• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

온라인 게임, 미래의 보안문제 보여준다! 2008.01.24

온라인 게임이라는 가상 세계에서 미래의 사이버 위협을 배운다

 

만일 당신이 미래의 소프트웨어 위협과 보안을 엿보고 싶다면 멀리 볼 것도 없이 온라인 게임이라는 가상 세계를 살펴보면 된다.

 


이전의 던전 앤 드래곤 독점 영역에서 마니아들이 아주 오랫동안 손을 놀리자, 월드 오브 워크래프트(World of Warcraft), 이브 온라인(EVE Online), 그리고 반지의 제왕 온라인과 같은 온라인 게임들이 통계학적 범위를 넘어서서 사용자들을 유혹했고 제작자들에게 수억 달러의 수익을 가져다주었다. 월드 오브 워크래프트에 등록한 사용자들은 9백만 명 이상이며 비 등록 사용자들도 접속 비용이나 트랜잭션 요금, 그리고 개임 내 아이템 구매를 위해 수백에서 수천 달러를 선뜻 내어놓는다.


필연적으로 이러한 가상 세계의 공기 중을 통해 날아다니는 모든 실제 달러, 유로화, 그리고 엔화들은 쉽게 점수를 따려는 숙련된 온라인 범죄자들을 유혹하고 있다. 해커들은 사용자들의 계정 정보를 훔치기 위해 고안된 맞춤형 트로이나 키로거를 써넣기 시작했고 그것으로 그들은 은행 계좌에서 불법 인출을 하거나 온라인 게임 내에서 캐릭터나 아이템을 판다.


이러한 새로운 현실은 게임 개발자와 사용자 사이에서 심각한 보안 문제를 불러 일으켰다. 그리고 그러한 문제들은 일반 기업에까지 도달하기 시작했는데 기업 보안 직원들은 회사에서 이러한 게임을 하는 직원들과 관련된 위험에 직면하게 됐다.


그러나 게임 보안만 걱정되는 것이 아니다. 전문가들의 말에 따르면 더 큰 이슈는 이러한 문제들이 점점 더 원거리 호스트화 되고 AJAX, JavaScript나 XML과 같은 기술로 만들어지는 애플리케이션 환경 내 기업 보안의 미래에 관해 시사하는 것이 무엇인가 하는 점이다. 만일 현재가 징조인 것이라면 미래는 암울하다고 전문가들은 말한다.


소프트웨어 보안 회사 시지털(Cigital)의 CTO이자 2007년 발간된 게임 보안에 관한 서적 ‘온라인 게임 익스플로이팅(Exploiting Online Games)’의 저자인 게리 맥그로(Gary McGraw)는 “우리의 소프트웨어 시스템은 대규모로 분산의 새로운 구조로 이동하고 있다. 사람들이 서비스 지향 구조를 채택하면 애플리케이션의 새로운 세대는 우리가 오늘날 볼 수 있는 온라인 롤 플레이 게임 MMORPG(다중 역할 게임)의 대규모의 멀티플레이어들처럼 보일 것이다”고  말했다.


또한 그는 “소프트웨어를 만드는 사람들의 대부분은 보안을 일반인들이 생각하는 방식으로 생각하지 않는다. 이전까지 그것은 항상 네트워크 보안이었지만 이제는 소프트웨어가 더 잘 작동하게 만드는 것에 관한 것이다. 워크래프트는 900만명의 사용자들과 온라인 동시접속자 40만명을 가지고 있다. 이것은 SOA 디자인처럼 끔찍할 만큼 무섭게 들린다”고 덧붙였다.


문제가 있는 구조


월드 오브 워크래프트와 같은 대부분의 다중 역할 게임(MMORPG)은 그 게임의 원거리 서버 중 하나와 통신하는 사용자의 기계에 상당량의 클라이언트 소프트웨어를 설치한다. 이것은 간단한 구조다. 수십만의 사용자들이 동시에 게임 내에 있으며 그들이 모두 동시에 같은 게임 실행을 보고자 한다는 점만 제외한다면 말이다.


“보안 모델은 게임 영역 통제를 포함해야만 한다”고 맥그로는 말했다. 그는 또 “그러나 그렇게 할 수 있는 유일한 방법은 게임 영역을 조각내어 각각의 사용자에게 나눠주는 것뿐이다. 만일 보안에 관해 생각하지 않는다면, 그것은 굉장한 아이디어처럼 들린다. 그러나 만일 사용자들이 프로그램을 조작할 수도 있다는 것을 생각하면 그것은 아주 나쁜 아이디어다”고 말했다.


