정보통신망안전운영 기술지침서 - itfind · 2012-06-14 · Ⅰ.해킹에대한이해...
TRANSCRIPT
KISA -HE-982Ⅱ
정보통신망 안전운영
기술지침서
- 실무자를 위한 해킹방지 지침 -
1998.5.
한 국 정 보 보 호 센 타
KOREA INFORMATION SECURITY AGENCY
발간사
정보화의 진전으로 인터넷 통신 등 누구나 이용할 수 있는 정보통신망이 널리 확대되고, PC
있다 정부기관 기업 등이 을 기반으로 홈페이지를 만들어 정보를 공개하고 의견수립이. , web
나 토론의 장으로 활용하고 있다 나아가서 전자우편 전자상거래가 주요한 생활의 수단으로. ,
부각되었다 누구든 원하는 사람은 다른 컴퓨터에 쉽게 접속하여 정보를 획득하거나 정보를.
전달할 수 있는 환경이 만들어졌다 이런 환경을 우리들 모두에게 시공을 초월할 수 있는.
수단을 제공하여 편의와 경쟁력을 향상시켜 주고 있다.
그러나 새로운 사회기반을 공동의 이익을 달성하기 위한 장으로 활용하지 못하고 개인의 이
익 개인의 그릇된 기술과시의 수단으로 이용하려는 해킹이 날로 증가하고 있다 이에 새로, .
운 사회기반을 보호하고 건전한 발전을 유도하기 위해서 실무자를 위한 해킹방지지침서를
발간하게 되었다.
본 지침서는 정보통신망을 운영하는 실무자들의 업무에 적용이 용이하도록 해킹수법과 예방
요령 해킹 대응운영 등에 대한 구체적인 기술사항을 수록하였다 또한 해킹사고에 대한 기, .
술적인 지원을 받을 수 있는 기관들에 관한 정보를 수록하여 효과적인 공조체제를 갖출 수
있도록 하였다.
본 지침서가 정보자원을 보호하고 건전한 사회를 만들기 위해 각고의 노력을 하시는 많은
분들에게 도움이 되기를 기대한다.
년 월1998 5
한국정보보호센터
원장 이철수
이 보고서는 침해사고 대응체계 구축 및 기술지원 사업의 일환으로 기술본부 기술대응팀의“ ”
연구원들이 참여하여 작성하였습니다.
년 월1998 5
총 괄 본 부 장 이홍섭 기술본부: ( )
연구책임자 팀 장 임채호 기술대응팀: ( )
참여연구원 선임연구원 임휘성 기술대응팀: ( )
주임연구원 박정현 기술대응팀( )
주임연구원 정윤종 기술대응팀( )
주임연구원 신 훈 기술대응팀( )
연 구 원 김상정 기술대응팀( )
위촉연구원 공성태 기술대응팀( )
위촉연구원 차수현 기술대응팀( )
위촉연구원 박유리 기술대응팀( )
제목차례< >
해킹에 대한 이해.Ⅰ
해킹이란 무엇인가1. ?
해킹은 왜 발생하는가2. ?
해킹으로 어떤 피해를 입을 수 있는가3. ?
해킹발생 현황4.
해킹수법과 해킹예방요령.Ⅱ
해커들이 사용하는 해킹 수법 및 대응방법1.
정보시스템을 해킹으로부터 보호하려면2. ?
해킹발생시 대응요령.Ⅲ
해킹이 의심되면 어떻게 확인하는가1. ?
해킹을 당하면 어떻게 대처하는가2. ?
해킹대응을 위한 지원.Ⅳ
침해사고대응팀협의회와 해킹사고 대응 체계1.
해킹사고 접수 및 기술지원2. CERTCC-KR
해킹범죄 수사요청은 이곳으로3.
부록 해킹사고 피해사례A.
부록 해킹대응 기술정보B.
부록 해킹사고대응 관련기관 연락처C.
부록 시스템 해킹 예방 점검목록D.
표차례< >
표 년 해킹사고 피해 현황< 1> ‘97
표 해킹유형 설명< 2>
표 네트워크 해킹 취약점< 3>
표 유닉스에서의 해킹 취약점< 4>
표 자주 이용되는 뒷문 트로이목마 프로그램< 5> ㆍ
표 서비스방해 거부 공격 유형< 6> ( )
표 별 새 버전 프로그램 제공하는 싸이트< 7> OS
표 네트워크 취약점 유무 분석 프로그램< 8>
표 시스템 로그기록 종류< 9>
표 보안관리센터 활용 보안< 10> SW
그림차례< >
그림 인터넷에 연결된 기관의< 1> LAN
그림 악성프로그램 스니퍼 동작 개념도< 2> -
그림 국내 침해사고 대응체계< 3>
그림 침해사고 처리 과정< 4>
해킹에 대한 이해.Ⅰ
해킹이란 무엇인가1. ?
해킹(Hacking)1) 이란 비인가자에 의한 컴퓨터의 부당한 사용 자료의 불법적인 결함 유출, , ,
변조 삭제 및 컴퓨터시스템의 정상적인 동작과 서비스를 방해하는 컴퓨터범죄 행위를 말합, ,
니다.
보통사람들은 해킹을 일삼는 해커들을 남다른 컴퓨터 전문가들이라고 오해를 하고 현재는
인터넷이나 통신에 해킹방법을 제공하는 경우가 많고 다수의 해킹서적들이 시중에 판매PC
되고 있어 컴퓨터지식을 조금만 가져도 해커가 될 수 있는 시대입니다.
해킹은 왜 발생하는가2. ?
인터넷 통신 등 누구나 이용할 수 있는 정보통신망이 널리 확대되고 있어 누구든지 다, PC
른 컴퓨터에 쉽게 접근할 수 있게 되었습니다 해커는 이러한 정보통신망 환경에서 컴퓨터.
시스템이 가진 취약성과 시스템관리자가 컴퓨터를 정상적으로 운영관리하지 못하여 생기는
취약점 등을 이용하여 해킹하게 됩니다.
인터넷을 이용한 정보통신망을 운영하는 대부분의 기관은 다음 그림 과 같은 구조의< 1>
을 운영하게 됩니다LAN .
그림 인터넷에 연결된 기관의< 1> LAN
그런데 그림에서 보는 것처럼 인터넷을 이용하는 정상적인 사용자가 으로 접근하는 경LAN
로를 따라 해커도 정상적인 이용자처럼 접근할 수 있게 되는 것입니다.
1) 현행 형법 전산망법 등에서 컴퓨터 범죄로 규정하여 처벌하고 있음, .
그러므로 정보통신망 실무자는 인터넷에서 접근하는 통신에 대하여 정상적인 사용자에 의한
것인지 해커가 시도하는 해킹인지 판단하는 방법을 인터넷 연결지점에 설치하고 컴퓨터에, ,
서 해킹당할 수 있는 취약점을 제거하는 등의 대비책을 세워두어야 합니다.
이러한 대비책에는 이 인터넷에 연결되는 지점에 침입차단시스템 을 설치하던LAN (firewall)
가 네트워크 상에 오고가는 데이터를 감시하여 불법적인 침입인지 감시하는 방법 등이 있,
습니다.
그리고 컴퓨터 시스템이 취약점이 있는지 진단 분석하여 문제점이 있다면 이를 정상적인 상
태로 교정하여 해킹 당하지 않도록 하거나 컴퓨터가 가진 보안속성을 감시하고 항상 현황을
파악함으로서 문제가 없도록 운영할 필요가 있습니다 구체적인 내용은 다음 장에서 보도록.
하겠습니다.
해킹으로 어떤 피해를 입을 수 있는가3. ?
가 비인가자의 컴퓨터 이용.
비인가자가 불법적으로 대형고가품인 컴퓨터시스템2)이나 통신 인터넷서비스제공자가 컴PC ,
퓨터시스템에 로그인 하여 무단 이용하는 해킹으로 피해를 입을 수 있습니다 이는(Login) .
타인의 를 이용함으로서 이용료를 전가하는 금전적인 손해와 컴퓨터가 정상적인 업무를ID
수행함으로서 얻는 컴퓨터사용료 등 금전적인 피해를 줄 수 있습니다.
나 디스크 자료 불법 열람 삭제 및 변조. ,
해커는 부당한 방법으로 컴퓨터에 로그인한 뒤 관리자의 권한을 가지려고 하게 됩니다 컴.
퓨터 시스템내 여러 프로그램들의 허점을 이용하여 관리자 권한을 취득하게 되면 보다 해킹
이 용이하게 하기 위해 각종 악성 프로그램을 설치하거나 시스템파일의 구성 부분을 바꾸기
도 합니다 또한 패스워드 파일 등 중요 자료를 불법 열람하고 유출하기도 하며 홈페이지에.
게재한 자료를 바꾸거나 다른 내용물로 바꾸기도 합니다.
