현재 문제가 되고 있는 어뷰징은 어디에서부터 시작되는 것일까?
어뷰징은 비정상 행위라는 관점에서 볼 수 있다. 9월에 트위터에서 발견된 xss취약성을 통해 몇십만에 달하는 피해자가 발생 할 수 있었던 것도 서비스 구조를 이용한 어뷰징이라 할 수 있다. 단순하게 사용자 계정을 활용한 정보탈취와 오용과도 연결되어 있다.
사용자 계정정보가 유출됐고 또 서비스의 구조적인 문제와 결합될 때 문제는 확산되고 커진다. 단순한 서비스 취약성을 이용하였을 뿐임에도 불구하고 수십만에 달하는 사용자를 대상으로 짧은 시간에 확산된 공격은 피해의 심각성을 나타내 주고 있다.
어뷰징은 구조적인 문제와 개인정보 유출로 인한 것으로 분류할 수 있는데, 구조적 문제는 서비스 특성을 이용한 유형이며 후자는 유출된 계정정보를 활용해 서비스에 혼선을 주는 것을 의미한다. 현재 유포되는 대부분의 악성코드는 사용자 온라인 활동에 관한 중요 정보를 빼내어 가는 것이 주된 목적이다.
대규모로 계정정보를 빼낸 이후 특정 서비스에 대량으로 로그인을 하는데, 이 과정에서 서비스 구조를 이용해 공격을 지속적으로 확대 시켜 나가는 것이다. 이런 유형을 다른 말로는 서비스웜이라고 부를 수도 있다. 특정 서비스에 국한된 웜이라는 의미로도 볼 수 있다.
트위터에 등록된 팔로워에게 자동적으로 DM이 발송 되도록 하고 친구 혹은 메신저에 등록된 사용자에게 자동적으로 악성코드 링크나 악성파일을 유포하는 행위 모두가 서비스 웜의 형태에 해당 된다고 볼 수 있다. 애플 북스토어에서 판매량을 늘리기 위해 순위를 조작한다던가 하는 사안들도 넓게보면 서비스웜으로 볼 수 있다.
어뷰징의 시작은 취약한 서비스로 인한 확산 ( 트위터에 대한 XSS 공격- SNS 서비스에는 치명적인 결과를 초래한다. 금융기관에 대한 피싱공격으로 주로 사용되는 XSS 취약성은 SNS 서비스에서는 또 다른 결과를 초래 할 수 밖에 없다. ) 과 대규모 정보 유출로 인한 서비스 혼란과 연결 되어 있다. 취약한 서비스로 인한 확산은 차후에 다시 정리 하도록 하고 현재 TGIF ( Twitter, Google, Iphone, Facebook) 로 대변되는 글로벌 혁신의 충돌에서 가장 위험성이 높으며 현재까지 대비가 안되고 있는 부분을 먼저 살펴 보도록 하자.
TGIF 서비스 모두 (아이폰의 경우는 앱스토어 사례가 해당된다) 서비스를 운용하고 있으며 모든 인증 기반은 사용자가 입력하는 계정정보에 따라 직관적으로 구분된다. 즉 로그인 하는 ID/ 패스워드 기반 정보를 기반으로 활용된다. 유료로 이용 할 수 있는 서비스들이 확대되고 있는 상황에서 단순한 ID/패스워드 인증 이외에 활용하는 보조적인 도구들은 PC에 대한 인증 외에는 없다. PC에 대한 인증조차도 또 한번의 확인절차에 지나지 않으며 제한적이고 구속적인 영향력을 갖지는 않는다.
해외 서비스는 개인정보(이른바 주민번호)가 포함되지 않기 때문에 유출 되어도 영향력이 없을 것이라고 이야기 한다. 또 액티브X로 대변되는 보안도구나 서비스들도 운영 되지 않기 때문에 편리하고 표준을 준수한다고 이야기 하기도 한다. 과연 그럴까?
