'보안/주요뉴스'에 해당되는 글 13건
- 2012.09.19 보안전문가 기고(2). 침투시험 가치 극대화하기
- 2012.09.18 보안전문가 기고(1). 시뮬레이션 환경에서 APT 공격결과 분석
- 2012.09.18 트위터, 보안팀 강화 위해 세계적인 해커 영입
- 2012.09.17 게임계정 탈취 악성코드, 가장 많이 유포됐다!
- 2012.09.17 [BYOD]보안 때문에…IBM, 외부 클라우드 이용금지
침투시험 가치 높이는 Tip 5...조직의 보안수준 개선이 최종목적돼야
SANS연구소는 글로벌 보안연구 및 교육기관으로 연구활동과 함께 다양한 교육 프로그램을 마련해 전 세계적으로 활동하고 있다. 이에 본지에서는 최근 사이버 공격에 대한 이해도를 높이고, 글로벌 보안위협 추세와 대응방안을 살펴보기 위해 SANS코리아의 협조로 SANS연구소의 유명 보안전문가들의 기고를 3회에 걸쳐 연재한다. [편집자 주]
연재순서-----------------------------------------
1. 시뮬레이션 환경에서 APT 공격결과 분석 - 롭 리
2. 침투시험 가치 극대화하기 - 브라이스 갤브레이스
3. 가상 환경에서 권한 상승 방법 - 스테판 심스
------------------------------------------------
[보안뉴스=브라이스 갤브레이스 SANS연구소] 많은 사람들이 자동화된 취약점 스캔과 차이가 거의 없는 수준 낮은 침투시험(Penetration Testing)으로 시장에 참여함에 따라 침투시험 사업이 위험에 빠지고 있다.
이에 여기에서는 침투시험 대상 기업 및 기관에 중요한 사업적인 가치를 주기 위해 침투시험 방법 및 결과 보고서를 작성하는 방법에 대해 설명한다. 여러분이 만약에 기업 내에서 침투시험을 하는 사람이라면 침투시험을 통해 사업적인 가치를 제공해 직업 안정성을 높이고 급여도 높일 수 있으며, 외부 제3의 회사를 대상으로 침투시험을 한다면 기업 가치를 제공해 경력개발은 물론 더 높은 가치를 인정받을 수 있다.
필자는 업무와 연관해 또는 해킹사고와 관련해 많은 기업의 침투시험 및 취약점 평가 보고서를 읽어보기도 했으며, 직접 침투시험 팀에서 침투시험을 수행하면서 팀원이 작성한 보고서를 검토하기도 했다. 그리고 항상 침투시험 결과가 좀더 의미 있도록 하기 위해서 고민했으며, 일주일에 2개 정도의 보고서를 읽으며 침투시험 결과가 효과적일 수 있도록 하기 위해 많은 시간을 보내고 있다.
하지만 대부분의 침투시험 전문가가 작성한 보고서 수준이 엉망인 경우가 많다. 일부는 취약점 스캐너 결과를 그대로 사용한 후, ‘침투시험 결과’라고 조금 좋게 수정한 수준이다. 일부 시장에서는 낮은 수준의 침투시험을 요구하기도 하지만, 일부에서는 침투시험에 비용을 지출함으로써 사업적 가치를 높여주기를 원하는 시장도 존재한다. 수준 낮은 침투시험만 시장에 만연해 침투시험의 가치를 낮춘다면, 침투시험 전문가의 수준도 계속 낮아질 것이다. 하지만 일부 기관은 수준 높은 침투시험을 원하고 있다는 것이 사실이다.
수준 높은 침투시험을 위해서 침투시험 실행 표준(PTES)을 이용하여 철저하고, 절차를 정해서 훌륭한 결과를 도출하고 있는 사람도 있다. 여기에서는 침투시험 보고서를 작성하는 방법을 통해 침투시험 결과를 바탕으로 사업적 가치를 최대화할 수 있는 방법을 설명한다. 좋은 보고서는 단순히 침투시험 결과를 기술하는 것이 아니라 가치를 제공할 수 있어야 하며, 그래서 조직의 보안수준을 개선하는 것이 최종 목적이다. 이 목적이 바로 수준 높은 침투시험을 위해 끊임없이 집중해야 하는 점이다.
# Tip 1. 단순히 셸이나 도메인 관리자 권한 획득이 중요한 것이 아니라 사업적 위험을 파악해야 한다.
침투시험 전문가는 컴퓨터의 셸(shell)에 접근을 하면 가슴이 쿵쿵 뛴다. 하지만 시스템을 해킹하는 것이 최종 목표가 아니다. 최종 목표는 발견한 취약점과 관련하여 회사에 미치는 사업적인 위험을 알아내는 것이다. 침투시험 후 보고서를 작성할 때 최종 목표를 항상 염두에 둬야 한다. 기업의 위험을 알아내고, 설명하며, 위험을 낮추는 방법에 대해서 고민해야 한다.
위험을 파악하기 위해서는 침투시험 전문가는 단지 하나의 컴퓨터가 아니라 조직 전체 환경에 대해서 이해하고 있어야 한다. 침투시험 전문가는 어떤 컴퓨터에서 셸을 획득하면 당장 ‘높은 위험’이라고 생각하지만, 실제 해커들의 생각은 다르다. 시스템 1대를 해킹하는 것은 이제 조직 네트워크의 문지방에 들어선 것이고, 해커들은 컴퓨터 그룹과 네트워크 전체를 보고 있다. 즉, 컴퓨터를 해킹한 후 공격목표 환경으로 이동하기 위해 준비를 한다.
