PART 04. 시스템 보안
15. 클라이언트 보안 (출제빈도 1.6%)
15. 클라이언트 보안
(출제빈도 1.6%)[악성 소프트웨어]
•악성 소프트웨어의 분류
- 독립형/기생형 : 다른 프로그램 없이 독립적으로 존재하지 못하는 악성 소프트웨어를 기생형으로 분류한다. 이런 기생형 악성 소프트웨어에는 바이러스, 논리폭탄, 백도어가 있다. 독립형으로는 웜, 좀비 프로그램 등이 있다.
- 바이러스형/비-바이러스형 : 자기 복제 여부로 분류하며, 바이러스형에는 바이러스, 웜이 있으며, 비-바이러스형에는 트로이목 마와 백도어 등이 있다.
[바이러스(Virus)]
•자기 자신 또는 자신의 변형을 복사하여 컴퓨터 작동에 피해를 주는 명령어의 집합
•파일이나 부트섹터 등 감염대상을 필요로 한다. (기생형)
•세대별 분류 : 원시형 – 암호화 – 은폐형 – 갑옷형 – 매크로
•매크로 바이러스(Macro Virus)
- 플랫폼과 무관하게 사용되고, 쉽게 전파된다.
- 문서를 감염시키고 코드의 실행부분은 감염시키지 않는다.
- 일반적으로 사용자가 실행 파일보다 주의를 덜 하기 때문에 피해가 더 크다.
•안티 바이러스 필터링 방법
- signature scanning : 특정 바이러스만이 가진 유일한 형태의 signature를 찾아내는 방법 - behavioral virus scanning : 바이러스가 수행 중에 어떤 행동을 보이는지 추적하는 방법.
•바이러스 예방책
- 신뢰있는 업체에서 구입한 상업용 S/W를 사용한다.
- 바이러스 스캐너를 통해 정기적인 검사를 하고, 주기적으로 업데이트를 한다.
- Windows Script Host, Active X, VBScript, JavaScript는 비활성화 한다.
- 사용에 심하게 방해되지 않는 수준에서 보안 정책을 수립/적용하고 교육한다.
[웜(Worm)]
•자기 자신을 복제하여 네트워크를 통해 스스로 확산시킨다.
•다른 시스템에 직접적인 영향을 미치지 않는다. (↔ 트로이목마)
•다른 프로그램에 기생하지 않는다. (↔ 바이러스)
•웜의 종류
- MASS Mailer형 웜 : 대량 메일 발송을 통해 확산되는 웜. 감염된 시스템이 많으면 SMTP 서버의 네트워크 트래픽이 증가 - 시스템 공격형 웜 : OS 고유 취약점을 이용해 내부 정보를 파괴하거나, 컴퓨터를 사용할 수 없는 상태로 만들거나, 백도어를 설치하는 웜.
- 네트워크 공격형 웜 : 특정 네트워크나 시스템에 대해 서비스 거부(DoS) 공격을 수행한다.
32 | 94 15. 클라이언트 보안 [트로이목마(Trojan horse)]
•자신의 실체를 드러내지 않으면서 마치 다른 프로그램의 한 유형인 것처럼 가장하여 활동하는 프로그램.
•자기복제 X (↔웜, 바이러스), 다른 파일 감염 X
•사용자 정보를 유출, 파괴하거나 DoS 공격, 원격 조정, 키로거(Keylogger)에 이용
•트로이목마의 일반적인 기능은 원격 조정, 패스워드 가로채기, 키보드 입력 가로채기(키로거), 시스템 파일 파괴가 있다.
* Back Orifice : MS 관리자용 도구이며, 해커 그룹에서 개발한 백도어 프로그램이다.
[기타 악성 소프트웨어]
•스파이웨어(Spyware)
- 설치된 시스템의 정보를 주기적으로 원격지의 특정한 서버에 보냄 - 광고나 마케팅을 목적으로 배포하면 애드웨어(Adware)라고도 한다.
- 유용한 S/W를 제공하면서 목적을 달성
•Exploit : 하나 혹은 여러 개의 취약점을 공격하기 위한 스크립트 혹은 프로그램
•루트킷(Rootkit) : 컴퓨터 시스템에 침입 후 관리자(root) 수준의 접근 허락을 얻기 위해 사용하는 해킹 도구 모음
•조크(Joke) : 실제 바이러스는 아니지만 감염자에게 심리적인 위협이나 불안을 조장하는 프로그램
•Hoax : 남을 속이거나 장난을 목적으로 퍼뜨리는 가짜 바이러스
[웹브라우저 보안]
•쿠키(Cookie) 개념
- 사용자들이 웹 사이트를 편리하게 이용할 수 있도록 하기 위한 목적으로 개발
- Client(웹 브라우저)에 저장된다. * 세션(Session) : 서버 측에 저장되는 정보. 인증과 같은 보안관련 정보는 세션에 저장 - 쿠키를 이용하여 사용자의 정보를 수집할 수 있다.
