2007-특집호 SECON 특집호 ▶ SANS Top-20 2007 보안 위협 ················································································2

(1)

2007-특집호

SECON 특집호

▶ SANS Top-20 2007 보안 위협 ···2

(2)

SANS Top-20 2007 보안 위협 (2007 연례 업데이트)

(출처: http://www.sans.org/top20/?portal=eac3b6af0b3f00b2b8c6dfae77452ed1)

개요

7년 전 SANS와 미국 연방수사국(FBI)의 국가인프라보호센터(NIPC)는 가장 위험한 인터넷 보 안 취약점 Top 7을 요약한 문서를 릴리스했다. 수 천 개의 기관 및 단체들이 이 문서에 의존 해 우선적인 취약점을 해결했고, Top 10 리스트는 다음해 Top 20로 개정되었다.

보안 위협은 끊임없이 변하기 때문에 보안 기준도 이에 맞춰 새롭게 적용되어야 한다. 불과 1 년 전 익스플로잇 되었던 취약점들만 해도 이전에 익스플로잇 되었던 취약점들과 판이하게 다 르다:

• 대형 인터넷 웜을 유발하는 운영 시스템 취약점의 감소. 예를 들어, 지난 2002년에 서 2005년 사이, Blaster, Nachi, Sasser, Zotob 등의 마이크로소프트 윈도우즈 웜이 인터넷에 연결된 다수의 시스템을 감염시켰지만, 2005년도에 접어들면서 윈도우즈 서비스를 타겟으로 하는 새로운 대형 웜은 발견되지 않았고, 대신 안티-바이러스, 백 업, 기타 어플리케이션 소프트웨어 취약점들을 이용한 웜들이 등장했다. 가장 주목을 받았던 웜은 2006년 등장한 시만텍 안티-바이러스 버퍼 오버플로우를 익스플로잇하 는 웜이었다.

• 브라우저, 오피스 소프트웨어, 미디어 플레이어, 기타 데스크탑 어플리케이션 취약점 을 포함한 클라이언트-사이드 취약점 숫자가 현저하게 증가했다. 이 취약점들은 다 중 운영 시스템에서 발견되고 있으며, 다량으로 광범위하게 익스플로잇 되어 봇넷에 사용되고 있다.

• 직장 내 직원들의 인터넷 브라우징이 주요한 보안 위협으로 등장했다. 몇 년 전만 해 도 서버 및 서비스 보안이 조직 내 보안의 주요 과제였지만, 오늘날 악성 웹 페이지 나 기타 클라이언트를 타겟으로 하는 공격으로 인해, 사용자 컴퓨터를 공격으로부터 방어하는 것은 서버 및 서비스 보안 못지않은 (혹은 그 이상으로) 중요한 과제가 되 었다.

• 맞춤형 어플리케이션 및 오픈-소스 웹 어플리케이션 취약점이 지난해 발견되었던 취 약점의 거의 절반을 차지했다. 이 취약점들은 광범위하게 익스플로잇 되어 신뢰받는 웹사이트를 클라이언트-사이드 익스플로잇 및 피싱 사기를 제공하는 악성 서버로 전 환시켰다.

• 서비스를 디폴트로 설정하고 디폴트 패스워드를 그대로 사용하는 운영 시스템들이 아직도 많다. 2007년도에도 많은 시스템들이 딕셔너리 및 무작위 대입 패스워드 추

(3)

정 공격을 당했다.

• 조직으로부터 민감한 데이터를 빼내기 위한 공격이 더욱 창조적으로 진화하고 있다.

따라서 조직의 범위를 이탈하는 모든 데이터를 체크하는 것이 아주 중요한 과제가 되었다.

SANS Top 2007은 즉각적인 해결을 요하는 취약점 리스트로, 영국, 미국, 싱가폴의 정부기관, 선도적인 보안 소프트웨어 벤더, 컨설팅사, 일류 대학의 보안 프로그램, 인터넷 스톰 센터 및 기타 사용자 조직의 십수명의 선도적인 보안 전문가들에 의해 공동으로 작성되었다.

SANS Top 2007 리스트는 전년도의 아주 중요한 취약점들을 수록하고 있다. 오랫동안 시스 템을 패치하지 않았다면 2006년도 리스트는 물론, 이전 리스트도 참조해 패치하는 것이 좋다.

2007년도 설정 일부를 변경하거나 단일 패치를 적용해 픽스할 수 있는 특정 기술적 취약점에 주력했던 과거의 리스트와는 다르다. 오늘날 공격은 아주 빠르게 진행되기 때문에, 기존의 포 인트-픽스 방식은 시대에 뒤떨어지기 때문이다. 이런 이유로 인해, 2007년도 리스트는 공격자 들이 타겟으로 하는 영역과 기술적 픽스를 지속적으로 적용하기 위해 강화해야 할 보안 프로 세스에 주력했다.

SANS Top 2007은 살아있는 문서로, 단계별 지침 및 보안 취약점 해결에 유용한 추가 정보를 제공하며, 더욱 중요한 보안 위협과 최신 혹은 편리한 보호책이 식별 되는대로 업데이트된다.

이 리스트는 커뮤니티가 만드는 문서로, 공격 방어와 취약점 제거 관련된 경험에서 얻은 지식 을 통한 참여를 환영한다. (top20@sans.org)

클라이언트-사이드 취약점

C1. 웹 브라우저 C1.1 설명

마이크로소프트 인터넷 익스플로러는 전 세계적으로 가장 널리 사용되는 웹 브라우저로, 모든 마이크로소프트 윈도우즈 시스템에 디폴트로 인스톨되어있다. 구버전이나 패치되지 않은 인터 넷 익스플로러는 메모리 Corruption, 스푸핑, 임의의 스크립트나 코드 실행을 할 수 있는 다중 취약점들을 포함한다. 가장 치명적인 이슈는 사용자가 악성 웹페이지를 방문하거나 악성 이메 일을 읽을 때 사용자 개입 없이 리모트 코드 실행을 유도하는 취약점으로, 많은 치명적인 취

(4)

약점들의 익스플로잇 코드가 공개되어 있다. 추가로, 인터넷 익스플로러는 HTML Help, 그래 픽 렌더링 엔진(Graphics Rendering Engine) 같은 핵심 윈도우즈 콤포넌트에 존재하는 취약 점 익스플로잇의 보조 역할을 한다. 2006년 동안 마이크로소프트와 타 소프트웨어 벤더들에 의해 인스톨된 액티브X 컨트롤에서 수 백개의 취약점이 발견되었으며, 이 취약점들 역시 인터 넷 익스플로러를 통해 익스플로잇되고 있다.

모질라 파이어폭스는 인터넷 익스플로러 다음으로 널리 사용되는 웹 브라우저로, 역시 많은 취약점들을 갖고 있다. 2007년도 파이어폭스는 일반에 노출된 취약점 업데이트를 수차례 릴리 스했다. 인터넷 익스프로러와 마찬가지로, 구버전이나 패치되지 않은 파이어폭스는 메모리 corruption. 스푸핑, 임의의 스크립트나 코드 실행으로 유도하는 많은 취약점들을 포함한다.

이 브라우저 취약점들을 익스플로잇하는 웹사이트들은 각종 익스플로잇을 호스팅하며, 심지어 는 잠재적인 타겟 사용자가 사용하는 브라우저별로 적절한 취약점을 런치하는 웹사이트도 있 다.

리치 콘텐트 웹사이트의 폭발적인 증가와 더불어, 멀티미디어와 문서 등의 각종 MIME 파일 유형에 접속하기 위해 사용되는 브라우저 헬퍼 오브젝트와 써드파티 플러그인이 증가했다. 이 플러그인들은 대부분 매크로미디어 플래시, 쇼크웨이브 등의 클라이언트-사이드 웹 스크립팅 언어를 지원한다. 이 플러그인들은 대다수 웹사이트를 통해 사용자가 알게 모르게 인스톨된 다. 때문에 위험한 헬퍼 오브젝트나 플러그인이 자신의 시스템에 인스톨되었다는 것을 사용자 는 알지 못한다. 이 추가적인 플러그인들은 악성 웹사이트를 방문하는 사용자들의 컴퓨터를 위험에 빠뜨리기 위해 익스플로잇하는 해커들에게 더욱 많은 수단을 제공한다.

예를 들어, 2007년 10월, 윈도우즈 XP와 윈도우즈 서버 2003 시스템의 인터넷 익스플로러 7 에서 특수하게 제작된 URI(Uniform Resource Identifiers)를 적절하게 처리하지 못하는 취약점 이 발견되었다. 이 취약점을 이용하면 특수하게 제작된 URI를 PDF 문서에 삽입해 취약한 시 스템에 임의의 코드를 실행할 수 있다.

어도브 리더와 퀵타임 같은 일부 플러그인들은 버전 체크와 업데이트 기능을 제공하지만, 이 플러그인들은 종종 귀찮다는 이유로 사용자들로부터 외면당한다. 인스톨된 플러그인 버전을 알아내는 것은 대개는 어려운 일이다. 예를 들어, 호환 문제로 인해 시스템에 구버전의 쇼크 웨이브가 동시에 인스톨되어 있을 수 있는 경우, 사용자는 어떤 버전이 실행되고 있는지 알아 내기가 어렵다.

