딜라이트닷넷

공격

염흥열 교수의 ‘부다페스트 사이버범죄조약’ 가입 제안

이유지의 안전한 네트워크 세상 11.07.11 11:03

스마트시대가 진전될수록 사이버범죄, 보안위협은 더욱 커질 것이란 전망이 우세합니다. 지금도 악성코드, 해킹, DDoS(분산서비스거부), APT(지능적지속가능위협) 등과 같은 각종 사이버공격이 거세지면서 전세계 각국 정부와 기업, 보안업계 등은 대책 마련에 고심하고 있습니다. 올 상반기만 해도 우리나라는 DDoS 공격, 해킹으로 인한 현대캐피탈 고객정보유출, 농협 전산망 장애 등 금융권에서의 잇단 대형 보안사고로 사회적 불안감이 커졌습니다. 더욱이 안드로이드를 주축으로 한 스마트폰 악성코드도 급증하고 있습니다. 악성코드…

사이버범죄 악용되는 ‘공격용 툴킷’ 변천사

이유지의 안전한 네트워크 세상 11.04.06 16:04

최근 사이버보안위협이 엄청나게 늘어나는 요인이 지하경제에서 거래되는 공격용 툴킷 때문이라는 분석이 지배적이죠.윈도, 오피스, 어도비 아크로뱃과 같은 여러 애플리케이션의 제로데이 취약점은 공격용 툴킷을 통해 사이버공격에 보편적으로 악용되고 있습니다. 이같은 공격용 툴킷은 ‘지능적지속가능위협’으로 (사실 딱 와닿지 않게) 번역되는 은밀한 공격인 APT(Advanced Persistent Threat) 유형의 표적공격을 만들어내는데 크게 기여하고 있다고도 합니다. 시만텍은 최근 발표한 ‘인터넷보안위협보고서(ISTR)’ 최신호(16호)에…

이란 핵시설 강타한 악성코드 ‘웜(worm)’

이유지의 안전한 네트워크 세상 10.09.26 22:39

우리가 추석명절과 중부지방에 쏟아진 ‘물폭탄’ 피해·복구에 관심이 온통 쏠려있을 때인 지난 24일, BBC·뉴욕타임즈·파이낸셜타임스(FT) 등 여러 외신은 이란의 핵시설 파괴를 노린 것으로 추정되는 악성 웜의 확산 소식을 전하느라 분주했습니다. 문제의 이 웜은 마이크로소프트 취약점을 악용한 ‘스턱스넷(Stuxnet)’으로, 주로 USB 이동식저장장치를 통해 감염시키는 악성코드입니다. 지멘스의 산업시설 제어장치를 감염시킨 후 산업시설에 침투해 오작동을 일으키거나 작동을 중단시키는 것으로 알려져 있습니다. 이 웜은 지난 6~7월 처음 발견됐지만 1년 전부터 활동한 것으로 추정되고 있습니다. 시만텍 등 보안업계는 이 웜이 산업시설을 대상으로 제작된 최초의, 아주 정교한 악성코드라는 분석을 내놓고 있는데요. 이미 이란 뿐 아니라 인도네시아, 파키스탄, 인도 등에서도 감염 사고가 보고된 상황입니다. 그중에서도 이란에서 가장 많은 피해를 본 것으로 분석되고 있지요.  뉴욕타임스는 26일(현지시간), 이란 정부 관계자의 말을 인용해 “이 웜이 이란 내 컴퓨터 3만대에 영향을 미쳤다. 이는 이란에 대한 사이버(전자적) 전쟁의 일부”라고 보도했습니다. (<-링크)일부에서는 스턱스넷에 감염된 4만5000여 대의 컴퓨터 중 60%가 이란에 집중돼 있다는 보도도 나오고 있습니다. 그 때문에 이란의 나탄즈(Natanz) 우라늄 농축 시설과 부셰르 원자력발전소 파괴를 노리고 특정국가가 제작했거나 배후에 있는 것이 아니냐는 추측이 나오고 있는 겁니다. 당연히 핵 개발과 실험에 반대하는 미국과 이스라엘, 영국, 그리고 프랑스, 독일, 심지어 중국까지도 용의(?)선상에 올라와 주로 언급되고 있는 국가입니다.  무엇보다 우리가 주목해야 할 점은 이 스턱스넷 웜의 등장과 감염 확산이 “웜이 ‘무기’화된 첫 사례이자, 사이버전쟁이 ‘파괴공격’ 단계로 진입한 것을 알리는 신호탄”이라고 하는 해외 보안전문가들의 경고일 것입니다. 지능형전력망(스마트그리드) 구축사업이 한창인 지금, 또 자동차·조선 등 각 산업에서 IT와의 융합이 가속화되는 이때 ‘스턱스넷’ 웜으로 인한 이란의 피해를 교훈삼고 대책을 마련하고 미리 점검해봐야 할 것입니다. 이번 사례는 몇 년 전, 사이버공격의 위험성에 경각심을 불러일으켰던 브루스윌리스 주연의 영화인 ‘다이하드4.0’을 다시 생각나게 하네요.(관련기사-다이하드4.0의 ‘파이어세일’ 공포) 전문가 경고처럼 각종 사회 기간인프라를 단계적으로 파괴하는 것을 보여준 이 영화의 시나리오가 이미 현실화된 시기가 된 것일까요?  그나저나 우리나라 산업시설에는 혹시라도 이 ‘스턱스넷’ 웜의 악영향이 없는지 궁금하네요. (덧붙임) 그러고보니 얼마전에 안철수연구소가 산업용 시스템 전용 보안 솔루션을 선보였군요. 예전에 하우리도 산업용PC 전용 백신을 발표한 적이 있었던 것으로 기억합니다. (관련기사 참고 - 안철수연구소, 첨단생산라인·POS 전용 보안 제품 출시) 댓글 쓰기

