넷 공격 오래 버티기「리눅스-3개월, 윈도우-수십초」

이번 주에 발표된 허니넷(Honeynet) 프로젝트의 보고서에 따르면 패치하지 않은 리눅스 시스템이 인터넷에 노출된 후 인터넷 공격을 받아 문제가 발생하기 전까지의 수명이 이전보다 더 길어졌다고 밝혔다.

네트워크에서 수집된 데이터에 따르면 평균적으로 리눅스 시스템이 공격을 받아 문제를 발생하기 전까지 석 달을 버틴다는 수치를 보여주고 있는데 2001년 리눅스 시스템의 수명이 72시간이었던 것에 비하면 상당히 많이 늘어난 수치이다. 또한 패치하지 않은 윈도우 시스템은 이보다는 빨라서 공격을 받고 문제가 발생하는 데 보통 수 분 이내라고 허니넷 프로젝트 보고서에 언급되었다.

아마도 두 가지 추세 때문인 것으로 보인다며 스피츠너는 이야기한다. 첫째, 새로운 리눅스 시스템이 제공하는 기본 설치가 이전 버전의 오픈 소스 운영체제보다는 훨씬 더 안전해졌으며 둘째, 공격자는 리눅스 시스템보다는 윈도우 시스템에 훨씬 더 집중하여 데스크톱 사용자를 골탕먹이고 있는데 이는 아마도 광범위하게 사용되는 운영체제가 윈도우이기 때문인 것으로 보인다.

온라인 공격자에게 컴퓨터 시스템을 덫으로 놓는 소프트웨어를 만드는 허니넷 프로젝트의 랜스 스피츠너는 "모든 사람이 윈도우에 초점을 맞추고 있어서 윈도우 시스템에 돈벌이가 할 게 많다"고 이야기한다.

이번 연구는 리눅스 시스템과 MS 윈도우의 상대적인 보안에 관한 최근 자료이다. 지난 주, 리눅스에서 돌아가는 소프트웨어에서 수십 개의 구멍을 발견해냈으며 조사 리포트에서는 리눅스 커널의 철저하게 분석한 결과 수백 개의 구멍이 발견되었다고 주장했다. 하지만 상대적으로 볼 때 상용 애플리케이션과 비교하면 낮은 수치이다.

최근 연구에 사용된 허니넷의 윈도우 XP 시스템은 인터넷에 연결된 후 수 분 내에 문제가 발생했지만 레드햇의 리눅스 운영체제 새 버전은 2달 이상의 무작위 공격에서도 살아남았다.

MS 측은 뉴스닷컴에게 보고서에서 자신들의 최신 운영체제는 보고서가 거론된 것보다는 더 안전하다고 반박했다.

"윈도우 어떤 버전이 연구에 사용되었는지는 모르겠지만 윈도우 방화벽이 사용된 윈도우 XP SP2는 시장에 나온 운영체제 중 가장 탄력적인 운영체제이며 훨씬 더 오래 공격에 버틸 수 있다"고 익명을 요구한 MS의 한 관계자가 밝혔다. "브라질에 위치한 두 개의 윈도우 기반 허니넷에서는 몇 달 동안 공격을 버텼다는 걸 보고서에 명시해줘서 고맙게 생각하지만 두 운영체제를 비교한 연구가 다른 요소의 영향이 통제된 상황에서 과학적으로 진행된 결정적인 자료를 담고 있다고 확신하지는 않는다"고 이야기했다.

연구 기간 동안 문제를 발생시킨 모든 윈도우 시스템은 웜의 침입에는 안전한 상태였다.

하지만 스핏츠너는 허니넷 프로젝트가 운영체제의 안정성 평가에서 의미있는 데이터를 제공하기 위해 사용한 윈도우 시스템이 충분하지 못했다는 점을 강조했다. 또한 보고서는 공격을 받아 문제를 일으킨 시스템에 어떤 버전의 윈도우XP가 동작하고 있었는지, 어떤 서비스 팩이 설치되었는지에 대해서는 명시하지 않았다.

이 연구에서는 패치를 하지 않은 상태에서라면 리눅스 운영체제의 최신 버전을 설치하는 것이 인터넷에서 더 오래 버틴다는 사실이 입증된 셈이다.

