컴퓨터보안

제 11강

2012학년도 1학기

컴퓨터보안

 1. 기술적 대응방안

 o DDoS 대응장비ㆍIPSㆍ웹 방화벽 등 보안장비의 설정 값은 도입 시 설 정한 초기 임계값이 아닌 각급기관 상황 (평시 대역폭, 웹서버 성능, 평시 세션 개수 등 )에 맞춰 자체 시험한 임계값으로 재설정

 o 트래픽 처리용량이 부족한 네트워크 장비(라우터, 스위치, 방화벽 등) 에 대한 성능 개선

 * 1G급 장비로 도입했다 할지라도 보안 룰 설정 등으로 인해 1G 성능을 보장 할 수 없는 경우가 많으므로 자체 시험결과를 반영 , 장비 교체 및 성능 업그레 이드

 o 시스템 자원을 고갈시키는 DDoS 공격에 대응하기 위해서 운영 중인 웹서버의 OS 및 환경변수를 최적화

 * 각 기관에서 운영 중인 웹서버의 성능 및 접속 대역폭 등에 따라 가변적이므 로 자체 시험 후 해당기관에 맞는 적절한 값으로 설정

DDOS공격 대비 보안강화 대책

정보보안지침 , 건국대학교 2012

 (예 시 1) Windows 서버설정 사례

DDOS공격 대비 보안강화 대책 정보보안지침 , 건국대학교 2012

환경 변수 설 명 공격징후

탐지 시

서비스장애 발생 시 TcpMaxHalfOpen 허용Half Open 세션수 512 1,024 TcpMaxHalfOpenRetried 현재Half Open 세션수 128 256

KeepAliveTime 유효한연결확인시간 60,000 30,000 EnableDynamicBacklog Backlog 동적기능사용 1 1 MinimumDynamicBacklo

g 사용가능Backlog 최소값 40 80

MaximumDynamicBackl

최대 세션 개수 20,000 40,000

 (예 시 2) Solaris 서버설정 사례

DDOS공격 대비 보안강화 대책 정보보안지침 , 건국대학교 2012

환경 변수 설 명 공격징후

탐지 시

서비스장애 발생 시 Tcp_time_wait_interval time wait 상태시간 30,000 2,000

Tcp_conn_req_max_q Complete 큐 갯수 16,384 32,768 Tcp_conn_req_max_q0 Incomplete 큐 갯수 20,480 40,960 Tcp_ip_abort_cinterval Incomplete 상태의연결시간 20,000 3,000

Tcp_ip_abort_interval 송수신없는상태의연결유지 60,000 30,000

 (예 시 2) Linux 서버설정 사례

DDOS공격 대비 보안강화 대책 정보보안지침 , 건국대학교 2012

환경 변수 설 명 공격징후

탐지 시

서비스장애 발생 시 Tcp_max_syn_backlo

g 서버 연결대기 큐 크기 8,192 16,384

* 설정 방법 : echo 8192 > /proc/sys/net/ipv4/tcp_max_syn_backlog

 URL Redirection 구축 방법

 DDoS공격이 발생하여 서비스 거부 현상이 발견되는 경우, 좀비 PC가 웹서버로 부터의 응답을 처리하지 않는 특징을 이용하여 DDoS 공격 대상 URL을 다른 페이지로 Redirection 되도록 구성

DDOS공격 대비 보안강화 대책

정보보안지침 , 건국대학교 2012

 기관별 준비 사항

 ① Redirect용 서버 (유휴 서버 및 다수의 PC로도 구성 가능)

 ☞ 웹서버 하나에서 Index 페이지만 새로 작성ㆍ운영할 경우 서버는 불필요

 ② Redirect 안내페이지(HTML) 사전 작성

 o SQL Query Attack을 방지하기 위해 와일드카드ㆍ특수문자 등 DB 과부하를 유발하는 불필요한 검 색어 입력을 차단

DDOS공격 대비 보안강화 대책 정보보안지침 , 건국대학교 2012

</head><body> <p> 죄송합니다, 지금 접속요청이 많아 서비스가 원활하지 않습니다.

