딱히 웹 2.0을 지칭한다는 자체도 모순일 수 있다. 이것은 단지 웹 1.0과 2.0의 근본적인 차이로 인해 해커들에 의한 불법 위변조, 공격행위가 쉬워졌다는 것을 의미하지는 않기 때문이다.
아마도 아래의 내용의 필자는 개발 방법이나 시스템이 틀려졌음에도 불구하고, 그것에 대한 보안을 간과하고 있는 부분을 경고하고 있다고 보는 것이 더 타당할 것이다. 분명히 웹 1.0이라 불리우던 시대와 2.0으로 불리우는 시대의 개발 방법론과 그에 맞는 환경 및 시스템은 고도화, 지능화되고, 편리하게 유연해진 것이 사실이다.
이러한 개발방법론은 나날이 발전되어 오고 있으나, 여전히 전 시대에와 마찬가지의 문제로 개발 방법론에 있어 보안 영역은 여전히 심각한 수준으로 소외당하고 있는 것이 사실이다. 웹의 1.0과 2.0의 접근성 차원에서 볼 떄, 적극성과 능동적 부분에서 많이 부분의 메카니즘을 달리하고 있는 것이 사실이다.
이제는 다양한 기기와 소프트웨어를 통해서 개인이 원하는 어떠한 정보도 끌어와 필요한 시기에 열람하거나 사용이 가능하기 때문이다. 이러한 자동화가 사이버범죄에 더욱 더 무방비하게 만들게 되는 요인이 될 수 있으며, 파급속도 측면에서도 엄청난 폭발력을 가지게 될 것은 불 보듯 뻔한 일이 될 것이다.
누누히 얘기하지만, 기술의 성장 속도에 맞는 적절한 보안 메커니즘과 방법론 등은 더이상 미루어 둘 문제가 아니다. 이러한 문제를 간과하고 차치하다가 그 발전된 기술의 소용돌이속으로스스로 붕괴될 수도 있기 때문이다. 더욱이 2008년 보안 이슈의 그 첫번째는 사이버 스파이라고 한다. 웹 2.0 기술을 적용해야만 첨단을 달리고 있다고 믿고 있는 대다수의 기업들과 그 취약성을 악용하여 발생하는 보안 사고, 그 첨단 기술 자체가 사이버 스파이의 타겟이 되고, 결국 기업스스로의 숨통을 조여오는게 아닐런지 다시 한번 생각해 볼일이다.
=======================================================================================
‘정보가 곧 돈’이 되는 시대다. 해커들은 이제 부가 아니라 명예를 좇아 사이버범죄를 실행에 옮긴다. 이들로부터 정보를 사들이는 사람들은 해커들이 트로이목마나 ‘크라임웨어(crimeware)’를 이용해 수집한 개인 정보, 재무 정보, 기업 정보에 엄청난 돈을 기꺼이 지불한다.
이를 입증할 수 있는 증거는 수도 없이 많다. 블랙마켓에서 발견된 가격표에 따르면 재무보고서는 5,000달러, 신용카드와 비밀번호는 500달러, 운전면허증 번호는 150달러에 거래된다.
200달러짜리 DIY(do-it-yourself) 소프트웨어 패키지만 있으면 주머니가 두둑하지 않아도, 고도의 프로그래밍 기술을 갖고 있지 않아도 웹사이트에 손상을 가하거나 감염된 PC를 통해 민감한 재무 데이터를 빼낼 수 있다.
컴퓨터 보안업체 핀잔(Finjan)의 보안 보고서에 따르면 크라임웨어 툴킷은 사이버범죄자들이 선호하는 툴킷 중 하나로 이미 자리를 굳혔다. 즉 악성 코드와 이를 이용해 훔친 데이터를 다른 범죄 조직에 팔아넘기는 새로운 비즈니스 모델인 C2C(criminal-2-criminal) 공격이 시작된 것이다.
정부 공공기관, 금융기관, 또는 대기업은 대부분 고도로 민감한 데이터를 보호하기 위해 서명 기반 안티바이러스 툴과 네트워크 방화벽을 설치한다. 그러나 사이버 범죄자들도 이 정도는 다 안다. 따라서 이들은 기존의 보안 솔루션을 교묘히 피해갈 수 있는 새로운 기술을 이용한다.
