• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

“네트워크 위협, 다계층 방어가 해답” 2008.10.06

네트워크 보안 위협의 실체와 그에 따른 방안 제시


워치가드코리아(지사장 정종우 http://www.watchguardutm.co.kr/)는 지난 2일 삼성동 오크우드 호텔에서 ‘네트워크 위협? 도대체 어떤 위협인가?(Threat? What Threat?)’이라는 주제로 라이브 데모를 진행했다.


이날의 라이브 데모는 리얼타임 보안 서비스 프로그램인 라이브 시큐리티(Live Security) 팀의 수석 네트워크 보안 애널리스트로 활동하고 있는 코리 나크라이더(Corey Nachreider)를 초대해, 네트워크 보안을 위협하는 요소와 새로운 트렌드를 점검하고 이에 대한 효과적인 대응 방법을 모색한 시간이었다.


또한 막연하게 이론적으로만 알고 있던 보안 위협을 라이브 데모를 통해 실제 눈으로 확인하면서 네트워크 보안 위협의 실체와 보안의 필요성을 느끼는 계기를 마련했다. 이에 네트워크 보안 애널리스트 코리 나크라이더에게서 네트워크 위협에 따른 방안에 대해 들어 보았다.


■ 새로운 현실 - 계속 바뀌는 위협의 실체

1998년, 우리가 걱정해야 하는 보안 위협은 컴퓨터 바이러스와 웜 뿐이었다. 거기에 스팸, 서버 공격에만 대비하면 네트워크 보안 측면에서는 더 이상 별 걱정이 없었다. 그러나 2003년을 기점으로 보안 전문가들은 유해한 소프트웨어, 즉 멀웨어의 유포 목적과 그 질적인 면에서 엄청난 변화가 생겼다는 점을 뚜렷하게 인식하기 시작했다.


이제 전방위에서 유해 코드가 개개인의 사용자를 포괄적으로 공격하고 있다. 순간적인 다운로드로 발생하는 피해(Drive by download: DbD), 피싱(Phishing), 파밍(Farming), SQR 인젝션, 크로스 사이트 스크립팅(XSS), SPIM, 스파이웨어, DDoS 등 다양한 방식의 혼합 공격이 시행되고 있는 것이다.


보안 위협의 또 다른 트렌드로는 공격이 개개인을 일대 일로 타깃 하는 것이 아니라 취약점을 찾아 대규모로 진행된다는 점을 들 수 있다. 공격은 수동으로 일일이 진행되는 게 아니라 자동화되고 있으며, 조직적인 범죄 집단이 깊숙이 관여되어 있다. 범죄 집단은 자금력과 기술력을 바탕으로 금전적인 목적을 위해 네트워크 공격을 수행한다.


드라이브 바이 다운로드의 경우 특정 웹사이트를 사용자가 방문하는 순간 공격자의 코드가 사용자 컴퓨터에 다운되어 다음 공격의 기지로 활용한다. 피싱과 파밍의 경우 사용자를 속이는 기법을 사용, 합법적으로 보이는 웹사이트를 가장함으로써 은행 계정 등 민감한 정보를 탈취한다. SQL 인젝션 등은 웹 애플리케이션을 공격하고, 뒷단에 있는 데이터베이스 등 민감한 정보를 빼낸다.


■ 왜 나를 공격할까?

우리는 평범한 중소기업에 다니고 있다. 은행잔고는 별로 많지 않고, 산업기밀을 컴퓨터에 저장하고 있기는커녕 구경조차 해본 경험도 없다. 그렇다면 이 컴퓨터는 네트워크 공격에서 안전할까? 절대 그렇지 않다. 공격자들은 좋은 먹잇감으로 당신의 컴퓨터를 공격한다. 인터넷에 연결되어 있기만 하면 족하다.


피해 컴퓨터를 활용해 공격자는 원격 공격이나 스팸을 릴레이한다. 이를 통해 일시에 대규모 공격을 실행할 수 있을 뿐만 아니라 자신이 노출되지 않도록 은닉할 수 있다. 또한 공격자는 하드 드라이브 공간을 필요로 한다. 많을수록 좋다. 여기에 불법 소프트웨어를 감춰 두거나, 불법 다운로드 영화 등을 저장해 놓고 판매한다.


