중앙관리소프트웨어 보안가이드 2016. 10 본보고서의전부나일부를인용시, 반드시 [ 자료 : 한국인터넷진흥원 (KISA)] 를명시하여주시기바랍니다.
제 1 장개요 1 1. 배경 2 2. 가이드목적및구성 4 제 2 장중앙관리소프트웨어악용사례 5 제 3 장중앙관리소프트웨어보안가이드 8 1. 중앙관리소프트웨어보안체계 9 2. 관리프로그램보안 10 3. 중앙관리소프트웨어운영보안 11 제 4 장중앙관리소프트웨어보안가이드항목해설서 14
제 1 장 개요
제 1 장개요 1.1 배경 최근공격자는 APT 공격을통해피해대상을쉽게확산시키기위한방법으로기업내에서주로이용하는중앙관리형소프트웨어의특징을이용하여공격하고있다. 각기업에서도입및운영하고있는중앙관리형소프트웨어는패치관리, 자산관리, 보안관리등다양한목적을위하여사용되고있으며, 특정명령어를통해일괄적으로패치또는정책을설정하는시스템을말한다. 중앙관리형소프트웨어는크게 PC 등자산을관리하기위한관리서버와에이전트로 구성된다. o ( 관리서버 ) PC 를중앙에서제어하기위한시스템으로시스템관리자는관리자페이지에 접속하여 PC 에일괄적으로파일및명령어전송을수행할수있다. o ( 에이전트 ) 관리서버에서송신하는파일, 명령어를처리하기위해 PC 내에설치되는 소프트웨어로써사내보안프로그램설치, 업데이트설치, 자산관리등을위해사용된다. < 그림 1-1> 중앙관리형소프트웨어시스템구성도 - 2 -
기업에서주로이용하는중앙관리형소프트웨어종류는다음과같다. 백신 : 바이러스패턴파일, 백신업데이트파일을중앙에서연결된 PC로전송 NAC( 네트워크접근제어 ) : 사내네트워크보안솔루션으로필수보안프로그램파일을 PC로전송하는시스템 자산관리시스템 : 중앙에서일괄적으로사내자산을관리하기위한시스템 PMS( 패치관리시스템 ) : 중앙에서 PC에업데이트파일을전달하여패치하는시스템 PC보안솔루션 : DLP( 데이터유출방지 ), 매체제어, 불법소프트웨어차단등 PC 보안을위해설치하는프로그램 기타 : 윈도우 Active Directory, 메신저, 그룹웨어등 이러한중앙관리형소프트웨어에취약점이존재하는경우, 연결된다수의 PC에악성코드를쉽게감염시켜장악할수있게된다. 다수의 PC를감염시키면효과적인공격대상인시스템관리자 PC, 개인정보관리자 PC 등을찾기용이해지고기업에큰피해를입힐수있는경로를쉽게찾을수있게된다. 과거발생한대규모침해사고도마찬가지로기업내중앙관리형소프트웨어중하나인업데이트체계의취약점을악용하여악성코드를감염및확산시킨후피해를유발하였다. 이에본가이드에서는중앙관리형소프트웨어로인해발생하는침해사고위협사례를 다루어그위험성을인지하도록한다. 또한개발회사에서중앙관리형소프트웨어를 개발시반영하여야할사항을제공함으로써사고예방및피해를최소화하고자한다. - 3 -
1.2 가이드목적및구성 - 중앙관리소프트웨어의위협심각성인지를통한보안인식제고 목적 - 안전한중앙관리소프트웨어설계를통한침해사고예방및피 해최소화 대상 - 중앙관리소프트웨어개발자및이용자 범위 - 중앙관리소프트웨어개발시지켜야할사항 - [1 장 ] 개요 1.1 배경 1.2 가이드목적및구성 구성 - [2 장 ] 보안위협 2.1 중앙관리소프트웨어악용사례 - [3 장 ] 중앙관리소프트웨어보안가이드 - [4 장 ] 중앙관리소프트웨어보안가이드해설서 - 4 -
제 2 장 보안위협
