PowerPoint 프레젠테이션

Size: px

Start display at page:

Download "PowerPoint 프레젠테이션"

준면 노
6 years ago
Views:

1 개요 APT 공격의시대 2000년대에들어서며점점조직화되고지능화되는 기획해킹 의형태를띄는보안사고가증가하고있습니다. 기획해킹 을주도하는해커들은다양한네트워크기반보안솔루션을우회하여침투하는 APT 공격기법을활용하고있기때문에현재주류를이루고있는네트워크기반보안솔루션으로는방어가매우어렵습니다.

.. ➊ 침투 ➌ 유출 Malware ➋ 수집 ➎ 파괴 APT 공격은네트워크보안솔루션을우회하기위해주로소셜엔지니어링공격을통해 1차침투한뒤 Zero- Day공격, Sinffing, Password 공격, 키보드로깅, 원격제어등의공격기술을활용해공격대상업무용컴퓨터및서버에 2차침투를시도합니다.

2 1 개요 APT 공격의시대 2000년대에들어서며점점조직화되고지능화되는 기획해킹 의형태를띄는보안사고가증가하고있습니다. 기획해킹 을주도하는해커들은다양한네트워크기반보안솔루션을우회하여침투하는 APT 공격기법을활용하고있기때문에현재주류를이루고있는네트워크기반보안솔루션으로는방어가매우어렵습니다. APT 공격과정 Malware ➋ 수집 ➎ 파괴 Internet LAN ➎ 파괴 ➊ 침투 ➌ 유출 FW,IPS,... ➊ 침투 ➌ 유출 Malware ➋ 수집 ➎ 파괴 APT 공격은네트워크보안솔루션을우회하기위해주로소셜엔지니어링공격을통해 1차침투한뒤 Zero- Day공격, Sinffing, Password 공격, 키보드로깅, 원격제어등의공격기술을활용해공격대상업무용컴퓨터및서버에 2차침투를시도합니다. 이 1차및 2차침투를차단하기위해다양한네트워크보안솔루션, 망분리등여러보호대책을수립하고시행하고있지만완벽한대책은현재로서는없는것이현실입니다. 서버운영체제는특히 APT 공격에취약 Windows 와 Unix, Linux 서버운영체제는해킹에무척취약한운영체제로알려져있습니다. 서버운영체제의취약성은서버에접근할수있는단하나의개인용컴퓨터를장악할수있다면얼마든지서버에침투하여해킹을시도할수있다는것을의미합니다. 서버운영체제자체의보안강화필요성대량의정보가저장되고가공되는시스템은대부분 서버 입니다. 하지만보호대책은네트워크에집중되어있어이를우회하는 APT 공격과내부자에의한정보유출의위협에노출되어있습니다. 이러한 APT 공격과내부자에의한보안사고의위험을제거하기위해서는서버에대한접속과서버내부에서의위협행위에대한보호대책을수립하여야합니다. 1

3 2 서버보안강화의필요성 해킹패러다임의변화 2011년발생한농협전산망해킹사고는 APT 공격이서버에얼마나큰피해를초래할수있는지를보여준사례입니다. 그후 2013년공중파방송사와농협을비롯한일부금융기관해킹사고 ( 일명 320사태 ), 2014년의신용카드 3사의초대형개인정보유출사고등은공격의주체와목적이단순한외부자의과시목적의해킹에서뚜렷한목표를가진내부접근권한을가진사용자및외부자로변화하고있다는것을암시합니다. 사고사례 1. N 은행 270 여대서버의장애유발사고 2011년발생한 N은행보안사고는 N은행에출입하는엔지니어의노트북에원격제어가가능한악성코드가설치되면서시작된것으로보입니다. 악성코드는노트북에서키로깅, 서버정보가담긴파일의유출등을통해해커가 N 은행의서버현황과노트북에서서버의명령어를실행할수있는시스템관리SW의사용법등을수집하여해커에게전송합니다. 해킹세력 3 키로깅통해농협서버비밀번호확보. 서버파괴위한악성코드 81 개이상심음 년 9 월 4 일웹하드접속했다가악성코드감염돼좀비 PC 가됨 년 9 월악성코드유포 한국 IBM 직원노트북 년 4 월 12 일공격감행 1 차공격 농협서버 587 대중 273 대파괴 자동으로순차적으로공격하도록설계 2 차공격 해커는서버에직접접속 (Telnet,SSH 등 ) 하거나 IBM 의시스템통합관리소프트웨어를이용해 DISK 를 파괴할수있는유닉스명령어인 dd 를 270 여대의서버에동시다발적으로전파및실행시켜 Unix 서버의 디스크를파괴한사건입니다. 이사고로인해 N 은행은인터넷뱅킹및 ATM 및창구업무가수일간모두마비되어막대한손실을입은 것으로알려졌습니다. 2

