패딩 오라클 익스플로잇(Padding Oracle Exploit) 이라는 툴을 이용해서 ASP.NET오류처리 버그를 이용한 세션 공격에 대한 시연 동영상입니다.
관련 뉴스 : http://www.boannews.com/media/view.asp?idx=22972&kind=0
대응 방안은 아래 URL을 참고하시기 바랍니다.
http://www.microsoft.com/technet/security/bulletin/ms10-070.mspx
A3Security SMS 2010 세미나를 마치고…
에이쓰리시큐리티 기획실 김춘곤
0. 준비하면서 – 기획 의도
무언가 행사를 한다는 것은 생각보다 훨씬 번거롭고 귀찮으면서 떨리는 일이 아닐 수 없습니다. 특히나 행사 당일 텅 빈 객석을 보면 이 자리가 제발 채워지기만 기도하게 됩니다.
회사의 위상을 높이고, 고객에게 필요한 정보를 제공함으로써 고객에게 쓸모 있는 기업이라는 이미지와 나아가서 향후 영업적인 소스로써 활용될 수 있도록 이 회사에게 무언가 일을 맡겨 보고 싶구나 라는 생각을 들도록 하는 것이 언제나 말처럼 쉬운 일은 아닙니다.
뭔가 행사에 앞서 기획을 하고, 이 행사에 참석시키고 싶은 사람이 누군지 생각하고 그 사람들에게 제공해 줄 수 있는 것이 무엇인지 고민하는 것은 참 어려운 일이라고 생각합니다.
기술이 발달하면서 다양한 보안 솔루션들이 넘쳐 나고 있는 데도 불구하고, 보다 안전한 IT 환경이 구현되고 있는지에 대한 물음표는 항상 남아 있습니다. 우리 에이쓰리시큐리티는 국내 최초 정보보호컨설팅 기업으로써 약간(?)의 사명감을 가지고 또한 좀 더 쉽게 보안이라는 분야에 접근하기를 바라는 마음과 이를 위하여 보안 관리자 분들이 조금 더 신경 써 주시고 노력해 주신다면 훨씬 더 안전한 환경의 구현이 가능할 것이라는 생각을 하면서 이번 행사를 준비하였습니다.
1. 환영사
한재호 대표님께서 준비하신 환영사 역시 우리의 이런 취지에서 벗어나지 않았습니다. 그리고 차후에는 좀 더 큰 행사로 발전하기 바란다는 말씀에 준비하는 입장에서 조금 찔끔(--;)하기도 하였지만, 에이쓰리시큐리티라는 기업에 대한 소개와 보안 관리자들이 왜, 어떤 것들을 준비해야 하는지에 대한 설명을 해 주시고 세미나 전반에 대한 소개를 잘 정리해서 해주셔서 다소 미진한 행사 준비를 채워주셨습니다.
2. 세션1 – 보안 컴플라이언스와 보안관리자의 역할
첫번째 세션은 한국인터넷진흥원(KISA) 이강신 단장님께서 "강화되는 보안 컴플라이언스에서 보안관리자의 역할"이라는 주제로 발표를 진행하여 주셨습니다. 사실 보안은 항상 컴플라이언스와 뗄래야 뗄 수 없는 관계에 있습니다. 특히나 저희가 보안 관리자 분들을 대상으로 진행하는 세미나인 만큼 꼭 알아야 하는 것이라고 생각해서 처음부터 제1세션에 내용은 확고하게 선정하고 시작하였습니다.
다만, 발표자가 단순히 우리 인원들이 하는 것보다는 아무래도 좀 더 공신력 있는 분이 해주시는 게 어떨까 해서 조심스럽게 이강신 단장님께 요청드렸는데, 흔쾌히 응해 주시고 좋은 발표 해주셔서 무척이나 감사했습니다.
3. 세션2 – 컴플라이언스 ESP 시스템 구축
두번째 세션은 앞선 세션에서 언급된 강화되는 보안 컴플라이언스 환경을 효율적으로 대처하기 위한 A3SECURITY의 RFinder ESP 대하여 전상미 ESP본부장님께서 발표하는 시간이었습니다.
