태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

보안관련소식2010.09.02 13:27


2010년 08월 27일에 KBS 스펀지제로에서 좀비PC라는 내용이 방송되어서 각종 포털 사이트 검색순위 상위에 랭크되기도 했었는데요.

관련 내용이 사회적으로 보안에 대한 경각심을 일깨워 주었다는 점에서 큰 반향을 일으킨 것 같습니다.

악성코드와 좀비 PC에 대한 내용을 일반인분 들이 쉽게 이해할 수 있도록 구성을 한 것 같습니다.

혹시 못 보신 분들을 위해서 방송 다시 보기 주소를 알려드립니다.]

해당 내용은 40분 38초경부터 시작되며, 로그인(가입 필요)만 하시면 일반 화질로 무료 시청이 가능합니다.

[주소]
http://www.kbs.co.kr/2tv/enter/sponge/view/pod/1669854_34482.html


사용자 삽입 이미지

일부 내용만 로그인 없이 보기(찜)

http://www.kbs.co.kr/zzim/player/html/vmplayer/index.html?markid=1808257

Posted by viruslab
보안관련소식2009.08.27 08:26


잉카‧컴투르, DDoS 방어 솔루션 DDoSCop 출시
 

 
사용자 삽입 이미지

 ▲ 잉카인터넷 주영흠 대표

 
사용자 삽입 이미지

                                                                   ▲ 잉카인터넷 장화철 부사장

정보보안업체 잉카인터넷과 DDoS 장비 업체 컴투르테크놀로지가 만나 DDoS 공격을 막기 위한 통합보안 솔루션을 선보였다.

잉카인터넷은 26일 잠시 롯데호텔 에매랄드룸에서 DDoS 방지 솔루션 신제품 출시회를 갖고 본격적이 영업에 돌입한다고 밝혔다. 양사가 이번에 선보인 제품은 'nProtect DDoSCop'으로, 잉카인터넷의 대표 보안솔루션인 엔프로텍트와 컴투르테크놀로지의 DDoS 장비가 결합된 게 특징이다.

이날 잉카인터넷의 주영흠 대표는 인사말을 통해 "최근 사이버 공격의 유형은 다양한 방식이 융복화되는 추세이기 때문에 하나의 민간 업체가 이 부분을 다 커버할 수 없는 상황"이라며 "잉카와 컴트루의 협력은 100%는 아니더라도 완벽에 가까운 DDoS 보안솔루션을 제시하기 위함에 목적이 있다"고 양사의 협력 배경을 설명했다.

이후 장화철 부사장은 '왜 잉카여야만 하는가?'라는 주제의 개회사를 통해 "천둥과 벼락 중 무엇이 더 무서운가라는 질문을 초등학생에게 던지면 천둥소리가 무섭다고 대답할 것이다"라며 "그러나 중학생이나 고등학생의 경우에는 천둥을 따라오는 벼락이 더 위험하다는 사실을 알고 있다"고 보안 영역의 우선순위에 대해 말을 꺼냈다.

이어서 장 부사장은 "정부나 국가 기관에서는 천둥소리를 막으려 노력하는데 실제로 위험한 것은 바로 벼락"이라며 "DDoS는 웹서버를 공격하는 행위가 위험한 것이 아니라 클라이언트가 좀비PC로 전락하는 것을 막는 것이 중요하고, 이러한 문제를 가장 잘 인지하고 있는 기업이 바로 잉카인터넷"이라고 강조했다.

양사가 이날 선보인 'nProtect DDoSCop'은 기타 DDoS 제품과 유사한 ▲이상 징후 탐지 ▲이상 징후 경보 ▲차단명령 업데이트 ▲악성코드 샘플분석 ▲악성코드 차단패턴 업데이트 순의 방어 패턴을 갖췄다.

이번 신제품이 기존 DDoS 장비와 프로세서스가 크게 다르지 않은 것처럼 보이지만, 그 내막을 살펴보면 제반 인프라에서의 경쟁력을 찾을 수 있다. 일단 잉카인터넷 측은 자사가 확보한 4억명의 클라이언트에 대한 중요성을 강조하고 나선 것.

잉카인터넷 측은 "잉카인터넷은 4기가의 트래픽을 감당할 수 있는 네트워크 인프라를 기반으로 전세계 4억명에 달하는 클라이언트를 확보했다"며 "국내에서만 일일 4000만건에 달하는 클라이언트 다운로드가 이뤄지고 있어 규모면에서는 세계 최고 수준"이라고 말했다.

