인터넷 공격 방어전략
상태바
인터넷 공격 방어전략
  • Network Computing
  • 승인 2003.07.09 00:00
  • 댓글 0
이 기사를 공유합니다

인터넷 공격에 취약하다고 생각되는가? 물론 위험이 있을 수 있지만 완전히 무너져 내릴 정도로 심각하지 않을 것이다. 그리고 언제나 싸울 수 있는 방법이 있으며 그 열쇠는 공격 유형의 파악에 있다. 본지에서는 다양한 데이터 분석과 인터뷰를 통해, 조직이 인터넷 공격에서 직면하고 있는 실질적인 위험 요소들과 그러한 위험을 최소화할 수 있는 방법에 대한 몇 가지 결론을 끌어낼 수 있었다.

美 네트워크컴퓨팅지, “인터넷이 무너진다!” 전망
2003년 5월1일. 뉴욕 시러큐스 - 2003년 7월 17일, 인터넷은 완전히 멈춰버릴 것이며, 디지털 경제에서 너무도 중요한 상품과 데이터의 흐름은 말라버릴 것이다.

이 말을 여기서 가장 먼저 보았다는 사실을 기억하라. 물론 이런 일이 일어나지는 않을 것이다. 하지만 많은 뉴스를 접하고 충분히 전쟁 이야기를 들었다면 최악의 상황을 상상하는 것도 어렵지 않다. 인터넷이나, 혹은 다른 어떠한 외부 네트워크로 접속할 때는 의도된 공격이나 웜의 위협 등 걱정을 할 만한 충분한 근거들이 있다.

그러나 실제로 언론만큼이나 삭막한 주변 어디에서도(일부 적극적인 보안 업체들조차도) 당신으로 하여금 이 사실을 믿도록 만들지는 않을 것이다. 물론 위험 요소들은 있다. 그러나 노출의 소스와 유형을 잡아내면 그러한 위험을 잘 다룰 수도 있는 법이다.

열쇠는 공격 유형을 파악하는 것이다. CAIDA(Cooperative Association for Internet Data Analysis), ISS(Internet Security Systems), NIST의 ICAT 및 시큐리티 포커스(Security Focus) 등과 같은 다양한 소스에서 데이터를 모아서 해석해 보고, 정보 보안의 일선에서 일하는 사람들과 얘기를 나눠본 후 우리는 조직이 인터넷 공격에서 직면하고 있는 실질적인 위험 요소들과 그러한 위험을 최소화할 수 있는 방법에 대한 몇 가지 결론을 끌어낼 수 있었다.

네트워크 정찰

공격은 간단히 전파되며, 보통 잘 짜여진 몇 가지 단계를 동반한다. 루트 및 관리 권한을 갖는 게 보통 공격자의 목표가 되는 경우가 많다.

첫 번째 단계는 네트워크 정찰(reconnaissance)이다. 공격자는 공개된 데이터베이스와 문서들뿐만 아니라 보다 공격적인 스캐너와 배너 그래버들을 이용해 목표물에 대해 가능한 한 많이 밝혀낼 수 있다. 일단 서비스가 식별되면 공격자는 더 많은 조사를 통해서나 혹은 서비스에 여지가 있을 경우를 알아내도록 만든 툴을 이용해 취약점을 찾아내려고 시도한다.

포트 및 네트워크 스캔

인터넷에 접속하면 금방 포트 및 네트워크 스캐너 형태의 공격 활동을 볼 수 있다. 비교적 작은 네트워크를 운영하는 한 네트워크 인텔리전스(Network Intelligence) 고객은 주당 수 천 개의 스캔을 받는다고 말하기도 했다.

우리는 인터넷 스톰센터(Internet Storm Center: ISC)에서 특정 날짜에 보고한 바에 따라 다섯 개의 가장 활동적인 포트에 대한 스캔 소스와 타깃을 표로 만들어 보았으며, 비교적 작은 IP 주소, 풀이 많은 IP 주소를 스캐닝한다는 사실을 발견했다. 24시간 동안, ISC에서는 포트 445를 스캐닝하는 고유 IP 주소가 9천598개나 된다고 기록했는데, 이 포트는 마이크로소프트 윈도 2000에서 파일 공유(SMB)용으로 사용되는 것이다. 그리고 포트 445에 대한 포트 스캔의 타깃은 16만1천532개로 타깃이 소스보다 약 16배나 많았다.