정보보호의 중요성은 지속적으로 대두되고 있지만, 전체적인 업무 시스템 안에서 이를 적절하게 시행하기 위한 방법에 대해서는 실질적으로 이를 관리해야 하는 보안 관리자들에게 쉽지 않은 일입니다. 전상미 본부장님께서는 이러한 보안 관리에 보다 쉽고 편하게 접근 가능할 수 있도록 해주고, 경영진이나 관리자들이 현재의 상황을 일목요연하게 볼 수 있도록 해주며, 실무자들에게 어떻게 보안을 해야 하는지 방향을 제시해 주셨습니다.
준비한 것이 조금 더 있으셨는데, 짧은 발표 시간의 제한이 조금은 아쉬웠던 시간이었습니다.
4. 세션3 – 신한은행 조기대응시스템 구축 사례
1부 행사의 마지막 세션에서는 신한은행 김진섭 차장님께서 RFinder ESP의 기능 중 조기 경보/ 조기 대응을 중심으로 하여 구축한 신한은행의 조기대응시스템 AEGIS(아이기스)의 구축 사례를 설명하여 주셨습니다.
소프트웨어를 개발하여 공급함에 있어서 개발하는 벤더사의 입장에서 생각하는 활용 방법 보다는 실제로 이를 활용해야 하는 고객의 입장에서 바라봐야 한다는 것이 어떤 건지 보여주는 좋은 사례였으며, A3SECURITY RFinder ESP를 적절하게 사용하는 방안에 대한 설명의 자리이기도 했습니다.
5. 휴식시간
휴식시간에는 부스를 통한 서비스와 제품을 소개하는 자리를 약소한 다과와 함께 진행하였습니다. 부스에서는 다양한 RFinder 솔루션 소개, 보안 관제 등 서비스 소개, 그리고 A3SECURITY의 최고의 품질과 서비스의 보안 컨설팅을 소개하는 자리를 마련하였습니다.
6. 세션4 – 보안 관제 패러다임의 변화
다시 시작한 2부의 첫번째 세션 발표는 본래 스마트폰과 관련된 세션이었으나, 발표자이신 주세홍 팀장님이 일정 때문에 다소 늦어지셨고, 이 바람에 갑작스럽게 유훈상 팀장님께서 2010년 A3SECURITY가 야심차게 준비하고 있는 차세대 보안 관제 서비스 AEGIS(이지스) 소개를 비롯하여, 최근 보안 관제 트렌드에 대해서 설명해 주시는 자리였습니다.
재미있었던 것은 현장에서 RFinder를 이용하여 구축한 신한은행 조기 경보 시스템의 명칭 역시 동일한 철자를 이용하는 AEGIS였으며, 다만 읽는 방법이 그리스어(아이기스)인가, 아니면 영어(이지스)인가의 차이만 있을 뿐이었습니다. 둘 다, 메두사의 머리가 각인된 방패로써 IT 자산을 안전하게 보호한다는 의미와 미해군의 최첨단 레이더함에서 그 의미를 따왔습니다.
7. 세션5 – 스마트폰 보안위협과 대응 전략
세미나 준비 전부터 가장 큰 관심을 끌었던 것은 역시 최근의 IT 화두라고 할 수 있는 "모바일"이었습니다. 우여곡절 끝에 시작한 세션5는 시작전부터 여러 언론사에서 미리 자료를 요청하는 등 반응이 꽤나 뜨거웠으며, 여러가지 사정으로 나가지는 못했지만, 실제로 공중파에서도 촬영 요청이 오곤 했습니다. 준비하는 저희 쪽에서도 발생할 수 있는 보안 위협 등을 고려해서 동영상과 해킹 시나리오의 경우에는 자료집에도 실을 수 없어서 현장에서만 보여드렸습니다.
동영상을 통한 해킹 시연은 먼저 악의적인 공격자가 사람을 혹하게 만들 수 있는 이메일을 스마트폰 사용자에게 보내서 악성코드가 삽입 된 앱 설치를 유도하고, 그렇게 설치된 앱은 한번만 실행해도 스마트폰을 일종의 "좀비폰"으로 만듭니다.
공격자는 i) 스마트폰에 들어 있는 주소록이나 통화 정보 등을 훔쳐갈 수 있습니다. ii) 현재 스마트폰의 위치 정보를 훔쳐서 스마트폰 사용자의 위치를 찾아낼 수 있습니다. iii) 마지막으로, 해커는 감염된 스마트폰을 이용해서 문자메시지를 발송할 수 있습니다. 특히, 특정 사용자에게 다량의 메시지를 발생할 경우에는 마치 DDoS 공격처럼 악용될 수도 있는 만큼 사용자들의 각별한 주의가 필요합니다.
