우키의 블로그

오늘은 zdnet기사를 열심히 보고있답니다. 읽다보니 보관하고픈 욕구에 이곳에 올려두게 됩니다. 뭐 있겠습니까... 열심히 수집하고 중요한것은 스크랩해두어야죠.. 요즘은 무선랜을 많이들 씁니다. 저희 회사도 부분적으로 쓰고 있는 상태이고 .. 집에서도 그리고 교회에서도 무선랜을 쓰고 있는 이 시점에 정말 관심이 가는 기사였답니다. 아마도 많은 분들이 관심을 가지시리라 생각한답니다....ㅎㅎㅎㅎ

---

기업에서의 무선랜 도입은 큰 변화이며, 무선 보안을 유지하는 것은 중단 없이 계속돼야 할 절차다. 기업 IT 전문가들은 무선랜 보안에 대해 무척 많은 궁금증을 갖고 있을 것이다. 그중 가장 잦은 질문을 모아 답변을 정리했다.

WEP는 정말 쉽게 해킹되는가
노트북과 무선 네트워크 카드만 있다면 누구나 무선 네트워크 상에 떠다니는 암호화된 패킷을 가로챌 수 있다. 패킷 내용 및 구조에 따라 100MB에서 1GB 분량의 패킷만 수집하면 해커는 해당 WEP 암호를 충분히 깰 수 있다. 즉, 일정량의 데이터를 모은 후 어디서나 얻을 수 있는 무료 해킹 유틸리티만 실행하면 WEP 키를 알아낼 수 있는 것이다.

프링글즈(감자칩 과자) 통이 정말 해킹용 안테나로 사용될 수 있는가
그렇다. 일반적인 무선 네트워크 인터페이스 카드(NIC)의 작동범위는 30m∼90m지만 사실 신호는 미세하게 이 범위를 훨씬 넘어선 곳까지 퍼진다. 전자부품 상점에서 파는 몇 천원어치 부품과 프링글즈 깡통만 있으면 가시선(LOS)이 보장된다는 조건 하에서 최대 15km 밖에서 발생하는 신호까지 포착할 수 있다. 물론 전문적인 업계용 안테나를 사용하면 더 먼 거리의 신호도 잡을 수 있다.

VPN은 무선 보안을 보장하는가
VPN을 구축하면 무선 보안이 상당히 강화되는건 사실이다. 특히 WPA나 WEP 암호화와 함께 사용하면 더욱 효과적이다.

다만 무선 VPN을 구축할 계획이라면 몇가지 사안을 고려해야 한다. 먼저, 무선 신호가 1초간 끊어지면 사용자 접속도 끊어진다. 즉 사용자는 VPN에 재접속 해야한다. 둘째 무선 VPN은 인가되지 않은 액세스포인트(AP)에 대한 보호기능은 제공하지 않는다. 셋째, 무선 VPN 접속은 별도의 로그인이 필요하며 유선 환경 만큼의 매끈한 네트워크 접속은 제공하지 못한다.

WEP 암호화가 별로 안전하지 못하다면 802.1x가 여기에 의존하는 이유는 무엇인가
802.1x 자체로는 보안을 확보할 수 없다. 802.1x는 WEP 키를 안전하게 분배해주는 EAP와 결합할 때에 비로소 안전해진다. 정적인 WEP 키에 의존하는 대신 802.1x와 EAP의 결합은 각 세션이 고유의 WEP 키를 갖도록 한다. 또한 EAP는 10분이 지나면 자동으로 해당 키의 효력을 사라지도록 한다. 매 세션의 키가 수시로 바뀌기 때문에 패킷을 수집해 WEP 키를 알아내는 방식의 해킹은 불가능하다.

무선 네트워크 사용자는 기업 LAN에 무선 VPN으로 접속할 경우에도 보안 위협에 노출되는가
그렇다. 무선 네트워크 사용자가 처할 수 있는 보안상 위험은 3가지다. 첫째, 사용자 컴퓨터의 볼륨 및 폴더가 공유상태라면 같은 서브넷의 다른 사용자가 이 공유 자원에 접근할 수 있다. 둘째, 동일 서브넷의 누군가가 버퍼 오버플로우 공격을 가할 수 있다. 셋째, 사용자의 모든 트래픽이 VPN으로 라우팅되지는 않는다. 인터넷과 관련된 트래픽은 인터넷을 통해 라우팅되며, 이 트래픽은 일반적인 (해킹) 방법으로 가로챌 수 있다.

