국내 특히 P2P, 언론, SNS 사이트를 통해 악성코드 유포의 사례가 몇년 째 꾸준히 지속되고 있지만 제대로 대응 및 조치가 이뤄지지 못하는 실정입니다.

이러한 문제가 국내뿐만 그런가 했더니, 해외에도 매한가지로 발생하는 것을 보면, 참으로 답답하기도 하고 씁쓸한 마음뿐입니다.


해외 사이트 중에서 축구에 관련된 유명한 사이트 중의 하나인 Goal.com에서 악성코드를 유포하는 사고가 지난달 27-28일 발생했습니다. 참고로, Goal.com 사이트는 Alexa(인터넷 방문자 측정 및 랭킹 사이트) 기준 379위를 차지할 정도로 트래픽이 많으며 하루에 약 21만-23만 페이지의 방문 기록을 가지고 있습니다.

문제는 공격자가 Goal.com 웹사이트의 컨텐트를 자기 입맛대로 바꿀 수 있었다는 것으로 이를 토대로 보면, 공격자가 서버를 어느정도 장악한 것으로 예상되고 있습니다.

또한, 사용자가 감염될 수 있도록 3개의 도메인으로 된 경유지 링크(pxcz.cz.cc, opofy7puti.cz.cc, justatest.cz.cc)를 삽입하고, 이를 통해 결론적으로 CVE-2010-1423(자바), CVE-2010-1885(MS 도움말 센터 HCP), CVE-2009-0927(PDF), CVE-2006-0003(MS MDAC) 취약점을 이용하는 코드가 포함되어 있습니다.

이러한 취약점은 대부분 사용자가 직접 업데이트를 해야 하는 수고가 따라야 하기 때문에 컴퓨터에 익숙하지 않은 사용자들이 많이 감염될 가능성이 높다고 볼 수 있습니다.


그렇다면 이러한 문제의 원인은 무엇일까 고민해 봐야 할 것입니다.

원인은 바로 웹 소스의 취약점 중의 하나인 SQL Injection으로 짐작되고 있습니다. 자료에 따르면 Mass SQL Injection의 형태를 띠고 있지 않는 것으로 언급되고 있어 공격자가 타겟화된 공격을 벌인 것으로 생각됩니다.

이러한 SQL Injection 취약점은 나온지 약 15년 정도 되는 꽤 오래된 구식의 취약점에도 불구하고 여전히 명성을 떨치고 있습니다.

현대 캐피탈, 소니 PSN 해킹 등등.

언제쯤 이러한 문제의 해결이 이뤄질련지... ...

감사합니다.

자료 출처: http://threatpost.com/en_us/blogs/popular-sports-site-goalcom-serves-malware-050311


reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    최근 Website Security Statistics Report(웹사이트 보안 통계 보고서) 2010년도 판이 공개되었습니다. 이 보고서는 올해 10번째로 발간된 것으로 보안 전문 기업인 WhiteHat Security에서 작성되었습니다. 

    보고서에 관련된 슬라이드는 아래 링크에서 다운로드할 수 있습니다.



    문제는 보고서의 내용 자체가 매우 충격적인 것으로, 이러한 사례는 이미 수년 전부터 보고되어 왔지만, 여전히 그대로라는 것이 가장 문제가 아닐 수 없습니다.

    <그림 1. 통계에 사용된 회사, 웹사이트 등의 기초 자료>

    통계를 위해 사용된 기초 정보는 약 350 이상의 기업으로 미 포춘의 기업을 주축으로 선정하였으며, 총 2천개 이상의 웹사이트와 32천개 이상의 웹 관련 취약점을 검토하였습니다. 또한, 이 정보는 2006년 1월부터 2010년 9월까지 꽤 오랜기간 모은 것으로 꽤 신뢰성이 있다고 볼 수 있습니다.

    <그림 2. 웹 공격의 유형>

    통계에서 분류한 공격의 유형에는 사람이 직접 조사한 공격과 자동화에 의한 공격 등 다양합니다.