하지만그과정에서버가매우중요한역할을하였다는점에서서버의보안이중요하다는점을보여줍니다.

20 방송 금융권전산장애 악성코드제작특정소프트웨어업데이트악성코드감염 특정소프트웨어업데이트서버 명령서버접속 사전명령

해커는최종공격목표인개인업무용컴퓨터에대한공격거점으로백신의업데이트서버를활용했습니다.

4 2 서버보안강화의필요성 사고사례 사태 2013 년발생한 320 방송및금융권전산장애는 N 은행해킹과는달리공격대상이 PC 라는점이다릅니다. 하지만그과정에서버가매우중요한역할을하였다는점에서서버의보안이중요하다는점을보여줍니다. 방송 금융권전산장애와디도스 (DDoS) 공격차이 3.20 방송 금융권전산장애 악성코드제작특정소프트웨어업데이트악성코드감염 특정소프트웨어업데이트서버 명령서버접속 사전명령 악성코드파괴활동 공격자 ( 해커 ) 명령서버피해업체 PC 주요정보유출 해커는최종공격목표인개인업무용컴퓨터에대한공격거점으로백신의업데이트서버를활용했습니다. 백신업데이트서버에침투하여백신관리서버가수백대의 PC에설치된백신을업데이트하기위해배포하는파일 ( 예 :update.exe) 명으로위장한공격프로그램을바꿔치기하였습니다. 결국수백대의 PC에 PC의파일들과디스크의 MBR을파괴하는공격프로그램이배포되었고백신이설치된 PC들은수일간업무를수행하지못하는피해를입었습니다. 사고사례 3. 신용카드 3 사개인정보유출사태 2014 년 1 월, 신용카드 3 사에서 1 억건이넘는개인정보가유출되는사고가발생했음이경찰수사에서 밝혀졌습니다. 범인은신용카드사에 신용카드부정사용적발시스템 을개발하던 KCB 의개발자였습니다. 카드사데이터센터 VAN 사업자 카드사 DB 서버 ➊ 신용카드부정사용적발시스템개발 KCB 개발자 3

5 2 서버보안강화의필요성 이개발자는 3 개카드사의서버에개발업무를이유로접근권한을부여받았고금전을목적으로서버에서 카드사고객의개인정보와금융거래정보까지를포함하고있는파일을다운로드받아유출시켰습니다. 이 사고는서버의접근권한을부여받은내부자혹은외부자에의한전형적인정보유출사고입니다. APT 공격에악용되는주요취약점 앞에서살펴본몇몇사고사례를분석해보면최근발생한대형보안사고의주요공격포인트가되는서버의 취약성을확인할수있습니다. 1 지식기반사용자인증의한계 운영체제에서지원하는 ID/Password 기반의사용자인증은이제더이상인증수단이라고할수없는상황에직면하였습니다. ID와패스워드가탈취될경우서버는무방비상태에놓이게됩니다. 2차인증을통해서버의계정으로접속한실사용자의식별과접속기록을서버가아닌다른감사시스템에보관하여야합니다. 2 다수의개발자 / 운영자가공용계정을함께사용 서버및시스템에는계정 (Account) 가존재하는데대부분공용계정을다수의개발자와관리자가 함께사용합니다. 이는서버에접속한개발자 / 관리자에게익명성을제공해주기때문에서버에 접속권한이있을경우작은유혹에도범죄자로변신할수있는계기가되곤합니다. 3 운영체제및주요정보파일에대한접근통제불가능 서버에존재하는 Super User 계정은모든파일에대해접근이가능합니다. 이는보안의관점에서매우취약성을드러냅니다. 하지만기존의어떠한보안솔루션도 Super User의권한을제한하지못합니다. 또한중요한개인정보혹은기밀정보가포함된파일에대해서비스를수행하는공용계정에서도접근및다운로드가가능합니다. 서버에접속권한을갖고있는개발자나서비스운영자그리고심지어야간운영을담당하는 OP들도접근및다운로드가가능한취약성이존재합니다. 4 중앙집중관리솔루션의보안취약성 N 은행과 320사태에서보듯해커의공격대상이상용솔루션까지확대되는경향을보입니다. 특히서버내에서 Super User의권한으로실행되는서버성능 / 장애모니터링솔루션, 배치작업관리솔루션, 백신및패치관리솔루션등은각각의관리서버가장악될경우하위에연결된수많은서버나업무용PC가동시다발적으로공격을받을가능성이높습니다. 4