8. 세션6 – Security ROI
마지막 세션은 A3SECURITY와 여러가지로 인연이 깊으신 고려대학교 대학원 김휘강 교수님이 맡아 주셨습니다. 보안 관리자들의 가장 큰 고민인 예산 편성을 어떻게 하는 것이 합리적인 방법인지에 대해서 R.O.I(Return on Investment) 측면에서 설명해 주셨습니다.
행사의 마무리 주제로써 정말 좋은 주제였던 것 같습니다. 바쁘신 일정에도 흔쾌히 세션 발표를 맡아주신 김휘강 교수님, 이강신 단장님, 김진섭 차장님께 모두 감사의 말씀을 드리고 싶습니다.
9. 마치며…
모든 일이 그렇듯이 행사가 끝난 후에는 끝났다는 안도감과 함께 적지 않은 아쉬움이 남습니다. 조금 더 여유 있을 때 더 많이 준비했었으면 하는 생각이나, 더 많은 분들에게 홍보하고 더 많은 분들에게 조금 더 의미 있는 시간으로 만들었으면 하는 아쉬움은 결국 다음 번 행사로 미룰 수 밖에 없게 되었습니다.
다만, "A3SECURITY SMS 2010 – MADE 人 SECURITY"은 제목이나 주제부터 그리고 세션 구성 등등에 예년보다는 조금 더 준비했고, 내년에는 더욱 멋진 행사로 만들어 갈 수 있을 것이라는 기대를 가질 수 있는 것으로 다소나마 위안을 삼아야 할 것 같습니다.
마지막으로, 세션 발표를 해 주신 이강신 단장님, 김진섭 차장님, 김휘강 교수님, 전상미 소장님, 유훈상 팀장님, 주세홍 팀장님께 진심으로 감사의 말씀을 드립니다. 또한 세션 발표를 위한 자료를 다듬고, 부스 운영을 위한 내용을 만드신 현업에 많은 분들 또한 고생하셨고 수고하셨다는 말씀을 남깁니다. 디자인 등의 협조와 당일 행사 진행을 도와주신 STAFF 분들, 그리고 많은 관심을 가져 주신 사장님 이하 임원분들께도 감사의 말씀을 드립니다.
행사 당일 참석해 주셨거나 이후라도 관심 가져주신 언론인 분들에게도 깊은 감사의 말씀을 드리며, 무엇보다도 부족한 행사지만 큰 관심으로 방문해 주신 고객분들께 좀 더 좋은 서비스와 제품으로 보답하고, 이후에 더욱 좋은 자리를 만들어 드리도록 준비하겠습니다.
끝으로, 가끔 발음도 꼬이고 어설픈 사회로 진행이 매끄럽지 못했던 점 사과드리고, 뒤풀이 참가도 못하시고 바삐 떠나신 분들 우리 K모 대리의 버라이어티한 모습을 못 보신 것에 심심한 유감을 보냅니다.
감사합니다.
이번년도에서 어김없이 10월중에서 H.U.S.T에서 개최하는 Hacking Festival 이 있습니다.
대회 참석에 관심 있는 분들은 참고 하시기 바랍니다.
:: 제 9회 2010 H.U.S.T Hacking_Festival ::
0x08. Stimpack
|
Microsoft 의 Sysinternals 에서 제공되고 있는 Tool들은 취약점 점검할시에, 보안 점검할시에 매우 유용하게 사용되고 있습니다.
Tool 들이 워낙 많기 때문에 각각에 대한 버전 업데이트 정보를 얻는것도 쉽지 않죠.
아래는 Sysinternals 관련된 툴 (SysinternalSuite 라고 하지요) 들을 이전 다운로드 받은것과 비교해서 업데이트 된 부부분은 자동으로 교체해주는 배치 파일 스크립트 입니다.
URL 정보 : http://sysadmingeek.com/articles/batch-script-to-auto-update-sysinternals-tools/
@ECHO OFF SETLOCAL ENABLEDELAYEDEXPANSION SET SysInternalsTools="%Temp%\SysInternalsTools.tmp.txt" ECHO Detected directory: %~dp0 ECHO Downloading current tool list... ECHO. ECHO. IF EXIST %SysInternalsTools% DEL %SysInternalsTools% ENDLOCAL ECHO. |