- 쿠키는 텍스트 파일이기 때문에 실행되지 않으며, 바이러스를 전파할 수 없다.
- 쿠키는 쿠키 안에 저장된 도메인 이름을 갖고 있는 사이트에서만 유효하기 때문에, 다른 웹사이트에서 읽기가 불가능하다.
•쿠키의 구조
- 4개의 속성과 하나의 데이터를 가지는 구조체이다.
* 헤더 Set-Cookie : Server → Client Cookie : Client → Server
- 유효기간(expire) : 기본적으로는 브라우저 종료될 때까지 사용할 수 있지만(임시 쿠키 / 세션 쿠키), 유효 기간을 지정하면 지 정 기간까지 쿠키 데이터를 읽고 쓸 수 있다. (영구 쿠키 / 저장된 쿠키)
- Path : 기본적으로 쿠키는 쿠키 데이터를 생성한 웹 페이지에서만 그 데이터를 읽을 수 있지만 이 항목을 지정해주면 해당 Path 이하에서는 그 쿠키 데이터를 공유할 수 있게 된다.
- Domain : Path 항목이 한 개의 사이트 단위로 지정해 준다면, Domain 항목은 도메인 단위로 지정할 수 있다.
- Secure : 쿠키 데이터의 전송 방법 지정. HTTPS 등을 사용할 수 있다. HTTPS 통신(전송구간 암호화)일 경우에 지정
•쿠키 보안 취약점
- XSS(Cross-Site Scripting) : 자바스크립트가 사용자의 컴퓨터에서 실행된다는 점을 이용한 공격 - 스니핑(Sniffing) : 네트워크를 통해 전송되는 암호화되지 않은 쿠키를 탈취할 수 있다.
Set-Cookie: name=value; expires=[Date]; domain=[Domain]; path=[Path]; [secure]
16. 윈도우 서버 보안 33 | 94
16. 윈도우 서버 보안
(출제빈도 3.3% / 최근 3회간 5문제 이상 출제)[윈도우 파일시스템]
•파일시스템 종류
FAT16 FAT32 NTFS
용량 저용량(최대 2GB) 고용량(2GB~2TB) 대용량
암호화∙압축 X X O
클러스터 한 클러스터에 1632KB 한 클러스터에 4KB 가변 클러스터(512B ~ 4KB)
장점 ∙ 호환성 우수(대부분의 MS OS에서 호환)
∙ 저용량 볼륨에 최적화
∙ 강력한 보안기능, 감사 기능
∙ 디스크의 효율적 사용
∙ 대용량 볼륨, 긴 파일이름
단점 ∙ 보안 취약
∙ 대용량 볼륨에 비효율적
∙ NT계열외의 OS에는 호환 X
∙ 저용량 볼륨에서 FAT보다 속도 저하됨
•NTFS 디스크 구조
MBR VBR MFT 시스템 파일 파일 영역
- MBR(Master Boot Recode) : 파티션 생성 시 물리적 디스크의 첫 번째 섹터에 위치한 512bytes 크기의 영역. 부팅 시 BIOS에 의해 POST 과정을 마친 후 이 영역의 부트 코드를 호출하게 된다.
- VBR(Volume Boot Recode) : 부팅을 위한 기계어 코드와 볼륨 및 클러스터의 크기, MFT의 시작 주소 등의 설정 정보를 저장 - MFT(Master File Table) : 모든 파일에 대한 데이터를 제외한 파일 이름, 크기, 생성 시간 등의 모든 정보가 저장
- 시스템 파일 : 복구하는데 사용할 파일들이 저장 - 파일 영역 : 각 파일에 대한 실제 데이터가 저장
•부팅 순서 - 윈도우 XP 이전
(1) POST(Power On Self Test) 수행
(2) 기본 부팅 관련 설정사항 로드 : CMOS의 설정사항을 읽어 옴.
(3) MBR 로드 : 부팅 매체에 대한 기본 파일시스템 정보를 읽어 옴.
(4) NTLDR(NT Loader) 실행
(5) ntoskrnl.exe 실행 : ntoskrnl.exe는 HAL.DLL을 읽어 옴.
