중소기업 정보보호 가이드라인 2006. 4
주 의 사 항 이 가이드라인의 사용에는 어떠한 제한도 없지만 다음과 같은 사항에 주의하여야 합니다. 문서 내에 언급된 상표, 제품명 등에 대한 권리는 각 상표 또는 제품을 소유한 해당 기업에 있으며, 설명을 위해 특정 회사 제품명이나 화면이 표시된 경우 일러두기 에 정의된 가이드라인의 고유 목적 외에 어떠한 다른 목적도 없으며 그렇게 이용되어서도 안 됩니다. 문서 내에 기술된 예시 등은 일반 사용자, 기업 등에 있을 수 있는 고유한 환경을 고려하지 않았으므로 실제 환경에서는 그대로 적용되지 않을 수 있습니다. 그러므로 각 절에 주어진 기술 세부사항(예를 들어 명령어 및 화면 등)을 적용할 때에는 먼저 각 환경에 적합한지 시험을 통해 확인하는 것이 필요하며, 내용의 오류로 인해 발생하는 피해에 대하여 이 가이드라인의 발행기관은 책임을 지지 않습니다. 이 가이드라인의 내용 중 오류가 발견되었거나 내용에 대한 의견이 있을 때에는 smesg@kisa.or.kr로 해당 내용을 보내주시기 바랍니다.
일러두기 예산 및 전문인력 부족 등으로 급증하는 해킹 바이러스 등에 의한 중소기업의 피해를 최소화하기 위해, 중소기업이 자신의 IT환경에 맞춰 스스로 할 수 있는 비용 효과적인 정보보호 조치 방법을 제공 가이드라인은 최소 요구 사항만을 제시하며, 권고사항임 중소기업에 필요한 정보보호 수준은 IT환경에 따라 결정됨. 이를 위해 정보화에 따른 IT환경과 정보자산 보호수준에 따른 정보보호 등급을 구분하고, IT환경별 요구되는 정보자산의 보호등급을 결정 IT환경 분류: 정보화 수준에 따라 3개 유형(SM1, SM2, SM3)으로 정의 - i -
IT환경별 정보보호 요구사항: 각 IT환경(정보화 유형)하에서 주요업무 수행에 필요한 정보자산 보호를 위한 요구사항 정의 정보보호 등급 분류: 정보자산(PC, 서버, 네트워크, 데이터)에 요구되는 보호등급을 보호수준에 따라 4단계(S1 ~ S4)로 정의 - ii -
IT환경별 정보보호 등급: IT환경(정보화 유형)별로 각 정보자산에 대해 요구되는 정보보호 등급을 결정 가이드라인 구성 - 정보자산(PC, 서버, 네트워크, 데이터)별로 각 장으로 구성하고, 각 장은 자산의 정보보호 등급(S1 ~ S4)에 따라 4~6개의 절로 구성 - 사고신고 및 대응 등의 관리적인 절차를 위해 보안관리를 별도의 장으로 구성 - 각 절 단위로 보호등급([S1], [S2], [S3], [S4])과 적용유형 그림이 표시되어 있으며 세부 정보보호 조치 절차 및 방법, 참조자료 정보 등을 제공 가이드라인 이용방법 1 중소기업 자신의 IT환경(정보화 유형: SM1, SM2, SM3)을 스스로 판단 하나의 기업에 정보화 유형이 다수인 경우는 유형별로 분리하여 정보화등급 적용 및 조치 보다 정확한 기업 유형 판별을 위해서는 한국정보보호진흥원(http://www.kisa.or.kr) 에서 제공 예정인 중소기업 정보보호 자가진단 서비스 활용 - iii -
2 목차의 각 절별로 아래와 같이 표기된 적용유형 그림에 따라 해당 절을 선택하여 정보보호 조치를 수행 - : IT환경이 SM1, SM2, SM3인 기업에게 적용되는 내용 - : IT환경이 SM2, SM3인 기업에게 적용되는 내용 - : IT환경이 SM3인 기업에게 적용되는 내용 적용유형 그림으로 나타내는 내용은 최소 요구 사항이므로, 해당 기업은 보안성 강화 필요정도에 따라 추가적인 절을 참조할 수 있음 예) A 기업 (소규모 ISP) 유형: SM2 참조해야할 절:, 이 표시된 절 업무특성: 네트워크 보호가 중요 업무특성에 따른 추가 권고: 제 3장 네트워크 보안의 가 표기된 절 가이드라인에 맞는 정보보호 환경(S/W, H/W) 구성은 개별 보안제품을 활용한 자체구성 또는 ISP(Internet Service Provider), 보안관제 업체 등에서 제공하는 보안서비스 비즈니스 모델 활용 - iv -
목 차 제 1 장 PC 보안 1 제 1 절 PC 운영체제 기본 보안 [S1] 1 1. Windows 업데이트 1 2. 계정 및 암호 관리 8 3. 공유폴더 관리 17 4. 화면보호기 설정 21 5. 웹 브라우저 보안 설정 26 6. 이메일 보안설정 27 7. 침입차단 및 팝업차단 기능 설정 29 8. 부팅디스크 관리 33 9. 무선랜 보안 설정 37 10. 문서 암호 설정 40 제 2 절 PC 운영체제 고급 보안 [S2] 43 1. 운영체제의 불필요한 서비스 제거 43 2. 이벤트 및 로그관리 44 제 3 절 PC 보안제품 설치 운영 [S2] 46 1. 바이러스 백신 46 2. 스파이웨어 제거기 55 3. 개인용 침입차단시스템 56 4. 스팸메일 차단기 57 - v -
제 4 절 PC 통합 보안 관리 [S3] 60 1. 패치 관리 시스템 60 2. 통합 보안 시스템 61 제 2 장 서버 보안 63 제 1 절 서버 운영체제 기본 보안 [S1] 63 1. 업데이트 63 2. 계정 및 암호 관리 67 3. 공유폴더 관리 71 4. 파일시스템 보안 73 제 2 절 서버 운영체제 고급 보안 [S2] 78 1. 서버접근제어 78 2. 사용자 권한설정 83 3. 불필요한 서비스 제거 86 4. TCP/IP를 통한 보안설정 91 5. 보안옵션 설정 93 제 3 절 응용 프로그램 보안 [S2] 99 1. 웹서버 99 2. 메일 서버 103 3. 데이터베이스 서버 108 4. DNS 서버 111 5. 보안운영체제(Secure OS) 112 - vi -
제 4 절 서버 통합 보안관리 [S3] 114 1. 패치 관리 시스템 114 2. 취약성 점검 116 제 3 장 네트워크 보안 122 제 1 절 사설망 구성 [S1] 122 1. NAT(Network Address Translation)의 개념 122 2. 운영체제를 이용한 사설망 구성 123 3. IP 공유기를 이용한 사설망 구성 131 제 2 절 네트워크 장비 보안설정 [S2] 133 1. 라우터 133 2. 스위치 143 제 3 절 공격 차단용 보안제품 설치 운영 [S2] 149 1. 침입차단시스템 (Firewall) 149 2. 바이러스월 (Viruswall) 153 3. 스팸차단시스템 156 제 4 절 공격 탐지용 보안제품 설치 운영 [S3] 158 1. 침입탐지시스템 (IDS: Intrusion Detection System) 158 2. 침입방지시스템 (IPS: Intrusion Prevention System) 161 3. 가상사설망(VPN: Virtual Private Network) 163 - vii -
제 5 절 네트워크 통합 보안관리 [S4] 166 1. 네트워크 관리 시스템 (NMS: Network Management System) 166 2. 통합 보안관리 시스템(ESM: Enterprise Security Management) 170 3. 보안관제서비스 173 제 4 장 데이터 보안 174 제 1 절 개요 [S1] 174 1. 백업 대상 174 2. 백업 구축 시 고려사항 174 제 2 절 데이터 백업 [S1] 177 1. 운영체제를 이용한 백업 177 2. 파일서버를 이용한 백업 183 제 3 절 운영체제 백업 [S2] 186 1. Windows 운영체제 백업 186 2. Unix 및 Linux 운영체제 백업 189 제 4 절 응용 프로그램 백업 [S2] 191 1. 데이터베이스 백업 191 2. 웹서버 백업 197 3. 메일서버 백업 199 4. DNS 서버 백업 201 - viii -
제 5 절 시스템 이중화 [S3] 202 제 6 절 원격 백업 및 회선 이중화 [S4] 204 1. 백업 사이트 구축 운영 204 2. 백업 회선 구축 운영 207 제 5 장 보안관리 208 제 1 절 침해사고 예방 및 대응 [S1] 208 1. 해킹 바이러스 208 2. 스팸메일 210 3. 개인정보 침해사고 213 제 2 절 문서 및 매체 관리 [S1] 214 1. 개인용 214 2. 공용 215 제 3 절 인력 관리 [S2] 217 1. 내부직원/방문자/외근자/퇴근자 관리 217 2. 교육 및 훈련 218 제 4 절 전산실 운영관리 [S2] 219 1. 전산장비 패치 219 2. 전산장비의 안전한 수리, 폐기 및 재사용 219 3. 화재 예방 및 대응 220 - ix -
제 5 절 위험관리 [S3] 221 1. 계획 수립 요구사항 221 2. 절차 222 부록 정보보호기술훈련장(Online Information Security Training lab) 소개 224 - x -
<표 차례> [표 1-1-2-1] 일반사용자 및 관리자 계정 구분 9 [표 2-2-2-1] 사용중지를 권장하는 서비스표 85 [표 2-2-5-1] 감사를 수행해야 할 정책 목록 93 [표 2-3-1-1] IIS 예제 응용프로그램의 위치 99 [표 2-4-2-1] 취약점 점검도구의 종류 118 [표 3-1-1-1] 사설 IP 주소 범위 123 [표 3-3-1-1] 접근통제 규칙 설정 예 150 [표 4-1-2-1] 백업 및 복구 시간 설정 예 175 [표 4-1-2-2] 백업 주기 설정 예 176 [표 4-1-2-3] 자동화 여부에 따른 백업 방식 분류 176 [표 4-1-2-4] 백업 이용 환경에 따른 백업 방식 분류 177 [표 4-2-1-1] Unix 및 Linux의 주요 파일 정보 181 [표 4-4-1-1] Microsoft SQL 서버 백업 종류 191 [표 4-4-3-1] sendmail 설정 파일 200 [표 4-5-1-1] 시스템 이중화 구현 방법 203 [표 5-1-1-1] 해킹 바이러스 피해 증상 208 [표 5-1-1-2] 주요 바이러스 백신 제작업체 210 [표 5-1-1-3] 해킹 바이러스 침해사고 신고기관 210 [표 5-1-2-1] 한국정보보호진흥원 불법스팸대응센터 212 [표 5-1-2-2] 개인정보 침해사고 상담 및 신고 214 [표 5-2-2-1] 백업 주기 217 [표 5-5-2-1] 위험관리 과정 222 [표 5-5-2-2] 정보보호컨설팅전문업체 223 - xi -
<그림 차례> <그림 1-1-1-1> 자동 업데이트 2 <그림 1-1-1-2> Windows Update 2 <그림 1-1-1-3> 업데이트 사이트 접속 3 <그림 1-1-1-4> 업데이트 확인중 3 <그림 1-1-1-5> 업데이트 설치 4 <그림 1-1-1-6> 다운로드 및 설치 4 <그림 1-1-1-7> 자동 업데이트 5 <그림 1-1-1-8> 수동 업데이트 6 <그림 1-1-1-9> 업데이트 확인 중 6 <그림 1-1-1-10> 업데이트 설치 7 <그림 1-1-1-11> 다운로드 및 설치 7 <그림 1-1-2-1> 제어판 선택 9 <그림 1-1-2-2> 사용자 선택 10 <그림 1-1-2-3> 암호 설정 10 <그림 1-1-2-4> 암호 바꾸기 11 <그림 1-1-2-5> 사용자 계정 선택 11 <그림 1-1-2-6> 암호 만들기 선택 12 <그림 1-1-2-7> 암호 입력 12 <그림 1-1-2-8> 관리 선택 13 <그림 1-1-2-9> 컴퓨터 관리에서 사용자 선택 13 <그림 1-1-2-10> 새 사용자 설정 14 <그림 1-1-2-11> 계정 확인 14 <그림 1-1-2-12> 암호 설정 선택 15 <그림 1-1-2-13> 암호 변경하기 15 - xii -
<그림 1-1-2-14> 계정 등록정보 변경 15 <그림 1-1-2-15> 그룹 선택 16 <그림 1-1-3-1> 읽기/쓰기 암호 동일 17 <그림 1-1-3-2> 읽기/쓰기 암호 다름 17 <그림 1-1-3-3> 시스템 도구 선택 18 <그림 1-1-3-4> 네트워크 감독 설치 18 <그림 1-1-3-5> 네트워크 감독을 통한 공유폴더 관리 19 <그림 1-1-3-6> 레지스트리 값 설정 20 <그림 1-1-3-7> 레지스트리 값 추가 20 <그림 1-1-3-8> cmd 실행 21 <그림 1-1-4-1> 디스플레이 선택 22 <그림 1-1-4-2> 화면 보호기 선택 22 <그림 1-1-4-3> 화면 보호기 설정 23 <그림 1-1-4-4> 화면 보호기 암호 설정 23 <그림 1-1-4-5> 대기 시간 설정 23 <그림 1-1-4-6> 화면 보호기의 암호 입력 24 <그림 1-1-4-7> 종류별 보기 24 <그림 1-1-4-8> 클래식 보기 25 <그림 1-1-4-9> 화면보호기 암호설정 25 <그림 1-1-5-1> 보안수준 설정 26 <그림 1-1-5-2> 사용자 지정 27 <그림 1-1-6-1> 아웃룩 보안설정 28 <그림 1-1-6-2> Outlook Express 미리보기 방지 설정 28 <그림 1-1-6-3> Microsoft Outlook 미리보기 방지 설정 29 <그림 1-6-6-4> 보안접속 29 <그림 1-1-7-1> 보안센터 선택 30 <그림 1-1-7-2> 보안센터 30 - xiii -