그런 구조는 구글이나 다른 회사들이 자신들의 애플리케이션을 만드는 것과 비슷한 방식이다. Gmail이나 Google Doc과 같은 구글이 제공하는 많은 것들은 웹 기반이지만, Google Desktop과 같은 다른 것들은 사용자들이 PC앞에 앉아 상당량의 정보를 모으고 끊임없이 구글의 서버와 통신해야만 한다. 이 모델은 애플리케이션 서버와 사용자 PC 사이의 높은 수준의 신뢰를 필요로 하기 때문에 사용자가 악의적인 성질을 가지고 있다면 문제가 될 수도 있는 것이다.


맥로그는 “보통의 보안 담당자들은 신뢰에 관해 매우 명백하게 말할 수 있지만, 공격자의 PC에 나쁜 클라이언트를 심어놓는 경우, 그것은 엄청난 신뢰 모델 문제가 된다”며 “공격자의 PC에서 사용하는 이 소프트웨어 조각은 신뢰 경계 밖에 있는 것이다”고 말한다.


웹 서비스들


한편 세일즈포스닷컴(Salesforce.com)과 넷스위트(NetSuite)와 같은 업계 선두주자들을 따라 마이크로소프트와 다른 주요 소프트웨어 공급자들은 웹 서비스에서 사용 가능한 애플리케이션을 만들고 있다. 예를 들어 마이크로소프트 오피스는 온라인에서 사용 가능하다.


이와 같이 변화하는 구조는 분산된 애플리케이션을 다루는 것 보다 네트워크 보안 과제를 다루고 데스크톱 애플리케이션 패칭에 익숙한 대부분의 애플리케이션 개발자들과 기업 보안 직원들에게 보안을 도전 과제로 던져준다.


존스 홉킨스 대학 컴퓨터 과학 교수이며 Independent Security Evaluators의 창립자인 애비 루빈(Avi Rubin)은 “이들 게임 환경에서 성공적인 익스플로이트가 웹 애플리케이션에서도 성공적일 수 있다는 가능성이 있다”며 “인증은 이러한 환경에서 훨씬 더 중요하게 됐다. 왜냐하면 이제 데이터는 네트워크에 저장되기 때문에 누군가 당신의 증명서를 구해서 당신의 모든 데이터를 저장하고 있는 애플리케이션에 침투할 수 있다면 그것은 훨씬 더 큰 문제가 된다. 애플리케이션은 엄청난 타깃이 되었다”고 말했다.

 

 

보안에 취약한 웹2.0

연구실 보고서

<글: 빌 브레너[Bill Brenner](SearchSecurity.com의 선임 뉴스 기자)>


보안 연구자들은 공격자들이 Web 2.0, VoIP, 그리고 가상화 취약성을 익스플로이트 할 것이라고 말한다.


Ajax과 같은 Web 2.0 tool의 대유행, 그리고 VoIP와 가상화 기술을 긁어모으는 회사들 때문에 보안 연구자들은 앞으로 10년 후 보안의 지평선 위에 무엇이 있을지 걱정한다. 기업들은 개발자들이 보안에 대한 생각은 거의 없이 대량생산하는 프로그램들과 같은 기술들의 장래성을 얻고자 열망한다.


결과적으로 기업 세계는 사업의 커다란 덩어리의 기초를 취약성 투성이인 프로그램에 두고 있다. 디지털의 언더그라운드는 이것을 깨달았고 대부분 돈이 될만한 민감한 데이터를 훔치는 것을 목적으로 기술을 익스플로이트하는 방법을 재빨리 낚아챘다. 연구소에서 미래의 위협에 관한 그림을 그려온 보안 연구자들은 기업들이 Web 2.0 기술에 대한 그들의 열망에 만족하면서 보안은 허공에 던져버렸던 대가를 치르게 될 것을 의심하지 않는다.


코어 시큐리티 테그놀로지스(Core Security Technologies)의 CTO 이반 아르체(Ivan Arce)는 “현재 Web 2.0 애플리케이션과 VoIP, 가상화의 이익을 취하기 위한 엄청난 공격이 보인다”며 “보안은 배치하기 위해 서둘러야 할 최우선 순위가 아니라고 여겨지기 때문에 이것은 분명 내일 기업들을 해치는 결말을 가져올 것”이라고 말했다. 전문가들은 앞으로 2년 후 회사들이 이 모든 비안정성의 결과로 고통 받기 시작할 것이라는데 동의한다.


WEB 2.0 공격이 넘치기 직전


시큐어웍스(SecureWorks)연구실의 선임 연구자인 조 스튜어트(Joe Stewart)는 앞으로 2,3년 후 Web 2.0 기술을 타깃으로 하는 익스플로이트가 가장 유력한 위협일 것이라는 의견이 대세라고 말했다. 그는 “나는 개발에서 더 많은 웹 기반 익스플로이트들을 알게 됐다. 보다 많은 사람들이 WebAttacker나 Mpack, 그리고 IcePack(‘공격 툴키트’ 참조)과 같은 턴키 공격자 키트(turnkey attacker kit)를 풀어놓고 있다”며 “이러한 툴은 일용품 시장 주변으로 껑충 튀어 올라왔고 그 제작자들은 새로운 기능을 추가할 때마다 더 많은 돈을 벌고 있다”고 말했다.


