최근 들어 웹 변조와 함께 해킹이 자주 등장하고 있습니다. 하지만, 대부분 대처법은 다음과 같은 과정을 거치더군요.
결국, 바꿔 말하면 위의 해킹에 대한 처리 작업 순서는 잘못되었기에 같은 방법으로 계속 당하는 겁니다. 위 과정에서 빠진 게 뭘까요? 바로 원인 분석입니다. 생각을 해보면 위의 1~6번까지의 과정은 그렇게 이상하게 보이지 않습니다. 서버의 재설치나 백신 같은 보안 프로그램의 설치는 해당 회사에서 이 분야를 가장 잘 아는 분이 서버를 세팅했겠지요.
하지만, 서버를 재설치 한다고 해서 뭐가 달라졌을까요? 함께 생각을 해봅시다. 만약, 백신이나 안티스파이웨어 같은 보안 프로그램으로 해당 부분이 수정된다면, 해킹 당했을 때 재설치가 아니라 이런 보안 프로그램의 설치로도 충분히 해결되지 않았을까요? (물론, 최악은 보안 프로그램이 시스템 파일을 깨뜨리면서 윈도우가 아예 부팅이 안 되는 경우도 있을 수 있습니다.) 방화벽도 마찬가지입니다. 방화벽으로 막는다고 막았지만, 과연 기존과 얼마나 차이가 나도록 막은 겁니까? 대부분 기존과 똑같은 설정 후, 최신 윈도우 업데이트만을 추가로 진행하지는 않은겁니까? 한마디로 말하자면,
이미 백도어의 경우, 백신이나 안티스파이웨어로는 두 발자국 정도 느리고, 전문범의 소행인 경우 기존과는 다른 변형 단계를 사용한 흔적도 종종 보여지고, 이에 따라 수 없이 변형된 방식이 존재합니다. 최근의 백도어는 전에도 언급했다시피, 단순한 실행 파일이 아니라 루트킷을 이용해 드라이버와 같은 형식의 시스템으로 숨어듭니다. 시스템으로 숨어들게 되면, 탐색기에서 파일은 보이지 않으며, 이 정도로 당했다면, 파일의 버전과 날짜, 인증된 코드 사이닝까지도 모두 신뢰할 수 없는 단계입니다.
해킹에 대한 최종적인 처리 방법은 재설치가 답이 아니라 해킹 당했더라도 재설치 보다는 해킹 프로그램을 찾아 제거하거나, 해당 프로그램의 권한을 완전 제거하는 것이 더 빠르고 정확한 답이 됩니다.
보안의 가장 기본적인 원칙. 바로 "일단 막을 수 있는 건 (시스템에 장애가 발생하더라도) 무조건 막고 시작한다."는 원칙을 다시 한번 생각해야 할 때가 아닌가 싶습니다.
참고 : Windows 2003 Std 에 SP2 를 설치하려고 했으나 계속해서 실패
- 해킹 부분 찾기
- 해킹 부분 수정
- 1~2번 몇 회 반복
- 서버 재설치
- 백신 설치
- 방화벽 설치
- 또다시 해킹
- 또다시 해킹된 부분 수정
- 1번부터 다시 시작
결국, 바꿔 말하면 위의 해킹에 대한 처리 작업 순서는 잘못되었기에 같은 방법으로 계속 당하는 겁니다. 위 과정에서 빠진 게 뭘까요? 바로 원인 분석입니다. 생각을 해보면 위의 1~6번까지의 과정은 그렇게 이상하게 보이지 않습니다. 서버의 재설치나 백신 같은 보안 프로그램의 설치는 해당 회사에서 이 분야를 가장 잘 아는 분이 서버를 세팅했겠지요.