이 취약점들은 사용자 시스템에 스파이웨어, 애드웨어, 기타 맬웨어를 인스톨하는데 널리 사 용되어왔다. 스푸핑 취약점들은 피싱 공격의 보조 역할을 했다. 이 취약점들 중에는 제로 데

(5)

이 (취약점이 일반에 노출된 시점에 패치가 발표되지 않은 취약점) 도 있었다. 보고된 많은 플 러그인들 역시 벤더가 패치를 발표하기 전 악성 웹사이트에 의해 널리 익스플로잇 되었다.

마이크로소프트는 2007년 한 해 동안 많은 인터넷 익스플로러 취약점을 릴리스했다:

• 인터넷 익스플로러 누적 보안 업데이트 (939653) (MS07-057)

• 벡터 표시 언어의 취약점으로 인한 원격 코드 실행 문제점 (938127) (MS07-050)

• GDI의 취약점으로 인한 원격 코드 실행 문제점 (925902) (MS07-017)

• 벡터 표시 언어의 취약점으로 인한 원격 코드 실행 문제점 (929969) (MS07-004)

인터넷 익스플로러 최신 누적 업데이트는 이전의 누적된 모든 업데이트를 포함하고 있다는 점 을 유념한다. MS07-017에는 인터넷 익스플로러의 취약점들이 설명되어 있지 않지만, 가장 널 리 알려진 수단이 인터넷 익스플로러를 경유한 익스플로잇이라는 점에 주의한다.

C1.2 영향을 받는 운영 시스템

이론상으로 모든 웹 브라우저와 모든 운영 시스템이 취약하지만, 가장 널리 알려진 웹 브라우 저들이 공격자들의 가장 많은 타겟이 되는 경향이 있다. 오늘날 가장 널리 사용되는 웹 브라 우저는 마이크로소프트 인터넷 익스플로러와 모질라 파이어폭스다.

윈도우즈의 모든 버전에서 실행되는 인터넷 익스플로러 5.x, 6.x, 7이 영향을 받는다. 모든 버 전의 호환 가능한 운영 시스템에서 실행되는 파이어폭스도 잠재적으로 취약하다.

플러그인들이 서드파티 파일포맷에 접속하는데 사용됨에 따라, 플러그인들의 취약점은 사용 가능한 모든 운영 시스템에서 실행되는 모든 브라우저에 적용된다. 모든 운영 시스템의 모든 웹 브라우저가 잠재적으로 취약하다.

C1.3 CVE 엔트리

인터넷 익스플로러

(6)

CVE-2006-4697,CVE-2007-0024,CVE-2007-0217,CVE-2007-0218,CVE-2007-0219, CVE-2007-0942,CVE-2007-0944,CVE-2007-0945,CVE-2007-0946,CVE-2007-0947, CVE-2007-1749,CVE-2007-1750,CVE-2007-1751,CVE-2007-2216,CVE-2007-2221, CVE-2007-2222,CVE-2007-3027,CVE-2007-3041,CVE-2007-3826,CVE-2007-3892, CVE-2007-3896

파이어폭스

CVE-2007-0776,CVE-2007-0777,CVE-2007-0779,CVE-2007-0981,CVE-2007-1092, CVE-2007-2292,CVE-2007-2867,CVE-2007-3734,CVE-2007-3735,CVE-2007-3737, CVE-2007-3738,CVE-2007-3845,CVE-2007-4841,CVE-2007-5338

어도브 아크로뱃 리더

CVE-2007-0044,CVE-2007-0046,CVE-2007-0103,CVE-2007-5020 미디어 플레이어 등의 플레이어 CVE는 C4 참조.

C1.4 위험 여부 판별하기

취약점 스캐너를 사용해 이 취약점들에 대해 패치가 되었는지를 체크한다.

인터넷 익스플로러의 경우는, 마이크로소프트 윈도우즈 서버 업데이트 서비스 (WSUS), 마이 크로소프트 베이스라인 시큐리티 어날라이저 (MBSA), 윈도우즈 라이브 스캐너, 시스템 관리 서버 (SMS)를 사용해 보안 패치 상태를 체크한다.

인터넷 익스플로러 7에서 가장 최근 사용된 플러그인을 보려면, 도구 -> 인터넷 옵션 > 프로 그램 탭에서 추가기능 관리를 클릭한다. 최근 로드된 것들, 인터넷 익스플로러에 사용된 플러 그인들, 허가 없이 실행하도록 설정된 것들 별로 볼 수 있다. 사용하지 않기를 원하는 애드- 온을 클릭해 선택한 후, 설정의 “사용 안함”에 체크를 해주고 “확인” 버튼을 클릭한다.

파이어폭스는 도구 -> 설정 -> 내용 -> 파일형식을 클릭해 파이어폭스가 각종 파일 포맷을 어떻게 처리하는지를 본다.

최근 써드파티들은 브라우저 헬퍼 오브젝트 버전과 패치를 스캔하는 시큐니아 PSI(현재 베타) 등의 툴들을 릴리스하고 있다.

C1.5 이 취약점들로부터 보호하기

(7)

• 윈도우즈 XP 시스템에 인터넷 익스플로러를 사용하는 경우, 안전을 유지하는 가장 좋은 방법은 윈도우즈 XP 서비스팩 2로 업그레이드하는 것이다. 윈도우즈 XP 서비 스팩 2를 사용할 수 없는 경우는 인터넷 익스플로러 대신 다른 브라우저를 사용하는 것이 가장 안전한 방법이다.

• 이전 버전보다 보안이 개선된 인터넷 익스플로러 7로 업그레이드한다. 마이크로소프 트는 인터넷 익스플로러 최신버전인 IE7을 주요 업데이트로 배포하고 있다.

(KB926874)

• 모든 최신 패치와 서비스팩으로 시스템을 지속적으로 업데이트한다. 가능하다면 모든 시스템에 자동 자동 업데이트를 적용한다.

• 마이크로프트 보안 지침서를 수시로 체크한다. 패치가 발표되기 전의 완화책을 적용 하면 제로데이 공격에의 노출을 줄일 수 있다.

• 마이크로소프트 DropMyRights 등의 툴을 사용해 인터넷 익스플로러를 최소 권한으 로 실행해 관리자 레벨에서의 리모트 코드 실행 취약점 익스플로잇을 방지한다.

• "killbit" 메커니즘을 경유해 인터넷 익스플로러 내부에서 취약한 액티브X 콤포넌트가 실행되는 것을 막는다.

• 많은 스파이웨어 프로그램들은 브라우저 헬퍼 오브젝트로 인스톨된다. 브라우저 헬퍼 오브젝트 (혹은 BHO) 는 인터넷 익스플로러가 시작될 때마다 자동으로 실행되는 작 은 프로그램으로, 브라우저의 기능을 확장시킨다. 브라우저 헬퍼 오브젝트는 안티스 파이웨어 스캐너로 탐지할 수 있다.

• IPS/IDS, 안티-바이러스, 안티-스파이웨어, 안티-맬웨어 탐지 소프트웨어를 사용해 악성 HTML 스크립트 코드를 차단한다.

• 윈도우즈 98/ME/NT는 더 이상 업데이트가 지원되지 않는다. 윈도우즈 XP 업그레이 드를 고려한다.

• 액티브X 테크놀로지를 지원하지 않는 모질라 파이어폭스 등의 타 브라우저 사용을 고려한다.

C1.6 웹 브라우저 보안 설정

다음과 같이 인터넷 익스플로러 보안 설정을 한다:

• “도구” 메뉴의 “인터넷 옵션”을 선택한다.

• “보안”탭을 선택하고 “인터넷”의 “사용자 수준”탭을 클릭한다.

• 인터넷 익스플로러의 취약점 대부분은 액티브X 스크립팅이나 액티브X 컨트롤을 통해 익스플로잇 된다.

• “스크립팅”에서 “스크립팅을 통한 붙여넣기 작업 허용”을 “사용안함”으로 선택해 콘

(8)

텐트가 클립보드로부터 노출되는 것을 피한다. 주의: 액티브X 스크립팅을 “사용안함”

으로 설정하면 일부 웹사이트가 올바르게 보이지 않을 수 있다. 액티브X 컨트롤은 액티브X 스크립팅만큼 널리 사용되지는 않지만, 시스템에 더 많은 접속을 허용하기 때문에 잠재적으로 더 위험하다.

• “서명 안 된 액티브X 컨트롤 다운로드”를 선택한다. "안전하지 않는 것으로 표시된 액티브X 컨트롤 초기화 및 스크립트"도 “사용하지 않음”으로 설정한다.

• 자바애플릿은 전형적으로 스크립트보다 더 많은 기능을 갖고 있다. 마이크로소프트 VM에서 “자바 퍼미션에 높은 보안”을 선택해 자바 애플릿에 적절하게 샌드박스하고 시스템 접속을 막는다.

