최근 심각한 문제로 대두됐던 SQL 슬래머 웜은 MS의 SQL 서버의 취약점을 이용해 확산됐다. 감염의 진상은 10분만에 SQL 서버의 약점을 90%나 감염시켰으며 웜의 크기가 8.5초마다 두 배씩 증가했다. 또한 이 웜의 용량이 최대가 되면 매초 550만번의 스캔을 실행하여 코드레드나 님다를 능가하는 수준의 공격이었다.
이 SQL 슬래머 웜 공격은 한국의 경우, 네트워크가 느려지고 정지한 원인을 찾기 위해 기간통신사업자가 고심해야 했고, 미국 및 기타 세계 여러 지역에서 수많은 중소기업, 대기업들이 인터넷 접속을 하지 못했고 은행의 ATM 기기와 전자전송서비스가 불가능했다. 특히 미국의 경우 대도시의 긴급구조서비스(911)가 몇 시간 지연되고 몇몇 항공사들은 온라인 발권과 탑승 수속절차에 영향을 미쳐 운행 지연 사태를 빚었다.
다양한 공격 유형
SQL 슬래머 웜의 예에서 볼 수 있듯 수많은 공격들이 비즈니스에 미치는 일반적인 영향은 시간지연, 법적 문제, 회사의 브랜드나 이미지 손상, 사적 재산 손실, 지적 재산의 유실, 심지어는 사업 폐쇄까지도 갈 수 있는 아주 심각한 문제이며 매년 폭발적으로 증가하고 있다.
다음에 살펴 볼 보안 침입 유형은 가장 일반적인 공격 유형을 나타낸 것으로 오늘날 특정한 카테고리의 공격이 주류를 이루고 있지만 이는 언제라도 순식간에 바뀔 수 있다. 님다와 같이 웜이 네트워크를 공격하는 단일 문제로 가장 일반적인 형태로 자리잡는 데는 매우 짧은 시간이 소요됐지만 또 다른 새로운 공격이 순식간에 가장 심각한 사안으로 대두될 수도 있다.
HTTP 공격 웜은 자기 복제를 통해 계속 퍼져나가도록 설계된 컴퓨터 코드다. 일부 웜은 단순히 계속 퍼져나가기만 해 컴퓨터와 네트워크 공간을 채워 마비시키기도 하지만 또 다른 웜은 이동할 때 호스트 컴퓨터를 파괴시킨다. 1년 이상 수 천 여대의 머신을 감염시킨 님다와 같은 HTTP 웜은 감염된 이메일부터 시작해 일단 시스템에 이상이 발생하면 네트워크 공간으로 빠르게 퍼져나가게 되고, 그 다음 감염된 포스트는 취약한 웹 서버를 스캐닝한 후 감염시키는 여러 공격 방법을 보유하고 있다. 웹사이트를 관리하는 호스트 컴퓨터를 이용해 님다는 실제로 기업의 방화벽 뒤에서 활동, 인트라넷은 물론 엑스트라넷 상에서 안전하게 여겨지는 사이트를 감염시킨다.
SYN 플루드(flood) 공격은 서버에 엄청난 양의 트래픽을 일시에 반복적으로 보냄으로써 네트워크 속도를 느려지게 하며 적법한 사용을 막을 뿐 아니라 심지어 서버의 기능을 완전히 마비시킬 수 있다. 이 DoS 공격은 실제 알려진 것보다 훨씬 더 자주 발생하며 모든 규모의 기업을 대상으로 이뤄진다.
FTP 공격은 파일 공유를 위해 일반적으로 사용되는 인터넷 프로토콜인 FTP가 설계 상의 결함 때문에 바운스(bounce) 공격에 취약한 것을 무기로 타깃 사용자의 IP 주소만 보유하고 있다가 FTP 서버를 사용해 타깃 사용자와의 커넥션을 연결하고, 전혀 해롭지 않아 보이는 이 커넥션을 이용해 악성 코드가 방화벽을 통과할 수 있도록 한다. 이 때 종종 이 코드는 공격자에 대한 직접 액세스를 설정함으로써 공격자는 타깃 사용자의 컴퓨터에 완벽한 액세스 권한을 확보하게 된다.
ICMP 공격은 네트워크 관리자가 네트워크에 대한 진단을 수행하기 위해 일반적으로 사용하는 ICMP 프로토콜을 이용한다. 해커는 ICMP 프로토콜이 열려진 상태를 악용한다. 기본적으로 포트를 통해 가짜 요청(핑)을 보냄으로써 내부에서 응답을 하도록 한다. 이는 정보를 얻거나 시스템을 마비시키거나(flood), 심지어 취약성을 더욱 악화시킬 수 있는 명령어를 심는데 이용될 수 있다. ICMP 응답을 이용해 손상된 머신에 명령어를 과도하게 보내는 피기백(piggyback)이 대표적이다.
마지막으로 특정 애플리케이션상의 취약점을 이용한 애플리케이션 공격이 있는데 웹 서버 상에서 실행되는 애플리케이션에서 완벽하게 버그를 제거한다는 것은 매우 어렵다. 만약 한 해커가 이를 이용할 수 있는 방법을 발견하게 되면 언더그라운드의 해커들을 통해 급속하게 알려지게 된다. 종종 공격자는 임시 메모리 파일의 과부하로 인해서 흔히 발생하게 되는 취약점인 버퍼 오버플로우를 집중 공략한다.
공격으로 인한 기업 피해 증가
웹 서버 또는 네트워크에 대한 엄청난 파괴력을 갖는 공격은 그것이 비록 단 한번일지라도 기업에게는 막대한 규모의 경제적 피해를 줄 수 있다. 공격은 비즈니스 거래를 방해하거나 지연시킬 뿐 아니라 전용 정보를 손상시키고, 직원들이 업무를 수행할 수 없게 되는 것은 물론 시스템을 교체해야 하는 경우도 있다. 또 피해 정도를 수치화 할 수 없는 작은 규모의 공격이라도 피해를 주기는 마찬가지다.
웜 또는 기타 공격으로 인해 네트워크에 문제가 발생할 때 직원들의 생산성은 저하되고 심지어 nIDS를 사용할 경우에도, 실제로 무엇이 일어났는지 그리고 시스템이 실제로 손상됐는지 여부를 파악한다는 것은 어려운 작업으로 많은 시간을 필요로 한다. IT 부서는 문제를 추적하고 해결하는데 막대한 시간 및 자원을 투입하게 된다.
뿐만 아니라 보안 담당자들은 끝도 없는 네트워크 로그를 모니터링하고 가짜 경보를 추적하느라고 시간을 허비하고 기업의 재정비용을 소모하고 있다. 예를 들면, 님다로 인해 네트워크에 피해를 입은 경우 기업들은 스캔 등을 통해 생성된 트래픽 때문에 모든 HTTP 작업을 네트워크에서 중단시켜야 했다. 기업들이 웹 기반 업무 처리 애플리케이션에 대한 의존도가 높아짐에 따라 이는 해당 기업의 일일 운영에 엄청난 영향을 미칠 수 있다.