6 2 서버보안강화의필요성 5 접속자행위추적불가능 서버에접속한개발자 / 운영자및외부엔지니어가수행한작업내용에대해감사로그증적이 불가능합니다. 6 운영체제의근본적인취약성 Unix 및 Windows 서버는근본적으로제거할수없는보안취약성을갖고있습니다. Unix 및리눅스운영체제의 Buffer Overflow, Symbolic Link, Queue, Setuid 취약성은물론이고 Windows 운영체제의 PE파일, DLL, Netbios 및 Share 등은현재로서는제가불가능한취약성들을내포하고있습니다. 서버보안강화를위한정답은 RedCastle 점점지능화되어가고 Zero-Day 취약성을공격하는해커에게서효과적으로서버내부에서관리되는 정보를보호하기위해서는블랙리스트방식의탐지 ( 차단 ) 룰에기반하는보안솔루션만으로는효과를보기 어려운것이현실입니다. 그렇기때문에서버에접속하는시점에서이중인증및자연인인증을지원하고접속한뒤에도정책 (Policy) 기반의강력한명령어및파일에대한접근통제를수행하며로그인시점부터로그아웃시점까지의작업이력을완벽하게저장하여사후감사에대비할수있도록지원하는 RedCastle SecureOS가서버의보안강화를위한최선의선택이라고할수있습니다. 5

3 RedCastle Secure-OS 개요 RedCastle Secure-OS는기존의침입탐지 ( 차단 )

또한기존의네트워크기반서버접근제어 (SAC) 솔루션의우회접속제어문제및미흡한명령어및파일접근통제에대한가장훌륭한해결방안이될것입니다.

RedCastle의참조모니터는운영체제의커널에동적으로로딩되는커널모듈 (DLKM : Dynamic Loadable Kernel Module)

RedCastle의보안커널은서버운영체제내에서사용자계정및애플리케이션과서비스대몬의자원 ( 파일, 프로세스, 계정등 )

RedCastle의보안커널은차단정책과허용정책을모두설정할수있으며접속 IP 및경유프로그램과정책의적용시간등을세부적으로적용할수있기때문에다음과같은정책을마법사

10 IP 에서 taeho 계정으로접속한뒤 root 로 su하였을때만실행을허용하고나머지모든접근은거부하며허용과위반감사로그를모두기록한다

7 3 RedCastle Secure-OS 개요 RedCastle Secure-OS는기존의침입탐지 ( 차단 ) 시스템이갖는패킷분석기반의공격탐지라는한계를극복할수있는최적의대안입니다. 또한기존의네트워크기반서버접근제어 (SAC) 솔루션의우회접속제어문제및미흡한명령어및파일접근통제에대한가장훌륭한해결방안이될것입니다. RedCastle의기반기술 RedCastle은운영체제의커널수준에서구현된참조모니터 (Reference Monitor) 를기반으로동작합니다. RedCastle의참조모니터는운영체제의커널에동적으로로딩되는커널모듈 (DLKM : Dynamic Loadable Kernel Module) 모듈로서보안커널이라고도불리웁니다. RedCastle의보안커널은서버운영체제내에서사용자계정및애플리케이션과서비스대몬의자원 ( 파일, 프로세스, 계정등 ) 접근에대한행위를모니터링하고보안정책과비교하여위반행위를탐지하고차단하는역할을수행합니다. RedCastle의보안커널은차단정책과허용정책을모두설정할수있으며접속 IP 및경유프로그램과정책의적용시간등을세부적으로적용할수있기때문에다음과같은정책을마법사 GUI를통해쉽게적용할수있습니다. 서버를셧다운하거나리부팅하는명령어 (shutdown, reboot, init, halt) 는 IP 에서 taeho 계정으로접속한뒤 root 로 su하였을때만실행을허용하고나머지모든접근은거부하며허용과위반감사로그를모두기록한다 보안정책은누구나이해할수있는높은수준의문서로표현과구현이모두가능해야합니다. RedCastle의구성 RedCastle 은 Manager와 Agent로구성됩니다. 보안관리자는 RedCastle Manager를통해 RedCastle Agent에접속하게되며보안기능의구동과중지및보안설정의변경과보안정책의적용그리고감사로그모니터링을수행하게됩니다. RedCastle Agent 실시간모니터링 Linux RedCastle Manager 보안관리자 보안정책수립 / 적용 감사로그검색 RedCastle Agent Windows RedCastle Agent Unix 6