<그림 1-1-7-3> Windows 방화벽 설정 31 <그림 1-1-7-4> 팝업 차단 사용 31 <그림 1-1-7-5> 현재 사이트의 팝업을 항상 허용 32 <그림 1-1-7-6> 팝업 차단 설정 32 <그림 1-1-8-1> 시동 디스크 33 <그림 1-1-8-2> 디스크 삽입 34 <그림 1-1-8-3> 시동디스크 작성 34 <그림 1-1-8-4> Safe Mode 선택 34 <그림 1-1-8-5> Windows 복구 R 키 36 <그림 1-1-8-6> 복구콘솔 C' 키 36 <그림 1-1-8-7> 관리자 암호 입력 37 <그림 1-1-9-1> 무선네트워크연결 38 <그림 1-1-9-2> 무선네트워크연결 속성 38 <그림 1-1-9-3> 연결정보 입력 39 <그림 1-1-10-1> MS워드 암호 설정 40 <그림 1-1-10-2> 한글 암호 설정 41 <그림 1-1-10-3> 엑셀 암호 설정 42 <그림 1-1-10-4> 파워포인트 암호 설정 42 <그림 1-2-1-1> 서비스 목록 43 <그림 1-2-2-1> 이벤트 뷰어 45 <그림 1-2-2-2> 감사정책 46 <그림 1-3-1-1> 실시간 검사기능 On/Off 설정 47 <그림 1-3-1-2> 자동 업데이트 설정 48 <그림 1-3-1-3> 예약 검사 기능 설정 49 <그림 1-3-1-4> 이메일 감시 활성화 설정 49 <그림 1-3-1-5> 바이로봇 실시간 모니터링 설정 50 <그림 1-3-1-6> 바이로봇 실시간 모니터링 환경 설정 51 - xiv -
<그림 1-3-1-7> 자동 업데이트 설정 51 <그림 1-3-1-8> 자동 업데이트 환경설정 52 <그림 1-3-1-9> 자동 업데이트 주기 설정 52 <그림 1-3-1-10> 예약 감시 설정 53 <그림 1-3-1-11> 예약 감시 설정-추가 53 <그림 1-3-1-12> 예약 감시 조건 설정 53 <그림 1-3-1-13> 바이로봇 이메일 감시기 활성화 54 <그림 1-3-1-14> 바이로봇 이메일 실시간 모니터링 활성화 54 <그림 1-3-4-1> 스팸캅 설치 58 <그림 1-3-4-2> 스팸캅 설치 후 실행화면 58 <그림 1-3-4-3> 스팸캅 실행 화면 59 <그림 1-3-4-4> 불법스팸신고 바로하기 59 <그림 1-3-4-5> 스팸캅 실행 화면-민원 접수 화면 59 <그림 2-1-1-1> MBSA Self-scan 실행화면 64 <그림 2-1-1-2> MBSA 결과 화면 65 <그림 2-1-2-1> 로컬 보안 정책 67 <그림 2-1-2-2> 암호 보안 정책 68 <그림 2-1-2-3> 계정 잠금 설정 69 <그림 2-1-3-1> 공유 설정 72 <그림 2-1-3-2> 공유폴더 등록정보 72 <그림 2-1-3-3> 공유폴더의 사용권한 73 <그림 2-1-4-1> convert 명령 사용 예 74 <그림 2-1-4-2> NTFS 포맷 74 <그림 2-1-4-3> 기본적인 사용권한 75 <그림 2-1-4-4> 계정 선택 75 <그림 2-1-4-5> 사용권한 설정 76 <그림 2-2-1-1> RRAS 선택 78 - xv -
<그림 2-2-1-2> 라우팅 및 원격 액세스 설치 및 구성 79 <그림 2-2-1-3> 네트워크 라우터 선택 79 <그림 2-2-1-4> TCP/IP 사용 80 <그림 2-2-1-5> RRAS 필터 80 <그림 2-2-1-6> 입력필터와 출력필터 80 <그림 2-2-1-7> 입력필터 81 <그림 2-2-1-8> 인바운드 필터 설정 81 <그림 2-2-1-9> 아웃바운드 필터 설정 81 <그림 2-2-2-1> 로컬 보안 정책 실행 83 <그림 2-2-2-2> 사용자 권한 할당 84 <그림 2-2-2-3> 로컬 보안 정책 설정 84 <그림 2-2-2-4> 시스템 실행 파일에 대한 제한-1 85 <그림 2-2-2-5> 시스템 실행 파일에 대한 제한-2 86 <그림 2-2-4-1> 네트워크 및 전화 접속 연결 91 <그림 2-2-4-2> 프로토콜 선택 91 <그림 2-2-4-3> 네트워크 연결 주소설정 92 <그림 2-2-4-4> 필터링 설정 92 <그림 2-2-4-5> TCP/IP 필터링 93 <그림 2-2-5-1> 감사 정책 목록 94 <그림 2-2-5-2> 감사 설정 방법 94 <그림 2-2-5-3> Windows의 이벤트 로그 95 <그림 2-2-5-4> 로그온 실패 기록 95 <그림 2-2-5-5> 로그온 실패 사유 95 <그림 2-2-5-6> NTFS 암호화 96 <그림 2-2-5-7> 암호화 설정 96 <그림 2-3-1-1> IIS 관리자에서 가상디렉토리 삭제 100 <그림 2-3-1-2> 실제폴더 삭제 100 - xvi -
<그림 2-3-1-3> 디렉토리 목록 검색 방지 설정 101 <그림 2-3-2-1> 시스템 관리자 실행화면 104 <그림 2-3-2-2> 서버의 등록정보 메뉴 104 <그림 2-3-2-3> 릴레이 설정 메뉴 105 <그림 2-3-2-4> 릴레이 허용 대상 추가 화면 105 <그림 2-3-2-5> 릴레이 허용 대상 지정 106 <그림 2-3-5-1> 보안운영체제의 개념 112 <그림 3-1-1-1> NAT의 기능 123 <그림 3-1-2-1> 라우팅 및 원격액세스 선택 124 <그림 3-1-2-2> 라우팅 및 원격액세스 사용 및 구성 클릭 124 <그림 3-1-2-3> 인터넷 연결서버 선택 125 <그림 3-1-2-4> 라우팅 프로토콜과 함께 라우터 설치 선택 125 <그림 3-1-2-5> 인터넷 연결 선택 126 <그림 3-1-2-6> 이름 및 주소 변환 서비스 126 <그림 3-1-2-7> 주소 할당 범위 127 <그림 3-1-2-8> 등록정보 선택 127 <그림 3-1-2-9> IP 주소 자동 할당 선택 128 <그림 3-1-2-10> 클라이언트가 DNS를 사용 선택 128 <그림 3-1-2-11> 인터넷프로토콜 등록정보 129 <그림 3-1-2-12> 게이트웨이 설정 130 <그림 3-1-2-13> 사설 IP주소 및 DNS 설정 131 <그림 3-1-3-1> IP 공유기 설치 위치 132 <그림 3-2-1-1> IOS 버전 확인 134 <그림 3-2-1-2> 콘솔 포트 지정 135 <그림 3-2-1-3> 사용자 계정 및 암호 설정 135 <그림 3-2-1-4> IP 접근 목록 설정 137 <그림 3-2-1-5> 서비스 차단 138 - xvii -
<그림 3-2-2-1> ARP Inspection 144 <그림 3-2-2-2> 스위치 간 Spanning Tree 145 <그림 3-2-2-3> Vlan 호핑 공격 146 <그림 3-2-2-4> DHCP 동작방식 147 <그림 3-3-1-1> 침입차단시스템 구성 예 150 <그림 3-3-2-1> 바이러스월 구성 예 153 <그림 3-3-3-1> 스팸차단시스템 구성 예 157 <그림 3-4-1-1> 네트워크 기반 침입탐지시스템 구성 예 159 <그림 3-4-3-1> 가상사설망 동작구조 164 <그림 3-5-1-1> 네트워크 관리 시스템 구성 예 169 <그림 3-5-2-1> 통합관리시스템 구성 예 172 <그림 4-2-1-1> Windows 2000의 백업 유틸리티 178 <그림 4-2-1-2> 백업 마법사 시작 179 <그림 4-2-1-3> 백업할 데이터 선택 179 <그림 4-2-1-4> 백업 위치 선택 180 <그림 4-2-1-5> 백업마법사 완료 180 <그림 4-2-2-1> 백업을 위한 파일서버 구성 184 <그림 4-2-2-2> 파일서버를 드라이브로 연결 184 <그림 4-3-1-1> 고스트 백업 마법사-1 187 <그림 4-3-1-2> 고스트 백업 마법사-2 187 <그림 4-3-1-3> 고스트 백업 마법사-3 188 <그림 4-3-1-4> 고스트 백업 마법사-4 188 <그림 4-4-1-1> Enterprise Manager 초기화면 192 <그림 4-4-1-2> Enterprise Manager 백업장치 속성 192 <그림 4-4-1-3> Enterprise Manager 백업장치 생성 192 <그림 4-4-1-4> Enterprise Manager 백업설정 193 <그림 4-4-1-5> Enterprise Manager 백업진행 193 - xviii -
<그림 4-4-1-6> Enterprise Manager DB복원진행 194 <그림 4-4-1-7> Enterprise Manager DB복원 설정 194 <그림 4-4-2-1> IIS 백업 선택 197 <그림 4-4-2-2> IIS 백업 만들기 198 <그림 4-4-2-3> IIS 복원 선택 198 <그림 4-5-1-1> 시스템 이중화 구성 예 203 <그림 4-6-1-1> 비용과 복구시간에 따른 백업 사이트 204 <그림 4-6-1-2> 백업 매체 소산 205 <그림 4-6-1-3> 네트워크를 이용한 소산 205 <그림 4-6-2-1> 백업회선 동작 방식 207 <그림 5-5-2-1> 위험관리 절차 222 - xix -
제 1 장 PC 보안 제 1 절 PC 운영체제 기본 보안 [S1] 1. Windows 업데이트 PC 운영체제인 Windows는 정식 발매이후에도 문제점이 종종 발견 되어 해커들이 이를 이용하여 해킹 1) 할 수 있으므로 기본기능으로 내장된 업데이트 기능을 이용하여 보안패치 등이 최신버전을 유지할 수 있도록 지속적인 업데이트 필요 가. Windows 98/2000 업데이트 절차 자동업데이트 설정방법 1 [시작] [제어판] [자동업데이트] 선택 2 컴퓨터를 업데이트 상태로 유지합니다. 항목 체크 3 자동으로 업데이트를 다운로드하고 사용자가 지정한... 항목 선택 업데이트 시간은 컴퓨터가 켜져 있는 시간에 맞추어 설정해야 자동업데이트가 실행된다. 4 [적용] [확인] 클릭 자동업데이트를 설정한 경우, 우측 하단의 트레이에 동그란 업데이트 아이콘이 생기면서 다운로드 및 설치를 진행하므로 진행률을 참고하여 업데이트가 완료 되도록 해야 한다. 1) 해킹 : 다른 사람의 컴퓨터나 정보시스템에 불법 침입하거나 정보시스템의 정상적인 기능이나 데이터에 임의로 간섭하는 행위 - 1 -
<그림 1-1-1-1> 자동 업데이트 수동업데이트 설정방법 1 인터넷 연결이 되어있는 상태에서 작업표시줄에서 [시작] [Windows Update] [업데이트 실행] [인증창] [예] 클릭 <그림 1-1-1-2> Windows Update - 2 -
<그림 1-1-1-3> 업데이트 사이트 접속 2 Windows Update 페이지로 링크되면 최신 버전의 Windows Update 소프트 웨어가 있는지 확인 중... [빠른설치](권장) 또는 [사용자 지정 설치] 클릭 <그림 1-1-1-4> 업데이트 확인중 - 3 -
<그림 1-1-1-5> 업데이트 설치 3 Windows 정보와 업데이트 정보를 분석하는 화면이 나온 후 업데이트 할 항목의 개수가 표시되면 [지금 다운로드 및 설치] 클릭하여 설치를 시작하고, 설치 완료 후 안내에 따라 시스템 재시작 인터넷 속도와 업데이트 목록에 따라서 수분 ~ 수십 분이 걸릴 수도 있으며, 웹 브라우저를 업데이트 시 일반 다운로드 사이트에서 Internet Explorer 6.0버전을 다운받아서 설치하면 조금이나마 시간을 절약할 수 있다. <그림 1-1-1-6> 다운로드 및 설치 - 4 -
나. Windows XP 업데이트 절차 자동업데이트 설정방법 1 [시작] [설정] [제어판] [자동업데이트] 선택 2 [자동(권장)] 항목과 원하는 시간을 선택한 후 [확인] 클릭 업데이트 시간은 컴퓨터가 켜져 있는 시간에 맞추어 설정해야 자동업데이트가 실행된다. <그림 1-1-1-7> 자동 업데이트 수동업데이트 설정방법 1 인터넷 연결이 되어있는 상태에서 작업표시줄에서 [시작] [모든 프로그램] [Windows Update] 선택 - 5 -
<그림 1-1-1-8> 수동 업데이트 2 Windows Update 페이지로 링크되면 최신 버전의 Windows Update 소프트 웨어가 있는지 확인 중... [빠른설치](권장) 또는 [사용자 지정 설치] 클릭 <그림 1-1-1-9> 업데이트 확인 중 - 6 -
<그림 1-1-1-10> 업데이트 설치 3 사용자의 시스템에 설치되어 있는 Windows 정보와 업데이트 정보를 분석하는 화면이 나온 후 업데이트 할 항목의 개수가 표시되면 [지금 다운로드 및 설치] 클릭 <그림 1-1-1-11> 다운로드 및 설치 - 7 -
4 설치가 완료되면 메시지에 따라 시스템을 재시작 설치 완료 후 좌측 창에서 [설치 내역 보기]를 클릭하면 다운로드 하여 설치한 날짜나 성공여부, 그 내용 등을 볼 수 있으며, 일부 설치된 패치들은 Windows를 다시 시작한 후에 시스템에 적용된다. Windows Update 관련 상세자료는 다음 사이트 참조 Windows 업데이트 자주 묻는 질문과 답변 (FAQ) http://update.microsoft.com 좌측메뉴 옵션 질문과 답변 2. 계정 및 암호 관리 가. 계정설정 웜 2) 이나 바이러스 3) 등에 감염되더라도 피해를 최소화할 수 있도록 일반사용자 계정과 관리자 계정을 분리하고, 사용자 계정에 따라 권한과 암호를 설정하여 로그인을 할 수 있도록 보안설정 필요 Windows 계정의 구분 Windows에서 계정 설정 시 일반사용자 및 관리자 계정은 다음 아래와 같이 구분하여 설정하도록 한다. 2) 웜 : 독립적으로 자기복제를 실행하여 번식하는 빠른 전파력을 가진 컴퓨터 프로그램 또는 실행 가능한 코드 3) 바이러스 : 컴퓨터 프로그램이나 메모리에 자신 또는 자신의 변형을 복사해 넣는 악의적인 명령어들로 조합하여 불특정 다수에게 피해를 주기 위한 목적으로 제작된 모든 컴퓨터 프로그램 또는 실행 가능한 코드 - 8 -