뿐만 아니라 파괴적인 성향을 가진 해커들은 디스크의 모든 자료를 지워 백업관리를 제대로
하지 않은 기관은 큰 낭패를 보기도 합니다 만약 사용자의 자료가 삭제되면 손해배상 문제.
가 발생할 수 있습니다.
2) 년 국내 연구소 슈퍼컴퓨터를 주일간 무단 이용한 해킹사례가 있었음1992 S 1 .
다 컴퓨터시스템 이상동작 유발.
해커는 컴퓨터에 로그인하지 않고도 전자우편폭탄공격 등 해커의 컴퓨터에서 해킹을 시도하
는 원격지 공격방법을 이용하여 컴퓨터시스템이 비정상적으로 동작하게 만들거나 정지시킬
수 있습니다.
이러한 해킹방법을 서비스방해 거부 공격( ) 3)이라고 하며 일반적인 용어로서 사이버테러
라는 용어를 사용하기도 합니다 특히 망사업자 등 사업목적으로 시스템을(Cyber Terror) .
운영하는 기관은 이러한 피해를 입어 서비스를 중단할 경우 매우 큰 손실을 감수해야하는
경우가 있습니다.
라 해킹경유지 이용 피해.
해커가 해킹경로에 대한 역추적을 막기 위해 또다른 기관의 컴퓨터시스템을 경유지로 사용
하였다면 경유지로 이용당한 기관은 피해기관으로부터 공연한 오해와 분쟁의 피해를 입을
수 있으며 해킹을 조장한 것으로 비난을 받는 어처구니없는 피해를 입을 수 있습니다.
해킹발생 현황4.
국내 통신 동호회 게시판에는 해커가 되고 싶어하고 해킹기법을 설명하는 자료가 자주PC
게재되고 있으며 대학교내 학생들이 만들어 운영하는 해킹정보제공 홈페이지도 급격하게 늘
고 있어 실무자들이 주의 깊게 컴퓨터시스템을 관리하지 않는다면 해킹피해는 더욱 늘어날
것입니다.
다음 표 은 국내 침해사고대응지원팀 이나 검 경 정보범죄 수사 등을< 1> (CERTCC-KR) ㆍ
통하여 인지된 해킹발생 현황을 보여주고 있습니다.
표 년 해킹사고 피해 현황< 1> ‘ 97
구 분 ’96 ’97 계
대 학 95 32 127
기 업 46 25 71
정부 공공기관ㆍ 2 4 6
연 구 소 - 3 3
기 타 4 0 4
계 147 64 211
3) Denial of Service Attack
해킹수법과 해킹예방요령.Ⅱ
해커들이 사용하는 해킹 기법 및 대응방법1.
가 해커들의 해킹기법 유형.
표 해킹유형 설명< 2>
해킹기법명 설명 사례
도용ID (Theft of ID)정상이용자의 패스워드를 도용하여ID,신분위장 접근
패스워드 짐ID/작
버그취약점공격 (Exploit ofProgram Bug)
프로그램 설계 및 구현상의 버그로 인한 취약점 이용
버그sendmail
구성 취약점 (Exploit of SystemConfiguration)
보안을 고려하지 않은 시스템 구성 취약점
잘못구성NFS
해킹 프로그램(Hacking Program)
해킹취약점을 알아내는 프로그램 이용 등SATAN
악성 프로그램 (Backdoor &Trojan Horse)
불법기능을 하는 해커들의 프로그램 sniffer
전자우편 폭탄 공격 (Email BombAttack)
메일의 반복송신으로 수신측 전자우편E서비스 오동작
Mail Bomb,Spam Mail
서비스방해 거부 공격( ) (Denial ofService Attack)
과도한 서비스요청으로 시스템 네트워/크 정상동작 방해
IP Spoofing
프로토콜 문제점 공격 (ProtocolInfrastructure Attack)
인터넷의 설계상의 취약점을TCP/IP이용한 공격
Syn Flooding
사회공학 (Social Engineering) 관리자를 속여 권한을 획득
도용ID (Theft of ID)■
해커는 명령 등으로 사용자 를 알아내거나 패스워드를 유추하기 쉬운finger ID sync, bin,
계정 혹은 일반적으로 이용하기도 하는 등의 계정으로 부당하게 로daemon , guest, sonnim
그인할 수 있습니다.
일반적으로 컴퓨터 사용자는 무심코 쉬운 패스워드를 이용하는 경우가 많은데 예를 들어 이
화여자대학교의 경우 여성 취향인 사랑 등의 패스워드를 이용하는 경우가beautiful, tkgkd( )
많습니다 또한 자신의 명을 똑같이 패스워드로 이용하거나 등 단순한 패. ID 1234, 1111, abcd
스워드를 이용하는 경우가 많아 쉽게 를 도용당할 수 있는 것입니다ID .
해커들은 이라는 프로그램을 이용하여 패스워드 파일에 있는 사용자의 패스워드를 알crack
아내기도 합니다.
버그에 의한 취약점■
해커들이 가장 많이 이용하는 방법으로서 거의 모든 해킹사고가 취약점을 해커들이 이용함
으로서 발생하고 있습니다.
이러한 취약점은 네트워크와 관련된 취약점으로 인하여 정보통신망 원격지에 있는 해커가
시도할 수 있는 허점을 노출한 경우와 시스템에 로그인한 해커가 관리자권한을 획득하거나,
부당작업을 시행하도록 하는 운영체계에 따라 가지고 있는 허점이 있을 수 있습니다.
네트워크취약점을 이용하는 대표적인 방법들을 표 에 요약하였습니다< 3> .
표 네트워크 해킹 취약점< 3>
취약점 분류 사 례 설 명 대 응 책
정보수집
f i n g e r ,rusers, rwho,s y s t a t ,
등netstat
서버의 정보를 알아냄 해당 서비스 제거
주요 서버
WWW 등 알려진 취약점 공격phf, php cgi 패치
FTP 외부사용자가 권한 획득 가능root 패치 안전구성,
SENDMAIL 외부사용자가 권한 획득 가능root 패치 안전구성,
NFS/NIS외부사용자가 내부망 정보유출 혹,은 불법 파일 사용 가능
패치 안전구성,
DNS 외부사용자가 주소 이름 변조IP , 패치 안전구성,
기타 서버
tftp 외부사용자가 임의의 파일유출 서비스제거 보안설정,
Imapd 외부사용자가 주소 이름 변조IP , 패치
popd 외부사용자가 주소 이름 변조IP , 패치
automountd외부사용자가 관리자 소유 파(root)일권한을 변경가능
패치 안전구성,
IRC 외부사용자가 권한 획득 가능root 패치버전 설치
Innd 외부사용자가 권한 획득 가능root 패치버전 설치
프로토콜RPC
를 이용하는RPC rstatd, nfsd,등 취약점 이용ypupdated, mountd
관리자 권한 획득(root)
불필요한 서비스 제거,안전한 사용RPC
RIP외부사용자가 라우팅테이블을 조작하여 트래픽 조작 가능
정적 라우팅 사용
프로토콜
TCP/IP 공격IP Spoofing 라우터의 접근제어강화
ICMP패킷을 악용하여 컴퓨터의ICMP
정상 서비스 방해공격패킷을 막거나ICMP
감시를 통해 공격탐지
ARP 를 조작하여 트래픽 조작ARP패킷의 모니터링으ARP
로 공격탐지
UDP를 조작하여 다량의 패킷 발송UDP
공격불필요한 서비스의UDP제거
라우터 방화벽/ 구현 및 구성운영상의 취약점 정상적인 안전운영
응용프로그램네트워크관련 응용프로그램의 취약성을 이용 공격
패치
그리고 운영체제 등 시스템에서의 해킹취약점을 표 에서 요약하여 보았는데 컴퓨터 시< 4> ,
스템에 불법적인 로그인에 성공한 해커가 관리자 권한을 획득하기 위하여 많이 이용(root)
하는 방법이라고 할 수 있습니다.
표 유닉스에서의 해킹 취약점< 4>
취약점종류 설명 대응책
임시파일버그권한의 프로그램이 만드는 임시화일을 이용root소유 파일 조작 가능root
패치
버퍼오버플로우문자열 환경변수의 길이 검사를 하지 않아 오버,플로우시키고 권한 획득root
패치
프로그램버그 프로그램 버그를 이용 권한 획득root 패치
운영체제/라이브러리
커널내부 문제 라이브러리 함수버그 이용OS , root권한 획득
재설치OS ,라이브러리 패치
그리고 해커들이 취약점을 이용하여 할 수 있는 불법행위를 요약하면 다음과 같습니다.
