출처 : http://www.zdnet.co.kr/news/internet/hack/0,39031287,39160081,00.htm
Robert Vamosi ( CNET News.com ) 2007/08/08
올해 블랙햇은 국가 사이버 보안의 황제였다가 현재 소설가이자 굿 하버 컨설팅 회장으로 재직 중인 리처드 클라크의 선견지명이 있는 기조 연설에 요약돼 있다.
클라크는 "사이버스페이스 1.0에 대한 경제의 의존도는 점차 커지고 있지만, 사이버스페이스 1.0에 대한 보안은 제대로 갖춰지지 않았다"고 말했다. 웹 서버(웹사이트)와 웹 클라이언트(브라우저) 간에 프로세싱 태스크를 구분하는 기술인 에이잭스(비동기 자바스크립트와 XML)에 확보된 명백한 속도로 인해 웹 2.0은 일부 보수주의파의 공격에 노출됐다.
실시간 지메일 계정 하이잭보다 이것을 명확하게 입증하는 것은 없다. 애초 동료 데이빗 메이너와 함께 발표할 예정이었던 대담에서 에라타 시큐리티 CEO 로버트 그레이엄은 스탠딩 전용룸 관객을 위해 햄스터와 페렛이라는 툴을 이용해 웹 2.0 사이트 URL의 무선 전파를 탐지할 수 있다는 것을 시연했다.
전혀 새로운 주제에 대해 이야기를 하던 중, 그레이엄은 배경에서 툴을 실행해 회의실에 있는 무선 패킷을 탐지, 본인의 대담을 지켜보던 관객이 사용하던 웹 2.0 세션 쿠키를 찾아냈다(연사로서 여러분이 프레젠테이션을 하는 동안 이메일 확인을 하는 사람을 방해하고 싶은 적이 있다면, 이것이 그때 사용된 툴이다).
쿠키를 가로채는 것은 새로운 것이 아니다. 새로운 것은 그레이엄이 아무 것도 없는 상태에서 웹 2.0 클리어 텍스트 세션 쿠키를 가로채서 새 브라우저에 포착한 URL을 집어넣을 수 있었다는 사실이다. 암호도 필요 없다. 쿠키만 있으면 된다.
그레이엄은 대담 말미에 본인의 햄스터 툴을 공개하고 몇 가지 가능성이 높은 후보군을 확인했다. 그레이엄은 대담을 하는 동안 개설했던 지메일 계정을 선택했다. 프레젠테이션 스크린에 불이 켜지자 웬 불쌍한 사내의 유효한 지메일 계정이 화면에 잠깐 나타났다. 그레이엄이 화면에서 정보를 재빨리 없애기도 전에 모두 환호성을 질렀다.
그럼 지메일은 쓰지 말아야 할까? 아니다. 지메일 즐겨찾기(나 기타 구글 관련 즐겨찾기)의 URL을 http:// 에서 https:// 로 바꾼다면 에라타 시큐리티 해킹은 효력을 잃는다.
하지만 페이스북과 핫메일, 기타 여러 웹 2.0 계정은 사정이 다르다. 그레이엄은 전통적인 웹 1.0 사이트는 오래 전에 세션 쿠키를 종료시키는 법을 배웠지만, 웹 2.0 사이트에 사용되는 쿠키는 여러 해가 지나도 만료되지 않기 때문에 시내 스타벅스에 앉아서 무선으로 계정을 도용할 수 있으며 몇 달 후에도 해당 개인의 계정에 접근할 수 있다고 전하고 있다.
이 같은 신형 위장 공격이 정말 무서운 점은 피해자가 사태를 전혀 모르는 데다가 계좌 암호를 변경해도 아무 효과가 없다는 사실이다. 공격자는 메시지를 전송하고 기존 메시지를 읽고 심지어 웹 메일 서비스 자체의 외관과 느낌을 변경할 수 있지만, 계정 보유자를 계정에서 차단할 수는 없다.
SPI 다이내믹스에 근무하는 빌리 호프먼과 브라이언 설리반은 별도의 대담에서 웹 2.0 열풍에 대해 언급하며 안정적인 사이트조차 견고한 보안업무를 희생시키고 웹사이트를 "에이잭시파이(Ajaxify)"하고 있다고 전했다. 이를 증명하기 위해 두 사람은 에이잭스로 구동한 여행 웹사이트 해커트래블닷컴을 구축했다.