3 RedCastle Secure-OS 개요 1 RedCastle Manager RedCastle Manager는다수의서버에설치되어있는 RedCastle Agent에접속하여보안정책을수립하고적용하며보안정책에의해발생한접근통제감사로그를실시간으로모니터링하고조회하는기능을수행하는보안관리자용관리도구입니다.

8 3 RedCastle Secure-OS 개요 1 RedCastle Manager RedCastle Manager는다수의서버에설치되어있는 RedCastle Agent에접속하여보안정책을수립하고적용하며보안정책에의해발생한접근통제감사로그를실시간으로모니터링하고조회하는기능을수행하는보안관리자용관리도구입니다. 2 RedCastle RedCastle은실제보안기능이구현된보안커널을포함하는소프트웨어입니다. RedCastle Manager에서수립한보안정책을 RedCastle의보안커널에서적용하며차단되거나허용된접근에대한상세한감사로그를로그저장소에기록합니다. IBM AIX HP-UX RedCastle 의설치가가능한운영체제및버전 5.3, , 7.0, PA, PA/IA IA 참조모니터 (Reference Monitor) 의안정성 RedCastle은명령어및애플리케이션서버에서발생하는모든파일에대한접근 (r,w,x) 을예외없이모니터링하기위해커널모드에서동작하는참조모니터로구현되어있습니다. Solaris Linux Windows 8, 9 10 x86/sparc, 11 x86/sparc RedHat 4, 5, 6 Asianux 2, 3, 4, SU Linux 2003 / 2008 / bit / 64bit 운영체제마다해당운영체제의특성에맞게개발된 RedCastle 의보안커널은 10 여년이넘는개발 노하우와수많은고객사가말해주듯안정성과성능면에서충분히검증되었습니다. Reference Monitor (Security Kernel) packet filter (Firewall) PAM / CP (Login) User Process return Library open( ) fork( ) setuid( ) signal( ) exec( )... call 시스템콜테이블 시스템콜후킹모듈 return call 접근통제모듈 ac_open ac_signal ac_execve ac_setuid. ac_fork return call 운영체제시스템콜루틴 os_open os_signal os_execve os_setuid. os_fork return call Network Virtual Memory System Kernel Service (Timer...) Virtual Filesystem Process Mgmt (proc table...) Security Policy 7

