제 1 장개요 1 1. 배경 2 2. 가이드목적및구성 3 제 2 장인증서관리미흡악용사례 4 제 3 장코드서명인증서보안가이드 6 1. 인증서관리 7 2. 인증서관리시스템 8 3. 보안업데이트체계 9 4. 침해사고발생시사고대응체계 11 제 4 장코드서명인증서보안가이드항목해

Size: px

Start display at page:

Download "제 1 장개요 1 1. 배경 2 2. 가이드목적및구성 3 제 2 장인증서관리미흡악용사례 4 제 3 장코드서명인증서보안가이드 6 1. 인증서관리 7 2. 인증서관리시스템 8 3. 보안업데이트체계 9 4. 침해사고발생시사고대응체계 11 제 4 장코드서명인증서보안가이드항목해"

진영 신
5 years ago
Views:

1 코드서명인증서 보안가이드 본보고서의전부나일부를인용시, 반드시 [ 자료 : 한국인터넷진흥원 (KISA)] 를명시하여주시기바랍니다.

2 제 1 장개요 1 1. 배경 2 2. 가이드목적및구성 3 제 2 장인증서관리미흡악용사례 4 제 3 장코드서명인증서보안가이드 6 1. 인증서관리 7 2. 인증서관리시스템 8 3. 보안업데이트체계 9 4. 침해사고발생시사고대응체계 11 제 4 장코드서명인증서보안가이드항목해설서 12

3 제 1 장 개요

4 제 1 장개요 1.1 배경 개발회사에서인터넷상으로소프트웨어를배포하는경우사용자에게신뢰할만한프로그램임을알리기위해 1) 코드서명한소프트웨어를배포한다. 코드서명한소프트웨어는인증기관에서일종의디지털도장을받은프로그램과같다. 웹에서소프트웨어를다운로드할때코드서명이되지않은소프트웨어인경우, 알수없는게시자가배포한것임을알리는보안경고창이뜬다. 이에반해코드서명된경우는개발회사정보를보여줌으로써안심하고다운받을수있는인증역할을수행한다. 그러나최근 APT 공격을통해제조사가보관하고있는코드서명인증서를탈취하여, 악성코드를해당인증서로서명, 배포하는사례가발생하고있다. 코드서명된악성코드는사용자입장에서개발회사를통해정상적으로배포된파일로인식되기때문에파급력이크다. 이는대부분코드서명인증서관리미흡으로인해발생한다. 공격자는인증서관리가취약한부분을악용하여악성코드삽입을통해인증서를탈취한다. 최종적으로악성코드를코드서명한후전파시키는방식의사례가나타하고있다. 관리미흡으로인해침해사고사례가발생하는것이니만큼보안관리및침해사고대응체계를업데이트시킬필요가있다. 이에본가이드에서는코드서명인증서관리미흡으로인해발생하는침해사고위협 사례를다루어그위험성을인지하도록한다. 또한개발회사에서코드서명인증서관리시 반영하여야할사항을제공함으로써사고예방및피해를최소화하고자한다. 1) 코드서명 : 인터넷환경또는컴퓨터에사용되는소프트웨어개발사를인증하는전자서명방법 - 2 -

5 1.2 가이드목적및구성 목적 - 코드서명인증서관리위협심각성인지를통한보안인식제고 - 안전한코드서명관리를위한침해사고예방및피해최소화 대상 - 코드서명인증서관리자 범위 - 코드서명관리시지켜야할사항 - [1 장 ] 개요 1.1 배경 1.2 가이드목적및구성 - [2 장 ] 인증서관리미흡악용사례 구성 - [3 장 ] 코드서명인증서보안가이드 3.1 인증서관리 3.2 인증서관리시스템 3.3 보안업데이트체계 3.4 침해사고발생시사고대응체계 - [4 장 ] 코드서명인증서보안가이드해설서 - 3 -