아카마이의 ‘색다른’ 7.7 DDoS 공격 발생원인 분석

이유지의 안전한 네트워크 세상 10.09.08 18:17

작년에 발생한 7.7 분산서비스거부(DDoS) 공격이 원래는 미국 정부기관을 대상으로 했다가 성공을 거두지 못해 한국으로 공격대상을 바꾼 것이란 분석이 나왔습니다. 이미 공격을 겪은 이후인 지금 시점에선 크게 의미는 없지만, 색다른 분석이어서 포스팅해봅니다. 헤럴드 프로콥 아카마이 수석 엔지니어 부사장은 7일 국내 출시한 아카마이 클라우드 보안 서비스(관심있는 분은 여기로)를 소개하기 위해 가진 기자간담회에서 작년에 미국에서 발생한 7.4 DDoS 공격 분석결과와 대응과정을 소개했습니다. 그 과정에서 프로콥 부사장은 “미국 정부사이트를 대상으로 공격을 벌였지만 아카마이가 철저히 방어해 결국 포기하고, 한국으로 대상을 옮겨 공격한 것”이라고 말했습니다. 개인적으로 스스로 자사의 분산형 네트워크 구조를 기반으로 한 보안 서비스가 DDoS 공격 대응에 탁월하다는 점을 강조하려다보니 과한 분석을 내놓지 않았나 싶은데요.   이미 다들 알고 있다시피, 작년 7월 7일 오후 6시 40분쯤에 우리나라 주요 웹사이트를 대상으로 공격이 일어나기 이전에 미국의 독립기념일인 7월 4일에 미국 정부기관 등의 사이트를 대상으로 공격이 시작된 것은 맞습니다. 아카마이 분석에 따르면, 7월 4일 오후 2시에 아카마이의 네트워크 운영센터에서 경보가 발생했고, 오후 4시에 공격자 근원지를 발견했습니다. 그 이후 급속도로 트래픽이 증가해 평상시의 598배인 124Gbps에 달했다고 하는데요. 아카마이는 앞서 두시간 진행된 공격은 테스트였다고 보고 있습니다.  공격 트래픽은 4시간 만에 100Gbps 이상 올라갈 정도로 빠르고 규모도 컸으며, 3일 동안 방식을 바꿔가면서 공격이 이뤄졌다고 합니다. 이 정도의 공격규모라면 정상 서비스를 유지하기 위해선 2500대의 백업 서버가 필요한 수준이라네요. 제대로 공격이 통하지 않자 7월 5일에는 공격 방식을 바꾸면서 트래픽이 낮아졌다고 합니다. 공격 IP의 90% 이상이 한국의 IP로 들어온 것으로 분석됐답니다. 우리나라의 많은 사용자 PC가 봇에 감염돼 공격에 악용된 좀비PC였기 때문입니다. 아카마이가 공격진원지도 분석하고 있는지를 물어봤는데요. 프로콥 부사장은 “공격근원지(IP)는 한국이지만, 그 배후에 누가 있는지는 모른다”며, “실제 공격근원이 한국에 있을 가능성은 낮은데, 한국은 고대역폭의 광대역망이 잘 갖춰져 있어 한국에 있는 PC를 이용한 것”이라고 설명했습니다. 한국의 7.7 DDoS 공격이 발생한 원인과 관련해 아카마이의 분석이 맞는지 아닌지, 아무도 모릅니다. 그럴 수도 있고, 아닐 수도 있겠죠. 한국 사이트 대상 공격 이전에 백악관 등 미국의 주요기관 사이트를 대상으로 먼저 공격이 있었다는 점에서는 개연성이 아예 없다고 볼 수는 없습니다.  