서울‘2005 ASEM
사이버보안 워크숍’개최
ASEM
회원국인 유럽 25개국과 아시아 13개국 대표 200여명이 참여하는‘2005 ASEM 사이버보안 워크숍(ASEM Cyber Security Workshop)’이 지난 6월 23-24일간 서울에서 개최되었다. 이번 워크숍은 ASEM 회원국간의 사이버 보안 역량강화와 사이 버위협 공동 대응방안 등을 마련하기 위한 것으로 다양한 주제발표와 제안 및 토의가 있었다.본 글은 ASEM 사이버 보안 워크숍에서 각국 정부 또는 기업을 대표하여 발표∙제안한 내용 중 NCSC 포함 5개 주제를 발췌하여 수록한 것으로 현재 사이버위협에 대응하는 각국의 시각과 향후 움직임을 가늠해 볼 수 있으며, 발표주제는 정확한 이해를 돕기 위해 원문 그대로 사용하였다.
�CSIRT1Co-Operation : From national to international activities.. and back again(Dr. Klaus- Peter Kossakowski, Chair of FIRST SC, Germany)
�Governmental CSIRT and National Strategy(NCSC, Korea)
�Incident Handling Cooperation Framework-Int’l & Local Co-work(Ms. Yurie Ito, Manager of JPCERT/CC, Japan)
�Worm Threats on Mobile Devices(Mr. Charles Cousins, Assistant Manager of Sophos, United Kingdom)
�Overview of Emerging Threats in Cyber World(Mr. Joel Scambray, Senior Director of Microsoft, United States)
서울‘2005 ASEM
사이버보안 워크숍’개최
1. 컴퓨터보안 침해사고 대응팀(CSIRT; Computer Security Instant Response Team)
1. CIRST간 협력 : 국가 차원의 대응에서 국제적인 활동으로 확대(FIRST)
FIRST는 이번 워크숍에서 FIRST의 역사와 기능, 유럽 CERTs의 협력 프로그램을 소개하였으며, 특히 FIRST의 CVSS(Common Vulnerability Scoring System)에 대한 업무를 강조하였다. 또한, TF-CSIRT와 TRANSITS에서 FIRST의 역할을 소개하였다. 특히 국제적 침해사고대응에 대한 성 공적인 국가간 협력을 위해 4가지의 중요 실천방안을 강조하였다.
1988년 11월 대부분 미국 사이트인 6만개의 호스트를 가진 인터넷에 최초의 웜인 모리스웜이 유포 되었다. 그 당시 어설픈 대응은 물론 조직간의 협력을 통한 대응은 전무한 상태였다. 이러한 취약점 을 보완하기 위해 최초로 CERT/CC가 탄생되는 기초가 되었으며, 사이버 침해사고에 대응하는 유일 한 기구였다.
1992년 인터넷은 그 호스트가 백만을 넘어서면서 오직 네트워크를 모니터링하는 유일한 기구인 CERT-System은 FIRST(Forum of Incident Response and Security Team)로 명칭을 바꾸었으 며, 2005년 현재 180여 기구(북미 18, 남미 18, 유럽 및 아프리카 64, 아시아 18개 팀)이 회원으로 가입하여 활동하고 있다.
또한, FIRST는 미국 국가기반시설조정회의(NIAC, US National Infrastructure Advisory Council) 프로젝트 중 하나인 CVSS(Common Vulnerability Scoring System)를 운영하고 있다. CVSS는 시 스코, 마이크로소프트, 시만텍 등을 포함한 유명 IT 기업들의 소프트웨어를 대상으로 취약성을 측정 하는 표준이 되는 등급산정을 위한 시스템이다.
그리고, CVSS는 보안 취약성이 원거리에서 발생했는지, 해커가 보안 취약성을 이용하기 전에 취약 시스템에 로그인을 반드시 해야만 하는지 등의 기초 정보에 근거하여, 새로운 취약성 심각도를 계산 하기 위한 표준 수학식을 사용하게 된다. 그러므로 CVSS 등급은 특정 보안 취약성에 소프트웨어 패 치가 이용되었는지, 또 얼마나 오래 이용되었는지 등의 시간 문제도 고려하게 된다.
유럽 지역에서는 1990년대 중반 유럽지역의 사고대응팀을 위한 연합 조직인 EuroCERT라는 조직 이 설립되었으며, 2000년에는 TERENA(Trans-European Research and Education Networking Association) 지원하에 TF-CSIRT가 설립되어 현재 활발한 활동을 하고 있다.