6 제 2 장 인증서관리미흡악용사례

7 제 2 장인증서관리미흡악용사례 코드서명인증서를개발자 PC에서관리하거나사내인터넷망내에서인증서 PC를관리하는경우, 인증서를탈취하는사례가발생하였다. 공격자는사내 PC 중하나를악성코드에감염시켰다. 이후같은망에서사용하는공용솔루션취약점등을악용하여인증서 PC에접근함으로써인증서를탈취한사례이다. 또인증서보관을웹서버에서하고있는경우공격자가웹사이트관리자페이지에접근하여계정무작위대입공격을통해인증서탈취, 악성코드위장배포에악용한사례가존재한다. < 그림 2-1> 인증서보관 PC 를혼용해서사용했을경우 < 그림 2-2> 인증서보관서버를웹서버로사용했을경우 - 5 -

8 제 3 장 코드서명인증서보안가이드

9 제3장코드서명인증서보안가이드 3.1 인증서관리 o ( 별도의인증서관리시스템유무 ) 서명작업을수행하는시스템및인증서관리시스템은일반업무 PC와혼용하여사용할수없다. o ( 시스템망분리 ) 서명작업을수행하는시스템은망분리가이루어져야하며, 타임스탬프포트를제외한모든포트를차단해야한다. o ( 시스템접근통제 ) 서명작업을수행하는시스템은지정된관리자외접근을차단해야한다. o ( 인증서접근통제및승인 ) 인증서에는관리자혹은관리자가지정한사람만접근가능해야하며, 인증서복사 변경 삭제등의작업수행전관리자승인이있어야한다. o ( 인증서보관의안정성 ) 인증서는별도의안전한매체에저장해야하며, 매체접근시패스워드를요구해야한다. 또한지정된매체외보관된인증서는삭제해야한다. o ( 패스워드변경주기 ) 패스워드는분기별 1회이상변경해야한다. 또한, 패스워드변경이력을기록해야한다. o ( 패스워드조합구성 ) 패스워드는숫자, 대소문자, 특수문자를포함하여 2조합 10자이상또는 3조합 8자이상으로구성해야한다. o ( 인증서사용로그기록및승인 ) 코드서명을위해인증서사용시작업일지를기록해야하고, 관리자의승인을받아야한다. o ( 인증서작업일지검토 ) 관리자는주 1회이상작업일지의이상유무를검토해야한다

10 o ( 보안성검토수행 ) 서명작업시스템과인증서관리시스템에대해반기별 1 회이상자체적으로취약점점검을수행해야한다. 3.2 인증서관리시스템 o ( 취약한패스워드설정 ) 시스템계정의패스워드는 2조합 10글자또는 3조합 8글자이상으로설정해야한다. o ( 패스워드복잡도정책설정 ) 시스템의패스워드복잡도 (2조합 10글자또는 3조합 8글자 ) 정책을설정해야한다. o ( 주기적인패스워드변경 ) 패스워드는분기별 1회이상변경해야한다. o ( 자동로그인금지 ) 시스템계정은자동로그인으로설정해서는안된다. o ( 불필요한계정삭제 ) 임시로생성한계정등의불필요한계정은제거하고, 실제사용하는계정만남겨둬야한다. o ( 공용계정삭제 ) 관리자가사용하는계정은다른직원과공용으로사용되어서는안된다. o ( 최소한의관리자계정사용 ) 관리자계정은실제사용하는계정만설정하여최소한으로사용해야한다. o ( 인터넷접속차단 ) 관리시스템은외부인터넷접속을허용해서는안되며, 관리에필요한포트만화이트리스트기반으로관리해야한다. o ( 공유폴더차단 ) 시스템내공유폴더를생성해서는안된다. o ( 불필요한서비스삭제 ) 시스템내모든불필요한서비스는제거해야한다. o ( 불필요한프로그램삭제 ) 메신저, 원격제어프로그램등불필요한프로그램을사용할수없다

