웹 해킹과 보안

panics.egloos.com

포토로그 마이가든

"당신의 회사를 해킹해 드립니다"

"당신의 회사를 해킹해 드립니다"...신용재 패닉시큐리티 대표

<아이뉴스24>

누군가 '당신 회사의 인터넷 사이트를 해킹해준다'고 제의한다면 당신은 어떤 반응을 보이겠는가. 아마도 욕이 먼저 튀어 나올 성 싶다.

그러나 이같은 해킹 제안이 사실은 컨설팅 서비스라면 얘기는 좀 달라질 것이다.

'모의해킹'을 통해 사이트의 취약점을 파악한 후 기업 경영자나 사이트 담당자에게 보완할 부분을 알려주고 해결방법(솔루션)까지 제공하는 보안컨설팅서비스라면 말이다. 물론 이런 작업은 비밀리에 이뤄진다.

패닉시큐리티(www.panicsecurity.com)는 이같은 해킹 서비스를 전문으로 제공하는 기업이다. 짐작대로 해커들이 의기투합해 설립한 회사다.

패닉시큐리티에 모인 해커들의 지휘관인 신용재 대표는 회사소개에 앞서 해커라는 '말뜻 풀이'에 공을 들였다.

"해커들은 사회에서 자신들을 부정적인 시각으로 보는 것을 싫어한다. 전산망을 뚫어 허점을 발견하고 흔적을 남기는 등 '실력'을 과시하지만 데이터를 지우거나 시스템을 다운시키는 피해는 입히지 않기 때문이다."

신 대표의 해명(?)은 이어진다. "실제 시스템에 칩입해 피해를 입히는 사람은 해커와 구분해 '크래커'라 부른다. 그래서 해커들은 자신을 '하얀 모자', 크래커는 '검은 모자'라 부른다."

해커에 대한 설명을 마친후 비로소 패닉시큐리티에 대한 소개가 이어진다.

"지난해 8월 보안업체들에 흩어져 일하던 해커들이 뜻을 모아 설립했다. 그 이전에도 해킹을 연구하는 동호회 형식의 친목모임이 있었고 그 모임의 이름이 패닉시큐리티였다."

그들이 뜻을 모으게 된 배경은 우리나라 웹사이트들의 심각한 보안의식을 더 이상 두고 볼 수 없다고 판단했기 때문.

신 대표는 "지난해 정부기관과 언론사, 주요 기업들의 사이트가 잇따라 해킹당하는 등 갈수록 웹해킹이 빈번하게 일어나 좀더 체계적이고 조직적인 해결방법을 찾자는 논의를 하다가 결국 회사를 만들게 됐다"고 설명했다.

해킹을 당하면 데이터가 왜곡되고 서비스가 중단되는 피해가 발생한다. 그러나 신 대표에 따르면 이보다 더 큰 문제는 다른 데 있다. 신 대표는 "요즘은 인터넷이 내부 전산망에도 활용되기 때문에 기업의 인트라넷이나 웹기반 데이터베이스에 담긴 자료들도 얼마든지 유출될 수 있다"고 강조했다.

보안업계에서 활약하던 해커들이 회사를 만들었다는 소문은 금방 퍼졌다. 지난 6개월간 정부기관, 통신회사, 금융기관, 보험회사, 대기업 등 7~8곳이 해킹 의뢰를 해왔고 이들 사이트의 취약점을 분석해 컨설팅을 해주었다.

컨설팅 서비스와 함께 패닉시큐리티는 이를 토대로 웹사이트 취약점 자동분석도구인 '피에스스캔웹(PS ScanW3B)'도 개발, 공급하고 있다. 이 소프트웨어는 웹 애플리케이션 소스 코드를 자동으로 분석한 뒤 취약점을 찾아내는 게 특징. 자동 컨설팅 도구인 셈이다.

신용재 대표는 "외국 제품은 더러 소개된 적이 있지만 국내 개발자들이 우리 실정에 맞춰 개발한 제품으로는 처음"이라며 "국내 사이트에서 많이 사용되는 스크립트와 플래시에 대한 취약점도 쉽게 분석할 수 있으며 공격자의 입장에서개발됐기 때문에 사이트를 개편할 때마다 이 소프트웨어를 한번씩 돌려보면 약점을 자동으로 찾아낼 수 있다"고 자부심을 감추지 않았다.

