좋은진호의 여유만만

F-SECURE의 'Formula 1 racing and computer security' 글에 따르면 말레이시아의 F1 경기장인 세팡 인터내셔널 서킷(Sepang International Circuit)이 DNS 해킹당했다고 한다. www.malaysiangp.com.my 접속하면 순간 'Hijack by CuciOtak' 메시지를 뿌려주는 페이지가 나왔다고 한다. (현재는 도메인을 못찾아서 접속 안됨) 해커가 도메인 관리 비밀번호(이를테면 도메인 관리 사이트의 로긴용 ID/PW)를 알아냈거나 사회 공학기법(보이스피싱 등등)을 이용해서 DNS서버를 ns1.oxyhostsfree.com, ns2.oxyhostsfree.com로 변경한 것으로 추측하고 있다.



실제 ns1~ns2.oxyhostsfree.com DNS서버에서는 malaysiangp.com.my 도메인 설정이 없는 것으로 보인다. 현재 lookup해 본 결과 IP를 찾지 못한다. DNS trace 해봤는데, IP를 찾지 못한다.

정상적인 서버의 IP는 202.157.186.171 이다. DNS lookup만 못했을 뿐 접속해보면 정상적으로 잘 나온다.
whois 결과 다음과 같이 나왔다. 'Record Last Modified'시간이 최근으로 변경되어 있다.

혹시나 저 URL이 공식 홈페이지는 아닐까 싶어서 구글에서 'Sepang Circuit'로 검색해봤다. 검색 결과 첫번째 나오고, 위키페디아에서도 저 URL로 표시되었다. 공식 홈페이지가 맞다.

이런 DNS해킹을 보면, 비밀번호는 역시 추측하기 어려운 것으로 해야한다는 것과 사회공학적 기법으로 인한 피해를 입지 않도록 주의해야한다는 것을 일깨워준다. 요즘 보이스피싱의 증가 추세라고 한다. 우리세대보다 부모님세대가 걱정이다. 며칠전에도 부모님에게 전화오면 조심하라고 말씀드렸지만, 다시 한 번 말씀드려야 겠다.

CONCERT Forecast 세미나 내용을 크게 나누면 2가지로 묶을 수 있을 것 같다.

•  DDoS 방어 & botnet 이해
• 시스템 자체 보안 보다는 '개인정보보호', '조직 구성', '내부정보 유출 방지', '보안 사내 교육' 등 운영적인 면

            CONCERT Forecast 2008 시작전

세미나 내용 중 일부를 정리했다.

1. DDoS 공격 대응 (발표자 : '오늘과내일'의 홍석범)

   리눅스 서버에 조치를 취하는 보편적인 내용(ip_conntrack 튜닝, net.ipv4.route 튜닝 등)과 CDN서비스 활용, 장비 도입 등 다양한 말씀을 해주셨다.

•  DNS 서버의 다중화 부분은 공감이 간다. DNS 서버를 1대 운영하거나 2대를 하나의 네트웍 대역에 두고 운영한다면, 다른 내역에 2대 이상의 DNS서버를 운영하기를 권장한다.
• 'PC용 DDoS 공격 탐지 Agent 배포'를 대응방안도 제시한다. 좀비PC의 수를 줄여 공격 피해를 감소시킬 수 있는 근본적 대책 중의 하나일 것이다. 물론 이 부분은 정부와 보안업체들의 의지가 중요한 부분이다.
• 공격을 당할 때 보통 공격 대상 IP를 Null routing 처리한다. 이 방법 대신 해당 IP를 TCP 80만 오픈하고 나머지는 막는 ACL 처리를 제시했다. 물론 장비가 ACL를 HW기반으로 처리해야 장비의 load가 올라가지 않을 것이다. 이런 ACL적용은 공격을 받는 곳보다 상위단에서 처리(IDC, VIDC, ISP)를 해줘야 하는데, 얼마나 협조를 잘 해줄지가 관건.
  

2. 'Stop security threats before they stop you' (발표자 : IBM의 이병화)

   botnet을 주 발표 내용으로 다뤘다.