그런데 한국인터넷진흥원(KISA)과 우리 정부는 우리나라 주요사이트 22개를 대상으로 7월 7일부터 3일 간 공격이 발생하던 같은 기간에 14개 미국 사이트를 대상으로 공격이 계속 있었다고 분석하고 있는데요. 이 분석과는 배치됩니다.  아카마이의 분석을 토대로 짧게 생각해보면, 만일 공격자가 미국을 대상으로 한 공격에서 큰 효과를 봤다면 우리나라의 7.7 DDoS 공격은 없었을 수도 있겠습니다만... 사실 이런 가정은 큰 의미는 없습니다. 혹시 그랬다 하더라도 이후 언제라도 DDoS 공격은 발생할 수 있을테니 말입니다.  작년 7.7 DDoS 공격을 누가했는지, 왜 했는지 아직도 오리무중입니다.  국가정보원에서는 공격진원지를 북한을 지목했는데요, 이 때문에 논란도 많았습니다. 많은 분들이 심증을 갖고 있을 지는 모르겠는데요, 우리정부나 미국정부도 아직까진 공격배후에 관해선 ‘공식적으로’ 밝힌 바는 없습니다. 댓글 쓰기

정보보호 홍보 TV방송 프로그램 편성표

이유지의 안전한 네트워크 세상 10.07.14 13:35

방송통신위원회가 국민의 정보보호 인식제고를 위해 정보보호 홍보 TV방송을 시작합니다. 작년 7.7 분산서비스거부(DDoS) 공격 사태를 거치면서 이용자들의 PC보안 인식과 보안생활화가 아주 중요하게 부각된 것이 계기가 됐습니다. 이번 7월에도 작년에 치료되지 않은 좀비PC가 주요 국가기관, 은행, 포털 등의 웹사이트에 DDoS 공격을 가했었죠.  방송통신위원회는 지상파 TV(KBS, MBC, SBS)와 보도전문채널(YTN, MBN)을 통해 평시엔 사이버침해 유형, 안전한 PC 이용방법, 악성코드 감염 방지 요령 등 정보보호 실천수칙을, 비상시에는 사이버침해 관련 상황과 대국민 행동요령을 신속히 전파한다는 계획입니다. 우선은 정보보호의 중요성을 알리기 위한 캠페인방송, 시사/교양정보 프로그램, 다큐멘터리 등의 형태로 시작될 예정입니다.  원래는 TV 뉴스에서 제공하는 일기예보처럼 매일 국민들이 알아야 하는 정보보호 동향이나 사이버위협, 조치방안 등을 알려주는 형태로 기획이 됐었던 것으로 알고 있었습니다만, 아무래도 사회적으로 심각한 파급력을 주는 사이버공격은 예기치 않게 생겨 그런지 예보 보다는 홍보방송 형태가 되는 것 같습니다. 그래도 1.25 인터넷대란이나 전자금융거래 관련 보안사고, 7.7 DDoS 공격, 대규모 개인정보유출 사고처럼 큰 사건이 나지 않는 이상, 평소에 TV방송에서 정보보호를 이슈로 집중적으로 다뤄지진 않았던 점을 생각하면 고무적입니다. 일단 시작할 방송사별 프로그램입니다. 앞으로 시청자들뿐 아니라 특히, 정보보호 전문가 등 관계자분들이 관심있게 살펴보고 방송사와 방송통신위원회, 한국인터넷진흥원에 의견을 적극적으로 개진하는 것이 중요할 것 같습니다.   댓글 쓰기