목표를 위해 이동할 때 일부 침투시험 전문가는 윈도우 환경에서 도메인 관리자 권한을 함정으로 설정해 놓는다. 그러나 도메인 관리자에 접근하는 것도 단지 사업상의 위험을 설명하기 위한 수단이다. 침투시험 전문가가 셸에 접근하고, 도메인 관리자 권한을 획득했다고 설명하면 의사 결정을 하는 사람들은 이해를 하지 못한다. 침투시험 전문가가 이러한 과정을 통해 수백만 개의 민감한 의료정보 또는 기업비밀 정보에 접근할 수 있다는 의미를 보여줘야 한다.
조슈아 자브라 아브라함은 목표 지향적인 침투시험에 관한 글을 쓴 바 있는데, 거기에서 침투시험은 취약점을 발견하는 그 이상의 목적을 달성하는 데 초점을 맞춰야 한다고 했다. 아브라함은 원격에서 내부 시스템에 접근할 수 있다든지, 도메인 관리자 접근이 가능하다든지, 신용카드 정보에 접근이 가능하다는 목표를 언급했다. 필자도 목표 중심의 시험에 동의하며, 침투시험 전문가는 대상 조직에서 중요한 사업적인 문제(단순히 기술적인 문제가 아니라)에 대해서 내부 직원과 함께 목표를 정의할 것을 추천한다.
먼저 침투시험 범위를 정할 때 시스템 관리 직원에게 가장 중요한 정보와 자산이 무엇이고, 가장 두려워하는 것이 무엇인지 질문해 보아야 한다. 가끔씩 생각을 확장해 사이버 공격자가 실제로 하고자 하는 것이 무엇인지도 고민해 봐야 한다. 즉, 해킹을 당하면 민감한 데이터 해킹 등의 경제적 손실, 법률 위반, 고객 및 사업파트너에 의한 소송 가능성, 브랜드 및 평판 침해 및 생명 등의 물리적인 위협 등에 대해서 솔직하게 토론을 해보는 것이 좋다.
예를 들어 필자는 침투시험을 위해 한 제조회사와 토론했을 때, 해커들이 컴퓨터 인프라를 해킹했을 때 가장 큰 문제가 무엇인지에 대해서 토론하고 있었다. 회사 직원들은 웹사이트를 변조하는 것이라고 했다. 그래서 필자는 공격자는 내부 망에 접속하여 영업 자료나 사업 계획을 훔쳐가거나, 제조 장비를 해킹한 후 통제해 기계가 오동작하거나 멈추는 것이 가장 큰 문제가 아닌지 물었다. 그 때 직원들이 “그것이 가능한가요?” 라고 물었다. 그래서 “그것이 가능한지를 확인하기 위해 침투시험을 계획을 수립하자”고 말했다. 이것이 사업 중심적인 목표를 설정하는 것이다.
그림 1. 침투시험 전문가 C가 셸 획득, 도메인 관리자 권한 획득보다 사업 중심적인 목표를 설정
그림 1에서는 3가지 침투시험 방법을 보여주고 있다, 첫 번째 침투시험 전문가 A(녹색 화살표)가 윈도우 7이 설치되어 있는 시스템의 클라이언트 취약점을 공격해 컴퓨터의 셸에 접근한다. 그리고 심각한 취약점이 발견됐다고 보고하고 끝낸다.
2번째 침투시험 전문가 B(파란색 화살표)는 첫 번째 시험보다 좀더 깊이 들어간다. 첫 번째 취약점을 공격한 후 측면으로 이동해 해쉬 값을 덤프 받고, 패스-더-해쉬(Pass-the-hash) 공격을 수행하고, 도메인 관리자가 관리하는 컴퓨터에 접근한다. 이 시험에서 도메인 관리자 토큰을 확보하고, 보고서에 결과를 기술한다. 그리고 도메인 관리자 컴퓨터를 해킹했다고 주장한다. B는 A가 찾은 취약점과 관련된 일부 위험을 시험한 것이다.
세 번째 침투시험 전문가 C(빨간색)는 도메인 관리자 권한을 획득한 후 계속해서 이동한다. 그래서 굉장히 민감한 기업 비밀이 들어있는 컴퓨터에 접근한다. 세 번째 침투시험 전문가는 목표 환경에서 여러 가지 취약점으로 인해 발생할 수 있는 조직의 위험을 가장 잘 표현할 수 있다. 그래서 취약점을 조치할 수 있도록 경영진에게 가장 잘 설명할 수 있다.
A와 B보다 C가 침투시험을 더 잘한 것뿐만 아니라 민감한 기업비밀에 접근함으로써 사업적인 위험이 있다는 것을 보여주었다.
# Tip 2. 보고서를 읽는 사람이 누구인지 기억하라.
실력 있는 침투시험 전문가는 종종 다른 침투시험 전문가들에게 보여주기 위해 보고서를 작성하는 경우가 많다. 필자도 종종 이러한 유혹에 빠진다. 우리가 작성하는 보고서는 다른 침투시험 전문가에게 보여주기 위해서 작성하는 것이 아니다. 자랑하고 싶은 마음은 이해가 되지만, 피하는 것이 좋다. 우리가 작성하는 보고서는 이 보고서를 읽는 사람에게 가치를 제공해 주어야 한다.
보고서의 요약본을 읽는 사람은 바로 기업에서 의사결정을 하는 사람들이다. 의사결정을 하는 사람들이 자원을 할당하고, 발견된 문제점을 해결한다. 보고서 나머지 부분은 기업의 보안전문가 및 운영팀에게 최고의 가치를 제공할 수 있도록 작성되어야 한다. 그곳에 당신의 의견과 권고사항을 포함시켜 보안 인력 및 시스템 관리자가 취약점을 패치할 수 있도록 하는 것이 좋다.