아 래 주 소 를 클 릭 시 즉 시 다 른 페 이 지 로 이 동 합 니 다 . <br><br> <a href="http://www.example.com/redirect_index.html"></a> </p></body></html>

 관리적 대응방안



o 각급기관은 전산망을 일제 점검하고 해당기관의 전산망 구성, 정보보호시스템 및 서버현황 등을 참조하여 DDoS 대응절차를 자체 매뉴얼로 작성



※ 교육과학기술부「DDoS 공격 대응 매뉴얼」을 참조하여 모니터링, 공격탐지, 초동조 치, 분석, 차단조치 등 단계별로 DDoS 공격대응 절차 마련



o DDoS 공격 발생 시 신속한 대응조치 수행을 위해 비상연락체계를 구성ㆍ운영하고 수시로 연락체계 점검



※ 기 구축된「사이버공격 상황전파체계」와 연계하여 자체 상황전파 훈련을 병행 실시 하고 상황전파 책임자 및 연락처 변동 시 우리부로 통보(소속기관, 시도교육청, 국․공립 대 해당)



o 기관별 자체 DDoS 대응 실전훈련을 지속 실시하고 훈련결과를 반영하여 자체 대응 매뉴얼 및 대응체계 지속 개선



o 가용대역폭 이상의 공격 발생 시 긴급대응체계 구축을 위해 ISP와 협조, 유사 시 긴 급 대역폭 증설 방안 구축



o 주요 시스템의 경우 DDoS 트래픽 우회 서비스(DDoS 대피소) 및 CDN서비스(웹가속 서비스) 등 보완대책 마련



※ CDN서비스 : 동일한 데이터를 가진 다수의 서버가 여러 ISP에 분산 설치되어 DDoS 공격에 의해 접속자가 폭주하거나 장애가 발생하더라도 즉시 다른 서버에서 서비스를 제공



o 공격 차단조치로 인해 공격이 진화되면 서비스 정상화 조치와 함께 피해복구 절차 를 수행하고 재발방지를 위한 예방책 수립

DDOS공격 대비 보안강화 대책

정보보안지침 , 건국대학교 2012

 백신관리서버 보안취약점 및 개선방안

백신관리서버 운용 시 보안관리 강화 대책 정보보안지침 , 건국대학교 2012

취 약 점 보 안 대 책

SQL Injection 취약점을 통한 관리자 권한 획득

o 백신관리서버 및 응용 S/W 최신 보안패치 설치 o 관리자 네트워크 대역에서만 관리서버 접속 허용 o 서버에 접속 가능한 사용자 IP 및 MAC주소 제한 o 모든 DB입력 데이터에 대한 유효성을 검증하여 차단 o 관리자 인증에 성공한 IP에서 전송된 명령만 실행 o 관리자 권한인증은 반드시 인증된 관리서버에서 수행 o 불필요한 응용 소프트웨어 설치 금지 및 삭제 o 응용 소프트웨어에서 사용하는 통신 포트 제한 백신업데이트 서버로 위장,

해킹프로그램 배포 업데이트 파일 조작을 통한

해킹프로그램 배포 디폴트 계정을 이용한

백신관리서버 해킹 인증 우회를 통한 관리자 권한 획득

 SQL Injection 취약점을 통한 관리자 권한 획득

 SQL Injection은 정상적인 SQL 문을 변조하여 인증 우회, DB 데이터 열 람 , 시스템 명령 실행 등 임의의 SQL 명령문을 수행하는 공격으로 사용 자 입력값에 대한 적절한 검증이 이루어지지 않아 발생

 취약점

 백신서버 DB에서 SQL 인젝션 공격을 방어하기 위한 특수문자 예외처리가 완 벽하지 않는 경우 우회 가능

 관리콘솔에서 백신관리서버 DB에 접속할 경우 SQL injection 취약점을 이용 하여 관리자 권한으로 접속 가능

 DB에 접속한 공격자는 시스템관리자 권한으로 백신프로그램이 설치된 모든 사용자 PC에 해킹프로그램 강제 설치 가능



SQL Injection 공격이 가능하면 공격자는 DB 서버의 관리자권한 획득, 백신관리콘솔 접근권 한 획득, 해킹프로그램 설치 등 다양한 공격 가능

