| 현대판 트로이 목마 | 2008.08.01 |
웹 브라우저와 이메일이 주요 감염 원인
지금까지 보안 관련 뉴스에 계속 관심을 가져온 사람이라면 누구나 맬웨어의 전염과 보안 침해들에 대해 알고 있을 것이다. 그리고 이 모든 것은 고 생산성 확보와 커뮤니케이션 고효율을 가능하게 한 우리가 이뤄낸 진보 때문이다. 즉, 스티브 러셀(Steve Russell) 박사가 지난 3월 한국에서 연설을 통해 언급했던 것처럼 우리가 누구에게나, 어디로든 초고속으로 닿을 수 있도록 인터넷을 만들어왔기 때문에 마찬가지로 어디에 있는 누구라도 우리에게 쉽게 닿을 수 있게 되었다.
흥미로운 것은 오늘날 컴퓨터들을 감염시키는 주요한 방법이 인터넷에서 가장 많이 사용되는 두 가지, 즉 웹 브라우저와 이메일 애플리케이션을 통한 것이라는 점이다. 이들은 결국 오늘날의 ‘트로이 목마’인 셈이다.
현재 상황 머리를 어지럽게 만드는 숫자들을 살펴보자.
그 뿐만이 아니다. 업계 대표들이 상당히 솔직하게 다음과 같이 언급했다.
안티바이러스 업계에서 우리는 20년 동안 소비자에게 거짓말을 해왔다. 지난 20년 간 우리들(안티바이러스 기업들)은 우리 자신을 왜곡해왔던 것이다. 어느 누구도 5백 5십만 개의 바이러스를 탐지할 수는 없다. 그러나 만일 등록된 바이러스 샘플이 전혀 없다면 그것을 탐지할 방법도 없는 것이다...
매년 새로운 애매모호한 업계 용어가 나타났지만 항상 실패했다. 발견적 방법(Heuristic)은 파일을 검사하기 위해 규칙을 사용하지만 바이러스 작성자들도 그것을 알고 있다... 3년 전의 업계 용어는 “개인용 방화벽”이었지만 모든 것을 차단할 수는 없다. 효율적인 개인용 방화벽을 위해서는 포트 80을 차단해야만 하지만 HTTP는 포트 80을 사용한다. 만일 우리가 그것을 차단한다면 아무도 “인터넷”을 사용할 수 없다... HIPS(호스트 기반 침입 방지 시스템, host-based intrusion-prevention systems)은 한 애플리케이션이 다른 애플리케이션에 접촉하려고 할 경우 이를 알려주기 위한 수많은 규칙을 갖고 있다. HIPS 행위 모니터링은 실행 가능한 파일을 요구하며, 따라서 바이러스 작성자들은 그들이 그 규칙을 피할 수 있는지를 확인한다. 에바 첸(Eva Chen), 트렌드 마이크로(Trend Micro) CEO
오늘날의 인터넷에서 구글은 1순위 타깃이다. 우리의 시스템에 반하는 행위의 양은 막대하다...어떠한 보안 수단도 100% 완벽하지 않다. 보안의 기본 방침은 변하지 않지만 우리를 둘러싼 세상은 변한다. 데이터는 세상 속으로 뛰쳐나가기 위해 다른 방법을 찾고 있다. 만일 당신이 당신에게 닥친 위험을 알지 못 한다면 당신은 그것을 관리하는 방법도 알 수 없다. 보안에 관해 사람들을 교육하는 것은 보안 전문가들이 할 수 있는 가장 중요한 일이다. 스콧 페트리(Scott Petry), 구글이 인수한 포스티니(Postini)의 창립자 겸 CEO 신중하게 클릭하라 이전에도 언급했던 것처럼 필자는 이러한 수많은 맬웨어 행위들이 금전적인 목적에서 기인하고 있으며 우리가 알고 있는 한 범죄자들이 우위를 차지하고 있다는 것이 걱정스럽다. 맬웨어 파일을 이메일에 첨부 파일로 보내는 것은 IBM PC만큼이나 낡은 수법이다. 범죄자들이 특정한 피해자들을 대상으로 삼기 위해 실제로 미리부터 예습을 하고 있는 일이 현재 벌어지고 있다. 일례로 중국의 누군가가 맬웨어로 가짜 이메일을 만들어 그것을 미국의 고위 정부 계약자에게 발송한 사건 때문에 미국과 중국 사이에 다소 과열된 대응이 있었다.
놀라운 것은 그것이 진행 중인 프로젝트와 관련이 있으며 첨부 파일은 그 프로젝트와 관련된 대략적인 밑그림에 불과했다는 점이다. 누군가 실제로 그 피해자를 대상으로 훌륭한 예습을 한 것이다. 계획의 복잡성과 관련해 미국은 중국 정부가 배후에 있다고 생각했었다. 양측 정부가 사이버 스파이 활동을 탐지하고 차단하기 위해서 뿐만 아니라 공격을 개시하기 위해서도 최선을 다하고 있다는 것은 의심할 여지가 없다.
