헐랭이와 IT보안 (opt9's IT Security)

글의 내용으로 유추해볼때 이 공격자는 LG 전자에 입사지원서류를 냈다가 탈락한 것에 앙심을 품고 평소 자신이 가입한 취업 관련 카페에 정보를 공개한 것으로 보입니다.  IT 관련 직종으로 지원했던 게 아닌가 싶은데...

이 공격자는 간단한 parameter 인자 조작을 통해 온라인에 올린 다른 사용자의 입사지원서류를 볼 수 있다는 점을 파악했습니다. 예를 들어 해당 URL이 view.php?user_id=20061002 라는 패턴이면 view.php?user_id=20061004 같이 변경할 수 있겠죠. 카페 글에는 이 인자가 process_id 라고 언급하고 있죠.

그는 여기서 멈추지 않고 간단한 HTML 파일을 만들어서 한꺼번에 수십명의 정보를 볼 수 있도록 했습니다. HTML 기초만 배운 분이라도 누구나 '아~ 이렇게 코딩했겠구나?' 하는 감이 오실 겁니다.

요즈음 공격 추세 중 하나는 바로 이렇게 사이트의 정상적인 기능을 악용하는 프로그램을 개발한다는 것입니다. 예를 들어 제가 쇼핑몰을 하면서 이벤트로 쿠폰을 발급한다고 하죠. 어느 정도 규모가 되는 기업이라면 아마 외부 이벤트 회사와 외주 개발 업체를 통해 단시간 내에 간편하게 이벤트 페이지를 올리실 수 있을 겁니다. 이벤트 종료 후 결과를 보니 사이트 이용자 중 약 30 % 가 이벤트에 응모하였고, 클릭횟수는 자그만치 100 만회가 넘었습니다. 저는 이러한 현황을 정리하여 위에 이벤트를 성공적으로 마쳤음을 보고할 것입니다.

그러나 실제 내용을 살펴보면....? 이벤트 전체 응모자 수 중 1% 도 안되는 소수의 사람이 전체 클릭 횟수 중 99% 를 차지하고 있고, 이들은 지난번 이벤트에도 당첨되었던 '단골 손님'입니다. 그들은 상습적인 '자동 응모 프로그램' 사용자인 것입니다. 저는 그들이 어떤 방식으로 우리 사이트의 이벤트를 악용했는지 대충 감은 오지만, 괜히 위에 보고해서 스스로 다치기 싫고 어찌보면 결과적으로 그들 덕분에 이벤트가 '통계적으로 대성공'을 거둘 수 있었기 때문에 조용히 넘어가기로 합니다. 이와 비슷한 사례가 실무에서 비일비재하게 일어납니다.

웹 어플리케이션 취약점 하면 대부분 OWASP Top 10 취약점에 대해서만 고민을 하는 경우가 많습니다. 그러나 위의 사례와 같은 Business 측면에서의 웹 공격을 고려하지 않는다면 자칫 나무를 보다 숲을 못보고 지나치는 실수를 범할 수 있습니다.

많은 사이트가 서비스를 개설하면서 고객에만 지나치게 촛점을 맞춘 나머지 악용자(Abuser) 에 대해서 고려하는 것을 지나치곤 합니다. 심지어 Abuser 에 대해 사이트 활성화를 위한 필요악이라고 생각하는 경우도 있습니다. Abuser 는 다른 정상적인 고객의 서비스 사용 의욕에 악영향을 미치고, 때로는 직접적인 금전 피해를 주거나, 소수의 Abuser 를 막는 일에 유지 보수 노력의 대다수가 투입되어 간접적인 금전 피해를 주는 형태로 사업을 위협하는데도 불구하고 말이죠.

Abuser 를 막는 데는 개발 시 정상적인 Use Case 만 고려하는 것이 아니라, 개발팀이 미처 예상 못하는 Mis-Use Case 는 없는가 고려하는 것이 필요합니다. 설계 단계에서 악의적인 공격자를 미리 산정해두고 그의 행동 패턴을 설계에 반영하는 것입니다. 일종의 쉐도우 복싱이라고 할까요? 상대방과의 상호 작용과 전략을 고려한다는 점에서 장기나 바둑과도 비슷합니다.