무선 네트워크를 사용할 때 하드디스크 상의 파일이나 폴더를 공유하지 않는다면?
그래도 여전히 취약점은 존재한다. 사용자가 공유지점을 생성하지 않는다 해도 윈도우 자체에 몇몇 공유지점이 있기 때문이다. Admin$를 비롯해 각 하드디스크 드라이브(C$, D$ 등)가 윈도우 자체 공유지점이다. 이는 사용자가 임의로 비활성화 시킬 수 없다. 이 부분이 해킹에 악용되는 것을 막으려면 시스템을 개인용 방화벽 내에 둬야 한다. 로컬 어드민 관리자의 아이디와 패스워드를 바꿔 악용될 확률을 낮추는 것도 한 방법이다.

VPN에서 인터넷 트래픽은 터널링하지 않도록 구성하면 보안에 영향을 미치는가
무선 사용자가 VPN을 통해 기업 네트워크에 접속한 경우, 인터넷을 향하는 트래픽 역시 기업 네트워크를 먼저 통과해야 하므로 VPN을 통과하는 것으로 보일 수 있다. 하지만 그렇지 않은 경우도 있다.

VPN 터널은 종종 트래픽이 몰리기 때문에 대역폭을 아끼기 위한 방편으로 인터넷 트래픽은 VPN 외부의 무선 네트워크로를 통해 보내도록 설정하는 경우가 있다. 이 경우 인터넷 트래픽은 암호화되지 않는다.

보통 기업의 민감한 정보는 인터넷을 거치지 않기 때문에 별 문제가 되지 않을 수도 있다. 하지만 사용자 중에서는 기업 네트워크에서 사용하는 암호와 일반 웹사이트에서 사용하는 암호를 같은 것으로 두는 경우가 있으며, 만일 해커가 웹사이트에서 사용자 암호를 알아낸다면 이 암호로 기업 네트워크에 접근할 위험성이 있다.

무선 워크스테이션이 버퍼 오버플로우 공격에 취약한 이유는 무엇인가
워크스테이션이 개인용 방화벽 내부에서 작동하지 않는한 동일 서브넷의 다른 컴퓨터들은 모든 TCP 및 UDP 포트를 통해 이 시스템에 연결할 수 있다. 기업 방화벽은 외부로부터의 악성 트래픽을 막을 뿐, 내부 공격에 대한 방어책은 제공하지 않는다.

공개키 인증의 작동원리는?
공개키 인증의 기본적인 개념은 사용자가 2개의 수학적 암호화 키, 즉 공개(public) 키와 개인(private) 키를 갖고있다는 것이다. 공개 키는 누구나 접근할 수 있지만 개인 키는 해당 사용자만 접근할 수 있다.

특정 사용자에게 트래픽을 보낼 때 해당 사용자의 공개 키를 다운로드해 패킷을 암호화한다. 공개 키는 패킷을 암호화하는데 사용되지만 해독에는 사용할 수 없다. 패킷 해독을 수신자만 갖고있는 개인 키를 통해서만 가능하다.

해커가 AP를 공격할 수 있는가
물론이다. 대부분의 AP는 출하될 때 192.168.0.0 또는 192.168.1.1이 내장 IP 주소로 설정돼 있으며 기본 로그인 아이디는 Administrator나 admin, 암호는 PASSWORD나 공백으로 설정돼 있다.

AP 개발업체마다 기본 로그인 정보가 다르다고 하지만 해커는 특정 행위에 대한 AP의 반응을 분석하는 방법으로 간단히 제조업체와 모델명을 알아낼 수 있고, 일단 알아내면 웹사이트를 통해 해당 제품의 로그인 정보를 찾을 수 있다. 만일 사용자가 기본 로그인 정보를 수정하지 않았다면 해커는 손쉽게 AP를 완전히 장악할 수 있다.

SSID 브로드캐스팅은 보안상 위험한가
무선 네트워크에 접속하려 할 때, 주변 다른 곳에서 사용하는 무선 네트워크가 사용 가능한 연결로 나타나는 경우가 있을 것이다. 다른 곳에서 사용하는 네트워크가 내 목록에 나타나는 이유는 해당 네트워크의 SSID 브로드캐스팅이 활성화 돼있기 때문이다. SSID 브로드캐스팅은 AP를 통해 범위내의 모든 클라이언트에 네트워크 존재를 알려주도록 한다.