관리자 권한을 불법 획득(root)○
등과 같은 네트워크응용서비스 프로그램 시스템내 프로그램 수행시 생기는sendmall, NFS ,
임시파일 버퍼오버플로우 등을 이용 관리자 권한 획득,
불법적으로 자료 유출 변조 및 접근,○
등 네트워크응용서비스 취약점을 이용하여 패스워드 파일 유출 변조 관리자 권한으로tftp , ,
접근
시스템의 정상동작 방해○
네트워크 프로토콜 등 구조적인 시스템문제를 이용하여 시스템의 동작 방해 정지TCP/IP ,
등
구성 취약점■
시스템관리자의 운영미숙으로 파일에 원격지 컴퓨터를 등/etc/hosts.equiv, HOME/.rhosts
록하여 외부 컴퓨터 누구나 패스워드 인증과정 없이 로그인을 허용한다던가 파/etc/exports
일을 잘못 설정하여 외부의 모든 컴퓨터에서 디스크를 마운트 하도록 하는 등의 취(Mount)
약점을 이용하는 방법입니다.
해킹 프로그램■
보안검색기4)를 활용하여 외부망에서 시스템으로 접근이 가능한 전자우편 등, finger, telnet
네트워크서비스 및 취약점을 찾아내어 시스템에 침입하거나 관리자 권한 획득을 시도하는
것입니다 이러한 해킹프로그램 종류는 다음과 같습니다. .
포트검색기○ 5) 외부에서 접근 가능한 응용서비스 포트 파악: (Port)
취약점점검기○ 6) 등의 해킹가능한 취약점 검색: SATAN, ISS
특정취약점검색기 웹서버 취약점 취약검색기 등: phf , IMAPD○
해킹용 간단한 프로그램 해킹시 필요한 명령어를 프로그램화:○
악성 프로그램■
악성 프로그램은 일반적으로 시스템 침입을 위해 이용하는 해킹프로그램과는 달리 일단 시
스템에 침입하여 설치하는 프로그램으로서 해커들이 즐겨 사용하는 도구이며 다음과 같은
종류가 있습니다.
4) 보안취약점을 알아내는 프로그램Security Scanner,
5) 열려진 네트워크서비스 현황 파악Port Scanner,
6) 네트워크를 통해 침입 가능한 취약점 파악Vulnerability Scanner,
뒷문 프로그램(Backdoor)○
해커가 시스템에 침입 후 관리자가 권한을 이용하여 언제든지 다시 시스템에 접근하기 위하
여 설치하는 프로그램을 말합니다.
표 자주 이용되는 뒷문 트로이목마 프로그램< 5> .
뒷문프로그램 설명 비고
sniffer 불법 모니터링LAN 패스워드 유출ID,
login 접근 로그기록 숨김 로그 기록
nestat 네트워크 접속을 보이지 않도록 접속 기록
ifconfig 가 만드는 모드 숨김Sniffer LAN 모드PROMISCUOUS
ps 해커의 프로세서 숨김 프로세서
ls, du 특정 파일을 숨김 파일
fix 뒷문프로그램의 원본과 동일 체크썸 값 생성 명령 체크썸sum
finger 실행시 관리자 쉘로 로그인 /etc/inetd.conf
그림 악성프로그램 스니퍼 동작 개념도< 2> -
트로이목마 프로그램(Trojan Horse)○
시스템 프로그램을 불법 수정하여 해커가 원하는 기능을 수행하도록 하는 프로그램을 말하
며 관리자 권한을 획득한 해커가 뒷문 프로그램과 함께 설치하게 됩니다.
바이러스(Virus)○
최근 사용자들이 사의 윈도우 등을 에 연결 많이 이용함에 따라 유닉스에서는 발MS NT LAN
견되지 않던 바이러스가 나타나고 있는데 이는 주로 매크로바이러스로서 인터넷 익스MS
플로러나 넷스케이프를 사용하는 이용자들이 전자우편을 읽을 때 감염되도록 전자우편 문서
내에 바이러스를 삽입하여 유포됩니다.
논리폭탄(logic Bomb)○
논리폭탄은 컴퓨터를 정지시키거나 디스크를 파괴할 목적으로 숨겨두는 악성 프로그램으로
서 일정조건이 지나면 자료를 파괴하기 시작합니다.
인터넷 웜(Internet Worm)○
웜은 바이러스와 같은 성질의 프로그램이지만 일반 바이러스와 달리 스스로 감염대상 컴퓨
터를 찾아다니며 대상 컴퓨터에 도착하면 즉시 컴파일된 후 자신을 복제시키고 다른 대상
컴퓨터를 물색하여 이동합니다.
전자우편 폭탄(Email Bomb)■
메일 폭탄이란 망사업자를 비롯한 전산운영기관이나 특정 사용자를 대상으로 대용량의E E
메일을 보내거나 작은 용량의 작은 메일이라도 반복하여 다량 발송함으로써 메일 송수신E E
시스템에 정상적인 동작을 방해하거나 정지 등을 초래하는 공격 방법입니다.
그밖에도 타인의 메일 계정을 도용하거나 다른 시스템의 메일 게이트웨이를 불법 이용하E E
여 다수의 사용자에게 원하지 않는 광고성 메일을 동시에 발송하는 스팸 메일도 최E (Spam)
근 문제를 일으키고 있습니다.
서비스방해 거부 공격( ) (Denial of Service Attack)■
컴퓨터시스템이나 네트워크의 정상동작을 방해 정지시키는 등의 해킹으로서 공격자의 신원,
을 위장하기 쉽고 관련 프로그램들이 많이 알려져 있어 최근 많이 사용되고 있으며 아직,
뚜렷한 대책이 없는 상태입니다.
프로토콜 문제점 공격■
프로토콜 문제점 공격은 대부분 서비스방해 거부 공격에서 보았던 프로토콜 설계 및( ) TCP/IP
구현상의 취약점을 이용하는 공격 방법입니다 이 해킹방법은 여러 가지 기법으로 발전되고.
있는 상태이지만 알려진 대표적인 해킹방법은 다음과 같습니다.
표 서비스방해 거부 공격 유형< 6> ( )
프로토콜 공격 대상 설 명 공격명( )
TCP
응용프로그램 서비스ㆍ
를 이용한 화면 서비스방해공격talk
우회 공격finger (redirect)
을 이용한 서비스방해공격netcat
에 대한 서비스방해공격DNS
에 대한 서비스방해공격syslog
를 이용한 서비스방해공격linx httpd
네트워크 컴퓨터ㆍ
프로세스 공격Inetd
무한루프 공격Inetd
접속 끊기 공격TCP
크기 속이기 공격TCP window
용량 초과 공격socket open/close
소비 공격socket descriptor
용량초과 공격SYN (flooding)
UDP컴퓨터 폭탄 공격UDP
네트워크 컴퓨터ㆍ 용량초과 공격UDP
ICMP
컴퓨터 우회 공격ICMP (redirect)
컴퓨터 폭탄 공격ICMP echo
네트워크 폭탄 공격ICMP
SMTP 컴퓨터메일 폭탄 공격E
스팸메일 공격
위장 공격IP (Spoofing)○
송수신간 접속과정에서 프로토콜 상호인증을 위한 방향접속인증TCP 3 (Three Way
시 필요한 순서번호를 추측하여 불법접속을 만드는 방법입니다Handshake) .
용량초과 공격Syn Fooling( )○
공격은 프로토콜 접속시 상호 프로토콜 인증방법과 취약점을 이용하여Syn Fooling TCP
시스템을 정지시키는 공격방법으로서 계속적으로 접속요청패킷을 발송하여 시스템을 정지시
키는 것입니다.
사회공학을 이용한 해킹■
사회공학방법을 해킹7)은 사용자 나 패스워드 시스템 특별 권한 등을 얻기 위해 관리자를ID ,
속이는 방법이다.
나 해커들은 어떤 순서로 해킹에 접근하는가. ?
제 단계 불법적인 컴퓨터 접근< 1 >■
7) Social Engineering
와 패스워드를 알아내 를 도용 로그인ID ID○
웹서버 등 네트워크서버의 취약점을 이용하여 접근○
이용 패스워드를 알아내 접근crack○
스니퍼 등을 이용하여 찾아낸 및 패스워드로 접근ID○
네트워크 취약점을 이용 계정으로 로그인root○
단계 권한 획득<2 > root■
시스템의 취약점을 이용 권한 획득root○
트로이목마 등 악성 프로그램으로 권한 획득(Trojan Horse) root○
단계 스니퍼 설치<3 >■
스니퍼를 일반사용자 홈디렉토리내에 설치하여ID○
스니퍼가 찾아낸 및 패스워드를 자신의 메일로 수신ID E○
단계 뒷문프로그램 프로그램 설치<4 > (Backdoor)■
등 네트워크 응용 프로그램 수정 후finger○
등에 지정하여 원격지 컴퓨터에서 로 로그인/etc/inetd.conf root○
특정 나 패스워드 패턴에 따라 기록을 없애주는 등 설치ID login○
단계 구체적인 피해 행위<5 >■
등의 명령으로 디스크내 모든 파일 디렉토리 삭제rm -rf * & .○
컴퓨터에 존재하는 상용 통신 를 이용하여 무료 사용PC ID○
사용자들의 메일 내용이나 디렉토리내 자료 열람 빼내기E ,○
바이러스 등 악성프로그램 설치○
성적 조작 홈페이지 내용 변조 등 주요 자료 변조,○
정보시스템을 해킹으로부터 보호하려면2. ?