패닉시큐리티는 올들어 급속하게 확산되고 있는 '산티'(Santy)웜에 대한 취약점을 확인할 수 있는 스캐너도 무료로 배포하고 있다. 산티웜은 PHP(홈페이지를 만들 수 있는 프로그래밍 언어)로 된 인터넷 사이트를 공격, 웹사이트를 변조시키는 웹서버 공격 전용 악성코드다.

국내 인터넷 사이트들이 외국 해커의 표적이 되고 있다는 것은 공공연한 비밀. 이에 대해 신용재 대표는 우리 사이트들이 훨씬 복잡하고 수준높은 서비스를 제공하기 때문이라고 설명한다.

"프로그래머들이 고객의 요구에 따라 다양한 서비스를 웹사이트에 반영하고 사이트도 자주 개편하지만 이 과정에서 보안문제에 허점이 생길 가능성이 그만큼 커지기 때문"이란다.

이런데도 국내 사이트 운영자들의 웹해킹에 대한 대비는 아직 허술하다. 신용재 대표는 "모의해킹의 경험이 많은 우리 회사 구성원들에 따르면 해당 기관의 규모가 크고 작고를 막론하고 대부분 웹해킹에 노출되어 있는 실정"이라며 "이는 방화벽이나 침입탐지 등의 보안 제품을 맹신한 결과"라고 못박았다.

신 대표는 "적을 이기기 위해서는 적을 알아야 하듯 웹 보안을위해서는 웹 해킹을 알아야 하며, 소스 차원에서의 문제점 분석과 해결이 최선의 방법"이라고 덧붙였다.

"민간기업은 해킹을 당해도 기업이 손해보면 되지만 정부부처나 정당, 단체, 공기업, 교육기관 등 공공기관이 해킹을 당하면 그 피해가 국민에게 고스란히 돌아간다."

신 대표는 끝으로 우리나라 공공기관의 보안의식에 심각성을 지적했다.

"정부 차원에서 웹해킹의 심각성을 인식해야 한다. '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 시행규칙에서 웹 보안에 대한 항목의 신설이 필요하며, 웹 해킹의 대비책에 대한 투자도 서둘러야 한다."

/김상범기자 ssanba@inews24.com

IT는 아이뉴스24, 연예스포츠는 조이뉴스24

(Copyright ⓒ 아이뉴스24. 무단전재 및 재배포 금지)
트랙백(0)덧글(0)

윈도우 환경에서의 WEP 암호 크랙

윈도우 환경에서의 WEP 암호 크랙

이 글의 저작권은 panicsecurity에 있습니다. 다른 곳으로의 복사나 이동은 허락하지 않습니다.

WEP 방식의 Wi-Fi 보안은 표준 무선랜과 함께 등장하여 지금도 많이 애용되고 있는 방식이지만 한편으로는 큰 위험성을 가지고 있습니다. 다행스럽게도 이러한 보안 헛점은 이제 많은 사람들에게 알려져서 WEP 방식의 무선랜 AP가 많이 줄어들고는 있으나, 여전히 많은 사용자들이 WEP 방식의 암호화를 사용하고 있으며 위험에 노출되어 있습니다. 물론 대부분의 착한 사용자들은 이러한 헛점이 존재한다고 해서 직접적인 해를 가하지는 않겠지만 내가 사용하고 있는 인터넷 망이 언제든지 개방되어 있다면 돈을 내고 서비스를 받고 있는 입장에서 이는 마냥 즐거운 일은 아닐 것입니다.

만일 글을 읽는 독자의 무선망이 WEP로 구성되어 있다면 지금이라도 바꾸는 것을 권장 드리겠습니다. WPA나 다른 방식의 설정에 대한 가이드는 인터넷을 통해서 얼마든지 구할 수 있습니다.

