제11회 해킹방지워크샵 후기

해킹방지 워크샵이 11월 21일, 22일 이틀동안 양재동에서 열렸다.
이 모임은 회차를 거듭할수록 그 규모가 확대되고 있는데, 이번 회차에는 800여명이 등록하여, 갈수록 높아져가는 보안 의식과 관심을 느낄 수 있었다.

패스워드에 대한 중요도 인식이 생각보다 낮다. - Staying one step ahead of Hackers (jacqueline peterson-jarvis / Microsoft)

 재클린씨는 '초콜릿 하나 줄테니, 패스워드 주세요' 하면 정말 주는 사람이 많다고 얘기했는데, 농담이라 생각했건만 어제(12/09) 우연히 본 위기탈출 넘버원이라는 TV 프로그램(관련기사)을 보고 그게 농담만은 아니란 생각이 들었다.

'당신은 경품에 당첨되셨습니다'라거나, '당신의 비밀번호가 누출되었습니다' 와 같은 그럴듯한 제목의 이메일을 보내, '확인을 위해 이름과 주민번호를 입력하세요'라는 칸을 두어 사용자가 순순히 입력하게끔 하여 쉽게 정보를 빼내가는 것이다. 이럴 경우에는 안티바이러스업체나 방화벽업체에서도 어쩔 수 없는 일이어서, 이런 경우에는 사용자가 주의를 해야할 수 밖에 없다.

 

재클린씨의 발표로 시작된 첫째날은 '웹 보안'이 큰 주제를 이루었다.
많은 발표자 분들이 웹 보안의 중요성을 역설하셨는데, 최근의 해킹 동향과 패턴을 공통적으로 정리하자면 다음과 같다.

• 해킹동향
  • 웹의 취약성으로 개인정보 유출이 심각하다. 실제로 구글에서 검색하다보면 모 대학교의 지원자 및 합격여부와 같은 정보들이 마구 튀어나온다. 
  • 사이버 머니, 온라인 게임, 인터넷 뱅킹, 쇼핑몰 증가로 인한 전자상거래가 활성화되어 그에 따른 공격이 증가하였다. 
  • 우리나라에서의 해킹은 중,고,대학생의 단순한 호기심 및 과시욕에서 출발하는 경우가 많으며, 공격 유형이 점차 발전하여 사이버 머니 탈취, 계정 도용, 홈페이지 변조, dos 공격등이 이루어지고 있다.
• 해킹 패턴 
  • 불 특정 다수를 대항으로 한 공격 : 자동화 툴을 이용해 취약한 웹서버들을 무차별 공격한다. 공격이란걸 당해보면 알지만 아, 제발 이쯤에서 그만둬죠. 잘못했어ㅠㅠ 라고 평소의 보안에 대한 무관심을 후회해봐도 이미 늦는다. 그들은 짤없다.
  • 금전적 이득을 노린 공격 : 페이지에 악성코드를 설치하거나 대량의 스팸메일을 발송하여 공격한다. 
  • 전 문적이고 조직적인 그룹에 의한 공격 : 전문적인 돈벌이를 목적으로 조직적으로 공격을 수행한다. 중국, 러시아, 중동 등 국제적으로 영향을 미치며, 돈을 주면 그러한 상황이 계속 악순환되므로 미리 취약성에 대비하고 백신을 구비하여 대비하는 것이 상책이다.

마지막으로 웹방화벽을 실제 도입하는 업체들이 웹방화벽 업체를 선정하는 기준과 설치후 평가를 발표한 것을 살펴보았다. 웹방화벽 업체로서는 고객이 무엇을 원하며 어떤 것을 가장 큰 기준으로 삼는지 알 수 있는 좋은 기회였다.

• 선정방법 (성능 > 안정성 > 호환 및 확장성 > 운영&관리 > 부가기능)
  • 많은 정책을 이용하는데 성능저하는 없는가 
  • 복잡한 네트워크망 환경에서 제대로 작동하는가 
  • 시스템 관리자가 이용하기 수월한가  
  • 보안 전문 업체의 컨설팅을 통한 웹 보안 시스템을 도입할 수 있을까 
  • 향후 유지보수 부분에 대한 책임을 질 수 있는 업체인가  

그 외 많은 분들이 웹 공격의 종류와 방법에 대해 설명해 주셨다. OWASP에서 발표한 내용이 대부분이고 평소에 쉽게 접할 수 있는 웹 공격에 대한 설명이 많아서 생략하도록 한다.