가 안전한 컴퓨터시스템 구성 운영. .
컴퓨터시스템 를 설치하고 운영할 때 해킹 당할 수 있는 취약점이 없는 상태로 운영하여OS
야 합니다 이를 위해서는 무엇보다도 별로 최신 버전의 프로그램을 설치 운영하여야 하. OS
는 것입니다.
표 은 인터넷 상에서 별로 최신버전의 프로그램들을 제공하는 싸이트의 을 나< 7> OS URL
타내고 있으므로 수시로 참조하여 새 버전의 프로그램을 가져와서 설치하도록 하며 시스템
을 안전하게 구성 운영하도록 해야 합니다8)
표 별 새 버전 프로그램 제공하는 싸이트< 7> OS
종류OS URL
SUNOS http://sunsolve.sun.com/sunsolve/pubpatches/patches.html
HPUX http://us-support2.external.hp.com
IBM AIX ftp://aix.software.ibm.com/aix/efixes/security/
NOVELL ftp://ftp.novell.com
SCO ftp://ftp.sco.com
SGI ftp://ftp.sgi.com/security/sgi
MS NT http://www.microsoft.com/security
UNIX 참고http://www.certcc.co.kr/Paper/tr004.txt
한국전산망침해사고대응지원팀(CERTCC-KR9) 에서는 홈페이지) 10)를 통해 해킹방지대책 관
련 정보를 수시로 제공하고 있으며 메일링리스트11)에 가입한 회원에게는 전자우편으로도
제공하고 있습니다.
나 네트워크에서의 불법접근 방지 조치.
컴퓨터 시스템에 네트워크를 통하여 불법 접근하는 해킹을 차단할 수 있는 효과적인 필터링
프로그램으로는 Tcpwrapper12)가 있습니다 이 프로그램으로 접근을 허용하는 호스트와 네.
트워크 응용서비스를 정의하여 불법이용을 차단합니다, .
네트워크로부터의 불법 접근을 막았다 하더라도 불법침입가능성을 표 에서 보이고 있는< 8>
취약점 진단프로그램을 이용 수시 점검하는 것이 좋습니다, .
8) 유닉스 보안 구성 가이드라인 참고“ ”(http://www.certcc.or.kr/Paper/tr004.txt)
9) Korea *CERT Coordination Center. *CERT: Computer Emergency Response Team
10) http:// www.certcc.or.kr
11) 에 내용으로 메일을 보내면 자동 가입[email protected] “subscribe sec-info"
12) 설치가 간단하고 운영하기 쉬운 호스트기반의 침입차단시스템(Firewall)
표 네트워크 취약점 유무 분석 프로그램< 8>
프로그램 설명 URL
SATANSystem Administrator's Toolfor Analyzing Networks
ftp://ciac.llnl.gov/pub/ciac/sectools/unix/satan/
ISS Internet Security Scanner http://www.iss.net
온라인시큐어닥터
홈페이지를 통한 점검 http://www.certcc.or.kr/Certcc/olsd/index.html
다 사용자계정 및 패스워드의 안전 관리.
사용하지 않는 계정은 없는지 매주 점검13)하여 취소시키고 설치시 미리 만들어진 계정OS
인 등에 대해서는 시스템의 명령어 인터프리터인 쉘 을 부여하지 않도록 해sync, bin (Shell)
야 합니다.
계정담당자만이 신규 계정의 발급 취소 등 관리할 수 있도록 하며 계정은 콘솔이외의, , root
접근을 제한하고 관리자도 일반계정에서 필요시 를 이용하도록 하거나 이용자의 권한su root
실행을 제한하는 sudo14)를 설치 운영하는 것이 좋습니다.
사용자 패스워드는 최소한 자리 이상 영문자 대소구별 숫자 및 특수문자를 혼용하여 사6 , ( ),
용하도록 하고 패스워드프로그램을 교체15)하여 패스워드 정책을 모든 사용자들이 강제적으
로 지킬 수 있도록 조치합니다 또한. Crack16)을 이용하여 손쉬운 패스워드를 이용하는 사용
자가 있는지 주기적으로 점검하고 정기적으로 패스워드를 교체할 수 있도록 에이징, 17)
관리가 필요합니다(Aging) .
라 파일시스템 안전관리.
파일시스템내 해킹당할 수 있는 취약점 등이 있는지 점검관리하기 위해서 COPS18)등 안전
진단 프로그램을 이용하는 것이 좋은데 는 다음과 같은 기능을 가지고 있습니다, COPS .
파일시스템내 디렉토리 파일 등의 적절한 접근권한 점검,○
불필요한 파일이나 권한 실행가능 파일의 검색과 경고root○
13) http://www.cdrom.com/pub.security/coast/Purdue/chkacct/
14) http:// ftp.tu-clausthal.de/pub/TEXT/EXPERT/unix/security/sdmin/sudo
15) comp.sources.unix/volum25/npassward/
16) http://hpux.u-aizu.ac.jp/hppd/hpux/Sysadmin/crack-5.0/
17) 최신 유닉스에서는 대부분 이 기능을 제공함
18) 한국정보보호센터의 시큐어닥터도 유사기능Computer Oracle and Password System,
손쉬운 패스워드를 이용하는 사용자 검색○ 19)
간단한 프로그램을 취약점이나 구성상의 문제점을 진단○
주기적으로 점검 관리하여 시스템의 보안상태를 검토 가능○
그리고 파일시스템의 변조 유무를 점검하기 위하여 Tripwire20) 프로그램을 이용할 수 있는
데 이 프로그램은 원본 파일시스템에 대한 체크썸 기록한 후 주기적으로, (Checksum) ,
를 실행하여 결과를 원본에서 생성된 체크썸과 비교함으로서 변조유무를 관리하는Tripwire
것입니다.
마 기록 점검 및 관리.
컴퓨터시스템이 생성하는 각종 로그기록을 수시로 분석하여 이상 유무를 점검하도록 해야
합니다.
표 유닉스 시스템 로그기록 종류< 9>
로그기록 종류 설명 점검용 프로그램
/etc/utmp 현재 이용중인 사용자 정보 w, finger
/etc/wtmp 모든 사용자들의 로그인 로그아웃 정보, w, who, last
/var/adm/lastlog 가장 최근의 로긴정보 finger
/var/adm/pacct 사용자가 실행한 모든 명령 프로세스 기록, lastcomm
바 올바른 네트워크 구성과 보안 관리.
인터넷을 연결하여 망을 운영하는 기관에서는 에 연결된 각각의 컴퓨터시스템에 대한LAN
보안관리도 중요하지만 기관의 전체망을 운영 관리하는 부서에서 전반적인 보안 책임을 가
지고 운영하여야 효과가 있습니다.
전체 망을 관리하는 부서에서 보안관리담당자는 관리해야할 모든 네트워크와 컴퓨터시스템
현황을 파악하고 있어야 하는데 자재관리 차원의 행정업무상으로 관리하기는 어려우므로,
실질적으로 주소에 근거하여IP ping21)을 실행하고 응답하는 컴퓨터를 목록화하여 관리하도
록 하는 것이 바람직합니다.
즉 에 응답한 컴퓨터 목록을 네트워크별로 분류하며 그 중요도에 따라 우선순위를 지ping ,
정하여 이를 매트릭스화하여 파일로 저장해두며 주기적으로 보안상태를 기록하고 현황을 분
석하도록 합니다 이러한 방법을 이용하여 전체망을 관리하려면 다음 표 과 같은 프로그. [ 10]
램들을 활성하시기 바랍니다.
19) 보다는 성능이 떨어짐Crack
20) 미국 프로젝트에서 개발한 파일시스템 변조 유무 점검용 도구COAST
21) 을 이용하면 주어진 주소공간에서 효과적으로 시행가능pingall
(http:// ftp.mci_net/pub/security/pingall)
표 보안관리 센터 활용 보안< 10> SW
분야 공개 SW 상용SW
네트워크 취약점 분석 등ISS, SATAN 등ISS, PingWare
분산된 컴퓨터 보안관리이용 보고 수집COPS , CIAC
MerlinOmniGuard
네트워크 침입 탐지 Gabriel 등NeoWatcher. RealSecure
네트워크 패킷 모니터TCPDUMP. Etherfind,Watcher
등SessionWall-3, Watcher
분산 컴퓨터 로그 관리 네트워크 관리syslog
사 서버의 안전운영. WWW
홈페이지는 인터넷 연결 라우터에서 외부에서의 접근을 공식적인 서버에게만 라우팅할http
수 있도록 홈페이지를 운영하는 컴퓨터시스템에는 를 설치하여 외부에서TCPWRAPPER
이외의 접근을 통제하도록 합니다http .
