CFOLDER

< O'Reily의 Web 2.0 Image>

실제 문제 사례 :

- Myspace script 코드를 활용한 서비스 내의 사용자 정보의 유출과 전파
- Yahoo Messenger를 통한 웜의 출현
- Web 2.0 서비스 기업을 타켓팅화한 Application 취약성 공개의 일반화 [ XSS 등]
- Youtube , Yahoo ,naver등의 동영상 저작권 및 국가간 규정에  따른 불법적인 동영상  [ 음란 , 폭력  등등 ] 을 통한 사회적인 파급효과 , 3.19일 야후 음란 동영상 게재로 인해 동영상 서비스의 일시 중단 시행.
- 동영상을 파일을 통한 악성코드 유포 [ ActiveX 설치 이외에 사용자 정보를 유출 하기 위한 Script 코드등 다수 해당] Flash , 이미지 파일을 통한 정보 유출
- 사용자 계정의 도용 [ 아바타 및 아이템의 분실, 강탈 증가]
- 부정확한 게시물을 통한 광고 [ 게시물 , 덧글 등]
- 광고를 하기 위한 목적 혹은 사용자 PC를 조정하기 위한 ActiveX [ 사회공학적인 해킹 부분]
- 악성코드의 문제 [ 사용자 접근성 확대에 따른 악성코드 노출 영역의 극대화]

1. 서비스 기업으로서의 보호:
UCC 에 대한 보안성 검증 : 기술적인 보안성을 검증 하여야 함. 게시물에 포함된 악성코드 및 HTML을 허용하여 사용자의 자유도를 높이는 만큼 그 위험성 ( XSS 및 Code Running)에 대해서 보호 방안을 수립 하여야 함. 보호 방안으로서는 Filtering 메소드의 필수적인 환경 구축 및 활용이 필요. 

1) Filtering Method

- 개인정보 침해 관련 사안의 조정 – 댓글 ,게시글
- 악성코드 실행 부분 – 게시물 , HTML 파일 , Image , Flash , 동영상
- 악성코드 위험 요소 판별을 위한 자동 판별 시스템 도입 및 수작업에 의한 모니터링 필수 [ 모니터링 대상 항목 – 성인, 개인정보 침해 , 악성코드 설치 , 광고글 , 개인정보 유출 관련 실행 코드 , Virus , Worm ]

2) Platform 의 체계화
- Filtering 시스템에 대한 체계적인 구성
- 전체 사용자 입력에 대한 Filtering 구조의 수립
- 전문 보안인력에 의한 Filtering Rule의 추가 및 빠른 변화에 대한 대응 능력 재고 필요
- 사용자의 직접 입력 시에 빠른 모니터링이 안될 경우 기업 입장에서는 치명적인 문제에 노출 될 가능성 증대 됨

3) 개인정보 보호 관련 대응 방안 수립 필요
- 개인정보 관련 이슈는 기술적 방안으로 최소화 시키는 것이 필요 . Filtering과 연계하여 구성 하는 것이 필요
- 개인 정보 오남용 관련된 모니터링 필수
- 개인정보 오남용시의 필수 대응 프로세스의 수립 – 고객센터부터 실 서비스 부서까지 빠른 대응 필요

4) Web service에 대한 기술적인 보호
- 보안성 검수 프로세스의 일반화 – 전문인력 및 보안 전문가 집단을 활용한 최신 취약성에 대한 검수 체제 수립
- Web Service를 구성하는 최신 기술 동향에 대한 취약성 연구
- Web 2.0의 요소 기술간의 정보 전달 부분의 암호화 및 외부 노출 최소화
- 비정상 행위 탐지를 위한 Anomaly Detection 부분의 구축
- 현재 당면한 SQL Injection 및 XSS [ Cross Site Scripting]에 대한 전면적인 대책 수립 이후의 프로세스화
- 서비스 보호를 위한 전문가 집단의 수시 활용 또는 전문가 집단의 보유 필수
- 사용자 ID/ Password에 대한 보호 방안 수립과 시행 [ ex : password의 단방향 암호화등 ]

5) 사용자에 대한 Security awareness 강화
- 서비스 차원에서의 게시물에 대한 악성코드 , 위법성 여부에 대한 Awareness 강화
- 불법 악성코드 및 개인정보 유출 관련된 사용자에 대한 합리적인 처벌 방안 마련
- 보안상의 문제 해결을 위한 서비스 기업 차원의 정보 제공 확대 및 위험 여부 , 법적인 위배 사항에 대한 명확한 가이드 수립

2. 사용자 관점에서의 보호
사용자 관점에서의 보호는Client 상에서의 Web 2.0관련된 일련의 기술 흐름에 대한 보호 대책을 언급 한다. 향후 발생 가능할 부분에 대한 Security Awareness 측면에서의 사용자 보호 방안

1) 개인 PC 차원의 보호 방안 수립
- 메일 및 게시물의 링크 선택 시 접근에 유의
- 첨부 파일등에 의한 바이러스, 웜등의 감염 주의
- AV 백신 및 각 운영 체제별 보안패치 및 설정
- ActiveX 의 시스템 설치 제한 및 확인
- 주기적인 보안설정 검사 [ AV 체크 , 보안설정 체크 ]