두 사람은 현재 에이잭스에 사용되는 모범사례를 따라 사이트를 구축했다. 하지만 대담에서 설리반과 호프먼은 이미 알려진 에이잭스의 취약점을 어떻게 이용할 수 있는지 입증했다. 일례로, 두 사람은 클라이언트에 대한 자바스크립트를 재배열하여 비행기 전 좌석을 예매하거나(서비스거부 공격으로) 단돈 1달러로 왕복티켓을 구매할 수 있었다.
작년에 호프먼은 웹 2.0 에이잭스 기술에 들어 있는 여러 가지 문제점을 지적했으며, 올해에는 개발자들을 대상으로 사업 논리를 클라이언트 측 거래에 치중해서는 안 되며 모든 사업을 웹 서버에 유지해야 한다고 주장하며 주제를 정리했다. 이 주제에 대한 호프먼과 설리반의 이야기는 최근 시큐리티 바이츠 팟캐스트에서 자세히 들을 수 있다.
빌리 호프먼은 컨퍼런스 말미에 엔터프라이즈 매니지먼트 테크놀로지 경영 부사장이자 공동설립자인 존 테릴과 함께 돌아와, 자바스크립트와 펄로 구축한 프로토타입 웹 2.0 웜을 언급했다.
호프먼은 웹사이트에 크로스사이트 스크립팅 취약점이 있다면 웜은 자바스크립트 형태로 해당 웹사이트에 침투할 수 있다고 설명하고 있다. 웜 내부에 펄 버전이 들어 있기 때문에 사용자가 웹사이트를 방문하면 자바스크립트 버전은 웹 브라우저에 다운로드되고 펄 형식은 웹 서버에 침투할 수 있으며 클라이언트에서 서버로 손쉽게 이동할 수 있다.
전에도 컴퓨터 웜은 본 적이 있지만, 두 사람은 새로운 창작물이 시큐니아와 같은 보안 사이트의 취약성 데이터를 끌어내 새로운 취약점을 악용하기 때문에 현 데스크톱 보안 보호 장치를 무력화시킬 수 있다고 주장한다.
현재 이런 웜은 야생 상태로 존재하지 않지만 테릴과 호프먼은 다른 사람들이 이런 짓을 할 수 있다고 주장하고 있다. 호프먼의 창작물에 대해서는 최근 시큐리티 바이츠 팟캐스트에서 자세히 들을 수 있다.
희망은 있다. 웹 서버에 대한 코딩 관행 강화에 덧붙여, 결정적인 웹 2.0 취약점을 방지하기 위한 또 하나의 방법은 클라이언트의 브라우저에서 자바스크립트를 록다운하는 것이다.
블랙햇에서 모질라는 자바스크립트 오류를 방지하기 위해 누구나 파이어폭스(혹은 브라우저)를 테스트할 수 있는 신형 툴을 공개했다. 중요한 것은 애플 사파리와 마이크로소프트 인터넷 익스플로러, 오페라에도 이 툴을 사용할 수 있다는 점이다.
윈도우 스나이더는 본인의 프레젠테이션 전의 인터뷰에서 ‘나이틀리 빌드’라는 최신빌드를 정기적으로 다운로드하는 파이어폭스 이용자는 전세계에 약 1만명이 있다고 말했다.
모질라 보안 팀이 나이틀리 빌드 안에 새로운 수정 기능을 공개한다면, 바로 이 만명의 이용자들이 다양한 기계에 대해 그야말로 다양한 상황에서 수정 기능을 테스트할 수 있는 것이다.
따라서 모질라는 경쟁사에 비해 속을 끓이지 않고 보안 패치를 신속하게 출시할 수 있다. 모질라는 전세계 이용자 수백만명을 활용하기 때문에 모질라는 향후 파이어폭스의 결함이 악용되기 전에 이를 찾아내는 열정적인 이용자들이 늘어나기를 바라고 있다. @
Robert Vamosi ( CNET News.com ) 2007/08/08
올해 블랙햇은 국가 사이버 보안의 황제였다가 현재 소설가이자 굿 하버 컨설팅 회장으로 재직 중인 리처드 클라크의 선견지명이 있는 기조 연설에 요약돼 있다.