제 2 장중앙관리소프트웨어악용사례 기업은직원 PC를일괄적으로관리 제어하기위해패치관리시스템 (PMS), 자산관리시스템, 보안솔루션등을사용하고있다. 이러한중앙관리프로그램은공격자측면에서는피해대상들을쉽게확산 전이시킬수있는매개체가될수있기때문에프로그램자체및운영상취약한부분을찾아침해사고로악용하는사례가지속적으로발생하고있다. 공격자는중앙관리소프트웨어를통해악성코드를확산시키기위해사전에감염시킨사내 PC를경유하여관리서버의계정탈취를시도하거나 PC에설치된에이전트의취약점을이용하는형태를취한다. 관리자페이지는보통웹페이지로구성되어있는형태가일반적이며, 기본비밀번호또는추측하기쉬운비밀번호를대입하거나네트워크스니핑을통해관리자서버의계정정보를획득한후 PC에전송할파일을악성코드를대체한다. < 그림 2-1> 웹페이지에서관리자비밀번호설정이취약한경우 또한중앙관리프로그램 ( 에이전트 ) 취약점을찾아악용하는사례도발견되고있다. 한사례로, PC와서버간상태체크, 업데이트파일전송, 설치프로그램전송등의이유로상시로오픈된 PC의포트 (Port) 에관리서버는실행파일또는명령어를전송하는경우가있다. 이때공격자는사전에감염시킨 PC를관리자서버인척위장하여, 다른 PC들의해당포트로정상파일이아닌악성파일을전송시켜감염한사례가존재한다. - 5 -
< 그림 2-2> 클라이언트에서상시오픈포트가존재하는경우 클라이언트에서업데이트파일을받을때업데이트 URL이정상 URL인지확인하지않는경우가있다. 공격자는이를악용하여 MITM(Man In The Middle) 또는 ARP Spoofing을통해중앙관리서버업데이트 URL을악성코드유포 URL로변조할경우사내 PC에서악성사이트에접속하여악성코드가다운로드되어실행된다. 업데이트 URL이변조되더라도최종적으로받은파일이정상파일인지아닌지확인하는무결성검증절차가있다면악성코드실행은불가능하다. 여기서무결성검증이란, 서버가업데이트파일의고유한값 ( 해쉬등 ) 을개인키로암호화하여전송하고클라이언트에서는암호화한값을공용키로해독하여실제받은파일의고유한값과동일한지비교하는절차이다. 이러한검증절차가부재할경우, 중앙관리서버또는 Fake 서버에서악성파일을배포해도사내 PC에서의심없이실행하게된다. < 그림 2-3> 무결성검증을안하는경우 - 6 -
중앙관리소프트웨어를도입하는고객사측에서해당소프트웨어에특정기능을개발사에요구하여추가하는경우가존재한다. 추가요청기능이 UI 수정이나기본기능등과같은기존소프트웨어에존재하는기능이라면크게문제가되지않지만, 기존에존재하지않던파일배포기능, 클라이언트에시스템명령을실행시킬수있는등의기능을개발사에추가요청하여커스터마이징하는경우문제가될수있다. 이러한추가기능중해킹에악용가능한위험기능이있을수있고, 추가기능이라보안성검토가충분히이뤄지지않은경우가있을수있으므로위험기능추가는하지않는것이좋다. < 그림 2-4> 고객의요청에의해위험기능을추가하여운영하는경우 내부망에침투한공격자는보통내부망클라이언트들을한번에공격하기위한방법을찾게된다. 이때, 효과적인수단중하나가중앙관리소프트웨어를이용한방법이다. 중앙관리기능을이용해클라이언트를감염시킬수있기때문에관리자 PC에대한 APT 공격을성공한공격자는중앙관리서버에접속하기위한비밀번호를알아내기위해노력한다. 만약, 관리 시스템비밀번호등을파일에저장하여관리한다면해커에의해유출되어시스템접근을허용하는최악의상황을제공할수있다. 이러한사례들처럼침해사고가실제발생하고있어, 대응방법을알고보안설정지침을적용하는것이무엇보다중요하다. < 그림 2-5> 관리비밀번호를파일에저장하여운영하는경우 - 7 -
