가장 놓치기 쉬운 리눅스/유닉스 취약점[TOP 10]-SANS 2004년판

이전 글에 이어서 SANS에서 발표한 리눅스/유닉스 취약점입니다. 이전에 올린 글에도 이 내용은 있었으나 영문페이지를 그대로 링크한 상태였죠. 읽어본다고 생각하고 링크해두었는데 결국 읽지않았는데.. 그러던차 번역된 기사를 만나니 엄청 반가웠답니다.


이미 지난번에 언급됐듯이 SANS 협회는 FBI의 국가 인프라스트럭처 보호센터(NIPC)와 공동으로 보안 약점 목록을 내놓고 있다. 정기적으로 업데이트되는 이 목록은 가장 위험함에도 불구하고 상당히 쉽게 발견되는 취약점들을 정확하게 지적해내는 지표 역할을 수행하고 있다.

중요한 것은 운영 체제와 애플리케이션 등에서 새롭게 발견되는 위협 요소들의 목록이 증가하는 것과 달리 SANS의 목록은 위협 요소가 실제로 얼마나 많은 공격을 조사 대상에게 가했는지 순위를 매긴 것이라는 점이다. 이에 유념하면서 목록을 살펴보자.

1. DNS 서버 BIND
최고의 리눅스/유닉스 위협 요소는 여전히 가장 대중적인 인터넷 DNS 서버 소프트웨어인 BIND다.

버퍼 오버런, 캐시 오염 현상 등이 가장 일반적인 공격 위협 요소이며 관리자가 BIND의 업그레이드를 소홀이 하거나 필요하지 않은 경우에도 명칭이 부여된 BIND 데몬을 운영할 때 다양한 피해 상황이 발생한다. 특히 명칭이 부여된 BIND 데몬은 특정한 DNS 서버를 제하고는 실행되면 안된다.

BIND 그룹은 매우 신속히 보안 취약 요소의 패치 버전을 만들어 내고 있다. 따라서 만약 BIND를 운영하기로 선택했다면 관리자는 이런 보안 패치 버전을 제때 꼭 업데이트해야 한다.

2. 리눅스/유닉스 웹서버
순위의 두 번째는 일반적인 리눅스/유닉스 웹서버로 아파치와 기타 서버들이 해당된다.

이들에 대한 보안 관리 업무는 대부분 새로 발견된 취약 요소들을 업데이트하는 것이다. SANS에서는 보안 관리의 보조 툴로 네서스(Nessus)나 사라(SARA) 등과 같은 오픈소스 보안 취약 요소 스캐닝 솔루션을 활용할 것을 권장하고 있다.

또한 사용하지 않는 솔루션이나 소프트웨어 등을 제거하는 것도 웹 서버 보안 사항을 강화하는 좋은 방법이다. 이 작업은 잠재적인 보안 취약점을 제거해주기 때문이다.

3. 취약한 사용자 인증
세번째 보안 취약 요소는 바로 패스워드 등 사용자 인증 방식이다. 취약한 사용자 패스워드, 특히 관리자 수준의 패스워드가 이에 해당하면 리눅스/유닉스 시스템의 보안에 심대한 영향을 끼친다.

특히 기본 설정된 사용자 계정과 패스워드 등을 인식하고 제거하는 데 주의하라.

4. 버전 제어 시스템
넷째 요소는 버전 제어 시스템으로 특히 가장 대중적인 솔루션인 동시 버전 시스템(CVS)과 서브버전(Subversion) 등이 해당된다. 이들은 이미 취약 요소가 알려져 있으며 익명의 사용자들이 온라인 데이터베이스에 접속하고 있다.

가장 최선의 방어책은 설정을 적절하게 해주고 패치/업데이트 작업을 수시로 해주는 것이다.

5. 이메일 서비스
이메일 서비스가 가장 일반적인 제5의 보안 공격 요소인 것으로 조사됐다. 센드메일(Sendmail)은 리눅스/유닉스 시스템에서 여전히 가장 대중적으로 사용되는 이메일 전송 에이전트(MTA)로 다수의 보안 취약 요소들이 담겨져 있다.