• “기타”에서 “다른 도메인간의 하위 프레임 탐색”을 “사용 안함”으로 설정해 크로스- 사이트 스크립팅 공격을 방지한다.

• 신뢰할 수 있는 사이트나 로컬 인트라넷존에 신뢰할 수 없는 사이트가 있는지 확인 한다. 이 구역들은 다른 구역에 비해 보안 설정이 약하다.

• 마이크로소프트는 인터넷 익스플로러 보안을 강화하기 위해 "인터넷 익스플로러 7 데스크탑 보안 가이드"를 발표했다. 이 가이드는 인터넷 익스플로러 7의 보안 설정 관련된 새로운 기능과 설정을 다루고 있다.

파이어폭스 보안 설정은 다음과 같이 한다:

• “도구” 메뉴에서 “설정”을 선택한다.

• 추가된 파이어폭스 사용자 수준 설정은

http://kb.mozillazine.org/About:config 를 참조한다.

웹브라우저에 사용되는 플러그인 업데이트는 다음과 같이 한다:

• 대부분 플러그인들은 "업데이트 확인" 기능이 포함되어 있다. 이 기능은 보통 “옵션”,

“설정" "도움말” 메뉴에 있다.

• "업데이트 확인"의 체크박스에 체크해 최신 버전 소프트웨어를 유지한다.

C1.7 레퍼런스

US-CERT 웹 브라우저 보안 정보

http://www.us-cert.gov/reading_room/securing_browser/browser_security.html 인터넷 익스플로러 7 데스크탑 보안 가이드

http://www.microsoft.com/downloads/details.aspx?FamilyID=6AA4C1DA-6021-468E-A8CF

(9)

-AF4AFE4C84B2&displaylang=en

마이크로소프트 인터넷 익스플로러 웹로그 http://blogs.msdn.com/ie/

모질라 보안 센터

http://www.mozilla.org/security/

파이어폭스 취약점들

http://www.mozilla.org/projects/security/known-vulnerabilities.html

@Risk: The Consensus Security Alert https://www.sans.org/newsletters/risk/

C2. 오피스 소프트웨어 C2.1 설명

이 섹션은 이메일 클라이언트, 워드 프로세서, 스프레드시트 어플리케이션, 문서 뷰어, 프레젠 테이션 어플리케이션을 포함하는 오피스 수이트 제품 취약점을 다룬다. 오피스 제품 취약점들 은 일반적으로 다음과 같은 공격 벡터를 통해 익스플로잇된다:

• 공격자는 특수하게 제작된 오피스 문서를 이메일로 보낸다. 사용자가 이메일 첨부파 일로 보내진 악성 문서를 열면 악성 콘텐트가 오피스 소프트웨어의 취약점을 익스플 로잇 한다.

• 공격자는 웹 서버나 공유 폴더상의 악성 문서를 호스팅해 사용자들이 이 웹 페이지 나 공유 폴더를 브라우징 하도록 유인한다. 인터넷 익스플로러는 대부분 상황에서 자 동으로 마이크로소프트 오피스 문서를 연다는 점에 주의한다. 그렇기 때문에, 악성 웹페이지나 폴더를 브라우징하면 취약점이 익스플로잇될 가능성이 높다.

• 공격자는 NNTP(뉴스) 서버를 실행하거나 RSS 피드를 하이재킹해 악성 문서를 뉴스 나 RSS 클라이언트에게 보낸다.

위의 시나리오를 통해 바이러스, 트로이, 스파이웨어, 애드-웨어, 루트킷, 키보드 로거, 기타 다른 공격자가 선택한 프로그램들이 사용자 컴퓨터에 인스톨될 수 있다.

마이크로소프트 오피스는 전 세계적으로 가장 널리 사용되는 이메일&수이트로, 아웃룩, 워드, 파워포인트, 엑셀, Visio, FrontPage, 엑세스로 구성되어 있다. 그동안 마이크로소프트 오피스 어플리케이션에서 다수의 치명적인 취약점들이 보고되는데, 그 중 일부(CVE-2006-5574, CVE-2006-1305, CVE-2006-6456, CVE-2006-6561, CVE-2006-5994, CVE-2007-0515,

(10)

CVE-2007-0671, CVE-2007-0045)는 제로데이 이슈로, 마이크로소프트가 픽스를 발표하기 전, 익스플로잇 코드와 기술적 세부사항, proof-of-concept가 일반에 노출되었다.

(11)

(12)

2007년도에 보고된 오피스 제품들의 치명적인 취약점들은 다음과 같다:

• 마이크로소프트 엑셀 리모트 코드 실행 (MS07-002)

• 마이크로소프트 아웃룩 리모트 코드 실행 (MS07-003)

• 마이크로소프트 워드 리모트 코드 실행 (MS07-014)

• 마이크로소프트 오피스 리모트 코드 실행 (MS07-015)

• 마이크로소프트 워드 리모트 코드 실행 (MS07-024)

• 마이크로소프트 오피스 Remote Code Execution (MS07-025)

• 마이크로소프트 아웃룩 익스프레스 및 윈도우즈 메일 (MS07-034)

• 어도브 리더 및 아크로뱃 리모트 코드 실행 (APSB07-18)

• 어도브 리더 및 아크로뱃 크로스 사이트 스크립팅 (APSA07-01)

(13)

윈도우즈 9x, 윈도우즈 2000, 윈도우즈 XP, 윈도우즈 2003, 윈도우즈 비스타, MacOS X는 인 스톨된 오피스 소프트웨어 버전에 따라 취약하다.

C2.3 CVE 엔트리

CVE-2007-0027,CVE-2007-0028,CVE-2007-0029,CVE-2007-0030,CVE-2007-0031, CVE-2007-0034,CVE-2007-0208,CVE-2007-0209,CVE-2007-0515,CVE-2007-0671, CVE-2007-0215,CVE-2007-1203,CVE-2007-0035,CVE-2007-0870,CVE-2007-1747, CVE-2007-1658,CVE-2007-1756,CVE-2007-3030,CVE-2007-3890

C2.4 위험 여부 판별하기

마이크로소프트 보안 게시판에 언급된 패치를 적용하지 않은 마이크로소프트 오피스 인스톨은 취약하다. 취약점 스캐너를 사용해 이 취약점들이 패치되어 있는지를 체크한다. 마이크로소프 트 윈도우즈 서버 업데이트 서비스 (WSUS), 마이크로소프트 베이스라인 보안 애널라이저 (MBSA), 윈도우즈 라이브 원캐어, 시스테 관리 서버 (SMS)를 사용해 시스템의 보안 패치를 체크한다.

C2.5 오피스 취약점들로부터 보호하기

• 모든 최신 패치 및 서비스팩 업데이트로 시스템을 유지한다. 가능하다면 윈도우즈 시 스템 자동 업데이트를 사용한다.

• 알지 못하는 소스로부터 온 첨부파일을 열지 않는다. 알려진 소스라도 뜻밖의 이메일 첨부파일이라면 주의를 기울이는 습관을 들인다.

• 알지 못하는 웹사이트에서는 클릭 브라우징으로 문서를 열지 않도록 한다. 클릭 브라 우징은 이메일이나 온라인 포럼의 링크를 클릭해 웹을 브라우징하는 것을 말한다. 모 든 브라우저에 북마크 기능을 사용해 빈번히 방문하는 웹사이트 링크를 생성한다.

• 인터넷 익스플로러의 자동으로 오피스 문서를 여는 기능을 사용하지 않는다.

• 아웃룩과 아웃룩 익스프레스는 보안정도 높음으로 설정한다.

• 취약점 스캐너를 사용해 위험을 점검한다.

• IDS/IPS, 안티-바이러스, 맬웨어 탐지 소프트웨어를 사용해 악성 서버 응답 및 문서 가 최종 사용자에게 전달되는 것을 막는다.

• 네트워크 경계 (network perimeter) 에 메일과 웹 필터링 시스템을 사용해 악성 오피 스 문서가 최종 사용자에게 전달되는 것을 막는다.

(14)

C2.6 레퍼런스

마이크로소프트 오피스 보안

http://www.microsoft.com/technet/security/guidance/clientsecurity/2007office/default.mspx

C3. 이메일 클라이언트 C3.1 설명

이메일은 인터넷에서 널리 사용되는 중요한 어플리케이션 중 하나로, 이메일을 사용하면 시 간, 비용을 크게 줄일 수 있다. 이메일은 널리 사용되는 많은 취약점 벡터를 제공한다.

이메일을 통해 수행될 수 있는 공격은 다음과 같다:

• 맬웨어 배포 (바이러스, 트로이, 키로거, 스파이웨어, 애드웨어, 루트킷 등)

• 피싱 - 이메일 사용자를 속여 패스워드나 기타 중요한 정보를 노출하도록 하는 시 도

• 스팸

• 소셜 엔지니어링

• 서비스 거부 공격 - 잠재적인 타겟 서버나 메일박스에 다량의 이메일 메시지 발송

이 공격들은 다음과 같은 결과를 가져 온다:

• 어플리케이션이나 데이터, 운영 시스템 손상

• 기밀 정보 노출

• 맬웨어 전파

• 감염된 시스템을 “봇”(실제 사용자가 아닌 타인이 제어하는 감염된 머신으로 다른 시 스템을 공격하는 프록시로 사용되거나 해적판 콘텐트와 음란물 저장 및 배포에 사용 된다)으로 사용

• 시스템 및 서비스 가용성 결여

• 시간, 비용, 노동력 낭비

가상적으로 현대의 모든 운영 시스템들은 이메일 클라이언트 어플리케이션용 플랫폼으로 사용 될 수 있다.

