Special Report 18호

Combating Internet Worms

인터넷 웜과의 '한판 승부

웜으로부터 대처하는 방법에 대한 Cisco Webcast의 Q&A



미래의 Q&A는 지난 2003년 10월의 시스코 Webcast 세미나 '블래스터(Blaster)를 비롯한 인터넷 웜과의 전쟁(Comb- ating Blaster and Other Internet Worms)'에서 제기된 100대 질문과 대답에서 발췌한 것이다. 100개의 질문과 대답 전문을 보려면 cisco.com/packet/161_4a1을 방문하기 바란다.

NABR(Network-Based Application Recog- nition)은 코드 레드(Code Red)에 효과가 있는 것으로 나타났다. 현재의 다른 웜에도 사용할 수 있는가?
패치를 설치하거나 웜을 방어하는데 있어서 NBAR은 악성 패킷을 차단하는데 효과적인 툴이다. 특정한 형태의 매치(match) 값을 설정해야 하는데, 이는 웜에 따라 다르다. 예를 들면, 코드 레드의 경우 default.ida에 HTTP match를 사용할 수 있다. 블래스터의 경우는 특정 길이의 SQL 패킷을 사용하게 된다.
시스코 라우터에 탑재된 기능인 NBAR을 통해 트래픽이 특정 애플리케이션이나 서비스를 기반으로 표시될 수 있으며, 다양한 서비스 품질(QoS)이나 액세스 컨트롤 리스트(ACL) 메커니즘을 사용해 삭제나 형성될 수 있다.


특정한 페이로드(payload) 데이터를 포함하고 있는 ICMP(Internet Control Message Protocol)를 Cisco IOS? 소프트웨어에서 필터링하는 방법이 있는가?
확장된 ACL을 사용하고 있다고 가정한다면, 특정한 ICMP 메시지 유형에 대한 ACL entry를 생성할 수 있다.


NAT(Network Address Translation)는 포트 1024를 비롯한 다른 포트에서 ICMP를 보여준다. 이것이 어떤 형태의 ICMP인지 알 수 있는 방법에 대해 설명해달라.
Ip nat translation을 보고는 ICMP의 형태를 구분할 수는 없다. 명령어 리스트로부터 나온 것은 단지 프로토콜일 뿐이다. 보여지는 포트는 echo나 echo-reply와 같이 ICMP에 직접 대응되지 않는 ICMP 패킷 내부의 실제 식별기(identifier)이다.


가상사설망(VPN)을 통해 연결된 장비가 감염되었을 때 이로부터 네트워크을 보호하는 방법은 무엇인가?
VPN과 관련된 최고의 문제 해결은 방화벽 앞의 터널을 차단하고 시스코의 PSIRT (Pro- duct Security Incident Response Team)이 발표한 135, 444, UDP 69에 기술되어 있는 포트를 막는 것이다. 이를 통해 웜이 더 확산되는 것을 방지할 수 있으며, 마이크로소프트의 패치를 적용해야 한다.


새로운 장비가 네트워크에 연결하려고 시도할 경우 네트워크 장비의 어드레스 등록을 방지할 방법이 있는가?
여러 가지 방법이 있다. 특정 포트에 대한 특정 MAC 어드레스를 차단하기 위해 스위치의 포트 보안을 사용할 수 있다. DHCP(Dyn- amic Host Control Protocol)나 GARP (General Attribute Registration Protocol), STP(Spanning Tree Protocol) 공격과 같은 레이어 2 공격을 방지할 수 있는 기능이 최근 Cisco Catalyst? 스위치에 추가되었다. 하지만 IEEE 802.1X 인증을 사용할 수도 있는데, 이는 호스트와 사용자들에게 가상사설망(VPN) 할당 이전 네트워크 포트(무선 장비의 경우 액세스 포인트)에 대한 인증이 필요하다. 이를 통해 포트가 트래픽을 네트워크의 나머지 부분에 포워딩할 수 있다.