Robert Lemos (CNET News.com)

2004.12.27

미 SANS 협회가 매년 내놓는 ‘가장 흔한 보안 취약점 목록 2004년판’을 내놓았다. 항상 그러했던 것처럼 이번에도 이 목록은 윈도우와 리눅스/유닉스 등 2개 그룹으로 나눠져 있다. 여기서는 먼저 윈도우 운영체제에서의 위협 요소에 대해 살펴보자.

FBI의 국가 인프라스트럭처 보호센터(NIPC)와의 공동 조사로 작성되는 SANS(The SysAdmin Audit Network Security)의 20대 보안 약점 목록은 가장 위험함에도 불구하고 상당히 보편적인 취약점들을 정확하게 지적해내는 지표 역할을 수행하고 있다.

SANS와 FBI는 이 목록 이외에 보안과 관련해 지금까지 가장 취약한 부분으로 언급되고 있는 TCP/UDP 포트에 관한 내용부터 시작해 수많은 흥미로운 문서들을 내놓고 있다.

20대 보안 약점 목록에 포함된 취약점들은 보편적인 관점에서 실제로 위협이 가해지고 있는 것으로 판단된 부분들로 선정됐다. 이 말은 매우 쉽게 패치할 수 있음에도 불구하고 잘 이뤄지지 않고 있는 부분이라는 의미를 내포한다.

위에 언급한 것처럼 여기에서는 윈도우의 10대 위협 사항에 대해 알아보도록 하자. 그리고 SANS의 목록이 단지 위협 요소들을 나열하는 데 그치지 않고 세부적인 해결방안까지 제시하고 있다는 점을 유념해 살펴보길 권한다.

1. 웹서버 관리 소홀
위협 요소 중 첫 번째 자리는 패치 작업이 진행되지 않거나 설치도가 낮은 웹서버가 차지했다. 아파치, IIS, 그리고 썬원(아이플래닛) 등이 여기에 해당된다.

새롭게 발견되는 보안상의 허점을 없애기 위한 주기적인 업데이트를 제하고 보더라도 대다수 웹서버들은 기본적인 설치 과정에서부터 보안상의 취약점을 다수 노출하고 있다. 서버에 설치되는 소프트웨어들은 보안상으로 안전하지 않으며 전산 시스템에 실제 투입되는 서버에 결코 남겨져서는 안되는 데모 애플리케이션이나 샘플용 웹사이트를 보통 줄줄이 매달고 다닌다는 점을 절대로 잊으면 안된다.

이것은 웹서버가 그 기본 설정이 ‘작동’일 수도 있기 때문에 웹서버를 운영하지 않는 경우라도 매우 중요한 부분이다. 예를 들어 윈도우 2000은 기본 설정상 보안상으로 매우 취약한 IIS 5.0 버전을 설치하게 돼 있다.

위험에 처했을 때 가장 최선의 대응책은 결정 방향에 대해 SANS의 리포트를 참고하는 것이다.

2. 워크스테이션 서비스
해커들이 가장 즐겨 사용하는 보안 위협 요소 중 2번째는 바로 워크스테이션 서비스다. 파일, 프로세스에 대한 접근 요청 작업을 담당하는 이 서비스는 윈도우 2000과 윈도우 XP SP1 이하 버전, 그리고 윈도우 XP 64비트 버전의 경우 대량 집중 공격에 취약한 모습을 보인다.

MS03-049의 윈도우 2000 패치나 MS03-043의 윈도우 XP 패치 등이 이 보안상의 허점을 메워 주는 대처방안이 될 것이다. 윈도우 XP SP2는 이 취약점에 대해 완전한 방어조치를 취한 것으로 판단된다.

3. 윈도우 원격 접속 서비스(RPC)
클레즈(Klez), 서캠(Sircam), 그리고 님다 등과 같은 웜 바이러스들은 모두 윈도우 원격 접속 서비스의 장점을 악용해 급속도로 확산된 것들이다. 윈도우 95 이상의 모든 운영체제들은 원격 프로시저 콜(RPC) 공격에 취약하지만 윈도우 XP SP2 버전은 RPC의 활동 방식을 구체화하는 방식으로 안전도를 높였다.