제 3 장 중앙관리소프트웨어보안가이드
제3장 1절중앙관리소프트웨어개발보안가이드 3.1 중앙관리소프트웨어보안체계 o ( 파일무결성검증 ) 실행 비실행, 설치, 업데이트, 정책파일등파일에대한무결성검증을수행해야한다. o ( 안전한방법의무결성검증기술사용 ) 무결성검증은클라이언트에하드코딩된값또는 CRC 비교가아닌공개키방식등안전한방법으로검증해야한다. o ( 안전한암호화알고리즘및키관리 ) 파일전송, 통신구간등은안전한암호화알고리즘사용및키관리를수행해야한다. o ( 클라이언트프로그램상시오픈포트제거 ) 클라이언트프로그램에서명령어또는파일을수신하기위해사용하는상시오픈포트를제거해야한다. o ( 원격시스템명령어처리기능제거 ) 관리서버에서원격으로클라이언트에시스템명령실행기능을제거해야한다. o ( 고객요청기능시 ) 고객의요청에의해기본제품의기능외추가적인기능을제공해야할때, 보안을고려하여기능을제공하여야한다. o ( 정책설정보안관리 ) 서버와에이전트간의정책설정은지정된관리자만수행할수있도록구현해야한다. o ( 중앙관리서버 IP, URL 변조불가 ) 중앙관리서버 IP, URL 의변조가불가능하도록구성되어있어야한다. o ( 서버 클라이언트간안전한상호인증 ) 서버 클라이언트간안전한상호인증절차가존재해야한다. o ( 관리 S/W ID, PW 암호화 ) 관리자 ID, PW에대해통신구간암호화가적용되어있어야한다. - 9 -
3.2 관리프로그램보안 o ( 계정관리 ) 개발사에서관리목적으로만든불필요한계정이없어야한다. o ( 패스워드관리 ) 관리자계정생성시비밀번호복잡도 (2조합 10글자또는 3조합 8글자 ) 를만족하도록설정해야하며, 최초설치시사용자에게패스워드를설정하도록유도해야한다. o ( 접근통제 ) 접근가능한관리자 IP 지정등을통한중앙관리프로그램에대한접근통제기능을제공해야한다. o ( 세션타임아웃설정 ) 관리프로그램을일정시간동안사용하지않을경우, 로그아웃되도록세션타임아웃기능을제공해야한다. o ( 자동접속제한 ) 관리프로그램에대한자동로그인기능을제공해서는안된다. o (ID/PW 평문전송서비스미사용 ) 평문으로패킷이전송되는서비스기능을제공해서는안된다. o ( 로그관리 ) 접속로그, 설정변경로그를기록하는기능등시스템로그는최소 3개월이상로그를기록하도록제공한다. - 10 -
제3장 2절중앙관리소프트웨어운영보안가이드 3.3 중앙관리소프트웨어운영보안 o ( 초기비밀번호변경 ) 중앙관리서버의초기설치시비밀번호를변경후사용해야한다. o ( 패스워드복잡도설정 ) 계정의패스워드복잡도 (2조합 10글자또는 3 조합 8글자 ) 를설정해야한다. o ( 비밀번호파일저장금지 ) 관리비밀번호와같은중요정보를파일에기록하여보관해서는안된다. o ( 최소한의관리자계정사용 ) 관리자계정은실제사용하는계정만설정하여최소한으로사용해고임시로생성한계정은제거한다. o ( 공용계정삭제 ) 다른사람과공용으로사용되는계정은없어야한다. o ( 접근통제 ) 관리자 PC 및서버는접근가능한최소한의 IP를지정하고인터넷등물리적으로독립된네트워크를구성하여관리하여야한다. o ( 위험기능추가지양 ) 무결성검증이없는파일배포기능등운영의편리함을위해보안이고려되지않은위험기능을개발사에추가요구하여도입하는것은지양해야한다. o ( 불필요한서비스삭제 ) 사용용도와상관없는불필요한서비스는제거해야한다. o ( 불필요한프로그램삭제 ) 메신저, 원격제어서비스등불필요한프로그램은삭제하여야한다. o ( 주기적인로그확인 ) 중앙관리소프트웨어와시스템의이용로그를주기적으로확인해야한다. - 11 -