9 4 RedCastle Secure-OS 의주요기능 RedCastle 의접근통제기능 RedCastle 의주요접근통제기능은서버접근통제와서버내부에서의행위통제로구분될수있습니다. 서버접근통제기능은서버방화벽, 로그인통제기능으로구분되며서버내부에서의행위통제는계정 통제, 파일접근통제, 파일무결성통제, 해킹방지기능등으로구성되어있습니다. 주요접근통제기능 구분주요기능설명 서버방화벽기능 (Server Firewall) IP/Port 에의한네트워크수준의접근통제기능 서버접근통제 로그인통제기능 Telnet, FTP, rlogin, ssh 등의운영체제로그인서비스에대해 IP/ 서비스 / 계정 / 계정그룹 / 시간등의조합에의해로그인을통제하는기능 AuthCastle 과연동할경우공인인증서 (PKI), OTP, ARS 등의 2 Factor/2 Channel 인증기능제공 계정통제 계정전환통제 권한위임통제 유닉스 / 리눅스계열운영체제에서 su 커맨드에의한계정전환통제 기타불법적인계정전환차단 ( 상태전이모델특허 ) 특정계정의권한을다른계정에서위임받아명령실행및파일접근을허용할수있도록통제 파일접근통제 명령어통제 파일접근통제 특정명령어에대해경유프로그램, 접속 IP/MAC, 시간에따라실행을통제 명령어객체명에와일드카드 ( * ) 사용지원 디스크에위치한파일에대해세부적인접근통제지원 ( 읽기 / 수정 / 삭제 / 생성등 ) 접속 IP/MAC, 시간, 경유프로그램에따라다른접근권한부여 파일의객체명에와일드카드 ( * ) 사용지원 파일무결성통제 파일무결성검증기능 SETUID 파일접근통제 잠재적위반분석기능 파일에대한주기적무결성검사 (Hash) * 유닉스 / 리눅스계열서버에서 setuid/setgid 파일에대해파일에변경이일어나면실행을차단함 동일한유형의위반이지속적으로발생할경우잠재적위반으로규정 ( 해당프로세스강제종료지원 ) 해킹방지 일반해킹방지기능 Symbolic Link / Hard Link 공격차단 FIFO 공격차단 CHROOT 공격차단 Sniffing 탐지 바인드 (Bind) 통제 불법적인통신포트 (TCP) Open 차단 8

4 RedCastle Secure-OS 의주요기능 RedCastle 의접근통제기능스크린샷 RedCastle Manager 메인화면

은접근통제기능이외에매우강력한감사기능을갖고있습니다. RedCastle 의감사기능은 터미널세션감사와접근통제감사로구분됩니다.

접속하여로그아웃시점까지의모든터미널입출력스트림을로깅하여필요시동영상형태로재현 Terminal Service (mstsc)

위반로그감사 허용로그감사 TTY 모니터링보다보안성이높고화면에보이지않게실행되는명령어에대해서도추적로그를기록 RedCastle 의정책

10 4 RedCastle Secure-OS 의주요기능 RedCastle 의접근통제기능스크린샷 RedCastle Manager 메인화면 사용자계정의그룹 / 등급관리 사용자계정별네트워크접근제어 파일접근통제정책관리 RedCastle 의 Audit 기능 RedCastle 은접근통제기능이외에매우강력한감사기능을갖고있습니다. RedCastle 의감사기능은 터미널세션감사와접근통제감사로구분됩니다. 주요감사기능 구분주요기능설명 터미널세션감사 TTY 모니터링 Telnet, SSH, rlogin 접속하여로그아웃시점까지의모든터미널입출력스트림을로깅하여필요시동영상형태로재현 Terminal Service (mstsc) 접속하여로그아웃시점까지의화면을 2~3 fram/sec 으로캡쳐하여필요시동영상형태로재현 접근통제감사 사용자추적 ( 커널기반 ) 위반로그감사 허용로그감사 TTY 모니터링보다보안성이높고화면에보이지않게실행되는명령어에대해서도추적로그를기록 RedCastle 의정책 (policy) 위반에대해감사로그를기록 ( 객체, 주체, 시간, 결과, 위반종류, IP, MAC 등 ) RedCastle 의정책에의해접근이허용된경우도감사로그기록 ( 객체, 주체, 시간, 결과, 위반종류, IP, MAC 등 ) 9

4 RedCastle Secure-OS 의주요기능 RedCastle 의 Audit

RedCastle은다수의서버를통합관리할수있는 RedCastle Manager를제공합니다.

11 4 RedCastle Secure-OS 의주요기능 RedCastle 의 Audit 기능스크린샷 telnet, ssh 접속자작업내역조회 ( 커널기반 ) telnet, ssh 접속자작업내역재현 (TTY 기반 ) 파일접근통제정책위반시발생하는감사로그 허용된접근에대한감사로그 RedCastle 의통합관리기능 RedCastle은다수의서버를통합관리할수있는 RedCastle Manager를제공합니다. RedCastle Manager는로그감사와정책관리기능을제공합니다. 실시간로그감사는 RedCastle Manager에서접속한서버에서발생하는보안이벤트를실시간으로모니터링합니다. 정책관리는다수의서버에존재하는계정에대한패스워드정책, 파일에대한접근통제정책, 서버접근제어정책등을수립하고배포및백업 / 복구할수있는기능을제공합니다. 10