11 o ( 백신프로그램설치 ) 백신프로그램을한개이상설치해야한다. o ( 백신프로그램의최신업데이트 ) 백신프로그램은최신업데이트를주기적으로수행하여최신버전으로유지해야한다. o ( 최신패치적용 ) 시스템에설치된소프트웨어버전을최신버전으로유지해야한다. o (USB 등의미디어자동실행차단 ) USB 등의미디어가자동으로실행되지않도록설정해야한다. o ( 화면보호기설정 ) 시스템에화면보호기를설정해야한다. o ( 윈도우이벤트로그및리눅스로그설정여부 ) 시스템로그는최소 6개월이상로그를기록하도록설정해야한다. 3.3 보안업데이트체계 o ( 보안업데이트무결성검증 ) 실행파일, 비실행파일, 업데이트정책파일등업데이트관련파일무결성을검증해야한다. o ( 안전한무결성검증기술사용 ) 무결성검증시 CRC 등우회가가능한방법을사용해서는안된다. o ( 보안업데이트서버 IP, URL 변조확인 ) 공격자가업데이트설정파일등의서버주소변조를대비하여변조여부를확인해야한다. o ( 업데이트클라이언트, 서버간상호인증 ) 위장업데이트서버를구축할경우정상업데이트서버로오인하여업데이트가수행할수있기때문에상호인증을수행해야한다. o ( 클라이언트원격업데이트포트상시오픈제한 ) 클라이언트의업데이트포트가상시로오픈되어있어서는안된다

12 o ( 안전한암호화알고리즘및키관리 ) 보안업데이트관련파일보호에적용한암호화시취약한알고리즘을사용하면안된다. o ( 안전한보안업데이트업로드소프트웨어계정사용 ) 업데이트파일업로드및파일동기화소프트웨어의불필요한계정은제거해야하며, 안전한패스워드를사용해야한다. o ( 보안업데이트파일업로드시사용자인증 ) 보안업데이트파일업로드시신뢰된사용자만업로드할수있도록인증방식이구현되어있어야한다. o ( 보안업데이트파일업로드전관리자승인실시 ) 관리자가승인한후에만보안업데이트파일을업로드할수있도록하는승인절차가존재해야한다. o ( 보안업데이트업로드소프트웨어 ID, 패스워드암호화전송 ) 보안업데이트파일업로드소프트웨어의 ID, 패스워드전송시암호화를해야한다. o ( 보안업데이트업로드소프트웨어접근통제설정 ) 보안업데이트파일업로드소프트웨어에대한접근통제를수행해야한다. o ( 보안업데이트관련관리자지정 ) 보안업데이트파일을업로드하는관리자를별도로지정해야한다. o ( 보안업데이트파일코드서명 ) 실행파일, 비실행파일등업데이트관련파일의코드서명을수행해야한다. o ( 보안업데이트파일의인증서상태 ( 유효기간, 인증경로, 해지여부등 ) 검사 ) 코드서명에사용한인증서유효기간만료여부등을확인해야한다. o ( 코드서명생성서버와업데이트서버분리사용 ) 코드서명은업데이트서버가아닌별도의시스템에서수행해야한다

13 3.4 침해사고발생시사고대응체계 o ( 인증서폐기절차마련 ) 인증서유출또는위험발생을대비하여인증서폐기절차에대한지침을마련해야한다. o ( 비상연락망구축 ) 사고발생시대응연락망을구축하여신속한대응이가능하도록해야한다. o ( 로그관리 ) 서명작업시스템및인증서관리시스템로그는 6개월이상보관해야한다

14 제 4 장코드서명인증서 보안가이드항목해설서

제 4 장코드서명인증서관리보안가이드항목해설서 인증서관리 1 서명작업을수행하는시스템및인증서관리시스템은일반업무 PC와혼용하여사용할수없다. 2 서명작업을수행하는시스템은망분리가이루어져야하며, 타임스탬프포트를제외한모든포트를차단해야한다. 서명작업에사용되는인증서는외부로유출되어서는안되며, 외부에서접근하지못하도록관리해야한다.

15 제 4 장코드서명인증서관리보안가이드항목해설서 인증서관리 1 서명작업을수행하는시스템및인증서관리시스템은일반업무 PC와혼용하여사용할수없다. 2 서명작업을수행하는시스템은망분리가이루어져야하며, 타임스탬프포트를제외한모든포트를차단해야한다. 서명작업에사용되는인증서는외부로유출되어서는안되며, 외부에서접근하지못하도록관리해야한다. 이를위해서명작업을수행하는시스템은개발용 PC, 인터넷용 ( 업무용 ) PC와는별도의네트워크망에구축되어야한다. 하지만, 코드서명작업시필요한타임스탬프정보를위해인터넷에연결하거나, 업무용 PC에인증서를저장하여사용하는경우가있다. 이렇게망을혼용함으로인해외부에서접근이가능할경우, 내부자원을유출하는악성코드감염등위험이높아질수있다. < 그림 4-1> 인증서서명작업시스템의별도망구성 이에서명작업을수행하기위한인증서를보관함에있어업무용, 인터넷용 PC 를별도의 네트워크망에연결하고타임스탬프포트를제외한모든포트를차단하도록해야한다

