바다란 세상 가장 낮은 곳의 또 다른 이름

고급 보안 정보 제공 서비스 시작

바다란 — Wed, 08 Feb 2012 18:39:19 +0900

KAIST와 협력으로 정보제공 서비스를 시작 합니다.

그동안 페북에 올린 감질나는 짤막한 정보만 보셨죠? ( 페북 http://www.facebook.com/p4ssion )
화끈하게 국내의 위험 정보에 대해서 선별된 고객들에게만 제공 하고자 합니다. 이제 프로세스 구축 되었고 서비스로 제한된 제공을 하고자 합니다.

국내의 한주간 공격 동향 ( 웹을 이용한 악성코드 유포 현황)
특정 공격 기술에 대한 심화 분석.
악성코드 유포 기법에 대한 기술적 분석

이상의 세 가지 보고서 유형이 제공 될 예정입니다. 최소 한달에 4회 가량 제공이 됩니다.

보고서 분류는.

주간동향 보고서 :

주간 단위의 공격 변화와 흐름에 대해서 나타내며 공격에 이용된 기법들에 대해 개략화된 정보를 제공 합니다. 국내 유포 현황도 일부 공개 되며 해외에서의 동향도 전달될 예정입니다.

기술분석 보고서:

웹을 통해 유포되는 악성코드 배포에 대한 구조도와 구성에 대한 분석 보고서 - 기본적인 악성코드에 대한 분석 진행 됩니다.

전문분석 보고서 :
새로운 공격기법이나 신규 유형의 exploit 기법 출현시 상세 분석하고 악성코드 분석 보고서 입니다.

세 종류이며 차등하여 제공 될 수 있도록 준비를 하고 있습니다.

위기의 인터넷이고 문제가 심각하다는 여러 의견과 컬럼들을 써왔는데 제한적으로 쓸 수 밖에 없었습니다. 이제는 그 문제를 해결 하고 화끈하게 보여 드리도록 하겠습니다.

빛스캔은 소스를 제공하고 카이스트 사이버보안연구센터에서 전문 분석을 한 내용들을 서비스 형태로 제공 하고자 합니다. 여기서 분석이 진행되는 악성링크 혹은 악성코드들은 국내 혹은 세계적으로 가장 최신의 공격 유형을 입수한 내용을 의미 합니다. 공격 유형에 대해서도 가장 빠른 정보를 받고 분석을 할 예정입니다.

물론 무료가 아니고 유료 입니다. 수익은 보다 정확하고 신속한 정보 분석을 위한 전문 인력 양성과 기술 확보에 재 투입 될 예정입니다.

개인이 받으시기에는 부적절하며 보안부서가 있는 기업, IDC, ISP , 기관, 게임 및 포털 기업들에게 유용한 정보가 될 수 있을 것입니다. 더불어 한국의 인터넷 위협에 대한 리얼한 실상을 보실 수 있을 것입니다.

분석보고서의 예는 이미지로 올린 파일처럼 1.21일 발견된 Windows Media Player에 대한 공격에 대한 전문 분석은 1.25일 완료 되었고 기법과 추가적 공격에 대한 내용들이 들어가 있습니다. 발견과 분석자료 모두 최초의 자료 들입니다.

또한 기술분석에는 지난 주말에 최초로 포착된 Flash , IE , Java, Windows Media 취약성 공격이 복합화된 정보를 포함 하고 있습니다.

관심 있으신 기업이나 기관은 소속을 알려 주시고 메일을 주십시요. 샘플 보고서를 전달해 드리겠습니다. 메일은 p4ssion@gmail.com 입니다. 기관에 따라 별도 정보 제공도 가능합니다.

애플과 구글의 밀월 시작되다.

바다란 — Thu, 12 Jan 2012 12:01:51 +0900

-지디넷 컬럼입니다.
스티브 잡스의 존재와 협력은 여러 의미를 가진다. 잡스 시절의 애플은 폐쇄적이고 독자적인 영역을 가지려는 방향이 매우 강했고 실제로도 그렇게 했다. 잡스 이후의 애플은 어떨까?

애플과 구글은 모바일 분야를 중심으로 강력한 라이벌 구도를 유지해 왔기에 양사에게 협력이라는 단어가 썩 어울리는 편은 아니다. 이러한 거대기업들이 협력을 시작 했다면 IT 세계의 흐름은 어떤 식으로 흘러 갈 것인지 예측 하기가 매우 어려워진다. 특히 그 분야가 보안 측면이라면 변화의 폭은 매우 커질 수도 있는 문제이다. 은밀한 밀월은 조용히 시작되었다.

애플과 구글의 전략적 차이점은 다음과 같다.

애플의 iOS는 폐쇄형으로 독자적인 생태계를 유지해 생존했고, 구글의 안드로이드는 오픈 플랫폼으로 자유도를 부여함으로써 비중을 높이는 전략을 사용해 모바일 시장에서 성장했다. 다른 방식으로 성장한 양사의 플랫폼에서 협업이 이루어 진다는 것은, 다른 기업들에 재앙의 시작이 될 수도 있을 것이다. 비단 보안뿐 아니라 산업 전체의 측면에서 말이다. 이미 변화가 시작됐다는 것을 알아채고는 있을까?

지난 2011년 10월, 애플 iOS에 작은 변화가 있었다. 아직 이를 눈치채고 있는 사람은 그리 많지 않아 보인다. 이 변화의 시작은 사파리 브라우저를 통해 시작되고 있으며 애플의 아이튠즈(iTunes)에서도 미세하나마 변화가 적용되기 시작했다. 그 내용은 구글이 2006년부터 데이터와 비용을 제공해 운영 중인 사이트 ‘스톱배드웨어(Stopbadware)’로부터 시작이 된다. ‘세이프브라우징(Safe Browsing)’이라는 이름으로, 인터넷 서핑 중에 악성코드 감염 가능성이 있는 도메인을 사용자에게 알려줌으로써 위험성을 사전에 인지하도록 하는 것이 주된 목적이다.

▲ 구글 크롬의 세이프브라우징 경고

■웹으로부터 시스템을 보호하라

그렇다면 왜 애플의 사파리 브라우저는 구글의 세이프브라우징 데이터를 이용하는 것인가?

그 이유는 무선 환경에서의 웹서핑도 (유선과) 동일한 위험에 노출된다는 것을 인정 했기 때문이다. 사파리를 이용한 웹 기반 탈옥은 2010년에 이미 증명됐고 웹 서핑만을 통해서도 기기에 대한 탈옥과 설정 변경이 자유롭다는 것이 증명된 바 있다. 애플리케이션(이하 앱)을 통한 위험과는 차원이 다른 위험에 직면한 것이다.

▲ http://www.jailbreakme.com/ - 사파리 브라우저를 통해 방문만으로 탈옥이 가능함을 입증

단언컨대 지금껏 애플에 대한 공격이 그리 심하지 않았던 것은 그럴만한 가치가 없었기 때문이지 문제가 없어서가 아니다. 시스템에 대한 보호는 폐쇄적인 운영만으로는 한계를 지닐 수 밖에 없다. 스스로가 잘 할 수 있는 분야에 집중을 한다는 것은 상대적으로 다른 분야에서의 부족함을 노출 시키게 되고, 이런 부족한 부분을 상쇄하기 위해 협력이 진행이 된다.

그렇다면 왜 구글인가? 무선 플랫폼에서 경쟁하고 있는 애플의 iOS와 구글의 안드로이드가 협력을 해야 할만큼 절박한 것들은 무엇이었을까?

▲ Stopbadware.org – 구글에서 2006년부터 데이터와 비용을 후원하여 운영 중임

스톱배드웨어 사이트의 경우 2012년 1월 현재 79만여 개의 위험성이 있는 URL 정보를 보유하고 있다. 그 URL 정보의 대부분은 구글 검색과 밀접하게 연관이 되어 있다. 방문한 도메인을 색인화 하는 과정에서 악성코드 유포에 대한 흔적과 시도를 발견한 것들을 전 세계적으로 리스팅하고 있으며, 2006년 처음 시작 시기부터 주의 깊게 살펴 보던 전략 중 하나였다.

악성코드를 유포한다는 것은 특정 웹사이트를 방문 하였을 때 액티브X든 어떤 형태의 악성코드 감염 행위가 사용자의 PC에 발생 된다는 것을 의미한다. 이 정보를 현재 활용하고 있는 파이어폭스(Firefox)와 크롬(Chrome), 페이팔(Paypal)에 이어 애플의 사파리가 추가됐다. 사파리 브라우저가 추가됐다는 의미는 스마트폰 환경의 절반 가량을 차지하고 있는 애플의 i-시리즈 모두에 적용되고 있다는 뜻이다.

무선과 유선 인터넷의 차이점은 없다. 또한 스마트폰 운영체제도 이젠 웬만한 PC 사양과 동일하지 않던가? 좀 더 경량화 되고 단순화됐을 뿐이지 그 핵심은 달라지지 않는다. 따라서 공격도 동일한 효과를 가지게 되며 효율적인 전파 수단으로 웹이 사용되고 있을 뿐이다.

■애플의 Safe Browsing

애플에서의 세이프브라우징 관련된 일부 이슈는 여기에서(http://blog.intego.com/google-safe-browsing-data-syncs-to-ios-devices-via-itunes/ ) 확인이 가능하다. 공식적으로 알려지지도 않았고 대부분의 사용자들이 인지하지 못하는 사이에 기능은 추가됐고 사용이 시작되고 있다.