4 RedCastle Secure-OS 의주요기능 통합관리기능 구분주요기능설명 로그통합관리 보안위반이벤트실시간모니터링 보안로그검색 운영체제로그백업및검색 RedCastle

운영체제의로그를유실및파괴에대비하여실시간으로백업하고검색하고조회 (syslog, wtmp, sulog, login history 등 ) 보안정책통합관리

등 ) 서버에적용된보안정책을주기적으로백업 ( 서버에지정된경로에시간별로백업 ) 서버에적용된보안정책을 RedCastle Manager 가설치된서버 /PC 에백업 RedCastle

12 4 RedCastle Secure-OS 의주요기능 통합관리기능 구분주요기능설명 로그통합관리 보안위반이벤트실시간모니터링 보안로그검색 운영체제로그백업및검색 RedCastle 에적용된보안정책에대한위반이벤트실시간모니터링 ( 발생지, 시간, 주체, 등급, 위반행위 ) RedCastle 이기록한보안로그를검색하고조회하며검색된로그를파일 (Excel) 로저장 운영체제의로그를유실및파괴에대비하여실시간으로백업하고검색하고조회 (syslog, wtmp, sulog, login history 등 ) 보안정책통합관리 보고서생성보안정책백업보안정책복구보안정책배포 Oz Report 를이용한서버단위로그통계및상세보고서출력기능 ( 파일저장기능포함, Excel, HTML, DOC, PPT, HWP, PDF 등 ) 서버에적용된보안정책을주기적으로백업 ( 서버에지정된경로에시간별로백업 ) 서버에적용된보안정책을 RedCastle Manager 가설치된서버 /PC 에백업 RedCastle Agent 의재설치및정책유실시백업된정책으로복구하여적용 동일한정책을적용할때다수의서버에배포 RedCastle 의보안설정을다수의서버에동시적용 RedCastle 통합관리기능스크린샷 감사로그실시간조회 조건에의한감사로그검색및검색된로그의파일저장기능 11

13 4 RedCastle Secure-OS 의주요기능 보안설정및정책배포 보안설정및정책의백업 / 복구 12

5 해킹방어사례 해커의 Rootkit 설치및공격도구실행차단사례 해커들은서버에침투하여관리자권한을얻게되면다음번침투를위해 Rootkit 등과같은백도어를 설치하려합니다. RedCastle 은 Baseline Security Policy 를통해정책기반으로루트킷설치를차단합니다.

14 5 해킹방어사례 해커의 Rootkit 설치및공격도구실행차단사례 해커들은서버에침투하여관리자권한을얻게되면다음번침투를위해 Rootkit 등과같은백도어를 설치하려합니다. RedCastle 은 Baseline Security Policy 를통해정책기반으로루트킷설치를차단합니다. 관리자권한 (root) 을얻은해커의루트킷설치시도를차단한실제사례 해커들은서버에침투하여관리자권한을얻게되면다음번침투를위해 Rootkit 등과같은백도어를 설치하려합니다. RedCastle 은 Baseline Security Policy 를통해정책기반으로루트킷설치를차단합니다. 관리자권한 (root) 을얻은해커의루트킷설치시도를차단한사례 13

관리자권한 (root) 을얻은해커의루트킷설치시도를차단한사례서버에침투한해커들은매우다양한취약점공격을통해운영체제의무결성을공격하지만

15 5 해킹방어사례 해커들은서버에침투하여관리자권한을얻게되면다음번침투를위해 Rootkit 등과같은백도어를 설치하려합니다. RedCastle 은 Baseline Security Policy 를통해정책기반으로루트킷설치를차단합니다. 관리자권한 (root) 을얻은해커의루트킷설치시도를차단한사례서버에침투한해커들은매우다양한취약점공격을통해운영체제의무결성을공격하지만 RedCastle의보안정책은커널수준에서동작하기때문에취약점의종류에관계없이운영체제에대한무결성에대한공격을방어할수있습니다. 해커들은그외에도운영체제임시디렉토리에서의공격작업과기타서비스거부공격 (DOS) 를시도하지만 RedCastle 은이러한공격을효과적으로차단할수있습니다. 공격도구실행차단및웹서비스중지 DOS 공격차단사례 14

5 해킹방어사례 서버의소스파일위 / 변조공격방어사례웹서버의소스파일은해커들의주요공격대상중하나입니다. 공공기관의웹서버를공격하여자신들의정치적목적에대한이슈화하거나기업의웹서버를공격하여기업의이미지실추및불매운동등을조장하기도하고 DDOS 공격에이용할좀비PC를만들기위한목적으로웹서버를공격하여소스파일을위 / 변조합니다.