[표 1-1-2-1] 일반사용자 및 관리자 계정 구분 유형 사용 일반사용자 계정 시스템 관련사항을 변경할 수 없는 계정 관리자 계정 프로그램 설치, 시스템 설정변경 등의 컴퓨터를 관리할 수 있는 계정 Windows 98 계정등록 및 암호 설정 1 [시작] [설정] [제어판] [사용자]를 선택 암호 변경만을 원할 경우는 [암호]를 선택하여 작업할 수도 있다. (Windows 98에서는 별도의 관리자 계정이 없음) <그림 1-1-2-1> 제어판 선택 - 9 -
<그림 1-1-2-2> 사용자 선택 2 사용자 설정 창이 나타나면 암호 변경을 원하는 계정을 선택 후 [암호설정] 버튼을 클릭 <그림 1-1-2-3> 암호 설정 - 10 -
3 암호 바꾸기 창이 뜨면 [이전암호]와 [새 암호], [새 암호 확인]를 입력 하고 다시 시작이나 로그오프 암호는 쉽게 추측할 수 없도록 8자 이상의 특수문자([, *, #,? 등)와 숫자, 영문자가 조합된 암호를 사용해야 안전하다. <그림 1-1-2-4> 암호 바꾸기 Windows XP 계정등록 및 암호 설정 계정생성의 경우는 [새 계정 만들기]에서 가능하며 그 외의 방법은 아래 의 Windows 2000과 동일하다. 암호 설정 방법은 아래와 같다. 1 [시작] [설정] [제어판] [사용자 계정] 버튼 클릭 후 암호를 변경하고자 하는 계정 선택 <그림 1-1-2-5> 사용자 계정 선택 - 11 -
2 [암호 만들기] 선택 <그림 1-1-2-6> 암호 만들기 선택 3 새로운 암호와 이전 암호를 입력한 후, [암호 만들기] 버튼 클릭 <그림 1-1-2-7> 암호 입력 - 12 -
Windows 2000 계정등록 및 암호 설정 1 [내 컴퓨터] 마우스 오른쪽 버튼을 클릭하고, [관리]를 선택 <그림 1-1-2-8> 관리 선택 2 [컴퓨터관리] [시스템 도구] [로컬 사용자 및 그룹] [사용자]선택 3 [사용자]의 오른쪽 창에 나타나는 것이 계정이며, 생성은 우측 창에서 마우스 오른쪽 버튼을 클릭하여 [새 사용자]를 선택 <그림 1-1-2-9> 컴퓨터 관리에서 사용자 선택 - 13 -
4 [사용자 이름]이 로그인 ID이며, 암호를 입력하고 [만들기] 버튼을 클릭하여 계정 생성 [다음 로그온 할 때 반드시 암호 변경] 은 최초 로그온 시 암호를 변경하도록 설정한다. 암호는 쉽게 추측할 수 없도록 8자 이상의 특수문자([, *, #,? 등)와 숫자, 영문자가 조합된 암호를 사용해야 안전하다. <그림 1-1-2-10> 새 사용자 설정 5 계정 리스트에서 방금 생성한 계정을 아래와 같이 확인할 수 있음 <그림 1-1-2-11> 계정 확인 6 기존 계정의 암호 변경을 원할 경우, 변경하고자 하는 계정에서 마우스 오른쪽 버튼을 눌러 [암호설정]을 클릭하여 변경할 암호를 입력한 후 [확인] 버튼 클릭 - 14 -
<그림 1-1-2-12> 암호 설정 선택 <그림 1-1-2-13> 암호 변경하기 7 계정 등록정보 변경을 원할 경우에는 계정을 더블클릭하거나 마우스 오른쪽 버튼을 클릭하여 [등록정보]를 열어서 편집 <그림 1-1-2-14> 계정 등록정보 변경 - 15 -
8 [소속그룹]탭을 눌러 특정계정의 소속 그룹을 변경할 수 있으며, 그룹은 [로컬 사용자 및 그룹] [그룹]을 선택하여 확인할 수 있음 <그림 1-1-2-15> 그룹 선택 나. 암호 관리 암호를 사용하지 않으면 사용자의 개인정보가 고의 또는 실수로 타인에게 유출될 수 있으므로 암호 설정은 반드시 필요하며, 암호 설정 시에는 특수문자 등을 이용하여 타인이 추측할 수 없도록 설정 필요 부적절한 암호 생성의 예 이름, 전화번호, 생년월일, 차량번호, 사원번호 등과 같이 쉽게 사용자를 추측 할 수 있는 암호 숫자만으로 이루어지거나 길이가 짧은 암호 love, happy와 같이 잘 알려진 단어로 구성된 암호 - 16 -
바람직한 암호 생성요령 특수문자([, *, #,? 등)와 숫자, 영문자가 조합된 암호 8자 이상의 길이로 영문자와 숫자 등이 조합된 암호 3. 공유폴더 관리 공유 폴더는 네트워크를 통해 여러 사람이 사용할 수 있도록 제공되는 컴퓨터의 공동 자료저장 공간이므로, 임의의 사용자가 삭제 또는 위 변조 하지 못하도록 숨은 공유 폴더 제거 및 공유 폴더 권한설정 필요 가. Windows 98 공유폴더 설정 방법 1 공유하고자 하는 폴더를 선택 한 다음 오른쪽 마우스 클릭 한 후 [공유] 선택 2 공유폴더에 암호설정 및 읽기(또는 쓰기) 권한 부여 <그림 1-1-3-2> 읽기/쓰기 암호 다름 <그림 1-1-3-1> 읽기/쓰기 암호 동일 - 17 -
공유폴더 관리 Windows 98의 경우 네트워크 감독을 추가 설치하여 공유폴더를 관리할 수 있다. 1 [시작] [설정] [제어판] [프로그램 추가/제거] 선택 후 [프로그램 추가/제거 등록정보] 창에서 [Windows 설치] 탭 선택 <그림 1-1-3-3> 시스템 도구 선택 2 [시스템 도구]를 선택 후 [자세히] 버튼을 클릭하여 [네트워크 감독]을 선택 후 [확인] 버튼 클릭 <그림 1-1-3-4> 네트워크 감독 설치 - 18 -
3 Windows 98 설치 CD를 CD롬 드라이브에 넣으면 네트워크 감독 설치가 시작됨 4 설치 후 공유폴더 관리를 수행하기 위해서는 [시작] [보조프로그램] [시스템 도구] [네트워크 감독]을 선택하거나, [시작] [실행] netwatch 입력 <그림 1-1-3-5> 네트워크 감독을 통한 공유폴더 관리 나. Windows 2000/XP 운영체제 설치 시 초기 설정된 숨은 공유폴더 4) 제거 방법 1 관리자 권한(Administrator)으로 로그인 2 레지스트리 편집기 실행: [시작] [실행] regedit 3 레지스트리 값 설정 레지스트리 편집기의 좌측 트리구조에서 [HKEY_LOCAL_MACHINE\ SYSTEM \CurrentControlSet\Services\lanmanserver\parameters] 선택 4) 숨은 공유폴더 : 관리자, 프로그램 및 서비스가 네트워크의 컴퓨터 환경을 관리하는데 사용할 수 있는 숨겨진 관리자 공유 폴더 - 19 -
레지스트리 편집기의 오른쪽 창 빈 공간에 마우스 오른쪽 버튼을 클릭하여 [새로 만들기] [DWORD 값(D)] 메뉴 선택 <그림 1-1-3-6> 레지스트리 값 설정 입력 값 설정 화면에서 [이름] 필드에 [AutoShareWks]를 입력 후 엔터키 누름 운영체제 종류에 따라 이름 필드에 입력되는 값을 다음과 같이 다르게 설정 해야 한다. - Windows 2000 professional, Windows XP : AutoShareWks - Windows 2000/2003 Server : AutoShareSvr 숨은 공유폴더를 위와 같은 방법으로 제거하지 않으면, 서버 서비스를 중지한 후 재시작하거나 컴퓨터를 다시 시작하여도 재생성 된다. <그림 1-1-3-7> 레지스트리 값 추가 - 20 -
4 네트워크 설정을 위한 명령 프롬프트 실행 : [시작] [실행] cmd 실행 <그림 1-1-3-8> cmd 실행 5 명령 프롬프트에서 다음의 명령어를 실행 C:\net share C$ /delete C:\net share D$ /delete C:\net share Admin$ /delete 공유 폴더 관련 자료는 다음 사이트 참조 Microsoft Windows 공유 폴더 참조 사이트 클라이언트 컴퓨터에서 숨겨진 공유 또는 관리자 공유를 만들고 삭제하는 방법 http://support.microsoft.com/default.aspx?scid=kb;ko;314984 Windows XP의 파일 공유 및 사용 권한에 대한 설명 support.microsoft.com 좌측메뉴에서 Windows XP 네트워크 파일공유 및 사용권한 4. 화면보호기 설정 화면보호기는 모니터에서 작업 중인 내용을 감추는 기능과 타인의 직접적인 접근을 차단하는 기능을 수행하므로, 일정시간 자리를 비울 경우 화면보호기 암호가 작동되도록 설정 필요 - 21 -
Windows 98/2000의 화면보호기 설정 1 [시작] [설정] [제어판] [디스플레이]를 선택 후 등록정보 실행 <그림 1-1-4-1> 디스플레이 선택 2 [디스플레이 등록정보] 창이 나타나면, [화면보호기]를 선택 <그림 1-1-4-2> 화면 보호기 선택 - 22 -
3 화면보호기를 선택 후 [암호사용]에 체크를 하고 [변경]버튼 클릭 <그림 1-1-4-3> 화면 보호기 설정 4 새 암호 및 새 암호 확인에 화면보호기 암호를 입력 후 [확인]버튼 클릭 <그림 1-1-4-4> 화면 보호기 암호 설정 5 [대기시간]을 설정한 후 [확인] 버튼 클릭 <그림 1-1-4-5> 대기 시간 설정 - 23 -
6 대기시간이 지나면 화면보호기가 실행되며, Windows 화면으로 돌아가기 위해서는 이전에 설정한 화면보호기 암호를 입력 <그림 1-1-4-6> 화면 보호기의 암호 입력 Windows XP의 화면보호기 설정 1 [시작] [설정] [제어판]에서 종류별 보기인 경우 [모양 및 테마] [화면 보호기 선택]을 선택하고, 클래식 보기인 경우 [디스플레이]를 선택 바탕화면에서 마우스 오른쪽 버튼을 클릭하여 등록정보를 선택하는 방법도 있다. <그림 1-1-4-7> 종류별 보기 - 24 -
<그림 1-1-4-8> 클래식 보기 2 [디스플레이 등록정보] 창이 나타나면, [화면보호기]를 선택한 후, 화면보호기 설정을 [없음]에서 원하는 모양을 선택 3 화면보호기에 암호를 설정하기 위해 [다시 시작할 때 암호로 보호] 체크박스 선택 <그림 1-1-4-9> 화면보호기 암호설정 4 [적용], [확인] 버튼 클릭 - 25 -
5. 웹 브라우저 보안 설정 웹 브라우저 5) 의 보안설정이 [보통] 이하이면 사용자 동의 없이 스파이웨어 등이 설치되고, 이로 인해 악성프로그램으로 인한 해킹목표 및 해킹 경유지로도 사용될 우려가 높으므로 보안 수준 설정은 [보통] 이상 설정해야 하며, 필요에 따라서는 [사용자 지정] 설정 필요 가. 보호수준 설정 1 웹브라우저인 Internet Explorer에서 [도구] [인터넷 옵션] [보안] 탭 선택 2 [인터넷]을 선택한 후, 이 영역에 적용할 보안 수준 에서 슬라이더를 [보통]이상으로 설정 아래의 [인터넷 옵션] [보안] 탭에서 [신뢰할 수 있는 사이트]에 등록된 사이트는 보안 옵션의 적용을 받지 않고 모든 작업이 허용된다. 스파이웨어 6) 등의 악성 프로그램이 자신의 사이트를 [신뢰할 수 있는 사이트]에 등록하는 경우가 종종 있으므로 등록된 사이트 목록을 주기적으로 확인해야 한다. <그림 1-1-5-1> 보안수준 설정 5) 웹 브라우저 : 사용자의 컴퓨터가 인터넷에 접속되어 웹 서버로부터 가져온 여러 가지 정보를 볼 수 있도록 도와주는 소프트웨어로서, Microsoft사의 인터넷 익스플로러와 Netscape사의 커뮤니케이터 등이 있음 6) 스파이웨어 : 사용자의 정보를 수집해 다른 사람에게 제공하기 위한 프로그램 - 26 -
나. 악의적인 ActiveX 컨트롤 설정 웹 서핑 시 다양한 ActiveX 컨트롤이 실행된다. 신뢰할 수 없는 곳에서의 전자서명 없는 컨트롤이나 공인되지 않은 컨트롤은 설치하지 않는 것이 바람직하다. 안전한 ActiveX 및 플러그인 사용을 위해서는 [보안] 탭을 선택 한 후 [사용자 지정 수준] 클릭하여 아래와 같이 설정 <그림 1-1-5-2> 사용자 지정 Internet Explorer 보안 관련 상세자료는 다음 사이트 참조 http://support.microsoft.com/ph/2073 Internet Explorer 보안 참조 사이트 6. 이메일 보안설정 Outlook Express 등의 메일 프로그램을 사용하여 웜 혹은 스파이웨어에 감염된 메일을 열어볼 경우 바이러스, 악성코드 등으로 계정 및 암호, 신용정보 등이 유출될 위험이 크므로 이를 방지하기 위해 바이러스 방지 및 미리보기 방지 기능 설정 필요 - 27 -
Outlook Express의 바이러스 방지 설정 Outlook Express의 [도구] [옵션] [보안] 탭의 바이러스 방지 부분을 다음 그림과 같이 설정 <그림 1-1-6-1> 아웃룩 보안설정 미리보기 방지 설정 Outlook Express에서는 [보기] [레이아웃]을 클릭한 후, [미리 보기 창 표시] 체크박스를 선택하지 않는 것으로 설정 <그림 1-1-6-2> Outlook Express 미리보기 방지 설정 - 28 -