또한 "폭넓은 클라이언트로 수집되는 정보는 잉카시큐리티대응센터로 모여 악성코드 등의 샘플을 신속히 확보할 수 있다"며 "'nProtect DDoSCop' 장비가 있었던 상황에서 7.7 대란과 같은 상황이 발생하면 72시간이 소요됐던 대응체제를 24시간 이하로 줄일 수 있었을 것"이라고 덧붙였다.


김남규 기자 ngkim@eto.co.kr
사진 / 도정환 기자dokingma@eto.co.kr
영상 / 이광진 기자mcbcast@eto.co.kr

Posted by viruslab
보안관련소식2009.07.11 18:03


개인적으로 이번 국가기관, 주요 포털 및 금융, 언론, 보안사이트 등을 대상으로 한 분산 서비스 거부(DDoS : Distributed Denial of Service) 공격과 악성코드에 노출된 개인 컴퓨터를 대상으로 한 데이터 파괴 공격, 불특정 다수에 대한 Mass Mailer 공격 등은 나름대로 아주 오래 전부터 이론적 예측으로만 생각했던 가상 사이버 테러 시나리오와 견주와 봤을 때 매우 유사한 점이 있다.


물론 이러한 공격기법은 전혀 새로운 것은 아니다.
일부 코드는 기존에 발견되었거나 소스가 공개된 악성코드를 사용했다는 점에서 특히 그러하다.

다만, 실질적인 DDoS 공격으로 인한 직접적인 피해가 발생하기 전 까지 사태의 심각성을 일부 깨닫지 못했던 점과 엄청난 사용자들의 컴퓨터가 새로운 악성코드에 감염되어 C&C의 코드 공격 명령(변종 포함) 등을 대기하고 공격 근원지가 되는 일종의 사이버 전투 부대화되어가고 있었다는 것을 각 보안기관과 연구원들이 사전에 인지하지 못했다는 것은 안타깝지만 인정하지 않을 수 없는 사실이다.

약 13년 여간 악성코드와 관련된 정보 보안쪽에서 활동해오면서그 동안 가상 시나리오로만 생각했던 이번 공격은 개인적으로 일부 현실화되였다는 부분에서 바쁘게 DDoS 공격 긴급 대응업무를 처리하는 과정에서도 나름 놀라지 않을 수 없었다.

아직도 구체적으로 확인되지 않은 초기 악성코드 감염 기법(취약점)과 최초 유포 경유지(진원지) 등이 면밀하게 밝혀지지 않고 있다는 부분 또한 아직 알 수 없는 미지의 공격자가 추후 어떠한 재무장을 하여 또 다른 공격 시도를 감행할 것인지 알 수 없다는 점은 그 만큼 사전 방어책 준비에 다소 시일이 소요될 수 있는 부분이 아닐까 싶기도 하다.

이번에 있었던 일명 "7.7 DDoS" 국가적 대란 사태를 경험하면서 개인적으로 가장 궁금한 것은 도대체 어떠한 방식을 사용하여 Zombie 컴퓨터로 몰락한 그 수 많은 개인 사용자들의 컴퓨터에 DDoS 공격용 프로그램을 사용자 몰래 설치했을까이고, 그 과정에 소요된 시간과 보안 취약점은 무엇일까라는 점이다.

참고로 글 작성자인 본인은 2009년 7월 6일 월요일에 국내 감염 컴퓨터의 신고 접수를 최초로 받은 바 있고 원격접속으로 처음 분석을 하게 되었으며, 당시에는 언론상에서 1차 공격(한국 공격 기준 분류법)이라고 분류하고 있는 악성코드가 아닌 그 이전의 변종을 목격하였다.

당시에 국내의 컴퓨터는 미국 아마존 사이트(http://www.amazon.com)를 공격하고 있었던 변종이었고, 사전에 치밀하게 정해진 시간이 지남에 따라 공격 목표 사이트가 자동으로 한국으로 바뀌게 된 것으로 볼 수 있다.