o ( 공유폴더차단 ) 관리PC 및시스템에공유폴더를생성해서는안된다. o (USB 등의미디어자동실행차단 ) USB 등의미디어가자동으로실행되지않도록설정해야한다. o ( 최신패치적용 ) 관리 PC 및시스템에설치된소프트웨어버전을최신버전으로유지해야한다. o ( 백신프로그램설치 ) 백신프로그램을설치해야하며, 백신프로그램은최신업데이트를주기적으로수행하여최신버전으로유지해야한다. o ( 화면보호기설정 ) 화면보호기를 10분이내로설정하여관리한다. - 12 -
제 4 장중앙관리소프트웨어개발 보안가이드항목해설서
제 4 장중앙관리소프트웨어개발보안가이드항목해설서 중앙관리소프트웨어보안체계강화 1 실행 비실행, 설치, 업데이트, 정책파일등파일에대한무결성검증을수행해야한다. 2 무결성검증은클라이언트에하드코딩된값, CRC 비교가아닌공개키방식등안전한방법으로검증해야한다. 중앙관리서버또는프로그램에서클라이언트와통신하는과정중사용되는모든파일 ( 실행, 비실행, 설치, 업데이트, 정책등 ) 에대해무결성검증을수행해야한다. 클라이언트에푸쉬하는실행파일은무결성을검증하지만정책파일이나업데이트파일에대한무결성은검사하지않는경우가있다. 무결성검증을일부파일만하게될경우, 검증절차가누락된종류의파일을이용해악성코드가유포될수있다. 이를위해서버와클라이언트간주고받는모든파일에대한무결성검증을수행하여, 중간에서공격자가파일을변조하더라도클라이언트에까지피해가발생하지않도록해야한다. 또한, 파일에대해무결성을안전한방법을사용해검증해야한다. 파일에대한무결성을 MD5, SHA256 등과같은해쉬알고리즘만을이용하여파일과해쉬값을같이전송하는방식으로단순해쉬값비교를통해변조유무를확인하거나, 파일전송과정에서누락된데이터의유무를확인하기위해 CRC를체크하는정도의무결성검증만을수행하는경우가있다. 이러한방법들로무결성을검증한다면중앙서버나관리자 PC가장악될경우, 푸쉬할파일이나업데이트파일을악성코드로만들고악성코드에대한해쉬값과 CRC 값을생성하여전송하는방식으로무결성검증을우회할수있다. 이런우회가능성을제거하기위해 AES256 과같은대칭키를이용해파일을암호화하는방법으로무결성검증을수행하는경우도있지만, 이는대칭키가서버와클라이언트양측에존재해야하므로클라이언트프로그램의역공학을통해키가유출될수있는위험이있다. 따라서, 안전한무결성검증을위해선파일에대한해쉬값을 SHA256 이상의알고리즘으로생성된해쉬값을공개키기반의알고리즘을이용해서버의개인키로암호화하는방식이안전하다. 이렇게암호화된해쉬값과파일을함께전송하고, 클라이언트에서는서버의공개키로복호화하는방식으로파일의해쉬값을비교하면서버의개인키가유출되지않는이상무결성검증절차를우회하기어렵다. - 14 -
< 그림 4-1> 안전한무결성검증방법예시 3 파일전송, 통신구간등은안전한암호화알고리즘사용및키관리를수행해야한다. 소프트웨어를최신버전으로업데이트하는것처럼암호화에사용되는암호화알고리즘이나키관리를취약한알고리즘을사용하게되면, 알려진공격으로인해키가유출될위협이있다. 일부업체에서는통신구간에이용되는프로토콜을자체프로토콜로만들고, 통신구간을 AES와같은대칭키로암호화하고키를클라이언트프로그램에하드코딩하는경우가있다. 이경우도마찬가지로프로그램역공학을통한키유출위험이있으므로통신구간은공개키기반의 SSL 통신을수행하는것이안전하며, 키관리는서버에존재하는개인키에대한접근통제정책을수립하여외부에유출되지않도록관리해야한다. 또한개인키는중앙관리서버가아닌별도의시스템또는금고등에보관하는것이더안전하다. < 그림 4-2> 안전한암호화알고리즘및키관리 - 15 -
