가장 놓치기 쉬운 윈도우 취약점[TOP 10]-SANS 2004년판

.

이 글은 전에 제목만 올린적이 있었는데 번역본이 zdnet에 올라와서.. 다시 올려봅니다.


미 SANS 협회가 매년 내놓는 ‘가장 흔한 보안 취약점 목록 2004년판’을 내놓았다. 항상 그러했던 것처럼 이번에도 이 목록은 윈도우와 리눅스/유닉스 등 2개 그룹으로 나눠져 있다. 여기서는 먼저 윈도우 운영체제에서의 위협 요소에 대해 살펴보자.

FBI의 국가 인프라스트럭처 보호센터(NIPC)와의 공동 조사로 작성되는 SANS(The SysAdmin Audit Network Security)의 20대 보안 약점 목록은 가장 위험함에도 불구하고 상당히 보편적인 취약점들을 정확하게 지적해내는 지표 역할을 수행하고 있다.

SANS와 FBI는 이 목록 이외에 보안과 관련해 지금까지 가장 취약한 부분으로 언급되고 있는 TCP/UDP 포트에 관한 내용부터 시작해 수많은 흥미로운 문서들을 내놓고 있다.

20대 보안 약점 목록에 포함된 취약점들은 보편적인 관점에서 실제로 위협이 가해지고 있는 것으로 판단된 부분들로 선정됐다. 이 말은 매우 쉽게 패치할 수 있음에도 불구하고 잘 이뤄지지 않고 있는 부분이라는 의미를 내포한다.

위에 언급한 것처럼 여기에서는 윈도우의 10대 위협 사항에 대해 알아보도록 하자. 그리고 SANS의 목록이 단지 위협 요소들을 나열하는 데 그치지 않고 세부적인 해결방안까지 제시하고 있다는 점을 유념해 살펴보길 권한다.

1. 웹서버 관리 소홀
위협 요소 중 첫 번째 자리는 패치 작업이 진행되지 않거나 설치도가 낮은 웹서버가 차지했다. 아파치, IIS, 그리고 썬원(아이플래닛) 등이 여기에 해당된다.

새롭게 발견되는 보안상의 허점을 없애기 위한 주기적인 업데이트를 제하고 보더라도 대다수 웹서버들은 기본적인 설치 과정에서부터 보안상의 취약점을 다수 노출하고 있다. 서버에 설치되는 소프트웨어들은 보안상으로 안전하지 않으며 전산 시스템에 실제 투입되는 서버에 결코 남겨져서는 안되는 데모 애플리케이션이나 샘플용 웹사이트를 보통 줄줄이 매달고 다닌다는 점을 절대로 잊으면 안된다.

이것은 웹서버가 그 기본 설정이 ‘작동’일 수도 있기 때문에 웹서버를 운영하지 않는 경우라도 매우 중요한 부분이다. 예를 들어 윈도우 2000은 기본 설정상 보안상으로 매우 취약한 IIS 5.0 버전을 설치하게 돼 있다.

위험에 처했을 때 가장 최선의 대응책은 결정 방향에 대해 SANS의 리포트를 참고하는 것이다.

2. 워크스테이션 서비스
해커들이 가장 즐겨 사용하는 보안 위협 요소 중 2번째는 바로 워크스테이션 서비스다. 파일, 프로세스에 대한 접근 요청 작업을 담당하는 이 서비스는 윈도우 2000과 윈도우 XP SP1 이하 버전, 그리고 윈도우 XP 64비트 버전의 경우 대량 집중 공격에 취약한 모습을 보인다.

MS03-049의 윈도우 2000 패치나 MS03-043의 윈도우 XP 패치 등이 이 보안상의 허점을 메워 주는 대처방안이 될 것이다. 윈도우 XP SP2는 이 취약점에 대해 완전한 방어조치를 취한 것으로 판단된다.

3. 윈도우 원격 접속 서비스(RPC)
클레즈(Klez), 서캠(Sircam), 그리고 님다 등과 같은 웜 바이러스들은 모두 윈도우 원격 접속 서비스의 장점을 악용해 급속도로 확산된 것들이다. 윈도우 95 이상의 모든 운영체제들은 원격 프로시저 콜(RPC) 공격에 취약하지만 윈도우 XP SP2 버전은 RPC의 활동 방식을 구체화하는 방식으로 안전도를 높였다.

SANS는 RPC 공격과 넷바이오스(NETBIOS)와 익명 로그온 취약점을 동일한 윈도우 위협요소로 분류하고 있다.