손상의 관점에서 보면, 스캔은 보통 해를 끼치지 않는다. IDS는 스캔을 로우레벨 공격으로 분류하고 있지만, 이들은 서버나 서비스에 해가 되지 않는다. 보통의 지혜로운 사람들은 스캔이 공격의 전조라고 말하며, 이 말이 사실이긴 하겠지만 이것은 1:1의 관계는 아니다. 포트 445가 열려 있다고 해서 공격자가 돌아온다는 보장은 없지만, 그렇게 할 가능성이 많아지는 것 또한 사실이다.

자동 공격

공격자가 오용 가능한 취약점이 있는 서비스를 찾았다면 공격 단계가 시작된다. 서버가 취약할 경우 공격자들은 컴퓨터나 혹은 컴퓨터에 저장된 데이터로 액세스할 수도 있다. 공격 방법은 두 가지로 구분되는데, 자동과 타깃식이다.

자동 공격 툴은 스캐닝과 상당히 유사한 것으로, 만들기가 쉬우며 하나의 넷 블록에 있는 모든 호스트에 맹목적으로 공격을 시도하거나, 포트 스캔을 이용해서 호스트를 찾은 다음 공격을 한다. 어떤 식이든 이런 무력 공격은 가능성에 취약한 서버가 돌아가고 있으리라는 가능성에 의존하고 있다. 웹 서버 로그를 점검해 보면 운영시스템이나 돌아가는 웹서버에 관계없이 유니코드로 인코딩된 URL 문자열을 볼 수 있을 것이다.

자동 공격과 웜은 기회를 엿보는 식이며, 스캔과 마찬가지로 인터넷에서는 일상 생활의 일부다. 이런 공격을 막을 수 있는 가능성은 많지 않으며, 이들의 뿌리를 추적하거나 자신을 대신해 이것을 방해할 소스 조직의 누군가나 업스트림 ISP를 두지 않는다면 공격을 막기 힘들다. 일부 ISP와 많은 대학 캠퍼스에서는 불만이 접수되고 공격이 자신들의 네트워크에서 시작됐다는 증거가 확보되면 사용자들을 잘라낸다. 합동 스캔이나 자동 공격을 받을 때는 넷블록 소유자나 그 업스트림 사업자의 보고서를 보관해두는 게 도움이 된다.

급속히 확산되는 웜은 특히 고약하다. CAIDA에서 발표한 분석자료인 〈사파이어/슬래머 웜의 확산>에서 저자는 단 하나의 웜 인스턴스가 분당 일곱 개(플러스 마이너스 1분)의 호스트를 감염시킬 수 있으며, 그 결과로 감염되는 인구 수는 매 8.5초(플러스 마이너스 1초)가 될 것으로 추산했다. 예를 들어 사파이어는 초당 5천500만 스캔의 속도로 약 3분만에 절정에 도달함으로써 결국 다양한 네트워크의 사용 가능한 대역폭을 고갈시키며 스캔 속도를 떨어뜨린다.

5대 보안 사건들을 보면 웜 활동의 놀라운 영향력을 알 수 있다. 일반 프로토콜에 대한 공격 사건의 수는 상대적으로 안정적인 상태를 유지하고 있다. 사파이어/슬래머에 의해 사용된 포트 1434에 대한 공격은 강력한 영향력을 보여준다. 웜을 만드는 사람들은 전파 방식을 만드는 기술이 점점 더 좋아지고 있으며, 그 결과 웜은 타깃 공격자에 의해 사용되는 많은 정찰 기술들을 끌어올리고 있다.

스마트 웜을 만들기는 쉬운 일이 아니며, 보통의 웜과 바이러스가 실질적으로 어떠한 심각한 손해를 입히지 않는 것에 대해 우리는 스스로 다행이라고 생각해야 한다. CAIDA 보고서에서 나온 놀라운 결론들 중 하나는, 인터넷에서 노드 수가 2만 개가 채 되지 않는 애플리케이션이라 하더라도 웜이 매우 빠른 속도로 퍼져갈 수 있다는 것이다. 이것은 단순히 쑥대밭을 만드는 데 사용될 수 있는 널리 퍼진 소프트웨어가 아니다.

