POSTECH 사용자 PC 보안가이드 2014 년 3 월 학술정보처 -1-
제 개정이력 순번 제 개정일 변경내용 발간부서 연락처 1 2014. 03 제정 279-2514 2 3-2-
개요 필요성 최근좀비PC를통한 DDoS 공격등악성코드감염으로인한침해사고증가 개인정보탈취등을위해사용자 PC에대한공격증가 PC사용자의중요정보및개인정보보호를위해개인 PC의보안수준향상의보안관리중요성대두 사용자 PC의취약성분석을통해불필요한서비스를제거하고보안사항을설정하여내 / 외부공격으로부터사용자 PC를최대한보호할수있는사용자 PC 보안점검가이드가필요 기대효과 취약점발견에대한즉각적인대응 사이버침해사고예방 보안요구사항에대한능동적대처 능동적인정보보호활동수행을통한 PC의신뢰성확보 침해사고발생시체계적인대응으로피해최소화 가이드제작환경 본가이드는 Windows 7 운영체제를바탕으로작성되었습니다.
PC 보안관리마인드맵 PC 보안관리 1. 윈도우관리 - 취약점관리. 윈도우보안패치. 응용프로그램보안패치 - 중요데이터백업 2. 악성코드예방 -백신사용. 자동업데이트설정. 정기적인악성코드예약검사 - 이동식디스크 : 자동실행기능해제 - 불필요한공유폴더사용해제 3. 소프트웨어설치 - 정품소프트웨어설치 4. 물리적인보호 - 불량소프트웨어설치예방 - 윈도우로그인암호설정 - 암호가적용된화면보호기설정 -계정암호정책설정 - GUEST계정비활성화 5. 비밀번호관리 - 특수 / 대소문자 / 숫자로구성된 PW - 주기적인변경 6. 네트워크 - 무선공유기사용주의 - 방화벽사용 - 원격접속사용주의 7. 정보유출 - 토렌트 /P2P 사용금지 - 공용PC사용 - 피싱 / 스미싱 PC자가진단프로그램 내PC지키미 를통해상기보안관리적용가능
1. 윈도우관리 Windows 운영체제및 MS Office 등의주요프로그램들은알려진주요취약점들을제거하기위해주기적으로보안패치를제공하고있다. 따라서, 보안패치를확인 / 설치하여항상최신보안패치상태를유지해야한다. 취약점관리 Windows 운영체제및 MS Office 보안패치 - 시작 모든프로그램 Windows Update 클릭하여업데이트실시 - 보안패치를자동으로설치하도록 업데이트자동설치 " 로반드시설정 - Internet Explorer는버전 9이상으로반드시업그레이드 Windows XP SP3 및 Office 2003에대한지원이 2014년 4월 8일부로종료됨에따라해당 OS 및프로그램을사용하는구성원은반드시상위버전으로업그레이드해야함 한컴오피스보안패치 - 시작 모든프로그램 한글과컴퓨터 한글과컴퓨터자동업데이트클릭 JAVA/Adobe 등보안패치 - 해당응용프로그램의업데이트설정을자동으로설정하여업데이트실시 중요데이터백업 중요데이터의정기적인백업 PC와별도로분리된디스크에저장
2. 악성코드예방 새로운악성코드등에대응하기위해백신은반드시설치되어야하며, 정기적인업데이트및점검을통해사용자 PC를보호하여야한다. 백신사용 백신프로그램설치 - 대학해모수사이트 (hemos.postech.ac.kr) 의소프트웨어배포에서백신제공. 교내구성원을대상으로 V3, 알약백신제공 백신프로그램자동업데이트설정 백신프로그램예약검사설정 - PC사용이적은시간에정밀검사를예약하여정기적으로검사실시 3 시간마다자동업데이트설정매일오전 3 시 5 분에예약검사실시설정 [AhnLab V3 자동업데이트설정화면 ] [AhnLab V3 예약검사설정화면 ] 이동식디스크자동실행해제 이동식디스크자동실행기능으로사용자승인없이악성코드자동실행가능하여자동실행기능을해제하여야함 이동식디스크 (USB등) 자동실행해제방법 (Windows 7 기준 ) - 시작 실행 regedit 입력하여레지스트리편집기실행 - 레지스트리에서아래항목찾아클릭 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\ NoDriveTypeAutorun - NoDriveTypeAutorun 값을 0xFF 로변경하여모든유형의드라이브비활성화 불필요한공유폴더사용해제 공유폴더는사용자동의없이악성코드를복사할수있으므로필요하지않은공유폴더는반드시제거필요 공유폴더해제방법 - 제어판 시스템및보안 관리도구 컴퓨터관리 공유폴더 공유 에서불필요한폴더제거 - ADMIN$, C$, D$, IPC$ 공유폴더는관리용기본공유설정됨
