[칼럼] 98년의 크리스마스

전상훈

2009년의 연말에 뜬금없이 10년도 더 지난 날짜의 크리스마스를 언급한다.

1998년 12.25일에는 RFP (Rain Forest Puppy)에 의해 최초로 DB와 웹애플리케이션간 SQL인젝션에 대한 발표가 이뤄졌다. 발표는 프랙으로 불리는 해커들의 온라인 잡지를 통해 이뤄졌다. 현재 인터넷 서비스에서 크고작은 문제를 일으키는 SQL 인젝션 이슈는 벌써 11년전에 발생한 것이다.

오랜 역사가 있는 SQL인젝션 문제는 지금 어떤 모습이고 어떤 영향을 미치고 있을까? 우리는 어디쯤에 와있을까.

당시에는 누구도 지금과 같은 사태가 벌어질 것이라고 예상하지 못했다. 불과 3~4년 전만해도 전문가들은 전문가들 나름대로 관심을 두지 않았고 비전문가들은 전혀 모르는 상태였다. 단 하나의 권한을 획득하기 위해서는 수없이 많은 시행착오와 쿼리를 던져야만 일정 수준의 결과를 가져 오는 것에 대해 누구도 심각성을 인지하지 못했다.

SQL익젝션에 심각성이 드러난 것은 자동화된 공격 도구가 나오면서부터다. 단일 웹사이트에 대한 자동화된 공격도구 등장과 대규모 웹사이트에 대한 대규모 SQL 인젝션 공격툴의 출현으로 문제가 꼬이고 있는 것이다.

상황은 점점 어려워 지고 있다. 시기별로 SQL 인젝션 공격의 변화와 흐름은 지난해에 정리한 글을 참고하면 된다.

최초 출현 이후의 변화는 지난해에 작성한 글을 참고하면 되고 현재의 상황은 어떤 상황인지 살펴 보도록 하자.

IBM의 X-포스에서 2009년 상반기 위협 동향과 리스크에 대해 종합한 보고서를 내놨는데 요약 부분만을 보면 다음과 같은 동향을 보여준다.

1 .2009년 상반기중 발표된 전체 취약성의 50% 이상이 웹 애플리케이션에 대한 취약성이며 상반기중 발표된 취약성중 절반 가량이 패치가 발표되지 않은 취약성이다.

2. 웹사이트 취약성을 공격하는 비율이 급증하고 있다. 2009년 2분기에는 전분기 대비 공격 비율이 두배 가량 늘었다.

3. 일반적으로 사용자들이 안전하다고 생각되는 문서유형에 악성코드를 결합시키는 것이 늘고 있으며

어도비 PDF 취약성은 최초로 톱5 취약성 항목에 선정됐다. MS 오피스 취약성과 PDF를 이용한 취약성이 일반적으로 사용이 되고 있으며 웹서비스를 통한 악성코드유포, 이메일을 통한 전파가 2009년 상반기 급증했다.

4. 2009년 상반기 악성코드를 유포하는 URL 링크는 508%나 폭증했다.

5. 스팸메일은 상반기에 40% 증가했다.

요약만 놓고보면 웹애플리케이션 관점으로 본 취약성 및 동향 보고서로 보이지만 실제 상반기 동향을 전체적으로 살펴보고 내린 종합 보고서라는 점에 의미를 두어야 한다.

눈에 띄는 점은 웹 애플리케이션에 대한 공격은 시간이 지날수록 줄어 드는 것이 아니라 시기, 사안, 목적에 따라 급증할 가능성이 높다는 점이다. 얼마 전 있었던 중국 내 공공기관 및 교육기관에 대한 대규모 악성코드 유포 행위는 그동안 공격자로만 인식 되어 왔던 중국 조차도 심각한 상황에 이르렀음을 보여준다. 총 18여만개의 gov.cn, edu.cn 기관 웹사이트에서 악성코드가 유포되는 사례가 발견됐다.

단 기간에 웹서비스에 대한 대규모 공격이 성공적으로 이뤄지고 웹이 도구로 활용되는게 가장 우려할 만한 점이고 향후에는 더 심각한 상황이 벌어질 것이다.

내부망을 침입하는 도구로서 웹 애플리케이션을 직접 공격하는 행위와 무차별적인 악성코드 유포를 위해 웹 애플리케이션을 공격하는 행위는 동시에 발생할 것이다. 전자는 기업이나 기관 내부망에 침입해 자료를 탈취 하거나 금전적인 이득을 얻는 것에 사용이 되고 있으며 후자는 개인 PC의 금전 거래 관련 정보와 온라인 정보를 절취함으로써 이득을 얻는 것이 일상적인 현실이다.

국가 기반시설이라고 할 수 있는 기반시설망(전력, 가스, 통신, 교통)에 대해서도 심각성이 높으며 향후 강도 높은 주의가 필요하다는 점은 외부와 연결된 접촉지점을 가질 수 밖에 없기 때문이다. 앞으로 위험은 더 크고 치밀해질 것이다.

IBM의 X-포스에서 발표된 자료를 조금 더 살펴보자.