- 윈도우 Vista 이후 (1)~(3) 동일
(4) 윈도우 부트 서브 시스템 실행
(5) 윈도우 OS 로더(Winload.exe) 실행 : 각종 장치 드라이브를 로드하고, ntoskrnl.exe를 실행
34 | 94 16. 윈도우 서버 보안 [윈도우 계정]
•설치할 때 기본적으로 생성되는 계정
- Administrator : 관리자 권한의 계정. 사용자가 사용 가능한 계정 중 가장 강력한 권한을 가진다.
- SYSTEM : 시스템에서 최고 권한을 가진 계정. 로컬에서 Administrator보다 상위 권한이며 사용자는 이 계정으로 시스템에 로 그인할 수 없다.
- Guest : 제한적인 권한을 가진 계정.
•설치할 때 기본적으로 생성되는 그룹
- Administrators : 도메인 자원이나 로컬 컴퓨터에 대한 모든 권한이 있다.
- Account Operators : 계정을 관리하는 그룹
- Backup Operators : 시스템 백업을 위해서 모든 시스템의 파일과 디렉터리에 접근할 수 있다.
- Guests : 도메인 사용 권한이 제한된 그룹. 시스템 설정 변경 권한이 없다.
- Print Operators : 도메인 프린터에 접근할 수 있다.
- Users : 도메인과 로컬 컴퓨터를 일반적으로 사용하는 그룹. 개개인에 할당된 사용자 환경을 직접 만들 수 있지만, 설정할 수 있는 항목에는 한계가 있다.
- Power Users : Users 그룹 권한에서 디렉터리나 네트워크 공유, 공용 프로그램 그룹 생성, 시계 설정 권한을 추가로 가진다.
- Server Operation : 도메인의 서버를 관리할 수 있는 권한을 가진 그룹
•SID(Security Identifier)
- Unix/Linux 시스템의 UID와 비슷한 윈도우 개념
- ‘Whoami /SID' 명령어나 'Whoami /USER' 명령어를 통해 SID를 확인할 수 있다.
➀ S : SID를 의미 ➁ 1 : revision number ➂ 5 : ID authority value
➃ 21-1049551371-2153553480-1211573571 : 시스템의 고유한 숫자.
➄ 1000 : 관리자는 500번 / Guest는 501번 / 일반 사용자는 1000번 이상의 숫자를 갖는다.
[윈도우 인증]
•LSA (Local Security Authority)
- 모든 계정의 로그인에 대한 검증, 접근 권한 검사
- SRM이 생성한 로그를 기록, 보안 서브시스템이라 불리기도 함
•SAM (Security Account Manager)
- 사용자/그룹 계정 정보에 대한 DB를 관리 (경로 : %systemroot%/system32/config/sam) - 로그인 입력 정보와 SAM DB 정보를 비교해 인증 여부 결정
•SRM (Security Reference Monitor) - 사용자에게 SID를 부여
- SID에 기반하여 파일/디렉터리에 대한 접근 권한을 결정 - 감사 메시지 생성
16. 윈도우 서버 보안 35 | 94 [공유 자료 관리]
•파일과 폴더의 접근 권한
- 제공되는 권한 : 모든 권한, 수정, 읽기 및 실행, 폴더 내용 보기, 읽기, 쓰기
- 특정 사용자가 여러 그룹에 속한 경우 특정 파일/디렉터리에 대한 접근 권한은 누적된다.
- 파일에 대한 접근 권한이 디렉터리에 대한 접근 권한에 우선한다.
- 허용 권한보다 거부 권한이 우선한다.
•기본 윈도우 공유 폴더
- C$, D$ 등 : 드라이브에 대한 관리목적 공유 폴더
- ADMIN$ : 윈도우 설치 폴더에 접근하는 관리목적 공유 폴더
- IPC$(Inter Process Communication) : 네트워크 등에서 프로세스 간의 통신을 위해서 사용하는 통로
•공유 폴더 관리
- net share 명령어로 숨겨진 공유 폴더를 확인할 수 있다. (숨겨진 공유 폴더 = 공유 이름 끝에 ‘$’가 붙은 폴더)
- C$, D$, ADMIN$ 공유가 숨겨졌더라도 매우 잘 알려져 있어 침입자가 네트워크에 액세스할 수 있는 위험이 있다. 대책방법으로 이런 공유를 비활성화 하는 방법이 있다. (net share 공유이름 /delete)
- net share 명령으로 공유 비활성시, OS 재부팅 시 다시 생성되기 때문에 레지스트리를 통해 완벽하게 제거할 수 있다. (HKLM) - IPC$는 정상적인 방법으로 제거할 수 없으며, 제거할 경우 특정 서비스가 실행되지 않을 수 있다.