4 클라이언트프로그램에서명령어또는파일을수신하기위해사용하는상시오픈포트를제거해야한다. 5 관리서버에서원격으로클라이언트에시스템명령실행기능을제거해야한다. 6 고객의요청에의해기본제품의기능외추가적인기능을제공해야할때, 보안을고려하여기능을제공해야한다. 중앙관리서버에서클라이언트를제어하거나관리하기위한기능을악용하는사례가자주발생하고있다. 과거사고사례를보면대부분이런클라이언트를일괄제어하는기능이보안에미흡하여발생하였다. 중앙관리형소프트웨어의특징상서버와클라이언트간통신하기위해연결포트가존재한다. 하지만, 이런연결포트를클라이언트에상시오픈하고있는것보다는연결이필요할때마다클라이언트에서먼저서버에요청하여세션을맺는방식이더안전하다. 불가피하게클라이언트에서명령처리를위해포트를상시오픈해야한다면이를최소화하고클라이언트끼리명령송수신이불가하도록서버와클라이언트간상호인증을통한접근통제절차가반드시들어가야한다. 또한중앙서버에서클라이언트를제어하는기능중파일실행, 복사, 삭제, 시스템종료등과같은시스템명령어를실행시킬수있는기능이존재하는경우가있다. 이러한기능들은공격자에의해악성코드를실행하게하거나시스템의주요파일들을삭제하는행위와같은악의적인동작이가능할수있어제거해야한다. PC에일괄적으로설치파일을강제푸쉬하는기능과같은위험한기능이최초구축시존재하지않았지만, 운영중필요하여기능을추가하는경우도있다. 하지만, 추가요청한기능에대해보안성이고려되지않아위험할수있으며, 이런기능의존재자체가공격자에의해악용될가능성이높으므로제공또는적용하지않는것이안전하다. < 그림 4-3> 공격자에게악용될수있는기능예시 - 16 -
7 서버와에이전트간의정책설정은지정된관리자만수행할수있도록구현해야한다. 중앙관리형소프트웨어는중앙관리목적별중앙에서클라이언트를제어하기위한정책설정기능이존재한다. 이런정책설정을지정된관리자프로그램만으로제어가가능하도록구현해야한다. 관리프로그램이없더라도통신프로토콜이암호화되어있지않다면동일한패킷을만들어전송하여정책변경을할수있으므로통신구간암호화를통해지정된관리프로그램만이정책설정이변경가능하도록구현해야한다. 또한정책설정파일의무결성보호를위해암호화적용을관리자서버에서수행한다면관리자서버가장악될경우암호화된정책파일이변조될수있어별도의관리시스템에서암호화적용과키관리를수행하는것이더안전하다. 8 중앙관리서버 IP, URL의변조가불가능하도록구성되어있어야한다. 9 서버 클라이언트간안전한상호인증절차가존재해야한다. 클라이언트에서관리서버와통신하기위한 IP나 URL은보통프로그램내하드코딩되어있거나설정파일을통해관리된다. 하지만, 설정파일의내용이변조되거나 ARP, DNS 스푸핑공격에의해지정된관리프로그램과통신하지않고공격자가만든가짜서버와통신하게하여정상업데이트파일이아닌악성코드를내려받아실행하거나잘못된정책파일을받아와적용하게하는등의공격이가능하다. 이런가짜서버와의통신을유도한공격을예방하기위해선클라이언트에서서버와통신시상호인증하는기능이존재해야한다. 서버와클라이언트간세션이생성되기전에서로정상서버와클라이언트가맞는지확인하는절차가있어야하며, 이런인증절차를단순자체제작한프로토콜이맞는지여부만체크하는게아니라암호화된인증방법으로양쪽모두인증해야한다. 예를들면, SSL 통신을하고초기세션생성시인증서를확인하는절차를포함시켜인증하게하거나각각의서버및클라이언트가개별로만든공개키, 개인키로인증값을세션생성시마다다르게생성해확인하는절차가있는등의인증과정이있어야한다. - 17 -