TF-CSIRT는 주기적인 회의와 세미나를 통해 유럽지역 사고대응팀간의 공동문제와 협력방안에 대해서 연구하고 있다. 특히, 사고대응문제와 관련된 연락처 정보 데이터베이스 문제와, 사고대응 정 보교환을 위한 메시지포맷문제, 사고대응팀 설립을 위한 운영적∙법적∙기술적 문제 등에 대해서 활발한 연구를 하고 있다. 또한, TF-CSIRT는“Trusted Introducer”라는 개념을 통해서 회원간의 신뢰를 형성하고 있는데, 이는 먼저 사고대응 관련 활동을 통하여 널리 인지된 기관을 기존의 TF- CSIRT 회원이 추천을 하고, 회원으로서의 적합성 여부를 평가하여 정식회원이 되는 절차로 이루어
진다. 그리고 회원간에는 신뢰를 바탕으로 한 정보교류를 통하여 신뢰성 있고 빠른 사고대응활동을 할 수 있는 기반을 제공해준다.
위[그림 1]에서 보듯이 FIRST는 정보관리 시스템을 통해 세계 곳곳의 센서를 통해 정보를 수집, 분 석하고 그 결과 국가중요기반시설(CIIP), 각국 CERTs와 협력 파트너에 제공해 주는 시스템을 구상 중에 있으며 가능한 빠른 시일내에 실용화할 계획이다.
FIRST는 광역 침해사고의 성공적인 대응을 위한 3가지 요소를 다음과 같이 정의하고 있다.
1. 국가, 지역, 국제적인 참여 필요 2. 참여자와 보안 전문가의 협력
3. 참여 기관 및 전문가들이 활동할 수 있는 최소한의 활동 조직 설립 이를 위한, 4가지 주요 실천방안으로 다음을 정의하고 있다.
1. 고수준(조기경보, 경향 및 예상정보)의 대응능력 제공과 협업하기 위한 기반구조 필요 2. 실질적인 토의와 국제 표준 및 정책 개발과 사고대응을 지원하기 위한 합의를 위한 포럼 필요 3. 취약점 정보 수집, 분석, 전파 등의 정보보안 기술에 대한 연구 능력 배양
4. 사고 대응과 IT보안 교육을 위한 전문 조직 구성
현재 나라별 또는 산업군 별로 개별적으로 조직되어 있는 각 CSIRTs를 효과적으로 연결시켜 관리 할 수 있는 커다란 조직이 필요하며, 이러한 각각의 조직들을 강제적으로 하나로 묶을 수 있는 것이 성공의 관건이다.
[그림 1]FIRST의 조기 경보시스템 흐름도
2. 정부 CSIRT와 국가 전략(NCSC)
국가사이버안전센터는 이번 ASEM회의에서 우리나라 사이버안전 대응전략에 대해서 설명하고 국가 사이버안전센터 소개와 전세계 사이버위협 동향, ASEM 회원국간의 협력방안에 대해서 발표하였다.
우리나라는 2003년 1.25 인터넷 대란을 계기로 국가차원의 사이버안전에 대한 대응체계 구축 필요 성이 제기되어 민∙관∙군 분야별로 대응기구를 설립∙운영하고 있으며, 관련 법령도 제∙개정하는 등 정비하고 있다. 그 하나가 국내 사이버안전 유관 기관과의 협력을 규정한‘국가사이버안전관리규 정(대통령훈령 141조)’으로 2005년 1월에 제정되었다. 아래와 같이 사이버안전 업무 수행체계 또 한 국가사이버안전관리규정에 의해 탄생되었다.
[그림 2]에서 보듯이 국가사이버안전에 관한 최고 정책결정기구로‘국가사이버안전전략회의’를 신 설하였으며, 여기에는 외교, 법무, 국방, 행자, 정통부 및 NSC 사무처 등 6개 기관이 참여한다. 국정 원내 국가사이버안전센터(NCSC)가 실질적인 총괄 집행기구로서 제반 업무를 종합 수행하며, 각 중 앙행정기관은 소관분야 정보통신망에 대한 사이버안전 업무를 책임지고, 산하기관을 지도∙감독하 도록 하고 있다.
국가사이버안전센터는 국가사이버안전 컨트롤타워 역할을 수행하기 위해 2004년 2월 국가정보원 내에 설립되었으며, 주 임무는 다음과 같다.
�국가사이버안전 정책에 대한 기획 및 조정
�사이버위협정보 수집, 분석, 그리고 그 결과와 최신 기술을 관련기관에 배포
�국가 주요전산망에 대하여 24/7 보안관제 및 위협수준에 따라 경보 발령
�각급기관에 대한 안전성 확인 및 보안대책을 지원
[그림 3]은 NCSC가 수행하는 주요업무를 흐름순으로 간략하게 도표화한 내용으로 예방, 대비, 대응, [그림 2]우리나라의 국가∙공공분야 사이버안전 업무 수행체계
복구 등의 사이버안전업무를 일련의 순서에 의해 수행하고 있다.
