좋은진호의 여유만만

아침부터 구글의 사투리 번역( http://www.google.co.kr/landing/saturi/ )과 티스토리의 '샨새교 교주'검색( http://tistory.com/AF/searchAF/ )등으로 떠들썩하다. 4월은 늘 이렇게 떠들썩하게 시작한다.


kernel.org도 만우절 이벤트(?)에 동참하기 위해 재밌는 메일링을 발송했다. 발송시간이 'Tue, 01 Apr 2008 01:01:17'. 제목 또한 눈에 띤다. 'Kernel.org Downtime Notice - Please read *very* important'. mirror 서버, 공개된 서버, 백엔드 마스터 서버 등 kernel.org의 모든 서버를 OS 업그레이드를 이유로 서버를 내린다는 것이다. 그것도 'Linux Kernel Organization'에서 리눅스를 안쓰고 FreeBSD를 쓰겠다는 얘기를 꺼낸다. FC5에서 FreeBSD 7.0로 ^^. 메일의 뒷부분에는 SlashDot의 링크 등을 걸어놓으며, 이러한 결정하게된 근거를 써놨다. 가볍게 결정하지 않은 것 처럼 말이지...

메일링 전체 내용 : http://lkml.org/lkml/2008/3/31/367


이 메일링에 대한 답변( http://lkml.org/lkml/2008/3/31/369 ) 또한 재밌다.


매우 훌률하다고 칭찬의 말로 띄워준다. 이번에 RFC1149(CPIP) 서술된 요구사항을 만족시키기 위해, 네트웍 설비 또한 업그레이드할 기회를 가져야 한다고 덧붙인다. 여기서 재밌는 것은 RFC1149다. RFC1149(Standard for the transmission of IP datagrams on avian carriers, 조류를 이용한 IP datagrams 전송 표준)는 RFC 유머중에 하나로, 공식 RFC문서가 아니다. CPIP는(Carrier Pigeon Internet Protocol)는 얘기 안해도 이해가 될 것이다.

이명박을 뜻하는 2MB. 문특 2mb.co.kr 도메인이 있을까라는 생각이 들었다. whois 결과 2mb.co.kr과 2mb.kr이 작년 11월 3일에 등록되어 있었다. 하지만 IP도 없고, 홈페이지는 운영하지 않는다. 물론 2mb.co.kr 도메인을 등록하려는 맘이 있어서 찾아본 것이 아니다.


이제 2가지가 궁금했다.

• 작년 11월에도 '2MB'란 말이 쓰였을까?
• 저 도메인이 '2MB'별명과 무관하게 등록을 한걸까? 아니면 관련이 있는걸까?
  

첫번째 답은 어른이님의 '’2MB’란 말을 한나라당에서 먼저 사용했군요.' 글을 보니, 최소 12월 4일 이전이다.
11월에도 '2MB'가 알려지지는 안았지만, 사용하시는 분도 있을거라고 여겨진다. 아니면, 'MB'에서 추측해서 앞을 내다보신 분일 수도 있다.

두번째 답을 찾기 위해, 1mb.co.kr~1024mb.co.kr 까지 돌려봤다.


등록된 도메인은 2mb, 17mb, 100mb 까지 딱 3개다. 이중 17mb(대충봐도 이명박 지지와 관련있음), 100mb는 해당 용도로 이미 사용중이고, 등록했으나 사용중이지 않는 것은 2mb.co.kr 뿐이다. 사용하지 않았는데 등록한 것은 2MB를 뜻하는 저 도메인을 확보차원에서 등록했을 가능성이 있다.