16 5 해킹방어사례 서버의소스파일위 / 변조공격방어사례웹서버의소스파일은해커들의주요공격대상중하나입니다. 공공기관의웹서버를공격하여자신들의정치적목적에대한이슈화하거나기업의웹서버를공격하여기업의이미지실추및불매운동등을조장하기도하고 DDOS 공격에이용할좀비PC를만들기위한목적으로웹서버를공격하여소스파일을위 / 변조합니다. 웹서버의 Javascript 파일위 / 변조공격방어사례 위의사례는홈페이지개발자의특정 PC 에서접속하였을때만소스파일의업데이트가가능하도록보안 정책을적용한서버에서해커가웹서버의취약성을공격하여웹서버가실행중인계정의권한을탈취한뒤 javascript 파일을변조하려시도한공격을차단하고기록한감사로그입니다. 위의위반감사로그를보면해커는 Javascript (.js) 파일을 IUSR 계정의권한으로변조시도하였음을 확인할수있으며파일을변조하려한주체프로세스가 w3wp.exe 즉 IIS 웹서버프로세스라는것도알수 있습니다. 이와같이 RedCastle 의파일접근통제기능은웹서버의소스파일에대한위 / 변조공격을매우효과적으로 방어할수있을뿐만아니라모든용도의서버에서파일의무결성보장과위 / 변조방지에매우강력하고도 효과적이며유연한정책을적용할수있습니다. 웹서버인젝션공격방어 해커들은웹서버와데이터베이스서버의새로운 Injection 취약성및파일업로드취약성을찾기위해 혈안이되어있으며새로운취약점이발견되는순간해커는서버를자신의마음대로조종할수있게됩니다. 하지만 RedCastle 은웹서버및애플리케이션서버프로세스를통해운영체제의주요경로에접근하 지못하도록정책을적용함으로써해커들이새롭게찾아낸취약점을통한공격을차단할수있습니 다. 15

5 해킹방어사례 가장대표적인사례가바로웹쉘 (Webshell) 의실행을차단하는것입니다.

서버에 Telnet 접속을한것과같이해커가하고자하는명령을제한없이실행할수있습니다.

17 5 해킹방어사례 가장대표적인사례가바로웹쉘 (Webshell) 의실행을차단하는것입니다. 웹쉘은해커들이가장즐겨사용하는공격도구이며그종류도매우다양합니다. 서버에웹쉘을업로드하거나 Injection 공격이가능해지면해커들은왼쪽화면과같이웹브라우저를통해운영체제의명령어를실행할수있습니다. 서버에 Telnet 접속을한것과같이해커가하고자하는명령을제한없이실행할수있습니다. 웹쉘을실행하여서버에서사용중인서비스를확인 하지만 RedCastle 은서버의취약성으로인해해커가업로드한웹쉘의실행을차단할수있습니다. RedCastle 이웹쉘의실행을차단 웹쉘의실행시도및실시간차단감사로그 RedCastle 은어떠한종류의웹쉘혹은새로운 Injection 취약점일지라도운영체제의명령어를실행하는 행위를완벽하게통제할수있습니다. 16