▲ 아이폰 사파리 설정에 들어있는 가짜 Fraud Warning 항목

이 Fraud Warning의 의미는 사파리 브라우저를 이용해 웹 서핑을 할 때, 구글에서 판정한 위험성 있는 사이트에 대해 경고를 하겠다는 의미이다. 클라이언트에서 데이터를 받아서 이를 활용해 차단을 하는 것이기에 일정기간이 지나야만 하고, 또 동기화 횟수가 의미 있는 횟수까지 진행돼야 블록이 되는 것을 볼 수 있을 것이다. 아직은 시작일 뿐이다.

▲ 아이튠즈 동기화시 최종 6단계 이후 세이프브라우징 데이터 추가 화면

이제 안드로이드 플랫폼에서도 언제든지 운영체제의 지원과 버전업을 통해 기능 추가가 가능한 구글이 모바일 시장을 평정한 것은 아닐까? 최소한 보안이라는 측면에서 보면 이는 분명해 보인다.

구글이 흔들 수 있는 플랫폼의 규모는 이제 절대적이다. 안드로이드라는 모바일 플랫폼 이외에도 애플의 모바일 운영체제까지 일부 영향을 끼치기 시작했다. 그리고 그 범위는 점진적으로 확대 되고 애플로서는 선택의 여지가 없게 될 것이다. 다른 기업들도 마찬가지다. 애플과 구글을 빼고 모바일 플랫폼을 이야기 할 수 없고, 이들 양사가 협력하는 부분은 절대적이 될 수 밖에 없다. 오랫동안 준비해 온 구글의 또 다른 무기는 이렇게 공개적으로 나타나고 있다.

■Why Google, Why Stopbadware?

구글은 이미 2006년부터 스톱배드웨어를 지원해 왔다. 악성코드 유포 행위의 심각성은 이때부터라고 봐야 하는데 기업규모에 비해 상당히 빠르게 움직였다. 초기에는 단순히 봇넷이나 스팸메일, 악성코드를 직접 올려두고 사용자에게 배포하는 형태에 대해 초점을 맞추었을 것이다. 지금은 또 다른 체계에 의해 강력한 검색 DB와 이 결과에 기반한 악성코드 탐지 및 비정상행위 탐지를 통해 등록을 하고 있는 것으로 추정된다.

1~2억 개 가량의 도메인을 크롤링하고 주기적으로 데이터를 수집하는 압도적인 검색 역량과 기술을 가지고 있는 구글에 대적할 기업은 없다. 또 구글은 이 기술을 다른 방향으로 활용하는 첫 분야로 이미 오래 전부터 보안을 선택한 것이다. 지금까지는 무료였으나 과연 이게 언제까지 무료로 될 것인가? 또한 그들만이 할 수 있는 기술은 은밀한 지배력을 더 크게 만들 것임은 분명한 일 아닌가?

최대 100만개 가량의 도메인이 악성코드 유포 행위 감지로 등록됐으며 현재는 70~80만개 가량의 도메인이 상시 유지되고 있는 상태인 스톱배드웨어의 데이터는 현재 공식적으로 브라우저 시장에서 오페라(Opera)와 인터넷익스플로러(IE)를 제외한 대부분의 브라우저에 적용 되고 있다. 크롬, 파이어폭스, 사파리의 점유율은 대체 어느 정도 일까? 유선 플랫폼이 아닌 모바일에서의 점유율은 대체 얼마던가?

▲ 브라우저 점유율 Clicky Data http://getclicky.com/marketshare/global/web-browsers/

유선인터넷 환경에서의 브라우저 중 크롬, 파이어폭스, 사파리의 점유율은 이미 절반을 넘는다. 마이크로소프트 IE와의 차별성은 보안이라는 측면에서 적극적으로 나타날 것이고 이 핵심에는 구글의 스톱배드웨어 DB가 들어간다.

▲ 모바일 브라우저 점유율. 웹킷 기반은 크롬과 사파리다

웹킷(WebKit)을 엔진으로 사용하는 브라우저의 사용률이 80%에 육박하고 있다. 즉 모바일 브라우저의 대부분은 웹킷 엔진(크롬과 사파리) 기반이고 다수가 애플의 사파리로 추정된다. 모바일과 유선 플랫폼 모두에서 밀월은 시작됐고 그들의 힘은 더 커질 것이다. 이게 오랜 기간을 준비한 힘이다. 이제 그때가 된 것이다.

그런데 만약 스톱배드웨어에서 수집하는 악성코드 유포 도메인이 무용지물이라면? 심각한 뒷북이라면 판도는 어떻게 변할까? 또한 철썩 같이 믿고 있는 백신들에게 탐지되지 않는 악성코드라면 상황은 어떻게 변할까? 탐지가 안 되는 악성코드는 지능형지속가능위협(APT)이라고 책임전가를 하면 끝인가?

검색엔진을 통해 크롤링을 하고 색인화 한 이후 위험성을 분류하는 시간까지 일정시간이 소요 될 수 밖에 없고(등록에는 빨라야 3일에서 일주일 정도 걸리며 반대로 등록해제에도 그 정도의 기간이 소요된다.), 공격자들은 이미 그 시간 이내에 악성코드 유포를 종료하고 다른 곳으로 옮겨 간다. 구글이 블록을 해도 이미 공격자는 그곳에 없다.

▲ 악성코드 유포 시기와 경로의 변화를 관찰한 데이터, 자료=빛스캔

주말만 악성코드를 유포하거나 더 잦은 간격으로 악성코드를 유포한다면 구글이 탐지하고 대응 할 수 있을까? 그리고 위험에 대한 사전차단이 가능할까? 지금 당장 직면한 위협에 대해서도 한계가 있는 상황은 데이터가 누적되고 관찰 되기 이전까지는 전 세계 그 어떤 회사도 이의제기를 할 수 없는 현실이다. 특히 그 회사가 구글이라면 더더욱 그러하다.

구글과 애플이 협력을 시작했지만 그 한계는 명확하다. 언제든 공격자가 변경된 악성코드를 수시로 유포 할 수 있는 환경에서 악성코드를 뿌리는 사이트만 차단 한다고 해서 대책이 될 수 있을까? 이 점은 서비스를 이용한 차단을 하는 구글이나 악성코드 분석을 통해 대응을 하는 백신업체들이나 마찬가지 문제를 가진다. 공격자들은 이미 이 두 가지 대응 방향을 충분히 농락하고 즐기는 상황이다.

즉시적인 적용과 차단이 가능한가? 또 백신들에 탐지가 안 되는 악성코드들도 형태에 관계 없이 판별이 가능한지가 다음 전략의 핵심이다. 아직 구글도 여기까지는 도달하지 못했다.

개선을 위해서는 악의적이라고 평가 할 수 있는 판단기준의 변경과 악성코드 유포에 이용되는 경로(Mola Mola - http://www.zdnet.co.kr/column/column_view.asp?artice_id=20111122113937 )를 찾아 낼 수 있는지가 미래 대응 전략의 핵심과 경쟁력이 될 것이다. 이것은 유무선을 가리지 않고 동일하게 적용된다. - 바다란

Malware Detected- 구글 블럭의 문제점

바다란 — Sat, 07 Jan 2012 13:01:52 +0900

경유지와 유포지의 차이점.

그리고 구글 탐지의 근본적 문제점 ( Stopbadware.org)

- 다음 주중 이것과 관련된 내용이 컬럼으로 게재될 예정입니다.

유포지는 직접 방문하는 사이트를 말하는 것이고 ( 예를 들면 뉴스)

경유지는 이런 방문 사이트내에 들어가 있는 악성코드 통로를 의미

이런점에서 보면 구글은 유포지를 중점적으로 막고 ( 현재 80만개) 우리는 경유지를 찾는다. 상대적으로 경유지는 매우 적을 것이고 효과적이다. 왜냐면 문제가 있는 사이트들은 너무나도 많기 때문이다. 유포지를 확장하는 것은 얼마든지 공격자의 의지에 달린 문제이고 이걸로 공격자들의 비용 대비 효과를 낮추는 효과는 그리 크지 않다.

< 강도도 없는 빈집에 출입금지를 한들 무슨 소용이랴.. 그냥 범죄 현장 보존 정도의 역할일 뿐 - stopbadware>

다만 애써서 모아 놓은 공격 킷들이 존재하는 경유지에 대한 선별적 차단은 유포지 차단에 비해 공격자들에게 보다 높은 비용과 노력을 강요하게 된다.

이래서 효과가 있는 것.

그리고 1년 이상 집요하게 이어지고 있는 단 몇시간 혹은 1~2일 활동하고 사라지는 악성코드 경유지들이 뉴스나 커뮤니티 , 파일 공유 사이트에 출현 하였을 경우 만약 구글의 탐지 나 검색 루틴의 차례가 돌아 오지 않았다면? 그 인지 기간은 1주일 이상 소요 될 것이고 때마침 검색 순서에 적합하게 들었다 해도 등록까지는 3일 이상이 소요된다.

그리고 마침내 구글에 등록 되었다고 했을때 그땐 이미 유포지에서 공격자의 흔적은 사라지고 난 뒤다.

제품으로의 차단은 너무 대응이 느리고 전역적이지 못하다. ( 백신 이나 설치형 제품.)

서비스로의 차단은 전역적이고 그나마 대응이 빠르다. ( 최소 소요시간 필요)

현재의 공격자는 제품은 이미 사전 검증을 통해 가볍게 우회하고 있으며

서비스 측면에 대해서도 게릴라와도 같은 빠른 침투와 후퇴를 반복하여 무력화 시키고 있다. 현재 전 세계 공격의 방향성이라고 할 수 있는 한국내의 공격을 살펴 보면 앞으로의 인터넷 전체의 환경은 더 심각해 질 것이다. 물론 전 세계적으로...