< 그림 4-4> 안전한상호인증방법 10 관리자 ID, PW 에대해통신구간암호화가적용되어있어야한다. 관리서버에접속시사용되는 ID, PW를평문으로서버에전송하여인증하는경우, 중간에스니핑을통해관리자계정을알아내접속할수있다. 이렇게스니핑한관리자계정으로관리프로그램에접속하여악성코드유포, 정책설정임의변경등이가능하므로스니핑이어렵도록 ID, PW를통신구간에서암호화해야한다. 관리프로그램보안강화 1 개발사에서관리목적으로만든불필요한계정이없어야한다. 2 관리자계정생성시비밀번호복잡도 (2조합 10글자또는 3조합 8글자 ) 를만족하도록설정해야하며, 최초설치시사용자에게패스워드를설정하도록유도해야한다. 프로그램계정설정시 ID/ 패스워드를 admin/admin 또는패스워드가 12345678 등과같이유추하기쉽게설정되어있는상태이다. 이에 ID/ 패스워드의경우설정없이접속할수없도록사용자에게아래그림과같이 2조합 10글자또는 3조합 8글자길이의패스워드를설정하도록유도해야한다. 또한시스템계정의패스워드는최소분기별 1회이상변경하여, 기존담당자의이직 / 퇴사등패스워드가알려졌을경우에대한대책을마련해야한다. - 18 -
< 그림 4-5> 패스워드복잡도설정방법 3 접근가능한관리자 IP 지정등을통한중앙관리프로그램에대한접근통제기능을제공해야한다. 중앙관리프로그램구축시관리자로지정한 IP 이외에다른 IP에서는정상관리프로그램을이용해접속하더라도접속하지못하도록접근을통제하는기능이있어야한다. 또한, 실제클라이언트로의패킷을전송하는관리서버에도직접적인접근을제한할수있도록지정된관리프로그램으로만접근할수있도록제공해야한다. 또한서버 TO 서버로접근이불가하도록접근통제를실시한다. 4 관리프로그램을일정시간동안사용하지않을경우, 로그아웃되도록세션타임아웃기능을제공해야한다. 5 관리프로그램에대한자동로그인기능을제공해서는안된다. 관리자가관리프로그램에로그인하고다른업무를보는동안세션이끊기지않도록하여업무의연속성을지원해주는경우가있다. 이는관리자에게편의는제공하지만, 관리자가자리를비운사이타인이접근해관리프로그램의기능을악용할수있으므로보안상위험하다. 따라서, 특정시간 (5~10 분 ) 동안기능을사용하지않는다면자동로그아웃이되도록타임아웃기능을제공해야한다. 관리해야하는프로그램및시스템이많을수록관리의편리성때문에관리페이지나관리프로그램에접속하는계정에대해자동로그인기능을제공하는경우가있다. 이는계정을모르는허용되지않은자가관리자프로그램에로그인할수있도록하므로제공해서는안된다. - 19 -
< 그림 4-6> 자동로그인으로설정되어있는경우 6 평문으로패킷이전송되는서비스기능을제공해서는안된다. 관리서버에접속하기위한터미널프로그램은사용하지않고관리프로그램만을이용해접속을허용하는것이안전하며, 예를들어텔넷은평문서비스이기때문에제공하지않는것이안전하다. 또한, 파일전송서비스도 FTP는평문서비스이므로제공할경우공격자에의해파일이유출되거나주요정보가노출될수있다. 그러므로파일전송에는 FTP 보다 SFTP와같이보안이강화된서비스를제공해야한다. 7 접속로그, 설정변경로그를기록하는기능등시스템로그는최소 3개월이상로그를기록하도록제공한다. 중앙관리형소프트웨어는침해사고에악용될가능성이높은프로그램이다. 이런프로그램은공격자에게장악될경우, 많은행위가가능한종류의프로그램이기때문에사후대응을위해사용로그를기록해야한다. 접속로그는해커의관리프로그램장악시점을파악할수있도록도움을주며, 설정변경로그는중앙관리형프로그램을통해악성코드나악의적인행위시점을제공한다. 해커의해킹공격을추적하는것뿐만아니라관리자에대한감사증적에도필요하므로로그기록은상세하게기록될수있도록제공해야한다. - 20 -
