핵미세미나(H@CK ME) 강연 요지

정보화의 역기능으로 떠오르고 있는 악의적인 해킹에 대한 인식과 효율적인 대응·관리 방안을 제시하기 위해 트루시큐어코리아(대표 김희수)가 주최하고 전자신문사, 한국침해사고대응협의회(CONCERT·의장 정태명)가 공동 주관한 「핵미(H@CK Me)세미나」가 6일 서울 역삼동 르네상스호텔 3층에서 열렸다. 경찰청 사이버테러대응센터(단장 하옥현)가 후원한 이번 행사에는 트루시큐어의 아시아랩 부사장인 필립드와의 강연과 함께 해커로부터 컴퓨터 네트워크를 방어하기 위한 각종 방법 및 기술강의, 시연이 펼쳐졌다.

최신 해킹이 실제 어떻게 이루어지는지 강연을 정리해본다.

<정보수집>

대부분의 해커들은 전통적인 방법으로 정보를 수집한다. DNS(Domain Name System)의 기능 중 하나인 존트랜스퍼를 통해 호스트의 IP주소와 도메인이름정보를 수집하고 포트 스캐닝과 호스트에서 보내는 배너 메시지를 통해 호스트의 서비스 정보와 SW버전을 알아낸다. 해커들은 이같은 정보를 바탕으로 이미 알려진 보안 취약점을 이용한 해킹을 시도하게 된다. 해커들은 이런 정보들을 바탕으로 공격대상과 취약점을 분석한다.

<시스템 침입 방법>

대부분의 웹서버SW는 자체적인 다양한 오류를 가지고 있다. 개발자들이 오류를 알고 있더라도 패치가 나오고 사용자가 그 패치를 적용하기까지는 시간이 많이 소요된다. 패치가 나와 있어도 사용자들이 패치를 하지 않는 경우가 많아 해킹에 이용될 가능성이 크다. 해커가 시스템 침입을 위해 많이 이용하는 것으로는 버퍼 오버플로를 이용한 방법이나 DNS포트를 이용한 방화벽 통과방법을 들 수 있다. 이밖에 지난해 야후나 아마존 사이트를 다운시킨 서비스거부(DoS) 공격방법도 툴만 있으면 누구나 쉽게 사이버 테러를 가할 수 있다.

<권한 확보와 흔적 삭제>

해커는 시스템 침입 후 운용체계(OS)의 취약점 등을 이용해 루트권한을 갈취하게 되고 해킹 은폐를 위해 접속흔적도 삭제한다. 일단 웹서버의 루트권한을 확보한 후에는 스니핑(데이터 패킷 엿보기)을 통해 ID와 패스워드를 확보하고 사내 네트워크까지 침입하게 된다. 전자상거래 사이트의 경우도 브루트 포스 등 다양한 크래킹기법을 이용해 ID와 패스워드를 알아내 사내 네트워크에 침입한다. 해커는 또 다음번 침입을 쉽게 하기 위해 별도의 백도어를 만들어 두는 경우도 있다

<해커가 시스템 내부에서 하는 일>

일반적으로 해커들은 타인의 호스트나 네트워크 내부에 침입한 후 DB, 시스템, 메일, 사업상 중요한 파일 등에 관심을 보인다. 또 더 많은 시스템에 침입할 수 있도록 다른 시스템의 파일시스템을 스캐닝하거나 ID·패스워드 크래킹하기, 네트워크 구조 정보수집, DB 변경 등을 한다.

<해킹 방어 기술>

대표적인 방어장치로는 침입차단시스템(방화벽)이 있다. 방화벽은 필요한 데이터는 지정된 곳으로 통과시키고 불필요하거나 악성 데이터는 차단시키는 역할을 한다. 또 하나의 중요한 방어장치로는 침입탐지시스템(IDS)이 있다. 앤티바이러스 프로그램도 넓은 의미의 IDS라 할 수 있다. 이와 함께 해커들의 침입을 유도해 해커의 해킹기법을 파악하고 추적할 수 있는 허니팟용 호스트 등이 해킹방어시스템으로 사용된다. 또 바이러스 스캐너는 트로이목마 등 악성코드를 찾아내는 데 이용되고 인티그리티 체커는 바이러스에 의해 변형되거나 불법적으로 데이터를 변형시키는 것을 발견하는 데 사용된다.

<네트워크가 공격을 당할 때 경고 발생시키기>

부적절한 데이터 출입검사나 부적절한 사용권한 인가를 시도할 때, 부적절하면서 연속적인 데이터 입력시 IDS는 해킹경고를 발생시켜야 한다. 하지만 IDS를 사용할 때 주의해야 할 점은 IDS는 단순히 미리 설정된 룰에 따라 경고를 발생시키는 장치라는 점이다. 다시말해 설정된 룰이 적절치 않거나 사용자가 경고메시지에 대한 분석능력이 없으면 IDS는 소용이 없다는 것이다. 따라서 IDS장치 설치 후 IDS를 운영 관리하는 담당자의 역할이 매우 중요하다고 할 수 있다.

<침입자 감지>

네트워크에 침입한 해커는 다음번 침입을 쉽게 하기 위해 몇 가지 조치를 취한다. 일반적으로 쉽게 루트권한을 확보하기 위해 루트키트 프로그램을 설치하거나 백도어를 설치한다. 이같은 설치 프로그램은 기존의 시스템관련 파일 내용을 변형시키거나 새로운 파일을 생성시키는데 대부분 인티그리티 체커를 이용하면 변경된 내용을 쉽게 알 수 있고 변경된 내용을 통해 해킹시도 여부를 판단할 수 있다.

또 해커들은 침입흔적을 없애기 위해 로그파일을 삭제하거나 변형시키는데 이러한 행위가 감지되면 알람기능을 해주는 프로그램도 있다.

<철저한 경계를 통한 시스템 보안>

시스템 보안을 위해서는 리스크 평가를 통해 어느 분야를 먼저 보완해야 하는지 우선순위 리스트를 작성하고 그 리스트에 따라 보안정책을 수립·이행해야 한다.

네트워크 보안을 위해서는 적절한 보안기술을 가진 사람과 실질적이고 효과적인 정책, 적절한 수준의 보안시설이 필요하다. 이같은 요건이 갖춰지면 인터넷 리소스, 방화벽 익스터널 프루브, NT/유닉스 보안 감사, 서비스 거부, 애플리케이션 보안 감사 등을 확인하고 테스트해야 한다.

보안문제는 일회성 조치로 해결될 수 없기 때문에 전문가에 의한 지속적인 관리와 운영이 필요하다.<주문정기자 mjjoo@etnews.co.kr>