이미 한국 사이트를 공격하기 전에 미국의 특정 사이트를 선제 공격(사전 모의 테스트?)하고 있었던 점이 특징이라 할 수 있으며, 7월 7일 이후부터 공격 목표가 미국에서 한국을 향해 방향을 변경하였다는 점이다. 물론 이후에도 일부 미국 사이트는 계속해서 공격 대상에 포함되어 있기도 하였다.

따라서 실제로 이번 공격은 미국의 독립기념일(Independence Day)인 7월 4일 다음날인 7월 5일경부터 시작된 것으로 보여지고 있다.
그래서인지 몰라도 공격자는 악성코드에 "Memory of the Independence Day" 라는 문구를 넣어 두었고, 데이터 파괴에 이용한다.

아마도 미국 독립기념일(7월 4일)과 관련하여 준비되고 공격된 이번 DDoS 피해를 기억하라는 의미는 아닐지 모르겠다.
그렇다면 내년 미국 독립기념일이 두번째 예고된 공격일이 될지도 모른다는 조심스런 예측도 해보게 된다.


7월 5일경 부터 7월 6일까지 공격 대상으로 이용되었던 해외 주요 사이트 목록은 다음과 같다.

- http://www.whitehouse.gov
- http://www.faa.gov
- http://www.ustreas.gov
- http://www.dhs.gov
- http://www.state.gov
- http://www.dot.gov
- http://www.ftc.gov
- http://www.nsa.gov
- http://www.usps.gov
- http://www.voanews.com
- http://www.yahoo.com
- http://www.defenselink.mil
- http://travel.state.gov
- http://www.nyse.com
- http://www.nasdaq.com
- http://www.site-by-site.com
- http://www.marketwatch.com
- http://finance.yahoo.com
- http://www.usauctionslive.com
- http://www.usbank.com
- http://www.amazon.com

7월 7일 한국내에서 발견되었던 사이트 목록을 보면 다음과 같다.

- http://www.president.go.kr (청와대)
- http://www.mnd.go.kr (국방부)
- http://www.mofat.go.kr (외교통상부)
- http://www.assembly.go.kr (국회)
- http://www.usfk.mil (주한미군)
- http://blog.naver.com (네이버 블로그)
- http://mail.naver.com (네이버 메일)
- http://banking.nonghyup.com (농협 인터넷 뱅킹)
- http://ezbank.shinhan.com (신한은행 인터넷 뱅킹)
- http://ebank.keb.co.kr (외환은행 인터넷 뱅킹)
- http://www.hannara.or.kr (한나라당)
- http://www.chosun.com (조선일보)
- http://www.auction.co.kr (옥션)
- http://www.whitehouse.gov (백악관)
- http://www.faa.gov (미 연방 항공청)
- http://www.dhs.gov (미 국토 안전부)
- http://www.state.gov (미 국무부)
- http://www.voanews.com (미국의 소리 방송)
- http://www.defenselink.mil (미 국방부)
- http://www.nyse.com (뉴욕 증권 거래소)
- http://www.nasdaq.com (나스닥)
- http://finance.yahoo.com (야후 금융정보)
- http://www.usauctionslive.com (미국 옥션)
- http://www.usbank.com (US Bank)
- http://www.washingtonpost.com (워싱턴 포스트)
- http://www.ustreas.gov (미 재무부)

* 7월 8일 오후부터 변경 추가된 공격 대상 사이트는 다음과 같다.

- http://www.mnd.go.kr (국방부)
- http://www.president.go.kr (청와대)
- http://www.ncsc.go.kr (국정원 국가사이버안전센터)
- http://mail.naver.com (네이버 메일)
- http://mail.daum.net (다음 한메일넷)
- http://mail.paran.com  (파란 메일)
- http://www.auction.co.kr (옥션)
- http://www.ibk.co.kr (기업은행)
- http://www.hanabank.com (하나은행)
- http://www.wooribank.com  (우리은행)
- http://www.kbstar.com (국민은행)
- http://www.altools.co.kr (알툴즈)
- http://www.ahnlab.com (안철수 연구소)
- http://www.usfk.mil (주한미군)
- http://www.egov.go.kr (전자민원 G4C)
- http://www.chosun.com (조선일보)

그러면 여기서 잠깐 개인적으로 생각하여 여러차례 가까운 지인들에게만 언급했던 가상 사이버 테러 시나리오를 짚어보고 가보면 어떨까 싶다.