시스템에 백도어가 설치되어 있는지의 여부를 확인할 수 있는 방안에 대해 소개해달라.
백도어가 시스템에 설치되어 있는지의 여부를 확인해주는 소프트웨어 패키지가 많이 출시되어 있다. 확인을 위한 간단한 방법은 포트 스캐너를 사용해 시스템을 스캐닝하고 불필요하게 열려있는 포트를 찾아내는 것이다. 이러한 방법은 시스템에 정상적으로 개방되어 있어야 하는 포트가 무엇인지 확실히 알고 있을 때에만 가능하다. 또 다른 소프트웨어로는 Nessus로, 잠재적인 백도어를 규명해준다. 또한 chkrootkit.org에서 chkrootkit 오픈 소스 툴을 사용해 검사할 수도 있다.


네트워크의 주변 기기 라우터를 통해 들어오는 트래픽이 너무 많다면 해당 라우터에 ACL을 설치하면 어떤 효과가 있는가?
트래픽 양이 너무 많아지면 라우터의 CPU 사용도 증가하게 되는데, 이는 라우터의 다운으로 이어지게 된다. 대부분의 경우 입력 배열의 ASIC에서 ACL 코드가 운영되기 때문에 그러한 다운 현상은 발생하지 않는다. 속도가 느리다고 생각되면 트래픽 속도 제한을 위해 인터넷 서비스 사업자들로부터 NBAR을 적용해야 한다.


공격 완화 방법론에서, 웜을 밝혀내는 것이 감염 확산보다 중요한가?
가능한 한 신속하게 감염 확산을 방지하는 것이 중요하다. 웜에 대한 규명은 그 다음 단계이다. 네트워크의 감염 확산을 막고 난 다음에 진행되어야 한다.


Cisco 4000과 2500, 1600 시리즈 라우터를 비롯해 Cisco IOS 소프트웨어 릴리즈 11.3과 12.1를 사용하고 있다. 웜을 차단하기 이러한 라우터에 내장된 기능을 사용할 수 있는가?
사용 가능하다. 기본적인 액세스 목록과 속도 제한을 이용하는 것이 최상이다. 당신이 사용하고 있는 Cisco IOS Software 릴리즈가 속도 제한 기능을 지원하지 않는다면 서비스 사업자에게 연락해 트래픽을 제한하도록 요청해보라. 라우터 기반의 대응 방안을 적용하고 싶다면, cisco.com/packet/161_4a3과 cisco. com/packet/161_4a4를 참고하기 바란다.


코어 라우터뿐만 아니라 에지 라우터에도 ACL을 설치하는 것이 어떤가?
에지 라우터에도 ACL을 설치하는 것이 좋다. 일반적으로 ACL은 트래픽 소스에 가까이 배치되어야 한다. 코어 라우터는 가능한 한 신속하게 트래픽을 라우팅할 수 있도록 구성되어야 하며, ACL이 이를 중개할 수 있다.


블래스터 유형의 웜을 차단하는데 QoS가 사용될 수 있는지 말해달라.
QoS도 가능하지만 악성 트래픽의 더욱 빠른 인지와 CPU에 대한 악영향을 낮추려면 NBAR과 속도 제한이 더 좋다.


모든 Cisco Security Agent 기능을 사용하기 위해서는 CiscoWorks VMS(VPN/Security Mana- gement Solution)을 구매해야 하는가?
Cisco Security Agent는 중앙에서 관리되는 제품이며 스탠드 얼론 형태가 아니다. 제어하고자 하는 관리 콘솔은 CiscoWorks VMS를 통해 가능하다.


VPN 터널링이 하드웨어 방화벽을 우회할 수 있다는 것이 사실인가? 그렇다면 인터넷으로부터 보호될 수는 있지만 기업 내부에서 터널을 통해 누군가 침입, 감염시킬 수도 있지 않을까?
그렇다. Cisco Security Agent는 'AYT(Are You There)'를 통해 Cisco VPN 클라이언트와 공조하고 있다. Cisco Security Agent가 원격지 시스템에 존재하지 않는다면 터널을 구현하지 못하도록 VPN을 구성할 수 있다. Cisco Security Agent는 원격지 시스템을 보호하게 된다.