    <그림 3. 업계에 따른 중요한 취약점의 평균 개수>

    업종으로 구분할 경우에는 IT 분야가 가장 많은 취약점을 가진 것으로 나타났으며, 전체적으로 약 12개 정도의 취약점을 가지고 있습니다.

    <그림 4. 취약점의 순위>

    가장 많은 취약점을 보이는 것은 바로 Cross-Site Scripting 으로 약 71%나 차지했습니다. 그리고, Information Leakage, Content Spoofing과 같이 데이터 누출이 그 뒤를 차지했습니다. 다행히도, SQL Injection 취약점은 15% 정도로 낮았지만, 이로 인해 데이터의 손실이 발생하는 효과는 매우 크게 되므로, 주의가 요망됩니다.

    <그림 5. 문제 해결에 걸리는 시간>

    가장 흥미로운 그래프라고 볼 수 있는데, 바로 업종 별로 문제점이 발견될 때에 이를 해결하는데 걸리는 시간을 나타낸 것입니다. 가장 재빠른 조치를 위한 은행 및 금융권은 문제점을 해결하는데 약 43주 정도 걸린 것으로 나타나고 있습니다. 하지만, 소매나 보험업종에서는 1년반 이상 소요된 것으로 나타납니다.

    <그림 6. 문제 해결에 걸리는 시간>

    따라서, 업종과 취약점의 개수를 이용하여 한번 더 산출해 보면, 취약점 당 해결에 걸리는 시간을 어림잡아 알 수 있으며, 아래와 같습니다.
    • 은행(45주) / 취약점( 4.95개) = 9주
    • 금융(41주) /  7.7 = 5.3 주

    가장 빠른 대처를 보인 업종인데도 불구하고 한 개를 해결하는데 7-9 주 정도가 소요된다는 것을 봤을 때에 문제점을 파악하여 해결하는 것이 얼마나 어려운 것인지 가늠할 수 있습니다.

    <그림 7. 문제 해결 비율>

    더 큰 문제는 일부 업종에서는 취약점을 해결하는데 많은 노력을 기울이는 것으로 보이지만, 대부분의 업종에서는 그리 높은 해결 의지를 가지지 않은다는 것입니다. 심지어 SNS에 관련된 업종에서는 문제 해결비율이 떨어지는 결과를 보입니다.

    이렇게 해결되지 않는 이유를 다음과 같이 정의내리고 있습니다.
    • 조직 내에서 코드를 유지보수하거나 이해할 만한 위치에 있는 사람이 없음.
    • 개발 그룹이 취약점을 이해하지 못하거나 반영하지 못함.
    • 보안 상의 문제점 해결보다 기능 향상을 더 우선시함.
    • 문제점 해결을 위한 예산 부족
    • 취약점에 관련된 코드를 책임이 없는 서드파티 벤더가 가지고 있음.
    • 웹사이트가 없어지거나 빠른 시일 내에 교체될 예정임.
    • 취약점 자체가 용인됨.
    • 비지니스 용도에 관련된 솔루션과 상충됨.
    • 관련 법령(PCI-DSS 외)의 부재

    지금까지 웹 보안에 대한 통계 정보를 간단히 요약해 봤습니다. 여전히 나오는 얘기지만 보안 의식 부재뿐만 아니라 개인정보의 중요성에 대해서 우리나라를 위시해서 미국에서도 마찬가지라는 점을 확인했을 뿐입니다.

    감사합니다.






    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      지난 주말, 9월 25일부터 26일까지 인터넷 서점 중 하나인 알라딘에서 악성코드를 유포하는 악성 스크립트가 메인 사이트에 삽입된 사건이 있었습니다. 해당 사이트에서는 (얼마나 빨리 대처했는지는 모르지만) 빠른 대응을 통해 악성코드를 제거하고 모니터링을 강화하고 있다고 자사 홈페이지에서 공지로 알리고 있습니다다.

