TECHNICALLY SPEAKING 17호

웜의 피해를 줄이는 방법
By Ido Dubrawsky

최근 웜(worm)은 기업 및 공중 네트워크에 침입하는 사례가 급증하고 있다. 웜은 액티브 메모리에 상주하는 자가 복제(self-replicating) 바이러스이다.

최근 심각한 피해를 입히고 있는 W32. Blaster는 마이크로소프트의 원격 프로시져 호출(Remote Procedure Call; RPC) DCOM (Distributed Component Procedure Model) 인터페이스의 취약성을 이용한 웜이다.

윈도 RPC는 특정 환경에서는 메시지 입력을 적절히 검사하지 않아 '영리한' 공격자들로 하여금 임의적인 코드 실행을 허용하게 한다. 그런 다음, 공격자들은 프로그램을 설치하고 데이터를 변경 및 삭제해 시스템의 접속 권한을 얻게 된다.
인터넷으로부터 이러한 취약성을 방지하는 가장 효과적인 것은 TCP/UDP 포트 135와 139 및 포트 445에 대한 액세스를 차단하기 위한 액세스 컨트롤 리스트 (ACL)나 유입/유출 필터를 사용하는 것이다. DCOM은 이러한 포트를 통해 도달할 수 있으며 일반적으로 인터넷으로 직접 접근이 가능하도록 하기 위해서는 이러한 포트가 사용될 필요가 없다.

새로운 공격으로부터의 보호


시스코는 웜의 피해를 완화하기 위해서 다음과 같은 방안을 최적의 실행 방법으로 권고하고 있다:

1) 호스트 운영 체계 (OS) 벤더로부터 소프트웨어 패치를 다운받아라. 일반적으로 웜을 만드는 사람들은 OS의 취약성을 찾는 경우가 많기 때문에 이와 관련된 실행 방법과 공격 지침을 만들게 된다. OS 제조 업체들은 소프트웨어 패치로 결함을 교정할 수 있다. 패치를 정기적으로 업데이트 함으로써 웜으로부터의 공격을 차단할 수 있음을 명심해야 한다.

2) 불필요한 OS와 네트워크 서비스 차단. 이 단계에서는 호스트와 네트워크 시스템에 대한 수많은 잠재적 액세스 방법을 줄여준다. 예를 들어, 귀사가 한 서버를 구매하고 설치할 경우, 결함과 취약성을 갖고 있는 일부 서비스가 디폴트로 설정되어 있게 된다. 이러한 취약성을 외부에서 이용하기 전에 서비스를 차단해야 한다.

3) 호스트 침입 차단 시스템 (IPS) 설치. 호스트 IPS는 패치가 만들어지기 전에 소프트웨어의 취약성이 발견될 경우나 벤더가 패치를 발행하고 테스트하고 당신이 설치하기 전에 소프트웨어의 취약성이 발견될 경우에 시스템을 보호해준다.

Cisco Security Agent는 마이크로소프트 윈도와 썬 솔라리스에서 구동하는 호스트 IPS로, 모든 OS와 파일 시스템, 구성, 레지스트리, 악의적 행위를 차단하라는 네트워크 요청을 모두 수렴할 수 있다. 이 시스템은 OS 서비스 요청을 가로 채어, 기업의 정책과 비교해볼 수 있도록 OS에 '쐐기(shim)'를 삽입한다. 이러한 쐐기는 서비스에 대한 OS의 요청을 받아들일 수 있는지, 그 요청을 거부할 지 판단하는데 중요한 역할을 제공한다.

Cisco Security Agent는 또한 호스트에 유입되는 트래픽을 모니터링하는 역할도 담당할 수 있다. 네트워크에 삽입된 쐐기가 포트 스캔을 발견하게 되면 그러한 스캔에 대한 응답을 거부하게 된다.

4) 네트워크 트래픽 필터링. ACL과 stateful 방화벽, 네트워크 침입 탐지 시스템 (NIDS)을 사용하면 자신이 유효하다고 여기는 트래픽만이 네트워크에 들어오고 나갈 수 있게 제어할 수 있다. W32.Blaster의 경우, 내부 호스트는 포트 135 이상은 스캐닝할 수 없으며 방화벽이 그러한 스캔을 차단하도록 구성되어야 한다. 게다가, W32.Blaster는 TFTP(Trivial File Transfer Protocol)을 사용해 새로운 호스트에 대해 공격 시스템으로부터 복제해 전송하게

시스코 IDS는 Cisco PIX(r) 방화벽과 라우터 기반의 ACL과 연동해 특정 비트 서명을 차단하거나 대응하도록 구성된 전체 보안 시스템 역할을 하도록 구성될 수 있다.

호스트 소스에서 가장 가까운 데에서 필터링하는 것이 최상이다. NIDS인 시스코 IDS의 경우 LAN과 WAN 또는 무선랜이 만나는 곳이나 분배 (와이어링 클로짓)와 코어 (백본) 네트워크 계층 사이의 네트워크 경계에 위치할 수 있다. LAN 기반의 NIDS는 내부에서 발생하는 공격을 차단할 수 있다. 호스트 IPS가 대안이 아닐 경우는 OS가 이를 위한 에이전트를 이용할 수 없기 때문이며, NIDS는 분배 및 코어 계층 사이의 어플라이언스나 백본에 있는 Cisco Catalyst(r) 6500 시리즈 스위치의 모듈로 도입되어야 한다.

필터링하는 위치

시스코 IDS는 Cisco PIX(r) 방화벽과 라우터 기반의 ACL과 연동해 특정 비트 서명을 차단하거나 대응하도록 구성된 전체 보안 시스템 역할을 하도록 구성될 수 있다.

IDO DUBRAWSKY는 시스코의 VPN 및 보안 사업부 기술 마케팅 엔지니어이며 정보 시스템 보안 전문가 인증을 받았다. 시스템과 네트워크 보안 부문에 대해 수십 건의 기고문을 발표했으며 Cisco SAFE 구현 시험 인증 가이드의 공동 저자이기도 하다. 그의 이메일 주소는 idubraws@cisco.com 이다.

맨위로

Cisco에 문의하세요



Packet 지난 호 보기