DDoS 공격 대응능력 평가 제대로 이뤄지고 있나

이유지의 안전한 네트워크 세상 10.07.07 10:03

'씨큐비스타'라는 국내 보안업체가 DDoS 대응능력을 검증하는 전문 솔루션(넷스피어)을 발표했습니다. 전세계 최초로 독자기술로 개발한 DDoS 전용 시험장비랍니다. (관련기사 DDoS 대응능력 검증 전문장비 등장) 이 제품은 실제와 유사한 각종 DDoS 공격 트래픽을 생성해 각 기업이나 기관의 네트워크 및 보안체계가 제대로 작동하는지, 대응능력을 평가할 수 있는 솔루션입니다. DDoS 공격에 특화돼 있는 전문 시험장비입니다.  이 제품을 개발한 씨큐비스타의 전덕조 대표이사는 "7.7 DDoS 공격 이후 안티DDoS(DDoS 전용 탐지·차단) 솔루션이나 라우터 등 네트워크 장비, 방화벽, 침입방지시스템(IPS), L4스위치 등을 이용해 DDoS 대응체계를 구축하고 있지만, 실제 DDoS 공격 방어 능력 등을 검증할 방안과 도구가 부재하다"라고 지적했습니다. "DDoS 공격을 예방하기 위해선 대응능력을 효율적이고 제대로 평가, 검증할 수 있어야" 하기 때문에 DDoS 대응능력 검증 전문 솔루션을 개발하게 됐다는 설명입니다. 개발배경과 취지에 공감이 갑니다. 돈을 내고 보안 제품을 구매해 설치하는 이유는 미래에 발생할 수 있는 보안위협을 막고 혹시 있을 지 모를 손실을 최소화기 위해서입니다. 그래서 보안이 '보험'에 비유되기도 하는 거죠. 정부공공기관과 민간에서도 DDoS 대응체계를 구축한 것은 당연히 향후에 발생할 지 모르는 공격을 최대한 막아 피해를 최소화하기 위한 목적이지요. 백신이 악성코드 감염을 방지하거나 치료하기 위한 것이고, PC에 저장돼 있는 개인정보를 암호화하거나 이동식저장매체 등의 사용을 제어하는 이유는 정보유출을 막기 위한 것처럼요. 실제 공격이 현실화된 상황에서 투자된 보안 제품이 효용가치를 발휘하려면 현재 구축돼 있는 대응체계를 제대로 평가, 검증하는 것이 중요합니다. 계속되는 검증과정을 통해 미비점이 있다면 보완해야 보다 완벽한 대책을 마련할 수 있기 때문입니다. DDoS 방어 장비를 설치하기 전에 제품 성능과 기능을 제대로 평가하는 것도 마찬가지입니다. 정부와 금융권에서 정기적으로 모의훈련을 실시하는 것도 같은 이유라고 생각합니다. 만일 DDoS 모의훈련이 잘못된 평가방식으로, 혹은 형식적으로 치우친다면 실제 상황에 하등 도움이 안될 것입니다. 또한 DDoS 공격 방어 장비를 도입할 때 장비의 성능과 기능에 대한 평가기준·방식이 올바르지 않다면 이 평가도 의미가 없을 것입니다. 그런 점에서 현재 DDoS와 관련한 각종 시험·평가방식은 사실 잘못돼 있습니다. 씨큐비스타도 그 점을 부각했습니다. 현재 국내에서 널리 이용되는 DDoS 대응능력 평가 또는 검증 방식이 잘못돼 있다는 점을 지적했습니다. 