< DC1A4BAB8BAB8C8A3C4C1BCB3C6C3B4BABDBAB7B9C5CD D32C8A3292E687770>

Transcription

1 호 SECON 정보보호해외뉴스 해외보안이슈 1 블랙햇컨퍼런스 SECON 전문가칼럼 기술적취약점진단방법의개선을위한제언 (1) 25

2 SECON 정보보호해외뉴스 해외보안이슈 ICANN - 지난 2 월루트서버공격보고서릴리스 ( 출처 : DNS 공격보고서 : ICANN이지난달초발생했던루트서버공격관련한간략한보고서를 3월 1일완성, 3월 8일 ICANN 웹사이트를통해릴리스했다. 보고서에서 ICANN은, 루트서버를타겟으로한대규모공격에도불구하고, 새로운테크놀로지덕분에인터넷백본에경미한영향만미쳤을뿐이라고밝혔다. 이새로운테크놀로지는 Anycast를의미한다. ICANN은 3월도메인네임시스템에대한 DDoS 공격으로인해 Anycast의효율성이입증되었다며, 그근거로, 6시간가량진행되었던공격에서인터넷 DNS를관장하는 13대의루트서버중 6대가타겟이되었는데, 이중 Anycast가인스톨되지않은두대만이영향을받았다는점을들었다. 영향을받은두대는아직기술테스트중이라 Anycast가인스톨되지않았다고한다. Anycast는 2002년루트서버가유사한 DoS 공격을받은후에개발되었다. 당시공격으로인해 13대의루트서버중 9대가영향을받았다. 인터넷은다시살릴수있었지만, 사건을계기로루트서버보안을다시금검토하게되었고, 그결과 Anycast 개발을시작했다고한다. ICANN은 2월공격에정확이어떤공격기법이사용되었는지는결론짓지않았고, 공격근원지가한국이라는일부언론의보도관련해, 단지추정일뿐이라며단정적으로결론지을수없다고말했다. 이사고는이번달말경열리는 DNS 루트서버운영자회의에서논의될것이라고한다. 보고서요약 : - 인터넷은상당한 DDoS 공격을받았지만견디었다. 공격근원지는아시아태평양지역이었다. -13대의루트서버가영향을받았다. 이중큰영향을받았던루트서버두대는 Anycast 테크놀로지가인스톨되지않은서버였다

3 - 따라서이공격으로인해 Anycast 테크놀로지의효율성이입증되었다. - 최종보고서를작성하려면더많은분석이필요하다. 공격의배후나이유는아직확실치않다. - 루트서버운영자들은빠르게효율적으로합동작업으로사고에대처했다. - 작년에릴리스된 DNS 보안개선권고는이행중이다. 다른방식도고려중이다. 2007년 2월 6일, 약 2시간 30분간인터넷을관장하는시스템이공격을받았다. 3시간 30분후공격이멈추었고 2차공격이시작되어 5시간동안계속되었다. 다행히엔지니어들의신속한작업과지난 2002년 10월같은규모의 DNS 공격후개발된새로운테크놀로지덕분에이공격은인터넷사용자들에게실제로경미한영향만미쳤을뿐이었다. 정확히무슨일이일어났는가? 인터넷 DNS 서버가 DDoS 공격을받았다. 공격으로인해수억개의데이터패킷이인터넷에연결된수천대의컴퓨터서버로부터유입되었다. 엄청난양의요청을보내인터넷의원활한운영을방해하기위한공격이었다. 최소한 6대의루트서버가공격을받았다. 이중미국방부에의해운영되는미오하이오주위치한 g-루트와, ICANN이운영하는미캘리포니아에위치한 l-루트서버가특히영향을받았다. 이두대가특히영향을받은이유는이두대에만 Anycast가아직인스톨되지않았기때문이다. (Anycast가인스톨되지않은다른 3대의루트서버는같은시간공격을받지않았다 ) 비록대규모공격이었지만, 수년간속도, 기술, 경험이배합된새로운테크놀로지덕분에실제인터넷사용자들은불편을겪지않았다. 루트서버는무엇인가? 그리고왜 13대만있는가? 루트서버는인터넷의네이밍시스템의기반으로, 각각의서버는같은파일사본을포함하며, 하루에두번갱신되며, 닷컴, 닷넷, 닷UK 등의최상위도메인의모든디렉토리를리스트한다. 이파일은 13대의서버에저장된다. 이서버는 A부터 M 까지이름이붙여져잇다. 루트서버가 13대인이유는인터넷이생긴아주초기로거슬러올라간다. UDP라불리는특정데이터패킷유형에최대한 512 바이트의사이즈를부여한다는결정이내려졌는데이 512 바이트사이즈는네트워크상의 13대의서버에저장하기에충분했기때문이다. 이후더큰 UDP 패킷을보내는것이가능해졌지만, 512 바이트의 UDP 패킷은국제적으로사용되었고, 인터넷을안전하게유지하기위해 13대의루투서버를운영하는것으로동의했다. 비롥 13대의루트서버가운영되더라고인터넷은계속해서실행되고, 디렉토리는네트워크상에서방해받지않을것으로여겨졌다. 그러나이런생각은 2002년 10월공격으로인해시험대에올랐다. 당시공격은 13대중 9대에영향을미쳤다. 인터넷은계속해서실행되었지만인터넷보안에경종을울리는사건이었다

4 이같은이유로 Anycast라불리는새로운테크놀로지가도입되었다. Anycast는다른장소에위치한여러대의서버가같은장소에있는것처럼구동되게하는테크놀로지를말한다. 따라서루트서버가전세계적으로 13개지역에 13대분포되어있더라도, 실제로다른지역에위치한서버들이요청을처리한다. 예를들어 f-루트서버의경우, 지원하는서버가 42개의각각다른곳에위치한다. 이런식의접근은다음두가지이점이있다 : 1. 서버는공격을분산시킬수있다. 2. 서버가전세계각지역에분산되어, 서버에물리적안사고가발생시, 예를들어한지역에지진이발생하더라도루트서버작동에는지장이없다. 공격의근원지는어디였는가? 공격트래픽 ( 데이터패킷 ) 의근원지가아시아태평양지역이었다고만말할수있다. 미디어들은한국이공격의근원지라는기사들을보도했지만, 이것은추정일뿐이다. 이번공격에서공격자는바이러스에감염되어원격지에서조작가능한수백대의개인컴퓨터를이용해특정타겟에데이터패킷을보내는식으로공격을했기때문에그렇게추정했던것으로보인다. 한국은초고속인터넷이널리사용되는관계로, 봇넷을생성하려는공격자들로부터종종표적이된다. 그러나현재자료만으로는공격의근원지가어디인지아직결론을내리지못하고있다. 많은다른국가에서동시에공격이시작되었을수도있다. 공격이아시아태평양이외의지역에서시작되어, 많은인터넷주소가스푸핑되거나조작되었을가능성도있다. 엔지니어들은아시아지역에서비롯되었다고확신하지만, 그렇다하더라도공격배후가아시아라는확실한증거는없다. 솔라리스 10 텔넷제로데이취약점익스플로잇 ( 출처 : ,00.htm) 선마이크로시스템스는 2월 28일솔라리스 10의텔넷 daemon in.telnetd 취약점을이용한웜이발견되었다고밝혔다. 선에의하면, 솔라리스 10의 in.telnetd에권한이없는사용자의접속을허용하는보안취약점이존재해, 이취약점을이용하면원격지에서루트로텔넷로그인을할수있도록설정한경우, 원격지에서임의의커맨드를실행할수있다고한다. 미국의보안회사아버네트웍스도 2월 27일이보안취약점관련한텔넷서버에대한스캔사례를보고했다. 보고서에의하면, lp 나 adm 이라는유저명으로시스템에의로그인을시도하는사례가발견되어, 누군가공격을시작했을가능성이있다고한다. 오픈소스 IDS Snort 원격코드실행취약점 ( 출처 :