SSID 브로드캐스팅을 비활성화 시킨다고 해킹이 불가능해지는 것은 아니지만, 적어도 해커에게 해킹 전에 SSID를 먼저 알아내야 한다는 문제를 더해줄 수는 있다(특별한 이유가 없다면 비활성화 시키는 것이 좋다).

MAC 필터링은 정말 보안 효과가 있는가
많은 AP가 MAC 필터링 기능을 통해 특정 MAC 주소를 가진 클라이언트만 접속이 가능하도록 하는 기능을 제공한다.

MAC 주소를 해킹으로 알아내는 것은 무척 쉽지만 MAC 필터링을 적용한다면 이 작업이 조금 더 어렵게 된다. MAC 주소를 알아내기에 앞서 어떤 MAC 주소가 해당 무선 네트워크에서 사용 가능한지 먼저 알아내야 하기 때문이다(이는 패킷 스니핑으로 가능하다).

결론적으로 MAC 필터링은 어리숙한 해커는 어느정도 막을 수 있겠지만 ‘해킹하고자 하는 의지에 찬’ 해커를 막을 정도는 아니다. 다만 해킹 속도는 조금 늦출 수 있을 것이다.

DHCP는 보안상 위험한가
대부분의 AP는 DHCP가 기본적으로 활성화 돼있어서 접속하는 모든 워크스테이션에 IP 주소를 전달한다. 즉 해커도 DHCP를 통해 네트워크와 관련된 IP 주소를 알 수 있기 때문에 DHCP는 간접적인 보안 위협이 된다고 할 수 있다. 물론 대부분의 AP가 WEP 암호화 인증을 거친 후에 IP 주소를 알려주기는 하지만.

신호간섭(signal jamming)을 보안 문제로 봐야 하는가
신호간섭이 서비스거부 공격(DoS)으로 사용된다는 보고가 몇 건 있지만 대부분의 신호간섭은 다른 원인에서 비롯된다.

802.11b 네트워크는 2.4GHz 주파수대에서 동작하는데, 이 주파수대는 많은 무선 전화기들이 사용하고 있는 영역이기도 하다. 이러한 무선 전화기나 전자레인지 등 무선 기기들이 무선랜 네트워크 신호와 간섭하는 경우가 발생할 수 있다.

예전에는 5.8GHz대를 사용하는 무선랜으로 업그레이드해 이 문제를 해결했지만, 지금은 무선 전화기도 이 주파수대를 사용하는 경우가 있다. 또 5.8GHz 네트워크는 2.4GHz 대역을 사용하는 네트워크보다 벽 통과 능력이 떨어진다.

신호 강도를 적절히 조절하는 것이 보안에 도움이 되는가
사람들은 무선 네트워크를 구축할때, 사무실 어디에서나 양호한 감도를 확보할 수 있도록 큰 안테나와 강력한 송출력을 원하곤 한다. 하지만 보안 관점에서는 신호가 특정 구역을 넘어서지 않도록 송출력을 낮추는 것이 도움이 된다. 누군가 멀리 떨어진 곳에서 몰래 접속할 수 있게 하고싶지 않다면.

보안상의 표준 매커니즘을 모두 적용한다면 보안을 보증할 수 있는가
‘상대적으로 안전하다’고는 말할 수 있지만 실제 침투(penetration) 실험을 통해 보안성을 점검하는 것이 중요하다. 침투 실험은 결함존재 여부를 파악하기 위해 네트워크를 직접 해킹해보는 것이다.

SNMP를 사용해야 하는가
SNMP는 양날의 칼과 같다. AP가 SNMP를 지원한다면 SNMP를 지원하는 다른 여타 장비와 같은 방법으로 AP를 관리할 수 있다. 하지만 SNMP를 사용하는 AP가 해킹당할 경우, 해커는 바로 그 SNMP를 통해 네트워크에 관련된 모든 정보를 빼낼 수 있다. 따라서 꼭 필요한 것이 아니라면 SNMP를 비활성화 시켜두는 것이 좋다.

AP에 송출력을 조절할 수 있는 기능이 없으며 안테나도 제거할 수 없도록 돼있다. 신호가 건물 외부로 못나가도록 하는 다른 방법은 없는가
AP를 중앙에 위치시킨다. 창문 근처는 반드시 피해야 하며, 외벽 부근도 안된다.