SANS는 RPC 공격과 넷바이오스(NETBIOS)와 익명 로그온 취약점을 동일한 윈도우 위협요소로 분류하고 있다.

4. MS SQL 서버
피해 발생 사례 순으로 파악한 네번째 위협 요소는 MS SQL 서버의 취약점들이다. 이를 이용한 공격으로는 슬래머(Slammer) 등 여러 웜 바이러스들이 있다.

SQL 서버는 여러 애플리케이션과 프로그래밍 툴에 필요하기 때문에 사용자들은 심지어 이 프로그램의 설치 여부조차 깨닫지 못할 수 있다. 예를 들어 비주얼스튜디오닷넷, 액세스 2002, 오피스 XP 등은 모두 보안상의 취약점이 있는 MSDE 데스크톱 엔진을 설치한다. 이 엔진은 사실상 SQL 서버의 경량화(lite) 버전이다.

태블릿 PC에서도 딜롬(Delorme)의 GPS 네비게이션 시스템과 같은 애플리케이션을 이용하려면 SQL 서버를 설치해야만 한다.

5. 엉성한 패스워드·인증 솔루션
다섯째로 가장 흔한 위협 요소는 우리의 오래된 ‘친구’인 엉성한 패스워드나 낮은 수준의 인증 솔루션이다. 특히 오픈소스 애플리케이션은 취약하거나 또는 잘 알려진 잡동사니 수준의 알고리즘으로 패스워드를 저장하는 경우가 빈번하다.

윈도우 NT/2000/XP 등은 모두 보안상 취약한 LAN 관리자(LM) 버전인 LANMAN을 이용해 특정 패스워드를 저장한다. 그러나 이 방법은 상대적으로 짧은 패스워드만을 저장할 수 있으며 다양한 경우들을 인식하지 못하는 등 여러 취약점을 갖고 있기 때문에 해커들이 침입하기 쉽다.

윈도우 서버 2003는 LM을 기본 설정으로 설치하지 않는다. 그러나 네트워크에 연결된 특정 컴퓨터의 운영체제가 LM 사용을 요청할 수도 있다.

이런 위협 사항들을 해결하고 LM 인증의 비활성화, 호환성 문제를 해결하기 위해 다양한 MS 지식 기반 관리자(KBA) 솔루션들이 있다. 그러나 만약 LM이 구동되는 상황이라면 심지어 가장 강력한 패스워드조차도 무력해질 수 있으며 그렇지 않으면 암호화 툴 그 자체에 의해 약해질 수 있다는 점을 기억하라.

6. 인터넷 익스플로러
가장 보편적인 윈도우 보안 위협요소 6위는 MS 인터넷 익스플로러가 차지했다. 그러나 유념해야 할 점이 하나 있다. SANS 목록에 포함된 취약 요소 중 많은 부분은 오페라, 모질라, 파이어폭스, 그리고 넷스케이프 등에도 똑같이 적용된다. 따라서 대안 브라우저를 사용한다 해서 위협요소가 모두 제거되는 것은 아니며 단지 이것을 감소시킬 뿐이다.

물론 시큐리티 포커스 아카이브(SFA)에 따르면 인터넷 익스플로러는 2001년 4월 이래 153건의 취약점이 보고된 바 있으며 따라서 아직도 가장 보안이 취약한 웹 브라우저로 간주되고 있다.

올해만 해도 인터넷 익스플로러에서는 15개의 새로운 보안 취약요소가 발견됐다. 이에 비해 모질라와 넷스케이프, 오페라는 각각 지난 1월 이후 시큐니아(Secunia) 권고 사항 7개, 2개, 8개를 기록했다.

가장 최선의 대응 방안은 권한이 큰, 특히 관리자 계정으로 로그온 했을 때에는 절대로 네트워크를 탐색하지 않는 것이다. 또한 가능할 때마다 액티브X를 닫아주는 것이 좋다.

윈도우 XP SP2는 액티브X 보안 제어사항을 개선시킨 바 있다.

7. P2P 프로그램
파일 공유에 사용되는 P2P 네트워크 시스템은 대중적인 인기 속에 성장했지만 다양하고 심각한 보안 위협 요소에 시스템을 노출시키는 결과를 유발시키고 있다. P2P는 SANS의 위협 요소 목록에서 7위에 올랐다.