Microsoft Outlook에서는 받은 편지함 선택 후 [보기] [미리보기 창]을 클릭하여 받은 편지를 미리보지 않는 것으로 설정 웹 메일 설정 <그림 1-1-6-3> Microsoft Outlook 미리보기 방지 설정 받은 편지에 대한 바이러스 검사를 자동으로 해 주는 웹 메일 시스템을 사용 시 보안 접속 기능을 제공하는 경우 반드시 체크해야 한다. 보안접속은 사용자가 입력한 아이디 및 비밀번호를 암호화해서 전송하므로 도청 (sniffing) 공격으로부터 자신의 비밀번호를 보호할 수 있다. <그림 1-1-6-4> 보안접속 7. 침입차단 및 팝업차단 기능 설정 PC는 인터넷에 연결되는 순간부터 해커들로부터 지속적으로 공격을 받게 되는데, 이렇게 공격자가 네트워크를 통해 내 PC로에 접속하지 못하도록 하기 위해 Windows에서 제공하는 침입차단 기능 설정 필요 Windows 방화벽은 Windows XP의 Service Pack 2에서 제공하는 기능이다. Service Pack 2는 Windows Update 서비스를 이용하거나, 마이크로소프트 다운로드 센터를 통해 다운로드 받을 수 있다. (http://www.microsoft.com/korea/download의 Windows XP 항목) - 29 -
가. Windows XP 침입차단기능 설정 1 컴퓨터 화면의 작업표시줄에서 [시작] [설정] [제어판] [보안센터] 선택 <그림 1-1-7-1> 보안센터 선택 2 [보안설정 관리대상] [Windows 방화벽] 클릭 <그림 1-1-7-2> 보안센터 - 30 -
3 [일반] 탭에서 [사용(권장)] 선택 <그림 1-1-7-3> Windows 방화벽 설정 4 [사용]을 선택한 후 [확인] 버튼 클릭 [예외 허용 안 함] 버튼을 체크하면 일부 프로그램에서 인터넷 접속이 불가능한 경우가 있으니, 고급사용자가 아니라면 [예외 허용 안 함] 버튼은 선택하지 않는 것이 좋다. Windows XP Service Pack 2를 설치하면 웹 브라우저(Internet Explorer)에서 팝업창 차단 기능을 활용할 수 있으며, 이를 통해 팝업 창을 통한 바이러스나 스파이웨어의 유입을 차단할 수 있다. 나. Windows XP 팝업 차단 기능 설정 팝업 차단 활성화 Internet Explorer의 [도구] [팝업 차단] [팝업차단 사용] 선택 <그림 1-1-7-4> 팝업 차단 사용 - 31 -
팝업 허용목록에 없는 사이트의 팝업 허용 Internet Explorer 주소 표시 창 아래에 생기는 알람 표시줄을 클릭하여 [현재 사이트의 팝업을 항상 허용]을 선택 임시로 허용하기를 원한다면 [임시로 팝업 허용] 선택 <그림 1-1-7-5> 현재 사이트의 팝업을 항상 허용 Internet Explorer의 [도구] [팝업 차단] [팝업 차단 설정]을 클릭하여 허용할 웹 사이트 주소를 목록에 직접 추가 팝업을 허용하고자 하는 사이트 주소 *.kisa.or.kr 등을 입력하고 [추가]버튼 클릭 Windows XP Service Pack 2 이외에도 인터넷 검색엔진을 이용하면 팝업차단 기능을 제공하는 공개용 프로그램을 많이 찾을 수 있음 <그림 1-1-7-6> 팝업 차단 설정 - 32 -
Windows 방화벽과 관련한 상세정보는 다음 사이트 참조 Windows 방화벽 참조 사이트 인터넷침해사고대응지원센터 www.krcert.or.kr 보안문서 Windows 2000/XP에 내장된 방화벽을 통한 보안 TR2003008 8. 부팅디스크 관리 해킹, 바이러스, 웜 등에 의한 침해사고 7) 시 부팅이 안되어 자료손실을 초래할 수 있으므로, 시스템 복구를 위해 별도의 부팅디스크 제작 필요 가. Windows 98 부팅디스크 작성 1 [시작] [설정] [제어판] [프로그램 추가/제거]를 선택한 후 [시동 디스크]탭에서 [디스크 작성] 버튼 클릭 <그림 1-1-8-1> 시동 디스크 7) 침해사고 : 전자적 침해행위로 인하여 발생하는 사고 - 33 -
2 플로피 디스크를 넣은 후 [확인] 버튼 클릭 <그림 1-1-8-2> 디스크 삽입 <그림 1-1-8-3> 시동디스크 작성 시스템 복구를 위한 부팅 절차 컴퓨터를 다시 시작한 후, 윈도우가 부팅되기 전에 [F8] 키를 눌러 부트 메뉴가 나타나면 [3.Safe Mode]를 선택하여 안전모드 로 부팅 <그림 1-1-8-4> Safe Mode 선택 또는, 작성된 부팅디스크를 플로피 디스크에 삽입한 후, 컴퓨터를 재시작 플로피 부팅을 위해서는 CMOS(complementary metal-oxide semiconductor)에서 플로피 부팅이 가능하도록 설정해야 함 - 34 -
시스템 복구와 관련한 정보는 다음 사이트 참조 마이크로소프트 고객지원 홈페이지 support.microsoft.com 좌측 메뉴 중 해당 운영체제 선택 백업, 복원, 복구 선택 좌측 메뉴 중 해당 운영체제 Troubleshoot 나. Windows 2000/XP Windows 2000/XP 계열은 부팅디스크를 작성할 필요 없이, 설치 시디롬 이 부팅디스크 기능을 대신하며, Windows 2000/XP 에서는 부트 할 수 없는 컴퓨터에 액세스할 때 안전 모드와 복구 콘솔 두 가지 부트 방법을 제공한다. 안전 모드로 부트 1 시스템을 재시작하여 윈도우가 부팅되기 전에 [F8] 키를 눌러 나타나는 부트 메뉴 중 안전 모드 를 선택 2 안전 모드로 부팅 후 Administrator 로 로그인 복구 콘솔로 부트 1 [설치 시디롬]으로 부팅한 다음 R' 키를 눌러 Windows 복구 선택 - 35 -
<그림 1-1-8-5> Windows 복구 R 키 2 [복구 옵션]에서 'C' 키를 눌러 [복구 콘솔]을 선택한 후, 관리자 암호 입력 <그림 1-1-8-6> 복구콘솔 C' 키 - 36 -
<그림 1-1-8-7> 관리자 암호 입력 부팅 가능한 CD롬이 없는 사용자는 다음의 플로피 디스크용 시동 디스크 파일 다운로드 사이트 참조 플로피 디스크용 시동 디스크 파일 참조 사이트 Windows XP home edition용 플로피 부팅 디스크 www.microsoft.com/korea 제품 리소스 다운로드 목차의 Windows XP' 클릭 Windows XP Home Edition 유틸리티: 플로피 부트 설치용 시동 디스크 Windows XP professional용 플로피 부팅 디스크 www.microsoft.com/korea 제품리소스 다운로드 목차의 Windows XP' 클릭 Windows XP Professional 유틸리티: 플로피 부트 설치용 시동 디스크 9. 무선랜 보안 설정 무선랜 사용 시 해커가 무선랜 AP 8) (Access Point)에 접속해 네트워크를 사용할 수 있고, 자신의 네트워크 패킷을 도청해 각종 계정, 암호, 신용정보 등 중요정보를 가로챌 수 있으므로 보안설정 필요 - 37 -
데이터 암호화 1 컴퓨터 화면의 작업표시줄에서 [시작] [연결대상] [무선네트워크 연결]을 선택한 다음 [속성] 버튼 클릭 <그림 1-1-9-1> 무선네트워크연결 2 [무선 네트워크 연결 속성] 창이 뜨면 자신이 사용 중인 AP를 선택한 다음 [속성] 버튼 클릭 아래 예제는 'kisa-ap2' 라는 무선인터넷을 사용하는 예제임 <그림 1-1-9-2> 무선네트워크연결 속성 8) AP : 무선 랜 카드들이 신호를 받아오는 중간 장비로서 무선 랜 사용시 AP를 통해 데이터를 전송받는다. - 38 -
3 [연결정보]탭을 선택한 후 [데이터 암호화]에서 [WEP(Wired Equivalent Privacy)]을 선택 <그림 1-1-9-3> 연결정보 입력 4 네트워크 키가 있으면 [키가 자동으로 공급됨]을 체크를 해제하고 미리 지정한 [네트워크 키]를 입력 만약, 네트워크 키 값이 있는 경우 무선랜 관리 담당자에게 문의하여야 한다. 인증방식 설정 IEEE 802.11b 표준에서는 무선 클라이언트와 AP 간에 간단한 인증 방식을 설명하고 있으며, 그 세가지 인증방식으로 개방, 공유, 자동이 있다. 개방 인증방식 보안을 고려하지 않을 경우 및 사용하기 쉬운 점을 고려한 방식이다. 무선 스테이션과 AP 는 암호키를 가지고 있지 않으므로, 무선 스테이션은 다른 모든 AP 에 접속을 할 수 있으며, 암호화 되어있지 않은 일반적인 전송되는 데이터를 수집할 수 있다. 공유 인증방식 AP 에서 무선 스테이션을 인증할 수 있는 공유된 암호키를 사용하는 방식으로 무선 스테이션과 AP 모두 공유된 암호키(일반적으로 WEP 암호화 및 WEP key)를 지정하고, 보안 기능을 사용가능하게 설정해야 한다. - 39 -
자동 인증방식 무선 어댑터가 개방 인증방식과 공유 인증방식을 자동으로 전환할 수 있다. 만일 사용자가 다른 무선 클라이언트의 인증방식을 모를 경우, 자동인증방식을 사용해야 한다. 무선랜 보안 관련 상세정보는 다음 사이트 참조 인터넷 침해사고 대응지원센터 무선랜 보안 www.krcert.or.kr 보안문서 기술문서(2002년) 문서ID : TR2002001 10. 문서 암호 설정 문서에 암호를 설정한 후 저장하면 저장 내용이 암호화되어 내용 유출을 막을 수 있으므로 중요 문서는 암호화가 필요 가. MS 워드(MS 워드 2003 기준) 1 [도구] [옵션] [보안] 탭 클릭 <그림1-1-10-1> MS워드암호설정 - 40 -
2 암호를 입력 후 [확인] 버튼을 누르면 나타나는 암호 확인 창에 입력했던 암호를 다시 입력하고 [확인] 버튼을 클릭 단, 열기 암호와 쓰기 암호를 모두 지정했다면 암호 확인 창이 두 번 나타남 암호는 대소문자를 구분하고 문자, 숫자, 공백, 기호의 모든 조합이 포함될 수 있으며 최대 15자까지 지정할 수 있다. 나. 한글(한글 2004 기준) 1 [파일] 메뉴에서 [문서 암호] 클릭 <그림 1-1-10-2> 한글 암호 설정 2 [문서 암호 설정] 대화 상자의 문서 암호 에 원하는 암호를 5글자 이상 입력 3 암호 확인 에 입력했던 암호를 다시 입력하고 설정 버튼을 클릭 암호는 최소 5글자 이상, 최대 44글자까지 기억됨 다. 엑셀(엑셀 2003 기준) 1 [도구] [옵션] [보안] 탭 클릭 2 암호를 입력 후 [확인] 버튼을 누르면 나타나는 암호 확인 창에 입력했던 암호를 다시 입력하고 [확인] 버튼 클릭 암호 제한은 워드 2003과 동일함 - 41 -
<그림 1-1-10-3> 엑셀 암호 설정 라. 파워포인트(파워포인트 2003 기준) 1 [도구] [옵션] [보안] 탭 클릭 <그림 1-1-10-4> 파워포인트 암호 설정 2 암호를 입력 후 [확인] 버튼을 누르면 나타나는 암호 확인 창에 입력했던 암호를 다시 입력하고 [확인] 버튼 클릭 암호 제한은 워드 2003과 동일함 - 42 -
제 2 절 PC 운영체제 고급 보안 [S2] 1. 운영체제의 불필요한 서비스 제거 Windows를 설치하면 많은 수의 서비스들이 설치되는데 일부 서비스는 실제로 거의 사용되지 않으면서 보안 취약점을 발생시킬 수 있으므로 이러한 서비스 제거 필요 불필요한 서비스 제거 방법 1 [제어판] [관리도구] [서비스] 에서 현재 실행중인 서비스 목록 확인 <그림 1-2-1-1> 서비스 목록 2 서비스 목록 그림에서 제거할 서비스를 선택한 후 마우스 오른 쪽 버튼을 클릭하여 [사용안함]으로 지정 단, 사용안함 으로 했을 때 시스템 오류가 발생할 수 있으니 주의해야 하며, 사용자가 설치하지 않은 수상한 Windows 서비스가 설치될 수 있으니, 주기적으로 점검해야한다. 만약 Plug and play 서비스나 Workstation 서비스 등을 중지시킬 경우 장치 인식 불가 등의 현상이 발생할 수 있으니 자신의 운영 환경을 고려하여 필요한 서비스가 멈추지 않도록 해야한다. - 43 -
불필요한 서비스 목록 - Clipbook Service 원격 컴퓨터와 정보 공유를 위한 클립북 뷰어 사용 - Computer Browser Service 네트워크 상의 모든 컴퓨터 목록의 갱신 및 관리 - Internet Connection Sharing Service 인터넷 연결 공유 - Indexing Service 로컬 및 원격 컴퓨터 내의 파일 내용 및 속성을 인덱싱 - NetMeeting Remote Desktop Sharing Service 내부 인트라넷을 통한 바탕화면 원격 공유 서비스 - Remote Registry Service 원격 사용자가 컴퓨터의 레지스트리 설정을 수정 - Routing and Remote Access Service LAN이나 WAN 환경에서 라우팅 서비스를 제공 - Server Service 컴퓨터 내의 파일, 인쇄 등을 네트워크를 통해 공유 - Simple TCP/IP Service Echo, Discard, Character Generator, Daytime, Quote of the Day 프로토콜을 모두 전체 어댑터에서 사용 - SMTP Service 컴퓨터로 직접 메일을 보내기 위한 서비스 - FTP Publishing Service FTP 서비스를 구현 - Telnet Service 텔넷 서비스를 구현 - Task Scheduler Service 작업 스케줄러 서비스 - Terminal Service 터미널을 통해 서버에 원격 접속 - Windows Media Services 실시간으로 미디어 파일을 서비스 2. 이벤트 및 로그관리 불법적인 접근 시도나 침해사고가 발생하였을 때, 증거자료나 추적을 위해서는 이벤트 및 로그를 남겨야 하며, 이를 위해서는 이벤트 뷰어 및 감사정책 설정 필요 - 44 -