저를 포함하여 일선 보안업계에 계신 수 많은 보안 연구분들이 다년간 악성코드에 대한 관제 및 분석 대응을 하다보면 "이러한 공격 방식이 언제쯤 실제로 나타나지 않을까?"에 대한 우려와 걱정반으로 준비를 하고 계셨던 것이 사실이기도 하다.

그리고 영화 "다이하드4"의 물리적 하이테크 테러(Fire Sale) 공격과 같이 다소 현실적 어려움이 존재하는 것은 어찌보면 영화에서만 볼 수 있었던 것으로 생각할지도 모른다.

사용자 삽입 이미지

※ Fire Sale : http://en.wikipedia.org/wiki/Fire_sale
국가 기간의 전체 구조에 대한 체계화되고 조직화된 3단계 국가적 디지털 공격형태를 의미하며, 사회 혼란을 가중시킬 수 있는 국가 사이버 테러라 할 수 있다.

1단계 : 주요 교통 체계(신호등 교란)와 통신망(지상파) 등을 파괴(마비)하거나 제어권 장악
2단계 : 전기(발전소), 가스, 수도 등 공공 국가 시설물의 통제권 장악
3단계 : 장악한 각종 무력 권한을 통한 국가기간망 초토화 공격

사용자 삽입 이미지

하지만 이러한 공격방식은 이론적으로 가능하나 구조적으로 매우 어렵거나 불가능할 수 있는데, 그 이유는 국가 주요 시설물의 네트워크망은 내부용과 외부용이 따로 따로 분리되어 있다는 점과 주요 국가 시설물 관리용 제어 컴퓨터는 대부분 외부 네트워크와는 단절되어 운용되고, 그 중요도 만큼 보안시스템도 매우 강화되어 있다는 점을 꼽을 수 있을 것이다.

그래서 영화에서는 공공시설 건물 등에 직접 침입하여 내부 네트워크에 접근하는 과정을 볼 수 있었지만, 외부의 공격자가 모든 시설물의 건물에 침입하고 주요 권한을 획득하기란 현재의 물리적 보안 시스템을 우선적으로 무력화해야 한다는 현실적 어려움이 함께 존재하기 때문이다.

자 그러면 공격의 범위나 방식이 꼭 해당 국가 시설물의 통제권 획득만이 있을까? 결론부터 말하면 꼭 그렇지는 않다는 것이다.

IT강국인 대한민국이 이번과 같이 주요 정부기관의 홈페이지, 포털 사이트, 인터넷 뱅킹 서비스, 온라인 전자 상거래, 뉴스 및 언론 사이트, Anti-Virus 서비스업체 등 인터넷 웹 기반의 정보 제공업자를 기반으로 하고 있는 곳이 서비스 거부 공격에 무력화 될 경우 불특정 국민들에게 어떠한 피해를 직간접적으로 야기시킬 수 있을 것인가에 대한 점을 다시 한번 생각해 보면 좋지 않을까 싶다.

[가상 사이버 테러 시나리오]

아래 내용은 접근 방식이 "가상"이라는 점을 먼저 공감해 주시고 읽어주시기 바랍니다.

1. 새로운 공격 기법이 필요하다.

사이버 테러 조직(개인)은 제일 먼저 그 동안 전혀 알려지지 않는 새로운 공격 방식 도입과 그 과정에 필요한 Zero-Day(Hour) Attack 을 준비하여야 한다. 이를 통해서 자신이 준비한 신종 악성코드 프로그램이 아무도 눈치채지 못하도록 하는 것이 가장 중요한 임무이다.

주) 아무도 모르는 취약점을 이용하는 것이 이론처럼 그렇게 쉽진 않겠죠? 각국에 전방위적으로 포진되어 있는 수 보안 전문가들도 그러한 공격에 대비하여 24시간 모니터링을 하고 365일 맞대응 준비를 하고 있으니깐요.

2. 공격 방식과 대상을 지정한다.

특정 공격 대상 선정과 불특정 다수 공격 방식에 따라서 공격 방식을 다르게 지정하며, 두가지 모두 침입 흔적(접근 로그 기록 등)을 완벽하게 제거한다는 조건을 우선시 한다.

- 특정 공격 대상 : 대상 조직과 관련된 웹 사이트의 자료를 수집하여 분석하고, 해당 자료를 기반으로 하여 접속자에 대한 개인정보 유출 및 관련 시설의 정상 서비스 방해나 파괴 등을 시행할 수 있는 공격 프로그램을 몰래 설치한다.