10년 전만 해도 해커들은 장난이나 유명세를 타기 위해, 친구들에게 자랑하기 위해 해킹을 시도했다. 그러나 요즘엔 그 목적이 바뀌었다. 바로 돈을 버는 것. 그렇다면 범죄자들이 해킹 공격을 통해 얼마나 벌까? 정확한 수치를 파악할 수는 없지만 2004년 FBI는 연간 해커들이 벌어들이는 수입이 4천억 달러 정도라고 추정했다. 가트너가 4천 5백 명을 대상으로 조사하고 추정한 결과에 따르면, 피싱 한 가지 방법만으로도 연간 피해액 32억 달러에 달할 것으로 보고 있다.


■ 새로운 공격 트렌드 : 웹 애플리케이션에 집중된 공격

과거에는 특정 서버나 OS를 주로 공격 대상으로 했다. 그러나 기업체에서 이에 대한 방어 체계가 잘 구성되면서 해커는 주로 서버를 공격해 클라이언트 애플리케이션 웹브라우저, 미디어 플레이어, 링크 등을 통해 사용자를 공격한다.


웹 기반 공격이 이메일 공격보다 훨씬 일반화되고 있다. 컴맹들도 스팸을 구별하기 시작하자 웹 기반 공격으로 이동한 것이다. 일대 일 공격은 비효율적이기 대문에 자동화된 방식으로 대규모 공격을 감행한다.


예상하지 못했던 경로를 통한 공격도 계속 진화하고 있는데 해커는 언제나 새로운 방식을 찾고 있다. VoIP, P2P, 웹 2.0은 물론 모바일 폰, 복사기 등 일반인이 상상치도 못했던 공격 경로가 빠르게 개발되고 있다.


▲ 드라이브 바이 다운로드(Drive-by Downloads)

DbD와 같은 웹 기반의 공격은 예전의 이메일 바이러스를 대체하며 네트워크 위협의 주류 세력으로 떠오르고 있다. 악성 코드를 감추고 있는 웹사이트를 방문하면 사용자가 모르는 사이에 악성 코드가 컴퓨터로 다운로드 된다.


이러한 악성 웹사이트의 경우 지금까지는 공격자가 직접 호스팅해 왔지만, 이제는 합법적인 웹사이트를 하이재킹하여 부비트랩으로 활용한다. DbD는 비즈니스 위크, 마이스페이스, 페이스북, 미식 축구 팀의 홈페이지 등 매우 잘 알려진 사이트가 하이재킹되면서 주목을 받기 시작했다. 현재 많은 기업용 사이트, 전자상거래 사이트는 물론 대학의 웹사이트와 정부 사이트 등이 DbD의 유포에 악용되고 있는 실정이다. DbD가 위협적인 이유는 합법적인 사이트를 방문해도 자기가 모르는 사이에 DbD 공격을 당하고, 대단위 공격에 악용되기 때문이다.


안티 바이러스 회사인 소포스(Sophos)에 따르면 매일 6천 개의 악성 웹사이트가 생겨나고 있다고 한다. 또한 2007년 통계를 살펴보면, 이 중 20%만 해커가 운영하는 사이트로 알려지고 있다. 나머지는 일반인이 운영하는 웹사이트로, 매우 정상적인 모습으로 운영되면서 DbD를 유도한다. 그리고 성장세도 매우 빨라 이런 웹사이트의 증가율은 매년 300%에 달하는 것으로 알려졌다.


DbD가 더욱 심해지는 이유로는 아주 실력이 뛰어난 해커가 아니더라도 언더그라운드 해커 사이트에서는 이러한 공격 킷을 팔거나 무상으로 제공하면서 손쉽게 구할 수 있기 때문이다. 해커들은 공격 킷을 단순히 판매하고 끝나는 게 아니고, 사용이 미숙한 고객을 대상으로 서비스까지 제공하면서 악성 코드는 대단위 사업으로 변모시키고 있다.


▲ 웹 애플리케이션 공격(Cross-site Scripting)

웹 애플리케이션 공격 중 하나인 크로스 사이트 스크립팅(XSS)은 점차 빈번하게 발생하고 있다. XSS는 공격 테크닉 중 하나로, 피해자가 신뢰하는 웹사이트에서 공격자가 피해자의 컴퓨터에 스크립트를 가동하는 방식이다.