이벤트 보기 Windows에서 발생하는 각종 로그를 이벤트 뷰어 를 통해서 확인할 수 있으며, 위치는 [시작] [설정] [제어판] [관리도구] [이벤트뷰어]를 선택을 하면 확인 할 수 있다. 감사정책 설정 <그림 1-2-2-1> 이벤트 뷰어 설정된 보안정책에 위배되는 내용들을 보기 위해서는 각 보안정책별로 실패 항목을 감사하도록 설정이 필요하다. 1 Windows에서 [감사정책]설정은 [제어판] [관리도구] [로컬보안 정책] [로컬정책] [감사정책] 선택 2 [감사정책] 선택 후 오른쪽 화면에 감사가 필요한 이벤트를 선택 3 [로컬보안설정]에서 실패 항목에 체크 보안 관련된 모든 기록이 이벤트 뷰어에 남지 않으며 [감사정책]에서 사용자가 남기도록 지정된 항목만 기록에 남긴다. - 45 -
<그림 1-2-2-2> 감사정책 제 3 절 PC 보안제품 설치 운영 [S2] 1. 바이러스 백신 바이러스는 개인 PC에 저장된 중요 데이터나, 시스템을 손상시키고 백도어 등을 심어 신용정보 등을 유출 시키는 등의 심각한 문제를 초래할 수 있으므로 PC를 안전하게 보호하기 위하여 최소한의 정보보호 제품인 백신은 기본적으로 설치 필요 가. 기본 사용지침 바이러스 백신은 항상 켜 둔 채로 사용하며, 하루에 한번 정도 자동 실행할 수 있도록 설정 - 46 -
새롭게 발견되는 바이러스 차단을 위해 백신의 자동 업데이트 기능을 사용 불법으로 유통되는 소프트웨어 혹은 복사본을 사용하지 말고 정품 소프트웨어를 구입하여 설치 나. 제품사용 방법 (1) V3 V3는 유료제품으로 안철수 연구소(http://info.ahnlab.com/download)에 접속하여 다운로드하여 설치할 수 있으며, 이를 사용하기 위한 주요 기능별 설정방법은 다음과 같다. 실시간 감시 기능 설정 [V3] [시스템 감시] 체크박스에서 "On"에 체크표시를 하면 실시간 감시 기능이 활성화되며, [시스템 감시 On Off] [more]를 클릭해 환경설정 화면에서 [검사 파일 형식]에서 실시간 검사를 수행할 파일형식을 설정 <그림 1-3-1-1> 실시간 검사기능 On/Off 설정 - 47 -
실시간 감시 설정 시 주의사항 Pop3 감시와 outlook 감시를 on할 경우 아래와 같은 문제점이 발생할 수 있으므로 꼭 필요한 감시 기능만 활성화한다. outlook 이메일 수신 불가 메일 계정에 가상의 프록시 서버(127.0.0.1)로 메일 서버를 설정하게 되어 계정 변경시 pop3 감시 에러가 발생하여 pop3 감시 모듈이 정상적으로 작동하지 않게 된다. 시스템 성능 저하 아웃룩 익스프레스(pop3)나 MS 아웃룩을 사용하여 메일을 수신할 때 마다 바이러스가 있는지 검사하게 되어 다른 프로그램의 실행속도 저하가 일어나 시스템이 느려진다. 프린트 불가 감시 기능으로 인해 CPU의 사용이 집중되어 메일 출력시 스풀러로 전송되는 데이터 또한 감시를 거치므로 출력이 지연되어 결국 불가 상태로 된다. 자동 업데이트 설정 [엔진 업데이트 예약] [more]부분을 클릭해 [스마트 업데이트 유틸리티] 창에서 [추가] 버튼을 클릭하여 업데이트 주기 설정 <그림 1-3-1-2> 자동 업데이트 설정 - 48 -
예약 감시 설정 컴퓨터 화면 하단의 트레이 아이콘 [ ] 에서 마우스 오른쪽 버튼을 클릭하여 [환경설정] [예약검사]를 선택하여 원하는 폴더 혹은 파일 선택 <그림 1-3-1-3> 예약 검사 기능 설정 이메일 감시기 활성화 [POP3 감시] 체크박스에서 On 쪽에 체크표시를 하면 메일감시 기능이 활성화되며, [POP3 감시 On Off] [more] [메일검사/감시] 설정 <그림 1-3-1-4> 이메일 감시 활성화 설정 - 49 -
(2) 바이로봇 바이로봇은 유료제품으로 (주)하우리(http://www.hauri.co.kr/download/) 접속하여 다운로드하여 설치할 수 있으며, 이를 사용하기 위한 주요 기능별 설정방법은 다음과 같다. (버전 5.0 기준) 실시간 감시 기능 설정 [바이로봇] [도구] [고급설정] [실시간 모니터링 설정] [Anti-Virus 모니터링]에 체크표시를 하면 실시간 감시 기능이 활성화 됨 <그림 1-3-1-5> 바이로봇 실시간 모니터링 설정 검사대상 지정을 위해서 [도구] [환경설정] [바이러스 검사]에서 실시간 검사를 수행할 대상 파일을 설정 - 50 -
<그림 1-3-1-6> 바이로봇 실시간 모니터링 환경 설정 자동 업데이트 설정 1 바이로봇에서 [도구] [업데이트] 선택 <그림 1-3-1-7> 자동 업데이트 설정 2 다음화면에서 [환경설정] 버튼을 클릭 - 51 -
<그림 1-3-1-8> 자동 업데이트 환경설정 3 자동 업데이트 설정 을 체크하고 접속주기 를 시간단위로 설정 한 후 [종료] 버튼을 클릭하여 종료 <그림 1-3-1-9> 자동 업데이트 주기 설정 예약 감시 설정 1 바이로봇에서 [도구] [예약설정] 선택 - 52 -
<그림 1-3-1-10> 예약 감시 설정 2 다음화면에서 [추가] 버튼을 클릭 <그림 1-3-1-11> 예약 감시 설정-추가 3 다음 화면에서 예약검사 일정을 설정한 후, [다음] 버튼을 클릭하여 예약검사 대상을 선택하고 다음 [종료] 버튼을 클릭하여 종료 <그림 1-3-1-12> 예약 감시 조건 설정 - 53 -
이메일 감시기 활성화 [고급설정] [실시간 모니터링 설정] [Email protect 설정]에 체크표시하고 [확인] 클릭 후, 메뉴에서 [기능] [메일검사]를 선택하여 E-mail Protect 부분의 설정 을 체크한 다음 [확인] 버튼 클릭 <그림 1-3-1-13> 바이로봇 이메일 감시기 활성화 <그림 1-3-1-14> 바이로봇 이메일 실시간 모니터링 활성화 (3) ASP 형 백신 웹 기반의 PC바이러스 백신 서비스로 온라인임대(ASP) 방식으로 제공된다. PC 바이러스 백신 소프트웨어를 일일이 컴퓨터에 설치하지 않아도 인터넷에 접속해 필요할 때마다 바이러스 진단 및 치료를 할 수 있으며, 서비스에 접속하는 동시에 바이러스 검색엔진이 자동으로 업데이트 된다는 장점이 있으며, 백신 소프트웨어 개발 업체, ISP 등에서 이러한 서비스를 제공하고 있다. PC 바이러스 백신 제품에 관한 상세정보는 다음 사이트 참조 - 54 -
백신 제품 참조 사이트 한국정보보호산업협회 www.kisia.or.kr 회원사안내 회원사정보 바이러스 백신 보호나라 www.boho.or.kr 사이버방역 백신/보안패치 다운로드 2. 스파이웨어 제거기 스파이웨어란 타인의 컴퓨터에 잠입하여 해킹 툴 등을 설치하여 사용자의 중요한 개인 정보를 유출해 내는 프로그램으로 사용자 비밀정보 유출 방지를 위해 스파이웨어 제거기 사용이 필요 주요 기능 컴퓨터에 설치되어 있는 악성코드 및 애드웨어 검색 및 치료 악성코드 및 애드웨어 목록 확인 설정을 통한 예방 및 차단 그 외에도 제품에 따라 모티터링 및 흔적 삭제 기능 등을 제공 시작프로그램 관리, 레지스트리 정리 및 히스토리 삭제 등 스파이웨어 제거기에 관한 상세정보는 다음 사이트 참조 스파이웨어 제거기 참조 사이트 보호나라 http://www.boho.or.kr 상용스파이웨어 제거기 : 사이버방역 온라인 검사 온라인 스파이웨어 제거 사이트 스파이웨어 정보 : 해킹/바이러스 스파이웨어 - 55 -
스파이웨어 제거기를 여러 개 설치하여 사용하다보면 똑같은 파일이 다양한 명칭으로 검사되고, 경쟁사의 안티 스파이웨어를 스파이웨어로 탐지하여 제거되는 문제가 발생하기도 한다. 또한 사용상의 실수로 레지스트리 및 중요 시스템 파일을 지울 수도 있으니 주의가 필요하다. 3. 개인용 침입차단시스템 개인용 침입차단시스템은 개인 PC에 인터넷 등 외부에서 들어오는 트래픽들을 접근통제 9) 규칙에 따라 허가하거나 거부하여 해킹 등의 공격을 차단하는 기본적인 정보보호 제품으로 개인 PC내의 프로그램, 데이터 등의 보호를 위해 필요 주요 기능 개인용 PC에 설치되어 시스템의 모든 포트를 감시할 수 있고 외부로부터 침투가 감지될 경우 자동으로 경보를 울려주는 기능을 내장하고 있다. 네트워크 제어 : 네트워크에 대한 접근통제를 수행 응용 프로그램 제어 : 컴퓨터의 응용 프로그램들 중에서 어떠한 응용 프로그램을 신뢰하고 실행 할 것인가를 설정 개인용 방화벽과 관련한 상세정보는 다음 사이트 참조 침입차단시스템 한국정보보호산업협회 www.kisia.or.kr 회원사안내 회원사정보 침입차단시스템 9) 접근통제 : 침입차단시스템의 중요한 기능적 요구사항 중의 하나로 외부 사용자가 내부 네트 워크로 또는 내부 사용자가 인터넷 등과 같은 외부 네트워크로 통신하기 위해 접 근할 때, 허용된 시스템에서 접근요청을 하는지, 통신 대상이 되는 목적지 시스템 에 대한 접근 권한이 있는지를 검사하여 허용여부를 결정 - 56 -
4. 스팸메일 차단기 스팸메일 차단기는 개인 PC나 서버에 탑재되어 광고, 음란물 등을 포함하는 대량의 불필요한 스팸메일을 제거하는 개인용 정보보호 제품으로, 스팸메일 처리로 인한 업무 생산성 저하, 스팸메일에 포함된 악성코드로 인한 정보유출 등을 방지하기 위하여 스팸메일 차단기 필요 가. 주요기능 스팸메일 차단 및 검사 스팸메일로 잘못 걸러진 경우 대비 복구 기능 다양한 차단 규칙 및 사용자 관리 기능 등 제공 다수의 스팸메일 차단기는 메일보기 프로그램(Outlokk Express, Outlook 등)과 연동하여 스팸메일을 차단하는 기능을 제공한다. 나. 스팸캅 (SpamCop) 스팸캅 소개 스팸캅은 이메일 사용자의 불법스팸메일에 대한 신고를 보다 신속하고 간편하게 하여 이용자의 불법스팸매일 신고를 장려하고 이를 효과적으로 접수할 수 있도록 한국 정보보호진흥원에서 자체 개발한 소프트웨어로 www.spamcop.or.kr 에서 무료로 다운받을 수 있다. 스팸캅 프로그램은 현재 업그레이드 중이므로, 향후 사용자 환경과 기능이 변경될 수 있음 - 57 -
스팸캅 설치(Version 3.0) 1 한국정보보호진흥원 불법스팸대응센터 S/W 다운로드에서 Spamcop 소프트웨어를 무료로 다운받아 설치 <그림 1-3-4-1> 스팸캅 설치 2 설치 후 처음으로 실행하면 아래와 같은 화면이 표시됨 <그림 1-3-4-2> 스팸캅 설치 후 실행화면 - 58 -
3 스팸캅을 실행하면 다음과 같이 불법스팸메일을 신고할 수 있음 작성된 신고사항은 한국정보보호진흥원 불법스팸대응센터에 접수된다. <그림 1-3-4-3> 스팸캅 실행 화면 <그림 1-3-4-4> 불법스팸신고 바로하기 4 스팸신고가 접수되면 다음과 같이 민원 접수된 현황을 볼 수 있음 <그림 1-3-4-5> 스팸캅 실행 화면-민원 접수 화면 스팸 차단기 관련 상세자료는 다음 사이트 참조 스팸 차단기 한국정보보호진흥원 www.kisa.or.kr 주요사업 불법스팸대응센터 S/W다운로드 국내스팸차단솔루션안내 - 59 -
제 4 절 PC 통합 보안 관리 [S3] 1. 패치 관리 시스템 개인별로 보안 패치를 함으로써 각 PC별 보안패치 수준이 달라 발생하는 지속적인 보안 사고를 최소화하기 위해, 중앙 집중식으로 기업의 모든 시스템(또는 단일 종류의 시스템)에 대하여 패치 및 사용할 수 있는 어플리케이션을 통제하고 관리할 수 있는 기능을 제공하는 패치 관리 시스템 설치 필요 가. 주요 기능 정책 기반 작업 : 스케줄링 및 기본 정책(Mandatory Baseline) 등 다양한 정책의 수립 및 운영이 가능 함 지속적, 자동적인 패치 적용 : 패치의 즉시 적용, 비 동작 시간 설정, 주기적(Recurring)적용 등 다양한 스케줄링 가능 분산구조의 중앙 관리 : 분산 구조상에서의 보안 정책을 중앙에서 관리 가능 사용자 인터페이스 : 패치 관리 시스템의 관리를 위한 인터페이스 제공 권한 관리 : 최고 관리자 (Administrator)가 정의한 권한에 맞추어 운영자의 운영범위와 권한의 한계를 부여 리포팅 및 분석 : 패치 적용 현황에 대한 Top-level의 그래픽 리포팅 제공 - 60 -