18 6 활용사례 내 / 외부사용자의서버접근통제및접속이력관리 서버에접속하는서버관리자, 개발자, 외부인력에대한접속권한을관리하고접속이력에대한감사로그를수집하여보고서의출력을주목적으로적용하는사례입니다. 구분활용기능목적 네트워크접근통제 서버방화벽 내 / 외부 IP 에서의서비스포트별접근통제 (TCP/UDP) 내 / 외부사용자의 Telnet, SSH, FTP 접속통제 접속사용자의행위감사 로그인서비스통제 사용자추적및 TTY 모니터링 내 / 외부 IP 에서의서버계정을통한접속통제 (Telnet, SSH, rlogin, FTP 등서비스접속통제 ) IP/ 서비스 / 사용자계정 / 시간 /MAC 주소 Telnet, ssh 접속자에대한접속세션별행위로그기록 ( 동영상재현목적 ) 접속이력관리 보고서 사용자계정별 / 접속 IP 별로그인상세내역보고서 기간별 / 계정별 / 접속 IP 별로그인통계보고서 Oz Report 를활용하여전자문서로저장및종이문서로출력하여보관 서버데이터베이스의접근통제및내부자의 DB 불법유출및조회차단 DB서버의보안을강화하기위한목적으로 RedCastle을설치하여 DB 클라이언트도구이외의모든접속에대한접근통제와개발자및관리자의운영체제수준에서의접근을통제하고 DB 파일및 DB의주요명령어에대한접근통제를목적으로적용되는사례입니다. 구분활용기능목적 DB 원격접근통제 서버방화벽 내 / 외부 IP 에서의 DB 포트접속통제 (TCP/UDP) 불필요한내부 / 외부 IP 에서의 DB 원격접근차단 접속사용자의행위감사 사용자추적및 TTY 모니터링 Telnet, ssh 접속자에대한접속세션별행위로그기록 ( 동영상재현목적 ) DB 파일에대한운영체제수준에서의접근차단 DB 파일에대한불법적인복사, 다운로드차단 수퍼유저계정에서의 DB 파일접근차단 불법적인 DB 조회명령어사용제한 파일접근통제 sqlplus, exp 등 DB 자체의조회및 Export 명령어실행통제 (DB 관리자계정포함 ) SQL 인젝션을통한 DB 서버해킹차단 SQL 인젝션을이용해 DB 권한획득후운영체제명령어실행차단 17

19 6 활용사례 WEB/WAS 서버보안강화 인터넷에공개되어있는웹서버의보안을강화하기위한목적으로 RedCastle 을설치하고다양한인젝션 공격및소스위변조공격을방어하기위한적용사례입니다. 구분활용기능목적 웹서버설정변경차단 웹 / WAS 서버의취약한보안설정파일임의변경차단 취약한서버사이드스크립트실행차단 소스위변조차단 파일접근통제 운영체제에기본으로설치된 Perl, Python, PHP 등서버사이드스크립트실행차단 jsp, js, php, css, php, html, xml 파일에대한위 / 변조차단 웹쉘실행차단 업로드취약성및 Injection 취약성에의한웹쉘실행차단 업로드경로보안강화 업로드경로에대한실행차단 모든서버의기본적인보안강화 RedCastle은기본적으로운영체제를해킹으로부터보호하기위한기본정책인 Baseline Security Policy를제공합니다. Baseline Security Policy는사용자접속을감시하고로그인-로그아웃시점의모든행위를레코딩하며운영체제파일의기본적인접근통제정책으로구성되어있습니다. 또한해킹방어기능을통해기본적인서버의보안을강화할수있도록합니다. 구분활용기능목적 네트워크접근통제 접속사용자의행위감사 SU 통제 로그인서비스통제 사용자추적및 TTY 모니터링 강제적접근통제 내 / 외부 IP 에서의서버계정을통한접속통제 (Telnet, SSH, rlogin, FTP 등서비스접속통제 ) IP/ 서비스 / 사용자계정 / 시간 /MAC 주소 Telnet, ssh 접속자에대한접속세션별행위로그기록 ( 동영상재현목적 ) 일반사용자계정에서 root 계정으로의 su 및불법적인권한이동차단 Rootkit 차단 운영체제파일보호 해킹방어 Setuid 프로그램통제 파일접근통제 해킹방어기능 불법적인 setuid 프로그램 (rootkit) 실행차단 기존 setuid 파일위변조탐지 운영체제의파일에대한위변조및불법적인삭제시도차단 해킹방어및운영체제보호를위한 10 여개이상의보안정책세트적용 Race condition, FIFO 공격, CHROOT 공격, 스니핑차단을위한해킹방어기능적용 18

<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770> 개 요 홈페이지 해킹 현황 및 사례 홈페이지 개발시 보안 취약점 및 대책 주요 애플리케이션 보안 대책 결 론 참고자료 [부록1] 개발 언어별 로그인 인증 프로세스 예제 [부록2] 대규모 홈페이지 변조 예방을 위한 권고(안) [부록3] 개인정보의 기술적 관리적 보호조치 기준(안) [부록4] 웹 보안관련 주요 사이트 리스트 7000 6,478 6000 5000