4. MS SQL 서버
피해 발생 사례 순으로 파악한 네번째 위협 요소는 MS SQL 서버의 취약점들이다. 이를 이용한 공격으로는 슬래머(Slammer) 등 여러 웜 바이러스들이 있다.

SQL 서버는 여러 애플리케이션과 프로그래밍 툴에 필요하기 때문에 사용자들은 심지어 이 프로그램의 설치 여부조차 깨닫지 못할 수 있다. 예를 들어 비주얼스튜디오닷넷, 액세스 2002, 오피스 XP 등은 모두 보안상의 취약점이 있는 MSDE 데스크톱 엔진을 설치한다. 이 엔진은 사실상 SQL 서버의 경량화(lite) 버전이다.

태블릿 PC에서도 딜롬(Delorme)의 GPS 네비게이션 시스템과 같은 애플리케이션을 이용하려면 SQL 서버를 설치해야만 한다.

5. 엉성한 패스워드·인증 솔루션
다섯째로 가장 흔한 위협 요소는 우리의 오래된 ‘친구’인 엉성한 패스워드나 낮은 수준의 인증 솔루션이다. 특히 오픈소스 애플리케이션은 취약하거나 또는 잘 알려진 잡동사니 수준의 알고리즘으로 패스워드를 저장하는 경우가 빈번하다.

윈도우 NT/2000/XP 등은 모두 보안상 취약한 LAN 관리자(LM) 버전인 LANMAN을 이용해 특정 패스워드를 저장한다. 그러나 이 방법은 상대적으로 짧은 패스워드만을 저장할 수 있으며 다양한 경우들을 인식하지 못하는 등 여러 취약점을 갖고 있기 때문에 해커들이 침입하기 쉽다.

윈도우 서버 2003는 LM을 기본 설정으로 설치하지 않는다. 그러나 네트워크에 연결된 특정 컴퓨터의 운영체제가 LM 사용을 요청할 수도 있다.

이런 위협 사항들을 해결하고 LM 인증의 비활성화, 호환성 문제를 해결하기 위해 다양한 MS 지식 기반 관리자(KBA) 솔루션들이 있다. 그러나 만약 LM이 구동되는 상황이라면 심지어 가장 강력한 패스워드조차도 무력해질 수 있으며 그렇지 않으면 암호화 툴 그 자체에 의해 약해질 수 있다는 점을 기억하라.

6. 인터넷 익스플로러
가장 보편적인 윈도우 보안 위협요소 6위는 MS 인터넷 익스플로러가 차지했다. 그러나 유념해야 할 점이 하나 있다. SANS 목록에 포함된 취약 요소 중 많은 부분은 오페라, 모질라, 파이어폭스, 그리고 넷스케이프 등에도 똑같이 적용된다. 따라서 대안 브라우저를 사용한다 해서 위협요소가 모두 제거되는 것은 아니며 단지 이것을 감소시킬 뿐이다.

물론 시큐리티 포커스 아카이브(SFA)에 따르면 인터넷 익스플로러는 2001년 4월 이래 153건의 취약점이 보고된 바 있으며 따라서 아직도 가장 보안이 취약한 웹 브라우저로 간주되고 있다.

올해만 해도 인터넷 익스플로러에서는 15개의 새로운 보안 취약요소가 발견됐다. 이에 비해 모질라와 넷스케이프, 오페라는 각각 지난 1월 이후 시큐니아(Secunia) 권고 사항 7개, 2개, 8개를 기록했다.

가장 최선의 대응 방안은 권한이 큰, 특히 관리자 계정으로 로그온 했을 때에는 절대로 네트워크를 탐색하지 않는 것이다. 또한 가능할 때마다 액티브X를 닫아주는 것이 좋다.

윈도우 XP SP2는 액티브X 보안 제어사항을 개선시킨 바 있다.

7. P2P 프로그램
파일 공유에 사용되는 P2P 네트워크 시스템은 대중적인 인기 속에 성장했지만 다양하고 심각한 보안 위협 요소에 시스템을 노출시키는 결과를 유발시키고 있다. P2P는 SANS의 위협 요소 목록에서 7위에 올랐다.

가장 최선이면서 아마 유일한 것으로 보이는 대응방안은 회사 네트워크에서 카자(KaZaa), 그누텔라(Gnutella) 등과 같은 P2P 소프트웨어를 절대로 사용하지 않는 것이다.