무선 네트워크를 감사하는 방법은?
다른 네트워크와 똑같이 하면 된다. 만일 사용 중인 AP에 언제 어디서 클라이언트가 접속했는지 로그를 기록하는 기능이 있다면 최소한 하루에 한번씩 로그를 검토한다.

인가되지 않은 AP를 감지하는 방법은?
넷 스텀블러, 웨이브 러너 등 특정 영역의 무선 장비를 검색해주는 무료 유틸리티들이 다수 있다. 로그워치와 같이 더 많은 기능을 제공하는 상용 제품을 이용할 수도 있다. @

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 보안 (Security)/취약점

이전 글에 이어서 SANS에서 발표한 리눅스/유닉스 취약점입니다. 이전에 올린 글에도 이 내용은 있었으나 영문페이지를 그대로 링크한 상태였죠. 읽어본다고 생각하고 링크해두었는데 결국 읽지않았는데.. 그러던차 번역된 기사를 만나니 엄청 반가웠답니다.

---

이미 지난번에 언급됐듯이 SANS 협회는 FBI의 국가 인프라스트럭처 보호센터(NIPC)와 공동으로 보안 약점 목록을 내놓고 있다. 정기적으로 업데이트되는 이 목록은 가장 위험함에도 불구하고 상당히 쉽게 발견되는 취약점들을 정확하게 지적해내는 지표 역할을 수행하고 있다.

중요한 것은 운영 체제와 애플리케이션 등에서 새롭게 발견되는 위협 요소들의 목록이 증가하는 것과 달리 SANS의 목록은 위협 요소가 실제로 얼마나 많은 공격을 조사 대상에게 가했는지 순위를 매긴 것이라는 점이다. 이에 유념하면서 목록을 살펴보자.

1. DNS 서버 BIND
최고의 리눅스/유닉스 위협 요소는 여전히 가장 대중적인 인터넷 DNS 서버 소프트웨어인 BIND다.

버퍼 오버런, 캐시 오염 현상 등이 가장 일반적인 공격 위협 요소이며 관리자가 BIND의 업그레이드를 소홀이 하거나 필요하지 않은 경우에도 명칭이 부여된 BIND 데몬을 운영할 때 다양한 피해 상황이 발생한다. 특히 명칭이 부여된 BIND 데몬은 특정한 DNS 서버를 제하고는 실행되면 안된다.

BIND 그룹은 매우 신속히 보안 취약 요소의 패치 버전을 만들어 내고 있다. 따라서 만약 BIND를 운영하기로 선택했다면 관리자는 이런 보안 패치 버전을 제때 꼭 업데이트해야 한다.

2. 리눅스/유닉스 웹서버
순위의 두 번째는 일반적인 리눅스/유닉스 웹서버로 아파치와 기타 서버들이 해당된다.

이들에 대한 보안 관리 업무는 대부분 새로 발견된 취약 요소들을 업데이트하는 것이다. SANS에서는 보안 관리의 보조 툴로 네서스(Nessus)나 사라(SARA) 등과 같은 오픈소스 보안 취약 요소 스캐닝 솔루션을 활용할 것을 권장하고 있다.

또한 사용하지 않는 솔루션이나 소프트웨어 등을 제거하는 것도 웹 서버 보안 사항을 강화하는 좋은 방법이다. 이 작업은 잠재적인 보안 취약점을 제거해주기 때문이다.

3. 취약한 사용자 인증
세번째 보안 취약 요소는 바로 패스워드 등 사용자 인증 방식이다. 취약한 사용자 패스워드, 특히 관리자 수준의 패스워드가 이에 해당하면 리눅스/유닉스 시스템의 보안에 심대한 영향을 끼친다.

특히 기본 설정된 사용자 계정과 패스워드 등을 인식하고 제거하는 데 주의하라.

4. 버전 제어 시스템
넷째 요소는 버전 제어 시스템으로 특히 가장 대중적인 솔루션인 동시 버전 시스템(CVS)과 서브버전(Subversion) 등이 해당된다. 이들은 이미 취약 요소가 알려져 있으며 익명의 사용자들이 온라인 데이터베이스에 접속하고 있다.

가장 최선의 방어책은 설정을 적절하게 해주고 패치/업데이트 작업을 수시로 해주는 것이다.