백신관리서버 운용 시 보안관리 강화 대책

정보보안지침 , 건국대학교 2012

 SQL Injection 취약점을 통한 관리자 권한 획득

 SQL Injection은 정상적인 SQL 문을 변조하여 인증 우회, DB 데이터 열람, 시스템 명령 실행 등 임의의 SQL 명령문을 수행하는 공격으로 사용자 입력 값에 대한 적절한 검증이 이루어지지 않아 발생

 취약점



백신서버 DB에서 SQL 인젝션 공격을 방어하기 위한 특수문자 예외처리가 완벽하 지 않는 경우 우회 가능



관리콘솔에서 백신관리서버 DB에 접속할 경우 SQL injection 취약점을 이용하여 관리자 권한으로 접속 가능



DB에 접속한 공격자는 시스템관리자 권한으로 백신프로그램이 설치된 모든 사용 자 PC에 해킹프로그램 강제 설치 가능



SQL Injection 공격이 가능하면 공격자는 DB 서버의 관리자권한 획득, 백신관리콘솔 접근권한 획득, 해킹프로그램 설치 등 다양한 공격 가능

 보안대책

백신관리서버 운용 시 보안관리 강화 대책

정보보안지침 , 건국대학교 2012

 백신업데이트 서버로 위장하여 해킹프로그램 배포

 서버위장 취약점은 PC 에이전트에서 백신서버로부터 수신된 명령에 대해서 정상적인 명령인지 여부를 판단하지 않아 발생하는 것으로 IP Spoofing, ARP Poisoning 공격 등을 이용하여 정상 서버로 위장

 취약점



공격자는 해킹이메일을 기관 내 사용자에게 발송, 사용자PC 1대를 장악한 후 IP Spoofing 등을 통해 동 PC를 위장서버로 구축



공격자가 업데이트 서버주소를 변경토록 요구하는 명령과 함께 해킹프로그램 유포 를 위해 구축한 위장서버 IP주소 전송



PC 에이전트에서는 수신된 명령에 대한 인증 없이 수신된 공격자의 위장서버 주소 를 자신의 업데이트서버 주소로 변경



위장서버를 통해 사용자PC에 해킹프로그램이 자동 배포됨으로써 기관내 존재하는 모든 사용자PC 완전 장악

 보안대책



정상적인 백신서버나 관리자 콘솔에서 보내는 명령인지 인증 후 실행하도록 공개 키 기반 전자서명(PKI) 등으로 상호 인증



IP-MAC 주소목록을 별도로 관리하여 IP Spoofing, ARP Poisoning 공격 차단 기능 을 가진 네트워크 스위치 사용

백신관리서버 운용 시 보안관리 강화 대책

정보보안지침 , 건국대학교 2012

 업데이트 파일 조작을 통한 해킹프로그램 배포

 업데이트하고자 하는 파일의 무결성을 검사하지 않아 발생하는 취약점으로 공격자는 업데이트 서버를 해킹하여 업데이트 파일을 해킹프로그램으로 교 체하여 모든 사용자 PC에 해킹코드 배포