지난 6월 50만명 이상의 사용자를 감염시켰던 M팩(MPack) 크라임웨어 툴킷이 대표적인 사례다. 몇 주에 걸친 언론의 대대적인 보도에도 불구하고 M팩 툴킷에 의해 다운로드된 크라임웨어는 지금도 내로라하는 보안 솔루션에서 탐지하지 못하고 있다.
M팩 툴킷을 이용해 설치된 한 트로이목마는 은행 계좌 정보(예금주, 비밀번호, 신용카드 번호, 사회보장번호, ATM, PIN)를 빼내가기도 했다.
이 트로이목마는 희생자의 PC에 은밀히 잠복해 있다가 희생자가 온라인 뱅킹 사이트에 접속하자마자 행동을 개시해 민감한 정보를 모두 빼냈다. 희생자의 온라인 뱅킹을 그대로 모방한 후 PC에서 정보를 빼내 암호화된 SSL 접속을 거쳐 범죄자의 서버로 전송한 것이다.
가트너는 기업의 경우 인터넷과 인터넷 애플리케이션이 말웨어 감염이 확대될 수 있는 비옥한 토양을 제공할 수 있다고 경고한다. 웹 기반 악성 코드가 확산되면서 크라임웨어가 목표로 하는 민감한 데이터에 대한 보호가 점점 더 어려워지고 있다. 대규모 조직에서 수많은 툴킷에 일일이 서명을 추가하려면 엄청난 리소스가 소요되고, 생각보다 효과도 크지 않다.
사이버범죄의 방정식은 간단하다. 크라임웨어가 탐지되지 않고 오래 잠복할수록 공격자들이 얻는 이익이 많아진다는 것이다.
따라서 사이버범죄자들은 희생자의 PC를 감염시키기 위해 역동적인 폭발력과 판단을 흐리게 하는 기술, 그리고 탐지를 피하기 위해 끊임없이 호스팅 위치를 변화시키면서 합법적인 웹사이트에 위해를 가한다. 이 때문에 URL 필터링, 신뢰도 서비스, 서명 기반 솔루션 등은 곧바로 무용지물이 돼버린다.
이러한 위협을 차단할 수 있는 혁신적인 솔루션은 지금도 존재하며, 이러한 솔루션은 조직의 기존 보안 인프라스트럭처의 상단에 레이어드 방식으로 구현돼야 한다. 그러나 솔루션 탑재가 광범위하게 확산되기 전까지는 개인들의 데이터가 생각만큼 안전하지 않을 수도 있다는 사실을 알아야 한다.
웹 1.0 시나리오에서는 PC가 스파이웨어에 감염된다 해도 많은 솔루션을 이용해 스파이웨어를 탐지하고, ‘집에 전화를 걸 때’ 혹은 악의적인 서버에 접속을 시도할 때 차단할 수 있었다.
그러나 웹 2.0 이후가 되면 얘기가 달라진다. PC에 은밀히 침투한 트로이목마는 더 이상 제3세계의 악의적인 호스트 서버로 훔친 데이터를 전송하지 않는다.
대신 마이스페이스 페이지나 URL 필터링 또는 신뢰도 기반(reputation-based) 솔루션에 블랙리스트로 등재되지 않은 다른 ‘신뢰할 수 있는’ 웹 2.0 사이트로 데이터를 업로드한다. 해커들은 본질적으로 자신이 빼낸 데이터를 저장하기 위해 이러한 사이트를 ‘면책(safe harbors)’ 요건으로 전환시킨다.
이러한 시나리오를 중단시키는 방법은 하나밖에 없다. 네트워크에서 어떤 일이 발생하고 있는지를 정확히 이해하는 것이다. 보안 침입으로 인해 발생하는 재무적인 손실은 수백만달러에 달할 수 있다. 기업과 정부의 사용자들은 C2C의 증가와 함께 자신들의 디지털 자산에 대한 위협도 갈수록 증가한다는 사실을 깨달아야 할 것이다. @
출처 : ZDNet Korea
아마도 아래의 내용의 필자는 개발 방법이나 시스템이 틀려졌음에도 불구하고, 그것에 대한 보안을 간과하고 있는 부분을 경고하고 있다고 보는 것이 더 타당할 것이다. 분명히 웹 1.0이라 불리우던 시대와 2.0으로 불리우는 시대의 개발 방법론과 그에 맞는 환경 및 시스템은 고도화, 지능화되고, 편리하게 유연해진 것이 사실이다.