그러나 사용 규칙 강화가 어려울 수도 있다. 따라서 이럴 경우에는 방화벽을 사용해 각 프로그램에서 가장 흔히 사용되는 포트를 차단하는 것이 낫다. 냅스터의 경우에는 TCP 8888, 8875, 6699이며 e동키는 UDP 4665와 TCP 4661, 4662, 그누텔라는 TCP/UDP 6345, 6347, 6348 등이 해당된다.

하지만 카자는 TCP 80 포트를 사용하기 때문에 쉽게 차단할 수 없다. 이에 대해서는 P2P에 대한 다른 유용한 정보를 참조하도록 하자.

8. LSASS의 버퍼 오버런
올해 목록에서 8위를 차지한 것은 인증과 액티브 디렉터리 등에 활용되는 로컬 보안 권한 서브시스템 서비스(LSASS)의 버퍼 오버런 관련 취약점이다. 새서(Sasser)와 코르고(Korgo) 웜은 이 취약점을 악용하고 있으며 윈도우 2000/XP/XP 64비트, 그리고 윈도우 서버 2003 등에 영향을 미친다.

아마 포트 차단이 최선의 방어책일 것이다. 세부 사항은 SANS의 리포트를 참조하라.

9. 아웃룩, 아웃룩 익스프레스
아웃룩과 아웃룩 익스프레스가 가장 보편적인 위협 요소에서 단지 9위에 그친 것을 보고 많은 이들이 놀랄지도 모른다. 이 결과는 SANS의 조사가 업무용 시스템만을 대상으로 하기 때문이다.

아웃룩/아웃룩 익스프레스는 아마 사용자들에게 있어서는 여전히 취약 요소의 왕으로 꼽힐 것이다.

본인은 어떤 용도로도 아웃룩을 사용하지 않는다. 그러나 지금 사용하고 있다면 패치 작업이 지속적으로 진행됐는지 분명하게 확인해보라.

아웃룩을 사용하지 않는다면 윈도우에서 떨어뜨려 놓아라. 그리고 새로운 서비스팩을 설치할 때마다 윈도우에서 자동으로 배격하도록 배치 파일을 만들어놓거나 시스템 자체를 업그레이드하라. 사전 경고없이 재설치될 수 있기 때문이다.

이처럼 위험한 파일 유형을 차단하는 것은 좋은 해결책이지만 레지스트리를 직접 편집해야 한다는 것이 부담으로 작용한다. 이에 대해서는 세부 사항 보고서를 참조하도록 하자.

10. 인스턴트 메신저 사용 증가
지난 6개월 동안 윈도우 분야의 가장 큰 위협요소 중 마지막으로 꼽힌 것은 기업 환경에서의 메신저 사용 증가다.

윈도우 메신저의 경우 야후나 AOL과 같은 인스턴트 메신저가 윈도우 시스템에서 세를 넓히는 것과는 차원이 다르다. 이 메신저는 완전히 윈도우에 통합돼 MSN 메신저 네트워크를 지원한다.

인스턴트 메신저의 보안 위협 요소에 대한 완전한 방어책은 없다. 그러나 접근 목록을 지속적으로 꼼꼼하게 관리하고 소프트웨어를 주기적으로 업데이트한다면 보안 강화에 도움이 될 것이다.

결론
SANS의 20대 목록 업데이트는 보안·IT 전문가와 IT 관리자들에게 항상 큰 관심을 불러일으켰으며 그만큼의 중요성을 지녀왔다. 이번 버전도 마찬가지다.

이 기사가 보안 취약 요소를 집대성한 SANS의 보고서에서 핵심 정보를 모두 발췌한 것은 아니다. 특히 SANS 목록은 당신이 보안상으로 취약한 상태인지 여부를 판단하고 – SQL 서버 환경에서는 많은 경우 결정을 내리는 데 있어 불분명하다 – 보안상의 허점을 메우기 위한 세부 지원책 등을 결정하는 데 정보의 ‘금광’ 역할을 제공한다.

유용한 노하우를 하나 소개해보자. 모든 이들이 흔히 실수를 저지르거나 새로운 취약 요소에 당하기도 한다. 그러나 만약 이런 실수로 인해 회사가 일정 비용을 지불하게 된다면 상사에게 관리되고 있는 시스템이 왜 이처럼 잘 알려지고 널리 퍼진 위협 요소에 취약한지 설명하는 것은 상당히 까다로울 것이다.

SANS의 보고서를 보안에 대한 기본 지침으로 삼아 시스템이 제대로 보호되고 있는지 항상 확인하도록 하자. @

2 thoughts on “가장 놓치기 쉬운 윈도우 취약점[TOP 10]-SANS 2004년판

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.