 취약점



공격자는 백신서버에 존재하는 SQL Injection 취약점 등을 이용하여 백신서버를 장악하고 업데이트 파일을 해킹코드로 교체



공격자는 중간에서 업데이트 파일정보를 임의로 변조ㆍ전송한 후 해킹프로그램을 정상파일로 위장하여 배포



PC에이전트에서는 무결성 검사를 하지 않거나 공격자가 보낸 변조된 업데이트 정 보만 확인함으로써 공격자가 보낸 해킹프로그램 설치



무결성 검사: 파일이 비정상적인 방법으로 인해 변경되었는지 확인하는 절차

 보안대책



업데이트 파일정보 전송 시 백신관리서버의 개인키로 서명하고 파일정보에 해쉬 (hash)값을 포함하여 전송



무결성검사를 위해CRCㆍMD5보다 강력한 해쉬 알고리즘인 SHA-1 사용 권장

백신관리서버 운용 시 보안관리 강화 대책

정보보안지침 , 건국대학교 2012

 디폴트 계정을 이용한 백신관리서버 해킹

 시스템을 구입한 사용자가 디폴트 계정을 변경하거나 삭제하지 않아 발 생하는 취약점으로 공격자는 디폴트 계정을 이용하여 관리자 권한으로 시스템에 접근하여 서버 장악

 취약점

 백신관리서버 및 DB 설치 시 디폴트 계정이 자동 생성되는 경우 공격자는 디 폴트 계정을 이용하여 DB에 정상 접근 가능



예) ID : user, PW : admin123, 123456 등

 일부 백신관리서버는 레지스트리 특정위치에 관리자 콘솔 프로그램의 로그인 아이디 및 비밀번호를 평문으로 저장

 DB에 접속한 공격자는 시스템관리자 권한으로 백신프로그램이 설치된 모든 사용자 PC에 해킹프로그램 강제 설치 가능

 보안대책

 백신서버 설치 시 생성되는 디폴트 DB계정은 삭제하고 설치 완료 후 사용자로 부터 계정정보를 새로 입력 받아 사용

 레지스트리 등 PC에 로그인 아이디 및 비밀번호가 평문으로 저장되는 경우, 관리자 아이디 및 비밀번호 삭제

백신관리서버 운용 시 보안관리 강화 대책

정보보안지침 , 건국대학교 2012

 인증 우회를 통한 관리자 권한 획득

 인증 우회 취약점은 인증체계 설계 및 구현상의 오류를 이용하여 정상적 인 인증 과정을 거치지 않고 관리자 권한을 획득하는 것으로 , 백신서버 와 PC간 인증 기능이 없거나 유효성을 검증하지 않아 발생

 취약점

 공격자는 관리자 콘솔이 보낸 명령인지 확인하는 절차를 우회토록 관리자 콘 솔 프로그램을 변조 (무인증 관리콘솔 제작)

 공격자는 무인증 관리콘솔을 이용하여 백신 서버에 접속하여 기관 내 모든 사 용자 PC에 해킹프로그램을 설치하도록 명령

 정상적인 권한을 가진 백신 업데이트 서버에 의해 해킹프로그램이 자동 설치 됨으로써 사용자PC 완전 장악

 보안대책

 로그인하는 과정에서 아이디 , 비밀번호 등으로 정상사용자 여부를 인증한 후

백신관리서버 운용 시 보안관리 강화 대책

정보보안지침 , 건국대학교 2012

 응용 S/W 취약점을 이용하여 백신관리서버 해킹

 백신관리서버가 설치될 때 같이 설치되는 자체 제작 S/W(웹서버, FTP 프로그램 등 )나 서버에 설치되어 있는 응용 S/W(웹브라우저, 글, 오피 스 등 ) 자체에 취약점이 존재, 이를 악용하여 백신서버 해킹

 응용 S/W의 취약점과 보안패치가 발표될 때 해당 S/W를 사용하는 서버에서 보안패치가 적용되지 않아 취약점 발생

 공격자는 백신관리서버에 설치된 응용 S/W를 찾아내고, 식별된 모든 S/W의 취약점을 인터넷을 통해 검색

 공격자는 발견된 응용 S/W 취약점을 악용하여 백신관리 서버를 해킹한 후에 모든 사용자 PC에 해킹프로그램을 설치토록 명령

 보안대책

 서버 운영체제 및 설치된 응용 S/W의 보안패치 여부를 상시 확인하여 보안 패 치가 발표될 경우 즉각 적용



국정원(국가사이버안전센터)이 배포하는 보안권고문을 확인하여 즉시 적용

백신관리서버 운용 시 보안관리 강화 대책

정보보안지침 , 건국대학교 2012