사이버 공격 경로로 악용될 수 있는 엔데믹 취약점
- 제로 데이 등 고 위험 보안 취약점을 이용한 사이버 공격 우려 심화 제로데이 취약점은 제조사 개발자가 인지하거나 공식적인 패치를 배포하기 전에 발견된 보안 취약점으로 최근 이를 악용한 공격이 증가 했다. 특히 원격 코드 실행, 권한 상승 이 가능한 고위험 보안 취약점을 이용하는 사이버 공격에 대한 우려가 심화되고 있다.
Log4j의 경우와 같이 취약점의 영향을 받는 시스템의 수가 많고 광번위한 패치가 필요한 경우, 엔데믹 취약점으로 잔존하며 위협이 될 가능성이 있어 지속적인 주의와 관심필요
Apache Log4j 취약점 분석 및 대응 방안
Apache Log4j란 오픈 소스 로깅 라이브러리로, 콘솔 및 파일 출력 형태의 로깅을 지원하고, XML로 환경 구성이 가능해 다수의 소프트웨어에서 활용하고 있다.
Log4j 이외에도 소프트웨어 동작시에 시스템의 상태와 이벤트를 시간 경과에 따라 기록하는 로깅(logging)관련 프레임워크는 LOGBACK, Log4j2가 있다. LogBACK은 Spring Boot 환경에 기본 적용되어 Log4j에 비해 향상된 성능과 필터링 및 자동 리로드 기능을 지원하고 있다. 이러한 로깅 기반에는 일정한 코드 유지 및 타 프레임워크로의 전환등을 지원하는 추상화 계층인 slf4(Simple Logging Facade For Java)를 통해 구현되게 된다.
log4j는 현재 진행형이다. log4j의 소스코드 리뷰 등으로 역직렬화, 서비스 거부 공격, RCE 취약점이 추가로 발견됨에 따라 당분간은 영향력이 지속될 거스로 보인다.
Log4j가 RCE 취약점이라는 점도 있지만, 구조적인 특서에서 그 해답을 찾을 수 있다. 클래스 A가 클래스 B에 의존하고, 클래스 B가 클래스 C에 의존하는 구조라면 결과적으로 클래스 A가 클래스 C에 의존하게 된다. 이것을 추이 종속성이라고 부르는데, 이런 구조는 취약한 버전의 Log4j를 사용하는 경우 연쇄적으로 취약점에 종속되지 때문에 취약점의 영향도는 훨씬 높아진다.
상세 분석
- JNDILookup plugin 기능을 활용해 JNDI가 “${jndi}” 명령에 특정 서식이 포함된 로그 메시지를 받게 되면 JNDI Injection 이 발생하게 된다.
- JNDI 기능은 자바에서 디렉토리를 이용하여 데이터를 호출할 수 있게 해주는 디렉토리 서비스다. 공격자는 LDAP URL 컨트롤하여 자신의 통제 하에 Java 프로그램을 실행시켜 오프젝트를 로드할 수 있게되는데, 이 취약점은 이 점을 가지고 공격에 활용하게 된다.
예를 들어 하나의 Java 프로그램에서 JNDI와 LDAP를 사용해 JAVA 오프젝트를 호출하는 경우 “ldap://localhost:389/o=JNDITutorial”이라는 문구를 통해 LDAP 서버에서 JNDITurorial 오프젝트를 찾아 속성을 읽어들이게 한다.
Log4shell 취약점을 사용하는 경우 “${jndi:ldap://example.com/a}”의 문자열을 통해 LDAP URL을 제어할 수 있게 된다. 이와 같은 공격이 가능한 이유는 Log4j의 Syntax 중에 ${prefix:name}과 같이 접두사(prefix)의 Lookup을 통해 name을 가져오는 기능이 존재하기 때문이다. 예를 들어 ${java:version}인 경우에는 JAVA 버전을 의미하게 되며, 특수 구문이 ${preris:name} 형태로 포함되어 있는 경우 prefix 를 통해 서로 다른 다수의 Lookup 중 하나를 호출 할 수 있게 된다.