      아래 코드는 어베스트! 안티바이러스 제품에서 알라딘 홈페이지에서 진단한 스크립트의 URL 및 진단 이름입니다. URL의 일부분은 안전을 위해 변경했습니다.

      2010-09-26 오후 1:11:23    http://218.237.66.1xx/End.asp [L] JS:Downloader-RN [Trj] (0)
      2010-09-26 오후 4:45:40    http://210.116.104.xx/l.asp [L] JS:Downloader-RN [Trj] (0)

      그런데, 알라딘 웹사이트에서만 이러한 문제점이 나타난다고 볼 수 있을까요?

      네이버에서 보안에 관련된 유명한 카페 중의 하나인 바제2(바이러스제로 시즌2)에서 악성코드 유포 신고 라는 게시판을 살펴 보면, 거의 매일 유명한(누구나 한번 정도 들어 봄직한) 사이트들이 언급되곤 합니다. 몇 페이지 넘겨가면서 보다 보면, 아! 이것도 '단골'이 있구나 하는 생각이 들기도 합니다.

      게다가,여기 이외에도 발견되는 공격 패턴(예. 스크립트의 URL 경로)을 구글을 이용하여 검색해 보면 다양한 결과를 볼 수도 있습니다.


      실제로 국내 웹사이트의 보안에 대해서는 아무도 선듯 얘기하지 못하는 것이 사실입니다. 잘못 벙긋~ 했다가는 아마도 명예훼손, 업무방해, 해킹 등의 이유로 인해 법정을 왔다갔다할 수 있다는 우려 때문입니다.

      외국의 경우에는 이러한 부분에 대해서는 더 관대(이 용어가 적절한지는 의문이지만)하다고 볼 수 있습니다. 아래는 필자가 외국 웹사이트에서 웹 관련 취약점을 찾아 블로그에 공개한 링크입니다.

      BBC 뉴스: http://moonslab.com/1040 (SQL Injection 취약점)
      애플 아이튠즈: http://moonslab.com/1064 (XSS 취약점)
      마이크로소프트: http://moonslab.com/1089 (XSS 취약점)
      LA 타임즈: http://moonslab.com/1117 (XSS 취약점)

      물론 이렇게 공개는 하지만, 스크립트 키드들이 사용할 수 없도록 일부 정보를 숨기고 있습니다. 아마도 해당 개발자들은 스크린샷에 있는 항목이나 메뉴만 보더라도 문제점을 충분히 유추하여 해결할 수 있을 것으로 보입니다.

      하여튼, 이러한 예로 볼 때, 국내에서 보안에 대한 경각심이나 보안을 강화하고자 하는 노력을 위해서는 보안을 바라보는 시선부터 바꿔야 할 것입니다.

      감사합니다.
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        웹 보안에 관련되어 다양한 문서들이 인터넷에 공개되어 있거나 책으로 판매됩니다. 이중에서 가장 널리 인용되는 자료는 바로 OWASP Top-10이며, 이 문서는 최신의 보안 경향을 반영하기 위해 약 1-3년 주기마다 업데이트됩니다.


        이 문서에 따르면 가장 위협이 되는 취약점은 INJECTION, XSS(Cross-Site Script) 순으로 분류되어 있습니다.

        이 중에서 SQL Injection 취약점은 그 공격의 결과가 서버의 장악이나 데이터베이스(데이터) 손상이 발생하기 때문에 상대적으로 보안 관리자가 인식하기가 쉽습니다.

        하지만, XSS 공격은 실제로 취약점이 있는 웹서버를 공격하는 것이 아니라 제 3자를 공격하는 공격 경유지 성격을 띠고 있기 때문에 취약점으로 인해 공격이 발생하는지 알아차리기가 쉽지 않습니다.

        XSS 취약점을 이용하여 공격자는 웹 애플리케이션에 접근하는 다른 사용자에게 자바스크립트를 실행할 수 있게끔 허용함으로써 공격이 시작됩니다. 즉,  사용자는 위험할 수도 있다는 생각은 전혀 하지 않은 상태에서 교묘하게 조작된 악성 스크립트가 실행되어 이로 인해 크나큰 피해가 발생할 수 있습니다.