현재 가장 널리 사용되는 이메일 어플리케이션들은 다음과 같다:

(15)

• 마이크로소프트 아웃룩 (마이크로소프트 윈도우즈), 아웃룩 익스프레스(마이프로소프 트 윈도우즈), 아웃룩 익스프레스(마이크로소프트 윈도우즈. 구버전은 애플 매킨토시 에서도 사용 가능했음)

• 모질라 썬더버드 (마이크로소프트 윈도우즈, 리눅스, OS X);

• Mail.app (매킨토시)

기타 잘 알려진 이메일 클라이언트 (오페라 메일, 페가서스, 모질라 SeaMonkey, The Bat!, 유 도라 등등) 는 상대적으로 사용량이 낮다.

어떤 운영 시스템, 어떤 이메일 클라이언트를 사용하든, 이메일을 다룰 때는 반드시 예방 조 치를 취해야 한다. (자세한 내용은 C3.4의 “이메일 취약점으로부터 보호하기” 참조)

윈도우즈 2000 워크스테이션과 서버, 윈도우즈 XP 홈 & 프로페셔널, 윈도우즈 비스타, 윈도 우즈 서버 2003, Mac OS X, 리눅스, 유닉스가 모두 잠재적으로 취약하다.

C3.3 CVE 엔트리

마이크로소프트 아웃룩 익스프레스, 아웃룩, 비스타 윈도우즈 메일 CVE-2006-4868,CVE-2007-0033,CVE-2007-0034,CVE-2007-3897 모질라 썬더버드, SeaMonkey

CVE-2006-4565,CVE-2006-4571,CVE-2006-5463,CVE-2006-5747,CVE-2006-6502, CVE-2006-6504,CVE-2007-0777,CVE-2007-0779,CVE-2007-1282,CVE-2007-2867, CVE-2007-3734,CVE-2007-3735,CVE-2007-3845

유도라

CVE-2006-0637,CVE-2006-6024,CVE-2006-6336,CVE-2007-2770

C3.4 이메일 클라이언트 취약점으로부터 보호하기

• 제품 서버 시스템이나 이메일 소프트웨어 클라이언트를 필요로 하지 않는 시스템에 서 모든 이메일 소프트웨어 클라이언트를 삭제한다.

• 서버나 워크스테이션에서 중요한 정보를 사용해 이메일 클라이언트를 실행하지 않는

(16)

다.

• 시스템에서 이메일 클라이언트 어플리케이션을 실행해야 할 때는 다음을 유의 한다:

• 최신 버전의 이메일 클라이언트를 사용하고, 어플리케이션이나 운영 시스템에 제공하는 자동 업데이트 기능을 사용한다.

• 최신 바이러스 시그니처로 업데이트된 안티-바이러스를 사용한다. 가능하다면 안티-바이러스 소프트웨어의 실시간 파일 감시 기능을 사용하고, 매일 바이러 스 시그니처를 자동 업데이트한다.

• 관리자 혹은 상승된 권한 계정으로 이메일 클라이언트를 실행하지 않는다.

• 윈도우즈 시스템상에서 관리자로 로그인해 이메일을 실행해야만 할 경우는

“Drop My Rights” 같은 툴을 사용해 이메일 어플리케이션을 낮은 권한으로 실 행한다.

• 알지 못하거나 의심쩍은 상대로부터 온 이메일 메시지를 열지 않는다.

• 가입 탈퇴 옵션이 있더라도 스팸 메일에 답하지 않는다.

• 메일 메시지는 텍스트로 읽거나 가능한 가벼운 포맷으로 읽는다. HTML과 RTF (이메일 메시지에서 널리 사용되는 포맷)는 스크립팅과 기타 익스플로잇을 허 용할 수 있다.

• 안티-바이러스 프로그램으로 스캔하기 전에는 어떤 첨부 파일도 열지 않는다.

• 수신 확인 답신이나 수신 확인을 보내지 않도록 이메일 클라이언트를 설정한 다.

• 디지털 시그니처나 암호화를 사용해 이메일을 안전하게 주고받는다.

어플리케이션에 한정된 설정 세부사항 및 이메일 클라이언트 보안을 개선할 수 있는 설정

아웃룩/아웃룩 익스프레스/윈도우즈 메일

아웃룩 익스프레스는 인터넷 익스플로러와 번들로 제공되며, 윈도우즈 98, 2000, XP, 2003에 디폴트로 인스톨된다.

윈도우즈 비스타는 아웃룩 익스프레스를 윈도우즈 메일로 대치했다.

• 시스템에 아웃룩 익스프레스가 필요하지 않은 경우 언인스톨한다.

• 아웃룩 익스프레스가 시스템에 인스톨되었다면 업데이트를 유지한다.

• 아웃룩 익스프레스 업데이트는 인터넷 익스플로러와 번들로 제공되기 때문에, 인터넷 익스플로러를 새로운 버전이나 서비스 팩 레벨로 업데이트하면 아웃룩 익스프레스도 함께 업그레이드된다.

아웃룩 익스프레스 설정

(17)

• 아웃룩 익스프레스 - 도구 - 옵션 - 읽기 - “모든 메시지를 플레인 텍스트로 읽기”

를 선택한다.

• 아웃룩 익스프레스 - 툴 - 옵션 - 받기 - “읽음 확인 요청에 답장 보내지 않음” 선 택

• 아웃룩 익스프레스 - 툴 - 옵션 - 보안 영역 - 인터넷 익스플로러 보안 영역 - “제 한된 사이트 영역‘을 선택한다.

• 아웃룩 익스프레스 - 도구 - 옵션 - 보안 - “다른 어플리케이션이 나를 사칭해 메 일 발송을 시도할 때 경고 알림”을 선택한다.

• 아웃룩 익스프레스 - 도구 - 보안 - “바이러스일 수 있는 첨부 파일을 저장하거나 여는 것을 허용하지 않음”을 선택한다.

• 아웃룩 익스프레스 - 도구 - 옵션 - 보안 - “HTML 이메일에서 이미지와 기타 외부 콘텐트를 차단”을 선택한다.

• 아웃룩 익스프레스 - 도구 - 옵션 - 보수 - “끝날 때 지운 편지함 폴더 비우기”를 선택한다.

• 아웃룩 익스프레스 - 도구 - 계정 - 메일 - 각 이메일 계정의 속성을 선택 - 서버 - “패스워드 기억” 선택을 해제한다.

아웃룩 설정

아웃룩 2003 설정

• 아웃룩 - 도구 - 옵션 - 기본 설정 - 전자메일 옵션 - “모든 표준 메일을 일반 텍 스트 형식으로 표시”를 선택한다.

• 아웃룩 - 도구 - 옵션 - 보안 - 보안 영역 - 영역 - “제한된 사이트”를 선택한다.

• 아웃룩 - 도구 - 옵션 - 보안 - 그림 다운로드 - 그림 다운로드 설정 변경 -

“HTML 전자 메일에서 그림 또는 기타 콘텐트 다운로드 안함”을 선택한다.

• 아웃룩 - 도구 - 옵션 - 보안 - 그림 다운로드 - 그림 다운로드 - “전자 메일을 편 집, 전송, 회신할 경우 콘텐트를 다운로드하기 전에 경고 메세지 표시”를 선택한다.

• 아웃룩 - 도구 - 옵션 - 기본 설정 - 정크 메일 - 옵션 - 정크 메일 차단 수준에서

“낮음”, “높음”, 혹은 “수신 허용 목록만 수신”을 선택한다.

• 아웃룩 - 도구 - 옵션 - 기본 설정 - 정크 메일 - 옵션 - “안전하지 않거나 믿을 수 없는 사이트에 연결될 수 있는 메시지의 링크를 활성화하지 않습니다”를 선택한 다.

• 아웃룩 - 도구 - 옵션 - 기타 - “끝날 때 지운 편지함 폴더 비우기”를 선택한다.

• 아웃룩 - 도구 - 메일 설정 - 전자메일 계정 - 각 이메일 계정에서 “패스워드 기 억” 선택을 해제한다.

(18)

아웃룩 2007 설정도 위와 유사하다:

아웃룩 2007 - 도구 - Trust Center - 이메일 보안

모질라 썬더버드 설정 (버전 2.0 이상)

• 썬더버드 보기 - 메시지 본문 - “텍스트 형식”을 선택한다.

• 썬더버드 - 보기 - 정렬 - “첨부” 선택을 해제한다.