나. 구축 시 고려 사항 Cross-platform 지원 여부 : 다양한 이기종 OS 환경을 지원하는지, Oracle, MS SQL, MS Office, Exchange 등 주요 어플리케이션 패치를 지원하는지 확인 에이전트 설치 시 설치 유도 및 강제 설치를 모두 지원 : 설치 유도 방식과 강제설치방식이 지원되는지 확인 안정적인 패치의 공급 : 다양한 플랫폼과 어플리케이션에 대해서, 사전에 검증된 안전한 패치를 공급하는지 확인 보안패치 전송의 안정성 : 암호화된 채널을 통해 안전하게 패치가 전달 되는지 확인 네트워크 및 시스템 부하 : Core 스위치 및 전체 네트워크의 트래픽을 효율적으로 분산하는지 확인 패치 관리 제품 관련 상세자료는 다음 사이트 참조 패치 관리 제품 관련 정보 한국정보보호산업협회 www.kisia.or.kr 회원사안내 회원사정보 패치관리 PMS 2. 통합 보안 시스템 중규모 중소기업에서는 기업 내의 수많은 직원용 PC에 대한 백신 설치 및 업데이트, 불법프로그램 사용 감시, 패치 설치 등을 개별적으로 관리할 경우 보안수준 차이 및 관리의 어려움으로 인한 취약점, 비용문제 등이 발생할 수 있으므로 비용 효과적으로 일관된 보안관리를 위해 통합 보안 시스템 설치 필요 - 61 -
주요 기능 불법 소프트웨어 관리 : 각 PC의 소프트웨어 사용현황, 라이센스, 버전 등의 관리 소프트웨어 배포 : 일괄적인 소프트웨어 배포 관리를 이용하여 보안 패치 설치, 소프트웨어 복구 등의 기능 제공 자산관리 기능 : 기업에서 보유하고 있는 PC의 하드웨어, 소프트웨어 등을 자동으로 검색하고 관리 보안관리 : 일괄적으로 각 PC에 대한 보안정책 적용 및 관리 바이러스 : 중앙집중식의 바이러스 감시, 차단, 치료 기능 통합 보안 시스템 관련 자료는 다음 사이트 참조 통합 보안 시스템 관련 정보 한국정보보호산업협회 www.kisia.or.kr 회원사안내 회원사정보 보안관리 ESM - 62 -
제 2 장 서버 보안 제 1 절 서버 운영체제 기본 보안 [S1] 1. 업데이트 Windows 및 Unix계열의 서버는 정식 발매이후에도 취약성 등이 종종 발견되어, 이로 인해 해커들에 의해 해킹 공격을 받아 서버 내장된 중요 데이터 등이 손실되거나 손상될 수 있으므로 업데이트 기능을 이용하여 보안패치 등이 최신버전을 유지할 수 있도록 지속적인 업데이트 필요 가. Windows MBSA 10) (Microsoft Baseline Security Analyzer) 활용 Windows 서버의 경우 마이크로소프트사에서 제공하는 MBSA툴은 손쉽게 Windows서버의 보안패치 현황 등을 알 수 있어 관리를 용이하게 해주며, 서버의 취약점 점검 등을 할 수 있는 기능을 제공한다. MBSA는 Microsoft 홈페이지 TechNet(www.microsoft.com/technet/security/tools/mbsahome.mspx)에서 다운로드하여 설치해야 한다. MBSA의 기능 강력한 암호와 같은 일반 보안 최적의 활용을 위해 Windows 데스크톱과 서버의 검사 작업 잘못된 일반 보안 구성을 확인하기 위해 IIS(Internet Information Services)와 SQL Server를 운영하는 서버 스캔 작업 10) MBSA(Microsoft Baseline Security Analyzer) : Windows 서버의 보안패치를 손쉽게 해주고, 서버의 취약점 점검 기능 등을 수행할 있는 마이크로소프트에서 제공하는 프로그램 - 63 -
Microsoft Office와 Outlook, Internet Explorer에 잘못 구성된 보안 영역 설정, Exchange Server 에 대한 검사 작업 Windows 보안 업데이트, Windows 서버 자체에 대한 기본적인 보안설정, IIS 보안설정, SQL 보안 업데이트 및 설정, Exchange 관련된 사항 점검 MBSA를 통한 취약점 점검 1 [시작] [프로그램] [Microsoft Baseline Security Analyzer 1.2] 실행 2 [단일/다중컴퓨터]를 선택 후 컴퓨터/그룹 이름 이나 IP를 입력 하고 [option] 항목에서 원하는 항목을 선택한 뒤 [start scan] 선택 다중 컴퓨터를 스캔할 경우 도메인 관리자 권한으로 점검이 가능하다. <그림 2-1-1-1> MBSA Self-scan 실행화면 - 64 -
3 [Strat Scan]을 클릭하면 취약점 점검 결과가 다음과 같이 나타남 아래 그림에서 빨간색 X 표시는 서버 보안설정에 맞지 않음을 알려 주는 것이므로, How to correct this'를 클릭하면 이에 대한 조치방법을 볼 수 있다. <그림 2-1-1-2> MBSA 결과 화면 Windows 보안 관련 상세자료는 다음 사이트 참조 Microsoft Windows 보안 체크리스트 Windows 2000 보안 체크리스트 http://www.microsoft.com/technet/archive/security/chklist/w2ksvrcl.mspx Windows NT 4.0 보안 체크리스트 http://www.microsoft.com/technet/archive/security/chklist/nt4svrcl.mspx - 65 -
나. Unix 및 Linux Unix 서버의 경우 운영체제별로 각 제조사의 사이트에서 보안패치가 제공 되며, 각 제조사에서 제공하는 보안패치 방법은 다음과 같다. Unix 계열의 보안패치는 중간에 해킹을 당할 수 있으므로 인터넷에 연결되지 않은 상태에서 하도록 해야 한다. 레드햇 리눅스 패치 설치여부 확인 # rpm -qa apache 설치 # rpm -ivh apache-1.3.12-2.i386.rpm 업그레이드 # rpm -Uvh apache-1.3.20-14.i386.rpm 삭제 # rpm -e apache-1.3.20-14 Solaris 보안패치 # patchadd "패치 ID" - 66 -
주요 시스템별 패치 관련 상세정보는 다음 사이트 참조 OS 종류 URL SUNOS LINUX HPUX IBM AIX http://sunsolve.sun.com http://www.redhat.com/security/updates http://us-support2.external.hp.com http://www-903.ibm.com/kr/support/server/pseries/fixes.html 2. 계정 및 암호 관리 관리자 이외에 다른 사용자가 불법적으로 서버에 접근을 시도하는 행위 등으로부터 보호하기 위해 패스워드 길이 및 잘못된 로그온 시도 횟수 지정 등 암호정책 및 계정잠금정책 설정 필요 가. Windows 암호정책 설정 1 [시작] [프로그램] [관리도구] [로컬 보안 정책] 선택 <그림 2-1-2-1> 로컬 보안 정책 - 67 -
2 [계정정책] [암호설정] [암호는 복잡성을 만족해야 함]을 더블클 릭 하여 [사용함]을 선택 후 저장 <그림 2-1-2-2> 암호 보안 정책 3 [계정정책] [암호설정] [최소 암호 길이]는 숫자형태로 길이를 지정 암호의 길이는 8자 이상으로 지정하는 것이 안전하다. 계정 잠금 정책 설정 1 [시작] [프로그램] [관리도구] [로컬 보안 정책] 클릭 로그온시 여기서 지정된 횟수이상 로그온이 실패되면 일정시간 동안 컴퓨터가 잠겨 로그온을 시도할 수 없다. 2 [계정 정책]에서 [계정 잠금 정책] [계정 잠금 임계값]을 선택한 후 잘못된 로그온 시도 횟수 지정 - 68 -
<그림 2-1-2-3> 계정 잠금 설정 나. Unix 및 Linux 암호 정책 최소 암호 길이는 /etc/passwd 파일에서 암호의 최소 길이를 8자리 이상으로, 영문자(대소구별), 숫자, 특수문자를 혼용한 경우 이외 에는 암호를 만들지 못하도록 조치 암호의 유효기간을 설정하여 최소 한 달에 한번은 각 사용자의 패스워드 변경 John the Ripper와 같은 Crack 프로그램을 이용하여 암호가 없거나, 너무 쉬운 암호를 가진 계정을 찾아서 주기적으로 점검 및 수정 - 69 -
[root@www root]# tar zxvfp john-1.6.tar.gz 압축해제 [root@www root]# cd john-1.6/src john-1.6/src 디렉토리로 이동 [root@www src]# make linux-x86-any-elf 컴파일 [root@www src]# cd../run/ run 디렉토리로 이동 [root@www run]#./unshadow /etc/passwd /etc/shadow > passwd.1 암호가 저장된 passwd.1 파일 생성 [root@www run]#./john passwd.1 암호해독 시작 olympia (olympia) allmall (allmall) lee (lee) v3 (v3) 1234 (gaucho) 111 (weblog) <그림 2-1-2-4> John the Ripper로 취약한 암호를 검사하는 화면 John the Ripper 다운로드 관련 자료는 다음 사이트 참조 http://www.openwall.com/john/ John the Ripper 다운로드 사이트 계정 정책 /etc/passwd 파일을 주기적으로 점검하여 사용하지 않는 계정 및 guest 계정, 암호가 지정되지 않은 계정은 삭제 - 70 -
예) adm, lp, sync, shutdown, halt, news, uucp, operator, games, gopher, ftp(anonymous 사용치 않은 경우 제거), rpcuser, rpc 등 불필요한 계정은 userdel 명령어를 사용하여 모두 제거 bin, sync, daemon 등과 같은 시스템 계정은 /bin/false, /dev/null 등을 이용하여 시스템 쉘을 부여하지 않도록 조치 다음은 암호 파일의 내용으로 시스템 계정에 쉘 대신에 /bin/false 를 설정한 것을 보여주는 화면이다. # cat /etc/passwd root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/bin/false bin 계정으로는 쉘이 부여되지 않음 daemon:x:2:2:daemon:/sbin:/bin/false nobody:x:99:99:nobody:/:/bin/false hcjung:x:501:10:mail user:/home/hcjung:/bin/false 3. 공유폴더 관리 공유 폴더는 네트워크를 통해 여러 사람이 사용할 수 있도록 제공 되는 컴퓨터의 공동 자료저장 공간이므로, 임의의 사용자가 삭제 또는 위 변조 하지 못하도록 숨은 공유폴더 제거 및 권한설정 필요 가. 숨은 공유 폴더 제거 Windows 서버에서 숨은 공유폴더를 제거하는 방법은 1장 1절의 3. 공유폴더 관리 부분과 동일하므로 이를 참고하여 조치한다. - 71 -
나. 공유폴더 권한 설정 1 공유를 원하는 폴더를 오른쪽 마우스로 선택하여 [공유]를 클릭 <그림 2-1-3-1> 공유 설정 2 [공유]탭에서 이 폴더를 공유함 을 클릭 <그림 2-1-3-2> 공유폴더 등록정보 3 [사용권한]을 클릭하여 공유폴더의 사용 권한에서 해당폴더에 대한 사용자 지정 및 사용자의 권한 설정 Windows 2000 이상의 경우 권한설정에서 허용과 거부가 동시에 적용이 될 때는 - 72 -
거부권한이 우선권을 가지게 된다. 예를 들면, 위의 그림에서 EveryOne 권한의 허용에 읽기권한이 체크되고 거부에 모든 권한이 체크되면, 아무도 접근을 할 수 없게 된다. <그림 2-1-3-3> 공유폴더의 사용권한 4. 파일시스템 보안 파일시스템은 사용자 및 운영체제 데이터가 저장되는 운영체제의 자료구조이므로, 불법적인 로컬 및 원격 사용자로부터 손상, 삭제, 특정 명령어 실행 등의 사고를 방지하기 위해서는 파일시스템에서 제공하는 권한설정 등의 보안기능 설정 필요 가. Windows (1) NTFS 파일시스템 Windows 서버에서 파일시스템 보안을 위해서는 NTFS(New Technology File System)를 사용하여야 하며 NTFS 파일 시스템을 사용하는 방법에는 세 가지가 있다. - 73 -
운영체제를 설치하지 않은 경우 운영체제 설치과정에서 파일 시스템을 NTFS로 포맷 운영체제가 이미 설치된 경우에는 Convert 유틸리티를 사용해서 FAT 파티션을 NTFS로 변환 convert 유틸리티를 사용하면 ACL 11) (Access control list)은 변환된 드라이브를 모든 사용자가 모든 권한(Full Control)을 가지도록 설정된다. Windows 2000 Server Resource Kit에 포함된 fixacls.exe 유틸리티를 사용하여 ACL을 적절하게 재설정 한다. C: convert D: /FS:NTFS <그림 2-1-4-1> convert 명령 사용 예 데이터가 없는 파티션의 파일 시스템을 변환하는 경우, [시작] [프로그램] [관리도구] [컴퓨터 관리] [디스크 관리]를 선택한 후, 해당 드라이브에 대해 마우스 오른쪽 버튼을 클릭한 후 [포맷]을 선택하여 파티션을 NTFS로 재포맷 <그림 2-1-4-2> NTFS 포맷 11) ACL(접근제어목록) : 개개의 사용자들이 디렉터리나 파일과 같은 특정 시스템 객체에 접근할 수 있는 권한을 컴퓨터의 운영 체제에 알리기 위해 설정해 놓은 목록 - 74 -