5 ISS는 2월 19일오픈소스 IDS인 Snort와 IPS인 Sourcefire Intrusion Sensor에스택버퍼오버플로우를유발하는보안취약점이존재한다고발표했다. 이취약점을이용하면원격지코드실행이가능하다고한다. 문제의버퍼오버플로우는 DCE /RPC 실행으로인한것으로, 사용자에게묻지않고루트나시스템권한으로 Snort와 Sourcefire에원격지코드실행이가능하다. 취약한버전은다음과같다 : Snort / / Snort 베타 Sourcefire Intrusion Sensors 4.1.x /4.5.x /4.6.x Sourcefire Intrusion Sensor Software for Crossbeam 4.1.x /4.5.x /4.6.x 시스코 IOS 에다수의보안취약점 ( 출처 : ) 미시스코시스템스는 2월 13일자사 IOS에다수의보안취약점이존재한다고밝혔다. 이취약점을이용하면침입방지시스템을우회하거나 DoS 공격을유발해 IOS 디바이스의 crash를유발할수있다고한다. 취약한 IOS 버전은아래와같다 : 12.3T (12.3(2)T,12.3(4)T,12.3(7)T 제외 ) 12.3XQ,12.3XR,12.3XS,12.3XW,12.3XX,12.3XY 12.3YA,12.3YD,12.3YG,12.3YH,12.3YI,12.3YJ,12.3YK,12.3YM,12.3YQ,12.3YS,12.3YT,12.3YX,12.3YZ MR 12.4T 12.4XA,12.4XB,12.4XE 시스코는지난 1월에도 DoS 및임의의코드실행보안취약점을발표, 패치를릴리스한바있다. 베리사인 - DNS 서버전세계 100 군데로늘린다 ( 출처 : 베리사인 CEO Stratton Sclavos 가 2 월 8 일 RSA 컨퍼런스 2007 기조강연에서앞으로 3 년이 - 5 -

6 내에 DNS 서버를현재전세계 20 군데에서 100 군데로늘릴것이라말했다. Sclavos는 DNS 서버를타겟으로한공격관련해베리사인은용량, 대역폭, DNS 서버확장등을통해 DNS 인프라확장을계속하고있다고말했다. 용량은하루처리건수를현재의 1일당 4000억건에서 4조건으로, 대역폭은현재의초당 20 기가바이트에서 200 기가바이트로, DNS 서버거점은현재의 20군데에서 100군데로늘릴것이라고한다. 그는또한현재 DNS 서버는북미와유럽지역에치우쳐있지만, 향후는아프리카나남미, 러시아등으로늘려나갈것이라며, 거점을늘리면각지역에서의서비스수준이향상할것이라강조했다. Sclavos는이밖에도인터넷이직면한과제에대해서도설명했다. 그는네트워크가항상사용된다는것은, 소비자가항상공격에노출되어있는것을의미한다고말했다. 예를들어소비자는인터넷에대해서불안을느껴인터넷상에서신용카드로물건을구입하는대신물리적인점포에서상품을구입하는데, 기업은소비자의불안을해소할의무가있다며, 베리사인이소비자, 브랜드, 웹사이트, 네트워크 4가지관점에서소비자를보호하는솔루션을제공하고있다고강조했다. ICANN - 국제도메인네임테스트성공리에마쳐 ( 출처 : ICANN이테스트를성공적으로마쳤다고발표함에따라국제도메인네임실행이한걸음가까워졌다. 현재도메인네임은숫자와영어문자, 하이펀을포함한 37개의기호로구성되어있다. 중국이나아랍권국가등영어를사용하지않는많은국가들은오랫동안자국어로구성된국제도메인네임의필요성을주장해왔다. 국제도메인네임을옹호하는이들은국제도메인네임개발이야말로단일글로벌인터넷을유지하는데있어아주중요한요소로보고있다. 도메인네임을관장하는 ICANN은 2006년도에스웨덴의 Autonomica사에실험테스트를위임했다. 이테스트는인코딩된국제화문자를사용하는것이루트네임서버운영에충돌을일으키지않을것인가를확인하기위한테스트로, ICANN의 3월 7일발표에의하면, 어떤충돌현상도발견되지않았으며, 테스트에사용된시스템들은정상적으로작동했다고한다. 테스트설정과디자인에관한세부내용은 ICANN 웹페이지에서볼수있다. 그러나이테스트는최종사용자의관점이배제되어있고, 라이브루트테스트대신복제된루트서버환경에서실행된것으로, IDN이허용되기전측정한테스트가필요할것으로보여 - 6 -

7 진다. 대만 - 수천명이 MSN 바이러스에감염 ( 출처 : 2월 9일자대만타임즈기사에의하면, 수천명의 MSN 사용자가바이러스에감염되었다고한다. 감염은버디리스트에등록된친구로부터링크를받아이것을클릭하면백도어바이러스가컴퓨터에인스톨되는데, 이바이러스에감염된 PC는공격자가제어할수있다고한다. 이바이러스의증상은먼저버디리스트가자취를감추고, MSN 메신저를종료할수없게된다. PC에저장된데이터가삭제되는경우도있다고한다. MSN은 BKDR_RINBOT.A 로불리는백도어바이러스가발견되었다고밝혔고, 시만텍은 Backdoor.irc.Bot 바이러스로보인다고주장했다. 시만텍에의하면이바이러스는수신자의경계를늦추기위해버디리스트를통해링크를보내고, 바이러스를전파하기위해더욱많은버디리스트를입수해감염된컴퓨터를장악한다고한다. 감염된컴퓨터는부팅될때마다매번바이러스가실행되어 IRC 서버에접속을시도한다고한다. 네델란드봇넷해커유죄판결 ( 출처 : 전세계수백만대의컴퓨터에침입해하이재킹한머신을온라인범죄에사용한 2명의일당에게유죄판결이내려졌다. 네텔란드법정은주범인 20세청년에게 2년형에 9천유로의벌금을, 공범자인 28세청년에게는 18개월형에 4천유로의벌금을부과했다. 이두사람은 Toxbot과 Wayphisher라불리는트로이를사용해 2006년수백만대의컴퓨터에침입했다고한다. 이들은봇넷을이용해하이재킹한시스템으로신용카드번호나기타개인정보를빼낸후, 이것들을사용해플레이스테이션게임이나아이팟, 스피커, 그래픽카드, 카메라등을구입했다. 중국정부 - 인터넷카페신규설립금지 ( 출처 : ed_techweb) 중국이인터넷카페의신규설립규제에나섰다. 그동안일부지방에서규제를해오다가올들어중앙부처로부터향후 1년간인터넷카페신규설립허가를내주어서는안된다는지침이떨어졌다고한다. 그이유는정치적인문제가아니라인터넷에중독된젊은이들의범죄방지 - 7 -

8 목적이라고한다. 현재중국에는113,000개이상의인터넷카페가있어초등중고생들이심야에도온라인게임에몰두하는등사회문제화가되고있다. 해킹을통해실적예상정보입수주식시장에서공매 - 시만텍등이피해 ( 출처 : 미증권거래위원회는 2월 26일시만텍, 리얼네트웍스등미국의 12개사의사내네트워크에접속, 미공개정보를빼내그정보를토대로주식시장에서부정하게금전적이득을취득한홍콩기업들을고소했다. 부정하게취득한이익의총액은 270 만달러이상에이른다. 고소된홍콩회사는 Blue Bottle, Matthew Charles Stokes로, Blue Bottle사는컴퓨터를해킹하는등의수단으로미국의 12개기업에서미공개정보를훔쳤다고한다. 미증권거래위원회보도자료에의하면, Blue Bottle 등은시만텍사내사내네트워크에불법접속해, 실적예측의하부수정정보를발표전에빼낸후, 2007년 1월 12일만기일이 1월 20일인시만텍주식의매각선택권을대량구입했다. 시만텍이 1월 16일실적예측의하부수정을발표하자주식이큰폭으로하락해, Blue Bottle은 103만달러의부당이익을올렸다고한다. 이번피해를당한기업은 AllianceBernstein Holding, Allscripts Healthcare Solutions, Achillion Pharmaceuticals, BJ's Wholesale Club, Brady, CACI International, Hornbeck Offshore Services, LeCroy, Millipore, Odyssey Healthcare, Symantec, RealNetworks 다. 보안소프트웨어 새제품구매보다라이센스갱신이더비싸 ( 출처 : ) 새로운고객을유치하기위해새로운가입자에게제공되는혜택이안티바이러스에도적용되고있다. 영국 PCPro는 3월 2일한사용자의예를들며, 존알람인터넷수이트 2007 사용기간연장이새버전을구매하는것보다더비싸다고보도했다. 이유를존알람측에문의한결과, 현재 3명사용자라이센스는프로모션가격으로, 프로모션가격은기간연장에는해당되지않는다는답변을들었다고한다