• 썬더버드 - 도구 - 설정 - 고급 - 일반 - 설정 편집 - javascript.allow.mailnews를 false로 설정한다. (더블 클릭으로 변경)

• 썬더버드 - 도구 - 설정 - 고급 - 일반 - 설정 편집 - javascript.enabled 를 false 로 설정한다. (더블 클릭으로 변경)

• 썬더버드 - 도구 - 설정 - 고급 - 일반 - 설정 편집 - javascript.options.strict 를

“True” 로 설정한다. (더블 클릭으로 변경)

• 썬더버드 - 도구 - 설정 - 개인 정보 - 메일 사칭 - "읽은 메시지가 사기 메일로 판단되면 알림"을 선택한다.

• 썬더버드 - 도구 - 설정 - 개인 정보 - 백신 - “백신 프로그램 접근 허가”를 선택 한다.

C3.5 레퍼런스

관리자 권한으로 안전하게 웹 브라우징과 이메일 읽기 http://msdn2.microsoft.com/en-us/library/ms972827.aspx 이메일 메시지를 일반 텍스트 형식으로 읽기

http://support.microsoft.com/kb/831607 아웃룩 2003 크립토그래피 개요

http://office.microsoft.com/en-us/ork2003/HA011402871033.aspx 디지털 서명과 암호화 (아웃룩 2007)

http://office.microsoft.com/en-us/outlook/CH100622261033.aspx 서비스팩 (마이크로소프트 오피스 및 마이크로소프트 아웃룩) http://support.microsoft.com/sp/

마이크로소프트 오피스 다운로드

http://office.microsoft.com/en-us/downloads/FX101321101033.aspx?pid=CL100570421033 의심스러운 피싱 메시지의 링크 차단 및 차단 해제

http://office.microsoft.com/en-us/outlook/HA011841931033.aspx 아웃룩 보안 기능 관리 패키지 설정하기

(19)

http://office.microsoft.com/en-us/orkXP/HA011364471033.aspx 보안 및 프라이버시 관련 설정 (썬더버드)

http://kb.mozillazine.org/Category:Security_and_privacy-related_preferences 보안 정책 (썬더버드)

http://kb.mozillazine.org/Security_Policies

C4. 미디어 플레이어

C4.1 설명

멀티미디어 콘텐트(음악, 비디오, 사진, 그림 등등)를 연주하거나 보려면 미디어 플레이어로 불리는 어플리케이션이 필요하다. 음악과 비디오는 보통 엔터타인먼트나 뉴스, 교육, 비즈니스 콘텐트 용으로 인터넷상에서 자주 다운로드 된다.

대부분 현대 운영 시스템들은 최소한 1개의 표준 미디어 소프트웨어 패키지로 자동 설정되어 있다. 표준 어플리케이션 세트는 일반적으로 써드파티 어플리케이션을 지원하지 않는다. 써드 파티 어플리케이션 벤더가 소유권이 있는 포맷을 지원하려면 자사의 미디어 플레이어 어플리 케이션에 호환성을 추가하는 인가를 받아야 한다.

이 추가적인 어플리케이션들은, 특정 멀티미디어 콘텐트를 보기 위해 필요한 경우에만 인스톨 되는 것이 일반적이다. 이 어플리케이션은 한번 인스톨되면 IT 관리자들이 잊어버리고 지나가 기 쉬우며, 담당하는 시스템에 인스톨되어 있다는 것을 알지 못해 패치를 받지 않은 채로 남 아있는 경우가 많다.

지난해 대부분의 널리 사용되는 미디어 플레이어들에서 취약점이 발견되었다. 이 취약점들의 위험 정도는 각기 다르지만, 대부분 바이러스, 봇넷 어플리케이션, 루트킷, 스파이위어, 애드 웨어 같은 맬웨어를 인스톨하는데 사용될 수 있다. 많은 취약점들 익스플로잇이 일반에 공개 되었고 실제로 널리 익스플로잇 되고 있다.

주요 플랫폼별 미디어 플레이어는 다음과 같다:

• 윈도우즈: 윈도우즈 미디어 플레이어, 리얼 플레이어, 어도브 퀵타임, 어도브 플래쉬 플레이어, 애플 아이튠즈

(20)

• Mac OS : 리얼 플레이어, 애플 퀵타임, 애플 아이튠즈, 어도브 플래쉬 플레이어

• 리눅스/유닉스 : 리얼 플에이어, 어도브 플래쉬 플레이어

• 마이크로소프트 윈도우즈

• 리눅스/유닉스

• Mac OS X

C4.3 CVE 엔트리

리얼 플레이어

CVE-2007-2497,CVE-2007-3410,CVE-2007-5601 애플 아이튠즈

CVE-2007-3752

어드브 플래쉬 플레이어

CVE-2007-3457,CVE-2007-5476 애플 퀵타임

CVE-2007-0462,CVE-2007-0588,CVE-2007-0466,CVE-2007-0711,CVE-2007-0712, CVE-2007-0714,CVE-2007-2175,CVE-2007-2295,CVE-2007-2296,CVE-2007-0754, CVE-2007-2388,CVE-2007-2389,CVE-2007-2392,CVE-2007-2393,CVE-2007-2394, CVE-2007-2396,CVE-2007-2397,CVE-2007-5045,CVE-2007-4673

윈도우즈 미디어 플레이어

CVE-2006-6134, CVE-2007-3035,CVE-2007-3037,CVE-2007-5095

C4.4 취약 여부 판별하기

패치되거나 가장 최신 버전으로 업그레이드되지 않은 미디어 플레이어 사용은 잠재적으로 취 약하다. 잘 작성된 시스템 목록과 패치 관리 실행은 미디어 플레이어 어플리케이션을 경유한 위협과 공격에 대한 대책을 강구하는데 도움이 될 것이다.

C4.5 미디어 플레이어 취약점으로부터 보호하기

다음은 미디어 플레이어 관련된 취약점으로부터 보호하는데 널리 사용되는 가장 좋은 방법 일

(21)

부다:

• 모든 최신 패치를 정기적으로 받는다.

• 운영 시스템이나 기타 제품의 디폴트 설치를 세심하게 검토해 불필요한 미디어 플레 이어가 포함되지 않도록 한다.

• 운영 시스템과 브라우저를 의도하지 않은 인스톨을 방지하도록 설정한다.

• 클라이언트 데스크탑에 안티-바이러스, IDS 소프트웨어 등의 안티-맬웨어 툴을 사용 해 피해를 막는다.

• 중앙 관리 시스템은 최소한의 권한으로 사용하고, 가능한 한 최종 사용자의 추가적인 소프트웨어 인스톨을 제한한다. 이렇게 하면 패치 관리와 취약점 관리가 더욱 쉽고 효율적이 될 것이다.

• 중앙 관리 시스템은 가능한 한 설치된 소프트웨어 목록을 작성해 잠재적인 위험을 식별한다.

• 미디어 플레이어 콤포넌트는 필요한 시스템에만 설치한다. (워크스테이션 vs. 서버)

C4.6 레퍼런스

리얼네트웍스 미디어 플레이어 제품 홈페이지

http://www.realnetworks.com/products/media_players.html http://www.realnetworks.com/support/updates.html

애플 퀵타임 홈페이지

http://www.apple.com/quicktime/

http://www.apple.com/support/quicktime/

애플 아이튠즈 홈페이지 http://www.apple.com/itunes/

http://www.apple.com/support/itunes/

윈도우즈 미디어 플레이어

http://www.microsoft.com/windows/windowsmedia/default.aspxhttp://www.microsoft.com/

windows/windowsmedia/player/11/security.aspx

http://www.microsoft.com/windows/windowsmedia/player/10/security.aspx http://www.microsoft.com/technet/security/current.aspx

어도브 플래쉬 플레이어 홈페이지

http://www.adobe.com/products/flashplayer/security/http://www.adobe.com/downloads/up dates/

보안 보고서 및 기타 링크

(22)

https://www2.sans.org/newsletters/risk/

http://findarticles.com/p/articles/mi_m0EIN/is_2006_Dec_18/ai_n16912185

클라이언트-사이드 취약점들의 영향을 완화시키기 위한 일반적인 네트워킹 조치:

• URL 차단을 통해 사용자가 잠재적으로 위험한 URL 서핑을 제한한다.

• 예를 들어, 미 국방부는 마이스페이스와 유튜브를 비롯, 모든 소셜 네트워킹 사 이트 접속을 차단했다.

• 레퍼런스:

http://thelede.blogs.nytimes.com/2007/05/14/pentagon-blocks-myspa ce-and-youtube/

• 상용 혹은 오픈소스 URL 필터링 솔루션을 적용해 익스플로잇과 맬웨어가 심어 진 사이트를 사용자가 방문하지 못하도록 한다.

• 레퍼런스:

http://www.squidguard.org/,

http://code.google.com/apis/safebrowsing/

• 사용자가 인터넷으로 어떤 미디어 파일도 다운로드받지 못하도록 차단한다.

• 사용자가 개인 메일이나 서비스 제공업체가 제공하는 메일 서버에 접속하지 못하도 록 SMTP, POP 혹은 IMAP을 차단한다. 필터링 및 스캔되지 않은 콘텐트의 이메일을 경유한 조직 네트워크 침입을 막는데 잠재적인 도움이 된다.

