대표적인 학술 연구센터인 GTISC는 2009년 사이버 위협에 대하여 5가지 정도로 예상 한다고 밝혔다. (출처:정보보호뉴스레터-KISA) 그것을 살펴 보면 다음과 같다.
맬웨어
봇넷
사이버전쟁
VOIP와 모바일 디바이스에 대한 위협
사이버 범죄 경제의 발전
멜웨어는 기존에 워낙 사이버 위협을 가했던 것이라 여전히 2009년도에도 위협적인 존재로 다가올 것이다.
봇넷은 올 한해 DDoS 공격에 이슈화 되면서 더 많이 언급이 되어서 스스로 지능화 되고 네트워크화 되어 이것 역시 2009년에도 사이버 위협으로 다가 올것이라 예상을 하였다.
사이버전쟁 - 러시아와 그루지아 간의 전쟁에서도 보듯이 이제는 우선 사이버전으로 먼저 점령을 하고 그다음 물리적으로 공격할 가능성이 제기 되었다. 그것은 이제 컴퓨터로 모든 제어되고 있는 환경에서 우선 이러한 제어시스템을 장악하는것이 유리 하기 때문이다. 사이버전이 일어나는 것은 이제 현실로 되어 버렸다.
VOIP- 국내에서도 일반전화 번호 그대로 인터넷전화가 변경이 시행됨에 따라 인터넷만 있으면 되는 인터넷전화로 많은 가입자와 사용자가 늘어 날 것이다. 그렇기 때문에 기존에 유선전화보다 더 많은 인터넷 환경에서의 위협이 고스란히 인터넷 전화로 옮겨갈 가능성이 있다. 2009년 한해에도 그것에 따른 위협이 더 많이 대두 될 것이다.
사이버 범죄 - 사이버 범죄로 인하여 사람들이 힘들게 일하지 않고 돈을 벌수 있다는 사실을 알게 되면서 이제는 거침 없이 범죄를 저지르고 있다. 이러한 사이버 범죄는 더욱 조직화 되고 이윤을 추구 하게 된다고 IBM 수석 보안전문가 올만은 말한다.
이렇듯 2009년 내년 한해에도 우리에게 사이버에 대한 위협은 어김없이 다가 올 것이며 우리는 그러한 위협으로부터 얼마나 정보를 잘 지켜내느냐가 관건이다.
KISA에서 발행하는 정보보호컨설팅 뉴스레터 배포본 기사를 인용하여 조금 작성해 보았다...
며칠전 한 고객으로부터 서버가 자꾸 다운되고 웹페이지 및 네트워크 접속이 안된다는 민원을 접수하고 서버를 점검하였다. 리눅스서버로 간단한 회사 홈페이지 정도 구동하고 있었다. 서버 관리자는 당연히 초보이고 나름 그래도 관심을 갖는다고는 하였으나 동일증상이 반복된다고 하여 조사해 보았다.
이미 고객은 몇차례 침해 사고를 당한 적이 있어 패스워드 만큼은 보기 드물게 강력한 패스워드를 만들어 사용하고 있었다.
그 가운데 아까 점찍어 둔 놈을 lsof 명령어와 옵션으로 해당 파일과 포트를 어떻게 사용하고 있는지를 모았는데 httpd 데몬을 가장하고 있었다..
]# lsof -i:32780 COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME httpd 4445 nobody 7u IPv4 10783 TCP finebill.co.kr:32780->ip-101-99-net.express.net.id:ircd (ESTABLISHED)
이 놈이 바로 httpd 데몬을 가장하여 외부에 있는 ircd 데몬과 연결이 되어 irc 채팅 서버로 뚫린 모양이다.
======================================================================================== IP INFORMATION SEARCH : 203.153.xx.xxx 국가 : Indonesia ISP : N2C-IFS4 기관명 : Infrastruktur N2C 주소 : PT. NettoCyber Indonesia IP구간 : 203.153.99.0 - 203.153.99.255
inetnum 203.153.99.0 - 203.153.99.255 netname N2C-IFS4 country ID descr Infrastruktur N2C descr Jakarta descr Indonesia admin-c AD142-AP tech-c GB82-AP status ASSIGNED NON-PORTABLE changed hostmaster@net2cyber.net 20061214 mnt-by MAINT-ID-EXPRESSNET source APNIC
person Aris Dharmawan nic-hdl AD142-AP e-mail arisdh@net2cyber.net address PT. NettoCyber Indonesia address Menara Rajawali Lt 12 address Mega Kuningan Lot 5.1 address Jakarta 12950 phone +62-21-5761234 fax-no +62-21-5762345 country ID changed novan@xl.co.id 20040915 mnt-by MAINT-ID-XLNET-N2C source APNIC
person Gede B. Widagdo nic-hdl GB82-AP e-mail gede@velo.net.id address PT. NettoCyber Indonesia address Menara Rajawali Lt 12 address Mega Kuningan Lot 5.1 address Jakarta 12950 phone +62-21-5761234 fax-no +62-21-5762345 country ID changed gede@velo.net.id 20070912 mnt-by MAINT-ID-EXPRESSNET source APNIC
그래서 IP 조사결과 인도네시아로 나왔다., 실제 인도네시아 인지 아니면 인도네시아 서버도 뚫린건지 잘 모르겠지만 아무튼 그랬다.
[root@ tmp]# ls -al total 248 drwxrwxrwx 5 root root 40960 Mar 28 11:44 . drwxr-xr-x 24 root root 4096 Mar 27 13:01 .. drwxr-xr-x 2 nobody nobody 4096 Mar 27 15:22 .c -rw-r--r-- 1 nobody nobody 0 Mar 27 15:21 cmdtemp drwxrwxrwt 2 root root 4096 Mar 27 13:01 .font-unix drwxrwxrwt 2 root root 4096 Mar 27 13:01 .ICE-unix srwxrwxrwx 1 mysql mysql 0 Mar 27 13:01 mysql.sock -rw-r--r-- 1 nobody nobody 12510 Feb 27 23:07 mysql.txt -rw-r--r-- 1 nobody nobody 12510 Feb 27 23:07 mysql.txt.1 -rw-r--r-- 1 nobody nobody 12510 Feb 27 23:07 mysql.txt.2 -rw-r--r-- 1 nobody nobody 12510 Feb 27 23:07 mysql.txt.3 -rw-r--r-- 1 nobody nobody 12510 Feb 27 23:07 mysql.txt.4 -rw------- 1 nobody nobody 38912 Mar 20 17:09 php2jPgvv -rw-r--r-- 1 nobody nobody 29584 Mar 18 15:52 sess_7330089add1ed9e64f84ef136f02b4ef -rw-r--r-- 1 nobody nobody 29582 Mar 19 02:40 sess_7WR0089add1ed9e64f84ef136f02b4ef [root@ tmp]#
그리고 나서 발견된 tmp 디렉토리의 수 많은 파일등,...일일이 확인해 보니 아주 봇 들이 난리도 아니었다. 자세한 것은 추후 또 살펴 보기로 하고 일단 해당 봇넷 파일 삭제와 퍼미션 조정들..그리고 방화벽 필터링을 통한 포트 제어 등으로 모니터링 후에 다시 동일한 현상이 일어나면 연락 달라고 했다. 한가지 아쉬운 점은 늘 그렇지만 지금 사용중이 서버라서 함부로 다룰수 없다는 것이다. 그렇다고 무슨 수사기관도 아니고 그럴만한 권한을 위임 받은 것도 아니기 때문에 ..여러가지 대처 방안과 요령을 말해 주고 끊었다.