가장 최선이면서 아마 유일한 것으로 보이는 대응방안은 회사 네트워크에서 카자(KaZaa), 그누텔라(Gnutella) 등과 같은 P2P 소프트웨어를 절대로 사용하지 않는 것이다.

그러나 사용 규칙 강화가 어려울 수도 있다. 따라서 이럴 경우에는 방화벽을 사용해 각 프로그램에서 가장 흔히 사용되는 포트를 차단하는 것이 낫다. 냅스터의 경우에는 TCP 8888, 8875, 6699이며 e동키는 UDP 4665와 TCP 4661, 4662, 그누텔라는 TCP/UDP 6345, 6347, 6348 등이 해당된다.

하지만 카자는 TCP 80 포트를 사용하기 때문에 쉽게 차단할 수 없다. 이에 대해서는 P2P에 대한 다른 유용한 정보를 참조하도록 하자.

8. LSASS의 버퍼 오버런
올해 목록에서 8위를 차지한 것은 인증과 액티브 디렉터리 등에 활용되는 로컬 보안 권한 서브시스템 서비스(LSASS)의 버퍼 오버런 관련 취약점이다. 새서(Sasser)와 코르고(Korgo) 웜은 이 취약점을 악용하고 있으며 윈도우 2000/XP/XP 64비트, 그리고 윈도우 서버 2003 등에 영향을 미친다.

아마 포트 차단이 최선의 방어책일 것이다. 세부 사항은 SANS의 리포트를 참조하라.

9. 아웃룩, 아웃룩 익스프레스
아웃룩과 아웃룩 익스프레스가 가장 보편적인 위협 요소에서 단지 9위에 그친 것을 보고 많은 이들이 놀랄지도 모른다. 이 결과는 SANS의 조사가 업무용 시스템만을 대상으로 하기 때문이다.

아웃룩/아웃룩 익스프레스는 아마 사용자들에게 있어서는 여전히 취약 요소의 왕으로 꼽힐 것이다.

본인은 어떤 용도로도 아웃룩을 사용하지 않는다. 그러나 지금 사용하고 있다면 패치 작업이 지속적으로 진행됐는지 분명하게 확인해보라.

아웃룩을 사용하지 않는다면 윈도우에서 떨어뜨려 놓아라. 그리고 새로운 서비스팩을 설치할 때마다 윈도우에서 자동으로 배격하도록 배치 파일을 만들어놓거나 시스템 자체를 업그레이드하라. 사전 경고없이 재설치될 수 있기 때문이다.

이처럼 위험한 파일 유형을 차단하는 것은 좋은 해결책이지만 레지스트리를 직접 편집해야 한다는 것이 부담으로 작용한다. 이에 대해서는 세부 사항 보고서를 참조하도록 하자.

10. 인스턴트 메신저 사용 증가
지난 6개월 동안 윈도우 분야의 가장 큰 위협요소 중 마지막으로 꼽힌 것은 기업 환경에서의 메신저 사용 증가다.

윈도우 메신저의 경우 야후나 AOL과 같은 인스턴트 메신저가 윈도우 시스템에서 세를 넓히는 것과는 차원이 다르다. 이 메신저는 완전히 윈도우에 통합돼 MSN 메신저 네트워크를 지원한다.

인스턴트 메신저의 보안 위협 요소에 대한 완전한 방어책은 없다. 그러나 접근 목록을 지속적으로 꼼꼼하게 관리하고 소프트웨어를 주기적으로 업데이트한다면 보안 강화에 도움이 될 것이다.

결론
SANS의 20대 목록 업데이트는 보안·IT 전문가와 IT 관리자들에게 항상 큰 관심을 불러일으켰으며 그만큼의 중요성을 지녀왔다. 이번 버전도 마찬가지다.

이 기사가 보안 취약 요소를 집대성한 SANS의 보고서에서 핵심 정보를 모두 발췌한 것은 아니다. 특히 SANS 목록은 당신이 보안상으로 취약한 상태인지 여부를 판단하고 - SQL 서버 환경에서는 많은 경우 결정을 내리는 데 있어 불분명하다 - 보안상의 허점을 메우기 위한 세부 지원책 등을 결정하는 데 정보의 ‘금광’ 역할을 제공한다.