온라인상 서비스에 또 다른 아이덴티티를 갖지 않은 사람은 인터넷 서비스 사용자중에는 거의 없다. 기업도 마찬가지다. 온라인 활동이 중요해지고 영향력을 갖는 만큼, 온라인 공간에서의 가치를 평가절하 할 수 있는 사람은 별로 없을 것이다. 유료결제가 가능한 서비스들이 활성화 되고 결제 모듈들은 단순한 사용자 정보 입력에 의해 거래가 이루어진다. 공격자에 의해 권한이 모두 획득 당한 PC에서 입력하는 모든 정보들은 공격자에게 고스란히 전해진다. 공격자는 그 정보를 분류하고 정리한 이후 어떤 방식으로 활용 할 것인지 결정 하기만 하면 된다.
해외 모든 서비스들은 현재 사용자가 입력하는 정보를 일단 신뢰한다는 가정하에서 운용이 되고 있으나 그리 오래 갈 수는 없을 것이다. 도용과 오용으로 인한 사고와 문제 발생은 서비스 업체 입장에서도 문제가 될 수 밖에 없어서 다양한 대책들을 강구 할 수 밖에 없게 될 것이다.
대규모 공격 피해는 국내에서 가장 극심하게 발생돼왔다. 메신저나 블로그, 카페, 미니홈피 등에서 자신과 연결된 사람으로부터 사기성 메시지나 광고글, 악성코드 링크를 받아 보지 못한 사용자가 얼마나 될까? 활동이 활발한 사람일수록 위험에 노출 되는 횟수가 잦을 수 밖에 없다. 그 결과 국내 금융기관에는 악성코드 행위를 통제하거나 정보 수집을 방해 하기 위한 다양한 도구와 서비스들이 부착 되었고 로그인 과정에서도 단계별로 나뉘어진 과정들을 지금도 충분히 확인 할 수 있다.
TGIF 로 대변되는 서비스들 모두 그 과정을 따를 수 밖에 없다. 이것은 당연히 예상 될 수 밖에 없는 흐름이다. 애플이 보안을 잘해서 안전한 것이 아니라 공격자들에게 그만큼 이득이 될 가치가 없었기 때문에 실제적인 공격이 발생하지 않은 것이다. 애플에서 만든 사파리 브라우저는 애플의 전체 제품군에 활용되고 있고 아이폰에도 기본장착되어 있다. 이것은 사파리 웹 브라우저의 취약성을 찾게 되면 휴대폰부터 맥OS까지의 모든 라인업을 공격 할 수 있는 도구를 가지게 됨을 의미한다. 그 이후에는 금전적인 이득의 창출로 이어질 것이다.
앞으로 금전적 이득을 얻기 위한 공격은 증가 할 것이다. 그만큼 가치가 있고 영향력이 있기 때문에 당연히 증가 할 수 밖에 없다. 그 예는 단순하게 사파리 브라우저에 대한 취약성 발견 빈도만 보아도 확인 할 수 있다.
[관련글]티핑포인트에서 발간한 2010 상반기 보고서 참조 2008년부터 부분적으로 문제들이 발견되기 시작하다 2010년에 이르러 폭발적으로 증가하는 것을 볼 수 있다. 애플 플랫폼이 세계적인 영향력을 발휘하는 시점에 이르러서야 이제 공격자들은 직접적인 활용 방안을 찾으려 함을 볼 수 있다. 취약성은 본래부터 있었으나 다만 비용대비 효과 측면에서 찾아내지 않았을 뿐이다. 여전히 매력 있는 공격 대상은 IE 브라우저이나 최근에는 어도비 PDF와 플래시 플에이어를 상대로도 상당히 많은 공격이 발생 되고 있다.
이젠 제로데이가 두려워 PDF 문서도 제대로 읽지 못하고 플래시도 위험성을 안고봐야만 하는 상황에 직면해 있다. 공격자들이 형세적으로 압도하고 있는 형국을 느낄 수 있다.