2) 사용자 정보 보호
- 주기적인 패스워드의 변경
- 사이트별 분류에 따른 등급 관리 및 ID / 패스워드의 분리 활용
- 사이트 가입시의 보안 등급의 확인 [ 일정 수준 이상의 정보보호 수준을 인증 – 기존의 안전진단 및 보안컨설팅 , ISMS 인증 등에 네트워크 보안 및 ID/PASS 보호 방안에 대한 확인 이후 일정수준의 등급 부여 필요]
- 정부기관 및 신뢰된 사이트로부터 배포되는 보안 솔루션에 대한 선별 설치 필요 [ 키보드 보안 , 보안패치 , AV 솔루션 등등]

올해 년초의 보안 전망에서 너도나도 할 것 없이 UCC의 위험에 대해서 언급을 하고 있습니다.

해외 보안 업체 뿐 아니라 국내 보안 업체들도 마찬가지의 목소리를 내고 있는데 실상 얼마 만큼의 위험요소가 있을까요?

실제 가벼운 예를 통해서 풀어 보도록 하겠습니다.

http://www.etnews.co.kr/news/detail.html?id=200701080117

Web 2.0은 사용자 중심의 UI를 통한 사용자에 의한 컨텐츠 제어로 규정 할 수 있을 것 같습니다. 물론 제 나름의 정의입니다. ^^

이 관계에서 AJAX든 UCC든 다양한 사용자 중심의 컨텐츠 구성이 핵심이 될 수 있을 것 같습니다. 이 중에서도 UCC [ 사용자 저작 컨텐츠]라고 칭할 만한 것은 매우 많이 있지만 국내외적으로 통용되는 부분은 동영상 부분을 언급 할 수 있습니다. 구글에 인수된 유튜브를 비롯하여 국내에도 다양하고 많은 동영상 서비스 제공 업체들이 있으며 현재도 활발하게 서비스를 하고 있는 상황입니다.

동영상이 핵심이 된 UCC 부분에 다가올 위협은 어떤 것들이 있을까요? 그리고 우리에겐 어떤 영향들이 있을까요?

Myspace 를 통한 Application 웜의 전파는 이미 시일이 지난 뉴스 입니다만 매우 손쉽게 기업이나 사용자들이  다양한 타격들을 받았습니다. 05년도에는 Javascript를 통한 이용자의 정보 도용 및 임의 전파가 가능한 가벼운 수준의 Application worm이 출현 하였습니다만 기업 입장에서는 개발 코딩의 변경 및 여러 관계 부분을 고치느라 고생을 하였을 것입니다.   이후 지난 연말 즈음에 Applie의 QuickTime 파일에서 임의적인 코드를 실행하게 하는 악성코드가 발견 되었고 해당 유형으로 인해 사용자의 피해가 다수 있었습니다. 앞으로도 계속 이어지겠죠. 온라인 상에서 서비스를 하는 기업이라면 말입니다.

QuickTime 포맷의 경우 편집기를 통해 중간 부분에 스크립트를 밀어 넣는 것이 가능해 집니다. 스크립트를 밀어 넣는다는 것은 원격지의 웹서버에서 악의적인 코드를 실행 시키게 하는 것이 가능하다는 것이죠. XSS [Cross site scripting] 취약성의 문제는 외부 링크를 허용하게 하거나 임의의 스크립트 코드를 실행 시키게 함으로써 사용자 PC에 악의적인 행위 혹은 사용자가 이용하는 웹사이트에 악의적인 행동을 할 수 있게 됩니다.

그렇다면 멀쩡한 게시판 및 링크들을 올릴 수 있는 부분을 제외하고 왜 동영상인가? 할 수 있습니다. 그 동안 XSS 취약성은 게시판 및 댓글 ..등등 사용자가 작성 할 수 있는 유형의 게시물에 많은 부분 발생이 되었고 많은 권고와 문제의 지적에 따라 상당부분 해결이 되었습니다.  즉 악의적인 코드의 실행을 유도 할 수 있는 원천 문제들이 다수 수정이 되었으므로 사용자가 직접 제작하여 올릴 수 있는 컨텐츠에 집중이 되는 것으로 볼 수 있습니다.

원천적인 악성코드 설치를 유도하는 소스의 변경은 다음과 같이 가볍게 볼 수 있습니다.

게시물의 XSS 취약성 이용 -> Jpeg 파일 변조를 통한 악성코드 설치 ->Flash내에 임의 코드 실행 루틴 추가 -> 동영상내에 악성코드 실행 루틴 첨가

현 재의 위험요소는 동영상 편집의 일반화 및 동영상 업로딩의 일반화에 따라 보다 더 많은 대중에게 노출이 가능한 컨텐츠가 보다 큰 효과를 얻을 수 있다고 판단을 하였을 것입니다. Mpeg 계열뿐 아니라 모든 동영상이 마찬가지의 문제를 안고 있습니다. 다만 문제의 해결은 이런 동영상들을 플레이 하는 플레이어의 판단에 따라 외부 코드가 실행이 되거나 되지 않거나 할 뿐입니다.