또한 걱정되는 것은 더 많은 제 3자의 ActiveX 통제가 기업 애플리케이션 내에서 작동한다는 점이다. 사용자들이 필요한 픽스(fix)들을 찾아야 하는 것과 달리 제 3자의 ActiveX 통제로 윈도우즈에 내장된 ActiveX 통제는 마이크로소프트 보안 업데이트를 통해 수정될 수 있다고 스튜어트는 말한다. 그러나 업데이트가 빈번하지 않기 때문에 더 많은 트로이가 제 3자 ActiveX 통제에서 이득을 얻고 있다. 그는 또 “일반적인 사용자들은 앉아있는 오리와 같다”며 “그들이 그런 것을 더 많이 자신들의 기계에 설치할수록 그들은 더욱 취약해진다”고 말했다.


SANS 전임강사이자 창립자이며, 컨설팅 회사 인텔가디언즈(Intelguardians)의 선임 컨설턴트인 에드 스쿠디스(Ed Skoudis)는 스튜어트의 의견에 동의했다. 그는 “브라우저 스크립팅 공격은 내가 제일 걱정하는 부분이다”며 “Web 2.0덕분에 수백만의 사람들이 웹 사이트를 서핑하며 수십만의 사람들이 붙여놓은 컨텐츠를 보고 있다. 구글, 이베이, 마이스페이스, 그리고 유튜브는 이러한 모델을 기반으로 하고 있다. 만일 누군가 나쁜 브라우저 스크립트를 그들의 컨텐츠에 붙여 놓는다면 그 나쁜 사람은 브라우저들에 심지어 기계 내에 존재하는 것을 검색하는 네트워크 인프라스트럭처까지 완전히 접속할 수 있다”고 말했다.


위협은 특히 기업들에 더욱 끔찍하다고 스쿠디스는 말한다. 왜냐하면 회사들은 가장 주요한 애플리케이션을 가능하게 하는 웹을 가지고 있고 주요한 IT 구조를 관리하기 위해 브라우저를 사용하고 있기 때문이다.


그는 “이런 시나리오를 생각해보라. 우리가 기업 애플리케이션, 예를 들어 전자 상거래 애플리케이션과 기업 보안 툴, 또는 은행의 현금 관리 시스템을 가지고 있다고 하자”며 “애플리케이션 로그들의 내장된 트랜잭션의 다양한 측면들, 예를 들어 트랜잭션 변수, 날짜, 시간 기타 등등을 가정해보라. 또한 그것은 애플리케이션 유저의 브라우저에 의해 구현된 사용자 에이전트 문자열과 같을 것이다. 나는 나쁜 사람이 기업들의 브라우저의 사용자 에이전트 문자열에 악성 브라우저 스크립트를 넣는 공격들을 보아왔다. 그러면 그들은 그 악성 브라우저 스크립트를 애플리케이션 로그에 남겨두면서 트랜잭션을 약속한다”고 밝혔다.


그 후에 관리자가 로그를 보기 위해 웹 기반 애플리케이션을 사용할 때 공격자의 스크립트는 관리 브라우저에 전달되어 실행된다고 스쿠디스는 설명했다. 그러면 그것은 그 애플리케이션 내에서 관리자가 할 수 있는 모든 것을 할 수 있다. 예를 들어 돈을 송금하거나 보안 시스템을 끌 수도 있다. 그는 “우리의 애플리케이션을 웹 서비스로 더 많이 옮길수록, 위협은 보다 더욱 커진다”고 덧붙였다.

 


VoIP와 가상화의 위험들


VoIP와 가상화를 둘러싼 위협을 살펴보면 연구자들은 VoIP 기반 스팸에서부터 가상화 프로그램의 취약성을 통한 서버 공격 성공에 이르기까지의 모든 잠재적인 것들을 보게 된다.


어떤 이는 3년 전보다 전문가들이 경고 종을 울려대기 시작한 오늘날의 VoIP 보안이 훨씬 좋아졌으리라고 기대할 지도 모른다. 그러나 몇몇 산업 전문가들에 따르면 VoIP 보안은 그다지 개선되지 않았다.


보안 회사 iSEC Partners의 히만슈 드위베디(Himanshu Dwivedi)와 제인 래키(Zane Lackey)는 IAX 와 H.323과 같은 VoIP 프로토콜은 간단한 익스플로이트에도 열려있는 상태라고 경고한다. 그들의 말에 따르면 H.323은 특히 공격에 취약하지만 증거가 거의 없기 때문에 대부분의 사용자들은 그것이 안전하다고 추정한다.