끝으로, 0.1초간격으로 묵묵히 요청을 받아준 whois.krnic.net 서버가 고맙다. ^^

F-SECURE의 'Formula 1 racing and computer security' 글에 따르면 말레이시아의 F1 경기장인 세팡 인터내셔널 서킷(Sepang International Circuit)이 DNS 해킹당했다고 한다. www.malaysiangp.com.my 접속하면 순간 'Hijack by CuciOtak' 메시지를 뿌려주는 페이지가 나왔다고 한다. (현재는 도메인을 못찾아서 접속 안됨) 해커가 도메인 관리 비밀번호(이를테면 도메인 관리 사이트의 로긴용 ID/PW)를 알아냈거나 사회 공학기법(보이스피싱 등등)을 이용해서 DNS서버를 ns1.oxyhostsfree.com, ns2.oxyhostsfree.com로 변경한 것으로 추측하고 있다.



실제 ns1~ns2.oxyhostsfree.com DNS서버에서는 malaysiangp.com.my 도메인 설정이 없는 것으로 보인다. 현재 lookup해 본 결과 IP를 찾지 못한다. DNS trace 해봤는데, IP를 찾지 못한다.

정상적인 서버의 IP는 202.157.186.171 이다. DNS lookup만 못했을 뿐 접속해보면 정상적으로 잘 나온다.
whois 결과 다음과 같이 나왔다. 'Record Last Modified'시간이 최근으로 변경되어 있다.

혹시나 저 URL이 공식 홈페이지는 아닐까 싶어서 구글에서 'Sepang Circuit'로 검색해봤다. 검색 결과 첫번째 나오고, 위키페디아에서도 저 URL로 표시되었다. 공식 홈페이지가 맞다.

이런 DNS해킹을 보면, 비밀번호는 역시 추측하기 어려운 것으로 해야한다는 것과 사회공학적 기법으로 인한 피해를 입지 않도록 주의해야한다는 것을 일깨워준다. 요즘 보이스피싱의 증가 추세라고 한다. 우리세대보다 부모님세대가 걱정이다. 며칠전에도 부모님에게 전화오면 조심하라고 말씀드렸지만, 다시 한 번 말씀드려야 겠다.

CONCERT Forecast 세미나 내용을 크게 나누면 2가지로 묶을 수 있을 것 같다.

•  DDoS 방어 & botnet 이해
• 시스템 자체 보안 보다는 '개인정보보호', '조직 구성', '내부정보 유출 방지', '보안 사내 교육' 등 운영적인 면

            CONCERT Forecast 2008 시작전

세미나 내용 중 일부를 정리했다.

1. DDoS 공격 대응 (발표자 : '오늘과내일'의 홍석범)

   리눅스 서버에 조치를 취하는 보편적인 내용(ip_conntrack 튜닝, net.ipv4.route 튜닝 등)과 CDN서비스 활용, 장비 도입 등 다양한 말씀을 해주셨다.

•  DNS 서버의 다중화 부분은 공감이 간다. DNS 서버를 1대 운영하거나 2대를 하나의 네트웍 대역에 두고 운영한다면, 다른 내역에 2대 이상의 DNS서버를 운영하기를 권장한다.
• 'PC용 DDoS 공격 탐지 Agent 배포'를 대응방안도 제시한다. 좀비PC의 수를 줄여 공격 피해를 감소시킬 수 있는 근본적 대책 중의 하나일 것이다. 물론 이 부분은 정부와 보안업체들의 의지가 중요한 부분이다.
• 공격을 당할 때 보통 공격 대상 IP를 Null routing 처리한다. 이 방법 대신 해당 IP를 TCP 80만 오픈하고 나머지는 막는 ACL 처리를 제시했다. 물론 장비가 ACL를 HW기반으로 처리해야 장비의 load가 올라가지 않을 것이다. 이런 ACL적용은 공격을 받는 곳보다 상위단에서 처리(IDC, VIDC, ISP)를 해줘야 하는데, 얼마나 협조를 잘 해줄지가 관건.
  

2. 'Stop security threats before they stop you' (발표자 : IBM의 이병화)

   botnet을 주 발표 내용으로 다뤘다.