# Tip 3. 권고사항에 ‘해결방법’을 제공하라.
취약점을 수정하도록 하는 권고사항에 모호한 수준으로 권고사항을 기술하는 것은 좋지 않다. 대신에 권고사항을 구현할 수 있도록 실제단계별 패치 방법을 기술해야 한다. 바로 따라할 수 있는 명령어 또는 GUI 스크린샷을 예로 포함하는 것이 좋다.
그림 2와 같이 침투시험 전문가가 발견한 취약점 예제를 생각해 보자. 조직에서 NTLMv1을 사용하는 윈도우에서 오래되고 취약한 인증기능을 사용하고 있다고 가정해 보자. 취약점 스캐너 결과를 단순히 복사해서 붙이는 것은 발견사항의 가치를 낮추는 것이다. 그럼 어떻게 해야 하나?
단순히 NTLMv1을 NTLMv2로 바꾸라고 하는 것보다 발견한 취약점을 좀더 가치가 있도록 설명하기 위해서 서버에 ‘HKEY_LOCAL_MACHINE\SYSTEM\Current
ControlSet\Control\LSA\LMCompatibilityLevel’의 레지스티리 키 값을 5로 설정하도록 말하는 것이다. 이렇게 권고하면 단순히 NTLMv2로 바꾸라고 하는 것보다 확실히 효과가 있다. 하지만 여전히 직원이 실제 처리하는 방법과 대해서는 의문이 남는다. 좀더 가치 있게 하려면 발견된 취약점으로 영향 받는 서버에 다음과 같이 명령어를 실행하도록 알려주는 것이다.
C:\> reg add hklm\system\currentcontrolset\control \lsa /v lmcompatibilitylevel /t REG_DWORD /d 0x5
그림 2. 수준 높은 권고사항을 기술하는 방법
이보다 좀더 가치 있게 하기 위해서는 그룹정책을 사용해서 발견된 취약점을 구현하는 상세한 방법을 포함하고, 전체 윈도우 환경에 적용하는 것이다. 즉, 항상 발견한 취약점을 수정할 수 있도록 하고, 수정하는 방법에 대해서 답을 줄 수 있어야 한다. 그런데 너무 상세한 방법을 제공하면 직원들이 검증 없이 그대로 따라할 위험이 있다. 잘못 적용하면 시스템이 망가질 수 있다. 그래서 각각 발견된 취약점에 다음과 같은 문구를 포함하는 것이 좋다.
“위의 변경은 대부분의 환경에서 적용한 사례이지만, 특정 환경에서 알려지지 않은 결과가 발생할 수 있습니다. 그렇기 때문에 권고한 변경은 사전에 시험환경에서 먼저 평가가 된 후 적절한 공식적인 변경 통제 프로세스를 통해 실행되어야 합니다. 사전에 시험되지 않고 바꾸는 경우, 실제 환경의 시스템에 문제가 발생할 수 있습니다.”
# Tip 4. 권고사항에 ‘치료 후 확인방법’을 제공하라.
이제 침투시험 결과를 차별화하고 가치를 높일 수 있는 가장 중요한 방법에 대해서 설명할 것이다. 권고사항에 취약점을 치료할 수 있는 ‘how-to’만 포함하지 말고, 치료가 적용됐는지 조직에서 확인하는 방법도 포함하는 것이다.
이렇게 하면 취약점이 패치됐다는 확신을 가질 수 있다. ‘how-to-check’를 설명하는 것은 좀 장황할 수 있지만, 치료를 확인하기 위해 1~2개의 명령어, GUI 스크릿샷 또는 도구 구성방법을 제공할 수 있다. 침투시험 전문가가 실력 있는 보안전문가 또는 많이 알고 있는 시스템 관리자가 수행할 수 있을 정도의 권고사항을 기술해야 한다. 우리가 작성한 권고조치를 다른 침투시험 전문가가 수행할 수 있도록 작성하면 안 된다.
확인하는 과정을 포함하는 것이 어렵지 않다. 앞서 언급한 NTLMv2 권고사항에 대해서 침투시험 전문가 다음과 같은 권고사항을 추가하면 된다.
“다음과 같은 명령어를 실행하여 세팅 값을 확인할 수 있음”
C:\> reg query hklm\system\currentcontrolset \control\lsa /v lmcompatibilitylevel
실행하면 출력값이 5가 나오는 것을 확인하면 되며, 이 말은 NTLMv2를 사용하도록 시스템이 구성됐다는 것을 의미한다.
다양한 패치를 구성하거나 적용하기 위해서 ‘wmic qfe’ 및 ‘wmic product’와 같은 윈도 명령어가 유용하다. 리눅스에서는 cat, rpm, --version 옵션으로 프로그램을 확인할 수 있다.
복잡한 권고사항일 경우 침투시험 전문가가 아닌 사람에게 치료를 확인하도록 하는 것은 쉬운 일이 아니다. 예를 들어 크로스 사이트 스크립팅(XSS)를 방어하기 위해 제대로 구현이 됐는지 시험하는 절차를 만드는 것은 어려운 일이다. 새로 만들어진 필터를 시험하기 위해 단순히 특정 시험용 XSS 문자열을 입력해 본다면, 필터는 시험용 문자열만을 제거할 가능성이 있어 조직에서는 보안수준을 잘못 이해할 수 있다.
왜냐하면 다른 XSS 문자열은 여전히 동작하여 위험이 존재할 수 있기 때문이다. 그래서 XSS에 대해서는 단순히 몇개 시험용 문자열을 시험하는 것보다 조직에서 특정 무료 XSS 스캐닝 도구를 실행해 위험한 문자열을 필터링하는지 시험하는 것이 좋다.