드위베디는 지난 3년 간 보안 위험에 대한 큰 고민 없이 VoIP사용은 폭발적으로 증가했기 때문에 위협에 빛을 발산하는 것이 중요하다고 말한다. 래키도 이에 동의하며 “회사들이 VoIP에 대해 몇 년 전과 같은 심적 경향을 가지고 있는 반면 공격과 방어에 모두 쓰일 수 있는 툴이 보다 많이 나왔다”고 말했다.


가상화의 보안 함축이 더욱 모호해진 반면, 코어의 아르체는 그곳에 모여드는 위협을 확신한다.

“비록 그 영향이 아직 명확하지는 않지만 가상화에 내포되어있는 큰 의미는 알고 있다”고 아르체는 말한다. 그는 “기술의 결함은 가상 환경을 붕괴시키는데 사용될 수 있고, 만일 당신이 다량의 가상 기계를 서버에서 가동시키고 그 서버가 제대로 작동하지 못 하면, 엄청난 손상이 있을 수 있다. 서버 숫자를 줄이기 위한 가상화 사용의 이면은 더 적은 서버를 가동시킴으로써 더 많은 손상을 줄 수 있다는 점이다”고 말했다.


2007년 초, 거대 가상화 기업 VMware가 20개의 보안 구멍을 수정할 수 밖에 없었을 때, 기술과 연관된 위험들이 표면화됐다. 결함들은 VMware ESX Server, VMware Server, VMware Workstation, VMware ACE, 그리고 VMware Player를 지원하는 모든 버전들을 괴롭혔다. VMware사는 내부에서부터 방어를 보강하기 위해 조용히 호스트 침입 예방 업체 디터미나(Determina)와 손잡았지만 명확한 보안 비전의 방법까지는 거의 제공하지 못 했다.

 


조언


그렇다면 내재된 이러한 위협에 대해 IT 전문가들이 할 수 있는 것은 무엇인가? 시큐어웍스(SecureWorks)의 스튜어트는  IT 업체들은 일반인 사용 허가 된 쌍방향 컨텐츠에 관한 좋은 정책을 필요로 한다고 말했다. 그 자신도 인기가 없는 방법이라고 인정했지만 가장 안전한 방법은 인터넷 익스플로러에서 ActiveX 통제를 사용하는 것을 금지하는 것이다. 그는 “사용자들이 ActiveX 통제를 사용할 지를 마음대로 결정하도록 하지 말라”고 말했다.


마타사노 보안(Matasano Security) 연구자 토마스 파섹(Thomas Ptacek)의 충고는 IT 전문가들이 하이 프로파일 데이터 위반의 각성에서 몇 번이고 들어왔던 것이다. “화려하고 빛이 번쩍거리는 보안에 대해 생각하는 것을 그만두고 분할에 더욱 초점을 맞춰라. 접근하면 안 되는 부분으로부터 사람들을 차단하기 위해 네트워크를 분할하라.”


그의 말에 따르면 그 충고에 주의했던 사람들은 Web 2.0 기반 공격으로부터의 손상을 보다 잘 최소화할 것이다. 왜냐하면 왕관의 보석은 나쁜 사람들의 손이 닿을 수 없는 곳에 있을 것이기 때문이다.


스쿠디스는 접근 브라우저 스크립트는 극도의 주의가 필요하다고 충고한다. 그는 “당신은 어쩌면 당신이 인터넷 서핑에 사용하는 브라우저와 별도로 관리 구조 애플리케이션을 위해 다른 컴퓨터와 다른 브라우저를 사용하고 싶어 할 수도 있다”며 “예를 들어 당신은 어쩌면 인터넷을 검색하기 위해 Firefox를 사용하고 내부 애플리케이션 관리를 위해 인터넷 익스플로러를 사용할 수도 있다”고 말했다.


그는 또한 HTTP proxy나 심지어 악성 브라우저 스크립트를 걸러낼 수 있는 네트워크 기반 IPS 툴의 배치를 제안한다. 모든 툴이 악성 브라우저 스크립트를 감지하거나 차단할 수 있는 것은 아니지만 일부는 할 수 있다고 그는 강조했다. 끝으로 스쿠디스는 IT 전문가들은 그들의 웹 강화 애플리케이션의 스크립트 필터링 특징에 주목해야 한다고 말했다. 그는 “그들은 사용자의 입력으로 들어오는 모든 스크립트를 걸러내야만 하며 스크립트를 제거하여 밖으로 나가는 것도 또한 걸러내야만 한다”고 말했다.

 

 

<글: 데니스 피셔(Dennis Fisher)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

<글: 니

 

 

 

 

<글: 데니스 피셔(Dennis Fisher)>

Copyright ⓒ 2006 Information Security and TechTarget

             

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>