2. 중국의 미국 침투능력과 미국 군사.산업 기간망에서 정보수집 시나리오
미국은 최우선적으로 수집된 초기 데이타를 가지고 어떻게 미국 주요기관들에서 스파이웨어가 이식 되었는지를 조사하기 시작했을 것이다. 인트넷과 분리된 기간 내부망(intraNet)의 서버아뒤와 패스워드 즉,'back-door' 가 어떤수단으로 열려졌을까 에 총력집중 해서 조사하게 된다.
여러가지 경우를 두고 수집된 정보를 가지고 다각적으로 검토한 뒤 내린 결정은 '사람에 의한 것'보다는 '네트웍통합 도움과 국가적 해커들 개입에 의한것'으로 판단하게 되고 각기관에 설치된 컴퓨터 환경과 주변 네트웍에 대해 조사를 시작 하게 됩니다.
가. 모니터링 장치를 설치 함
이 장치는 네트웍topology 에서 미국밖으로 나가는 모든 프레임 (FRAME)을 수집함. 이것으로 일단 모든 외부로 나가는 프레임중에 특정국가로 나아가는 종류의 프레임을 먼저 분류해서 어디에서 복제 되는지를 조사집중 하게 됩니다.
위 그림에서 외부망 클라우드(인터넷망으로 나가는)로 나가는 곳에 네트웍모니터를 설치하여 들어오고 나가는 모든 Frame를 복사하여 나가는 Frame중 하나의 payload를 두개이상으로 카피된Frame를 구분발췌하여 따로 수집한다.
이중화 된 Frame이 어디에서 생성되는지 여부를 조사파악 하여, 서버에서 스파이웨어에서 부터 인지, 네트웍 장비에서 부터인지 조사하여 그것이 중국에서 제조된 네트웍장비(L2,L3,L4스위치 : 화훼이,ZTE)이라는 것을 알아냄.
이런 수법으로 내부망(외부 인트넷망과 분리된: 하드웨어적으로 완벽하게 분리되지 않음,완전한 하드웨어 분리는 업무효율상 불가능에 가까움 그이유는 각기관이 전국에 걸쳐 분산되어 있기 때문=> 은행의 경우예를 들어보면, 중앙본사 와 연결된 각지역에 있는 지사들과 연결된 망이기에 분리 불가능함)의 핵심서버시스템 접속하는 아뒤와 패스워드를 알게 되고 그담으로는 그 서버에 있는 모든 자료들이 모두 복사되어 중국으로 전송되게 하는 구조임을 밝혀냄
실험실(Lab.)에서 중국산 네트웍 장비를 정밀하게 조사하여 모든 기능들을 파악하고 확실한 증거를 캡춰하고, 이런 스파이기능이 탑재된 장비가 어디에서 납품되었던 것인지, 어떤경로로 수입된 것인지 전체 이력들을 완벽하게 파악해 냄.
이것으로 전국적 으로 확대적용 하여 모든 중국산 네트웍 장비들이 같은 행위를 하는것을 알게 되고 미국정부에 보고된 것으로 보임.
작성일 : 13-10-09 18:13
조회 : 2,833