- 결론적으로 jndilookup은 lookup 의 하나로 ${jndi:xxx}라는 변수로 JNDI를 xxxx를 lookup한 값을 출력하게 되며, JNDI Injection이 이용되면서 임의로 코드가 실행되게 된다. 일반적으로 앞서 설명한 바와 같이 LDAP를 활용한 원격 호스트 URL에 연결한 공격이 주로 수행되지만, 다양한 인프라 환경에서 사용중인 Log4j 공격 벡터의 대응이 필요하다
- 이 공격은 주로 HTTP Header의 거의 모든 요소에 JNDI 공격을 수행 할 수 있다. 일반적으로 공격자들이 LDAP를 주로 이용함에 따라 JNDI와 LDAP의 조합을 통해 서 취약점이 발현되는 사례에 대해서 분석해 보고자 한다.
취약점이 유발되는 JNDI lookup이 트리거 되는 구문인 “DataSource dataSource = (DataSource)context.lookup(jdniName);”은 PluginBuilder에서 DataSourceConnectionSource -> createConnectoinSource를 호출하며 해당 과정에서 역직렬화(Deserialization)이 발생하게 된다.
- 직렬화 : 데이터를 전송가능한 연속적인 형태로 변형
- 역 직렬화 : 직렬화된 파일을 다시 객체형태로 복원하는 것
Log4j 대응 방안
① IPS/WAF를 통해 공격자의 공격패턴을 탐지하는 경우
② Log4j를 사용하지 않지 않는 경우
③ Log4j 2.X 보안업데이트를 수행한 경우(Java8버전의 경우 2.160, Java7버전의 경우 2.12.2)
④ Log4j JNDI Lookup이 비활성화된 경우(Log4j 2.16.0은 기본값이 Disable로 설정)
⑤ 공격에 주로 활용되는 User-Agent나 X-API-Version 등의 헤더값을 Log4j로 로깅하지 않는 경우
⑥ Log4j를 사용하는 시스템에서 LDAP등 JNDI와 통신이 불가능한 경우
랜섬웨어 피싱 앱 등 사이버 위협 변화
가장 활발한 랜섬웨어 공격은 다중 갈취로 수법이 진화됨, 랜섬웨어 공격 증가는 서비스형 랜섬웨어(Raas)로, 국가 배후 공격 그룹의 활동 증가 등에 기인하는 것으로 보이며 귀신 랜섬웨어 등 국내 기업만을 노래는 랜섬웨어도 지속적으로 유포됨
- 전화 수신 위장 등으로 기능을 강화한 보이스피싱 악성 앱
- 전화번호 가로채기
- 문자 메시지 탈취
- 전화번호부 탈취
- 스크린샷 탈취
- 기기 정보 탈취
해당 탈취를 통해 정보 수집, 사칭 대상은 금융사 피싱 가드, 백신, 공공기관, OTT 앱, 동영상 플레이어 등이 있음
- 전화번호 가로채기
오픈 뱅킹, 간편 송금 등 디지털 금융 서비스 개방과 연결을 특성으로 하는 디지털 금융 환경, 디지털 기술 등을 역이용 하며 진화해 나갈 것으로 전망
- 코드 난독화, 지능화된 우회 기법 적용, 내부 이동 등 잠복 등 탐지를 무력화하고 대응을 지연시키기 위한 방식도 계속해서 개발해나감
오픈 소스 이용 활성화와 강조되는 공급망 보안
오픈 소스는 누구나 접근 가능할 뿐 아니라 검증 없이 재사용되는 경우가 많기 때문에, 이를 노린 악성코드 삽입,정상 패키지와 유사한 이름의 악성 패키지를 등록하는 타이포스쿼팅 등 공격이 가능
- 복잡해지는 소프트웨어 공급망, 체계적인 보안 관리 필요
- 디지털 전환이 가속화됨에 따라 복잡한 소프트웨어 고급망 구조상 약한 고리를 노리는 사이버 위협 또한 심화될 것으로 전망
- 소프트웨어 지재명세서(SBOM) 등을 통해 소프트웨어 구성 요소를 빠짐없이 식별하고 이와 관련된 보안 취약점, 출처 및 이력, 라이선스 의무 등을 체계적으로 관리
- 디지털 전환이 가속화됨에 따라 복잡한 소프트웨어 고급망 구조상 약한 고리를 노리는 사이버 위협 또한 심화될 것으로 전망
디지털 자산의 당면 과제, 리스크 관리 체계 마련
- 디지털 자산의 가치 상승 및 이용 활성화에 따라 사이버 공격이 급증
거래소에서 데이터 유출과 전자지갑 탈취의 보안 위협이 생길 수 있고, 가짜 하드웨어와 타인 명의 도용을 통해 전자 지갑에 대한 보안 위협이 생길 수 있다. 디파이라고 하는 대상에는 디지털 자산 무단 발생과 외부 네트워크 공격이 있을 수 있다.