Q메일, 쿠리어(Courier), 엑심(Exim), 포스트픽스(Postfix) 등이 최근 등장한 센드메일의 대안이라 하겠다. 물론 수시로 패치 작업을 해주고 적절한 설정을 해주는 것이 가장 최선의 방어책이다.

문제 중 하나는 센드메일이 매우 복잡한 솔루션이라는 점이다. 따라서 좀더 간단한 이메일 에이전트가 개발됐으며 기능을 확장·추가하는 데에는 애드-온 프로그램이 사용돼 왔다.

여기에 문제가 있다. 주로 써드 파티 업체에서 개발하는 애드-온 프로그램들은 그 개수가 상당히 많기 때문에 이 모든 애드-온에서 새로운 취약 요소들을 발견한다는 것은 매우 어렵다.

6. SNMP
원격 네트워크 관리 도구는 네트워크에 심각한 위험을 가져다준다. 따라서 기본 설정상에서 사용할 수 있는 SNMP가 가장 흔한 보안 위협 요소의 6번째에 오른 것은 그다지 놀라운 일이 아니다.

가능하다면 SNMP를 사용하지 말고 만약 꼭 사용해야 할 때는 SNMP 1과 2에 대한 패치 작업을 계속하면서 SNMPv3를 구동하는 것이 바람직하다.

7. OpenSSL 암호화 툴 라이브러리
7번재 사항은 OpenSSL 암호화 툴 라이브러리에서 발견되는 다중 보안 취약 요소다. 가장 최선의 방어책은 방화벽을 적절하게 설정하고 SSL 패치 버전을 주기적으로 업데이트해 주는 것이다.

8. 잘못 설정된 NIS·NSF 서버
적절한 설정작업을 거치지 않은 엔터프라이즈 NIS 및 NSF 서버가 그 다음 주요 위협요소다. 패치 작업을 해주고 불필요한 데몬은 어느 것이든지 비활성화시키며 드러난 취약 요소에 대해 방화벽을 강화해 주는 것이 이 8번째 위협 요소에 대한 대처법이다.

9. 데이터베이스
데이터베이스는 본디 접속용 솔루션이지만 이런 솔루션의 보안 취약 요소들은 원격 해커들이 악용함으로써 네트워크에 침입하도록 하는 원인으로 작용하고 있다.

패치 및 적절한 설정 작업이 가장 최선의 대응책이며 이와 같은 원격 위협이 9번째 보안 취약 요소다.

10. 커널
커널의 보안 취약 요소가 10번째 사항에 꼽혔다. 이에 대한 대비책은 매우 복합적이며 각 해당 업체와 버전에 맞게 구체화돼야 한다.

결론
윈도우, 리눅스/유닉스 보안 목록이 순수하게 보안상의 위협을 감소시킨다는 목적에서 작성됐음에도 불구하고 이 두 목록 사이에는 어떤 상호관련성도 없다. 다시 말해 어떤 운영체제가 보안상으로 더 안전한지, 또는 윈도우 10대 목록 중 6번째 사항과 리눅스/유닉스 목록의 6번째 사항이 각각 유발시키는 해커 공격의 수가 동일한지 등에 대한 분석은 어떤 것도 제기되지 않았다는 의미다.

이 보안 위협 요소 목록은 운영체제 선택에 대한 기준을 제공하는 것이 아니다. 그보다는 각 범주 내에서 어떤 위협 요소들이 가장 주목받아야 하는 지에 대한 가이드라 할 수 있다. 따라서 리스트에 너무 많은 의미를 부여할 필요는 없다.

만약 당신이 이들을 애초의 고안 목적 그대로 활용한다면 매우 큰 도움이 될 것이다

2 thoughts on “가장 놓치기 쉬운 리눅스/유닉스 취약점[TOP 10]-SANS 2004년판

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.