5. 이메일 서비스
이메일 서비스가 가장 일반적인 제5의 보안 공격 요소인 것으로 조사됐다. 센드메일(Sendmail)은 리눅스/유닉스 시스템에서 여전히 가장 대중적으로 사용되는 이메일 전송 에이전트(MTA)로 다수의 보안 취약 요소들이 담겨져 있다.

Q메일, 쿠리어(Courier), 엑심(Exim), 포스트픽스(Postfix) 등이 최근 등장한 센드메일의 대안이라 하겠다. 물론 수시로 패치 작업을 해주고 적절한 설정을 해주는 것이 가장 최선의 방어책이다.

문제 중 하나는 센드메일이 매우 복잡한 솔루션이라는 점이다. 따라서 좀더 간단한 이메일 에이전트가 개발됐으며 기능을 확장·추가하는 데에는 애드-온 프로그램이 사용돼 왔다.

여기에 문제가 있다. 주로 써드 파티 업체에서 개발하는 애드-온 프로그램들은 그 개수가 상당히 많기 때문에 이 모든 애드-온에서 새로운 취약 요소들을 발견한다는 것은 매우 어렵다.

6. SNMP
원격 네트워크 관리 도구는 네트워크에 심각한 위험을 가져다준다. 따라서 기본 설정상에서 사용할 수 있는 SNMP가 가장 흔한 보안 위협 요소의 6번째에 오른 것은 그다지 놀라운 일이 아니다.

가능하다면 SNMP를 사용하지 말고 만약 꼭 사용해야 할 때는 SNMP 1과 2에 대한 패치 작업을 계속하면서 SNMPv3를 구동하는 것이 바람직하다.

7. OpenSSL 암호화 툴 라이브러리
7번재 사항은 OpenSSL 암호화 툴 라이브러리에서 발견되는 다중 보안 취약 요소다. 가장 최선의 방어책은 방화벽을 적절하게 설정하고 SSL 패치 버전을 주기적으로 업데이트해 주는 것이다.

8. 잘못 설정된 NIS·NSF 서버
적절한 설정작업을 거치지 않은 엔터프라이즈 NIS 및 NSF 서버가 그 다음 주요 위협요소다. 패치 작업을 해주고 불필요한 데몬은 어느 것이든지 비활성화시키며 드러난 취약 요소에 대해 방화벽을 강화해 주는 것이 이 8번째 위협 요소에 대한 대처법이다.

9. 데이터베이스
데이터베이스는 본디 접속용 솔루션이지만 이런 솔루션의 보안 취약 요소들은 원격 해커들이 악용함으로써 네트워크에 침입하도록 하는 원인으로 작용하고 있다.

패치 및 적절한 설정 작업이 가장 최선의 대응책이며 이와 같은 원격 위협이 9번째 보안 취약 요소다.

10. 커널
커널의 보안 취약 요소가 10번째 사항에 꼽혔다. 이에 대한 대비책은 매우 복합적이며 각 해당 업체와 버전에 맞게 구체화돼야 한다.

결론
윈도우, 리눅스/유닉스 보안 목록이 순수하게 보안상의 위협을 감소시킨다는 목적에서 작성됐음에도 불구하고 이 두 목록 사이에는 어떤 상호관련성도 없다. 다시 말해 어떤 운영체제가 보안상으로 더 안전한지, 또는 윈도우 10대 목록 중 6번째 사항과 리눅스/유닉스 목록의 6번째 사항이 각각 유발시키는 해커 공격의 수가 동일한지 등에 대한 분석은 어떤 것도 제기되지 않았다는 의미다.

이 보안 위협 요소 목록은 운영체제 선택에 대한 기준을 제공하는 것이 아니다. 그보다는 각 범주 내에서 어떤 위협 요소들이 가장 주목받아야 하는 지에 대한 가이드라 할 수 있다. 따라서 리스트에 너무 많은 의미를 부여할 필요는 없다.

만약 당신이 이들을 애초의 고안 목적 그대로 활용한다면 매우 큰 도움이 될 것이다

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 보안 (Security)/취약점

이 글은 전에 제목만 올린적이 있었는데 번역본이 zdnet에 올라와서.. 다시 올려봅니다.

