진화 中 사이버 위협, 어디까지 왔나?

| 2017년 9월 7일 | 0 Comments

진화 中 사이버 위협, 어디까지 왔나?

속수무책으로 당해버린 사건 앞에서 관리자가 손 쓸 길은 사실상 요원하다. 악의적인 목적을 지닌 공격이었기에 애초에 수습할 방법 따위는 고려치 않고 자행된 것. 물론 최근에는 랜섬웨어랍시고 데이터 인질극이 자행되고 있으니 아이러니할 뿐이다.

대책은 두 가지다. 가능하다면 가장 최근에 이뤄진 백업 본으로 되돌리느냐? 혹은 모든 데이터를 포기하고 뒤엎는가? 물론 개인이라면 그 어떤 것이라도 홀가분하게 선택할 가능성이 높지만, 서비스가 구동되던 환경이 기업으로 옮겨간다면, 무게가 남다르다.



보상으로 이어지면 그래도 다행일 수 있겠다만 자칫 법적으로 얽히면 장기전으로 가는 것은 물론 정신적으로도 타격이 크다.

그런데도 여전히 반복되고 있다. 칼과 창의 지루한 싸움으로도 비유되는 보안사고가 연이어 발생한 랜섬웨어 논란 앞에서 금전을 목적으로 한 ‘범죄’라는 인식의 단초로 자리한 것이 그나마 다행으로 봐야겠다.

그렇기에 ‘이러하다’라고 지적되는 대응 혹은 방안 마련이 쉽지 않다. 한 발 먼저 파악하고 예방하는 것이 가장 현실적인 대안, 비영리재단인 OWASP가 배포하는 자료는 보안 담당자에게는 귀한 자료이자 참고서라고 봐도 좋기에 소개하게 됐다. 그러하니 정독하시고 업무에 참고하시라!

● 2017년 상반기에 지목된 주요 이슈

글을 시작하기 전 말도 많고 탈도 많은 이슈 가운데 딱! 10가지를 뽑기 위해 오랜 시간 동안 손톱 물어 뜯어가며 삽질했을 OWASP에게 무한 감사를 남긴다. 변종 이라는 단어는 레퍼런스를 벗어남을 의미한데, 최근의 사건은 모두가 변종이다. 그러하기에 공격이라도 다들 제각각이며 시그니처도 다르기에 탐지가 어려운데, 10가지로 요약했으니 이건 정말 대단한 거다.

▲ A1 Injection [ 인젝션 ]
( SQL, OS, XXE, LDAP 인젝션 취약점등 )

과거 제로보드를 비롯해 게시판에서 흔하게 이뤄져 논란이 되었던 인젝션 공격은, 홈페이지의 입력 창에 특정 SQL 구문을 입력해 관리자 권한을 획득한 후 악용하는 방식이다. 실제 지난 15년에는 뽐뿌, 17년에는 여기어때가 타격을 받은 바 있다.

A2 Broken Authentication and Session Management
[인증 및 세션관리 ]



2013년 보고서에서도 지적되었으나 여전히 발생하는 문제점이다. 서비스 인증이나 세션 과정을 악용해 권한에 영향을 주는 공격으로, 소스 보기를 통해 나오는 구문을 통해 허점을 찾아낸다. 게시판에서 이러한 증상이 발생할 경우 글을 마음대로 수정하거나 삭제, 발행 등이 가능해진다.

A3 Cross-Site Scripting (XSS)
[크로스 사이트스크립팅]

쉽게 말해 악성 스크립트 코드를 심어 접속 권한을 갈취하는 공격 패턴을 말한다. 최고운영자 권한을 악용할 수 있는 위치에 이르기에 마음만 먹으면 상상할 수 있는 범위내의 모든 결과를 도출할 수 있다. 한순간에 랜딩페이지가 없어지는 사태를 초래할 수 있기에 조심해야 한다.

A4 Broken Access Control (As it was in 2004)
[ 취약한 접근제어 ]



군대로 비유하자면 출입 인가를 받은 대상만 출입해야 하는 공간을 개나소나 다 들락거리게 되는 문제점을 의미한다. 당연히 중요 정보가 유출될 수 있으며, 이 과정에서 보안 문제가 심각할 정도로 훼손될 우려가 크다.