플래시와 IE 브라우저에 대한 신규 취약성 발견도 2009년에 급증했지만 현재는 소강 상태임을 볼 수 있다. 이 모든 취약성 발견이 사용자 개인정보를 획득하고 개인 PC를 좀비PC로 만들기 위한 노력으로 완전하게 연결이 된다.
이제는 바야흐로 개인PC를 공격해 점유하고 서비스를 혼란케 하여 이득을 취하고자 하는 공격자들의 시대이다. 서비스를 완전하게 만든다해도 개인의 입력을 신뢰할 수 없다면 위험은 계속 될 수 밖에 없다. 구조적 해킹으로 볼 수 있는 서비스에 대한 어뷰징 시도는 사용자 정보 유출과 밀접하게 관련되어 영향을 미칠 것이다. 더불어 트위터의 사례에서 볼 수 있듯이 SNS 서비스 취약성은 사용자에게 직접적인 영향을 줄 것이다.
사용자 정보유출을 위한 공격 방식의 변경은 기업이나 서비스망에 대한 직접적인 해킹에서 사용자의 PC에서 정보를 빼내어 가는 것으로 변화하고 있다.
기업과 서비스망에 대한 보호 절차 강화와 저장 데이터의 암호화 등으로 침입이 어려워지고 직접적인 데이터의 활용이 어려워 짐에 따라 개인 PC를 공격 하는 방식으로 변경 되었다. 이 과정에서 핵심요소는 얼마나 많은 사용자에게 효과적으로 악성코드를 유포 할 수 있느냐 하는 유포 방식에 대한 것이 핵심이다.
지금의 악성코드 유포 방식은 바이러스나 웜, 스팸메일과 같은 고전적인 공격 보다는 SNS와 같은 신뢰를 가진 서비스를 통한 전파나 웹사이트에 방문만 하여도 감염이 되는 웹 사이트를 통한 악성코드 유포가 일반적인 유포방식으로 대두되고 있다.
신뢰하는 자에게서 온 링크를 클릭 할 비율은 높아진다. SNS를 통한 악성코드 유포는 신뢰에 기반한 서비스를 무너뜨린다. 웹사이트에 방문하여 기사나 게시물을 읽기 위해 접근만 하여도 PC에 설치된 백신들은 알려진 악성코드 일 경우 악성코드 발견을 경고한다. 그러나 새로운 취약성들은 계속 발견이 되고 제로데이라 불리는 대책 없는 공격들은 계속 증가 할 수 밖에 없다.
사용자 PC에 설치된 악성코드들은 헤아릴 수 없이 많은 개인정보들을 직접 유출 하고 이 정보를 이용해 공격자는 서비스에 대한 직접적인 어뷰징을 가하고 때로는 오프라인에서의 도용을 하기도 한다. 어눌한 말투의 보이스 피싱 전화나 메시지의 폭발적인 증가가 대규모 정보 유출 이후부터가 아니였을까?
단순한 보이스 피싱에서부터 신상정보를 알고 있는 듯한 정확성을 가진 보이스피싱이나 메신저 피싱까지 모두가 아무런 정보도 없는 상태에서 시작 되었을까? 금융기관의 예금이 사라져 기업이 파산의 위기에 내몰리는 해외의 사례는 정말 개인정보 취급의 문제일까?
근본적인 고민을 해야 할 때다.
대책과 관련해서는 2007년에 작성해 둔 향후 나타날 위험과 대응 방안에 관한 문서를 참고 하는 것이 좀 더 실상을 알 수 있게 해줄 것이고 문제가 어떤 부분인지 조금 더 자세히 알 수 있을 것이다. . http://p4ssion.com/199 (IT 서비스의 현재 위험과 대응에 대해- 첨부문서 참고)
이미 현재의 상황은 예상됐던 것이고 준비는 그에 미치지 못하는 부분들이 있을 뿐이다.
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.