9 맥아피인터넷시큐리티수이트도현재 50% 할인으로 4.99 파운드에판매되고있지만, 이미구입해사용중인사용자는라이센스갱신을하려면 9.99 달러를지불해야한다. 시만텍의노턴인터넷시큐리티 2007의경우는새제품을구매하는것보다갱신하는비용이 10파운드저렴하지만, 노턴 360으로업그레이드하는비용은 파운드로, 새제품을구매하는것에비해 5파운드밖에저렴하지않다고한다. 영국 RFID 패스포트크랙 ( 출처 : 406&source=rss_news50) 한보안전문가가영국의새로운바이오메트릭여권을크랙하는데성공했다. RFID 및블루투스테크놀로지분야전문가인 Adam Laurie는, 현재널리사용되는 RFID 리더기를이용해코드설정만으로상대방이알아차리지못하게패스포트에심어진 RFIC 칩데이터를빼낼수있다고주장했다. 영국정부가 RFID 패스포트를발행하기시작한것은작년부터다. 현재 RFID 칩은패스포트상의텍스트내용과사진등의정보만담고있지만, 영국정부는향후지문및기티바이오메트릭데이터도칩에삽입할계획이어서프라이버시침해논란의대상이되고있다. 패스포트에삽입된 RFID 칩에담긴텍스트와사진파일이변경되면보안테크놀로지에의해적발된다. Laurie는영국의바이오메트릭여권및아이디카드프로그램에반대해온 No2ID 그룹과관련된한회원이신규로신청한여권을대상으로테스트했다. 패스포트칩상의데이터는 RFID 리더기가암호키를제공하기전에는락이걸려있다. 이암호키는패스포트첫장맨아래에위치한문자스트링인 MRZ에도포함되어있는데, 여권심사대에서광학문자리더기가 MRZ을스캔해키를읽어내칩상의정보와패스포트상의정보가일치하면 RFID 칩잠금장치가해제된다. Laurie에의하면, 생년월일등여권소유자의개인적인데이터를조합하면이키를알아낼수있다고한다. Laurie는전세계적으로기계판독패스포트에적용되는국제민간항공기고표준 9303을분석해 MRZ의원리를파악했다. 또한자신이이전부터알고있던여권소유자의개인정보와인터넷상에서검색한정보를이용해여권키를알아낼수있었다. 그런뒤, 무작위대입법프로그램을사용해 4만번의시도끝에키를크랙하는데성공했다

10 그는칩을스캔하기위해서그는일반적인 RFID 리더기를사용했다고한다. 또한공격을통해패스포트사본도만들수있었다고주장했다. 그러나영국 Home Office 는 Laurie 의크랙에도불구하고패스포트가안전하다고주장했다. Laurie는파이선으로제작된 ACG와 Frosch Electronics OEG사의 RFID 리더기용오픈소스툴라이브러리를발표한바있다. 마이크로소프트 - JPEG 에서 HD 로 ( 출처 : 마이크로소프트가 JPEG에대응하는새로운디지털정지화면파일포맷인 HD 포토를정식으로릴리스했다. HD 포토는 JPEG와비교해높은파일압축률과화질손상률이적다고한다. 마이크로소프트가 3월 8일독자적인이미지포맷인 HD 포토를업계표준으로인정받기위해국제표준화단체에신청한다고발표했다. HD와 JPEG는모두파일사이즈를줄이기위해압축을사용해더많은사진이메모리카드에저장될수있게한다. 그러나압축과정에서사진의품질이떨어지는경향이있다. 마이크로소프트에의하면, HD 포토는경량알고리즘을채택해압축과정에서사진을덜손상시키며, JPEG 이미지사이즈의절반으로동질이상의화질을실현할수있다고한다. MS는 HD 포토를지난 15년간디지털카메라와이미지어플리케이션에널리사용되어온 JPEG에포맷을대신하는기술로보급시키는것을목적으로하고있다. HD 포토는 2006년 5월에발표되어차세대이미지포맷으로주목받았다. 당시는윈도우즈미디어포토라고이름붙였지만, 최근 HD 포토로이름을바꾸었다. 마이크로소프트는 HD 포토기술을무상으로공개해각사에서적용하게하기위해업계표준승인을받는것을목표로하고있다. 어도브시스템스의포토샵도 HD 포토를적용하기로결정, 플러그인을발표했다. 허니넷 웹어플리케이션위협보고서릴리스 ( 출처 :

11 2월 7일 Honynet.org가 Know your Enemy: Web App ication Threats 보고서를릴리스했다. 허니넷프로젝트가그동안수집해온맬웨어를토대로웹어플리케이션에대한 HTTP 기반의공격및웹서버보호방법을다룬다. 코드인젝션, 리모트코드인클루션, SQL 인젝션, 크로스-사이트스크립팅, PHPShell 어플리케이션등도다루고있다. 카스퍼스키랩 셀폰안티바이러스툴릴리스 ( 출처 : 러시아안티바이러스벤더카스퍼스키랩이 2월 20일모바일용안티바이러스툴을릴리스했다. 악성소프트웨어로부터모바일폰을보호하기위한용도로제작된이툴은 Symbian과마이크로소프트모바일운영시스템용으로, 동기화과정에서 PC로부터받는데이터는물론무선접속과텍스트메시지스캔도모니터링한다. 구글 - 웹마스터를위한맬웨어경고강화 ( 출처 : ml)

12 구글이맬웨어를포함한사이트를웹마스터에게알리는방식을강화했다. 구글은지난 11월 1 일부터배드웨어근절연합 (The Stop Badware Coalition) 과파트너십을맺고, 맬웨어를포함하는사이트의경우그사이트의웹마스터에게알려왔다. 종전에는맬웨어가포함된사이트명만웹마스터에게알려줬지만, 이제는맬웨어가포함된페이지 URL도웹마스터에게이메일로통보하는방식을채택, 악성컨텐츠를발견하기어려운웹마스터에게도움이될것이라고한다. 작년 8월구글은배드웨어근절연합과파트너십을맺고, 검색리스트에맬웨어경고를표시하기시작했다. 자신의사이트에맬웨어가포함되어있지않음에도불구하고맬웨어가포함된것으로표기되었다고생각하는웹마스터는배드웨어근절연합에연락해검토를요청할수있다. 배드웨어근절연합은미하버드대학과옥스포드대학이운영하는비영리단체로구글, 레노보그룹, 선마이크로시스템스가후원하고있다. 구글검색시사용자가잠재적으로위험한것으로간주된웹사이트를클릭하면, 구글은가능한위험을알리는경고를보여주고, 검색결과리스트로다시가거나의문의웹사이트를볼것인지를묻는다. 작년 5월미맥아피사발표에의하면, 미국인터넷사용자의경우, 구글, 야후, MS의 MSN, Ask.com, AOL 등의 5개주요검색엔진을통해악성웹사이트로가게되는빈도는매달 2억 8500만건이라고한다. 악성웹사이트는스파이웨어와애드웨어를사용자 PC에다운로드하고, 보안취약점을익스플로잇하고, 스팸리스트에사용자이메일계정을포함시키는등의사이트를말한다