게릴라의 준동을 막기 위해서는 수없이 많은 병력으로 전체를 포위 하는 방법 하나와 침입에 활용되는 주된 경로를 막는 방법 두 가지가 존재한다.

병력은 애초에도 있지도 않고 지금도 부족하다. 경로를 막는 것들은 신속성을 따라가지 못한다. 이걸 보완할 그 무엇인가가 필요하고 우리는 준비가 되어 있다.

올해 상반기는 이 플랜이 집중적으로 운용 될 것이다.

구글이 경쟁 상대가 아니라 그들도 농락하는 공격자들의 전략이 우리의 경쟁 상대일 뿐이다.

- 바다란 세상 가장 낮은 곳의 또 다른 이름

History of p4ssion (바다란)

바다란 — Tue, 06 Dec 2011 13:27:28 +0900

History of p4ssion (바다란) - 2011.12.06 (계속 갱신 예정)

15년 가까이 이 분야를 보면서 여러 활동을 했었습니다. 본 컨텐츠는 여기저기 흩어져 있는 기록과 문서를 종합하기 위해 작성 합니다. 또 지난 십 년 이상의 IT관련 중요 이슈들에 대한 Security 측면의 내용들과 거기에 대한 기록들도 일부 보실 수 있을 것입니다. 공개문서나 컬럼만을 기준으로 정리 하도록 하겠습니다.

1998. “해커의 길 그리고 나의 길” http://p4ssion.com/233

1999. “ 프로그래머가 되는 길” http://p4ssion.com/232

2002.8 Threat of china – 중국발 해킹에 대한 최초 보고서. 이때부터 향후 중국의 공격기술에 대해 심각한 주의를 기울여야 된다고 경고함. (이 당시만 해도 중국은 체계적이고 고급화된 역량을 보유 하지는 못했으며 외부 공개된 공격기술의 집합을 이용 했습니다. 지금은 독자적인 도구와 공격기법으로 무장하고 있죠. 10년 가까운 시간이 흐른 지금은 전 세계 누구도 부정하지 못할 사안입니다만 과연 2002년에도 그랬을까요?)

Threat of China 공격 분석 및 대책 (2002.08, 문서).pdf

2002.8 브라질 해킹 그룹분석 – 중국에 이어 브라질 해킹 그룹에 대한 분석과 영향에 대한 문서

브라질 해킹 그룹 분석 (2002.8).pdf

2002.10 Critical Alert for Cyber terror – 이 또한 국내외를 포함하여 최초의 SCADA & DCS 기반시설에 대한 문제와 대응 방안을 설명한 종합문서. ( 이 당시 국내외를 막론하고 SCADA나 DCS에 대해서 이해하는 사람도 매우 극소수이고 더군다나 보안의 관점에서 보는 사람은 거의 없었습니다. 전 세계적으로 매우 극소수.. 그러나 이건 2010년의 Stuxnet과 현재의 듀큐로 인해 확실하게 증명이 되죠. 너무 빠른 것도 문제이긴 합니다. )

Critical Alert for Cyber Terror (2002.10.31).pdf

2003.1.25 대란 – 1.25 대란의 최초 신고자 및 분석자 ( 최초 신고자 맞습니다. ^^)

1.25일 당일의 1차 분석 문서

2003년 1.25 대란 분석 v0.1 (2003.1.25).pdf

1.26일의 2차 분석 문서

2003년 1.25 대란 분석 v0.2 (2003.01.26).pdf

1.27일 . 최종 시나리오 분석 문서

2003년 1.25 대란 분석 v1.0 (2003.01.27).pdf

2005년 – 1.25대란에 대한 최종 의견 -http://p4ssion.com/117 KT 내부망에서 시작

2003.8 RPC Worm 확산에 따른 분석 문서

RPC Worm (2003.08).pdf

2005.1 Application Attack 에 대한 문서 – PHP Mass Attack에 대한 분석과 대응방안

Application Attack (2005.01).pdf

2005.3 해커의 길 II - http://p4ssion.com/228

2005.4 Zeroday 웜에 대한 발표, 공격기법 분석과 향후의 발전 예상

제로데이 웜 (2005.04).pdf

2005.10 Threat of China 공격 분석 및 대책 발표 – 향후 웹 공격에 대한 집중도가 높아지고 자동화 되어 위험성이 높을 것임을 예상하고 분석한 발표자료, 대응 방안으로 2006년 SourceForge에 등록한 Gamja가 처음 선을 보임.

Threat of China 공격 분석 및 대책 (2005.10, 발표.pdf

2006.2 Winamp Application 문제의 현황 및 해결

Winamp_Application_문제의_현황_및_해결(2006.02.01).pdf

2006.6 개인사용자를 위한 정보보호 실천가이드 문서

개인사용자를 위한 정보보호 실천 가이드 (20.pdf

2006.10 해킹의 발전과 대응 – 발표 내용은 항상 유사합니다.

2006 해킹의 발전과 대응 (2006.10.24).pdf

2006.11 중국발 해킹 분석 및 대응, (기업차원의 방안) 발표자료.

중국발 해킹 분석 및 대응 (2006.11.30).pdf

2007.4 게임산업에서의 Vista 파급효과와 보안의 이슈 – 문서

2007.4 정보보호학회-비스타보안특집-NHN 전상.pdf

2007.6 Web 2.0 위험요소와 대비. 발표자료

Web 2.0 위험요소와 대비 문서 (1) (2007.06).pdf

Web 2.0 위험요소와 대비 문서 (2) (2007.06).pdf

2007.11 IT서비스의 위험과 향후 대응 문서

DDos와 악성코드 확산 모델, 대응 방안에 대해서 기술한 문서.. 대책이 제대로 되었다면 이후의 7.7 DDos나 3.4 DDos도 헤프닝으로 끝날 수도 있었을텐데… 현재까지도 매우 부족한 부분들이 되겠습니다. 앞으로도 많이 해야 하는 부분이기도 하구요.

IT서비스의 위험과 향후 대응 (2007.11.01).pdf

2008.01 Enhanced web, Enhanced Risk –발표자료. Web 2.0의 위험에 대한 발표

Enhanced Web, Enhanced Risk(2008.1).pdf

2008년 이후는 컬럼을 주로 활용 하였습니다.

Bloter.net - http://www.bloter.net/archives/author/p4ssion

Zdnet - http://www.zdnet.co.kr/column/column_list.asp?column=0135

이외 보안뉴스, 전자신문이 있습니다.

2009. 07 . 7.7 DDos에 대한 내용. DDos 악성코드 유포에 대한 추론과 사실 문서

2009.7 DDos 악성코드 유포에 대한 추론과 사실.pdf

2009.11 Inevitable Cyber warfare – 7년만에 내 놓은 SCADA & DCS 위협에 대한 갱신문서 – 사이버 아마겟돈 시나리오 가이드 하면서 갱신판을 작성함. 이후 2010년 Stuxnet 출현

Inevitable Cyber Warfare (2009.11).pdf

2009.11 Change of global threat – 컬럼

2009 Change of Global threat( 2009 글로벌 위협의 변.pdf

2010.07 DDos문제의 핵심과 변화에 대하여 – 문서

2010.07 DDos 문제의 핵심과 변화에 대해.pdf

2010.11 네트워크 단위 보안 솔루션의 미래와 전략 발표자료 - Concert

20101123 네트워크 단위 보안 솔루션의 미래와 .pdf

2010.11 에스토니아 7.7 그리고 미래대응 발표자료 – Ddos 공격과 국가간 사이버전에 대한 분석

SIS 2010_(전상훈) 에스토니아 7.7 그리고 미래 .pdf

2011.3 위기의 인터넷 (현재의 위협과 미래 대응) – 발표자료

20110328- 위기의 인터넷(KAIST 전상훈) .pdf

2011.07 해커의 길, 전문가의 길 발표자료 – 방향성 제시를 위한 자료

해커의 길(전문가의 길) -20110723 발표.pdf

현재까지 검색을 통해 확인한 발표자료와 문서들입니다. 제가 만들었던 자료를 검색을 통해 찾아야 하는 상황이 어이없긴 하지만 ^^; 아직 찾지 못한 문서들도 있고 수록 되지 않은 발표자료들도 있습니다. 이 부분은 차후 계속 갱신 하도록 하겠습니다. 이외에도 프로그램이나 의미 있는 변화를 가져왔던 내용들도 있는데 기업에서 시행 했던 것들 중 대외적으로 영향이 있었던 두 가지만 언급 하도록 하겠습니다.

2005년 . 온라인 보안패치 서비스 실시 – 이전까지의 보안 업데이트는 패치를 MS 웹사이트에서 방문하여 다운로드 받아 설치하는 유형이였으며 이 당시 국내 기업 (소프트런? )과 처음으로 웹서비스에서 자동으로 설치되는 서비스를 운영 하였습니다. 최종 기억으로는 1200만대 가량의 PC에 보안패치를 깔았던 것으로 기억 합니다. 이후 2006년 부터는 MS의 패치 정책이 자동업데이트 방식으로 변경 하는데도 영향을 주지 않았을까 싶습니다. 공격자들이 가장 많이 활용하는 취약성에 대해서 패치를 함으로써 공격자들에게도 영향을 미쳤다고 보고 있습니다. – http://blog.naver.com/p4ssion/50004629544 관련 기사입니다. 이 블로그도 폐쇄 했지만 자료보관 용도로 남겨 두고 있습니다.