이러한 개발방법론은 나날이 발전되어 오고 있으나, 여전히 전 시대에와 마찬가지의 문제로 개발 방법론에 있어 보안 영역은 여전히 심각한 수준으로 소외당하고 있는 것이 사실이다. 웹의 1.0과 2.0의 접근성 차원에서 볼 떄, 적극성과 능동적 부분에서 많이 부분의 메카니즘을 달리하고 있는 것이 사실이다.
이제는 다양한 기기와 소프트웨어를 통해서 개인이 원하는 어떠한 정보도 끌어와 필요한 시기에 열람하거나 사용이 가능하기 때문이다. 이러한 자동화가 사이버범죄에 더욱 더 무방비하게 만들게 되는 요인이 될 수 있으며, 파급속도 측면에서도 엄청난 폭발력을 가지게 될 것은 불 보듯 뻔한 일이 될 것이다.
누누히 얘기하지만, 기술의 성장 속도에 맞는 적절한 보안 메커니즘과 방법론 등은 더이상 미루어 둘 문제가 아니다. 이러한 문제를 간과하고 차치하다가 그 발전된 기술의 소용돌이속으로스스로 붕괴될 수도 있기 때문이다. 더욱이 2008년 보안 이슈의 그 첫번째는 사이버 스파이라고 한다. 웹 2.0 기술을 적용해야만 첨단을 달리고 있다고 믿고 있는 대다수의 기업들과 그 취약성을 악용하여 발생하는 보안 사고, 그 첨단 기술 자체가 사이버 스파이의 타겟이 되고, 결국 기업스스로의 숨통을 조여오는게 아닐런지 다시 한번 생각해 볼일이다.
=======================================================================================
‘정보가 곧 돈’이 되는 시대다. 해커들은 이제 부가 아니라 명예를 좇아 사이버범죄를 실행에 옮긴다. 이들로부터 정보를 사들이는 사람들은 해커들이 트로이목마나 ‘크라임웨어(crimeware)’를 이용해 수집한 개인 정보, 재무 정보, 기업 정보에 엄청난 돈을 기꺼이 지불한다.
이를 입증할 수 있는 증거는 수도 없이 많다. 블랙마켓에서 발견된 가격표에 따르면 재무보고서는 5,000달러, 신용카드와 비밀번호는 500달러, 운전면허증 번호는 150달러에 거래된다.
200달러짜리 DIY(do-it-yourself) 소프트웨어 패키지만 있으면 주머니가 두둑하지 않아도, 고도의 프로그래밍 기술을 갖고 있지 않아도 웹사이트에 손상을 가하거나 감염된 PC를 통해 민감한 재무 데이터를 빼낼 수 있다.
컴퓨터 보안업체 핀잔(Finjan)의 보안 보고서에 따르면 크라임웨어 툴킷은 사이버범죄자들이 선호하는 툴킷 중 하나로 이미 자리를 굳혔다. 즉 악성 코드와 이를 이용해 훔친 데이터를 다른 범죄 조직에 팔아넘기는 새로운 비즈니스 모델인 C2C(criminal-2-criminal) 공격이 시작된 것이다.
정부 공공기관, 금융기관, 또는 대기업은 대부분 고도로 민감한 데이터를 보호하기 위해 서명 기반 안티바이러스 툴과 네트워크 방화벽을 설치한다. 그러나 사이버 범죄자들도 이 정도는 다 안다. 따라서 이들은 기존의 보안 솔루션을 교묘히 피해갈 수 있는 새로운 기술을 이용한다.
| |||||||||||||||||
지난 6월 50만명 이상의 사용자를 감염시켰던 M팩(MPack) 크라임웨어 툴킷이 대표적인 사례다. 몇 주에 걸친 언론의 대대적인 보도에도 불구하고 M팩 툴킷에 의해 다운로드된 크라임웨어는 지금도 내로라하는 보안 솔루션에서 탐지하지 못하고 있다.