13 새로운워터마크시스템특허신청중 ( 출처 : ) ArsTechnica에새로운디지털워터마크시스템에관한정보가소개되었다. 디지털워터마크는디지털포맷의지적재산에대한저작권보호를제공하기위한목적으로, 디지털이미지나오디오, 비디오파일에삽입하는비트패턴을말한다. 기사요약 : 오늘날워터마크는문서보안으로및파일보안으로돈을버는용도로사용되고있다. 비디오와오디오컨텐츠가온라인상에서자유롭게유통되고있다. 파일에접속하거나음악및동영상파일을플레이할때마다파일소유자가보상을받게할수는없을까? Digimarc의특허는이같은아이디어에서출발한다. 디지마크는인터넷상의이미지, 비디오, 오디오파일모니터링시스템으로, 오디오, 비디오, 이미지를다운로드한뒤워터마크를넣고워터마크를등록해, 이후웹상에서워터마크가발견되면등록한사람에게연락해서알려준다. 디지마크는올 2월에특허신청을완료했지만, 최초로신청한것은유튜브와마이스페이스가존재하기도전인 1998년 11월이었다. 디지마크는유튜브나마이스페이스같은소셜사이트들이안고있는저작권관련문제점을해결하기위한솔루션으로, 디지마크 CEO 브루스데이비스는디지마크시스템이엔터타인먼트배포와소비에일대변혁을가져올확실한비즈니스모델로자리잡을것이라확신하고있다. 예를들어, 유튜브사이트에는저작권이있는동영상파일도있는데, 만일이시스템을도입하면, 관련상품및서비스타겟광고및보상이가능하다는것. 예를들어, 방송의경우방송프로그램에, 저작권소유자나기업은소유한파일에워터마크를추가하고워터마크를등록해야한다. 그런뒤, 사용자가이방송프로그램을업로드하면디지마크스캐너시스템이온라인상에서의위치를추적해등록한개인이나기업에알려준다. 이시스템은아직 P2P 네트워크나개인파일공유허브에는적용되지않고, 공공웹사이트만가능하기때문에, 유튜브같은사이트에적합하다. 유튜브인수후, 저작권문제로골치를앓고있는구글등의기업이미래에이솔루션을도입하게될수도있을것으로보인다

14 MS - 넷크래프트피싱툴바데이터사용계약 ( 출처 : customers.html) 2005 년런치한한툴바데이터를 MS 가사용하기로계약을맺었다. MS 회장빌게이츠는지난주미샌프란시스코에서개최되었던 RSA 컨퍼런스 2007 기조연설을통해 MS의피싱필터서비스에넷크래프트의피싱사이트피드를사용할것이라밝혔다. 계약금액이나기타조건등은밝혀지지않았다. 넷크래프트는 2005년안티피싱툴바를런치해유명해졌다. 툴바설치후주소창에피싱사이트 URL을입력하면피싱사이트임을알려준다. 피싱이사회적이슈로떠오르면서, MS는재작년보안업데이트를통해 IE6 에피싱필터를새로포함시킨바있다. 넷크래프트의피싱사이트 URL 데이터는툴바커뮤니티멤버들에의해업데이트되며, 넷크래프트의피싱툴바와시스템은개인사용자는물론, 현재 ISP, 호스팅서비스제공업체, 메일서버, 웹프록시, 네트워크모니터링시스템등에서도사용하고있다. RFID 스테이플러 ( 출처 : 7.html) 스테플러제조사로유명한스윙라인이스테이플스에 Rfid를삽입해오프라인문서추적이가능하게하는기술을개발중이다. 이 RFID 스테이플스는무선위치추적테크놀로지를사용, 스테이플러로찍은문서가어디있는지추적이가능하다. RFID는나날이새로운다양한용도로사용되고있다. 유비센스넷은 RFID를직원출입증에삽입해직원위치를리얼타임으로추적하고, 감시카메라로추적하는서비스를이미제공하고있다. 포토샵 - 이미지조작탐지기능개발중머지않아데이트사이트에올라있는사진이편집 / 조작된것인지를쉽게알아낼수있을지도모른다. 어도브의 Advanced Technology lab은사진사기탐지전문가하니파리드와합작으로사진이편집되었는지를탐지할수있는포토샵플러그인을개발중이다. 클론툴탐지기라불리는툴은사진의일부분예를들어모래, 잔디밭등이다른사진에서오려붙였는지여부를탐지한다. 작년로이터통신은베이루트전쟁사진에서이스라엘과헤즈볼라간전쟁의참상을담은외신사진이조작되었음을시인한바있다

15 이툴은구름이나기타이미지등이복제되었는지여부는확실히알아낼수없지만, 두개의이미지가복제되었을가능성을알려준다. Truth Dots라불리는다른툴은사진의픽셀을체크해이미지가잘렸는지여부를알아낸다. 인간의눈으로는이미지를아무리확대해도이것들을알아낼수없다. 어도브관계자는이툴을포토샵에추가할것인지여부는아직결정되지않았지만, 블로그의폭발적인증가와사진공유웹사이트, 온라인뉴스등에서큰화제가되어온만큼어도브는포토인증 / 탐지에많은관심을갖고있다고한다. 어도브는현재새로운버전의포토샵 CS3를베타테스트중이다. 3월말릴리스될예정이며올늦봄에릴리스될예정이다. 어도브는온라인버전및고급 3D툴도준비중이다. 파리드는수년간어도브, FBI, 뉴스에이전시에서사진탐지와이미지사기관련업무에종사해왔다. 그는사람들로부터이베이의사진이진짜인지, 데이트사이트에올라있는사진조작여부에대한문의를많이받는다고한다. 파리드와 Darthmouth 이미지사이언스그룹연구원들은예술박물관과합작으로명화의진품여부를감정하는작업도해왔다. 최근파리드는비디오와오디오수사를할수있는툴개발을시작했다. 파리드에의하면, 카메라시리얼넘버는알아낼수없지만, 캐논파워샷이아니라니콘카메라로찍은것이라는건알수있다고한다. 또한포토샵을거친이미지라는것도알수있다고한다. 제록스 잉크없는프린터개발중 ( 출처 :

16 " 제록스는잉크나잉크계통의어떤것도필요로하지않는새로운프린트테크놀로지를개발중이다. 이새로운테크놀로지는재사용가능한종이가사용되는데, 이종이를이용하면여려차례인쇄를하고지우는게가능하다고한다. 아직개발초기단계지만, 프린트비용을줄이고, 사무실에서사용하는종이양을획기적으로줄여줄것이다." 제록스가잉크가필요없는프린터를개발중이라는기사가처음발표된것이작년 9월. 2월 15일자 TFOT에제록스리서치센터장폴스미스박사와의인터뷰기사가실렸다. 스미스박사에의하면, 새로운테크놀로지는종이자체에인쇄했다가지우는것이아니고, 빛을이용해종이에인쇄한내용이보이게하는것으로, 실내에서는안경으로, 실외에서는선글라스가되는렌즈의원리를이용했다고한다. 같은종이에 50번이나프린트하고지우는것이가능했다고한다. CNN Business 2.0 선정 2007 년도유망웹 2.0 스타트업기업리스트 ( 출처 : ) CNN Business 2.0 매거진이 2007년도유망한웹2.0 기업리스트 25 를릴리스했다. 이리스트는소셜미디어, 비디오, 모바일, 광고 4가지분야에서각각유망주기업을선정, 향후웹의방향을가늠한다. 작년도리스트에서선정되었던유튜브, JotSpot, Writely는구글이인수했고, ghtcove, Digg, Last.fm,Six Apart, Technorati, Zimbra 역시큰인기를얻고있다 : 1. 웹서핑을하다가발견한좋은사이트를다른사람과공유하는서비스. 사이트에가입하고툴바를설치하면, 다른사용자들이추천하는멋진사이트를취향에맞게볼수있다. 2002년런치, 현재약 2백만명가입, AP, 월스트릿저널, BBC, PC월드등이, 지능형검색엔진, 검색엔진의대안, 검색엔진을믿지못할때사용한다는등격찬을아끼지않았다 PC의이미지를맞춤형슬라이드쇼로만들어사용하고스크린세이버도만들수있다. 슬라이드쇼는유명블로그및이베이등에서사용할수있다. 툴바도제공하고있다 천만명이상가입한소셜네트워킹서비스로, 2007년도 2월알렉사가선정한 Top 100 사이트에서 93위에올랐다 AIM, 야후, 구글, MSN 메신저등을웹상에서사용할수있는서비스. 위젯을사용해인스턴트메신저를사용자블로그나웹페이지에서사용가능하게해준다. 2005년 9월설립, 2005년