2007년. End to End 단계의 키입력 보호 시스템 - 이 당시까지 가장 유행하던 공격기법은 BHO를 이용한 계정 탈취 기법 이였고 이것을 막기 위해 제안한 보호 시스템입니다. 이건 네이버에서 지금도 운영 되고 있죠. 1,2,3 단계 각각마다 의미가 있고 보호율이 매우 높은 체계 였습니다. 이후에는 다수의 기업들에서 모방이랄까? 뭐 그렇더군요. 현재도 유효한 방안입니다.

회사의 경력은 너무 지저분(?) 하여 따로 기술하기가 민망합니다. 쓰다보니 요즘 유행하는 나꼼수의 깔때기 성향이신 분하고 비슷한 스타일이 되었네요.

정리하면서 보니 정말 유사한 말을 많이도 했네요. 그래도 세상은 아주 조금씩 밖에 변하지 않았고 위험들은 그대로 입니다. 앞으로는 말이나 글보다는 직접적으로 보여 줄 생각입니다. 이미 일정궤도에 오른 상태이고 어떤 식으로 눈 덮인 길을 헤쳐 나가는지 진지하게 보실 수 있으실 것입니다.

– 바다란 세상 가장 낮은 곳의 또 다른 이름

Mola Mola와 위기의 인터넷

바다란 — Tue, 22 Nov 2011 13:48:44 +0900

- zdnet 컬럼입니다.

학명 ‘Mola Mola’는 개복치를 뜻한다. 어류중에 가장 많은 알을 낳는 것으로 알려져 있다. 한번에 3억개 가량의 알을 낳는데 이는 성체로 자라는 수가 극히 드물기 때문이다. 서식지는 전 세계 온대·열대 바다에 걸쳐 분포하고 있다. 또한 한국의 전 해안에 걸쳐 나타나고 있다.

필자는 지금의 인터넷 보안의 현 상황을 어쩌면 가장 잘 설명할 수 있는 것이 개복치이고, 개복치의 학명이 아닐까 생각한다. 한국어 발음으로 ‘몰라 몰라’라고 외면하는 상태쯤 될 것이다.

보안에 관해 지금의 복잡하고도 위험한 상황을 이해하기 쉽도록 알리는 것에 대해 항상 고민해 왔다. 그러나 이 상황을 표현할 가장 적절한 예를 찾는 것이 너무나도 어려웠다. 그러나 지난 1년여 간의 관찰로 자료가 축적되고 계속 갱신해 왔기에 이제는 좀 더 많은 것을 설명 할 수 있을 것 같다.

필자가 보는 위기의 인터넷과 개복치는 대체 무슨 관계가 있을까? 자 이제 시작해 보자.

▲ 개복치(학명 `Mola Mola`)

■악성코드 감염 범위와 대상의 변화

악성코드라는 개념은 더 이상 국지적이고 네트워크 단위로 한정된 위협이 아니다. 인터넷 활성화 이전에는 전파 도구가 한정적이라 지역에 특화된 악성코드들이 출현 할 수 밖에 없었다. 그러나 지금은 인터넷상에 무차별적으로 유포·감염되고 있는 상황이다.

이 감염의 주요 매체로는 영역의 제한 없이 접근 할 수 있는 웹 서비스가(SNS도 동일하다)가 주된 통로로 사용 되고 있다. 오늘 발견된 새로운 악성코드는 1시간 이내에 전 세계에서 동일하게 발견 할 수 있다. 즉 감염의 주체가 국가나 지역이 아닌 언어권역, 소속, 취미에 의한 분류로 변경 되었다고 볼 수 있다.

동일한 취미를 가지고 있거나 특정 소속에 속하거나 특정 언어권역에서 활발한 서비스의 경우, 악성코드의 감염대상은 그 권역으로 제한이 된다. 또 특정 그룹의 사람들만이 접근 하는 사이트가 있다면 그 각각을 공격하는 것보다 더 효과적인 것은 특정 사이트만을 공격하고 방문자들에게 악성코드를 설치하게 하면 된다. 이걸 타깃화된 공격이라고도 할 수 있다.

오늘날 공격분류는 크게 두 종류로 볼 수 있다. 감염대상을 가리지 않는 무차별적인 유포와 특정대상만을 목표로 한 타깃화된 공격이 전부이다. 이중 타깃화된 공격은 이메일이나 PDF, 오피스 문서의 취약성을 이용해 공격을 시도한다. 무차별적인 유포는 스팸메일, 웹을 통한 악성코드 유포가 주류를 이룬다. 웜은 이미 네트워크 단계에서 증상이 판별 가능하고 지금은 위험순위가 낮다고 보아야 한다.

전체의 악성코드 확산에 대한 현황과 분류에 대해서 가볍게 정리를 해보았다. 이번 컬럼에서 말하고자 하는 부분은 무차별적인 유포도구로 활용되는 웹 서비스 그리고 악성코드의 확산에 대한 현실적인 문제이다.

개복치가 알을 3억개나 낳는 이유는 생존가능성을 높이기 위한 자연의 법칙이다. 3억 개의 알 중 성체로 자라는 것은 1~2개체뿐이다. 만약 모두가 성체로 자란다면 바다는 곧 개복치로 가득 차게 될 것이다. 바다는 자연 개체 조절이 되나 지금의 인터넷 환경은 천적은 부족한 반면, 생산력이 극도로 강한 악성코드로 가득 찬 바다이다. 특히나 우리나라는 더욱 더 심각하다.

■악성코드의 바다

사회활동을 하는 대부분의 사람이 인터넷을 사용한다. 웹이라는 매개체를 통해 서로 의견과 정보를 교환하고 경제 활동을 한다. 페이스북이나 트위터 같은 SNS도 거대한 웹 서비스 플랫폼일 뿐이다.

이렇듯 모든 사람이 접근하고 활용하는 홈페이지에서 방문자에게 악성코드를 뿌리는 것은 공격자들이 효과를 극대화 할 수 있는 방법이다. 웹 서비스 자체를 보호하기 위해 많은 보안적인 도구와 수단들이 동원 되지만 공격기술은 진화하고 확산도 빠르다. 즉 보호하는 부분에 있어서 기술적 차이를 감당 할 수 없고 금새 무용지물이 된다는 말이다. 웹 서비스 자체의 보호는 늘 한계를 가질 수 밖에 없다.

직접적인 공격으로 공격자는 웹 서비스들의 권한을 획득하고 지켜본다. 그리고 수십 혹은 수백이 될지도 모르는 웹 서비스의 권한을 가진 공격자는 이제 손쉽게 공격코드를 사용자에게 뿌리도록 소스를 변경 한다. 웹 서비스의 소스를 변경 한다는 것은 모든 방문자가 영향을 받는다는 말이다. 예를 들어 회원이 7억명인 페이스북 서비스의 공용모듈이 변경 된다면, 그 모든 회원이 영향을 받는다. 가능성만으로 따지자면 7억에 해당하는 좀비 가능 PC를 확보하는 것과 마찬가지이다.

쉽게 말해 Mola Mola 한 마리씩을 웹 서비스에 올려 두는 것이다. 그리고 모든 방문자에게 친절하게도 사용자 환경에 맞는 하나씩의 알을 선사한다. 이제 이 알의 부화를 막을 수 있는 방법은 개인 PC에 설치된 보안도구 이외에는 없다. 그러나 이 보안도구에서도 감지가 되지 않도록 공격자는 이미 조치를 한 상황이다.

결론적으로 모든 방문자들에게 뿌려진 모든 알들이 그대로 성체 (악성코드화)로 커가는 것을 의미한다. 인터넷 비사용자를 제외하고 모두가 노출 될 수밖에 없는 상황이다. 어도비 사의 플래시 업데이트는 왜 이리도 잦은 것일까? 보안 업데이트는 이리도 많고 문제는 끊임없이 나온단 말인가?

■다형성(Polymorphism) 그리고 '나 몰라(Na Mola)'

악성코드 한 종류만 내려 온다면 문제는 쉽다. 그러나 상황은 그렇지 못하다. Mola Mola만 올려서 알을 뿌리는 것이 아니라 수시로 어종을 바꾸어 다른 종류의 알(악성코드)을 뿌려댄다. 올해 3월 이전까지는 3일 간격으로 다른 종류를 유포 하였으나 3월 이후에는 주말에만 유포를 한다. 그것도 순식간에 다른 종류로 바꾸기를 거듭한다.

여기에서 뿌려지는 각각의 악성코드들을 어류에 비교하여 이름 붙이자면 학명으로 ‘Na Mola’ 정도 되지 않을까? 이는, 한국어 발음으로, 현재의 대응 상태와도 연관이 있다.

백신업체들은 여기 뿌려지는 알들 각각을 상대한다. 분석과 제품업데이트에만도 많은 시간이 소요됨에도 불구하고 업데이트가 일어날 때쯤이면 이미 공격자들은 다른 종류의 알을 뿌리기 시작한다. 다시 처음부터 반복이 된다. 그만큼 공격자들이 가진 다양한 제작도구들과 백신이나 보안도구들의 회피로직들이 손쉽게 적용 되고 있고 효과적임을 의미한다. 인터넷 환경에서는 재앙과도 같은 일이다.

▲ 한국을 대상으로 악성코드 설치에 사용되는 공격코드 중 하나(비유적으로 알을 가진 개복치쯤 된다). 전 세계 42개 주요 백신 중 단 3개만 탐지되고 있다.