A5 Security Misconfiguration
[ 보안설정 오류 ]

아무리 꼼꼼하게 관리할 지라도 허점은 늘 공존한다. 기술의 발전 속도 만큼이나 새로운 변화도 동시에 이뤄지기에 관리자는 한시라도 안심할 수 없기 때문. 하지만 잠시 한눈을 팔면 다양한 오류가 등장한다. 최신 업데이트 파일은 이 문제 해결에 가장 최상책이다.

A6 Sensitive Data Exposure
[ 민감한 데이터 노출 ]



키보드 입력을 마우스로 대체하는 움직임이나, 각종 보안 APP을 설치하는 것도 예방을 위한 방법이다. 다만 그 방식이 웹 표준에서 제시하는 것과 다르기에 불만이 증기하는 것인데, 사실 우리내 인터넷 환경은 너무 많은 정보를 수집해 문제가 되고 있다.

A7 Insufficient Attack Protection (NEW)
[ 공격방어 취약점 ]

보안 H/W나 방화벽을 사용하는 주된 이유다. 공격이 들어오면 재빨리 탐지하고 차단하거나 대응해야 하나 관제 인력이 없는 한 공격 여부를 감지하는 것이 말처럼 쉽지 않다. 허점은 허점이나 한계를 노린 공격으로 일단 권한을 갈취당하면 깨알같이 괴롭히는 공격이다.

A8 Cross-Site Request Forgery (CSRF)
[ 크로스사이트 요청 변조 ]

사용자가 명령하지 않은 기능을 웹상에서 실행해 피해를 양산하는 기능이다. 개인정보가 유출되는 것은 기본이며, 만약 온라인 뱅킹에서 동작할 경우 이론상 요청하지 않은 이체도 가능한 공격이다. 오래된 방식이나 여전히 기승이다.

A9 Using Components with Known Vulnerabilities
[ 알려진 취약점 있는 컴포넌트 사용 ]



최신 업데이트 패치가 등장하면 관리자가 신속하게 이를 반영해야 할 필요성을 의미한다. 게을러서 발생하는 보안사고로, 대형 서비스 환경에서는 서비스 중간 이슈가 문제가 되기에 업데이트가 제때 이뤄지지 않을 확률이 높으나 반대로 보면 이러한 구조를 악용할 수 있다.

A10 Underprotected APIs (NEW)
[ 취약한 API ]

기술이 낙후되어도 문제가 되지만, 너무 최신이어도 다른 곳에서 준비하지 않아 문제가 되는 경우다. 또는 기술이 너무 많이 공개되어 문제점 개선이 이뤄지지 않은 경우에도 문제가 될 수 있다. 이러나저러나 검증된 기술 위주의 활용이 바람직한 자세다.

● 스마일서브는 자체 개발한 엘캡(ELCAP) 방화벽 도입.

사실 보안이라는 것이 딱! 이거다 라고 할 정도로 완벽한 가이드는 없답니다. 그래서 모든 관리자가 최신 기술 변화에 늘 관심을 가져야 하며 동시에 기술 습득에 소홀하지 않아야 하는 이유가 되는데요. 대한민국의 자랑스러운 호스팅/클라우드 인프라 전문기업 스마일서브도 이러한 점을 알기에 안주하지 않고 끊임없이 갈고 닦으며 연마중이랍니다.



이와 함께 자체 개발한 방화벽인 엘캡(ELCAP)을 서비스의 최상단에 배치했는데요. 서버 포트에 대한 유입과 유출 모두를 차단하고, DDoS 공격은 기본으로 막는 역할을 해냅니다. 또한, 서버 내부 시스템의 취약점을 스캔하여 취약점 리포트를 제공하며, OWASP가 공개한 10대 취약점도 자동으로 스캔하여 공격을 탐지한답니다.

* OWASP 보고서 원문은 링크 ( https://www.owasp.org ) 에서 확인 가능합니다.

Category: 보안

Sean Kim

About the Author ()

배고프면 밥먹고, 배부르면 잠자고 , 시간나면 빈정대는 일상에서 로또로 인생 역전을 꿈꿉니다.