---

미 SANS 협회가 매년 내놓는 ‘가장 흔한 보안 취약점 목록 2004년판’을 내놓았다. 항상 그러했던 것처럼 이번에도 이 목록은 윈도우와 리눅스/유닉스 등 2개 그룹으로 나눠져 있다. 여기서는 먼저 윈도우 운영체제에서의 위협 요소에 대해 살펴보자.

FBI의 국가 인프라스트럭처 보호센터(NIPC)와의 공동 조사로 작성되는 SANS(The SysAdmin Audit Network Security)의 20대 보안 약점 목록은 가장 위험함에도 불구하고 상당히 보편적인 취약점들을 정확하게 지적해내는 지표 역할을 수행하고 있다.

SANS와 FBI는 이 목록 이외에 보안과 관련해 지금까지 가장 취약한 부분으로 언급되고 있는 TCP/UDP 포트에 관한 내용부터 시작해 수많은 흥미로운 문서들을 내놓고 있다.

20대 보안 약점 목록에 포함된 취약점들은 보편적인 관점에서 실제로 위협이 가해지고 있는 것으로 판단된 부분들로 선정됐다. 이 말은 매우 쉽게 패치할 수 있음에도 불구하고 잘 이뤄지지 않고 있는 부분이라는 의미를 내포한다.

위에 언급한 것처럼 여기에서는 윈도우의 10대 위협 사항에 대해 알아보도록 하자. 그리고 SANS의 목록이 단지 위협 요소들을 나열하는 데 그치지 않고 세부적인 해결방안까지 제시하고 있다는 점을 유념해 살펴보길 권한다.

1. 웹서버 관리 소홀
위협 요소 중 첫 번째 자리는 패치 작업이 진행되지 않거나 설치도가 낮은 웹서버가 차지했다. 아파치, IIS, 그리고 썬원(아이플래닛) 등이 여기에 해당된다.

새롭게 발견되는 보안상의 허점을 없애기 위한 주기적인 업데이트를 제하고 보더라도 대다수 웹서버들은 기본적인 설치 과정에서부터 보안상의 취약점을 다수 노출하고 있다. 서버에 설치되는 소프트웨어들은 보안상으로 안전하지 않으며 전산 시스템에 실제 투입되는 서버에 결코 남겨져서는 안되는 데모 애플리케이션이나 샘플용 웹사이트를 보통 줄줄이 매달고 다닌다는 점을 절대로 잊으면 안된다.

이것은 웹서버가 그 기본 설정이 ‘작동’일 수도 있기 때문에 웹서버를 운영하지 않는 경우라도 매우 중요한 부분이다. 예를 들어 윈도우 2000은 기본 설정상 보안상으로 매우 취약한 IIS 5.0 버전을 설치하게 돼 있다.

위험에 처했을 때 가장 최선의 대응책은 결정 방향에 대해 SANS의 리포트를 참고하는 것이다.

2. 워크스테이션 서비스
해커들이 가장 즐겨 사용하는 보안 위협 요소 중 2번째는 바로 워크스테이션 서비스다. 파일, 프로세스에 대한 접근 요청 작업을 담당하는 이 서비스는 윈도우 2000과 윈도우 XP SP1 이하 버전, 그리고 윈도우 XP 64비트 버전의 경우 대량 집중 공격에 취약한 모습을 보인다.

MS03-049의 윈도우 2000 패치나 MS03-043의 윈도우 XP 패치 등이 이 보안상의 허점을 메워 주는 대처방안이 될 것이다. 윈도우 XP SP2는 이 취약점에 대해 완전한 방어조치를 취한 것으로 판단된다.

3. 윈도우 원격 접속 서비스(RPC)
클레즈(Klez), 서캠(Sircam), 그리고 님다 등과 같은 웜 바이러스들은 모두 윈도우 원격 접속 서비스의 장점을 악용해 급속도로 확산된 것들이다. 윈도우 95 이상의 모든 운영체제들은 원격 프로시저 콜(RPC) 공격에 취약하지만 윈도우 XP SP2 버전은 RPC의 활동 방식을 구체화하는 방식으로 안전도를 높였다.

SANS는 RPC 공격과 넷바이오스(NETBIOS)와 익명 로그온 취약점을 동일한 윈도우 위협요소로 분류하고 있다.