타깃식 공격

타깃식 공격은 당신의 조직이 단독으로 공격받기 때문에 랜덤 스캔보다 훨씬 더 위험하다. 공격의 성공은 수많은 변수들에 따라 좌우되긴 하지만, 당신이 타깃이 됐다는 사실을 아는 게 중요하다. 공격의 목표를 먼저 찾아내고 다음 단계로 이동하라.

나쁜 소식은, 공격자의 기술이 좋아질수록 그 혹은 그녀가 공격 중에 발각될 확률이 줄어든다는 것이다. 좋은 소식은, 타깃식 공격은 전체 공격에서 적은 부분을 차지하고 있으며 성공하는 공격은 더 적다는 것이다. 예를 들어 2002년 ISS 매니지드 시큐리티 서비스(Managed Security Service)에서는 포트 스캔에서 심한 공격에 이르기까지 5천52건의 사건을 목격했는데, 이 중 ISS의 이머전시 리스판스 서비스(Emergency Response Service)에서 처리해야 할 만큼 심각한 것은 80건(1.6%)에 불과했다.

ISS의 <2002년 10월 28일부터 2002년 12월 31일까지 있었던 최고 공격 지역>에 따르면 놀랍게도 82.53%의 공격이 북미지역 컴퓨터에서 시작됐다고 한다. 아마도 이것은 미국의 두당 접속률이나 혹은 패치되지 않고 유지보수되지 않은 시스템들이 캠퍼스와 광대역 네트워크에 많기 때문으로 풀이된다. 이런 곳은 종적을 남기지 않기 위해 공격자들이 이용하는 중간 지점들이다. 사실 공격자가 공격을 시도하는 컴퓨터의 키보드 앞에 앉아 있는지, 아니면 그가 여러 시스템을 통해 연결하는지를 알 수 있는 방법이 없다.

직접적으로 자신을 공격하는 시스템에서 시작함으로써 공격자 추적을 시도할 수 있다. 이 시스템을 관리하는 사람에게 다음 연결을 추적해달라고 부탁하고, 이 관리자에게 접속한 다음, 그로 하여금 다음 홉으로의 연결을 추적하도록 하는 식이다. 물론 여러 언어를 접해야 할 것이고 도움을 달라고 다른 사람들을 설득해야 하며, 이들이 다음 연결을 밝혀낼 수 있는 기술력을 갖고 있기를 희망해야겠지만 말이다. 공격자를 고소할 계획이나 연방수사국에 들를 의지가 없다면 이것은 의미 없는 추적이다.


도움을 받을 수 있는 곳들

인터넷에 접속을 하면 스캔을 당하거나 공격당하게 된다. 그러나 여기에 맞서 싸울 수도 있고 또 이길 수도 있다. 열쇠는 일관적이고 조직적으로 대응하는 것이다. 패칭을 언제나 최신 것으로 유지하고, 네트워크 구성 실행을 튼튼히 하고, 현재의 위험들을 주시해야 한다. 다음과 같은 기관들이 도움이 될 수 있다:

>> CAIDA : The Cooperative Association for Internet Data Analysis. 강력하고 확장성 있는 국제적인 인터넷 인프라를 만들기 위해 회사, 정부 및 연구 기관들이 결성한 모임.

>> ICAT 메타베이스 : ICAT Metabase. 컴퓨터 취약성에 관한 검색 가능 인덱스인 ICAT에서는 매우 정교한 검색 능력과 취약성 및 패치 정보로의 링크를 제공하고 있다.

>> ISS 시큐리티 센터 : ISS Security Center. 보안 툴 업체인 인터넷 시큐리티 시스템즈(ISS)의 X-포스(X-Force) 보안 지능은 상업 연구기관들이 발견한 전체 취약성의 45%를 밝혀냄으로써 최고의 보안 자문 수단으로 인정받고 있다.

>> 시큐리티 포커스 : Security Focus. 시맨텍 소유의 시큐리티포커스(SecurityFocus) 사이트에서는 버그트랙 메일링 리스트와, 보안 전문가들이 새로운 IT 위협과 공격들뿐만 아니라 보안 허점을 막기 위한 수단을 논의하는 포럼을 호스팅하고 있다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.