해킹발생시 대응요령.Ⅲ
해킹이 의심되면 어떻게 확인하는가1. ?
다음에 연결된 사항들을 일단 해킹사고를 당했다고 의심을 해볼 필요성이 있는 이상 징후들
을 설명한 것입니다.
해킹을 의심하고 확인할 사항< >
타인의 통보 사항①타 기관에서 자신의 컴퓨터가 해킹을 당했거나 경유지로 이용되었음을 통보-사용자들이 컴퓨터의 비정상적인 증상을 보고-
현재 로그인 사용자 확인②정당한 사용자인가 비정상적인 시간에 로그인하지 않았는가- ? ?예전에 잘 사용하지 않던 사용자가 갑자가 활발히 이용하는가- ?비정상적으로 오랫동안 로그인하고 있지는 않은가- ?사용자의 호스트가 접근이 허용된 정당한 컴퓨터인가- ?
현재 동작중인 프로세서 확인③비정상적으로 오래 수행되고 있지는 않은가- ?비정상적인 시간 새벽 에 시작되지는 않았는가- ( ) ?특이한 이름을 가지고 있지는 않은가- ?일반 사용자가 특별한 프로그램을 수행시키고 있지는 않은가- ?
를 비정상적으로 많이 점유하고 있지는 않은가- CPU ?제어 터미널이 없는 프로세스는 없는가 열에 표시- ?(TTY )
시스템에 남겨진 침입자의 흔적 확인④로그파일이 삭제되었거나 크기가 비정상적으로 작지는 않은가- ?침입이 의심되는 시간대에 관련된 기록이 삭제되지는 않았는가- ?의심이 갈만한 명령을 수행시킨 사용자가 있는가- ?
메일을 이용해 외부의 의심스러운 호스트로 접속하지는 않았는가- FTP, E ?일반사용자가 로 로그인 하지는 않았는가- root ?를 이용해 상위 권한 획득을 시도한 기록은 없는가- su ?
비정상적으로 잦은 로그인 실패 기록이 있는가- ?의심이 가는 접속 기록이 있는가- telnet ?또는 명령으로 표시되지 않은 접속이 있는가- w who telnet ?
스니퍼 등 해커가 설치한 악성프로그램 확인⑤네트워크 인터페이스가 모드로 설정되어 있는가- promiscuous ?숨겨진 디렉토리나 파일들은 없는가- ?기타 시스템에 새로 생성된 파일들은 없는가- ?디스크에 잔여 용량이 급격히 감소되지는 않았는가- ?
점유율이 매우 높은 프로세스는 없는가- CPU ?
침입자가 남긴 파일 및 시스템이용 기록 확인⑥침입자가 즐겨 사용하는 파일들이나 디렉토리들이 있는가- ?
해킹을 당하면 어떻게 대처하는가2. ?
해커 등 침입자의 흔적을 확인한다는 것은 축적된 경험과 전문적인 시스템 지식을 요구하므
로 숙달된 실무자라고 할지라도 침입자 모르게 침입자의 활동을 감시하거나 침입경로를 추
적하는 것은 어려운 작업일 것입니다.
해킹사고시 처리하는 방법은 시스템관리자의 숙련도 피해시스템의 용도나 중요성에 따라,
다를 수 있습니다.
경험이 많은 관리자라면 중요하고 계속적인 서비스가 요구되는 시스템에 대해서 해커의 작업
을 중단시키거나 네트워크를 중단하고 취약점을 분석 제거한 다음 네트워크 서비스를 다시 시
작하면 되고 만약 중요하지 않은 시스템이라면 침입자 몰래 지속적인 감시와 에, CERTCC-KR
연락하여 다른 기관의 피해가 없도록 공동 추적할 수 있도록 조치할 필요가 있습니다.
만약 경험이 적은 관리자가 중요한 시스템의 해킹사고를 처리하고자 한다면 다음과 같이 임
시조치 후 침해사고 대응기술을 가진 전문가나 전문기관에 도움을 요청하여야 하며 관련된
다른 기관에도 알려 대비할 수 있는 조치를 취하도록 하여야 합니다.
네트워크 케이블을 뽑아 시스템들을 네트워크로부터 분리,○
시스템에 손상을 미치는 불법프로세스○ 22)가 수행중일 경우 즉시 해당 프로세스를 중단,
전원을 즉시 차단시키면 파일시스템에 손상을 줄 수 있어 위험하지만 긴급시 최후 수단※
으로 사용할 수도 있음
22) 예를 들어 전체 파일시스템을 삭제시키는 명령 등
해킹대응을 위한 지원.Ⅳ
침해사고 대응협의회와 해킹사고 대응 체계1.
한국정보보호센터에서는 해킹 등 침해사고 공동대응과 대응정보 교환을 목적으로1996. 11
대학 기업 망사업자 등 정보통신망 운영기관을 중심으로 전산망침해사고대응팀협의회, ,
(CONCERT)23)를 구성 운영하고 있으며 현재 여개 국내 기관들이 회원으로 가입하여 활80ㆍ
동하고 있습니다.
그림 국내 침해사고 대응체계< 3>
회원 가입시 별도 가입비용 없이 누구나 가입할 수 있으며 매 분기마다 해킹방CONCERT ,
지 기술 관련 세미나를 개최하는 한편 평상시에는 홈페이지와 메일 등을 통해 해킹사례를E
중심으로 각종 해킹방지 기술정보를 교환하고 있습니다.
해킹사고 접수 및 기술지원2. CERTCC-KR
CERTCC-KR은 해킹사고 접수창구를 시간 운영하고 있으며 해킹방법 피해사항과 해커24 ㆍ
의 침입경로 등을 분석하여 해킹피해를 최소화할 수 있도록 지원하고 있는 한국정보보호센
터내 해킹사고대응조직입니다.
또한 국제침해사고대응기구‘98. 1 (FIRST)24)에 한국을 대표하여 가입함으로써 최근 늘고 있
는 국제적 해킹사고에 대한 대응 및 국제적으로 영향을 주는 긴급사항에도 미리 대비할 수
있게 되었습니다.
23) 참조http://www.certcc.or.kr/concert.html
24) FIRST(Forum of Incident Response Security Team, http://www.first.org/)
에 해킹사고를 접수하려면 아래 해킹사고 보고양식을 기재하여 메일이나CERTCC-KR E ,
전화 팩스로 접수하면 됩니다, .
해킹사고 보고 양식< >
일반 정보1.
사고 번호 에 의해 부여됨1.1 (CERTCC-KR ):기관 정보1.2
연락처 정보2.
보고자 연락처 정보2.1업무 대행자 연락처 정보 있을 경우2.2 ( )이 사고에 관련된 다른 기관의 연락처 정보 있을 경우2.3 ( )연락을 취한 수사기관 들 의 연락처 정보 있을 경우2.4 ( ) ( )
호스트 정보3.
호스트명3.1 :주소 들3.2 IP ( )
하드웨어 의 명칭 및 버전3.3 , OS :관련된 호스트의 주요 정보3.4해당 호스트의 사고 관련 역할 가해 피해 또는 양쪽 모두3.5 ( , , )이 공격으로 호스트가 손상을 입었는가 예 아니오3.6 ( / ):
사고에 대한 상세한 설명4.
사고 날짜 및 기간4.1 :사고발견 경위4.2 :침입자의 공격방법 아는 대로 작성4.3 ( ):숨겨진 파일들 디렉토리들4.4 / :공격 출발지 알고 있는 경우 기관명 호스트명 주소등4.5 ( : / , ):사고 이후 취해진 절차 예 바이너리들의 재 설치 패치의 적용 등4.6 ( : , ):사고 이후 계획된 절차 있을 경우4.7 ( )기타 보충설명 자료4.8 :
침입자의 활동에 대한 정보5.
침입용 툴의 출력 패킷 스니퍼 출력 로그 등5.1 ( ):취약점을 이용하기 위해 사용된 툴 스크립5.2 /기타 파일들5.3 :
로부터 어떤 지원을 받기를 원하십니까 설명6. CERTCC-KR ?( )
해킹사고 접수 및 연락처※
전자우편 : [email protected]✉전 화 : 02 - 3488 - 4119☎
팩 스 : 02 - 3488 - 4129☏
그림 는 국내 정보통신망운영기관이 해킹사고를 에 보고시 대응하는 과정< 4> CERTCC-KR
을 보여주고 있습니다.