필자가 처음으로 시험 보고서에 취약점 치료 확인을 위한 권고사항을 추가하자, 일부 침투 시험 회사에서 항의했다. 이렇게 하면 보고서 양과 비용이 증가한다는 것이었다. 하지만 이러한 정보를 추가하는 것은 권고사항별로 몇 분이 더 소요되며, 템플릿화 할 수 있다. 이 말은 보고서는 약 10% 더 증가하지만 목표 시스템에 대한 가치는 훨씬 더 증가한다는 얘기다.
# Tip 5. 공격 영향 및 가능성을 기준으로 발견사항의 우선순위를 정하라.
침투시험 보고서 대부분은 각각의 발견사항에 대해서 높음/중간/낮음(HML 방식)으로 우선순위를 정한다. 이 방법은 의사결정하는 사람 또는 기술 인력들에게 어떤 취약점이 더 위험하기 때문에 가장 먼저 치료해야 하는지에 대한 좋은 정보가 될 수 있다.
하지만 많은 조직에서 위험이 높은 카테고리에 우선순위를 정할 때 필요한 단계별 수준을 보여주지 못한다. 그래서 공격 영향 및 공격 가능성을 이용해서 위험을 분류할 것을 추천한다. 이 방법은 위험요소를 좀더 정확하게 이해하고, 영향이 크고 공격을 받을 가능성이 큰 취약점에 좀더 많은 노력을 집중할 수 있다.
물론 FIRST에서 개발한 공통취약점점수화시스템(CVSS)과 같이 발견된 취약점에 위험수준을 할당하는 훨씬 더 복잡한 방법들이 있다. CVSS는 취약점을 상세하게 분석할 때는 최고지만, 일반적인 침투시험에 적용하는데 비용이 많이 든다. 필자는 여기서 영향과 가능성을 이용해서 HML과 CVSS 중간정도로 취약점을 분류했다.
취약점 보고서 가운데 요약 보고서에 조직의 상대적 중요성에 따른 보안문제를 그래픽을 통해 요약하면 유용하다. HML 발견사항에 대해서는 대부분의 침투시험 전문가는 단순히 높음/중간/낮음 취약점을 보여주는 막대 형태의 차트를 복사한다. 그러나 이는 그림 3에서 보는 것과 같이 정보를 충분하게 전달하지 못한다.
그림 3. 전통적인 HML 모델을 사용한 막대모양 차트
단순히 막대모양 차트를 넘어서 우리 팀은 그림 4와 같이 다차원 그래프를 사용해서 영향 및 공격 성공가능성에 기초해 발견된 취약점을 그래픽 형태로 요약했다. 여기서 X축에는 공격성공 가능성을 넣고, Y축에서는 영향을 표시했다. 그리고 1~5까지 점수화했다.
각 취약점에 대해서 서로 만나는 값의 숫자의 크기를 원으로 표시했다. 원이 큰 것은 침투시험에서 발견사항이 많다는 것을 의미한다. 이 결과 여러 고객들로부터 이런 차트가 좀 더 의미 있는 결과를 보여준다는 피드백을 받았다. 의사결정권자들도 이러한 그래프를 통해 좀 더 빨리 결과를 이해하고, 치료를 위해 자원을 할당할 수 있다고 밝혔다.
그림 4. 영향과 공격 성공가능성 매트릭스
단순하고 반복적인 침투시험의 악순환 끊어야
여기서 설명한 치료법은 여러분들이 기술적으로 완벽하게 수행할 수 있다는 가정 하에 설명했다. 하지만 계속해서 노력할 필요가 있다. 그리고 좀 더 깔끔한 결과를 얻기 위해서 여기서 제시한 방법을 이용하면 작업결과에 대한 사업적인 가치를 극대화 할 수 있다.
우리는 침투시험 전문가에게 좀 더 가치 있는 것을 제공하기 위해 다양한 방법에 대해서 설명했다. 모든 독자들이 여기에서 제시한 방법을 따라 하기를 기대하지 않는다. 하지만 적어도 1~2개는 시도해 보아서 자신이 한 작업에 대한 사업적인 가치를 높이기를 바란다. 보안산업에서 침투시험을 가치 있게 만드는 것은 단순하고 반복적인 침투시험의 악순환을 끊는 일이다.
필자는---------------------------------------------------------
브라이스 갤브레이스(Bryce Galbraith), SANS 공인강사
브라이스는 전 세계 ISP 및 포춘 500대 기업에서 보안업무를 수행한 바 있다. 특히, 파운스톤의 유명한 침투시험 팀원이었으며, 파운스톤의 첨단 해킹 실전코스 시리즈의 선임강사 및 코스 개발자였다. 브라이스는 윤리적 해킹 및 대응방안에 대해서 전 세계 유명회사, 금융회사 및 정부기관 수천여 명의 IT 전문가를 대상으로 강의했다.
브라이스는 올해 ‘SANS Korea 2012(www.itlkorea.kr/sans/sanskorea2012.php)’에서 SEC 560 네트워크 침투시험 및 윤리적 해킹(www.itlkorea.kr/sans/sec560.php, 11월 5~10일), 그리고 SEC 580 기업 침투시험을 위한 메타스플로잇 쿵푸 과정(www.itlkorea.kr/sans/sec580.php, 11월 12~13일)을 강의할 예정이다.