17 월실리콘밸리최고의투자회사 Sequoia Capital로부터자금을제공받았고, 올해 1월에는 Draper Fisher Jurvetson에서투자를받았다. 현재하루 8천만명이상이사용 사용자들이만드는온라인백과사전위키피디아설립자인지미웨일즈가 2004년개설한서비스로, 위키피디아와동일한소프트웨어와컨텐트를사용하고있다 텔레비전스타일의웹으로알려진 Joost는인터넷상에서영화나 TV 프로그램등을보게해주는서비스로현재비공개베타테스트중이다. P2P를이용하고프로그램을설치해야하며, 수익은광고에서올린다. 스카이프와카자의창업자가만들었고, 지난 2월 20일거대복합엔터테인먼트기업인 Viacom이자사의프로그램컨텐츠를제공하는라이선스계약을발표해주목을받고있다 미디어검색및커뮤니티로, IE나파이어팍스용툴바를설치하면브라우저상단에 Add to Dabble 버튼이나타난다. 웹서핑하다가마음에드는비디오를발견시버튼을클릭해서즐겨찾기플레이리스트로저장할수있다 사용자가업로드한비디오를인기별로랭킹을매겨가장인기가좋은비디오를제작한사용자에게돈을지불하는서비스. 랭킹은한달평균방문자 1700만명에의해정해진다. 2만명이보면기본으로 100달러가지불되고, 100명이늘어날적마다 5달러가추가로지불된다. 이사이트는작년 9월이후 200명의사용자에게 25만달러를지불했다고한다 Digg의설립자케빈로스와 Digg의 CEO 재이아델슨이작년 9월설립한인터넷 TV 네트워크로, Go Daddy, MS, 소니등에에피소드당 1만달러의스폰서십을판매하고있다 비디오공유사이트로 EyeSpot, 웹TV 서비스인 Akimbo와협력관계를맺고있고, CNN 등의기존미디어기업에비디오서비스를제공하고있다. 윈도우무비메이커에서바로편집후업로드가가능. 업로드하는동영상의용량제한이없다 년말설립된사용자끼리무선랜을공유하는서비스로, 무선랜사용시, 보안이되지않은개인의공유기가잡혀서인터넷을사용할수있다는점에착안해만들었다고한다. 우리나라

18 에서도작년이벤트를통해 5천원에무선라우터공유기를판매한적이있다. 전세계어디에서도무선랜을자유롭게사용할수있는것을목표로하고있다 GPS를이용한인맥관리및친구찾기를결합한휴대폰서비스로, 구글, 유튜브를키워낸벤처캐피털세쿼이아캐피털이작년에 500만달러를투자했다 모바일용어플리케이션과위젯을개발하는회사로, 느리고스크린에맞지않는모바일폰용브라우저를대신할아이디어와기술로주목받고있다. 아직베타테스트중 휴대폰으로사진을찍어친구에게보내고코멘트를달수있는서비스 모바일폰으로집이나사무실에접속해데스크탑의데이터를검색할수있는서비스 알타비스타의전 CEO 짐버넷이운영하는온라인자동타켓광고서비스로, 특정결과발생시에만광고비를지불한다 (pay-per-play) 타겟형온라인광고마켓플레이스 셀폰용광고서비스 초 TV 광고온라인판매. 이미제작된광고에문구만집어넣는형식을취하고있다 온라인비디오광고서비스 웹 2.0 테크놀로지를기업어플리케이션에도입한다는데착안해만든웹기반기업용성과관리툴로, 매년 1억달러의매출을올리고있다

19 22. 여러사이트에회원가입하고로그인하는불편을덜어주기위한 OpenID 기반의서비스 로고, 명함, 문구디자인자동서비스 웹기반가상비서서비스어플리케이션으로호텔, 항공기예약, 회의, 기타이벤트등을매일매일관리해준다. 현재 150개기업직원 50만명이이회사의소프트웨어사용하고있다 음성메일을스캔가능한텍스트로전환시켜주는서비스로, 음성메일을모바일디바이스로텍스트이메일로전송해준다

20 블랙햇컨퍼런스 2007 블랙햇컨퍼런스 2007 ( 출처 : 블랙햇컨퍼런스가 2월 28일에서 3월 1일까지미국워싱턴에서열렸다. 이번컨퍼런스에서는와이-파이무선네트워크스니핑, 오라클데이터베이스공격기법, PC 하드웨어루트킷위협, 맥와이-파이하이재킹시연등많은기술이발표되었다. 가장화제를모았던사건은관련벤더의특허침해문제제기로사전에발표가취소될위기에처했던 RFID 프레젠테이션이었다. [ 블랙햇 ] 새로운네트워크스니퍼 Ferret 1.0 ( 출처 : ( 발표자료파워포인트 ) ( 다운로드 ) 6.html ) Errata 시큐리티가 3월 1일미워싱턴에서열렸던블랙햇브리핑에서새로운네트워크스니퍼를발표했다. Ferret 1.0 이라불리는이스니퍼는 DHCP, SNMP, DNS, HTTP를포함, 25개의프로토콜을사용해트래픽을찾아네트워크주소, 네트워크관리툴, 웹사이트쿼리등을찾아준다. 컴퓨터를켜면컴퓨터는무선네트워크와네트워크서비스를찾기시작하는데이과정에서공격에사용되는많은중요한정보가노출된다. 무선하드웨어를끄더라도마찬가지. 윈도우즈컴퓨터를켜면, PC가이전에접속했던무선네트워크리스트를보여준다. 이리스트는사용자가수작업으로제거하지않는한노출되는데, 이리스트를통해랩탑이어디에서사용되었는지를알아낼수있다. 즉컴퓨터를켬으로써컴퓨터에 cache된와이파이 AP, 이전에사용했던아이피주소, NetBIOS 네임, 로그인아이디. 버서리스트등의리스트를전세계에노출하는셈. 이것을감추기위해 VPN으로접속해도이미로컬네트워크상의모든이에게이정보를노출하게된다고 Errrata 시큐리티의 CTO David Maynor는말했다. 현재무선네트워크트래픽을리스닝하는툴은많다. 이툴들을이용하면유저네임, 이메일패스워드, 인스턴트메세지툴등의정보를캡처할수있고, 보안이제대로되어있지않은웹사이트에입력한데이터도캡처할수있다. Errata 시큐리티가개발한네트워크스니퍼 FERRET 1.0 은이브로드캐스트정보를수집해위험에얼마나노출되어있는지를보여준다

21 이툴은현재 proof-of-concept 상태로버그가있을수있다고한다. Errats 시큐리티는이스니퍼소스를조만간블랙햇사이트와자사사이트에공개할예정이다. [ 블랙햇 ] 새로운트릭 - 오라클데이터베이스위험에직면 ( 출처 : 최근들어오라클데이터베이스소프트웨어에서발견되는취약점을이용한새로운공격기법이증가하고있다. PL SQL 인젝션취약점을익스플로잇하려면하이-레벨권한이반드시필요하다는것이이제까지의생각이었다. 하지만새로운공격기술에서는더이상하이-레벨권한이필요없다고 NGS 소프트웨어의데이터베이스보안전문가데이비드리치필드는 3월 1일블랙햇컨퍼런스에서말했다. " 공격자들은트릭을통해최소한의권한만갖고도데이터베이스서버를완전히장악할수있다.", " 이전에발견되었지만그다지특이하지않은것으로여겨졌던많은취약점을트릭에이용하면가능하다." 리치필드는이트릭을커서인젝센이라표현했다. 그는이트릭을이용한공격코드가이미출현했으며, 오라클은이새로운공격기술을인지하고있다고말했다. NGS 소프트웨어의커서인젝션보고서는공격자가 SQL 인젝션을익스플로잇하는데도움이되는기술들을설명하고있다. 과거 PL SQL 인젝션취약점은종종대부분사용자들이갖고있지않은데이터베이스상에프로시저를생성하는권한을필요로했다. 커서인젝션기법을사용하면누구든데이터베이스에접속해해당취약점들을익스플로잇할수있다고리치필드는말했다. 그는사전에컴파일된커서를취약한 PL SQL 오브젝트에인젝트하면된다며, 모든 SQL 인젝

22 션취약점들은세션생성을제회한어떤시스템권한없이도익스플로잇될수있다고주장했다. 리치필드는, 오라클은앞으로 PL SQL 취약점문제를줄이는해결책으로권한설정을제시해서는안될것이라고말했다. 권한설정만하면패치를안해도될것이라는생각에패치를미루게되어결국위험에빠진다는것. 독일레드데이터베이스시큐리티의알렉산더콘버스트는리치필드의발표가아주훌륭하고유용했다며, 이새로운기술이심각한위협을가져올것이라고말했다. 그는커서를이용한데이비드의취약점익스플로잇접근방식이상당히훌륭하며유용한정보라고격찬했다. 이기법은오는 6월과 7월에열리는블랙햇트레이닝에서월 2천-2300달러에강의될예정이다. [ 블랙햇 ] RFID 프레젠테이션무산될위기가까스로넘겨 -

