때부터라고 봐야 하는데 기업규모에 비해 상당히 빠르게 움직였다. 초기에는 단순히 봇넷이나 스팸메일, 악성코드를 직접 올려두고 사용자에게 배포하는 형태에 대해 초점을 맞추었을 것이다. 지금은 또 다른 체계에 의해 강력한 검색 DB와 이 결과에 기반한 악성코드 탐지 및 비정상행위 탐지를 통해 등록을 하고 있는 것으로 추정된다.

1~2억 개 가량의 도메인을 크롤링하고 주기적으로 데이터를 수집하는 압도적인 검색 역량과 기술을 가지고 있는 구글에 대적할 기업은 없다. 또 구글은 이 기술을 다른 방향으로 활용하는 첫 분야로 이미 오래 전부터 보안을 선택한 것이다. 지금까지는 무료였으나 과연 이게 언제까지 무료로 될 것인가? 또한 그들만이 할 수 있는 기술은 은밀한 지배력을 더 크게 만들 것임은 분명한 일 아닌가?

최대 100만개 가량의 도메인이 악성코드 유포 행위 감지로 등록됐으며 현재는 70~80만개 가량의 도메인이 상시 유지되고 있는 상태인 스톱배드웨어의 데이터는 현재 공식적으로 브라우저 시장에서 오페라(Opera)와 인터넷익스플로러(IE)를 제외한 대부분의 브라우저에 적용 되고 있다. 크롬, 파이어폭스, 사파리의 점유율은 대체 어느 정도 일까? 유선 플랫폼이 아닌 모바일에서의 점유율은 대체 얼마던가?

▲ 브라우저 점유율 Clicky Data http://getclicky.com/marketshare/global/web-browsers/

유선인터넷 환경에서의 브라우저 중 크롬, 파이어폭스, 사파리의 점유율은 이미 절반을 넘는다. 마이크로소프트 IE와의 차별성은 보안이라는 측면에서 적극적으로 나타날 것이고 이 핵심에는 구글의 스톱배드웨어 DB가 들어간다.

▲ 모바일 브라우저 점유율. 웹킷 기반은 크롬과 사파리다

웹킷(WebKit)을 엔진으로 사용하는 브라우저의 사용률이 80%에 육박하고 있다. 즉 모바일 브라우저의 대부분은 웹킷 엔진(크롬과 사파리) 기반이고 다수가 애플의 사파리로 추정된다. 모바일과 유선 플랫폼 모두에서 밀월은 시작됐고 그들의 힘은 더 커질 것이다. 이게 오랜 기간을 준비한 힘이다. 이제 그때가 된 것이다.

그런데 만약 스톱배드웨어에서 수집하는 악성코드 유포 도메인이 무용지물이라면? 심각한 뒷북이라면 판도는 어떻게 변할까? 또한 철썩 같이 믿고 있는 백신들에게 탐지되지 않는 악성코드라면 상황은 어떻게 변할까? 탐지가 안 되는 악성코드는 지능형지속가능위협(APT)이라고 책임전가를 하면 끝인가?

검색엔진을 통해 크롤링을 하고 색인화 한 이후 위험성을 분류하는 시간까지 일정시간이 소요 될 수 밖에 없고(등록에는 빨라야 3일에서 일주일 정도 걸리며 반대로 등록해제에도 그 정도의 기간이 소요된다.), 공격자들은 이미 그 시간 이내에 악성코드 유포를 종료하고 다른 곳으로 옮겨 간다. 구글이 블록을 해도 이미 공격자는 그곳에 없다.

▲ 악성코드 유포 시기와 경로의 변화를 관찰한 데이터, 자료=빛스캔

주말만 악성코드를 유포하거나 더 잦은 간격으로 악성코드를 유포한다면 구글이 탐지하고 대응 할 수 있을까? 그리고 위험에 대한 사전차단이 가능할까? 지금 당장 직면한 위협에 대해서도 한계가 있는 상황은 데이터가 누적되고 관찰 되기 이전까지는 전 세계 그 어떤 회사도 이의제기를 할 수 없는 현실이다. 특히 그 회사가 구글이라면 더더욱 그러하다.

구글과 애플이 협력을 시작했지만 그 한계는 명확하다. 언제든 공격자가 변경된 악성코드를 수시로 유포 할 수 있는 환경에서 악성코드를 뿌리는 사이트만 차단 한다고 해서 대책이 될 수 있을까? 이 점은 서비스를 이용한 차단을 하는 구글이나 악성코드 분석을 통해 대응을 하는 백신업체들이나 마찬가지 문제를 가진다. 공격자들은 이미 이 두 가지 대응 방향을 충분히 농락하고 즐기는 상황이다.

즉시적인 적용과 차단이 가능한가? 또 백신들에 탐지가 안 되는 악성코드들도 형태에 관계 없이 판별이 가능한지가 다음 전략의 핵심이다. 아직 구글도 여기까지는 도달하지 못했다.

개선을 위해서는 악의적이라고 평가 할 수 있는 판단기준의 변경과 악성코드 유포에 이용되는 경로(Mola Mola - http://www.zdnet.co.kr/column/column_view.asp?artice_id=20111122113937 )를 찾아 낼 수 있는지가 미래 대응 전략의 핵심과 경쟁력이 될 것이다. 이것은 유무선을 가리지 않고 동일하게 적용된다. - 바다란

'Security Indicator' 카테고리의 다른 글

고급 보안 정보 제공 서비스 시작 (0)	2012/02/08
애플과 구글의 밀월 시작되다. (0)	2012/01/12
History of p4ssion (바다란) (2)	2011/12/06
진짜 SaaS (Security as a service)의 시작에서 (0)	2011/09/01
wmf 이미지 공격을 통한 대규모 피해 우려 (0)	2010/04/27
Top 25 프로그래밍 에러 (0)	2010/04/27