3 서명작업을수행하는시스템은지정된관리자외접근을차단해야한다. 4 인증서에는관리자혹은관리자가지정한사람만접근가능해야하며, 인증서복사 변경 삭제등의작업수행전관리자승인이있어야한다. 5 인증서는별도의안전한매체에저장해야하며, 매체접근시패스워드를요구해야한다. 또한지정된매체외에보관된인증서는삭제해야한다.

16 3 서명작업을수행하는시스템은지정된관리자외접근을차단해야한다. 4 인증서에는관리자혹은관리자가지정한사람만접근가능해야하며, 인증서복사 변경 삭제등의작업수행전관리자승인이있어야한다. 5 인증서는별도의안전한매체에저장해야하며, 매체접근시패스워드를요구해야한다. 또한지정된매체외에보관된인증서는삭제해야한다. 일부업체에서는관리편의를위해개발자들개개인이인증서를가지고있거나필요시마다 USB에무분별하게인증서를복사하여서명을하는경우가존재한다. 안전한인증서보관방법과접근통제를수행하지않으면침해사고가발생할경우, 인증서유출여부를명확하게인지할수없다. 따라서인증서는관리자또는관리자가지정한사람만접근가능해야하며, 매체에보관시패스워드나지문을인식하는등보안설정이가능한매체에보관해야한다. < 그림 4-2> 익명사용자가해당시스템에접근가능하도록설정되어있는경우 6 패스워드는분기별 1회이상변경해야한다. 또한, 패스워드변경이력을기록해야한다. 7 패스워드는숫자, 대소문자, 특수문자를포함하여 2조합 10자이상또는 3조합 8글자이상으로구성해야한다. 코드서명시사용하는패스워드는외부유출에대비하여주기적인관리가필요하다. 관리자는패스워드가악성코드에의해타인에게알려진사실을인지하지못하더라도분기별로패스워드를변경하게되면, 유출된패스워드에의해지속적으로악용되는상황을피할수있다. 이에패스워드는분기별로변경해야하며, 변경이력을기록해관리해야한다. 패스워드복잡도는다음과같은구성으로어려운패스워드를사용하도록한다

< 그림 4-3> 패스워드복잡도설정방법 8 코드서명을위해인증서사용시작업일지를기록해야하고, 관리자의승인을 받아야한다. 9 관리자는주 1 회이상작업일지의이상유무를검토해야한다. 코드서명관리자또는관리자의승인을받은사람은코드서명시작업일지를기록해서명작업이력을남겨놓아야한다. 작업일지는관리자가주기적으로검토하여승인받지않은사용내역을검토해야한다.

17 < 그림 4-3> 패스워드복잡도설정방법 8 코드서명을위해인증서사용시작업일지를기록해야하고, 관리자의승인을 받아야한다. 9 관리자는주 1 회이상작업일지의이상유무를검토해야한다. 코드서명관리자또는관리자의승인을받은사람은코드서명시작업일지를기록해서명작업이력을남겨놓아야한다. 작업일지는관리자가주기적으로검토하여승인받지않은사용내역을검토해야한다. 이러한승인절차및이상유무검토는사고발생시이상사항을적발하는데도움이될수있다. 10 서명작업시스템과인증서관리시스템에대해반기별 1 회이상자체적으로취약점 점검을수행해야한다. 인증서관리시스템은폐쇄망에서운영하지않을경우, 외부에서서버취약점을통해침투할가능성이존재한다. 또한, 분리된망에서운영하더라도악성코드가취약점을악용한 2차침투가발생할수있기때문에개발사는서명작업시스템과인증서관리시스템에대해자체적으로보안성검토를수행해야한다. 자체적으로보안성검토가어려운경우, 외부컨설팅을받을때해당시스템들도포함시켜점검을받도록해야한다

이에 ID/ 패스워드의경우설정없이접속할수없도록기본설정으로하여야한다. 그리고아래그림과같이 2조합 10글자또는 3조합 8글자길이의패스워드를설정하여야한다.