(2) 권한 설정 및 변경 (Windows 2000) Windows NT/2000은 c, d 등 드라이브의 권한설정 초기 값이 모든 사람 (Everyone)에 대해 사용가능하므로 Everyone에 대한 권한을 삭제해야 한다. 1 각 드라이브의 등록정보를 클릭하여 [보안]을 선택하여 [EveryOne] 제거 <그림 2-1-4-3> 기본적인 사용권한 2 [추가] 버튼을 클릭하여 [administrators]와 [SYSTEM] 및 각 서비스에 필요한 계정만 접근할 수 있도록 권한 부여 [administrators]와 [SYSTEM]에는 [모든 권한]에 체크를 한다. <그림 2-1-4-4> 계정 선택 - 75 -
<그림 2-1-4-5> 사용권한 설정 나. Unix 및 Linux (1) setuid와 setgid 파일 관리 suid나 sgid가 설정된 파일(파일 권한에 s" 표시가 있는 파일)을 실행할 경우에는 해당 파일을 실행하는 사용자의 권한으로 실행하는 것이 아니라 파일의 소유자 권한으로 작동하므로, suid/sgid가 설정된 파일을 검색하여 불필요한 파일일 경우 파일 자체를 삭제하거나 s비트 해제가 필요하다. setuid/setgid 파일 찾기 # find / -type f \(-perm -4000 -o perm -2000 \) -exec ls -al {} \; setuid 설정 제거 방법 # chmod u-s /usr/sbin/suid_file - 76 -
(2) 환경설정 파일, 시스템 명령어, 로그파일에 대한 접근제어 설정 /etc/utmp와 /var/adm/wtmp를 644로 설정 /etc/motd, /etc/mtab, /etc/syslog.pid를 644로 설정 rc.* startup 파일들과 /etc/hosts.allow와 같은 시스템 환경 설정파일들은 일반 사용자가 접근하지 못하도록, 읽기 권한까지 제약 /var/log/ 이하의 모든 디렉토리를 root만 쓰기 가능하도록 조치 파일시스템 보안기능이 지원되면 시스템 명령 파일은 변경하지 못하도록 하며, 로그 파일은 Append-only로 설정 /vmunix와 같은 커널은 소유자를 root로, permission을 644로 설정 /etc, /usr/etc, /bin, /usr/bin, /sbin, /tmp, /var/tmp는 소유자를 root로 하고, /tmp와 /var/tmp등의 임시 디렉토리에는 다음과 같이 sticky-bit 12) 을 설정 # chmod +t /var/tmp (3) 임의의 사용자에게 쓰기 권한 금지 root에 의해서 실행되는 파일에 대해서 일반 사용자에게 쓰기권한을 허용 하지 않도록 하기 위해서는 파일에 077이나 027처럼 접근권한을 설정한다. 12) sticky-bit : 특정 사용자가 생성한 디렉토리 또는 파일을 해당 사용자만 지울 수 있게 설정하는 bit - 77 -
제 2 절 서버 운영체제 고급 보안 [S2] 1. 서버접근제어 접근제어는 각 사용자들이 디렉토리나 파일등 특정 시스템 개체에 접근 할 수 있는 권한을 의미하며, 다수의 사용자가 접근하는 서버 시스템의 경우, 정당한 사용자가 서버에 접근을 시도하는지 등에 정책을 세워 관리 필요 가. Windows RRAS(Routing and Remote Access) RRAS의 기능 라우터 또는 원격 액세스 클라이언트 컴퓨터와 인트라넷 사이의 게이트웨이 서버의 기능을 수행하여 입출력 데이터에 대한 통제 수행 LAN으로 연결된 사용자가 사용 가능한 모든 서비스 (파일과 프린터 공유, 웹 서버 액세스, 그리고 메시징을 포함하는)는 원격 액세스 연결을 통해 사용할 수 있다. RRAS 설정 방법 1 [시작] [프로그램] [관리도구] [라우팅 및 원격 액세스] 선택 <그림 2-2-1-1> RRAS 선택 - 78 -
2 오른쪽마우스를 클릭하여 [라우팅 및 원격 액세스 설치 및 구성] 선택 <그림 2-2-1-2> 라우팅 및 원격 액세스 설치 및 구성 3 [네트워크 라우터] 선택 수동설정을 하여 원하는 항목을 선택하거나 리스트에 있는 항목을 필요에 따라 체크 <그림 2-2-1-3> 네트워크 라우터 선택 4 프로토콜 선택창이 나타나는데, TCP/IP를 사용에 표시되어 있으면 [다음] 버튼 클릭 - 79 -
<그림 2-2-1-4> TCP/IP 사용 5 구성이 완료되면 [IP 라우팅] [일반] 선택하면 메인 창에 NIC 리스트 가 다음 아래의 화면과 같이 나타남 <그림 2-2-1-5> RRAS 필터 6 설정을 원하는 NIC 13) 를 선택 후, 입력필터와 출력필터 설정 <그림 2-2-1-6> 입력필터와 출력필터 13) NIC : Network Interface Card - 80 -
7 다음과 같이 입력 필터 조건 설정 <그림 2-2-1-7> 입력 필터 다음 아래의 그림은 조건에 맞지 않는 모든 패킷은 버리고, 로컬(192.168.192.000)에서 외부(10.100.100.0/24)에서의 80번 Port 접속하여 데이터를 가져오기를 원할 경우의 예이다. <그림 2-2-1-8> 인바운드 필터 설정 <그림 2-2-1-9> 아웃바운드 필터 설정 나. Unix 및 Linux (1) TCP Wrapper TCP를 기반의 네트워크 서비스(finger, ftp, telnet 등)의 request를 받아 그 서비스를 실행하기 전에 요청한 호스트에 대해 보안상으로 필요한 검사를 하여 서비스가 실행되기 이전에 공격을 막을 수 있도록 해주는 공개용 프로그램이다. - 81 -
(2) IPChain IPChain은 Linux 커널 2.2.x 이상에서 지원하는 패킷 필터링 기능을 지원하는 공개용 프로그램이다. IPChain은 시스코 라우터의 ACL과 비슷하고 리눅스가 설치된 서버를 통과하는 패킷에 대한 제어가 가능하며, 기본적으로 방화벽처럼 사 용될 수 도 있다. 또한, Stand-alone으로 사용되는 리눅스 서버 등에서 보안을 강화하기 위해 사용된다. Stand-alone 시스템을 안전하게 운영하기 위해서는 시스템에서 시작된 TCP 연결만을 허용하도록 설정하고, 다른 곳의 TCP 연결 시도는 거부하고 UDP나 ICMP 연결은 허용하는 방식으로 운영하면 된다. (3) IP Filter SUN제품 및 BSD계열 등에 지원하는 IP Filter는 Sun Server에 사용할 수 있는 좋은 공개용 패킷 필터링 도구로 시스템 및 네트워크 보안에 아주 강력한 기능을 제공한다. IP Filter는 특정 IP, 프로토콜 등에 대한 제어가 가능하다. Unix 및 Linux 서버접근제어 관련 상세자료는 다음 사이트 참조 Unix 및 Linux 의 서버접근제어 참조 사이트 TCP Wrapper www.krcert.or.kr 보안도구 유닉스 TCP Wrapper IP Filter www.krcert.or.kr 보안도구 리눅스 IP Filter IPChain IPchains : http://kldp.org/translations/ipchains-howto - 82 -
2. 사용자 권한설정 사용자별로 네트워크 및 서버 접근에 대한 권한을 설정함으로써 비인가자의 불법적인 접근을 사전에 차단 및 자원의 효율적인 관리를 위해 사용자별 권한 설정 필요 Windows 사용자 권한 할당 다음 아래의 그림과 같이 서버접근에 대해서 권한을 할당할 수 있으며, 네트워크 및 서버컴퓨터에서 서버에 접근할 수 있는 사용자나 그룹에 대해 확인하고, 불필요한 계정은 삭제 조치한다. (1) 네트워크 사용자 권한 할당 1 [시작] [제어판] [관리도구] [로컬 보안 정책] 실행 2 [로컬 정책] [사용자 권한 할당] 클릭 <그림 2-2-2-1> 로컬 보안 정책 실행 - 83 -
3 [네트워크에서 이 컴퓨터 액세스]를 클릭하여 네트워크에서 서버에 접근하는 사용자 권한 할당 <그림 2-2-2-2> 사용자 권한 할당 (2) 로컬 사용자 권한 할당 1 [시작] [제어판] [관리도구] [로컬 보안 정책] 실행 2 [로컬 정책] [사용자 권한 할당] 클릭 3 [로컬 로그온]을 클릭하여 로컬에서 서버에 접근하는 사용자의 권한 할당 <그림 2-2-2-3> 로컬 보안 정책 설정 - 84 -
시스템 실행파일에 대한 제한 다음 아래의 표에 기술된 실행 파일들에 대해서는 가능하면 관리자만 실행이 가능하도록 설정한다. [표 2-2-2-1] 사용중지를 권장하는 서비스 tracert.exe finger.exe ftp.exe ipconfig.exe net.exe netstat.exe nslookup.exe ping.exe ping.exe tftp.exe rcp.exe regedit.exe regedt32.exe rexec.exe route.exe runas.exe rsh.exe syskey.exe xcopy.exe 1 사용을 제한할 실행 파일에 대해 마우스 오른쪽 버튼을 클릭한 후 [등록정보] 선택 <그림 2-2-2-4> 시스템 실행 파일에 대한 제한-1 2 등록정보에서 [보안]탭을 선택하고 해당 파일의 실행을 제한 할 사용자를 제거 다음은 Everyone 그룹에 등록된 사용자의 CMD.EXE 실행을 제한하는 예이다. - 85 -
<그림 2-2-2-5> 시스템 실행 파일에 대한 제한-2 3. 불필요한 서비스 제거 운영체제를 설치하면 많은 수의 서비스들이 설치되는데 일부 서비스는 실제로 거의 사용되지 않으면서 보안 취약점을 발생시키고 성능 저하를 초래할 수 있으므로 불필요한 서비스 제거 필요 가. Windows [시작] [설정] [제어판] [서비스]를 선택하면 다음 표와 같이 Windows 서버의 서비스 목록이 나타난다. 이 표 중에 불필요하다고 서술된 서비스는 해당항목을 더블클릭하여 서비스 중단 및 사용안함 으로 설정한다. - 86 -
[표 2-2-3-1] 서버 형태별 서비스 시작유형 이름 기본 IIS Alerter 자동 File 및 Print Domain Controller Application Management Automatic Updates Background Intelligent Transfer Service ClipBook 수동 자동 수동 수동 COM+ Event System 수동 자동 Computer Browser 자동 수동 자동 자동 DHCP Client 자동 수동 수동 수동 Distributed File System 자동 수동 자동 자동 Distributed Link Tracking Client 자동 수동 자동 자동 Distributed Link Tracking Server Distributed Transaction Coordinator 수동 자동 DNS Client 자동 수동 Event Log Fax Service 자동 수동 File Replication 수동 자동 FTP Publishing Service 자동 제거 제거 IIS Admin Service 자동 제거 제거 Indexing Service Internet Connection Sharing Intersite Messaging IPSEC Policy Agent 자동 수동 사용 안함 자동 Kerberos Key Distribution Center 사용 안함 자동 License Logging Service Logical Disk Manager Logical Disk Manager Administrative Service 자동 자동 수동 Messenger 자동 수동 수동 수동 Net Logon 수동 자동 NetMeeting Remote Desktop Sharing Network Connections 수동 수동 - 87 -
Network DDE 수동 Network DDE DSDM 수동 NT LM Security Support Provider 수동 자동 Performance Logs and Alerts 수동 Plug and Play 자동 Print Spooler 자동 수동 자동 수동 Protected Storage 자동 QoS RSVP 수동 Remote Access Auto Connection Manager 수동 Remote Access Connection Manager 수동 Remote Procedure Call (RPC) 자동 Remote Procedure Call (RPC) Locator 수동 자동 Remote Registry Service 자동 수동 수동 수동 Removable Storage 자동 Routing and Remote Access 사용 안함 RunAs Service 자동 수동 수동 수동 Security Accounts Manager 자동 Server 자동 Smart Card 수동 Smart Card Helper 수동 SMTP(Simple Mail Transport Protocol) 자동 제거 제거 System Event Notification 자동 Task Scheduler 자동 TCP/IP NetBIOS Helper Service 자동 수동 Telephony 수동 Telnet 수동 Terminal Services Uninterruptible Power Supply Utility Manager Windows Installer Windows Management Instrumentation 사용 안함 수동 수동 수동 수동 Windows Management Instrumentation Driver Extensions 수동 Windows Time 수동 Wireless Configuration 수동 Workstation 자동 World Wide Web Publishing Service 자동 제거 제거 - 88 -