사실 인터넷 상에는 WEP의 암호를 크랙할 수 툴들과 강좌들이 넘쳐나고 있지만 대부분의 글들이 약간의 진입장벽을 가지고 있습니다. (적어도 필자가 본 방법들은 대부분 패킷 캡쳐를 위해서 리눅스 셋팅을 필요로 했습니다.) 덕분에 일부 사용자들이 아니고서는 대부분 이러한 방법을 통하여 시도하지는 않을 것 같습니다. 하지만 이 글에서 사용하는 방법은 기존에 알려진 방법보다 훨씬 간단하며 단순히 윈도우 환경에서 클릭만으로 크랙하는 방법으로 훨씬 간단하게 WEP 암호를 획득할 수 있습니다. (그만큼 툴이 쉬워진 것이긴 합니다만..) 물론 따라하는 것은 권장드리지 않으며 책임은 사용자에게 있습니다.

먼저 aircrack 과 CommView 를 설치합니다. 각각 홈페이지를 통해서 다운로드 받을 수 있으며 CommView 의 경우 CommView For WiFi 무료 버전이면 충분합니다.

첫번째 도구인 aircrack 은 지속적으로 버전업 된 WEP/WPA 해킹 도구로 무선랜 해킹을 위한 많은 기능을 가지고 있습니다. 게다가 프론트엔드 방식의 GUI 버전까지 포함하고 있습니다.

다음으로 CommView for WIFI 는 WIFI 분석을 위한 강력한 도구로 평가판이 공짜로 제공되고 있습니다. 약간의 제한은 있지만 오늘 보여드릴 작업에는 손색이 없는 기능을 가지고 있습니다. 물론, 툴이 지원하지 않는 무선랜 카드라면 더 이상의 진행은 힘들겠지만 대체로 많은 무선랜카드를 지원하는 것으로 잘 될 것으로 보입니다. (해당 사이트에서 확인이 가능합니다)

일단 aircrack 을 통한 크랙을 위해서는 상당량의 패킷 확보를 필요로 합니다. 때문에 약간의 시간을 투자해서 패킷을 확보하여야 하는데요, 대부분의 WEP 크랙에는 일정량의 패킷 캡쳐가 필요로 하므로 당연한 일입니다. 이론적인 내용은 여러가지 글에서 잘 다루어 지고 있으므로 이 글에서는 생략합니다.

모든 준비가 완료되었다면 크랙을 위한 패킷 캡쳐를 시작합니다. 위에서 설명한 CommView for WIFI 를 설치하고 지정된 타켓의 패킷을 수집합니다. (주의: CommView 는 강력한 기능을 제공하지만 많은 양의 패킷을 저장해주지는 않으므로 반드시 Auto Save 옵션을 통해서 다수의 패킷을 자동 저장하는 옵션을 켜주어야 합니다.)

패킷의 수집이 완료되면 내부 도구인 LogView 를 통해서 자동 백업된 로그들을 병합하고 aircrack 에서 사용할 pcap 파일을 생성합니다.

생성된 pcap 파일을 Aircrack-ng GUI.exe 를 이용하여 크랙합니다. 프론트 엔드 툴이므로 직접 커맨드 창에 입력하셔도 되지만 편한툴을 놔두고 어렵게 할 이유가 없습니다.

Launch 버튼을 누르면 본체인 aircrack-ng.exe 가 실행되고 수집한 AP들의 리스트를 보여줍니다. 5번째 AP가 충분한 IV 를 수집한 것으로 보이므로 해당 타겟을 지정하여 크랙을 수행합니다.

5초 경과후 WEP 패스워드를 획득하는데 성공하였습니다.


트랙백(0)덧글(3)

웹 접속 통계 분석

웹어플리케이션은 파라미터에 따라 컨텐츠를 결정하는 경우가 많기 때문에, 파라미터 요소를 제외하고 웹어플리케이션 파일 이름만을 가지고 평가하면, 이 URL에 접근한 IP 주소는 다양할 것이다.

다음의 경우에는 IP 주소가 일정 수준 이하일 것으로 예상된다.
1. 파일 업로드에 성공한 웹쉘 (공격자만 경로를 알고 있음)
2. 관리자 페이지
3. 조회 대상이 파라미터가 아닌 URL로 정의되는 경우 (예:위키백과)로서, 조회가 적게된 검색

단, 접속 통계에서 웹서버의 응답코드가 404 (File Not Found)인 경우는 제외되어야 한다. 웹스캐너를 통한 추측성 공격으로 웹 접속 통계 분석 결과가 오염될 수 있기 때문이다. (이런 것들로 인해, 정작 중요한 기록이 간과될 수도 있다!)