18 인증서관리시스템 1 시스템계정의패스워드는 2조합 10글자또는 3조합 8글자이상으로설정해야한다. 2 시스템의패스워드복잡도 (2조합 10글자또는 3조합 8글자 ) 정책을설정해야한다. 3 패스워드는분기별 1회이상변경해야한다. 4 시스템계정은자동로그인으로설정해서는안된다. 시스템계정설정시 ID/ 패스워드를 admin/admin 또는패스워드가 등과같이유추하기쉽게설정되어있는상태는암호화설정을하지않은보안수준에해당한다. 이에 ID/ 패스워드의경우설정없이접속할수없도록기본설정으로하여야한다. 그리고아래그림과같이 2조합 10글자또는 3조합 8글자길이의패스워드를설정하여야한다. 또한시스템계정의패스워드는최소분기별 1회이상변경하여, 기존담당자의이직 / 퇴사등패스워드가알려졌을경우에대한대책을마련해야한다. 관리할시스템이많을경우관리편의성을위해관리페이지나시스템에접속하는계정에대해자동로그인설정을하는경우가많다. 이는 ID/ 패스워드를설정하지않은것과같으므로자동로그인기능이있다하더라도반드시자동로그인설정을해지해야한다. < 그림 4-4> 패스워드정책설정 < 그림 4-5> 자동로그인으로설정되어있는경우

5 임시로생성한계정등의불필요한계정은제거하고, 실제사용하는계정만남겨둬야한다. 6 관리자가사용하는계정은다른직원과공용으로사용되어서는안된다. 7 관리자계정은실제사용하는계정만설정하여최소한으로사용해야한다. 특정작업을위해계정을임시로생성하였으나, 작업후계정을삭제하지않아관리되지않는경우가발생할수있다.

19 5 임시로생성한계정등의불필요한계정은제거하고, 실제사용하는계정만남겨둬야한다. 6 관리자가사용하는계정은다른직원과공용으로사용되어서는안된다. 7 관리자계정은실제사용하는계정만설정하여최소한으로사용해야한다. 특정작업을위해계정을임시로생성하였으나, 작업후계정을삭제하지않아관리되지않는경우가발생할수있다. 이런불필요한계정은공격자에의해악용될가능성이있기에실제사용하는계정만남겨두어야한다. 그리고사용용도에따라계정의권한을최소한만으로설정해야하며, 하나의계정에모든권한을부여해서는안된다. 모든권한을갖고있는관리자계정에대해서는별도관리를해야하며, 최소한으로사용해야한다. < 그림 4-6> 특정서비스가 root( 관리자계정 ) 으로실행되고있는경우 8 관리시스템은외부인터넷접속을허용해서는안되며, 관리에필요한포트만 화이트리스트기반으로관리해야한다. 9 시스템내공유폴더를생성해서는안된다. 인증서를관리하는시스템은외부에노출되어서는안되며, 외부에서접근하지못하도록관리해야한다. 관리시스템을통해외부인터넷접속을할경우, 악성코드에감염될가능성이더욱높아지며인증서유출위협이증가하게된다. 또한, 관리의편의를위해시스템내공유폴더를생성하여사용하거나외부인터넷접속이가능한시스템을사용할경우악성코드에감염되는등의위협이존재할수있다. 따라서시스템관리를위해업데이트등필요한포트만화이트리스트기반으로접근통제하여안전하게관리하도록해야한다

20 < 그림 4-7> 외부접속 PC 악성코드감염후, 내부 PC 로의 2 차감염사례 < 그림 4-8> 네트워크및공유센터에서파일 / 공용폴더공유끄기 10 시스템내모든불필요한서비스는제거해야한다. 11 메신저, 원격제어프로그램등불필요한프로그램을사용할수없다. 시스템사용용도와상관없는불필요한서비스, 편의성을위한메신저, 원격제어프로그램등불필요한프로그램을사용하게되면다른보안설정이잘갖춰져있다하더라도악성코드에감염되어인증서가유출될위협이증가하게된다. 불필요한서비스나프로그램은공격자의입장에서공격을시도할수있는수단과방법이늘어나게되는것과같으므로삭제, 제거해야한다