중앙관리소프트웨어운영보안강화 1 소프트웨어초기설치시비밀번호를변경후사용해야한다. 2 운영의편리함을위해존재하지않는기능중위험기능을개발사에추가요구하여도입하는것은지양해야한다. 3 관리비밀번호와같은중요정보를파일에기록하여보관해서는안된다. 4 중앙관리소프트웨어의이용로그를주기적으로확인해야한다. 중앙관리소프트웨어초기도입시개발사에서는고객사에방문하여설치및환경설정을도와준다. 이때, 개발사에서관리자기본비밀번호 (admin/admin, root/root 등 ) 를설정하고관리자에게추후비밀번호변경이필요하다는것을안내한다. 하지만많은운영자들이초기비밀번호를변경하지않은상태로운영을하고있다. 중앙관리소프트웨어의관리자프로그램에서초기비밀번호를변경해야만사용가능하도록구현되어있으면상관없지만, 그렇지않은경우에는초기비밀번호를변경후사용해야한다. 초기비밀번호를변경하지않은상태로공격자가내부망에침투한다면관리자비밀번호를추측하여관리자기능을악용할수있으므로초기비밀번호는바로변경해야한다. 또한, 중앙관리소프트웨어도입시개발사에게해당소프트웨어를통해특정기능을사용할수있도록구현을요청하는경우가있다. 개발사에서기본적으로제공하는기능이아닐경우에는고객사의요청에의해추가개발작업이들어가야하는데, 이런추가개발작업과정은보안성검토가충분히이루어지지않을수있다. 따라서되도록위험기능을요청하지않는것이안전하다. 관리소프트웨어운영자들은관리소프트웨어뿐만아니라다른소프트웨어및서버를관리하는경우가많아비밀번호를기억하지못하는경우가있다. 그래서일부운영자는비밀번호를기억하기위해파일에비밀번호를기록해두는경우가있는데이는내부망에침투한해커에의해노출될가능성이있다. 이를방지하기위해비밀번호를파일에기록해서는안되며, 불가피한경우본인만알수있는내용으로기록후암호를걸어놓는것이안전하다. 위의사항들은사고를예방하기위한사전보안강화라면사후대안도역시고려해야한다. 사후대비를위해선주기적인로그검토는필수적이다. 최근침해사고유형을보면내부망에침투한공격자가오랜시간시스템을모니터링한후에공격을시도하고, 공격에는내부직원들 PC에영향을끼칠수있는중앙관리소프트웨어를타깃으로은밀히이뤄지는경우가많다. 이런은밀한공격을탐지하기위해서는소프트웨어의로그를주기적으로확인해야하고, 확인된로그를바탕으로공격유무를판단할수있도록숙지해야한다. - 21 -
5 계정의패스워드복잡도 (2조합 10글자또는 3조합 8글자 ) 정책을설정해야한다. 6 임시로생성한계정등의불필요한계정은제거하고, 실제사용하는계정만남겨둬야한다. 7 다른사람과공용으로사용되는계정은없어야한다. 8 관리자계정은실제사용하는계정만설정하여최소한으로사용해야한다. 관리자의 PC 비밀번호를관리자프로그램비밀번호와마찬가지로복잡도를만족하도록생성해야한다. 외부사람이관리자 PC에접근가능한경우, 설정된비밀번호가유추가능한비밀번호와같이쉬운비밀번호로되어있으면 PC 로그인이가능할수있기때문에비밀번호정책을만들어지키는것이안전하다. 또한계정의비밀번호는분기별 1회이상변경하여해킹공격등으로유출된비밀번호를사용하지않도록해야한다. < 그림 4-7> 패스워드정책설정 특정작업을위해계정을임시로생성하였으나, 작업후계정을삭제하지않아관리되지않는경우가발생할수있다. 이러한불필요한계정이나다른사람과공용으로사용되고있는계정은공격자에의해악용될가능성이있기에실제사용하는계정만남겨두어야하며, 만약공용계정이존재한다면삭제해야한다. 그리고사용용도에따라계정의권한을최소한만으로설정해야하며, 하나의계정에모든권한을부여해서는안된다. 모든권한을갖고있는관리자계정에대해서는별도관리를해야하며, 최소한으로사용해야한다. - 22 -