그림 침해사고 처리 과정< 4>
국내 해킹사고 경우< >
해킹 사고 발견(1)
해킹사고 보고 양식 기입(2)
해킹사고 보고 및 지원 요청(3)
보고 사항 검토 및 분석 등 지원(4)
해킹 경유지 이용 컴퓨터 협조 요청(5)
경유지 이용기관 침입자 파악(6)
만약 직접 해킹 경우 침입자 파악(7) ,
해외로부터의 해킹사고 경우< >
해외 경유지 이용 경우 협조 요청(a)
해외 요청시 관련 동시 연락(b) CERT
해외 는 필요시 경유지 기관과 상호협조(c) CERT
해킹범죄 수사요청은 이곳으로3.
대검찰청정보범죄수사센터 정보범죄 신고 담당( )▲
전화 팩스: 02 - 3480 - 2480, : 02 - 3480 - 2489메일E : [email protected]
경찰청 컴퓨터범죄수사대 컴퓨터범죄 신고 담당( )▲
전화 팩스: 02 -392 - 0330, : 02 - 365 - 7127메일E : [email protected]
부록
해킹사고 피해사례A.
해킹대응 기술정보B.
해킹사고대응 관련기관 연락처C.
시스템 해킹 예방 점검목록D.
부록 해킹사고 피해사례A.
비인가자의 컴퓨터 이용사례A1.
고가의 슈퍼컴퓨터를 주일간 무료 이용1 ('92. 2)▶
대학 학부생으로 추정되는 해커들이 연구소가 도입한 슈퍼컴퓨터에 무단 침입하여‘92. 2 K S
관리자 권한을 획득한 후 뒷문프로그램을 설치하는 등 주일간 고가의 를 무단 이용하1 CPU
였다.
이 슈퍼컴퓨터는 국내 수백만의 교수 및 연구원들에게 개방하고 있었는데 하루 유지비가 수
백만원에 달하는 슈퍼컴퓨터를 해커들을 몰아내기 위해 주일간 정상서비스를 하지 못하였1
다.
컴퓨터시스템의 이상동작과 정지A2.
망사업자 전자우편 폭탄 공격으로 시스템 정지H (’97. 8)▶
년 월 고등학생 군 군 등은 인터넷 전자메일로 망사업자의 이용자 여1997 8 K (17), O (17) H 20
명에게 메가바이트 프로그램 총 기가바이트 자료 를 동시에 송신하여 망사업자의 인450 ( 9 ) H
터넷 메일서비스를 마비시켰다.
망사업자 경우 어떤 장애에도 불구하고 사용자들에게 중단없는 서비스를 제공하는 안정적인
운영이 매우 중요하므로 이는 결국 사용자의 서비스 불만과 요금 청구상 금전적인 피해를
입게 되는 것이다.
디스크 파일삭제 및 자료 변조 사례A3.
대학 실험실 대 워크스테이션 디스크자료 삭제P 8 (’96. 2)▶
년 월 대학과 해킹실력을 경쟁하고 있던 대학의 해킹동아리 소속인 학부생 군1997 2 P K N
군 등은(20), K (24) 위장 공격IP 방법을 이용하여 대학 연구실을 해킹(IP Spoofing Attack) P
하였다.
이들은 관리자 권한을 획득하고 워크스테이션들이 로 모든 디NFS(Network Files System)
스크가 연결되어 있음을 확인한 후 명령으로 각종 연구실에서 추진하고 있던, rm -rf * &
프로젝트에서 나온 성과물과 연구자료들을 모두 삭제한 것이다 특히 이 연구실에서는 이렇.
게 중요한 자료들을 따로 저장하여두지 않아 거의 복구할 수 없었으며 다만 가까이 삭80%
제되고 있었을 때 이를 발견한 관리자가 네트워크를 분리시키고 전원을 차단하여 모든 자료
가 삭제되는 것을 막을 수 있었다.
대학 학생 성적변조 사고J (’97. 7)▶
년 월 대학교 학부생인 군 은 전자계산소 학사관리시스템에 불법 침입한 후 자1997 7 J Y (20) ,
신의 성적을 상향 조작하였다.
군은 대의 성적전산화시스템 개발 당시 참여한 학생으로 시스템 개발중 불법침입 경로를Y J
사전에 만들어두고 이를 이용하여 자신의 성적을 조작하였다, .
패스워드 파일 유출 및 도용 사례A4. ID
대학 여개 시스템 패스워드 해외유출사고S 120 (’97. 7)▶
년 월 누구나 홈페이지를 개설하고 인터넷을 통해 외부와 통신할 수 있도록 되어있는1997 7
국내 대학 시스템의 패스워드 파일이 해외로 불법유출된 사고가 발생하였다S .
독일에서 침입한 해커는 학생이 개설한 개인홈페이지 상의 취약점을 이용하여 침입phf CGI
한 후 패스워드 파일을 가져갔으며 관리자권한을 불법 획득한 후 스니퍼 를 설치, (Sniffer) , S
대학 전산망을 이용하는 여개의 사용자 및 비밀번호를 가져갔다200 ID .
해외 해커 국내 싸이트 경유지 이용 사례A5.
기업 해외 해커 침입 사고K▶
년 신원미상의 해외 해커가 공개운용버전의 운영체계인 리눅스 를 이용하여1997 (Linux)
등 인터넷서비스를 운영하고 있는 기업에 불법 침입하였다 해커는 관리자권한을WWW K .
획득한 후 시스템파일 과 로그인 프로그램을 수정하였고. (/etc/passwd, /etc/inetd.conf) (login) ,
다른 컴퓨터 침입을 위한 근거지로 이용한 사고가 발생하였다.
이 사고로 인하여 기업은 인터넷서비스를 맡고 있는 컴퓨터의 중단으로 인하여 인터넷을K
이용한 업무가 중단되었으며 이렇게 경유지로 이용되는 경우 국내 외 다른 컴퓨터에도 피ㆍ
해 주게 된다.
부록 해킹대응 기술정보B.
참고해야할 목록URL□
한국정보보호센터 홈페이지[1] CERTCC_KR
<http://www.certcc.or.kr>○
해외 대응팀 홈페이지[2]
CERT/CC <http://www.cert.org>○
CIAC <http://ciac.llnl.gov>○
Computer Security Resource Clearinghouse <http:// csrc.nist.gov/>○
NCSA <http://www.ncsa.com>○
FIRST <http://www.first.org>○
보안관련 정보 및[3] SW
COAST <http://cs.purdue.edu/coast>○
Security FAQ <http://www.iss.net/sec_info/faq_html>○
CIAC <http://ciac.llnl.gov/ciac/SecurityTools.html>○
Firewall <http://www.greatcircle.com/firewalls>○
메일링리스트 및 뉴스그룹□
한국정보보호센터[1] CERTCC-KR : [email protected]
본문에 subscribe sec-info
[2] CERT Advisory : cert-advisory-request
본문에 subscribe
침입차단시스템 방화벽[3] ( ) :[email protected]
본문에 subscribe firewall
[4] Intrusion Detection : [email protected]
본문에 subscribe ids
뉴스그룹[5]
han.comp.security comp.security.unix○ ○
alt.security comp.security.announce○ ○
alt.security.unix comp.virus○ ○
comp.risks○
부록 해킹사고대응 관련기관 연락처C.
이 연락처는 해킹사고 관련 긴급 사항 발생시 활용하시기 바랍니다.※
침해사고 기술 지원 요청□
한국정보보호센터CERTCC-KR
담당자 침해사고 대응 담당
전화 팩스ㆍ [02] 3480-4119 3488-4129
전자 우편 [email protected]
URL http:// www.certcc.or.kr, http://www.kisa.or.kr
비고 해킹 등 침해사고 보고 기술지원 요청( )
해킹 등 침해사고 컴퓨터범죄 수사 요청,□
대검찰청정보범죄수사센터
담당자 정보범죄 신고 담당
전화 팩스. [02] 3480-2480 3480-2489
전자 우편 srparkWdci.sppo.go.kr
URL http://www.dci.sppo.go.kr
비고 정보범죄 수사지휘 대책수립.
경찰청컴퓨터범죄수사대
담당자 컴퓨터범죄신고담당
전화 팩스ㆍ [02] 392-0330 365-7127
전자 우편 [email protected]
URL
비고
관련 연락CONCERT□
CONCERT운영위원장
담당자 정진욱 교수 성균관대학교( )
전화 팩스ㆍ 0331-290-7106
전자 우편 [email protected]
URL http:// www.certcc.or.kr/concert.html
비고 사무국은 담당CERTCC-KR
정보보호산업협의회 문의 국내 정보보호 제품 문의-□
정보보호산업협의회 사무국
담당자 김홍선 부회장 윤삼수 과장( )
전화 팩스ㆍ 02-3443-4091(601)
전자 우편 [email protected]
URL
비고 회원기관연락 : [email protected]
부록 시스템 해킹 예방 점검목록D.