예를 들어, DDoS 보안 장비를 도입해 DDoS 대응체계를 구축할 때나 모의훈련을 할 때 주로 이용되는 시험장비는 네트워크 성능을 측정하는 계측기입니다. 익시아, 브레이킹포인트라는 네트워크계측장비가 가장 많이 활용되고 있답니다. 씨큐비스타에 따르면, 네트워크 장비의 쓰루풋과 레이턴시 등과 같은 성능 측정을 목적으로 하는 네트워크 계측장비를 DDoS 대응 시험에 쓰고 있으니 제대로 평가하는 것이 아니라는 겁니다. 전 사장은 "네트워크 계측장비를 이용해 생성한 트래픽은 실제 DDoS 공격 트래픽과는 차이가 있다. 때문에 제한적인 테스트만 가능하며, 또 정형화된 트래픽을 생성하기 때문에 예측가능하다는 단점을 갖고 있다"고 강조했습니다. 또 "현재는 DDoS 대응능력 평가나 검증을 제대로 할 수 있는 도구와 방법론이 없다. 특히 7.7 DDoS 공격에 이용됐던 대규모 봇넷 공격에 대한 평가는 할 수 있는 방법이 없다"라며, "DDoS 대응책을 수립하고 있는 지금 심히 우려되는 상황"이라고 진단했습니다. 그동안 각종 DDoS 대응체계 구축 사업 BMT나 DDoS 전용 방어장비 시험 수행에서 평가방식이 종종 도마에 오르며 관련 업계에서 논란이 일곤 했습니다. 대표적인 것이 국가정보원 DDoS 탐지·차단 장비 시험입니다. 작년 하반기 정부가 범정부 DDoS 대응체계 구축 사업을 긴급히 추진하면서 시중 공급되는 DDoS 보안 장비에 대한 보안성 평가 등 시험이 필요했었습니다. 국정원은 '별도지정' 제도를 통해 DDoS 장비의 시험기준과 방법을 정하고 평가를 수행해 목록에 등재했습니다. 그 때 장비의 성능 측정도 브레이킹포인트 등 두가지 네트워크 계측기를 썼던 것으로 기억합니다. 많은 업체들이 당시 평가에 불만을 드러냈었고, 그 과정에서 포기한 업체들도 있었습니다. 올해 진행된 DDoS 관련 사업 BMT 등에서도 이같은 문제는 종종 제기됩니다. 공공기관, 금융기관의 DDoS 모의훈련도 네트워크 계측장비를 이용한다고 합니다. 채문창 씨큐비스타 연구소장은 "네트워크 계측장비를 이용하는 모의훈련 방식은 결국 하나도 효과를 거둘 수 없다"고 설명했습니다. 씨큐비스타는 제대로된 DDoS 공격 및 방어 능력 검증 환경을 구현할 수 있다고 자신감을 드러냈습니다. "수억원대를 호가하는 네트워크 계측장비보다 저렴한 가격으로 이 제품을 공급해 DDoS 공격 방어를 위한 도전과제를 극복하는데 일조하겠다"는 포부도 밝혔습니다. 앞으로 '세계 최초' DDoS 전용 시험도구인 이 제품의 성능과 기능, 품질에 대한 검증도 필요할 것입니다.  이 제품 출현이 우리나라가 DDoS 공격 방어체계를 더욱 견고히 수립할 수 있는 토대를 다지는데 기여할 수 있게 되길 바랍니다. 이번 기회에 현재의 DDoS 대응 관련 평가방식에 대한 국가정보원, 행정안전부, 한국인터넷진흥원, 금융감독원 등 관계부처·기관, 기업의 고찰이 이뤄졌으면 합니다. 댓글 쓰기