과거의 웹사이트는 정보를 포스팅하는 역할에 국한되어 있었지만, 점차 사용자의 참여를 중시하면서 웹 애플리케이션 형태로 발전하고 있고, 사용자가 웹사이트와 상호작용을 하고 능동적으로 컨텐츠를 올리면서 웹 애플리케이션 공격이 용이해지고 있다. 웹사이트와 유저의 인터렉션 과정에서 발생하는 취약점을 공격하는 XSS 공격 패턴이 그것이다.


예를 들어 중고품 판매 웹사이트에 공격자가 게시물과 함께 HTML 악성 스크립트를 삽입한다. 그러면 이 제품에 관심 있는 사람이 링크를 클릭하면 컴퓨터에 HTML 스크립트가 자동으로 설치ㆍ실행된다. 포럼 사이트에서 신용카드 정보를 사용한다면 웹 쿠키를 훔쳐가 마치 다른 사람인 듯 로그인 한 후 신용카드 정보를 훔쳐갈 수 있다. 따라서 XSS는 피싱을 원하는 공격자가 매우 유용하게 활용한다.


예전에는 웹 취약성 공격 중 버퍼 오버플로우가 가장 일반적인 패턴이었지만, 이제는 크로스사이트 스크립팅이 가장 보편적인 공격으로 자리 잡고 있으며, 이와 관련해 많은 취약점이 발견되고 있다. 현재 전 세계 웹사이트 중 70%가 XSS 관련 취약점을 갖고 있다고 알려져 있다.


▲ SQL 인젝션

SQL 인젝션은 웹사이트의 애플리케이션 코드에 있는 약점을 찾아내 웹사이트와 연동되어 있는 데이터베이스를 해커가 컨트롤할 수 있도록 만드는 공격 기법이다. 웹서버와 데이터베이스와의 상호작용에서 취약점이 있을 경우 SQL 인젝션 공격이 용이하다. SQL 인젝션의 경우 DB에 있는 신용카드 정보, 주민번호 등 민감한 정보를 읽거나, SQL 쿼리를 활용해 인증과정을 건너뛰고, 데이터베이스에 있는 정보를 더하거나 삭제 혹은 수정할 수도 있다.


SQL 인젝션을 통해 전자 상거래 사이트로 들어가 물건 가격을 매우 싸게 바꾸는 등 여러 방법으로 악용될 수 있다. 또한 공격자는 SQL 공격을 수행한 후 유해한 DbD를 유도할 수 도 있어 복합적인 공격 양상을 발전한다.


▲ 봇넷(BotNet)

봇넷은 봇(Bots)이라는 악성코드에 감염된 여러 컴퓨터가 연결되어 봇을 원격 조정할 수 있는 컴퓨터의 네트워크를 의미한다. 혼합위협의 대표주자 중 하나로 사이버 범죄를 자동화하여 대규모로 감행할 수 있도록 만들기 때문에 파괴력이 크다.


봇넷이 출현한 지는 매우 오래됐지만 2000년 이베이와 야후 등의 컴퓨터가 수 천 대로 구성된 봇넷 네트워크의 공격을 당해 DoS(Denial of Service)로 서비스가 다운되면서 IT 관련자에게 대대적으로 알려지게 되었다. 지금까지 가장 대규모로 악명을 떨친 봇넷은 2007년 나타난 스톰(Storm)으로 알려진 것으로, 50만대 이상의 컴퓨터를 장악하면서 대부분의 스팸 공격을 주도했다.


봇넷은 봇넷 코드를 거래하는 시장이 발생할 정도로 점차 정교해지고 있으며, 다양한 형태의 멀웨어로 변이되기 때문에 포착하기 어렵다는 특징을 갖는다. ‘좀비’ 컴퓨터로 활용되는 감염된 컴퓨터 군단을 통해 봇넷을 관리하는 봇 매스터는 다음과 같이 악용된다.


  ▶ 좀비 PC를 통해 스팸 메일을 전송

  ▶ 포르노 사이트 등 불법 웹 사이트 호스트

  ▶ 제휴 광고 사이트 등 클릭 후 금전적인 이득 확보

  ▶ 유해한 드라이브 바이 다운로드 유발 웹사이트 호스트

  ▶ 좀비로 만들 추가 희생자 이메일 확보

  ▶ 로그인 정보 확보

  ▶ 좀비 사이트를 피싱 서버로 전환

  ▶ 봇넷 컴퓨터에 웹 카메라를 설치하고 조용히 감시


이처럼 봇넷에 감염된 좀비 PC의 수가 점차 늘어남에 따라 일부 관계자들 사이에서는 “진정 공격자의 유일한 한계는 그들의 상상력뿐인가”라는 말까지 나오는 상황이다.


