해킹과 시스템관리자

윈도우 보안 2005/11/16 15:51

해킹과 시스템관리자

과거 해킹의 유형과 최근에는 많은 차이가 나타나고 있다. 물론 뭐냐고 한다면 딱 부러지게 이거다라고 제시 할 수 없지만 과거에도 시스템관리자였고 지금도 마찬가지이지만 점점 고도화되고 정상적으로는 잡을 수 없게끔 변화 되어 가고 있다고는 말할 수 있겠다.

그런예를 몇가지 들어 보고자 한다. 물론 말도 안되는 이야기지만 이렇게라도 막아서 조금이나마 보탬이 되었으면 하는 내용을 적어봅니다.(해커와 싸우는 일은 피곤한 일이라서요.)

해킹 유형들
  • 시스템 커널 및 정상적인 프로세스의 웜 또는 백도어 시스템 : 최근 해킹 당한 시스템 중에 SQL Injection 등으로 공격 후 백도어를 심는데 각종 백신등을 통해서 점검을 하여도 잡기가 어려운 상황이며 이런 경우는 대부분 정상적인 프로세스 유형으로 보면 된다. 실제 커널 파일에서 컴파일 되어서 운영 되고 있다고 판단 하면 된다.
  • 정상적인 서비스 포트로 공격 유형으로 최근 80 포트로 공격(SQL Injection) : 요즘 80 포트의 공격에 대한 애플리케이션 방화벽이 계속 나타나고 있는데 이런 유형을 미리 예측 한 결과 아닐까 싶네요. 가격이 1억정도 할 정도로 높은 가격에 비해서 얼마나 시스템관리자가 믿고 사용 할 수 있을지는 아직 미지수임.
  • 암호화된 세션을 갖추어서 공격 또는 통신 진행(향후 예상) : 관련 기술을 소개 하면 긴급경보! 암호화 기술로 흉악해지는 봇 같다.

시스템관리자가 해야 할일들
  1. 방화벽 장비 설치 : 필수이다. 이 장비만 설치 하면 되었던 과거와 다르게 지금은 기본으로 갖추고 있고 그와 연동해서 추가적인 장비와 관리자의 노력이 필요하다. 그것은 보안 정책이다. 방화벽 규칙이라는 것이 과거에는 보안 정책이었지만 회사에서는 이런 방화벽 정책과 서비스를 하기 위한 여러 조건에 대한 규칙을 준수 하고 사용해야 한다는 것이다.
    과거에는 들어오는 정책에 따른 준비를 해 둔 상태이지만 최근에는 나가는 정책에도 세심하게 기울여서 진행해야만 할때가 온 것이다. 아마 이 부분은 쉽지는 않겠지만 지금 이라도 조금씩 준비를 통해서 하기 바란다.
    백도어를 설치 한 후 외부로 통신을 막을 수 있으며, 물론 80 포트는 알려진 포트로 한다면 할 수 없다.

  2. 시스템 보안 점검 : 운영체제 보안 설정 및 패치 작업, DB 서버 보안 강화, SMB 통신 등으로 대부분의 웹 서비스를 하는 곳에서는 패스워드 어려움 및 파일 복사등를 손쉽게 처리하고자 SMB 서비스를 사용해서 진행하고 있다. 최근 해킹 유형들을 이런 단점을 잘 활용해서 해킹을 하고 있기 때문에 SMB 서비스를 차단하는 것을 적극 권장한다.

  3. ASP 소스 취약점 제거,SQL Injection 취약점 제거 : URL의 내용을 그나마 잘 필터링 하는 프로그램으로 WebKnight 라는 ISAPI 필터가 있는 도움을 얻기 바랍니다. 100% 얻기 보다는 당장 소스를 수정 할 수 없을 때 적용 가능하오나 필터 적용하게 되면 서비스에 장애가 생기니 테스트 작업 진행 요청함.

  4. 백신 설치 : 서버 및 클라이언트에 하며 최근 업데이트가 빠른 것을 선택요망. 백신으로 잡기는 힘들지만 걸린 후 백도어에 인한 발견이 되는 경우도 있다. 단지 걸리기를 바라면서 선택한 방법 중에 하나이다.


필자가 서버들을 점검하고 진행하다면 규모에 따라 해결 방안이 차이가 있는 것으로 판단 된다. 소수 몇대의 서버들을 해킹을 해도 처리 방안이 그리 어렵지 않다. 대부분 웜과 백도어가 존재하고 있는 상황이지만 자세히 살펴 보면 찾을 수 있다는 것이다. 그러나 수십대의 서버인 경우는 서버와 서버간의 통신을 통해서 파일을 주고 받고 하기 때문에 정상적인지 비정상적인지는 쉽게 구별해 낼 수 없다는 것이다.

위 상황은 저만의 문제만은 아닐 것 같다. 이런 상황을 시스템관리자가 얼마나 헤쳐 나갈 수 있을지도 미지수며 회사에서는 어떻게 이해를 하고 따라와 줄지가 걱정이다. 과거에는 몇명의 시스템관리자가 뛰어나다고 한다면 해킹을 막고 제어 할 수 있었다 하지만 최근에는 시스템관리자의 역할과 회사 정책에서 향후 보안 정책을 수립하여 그대로 따르도록 지시를 내려야만 할 정도로 복잡해 지고 있다. 해킹에 따른 회사의 손실 비용도 만만치 않은 상태에서 시스템관리자는 온몸으로 해커와 싸울 수는 없기 때문이며 회사에서도 누구에게 떠 맡기고 만다면 더욱 더 커다란 손실을 가져올 뿐이다.

참고할 사항들 :
- 긴급경보! 암호화 기술로 흉악해지는 봇
- SQL Injection 취약점 사례 분석 #2

'윈도우 보안' 카테고리의 다른 글

[컬럼]중국발 해킹, 그리고 온라인 게임과의 관계  (1) 2005/11/23
'단순한 파일 공유' 와 보안  (0) 2005/11/18
해킹과 시스템관리자  (0) 2005/11/16
IPSec으로 처리할 수 없는 트래픽은 무엇인가?  (0) 2005/11/05
[긴급패치] 윈도우 시스템 긴급 보안 공지 패치 요망  (0) 2005/10/13
[긴급경고]Threat of china II  (0) 2005/10/03
Posted by NTFAQ
TAG , , , , ,
트랙백 0, 댓글 0개가 달렸습니다

트랙백 주소 :: http://ntfaq.co.kr/trackback/3168 관련글 쓰기

댓글을 달아 주세요