디지털 자산 무단 발행은 스마트 계약 코드의 보안 취약점을 악용하여 트랜잭션 위조를 통한
클라우드 보안 고려사항
디지털 신기술 활용 증가 등에 따라 클라우드에 대한 관심 고조
- 클라우드 이용과 관련하여 계정 도난, 설정 오류, 운영 실수 등에 따른 서비스 중단, 데이터 유출이 지속적으로 발생하고 있으며 클라우드 보안 사고 대부분이 기술적인 문제 보다는 관리 미흡에서 비롯되었다.
인공지능 활용 공정성 보안성 확보를 통한 이용자 보호 필수
빅데이터에 기반한 금융시장 분석 전망, 금융상품 추천, 리스크 측정, 관리 투자 전략 수립, 고객 응대 등 금융권 내 다양한 분야에서 AI 활용
금융보안 관제, 금융 사기 범죄 탐지 및 예바 등 사이버 봔 및 이상금융거래 탐지에도 AI를 적용하여 고도화
활용 방안
- 업무 자동화 : 보험금 지급 여부를 AI가 실시간으로 심사하는 AI 자동심자 시스템 도입
- 고객 응대 : AI 상담원이 선결제와 한도 조정, 비밀번호 등록, 변겨 등을 상담하는 인공지능 자동 응답시스템을 고객센터에 도입
- 신용 평가 : 담보 대출 인공지능 자동화 시스템 도입
- 투자 및 상담 : 금융 자연어 처리 인공지능 알고리즘을 기반으로 메일 뉴스를 분석하고, 투자 가치가 있는 정보를 선별하여 전달하는 AI 뉴스 서비스
- 사이버 보안: AI 기반 방어 체계를 개선하는 봔 위협 대응 자동화 시스템 및 프로세스 구축
설명가능한 XAI 합성 데이터 : 실제 데이터와 통계적 특성이 유사하여 실제 데이터를 분석한 결과와 유사한 결과를 얻을 수 있도록 인공적으로 제현하여 생성한 가상 데이터
AI 기술 활용으로 예상되는 개인정보 유출, 학습 데이터 조작 등과 같은 위험을 예방하기 위해 데이터 획득 시점부터 가공되는 모든 단계에 대한 AI 보안성 검증을 통해 신뢰성 및 보안성 확보
방대한 데이터를 학습 처리하는 과정에서 잘못된 데이터를 학습하여 AI 알고리즘이 편향된 결과를 도출할 우려가 있으므로, AI 알고리즘의 공정성 확보를 통한 이용자 보호 필요
디지털 신원 증명 활용에 따른 기대와 우려
기존 비대면 신원 증명 방식에 안전성 편의성을 더한 새로운 디지털 인증 방식 필요성 증대
바이오 인증, 신체 인증 등의 기본의 비대면 신원 증명 방식에는 개인정보 유출, 해킹, 신원 도용의 위험이 존재한다.
특히 실명 확인 증표는 이용자가 신원정보 노출 범위를 통제할 수 없으며, 훼손이나 도난 혹은 위변조를 통해 범죄에 악용될 우려가 있다.
실명 확인 증표 사본을 제출한다. 주민번호 메모리 정보 노출이나 네트워크 평문 전송의 우려가 있다. 타 기관의 결과를 활용하여 인증 단계를 우회 하거나 식별 정보를 재사용할 우려가 있다. 바이오 인증은 바이오 정보의 복제와 암호화 미저장의 문제가 있다.