< 그림 4-8> 특정서비스가 root( 관리자계정 ) 으로실행되고있는경우 9 관리자 PC 및서버는접근가능한 IP 를지정하고인터넷등물리적으로독립된 네트워크를구성하여관리하여야한다. 관리자 PC 및에이전트를관리하는시스템은해당시스템에접근가능한 IP를별도로지정해야하며, 인터넷등외부와의연결이차단된네트워크망을구성하여운영 관리해야한다. 최근공격사례를보면, 하나의시스템이장악되었을때, 인터넷에연결되어있는경우다수의시스템에빠르게 2차감염이진행된사례가존재한다. 10 공유폴더를생성해서는안된다. 외부인터넷접속이가능한인터넷망에서관리의편의를위해시스템내공유폴더를생성하여사용할경우악성코드에감염및동일네트워크로 2차감염진행등위협이존재할수있다. 따라서별도의독립적인망을사용하더라도공유폴더는되도록생성하지않는것이좋으며, 외부와연결되어있는인터넷망을사용할경우에는공유폴더를생성해서는안된다. < 그림 4-9> 네트워크및공유센터에서파일 / 공용폴더공유끄기 - 23 -
11 사용용도와상관없는불필요한서비스는제거해야한다. 12 메신저, 원격제어프로그램등불필요한프로그램을사용할수없다. 사용용도와상관없는불필요한서비스, 편의성을위한메신저, 원격제어프로그램등불필요한프로그램을사용하게되면다른보안설정이잘갖춰져있다하더라도악성코드에감염될위협이증가하게된다. 불필요한서비스나프로그램은공격자의입장에서공격을시도할수있는수단과방법이늘어나게되는것과같으므로삭제, 제거해야한다. 13 시스템에설치된소프트웨어버전을최신버전으로유지해야한다. 14 백신프로그램을설치해야한며, 백신프로그램은최신업데이트를주기적으로수행하여 최신버전으로유지해야한다. 백신프로그램은시스템을보호할수있는최소한의예방수단이다. 백신프로그램을설치하지않으면악성코드위협에무방비로노출되어악성코드감염이쉽게발생할수있다. 그러므로악성코드감염을기본적으로대비하기위해백신프로그램설치는필수이며, 주기적으로업데이트하여신규악성코드에대한대비를해야한다. 또한, 시스템에설치되어있는소프트웨어를주기적으로업데이트하여해당소프트웨어의버전을항상최신버전으로유지해야한다. 소프트웨어버전을최신버전으로유지함으로써해당소프트웨어의알려진취약점을이용한공격에예방할수있다. 15 USB 등미디어가자동으로실행되지않도록설정해야한다. USB와같은외부저장매체는인터넷, 이메일과마찬가지로공격자입장에서내부망공격에유용한접근경로가될수있다. 내부망침해를목적으로제작된악성코드를외부저장매체에담아사회공학적기법등을통해악성코드가담겨져있는 USB 사용을유도할수있다. 이러한위협을예방하기위해, USB 자동실행을허용하지않도록설정해야한다. < 그림 4-10> 자동실행방지 - 24 -
16 화면보호기를설정해야한다. 시스템관리권한을가진사용자가작업중에잠시동안자리를비운경우, 화면보호기를설정해놓지않으면권한을갖고있지않은비인가사용자가시스템관리권한을갖게되는경우가발생할수있다. 이를예방하기위해시스템에화면보호기를설정하여다시로그인시도절차를진행하도록해야한다. < 그림 4-11> 화면보호기설정 - 25 -