7.7 DDoS 공격 1년…숫자 7에 담긴 비밀은?

채수웅 기자의 방송통신세상 10.07.06 14:31

7.7 DDoS 공격이 발생한지 벌써 1년입니다. 지난해 7월7일부터 3일간 국내 정부, 금융기관, 언론사, 포털 등 국내 22개 주요사이트가 3차례에 걸쳐 DDoS 공격을 받으면서 엄청난 사회혼란이 발생했었습니다. 보안 담당 기자는 아니지만 숫자 7에 담긴 분석이 흥미로워 공유하고자 합니다. 한국인터넷진흥원(KISA) 김희정 원장은 6일 기자간담회에서 7.7 DDoS 지난 1년간의 노력과 앞으로의 대응책에 대해 발표했습니다. 김 원장의 발표 중 흥미로왔던 점은 왜 하필 7월7일에 DDoS 공격이 이뤄졌으며 7에 담겨있는 의미는 무엇인가라는 점입니다. 우선 1년전 공격을 받은 사이트를 살펴보면 재미있는 사실을 발견할 수 있는데요.  ▲국가/공공기관 = 청와대, 국회, 국방부, 외교통상부, 한나라당, 국가사이버안전센터, 전자민원G4C.▲금융기관 = 농협, 신한, 외환, 기업, 하나, 우리, 국민은행.▲민간 = 조선일보, 옥션, 네이버(메일·블로그), 다음(메일), 파란(메일), 알툴즈, 안철수연구소. 분류하자면 국가/공공기관 7곳, 금융기관 7곳, 민간 7곳 입니다. 물론, 총 공격받은 사이트는 22곳이지만 네이버의 경우 메일과 블로그 사이트 2개임을 감안하면 법인으로는 1개 입니다. 공교롭게도 7개로 구분해 공격이 진행된 것입니다. 또한 7월 7일은 역사적으로는 경부고속도로가 개통된 날이고 견우와 직녀가 만나는 날이기도 합니다.(물론 칠월칠석은 음력입니다만...)네트워크를 연결한다는 측면에서 경부고속도로와 오작교는 우리나라에서 의미가 있는 날입니다. 그러한 날을 D-Day로 잡고 7곳마다 분야별로 공격을 했다라는 것은 우연이라고 하기에는 석연치 않습니다. 이 분석은 제가 짜맞춘 것은 아니고 KISA 김희정 원장이 말한 것입니다.  지난해 7.7 DDoS 공격은 의미 없이 대충 아무곳이나 공격한 것이 아니라 날자와 사이트 숫자 등 철저하게 계획되고 미래에 대한 공격까지 염두한 기획 공격이었다는 것이 KISA의 분석입니다. 어느 분야가 취약한지, 어느 곳은 방어가 잘돼있는지 등을 분석하기 위해 분야별로 공격한 것이고 이는 향후 또 다른 공격을 염두한 것을 의미한다는 것입니다. 일리가 있어 보입니다. 지난해 7.7 DDoS 공격이 경제적 이득을 위해서가 아니라 사회적 혼란을 유발시켰다는 점에서 단순한 사이버 공격 이상의 의미를 가지고 있습니다. 현재 사이버 공격은 보다 다양한 방법, 사회공학적으로 진행되고 있습니다. 스마트폰 보급 증가로 모바일 분야에서의 보안 이슈도 점점 커지고 있습니다. 정부의 보안 예산도 늘고 기업들도 보안의 중요성을 인식하면서 예전보다 상황은 좋아진 것으로 보입니다. 하지만 작정하고 덤빌 경우 방어하기는 여전히 어려운 것도 현실입니다. 보안 이슈는 전산담당자 뿐 아니라 개개인 모두가 중요성을 인식해야 할 문제입니다. 지난해 맹렬히 좀비PC로 활동한 컴퓨터들은 대부분 개인의 것들입니다. 7.7 대란 이후 큰 사고가 나지도 않았지만 현재 KISA에는 경계경보 상태가 이어지고 있습니다. 천안함에 나로호, 지방선거 등, 그리고 연말 G20 회의까지 굵직한 일정과 사고들이 계속되면서 KISA 직원들은 24시간 비상근무 중이라고 합니다. 보안에 대한 중요성을 스스로 인식하는 태도만이 아직까지는 침해사고를 막을 수 있습니다. 글을 다 읽으셨다면 백신 한번 돌려주시고, KISA에서 제공하는 보안 툴바를 설치해 안전한 서핑하시기 바랍니다. 보안에 문제가 생길때는 118로 전화하시면 됩니다. 댓글 쓰기