시스템 보안점검 목록-unix
패치(Patches)□
업체나 네트워크 공개서버로부터 가장 최신 버전을 설치한다 이 경우 새로 설치된 후 디폴.
트 구성으로 복원되는 경우가 있으므로 주의한다.
네트워크 보안 (Network security)□
필터링(Filtering)▶
별도로 허용된 네트워크 서비스만이 내부로 들어올 수 있도록 라우터에서 막는다 다음과.
같은 서비스들은 막도록 한다.
NAME PORT PROTOCOL NAME PORT PROTOCOL
echosystatnetstatbootptftplinksupdupsunrpcNeWssnmpxdmcpexec
7111567698795111144161177512
TCP/UDPTCPTCPUDPUDPTCPTCPTCP/UDPTCPUDPUDPTCP
loginshellprinterbiffwhosysloguucprouteopenwinNFSX11
513514515512513514540520200020496000 to 6000+n은 서버의 최대값(*n X )
TCPTCPTCPUDPUDPUDPTCPUDPTCPUDP/TCPTCP
명령 관련 점검“r"▶
등의 명령들이 필요없다면 에서 제거한다rsh, rlogin “r" /etc/inetd.cog .○
만약 명령을 써야 한다면“r" ,○
보다 안전한 버전을 사용한다 의 은 안전한 명령을 사용할- . Wietse Venema logdaemon “r"
수 있도록 하는데 가 아닌 단지 만을 참조하고, HOME/.rhosts /etc/hosts.equiv$
옵션을 허용하지 않는다wildcard('+') .
명령을 사용한다면 포트를 라우터에서 막는다- “r" 512. 513. 514 (TCP) .
를 이용하여 외부네트워크 서비스에 대한 접근제어 및 로그를 만든다- tcp_wrappers .
etc/hosts.equiv▶
신뢰하는 호스트 는 적을수록 좋다(TRUSTED hosts) .○
를 사용한다면 효과적인 관리를 위해 을 이용한다NIS, NIS+ netgroups .○
자신의 도메인내에 있는 호스트만 신뢰한다.○
전체 도메인이름을 이용한 호스트이름 사용한다(hostname.domainname.kr) .○
엔트리를 갖지 않도록 한다‘+’ .○
라인을 갖지 않도록 한다‘!’, ‘#’ .○
첫 글자에 가 없도록 한다‘_’ .○
파일의 접근권한이 소유자는 가 되도록 한다600, roots .○
/etc/netsgroup▶
만약 를 이용한다면 각 은 사용자이름이나 호스트 이름만을 가지도록 한NIS, NIS+ netgroup
다.
HOME/.rhosts▶ $
명령을 사용한다면 다음을 꼭 따른다"r" .○
보다 큰 위험을 가지게 되지만 각 개인 별로 허용할 수 있다- /etc/hosts.equiv .
이 파일의 변화를 주기적으로 점검하는 을 실행한다- cron .
를 사용해야 한다면HOME/.rhosts○ $
파일의 첫 글자가 가 되지 않게 하고- ‘-’ ,
이것의 권한이 소유주는 당사자의 것으로 한다- 600, .
어떤 라인에도 를 갖지 않도록 한다- “+” .
내에 을 허용하지 않는다- .rhosts netgroup .
를 사용하지 않는다- ‘!’, ‘#’ .
을 이용하여 를 제한할 수 있다- logdaemon , HOME/.rhosts .$
NFS▶
는 사용하지 않는 것이 좋다NFS .○
라우터에서 트래픽을 막는데 포트를 필터링 한다NFS , 111, 2049 .○
관련 포트를 모니터링한다NFS .○
나 에는 반드시 필요한 것만 한다/etc/exports /etc/dfs/dfstab export .○
서버 자체의 파일시스템을 해서는 않된다NFS export .○
파일이 엔트리를 가지지 않도록 한다export ‘localhost' .○
리스트가 문자를 넘지 않도록 한다 만약 이를 초과할 경우 외부의 모든 호export 256 . ,○
스트를 신뢰하는 결과를 초래한다.
을 전 파일 시스템에 대해 실행하여 파일지시자 값이 랜덤하게 생성되fsirand (file handle)○
도록 한다.
실수로 파일시스템을 외부에 개방시키지 않는다.○
옵션을 적절히 사용한다-access=host.domainname.kr .○
가능하다면 파일시스템을 읽기 전용 으로 운용한다(-ro) .○
를 사용해야 한다면 옵션을 사용한다NIS secure .○
를 사용하며 어떤 파일시스템이 개방되는지 감시한다“showmount -e" .○
의 접근권한은 소유자는 가 되어야 한다/etc/export 644, root .○
나 클라이언트에서 불법요청을 받지 않도록 한다portmapper rpcbindrk .○
의 변경은 를 실행한 후에야 인정된다/etc/export /usr/etc/exportfs .○
/etc/hosts.lpd▶
이 파일의 첫 문자가 가 되어서는 안된다‘-’ .○
이 파일의 접근 권한은 소유주는 가 되어야 한다600, root .○
이 파일내에 나 이 사용되어서는 안된다“!” “#” .○
보안터미널 (Secure terminals)▶
이것은 나 에 해당된다/etc/ttys. /etc/default/login /etc/security .○
로 직접 로그인할 수 없도록 모든 옵션을 제거한다 가능하면 에서도root “secure" . console○
이 옵션을 제거하는 것이 좋다.
이 파일의 접근권한은 소유주는 로 한다644, root .○
Network service▶
/etc/inted.conf○
이 파일의 접근권한은 소유자는 이어야 한다- 600, root .
불필요한 서비스는 삭제한다 해당하는 라인의 첫 란에 을 넣으면 되고 이 작업 후- . “#”
프로세스를 다시 시작한다inted .
백도어 서비스가 있는지 점검하다- .
Portmapper○
시스템 시작시 불필요한 서비스를 에서 제거한다- Portmapper .
Trivial ftp (fttp)▶
불필요하면 에서 제거하고 반드시 필요하다면 옵션을 사용한다/etc/inted.conf , secure .
/etc/services▶
파일의 접근 권한은 소유자는 가 되어야 한다 뒷문프로그램을 위한 서비스포트644, root .○
가 불법 정의된 것이 있는지 점검한다.
로도 알려져 있음tcp_wrapper (log_tcp )▶
이 패키지를 꼭 설치하는 것이 좋다 모드를 가지도록 하고 인증서. PARANOID , RFC931 (
버 기능을 사용하는 것이 좋으며 에 을 넣어 모든 접근을 막고 접근) , /etc/hosts.deny “all:all" ,
을 허용해야 할 호스트라면 에 하나씩 정의하는 것이 좋다/etc/hosts.allow .
/etc/aliases▶
으로 가 있는 것들을 제거한다 이러한 변경이 효과를 가지려면“#” “decode" aliase .○
를 실행해야 하면 를 사용한다면 을 다시 만든다/usr/bin/newaliases , NIS NIS Map .
가 실행하는 프로그램 모드는 소유자는 가 되어야 한다aliases 755, root .○
Sendmail▶
현재 최신 버전을 사용한다sendmail 8.x ftp//ftp.sendmail.org( 8.8.8) .○
다른 업체 제품을 사용한다면 가장 최신 패치를 설치한다.○
의 최소 로그 수준을 수준으로 한다sendmail “9” .○
에서의 로그 수준을 높인다syslog .○
majordomo▶
다음 에서 가장 최근의 버전을 가져와 설치한다URL .
ftp://ftp.pgh.net/pub/majordomo
fingerd▶
는 침입자들이 시스템에 대한 많은 정보를 알 수 있게 하므로 가능한 불필요한 것finger○
은 제한하는 것이 좋다.
은 침입자가 어떤 파일도 볼 수 있게 하므로 이후 버전을 사용한다GNU finger v1.37 .○
UUCP▶
가능한 시스템을 사용하지 않는다uucp .○
을 가진 계정을 사용하지 않는다Shell uucp .○
홈디렉토리에 를 제거한다uucp .rhosts .○
는 소유주가 이어야 한다L.cmds root .○
에서 실행할 수 있는 명령을 제한한다uucp .○
REXD▶
서버는 보안기능이 제공되지 않으므로 서비스에서 제거한다rexd .
World Wide Web(WWW) - httpd▶
최신의 데몬을 사용한다http .○
데몬을 와 같은 권한없는 사용자가 실행한다 이렇게 함으로서 침입자가 취약점http http .○
을 발견했다하더라도 제한될 수 있다.