 

둘째날은 본격적인 해킹 시연이 많은 날이었다. 대표적인 해킹 시연 두가지(DDOS, Sniffing)를 정리하였다.

• DDOS 공격
  • DDOS 공격 과정
    • 테스트 서버에 악성코드를 묻지 않고 설치한다. 
    • DDOS 공격을 해서 특정 서버를 다운시킨다. (보통 서버앞을 지키는 IPS, IDC가 부하가 걸리게 된다)
    • 돈을 요구한다. 
  • 이것에 대한 대응
    • 일단 공격이 시도되면 막을 방법은 딱히 없고, 공격 IP를 찾아 차단하게 된다. (임시방편으로 일명 두더지잡기라 한단다) 
    • 따라서 평소 윈도우 업데이트를 성실히 이행해야 한다. 
    • 백신을 설치하여 사용한다. (윈도우 업데이트와 백신 사용만 잘 해도 큰 문제는 일어나지 않는다) 

• Sniffing 공격 시연 
  • Switch jamming
    • 대량의 위조된 MAC 주소를 이용하여 스위치가 관리하는 MAC-PORT table을 overflow 나게 한다. 
    • 관리 한계가 넘어섰을 때, 서비스 중단을 막기 위해 모든 port로 패킷을 보내는 경우 dummy hub와 동일한 효과 
  • ARP Redirect
    • ARP Reply 패킷을 Broadcasting 하여 패킷 수집 후 포워딩 
  • NULL Mac Address 사용 
    • 00:00:00:00:00:00와 같은 적절하지 않은 MAC 주소를 이용
  • DHCP를 이용해 ip를 가져와 ip 충돌을 유발하고, 전화를 해서 'id와 패스워드를 불러주면 고쳐주겠다' 하여 id와 패스워드를 수집해 가서 웜바이러스를 심거나 악성 코드에 노출시켜 네트워크 망을 마비시키거나 악성코드를 확산시킴
  • 대응
    • 정적인(static) ARP Table 관리 : Gateway의 IP와 MAC 주소를정적으로 고정시킴으로써 잘못된 ARP Reply 정보가 오더라도 이를 ARP Table에 반영하지 못하도록 한다. 
    • 중요 패킷의 암호화 : 중요 패킷의 암호화자신의 서버를 안전하게 구축하였다고 하더라도 공격자는 동일 Subnet 내의 취약한 서버를 해킹하여트래픽의 도청 및 변조가 가능하므로 이러한 데이터에대한 암호화가 바람직하다.

해킹 통계자료 및 대응 방법에 대한 자세한 내용은 인터넷침해사고대응지원센터의 월보를 확인하면 도움이 될 것이다.

이렇게 둘째날까지 일정을 무사히 마치고, 끝까지 함께한 사람들과 경품 행사를 진행하였다.

사회자가 깜짝 이벤트로 '의자 바닥에 알사탕이 붙어 있는 분 나오세요!' 했을때 내로라하는 기업에서 나온 분들이 너도 나도 고개를 숙여 의자 아래를 더듬는 모습이 재밌었다.
그러나 사탕은 없었다. 우린 낚인것이었어..

이번 기회를 통해 보안 관련 업계 사람들을 직접 보니 그들의 대단한 열정이 느껴졌다. 마치 인간의 병을 진단하여 병명을 밝히고 처방하듯, 비록 생명을 다루지는 않지만 네트워크 상에 일어날 수 있는 이런 저런 가능성을 면밀히 살피고 문제되는 위치를 파악하여 고치는 의사였다.

그리고 마지막으로 경찰청 사이버테러대응센터의 정석화님의 한마디

뒤는 내가 책임진다

이 외마디에 실려 있는 무거운 책임감. 그 정신과 자부심을 느껴보자.

끝

이 글은 스프링노트에서 작성되었습니다.