백신에서 탐지를 못하는 것은 APT(지능형지속가능공격)이고 정체를 모르면 무조건 어디의 소행이라는 것은 지금의 시대에 맞지 않다. 현재의 상황에 비추어 보자면 지금도 최소 수십 만개의 APT들은 사용자들의 PC에 안착되어 있는 상황이다. 발견될 때마다 APT라고 할 것인가? 똑같은 기능으로 목적만 다르게 활용하는건데 사건이 커지면 APT라하고 아니면 그냥 신규 악성코드인가?

한계를 인정해야만 하고 역할과 기능의 차이점에 대해서 이해를 해야 하는데 아직 부족해 보인다. 책임전가는 오래가지 못한다. 역할분담과 협력을 해야하는 것이지 모든것을 다 하겠다는 것은 지금과 같은 위험의 시대에 현실인식이 없는 것과 마찬가지이다.

사이버 상의 위험을 더 이상 단순한 계정탈취나 개인정보 유출의 문제로만 국한해서는 곤란하다. 이미 우리는 발전소를 위협하는 공격을 이미 목격 했고 올해에도 어떤 원인에서든 전력, 금융에 관련된 치명적 문제들을 확인 할 수 있었다. 즉 더 이상 사이버상의 위협은 사이버상에 국한되지 않는다는 것이다.

■그렇다면 어떻게 대응해야 할까?

국내 PC 환경에서 Flash Player가 깔리지 않은 비율은 5%도 되지 않을 것이다. 플래쉬를 배제한 애플사의 운영체제를 제외한 모든 곳에서 문제가 발생된다. ActiveX? 말을 말자. 지금의 문제는 플래쉬다. 사용자 PC에 설치된 플래쉬 플레이어의 취약성을 이용해 공격자는 소리소문 없이 새로운 악성코드들을 다운로드 받게 하고 시스템을 조정한다. 또한 이 악성코드들은 수시로 변경이 되고 새로운 종이 되기도 한다. 어떻게 해야만 대응이 가능한 것인가?

단순한 비유로 예를 들자. 알은 퍼져 나간 상태에서 일일이 대응을 한다는 것은 정말로 어려운 이야기이다. 공격자는 단 한번의 클릭으로 악성코드의 종류를 변경하고 대규모로 유포하고 있다. 알과 같은 악성코드들은 퍼져 나가기 전에 대응을 해야 하고 근본적으로는 웹 서비스에 상주된 Mola Mola(악성코드 유포 경로)류의 위험이 더 이상 들어오지 못하도록 지속적이고 끊임 없는 노력을 해야만 문제 해결이 가능하다. 들어온 이후에는 피해를 최소화 할 수 있도록 빠른 인지가 되어야 할 것이고 대응이 되어야 위기 상황이 진정 될 것이다.

지금과 같이 확산된 이후에 사후 대응을 하는 것은 “Na Mola(나 몰라!)” 이외에는 아무 것도 아닌 것이다. 확산을 최소화하기 위해 웹 서비스가 공격자에 의해 변형 되는 초기 단계에서 인지하고 대응을 해야 하며 더 이상 변형이 일어나지 않도록 문제를 계속적이고 끊임없이 보강해야 한다. 인터넷의 바다에 맞닿아 있는 모든 웹 서비스들은 동일한 과제를 지녀야만 문제를 해결 할 수 있다.

근본적으로는 악성코드들이 대규모로 사용자 PC에 유포되기 이전에 초기 대응을 해야만 이 위기 상황 속의 인터넷을 견뎌 나갈 수 있을 것이다. 다시 한번 말하지만 퍼지고 난뒤에는 어떤 경우라도 수습이 어렵다.

서비스를 운영하는 회사의 경우 생활과도 같은 점검을 모든 노출 웹서버에 대해 하지 못하면 1단계에서는 현대캐피탈 , 2단계에서는 소니, 3단계에서는 농협의 사례를 맞이하게 될 것이다. 그만큼 지금의 상황은 당장 공격자들이 점령군 행세를 해도 어쩔 수가 없는 위중한 상황이다.

2007년에 IT서비스의 위험과 향후 대응에 대해 정리를 해두었다. 5년이 지난 지금조차도 대응은 여전히 더디고 제자리 상태다. (http://p4ssion.com/199)

가장 뛰어난 사냥꾼은 쫓아 다니는 것이 아닌 길목에서 기다리는 사냥꾼이다. 지금은 발자국만 보고도 전부 허둥지둥 하지는 않는가? 전략이 절대적으로 필요한 시기이다. 다음에는 공격자들의 전략변화와 위기를 헤쳐나갈 준비된 해결 방안에 대해서 쓰도록 한다. ‘나 몰라’라 해서는 안 되는 것이다.

공격자의 전략과 무기력한 대응- 위기의 인터넷

바다란 — Sat, 12 Nov 2011 14:10:58 +0900

- 2011.11.12
공격자의 전략적인 측면을 살펴 봐야 한다. 지금 개별 단위 보안제품의 대응은 사실상 무장해제 상태라고 봐야 하며 공격자들은 일단 규모로서 압도를 하고 탐지 로직을 우회함으로써 무력화 시키는 상황이다.

네트워크 단위의 보안제품의 한계, 패턴 매칭을 통해 탐지를 하는 AV든 Web Firewall 이든 개별적인 대응 밖에 되지 않고 있는 상황이고 전역적인 대응은 언감생심 꿈도 꾸지 못할 상황이다.

날마다 새로이 나오는 악성코드들을 진단 하기 위해서는 악성코드의 수집이 가장 먼저여야 된다. 그동안의 수집 방법을 보면 상당부분이 사용자의 신고, 허니넷, 허니팟 등을 통해서 이루어 지고 있다. 물론 정보의 공유는 시일이 지나서 각 업체들 끼리 이루어 짐으로 시의적절성 측면에서 늦을 수 밖에 없다. 이 각각에 대해 조금 이면을 살펴보자.

만약 공격자가 공격을 수행 하지 않는다면 허니넷이나 허니팟은 무용지물이 된다.

또한 사용자가 악성이라고 인식을 하는 대부분의 경우도 설치된 AV에서의 탐지를 근거로 한다. 만약 AV가 탐지 하지 못하는 악성코드라면 사용자가 인지할 방안은 없다.

업체간의 정보공유도 이전과 같은 전통적인 전달 매커니즘인 디스켓, USB를 통한 악성코드의 감염은 지역별 확산에 상당한 시간차가 걸렸고 바다를 건넌다는 것도 어려웠다. 이 매커니즘이 깨진건 웜이라는 매개체를 통해서이며 이 웜 조차도 발생지 근처의 네트웍이 먼저 초토화 된 이후 다른 곳으로 확산 된다.

웜 이후에 발생된 것은 검색엔진을 통한 특화된 공격, 파일 공유등을 통한 확산이 있었고 일정한 특징을 가지고 있었다. 그렇다면 지금은 어떨까?

간단하게 설명하고 상당부분 축약해서 위의 과정을 언급했지만 각 과정마다 언급하지 않은 많은 상세한 부분들이 있다. 그 특징들에 대해서는 지금까지의 발표자료나 본 사이트의 글들을 참고하면 일정 수준 참고가 가능하다.

지금의 공격은 말하자면 불특정 다수를 겨냥한 무차별적인 악성코드 유포이며 주된 공격 대상은 사용자의 PC에 일반적으로 설치된 써드파티 프로그램을 공격하는 코드들이다.

왜 Adobe는 시도 때도 없이 패치를 하는가?

그 이유는 현재 사용자 PC의 90% 가량에 Flash player가 설치 되어 있기 때문이고 해외도 비율상 조금 낮은 거 이외에는 별반 차이가 없다. 공격자들은 Flash Player의 취약성을 공격하여 사용자 PC의 권한 획득을 하는 것이 가장 효율적인 방안임을 인지하고 있기 때문에 집중적인 공격을 수행한다.

또한 개별 PC를 공격하는 것이 아니라 사용자들이 방문하는 웹서비스들을 집중하여 공략 함으로써 불특정 다수에 대한 공격을 성공적으로 하고 있다. 언론사뿐 아니라 주요 커뮤니티 서비스들, 파일공유 사이트들을 직접 공격하여 웹서비스의 소스를 변경한다. ( 운영자나 개발자가 눈치 채지 못하게 암호화 하거나 기묘한 곳에 아주 짧게 넣는 것은 기본이다.)

< 웹을 통한 악성 코드 유포와 활용에 대한 컨셉>

위의 이미지와 같이 다양하게 활용 되고 있다. 이중 90% 가량은 개인정보 유출 및 백도어 활용이 가능한 용도의 악성코드를 사용자에게 감염 시키고 5% 가량은 DDos 나 Arp spoofing 행위를 보인다. 나머지 5% 가량이 지난 농협 사례와 같이 내부망으로 공격하는 용도의 악성코드라 할 수 있다. 사실은 90%의 개인정보 유출도 동일하게 활용이 가능할 뿐이다. 사용처에 대해 구분을 하자면 이 정도라는 것일뿐.

2011년 11월 12일 현재의 상황

지난 몇년간을 위험성에 대해서 언급을 했었고 개인 차원에서 할 수 있는 최대한으로 발표와 기고, 컬럼을 통해 언급을 했었지만 아직도 우리는 한참을 더 가야 하고 현 상황을 돌아 보고 반성이 필요하지 않나 생각 된다.
물론 우리뿐 아니라 전 세계적으로 마찬가지지만 ..만약 우리가 대응을 잘한다면 미래에서의 인터넷의 주요 파워를 가지게 되지 않을까?

