위기의인터넷 부제 : 현재의위협과미래의방향 전상훈 / KAIST 사이버보안연구센터 R&D 팀장
Agenda Network 보안의현실 Know your Enemies Real Status What to do? Conclusion
Network 보안의현실 공격의변화 High Technology Knowledge Web bot & Mass web attack Automatic attack (search engine) SNS Worm Malware distribution from web Automated Application worm Hybrid DDoS Attack Stealth scanning techniques Phishing for identity thief Denial of service ASN.1 attacks Packet spoofing DDOS attacks Disabling audits Back doors Sniffers www attacks Sweepers Automated probes/scans Automated probes/scans GUI Network management diagnostics Automated Attack Tools Hijacking sessions Low 1990 1995 2000 2005 2007 2009 NOW
Network 보안의현실 변화에따른대응 Worm 이전 Worm 이후 Web App 공격본격화 Web 을통한 PC 공격 자동화된 Web Application 공격도구의일반화 Codered Nimda 고객 IT 조직 고객 IT 조직 Protect Protect 개인 PC Secure Protect Non secure 개인 PC How? Isolation- 격리 IRCBot Phatbot Bagle Mydoom Protect Attacker / Cracker Attacker / Cracker Attacker / Cracker Attacker / Cracker 개인정보탈취용악성코드유포 Web 을통한불특정대상유포시도 자동화된웹서비스공격을통한악성코드유포및내부침투 Firewall, IDS Firewall, IDS, IPS, Virus Wall,Secure OS, NAC.. PMS [ 사내, 고객 ] Secure Process [ 개발, 운영 ] Web Firewall, UTM 서비스 (?) IT 서비스주요기업포함됨직접공격의대상에포함 일부 IT 서비스업체에서개인 PC 보호강화 위기의인터넷?
Network 보안의현실 Firewall ID/PS 역할 : 트래픽차단, IP 기준필터링 문제 : Application layer monitoring 불가 역할 : 침입탐지및차단 ( Application layer 포함 ) 문제 : 3/ 백만, 차단로그가중요한가?, 패턴매칭, 커스터마이징필요 (IPS)- 장애 Virus wall 역할 : 바이러스, 악성코드 (?), 이메일등의모니터링및필터링 문제 : 패턴매칭의한계, 패턴은계속바뀜, 너무많은악성코드 Web Firewall 역할 : Web Application 에대한보호및중요공격에대한차단 문제 : 우회및신규유형의공격에취약, 트래픽감당어려움, 장애발생가능성 UTM 역할 : 통합적인보안도구의결합 문제 : 트래픽커버리지, 관리요소가너무많음, 커스터마이징필요 공통문제 : 악성코드발생빈도의증가, 패턴매칭의한계, 커스터마이징, 우회공격취약 Web Application 을통한 1,2 차 ( 내부망침입 ) 공격차단및탐지의한계
Know your enemy 스팸메일및피싱성공가능성 0.01%, 웹 Application 가능성 20~30% Web Application Vulnerability Frequent 32% Hijack Session/ 개인정보유출 21% Full Control & 정보접근가능 7% 정보수정가능 4 개중 3 개의 Website 가취약성을지니고있다. (Gartner) Pervasive 75% 의해킹이 Application Level 에서발생. (Gartner) Network 단위위험은 Web 으로부터초래 ( Ddos agent 배포처로활용 ) Undetected 11% 온라인쇼핑정보노출 2% 웹사이트삭제 27% 개인정보노출 품질관리를위한도구들은 Security 문제점을찾아내기위한도구들이아니다. 수작업에의존한탐색은비용과시간이매우많이소요된다. Dangerous 특정 Web Application Scanner 를이용해 1000 여개의 Site scan 시 98% 의사이트에문제가존재함 취약성을통한공격으로위험이노출되었을때회사의신뢰도및고객의믿음에영향을끼친다.
Know your enemy-tool 공격전략 자동화 ( With Search engine) 된 Web app attack
Know your enemy-tool DB 유출 & 백도어 ( oracle is ready!!)
Know your enemy- 활용 Web 을통한공격흐름도 ARP Spoofing
Know your enemy Web 을통한 Malware 유포기법 -1 일반적인웹사이트의취약성을이용해악성코드배포도구로활용함 게임계정탈취, 키보드입력탈취 원격조정백도어역할 : Bot 연결또는 Connectionless agent (Ddos?) 주기적 Update 기능존재할수도 근래의 ARP Spoofing 문제발생시키는악성코드확산의가장근본적인 Root DB 의권한은모두획득한상태에서웹서비스의소스코드변경함. ( DB 유출은이미오래전 ) CSS Attribute Insert DB Field Insert HTML File 내 iframe Insert
Know your enemy Web 을통한 Malware 유포기법 -2 JS File 내 iframe Insert JS File 내의흔적들..
