HOME > 보안정보 > 최신보안동향
Security Information
문의사항
작성자 관리자 날짜 2010-05-13
제목 진화하는 위협에 대비하는 최신 보안 상황 (上)
진화하는 위협에 대비하는 최신보안상황 

 기업을 향한 위협은 나날이 변화되어 진화하고 있다. 하지만 기업에 있어서 본질적인 위협은 변화하지 않는다. 변화하고 있는 것은 기업의 IT 시스템에 대한 의존도와 활용의 폭이며 그에 대한 침입자들의 움직임, 그리고 세상의 관점이나 요구 등이다.
기업의 정보 보호 대책은 먼저 기업의 실태을 아는 것이 중요하다. 먼저, 기업에 있어 최악의 상황이 무엇인지 잘 파악함으로써 위협으로부터 계속해서 피해 나갈 수 있다. 그와 동시에 위협의 동향을 파악하는 것도 잊어서는 안 된다. 왜냐하면 보안 환경을 구현하는 것만이 목적이 아니기 때문이다. 변화하는 환경에 계속해서 적응하는 것 또한 매우 중요하다.


적을 알고 있는가 ? - 최신위협동향

최신 위협 동향은 많은 변화가 있었다고 볼 수 있다. 하지만 이전과 같이 공개된 사이트의 취약점을 악용하여 SQL인젝션 등의 수법으로 침입, 데이터베이스 등으로부터 신용 카드 정보와 계정 정보를 유출하는 방법이 없어지지는 않았다.  이는 공개된 사이트에서 직접 정보를 빼오지않고 공개 사이트를 경유하여 사용자를 악성 사이트로 유도해 바이러스에 감염시킨 후 사용자의 PC에서 정보를 빼오는 식으로 변화하고 있다.

 

 위협 내역 (LAC 사이버 응급 센터 출동 상황 2009)

왜 이런 일이 일어나는 것인가? 의외라고 생각될지도 모르지만, 사이트 변조가 발생했다고 해서 그 원인을 정확하게 해명한다는 것은 사실상 불가능한 얘기이다. 가령 관리자의 PC가 바이러스에 감염되고 관리 계정까지 탈취되어 그 결과 사이트가 변조되었다는 정황 증거를 잡았다고 한들 관리자의 PC로부터 탈취된 계정과 정보가 범인에게 넘어가 그 정보가 실제로 사이트 변조에 어떻게 사용되었는지를 객관적으로 증명하는 것은 매우 어려운 일이다.
마찬가지로 예를 들면 개별 사용자의 PC로부터 신용 카드 정보를 취득하여 어느 사이트에서 악용했다고 해서 그 인과 관계를 증명하는 것은 어렵다.

이러한 점에서, 공격자는 의식적으로 문제가 발견되기 어려운 방향으로 공격수단을 바꿔가고 있다고 볼 수 있다. 사이트가 침입 당하여 정보가 누출된 경우, 명확한 증거를 잡는 것은 어렵지만 피해 내용이나 규모는 특정적이기 때문에 알기 쉽다. 반면, 개인 PC에서 발생한 범죄 통계를 측정하는 것은 지극히 어려운 일이며, 또한 인과 관계를 짐작하는 것 조차 힘든 일이다. 이것은 조직에 있어서도 마찬가지이다. 악성 프로그램이 조직 내부의 PC를 원격으로 조작하여 정보가 누출 되었다고 해서 별도로 드러난 기밀 정보의 유출 관계를 입증하는 것도 매우 어렵고, 실제로 피해가 발생한 가능성이나 흔적은 있지만, 명확한 증거가 없다고 할 수밖에 없다. 이것은 기업조직을 지키는데 있어서도 지극히 중요한 것이다.

한편, 기업에서는 당연히 내부 범행에 대해 생각해 보고 보안을 유지해야 한다. 경제가 악화된 와중에도 고용을 계획 중인 경영자의 입장에서는 더욱 힘들지도 모르지겠만, 내부에 범인이 만들어 지지 않는 구조를 세우는것이 중요하며 이러한 것은 전문 경영자적 의식이 중요한 키포인트로 작용한다. 그럼에도 불구하고 이를 100 % 막을 수 있는 것은 아니다.

즉, 앞으로는 원인을 알 수 없는 보안 사건에 어떻게 대처해야 하는가에 대한 교육이 중요하다. 예를 들어 유출되지 말아야 하는 영업 비밀 정보인 경우, 보호 대상에 워터마크 또는 특수 트랩 데이터를 정해놓아 내부에서 반출된 것이라고 증명 할 수 있도록 하는 것 등을 들 수 있다.

 

자신을 알고 있는가? - 무엇을 피해라고 규정하는가

최근 화제라 하면 Gumblar 바이러스 일 것이다. " Gumblar " 라는 말이 바이러스의 명칭은 아니라고도 하지만, 여기서는 공격 수법을 포함해 " Gumblar "라고 부른다. 이 Gumblar바이러스는 향후의 보안 대책을 생각하는데 있어서 시사하는 바가 큰 사례이므로, 첫번째로 다루고 싶다.

 

조직 내부의 바이러스 활동의 변천

Gumblar 바이러스에서 "사건"은 "사이트 변조"이다. 알다시피 Gumblar에서 사이트 변조 자체가 범인의 목적은 아니다. 범인의 목적은 사이트를 변조하여 해당 열람자를 Gumblar 바이러스에 감염시키는 것이다. 그 "위협"에 대해서는 개인 PC의 경우 가짜 바이러스 백신 소프트웨어가 설치되어 신용 카드 번호 등을 탈취 하는 것등으로 되어있다.

한편, 기업 내에 침투시킨 Gumblar를 이용하여 범인들이 어떤 공격을 시행하고 있는지는 확실하게 알지 못한다. 예를 들면, 감염된 PC를 원격으로 작업하여 직원으로 사칭, 조직의 네트워크 구성인에 대한 정보 수집 및 메일 엿보기나 각종 문서 수집, 또 악성프로그램을 비밀리에 실행 해 보는 것 등이기 때문에 본래의 위협 목적과 그 피해에 관한 보도가 보인 적이 없었다. 즉, 극단적으로 말하면 문제가 되고있는 것은 "유명 기업 사이트 변조" 이라는 일련의 사건 일 뿐이다.

또한 Gumblar과 함께 지난해부터 수많은 조직 내에 침투하고 있어 문제가 되었던 Conficker 바이러스의 경우는 내부 네트워크의 다운이나 동작 지연, 시스템 계정 잠금과 같은 것이 있지만 사이트 변조와 달리 대외적으로 문제시 되거나 하는 것이 아니다. 단지 Gumblar에 비해 바이러스의 위험성에 주의를 쏟는것은 거의 없다라는 실태이다.

 

진화하는 위협에 대비하는 최신 보안 상황 (下) 편에 계속


작성자: 니시모토 이츠로우 (西本逸郎) 
               주식회사 LAC 
               이사, 상무집행임원 최고기술책임자(CTO)
 
 
원문보기