- 불특정 다수 : 수 많은 사람들이 이용하는 포털 사이트나 유명 인터넷 사이트 등을 아무도 몰래 침입하고, 사전에 준비된 취약점과 공격 프로그램을 설치한다.

주) 특정 공격 대상(특정 웹 사이트 서비스 거부 공격) + 불특정 다수(일반 개인 데이터 파괴)을 함께 시행하는 경우가 이번 DDoS 의 한 예라고 말할 수 있겠네요.

3. 가능한 단 시간에 대량 살포를 실시한다.

인터넷 사용자 접속이 많은 사이트에 악성코드를 유포하도록 취약점이 노출되었다면 매우 짧은 시간에 악성코드 공격 기지를 구축할 수 있게 되고, 일종의 Zombie PC 군단, Bot Net 사이버전 부대가 만들어지게 된다.

공격 전초 기지를 통해서 악성코드 감염자 수를 실시간으로 기록 체크하여 완벽한 공격태세를 준비하고 대기한다.

주) 웹 사이트를 통한 악성코드 설치는 현재도 많이 이용되는 악성코드 유포기법이라 할 수 있습니다.

4. 잠복하고 은폐하여 공격 명령 전까지 발각되지 않는다.

사용자 몰래 잠입한 악성코드가 사용자 본인이든 보안 프로그램이든 쉽게 발각되어 신고된다면 특정 공격 명령이 하달되기 전에 힘없이 무력화 될 것이다. 따라서 절대로 사용자가 인지하지 못하도록 치밀하게 제작되어져야 한다.

주) 현재의 수 많은 악성코드는 감염되자 마자 특징적인 증상을 유발하기 때문에 쉽게 발견 보고가 되고 치료 프로그램이 신속하게 배포되고 있지요.

5. 다양한 공격 패턴으로 초토화 명령을 시행한다.

특정 조건(날짜, 시간, 공격자 명령 등)이 성립되면 감염된 모든 컴퓨터를 이용하여 전 방위적 공격이 감행되며, 공격 방식은 매우 다양하게 조절될 수 있다.

이번처럼 특정 웹 사이트를 DDoS 공격하여 정상적인 서비스를 방해할 수도 있고, 또 다른 악성코드를 유포하는데 사용할 수도 있으며, 감염된 컴퓨터의 모든 데이터를 한 순간에 파괴할 수도 있다.

더불어 인터넷 뱅킹, 포털 사이트 공격, 주요 온라인 서비스 등을 중지시켜 사회적 혼란을 야기시키거나 2차, 3차 연속적인 바이러스 프로그램 공격 등을 통해서 다량의 피해를 입힐 수 있게 된다.

(주) 인터넷 세상이라 할 만큼 우리는 하루 하루 인터넷과 함께 지내고 있다는 점이 어찌보면 그 만큼 위험 요소로 작용하고 있는 것은 아닐까 고민해 보도록 하지요. (가상 시나리오 끝)

위와 같이 간단하게 정리해 본 가상 시나리오는 사실상 이론적으로 충분히 가능한 부분도 존재하지만, 역시나 그에 대한 보안 업계의 신속한 대응을 무시할 수 없는 부분이라 할 수도 있겠다.

이번 DDoS 공격 피해와 관련하여 공개되지 않은 많은 비하인드 스토리와 아직도 24시간 대응하느라 고생하시는 많은 관계자분들의 노고에 큰 박수와 감사의 말씀을 보냈으면 한다.

마지막으로.. 불행 중 다행이다? 아니면 앞으로 예고되어 있을지 모를..공격에 대해서 만반의 준비태세를 갖추고 더 이상의 혼란은 없어졌으면 하는 바램이다.

혹시 이 글을 금번 DDoS 공격을 주도했던 사람이 볼지도 모르겠지만...

처음 감염되었던 Zombie PC 들이 DDoS 공격이 우선이 아니라 좀더 많은 개인 컴퓨터를 감염시키도록 일정 잠복기를 거치고 즉시 파일 파괴 명령이 수행되었다면 이번보다 더 큰 사회 혼란(사이버 테러)이 있지는 않았을까 하는 생각을 하면서 마무리하고자 한다.

재미없는 긴글 읽어주시느라 고생하셨고, 감사드립니다.

Posted by viruslab