대량 공격의 일반화에 대해 IBM에서 모니터링이 가능한 사이트들에서 발견된 공격로그들만을 살펴 보면 현황을 알 수 있다. 일단위로 2008년에는 평균 10만에서 20만 정도의 SQL 공격로그들을 관찰 할 수 있었으나 2009년 5월에는 최고 70만건의 일별 공격로그가 관찰 되는 것을 볼 수 있다. 웹 애플리케이션에 대한 공격로그에서 공격기법별로 분류한 자료다. XSS 취약성과 인젝션 공격이 사실상 대부분을 차지하고 있다고 볼 수 있다. 여기에 공격의 파급효과를 판단하면 인젝션 월등히 높은 가중치를 지닐 수 밖에 없다.

물론 위 데이터 자체는 IBM에서 판매하고 있는 침입탐지 장비에서 탐지된 로그를 기반으로 하고 있을 것이다. 지난 글로벌 보안 위협에 대한 분석에서 언급 하였듯이 전체적인 동향과 흐름을 인지하는 방식으로 참고할 수 있을 뿐이다.

해외 언론에서 언급하는 ‘New’ 라는 용어에 너무 겁먹을 필요 없다. 공격 방식은 동일하다. 약간의 변형들이 있을 뿐이다. 해외언론에서 언급하는 New SQL 인젝션이란 용어 자체는 단지 새로운 악성코드를 유포하는 링크가 변경 되었다는 점 외에는 없다. 새로운 공격 유형은 아니라는 얘기다.

국내의 모회사에 대한 해킹과 해외 보안 회사들의 웹 서비스에 대한 해킹을 통해 위험성을 알리는 'Unu'이란 친구의 공격이 지금 시점에 중요한 것은 아니다. 공명심에 그러한 행동을 하는 것은 뒤에 더 큰 문제를 보이지 않게 만든다. 공개된 공격도구를 이용해 특정 목표에 대해 꾸준하게 문제점을 찾고 공격 시도를 하는 것은 일반적인 스크립트 키드에 지나지 않는다.

정말 중요한 사안은 분 단위로 권한을 획득 당하고 소스코드가 변조되는 웹서비스들이다. 또 웹서비스들을 숙주 삼아 정체를 전부 파악 하기 어려운 악성코드들이 전 세계를 걸쳐 무작위로 유포가 된다는 점이 더 치명적이다.

오래된 얘기지만 준비는 어디에도 없다. 너무 많은 곳들이 당하다 보니 일상적인 상황이 됐다. 그만큼 치명적인 위험들도 더 가까이 와 있다.

필자가 보는 관점은 명확하다. 문제가 될 것임은 이미 예측 되어온 바다. 그러나 어디에도 장기적인 해결책이나 방안을 마련 하려는 곳들은 없다. 한 기업이나 조직에서 해결 하기에는 문제가 너무 커져 버렸다. 문제는 시간이 지날수록 점점 커질 수 밖에 없다. 해결을 위해서는 현실을 직시하고 장기적인 방안을 마련 해야만 한다.

사이버 상의 스팸과 광고, 정보거래를 통해 금전적인 이득을 얻던 검은 그룹들은 이제 공개적으로 침입을 하고 권한을 획득하고 내부에 침입해 노골적으로 이득을 취하고 있다. 세븐일레븐에 대한 침입, 지난해에 있었던 씨티은행에 대한 침입들이 모두 해당이 된다.

최근독일 대학생들이 국내 IT기업의 내부 기밀을 해킹한 이후 협박을 했던 웃지 못할 경우도 동일한 사례이다. 국내 사례는 뭐라 평하기 어려울 정도로 당혹스럽다.

독일에서 한국으로 접속해 느린 속도에도 불구하고 750기가나 되는 양을 빼내어 갈 그 많은 시간 동안 무얼 했을까? 문제점들은 찾아서 해결을 했을까? 하는 여러 단상들이 있다.

언급한 여러 사건들 중 상당 부분의 침입들이 내부망에 침입하기 위한 통로로서 웹 애플리케이션 공격을 선택 하였고 실제 성공했다. 앞으로 더 많은 사례들을 볼 수 있을 것이다. 보다 치명적이고 위험한 사례들은 머지않아 출현 할 수 밖에 없다.

11년이나 된 공격의 유효성은 지금에 와서야 대규모 피해를 입고서 인식이 된다. 그러나 해결책은 쉽지 않다. 시큐어프로그래밍도 어려운 과제고 보안도구들의 대량 도입도 난관이 많다. 풀어야 할 프로세스들도 산재해 있다. 무엇보다 중요한 것은 기업이나 산업에 보안은 치명적인 요소로 작용 한다는 것을 이해 하는 것이 먼저 일 것이다.

필자가 생각하는 해결 방안에 대해서는 근 시일내에 정리 하도록 하겠다.

중요성에 대한 인식은 너무 먼 곳에 있다. 세상이 어수선하다. 보이지 않는 인터넷 세상은 더 큰 좌절이 존재한다. 문제 해결까지는 정말 많은 시간이 소요 될 것이다. 모바일도 예외가 될 수는 없을 것이다.

모든 것은 이어져 있다. 이것이 인터넷이다. -바다란