NCSC는 ASEM 회원국간 국가차원의 네트워크를 ASEM N-CERTs Network이라 명명하였으며, ASEM N-CERTs Network 목적은 ASEM 회원국간 유대강화 및 ASEM 회원국들의 안전한 인터 넷 환경을 구축을 촉구하였다. 또한, 최신 해킹, 웜∙바이러스에 대한 분석 및 대응기술의 공유, 침입 자 처벌을 위한 국제적인 사법권 관할 문제 등을 협의하고 사고발생시 국제공조를 통한 국가차원의 대응을 할 수 있도록 하자는 데 목적이 있다. 그리고 정보보호 체계정립이 미비한 국가에 대해서는 체계가 구축되도록 지원하는 것이다.
ASEM N-CERTs Network 내용을 살펴보면, 최신 기술 및 취약점, 그리고 사이버위협정보에 대한 예∙경보를 발령 등 정보공유를 위해 24시간 핫라인을 운영하며, 또한 유관기관과 합동으로 정기적 인 최신 사이버위협에 관한 예방 및 대응기술에 관한 세미나를 실시한다.
결론적으로, ASEM 회원국간 긴밀한 신뢰를 바탕으로 N-CERTs Network을 구축하여 최신 사이 버위협 정보 공유 및 기술교류를 통하여 예방, 대비, 대응, 복구의 일련의 과정을 원활이 수행하여 ASEM 회원국간의 사이버안전을 보장하는 것이 매우 중요하다.
3. 침해사고 협업 프레임워크(JPCERT/CC)
JPCERT/CC는 이번에 JPCERT에 대한 역사 소개와, 일본내 민간부분 협력방법과 국제 협력에 대한 서비스 모델을 소개하였다. 또한, 국내외 침해사고 대응 협력방법과 실시간 상황 관제, 취약점 대응 에 관한 국제/국내 프레임워크, 그리고 마지막으로 조기경보 능력에 대해 발표하였다.
JPCERT/CC는 1992년에 그 기원을 두고 있으며, 1996년 통상산업성의 지원으로 본격적인 서비스 를 시작하였다. 현재 일본 국가 CSIRT의 기능을 수행하고 있다. 1998년에 FIRST에 가입하고 APCERT의 의장국으로 활동하고 있다.
[그림 3]국가사이버안전센터 업무 순환도
JPCERT/CC의 서비스 모델은 아래 그림과 같이 기술적 진화를 하고 있다. 1996년 처음 서비스를 시작할 당시에는 침해사고가 발생했을 경우 후속조치를 통한 수동적인 대응 수준이었으며, 2003년 관제시스템을 도입하면서 실시간으로 트래픽을 모니터링하는 수준까지 발전하였다. 그리고 작년부 터는 사전에 취약점을 분석한 후 사건이 발생되지 않도록 사전 대처하는 능동적 대응 수준으로 발전 하여 현재 조기경보 시스템을 구축 운영 중에 있다.
현재 일부 국가는 CSIRTs간 미약한 협력 네트워크를 구축하고 제한된 정보공유를 통해 대처하고 있는 실정이다. 따라서 JPCERT/CC는 이번 ASEM 회의에서 강한 협력 네트워크 구축을 위해‘국제 침해사고 대응 프레임워크’를[그림 5]와 같은 제안을 하고 있다. 침해사고에 대한 정보공유 등을 강 제할 수 있도록 각국 정부간 협약과 공식적인 네트워크를 구축하고, 또한 각국 CSIRTs는 CSIRTs 네트워크를 구축하여 실시간 정보공유를 통해 한 사건이 세계적인 사건으로 확대되지 않도록 사전 에 방지하는 프레임워크를 구축하자는 것이다.
결론적으로, JPCERT/CC는 민간과 공공분야간의 정보공유 및 대화의 어려움, 각국의 사이버보안 관련 법률 및 보안정책의 차이 등의 장애물이 존재하므로 각국 또는 자국 내의 각 CSIRTs 조직간의 정보공유를 위해 다양한 경로의 대화창구가 불가피하다.