• 이메일 게이트웨이 안티-바이러스 스파이웨어, 기타 맬웨어 스캐닝 솔루션을 적용한 다.

• 웹 브라우저, 이메일 클라이언트, 미디어 플레이어, 오피스 소프트웨어를 제품 서버 에서 사용하지 않는다. 가능하다면, 서버의 80/tcp 포트 아웃바운드 접속을 차단한 다.

서버-사이드 취약점 S1 웹 어플리케이션 S1.1 설명

콘텐트 관리 시스템 (CMS), 위키, 포털, 게시판, 포럼 등의 웹 기반 어플리케이션들은 크고 작은 조직들에 의해 사용되며, 많은 조직들이 비즈니스용 맞춤형 웹 어플리케이션을 개발/유 지하고 있다. 매주 상용 및 오픈소스 웹 어플리케이션들로부터 수 백 개의 취약점들이 발견되

(23)

고, 실제로 익스플로잇 되고 있다. 맞춤형 웹 어플리케이션 취약점의 경우, 보고되지 않고,

@RISK, CVE, 버그트랙 등의 공개 취약점 데이터베이스에 의해 추적되지 않지만, 공격의 대상 이 되고 익스플로잇 된다는 점을 유념한다. 일부 대형 웹 호스팅단의 경우, 매일 수십 수백만 건의 공격 시도가 발생하고 있다.

티핑포인트 IPS로 탐지한 웹 호스팅 PHP 파일 인클루드 공격수

모든 웹 프레임워크 (PHP, .NET, J2EE, Ruby on Rails, ColdFusion 등등) 및 모든 유형의 웹 어플리케이션은 불충분한 validation, 어플리케이션 로직 오류 등등의 웹 어플리케이션 보 안 취약점에 노출되어 있다. 가장 많이 익스플로잇 되는 취약점은 다음과 같다:

(24)

• PHP 리모트 파일 인클루드: PHP는 오늘날 가장 널리 사용되는 웹 어플리케이션 언 어 및 프레임워크다. PHP는 "allow_url_fopen" 기능을 사용해 인터넷상에서 리소스에 접속하는 파일 기능을 디폴트로 허용한다. PHP 스크립트가 파일 네임에 영향을 주는 사용자 입력을 허용하는 경우, 리모트 파일 인클루션의 결과를 가져올 수 있다. 리모 트 파일 인클루션을 이용하면 다음과 같은 공격을 수행할 수 있다. (아래 3가지에만 제한되는 것은 아니다):

• 리모트 코드 실행

• 리모트 키트 인스톨

• 윈도우즈의 경우, PHP의 SMB 파일 wrapper를 통해 전체 시스템을 위험에 빠 뜨릴 수 있다.

• SQL 인젝션: 인젝션, 특히 SQL 인젝션은 웹 어플리케이션에 널리 사용된다. 인젝션 이 가능한 이유는 사용자가 제공한 데이터를 다이나믹 쿼리나 불충분하게 구성된 프 로시저의 조합 때문이다. SQL 인젝션을 이용하면 다음과 같은 공격이 가능하다:

• 어플리케이션이 사용 가능한 임의의 모든 데이터 생성/읽기/업데이트/삭제

• 최악의 경우, 데이터베이스 시스템과 주변 시스템 전체를 위험에 빠뜨린다.

• 크로스-사이트 스크립팅 (XSS): XSS로 더 잘 알려져 있는 크로스 사이트 스크립팅 은 가장 치명적이고 쉽게 발견되는 웹 어플리케이션 보안 이슈다. XSS를 이용하면 웹사이트 변조, 악성 콘텐트 삽입, 피싱 공격 수행, 자바스크립트 맬웨어를 사용한 사용자 브라우저 장악 및 사용자가 선택하지 않은 커맨드를 사용자로 하여금 수행하 도록 할 수 있다 (이 공격은 크로스-사이트 요청 위조인 CSRF로 더 잘 알려져 있 다)

• 크로스-사이트 요청 위조 (CSRF): CSRF는 합법적인 사용자로 하여금 알지 못하고 커맨드르르 실행하게 하는 공격으로, 이 유형의 공격은 어플리케이션이 DOM 인젝션 을 포함, 크로스-사이트 스크립팅 벡터의 영향을 받지 않는 한, 막기가 지극히 어렵 다. Ajax 테크놀로지의 출현과, XSS 공격을 적절히 익스플로잇하는 지식이 향상됨에 따라, CSRF 공격은 Samy MySpace Worm 등의 개인 공격과 자동 웜 등 상당히 복 잡한 형태로 진화하고 있다.

S1.2 위험 여부 판별하기

웹 스캐닝 툴들을 이용하면 취약점 발견에 도움이 된다. 특히 알려진 버그인 경우 더욱 도움 이 된다. 하지만 모든 잠재적인 취약점들을 발견하려면 어플리케이션 침투 테스트는 물론 소 스 코드도 검토해야 한다. 어플리케이션 침투 테스트와 소스 코드 검토는 개발자들이 중요한 웹 어플리케이션을 릴리스하기 전 수행되어야 한다.

(25)

웹 어플리케이션 프레임워크 설정을 체크해 보안을 강화한다.

정기적으로 웹 서버를 취약점 스캐너로 스캔한다.

웹 어플리케이션 제작은 GSSP 시큐어 소프트웨어 프로그래밍 시험을 통과한 사람만 참여하 도록 한다. 프로그래밍 시험은 개발자들이 더욱 안전한 어플리케이션을 개발하는데 필요한 중 요한 보안 기술과 지식을 다룬다.

S1.3 웹 어플리케이션 취약점으로부터 보호하기

PHP 시스템 관리자 및 호스팅:

• PHP 5.2로 업그레이드한다. PHP 5.2는 잠재된 PHP 보안 문제점 다수를 해결한 버 전으로, PDO 같은 더욱 안전한 API를 허용한다.

• 테스트, 패치 적용을 항상 수행하고, 새로운 버전의 PHP가 릴리스될 때마다 업데이 트한다.

• 다수의 PHP 어플리케이션 사용 환경에서는 자주 웹 스캐닝을 수행한다.

• PHP를 다음과 같이 설정한다:

• register_globals (off로 설정한다), will break insecure apps)

• allow_url_fopen (off로 설정한다)

• magic_quotes_gpc (off로 설정한다)

• open_basedir (enable한다)

• PHPsuexec 혹은 suPHP 같은 최소한의 권한 실행 기능을 사용한다.

• PHP 스크립트의 실행 환경 제어를 위해 Suhosin을 사용한다.

• IPS/IDS를 사용해 악성 HTTP 요청을 차단/경고한다. 아파치의 mod_security를 사 용해 알려진 PHP 공격을 차단한다.

• 마지막 수단으로, 활동하는 익스플로잇의 추적을 기록하는 어플리케이션과, 알려진 보안 이슈 픽스 응답 시간을 느리게 하는 어플리케이션을 차단한다.

개발자:

• PHP를 사용하는 경우, 즉각 PHP 5.2로 마이그레이션한다.

• 코딩 문제점들을 방지하려면:

• 최신 PHP 릴리스로 개발하고, 설정을 강화한다. (위의 내용 참조)

(26)

• 모든 입력을 배정된 변수 유형에 따라 validate한다.

• 모든 출력을 htmlentities() 혹은 유사한 메커니즘을 사용해 인코딩해 XSS 공격 을 피한다.

• 모든 데이터 레이어를 PDO로 마이그레이션한다 - 오래된 mysql_*() 기능은 결점이 있는 것으로 알려져 있으므로 사용하지 않는다.

• 리모트 파일 인클루션 공격을 피하기 위해 사용자가 제공하는 파일 기능 입력 을 사용하지 않는다.

• OWASP(레퍼런스 참조) 등의 보안 코딩 그룹에 가입해 보안 코딩에 관한 기술을 습 득한다.

• OWASP 테스팅 가이드를 WebScarab, Firefox's Web Developer Toolbar, Greasemonkey, XSS Assistant 등의 툴과 함께 사용해 어플리케이션을 테스트한다.

• GSSP 시험을 통해 실력을 측정하고 지식의 간격을 좁힌다.