[암호 기능]
•EFS(Encrypting File System) : 파일/폴더를 암호화할 수 있는 기능
•BitLocker : 볼륨 단위(파티션 드라이브)의 데이터 암호화 기능
[레지스트리]
•레지스트리는 윈도우 부팅 시 하이브 파일에서 값을 읽어 들여 구성된다. 하이브 파일에서 직접 읽어 들여 구성되는 키를 Master Key라 하고 Master Key로부터 값을 가져와서 재구성하는 키를 Derived Key라 한다.
- Master Key : HKLM(HKEY_LOCAL_MACHINE), HKU(HKEY_USERS)
- Derived Key : HKCU(HKEY_CURRENT_USER), HKCC(HKEY_CURRENT_CONFIG), HKCR(HKEY_CLASSES_ROOT)
•HKEY_CLASSES_ROOT (HKCR)
- 시스템에 등록된 파일 확장자와 그것을 열 때 사용할 어플리케이션에 대한 매핑 정보를 저장 - COM(Component Object Model) 오브젝트 등록 정보를 저장하고 있다.
•HKEY_CURRENT_USER (HKCU)
- 현재 시스템에 로그인하고 있는 사용자와 관련된 시스템 정보를 저장
- HKCU 키에서 설정한 내용이 HKU보다 우선권을 갖게 됨. (HKCU 키 값이 변경되면, HKU 키의 해당되는 키의 값도 변경됨)
36 | 94 16. 윈도우 서버 보안
•HKEY_LOCAL_MACHINE (HKLM)
- 컴퓨터에 설치된 하드웨어와 하드웨어를 구동시키는 데 필요한 드라이버나 설정 사항에 관련된 정보를 저장
- HKLM\HARDWARE : 메모리에 휘발성으로 존재. 부팅 시 감지된 모든 하드웨어와 그 하드웨어 장치의 드라이버 매핑 정보가 저장
- HKLM\SAM : 사용자와 패스워드, 소속 그룹, 도메인 정보 등 로컬 계정 정보와 그룹 정보를 저장. 시스템 계정만 접근 가능 - HKLM\SECURITY : 시스템 범위의 보안 정책과 사용자 권리 할당 정보를 저장. 시스템 계정만 접근 가능
- HKLM\SOFTWARE : 시스템 범위의 소프트웨어 목록과 그 환경 설정 정보(이름, 경로, 라이선스 정보 등)를 저장 - HKLM\SYSTEM : 시스템이 부팅될 때 필요한 시스템 범위의 환경 설정 정보(시작시킬 서비스 목록 등)를 저장
•HKEY_USERS (HKU)
- 시스템에 있는 모든 계정과 그룹에 관한 정보를 저장 - 만약 시스템의 사용자가 한 명이라면 HKCU 설정 내용과 일치
- HKCU에 저장된 정보 전체와 데스크톱 설정, 네트워크 연결 등의 정보가 저장되어 있으며, user.dat에 그 내용을 저장
•HKEY_CURRENT_CONFIG (HKCC)
- 시스템이 시작할 때 사용하는 하드웨어 프로파일 정보를 저장
- HKLM에 서브로 존재하는 config의 내용(디스플레이와 프린터에 관한 설정 정보)만을 담고 있다.
•레지스트리 공격/백업
- 레지스트리 백업 : 윈도우의 레지스트리 정보는 windows 폴더에 USER.DAT, SYSTEM.DAT 파일에 저장된다. 윈도우의 모든 시스 템 정보를 백업하기 위해서는 USER.DAT, SYSTEM.DAT, SYSTEM.INI, WIN.INI 파일을 백업해야 한다.
- 부팅 시 악성코드 실행 공격 : 재부팅 시 악성 프로그램을 구동시키기 위해 레지스트리를 변조하게 된다.
* HKCU\Software\Microsoft\Windows\CurrentVersion\Run : 개별 사용자 지속 * HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce : 개별 사용자 일회성 * HKLM\Software\Microsoft\Windows\CurrentVersion\Run : 전체 사용자 지속 * HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce : 전체 사용자 일회성
- 특정 확장자 실행 시 악성코드 실행 공격 : 특정 확장자 실행 시 원하는 악성 프로그램을 실행시키게 할 수 있다.
* HKCR 의 내용을 변경함으로써 수행