유용한 노하우를 하나 소개해보자. 모든 이들이 흔히 실수를 저지르거나 새로운 취약 요소에 당하기도 한다. 그러나 만약 이런 실수로 인해 회사가 일정 비용을 지불하게 된다면 상사에게 관리되고 있는 시스템이 왜 이처럼 잘 알려지고 널리 퍼진 위협 요소에 취약한지 설명하는 것은 상당히 까다로울 것이다.

SANS의 보고서를 보안에 대한 기본 지침으로 삼아 시스템이 제대로 보호되고 있는지 항상 확인하도록 하자.

2004년판 가장 놓치기 쉬운 리눅스/유닉스 취약점「TOP 10」

지난 기사에 이어 이번 글에서는 SANS가 발표한 리눅스/유닉스 시스템의 10대 보안 위협 사항에 대해 알아보자.

이미 지난번에 언급됐듯이 SANS 협회는 FBI의 국가 인프라스트럭처 보호센터(NIPC)와 공동으로 보안 약점 목록을 내놓고 있다. 정기적으로 업데이트되는 이 목록은 가장 위험함에도 불구하고 상당히 쉽게 발견되는 취약점들을 정확하게 지적해내는 지표 역할을 수행하고 있다.

중요한 것은 운영 체제와 애플리케이션 등에서 새롭게 발견되는 위협 요소들의 목록이 증가하는 것과 달리 SANS의 목록은 위협 요소가 실제로 얼마나 많은 공격을 조사 대상에게 가했는지 순위를 매긴 것이라는 점이다. 이에 유념하면서 목록을 살펴보자.

1. DNS 서버 BIND
최고의 리눅스/유닉스 위협 요소는 여전히 가장 대중적인 인터넷 DNS 서버 소프트웨어인 BIND다.

버퍼 오버런, 캐시 오염 현상 등이 가장 일반적인 공격 위협 요소이며 관리자가 BIND의 업그레이드를 소홀이 하거나 필요하지 않은 경우에도 명칭이 부여된 BIND 데몬을 운영할 때 다양한 피해 상황이 발생한다. 특히 명칭이 부여된 BIND 데몬은 특정한 DNS 서버를 제하고는 실행되면 안된다.

BIND 그룹은 매우 신속히 보안 취약 요소의 패치 버전을 만들어 내고 있다. 따라서 만약 BIND를 운영하기로 선택했다면 관리자는 이런 보안 패치 버전을 제때 꼭 업데이트해야 한다.

2. 리늑스/유닉스 웹서버
순위의 두 번째는 일반적인 리눅스/유닉스 웹서버로 아파치와 기타 서버들이 해당된다.

이들에 대한 보안 관리 업무는 대부분 새로 발견된 취약 요소들을 업데이트하는 것이다. SANS에서는 보안 관리의 보조 툴로 네서스(Nessus)나 사라(SARA) 등과 같은 오픈소스 보안 취약 요소 스캐닝 솔루션을 활용할 것을 권장하고 있다.

또한 사용하지 않는 솔루션이나 소프트웨어 등을 제거하는 것도 웹 서버 보안 사항을 강화하는 좋은 방법이다. 이 작업은 잠재적인 보안 취약점을 제거해주기 때문이다.

3. 취약한 사용자 인증
세번째 보안 취약 요소는 바로 패스워드 등 사용자 인증 방식이다. 취약한 사용자 패스워드, 특히 관리자 수준의 패스워드가 이에 해당하면 리눅스/유닉스 시스템의 보안에 심대한 영향을 끼친다.

특히 기본 설정된 사용자 계정과 패스워드 등을 인식하고 제거하는 데 주의하라.

4. 버전 제어 시스템
넷째 요소는 버전 제어 시스템으로 특히 가장 대중적인 솔루션인 동시 버전 시스템(CVS)과 서브버전(Subversion) 등이 해당된다. 이들은 이미 취약 요소가 알려져 있으며 익명의 사용자들이 온라인 데이터베이스에 접속하고 있다.