12 백신프로그램을한개이상설치해야한다. 13 백신프로그램은최신업데이트를주기적으로수행하여최신버전으로유지해야한다. 14 시스템에설치된소프트웨어버전을최신버전으로유지해야한다. 백신프로그램은시스템을보호할수있는최소한의예방수단이다. 백신프로그램을설치하지않으면악성코드위협에무방비로노출되어악성코드감염이쉽게발생할수있다.

21 12 백신프로그램을한개이상설치해야한다. 13 백신프로그램은최신업데이트를주기적으로수행하여최신버전으로유지해야한다. 14 시스템에설치된소프트웨어버전을최신버전으로유지해야한다. 백신프로그램은시스템을보호할수있는최소한의예방수단이다. 백신프로그램을설치하지않으면악성코드위협에무방비로노출되어악성코드감염이쉽게발생할수있다. 그러므로악성코드감염을기본적으로대비하기위해한개이상의백신프로그램설치는필수이며, 주기적으로업데이트하여신규악성코드에대한대비를해야한다. 또한, 시스템에설치되어있는소프트웨어를주기적으로업데이트하여해당소프트웨어의버전을항상최신버전으로유지해야한다. 소프트웨어버전을최신버전으로유지함으로써해당소프트웨어의알려진취약점을이용한공격에예방할수있다. 15 USB 등미디어가자동으로실행되지않도록설정해야한다. USB와같은외부저장매체는인터넷, 이메일과마찬가지로공격자입장에서내부망공격에유용한접근경로가될수있다. 내부망침해를목적으로제작된악성코드를외부저장매체에담아사회공학적기법등을통해악성코드가담겨져있는 USB 사용을유도할수있다. 이러한위협을예방하기위해, USB 자동실행을허용하지않도록설정해야한다. < 그림 4-9> 자동실행방지

이를예방하기위해시스템에화면보호기를설정하여다시로그인시도절차를진행하도록해야한다. < 그림 4-10> 화면보호기설정 17 시스템로그는최소 6 개월이상로그를기록하도록설정해야한다.

22 16 시스템에화면보호기를설정해야한다. 시스템관리권한을가진사용자가작업중에잠시동안자리를비운경우, 화면보호기를설정해놓지않으면권한을갖고있지않은비인가사용자가시스템관리권한을갖게되는경우가발생할수있다. 이를예방하기위해시스템에화면보호기를설정하여다시로그인시도절차를진행하도록해야한다. < 그림 4-10> 화면보호기설정 17 시스템로그는최소 6 개월이상로그를기록하도록설정해야한다. 침해사고가발생한경우, 정확한사고분석을위해반드시필요한시스템로그는최소 6개월이상기록하고보관해야한다. 정확한사고분석이이루어지지않으면, 어떻게공격이이루어졌는지, 어떠한정보가유출됐는지파악하기어려워지게된다. 시스템로그를활용한사고분석을통해어떻게공격이이루어졌는지파악하고사고재발방지를위해시스템로그기록을유지해야한다. < 그림 4-11> 시스템로그보관기간설정

보안업데이트체계 1 실행파일, 비실행파일, 업데이트정책파일등업데이트관련파일의무결성을검증해야한다. 2 무결성검증시 CRC 등우회가가능한방법을사용해서는안된다. 3 공격자가업데이트설정파일등서버주소변조를대비하여변조여부를확인해야한다. 4 위장업데이트서버를구축할경우정상업데이트서버로오인하여업데이트가수행되기때문에상호인증을수행해야한다.