[그림 4]JPCERT/CC 서비스 모델의 진화
[그림 5]국제 침해사고 대응 프레임워크
이러한 다양한 대화채널은 정보공유는 물론 자원(시스템 등 하드웨어)까지 공유하여 각 CSIRTs간 협력의 위한 노력의 최소화, 잠재적 사고의 최소화 및 민감한 정보공유에 있어서 정확한 정보전달을 위한 별도의 시스템을 구축해야 한다.
4. 모바일 장치에 대한 위협전망(Sophos)
Sophos사는 이번 워크숍에서 모바일 장비시장 현황, 현재 공개된 위협과 앞으로의 모바일 위협에 대한 전망에 대해서 발표하였다.
[그림 6]에서 보듯이 모바일 OS는 전세계적으로 심비안(Symbian) OS를 50% 이상 사용하고 있으 며, 다음으로는 MS와 팜(Palm)이 점유하고 있다.
현재까지 알려진 모바일관련 악성코드(Malware)로는 PDA와 같은 포켓 PC에 2종, PalmOS에서 3종, 그리고 심비안 OS에서 40여종이 발견되었다. 최근 심비안 OS에서 발견되는 대표적인 악성 코드는 Cabir, Comewar, Mosquito, Skulls 등이 있다.
모바일 악성코드가 이용하는 공격 요인들(Attack Vectors)은 아래와 같이 10가지로 요약할 수 있다.
�사용자 개입 요구 �실행 가능성 �파일시스템 경로 선택
�블루투스(Bluetooth) �GPRS/GSM �IrDa
�SMS/MMS �SD card �WAP, WWW
<캐비어(Cabir) 바이러스 분석>
[그림 7]은 캐비어(Cabir) 웜에 감염된 모바일폰에서 다른 모바일폰에 피해를 주는 과정을 순서도로 나타내었다. 캐비어 웜은 블루투스 환경에서 감염 전파되고‘common cold’바이러스와 유사한 성
[그림 6]모바일 OS(운영체제) 시장 동향
격을 가지고 있다.
캐비어는 Bluetooth 장치의 활성화(Enabled)여부를 검색을 통해 확인되면, 캐비어 자기 자신을 스 스로 전송하면서 확산되는 이 웜은 모바일용 OS인 Symbian OS(EPOC) 6.1 또는 상위 버전 (Siemens, Samsung, Nokia, Sendo, Panasonic)에서 동작한다. Nokia(노키아) Series 60(6600)과 3650 핸드폰에서 동작하는 것이 2004년 6월 14일 최초 보고되었다. 대중적으로 확산된 웜은 아니 지만, 모바일용 악성 웜의 개발이 가능하다는 것을 알리는 첫번째 경우이다.
[그림 7]캐비어(Cabir) 웜 감염 과정
[표 1]대표적인 모바일 웜 바이러스 명 설 명
Comwar
캐비어와 비슷한 기능을 가지고 있지만 보다 진보된 웜으로 블루투스환경에서 감염이 되며, 휴대폰 전 화번호 리스트에 있는 번호로 MMS(Multimedia messaging service)를 이메일과 같은 형식으로 전 송한다.
Mosquito
Mosquito 게임의 개발자가 금전적 이득을 취하기 위해서 고의로 게임 프로그램에 취약점을 만들어 악 용한 일종의 트로이잔으로 볼 수 있다. 그러므로 범인을 잡기가 매우 힘들었다. 모바일 사용자들이 게임 을 할 때 마다 SMS로 라이센스가 없는 게임까지도 Mosquito 수수료를 부과하여 부당이득을 취하였 다. 이 Mosquito 트로이잔은 특정 취약점을 이용했다기 보다는 개발자의 도덕적인 문제로 볼 수 있다.
Skulls는 다른 어플리케이션 프로그램을 disable시켜 기능을 하지 못하게 만들며, 또한 옆의 그림과 같이 프로그램의 아이콘을 교체시 키는 기능을 가지고 있다.
올 5월까지 50여종의 유사 변종이 발견되었으며, 주로 노키아 60 시 리즈에서 영향을 주었다. 이 Skulls Trojan은 말레이시아에서 처음 발견되었다.
Skulls trojan
결론적으로, 모바일 악성코드는 아직까지 심각한 위협을 주지 못하고 있으나 앞으로 몇 년 안에 모 바일 장비업체마다 각자 다른 모바일 운영체제를 사용하는 것이 어느 정도 통일되고 PC에서 스마트 폰(Smart phone) 시장으로 전환되면 모바일 악성코드는 우리에게 가장 큰 위협이 될 것이다. 앞으 로 이러한 모바일 악성코드가 더욱더 많이 나타날 것이며, 그 목적 또한 금전적 이득을 노리는 형태 를 띨 것으로 예상된다.