   [ 2007 상반기 보안 위협 하이라이트 ]

   [ Commercial attack service ]

   botnet의 상업적 서비스에 대한 것이다. 해킹이 하나의 서비스로 진행되고 있다는 것은 언론이나 블로거들을 통해서 접했을 것이다. XSOS.NAME 등을 돈을 지불하고 구매하면, botnet 목록을 볼 수 있게 되고, 해당 bot을 조정하여 공격할 수 있다. 누구나 약간의 비용만으로도 공격을 할 수 있는 시대가 된 것이다.

   변종도 많고, 전세계 컴퓨터의 8%를 감염시켰던 Storm worm에 대한 얘기도 했다. 다른 발표자분도 Storm에 대해서는 언급을 했었다. Storm worm 분석은 fullc0de님( http://fullc0de.egloos.com/3572438 )의 글을 읽어보면 될 듯.

   발표자료에는 포함되어 있지 않지만 세미나 중간에 NetBot에 대한 얘기를 했었고, 발표 중간의 화면 캡쳐는 아마 http://www.hackeroo.com/move/netbot_attacker.html 에 있는 중국해커의 공격 데모였을 것으로 생각된다.

3. 세션 중간에 사무국장(?)의 얘기

   다들 '중국발', '중국발 해킹'하니깐 실제 국내 보안전문가가 중국에 가서 중국 해커 6명과의 만남을 가졌다고 한다. 그 때 나온 얘기들

• 중국이 우리 나라를 해킹하는 것은, 일본이 당한 것에 비하면 아무 것도 아니라는 것. 일본은 더 심하다.
• 최근 큰 이슈가 된 모 사이트 해킹은 고차원 방법이 아니었다. 저 6명중에 이 해킹사건과 관련이 있는 해커가 있는 것으로 판단.
• 마피아와 해커가 손잡을 가능성. (이 내용은 SKT의 발표자 분의 자료에도 있다. '러시아 마피아와 연계되어 조직폭력배화 하려 하며, 정치적인 해킹시도로 변화가능성 존재')
  

4. 내부 정보 유출 방지와 문서 DRM (발표자 : 파수닷컴의 이승재)

   [ 내부 정보오출 피해사례 ]

   약 86%가 현직원과 퇴직자에 의해 피해가 발생했다.

   [ E-DRM 구조 ]

   C-DRM(Commercial DRM)과 E-DRM(Enterprise DRM)중에 문서보안인 E-DRM의 구조이다. 원격 접속에서 화면을 볼 때도 Screen Capture를 막을 수 있다고 말씀을 한다. (이부분은 개인적으로 확인해본적이 없어서 모름)

5. 보안조직 구성

   [ 보안 조직 현황 ]

   전담조직이나 인원이 적다는 것을 알 수 있다.

6. 엔드 포인트 보안의 지속적인 관리방안 (발표자 : 한국 MS의 백승주)

   IPSEC기술을 활용한 서버 및 도메인 고립 모델에 대해 발표를 했다. 데모 발표가 효과적이었다.
   발표자료는 '코알라의 하얀집'  블로그에서 볼 수 있다.

7. 2007/2008년 IT 보안위협동향 및 웹 보안의 중요성 (발표자 : SOPHOS 아시아의 배수한)

   상당히 좋은 자료를 많이 준비하셨고, 발표자의 전달력도 뛰어났다. 자료가 많아서, 글보다는 몇가지 PT자료를 살펴보는게 나을 것 같다.




세미나 아쉬운 점 하나 얘기한다.

>>>> 아쉬운 점 <<<<

집에 돌아와보니, 레몬펜 쿠션이 도착해 있었다. 어제 도착한거다. 상자가 커서, 어머니가 열어보셨다고 한다. 산거냐고 물으신다. 이벤트에 당첨된거라고 말씀드렸다. ^^



쿠션 맛을 휴일에 즐기고, 다음주에 회사로 가져가야지. 점심 시간의 달콤한 낮잠을 위해서 무조건 가져간다. 가방이 작지만, 가방자체가 쿠션이 되더라도 꾹꾹 누를 것이다. 이제 레몬펜 덕분에 제대로 진미(珍味)를 느낄 수 있겠다. 낮잠은 점심 이후에 따라오는 진미 중의 진미지 않는가...

'어~ 레몬펜 같은데!'라면서, 날 깨우지 마라.
직장동료들이여~ 블로그에 레몬펜 먼저 달고, 날 깨워~~

FreeBSD 7.0의 사용기 몇가지를 적어보겠다.