23 2월 26부터 3월 1일까지미국에서개최되었던블랙햇 Federal 2007에서발표될예정이었던 RFID 보안프레젠테이션이무산될위기를가까스로넘겼다. 보안회사 IOActive의 R&D 센터장 Chris Paget은스스로제작한 RFID 클로너를발표할예정이었다. 이클로러는저렴한가격으로제작가능하며, 각종 RFID 디바이스로부터의정보를근접거리에서읽어낼수있으며, 특히액세스카드제조사인 HID사제품기기도읽을수있다고한다. Paget은이디바이스를제작하는방법을문서와대략적인설계도를통해프레젠테이션에서발표할예정이었다. HID사측은이프레젠테이션이 HID의특허권을침해하는것으로 Paget와 IOActive사에대해법적조치도불사하겠다는입장을표시했다. HID의주장에의하면, Paget의발표는 HID사가보유한특허 2가지를침해할가능성이있다고한다. 즉임베디드 proximity 기기간의 RFID 디바이스신호탐지및 interrogator 혹은신호를초기화하는호출부분이해당된다는것. 블랙햇창시자인제프모스에의하면, 블랙햇스탭들은인쇄된자료중해당부분의자료를삭제할것을강요당했다고한다. 이것은몇년전린과시스코사건의재현이라고제프모스는말했다

24 올해초 Paget은미샌프란시스코에서열렸던RSA2007 컨퍼런스에서이디바이스를발표한바있다. 그는애플사의공동설립자이자 IOActive사의고문인스티브워즈니악에게이디바이스를선물했다. HID 는보도자료를통해다음과같이주장했다 : "HID는 IOActive나 Paget에게프레젠테이션을취소하라고부탁한적이없다. 오히려프레젠테이션을취소하고, 그이유가 HID의위협때문이라고주장하는데놀라울따름이다." Paget은결국관련부분이삭제된제한된자료로프레젠테이션을했다. 그는프레젠테이션시 HID사에관한언급을하지않기로약속했다고한다

25 SECON 전문가칼럼 기술적취약점진단방법의개선을위한제언 (1) - 인포섹 보안연구센터이사홍진기 EA/ITA와더불어 IT거버넌스에대한관심도가높아지고있어서, 전사적정보보안아키텍처수립방법과사례 라는주제의지난호에서는전사적정보보안프로그램과아키텍처가왜필요한지짚어보고, 대표적인모델로써이해하기쉬운 NAC(Network Applications Consortium) 을기준으로 3개영역아키텍처를설계하는방법과기존 EA에정보보안아키텍처를통합하는방안, 그리고몇가지의사례를통해전사적정보보안프로그램과정보보안아키텍처를대략적으로살펴보았다. 이번호에서는지난호에서다루었던 전사적정보보안아키텍처 의 Security Operations 아키텍처영역의 Vulnerability Management Component의범주에해당하는것으로써, 기술적취약점진단방법에대한현재의아쉬운부분들을제기하고몇가지사례와더불어필자가제안하는취약점진단의개선방안을 2회에걸쳐서다루고자한다. 물론, 저가경쟁입찰시장상황으로인하여, 고난이도의보안진단인력을제안하더라도제공되는컨설턴트인력단가가동일하게취급되거나평가절하와같이정보보안컨설팅기업의입장에서기업생존을위해달려야만하는우리의현실을감안한다면, 제시하는기술적진단의개선방안이현실적어려움을고민하지않을수없다. 하지만, 이바닥의컨설턴트라면누구나느끼고있는정보보안컨설팅의정체성과점차적으로나타나고있는고난이도의전문성을요하는시장의요구사항이나타나고있으며, 진단결과가컨설턴트자신의얼굴이라는컨설턴트의자긍심관점에서볼때, 본기고에서언급되는개선방안들을방법론적구현을고려해봄으로써, 적정수준의품질을유지하면서생산성을높일수있을것이라고판단된다. 기존취약점진단방법에대한몇가지아쉬운점 대부분의컨설팅에서수행되고있는기존의기술적취약점진단에대한몇가지아쉬운점들이라고판단되는것들을짚어보면다음과같다. 1) 정보시스템의총체적관점에서의취약점진단이미흡하다

26 기술적진단영역은네트워크, 서버, 어플리케이션, 데이타베이스, PC( 단말기 ) 영역으로나누는것이일반적이다. 그러나이것은단지정보시스템의취약점진단을누락되는영역없이나누기위한영역분류기준일뿐이며, 실제각영역에대한세부적인진단내용들이빠짐없이진단되고있지않는경우가다수있다. 예를들어어떤정보시스템의어플리케이션에대한취약점진단을한다고하면, 어플리케이션소스를점검한다거나또는 OWASP Top10에대한안전성을점검하는것만으로어플리케이션보안을진단한것으로가늠하는경우가있다. 이러한진단방법의경우에그진단결과, 어플리케이션보안이양호하다고판단되었다면, 과연그정보시스템의어플리케이션보안이안전하다고판단할수있는가? 어플리케이션의사용자를인증메커니즘상의문제는없는지, 사용자의사용기록에대한로깅에는문제가없는지, 특히 ERP와같은어플리케이션에서자주발견되는사용자권한설계에는문제가없는지, 등과같은사항은최근의이슈중에하나인내부정보유출방지또는개인정보보호의관점에서상당히중요한취약점진단영역중에하나이지만어플리케이션진단영역에서누락되는경우가많다. 이것은네트워크와같은진단에서도동일하게아쉬운점이다. 네트워크장비들에대한취약점진단만을하고서과연네트워크가안전한지점검했다고할수있는가? 2) 대상시스템의중요도와서비스의특성이반영되지않고있다. 대부분의기술적취약점진단의경우그정보시스템의중요도또는정보시스템의서비스특성과는무관하게취약진단결과가평가되는것을또하나의아쉬운점으로들수있겠다. 예를들어서 100대의서버를진단했을경우서버보안수준을 100대의보안진단결과를평균값으로보안수준 ( 또는위험수준 ) 을표현하는것이일반적이다. 그러나취약점진단의궁극적목적인위험관리의관점에서보면, 그 100대의대상서버중에는대상기업의 IT서비스관점에서중요한업무서비스를위해이용되는서버도있고그렇지않은서버도있기마련이다. 이러한상황은개별적인진단대상서버의관점이아니라, 그서버가속해있는서비스의관점에서서비스 ( 또는서버가제공하는업무 ) 의중요성또는보안의특성을사전에분석하여반영함으로써비용효과적인위험관리를위한소스를제공하는취약점진단이될필요가있다. 3) Secure OS와같이기존보안대책이취약점진단결과에반영되지않는다. 2003년도한국정보보호진흥원이실시한 공공기관정보보호수준제고사업 을비롯하여최근공공기관을중심으로 Secure OS 도입이점차확대되어가고있는상황이다. 그러나서버취약점진단을하는대부분의경우, 대상서버에탑재된 Secure OS가제공하고있는보안기능을반영하여취약점진단결과가산출되고있는가?