   [ 2007 상반기 보안 위협 하이라이트 ]

   [ Commercial attack service ]

   botnet의 상업적 서비스에 대한 것이다. 해킹이 하나의 서비스로 진행되고 있다는 것은 언론이나 블로거들을 통해서 접했을 것이다. XSOS.NAME 등을 돈을 지불하고 구매하면, botnet 목록을 볼 수 있게 되고, 해당 bot을 조정하여 공격할 수 있다. 누구나 약간의 비용만으로도 공격을 할 수 있는 시대가 된 것이다.

   변종도 많고, 전세계 컴퓨터의 8%를 감염시켰던 Storm worm에 대한 얘기도 했다. 다른 발표자분도 Storm에 대해서는 언급을 했었다. Storm worm 분석은 fullc0de님( http://fullc0de.egloos.com/3572438 )의 글을 읽어보면 될 듯.

   발표자료에는 포함되어 있지 않지만 세미나 중간에 NetBot에 대한 얘기를 했었고, 발표 중간의 화면 캡쳐는 아마 http://www.hackeroo.com/move/netbot_attacker.html 에 있는 중국해커의 공격 데모였을 것으로 생각된다.

3. 세션 중간에 사무국장(?)의 얘기

   다들 '중국발', '중국발 해킹'하니깐 실제 국내 보안전문가가 중국에 가서 중국 해커 6명과의 만남을 가졌다고 한다. 그 때 나온 얘기들

• 중국이 우리 나라를 해킹하는 것은, 일본이 당한 것에 비하면 아무 것도 아니라는 것. 일본은 더 심하다.
• 최근 큰 이슈가 된 모 사이트 해킹은 고차원 방법이 아니었다. 저 6명중에 이 해킹사건과 관련이 있는 해커가 있는 것으로 판단.
• 마피아와 해커가 손잡을 가능성. (이 내용은 SKT의 발표자 분의 자료에도 있다. '러시아 마피아와 연계되어 조직폭력배화 하려 하며, 정치적인 해킹시도로 변화가능성 존재')
  

4. 내부 정보 유출 방지와 문서 DRM (발표자 : 파수닷컴의 이승재)

   [ 내부 정보오출 피해사례 ]

   약 86%가 현직원과 퇴직자에 의해 피해가 발생했다.

   [ E-DRM 구조 ]

   C-DRM(Commercial DRM)과 E-DRM(Enterprise DRM)중에 문서보안인 E-DRM의 구조이다. 원격 접속에서 화면을 볼 때도 Screen Capture를 막을 수 있다고 말씀을 한다. (이부분은 개인적으로 확인해본적이 없어서 모름)

5. 보안조직 구성

   [ 보안 조직 현황 ]

   전담조직이나 인원이 적다는 것을 알 수 있다.

6. 엔드 포인트 보안의 지속적인 관리방안 (발표자 : 한국 MS의 백승주)

   IPSEC기술을 활용한 서버 및 도메인 고립 모델에 대해 발표를 했다. 데모 발표가 효과적이었다.
   발표자료는 '코알라의 하얀집'  블로그에서 볼 수 있다.

7. 2007/2008년 IT 보안위협동향 및 웹 보안의 중요성 (발표자 : SOPHOS 아시아의 배수한)

   상당히 좋은 자료를 많이 준비하셨고, 발표자의 전달력도 뛰어났다. 자료가 많아서, 글보다는 몇가지 PT자료를 살펴보는게 나을 것 같다.




세미나 아쉬운 점 하나 얘기한다.

>>>> 아쉬운 점 <<<<

BlackEnergy는 크게 2가지로 구성되어 있다.

1. 웹기반의 C&C를 제공한다. (php+MySQL)
2. DDoS공격 bot을 생성하는 툴(builder.exe)을 제공한다.
   builder.exe 툴을 이용하여 웹기반 bot관리 서버로 접속하는 바이너리파일을 생성할 수 있게 된다.