23 보안업데이트체계 1 실행파일, 비실행파일, 업데이트정책파일등업데이트관련파일의무결성을검증해야한다. 2 무결성검증시 CRC 등우회가가능한방법을사용해서는안된다. 3 공격자가업데이트설정파일등서버주소변조를대비하여변조여부를확인해야한다. 4 위장업데이트서버를구축할경우정상업데이트서버로오인하여업데이트가수행되기때문에상호인증을수행해야한다. 기능추가, 취약점보완등을통한업데이트시파일무결성검증을통해, 인가되지않은제 3자에의하여수정또는삭제되는것을방지해야한다. 무결성검증시사용되는알고리즘은 SHA-2 와같은안전한검증기법을사용하는것이좋다. < 그림 4-12> 각해시알고리즘특징 지난 3.20 사이버테러사건과같이 APT 공격에의해업데이트서버가악성코드유포지로악용되는것을방지하기위해업데이트서버주소가변조되어있는지변조여부를확인해야한다. 또한, 공격자가위장업데이트서버를구축하여악성코드를유포할가능성이있기때문에, 클라이언트와정상업데이트서버간상호인증을수행해야한다. 5 클라이언트의업데이트포트가상시로오픈되어있어서는안된다. 불필요한포트오픈은공격자입장에서공격을시도할수있는수단과방법이늘어나게 되는것과같다. 업데이트는자주이루어지는작업이아니기때문에, 필요할때만포트를 오픈하며업데이트를하지않을때는포트를닫아두는것이안전하다

< 그림 4-13> 불필요한포트가오픈된상태 6 보안업데이트관련파일보호에적용한암호화시취약한알고리즘을사용하면 안된다. 소프트웨어를최신버전으로업데이트하는것처럼, 업데이트파일암호화시취약한 알고리즘을사용할경우키가유출될위협이있다. 따라서안전한알고리즘 ( 비대칭키등 ) 을 사용하여암호화를수행해야한다.

24 < 그림 4-13> 불필요한포트가오픈된상태 6 보안업데이트관련파일보호에적용한암호화시취약한알고리즘을사용하면 안된다. 소프트웨어를최신버전으로업데이트하는것처럼, 업데이트파일암호화시취약한 알고리즘을사용할경우키가유출될위협이있다. 따라서안전한알고리즘 ( 비대칭키등 ) 을 사용하여암호화를수행해야한다. 7 업데이트파일업로드소프트웨어및파일동기화소프트웨어의불필요한계정은 제거해야하며, 안전한패스워드를사용해야한다. 불필요한계정이많으면많을수록공격자의수단과방법이늘어나게되는것과같기 때문에실제사용하는계정만남겨두어야한다. 또한앞에서설명했던것처럼 2 조합 10 글자또는 3 조합 8 글자길이의패스워드를설정하여야한다

25 8 보안업데이트파일업로드시신뢰된사용자만업로드할수있도록인증방식이구현되어있어야한다. 9 관리자가승인한이후에보안업데이트파일을업로드할수있도록하는승인절차가존재해야한다. 10 보안업데이트파일소프트웨어의 ID/ 패스워드에대한전송시암호화를해야한다. 11 보안업데이트파일업로드소프트웨어에대한접근통제를수행해야한다. 12 보안업데이트파일을업로드하는관리자를별도로지정해야한다. 보안업데이트파일을업로드할때에는인가된사용자만업로드할수있도록조치해야한다. 비인가된사용자가보안업데이트파일을악성코드삽입하여업로드하게될경우, 업데이트체계가악성코드유포지로악용될위협이있다. 그러므로신뢰된사용자만업로드할수있도록인증방식을구현해야한다. 사용자에대한인증을제공할때에는아래와같이각유형의인증방법을 2개이상결합하여 Multi-Factor 인증으로제공해야안전하다. 이때, 같은유형 (ex: Type1 + Type1) 의인증으로 2개이상결합하면약간의안전성을보장받을수있지만, 다른유형 (ex : Type1 + Type 3) 의인증결합방식보다는안전성이떨어진다. 또한, 신뢰된사용자라하더라도관리자승인절차를마련하여, 신뢰된사용자의실수혹은변심에따른악성코드유포에대한대비를마련해야한다. < 그림 4-14> 각유형별인증수단 유형 Type 1 ( 지식기반 ) Type 2 ( 소유기반 ) Type 3 ( 신체기반 ) 인증수단 PIN, ID, 패스워드, 계좌번호등 IC 카드, 토큰, 디지털인증서, 인증디바이스지문, 홍채, 망막, 정맥, 얼굴 보안업데이트소프트웨어에로그인, 패스워드변경등 ID/ 패스워드인증절차가있을 때암호화를하고전송해야한다. 평문으로전송될경우계정정보가유출되어비인가 된사용자가권한탈취, 악성코드유포지로활용할위협이있다