3. 소프트웨어설치 불법소프트웨어를사용할경우악성코드감염및저작권위반등의위험이있으므로반드시정품소프트웨어를사용하여야한다. 정품소프트웨어설치 정품소프트웨어설치 - 대학해모수사이트 (hemos.postech.ac.kr) 의소프트웨어배포에서대학구성원이사용할수있도록정품소프트웨어배포중 [ 대학배포정품소프트웨어리스트 ] 구분라이선스보유소프트웨어구분라이선스보유소프트웨어 OS Windows 8 Enterprise 이하버전백신 AhnLab V3 Net for Windows Server 7.0 AhnLab V3 Internet Security 8.0 알약 OA Microsoft Office 2013 이하버전한글 2010 이하버전 Adobe Photoshop CS 6 Flash Pro CS5.6 Illustrator CS6 Acrobat Professional XI 기타 SAS 9.2( 교수및학생 ) Xmanager Enterprise 3.0 등 AlTools( 알집, 알씨, 알드라이브 ( 구알 FTP), 알송, 알툴바, 알캡쳐, 알쇼, 알약 ) Microsoft 사의라이선스정책에따라사용가능 SW 및 OS 가다를수있습니다. 불법 / 불량소프트웨어설치예방 불법소프트웨어설치금지 - 라이선스구매없이또는라이선스정책에위반되는사용으로소프트웨어저작권침해발생 - 저작권침해로사용자뿐만아니라대학에도피해보상비용발생 ( 저작권법제141조양벌규정 ) [ 소프트웨어라이선스정책위반사례 ] - 개인사용자에게만무료로배포하는소프트웨어를대학소유의 PC 또는개인소유의 PC에설치하여연구 / 업무용으로사용할경우모두라이선스사용권위반 개인사용자용무료소프트웨어는대학에서절대사용금지 불량소프트웨어설치예방 - 공식사이트에서다운로드 - 설치전에사용자들의평판이나인지도를확인 - 사용하지않거나출처 / 용도가불분명한프로그램은삭제 - 같이설치되는제휴프로그램확인하기 -가짜백신주의
4. 물리적인보호 본인의 PC에다른비인가사용자가접근하지못하도록물리적인보호를통해 PC에저장되어있는중요데이터를보호하여야한다. 윈도우로그인암호설정 윈도우로그인암호설정 - 제어판 사용자계정및가족보호 사용자계정 사용자계정에대한암호를만듭니다. 클릭 암호가적용된화면보호기설정 - 제어판 모양및개인설정 개인설정 - 화면보호기변경 화면보호기사용여부 : 사용 화면보호기대기시간 : 10분이하 암호보호사용여부 : 다시시작할때로그온화면표시체크 계정암호정책설정 - 제어판 시스템및보안 관리도구 로컬보안정책 계정정책 암호정책 암호는복잡성을만족해야함 : 사용 최근암호기억 : 사용자선택 (0~24) 최대암호사용기간 : 90일 최소암호길이 : 8자리 최소암호사용기간 : 1일 해독가능한암호화를사용하여암호저장 : 사용안함 GUEST 계정비활성화 Windows에서기본적으로생성되는 Guest계정의경우관리소홀로인해보안취약점을노출할수있으므로사용을중지해야한다. GUEST계정비활성화 - 제어판 사용자계정및가족보호 사용자계정 다른계정관리에서 GUEST계정선택 Guest 계정끄기
5. 비밀번호관리 사용자계정암호를보안권고수준에적합하게설정하여사용하는것은암호해독을어렵게하는효과가있어시스템의보안수준향상에기여한다. 비밀번호구성 권고비밀번호 - 숫자, 대소문자, 특수문자조합으로최소 9자리이상으로설정 최근컴퓨팅성능의비약적인향상으로인하여비밀번호를크래킹하는시간이상당히단축되고있으며이를예방하기위해서는최소 9자리이상으로설정하여야함. 웹사이트 https://howsecureismypassword.net에서비밀번호길이및복잡도에따른크래킹시간을확인할수있으니참고하지바랍니다. 특수문자 + 대소문자 + 숫자조합으로 9자리생성시크래킹에 1년정도걸림 [ 패스워드길이와크래킹시간의관계 ] [ 다양한문자조합과크래킹시간의관계 ]
6. 네트워크 (1/2) 무선공유기사용시보안기능사용및개인 PC의방화벽사용그리고원격접속에대한보안설정을통해네트워크를통한보안위협을최소화하여야한다. 무선공유기사용주의 무선공유기보안기능설정하기 - 무선공유기사용시암호화 / 인증등보안기능을설정하지않으면외부인이무단으로무선랜을사용할수있으며, 이러한경우이터넷속도저하및개인정보유출등해킹사고가발생할수있음 - 암호설정 : WPA2, 암호알고리즘 : AES 선택 무선공유기패스워드안전하게관리하기 - 무선공유기에관리자권한으로접근시패스워드를통해접근통제하여야함 제공자가불분명한무선랜이용하지않기 보안설정없는무선랜으로민감한서비스이용하지않기 무선공유기의 SSID를변겅하고숨김기능설정하기 보다상세한무선공유기보안설정은한국인터넷진흥원 알기쉬운무선랜보안안내서 참고 URL : http://www.kisa.or.kr/public/laws/laws3.jsp 다운로드 방화벽사용 사용자 PC의방화벽사용설정 - 방화벽은시스템으로시도되는접근을통제하여악의적인접근을사전에차단할가능 - 제어판 시스템및보안 Windows 방화벽 권장설정사용