M팩 툴킷을 이용해 설치된 한 트로이목마는 은행 계좌 정보(예금주, 비밀번호, 신용카드 번호, 사회보장번호, ATM, PIN)를 빼내가기도 했다.
이 트로이목마는 희생자의 PC에 은밀히 잠복해 있다가 희생자가 온라인 뱅킹 사이트에 접속하자마자 행동을 개시해 민감한 정보를 모두 빼냈다. 희생자의 온라인 뱅킹을 그대로 모방한 후 PC에서 정보를 빼내 암호화된 SSL 접속을 거쳐 범죄자의 서버로 전송한 것이다.
가트너는 기업의 경우 인터넷과 인터넷 애플리케이션이 말웨어 감염이 확대될 수 있는 비옥한 토양을 제공할 수 있다고 경고한다. 웹 기반 악성 코드가 확산되면서 크라임웨어가 목표로 하는 민감한 데이터에 대한 보호가 점점 더 어려워지고 있다. 대규모 조직에서 수많은 툴킷에 일일이 서명을 추가하려면 엄청난 리소스가 소요되고, 생각보다 효과도 크지 않다.
사이버범죄의 방정식은 간단하다. 크라임웨어가 탐지되지 않고 오래 잠복할수록 공격자들이 얻는 이익이 많아진다는 것이다.
따라서 사이버범죄자들은 희생자의 PC를 감염시키기 위해 역동적인 폭발력과 판단을 흐리게 하는 기술, 그리고 탐지를 피하기 위해 끊임없이 호스팅 위치를 변화시키면서 합법적인 웹사이트에 위해를 가한다. 이 때문에 URL 필터링, 신뢰도 서비스, 서명 기반 솔루션 등은 곧바로 무용지물이 돼버린다.
이러한 위협을 차단할 수 있는 혁신적인 솔루션은 지금도 존재하며, 이러한 솔루션은 조직의 기존 보안 인프라스트럭처의 상단에 레이어드 방식으로 구현돼야 한다. 그러나 솔루션 탑재가 광범위하게 확산되기 전까지는 개인들의 데이터가 생각만큼 안전하지 않을 수도 있다는 사실을 알아야 한다.
웹 1.0 시나리오에서는 PC가 스파이웨어에 감염된다 해도 많은 솔루션을 이용해 스파이웨어를 탐지하고, ‘집에 전화를 걸 때’ 혹은 악의적인 서버에 접속을 시도할 때 차단할 수 있었다.
그러나 웹 2.0 이후가 되면 얘기가 달라진다. PC에 은밀히 침투한 트로이목마는 더 이상 제3세계의 악의적인 호스트 서버로 훔친 데이터를 전송하지 않는다.
대신 마이스페이스 페이지나 URL 필터링 또는 신뢰도 기반(reputation-based) 솔루션에 블랙리스트로 등재되지 않은 다른 ‘신뢰할 수 있는’ 웹 2.0 사이트로 데이터를 업로드한다. 해커들은 본질적으로 자신이 빼낸 데이터를 저장하기 위해 이러한 사이트를 ‘면책(safe harbors)’ 요건으로 전환시킨다.
이러한 시나리오를 중단시키는 방법은 하나밖에 없다. 네트워크에서 어떤 일이 발생하고 있는지를 정확히 이해하는 것이다. 보안 침입으로 인해 발생하는 재무적인 손실은 수백만달러에 달할 수 있다. 기업과 정부의 사용자들은 C2C의 증가와 함께 자신들의 디지털 자산에 대한 위협도 갈수록 증가한다는 사실을 깨달아야 할 것이다. @
출처 : ZDNet Korea
'Security_Space' 카테고리의 다른 글
| ARP스푸핑 이용, 악성코드 감염 사례 급증 (3) | 2007.12.11 |
|---|---|
| 웹 응용프로그램 침입, 원천 차단한다. (0) | 2007.12.10 |
| 소프트웨어 개발자 보안 테스트 표준화 (2) | 2007.11.22 |
| 집중분석-달라진 개인정보보호법 (0) | 2007.11.20 |
| 이재우 동국대 교수 (ISC)2 Harold F. Tipton 수상 (1) | 2007.11.19 |