단순한 예상으로도 보안 문제는 앞으로 더 심각해 지며 , 악성코드의 갯수는 점점 더 많아 질 것이다라고 예상 할 수 있다. 시만텍과 맥아피도 손을 놓는 상황에서 누가 살아 남을 수 있을 것인가? 핵심은 대량유포 매커니즘을 깨야만 하는 것이고 이 매커니즘을 깨기 위해서는 다각적인 노력이 필요하다. 이 노력은 악성코드 유포에 이용 되는 많은 웹 서비스들의 문제점을 개선하는 측면 하나와 대규모 확산 이전에 차단 하는 노력이 병행 되어야 가능 할 것이다.

모든 웹 서비스들의 문제점을 개선하여 공격자가 인위적으로 웹소스를 변경 하지 못하도록 취약성을 제거 한다면 이 문제는 매우 명백하게 해결 되나 이렇게 될 가능성은 앞으로도 인터넷이 존재하는한 불가능하다. 최소한 방문자가 많은 사이트들에게는 일정 수준의 강요가 되어야 하고 즉시적이고 긴급한 대응이 계속 되어야만 한다.

더불어 길목을 차단하는 것으로 수십여곳 이상의 웹서비스에서 악성코드의 경로가 추가되어 모든 방문자들에게 감염 시도를 하는 것을 예방 할 수 있다. 웹 소스에 추가된 경로를 빠르게 인지하여 대응을 한다면 이게 가능해진다.

경로의 빠른 인지는 아직도 원초적인 ( 이벤트 탐지 방식) 방식에만 의존하고 있는데 이걸 우회하고 무력화 하기 위한 공격자들의 전략도 이미 출현한 상태이고 이 부분은 별도의 글로 남기고자 한다.
전략을 넘어서기 위해서는 좀 더 다른 방식의 접근이 필요하다.

탐지 체계에서도 다른 형태가 필요하며 대응체계 (주로 AV)도 변화가 필요한데 최소한 선제적인 대응이라도 못한다면 빠른 악성코드의 공유체계와 감시체계라고 존재해야만 효율을 높일 수 있다. 솔직히 한국을 대상으로 직접적으로 악성코드를 유포하고 있음에도 불구하고 한국내의 AV업체가 제대로 대응을 하지 못하는 것은 기회를 잃어 버리는 것과도 동일하다. 해외 보안분야 대기업들과 비교할 필요도 없다. 비교 우위를 가질 수 있는 고난의 시간을 그냥 보내는 것은 비극이다.

그럼 여기 금일자로 최소 50여곳 이상의 서비스들에 추가된 경유지를 살펴 보자. (하루 방문자 1만명만 해도 50만명이 감염 범위에 들어간다. 신규 악성코드라면 성공률은 거의 90%라고 봐야 하지 않을까? 최소한..)

A라는 서비스에 B라는 주소가 인위적으로 소스에 추가되어 있다. 우린 그 B를 추적하여 그 근거지를 보여주는 것이다. 일반적으로 사용자는 A라는 서비스에 브라우저로 연결만 하여도 B의 주소의 것도 같이 실행 되게 되어 감염 되는 것이다.

두 곳을 올렸다. 한 곳은 국내의 커뮤니티 사이트에 직접 올린 내용이고 또 다른 하나는 공격자가 만든 근거지이다.
현재 이 데이터를 확인 하는 것은 이미 발견 시간이 몇 시간좀 지나긴 했지만 아직도 전 세계에서 두번째가 아닐까 싶다.

만들어둔 공격자 다음으로 말이다.

* 최소 50여곳 이상의 웹서비스에서 악성코드를 사용자에게 배포하고 있슴에도 불구하고 구글의 Block 로직은 전혀 동작하지 않는다. Stopbadware의 데이터는 이전 기록을 가지고 대응하는 것일 뿐이지 지금의 문제는 아닌 것이다. 또한 판단근거가 부족하기에 탐지는 어렵다고 봐야 된다. 구글의 서비스 확장전략에 보안도 들어가 있지만 그것은 필히 실패할 것이다. 지난 6년간 수많은 비용을 들여 축적한 데이터의 신뢰도는 낮다. 그걸 입증하는 것도 어렵지 않다. 앞으로는 규모로 한번 해볼 예정이다.

그렇다면 이중에서 신규 플래쉬 공격코드로 유포되는 악성코드의 탐지는 어느 정도 되는지 확인해 보자.

단순히 보면 알겠지만 전 세계 주요 백신들 중에서 오직 하나 정도만이 휴리스틱으로 ( 악의성이 있다 정도? ) 탐지가 된다. 나머지는 전멸이다. 여기 백신에는 이름만 들어도 알 수 있는 모든 제품들이 포함 되어 있다.

즉 제대로 진단되는 백신은 하나도 없다는 의미와 동일하다.
( 시만텍이든 맥아피든 마찬가지다...)

서비스를 통한 차단을 하는 구글의 Stopbadware도 차단이 되지 않고 가장 악성코드를 많이 분석하는 회사들이나 모든 백신 회사들의 탐지에도 걸리지 않는다. 이게 지금 우리가 마주한 실질적인 위협이다.

지난 3주 이상을 샘플을 일부 분석해 보고 테스트 해봤지만 평균 탐지율은 10% 미만이다. 우리의 지금 상태가 그렇다. 오늘도 파일공유나 언론사, 커뮤니티 사이트에 대량 추가가 되어 있어서 한국내에서만 이 악성코드의 확산은 100만대를 상회할 것이라 예상된다. Adobe의 패치? 기대를 말자!.

우리를 보호하고 지킬 수 있는 것은 우리 자신 밖에 없다. 아무리 불법적인 사이트를 안가고 패치를 잘하고 보안제품을 쓴다고 해도 이젠 위험에 노출된 상황이다. 인터넷 서핑을 하지 말아야만 위험이 줄어 드는데 그럴 수 있는가?

다른 형태의 위협대응이 긴급하게 요구되고 즉시 대응이 되어야만 한다.

- 바다란 세상 가장 낮은 곳의 또 다른 이름

* 현재 여기에 올린 이미지의 내용을 인지하고 있는 곳도 없고 악성 공격코드의 최초 확보도 현재로서는 우리쪽에서만 가능하다. 좀 더 조용하고 은밀하게 해야 하지만 이 문제의 심각성에 대해서 인식이 부족하여 노출을 감내하면서도 자료를 일부 오픈 할 수 밖에 없다. 그러나 충분한 인식이 되었다면 우리도 정보 노출을 최대한 하지 않을 생각이다.

*개인적으로 지난 15년간 ( 벌써 ..후.) 많은 공개문서들과 컬럼, 의견들을 올렸는데 한번쯤 정리를 할 필요성을 느낀다. 여전히 새롭게 이 분야에 들어온 많은 분들이 모르는 것들이 많다. 먼지 쌓인 외장 하드의 전원을 한번쯤 올려야 겠다. History of p4ssion 정도

해외 보안 이슈 촌평 및 간략 2011.11.1

바다란 — Tue, 01 Nov 2011 13:30:34 +0900

* Facebook에 올렸던 촌평을 묶어서 게시한 내용입니다. - p4ssion

Chinese Military Suspected in Hacker Attacks on U.S. Satellites - Businessweek

http://www.businessweek.com/news/2011-10-27/chinese-military-suspected-in-hacker-attacks-on-u-s-satellites.html

블룸버그 뉴스보도 입니다. 2007년과 2008년에 미국의 기상관측 위성과 지형관찰 위성에 4회 정도의 침입이 있었다는 보도 입니다.

항상 오해를 하는 것이 위성을 해킹한다는 것은 위성에 직접 침입한다는 것이 아니고 위성을 조정하는 지상의 시스템을 권한 획득 했다는 것이죠. 마찬가지 결과 입니다만 항상 오해를 하죠.

실제 위성에 대한 권한 획득이나 외부조정의 배경에는 중국 군부가 있을 것으로 당연히 예측 되었으나 중국은 부인 하죠.

실제 사이버전의 배경도 마찬가지 입니다. 외부세력에 의해 분쟁이 조정 될 수도 있고 또 다른 세력에 의해 사이버전이 조장 될 수도 있습니다. 그만큼 실체와 정체를 확인 하기가 어려운 전장임은 분명합니다.

또 상대방을 조작하기에도 손쉬운 전장이구요. 미국에서 사이버전을 제 5의 전장으로 정의하고 물리적 전투력을 투입 하겠다는 것은 그래서 위험한 발상입니다. 위험한 발상이지만 그만큼 극도로 위협을 받고 느끼고 있다는 것의 반증이기도 하죠.

그럼 우리나라는??.

흐 손이 아프니 그만 하도록 하죠.

China a minimal cyber security threat: Paper

관련 기사 및 Report 입니다. 한번 일독은 필요한 부분 입니다.
http://www.computerworld.com.au/article/405767/china_minimal_cyber_security_threat_paper/
http://www.securitychallenges.org.au/ArticlePDFs/vol7no2Ball.pdf

중국의 단점은?. 한쪽으로 너무 치우쳐진 불균형적인 사이버전 전력.

극단적인 공격 측면에만 치우쳐져 있고 실상 방어에는 무기력한 면을 보이고 있다는 점. 단순한 기사들과 관련 기사들을 묶어서 종합적인 의견을 도출해낸 페이퍼 정도. 그냥 일상적으로 알고 있는 내용을 묶었다고 생각 하면 될듯.

공격에는 극한대로 올려진 공격력을 가지고 있으나 좀 더 복잡하고 하이브리드한 공격에는 약하며 ( 뭐 시간이 해결해 주겠지만.) 방어 측면에서는 상당히 취약함을 보임. 그러나 가장 두려워 해야 할 곳들은 어디인가를 살펴야 하는데 그게 부족한듯.