S1.4 레퍼런스

OWASP - 오픈 웹 어플리케이션 보안 프로젝트 http://www.owasp.org

OWASP 테스팅 가이드

http://www.owasp.org/index.php/OWASP_Testing_Guide_v2_Table_of_Contents OWASP 가이드 - 안전한 코딩 개론

http://www.owasp.org/index.php/Category:OWASP_Guide_Project OWASP Top 10 - 웹 어플리케이션 보안 취약점 Top 10

http://www.owasp.org/index.php/Top_10_2007

Suhosin - PHP 어플리케이션 실행 환경을 제어하기 위한 강화된 PHP 프로젝트 http://www.hardened-php.net/suhosin/

PHPSecInfo

http://phpsec.org/projects/phpsecinfo/index.html GSSP 시험 및 스케줄

http://www.sans.org/gssp

S2. 윈도우즈 서비스

S2.1 설명

윈도우즈 운영 시스템은 각종 서비스와 네트워킹 방식, 테크놀로지를 폭넓게 지원한다. 윈도

(27)

우즈 운영 시스템 콤포넌트 다수는 "services.exe"를 실행하는 SCM(Service Control Manager)의 제어 하에 SCP(Service Control Programs)로 구현된다. 운영 시스템 기능을 구 현하는 이 서비스들의 취약점들은 가장 일반적인 공격 타겟이다. 마이크로소프트 윈도우즈 서 버 2003, XP, 비스타를 인스톨할 때 일부 서비스가 인스톨되고 컴퓨터 재부팅 시 디폴트로 실행되도록 설정된다. 윈도우즈 서버 2003은 각 서버에 할당된 역할별로 특정 서비스들을 사 용할 수 있도록 설정되어 있다. 시스템 환경이 디폴트 서비스 전체를 필요로 하지 않는 경우, 불필요한 서비스를 disable해 보안을 강화한다. 운영 시스템 리소스와 오브젝트에 접속하기 위해서는 서비스를 로그온해야 하는데, 대부분 서비스의 경우 디폴트 로그온 계정을 변경하도 록 디자인되어 있지 않기 때문에, 디폴트 계정 패스워드를 변경하면 해당 서비스는 실행되지 않을 수 있다. 서비스로 로그온하는 퍼미션이 없는 계정을 선택하는 경우, MMC(Microsoft Management Console) 서비스가 해당 계정에 컴퓨터에 서비스로 로그온하는 자격을 자동으 로 부여한다. 그러나 이 자동 설정은 서비스가 시작되는 것을 보장하지는 못한다. 윈도우즈 운영 시스템은 각종 시스템 서비스 로그온에 사용되는 3개의 로컬 계정을 포함한다:

로컬 시스템 계정. 로컬 시스템 계정은 강력한 계정으로, 컴퓨터 전체에 접속할 수 있고, 네트 워크상의 컴퓨터 역할을 한다. 로컬 시스템 계정을 사용해 도메인 컨트롤러에 로그온하는 경 우, 전체 도메인에 접속할 수 있다. 디폴트로 로컬 시스템 계정을 사용하도록 디폴트로 설정 된 일부 서비스들을 변경해서는 안된다. 로컬 시스템 계정은 사용자가 접속할 수 있는 패스워 드가 없다.

로컬 서비스 계정. 로컬 서비스 계정은 특수 계정으로, 인증된 사용자 계정과 유사하다. 로컬 서비스 계정은 사용자 그룹 멤버와 같은 레벨로 리소스와 오브젝트에 접속할 수 있는데, 이 제한된 접속으로 인해 개개의 서비스나 프로세스가 위테로울 때 컴퓨터 방어에 도움이 된다.

로컬 서비스 계정을 사용하는 서비스는 익명 credential로, 네트워크 리소스에 null 세션으로 접속한다. 이 게정은 NT AUTHORITY₩Local Service로, 사용자가 접속할 수 있는 패스워드가 없다.

네트워크 서비스 계정. 네트워크 서비스 계정 역시 특수 계정으로, 인증된 사용자 계정과 유 사하다. 네트워크 서비스 계정은 로컬 서비스 계정과 마찬가지로, 사용자 그룹 멤버와 같은 레벨로 리소스와 오브젝트에 접속할 수 있어 컴퓨터 방어에 도움이 된다. 네트워크 서비스 계 정을 사용하는 서비스들은 컴퓨터 계정 credential로 네트워크 리소스에 접속한다. 이 계정은 NT AUTHORITY₩Network Service로, 사용자가 접속 가능한 패스워드가 없다.

그래픽 유저 인터페이스 (GUI) 기반의 툴들은 서비스를 편집하는데 도움이 될 수 있다. 하지 만 이전 버전의 윈도우즈 운영 시스템 (윈도우즈 서버 2003 이전)에 포함되었던 이 툴들의 구

(28)

버전은 사용자가 서비스 속성을 설정할 때 각 서비스 권한을 자동으로 적용한다. Group Policy Object Editor와 MMC Security Templates snap-in 같은 툴들은 Security Configuration Editor DLL을 이용해 이 퍼미션을 적용한다. 예를 들어, MMC Security Templates snap-in을 이용해 윈도우즈 XP 서비스 스타트업 상태를 설정하는 경우, 다음과 같 은 다이얼로그 박스가 뜬다:

그림 1. 서비스 보안 다이얼로그 박스

OK를 클릭하든, Cancel을 클릭하든 퍼미션은 설정되는 서비스에 적용된다. 공교롭게도, 이 다 이얼로그 박스에서 설정하도록 되어있는 퍼미션은 윈도우즈에 포함된 대부분 서비스들에 대한 디폴트 퍼미션과 일치하지 않는다. 실제로, 이 퍼미션은 많은 서비스에 각종 문제점을 유발한 다. 디폴트 퍼미션은 이미 제한되어 있기 때문에, 윈도우즈 XP나 윈도우즈 서버 2003에 포함 된 서비스 퍼미션은 변경하지 않는 것이 좋다. 이 경우 다음과 같은 옵션으로 대처할 수 있 다:

• 보안 설정 마법사를 사용한다. 보안 설정 마법사는 윈도우즈 콤포넌트 옵션으로, 윈 도우즈 서버 2003 서비스팩 1 (SP1) 에 포함되어 있다. 윈도우즈 서버 2003의 각종 역할에 서비스와 네트워크 포트를 설정할 필요가 있을 때 사용한다.

• SP1을 인스톨한 윈도우즈 서버 2003이 실행되는 서버는 MMC Security Template snap-in과 Group Policy Object Editor를 사용한다. 윈도우즈 XP에 보안 templet를 적용하거나 그룹 정책을 위해 서비스를 설정할 필요가 있을 때 사용한다.

• 윈도우즈 XP 프로페셔널을 실행하는 컴퓨터는 노트패드 등의 텍스트 에디터를 사용 해 보안 templates나 그룹 정책을 편집한다. 내키지 않은 방법일 수 있지만, 일부 조 직이나 사용자의 경우, 이 방법 외에는 선택의 여지가 없는 경우가 있다.

(29)

각종 핵심 시스템 서비스들은 클라이언트 콤포넌트에 RPC(Remote Procedure Calls)을 통해 리모트 인터페이스를 제공한다. 이 서비스들은 CIFS(Common Internet File System) 프로토콜 이나 잘 알려진 TCP/UDP 포트, 특별한 경우 임시 TCP/UDP 포트을 통해 접속 가능한 파이 프 엔드포인트를 통해 대부분 노출된다. 이 서비스들에는 익명 사용자에 의해 익스플로잇 될 수 있는 많은 취약점들이 계속해서 발견되어왔다. 이 취약점들은 익스플로잇 되면 호스트상의 서비스와 동등한 권한을 공격자에게 제공한다.

S2.2 영향을 받는 운영 시스템

윈도우즈 XP 홈과 프로페셔널, 윈도우즈 2003, 윈도우즈 비스타가 모두 잠재적으로 취약하다.

S2.3 CVE 엔트리

CVE-2007-0213, CVE-2007-1748, CVE-2007-0938, CVE-2006-5584, CVE-2006-5583, CVE-2006-4691

CVE-2006-0027, CVE-2006-1314, CVE-2006-2370, CVE-2006-2371, CVE-2006-3439

S2.4 위험여부 판별하기

• 취약점 스캐너를 사용해 이 취약점들이 패치되었는지 여부를 체크한다. 마이크로소프 트 윈도우즈 서버 업데이트 서비스 (WSUS), 마이크로소프트 베이스라인 보안 애널 라이저 (MBSA), 윈도우즈 라이브 스캐너 혹은 시스템 관리 서버 (SMS)를 사용해 시 스템 보안 패치 상태를 체크한다.

• 관련 보안 지침서에서 레지스트리 키 검증 부분에 언급된 레지스트리 키를 체크해 패치 여부를 확인한다. 시스템에 인스톨된 파일이 지침서에 언급된 업데이트된 파일 버전인지도 체크한다.

• 옵션 서비스 이슈 관련 취약성 여부를 체크하려면 서비스가 enable 되었는지를 확인 할 필요가 있다. 서비스 enable 여부는 관리 툴 서비스의 서비스 매니저 인터페이스 를 통해 수행할 수 있다.

S2.5 윈도우즈 서비스 취약점들로부터 보호하기

• 현재 미국 정부는 윈도우즈를 사용하는 경우, 윈도우즈 XP 혹은 비스타용 FDCC(Federal Desktop Core Configuration)만 사용하도록 규정하고 있다.