위의 내용은 일반적인 상황에서의 서비스 시작 유형에만 적용되며, 복합적으로 사용 할 경우는 대부분의 서비스를 시험해 보면서 변경을 하여야 한다. Windows 2000 서비스 관련 상세자료는 다음 사이트 참조. Windows 서비스 목록 참조 사이트 www.microsoft.com/korea/technet 좌측 메뉴의 제품 및 기술 Windows 2000 [구축] Windows 2000 서비스 나. Unix 및 Linux (1) 인터넷 데몬(/etc/inetd.conf, /etc/xinetd.d)의 서비스 제거 /etc/inetd.conf 파일에는 디폴트로 여러 다양한 서비스들이 설정되어 있으나, 다음과 같이 꼭 필요한 서비스를 제외한 다른 서비스들은 코멘트(#)로 처리하여 제거 # vi /etc/inetd.conf ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -L -i -o telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd # gopher stream tcp nowait root /usr/sbin/tcpd gn # smtp stream tcp nowait root /usr/bin/smtpd smtpd # nntp stream tcp nowait root /usr/sbin/tcpd in.nntpd /etc/xinetd.d의 디렉토리 내에는 리눅스 시스템에서 실행하는 각각의 서비스들의 설정파일이 있으나 꼭 필요한 서비스를 제외한 다른 서비스들은 다음과 같이 코멘트(#)로 처리하여 제거하고, 각 설정 파일에서 disable = yes 로 하여 해당 서비스 제거 - 89 -
# vi telnet # default: on # description: The telnet server serves telnet sessions; it uses \ # unencrypted username/password pairs for authentication. service telnet { flags = REUSE socket_type = stream wait = no user = root server = /usr/sbin/in.telnetd log_on_failure += USERID disable = yes } (2) 불필요한 데몬 관리 inetd나 xinetd 등 슈퍼서버 데몬 이외 독립 실행형(standalone) 형태로 작동하는 서비스 대해 다음과 같이 설정한다. ntsysv : 터미널 상에서 ntsysv 명령을 실행하거나 setup을 실행한 후 System services 를 선택하면, 부팅 시 자동으로 시작되기를 원하는 서비스를 선택한 후 OK를 클릭. [*] 로 표시되면 부팅 시 자동으로 실행되는 서비스이고 비어 있으면 부팅 시 실행되지 않음 /etc/rc.d/rc3.d : S로 되어 있는 서비스를 해제하려면 K로, K로 되어 있는 서비스를 가동하려고 하면 S로 mv를 이용하여 변경 S는 start로서 부팅 시 작동할 서비스, K는 kill의 의미로 작동하지 않을 서비스를 의미 Unix 시스템 보안 관련 상세자료는 다음 참조 참조 자료 한국정보보호학회 www.kiisc.or.kr 논문 논문검색 제목 : UNIX 검색 - UNIX 시스템 보안가이드 - 유닉스 시스템을 위한 통합 보안 점검 도구 HP-UX 시스템 관리자를 위한 설명서 8.시스템 관리 : 시스템 보안관리 http://docs.hp.com/ko/b2355-90915/index.html UNIX 시스템 보안 http://www.securitymap.net/sdm_system.html - 90 -
4. TCP/IP를 통한 보안설정 서버에 접속하는 사용자, 해킹 및 바이러스 차단을 위해서는 보안제품 사용 외에도 서버에 탑재된 TCP/IP에 대한 필터링 등의 보안설정을 통해 차단할 수 있으므로 이에 대한 보안설정이 필요 TCP/IP 필터링 설정 방법 1 [시작] [설정] [제어판] [네트워크 및 전화 접속 연결] 선택 <그림 2-2-4-1> 네트워크 및 전화 접속 연결 2 [로컬 영역 연결]을 더블 클릭 후 [일반] 탭에서 [인터넷 프로토콜(TCP/IP)] 선택 <그림 2-2-4-2> 프로토콜 선택 - 91 -
3 [속성/등록정보] 클릭 한 후 [고급] 버튼 클릭 <그림 2-2-4-3> 네트워크 연결 주소설정 4 [옵션]탭에서 [TCP/IP필터링] 선택한 후 [등록정보] 버튼 클릭 <그림 2-2-4-4> 필터링 설정 5 유해 트래픽을 차단하기 위해 아래와 같이 설정 - [TCP/IP 필터링 사용 (모든 어댑터)] 부분을 체크 - [TCP 포트 부분에서 다음만 허용]을 선택한 후 포트를 추가하지 않음 - [UDP 포트에서 모두허용]을 선택 - 92 -
이 경우는 TCP를 웹서비스(TCP 80 포트)만 허용하고, UDP와 IP를 모두 허용하는 경우 이며, 필요에 따라 허용 또는 차단할 포트의 추가 삭제가 필요하다. 설정이 끝난 후 시스템을 재부팅 하여야 필터링 설정이 적용된다. 참고로 Windows에서 주로 사용하는 서비스 포트 정보는 winnt\system32\drivers\etc\services 파일에 등록되어 있다. <그림 2-2-4-5> TCP/IP 필터링 5. 보안옵션 설정 가. Windows (1) 감사정책 감사정책 설정이 필요한 목록 [표 2-2-5-1] 감사를 수행해야 할 정책 목록 감사를 수행할 정책목록 성공 시도 실패 계정 로그온 사용함 사용함 계정 관리 사용 안 함 사용함 디렉토리 서비스 액세스 사용 안 함 사용함 로그온 사용함 사용함 개체 액세스 사용 안 함 사용 안 함 정책 변경 사용함 사용함 사용 권한 사용 사용 안 함 사용함 프로세스 추적 사용 안 함 사용 안 함 시스템 사용 안 함 사용 안 함 - 93 -
정책 목록들에 대해 감사를 설정하는 방법 1 [시작] [프로그램] [관리 도구] [로컬 보안 정책]을 실행시키고, [보안 설정] [로컬 정책] [감사 정책] 선택 <그림 2-2-5-1> 감사 정책 목록 2 오른쪽 창에서 설정(또는 해제)하려는 정책을 두 번 클릭 예를 들어 계정 로그온 이벤트 감사를 두 번 클릭하면 다음과 같은 설정 창이 나타나며, 여기에서 감사를 수행할 행위를 선택한다. <그림 2-2-5-2> 감사 설정 방법 - 94 -
이벤트 로그 확인 감사정책에서 설정한 정책에 대한 행위의 결과는 이벤트 보기에서 확인할 수 있다. 1 [시작] [설정] [제어판] [관리 도구] [이벤트 뷰어] [보안로그] 클릭 <그림 2-2-5-3> Windows의 이벤트 로그 2 확인하고자 하는 이벤트를 더블 클릭하면 다음과 같이 [이벤트 등록 정보]가 표시됨 <그림 2-2-5-4> 로그온 실패 기록 <그림 2-2-5-5> 로그온 실패 사유 - 95 -
(2) NTFS 암호화 Windows에 저장된 데이터에 대해서 외부로 노출시에 내용을 보호하기 위해서는 Windows에서 제공하는 파일시스템을 사용하여 정책적으로 암호화가 필요하다. 1 탐색기를 실행한 후 암호화를 원하는 폴더나 파일을 마우스 오른쪽 버튼으로 클릭한 후 [등록정보]나 [속성] 버튼 클릭 <그림 2-2-5-6> NTFS 암호화 2 고급특성에서 [데이터 보호를 위해 내용을 암호화] 선택 <그림 2-2-5-7> 암호화 설정 - 96 -
나. Unix 및 Linux (1) 시스템 로깅 Syslog 설정 유닉스 시스템의 로그는 로그서버인 Syslog 데몬의 설정에 따라 어떠한 파일에 어떠한 내용이 기록되는지 달라질 수 있으며, Syslog는 다양한 레벨과 서비스에 따라서 로그를 처리할 수 있다. 각 시스템의 syslog 데몬 설정파일인 /etc/syslog.conf" 파일에서 설정되며, 시스템별로 사용자, 프로세스, 시스템, 네트워크, 파일시스템, 애플리케이션에 대한 로그 메커니즘을 이해하고 로그를 남기도록 설정해야 한다. 유닉스 로그분석을 위한 기술문서는 아래 사이트 참조 유닉스 로그분석 참조 사이트 인터넷침해사고대응지원센터 : 유닉스 로그 분석을 통한 침입자 추적 및 로그관리 PART1,2 www.krcert.or.kr 보안문서 기술문서(2002년) 문서번ID TR2001013,TR2001011 (2) 커널 파라미터 설정 커널 파라미터 조회 설정 값은 /proc/sys/디렉토리 이하의 디렉토리 및 파일에 대해 cat과 echo를 이용하여 조회, 설정할 수 있으며, 사용 방법은 다음과 같다. 현재 변수 값 조회 cat /proc/sys/변수값 현재 변수 값 수정 echo xx > /proc/sys/변수값 - 97 -
또는 sysctl 명령을 이용하면 조회 또는 설정할 수 있으며, 사용 방법은 다음과 같다. # sysctl -n net.ipv4.tcp_syncookies 0 # sysctl -w net.ipv4.tcp_syncookies=1 # sysctl -n net.ipv4.tcp_syncookies 1 권장 커널 튜닝 파라미터 설정 echo "0" > /proc/sys/net/ipv4/tcp_timestamps timestamps 기능은 불필요하므로 사용하지 않는다. echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts smurf 공격에 악용될 수 있으므로 broadcast 주소를 통한 icmp echo 에 대해 응답하지 않는다. echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route Spoofing(승인받은 사용자인 체하여 시스템에 접근하려는 시도)을 막기 위해 source route 패킷을 허용하지 않는다. 소스 라우팅을 허용할 경우 악의적인 공격자가 IP 소스 라우팅을 사용해서 목적지의 경로를 지정할 수도 있고, 원래 위치로 돌아오는 경로도 지정할 수 있다. 이러한 소스 라우팅을 이용해 공격자가 마치 신뢰받는 호스트나 클라이언트인 것처럼 위장할 수 있다. echo "0" >/proc/sys/net/ipv4/ip_forward 해당 시스템을 통해 다른 시스템으로 패킷이 포워딩 되지 않도록 한다. 만약 시스템이 라우터 등 게이트웨이 용도로 사용할 것이 아니라면 끄는 것이 좋다. echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects icmp redirects를 허용하지 않는다. 만약 ICMP Redirect를 허용할 경우에는 공격자가 임의의 라우팅 테이블을 변경할 수 있게 되어 자신이 의도하지 않는 경로, 즉 공격자가 의도한 경로로 트래픽이 전달될 수 있는 위험이 있다. echo "1" > /proc/sys/net/ipv4/conf/all/log_martians Spoofing 된 패킷이나 소스라우팅, Redirect 패킷에 대해 로그파일에 정보를 남긴다. echo "1" > /proc/sys/net/ipv4/tcp_syncookies syn flooding 공격에 대응하기 위해 syncookies 기능을 켠다. syn flooding 공격에 매우 효과적이다. echo "1024" > /proc/sys/net/ipv4/tcp_max_syn_backlog 역시 syn flooding 공격과 관련된 설정인데, backlog queue의 사이즈를 늘려 공격에 대응하도록 한다. - 98 -
제 3 절 응용 프로그램 보안 [S2] 1. 웹서버 가. Microsoft IIS (Internet Information Services) (1) 모든 예제 용용 프로그램의 제거 IIS를 설치하면 기본적으로 예제와 설명서 등이 같이 설치되는데, 이 폴더들은 해킹에 이용되거나 백도어가 심어질 위험이 있으므로 제거해 주는 것이 좋다. [표 2-3-1-1]은 예제들이 저장되는 기본 위치이다. [표 2-3-1-1] IIS 예제 응용프로그램의 위치 예제 가상 디렉토리 위치 IIS 예제 \IISSamples c:\inetpub\iissamples IIS 설명서 \IISHelp c:\winnt\help\iishelp 데이터 액세스 \MSADC c:\program files\common files\system\msadc 이러한 가상 디렉토리와 실제폴더를 삭제하는 방법은 다음과 같다. 1 [시작] [제어판] [관리 도구] [인터넷 서비스 관리자]에서 삭제하려는 가상 디렉토리를 선택하고, 마우스 오른쪽 버튼을 클릭 한 후 [삭제]를 선택 다음 그림은 IISSamples라는 가상 디렉토리를 삭제하는 예제이다. - 99 -