DID(Decentralize IDentifier) 기반 모바일 운전 면허증을 통한 새로운 신원증명 체계 도입을 통해 실명 확인증표가 가진 개인정보 유출 신원도용, 위 변조 및 분실 도난의 위험으로 부터 비교적 자유로운 DID 기반 모바일 신분증 등장 DID(Decentralize IDentifier) : 분산원장기술 또는 그 밖의 다른 분산 네트워크 기술을 화료하여 분산된 저장소에서 등록함으로써 중앙집중화된 서버와 같은 등록 기관이 필요하지 않은 전역 고유 식별자
디지털 신원 증명 기술 활요에 따른 새로운 위협에 대비할 필요가 있다. 모바일 운전면허증은 PIN 또는 안면 인식, 모바일 주민등록증은 ID/PW 또는 간편인증, 인증서 등으로 인증
새로운 디지털 신원증명 체계를 수용할 수 있는 거래 환경을 조성하고, 낮은 디지털 접근성을 가지고 있는 소외된 이용자에게도 평등한 금융 서비스를 제공할 수 있도록 금융 포용을 고려할 필요가 있다.
금융보안 규제 합리화, 전제되는 자율 보안
금융권은 핀테크 산업의 성장과 빅블러 현상, 재택 원격 근무의 일상화 등의 환경변화로 ICT 기술을 활용한 디지털 전환을 적극 추진한다
안면인식 기술을 활용한 비대면 실명확인 서비스로 절차를 간소화 하고 디지털 신원증명 플랫폼을 이용하여 비대며 계좌개설시 신원증명 절차를 간소화하는 서비스를 제공한다 안면인식 결제 동형 암호 기반 데이터 결합 분석 서비스 제공
그 동안은 엄격한 망분리 규제와 클라우드 이용 절차로 인해 디지털 신기술을 도입하고 활용하는데 어려움이 있다는 의견이 지속적으로 제기되어 왔다. 이에 금융 위원회는 클라우드 이용 절차의 불분명한 기준을 정비하고 개발 테스트 분야의 물리적 망분리 규제를 예외적으로 완화하는 내용을 골자로 하는 클라우드 및 망분리 규제 개선 방안을 발표 했다.
망분리 예외가 인정될 경우 소스코드 및 중요 정보 유출, 취약한 소스코드 사용으로 인한 봔 침해, 내부망 악성코드 감염 등 보안 위험의 우려도 증가한다.
마이플랫폼 시대, 데이터 확보와 보호
- 빅블러 시대, 금융권은 플랫폼 구축에 주목 빅테크 핀테크 기업이 디지털 기반의 종합그뮹서비스 구축을 주도하는 빅블러 시대가 도래했다. 빅블러란 생산자-소비자, 소기업-대기업, 온라인-오프라인, 제품 서비스 간 경계 융화를 중심으로 산업 업종 간 경계가 급속히 사라지는 현상이다.
이업조 기업과의 제휴 또는 금융 위원회의 혁신 금융서비스 제도를 통해 생활 금융 플랫폼 구축을 추진하며 시장 경쟁력 홥ㄱ고에 집중
- 다양한 금융서비스를 통합하는 금융권 슈퍼 원앱 전략
- 슈퍼원앱 전략은 하나의 통합 앱에서 다양한 금융서비스를 제공하는 것으로, 금융권에서는 플랫폼 전략의 일환으로 추진한다
마이플랫폼 도입 추진에 따라 데이터 확보의 경쟁이 더욱 격화될 가능성이 있으며 향후 오픈 파이넨스로의 전환, 마이데이터 발전, 규제 혁신 완화 등에 기반하여 개인별 맞추형 금융 생활 서비스를 제공하는 마이플랫폼으로 발전 예상
마이플랫폼은 양질의 개인정보가 대량으로 집중 융합됨을 전제하는 바 데이터 확보 경쟁 과열 및 소수 플랫폼의 정보 독과점 등과 관련된 이슈 발생 가능
금융권 채널 변화의 핵심 디지털 연결
- 점포 디지털 점포 등 오프라인 점포에도 디지털을 접목한다
비대면 금융 서비스 확산으로 이용률이 낮은 오프라인 점포 축소가 가속화되고 있으며 그 대안으로 혁신 점포, 디지털 공동점포가 등장했다.
고객 스스로 업무를 볼 수 있도록 AI 행원 로봇 컨시어지, 키오스크, 종합 금융 기기 등 디지털 기기를 이용한 무인 형태로 운영
디지털 기반의 대면 체널 혁신과 함께 점포 등 멀티 채널에서의 고객 경험을 통합함으로써 온 오프라인 에서 일관된 서비스를 제공하고 고객 중심 서비스를 가화하는 옴니채널 전략이 대두되고 있다.
Refference