(30)

서비스명 Display name ^기업_데스크탑^{클라이언트}_{/ 랩탑} ^{스탠드얼론} 데스크탑/ 랩탑

Alerter Alerter Disabled Disabled

ClipSrv ClipBook Disabled Disabled

Browser Computer Browser Not Defined Disabled

Fax Fax Not Defined Disabled

MSFtpsvr FTP Publishing Disabled Disabled

IISADMIN IIS Admin Disabled Disabled

cisvc Indexing Service Not Defined Disabled

Messenger Messenger Disabled Disabled

mnmsrvc NetMeeting® Remote Desktop Sharing Disabled Disabled

RDSessMgr Remote Desktop Help Session

Manager Not Defined Disabled

(www.csrc.nist.org ) 다른 기관들도 FDCC가 믿을만하고 안전하다고 평가를 내리고 있다.

• 윈도우즈 방화벽을 enable하고 (혹은) 호스트에 써드파티 방화벽을 인스톨한다. 반드 시 필요한 경우를 제외하고는 윈도우즈 머신 접속을 제한하도록 룰을 적용시킨다. 예 를 들어, 이 취약점들의 다수는 CIFS를 통해 제공되는 인터페이스에서 발견되기 때 문에, 리모트 공격을 막기 위해서는 139/tcp와 445/tcp를 차단하는 것이 필수 다.1025 이상의 포트에 대한 인바운드 RPC 요청을 차단해 다른 RPC 기반의 취약 점들에 대한 공격을 차단하는 것도 좋은 방법이다.

• 기업 환경에서는 마이크로소프트 액티브 디렉토리를 통해 호스트 윈도우즈 방화벽의 General Policy Objects를 설정할 수 있다

• 윈도우즈 2003 SP1과 R2의 경우는 공격 수위를 감소시키기 위해 윈도우즈 방화벽과 동시에 보안 설정 마법사를 사용한다.

• 심도 높은 방어 아키텍트의 일환으로, 외부 네트워크 방화벽상의 필터링을 이용해 외 부 및 내부 공격 위협을 줄인다.

• 최신 패치와 서비스 팩으로 시스템 업데이트를 유지한다. 가능하다면 모든 시스템에 자동 업데이트를 사용한다.

• 네트워크와 호스트 레벨에 IPS/IDS를 사용해 이 취약점들을 익스플로잇하는 공격들 을 방지/탐지한다.

• 불필요한 서비스를 disble해 취약점에의 노출되지 않도록 한다. 윈도우즈 클라이언트 (XP, 2003, 비스타)의 경우는 다음 서비스를 disable한다:

(31)

RemoteAccess Routing and Remote Access Disabled Disabled

SNMP SNMP Service Disabled Disabled

SNMPTRAP SNMP Trap Service Disabled Disabled

SSDPSrv SSDP Discovery Service Disabled Disabled

Schedule Task Scheduler Not Defined Disabled

TlntSvr Telnet Disabled Disabled

TermService Terminal Services Not Defined Disabled

Upnphost Universal Plug and Play Device Host Not Defined Disabled

W3SVC World Wide Web Publishing Disabled Disabled

표 1. 윈도우즈 클라이언트에서 disable해야 하는 윈도우즈 서비스

초기 버전의 운영 시스템, 특히 윈도우즈 NT와 윈도우즈2000은 사용자 편의를 위해 위 서비 스 다수를 디폴트로 enable했다. 꼭 필요하지 않은 서비스를 사용하면 익스플로잇될 가능성이 커진다. 서비스로 사용되는 윈도우즈 머신의 경우 (예를 들어 프린트 서버, 파일 서버) 는 아 래 레퍼런스를 참조해 적절한 설정을 적용하거나 윈도우즈 2003 보안 설정 마법사 등의 자동 툴을 사용해 서비스를 올바르게 설정한다.

null 세션의 취약한 인터페이스 접속이 삭제될 수 있는 경우도 있다. RestrictAnonymous의 현 재 설정을 체크해 환경에 따라 철저하게 설정하도록 한다.

http://www.securityfocus.com/infocus/1352

S2.6 레퍼런스

위협 및 대응책: 윈도우즈 서버 2003과 윈도우즈 XP 보안 설정

http://www.microsoft.com/technet/security/topics/serversecurity/tcg/tcgch00.mspx 윈도우즈 XP 보안 가이드

http://www.microsoft.com/technet/security/prodtech/windowsxp/secwinxp/default.mspx 윈도우즈 서버 2003 보안 가이드

http://www.microsoft.com/technet/security/prodtech/windowsserver2003/w2003hg/sgch00.

mspx

윈도우즈 방화벽 사용하기

http://www.microsoft.com/windowsxp/using/networking/security/winfirewall.mspx 윈도우즈 서버 2003 보안 설정 마법사

http://www.microsoft.com/windowsserver2003/technologies/security/configwiz/default.msp x

윈도우즈 2000 IPSec IP 필터 리스트 사용하기

(32)

http://support.microsoft.com/kb/313190

IPSec를 사용해 특정 네트워크 프로토콜과 포트 차단하기 http://support.microsoft.com/kb/813878

윈도우즈 2000 TCP/IP 필터링 설정하기 http://support.microsoft.com/kb/309798

S3. 유닉스/Mac OS 서비스

S3.1 설명

대부분 유닉스/리눅스 시스템들은 많은 표준 서비스를 디폴트 인스톨로 포함하고 있다. Mac OS X는 유닉스 기반이기 때문에 유닉스 시스템 취약점에 시달리는 경우가 많다. 불필요한 서 비스는 disable하고, 개방된 네트워크를 사용하는 모든 서버는 방화벽으로 보호하도록 한다.

리모트 로그인이나 리모트 서비스를 제공하는 서비스에서 방화벽만으로는 트래픽을 차단할 수 없다 버퍼 오버플로우 취약점과 인증 기능 취약점들을 이용하면 임의의 코드 실행 벡터를 관 리자 권한으로 허용할 수 있기 때문에 취약점 정보 수집과 신속한 패치는 아주 중요하다. 유 닉스/리눅스 서비스에서 버퍼 오버플로우 취약점들이 매년 발견되고 있다.

이 취약점들을 모두 패치하더라도 이 서비스들은 의도하지 않은 위험을 유발할 수 있다.

SSH, FTP, 텔넷 같은 리모트 서비스에 대한 무작위-대입 공격은 인터넷에 접속된 서버를 위 험에 빠뜨리는 지금도 가장 널리 사용되는 공격 방식이다. 지난 2년간 공격자들은 무작위 대 입 공격을 이용해 이 어플리케이션들이 사용하는 패스워드를 복구하는 노력을 기울였다. 증가 되는 윔과 봇에는 무작위 대입 패스워드 엔진을 포함되어 있다. 사용자 계정에 약한 패스워드 를 사용하는 시스템은 항상 위험에 노출되어 있다. 권한 상승이 권한을 획득하고, 공격을 은 폐하기 위한 목적으로 루트킷이 인스톨되는 경우도 많다. 무작위 대입 패스워드는 전체 패치 된 시스템도 침입할 수 있다는 점을 기억하는 것이 중요하다.

보안 담당 관리자는 리모트 접속에 SSH나 기타 암호화 프로토콜을 사용해야 한다. 최신 SSH 버전을 사용하고, 전체 패치가 되었다면 일반적으로 안전한 서비스로 간주되지만, 시스템의 업데이트나 패치 여부에 상관없이 SSH는 여전히 무작위 대입 패스워드 추정 공격에 취약하 다. SSH에는 공개 키 인증 메커니즘을 사용하고, 다른 서비스에는 복잡한 암호를 사용해 무 작위 대입 공격을 피할 수 있도록 한다.

호스트에서 실행되는 서비스 수를 최소화한다. 많은 서비스들이 추가적인 익스플로잇에 사용 되어왔고, (디렉토리를 공유하는 웹서버와 FTP 서버 등) 일부 서비스를 조합한 익스플로잇도

(33)

사용되고 있다.

S3.2 영향 받는 OS

모든 버전의 유닉스/리눅스/Mac OS 서버가 부적절한 설정이나 디폴트 설정에 잠재적으로 취 약하다. 이 운영 시스템들의 모든 버전은 딕셔너리 기반의 패스워드 공격에 취약한 계정의 영 향을 받을 수 있다.

S3.3 CVE 엔트리

리모트 서비스

커널/라이브러리

관리 콘솔/툴

기타

CVE-2007-2173, CVE-2006-5616

S3.4 취약 여부 판별하기

운영 시스템이나 네트워크 어플리케이션을 (제조사 혹은 관리자에 의해) 디폴트로 설치하는 경우, 불필요하고 미사용되는 많은 서비스를 포함할 수 있다. 운영 시스템이나 어플리케이션 의 불확실성으로 인해, 많은 제조사나 관리자들은 앞으로 필요할 때를 대비해 많은 소프트웨 어를 인스톨하는 경우가 많다. 이렇게 하면 인스톨은 간편하게 할 수 있겠지만, 불필요한 많 은 서비스들을 포함시키고, 디폴트 패스워드, 약한 패스워드, 알려진 사용자 패스워드를 도입 하는 결과를 가져온다.

업데이트된 취약점 스캐너나 포트 매퍼는 디폴트 인스톨로 인한 불필요하거나 시대에 뒤떨어 진 서비스 등의 잠재적인 취약점 발견에 매우 효과적이다. 패스워드 크래커도 약한 패스워드