서론이 길었습니다. 간단하게 나타날 위험을 짚어 보겠습니다.

* 동영상 편집을 통해 중간이나 시작 부분등에 치료툴 [ 그동안 지긋지긋 하게 봐왔던 유형] 설치 및 광고가 들어 갈 수 있고 이런 유형은 매우 손쉽게 사용자 정보 유출 및 사용자 PC에 악의적인 코드를 실행 시키게 하여 원격에서 제어가 가능한 형태로  쉽게 전환이 될 것입니다.

* 동영상 플레이어의 경우 자체 제작한 동영상 플레이어 및 Media Player등을 거의 대부분 사용하고 있을 것인데 Media Player에 포함된 외부 URL , 스크립트에 대한 허용/ 비허용 기능의 Default On 기능이 Media Player 버전에 따라 들쭉날쭉 일관성이 없습니다.  Media player의 경우에는 허용/비허용이라도 있지만 대부분 자체 개발한 부분에는 해당 옵션 조차 없습니다.

* 자체 동영상 파일 원본을 보유한 곳은 패턴에 따른 검수라도 가능 하겠으나 단순 스트리밍 서비스를 제공 받는 곳은 치명적인 타격을 받을 수 있습니다.  [ MMS 프로토콜을 이용할 경우 버퍼링을 통해 방송이 됩니다. ] 파일 원본속에 포함된 악의적인 코드를 검출 하는 것이 불가능 하며 알려진 악성코드의 유형에 대해서만 다양한 보호장치를 통해 일부 판별하는 것이 가능합니다.

* 악성코드의 사용자 PC 공격 유형은 일반인들의 상상을 초월합니다. 보안장비나 패턴을 찾아내는 탐지기를 피하기 위해 다양한 변형기법들을 사용 하고 있으며  현재에도 널리 사용이 되고 있습니다. 단순하게 패턴을 찾는 유형으로는 일차적인 대응외에는 더 할 수 있는 일이 없다고 볼 수 있습니다. encoding 단계를 넘어선 상황입니다.

- 최악이라 볼 수 있는 것은 이슈성이 매우 큰 폭발력이 있는 동영상에 신규 취약성을 공격하는 코드 실행 루틴이 숨겨져 있을 경우 [ 일반적인 패턴매칭으로는 찾을 수 없을때] 한번에 몇백만개의 백도어가 설치된 PC들을 동시에 제어하는 것이 가능해 질 수도 있다고 생각 됩니다.

대책은 무엇일까요?

- 자체개발 동영상 Viewer에서의 외부 URL 링크 및 스크립트 실행 부분을 비허용으로 설정 [ 이럴 경우 광고등에 문제가 있을 것이므로 적당하게 현명한 대책이 필요합니다.] Media Player의 경우 버전에 따라 오락가락함.

- 전체 동영상 원본에 대한 발생 가능한 패턴의 발견 및 검증 절차 수립 [ 동영상 원본 자체내의 패턴을 검사하여 비정상 패턴을 걸러내야만 합니다. ]

- Streamming 서비스시에는 Streamming 서비스 원본을 제공하는 주체에서 명확하게 검증을 수행 하여야 하며 단순한 스트리밍 서비스를 중계하는 업체의  경우 에는 인력을 동원한 검증작업 이후나 검증 루틴을 소스제공 주체에 제공하여 보안을 강화하는 방식이 효과가 있을 것입니다.

여 담으로 IPTV가 활성화 된다고 합니다. 생방송 도중 악성코드가 삽입이 된다면 어떻게 될까요? 발생할 일이 없을까요? 장담하기 어려울 것입니다. 주문형 VoD의 경우에도 매우 큰 문제가 될 것이구요. 비단 UCC만의 문제가 아니라 전체 웹 및 서비스 산업의 발전에 따른 비용입니다. 서비스의 발전에는 그만큼의 그늘이 존재 할 수 밖에 없습니다. 모든 것은 발전을 지향하고 이상적인 모델을 추구합니다. 또한 공격자들도 이상적인 모델을 꿈꿉니다. 발전은 병행하며 공격기술의 발전은 무어의 법칙을 넘은 수준입니다. ^^;

모 든 서비스의 발전에는 물밑의 수없이 많은 다리의 움직임이 있어서 유지가 되는 것이라 할 수 있습니다. 많은 부분 노출이 되고 숨길만한 게재가 없는 "UCC"의 흐름에서 작은 문제 하나가 종종 만사를 어렵게 만들기도 합니다. 보안이라는 부분은 더이상 여유가 있을때 노력을 해야만 하는 충분조건이 아닌 필요충분조건으로서의 폭발력을 이미 가지고 있다고 봅니다.

앞으로 곧 현실화 될 문제이고 현재 당면한 문제입니다.

출처: http://blog.naver.com/p4ssion?Redirect=Log&logNo=50012928081