하지만, 서버를 재설치 한다고 해서 뭐가 달라졌을까요? 함께 생각을 해봅시다. 만약, 백신이나 안티스파이웨어 같은 보안 프로그램으로 해당 부분이 수정된다면, 해킹 당했을 때 재설치가 아니라 이런 보안 프로그램의 설치로도 충분히 해결되지 않았을까요? (물론, 최악은 보안 프로그램이 시스템 파일을 깨뜨리면서 윈도우가 아예 부팅이 안 되는 경우도 있을 수 있습니다.) 방화벽도 마찬가지입니다. 방화벽으로 막는다고 막았지만, 과연 기존과 얼마나 차이가 나도록 막은 겁니까? 대부분 기존과 똑같은 설정 후, 최신 윈도우 업데이트만을 추가로 진행하지는 않은겁니까? 한마디로 말하자면,
조치 전과 후의 차이점에 대해 구체적인 보고가 가능합니까?
이미 백도어의 경우, 백신이나 안티스파이웨어로는 두 발자국 정도 느리고, 전문범의 소행인 경우 기존과는 다른 변형 단계를 사용한 흔적도 종종 보여지고, 이에 따라 수 없이 변형된 방식이 존재합니다. 최근의 백도어는 전에도 언급했다시피, 단순한 실행 파일이 아니라 루트킷을 이용해 드라이버와 같은 형식의 시스템으로 숨어듭니다. 시스템으로 숨어들게 되면, 탐색기에서 파일은 보이지 않으며, 이 정도로 당했다면, 파일의 버전과 날짜, 인증된 코드 사이닝까지도 모두 신뢰할 수 없는 단계입니다.
해킹에 대한 최종적인 처리 방법은 재설치가 답이 아니라 해킹 당했더라도 재설치 보다는 해킹 프로그램을 찾아 제거하거나, 해당 프로그램의 권한을 완전 제거하는 것이 더 빠르고 정확한 답이 됩니다.
보안의 가장 기본적인 원칙. 바로 "일단 막을 수 있는 건 (시스템에 장애가 발생하더라도) 무조건 막고 시작한다."는 원칙을 다시 한번 생각해야 할 때가 아닌가 싶습니다.
참고 : Windows 2003 Std 에 SP2 를 설치하려고 했으나 계속해서 실패
'윈도우 보안' 카테고리의 다른 글
| 중국발 해킹, 마술의 경지? (1) | 2007/06/28 |
|---|---|
| 요즘 다시 시작되는 웹 페이지 변조 공격 (1) | 2007/06/26 |
| 해킹. 어떻게 대처할 것인가? (3) | 2007/06/26 |
| Windows 2003 Std 에 SP2 를 설치하려고 했으나 계속해서 실패 (2) | 2007/06/25 |
| Windows Schannel 보안 패키지의 취약점으로 인한 원격 코드 실행 문제점 (0) | 2007/06/25 |
| 2007년 05월 해킹 바이러스 통계 및 분석 월보 (2) | 2007/06/19 |
트랙백 주소 :: http://ntfaq.co.kr/trackback/3950
-
Subject: 웹사이트 변조 해킹의 방어에 대한 약간의 팁...
Tracked from NTFAQ 윈도우즈와의 여행 2007/06/26 11:07 삭제최근 여기저기에서 2005년의 악몽이 떠오르는 듯 합니다. WebKnight를 부랴부랴 설치하고 점검을 하는 등 많은 대책을 하고 있지만, 일부 시스템은 이미 설치해도 늦은 것으로 예상됩니다. 2005년의 웹공격은 "SQL Injection -> SQL서버에서 웹서버 콘트롤 -> 웹사이트에 변조 페이지 심기"이란 순서로 이뤄졌습니다만, 이번의 공격은 조금 더 세밀하고 콘트롤하기 어렵습니다. 과거 2005년도에 이용했던 방법 이외에 중간중간..
댓글을 달아 주세요
일단 모든 서비스를 사용못하게 잠근다~.
그리고 푼다. 뭐 이렇게지요?
비밀댓글입니다
위의 글과 같이 하는 방식은 정말 예전 방식이지요 .
지금 국내에서 출시되고 있는 방화벽은 IPS 기능을 기본으로 탑재 하고 있습니다 .
그래도 해킹당했을 경우 패턴 정보를 보안 기업에서 가져다가 지속적인 업데이트를 하죠 .
관리자 입장에서는 크게 할것은 없죠 ..