클라크는 "사이버스페이스 1.0에 대한 경제의 의존도는 점차 커지고 있지만, 사이버스페이스 1.0에 대한 보안은 제대로 갖춰지지 않았다"고 말했다. 웹 서버(웹사이트)와 웹 클라이언트(브라우저) 간에 프로세싱 태스크를 구분하는 기술인 에이잭스(비동기 자바스크립트와 XML)에 확보된 명백한 속도로 인해 웹 2.0은 일부 보수주의파의 공격에 노출됐다.
실시간 지메일 계정 하이잭보다 이것을 명확하게 입증하는 것은 없다. 애초 동료 데이빗 메이너와 함께 발표할 예정이었던 대담에서 에라타 시큐리티 CEO 로버트 그레이엄은 스탠딩 전용룸 관객을 위해 햄스터와 페렛이라는 툴을 이용해 웹 2.0 사이트 URL의 무선 전파를 탐지할 수 있다는 것을 시연했다.
전혀 새로운 주제에 대해 이야기를 하던 중, 그레이엄은 배경에서 툴을 실행해 회의실에 있는 무선 패킷을 탐지, 본인의 대담을 지켜보던 관객이 사용하던 웹 2.0 세션 쿠키를 찾아냈다(연사로서 여러분이 프레젠테이션을 하는 동안 이메일 확인을 하는 사람을 방해하고 싶은 적이 있다면, 이것이 그때 사용된 툴이다).
쿠키를 가로채는 것은 새로운 것이 아니다. 새로운 것은 그레이엄이 아무 것도 없는 상태에서 웹 2.0 클리어 텍스트 세션 쿠키를 가로채서 새 브라우저에 포착한 URL을 집어넣을 수 있었다는 사실이다. 암호도 필요 없다. 쿠키만 있으면 된다.
그레이엄은 대담 말미에 본인의 햄스터 툴을 공개하고 몇 가지 가능성이 높은 후보군을 확인했다. 그레이엄은 대담을 하는 동안 개설했던 지메일 계정을 선택했다. 프레젠테이션 스크린에 불이 켜지자 웬 불쌍한 사내의 유효한 지메일 계정이 화면에 잠깐 나타났다. 그레이엄이 화면에서 정보를 재빨리 없애기도 전에 모두 환호성을 질렀다.
그럼 지메일은 쓰지 말아야 할까? 아니다. 지메일 즐겨찾기(나 기타 구글 관련 즐겨찾기)의 URL을 http:// 에서 https:// 로 바꾼다면 에라타 시큐리티 해킹은 효력을 잃는다.
하지만 페이스북과 핫메일, 기타 여러 웹 2.0 계정은 사정이 다르다. 그레이엄은 전통적인 웹 1.0 사이트는 오래 전에 세션 쿠키를 종료시키는 법을 배웠지만, 웹 2.0 사이트에 사용되는 쿠키는 여러 해가 지나도 만료되지 않기 때문에 시내 스타벅스에 앉아서 무선으로 계정을 도용할 수 있으며 몇 달 후에도 해당 개인의 계정에 접근할 수 있다고 전하고 있다.
이 같은 신형 위장 공격이 정말 무서운 점은 피해자가 사태를 전혀 모르는 데다가 계좌 암호를 변경해도 아무 효과가 없다는 사실이다. 공격자는 메시지를 전송하고 기존 메시지를 읽고 심지어 웹 메일 서비스 자체의 외관과 느낌을 변경할 수 있지만, 계정 보유자를 계정에서 차단할 수는 없다.
SPI 다이내믹스에 근무하는 빌리 호프먼과 브라이언 설리반은 별도의 대담에서 웹 2.0 열풍에 대해 언급하며 안정적인 사이트조차 견고한 보안업무를 희생시키고 웹사이트를 "에이잭시파이(Ajaxify)"하고 있다고 전했다. 이를 증명하기 위해 두 사람은 에이잭스로 구동한 여행 웹사이트 해커트래블닷컴을 구축했다.
두 사람은 현재 에이잭스에 사용되는 모범사례를 따라 사이트를 구축했다. 하지만 대담에서 설리반과 호프먼은 이미 알려진 에이잭스의 취약점을 어떻게 이용할 수 있는지 입증했다. 일례로, 두 사람은 클라이언트에 대한 자바스크립트를 재배열하여 비행기 전 좌석을 예매하거나(서비스거부 공격으로) 단돈 1달러로 왕복티켓을 구매할 수 있었다.