심비안(Symbian) OS 9처럼 모바일 장치내의 OS에서 실행되는 프로그램은 반드시 인증을 받은 프 로그램만이 실행 가능하도록 인증을 받아야 된다. 즉, 모바일 운영체제 업체들은 보다 강화된 보안대 책을 수립해야 할 것이다.
5. 사이버상에서의 새로운 위협(Microsoft Crop.)
이번 워크숍에서 MS는 최근 사이버 위협경향을 6가지로 정리하였으며, 6가지 해결책도 함께 정리하여 발표하였다.
사이버상에서의 위협은 빙산의 위부분과 같이 공개된 취약점, 해킹사고 보다는 빙산 아래에 숨겨진 부분과 같이 공개되지 않는 취약점, 해킹사고 가 더 많다고 주장하고 있다. 또한 사업, 고객 관련 사항, 위협을 감내할 수 있는 수준 등이 모두 사이버 위협의 변수로 작용하기 때문에 앞으로 어떤 유형의 위협이 나타날지 예상하기가 매우 힘들다.
Scambray는 현재의 사이버 위협 트랜드를 아래와 같이 6가지로 정리하였다.
�Vulnerabilities(취약점)
�Distributed attacks(분산 공격)
�Techno-social attacks(사회공학적 공격)
�Rootkits(권한 탈취)
�Insiders(내부자)
�Physical theft/loss(물리적 절도/도난)
가. Vulnerabilities(취약점)
�입력값 인증 취약점: 버퍼오버플로우 + 기타 변종 기능
�인증취약점: 권한상승과 권한이 없는 자의 접근 및 실행이 가능한
�기본(Default) 또는 약한 환경설정 취약점
�웹 어플리케이션 취약점: XSS(Cross Site Scripting) 또는 SQL Injection
[그림 8]에서 보듯이 상위 10개 공격포트를 나타내고 있다.
나. Distributed attacks(분산공격)
분산공격으로는 아래와 같이 4가지 공격이 주류를 이루고 있다.
�Botnets/zombies �DDoS
�Spam vector �Click fraud
다. Techno-social attacks(사회공학적 공격)
아래 6가지 방법을 이용해 사회공학적인 수법을 이용한 해킹사건이 점증하고 있다.
�첨부파일, 메일 본문 또는 링크를 이용한 E-mail 공격 �웜∙바이러스
�피싱 공격 �파밍 공격
�IM(Instant Messaging) �P2P(Peer to peer)
라. Rootkits(권한 탈취)
패치가 되지 않은 시스템 또는 알려지지 않은 운영체제, 어플리케이션 취약점을 이용하여 권한 상승 할 수 있는 Rootkits를 공격대상 시스템에 설치한다. 설치된 Rootkits는 아래와 같은 기능을 수행한다.
�백신과 다른 보안 프로그램 기능을 무력화 시킨다.
�환경설정(hosts, httpd.conf 등)과 같은 파일을 변조한다.
�다른 공격 대상 시스템을 스캔한다.
�백도어 서버로서 활용한다. (Zombie/ Bot network)
�다른 해킹 경유지로 사용한다.
[그림 8]Top 10 Attacks by Port on 6/9/05 as reported by ISS
�무작위로 스팸 메일을 전송한다.
�민감한 정보를 수집한다.
�웹페이지 변조
�회사와 업무적으로 밀접한 회사에 대해 DDoS 공격을 감행한다.
마. Insiders(내부자)
많은 사이버 범죄를 수사한 결과 중요한 사이버 범죄 또는 사기는 많은 경우 내부자의 소행인 경우 가 많다. 최근 미국‘ChoicePoint’와‘America Online(AOL)’회사에서 내부자에 의한 사이버범죄 가 발생한 사례가 있다.
바. Physical Theft/Loss(물리적 절도/도난)
전통적인 위협이며 최근 시티은행의 UPS 장애와 아메리카 은행(Bank of America)의 장비 장애사 건이 발생하기도 하였다.
결론적으로, 현재의 사이버 위협에 대하여 아래와 같이 6가지의 대처방안을 제시할 수 있다.
�어플리케이션 개발 단계부터 보안을 고려
�사이버위협 방지 개념으로 보안정책, 침입차단시스템, 보안구역 설정, 패치
�사이버위협 탐지 개념으로 스캐닝, IPS, 모의해킹
�사이버위협 대응 개념으로 보안 프로세스 개발, 보안감사, 재해복구
�최종 사용자의 보안 마인드 향상을 위해 안전한 인터넷 사용, 최소 권한 사용, 그리고 사회공학적 공격에 유념
�민∙관의 유기적인 파트너쉽 유지