ICT가 활성화 되어 활발하게 활용되고 있는 모든 국가들 ( 아마 선진국이나 그 문턱에 걸려 있는 모든 국가가 해당됨), 즉 지켜야 할 것이 많은 국가들은 반드시 방어와 보호에 역량을 갖추어야 된다. 무조건 공격이나 탐지 되면 미사일 쏘겠다는 엄포로는 씨알도 안먹힌다는걸 알아야 되는데 안타까움.

일정수준 이상의 대응 경험, 계속 갱신되는 환경과 정보에 대한 업데이트, 다양한 대응수단, 일정 수준 이상을 항상 유지 할 수 있는 도구나 서비스의 자체 운영 등등.. 해야할 과제들이 이렇게 많은데 그냥 넋을 놓고만 있다.

일단 당하면 시작하자 ..이기도 하고 너무 무지해서 이기도 하며 정보통신은 그저 사회를 유지하는 도구일뿐이라고 생각하기 때문이기도 하다.

인간의 단어는 사람 사이이고 사람 사이는 관계를 의미한다. 이 관계가 사회를 이룬다. 지금의 ICT 는 관계를 시.공간적으로 단축하고 즉시적 반응을 끌어내는 핵심적 도구다. 즉 사회의 기반이라는 말이다. 왜 SNS 인가? 부터..

허긴 당하고서도 허송세월 하기도 하는데 .. 다른 나라들을 말할때가 아니기도 하지.

Process, not just product, will save your IT department • The Register

http://www.theregister.co.uk/2011/10/26/rtfm_process/

일단 여기에 대한 의견은 많음. Grossman 의 의견도 맞지만 프로세스가 모든걸 해결 하지 않으며 그 프로세스가 또한 정답이 될 수 없음. Intermediate 한 도구 및 프로세스가 결합되어야 하는데 현재는 그것과 거리가 있음. ITIL 이나 Cobit , ISO27K 등도 모두 유용한 프로세스이나 이 프로세스를 도입하여 적용 하기에는 성숙도가 너무 떨어짐.

부유하고 여유가 있는 자들만이 이 세상을 가치있게 만드는 것이 아님.
모든 사람들에게 공정한 기회가 주어져야 하고 보안도 마찬가지 여야 된다고 생각함.

지금까지는 가진자들에게만 모든 보호 방안들이 주어졌으나 이제는 그렇게 되어서는 사회 나 시스템 전체를 레벨업 할 수가 없다고 보고 있슴.

그래서 본인의 선택은 ..모든 것을 자세하고 완벽하게 하기 보다는 가장 시급하고 손쉽게 공격당하는 부분들에 대해서 체크하고 아주 저가에 진단이 가능하며 실질적인 코딩 가이드까지 된다면 일차적인 문제는 해결을 할 수 있다고 봄.

빈자나 부자에게나 공정한 기회. 그 기회는 서비스로서 주어질 수 있다.

항상 보안을 한다고 하면 비싼 장비를 먼저 도입하는 것이 순서이고 당연한 것처럼 여겨졌으나 이 문제들은 앞으로도 공격기술의 빠른 진보에 의해 손쉽게 무너질 모래성임. 그렇다고 도입 하지 말자는 아니며 도입하되 더 중요한 가치를 어떻게 지키고 전체의 수준을 어떻게 유지 할 수 있을 것인가에 대한 고민이 필요하다는 점.

부자는 전체를 살펴 볼 수 있게 해주고 빈자에게는 당장의 시급한 문제를 해결 할 수 있게 해준다가 빛스캔의 서비스 컨셉임.

다만 한국에는 실정상 맞지 않는 부분이 있고 이미 알고 있는 부분이며 지금의 서비스 오픈은 차후를 대비한 명분축적용. 이미 글로벌 적용은 눈앞에 온 상황이고 거기에 포커싱이 되어 있을 뿐임.

제대로 되었을 경우의 뒷일에 대해선 언급 불필요.
알아서 느낄리도 없겠지만 댓가는 비싼 댓가를 치룰 것임.

이미 오래된 이야기이고 생각일뿐. 이젠 구체화의 타임.
앉아서 세상을 본다. 이게 인터넷이고 평등한 세상. 모두가 위협을 받는 평등한 세상에서 기회란 접근성의 확대와 시대적 문제를 해결 할 수 있느냐 이고 아직 이런 개념을 가지고 준비하는 곳은 없다. 오로지 돈이 목적일뿐.

이상과 방향이 없는 기업이나 서비스 모델은 이래저래 바뀌고 변경 되다 누더기가 되게 마련이고 종래에는 흔적없이 사라지게 마련이다. 그렇게 만들지는 않을 것이다. 어차피 대상은 여기가 아니니까..

Strong increase in hacker attacks targeting retailers - Security Park news

http://www.securitypark.co.uk/security_article266904.html

Dell Secure works에서 소매점 대상으로 분석한 공격의 증가 현상과 원인에 대한 내용. 의미 있는 내용들이 있슴. 이제 해외에서도 상황에 대한 기본 인지가 되어 간다고 봐야 할듯. 그러나 해답은 저기 먼 안드로메다에 여전히 가 있는 상태. 어쩌면 말그대로 자포자기 상태로 가는지도 모르겠다.

지금껏 그 완벽한 보안솔루션 ( 최초 혹은 완벽 이라는 말이 안 붙은 솔루션이 있던가? .. 단지 현혹을 위한 단어 선택이라면 앞으로 계속 후회하게 될듯) 들의 역사는 그리 오래 되었음에도 불구하고 문제는 계속 더 커지고 확산 되는가 .. 고민이 필요하다.

간단하게 요약하면 전년대비 소매점으로 부터 들어오는 의심 트래픽에 대한 차단이 거의 43%가량 증가 했다는 이야기이고 이 근간에는 세 가지 주요 요인들이 존재 한다고 분석 .

1. SQL Injection에 의한 직접 정보 탈취 및 권한 탈취 -서비스 영역

2. Web kit에 의한 대규모 확산 - 뭐 별거 아니다. Web으로 조정이 가능한 Web bot 정도 생각 하면 된다. 예전 Botnet은 저리 가라 할 정도..

3. Web을 통한 Download action에 의한 감염 - 이건 기본 보호 솔루션들을 통과하여 발생 하고 이후 Web kit을 전파하거나 다양한 공격 도구 및 권한 획득 도구를 시스템에 설치한다.

이 세가지 항목 모두 사용자 베이스 및 서비스 베이스에 동일하게 발생이 된다는 것이고 근본적인 것은 단 하나다.

취약한 웹 애플리케이션에 의한 정보 유출 및 악성코드의 대규모 유포가 핵심!.
그리고 이 문제점을 수정 ,보완 하는 것은 매우 어렵다는 것을 의미한다. 수없이 많은 도메인 , 언제든 수시로 변경 되고 갱신되는 Web app 차원에 상시적인 보안을 유지 한다는것은 매우 어려운 과제이다. 앞으로도 계속 될 문제라는 것.

앞으로 더 증가 할 것은 불을 보듯 뻔한 것 아니겠는가?
기존 도구들로 최대한 노력을 해보길~ 자신 이외에 주변 것들 까지도 같이 수준을 올려야 할 것이다. 듣기좋은 말 하지 않겠다. 할 수 있으면 해볼 것.

도를 아십니까? 도를 닦으십니까?

바다란 — Tue, 11 Oct 2011 10:47:30 +0900

도를 닦다. !!!

일반적인 오해와 달리 가장 인간으로서의 삶에 통찰한 구절이라 할 수 있다. 도라는 것은 길이다 스스로가 걸어가는 길을 밝히는 것이 도이며 스스로가 걸어 가야할 가치임을 말한다. 모든 인간은 각자의 길을 가지고 있으며 그 길을 가며 조화롭게 상호존중 하는것이 세상의 궁극이다.

때론 오솔길을 만나고, 험난한 절벽을 만나기도 하며 누군가 닦아 놓은 포장도로를 만나기도 한다. 인간의 보물은 쉽게 손에 닿지 않는 곳에 있다. 또한 자신의 길은 오직 자신만이 밝히고 찾아 갈 수 있다. "나를 따르라" 부류들은 오직 길을 참고 할 수 있는 가로등일뿐이지 반드시 따라야만 하는 것이 아니다.

목적지에 도달 하기를 주저하고 험난한 길을 마다하는 많은 사람들은 순례자가 될 수 없다. 신을 절대적으로 따르는 모든자들도 자격은 없다 신은 단지 어두운 밤길의 등불일뿐이지 가이드가 아니기 때문이다. 길을 밝히라 했더니 등불을 따라가는 꼴과 같기 때문이다.

스스로의 보물을 얻기 위해선 스스로의 길을 가야만 한다. 목적지가 다른 포장도로는 편한길처럼 보여도 반대방향으로 질주 하는 코스이다. 지금의 많은 교육과 계층의 문제도 미어터지는 포장도로위의 줄세우기일 따름이다 본시 인간의 가치는 스스로를 알아가고 찾아가는 것에 있는데 지금은 인간위에 서기만을 바란다.

변화보단 혁명적인 자아성찰이 필요한 당신. 지금 어느길 위에 있는가..

고통은 당신을 좀 더 단단하게 만들뿐인 우주의 진리를 깨우치지 못하는 자들에게 눈 앞의 길은 절대로 보이지 않을 것이다.