4. MS SQL 서버
피해 발생 사례 순으로 파악한 네번째 위협 요소는 MS SQL 서버의 취약점들이다. 이를 이용한 공격으로는 슬래머(Slammer) 등 여러 웜 바이러스들이 있다.

SQL 서버는 여러 애플리케이션과 프로그래밍 툴에 필요하기 때문에 사용자들은 심지어 이 프로그램의 설치 여부조차 깨닫지 못할 수 있다. 예를 들어 비주얼스튜디오닷넷, 액세스 2002, 오피스 XP 등은 모두 보안상의 취약점이 있는 MSDE 데스크톱 엔진을 설치한다. 이 엔진은 사실상 SQL 서버의 경량화(lite) 버전이다.

태블릿 PC에서도 딜롬(Delorme)의 GPS 네비게이션 시스템과 같은 애플리케이션을 이용하려면 SQL 서버를 설치해야만 한다.

5. 엉성한 패스워드·인증 솔루션
다섯째로 가장 흔한 위협 요소는 우리의 오래된 ‘친구’인 엉성한 패스워드나 낮은 수준의 인증 솔루션이다. 특히 오픈소스 애플리케이션은 취약하거나 또는 잘 알려진 잡동사니 수준의 알고리즘으로 패스워드를 저장하는 경우가 빈번하다.

윈도우 NT/2000/XP 등은 모두 보안상 취약한 LAN 관리자(LM) 버전인 LANMAN을 이용해 특정 패스워드를 저장한다. 그러나 이 방법은 상대적으로 짧은 패스워드만을 저장할 수 있으며 다양한 경우들을 인식하지 못하는 등 여러 취약점을 갖고 있기 때문에 해커들이 침입하기 쉽다.

윈도우 서버 2003는 LM을 기본 설정으로 설치하지 않는다. 그러나 네트워크에 연결된 특정 컴퓨터의 운영체제가 LM 사용을 요청할 수도 있다.

이런 위협 사항들을 해결하고 LM 인증의 비활성화, 호환성 문제를 해결하기 위해 다양한 MS 지식 기반 관리자(KBA) 솔루션들이 있다. 그러나 만약 LM이 구동되는 상황이라면 심지어 가장 강력한 패스워드조차도 무력해질 수 있으며 그렇지 않으면 암호화 툴 그 자체에 의해 약해질 수 있다는 점을 기억하라.

6. 인터넷 익스플로러
가장 보편적인 윈도우 보안 위협요소 6위는 MS 인터넷 익스플로러가 차지했다. 그러나 유념해야 할 점이 하나 있다. SANS 목록에 포함된 취약 요소 중 많은 부분은 오페라, 모질라, 파이어폭스, 그리고 넷스케이프 등에도 똑같이 적용된다. 따라서 대안 브라우저를 사용한다 해서 위협요소가 모두 제거되는 것은 아니며 단지 이것을 감소시킬 뿐이다.

물론 시큐리티 포커스 아카이브(SFA)에 따르면 인터넷 익스플로러는 2001년 4월 이래 153건의 취약점이 보고된 바 있으며 따라서 아직도 가장 보안이 취약한 웹 브라우저로 간주되고 있다.

올해만 해도 인터넷 익스플로러에서는 15개의 새로운 보안 취약요소가 발견됐다. 이에 비해 모질라와 넷스케이프, 오페라는 각각 지난 1월 이후 시큐니아(Secunia) 권고 사항 7개, 2개, 8개를 기록했다.

가장 최선의 대응 방안은 권한이 큰, 특히 관리자 계정으로 로그온 했을 때에는 절대로 네트워크를 탐색하지 않는 것이다. 또한 가능할 때마다 액티브X를 닫아주는 것이 좋다.

윈도우 XP SP2는 액티브X 보안 제어사항을 개선시킨 바 있다.

7. P2P 프로그램
파일 공유에 사용되는 P2P 네트워크 시스템은 대중적인 인기 속에 성장했지만 다양하고 심각한 보안 위협 요소에 시스템을 노출시키는 결과를 유발시키고 있다. P2P는 SANS의 위협 요소 목록에서 7위에 올랐다.

가장 최선이면서 아마 유일한 것으로 보이는 대응방안은 회사 네트워크에서 카자(KaZaa), 그누텔라(Gnutella) 등과 같은 P2P 소프트웨어를 절대로 사용하지 않는 것이다.

그러나 사용 규칙 강화가 어려울 수도 있다. 따라서 이럴 경우에는 방화벽을 사용해 각 프로그램에서 가장 흔히 사용되는 포트를 차단하는 것이 낫다. 냅스터의 경우에는 TCP 8888, 8875, 6699이며 e동키는 UDP 4665와 TCP 4661, 4662, 그누텔라는 TCP/UDP 6345, 6347, 6348 등이 해당된다.