-------------------------------------------------------------
'보안 > 주요뉴스' 카테고리의 다른 글
보안위협에 대한 정량적·정성적 위험평가 방법 (0) | 2012.10.08 |
---|---|
의무화된 망분리 시 고려해야 할 사항은? (0) | 2012.09.27 |
보안전문가 기고(1). 시뮬레이션 환경에서 APT 공격결과 분석 (0) | 2012.09.18 |
트위터, 보안팀 강화 위해 세계적인 해커 영입 (0) | 2012.09.18 |
게임계정 탈취 악성코드, 가장 많이 유포됐다! (0) | 2012.09.17 |
SANS연구소는 글로벌 보안연구 및 교육기관으로 연구활동과 함께 다양한 교육 프로그램을 마련해 전 세계적으로 활동하고 있다. 이에 본지에서는 최근 사이버 공격에 대한 이해도를 높이고, 글로벌 보안위협 추세와 대응방안을 살펴보기 위해 SANS코리아의 협조로 SANS연구소의 유명 보안전문가들의 기고를 3회에 걸쳐 연재한다. [편집자 주]
연재순서-----------------------------------------
1. 시뮬레이션 환경에서 APT 공격결과 분석 - 롭 리
2. 침투 시험 가치 극대화하기 - 브라이스 갤브레이스
3. 가상 환경에서 권한 상승 방법 - 스테판 심스
------------------------------------------------
[보안뉴스=롭 리 SANS 연구소] 디지털 포렌식 사고 대응(DFIR) 분야 커뮤니티에서 가장 큰 불만사항 중 하나가 바로 교육으로 사용할 실제 데이터가 없다는 점이다. 1년 전에 필자는 SANS의 중견 강사 전체가 참가해 경험에 바탕한 실제 시나리오를 만들고, 나머지 전문가들은 공격 스크립트를 검토하고 자문하는 것으로 계획을 세웠다.
이 결과 대부분의 기업에서 운영하는 환경과 같은 윈도우 시스템을 기반으로 하는 실제 공격 시나리오를 만들 수 있었다. 이 공격 시나리오는 현재 ‘SANS FOR508 : 고급 포렌식 및 사고 대응과정’(www.itlkorea.kr/sans/for508.php)에서 사용되고 있다.
이를 활용하여 FOR 508 과정 참가자들이 실제 파일 시스템과 메모리 이미지를 이용하여 지능형 지속위협(APT) 기반의 활동을 탐지·식별 및 포렌식 조사를 분석할 수 있도록 하는 것이다. 즉, 수강 학생들에게 분석을 위해 ‘실제 세계’의 데이터를 보여줄 수 있도록 하는 것이다. 공격 데이터를 생성하여 SANS 과정에서 실제 공격에서처럼 지능적인 공격 활동을 조사할 수 있게 된다.
실제 공격팀을 구성해 실제 APT와 유사한 적들의 행동을 모방하도록 했다. APT 전술을 먼저 본 후에, 우리는 실제 기관의 네트워크를 모방한 실제 환경을 만들도록 훈련계획을 세웠다. 그 결과 침투 시험과 APT 공격 시험에 있어 다른 점을 발견했다.
약 1주일 이상, 먼저 공격 팀을 관찰한 후 굉장히 가치 있는 교훈을 얻었다. 이와 관련한 첫 번째 질문은 ‘안티바이러스가 정말 소용이 없는가?’이다.
안티바이러스가 정말 소용없는가?
수 년 동안 안티바이러스가 우회가능하다는 것을 알고 있었다. 일련의 APT 사건을 포함하여 수년간 많은 보안사고에서, 사고대응팀은 안티바이러스는 침해 징후를 탐지한다는 것을 알았다. 그러나 종종 무시되기도 했다.
훈련을 하는 과정에서 적어도 필자는 일부 특징을 탐지할 것으로 기대했다. 하지만 일주일에 동일한 APT 기술을 사용하여 네트워크를 조사한 결과, 안티바이러스가 지능적이고, 능력 있는 적을 방어하는 데는 한계가 있다는 것을 알았다. 필자는 안티바이러스를 이용하지 말라고 추천하지는 않는다. 하지만 지능적인 적을 찾아내고 방어하기 위해서는 단순히 안티바이러스에 의존하는 것 그 이상을 해야 한다는 점이다.
기업에서 사용하는 안티바이러스나 디지털 포렌식 사고대응(HIDS)이 실제로 훌륭한 기능을 해 줄 것이라고 기대했으나, 안티바이러스는 쉽게 우회가 되었다. 우리는 낮은 수준의 공격은 쉽게 차단할 수 있는 것을 확실하지만, 호스트 기반의 안티바이러스를 신경 쓰지 않고 우리가 원하는 모든 것을 할 수 있었다.
시험에 사용된 안티바이러스 프로그램
사용된 제품은 맥아피 Endpoint Protection Suite에 있는 안티바이러스, 안티 스파이웨어, 안전한 서핑, 안티 스팸, 장치 제어, 온사이트 관리, HIPS로 필자는 별도로 자체 컴퓨터로 된 호스트 IPS를 구매했으며, 맥아피 EPO에 구축하여 네트워크에 배치했다(참고사이트 : http://shop.mcafee.com/Catalog.aspx).
윈도우 기반의 기업 네트워크 환경
네트워크는 표준 컴플라이언스 체크리스트를 이용해서 기업 네트워크 보호망을 모방해 구축했다. 우리는 APT 사고 이후에 설치되는 추가적인 보안조치를 포함하지 않았다. 그러나 우리는 방화벽, 안티바이러스, 호스트 기반 IDS 및 자동 패치 시스템 등을 충분히 구축했다. 그리고 사용자에 제약을 많이 두었으며, 대신 약한 관리자 패스워드 정책 및 로컬 관리자 계정을 동일하게 하는 등 약간의 오류도 같이 설정했다.
시험 환경
사용된 악성코드(비공개 프로그램)
·C&C 프로그램 : XMLRPC 트래픽에 인코딩되어 80번 포트로 통신. 이 악성코드는 Microsoft Security Essentials에서는 탐지가 되나, 맥아피 제품에서는 탐지가 안 되었음.