길 위에서 길을 묻다! 도를 닦아라 스스로를 위한길을

고통을 즐길줄 아는 동료를 보내다.

바다란 — Thu, 06 Oct 2011 11:03:13 +0900

가장 바닥의 모습에 직면한 자신을 돌아보고 죽음과 대면하여 얻어낸 가치를 가지고 있던 동료.

고통을 이겨내는 방법을 알고 있던 몇 안되는 동료를 떠나 보낸다.
고통이란 무릇 즐길 수 있는 자에게만 쾌락이 되고 기쁨이 된다. 즐길 줄 아는 몇 안되는 동료.

세상에 가장 중요한 것이 무엇인가?
죽음과 직면하여 그가 건진 화두는 무엇 이였을까?

작은 이익에 연연하지 않으며 세상을 보다 더 낫게 만들고자 한 정신적 가치의 실현.
그 끝에서 정점을 찍었던 동료가 떠난다.

그가 세상에 남긴 가치는 세상 사람들의 가슴에 남아 있을 것이다.
그를 폭압적인 독재형 CEO로 기억 하는 사람도 있고 새로운 지평을 열었다는 평가자들도 존재한다. 그러나 한가지 분명한 것은 그는 스스로의 가치를 입증 했다는 점이다.

기존의 질서에 만족하지 않으며 스스로의 질서를 만들어간 초인.

가슴에 유언을 담고 항상 마지막이라는 생각으로 혼신의 힘을 다했던 장인,
죽음 앞에서 덤덤한 스스로를 마주했을 그 사람.

깊고 깊은 심연 속에서 스스로의 삶에 가치를 부여 해야만 했던 고독한 자.

40대 중반에 그를 철저하게 변화 시킨 것은 죽음이라는 화두 였고 이전의 모든 경험들이 그를 한 차원 높게 만들어 버렸다. 그가 죽음과 직면 하지 않았다면 그는 다음 단계로 가지 못했으리라.
죽음과 직면하여 그는 무엇이 더 중요하고 어떠한 것이 가치가 있는 것인가에 대해 심각한 번뇌와 고민을 했으리라..
죽음앞에 마주서면 가장 중요한 것들만 직시하게 된다.
세상과 타협하지 않으며 스스로의 가치를 만들 수 있는 혜안과 두려움 없는 도전. 이 모든 것들은 가장 바닥에서 건진 그의 자산 이였으리..

이미 2005년에 그는 죽음 속에서 건진 스스로의 화두를 내뱉었다.
알든 모르든 그는 이미 그 삶의 화두를 던졌다.

Stay hungry, Stay foolish.

그가 죽음에서 건진 화두이고 무엇을 추구하던 치열하고 집착이 있어야 하며 스스로에게 가장 충실하라는 말이 될 것이다. 세상이 어리석다 손가락질 할지라도 스스로의 가치를 볼 수 있다면, 그것이 결국엔 자신에게 돌아온다는 의미가 된다.

열정의 또 다른 의미.

맹자의 인물론에 보면 하늘이 사람에게 일을 맡길 때에는 그 일을 감당 할 수 있을만큼의 시련과 고통을 준다고 했다. 아주 오래된 이야기이나 지금이나 미래의 인간 세상에서도 동일한 가치를 가진다.

새로운 질서를 만들고 지형을 바꾸어 나간 동료의 떠남에 애도하며
Stay p4ssionable..

[갱신]구글이 탐지 할 수 없는 위험과 신호 20110910

바다란 — Sun, 11 Sep 2011 00:00:40 +0900

* 9.14일의 점검 결과로 추가 보강 하였습니다. 9.10일 3개 사이트 5개의 링크에서 국내만 현재 19800여개의 페이지로 확산 되어 있습니다. 자동화된 공격이 얼마나 일반적인지 확인 하시기 바랍니다. 더불어 구글의 검색 수집과 정렬의 시간차가 있고 공격자들은 이미 이 패턴을 가볍게 벗어난다는 것이죠. 9.14 현재에도 새로운 fake av 유포 URL이 발견 되었습니다.
fake av를 설치하는 링크가 추가된 사이트들 모두 DB의 데이터는 모두 유출 되었다고 봐야 됩니다. 이제는 그 가치도 없어서 다만 fake av를 설치하는 껍데기로 전락한 사례가 되겠죠. 근본 문제 수정 없이는 계속될 이야기 입니다.

------------------------------------------------------------------------------

이틀전 올린 허위백신 설치 통로인 bookmonn.com/ur.php가 구글 검색에 반영되기도 전에 어제( 2011 9,9)부로 새로운 경로로 변경이 되고 있다. 현재 모니터링 대상에서만 70여곳 (국내사이트 ) 이상인데 불구하고 구글 검색에는 10개 정도 나온다. ~

구글 검색 믿지 마시라.~ 그냥 자료 찾는 정도로만 활용하자. 구글의 세이프 브라우저도 마찬가지이다. 크롬이나 파이어팍스 사용중에 붉은색으로 화면 전환 되는 것들 몇 번 경험들 하셨을텐데.. 그 실체가 구글의 데이터 기반 ( stopbadware.org 참고) 이다. 과연 믿을만 한 것인가에 대한 의심은 누구도 하지 않았을 것이다. 또 실제로 구글 같은 규모의 회사와 서비스에 검증할 만한 용기를 가질 곳도 없을 것이다. 전 세계 누구라도..

데이터와 증명이 가능한 수치만 있다면 동일 모집단 대상으로 하였을 경우에도 충분한 설득력을 가질수 있다.
이미 데이터는 누적이 되어 있고.. 잠시 여유 있다면 더 진행 할 예정이나 단순히 눈에 보이는 몇 가지 만으로도 부분적인 확인들은 가능하다.

과연 실제 위험은 무엇인가? 하는 질문도 가져야 할 것이고 빙산의 일각은 정말 운이 좋아야 걸리는 정도라고 해야 될까?

검색을 통해 나오는 공격의 흔적은 이미 검색에 나오는 이상으로 대규모 확산되어 있는 것이 기본이다. 성공한 공격은 통계에 나오지도 않는다. 일부 실패한 것들만 어쩌다 걸릴뿐인거다. 검색어 기반의 패턴을 이용한 매칭은 초기 자료의 정렬에도 많은 시간이 소요 될 수 밖에 없다. 그리고 패턴매핑에 걸려드는 데이터들도 시일이 지나야만 정리가 될 것이고 의미 있는 자료가 될 수 있다. 이때는 이미 공격은 한차례 지나가고 또 다른 변화를 가진 다음일 것이다.

이틀전 9.7일에 발견된 bookmonn.com/ur.php 를 이용한 허위백신 경로가 대폭 변경이 되고 있다.

bookgusa.com/ur.php 로 변경 되었다. 그리고 이 데이터는 지금 이순간 전 세계 어느 누구도 모른다. 오직 공격자와 우리만 알고 있을 뿐이다. 그 결과를 살펴보자.

이미지 상으로 보면 중복제외하고 국내는 세곳이 나온다. 그리고 전세계를 통털어도 10곳 미만이 나온다. (중복제외).. 그러나 빛스캔의 대규모 유포 탐지에는 이미 70곳 이상의 웹서비스에서 유포가 되고 있다.

성공한 공격은 나타나지 않으며 무작위로 대입하다 실패한 것들만 일부 드러나는 현실이라는 점을 인식해야 한다. 또 fake av 설치로 유도하는 경우는 대부분 다운로드 없이 이슈가 발생하고 있어서 탐지나 대응은 아주 한참 뒤에나 가능해 진다. 대체 사전 대응. 즉 선제적 대응이라는 말은 이 분야에서 가당키나 한 것일까?

체계를 위협하는 진짜 위험한 것들은 검색 정도에 걸리지 않는다. 대놓고 공격하는 조무래기들 조차도 제대로 찾지 못하는 마당에 무얼 할 수 있을까?

구글 보다 나은게 뭐냐는 질문이 있어서 .. 신속, 정확, 현실적 위험도를 보는 관점이 다름을 알려 드리기 위해 잠시 소개한다.

또 하나의 그림을 보도록 하자. 9.10일자로 감지된 빛스캔 탐지 체계의 일부 화면은 다음과 같다.
큰 차이를 보이고 있음을 알 수 있다. 웹소스를 분석하는 구글조차도 결과가 형편 없을진대 다른 보안업체들은 말해 무엇하랴.. ( 국내는 비교할 필요 없이 전 세계 주요 기업들 모두 마찬가지이다. ) 현재 거의 할 수 있는 일이 없을 것이다. 한참 지난 후 침해사고 분석이나 여러 자료를 통해서 확인을 할 뿐이고...

좀 더 재밌는건 현재도 유일하게 잡아내는 체계이지만 곧 탐지이후 분석 단계까지 자동화 단계로 돌입 된다는 점이다. 공격하는 자들과 경쟁이 될 수 있을것 같다. 전 세계를 무대로...

다른 기업들과 경쟁 하는 것은 관심이 없다. 공격하는자들, 조롱하는 자들과의 승부가 가능한가에는 관심이 있다. 또 그것이 궁극적으로 최선의 길에 이르게 할 것임을 이미 잘 알고 있다. 그 길에 열정을 다할 뿐인것이다.

* 추가 확인을 위해 9.14일 오후에 확인된 구글 검색 결과를 올려 드립니다.
현재 국내 도메인만 19,800 여개의 페이지에 걸려 있음을 확인 할 수 있습니다. 불과 4일전만 해도 3개 사이트 5개의 페이지만 나오던것에서 말이죠. 현재 공격의 심각성을 분명히 인지해야 할 것입니다.

- 바다란