하지만 카자는 TCP 80 포트를 사용하기 때문에 쉽게 차단할 수 없다. 이에 대해서는 P2P에 대한 다른 유용한 정보를 참조하도록 하자.

8. LSASS의 버퍼 오버런
올해 목록에서 8위를 차지한 것은 인증과 액티브 디렉터리 등에 활용되는 로컬 보안 권한 서브시스템 서비스(LSASS)의 버퍼 오버런 관련 취약점이다. 새서(Sasser)와 코르고(Korgo) 웜은 이 취약점을 악용하고 있으며 윈도우 2000/XP/XP 64비트, 그리고 윈도우 서버 2003 등에 영향을 미친다.

아마 포트 차단이 최선의 방어책일 것이다. 세부 사항은 SANS의 리포트를 참조하라.

9. 아웃룩, 아웃룩 익스프레스
아웃룩과 아웃룩 익스프레스가 가장 보편적인 위협 요소에서 단지 9위에 그친 것을 보고 많은 이들이 놀랄지도 모른다. 이 결과는 SANS의 조사가 업무용 시스템만을 대상으로 하기 때문이다.

아웃룩/아웃룩 익스프레스는 아마 사용자들에게 있어서는 여전히 취약 요소의 왕으로 꼽힐 것이다.

본인은 어떤 용도로도 아웃룩을 사용하지 않는다. 그러나 지금 사용하고 있다면 패치 작업이 지속적으로 진행됐는지 분명하게 확인해보라.

아웃룩을 사용하지 않는다면 윈도우에서 떨어뜨려 놓아라. 그리고 새로운 서비스팩을 설치할 때마다 윈도우에서 자동으로 배격하도록 배치 파일을 만들어놓거나 시스템 자체를 업그레이드하라. 사전 경고없이 재설치될 수 있기 때문이다.

이처럼 위험한 파일 유형을 차단하는 것은 좋은 해결책이지만 레지스트리를 직접 편집해야 한다는 것이 부담으로 작용한다. 이에 대해서는 세부 사항 보고서를 참조하도록 하자.

10. 인스턴트 메신저 사용 증가
지난 6개월 동안 윈도우 분야의 가장 큰 위협요소 중 마지막으로 꼽힌 것은 기업 환경에서의 메신저 사용 증가다.

윈도우 메신저의 경우 야후나 AOL과 같은 인스턴트 메신저가 윈도우 시스템에서 세를 넓히는 것과는 차원이 다르다. 이 메신저는 완전히 윈도우에 통합돼 MSN 메신저 네트워크를 지원한다.

인스턴트 메신저의 보안 위협 요소에 대한 완전한 방어책은 없다. 그러나 접근 목록을 지속적으로 꼼꼼하게 관리하고 소프트웨어를 주기적으로 업데이트한다면 보안 강화에 도움이 될 것이다.

결론
SANS의 20대 목록 업데이트는 보안·IT 전문가와 IT 관리자들에게 항상 큰 관심을 불러일으켰으며 그만큼의 중요성을 지녀왔다. 이번 버전도 마찬가지다.

이 기사가 보안 취약 요소를 집대성한 SANS의 보고서에서 핵심 정보를 모두 발췌한 것은 아니다. 특히 SANS 목록은 당신이 보안상으로 취약한 상태인지 여부를 판단하고 - SQL 서버 환경에서는 많은 경우 결정을 내리는 데 있어 불분명하다 - 보안상의 허점을 메우기 위한 세부 지원책 등을 결정하는 데 정보의 ‘금광’ 역할을 제공한다.

유용한 노하우를 하나 소개해보자. 모든 이들이 흔히 실수를 저지르거나 새로운 취약 요소에 당하기도 한다. 그러나 만약 이런 실수로 인해 회사가 일정 비용을 지불하게 된다면 상사에게 관리되고 있는 시스템이 왜 이처럼 잘 알려지고 널리 퍼진 위협 요소에 취약한지 설명하는 것은 상당히 까다로울 것이다.

SANS의 보고서를 보안에 대한 기본 지침으로 삼아 시스템이 제대로 보호되고 있는지 항상 확인하도록 하자. @

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 보안 (Security)/취약점