[ 이미지 출처 : 글 끝에 소개한 URL ]

bot 바이너리는 지정한 C&C서버로 접속하게 된다. 그리고, bot과 제어서버간의 명령은 웹을 통해서 이뤄지게 되며, 구조는 대략 이렇다.

1. bot은 C&C 서버의의 URL(예. http://웹서버/경로/stat.php )을 체크하게 된다. 이 때 id, build_id 값을 POST방식으로 넘긴다.
2. 서버에서는 명령 등의 상태 값을 BASE64 인코딩된 값으로 리턴을 한다. 그 값에 따라서 bot은 명령을 수행한다.
   다양한 공격 유형이 있는데, ICMP flood, TCP SYN flood, UDP flood, DNS flood, http 요청 등이 있다.
   'flood http foobar.com a.html' 명령을 내린다면 foobar.com/a.html을 계속 호출하게 되며, 'flood syn foobar.com 80'은 TCP SYN flood를 발생한다.

PC에 설치된 bot에 대한 작년 10월 백신 검사 결과를 보니 V3, clamAV, AVG, McAfee 등은 이 바이너리를 못 찾아내고, F-Secure, F-Prot, Kaspersky는 찾아냈다.

보다 자세한 정보는 'BlackEnergy DDoS Bot Web Based C&C'에서 볼 수 있다.

태우님이 쓰신 '미코노미'를 읽은지 2주가 넘었는데, 이제야 간단히 정리해본다.

웹 2.0이 무엇인지 잘 모르는 일반인들도 쉽게 읽을 수 있도록 노력했다. 책 내용처럼 '내'가 중심이 되는 경제에서 독자의 주목(관심)을 받기 위해, 독자의 자세에서 쓴 것이라고 볼 수 있다. 보다 심층적인 내용과 최신 흐름을 원하는 블로거는 태우님의 블로그를 접하면 된다.

책 내용은 마인드맵과 태그로 대신하고, 평소 생각했던 관점에서 2가지 얘기만 꺼낸다.

1. 주목의 경제학


넘쳐나는 정보속에 나는 어떻게 주목을 받을 수 있을까?
'관심을 끌려면 먼저 관심을 가져야 한다. (To be interesting, be interested.)'는 말이 있다. 교류와 대화를 통해 먼저 다가가야 한다. 여기에 신뢰도 필수다.
웹생태계는 점점 인간생태계를 닮아가고 있다. 책에선 웹2.0을 중심으로 얘기하지만 웹에 종속적인 얘기만 하지는 않는다. 웹을 벗어나 회사 생활, 이성을 사귀는 과정에서도 주목은 적용할 수 있다.

2. 기업에서의 미코노미

4장의 'Sun Microsystems'의 CEO의 블로그(p144~)와 후반부의 '기업도 결국 사람이다'(p271~)를 통해 '기업에서의 미코노미'에 대해 얘기한다. 'Sun Microsystems'의 CEO 조나단 슈왈츠(Jonathan Schwartz')는 '조나단 블로그' 를 통해 자신이 믿고 있는 생각에 대해 여과없이 보여주고 있다.


위 내용을 통해 기업에서의 중요한 미코노미 활동을 언급해보면.

임원이라면 블로그를 운영하기를 권한다. 아니, 그래야만 한다. 사무실 벽에 걸린 액자나, 회사 홈페이지의 한구석, 가끔하는 CEO와의 식사를 통해서 CEO의 경영철학을 몸에 배기는 힘들다. 임원은 자신의 경영철학, 사업에 대한 생각, 사업분야의 흐름 등을 여과 없이 블로그를 통해 공유할 자세를 가져야 한다.
이를 통해 '직원'에게는 신뢰를 줄 수 있고, 직원과의 교류의 장이 마련되는 것이다. '임원'에게는 스스로 '프로-앰' 계급으로 들어서게 되고, 개인-개인이 연결되는 미코노미 시대의 중요한 실천 행동이 될 것이다.