6. 네트워크 (2/2) 무선공유기사용시보안기능사용및개인 PC의방화벽사용그리고원격접속에대한보안설정을통해네트워크를통한보안위협을최소화하여야한다. 원격접속사용주의 원격데스크탑연결 은 Well-Known Port(3389포트 ) 사용으로인해외부에서지속적으로공격을시도하고있어이를사용하기위해서는보안설정이반드시필요 원격데스크탑연결보안설정 1. 일반사용자계정으로연결관리자계정 (administrator) 으로원격데스크탑을접속할경우관리자계정이공격당해노출되면 PC의모든권한을공격자가획득할수있으므로일반사용자계정이나사용자계정을제한하여사용할필요가있다. 2. 계정잠금정책설정원격데스크탑해킹도구는알려진계정 (administrator, user 등 ) 의비밀번호를무작위공격 (Brute-force Attack) 하므로접속시도횟수에제한을걸어일정횟수이상로그온실패할경우계정을잠금으로써무작위강제공격을예방할수있다. 제어판-시스템및보안-관리도구-로컬보안정책-계정정책-계정잠금정책에서계정잠금임계값설정 3. 원격데스크탑접속포트변경원격데스크탑서비스는잘알려진 3389포트를사용하고있으므로사용자가임의의포트로변경하여사용할경우공격자가서비스포트를유추할수없어위험성을줄일수있다. 시작-실행-regedit 입력후확인 KEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control TerminalServer WinStations RDP-Tcp PortNumber 에서포트번호변경 4. 접속가능한 IP주소의제한윈도우방화벽에서원격데스크탑을통하여접속할수있는 IP를제한하여인가되지않은 IP에서의접근을차단하여해킹시도를막을수있다. 제어판-Windows 방화벽-예외탭-원격데스크톱편집-범위변경-사용자지정목록선택한후허용 IP 설정 5. 주기적인접속로그확인윈도우접속로그는실패한접속시도나계정잠금정보를저장하고있으므로주기적으로접속로그를확인하여공격시도에대응할수있다. 제어판-관리도구-로컬보안정책-로컬정책-감사정책-계정로그온이벤트감사에서성공, 실패설정제어판-관리도구-이벤트뷰어-보안항목에서로그정보확인
7. 정보유출 사용자부주의로인해 PC내중요데이터및개인정보가노출될수있으므로해당서비스를사용하지않거나각별히주의하여정보가유출되지않도록한다. P2P 사용금지 P2P사용시중요개인정보또는 PC내중요데이터를공유설정하여정보가유출될수있음 저작권관련파일을불법다운로드시저작권법위반으로인한법적처벌의위험존재 토렌트 /P2P 프로그램은절대사용금지 공용 PC 사용주의 공용PC사용전악성코드검사하기 PW등중요정보입력이나유출에주의 인터넷뱅킹사용주의 자동로그인옵션끄기 웹사이트사용후로그아웃 피싱 / 스미싱주의 스팸메일을통한사용자계정정보요구시절대회신금지 - 대학은구성원 HEMOS계정에대해메일을통해절대계정정보를요구하지않습니다. 단축URL을통한접속요구시절대주의필요 - 단축 URL의경우원본주소에대한정보를확인할수없기때문에악성코드유포에악용되고있음 문자 (SMS) 메시지내에인터넷으로연결되는주소는절대누르지말것
내 PC 지키미실행 내PC지키미는 Windows XP, Vista, 7 사용자 PC의보안상태를점검 / 개선하기위한개인용 PC 보안점검프로그램으로, 앞서설명한 PC보안관리를한번에할수있어간단히 개인 PC 의보안수준을향상시킬수있다. 내 PC 지키미설치 내PC지키미다운로드 - 해모수사이트 (hemos.postech.ac.kr) 메인페이지에서우측하단의사이버보안진단의날배너클릭 ( 링크 ) - 매월세번째수요일 사이버보안진단의날 에 POVIS 사이트에서팝업으로안내및다운로드가능 내 PC 지키미실행 / 조치 내PC지키미는아래 10가지항목에대해취약점점검및조치가능 항목 1 바이러스백신이설치되어실행되고있는가? 항목 2 바이러스백신의최신보안패치가적용되어있는가? 항목 3 운영체제, MS Office의최신보안패치가설치되어있는가? 항목 4 한글프로그램의최신보안패치가적용되어있는가? 항목 5 Windows 로그인패스워드가 8자리이상으로안전하게구성되어있는가? 항목 6 Windows 로그인패스워드를분기 1회이상변경하여사용하고있는가? 항목 7 화면보호기가활성화되어있으며대기시간은 10분이내로설정되어있는가? 항목 8 불필요한사용자공유폴더가설정되어있는가? 항목 9 USB의자동실행이허용되어있지않는가? 항목 10 미사용 (3개월) ActiveX 프로그램이존재하지않는가? 대학에서발생하는악성코드감염등의침해사고중약 50% 는내PC지키미를통한정기적인 PC점검으로예방가능함