■ 복사기에 핸드폰까지, 더욱 확산되는 공격 경로

공격자들은 예상하지 못했던 경로를 통한 공격을 기습적으로 수행하면서 언제나 새로운 방식을 찾는다. VoIP가 확산되고, P2P, 웹 2.0, 모바일 폰 등 IT 관련 기술과 이용 패턴이 변화하면 공격 경로도 더욱 다양해진다.


예를 들면 최신형 고급 네트워크 프린터의 경우 하드 드라이브가 탑재되어 있는데 이 역시 공격 경로로 활용된다. 아무도 프린터를 통해 해킹 공격을 할 것이라 생각하지 않는 틈을 타서 봇을 살포하거나 다른 사람을 공격한다. 또는 포르노 등 불법복제 내용의 저장 공간으로 활용하기도 한다. 게임 콘솔에 불법 소프트웨어를 장착하여 네트워크 팩을 몰래 설치하면, 네트워크 상에 일어나는 모든 트래픽 정보를 확인하는 플랫폼으로 악용될 수도 있다. 또한 스마트폰, USB 메모리, MP3가 해킹 통로로 사용되기도 한다.


■ 다계층 방어가 해답

하나의 보안 솔루션으로는 절대 복합적인 공격에 대한 해답을 제시할 수 없다. 마피아와 유사한 조직 형태로 역할이 분담되고, 자금력과 기술력을 고루 갖춘 사이버 범죄 집단은 일대 일 공격이 아니라 취약점을 기반으로 무차별 공격을 수행하면서 계속 발전하고 있기 때문이다.


다양한 기술을 활용해 공격자가 스스로를 보호하고, 좀비 PC 등을 통해 익명성을 확보하면서 공격을 수행하기 때문에 수사 당국이 역추적해서 찾더라도 실제 해커를 찾기가 점차 어려운 상황이다. 또한 스패머 한 명을 찾는데 드는 법적인 비용은 큰데 반해 그들이 받는 처벌은 그리 강하지 않다는 점도 문제점으로 지적된다.


혼합위협에 적극적으로 대처하려면 계층화된 보호가 효과적이다. 단계적으로 필요한 보안 대책을 쌓아가는 방식이다. 한 가지 방법으로는 100%의 효과를 절대 기대할 수 없기 때문이다.


예를 들면 하나의 보안 개념으로 50% 정도의 보안을 할 수 있다고 하면, 두 번째 보안 대책을 도입하는 순간 남아있는 50% 보안 위협에 대해 추가로 50%의 보안을 기대할 수 있다. 즉 75%의 보안효과를 확보하는 셈이다. 물론 하나의 보안 장치가 50%의 보안 효과만 제공한다면 실망스러울 수 있다. 그러나 이처럼 계층화된 보호 장치를 도입했을 때, 얼마나 보안이 강화될 수 있는지를 살펴보면 보안 전문가들이 단계별 보안을 제안하는 이유를 확인할 수 있다.


그러나 막연히 보안 제품을 산발적으로 도입해서 쌓아두기만 한다면, 새로운 문제점이 발생할 수 있다. 사용자 인터페이스가 너무 산발적으로 존재하고, 문제가 발생했을 때 공급업체간의 책임 회피가 발생할 가능성이 있다. 또한 보안의 질적인 면에서도 일관성이 결여되며, 랜덤하게 발생하는 여러 종류의 업데이트 패치를 많은 제품에 적용해야 하기 때문에 시간과 노력이 여러 배로 필요할 수밖에 없다.


통합위협관리(UTM) 제품은 한 대의 인텔리전트 어플라이언스에 여러 보안장치를 통합적으로 구현한 것으로, 이러한 새로운 문제점에 해결책을 제공한다. 사용자 입장에서는 교육 및 관리에 필요한 비용이 훨씬 줄어들게 되며 보안 이슈가 발생해도 빠른 대응이 가능하다.


전통적인 사고방식으로는 빠르게 진화하는 혼합위협에 대응하기 어렵다. 해커들의 상상력이 계속 발전되고 있는 한 새로운 대처방식이 필요하다. UTM 솔루션이 계속적인 변신을 시도하는 이유도 이 때문이다.

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>