2013.07.08

블로그 | 서버를 정말 통제할 수 있을까?

Tony Bradley | CSO
보안 업체 얼라이언볼트(AlienVault)가 최근 공개한 자료에 따르면, 해커들이 신용 증명서를 사이버 지하세계에 있는 손상된 서버에 판매하는 것으로 드러났다.

"당신의 서버에서 운용이라는 단어는 ‘당신이 해야 한다’는 뜻이다. 그것은 서버가 당신의 회사에 속한다는 것을 뜻하며 당신에게 소유권이 있음을 나타낸다. 사이버 도둑들과 관련한 비즈니스 모델이 있지만, 당신의 서버들은 써드파티의 소유가 될 수도 있고 심지어 사이버 지하 세계에서 판매될 수도 있다.

얼라이언볼트 연구소는 자사 블로그에서 “당신은 SSH 서비스 실행으로 인터넷에 서버를 공개한 적이 있냐"는 질문을 던진 적 있었다. 그런 다음 사용자/암호의 약한 조합을 원격 시스템에 접속에 시도하려는 다양한 호스트들을 스캔하는 자동 로봇으로부터 당신의 서버가 공격당한 적이 있다는 것을 알게 됐을 것이라고 얼라이언볼트는 밝혔다.

얼라이언볼트에 따르면, 이러한 공격으로 손상된 해당 시스템의 운명은 많은 사람들이 사이버 지하 세계에서 활용될 것이다. 얼라이언볼트는 써드파티 소유의 서버들이 거래되는 온라인 매장을 발견했다.

퀄리스(Qualys)의 CTO인 볼프강 칸덱은 "관리 서비스가 개방되고 취약한 암호를 가진 인터넷에는 많은 서버들이 있고 이들 기기들에 대한 접근 권한을 판매한다는 팝업창이 뜨는 웹사이트들이 있다”라고 설명했다.

고객(다른 사이버 범죄자)은 암시장에서 해킹 서버에 대한 관리자 수준의 계정 정보와 작업 관리자 인증을 구매할 수 있다. 공격자들이 접속해 봇넷 CNC(명령 및 제어) 서버를 설치하고 악성코드를 배포하며, 불법 콘텐츠를 업로드하고, 스팸을 배포하기 시작하거나 손상된 서버에 자유롭게 드나들 수 있다. 이 공격자들의 모든 불법 행위는 손상된 서버에서 발생하기 때문에 이들은 서버 뒤에 숨어서 활동한다.

얼라이언볼트는 지하 범죄 정보센터의 수익에 초점을 맞춰 조사했다. 얼라이언볼트가 블로그에 이러한 정보를 게재할 때에 이 사이트에는 400개 이상으로 추산되는 고객들이 있었다. 또 다른 불편한 진실은, 사이버범죄자들이 공격으로부터 자신의 서버를 보호해야 한다는 것을 알기 때문에 이들은 서버를 보호하고 실제 위치를 숨길 수 있는 클라우드플레어(CloudFlare)를 사용한다는 점이다.

트립와이어(Tripwire)의 CTO 드웨인 멜란콘은 IT운영자가 제대로 된 툴과 실사하는 것만이 이 같은 활동을 탐지하고 막을 수 있다고 조언했다. “이러한 모든 공격들은 당신의 서버에 감지할 수 있는 흔적을 남긴다. 하지만 당신이 주의를 기울이지 않으면 절대 그 신호를 알아채지 못할 것이다”라고 멜란콘은 덧붙였다. "당신이 실제로 가지고 있는 게 무엇이고 무엇을 가져야 할 지를 아는 것이 당신의 시스템에 나타나는 새로운 증후, 예를 들면 인식하지 못한 소프트웨어가 서버에 설치됐다거나 타당한 이유 없이 새로운 사용자가 추가됐다거나 같은 신호를 감지하는 가장 확실한 방법이다"라고 그는 설명했다.

트립와이어의 보안 연구 이사 라마 베일리는 “인터넷에 직접 연결하는 시스템이 공격자들에게 주요 타깃이다. 한가지 방법이 있다면, 당신이 직접 보안을 확인해야 것이다"라고 밝혔다.

베일리는 “인터넷과 연결된 서버를 보유하고 있다면, 당신은 IPS와 파일 무결성 모니터링(FIM)을 항상 해당 시스템에서 운영하고 있어야 한다. 그 서버는 자동 구성 관리와 취약점 평가 툴을 정기적으로 사용하면서 감사를 받아야 한다”라고 덧붙였다.

누구나 서버를 물리적으로 소유할 수 있다. 하지만 필요한 예방 조치를 취하고 주의를 기울이지 않으면, 누군가가 내 서버를 소유해서 사이버 지하세계에서 돈을 목적으로 이용할 가능성이 커진다.

*Tony Bradley는 브래들리 스트레티지 그룹(Bradley Strategy Group)의 수석 애널리스트다. ciokr@idg.co.kr



2013.07.08

블로그 | 서버를 정말 통제할 수 있을까?