·C&C 채널 : 맟춤식 미터프리터를 지원하는 실행파일. 80번 포트로 연결. 지속성은 없으며 인터벌 세팅도 없음.
사용된 악성코드(공개 프로그램)
회피 기법은 간단하다. 파이선(Python)이나 PERL, Ruby 등의 스크립트로 프로그램을 설계해서 다시 실행 프로그램으로 만드는 것이다.
·Poison Ivy(www.microsoft.com/en-us/download/details.aspx?id=27871)- 탐지를 못하고, 정상적으로 동작함
·Psexec(http://technet.microsoft.com/en-us/sysinternals/bb897553)- 악성코드 아님
·Radmin(http://www.radmin.co.kr/)- 인코딩이 필요 없음. 백도어로 사용
·mimikatz(http://pauldotcom.com/2012/02/dumping-cleartext-credentials.html)- 인코딩 필요 없음
APT 공격 단계
이번 훈련은 네트워크, 호스트 시스템, 메모리, 하이버네이션/페이지 파일 등에서 탐지가 가능한 실제 적의 흔적을 보기 위한 것이었다. 이 악성코드 FOR601(악성코드 분석)과정에서 사용되고, 네트워크 트래픽은 FOR558(네트워크 포렌직) 과정에서 사용될 예정이다.
·1단계 : 스피어 피싱 공격(자바 애플릿 공격) 및 C&C 프로그램 설치
·2단계 : 다른 시스템으로 측면 이동, 악성 유틸리티 프로그램 다운로드. 추가 프로그램 설치 및 도메인 admin 인증데이터 획득
·3단계 : 지적 재산 정보 검색, 네트워크 분석, 이메일 덤프, 해쉬값 덤프
·4단계 : 데이터 수집 후 경유 시스템으로 데이터 복사. 복잡한 패스워드로 데이터 rar 파일로 압축
·5단계 : 경유 서버에 rar 파일을 탈취하고 경우 서버의 데이터 삭제
마지막으로, 우리는 전체 디스크 이미지외에 각각의 컴퓨터에 있는 진짜 메모리, 네트워크 트래픽, 악성코드 샘플을 캡처했다.
사고대응/포렌식 결과
컴퓨터에서 발견한 일부 포렌식 분석결과는 다음과 같다.
스피어 피싱 공격 수퍼 타임라인
메모리 분석 결과(분석 없이 레드라인 화면) : 추가적인 분석을 위해서 볼라틸리티(Volatility) 사용할 계획
우리는 자체 제작한 악성코드와 Poison Ivy, 메타스플로잇 등 잘 알려진 악성프로그램도 사용했다. 안티바이러스는 우회하기 위해 간단한 우회기술을 적용했다. 그 결과 안티바이러스는 탐지를 하지 못했다. 하지만 조치를 취하지 않은 메타스플로잇 페이로드는 탐지했고, 제거할 수 있었다. 우리는 맥아피 직원들이 설명한 설치 및 설정을 따랐다.
필자는 공격팀에 침투시험 과정에서 배운 공격 방법을 사용할 것을 요청했으며, 공격팀은 고급 공격 기법을 사용하지도 않았다. 공격하는 동안 실수도 했지만, 아무것도 탐지하지 못했으며, 차단도 되지 않았다. 이 연습이 실제 상황이라면 남들이 찾기 전에 아마 수개월, 수년 동안 네트워크에 활동할 수 있었다.
필자는---------------------------------------------------------
롭 리(Rob Lee)
롭 리는 SANS 연구소에서 디지털 포렌직 및 사고 대응에 대한 커리큘럼 리더이자 개발자로 컴퓨터 포렌식, 취약점 및 공격 탐지, 침입 탐지/예방 및 사고대응 분야에 15년 이상의 경험을 가지고 있다. 롭 리는 SANS Korea 2012에서 11월 5~10일에 포렌직 508(고급 컴퓨터 포렌직 분석 및 사고 대응) 과정을 강의할 예정이다.
----------------------------------------------------------------
'보안 > 주요뉴스' 카테고리의 다른 글
의무화된 망분리 시 고려해야 할 사항은? (0) | 2012.09.27 |
---|---|
보안전문가 기고(2). 침투시험 가치 극대화하기 (0) | 2012.09.19 |
트위터, 보안팀 강화 위해 세계적인 해커 영입 (0) | 2012.09.18 |
게임계정 탈취 악성코드, 가장 많이 유포됐다! (0) | 2012.09.17 |
[BYOD]보안 때문에…IBM, 외부 클라우드 이용금지 (0) | 2012.09.17 |
애플 기기 해킹으로 유명한 찰리 밀러 고용
[보안뉴스 호애진] 트위터가 자체 보안팀 강화를 위해 세계적인 해커 찰리 밀러를 영입했다.
▲ 출처: 포브스(Forbes)
미국 경제전문지 포브스(Forbes)는 16일(현지시각) 트위터가 애플기기 해킹으로 유명한 찰리 밀러를 고용했다고 밝혔다. 찰리 밀러는 최근까지 미국 국가보안국(NSA)에서 보안전문가들을 훈련시켜 왔다.
그는 트위터를 통해 “17일부터 트위터 보안팀과 일할 예정”이라면서 “트위터에서 멋진 팀과 일하는 것이 기대된다”고 전했다.
그러나 그가 트위터에서 어떤 일을 하는지, 직책 등에 대해서는 알려지지 않았다. 다만, 업계에선 지난해 말부터 트위터가 자체 보안 취약점을 점검하고 개선하는 일과 관련해 밀러를 정식 직원으로 채용하기 위해 공을 들여왔다는 소문이 돌았다.