        XSS 공격의 예로 가장 대표적인 것이 계정 정보를 빼내는 기술입니다. 아래와 같은 방식으로 공격이 진행되며 최후의 단계에서는 공격자가 피해자의 정보를 도용하여 로그온할 수 있게 됩니다.

        1. XSS 취약점이 있는 게시판, 검색(입력 부분), 매개변수에 교묘하게 조작된 스크립트를 작성하여 글로 게시합니다.
        2. 사용자가 해당 웹서버에 로그온한 후에 공격자가 미리 올린 글을 읽습니다.
        3. 사용자의 쿠키 값을 웹프록시와 같은 방법을 써서 전송받습니다.
        4. 공격자는 사용자의 쿠키 값을 이용하여 로그온하고, 그외의 공격을 진행합니다.

        이러한 방식은 지난 2008년 9월에 작성된 보고서의 일부분으로, 전북대학교 건지인사랑방에서 발생한 예입니다. (관련 자료 다운로드: http://iscert.springnote.com/pages/1770388/attachments/775186 )

        아래 화면은 엘에이타임즈(LA Times, http://www.latimes.com ) 웹사이트의 특정 URL에서 발견된 XSS 취약점에서 alert("문자열") 스크립트를 실행한 화면입니다. 이외에도 이 사이트에는 다수의 XSS 취약점이 존재할 것으로 생각됩니다.



        만약, 은행과 같은 금융권, 쇼핑몰, 적립금을 적립/충전하여 사용할 수 있는 사이트에서 이러한 XSS 취약점을 이용하는 공격이 발생할 때에는 치명적인 결과를 나을 수 있습니다.

        결론적으로, 로그온이 사용되는 웹사이트에서는 XSS 공격에 대해 충분한 검토하여 문제점을 미리 파악하여 해결해야 합니다. 물론, 로그온이 안되는 경우에도 다양한 공격이 이뤄질 수 있지만, 계정 정보 노출이 가장 중요한 것임은 분명합니다.

        감사합니다.
         

        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          웹서버의 보안을 진단하는 웹 스캐너 중의 하나인 Nikto 의 최신 버전이 공개되었습니다. 이 버전에서는 기존 버전에서 발견된 버그와 같은 문제점을 해결하였으며, 일부 기능도 향상되었으며 자세한 사항은 아래와 같습니다.

          • 대화형 검사 상태 보고서 지원.
          • 설정을 자세하기 볼 수 있도록 변경.
          • 메모리/속도 향상
          • 뮤테이션 검사시 메모리 사용량 감소.
          • 모든 응닶 값속에서 문자열 찾기 기능 제공.
          • 인증 코드 재작성.
          • 서버의 요청을 최소화하기 위해 캐시 사용.
          • Frank Breedijk이 제공한 Nessus NBE 보고서 형식.
          • 명령행에서 플러그인 선택 기능 향상.

          보다 자세한 사항은 아래 링크를 참고하십시오.

          감사합니다.




          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus
            어제 디지털타임즈에 웹보안의 계층적 방어 체계라는 기사가 올라와서 한마디 덧붙이고자 한다.


            (사진 출처: http://www.dt.co.kr/contents.html?article_no=2010061602011860746002)

            위 사진에서 처럼 막강한 자금 및 인력을 동원하여 웹 보안 아니 엔터프라이즈 보안을 유지할 수 있는 기업이 얼마나 될 지 의문이다.

            외국의 SP500과 같이 국내 한 100대 기업에서나 가능하지 않을까 싶다.

            즉, 현실적으로 국내 중소기업이 하기에는 정말로 불가능에 가깝다.
            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus
              OWASP(Open Web Application Security Project)는 매년마다 웹 애플리케이션의 취약점 중에 가장 많은 영향을 미치는 위협 요소에 대한 보고서를 발간해 오고 있습니다. 기존에 발표된 보고서는 아래 링크를 참고하십시오.