27 이것이외에도서버의로그인또는권한관리를위한 IM(Identity Management) 이나 EAM, 로그통합관리시스템, ESM 등서버보안을위하여기업이투자하고노력하고있는부분은많이있지만이러한기존보안대책이취약점진단프로세스에평가또는반영되는경우는드물다. 물론, Secure OS가설치되어있는서버를진단할때 Secure OS를내리지말고취약점진단을하면안된다는것이아니다. 대상서버에 Secure OS가운영되고있다면대상서버의 Secure OS가제공하고있는기능에따라취약점진단평가결과에이러한상황이반영되어야한다는점이며, 이러한부분은네트워크, 어플리케이션, 데이터베이스, PC( 또는단말기 ) 등모든영역에서도동일한아쉬움이다. 4) 전문업체마다또는취약점진단때마다상이한진단결과가나타난다. 일반적으로취약점진단을전문업체에아웃소싱을하는기업또는기관들은결국여러업체로부터취약점진단서비스를받게되는것이대부분이다. 또한정보시스템의영역에따라운영조직에서보안운영의일부에대한책임을갖고있기때문에그취약점진단결과에대하여민감하게반응하지않을수없다. 특히, 취약점진단결과를계량화하여요약표현하기위해 " 현재서버의보안수준이몇점이다 " 라고표현을하는대부분의경우 ( 사실 보안수준 이라기보다는 점검결과부합률 이좀더의미상어울리겠다.), 타업체의진단결과평가점수와다르게나타나는것에대하여대상정보시스템운영담당자또는보안의특성을잘모르는관리자는이해가되지않을것이다. 물론, 취약점이라는것이지속적으로발견되는특성을가지고있고, 정보시스템이라는것이정적이지않고또다른서비스가탑재되거나계속변경되기마련이므로매번진단결과때마다그진단결과가다를수도있지만, 그렇다고컨설턴트가진단하는진단항목이진단할때마다이러한특성을반영하여점검항목을업그레이드하고유지관리하는경우는드물다. 즉, 이와같은아쉬운점의근본적인원인은대상정보시스템의서비스내용이계속바뀌거나알려진취약점이계속늘어나는것도원인을제공하고있지만, 취약점진단을아웃소싱한기업이나기관에서취약점진단항목을컨설팅업체에전적으로의존하기때문이다. 5) 진단결과로제시되는개선방안이협의적이거나기술편향적이다. 서버나네트워크, 어플리케이션등대부분의기술적취약점진단결과보고서에서취약점진단의전반적인결과와개선방안을기술하는총평을보면너무좁은시각에서기술되는경우가대부분이다. 예를들어서서버진단총평의개선사항으로 " 불필요한네트워크서비스를제거또는비활성화해야한다 " 라던가, 어플리케이션진단총평의개선사항으로 "GET/PUT 메소드의파라메터값에대한 Validation 처리를강화해야한다 " 라고기술하는경우가대부분이다. 해당취약점에대한피상적인개선방안을제시하기보다는그취약점이존재하게된근본적인원인을파악하여개선방안을제시하는것이보다더효과적인것이다

28 위에서언급한불필요한서비스또는 Validation처리가미흡하게된근본적인원인은시스템운영자가이러한취약점에대한보안설정에대한위험성이나설정방법과같은이해도부족으로인한것일수도있으며, 또는정보시스템운영자가너무많은정보시스템을운영하다보니대상시스템에대한보안관리가소홀해서발생할수도있고, 정보시스템의운영을아웃소싱하고있는상황이고보안에대한 SLA 또는내부조직간의 OLA에세부적으로정의되어있지않았기때문일수도있다. 그렇다면, 기존취약점진단방법을개선하기위한방안은무엇인가? 앞에서언급한기존의취약점진단의몇가지아쉬운점은, 해당프로젝트의요구사항이나목적또는추진환경에따라상이할수있다. 그러나취약점진단의궁극적목적인대상정보시스템의위험관리라는관점에서볼때, 여타프로젝트에서의상황도크게다르지않을것으로생각된다. 기술적위험평가모델로 2002년도에제시된 Risk Management Guide for Information Technology Systems (NIST SP800-30) 을제시한바가있지만, 이번호에서는위험평가또는관리라는큰주제가아니라취약점진단및평가의관점에서기존의진단방법의아쉬운점들을개선하기위한몇가지방안및사례를 2회에걸쳐서제시하고자한다. 1) Vulnerability Management Lifecycle 을고려한개선과사례 지난호의 전사적정보보안아키텍처수립방법과사례 에서와같이취약점관리업무는 전사적정보보안프로그램 의관점에서도알수있듯이연속적인평가의특성 ( 그림의 Ongoing Program Assessment ) 을가지고있으며, NAC 모델에서제시한 Vulnerability Management 영역의아키텍처를구성하는요소로는 Risk Identification, Analysis, Remediatio n 3개의 Process만의단순한구성으로되어있다. 물론어떤모델이던간에, 가장기본이되는것은 Asset Management 아키텍처의정보를기반으로한다

29 NAC의 Vulnerability Management 아키텍처는단순구성이기때문에좀더상세한모델을고려해보면, 몇가지모델을참고하여그림에서와같이 6개의세부적인단계로구성된 Lifecycle로표현할수있다. 1 Discovery 2 Asset Prioritization 3 Assessment & Analysis 4 Remediation 5 Verification 6 Policy Compliance 첫번째 Discovery 단계는, 취약점관리범위에존재하는모든정보자산들을인식하는단계이다. 이단계는지난호에서언급한바와같이 Assessment Management Process와밀접한관계를갖는단계이며대규모 IT자산을운영하는조직에서는관련된자동화도구를이용하는경우가대부분이며, 최근의 ITSM구축을통하여구축된 CMDB(Change Management Database) 와연계되어운영될수도있다. 그러나정보보안관점에서 Discovery 단계에서유의해야할사항은, 관리자가인지하지못하고있는신규정보시스템의생성또는변경에대한부분이다. 예를들어 ITSM 구축을통하여자산, 장애, 변경사항과같은정보자산들의모든작업내용이 Configuration Management, Change Management 등을통하여 CMDB에서변경관리가되도록프로세스가수립되어있을지라도, 변경관리자의승인을거치지않고무선랜 AP가무단또는불법적으로내부네트워크에설치되어있다면, 반복적으로수행되는취약점관리는 CMDB에기록되어있는대상을기준으로하게되므로무선랜에서가장큰위협의일종인불법 AP의존재여부에대해서는누락될수도있는것이다. 이러한문제점을보완하기위해서는자동화도구를이용하여주기적으로네트워크를스캐닝하여정보시스템의변경상황을조사하는기법을적용하는것도좋겠다. 두번째 Asset Prioritization 단계는, 업무의중요도에따라대상정보시스템의중요정도들구분하는단계이다. 해당정보시스템이얼마만큼중요한업무또는비즈니스를위하여사용되고있으며, 세부적으로그서비스를위하여얼마만큼중요한지를파악하는것이다. 기존에위험관리프로세스가있다면위험관리의정보를기반으로활용하는것이좋으며, 그렇지않을경우 Threat Analysis 또는사전영향평가를적용한진단방법을응용하는것도권할만한방법이겠다. 세번째 Assessment & Analysis 단계는, 실증적인취약점진단과평가를하는단계로써, 기존의취약점점검체크리스트기반의수작업진단과자동화도구를이용한진단, 두가지를함께적용하는방법등이있으며, 진단결과의 Cross Check와같이좀더정확한진단결과를위해서는두가지진단방법을병행하는것도좋겠다

30 네번째와다섯번째 Remediation 와 Verification 단계에서는진단결과나타난취약점들의대책을적용하고이를검증하는단계이다. 2003년도부터대규모정보시스템을보유하고있는기업에서는기존의취약점진단사업에서한발더나아가서, 발견된취약점에대한보안대책을적용을위한단위프로젝트들이점차늘어나고있는것을볼수있다. 특히, 통상총칭하는 대책적용프로젝트 와같은경우에는시스템및어플리케이션운영자또는개발자들의 대책적용영향평가 라는대책적용으로인한사전영향평가와같은확인을거쳐선정된대책을적용하는과정이가장중요한 Process중에하나이다. ( 향후기회가되면이에대한방법과사례를공개하도록하겠다 ) 마지막여섯번째 Policy Compliance 단계는이전단계에서의작업결과들을바탕으로기업이나기관의적절한내 / 외부보안정책, 지침, 절차를수립하거나개정하는단계이다. 세부적인내용은 2) Compliance를고려한표준취약점점검표개발과사례 에서다루도록하겠다. 지속적보안수준향상을위해 PDCA cycle 을적용한사례 최근기업이나기관의경우, 비용절감이나각종보안이슈들에대한전문서비스를적시에지원받을수있다는장점때문에, 년간단위의정보보안컨설팅서비스를계약하는경우가점차늘어나고있으며이러한사업의요구사항중에는정기적인취약점진단이빠지지않고들어가있다. 좌측의그림은, A-기관의취약점진단전략의사례로써, 분기단위또는월단위로반복적인취약점진단작업에서위와같은 Lifecycle관점에서 PDCA 개선모델을적용하여점차적으로보안수준을향상시키기위한것이다