Tony Bradley | CSO
보안 업체 얼라이언볼트(AlienVault)가 최근 공개한 자료에 따르면, 해커들이 신용 증명서를 사이버 지하세계에 있는 손상된 서버에 판매하는 것으로 드러났다.

"당신의 서버에서 운용이라는 단어는 ‘당신이 해야 한다’는 뜻이다. 그것은 서버가 당신의 회사에 속한다는 것을 뜻하며 당신에게 소유권이 있음을 나타낸다. 사이버 도둑들과 관련한 비즈니스 모델이 있지만, 당신의 서버들은 써드파티의 소유가 될 수도 있고 심지어 사이버 지하 세계에서 판매될 수도 있다.

얼라이언볼트 연구소는 자사 블로그에서 “당신은 SSH 서비스 실행으로 인터넷에 서버를 공개한 적이 있냐"는 질문을 던진 적 있었다. 그런 다음 사용자/암호의 약한 조합을 원격 시스템에 접속에 시도하려는 다양한 호스트들을 스캔하는 자동 로봇으로부터 당신의 서버가 공격당한 적이 있다는 것을 알게 됐을 것이라고 얼라이언볼트는 밝혔다.

얼라이언볼트에 따르면, 이러한 공격으로 손상된 해당 시스템의 운명은 많은 사람들이 사이버 지하 세계에서 활용될 것이다. 얼라이언볼트는 써드파티 소유의 서버들이 거래되는 온라인 매장을 발견했다.

퀄리스(Qualys)의 CTO인 볼프강 칸덱은 "관리 서비스가 개방되고 취약한 암호를 가진 인터넷에는 많은 서버들이 있고 이들 기기들에 대한 접근 권한을 판매한다는 팝업창이 뜨는 웹사이트들이 있다”라고 설명했다.

고객(다른 사이버 범죄자)은 암시장에서 해킹 서버에 대한 관리자 수준의 계정 정보와 작업 관리자 인증을 구매할 수 있다. 공격자들이 접속해 봇넷 CNC(명령 및 제어) 서버를 설치하고 악성코드를 배포하며, 불법 콘텐츠를 업로드하고, 스팸을 배포하기 시작하거나 손상된 서버에 자유롭게 드나들 수 있다. 이 공격자들의 모든 불법 행위는 손상된 서버에서 발생하기 때문에 이들은 서버 뒤에 숨어서 활동한다.

얼라이언볼트는 지하 범죄 정보센터의 수익에 초점을 맞춰 조사했다. 얼라이언볼트가 블로그에 이러한 정보를 게재할 때에 이 사이트에는 400개 이상으로 추산되는 고객들이 있었다. 또 다른 불편한 진실은, 사이버범죄자들이 공격으로부터 자신의 서버를 보호해야 한다는 것을 알기 때문에 이들은 서버를 보호하고 실제 위치를 숨길 수 있는 클라우드플레어(CloudFlare)를 사용한다는 점이다.

트립와이어(Tripwire)의 CTO 드웨인 멜란콘은 IT운영자가 제대로 된 툴과 실사하는 것만이 이 같은 활동을 탐지하고 막을 수 있다고 조언했다. “이러한 모든 공격들은 당신의 서버에 감지할 수 있는 흔적을 남긴다. 하지만 당신이 주의를 기울이지 않으면 절대 그 신호를 알아채지 못할 것이다”라고 멜란콘은 덧붙였다. "당신이 실제로 가지고 있는 게 무엇이고 무엇을 가져야 할 지를 아는 것이 당신의 시스템에 나타나는 새로운 증후, 예를 들면 인식하지 못한 소프트웨어가 서버에 설치됐다거나 타당한 이유 없이 새로운 사용자가 추가됐다거나 같은 신호를 감지하는 가장 확실한 방법이다"라고 그는 설명했다.

트립와이어의 보안 연구 이사 라마 베일리는 “인터넷에 직접 연결하는 시스템이 공격자들에게 주요 타깃이다. 한가지 방법이 있다면, 당신이 직접 보안을 확인해야 것이다"라고 밝혔다.

베일리는 “인터넷과 연결된 서버를 보유하고 있다면, 당신은 IPS와 파일 무결성 모니터링(FIM)을 항상 해당 시스템에서 운영하고 있어야 한다. 그 서버는 자동 구성 관리와 취약점 평가 툴을 정기적으로 사용하면서 감사를 받아야 한다”라고 덧붙였다.

누구나 서버를 물리적으로 소유할 수 있다. 하지만 필요한 예방 조치를 취하고 주의를 기울이지 않으면, 누군가가 내 서버를 소유해서 사이버 지하세계에서 돈을 목적으로 이용할 가능성이 커진다.

*Tony Bradley는 브래들리 스트레티지 그룹(Bradley Strategy Group)의 수석 애널리스트다. ciokr@idg.co.kr

X