가장 최선의 방어책은 설정을 적절하게 해주고 패치/업데이트 작업을 수시로 해주는 것이다.

5. 이메일 서비스
이메일 서비스가 가장 일반적인 제5의 보안 공격 요소인 것으로 조사됐다. 센드메일(Sendmail)은 리눅스/유닉스 시스템에서 여전히 가장 대중적으로 사용되는 이메일 전송 에이전트(MTA)로 다수의 보안 취약 요소들이 담겨져 있다.

Q메일, 쿠리어(Courier), 엑심(Exim), 포스트픽스(Postfix) 등이 최근 등장한 센드메일의 대안이라 하겠다. 물론 수시로 패치 작업을 해주고 적절한 설정을 해주는 것이 가장 최선의 방어책이다.

문제 중 하나는 센드메일이 매우 복잡한 솔루션이라는 점이다. 따라서 좀더 간단한 이메일 에이전트가 개발됐으며 기능을 확장·추가하는 데에는 애드-온 프로그램이 사용돼 왔다.

여기에 문제가 있다. 주로 써드 파티 업체에서 개발하는 애드-온 프로그램들은 그 개수가 상당히 많기 때문에 이 모든 애드-온에서 새로운 취약 요소들을 발견한다는 것은 매우 어렵다.

6. SNMP
원격 네트워크 관리 도구는 네트워크에 심각한 위험을 가져다준다. 따라서 기본 설정상에서 사용할 수 있는 SNMP가 가장 흔한 보안 위협 요소의 6번째에 오른 것은 그다지 놀라운 일이 아니다.

가능하다면 SNMP를 사용하지 말고 만약 꼭 사용해야 할 때는 SNMP 1과 2에 대한 패치 작업을 계속하면서 SNMPv3를 구동하는 것이 바람직하다.

7. OpenSSL 암호화 툴 라이브러리
7번재 사항은 OpenSSL 암호화 툴 라이브러리에서 발견되는 다중 보안 취약 요소다. 가장 최선의 방어책은 방화벽을 적절하게 설정하고 SSL 패치 버전을 주기적으로 업데이트해 주는 것이다.

8. 잘못 설정된 NIS·NSF 서버
적절한 설정작업을 거치지 않은 엔터프라이즈 NIS 및 NSF 서버가 그 다음 주요 위협요소다. 패치 작업을 해주고 불필요한 데몬은 어느 것이든지 비활성화시키며 드러난 취약 요소에 대해 방화벽을 강화해 주는 것이 이 8번째 위협 요소에 대한 대처법이다.

9. 데이터베이스
데이터베이스는 본디 접속용 솔루션이지만 이런 솔루션의 보안 취약 요소들은 원격 해커들이 악용함으로써 네트워크에 침입하도록 하는 원인으로 작용하고 있다.

패치 및 적절한 설정 작업이 가장 최선의 대응책이며 이와 같은 원격 위협이 9번째 보안 취약 요소다.

10. 커널
커널의 보안 취약 요소가 10번째 사항에 꼽혔다. 이에 대한 대비책은 매우 복합적이며 각 해당 업체와 버전에 맞게 구체화돼야 한다.

결론
윈도우, 리눅스/유닉스 보안 목록이 순수하게 보안상의 위협을 감소시킨다는 목적에서 작성됐음에도 불구하고 이 두 목록 사이에는 어떤 상호관련성도 없다. 다시 말해 어떤 운영체제가 보안상으로 더 안전한지, 또는 윈도우 10대 목록 중 6번째 사항과 리눅스/유닉스 목록의 6번째 사항이 각각 유발시키는 해커 공격의 수가 동일한지 등에 대한 분석은 어떤 것도 제기되지 않았다는 의미다.

이 보안 위협 요소 목록은 운영체제 선택에 대한 기준을 제공하는 것이 아니다. 그보다는 각 범주 내에서 어떤 위협 요소들이 가장 주목받아야 하는 지에 대한 가이드라 할 수 있다. 따라서 리스트에 너무 많은 의미를 부여할 필요는 없다.

만약 당신이 이들을 애초의 고안 목적 그대로 활용한다면 매우 큰 도움이 될 것이다.
　

John McCormick (TechRepublic)

2004.12.01