31 2) Compliance 를고려한표준취약점점검표개발과사례 Compliance는지난호에서다룬 전사적정보보안아키텍처수립방법과사례 에서도언급된것처럼 전사적정보보안프로그램 을드라이브하는 4가지요소중의하나로써최근 SOX, 바젤II, 개인정보보호등을비롯한대외적 Compliance와내부 IT보안지침과같은대내적 Compliance로구분하여중요한정보보안요건중에하나로그중요도가점차높아지고있다. 특히, SOX나바젤II와같은경우에는대외비즈니스와직결되는부분이어서해외비즈니스가있는기업의경우중요한비즈니스요건이면서동시에정보보안의요건이되는요소중에하나이다. 대내 / 외적 Compliance를고려한보안요건도출및준수율관리대부분의기업이나기관들은, 상위감독기관이존재하고감독기관에서요구하는각종비즈니스관점의요건, 정보보안과관련된요건이있으며 ( 대내적보안요건도존재함 ) 세부적인요건들은해당기업이나기관의특성에따라서상이하다. 아래는 Compliance관점의보안요건이누락되지않도록요건들을분류하여검토해야할요소들을예로들은것이다. 대외 Compliance 고려사항 illustrations 대외법 / 제도적요건 상위기관요건 비즈니스적요건 개인정보보호기본법 정보통신망이용촉진및보호에관한법 정보보호안전진단 전자금융거래법및전자금융감독시행세칙 국가사이버안전관리규정및메뉴얼 공공기관개인정보보호지침 Sarbanes-Oxley Act 신 BIS 제도 (Basel 2) GLBA(Gramm-Leach-Bliley Act 금융서비스현대화법 ) HIPAA( 의료정보보호법 ) 대내 Compliance 고려사항 내부보안정책 / 지침요건 내부보안감사요건 법적인보안요건을검토할때의한가지요령으로써, 일반적인법률의구성이법률 - 시행령 - 시

32 행세칙의구조를갖는것이일반적이므로이에대한 3단비교를통하여정보보안관점에서의 Compliance적요건을도출함으로써, 누락되는보안요건이없도록세부적인해당점검항목과의Cross check를하는것도고려할만한하다. 또한, Compliance는 Mandatory의특성을가지고있기때문에취약점진단결과에대한 GAP분석을통한준수률을파악하고적정수준의준수률이유지관리되도록하는것이중요하다. 일관성있는취약점점검 / 관리를위한표준화된점검표개발일반적으로취약점진단을외부전문업체에아웃소싱하는경우, 대부분의기업이나기관들은아웃소서가보유하고있는취약점점검항목을그대로적용하는경우가많으며아웃소서가바뀔경우취약점진단결과가상이하게나오는것이당연하다. 전문업체마다취약점진단을위한항목들의분류나항목별가중치등이약간씩상이하며, 어떤취약점항목의경우컨설턴트의직관에따라서평가가약간씩틀려질수있기때문에취약점진단결과가서로상이하게나오는것이당연하다. 이러한문제점을해결하기위하여기업이나기관들은앞에서설명된 Compliance의보안요건들이반영된자체취약점점검항목을보유하고있는것이바람직하며, 이것을모든시스템들에게표준적으로적용하기위한표준화작업이 ( 개발, 승인, 적용등의절차에따라 ) 함께이뤄지는것이좋다. 유닉스시스템표준보안항목 Check List - Sample No. 보안항목 중요도 비고 1 서버접속시경고메시지운영 1 Login 초기화면보안메시지삽입 (ftp포함) 하고수준 2 login 접속 1 무자격사용자계정제거 상 기본 3 사용자계정관련점검 1 root UID 중복점검 상 기본 2 Group UID 점검 하 기본 3 단순패스워드변경 상 기본 4 계정암호정책설정 상 기본 5 패스워드 shadow화 중 기본 3 파일접근권한및소유권설정 1 /etc/passwd 파일 중 기본 2.rhosts 파일 중 기본 3.sh_history 파일 중 기본 4 hosts.equiv 파일 중 기본 5 사용자홈디렉토리권한설정 하고수준 6 홈디렉토리환경변수파일권한설정 중고수준 7 /etc/inetd.conf 파일 중고수준 8 /etc/profile 파일 하고수준 9 /etc/hosts 파일 하고수준 illustrations 또한표준화작업에서고려해야하는것은, 첫번째가시스템, 네트워크, 어플리케이션, PC( 단말기 ) 등의취약점진단항목에대한공통적인 Categorization으로구성된공통적인프레임워크를갖추는것이좋다. 이는모든영역의진단결과를동일한관점으로보기위한것도있지만, 궁극적으로는적용할보안대책과그효과성을파악하는데도움을줄뿐만아니라적용하고자하는대책들이중복되지않고통합될수도있는장점이있다. 두번째는, 점검대상시스템의중요도유형에따라진단의깊이가상이한 2~3개유형의점검표를운영하는것이좋다. NIST에서공개하고있는 Security Technical Implementation Guides (STIGS) and Supporting Documents ( 의각종 Checklist들을보면대상시스템의중요도유형에따라 FOUO(For Official Use Only) Checklist, CONFIDENTIAL Checklist, SECRET Checklist 등과같은 3가지종류가운영되고있고, 공개되어있는대부분

33 의 Checklist 등은 FOUO Checklist 들이다. 두번째는취약점진단결과에대한일관성을유지하기위하여진단항목별 기대결과 와같은평가기준을명시함으로써진단작업자가상이해도동일한진단결과가나오도록하는것이다. 그예제로써아래그림과같은 Pentagon의 Sybase Database에대한 Checklist를보면, 세부점검항목인 Requirement Action 과 Expected Results, Comments 로구성되어있으며여타 Checklist 들도동일한표준서식으로되어있다. 마지막으로는이러한표준화된점검표는지속적이유지관리가중요하며이를위하여자동시스템화하는것이효과적인 Vulnerability Management를제공한다. 기업이나기관에서 ITSM이구축되어있다면 CMDB와연계함으로써관련전사적표준을준용하는것이중요하다. 취약점점검및대책적용이력관리시스템사례 앞에서도언급한것처럼취약점진단과더불어발견된취약점을제거하기위한보안대책적용프로젝트가대규모정보시스템을보유하고있는기업이나기관을중심으로그수요가점차

34 늘어남에따라, 다량의정보시스템에대한일관성있는점검결과와대책적용결과등에대한 보안관리자 취약점관리프로그램 이력을실시간으로공유하기위한취약점점검및대책적용이력관리시스템을별도 로개발하여기업에게납품한적이있다. 시스템자산관리 시스템별취약점항목관리 시스템별대책적용이력관리 현황및레포트관리 사용자관리 취약점관리데이터베이스취약점진단결과등록보안대책적용등록 그림은이력관리시스템의개념도이다. 최근에는기존의취약점진단스캐너의기능을강화하고분산된정보시스템에대한효율적취약점진단작업을위하여외산 RMS(Risk Management System) 와같은종류의시스템들이이러한기능을갖고있는경우가있으나아직까지는취약점진단영역에대한전반을다루고있지않기때문에일부분의업무활용에효과적이다. 관리대상시스템 글을마치며기존취약점진단방법에대한아쉬운점을나열해보고, 이를개선을위한방안을 2회에걸쳐진행하고있다. 이번호에서는 Vulnerability Management Lifecycle을고려한개선과사례 와 Compliance를고려한표준취약점점검표개발과사례 를제안하였다. 다음호에서는 기술적취약점진단방법개선에대한제언 의두번째이어지는내용으로써 사전영향평가를적용한방법과사례 와 PPT모델을적용한원인분석방법과사례 를제안하고자한다. 또한 NIST SP800-30에서제시하는 Risk Management Guide for Information Technology Systems 모델을세부적으로검토해봄으로써앞에서언급했던개선사항과의연관성과모델이수정되어야하는부분에대한의견을제시하고자한다. -끝

35 본뉴스레터내용의무단전재를금합니다기사의가공또는인용시한국정보보호진흥원 출처를밝혀주시기바랍니다 뉴스레터의온라인구독 주소변경신청및의견제시등은 를이용해 주시기바랍니다 뉴스레터이전호는 홈페이지 를통해다운받으실수있습니다