웜과 바이러스의 차이점은 무엇인가? 어떤 것이 더 치명적인 피해를 입히는지 설명해달라.
바이러스는 다른 문서나 프로그램에 부착된 코드로, 문서나 프로그램이 열리거나 실행될 경우 활동한다. 웜은 일반적으로 자기 스스로 오염된 프로그램으로, 자체적으로 다른 시스템을 감염시킨 다음, 스스로 복제한 뒤 또 다른 시스템을 감염시킬 수 있다. 생태학적 특징으로 인해, 바이러스는 한 시스템에서 다른 시스템으로 이동할 때 '운동 에너지'가 필요하다. 어떤 것이 치명적인지는 활동 양상에 따라 다르다. 어떤 바이러스는 활성화될 경우 하드 드라이브를 지워버리도록 만들어졌다. 대개의 경우 웜은 시스템에 심각한 피해를 입히지는 않는데, 웜이 다른 시스템을 계속해서 감염시키기 위해서는 시스템을 플랫폼으로 사용해야 하기 때문이다. 하지만 SQL 슬래머의 경우, 웜의 감영 속도가 너무나 빨라서 접속 혼잡 문제가 발생했다.


ISP들이 포트를 차단하는 것이 효과적이지 않는 것 같다. ISP들은 웜 공격을 어떻게 대응할 수 있는가?
소스 어드레스를 토대로 한 blackholing을 허용하는 BGP(Border Gateway Protocol)-triggered uRPF blackholing을 포함한 blackholing이나 null-routing은 대규모 ISP 네트워크로 확장되는 기술이다. Cisco ISP Essentials는 이 분야에서 탁월한 리소스라 할 수 있다. 관련 서적이나 ISP 리소스에 대한 상세 정보를 원할 경우, ispbook.com을 방문하기 바란다.


비트 패턴으로 웜을 밝혀낼 수 있는 방법이 있는가?
물론이다. 모든 웜은 시스템의 특정 취약점을 공략한다. 침입 탐지 시스템(IDS) 서명에 대응하는 바이트 패턴을 보면 웜을 규명할 수 있으며 모니터링 콘솔에 경보를 올릴 수도 있다.


시스코가 제공하는 최신 보안 정보를 얻을 수 있는 방법을 말해달라.
Cisco PSIRT(Product Security Incident Response Team)은 시스코 제품에 적용할 수 있는 네트워크 보안 문제와 교정 방법과 관련된 최근 정보를 제공하고 있다. 상세 정보는 cisco.com/packet/161_4a5에서 제공된다.


이러한 웜 자체가 컴퓨터로 인터넷에 대한 접속을 시도해 안티바이러스 업데이트를 다운로드하지 못하도록 할 수도 있나?
당연히 다른 기기를 감염시킬 경우 컴퓨터가 네트워크에 연결하도록 할 수 있다. Blaster 웜이 바이러스를 다운로드하지 못하도록 막는 것을 본적은 없지만 변종의 경우가 많아 가능할 수도 있다. 이러한 문제에서 가장 좋은 대응 방법은 nsblast.exe를 삭제한 다음 레지스트리에서 msblast와 관련된 레퍼런스를 모두 삭제하는 것이다.


분산 서비스 거부(DoS) 공격과 SYN 패킷을 구별하는 방법과 브라우저에서 유효한 SYN, 기타 TCP 애플리케이션 구분 방법에 대해 말해달라.
Arbor Networks Peakflow 제품과 같은 자동 탐지 시스템과 결합해 Cisco IDS나 Cisco Netflow를 사용할 경우 SYN 트래픽을 포함한 많은 유형의 DoS 공격을 탐지할 수 있다.


Cisco에 문의하세요



Packet 지난 호 보기