밀러는 2007년 처음으로 애플의 아이폰을 해킹해 유명해졌으며, 이듬해인 2008년 3월에는 해킹대회 Pwn2Own에서 애플의 맥북 에어를 2분만에 해킹한 바 있다.
2009년에는 문자메시지를 이용해 아이폰을 해킹하는 시연을 해보이는 등 각종 애플 기기들의 보안 결점을 드러내 보이며, 세계적인 해커로서 명성을 쌓아왔다.
[호애진 기자(boan5@boannews.com)]
'보안 > 주요뉴스' 카테고리의 다른 글
의무화된 망분리 시 고려해야 할 사항은? (0) | 2012.09.27 |
---|---|
보안전문가 기고(2). 침투시험 가치 극대화하기 (0) | 2012.09.19 |
보안전문가 기고(1). 시뮬레이션 환경에서 APT 공격결과 분석 (0) | 2012.09.18 |
게임계정 탈취 악성코드, 가장 많이 유포됐다! (0) | 2012.09.17 |
[BYOD]보안 때문에…IBM, 외부 클라우드 이용금지 (0) | 2012.09.17 |
8월 악성코드 피해건수 7월보다 10.1% 감소...온라인게임핵 21.9%
최근 C&C 서버 통해 원격조종 가능한 안드로이드 악성 앱 발견 주의!
[보안뉴스 권 준] 지난 8월의 악성코드 피해신고 건수는 총 1,472건으로 7월의 1,638건과 비교해 10.1% 감소한 것으로 나타났다. 주요 악성코드로는 게임계정 탈취목적의 온라인게임핵(OnlineGameHack)이 21.9%로 가장 높은 비율을 나타낸 것으로 집계됐다.
이러한 집계결과는 KISA 인터넷침해대응센터가 발표한 8월 인터넷 침해사고 동향에 따른 것으로, 8월의 해킹사고 접수처리 건수는 총 2,173건으로 7월(1,937건) 대비 12.2% 증가한 것으로 나타났다.
유형별로는 스팸릴레이, 홈페이지 변조, 피싱경유지 등은 감소한 반면, 단순침입시도 유형이 전월대비 155.8% 증가하면서 전체건수 증가로 이어진 것으로 조사됐다.
또한, KISA 인터넷침해대응센터에서 지난 8월 한달 동안 탐지 조치한 악성코드 은닉사이트는 총 1,495건으로, 7월 721건과 비교해 107.4% 증가했다. 악성코드가 은닉된 홈페이지를 기관 유형별로 분류해 보면 기업이 755건(50.5%)으로 가장 많았고, 웹서버 유형별로는 MS IIS가 522건(34.9%)으로 가장 높은 비중을 차지한 것으로 집계됐다.
이와 함께 KISA 허니넷으로 유입된 8월의 전체 악성코드 샘플은 7월 대비 11.8% 증가했고, 악성코드별로는 Starman(71.3%) 계열이 가장 많이 수집된 것으로 집계됐다. 신규 수집된 악성코드의 유포국가별로는 미국(27.9%)이 가장 큰 비중을 차지했고, 대만(6.0%), 중국(5.9%), 브라질(2.9%) 등의 순으로 나타났다.
허니넷에 유입된 8월 한 달 동안의 전체 유해 트래픽은 약 465만 건으로 7월(851만건)에 비해 45.3% 감소했고, 해외 IP로부터 유발된 트래픽이 86.2%로 대부분을 차지했는데, 그 가운데서도 중국(59.6%)에서 유발된 TCP/1433 포트스캔이 가장 높은 비중을 차지했다.
국내의 경우 ISP 일부구간에서 수집된 포트별 트래픽 양은 7월에 비해 감소했고, TCP/80을 제외하면 TCP/10005, TCP/443, TCP/5003, TCP/8080 포트 등에서 상대적으로 많은 트래픽이 발생한 것으로 나타났다.
국내 ISP 일부구간에서 수집된 공격유형별 트래픽을 살펴보면, 디도스 공격시 유발되는 트래픽 형태인 TCP ACK Flooding, Open Tear, UDP TearDrop 등이 상대적으로 많았던 것으로 집계됐다.
한편, 8월의 주요 보안이슈와 관련해 KISA 인터넷침해대응센터 측은 “특히, 지난 8월에는 일반 PC에서도 많이 사용되고 있는 Oracle Java에서 제로데이 취약점이 발견됐고, 웹사이트를 통한 악성코드 유포에 악용되는 사례가 급증하고 있어 인터넷 이용자들의 주의와 적극적인 보안조치가 요구된다”고 밝혔다.
이에 따라 설치된 제품의 최신 업데이트 버전을 다운로드 받아 설치하거나, Java 자동업데이트를 설정해 적용할 것을 권고했다.
이와 함께 올해 들어 안드로이드 모바일 기기를 대상으로 한 악성코드가 크게 증가하고 있는 가운데, 최근 명령제어 서버(C&C)를 통해 원격에서 조종할 수 있는 악성 앱이 발견되어 더욱 주의가 요구된다는 것.
이와 관련 KISA 측은 “제조사 및 이통사의 앱 스토어를 통해 앱을 설치하고, KISA가 개발·보급한 스마트폰 보안 자가점검 앱 ‘S.S Checker’ 등 모바일 백신 및 보안 앱 등을 통해 스마트폰의 비밀번호(패턴) 설정 및 백신설치 여부, 설치프로그램의 악성코드 감염여부 등을 점검할 것”을 당부했다.