물론 이메일과 웹 사이트가 결합하면 매우 치명적이다. “타깃이 된” 피해자들이라면 그 피해는 더욱 심각하다. 또 다른 사건으로 여러 고위 CIO들에게 가짜 이메일들을 발송된 일이었다. 그 이메일은 메일링 주소를 포함해 모든 정상적인 컨택 정보가 있는 공식적인 것으로 보였고 수신자들에게 수락여부를 확인하기 위해 링크를 클릭하라고 요구했다.
또한 많은 일반 가정 사용자들이 명절이나 최근의 주요 이벤트 등 시기적절한 제목으로 교묘하게 목표를 노리는 이메일의 타깃이 되었다. 나는 교육이 가장 중요한 조치라는 스콧 페트리의 의견에 동의한다. 같은 말을 계속해서 되풀이하다보니 마치 내가 고장 난 라디오라도 된 듯한 기분이지만 때로 반복은 기억하기 위한 가장 좋은 방법이기도 하다.
본 필자와 여러분 같은 엔드 유저들은 새로운 사이트를 방문할 때, 특히 이메일이나 웹 사이트에 있는 링크를 따라갈 때는 항상 주의를 기울여야만 한다. 또한 항상 OS나 웹 브라우저를 최신 보안 패치로 업데이트 해야만 한다. 안티바이러스가 기대만큼 효과적이지 않을 수도 있지만 최신 정의로 업데이트 하는 것은 또한 매우 중요하다. 이론적인 상식과 조심스러운 웹 서핑만으로도 실제로 상당한 효과를 볼 수 있다. 주의 깊게 코딩하고 관리하자 웹 서버와 코딩 사이드의 측면에서 이제 막 공개된 효과적인 툴이 있다. 구글은 잠재적인 보안 결점을 근절하기 위해 고안된 웹 애플리케이션 평가 툴 Ratproxy를 오픈 소스로 배포했다. 이것이 바로 내가 구글을 칭찬할 수밖에 없는 또 다른 이유다.
이 툴은 실제로 구글에서 크로스사이트 스크립트 포함 위협, 부적당한 크로스사이트 요구 허위 방어, 캐싱 이슈, 크로스사이트 스크립팅 후보, 잠재적으로 불안전한 크로스 도메인 코드 포함 계획, 정보 유출 시나리오 등과 같은 문제들을 밝혀내는데 사용되었다. 또한 구글은 개발자 커뮤니티가 이 툴을 지속적으로 사용하고 개선할 수 있도록 하기 위해 오픈 소스로 만들었다.
구글의 권위 있는 보안 연구자 Michal Zalewski는 “우리는 이 툴을 오픈 소스로서 무료로 사용가능 하도록 만들기로 결정했다. 왜냐하면 그것으로 현재의 웹 기술과 관련된 보안의 과제에 관한 정보보호 커뮤니티의 이해 향상에 도움을 주어 커뮤니티에 상당히 기여할 수 있으리라 생각했기 때문이다”라고 말했다. 정말 훌륭하다! 이것은 현재 리눅스, FreeBSD, MacOS X, 윈도우를 지원하고 있으며 구글 코드에서 사용할 수 있다.
웹 프로그래머들은 또한 보안 교육을 필요로 하며 훌륭한 프로그래밍을 연습해야만 한다. 모든 에러 처리에 관해 설명하거나 아무도 어떤 방식으로든 시스템에 침입할 수 없다는 것을 증명하는 것도 훌륭한 프로그래밍 연습이다. 결코 디폴트 패스워드를 사용해서는 안 되고 불필요한 서비스는 서버에서 사용 불가능하도록 해야 하며 관리 인터페이스는 결코 대중 인터넷에 노출되어서는 안 된다.
또한 인터넷 익스플로러와 파이어폭스에서 모두 작동할 수 있는 코드를 작성하는 것도 좋은 웹 프로그래밍으로 생각된다. 이와 더불어 코드의 충분한 적용 범위를 확보하고 가능한 많은 예기치 않은, 또는 반 직관적인 행위를 예측하기 위해 훌륭한 자동 QA(품질보증, Quality Assurance) 프로세스도 필요하다.
필자는 대부분의 프로그래머들과 QA 테스트 담당자들이 이러한 원칙을 알고 있다고 생각한다. 이것은 사실 부지런함과 그것을 습관으로 만드는 것에 달려있는 문제다. 그러나 사이버 범죄자들에 대한 이 힘겨운 전쟁에서 우리 모두의 승리를 위해서는 모든 이들의 도움이 필요하다. <글·정양섭 기가핀네트웍스(GigaFin Networks) 제품 매니저(yang@gigafin.com)>
[정보보호21c 통권 96호(info@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|
 |
