태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'방어자'에 해당되는 글 1건

  1. 2010.07.13 7.7 DDoS 이젠 관심 대상 기간이 아니다?
보안관련소식2010.07.13 11:23


지난 주 7월 7일은 새로운 공격 이슈로 인한 특별 대응 상황이 발생하지는 않았고, 작년에 잔류했던 일부 악성코드의 재활동에 의해서 예상하지 못한 부분의 소규모 DDoS 공격이 재발하는 문제 처리와 전용백신 배포 안내 등의 긴급 대응 등이 있었습니다.

사용자 삽입 이미지

아울러 조금 전 방송통신 위원회에서는 사이버 위기 경보 단계를 "관심"에서 "정상"으로 낮추었네요.

그럼 작년에 치밀하게 Digital Zombie 군단을 준비하고 다양한 Command and Control(C&C) 명령 기지를 구축했던 DDoS Attacker 들은 금번 상황에 대해서 어떻게 지켜봤을까 하는 생각을 잠시 해봤습니다.

보통 사이버테러 적인 공격 성향을 짐작하고 사전에 준비하기 위해선 예상 가상 시나리오 등을 도입하여 미리 공격자의 행동과 심리를 충분히 분석, 예측 함과 동시에 주요 표적이 될 만한 곳과 취약 지점에 대한 만반의 대비 태세를 갖추도록 하겠지요.

역지사지 자세로 방어 입장이 공격 입장이 된다면 사이버 범죄자들의 공격 심리를 파악할 수도 있고, 방어자기 쉽게 생각하지 못하거나 예상 범위에 전혀 대상이 되지 않았던 곳들도 모의 훈련 등에 포함시키기도 하고요.

사용자 삽입 이미지

가끔 범죄 스릴러 등의 영화의 한 장면을 보면 작은 증거들이 범죄자 검거에 결정적 단서로 사용되는 경우를 종종 보게 되듯이, 사이버 범죄에서도 이러한 부분이 무시되지 못한다고 볼 수 있을 듯 싶습니다.

실제로 Anti-Virus 제품에서 악성코드 진단 등에 사용하는 Heuristic, Generic Detection 접근법 역시 알려진 악성코드 파일의 구조 형식이나 활동 변수 조건 등을 탑재하여 기존의 Pattern 구조에 존재하지 않았던 새로운 악성코드를 사전 방역(Proactive)하는 개념이 있고, 이것은 기존에 보고되었던 다양한 단서(변수)의 집합체를 통해 점점 만족스럽고 신뢰할 수 있는 해답을 찾기 위한 일련의 과정이라고 볼 수 있겠지요.

도망 중인 범죄자의 몽타주(Montage)를 이용하거나, DNA 나 지문 추출 등을 통해서 범죄자 추적에 활용하는 방식이 매우 흡사하지 않나 싶기도 하네요. 반대로 범죄자들은 자신의 얼굴 노출을 막기 위해서 가면을 쓰거나 변장을 하고, 지문 노출 등을 피하기 위해서 장갑 등을 사용하지요.

악성코드 들도 자신의 탐지를 우회하기 위해서 암호화를 하거나 압축을 하거나 하는 등의 행동을 유사하게 하고 있지요.

사이버 범죄가 점차 지능화, 고도화 될 수록 방어자의 입장은 공격자에게 쉽게 노출 될 수 있는 것이 현실이고, 악성코드 변종이 지속적으로 출몰하는 이유가 되는 부분이기도 할 것입니다.

사용자 삽입 이미지

그렇다면 공격자가 치명적인 사이버 위협을 가하기 위하여 어떻게 공격 스케줄을 결정하고 행동에 이행할 것인가에 초점을 맞출 필요가 있지는 않을까요?

작년 7.7 DDoS 사례를 뒤돌아 본다면 좋은 교훈이 될 만한 사례가 아닐까 싶습니다.

그 동안 다양한 루트를 통해서 많은 악성코드들이 유포된 바 있지요. 그 중에서 Web 을 통한 악성코드 유포 방식은 가장 유행하고 있고, 단시간에 많은 악성코드를 불특정 다수에게 신속하게 감염시킬 수 있으니깐요.

그러나 이미 발견되었거나 보고되었던 방식을 쓴다면 악성코드는 쉽게 감지되고 예견될 수 있을 것입니다. 그렇기 때문에 공격자는 방어자가 쉽게 눈치채지 못하는 새로운 방식을 준비하고 도입하게 되겠지요.

2009년 7.7 DDoS 기능을 탑재한 악성코드는 서울과 부산의 특정 모 웹하드 관련 프로그램을 불법적으로 변경하여 정상 서비스를 수행하는 사용자들에게 DoS 기능을 탑재한 악성코드를 무차별적으로 유포한 것으로 알려져 있듯이 말이죠. 사고 이전에 보안 업체가 일반 웹하드 프로그램까지 관제하고 분석하지는 않았다는 점에서 깜짝 놀란 부분이기도 합니다.


자 그렇다면.. 7.7 DDoS 1주년이 지난 지금 이 무렵.. 공격자가 새로운 공격을 감행한다면 어떤 상황이 발생할까요?

아마 허를 찔리는 상황이 발생하지는 않을까요? 하지만 우리의 방어자들도 그리 어리숙하진 않지요!


Posted by viruslab