Real Status 공격과차단 (?) 유포지 : 실제악성코드를사용자접근시유포하는매개체 ( 국내주요사이트 ) 경유지 : 유포지에추가된악성코드다운로드받는곳 ( js or iframe 으로추가 ]
Real Status 악성코드경유지발생현황 ( 한달간의샘플기반의실데이터 ] 대부분제로데이혹은최근의공격코드를이용해사용자 PC 를공격함. 웹서버의권한을 DB 권한을이용해탈취한경우내부망은무사할수있을까? 마음먹기나름
Real Status 악성코드경유지증감비율 3 시간간격조사시증감비율 샘플링된악성코드유포지를모니터링한결과자동화된도구및 Webbot 으로추정되는도구에의해일시에변경되는것을확인 ( 수십여개이상의사이트의경유지변경 )
Real Status Real Status 악성코드유포및외부자에의한링크추가모니터링결과 - 심각한국내현실확인됨 독자개발한크롤링및파싱기법으로악성코드경유지를발견함. ( 즉원격확인이가능함 ) 사태의심각성을반드시인지해야함. 2~3 일에한번씩경유지를변경. 추가함. 대응은오로지삭제? 반복 국내및전세계의인터넷은심각한악성코드유포의홍수에휘말려있는상황임
What to do? 현재 Web 으로부터촉발되는위협이가장큰부분을차지하고있으며해당문제의해결을위해서는네트워크단위솔루션의많은고민이필요 Network Security Solution (ID/PS] 취약성을이해한맞춤형로그필요. 차단로그는참고용임 ( 10 년전웜의차단이 1 순위는아님.) 보호자산의속성과문제점 (Web app) 이파악된상태에서의가능성기준의 Alert 과차단필요 Customizing 요구됨. 최소화할수있는방안필요 위험도의조정이필요함 장애발생가능성이높아질수있음 단계당구축비용의증가 Co-work 이필수적임 ( 특정보안솔루션만으로는생존하기어려움 - 통합적인모델일경우 Co-work 이쉬움 ] 유기적보안모델필요 [ 취약성스캐너, 자산관리, WAF ]
What to do? Virus Wall, UTM, Web Firewall 경유지및악성코드에대한 Alert 기능필요 ( 축적된 DB 및신규유형탐지방식필요함 ) 신규악성코드에대한탐지능력강화 ( 다양한변형패턴, Inbound -> Outbound 감염이후의행동감지 ) Virus wall 의경우개념확장및연동필요. 메일을통한위험은점차감소됨. 다른위협이더크게확장됨 Out bound Proxy 의개념으로확장필요, [ Malware 사전탐지, Malware 유포도메인에대한 Alert] Web Firewall 웹어플리케이션소스코드의취약성에대한 Simple 한 SDLC 로직연동필요됨 전체 : Web 의위험을적극적으로인식하고대응하는것이필요. Active 한변화와검증모델을가진악성코드에대한연계모델개발필요 각단위솔루션간의영역과역할분담 Share ( 기업보안전략측면 ) 기존의알려진위험은 1 순위가아닌 2 순위임을인지 ( 기업보안전략측면 )
What to do? 해외의경우적극적인 Malware 유포도메인에대한공유와이용이일반적으로확산되고있음. - Google, Mozilla, Paypal etc. 국내도시도는있으나현재 Active 한데이터확보에어려움이존재함 향후안정성확보는서비스이용자의신뢰를기반으로가능할것임. 단위네트워크솔루션도적극적으로활용할수있는방안을찾고연동하는것이필요함.
Conclusion ( 솔루션 ) 현재의네트워크단위솔루션은한계에직면함. ( 기업보안전략측면 ) 기본적인역할이외에부가적인모델의접목이필수적임 단위네트워크보안솔루션간의변화된위협에대한연동과협업이필요 ( 기업보안전략측면 ) Web 서비스기반악성코드유포지를줄이기위한노력필요 악성코드유포지의의미는 DB 유출은이미되었음을인지 ( 개인정보보호법?, 기업보안측면의고민 ) 유포지에대한근본침입취약성제거 ( 대부분 SQL Injection 및기타취약성을이용한백도어활용 ) 경유지탐지및차단노력과 DB 화및공유노력 ( 구글의 Stop badware 유형참고필요함 ) 소스코드취약성탐지와의유기적연동필요 ( 현재의모델은시간과비용이과다소요 ) 위협은계속발전하고진화한다. 그러나방어는그에휠씬못미치고있는현실이다.
Conclusion [ 기업보안 ] 기업보안전략 웹서비스의지속적인취약성제거및근본적인개발프로세스변경필요. ( Audit or 보안성검수 ) 내부망으로유입되는신규백도어에대한탐지전략, 프로세스개선, 기존보안솔루션간의연동과한계에대한인식필요. 기업서비스에대한보안성강화전략 (ex) 시간, 비용을줄이는것이관건, 개발시간 > 검수시간 ( 인력으로는한계 ) Risk Discovery Iterative secure inspection IT Security Review Request Assessment Approved? Yes Perform Assessment Generate Report Critical No Vulnerabilities? Project Approved No Yes Development Project Owner Submits Request Request Deferred or Rejected Apply Fixes Review Report Review Report Department Fix Go live Fix or go live? Management Exception of policy
Appendix( 시연 ) Malware 경유지탐지및모니터링 1 일 6 회이상점검진행. 국내의웹서비스를공격하여추가되는악성코드경유지에대해탐지. 현재공유중, 향후확대예정.
Appendix ( 시연 ) Web Application 취약성진단및제거 ( 온라인서비스 - 기업용, 소호용 ). 기업용 : KAIST 보안센터내년상반기오픈예정 대규모진단, 소호용 : 기술협력으로올하반기중베타오픈예정 - 단일 URL 진단 웹상에서진단, 실취약성확인및해결책제공, 악성코드경유지링크발견, 5 분이내종료목표, 하기샘플은 6 초소요됨..
Appendix KAIST.. 사이버보안센터 : 현재의위협을해결하며미래발생가능한위험요소에대해대응하기위해전문가들이결집될곳.
Threats still growing!. 감사합니다. 바다란세상가장낮은곳의또다른이름 p4ssion@gmail.com