웹 관련 종사자는 미코노미 시대에 적극 참여하기를 바란다. 웹 종사자는 관중석에 앉아 응원하는 서포터즈가 아니다. 그라운드를 뛰어야 하는 축구선수다. 웹 2.0 서비스를 꾸준히 이용해보지 않고, 웹 2.0을 논한다는 것은 소비자보다 상품을 더 모르는 생산자가 되는 것이다. ('꾸준히'를 강조한 것은 서비스가 무엇인지 가입하고, 슬쩍 둘러보는 것을 의미하는게 아니다. 줄 곳 이용해야 한다는 의미다.)

책의 내용을 태그와 마인드맵으로 정리했다.

프로-앰 혁명, open(개방), 오픈소스, 웹 2.0, 참여, 대화, 교류, 나, 당신, 개인, 인간, 정보, 주목, 주목의 경제학, 단순성, 창의성, 신뢰, 플랫폼, 링크, 검색, 필터링, 블로그, 커뮤니티


* 마인드맵 원본 이미지 1 내려받기
* 마인드맵 원본 이미지 2 내려받기

※ 1. FreeMind 툴 사용 : http://freemind.sourceforge.net/
   2. 정리될 내용이 적을 줄 알았는데, 정리하다보니 길어져서 2개로 나눴다.
   3. Linux의 FF로 볼 때 이미지가 크면 속도가 느린 문제가 있어서 큰 마인드맵 이미지는 별도 링크한다.

4월 발매될 예정인 'BSD Magazine'은 BSD계열 OS(FreeBSD, NetBSD, OpenBSD, ...)를 전문으로 다루는 잡지이다. 뉴스, 기사, 튜토리어, HOWTO 등으로 구성되어 있으며, 60페이지 이상의 분량이 될 것이다.



발간호 가격은 9.99달러. BSD 매거진에 대해서는 http://bsdmag.org 에서 살펴볼 수 있다.

Asus의 초소형, 초저가 노트북인 Eee PC 701에서 FreeBSD를 돌리기 위해, 약간의 수정이 가해진 BSD를 EeeBSD 라고 부른다. Eee PC가 무엇인지는 '한국은 Eee PC 최적 시장, 연내 30만대 목표'  기사를 참고하면 될 것이다.

국내에는 'E월 ee일' 발매된다. ^^ 바로 다음달 22일이다. Eee PC 701의 사양은 다음과 같다.

- 7인치 화면 (800X480)
- 인텔 모바일 펜티엄 CPU
- 10/100M 랜, WiFi 802.11b/g
- 512MB DDR2-400 메모리
- 4GB / 8GB SSD 디스크 채택
- 웹캠
- 0.92kg
- Windows XP Home 버전


이 초소형 노트북에 FreeBSD 7.0-Beta3 를 설치하는데 몇가지 문제가 있다. 이에 대한 해결책을 http://nighthack.org/wiki/EeeBSD 에서 'EeeBSD'이름으로 적어뒀다. Eee PC는 4GB또는 8GB의 작은 용량의 디스크이므로 통파티션으로 사용하기를 권장한다. 또한 디스크가 SSD(Solid State Drives)이니 Swap 파티션을 만드는 것을 권장하지 않는다. 설치시 권장하는 것, 설치후에 네트웍잡는 법, X11, sound 인식 등에 대한 글이 적혀있다.

Eee PC를 구매하고 싶다는 생각은 들지 않으나, 한 대 있으면 좋겠다는 생각이 든다. 특히 세미나 갈 때 좋을 것 같다. 12.1인치 크기와 1kg 초반의 회사 노트북이 있는데, 들고 다니는게 부담스럽다. 그래서 들고 다는 경우가 드물다. ^^

2주전에 정통부는 DDoS 공격 대응책 마련에 올해 20억원을 책정했다는 기사가 보도되었다. 20억이라는 금액은 누가 봐도 너무 적은 금액이라는 것을 알 것이다.
장비 몇대 또는 10여대면 끝날 금액으로 IX 3곳에 나누어 설치하는데, 이걸로 뭘할까 싶다.