웹 접속 통계 분석을 통한 웹쉘 탐지와 함께 사용을 검토할 수 있는 기술을 정리하면 다음과 같다.

(1) 웹쉘 파인더
웹서버 로컬 경로에서, 웹쉘에서 주로 사용하는 API 사용을 한 웹어플리케이션 소스를 검색한다. 소스를 통해서 검색할 수 있어서 보다 정확한 판단이 가능하겠지만, 다음의 경우에는 검색되지 않는다.
- 1차 웹쉘이 다른 공격용 웹쉘을 생성하는 기능이 있고,
- 공격용 웹쉘의 코드가 검색되지 않게 인코딩/암호화/우회처리 등이 되어 있고,
- 1차 웹쉘을 통해 생성된 공격용 웹쉘이 목적을 달성한 이후에 삭제되면,
웹쉘 파인더를 통한 탐지가 불가능하다. 웹쉘을 분석하다보면, 다른 공격용 웹쉘을 만드는 목적의 웹쉘이 발견되고, 자동으로 생성되는 코드는 문자열 패턴 수준으로는 검색해내기 쉽지 않다. 약간의 노력 ("Runtime.exec()"을 "Runtim").append("e.ex").append("ec()") 의 형태로 바꾸거나 하는)으로도 쉽게 우회처리할 수 있기 때문이다.
그리고, 상식적으로 웹쉘 파인더가 완벽한 패턴을 가지고 있다고 단언하기도 힘들다.

(2) 웹쉘 탐지 필터
웹서버 또는 WAS를 통해서 들어오는 (또는 업로드되는) 패킷을 잡아내어 위 (1)과 같은 패턴으로 검색해낸다. 이또한 위 (1)과 같은 경우는 탐지가 불가능하다.

(3) 업로드 폴더 분석
이전 포스팅에서 언급한 업로드 폴더 분석은 매우 중요한 탐지 수단이다. 하지만, 업로드 취약점과 함께 업로드하는 웹쉘의 경로가 업로드 폴더 이외의 경로로 우회할 수 있다면 한계를 가지게 될 것이다.

이들 기능들은 어느 하나만으로는 100% 완벽할 수는 없는, 상호보완적인 성격인 것 같다.

어쨌든 웹 접속 통계 분석이라는 방법은... 위 (1), (2) 경우에는 웹쉘 실행을 위한 공격자의 접근 시에, 웹로그에만 접근 기록이 남게 되므로 이 기록(웹 접속 통계 분석)을 통해서, 의심스러운 URL을 찾아내는데에 도움이 될 것으로 판단된다. 단, 이런 접근 기록을 삭제하려는 시도에 대해, 웹로그의 의도적인 훼손을 막기 위한 장치가 마련되어야 한다.
트랙백(0)덧글(0)

웹쉘 탐지 웹 해킹 징후분석

(1) 시그니처 탐지

현재까지 알려진 웹쉘에 대해서는 알려진 문자열을 탐지하여 웹쉘의 가능성이 있는 로그를 추출한다. 추출된 url을 확인하는 것은 대상 파일의 소스코드는 물론, 브라우져 상에서의 확인도 필요하다.


(2) 업로드 폴더 분석

파일 업로드가 되는 URL을 미리 파악하여, 이 경로에 속하는 로그를 모두 추출한다. 즉, 파일 업로드 취약점 혹은 업로드 우회공격으로 파일을 업로드 했다면, 그 업로드 어플리케이션에서 파일을 저장하는 경로, 예를 들어 /file/upload/ 로 업로드 하였다면, 해당 경로가 로그에 남게 되므로 이에 대한 로그를 추출한다. 추출된 url 리스트에서 확장자 및 파라미터, 메소드(GET, POST, PUT)를 확인하여 웹쉘일 가능성이 있는 파일들을 추출한다. 추출된 url을 확인하는 것은 대상 파일의 소스코드는 물론, 브라우져 상에서의 확인도 필요하다.


