NTFAQ :: 해킹 공격과 통합 위기 관리 시스템

해킹 공격과 통합 위기 관리 시스템

FAQ Topics/해킹/웜/바이러스 2007/08/13 14:22

지난 얼마간 NTFAQ에서는 몇 개의 안티루트킷 제품들에 대한 안내와 루트킷을 감지하는 방법에 대해 안내를 해드렸습니다.

많은 분들이 이에 대해 내 이야기가 아니구나 하고 넘어가시는 분들이 많으시더군요. 하지만, 이러한 루트킷을 이용한 해킹은 그렇게 먼 이야기가 아닙니다. 이러한 안티루트킷은 일반적인 바이러스가 사용하는 일은 드뭅니다. 일상 생활에서 보기에는 주로 스파이웨어가 사용하는 것을 볼 수 있을 뿐입니다. 이 마저도 조금 늦긴하지만 심각한 부분까지 간다고 하면, 백신이 대부분 처리를 하므로 크게 신경을 안써도 되지만, 최근의 해킹에도 사용되고 있습니다. 대부분 이러한 해킹은 다음과 같은 형식을 띄고 있습니다.

내부 인트라넷의 몇 대 장악
인트라넷에서 실제 운영중인 서버의 감염
자동화된 툴로 실제 운영중인 서버의 반쪽짜리 통제
서버가 좀비 머신으로 둔갑

이 정도 쯤 되면, 원인 분석은 대단히 힘든 작업이 됩니다. 3, 4번 방법의 반쪽짜리 통제를 하는 이유는 바로 루트킷을 사용하기 때문입니다. 완전 장악을 하면 관리자가 쉽게 눈치를 첼 수 있으며, 특히 완전 장악을 위해 사용되는 프로그램들이 대부분 백신에 의해 탐지가 되므로, 자신들의 보다 현명한 공격을 위해 완벽한 통제 보다는 언제라도 통제가 가능하도록 준비를 해두고 더 이상 건드리지 않습니다.

즉, 3번까지의 과정을 거친 서버는 언제라도 마음만 먹으면 장악할 수 있는 준비가 되어 4번 단계인 좀비 머신으로 남는 것이죠. 이런 식으로 나뒀다가 얼마 간의 시간이 지나면, 백업을 한다 할지라도 시간이 지나면서 안전한 백업본은 사라지고, 모두 문제를 가지고 있는 것만 남게 되지요.

이렇게 오랫동안 기다리는 일이 이상하다 싶으실지 모르겠지만, 보통 이런 해킹은 몇 주나 몇 달을 거쳐서 천천히 발생됩니다. 내부의 한 두대가 이상한 증상을 보이고, 이 증상이 점차 커지다가 어느 순간에 내부 서버들이 비슷한 증상을 보이기 시작하고, 마침내는 실 서버에도 비슷한 증상이 발생됩니다. 이런 상황에서 쭉 검사를 해보면, 실 서버에는 이미 감염되었고, 실 서버를 고치면 일주일 안에 다시 같은 현상이 반복됩니다. 그래서, 실 서버의 접근을 통제하는 동시에 접근하는 모든 컴퓨터를 검사해보면, 답이 나옵니다.

오직 서버에 대한 안전한 접근 보장이라는 답밖에 없습니다

그러면, 하나 의문이 들겠지요. 백신은 왜 동작을 안하냐? 라는 점인데, 백신의 업데이트 전에 해킹을 당하거나, 해킹을 위한 루트킷을 시스템 권한으로 동작시키면, 백신은 이를 감지하지 못합니다. 나중에 시스템이 이상하다는 것을 알아차리고 (운이 좋다면) 백신의 검사를 통해 (대부분 일부만) 치료할 수 있습니다.

이런 점에서 볼 때, 백신의 여부와 상관 없이 모든 PC는 위험한 것이며, 백신을 믿고 사용하겠다면 주기적인 업데이트와 스케줄 검사를 활성화 시켜야 하며, 검사 후 감염 기록은 개개인의 PC에 남겨서 묻혀두는 것이 아니라 이를 보고 판단할 수 있는 관리자가 취합하여 볼 수 있는 통합 시스템이 구축되어 있어야만 합니다.

위험을 한눈에 볼 수 있는 통합위협관리(UTM)을 도입하는 것도 바로 이러한 맥락에서 답을 찾을 수 있을 것입니다.

'FAQ Topics > 해킹/웜/바이러스' 카테고리의 다른 글

MSN 메신저로 새로운 바이러스 전파 중 (2)	2008/02/14
해킹 공격과 통합 위기 관리 시스템 (1)	2007/08/13
루트킷과 같이 숨겨진 파일을 찾는 방법은? (1)	2007/08/01
"IceSword" 소개 (2)	2007/07/30
"DarkSpy" 소개 (3)	2007/07/26
"GMER" 소개 (0)	2007/07/26