작년에 호프먼은 웹 2.0 에이잭스 기술에 들어 있는 여러 가지 문제점을 지적했으며, 올해에는 개발자들을 대상으로 사업 논리를 클라이언트 측 거래에 치중해서는 안 되며 모든 사업을 웹 서버에 유지해야 한다고 주장하며 주제를 정리했다. 이 주제에 대한 호프먼과 설리반의 이야기는 최근 시큐리티 바이츠 팟캐스트에서 자세히 들을 수 있다.
빌리 호프먼은 컨퍼런스 말미에 엔터프라이즈 매니지먼트 테크놀로지 경영 부사장이자 공동설립자인 존 테릴과 함께 돌아와, 자바스크립트와 펄로 구축한 프로토타입 웹 2.0 웜을 언급했다.
호프먼은 웹사이트에 크로스사이트 스크립팅 취약점이 있다면 웜은 자바스크립트 형태로 해당 웹사이트에 침투할 수 있다고 설명하고 있다. 웜 내부에 펄 버전이 들어 있기 때문에 사용자가 웹사이트를 방문하면 자바스크립트 버전은 웹 브라우저에 다운로드되고 펄 형식은 웹 서버에 침투할 수 있으며 클라이언트에서 서버로 손쉽게 이동할 수 있다.
전에도 컴퓨터 웜은 본 적이 있지만, 두 사람은 새로운 창작물이 시큐니아와 같은 보안 사이트의 취약성 데이터를 끌어내 새로운 취약점을 악용하기 때문에 현 데스크톱 보안 보호 장치를 무력화시킬 수 있다고 주장한다.
현재 이런 웜은 야생 상태로 존재하지 않지만 테릴과 호프먼은 다른 사람들이 이런 짓을 할 수 있다고 주장하고 있다. 호프먼의 창작물에 대해서는 최근 시큐리티 바이츠 팟캐스트에서 자세히 들을 수 있다.
희망은 있다. 웹 서버에 대한 코딩 관행 강화에 덧붙여, 결정적인 웹 2.0 취약점을 방지하기 위한 또 하나의 방법은 클라이언트의 브라우저에서 자바스크립트를 록다운하는 것이다.
블랙햇에서 모질라는 자바스크립트 오류를 방지하기 위해 누구나 파이어폭스(혹은 브라우저)를 테스트할 수 있는 신형 툴을 공개했다. 중요한 것은 애플 사파리와 마이크로소프트 인터넷 익스플로러, 오페라에도 이 툴을 사용할 수 있다는 점이다.
윈도우 스나이더는 본인의 프레젠테이션 전의 인터뷰에서 ‘나이틀리 빌드’라는 최신빌드를 정기적으로 다운로드하는 파이어폭스 이용자는 전세계에 약 1만명이 있다고 말했다.
모질라 보안 팀이 나이틀리 빌드 안에 새로운 수정 기능을 공개한다면, 바로 이 만명의 이용자들이 다양한 기계에 대해 그야말로 다양한 상황에서 수정 기능을 테스트할 수 있는 것이다.
따라서 모질라는 경쟁사에 비해 속을 끓이지 않고 보안 패치를 신속하게 출시할 수 있다. 모질라는 전세계 이용자 수백만명을 활용하기 때문에 모질라는 향후 파이어폭스의 결함이 악용되기 전에 이를 찾아내는 열정적인 이용자들이 늘어나기를 바라고 있다. @
관련기사 | |||||||||||
|
'웹 Plus+α' 카테고리의 다른 글
전세계에서 내 블로그를 보고 있는 곳은? 두번째 결과! (4) | 2007.08.26 |
---|---|
미국의 10대, 인터넷 사업 성공의 비결을 말하다 (0) | 2007.08.22 |
전세계에서 내 블로그를 보고 있는 곳은? (2) | 2007.07.25 |
인터넷, 헐리우드 영화 마케팅의 공식을 바꾼다 (2) | 2007.07.24 |
정보통신부가 발표한 "UCC 이용…이건 꼭 지켜 주세요!" (0) | 2007.06.07 |