20억 투자가 계획대로 진행되더라도, 구축체계 가동까지는 12월이다. 12월까지는 정부차원의 특별한 대응책('빨리 협조하여 대응한다'는 말뿐인 대응말고.)은 없어 보인다.


대조적으로 VeriSign은 타이탄(Titan) 프로젝트명으로 인프라확충에 2010년까지 1억달러 이상을 투자한다. (작년 4월에 쓴 '.com & .net 도메인 수수료 인상과 Titan 프로젝트'을 참고하세요.) 작년 2월에 root DNS의 공격을 받은 것이 큰 계기가 되었다.

21일 나온 기사에 따르면( 인터넷침해 대응체계 구축, 디지털타임스), 지난 5년간 경제적으로 약 5조3000억원의 침해사고에 대한 피해손실 예방 효과를 거두었다고 발표했다.


많이도 막았다고 자랑할 때가 아니다. 2000년 2월 야후, 이베이, 아마존 등이 DDoS공격에 의한 직접적 피해액만 1조 5천억원으로 산정한다.
현재 DDoS의 타켓이 국내 대형 포털이 아니지만 언제 포털이나 정부기관이 될지 모른다. 2000년의 해외 교훈을 잘 생각하자. 큰 손실을 막았다고 자랑하지 말고 더 큰 손실을 줄이기 위해 20억이 아니라, 200억을 한번에 투입해도 부족한 때이다.

인터넷에 고속도로만 뚫는게 전부가 아니다. 안전장치를 늘려 대형 사고를 줄여야 한다는 것을 잊지 말자.

* 정부, DDoS 공격 대책 마련 나선다 (2008.1.8, 아이뉴스24)
http://news.empas.com/show.tsp/cp_in/20080108n17198/

※ 올해에도 웹하드 업체의 DDoS공격이 심심치 않게 들려온다.

YouTube와 이름이 비슷한 Youku.com 이 2007년 12월에 1일 동영상 조회 건수가 1억건을 돌파했다고 한다. Nielsen/NetRatings SiteCensus업체의 조사에 따른 것이며, 1일 유니크한 방문자는 1천2백만여건, 웹페이지뷰는 1억 3천9백만건이다.



 출처 : Youku.com, Premier Chinese Online Video Sharing Website, Surpasses 100 Million Daily Video Views

2006년 12월에 런칭해서, 2007년 10월에 1일 3천만건 조회에서 12월에 1억건 조회로 급성장을 했다. Youku.com의 설립자이자 CEO인 Victor Koo의 인터뷰에서도 알 수 있듯이 2008년 하반기에 1억 돌파할 것으로 예상했으나 그보다 빨리 돌파할 정도로 급성장을 했다.

한편, Youtube는 2005년 2월 설립하여 같은 해 12월에 서비스를 시작한다. 2006년 7월에 1일 1억건을 돌파했으며, 같은해 10월에 구글에 인수된다. 어제 발표에 따르면 한국어 서비스를 곧 시작한다고 한다. 서비스를 런칭하게 되면 도메인은 kr.youtube.com, youtube.kr 이 될 것으로 보인다.

Youku.com은 국내의 TNC, 판도라TV, Peering Portal(그리드 형태의 파일공유기술을 갖고 있는 업체) 등과 함께 레드헤링(Red Herring)에서 발표한 2007 아시아 100대 기업으로도 선정되었다. 또한 2007년 7월에는 China Internet Society 조사에 따르면 동영상 공유 카테고리 1위를 차지했다.

간단히 Youku.com 사이트를 살펴보았다. 역시 국내에서 중국의 동영상 서비스를 보는 것은 슬로우모션을 보는 것처럼 느리게 스트리밍이 되었다. 플레이어는 심플한 형태. 국내 연예인의 동영상은 쉽게 찾을 수 있다.