[권 준 기자(editor@boannews.com)]
'보안 > 주요뉴스' 카테고리의 다른 글
의무화된 망분리 시 고려해야 할 사항은? (0) | 2012.09.27 |
---|---|
보안전문가 기고(2). 침투시험 가치 극대화하기 (0) | 2012.09.19 |
보안전문가 기고(1). 시뮬레이션 환경에서 APT 공격결과 분석 (0) | 2012.09.18 |
트위터, 보안팀 강화 위해 세계적인 해커 영입 (0) | 2012.09.18 |
[BYOD]보안 때문에…IBM, 외부 클라우드 이용금지 (0) | 2012.09.17 |
클라우드 컴퓨팅을 외치는 기업에서 막상 클라우드 서비스를 이용하지 말라고 기업 내부 보안 지침을 마련했다면 믿겨지겠는가. IBM이 그런 행보를 보이고 있다. 말로는 ‘BYOD 프로그램’을 도입해 사내 직원들이 자신의 기기로 근무할 수 있는 환경을 적극 장려해놓고는 막상 직원들에겐 IBM만의 클라우드 스토리지 서비스와 웹메일 서비스를 쓸 것을 강요하고 있다.
자네트 호란 IBM 최고정보책임자가 최근 공개한 사내 보안 정책에 따르면, IBM은 사내 직원들이 드롭박스나 애플 아이클라우드 같은 경쟁 클라우드 스토리지 서비스를 사용하지 못하게 해당 서비스들의 내부 인트라넷 접속을 차단했다. 더레지스터는 “최근에는 여기에 더해 아이폰4S의 ‘시리’ 기능도 IBM 사내에서 사용할 수 없게 조치를 취한 것으로 알려지고 있다”라고 전했다.
첨단 정보기술과 서비스를 고객에게 선보이는 IBM이 사내에서는 발전하는 기술에 적응하지 못하고 후퇴하는 듯한 모양새를 연출한 것이다. IBM이 왜 이런 조치를 취했는지 배경은 충분히 짐작 간다.
더버지에 따르면, 최근 IBM이 내부 직원들을 대상으로 실시한 설문조사에서 상당수 직원들이 개인 웹메일 계정을 통해 사내에서 외부로 e메일을 보내는 것으로 나타났다. 문제가 된 건 그 다음이다. 이들 직원들이 자신들의 행위가 회사 내 보안 위협이 되지 않는다고 판단했다. IBM으로서는 직원들이 업무용으로 지급받은 기기 외 자신의 기기로 근무하는 일이 많아지면서 사내 기밀이 스마트폰과 태블릿 같은 스마트 기기로 유출될 가능성이 높아진 셈이다.
호란 최고정보책임자는 “IBM 내 40만명 직원 중 4만명은 회사에서 지급한 블랙베리를 사용하고 있지만, 다른 8만명은 다른 장비를 구입해 일하고 있다”라며 “자신의 기기를 통해 사내 인트라넷에 접속을 요구하는 직원들이 점차 늘어나고 있어 이에 대비한 조치가 필요한 상황”이라고 설명했다. BYOD 근무 환경을 맞아 IBM에 내부에서도 과거와는 다른 변화된 보안정책이 필요해진 것이다.
결국 IBM은 보안 앞에 BYOD 정책을 한수 접었다. 사내 기밀 유출 방지가 클라우드 서비스 도입보다 더 시급하다고 판단했다. 이를 위해 IBM은 경쟁사 클라우드 스토리지보다 IBM 자사 클라우드 스토리지 서비스인 ‘마일 모바일 허브’를 사용하도록 인트라넷 환경을 바꿨다. 사내 네트워크에 접속하려면 직원 기기 인증 과정을 거쳐야만 접속할 수 있게 만들었다. 이 때 인증 받은 기기들은 원격으로 제어해 정보 유출 가능성을 막았다.
IBM은 사내 직원들이 애플의 음성 제어 검색엔진을 사용하면서 직원들 몰래 기밀이 유출될 수 있다고 내다봤다. 시리를 쓰면서 작동하는 음성 쿼리가 사내 인트라넷에 접속해 텍스트로 저장된 정보를 음성으로 변환해 애플 서버에 저장할 수 있다는 생각에서다. 사내 직원들이 아이폰을 사용하면서 ‘시리’를 쓸 수 없는 건 이 때문이다.
“아주 보수적인 사내 보안 정책으로 비치겠지요. 하지만 어쩔 수 없습니다. 사업을 지키기 위해서는 이런 보안 정책을 유지해야 한다고 봅니다.” 호란 최고정보경영자는 ‘보수적인 보안 정책’이라는 점을 인정하면서도 ‘어쩔 수 없는 선택’이었음을 이해해 달라고 부탁했다.
호란 최고정보책임자는 지난 3월 BYOD는 단순한 모바일 기기를 활용해서 근무하는 게 아닌, 직원들이 원하는 형태로 근무를 지원하는 새로운 근무 환경이라며 효과적인 근무를 위해 어떤 기기와 솔루션이 가장 적합하게 작용할지를 판단하는게 CIO의 핵심 임무라고 말한 바 있다. 아마 IBM의 CIO는 보안을 유지하는 게 직원들이 효과적으로 근무할 수 있는 환경이라고 판단한 듯 하다.
'보안 > 주요뉴스' 카테고리의 다른 글
의무화된 망분리 시 고려해야 할 사항은? (0) | 2012.09.27 |
---|---|
보안전문가 기고(2). 침투시험 가치 극대화하기 (0) | 2012.09.19 |
보안전문가 기고(1). 시뮬레이션 환경에서 APT 공격결과 분석 (0) | 2012.09.18 |
트위터, 보안팀 강화 위해 세계적인 해커 영입 (0) | 2012.09.18 |
게임계정 탈취 악성코드, 가장 많이 유포됐다! (0) | 2012.09.17 |