(3) 웹 접속 통계 분석

모든 로그에 대하여 접근 내역을 분석하여, 모든 URL에 대하여 접속한 IP의 수를 계산한다. 즉, 극소수의 IP에서 접근한 URL을 추출하는 방법으로, 횟수에 따라 정렬하여 확인한다. (1)번과 마찬가지로 소스코드는 물론 브라우져 상에서의 확인도 필요하다.


  http://darkangelo.blog.me/90103513949 참고



태그 : , , , , , , ,
트랙백(0)덧글(0)

웹보안을 위한 웹로그 분석 웹 해킹 징후분석



웹 해킹 징후분석 시스템 "PS BlackBox"



1. 개요


불특정 다수를 상대로 웹 서비스를 제공하는 웹서버는 알려진 공격 기법은 물론 지속적으로 발전하는 다양한 우회 기법을 통한 공격에 항상 노출되어 있습니다. 특히 조직 또는 고객의 소중한 정보를 포함하는 서비스일수록 공격을 받을 수 있는 가능성이 높으며, 단순홍보용 사이트의 경우에도 악성코드 업로드나 우회경로 확보를 위해 해커의 공격 대상이 되고 있습니다.

웹 해킹 징후분석 시스템인 PS BlackBox는 불특정 다수로부터 시도되는 다양한 웹 공격을 모니터링하고 해킹의 징후를 분석하기 위하여, 웹 로그를 분석하는 시스템입니다.과거의 오랜 기간동안 축적된 대용량의 웹 로그 전체를 대상으로, 혹시 있을지 모르는 해킹 경로나 침해 흔적을 찾아내는 의미있는 로그 탐색 플랫폼을 제공합니다.

일반적으로 웹 침해사고는 사고 전 오랫동안 사이트의 정보수집이 이루어집니다. 이때 정보수집 차원의 여러 작업들은 공격 자체로 인식할 수는 없지만, 향후 공격의 기초 자료로 사용될 가능성이 있으며 이에 대한 정보가 웹 로그에 남게 됩니다. 따라서 특정 시점에 발생한 해킹 사고는, 그 시점 이전 몇일에서 몇달간의 로그 분석을 통해 해킹 경로나 방법에 대한 힌트를 얻을 수 있습니다.



2. 주요기능



2.1 웹 보안 대응의 한계점


웹 해킹이 일어난 시점의 전후를 나누어 보면,


(1) 해킹 전 ==> 징후 탐지 기능

해킹이 발생하기 전에는 IPS나 웹방화벽과 같은 보안장비들이 웹서버 앞단에서 공격을 막고 있습니다.

그러나 모든 공격을 완벽하게 방어하지는 못하며,

보안장비를 통과한 공격은 웹 로그에 그 흔적이 어느정도 남게 됩니다.

따라서 웹로그의 정밀한 분석을 통해, 공격의 흔적을 찾고 동시에 보안장비의 허점을 찾을 수 있습니다.

--> 웹보안 장비가 막지 못할 경우는 대책이 없는 곳이 대부분 !




(2) 해킹 후 ==> 징후 분석 기능

웹 해킹은 실제로 이루어지더라도, 그 사실을 담당자가 즉각 알아채는 것은 무척 드뭅니다.

전문적인 보안관제를 한다고 하더라도, 어느정도 노골적인 공격에 대해서만 2~3시간이 소요된 후에야 웹 해킹이 밝혀지는 것이 대부분입니다.

대부분의 해커들은 웹서비스에 큰 영향을 주지 않는 범위내에서 서버를 장악하고 자료를 추출하기 때문입니다.

따라서 주기적으로 웹로그를 분석할 필요가 있지만, 워낙 웹로그가 대용량이어서 BlackBox와 같은 분석 플랫폼이 없으면 거의 불가능합니다.

--> 6개월 이상의 웹로그를 보관한다고 하더라도, 대용량이어서 정밀분석이 불가능 !




2.2  주요 기능


(1) 징후탐지 (실시간)

(2) 징후 분석

    - 의심 경로

    - 공격자 IP 징후분석

    - 공격대상 URL 징후 분석

    - 조건 분석
태그 : , , , , , , , , ,
트랙백(0)덧글(0)
1 2

프로필

웹 해킹에 대비하는 방법은 해킹 기법의 다양성 만큼 여러가지 대책이 요구됩니다. 하나하나 현실적인 대응책을 찾아봅니다. - http://www.panicsecurity.comby 패닉스

카테고리

메뉴릿

최근 트랙백

panics.egloos.com is powered by Egloos. Subscribe to RSS Skin design by egloos.