26 < 그림 4-15> ID/ 패스워드를평문으로전송하는경우 보안업데이트소프트웨어를이용할때는사용자그룹 ( 업무단위등 ) 마다사용권한을세분화하여지정하며관리자를별도지정해야한다. 여기서중요한점은부여하는사용권한을최소한으로해야한다는것이다. 예를들어, 보안업데이트소프트웨어에접근하여읽기 쓰기 업데이트실행권한등과같이권한설정을세분화한다면위험을더욱줄일수있다. 접근권한은이직 / 퇴사또는인사이동등에의한사용자의담당업무변경에따른규정이정해져있는것이중요하다. 13 실행파일, 비실행파일등업데이트관련파일의코드서명을수행해야한다. 14 코드서명에사용한인증서의유효기간만료여부등을확인해야한다. 업데이트에대한파일에도마찬가지로코드서명절차를수행해야한다. 코드서명을통해클라이언트측에서안심하고업데이트를진행할수있도록인증역할을부여해줘야한다. 코드서명에사용되는인증서의유효기간을사전에파악, 유효기간이만료된인증서로코드서명이이루어지는일이없도록해야한다. 15 코드서명은업데이트서버가아닌별도의시스템에서수행해야한다. 일부업체에서는편의를위해서버를용도별로구분하여사용하지않고, 하나의서버에업데이트와코드서명을같이진행하고있다. 이러한경우, 악성코드에감염되었을경우피해가더욱커질위협이있다. 따라서업데이트서버와코드서명을진행하는시스템을별도로구분하여관리 운영해야한다

27 침해사고발생시사고대응체계 1 인증서유출또는위험발생을대비하여인증서폐기절차에대한지침을마련해야한다. 2 사고발생시대응연락망을구축하여신속한대응이가능하도록해야한다. 인증서가유출되었을경우, 즉시인증서를폐기하고인증서재발급절차를진행한다. 배포된소프트웨어를재발급한인증서로코드서명하여재배포하는등인증서관련된침해사고발생시사고대응체계수립이필요하다. 인증서폐기절차에대한지침을마련하여인증서로코드서명한악성코드대응이늦어지지않도록해야한다. 또한사고발생시비상대응연락망을구축하여신속한대응이가능하도록해야한다. < 그림 4-16> 사고발생시비상대응연락망예시

28 3 서명작업시스템및인증서관리시스템로그는 6 개월이상보관해야한다. 침해사고발생시가장먼저해야할일과, 가장중요한일은로그분석이다. 로그가없으면원인규명및공격자식별이불가능하다. 그렇기때문에로그관리가무엇보다중요하다. 따라서발생한보안이벤트들의상황및피해여부등의로그를기록하고안전한곳에보관해야한다. 이를통해해당환경의취약점을파악할수있고, 사고로그를통하여사고발생시점이후사건의추적성을확보할수있다. 또한, 유사한사례가발생하였을경우사고로그관리를통하여악의적인사용자의추적및대응에활용할수있다

제 1 장개요 1 1. 배경 2 2. 가이드목적및구성 4 제 2 장중앙관리소프트웨어악용사례 5 제 3 장중앙관리소프트웨어보안가이드 9 1. 중앙관리소프트웨어보안체계 9 2. 관리프로그램보안 중앙관리소프트웨어운영보안 11 제 4 장중앙관리소프트웨어보안가이드항목

중앙관리소프트웨어 보안가이드 2016. 11 제 1 장개요 1 1. 배경 2 2. 가이드목적및구성 4 제 2 장중앙관리소프트웨어악용사례 5 제 3 장중앙관리소프트웨어보안가이드 9 1. 중앙관리소프트웨어보안체계 9 2. 관리프로그램보안 10 3. 중앙관리소프트웨어운영보안 11 제 4 장중앙관리소프트웨어보안가이드항목해설서 14 제 1 장 개요 제 1 장개요 1.1