              지난 11월 13일 경에 OWASP는 2010년도에 발표할 보고서의 RC1(Release Candidate 1) 판을 발표했습니다. 원문은 아래 링크를 참고하십시오.

              가장 중요한 변경사항을 살펴 보면, 기존의 10대 위협 요소 중 일부 항목이 제외되고 순서도 바뀌었습니다.

              새롭게 추가된 부분은 다음과 같이 2가지 입니다.
              • A6 - Security Misconfiguration. 웹애플리케이션, 운영체제, 프레임워크 등 다양한 부분들의 보안을 적절하게 구성하지 못하여 이를 이용하는 위협 요소를 말합니다.
              • A8 - Unvalidated Redrects and Forwards. 사용자가 웹사이트를 이용할 때에는 다양한 웹페이지로 이동하게 됩니다. 이러한 이동시에 적절하게 확인 절차를 거치지 않는 경우에 공격자는 피싱 페이지와 같은 공격을 가할 수 있습니다.


              제외된 부분은 다음과 같이 2가지 입니다.

              • A3 - Malicious File Execution.
              • A6 - Information Leakage and Improper Error Handling.

              현재 발표된 보고서는 RC1으로 내년에 정식 발표되는데, 특정한 내용이 변경될 수 있다는 점을 유의하시기 바랍니다.

              OWASP 2010 RC1 보고서 다운로드

              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus
                최근 몇달동안 제가 글을 쓰는 주요한 의제는 바로 보안 중 웹 보안에 대한 부분입니다. 각종 침해사고부터 방법론까지, 하지만, 글을 써도 그렇게 쉽게 고치거나 하는 등의 대응이 부족합니다.

                오늘 다시 소개하려는 소식 또한 봇넷에 대한 것입니다. 봇넷은 보안이 약한 사용자의 컴퓨터에 은밀한 프로그램을 설치하여 동작하게 하여 나중에 이를 원격에서 조종하는 방법을 수십 아니 수천 대 이상의 컴퓨터를 아울르는 네트워크 체계를 의미합니다.

                이러한 봇넷을 만드는데 가장 효과적인 방법은 보안의 취약한 웹 서버(데이터베이스 서버)를 공격하여 침해 코드를 서버에 넣어 두고, 이를 방문하는 사용자는 자신도 모르게 봇넷의 일원이 되게 하는 SQL 인젝션 공격입니다.

                지난 5월과 6월 경에는 Asprox라는 이름을 가진 봇넷이 구축된 것으로 알려지고 있습니다. 약 천여 대이상의 웹 서버들이 이용당했으며 이를 통해 수십 만개 이상의 웹페이지가 감염된 것으로 알려졌습니다. 하지만, 재미있는 사실은 봇넷이 구축된 이래로 아무런 활동을 벌이지 않고 있다는 점입니다.

                하지만, 며칠 전인 9월 30일에 드디어 Asprox 봇넷이 활동을 시작했다고 합니다. 국내에서는 공격에 대한 피해가 전무해서 그런지 이에 대한 어떠한 자료도 나오지 않은 상태입니다.

                Asprox는 취약한 ASP 웹서버를 공격하여 여기에 코드를 삽입하는 즉, SQL 인젝션 공격을 수행한 아주 전형적인 수법이 사용되었습니다.

                삽입된 코드는 "ads-t.ru" 도메인이며, 실제 스크립트는 "ads-t.r/ads.js"입니다. 실제로 구글에서 해당 도메인으로 검색해 보면 약 1,400 여개의 링크가 검출되는 것을 확인할 수 있습니다.

                국내외적으로 웹 보안의 문제점이 지속적으로 나타나고 있지만, 제대로 된 해결책이 아직까지 나오지 않고 있습니다. 언제쯤이면 이러한 공격이 사라질까요?


                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus


                  Web Analytics Blogs Directory