서버데몬과 클라이언트 브라우저를 권한으로 실행하지 않는다root .○
를 환경에서 실행하여 클라이언트가 다른 디렉토리 접근을 막는다http chroot(1) .○
서버의 구성파일을 주의깊게 작성한다.○
불필요한 를 사용하지 않는다CGI(Common Gateway Interface) .○
를 꼭 운용해야할 경우 을 사용한다CGI CGIWRAP .○
를 가능한 스크립트가 아니라 실행파일로 만든다CGI .○
디렉토리 파일 소유주 접근권한 등은 보안을 고려하여 설정한다cgi-bin , .○
에서 제작시 사용자가 직접 입력하는 값이 프로그램html form Perl, AWK, UNIX, shell,○
명령 등에 직접 전달될 수 없도록 한다.
등의 특수 문자들을 필터링하는 를 작성하여 가 해킹에₩n ₩r (. /;~!)>|^& '< CGI CGI○ , $
사용됨을 미리 예방한다.
와 익명FTP FTP□
버전(Versions)▶
다음의 에서 최신의 버전을 가져와서 설치한다URL .○
ftp://ftp.academ.com/pub/wu-ftpd/
에서는 를 사용한다BSD/386 BSDI v1.0 patch 005 .○
시스템구성(Configuration)▶
서버의 디폴트구성을 면밀히 살핀다ftp .○
가 명령을 갖지 않은지 체크한다ftp SITE EXEC .○
○ 에 적적하지 않은 접근을 허용하지 않는지 점검한다/etc/ftpusers ftpd .
여기에서는 나 업체에서 제공된 특별한 것root, bin, uucp, ingres, deamon, news, nobody
만 허용한다.
에서만 해당되는 내용Anonymous ftp▶
○ 에서 패스워드는 에서 권고한 전자우편주소 형태로 받을 수 있Anonymous FTP RFC822
도록 한다.
○ 서비스를 없애거나 의 파일을 옮기거나 지울 때 패스워드 파일에서 계정을ftp ftp ftp~
지운다.
서버의 구성- FTP
모든 에 대해 구성할 수 있는 것은 아니다 만약 와 같은 버전을 가지고 있다FTP . wu-ftpㆍ
면 계정 사용자의 및 옵션을guest, anonymous delete, overwrite, rename, chmod umask
없앤다.
등에 에 실행 가능한 어떤 명령이나 쉘ftp/bin, ftp/usr/bin, ftp/sbin SITE EXECㆍ ~ ~ ~
등을 두지 않는다.
패스워드 파일의 엔트리에 적절하게 지정한다 다음과 같은 형태가 되어야 한다. .ㆍ
ftp:*:400:400:Anonymous FTP:/home/ftp:/bin/false
홈 디렉토리 의 모드는 소유주는 가 되어야 한다ftp (~ftp) 555, root .ㆍ
가 실제 패스워드 복사본을 가져서는 안된다ftp/etc/passwd .ㆍ ~
에 실제 의 복사를 가져서는 안된다ftp/etc/group /etc/group .ㆍ ~
와 를 가져서는 안된다ftp/.rhosts ftp/.forward .ㆍ ~ ~
접근권한- (Permissions)
어떤 경우라도 계정 소유의 파일과 디렉토리를 두지 않는다ftp .ㆍ
사용자는 경계 구역에서의 파일만 읽을 수 있도록 한다ftp .ㆍ
와 의 서브디렉토리의 모든 파일은 모드 소유가 되어야 한다ftp/etc ftp/bin 111 , root .ㆍ ~ ~
의 모든 파일의 모드는 소유자는 가 되어야 한다ftp/etc/* 444. root .ㆍ ~
의 소유자는 모드는 이 되어야 한다/usr/spool/mail/ftp root, 400 .ㆍ
-Writable directories
쓰기 가능한 디렉토리를 가져서는 안된다.ㆍ
쓰기 가능한 디렉토리가 읽기 가능해서도 안된다.ㆍ
쓰기 가능한 디렉토리는 소유가 되고 모드는 이 되어야 한다root , 1733 .ㆍ
디스크 마운트-
내에 어떤 외부 호스트의 디스크도 마운트하지 않는다-ftp .ㆍ
패스워드 및 계정 보안□
패스워드 정책▶
기관의 패스워드 정책을 꼭 가진다.○
패스워드 신청양식을 각 시스템 별로 가지고 운영한다.○
사전 점검▶
잘못된 패스워드를 가려내는 방법을 제공한다.○
으로 잘못된 패스워드를 주기적으로 점검한다Crack .○
가능한 패스워드 을 수행한다Aging .○
와NIS, NIS+ /etc/passwd entries▶
꼭 필요하지 않다면 등을 사용하지 않는다NIS, NIS+ .○
가 필요하다면 보안기능이 강화된 를 사용한다NIS NIS+ .○
내에 를 가진 호스트는 마스터가 아니라 클라이언트에만 허용한다/etc/passwd “+” .○
에서 를 항상 옵션으로 실행하도록 한다/etc/rc.local ypbind -s .○
를 사용한다secure RPC .○
새도우 패스워드 (Shadow Password)▶
업체 제공이나 공개 제품들을 사용한다.○
불법적으로 더해진 것이 없는지 주기적으로 점검한다.○
계정 및 패스워드 관리▶
정기적으로 패스워드를 점검하고 계정을 수시로 갱신하여야 한다.○
모든 계정은 패스워드를 가져야 한다.○
정기적으로 패스워드 파일을 백업한다.○
실행에 대한 정기적인 모니터링이 필요하다su .○
반복된 로그인 실패나 거부에 대해 정기적으로 점검한다.○
사용자에게 허가된 제한용량 를 점검한다(Quter) .○
정기적으로 사용자 파일들을 백업한다.○
특수계정▶
계정을 공유하는 것을 허용하지 않으며 계정을 만들지 않는다, guest .○
업체에서 만든 를 위한 특별한 계정을 허용하지 않으며 패스워드 없이 명령을 실행OS ,○
하는 계정을 만들지 않는다.
등의 계정에는 등의 기능이 없는 쉘을 할당한다bin, sync, daemon /bin/false .○
계정Root▶
패스워드를 알고 있는 사람을 최소화 한다root .○
네트워크에서 직접 로 로그인 못하게 하며 일반 사용자에게서 를 이용한다root , su .○
를 가져서는 안되며 명령어 패스에 를 가져서도 안된다~/.rhosts , “.” .○
에서는 항상 의 명령을 사용하도록 한다root Full Path .○
파일.netrc▶
파일을 가능한 사용하지 않는다.netrc .○
꼭 필요시 패스워드 정보를 두지 않는다.○
패스워드 파일의 필드GCOS▶
여기에 기관이나 개인신상에 관한 정보 등을 기입하지 않는다 만약 유출시 문제가 될 수.
있다.
파일시스템 보안□
일반▶
절대 파일을 두지 않는다.netrc .○
파일 기능을 없애기 위해 환경을 사용할 것을 검토한다.exrc EXINT .○
각 사용자 홈에 있는 파일이 불법 명령을 수행하지 않는지 점검한다.forwrd .○
시작과 끝에 사용되는 스크립트들▶
이것들이 를 가지지 않도록 한다666mode .
/usr/lib/expreserve▶
시스템에서 이 년 월 이전 것은 사용하지 않는다sunos 4.1.x /usr/lib/expreserve 1993 7 .
외부 파일시스템과 디바이스▶
파일시스템을 와 읽기 전용으로 마운트한다non-setuid .
파일 접근 권한 모드▶
/etc/utmp : 644○
/etc/sm, /etc/sm.bak : 2755○
/etc/state : 644○
/etc/motd, /etc/mtab : 644○
를 재시작하면 다시 리세트된다/etc/syslog.pid :644 * syslog .○
은 소유 그룹은 라면 이 되어야 하며 모드는 가 되Kernel(/vmunix) root , SunOs wheel , 644○
어야 한다.
는 소유가 되어야 한/etc, /usr/etc, /bin, /usr/bin, /sbin, /usr/sbin, /tmp, /var/tmp root○
다.
와 스티키비트 가 지정되어야 한다/tmp /var/tmpss (sticky-bit) .○
디렉토리에 불필요한 쓰기가능 파일이나 디렉토리가 있어서는 안된다.○
파일들을 점검한다SUID.SGID .○
사용자들의 가 이나 이 되어있는지 점검한다umask 027 077 .○
의 모든 파일이 특수 파일인지 점검한다/deb .○
이외에 불필요한 특수파일이 있는지 점검한다/dev .○
실행파일들의 점검root▶
/.login, /.profile○ ~ ~
/exrc○ ~
/.logout○ ~
과 내용crontab○
에서의 파일들NFS○
/etc/rc*○
소유들Bin▶
쓰기 개방되지 않은 소유의 모든 와 파일들의 소유를 그룹bin non-setuid non-setgid ID 0
의 로 바꾼다root .
Tiger/COPS▶
둘 다 설치하거나 최소 하나는 설치 운용한다.
Tripwire▶
수동적으로 실행한다.○
실행파일과 데이터베이스 구성파일 등을 쓰기금지 하드웨어에 저장한다, .○