1. make buildworld 시간 : 1시간 2분 (FreeBSD 6.x대와 별반 차이 없음)

2. 차세대 전송 프로토콜인 SCTP를 사용하기 위해서는 커널에서 INET, INET6 모두 define되어 있어야 한다. INET6을 define하지 않고 커널 컴파일을 하면 에러가 발생한다. ( /usr/src/sys/conf/NOTES )

'INET, INET6가 모두 정의되어 있어야 한다. V6를 enable할 필요는 없다. 그러나 SCTP가 dual stack으로 되어 있어서 지금까지 우리는 V6과 V4를 별도로 분리하지(teased apart) 않았다. (dual-stacked라 분리할 필요가 없었다는 의미) 왜냐하면 SCTP 커넥션(association)은 V6과 V4주소가 동시에 펼쳐지기(span) 때문이다.'

SCTP 에서는 커넥션을 association라고 부르므로, 위의 문장중 'association'은 커넥션으로 이해하면 된다.

3.  TCP 디버깅 로그가 이전 보다 자세하다.

1) 6.x 버전
2) 7 버전
    그리고, Connection attempt 외에 또다른 로그.

4. ZFS 파일시스템

/boot/loader.conf 에 다음과 같이 설정하고 리부팅하면, XFS와 ZFS 파일시스템을 사용할 수 있다.

kldstat로 동적링크된 커널모듈(.ko) 목록을 확인해보자.

ZFS 사용을 위한 준비는 완료됐다. zfs, zpool 등의 명령으로 ZFS 파일시스템을 만들고 확인해본다.

ZFS와 UFS간의 성능테스트와 그 이외의 응용프로그램 등의 성능은 추후 테스트를 해볼 것이다.
덧붙여서 FreeBSD 7 리뷰글과 Live CD로 설치하는 화면을 'Review of FreeBSD 7'에서 볼 수 있다.

※ 시스템 환경 : Dell 1950, CPU 5310 X 2개, 2G 메모리, SAS, No RAID

http://www.freebsd.org/releases/7.0R/announce.html
http://www.freebsd.org/releases/7.0R/relnotes.html

• 가장 눈에 띄는 것은 릴리즈 페이지에도 나와 있듯이 드라마틱할 정도로 놀라운 성능향상이다.

• 실험적이긴 하지만 ZFS 지원. XFS 읽기 기능 가능

• 저널링(journaling) 지원 (gjournal 툴을 통해서 저널링 설정) (FreeBSD 6.3에도 포함하려고 했으나 다음버전에서 지원될 듯)
  

• 차세대 TCP라 불리는 SCTP(Stream Control Transmission Protocol) 프로토콜 지원

          SCTP는 TCP, UDP처럼 전송프로토콜로, 이 둘의 프로토콜이 제공하지 않는 멀티스트리밍과 멀티 호밍(multi homing)을 지원한다. 또한 HTTP 프로토콜에서 전송시 SCTP를 이용한다면 속도를 향상시킬 수 있다.  참고로 SCTP는 Linux kernel 2.6.x에서도 지원하며, 관련툴인 lksctp를 sourceforge에서 받을 수 있다.
          TCP, UDP, SCTP가 전송프로토콜로 같이 공존하다가 미래에 SCTP이 보편화되는 시점이 다가올 것으로 보인다.  이 때 UDP를 대체할 정도로 보편성을 갖게 된다면, 개인적인 생각으론 UDP flooding을 통한 공격은 해결될 시점이 다가올 수도 있다.

• OpenBSD/NetBSD에서 가져온 네트웍 링크 aggregation과 failover를 위한 인터페이스인 lagg 지원 (FreeBSD 6.3에도 포함됨)

나머지 자세한 내용이나 포함된 프로그램의 버전 정보등에 대해서는 릴리즈 정보를 살펴보기 바란다.

* Down 1 : ftp://ftp.kaist.ac.kr/FreeBSD/ISO-IMAGES-i386/7.0/ (ftp.kr.freebsd.org는 글 쓰는 현재 미러링이 안되어 있음)
* Down 2 : ftp://ftp.jp.freebsd.org/pub/FreeBSD/ISO-IMAGES-i386/7.0/