Security. unlimited possibilities

[what's running]은 PC보안관리 도구로, 제공하는 기능은 아래와 같다.

□ 동작중인 프로세스들의 정보

□ 동작중인 서비스들의 정보

□ 동작중인 모듈들의 정보

□ IP연결 상태정보

□ 설치된 드라이버 정보

□ 시스템 시작시, 동작되는 프로그램 정보

□ 시스템 정보

그리고, 위 기능과 함께 [스냅샷] 기능이 포함되어 있는데,

[스냅샷] 기능은, 이 전에 찍은 스냅샷과 현시점에서의 시스템정보를 비교할 수 있도록 지원한다. 즉, 이 기능을 잘 이용하면 과거의 어느 시점과 현시점의 시스템상태 비교가 되기 때문에 침해사고 및 바이러스 감염이 발생된 후에 원인추적및 재현에 큰 도움이 될 수 있을 것이다.

[what's running] 인터페이스

최신 버전: 3.0 (beta)

다운로드 위치: http://www.whatsrunning.net/whatsrunning/Download.aspx

위험평가 시 다차원적으로 접근해야 효과 및 정확성 향상 가능
위험평가 방법 가운데 평판 위험에 대한 가중치 이해해야

SANS연구소는 글로벌 보안연구 및 교육기관으로 연구활동과 함께 다양한 교육 프로그램을 마련해 전 세계적으로 활동하고 있다. 이에 본지에서는 최근 사이버 공격에 대한 이해도를 높이고, 글로벌 보안위협 추세와 대응방안을 살펴보기 위해 SANS코리아의 협조로 SANS연구소의 유명 보안전문가들의 기고를 3회에 걸쳐 연재한다. [편집자 주]

연재순서-----------------------------------------

1. 시뮬레이션 환경에서 APT 공격결과 분석 - 롭 리

2. 침투시험 가치 극대화하기 - 브라이스 갤브레이스

3. 정량적 및 정성적 위험평가 방법 - 스테판 심스

------------------------------------------------

[보안뉴스=스테판 심스 SANS연구소] 위험평가 및 위험관리 분야는 운영, 감사, 컴플라이언스, 예산 등 사업적인 측면에서 다양하게 사용됨에 따라 점점 더 복잡해지고 있다. 그래서 보안전문가들이 조직내 많은 사업 부서에 위험평가를 하기 위해 필요한 모든 요소들을 정하고 논리적 근거를 찾고 있다.

조직에서는 합리적인 데이터 중심의 결과를 요구하고 있다. 보안전문가들이 최신 제로데이(Zero-Day) 공격에만 집중하고, 연구실에서만 머물러 있는 시대는 지나갔다. 보안전문가들도 이제는 바깥 세상에 노출되었으며, 고객, 직원 및 핵심데이터를 보호하기 위해 더 큰 책임을 감수해야 한다.

DNS(Domain Name Server)를 사용하는 이유는 사람들은 숫자로 되어 있는 IP 주소 대신 이름으로 된 인터넷 사이트를 접근하는 것을 선호하기 때문이라는 것을 알 수 있다. 예를 들어 64.4.32.7보다 www.hotmail.com을 기억하는 것이 훨씬 쉽다. 위험평가 분야에서 사업부서는 이름보다 숫자를 더 선호한다는 점이다.

단순한 숫자가 아니라 반복적이고, 내부적으로 일관성이 있는 숫자를 선호한다. 하지만 정보보호에서는 숫자에만 기반하여 최종 위험평가를 하면 분석결과가 좋지 않게 된다. 다양한 요소를 복합하여 위험평가를 하면 조직의 위협수준을 훨씬 더 정확하게 이해할 수 있다. 그래서 다차원적인 위험평가 관점을 가지면 관련된 위험을 평가할 때 복잡도 수준을 만들 수 있다. 이에 여기에서는 정량적 및 정성적 측정방법 개념을 소개할 예정이다.

정량적 위험평가

정량적 위험평가는 특정 위험에 대해서 금액으로 표시하고자 할 때 중요한 요소가 된다. 예를 들어 병원에서 하나의 데이터베이스에 1,000개의 환자 개인정보 레코드가 있다고 하자. 웹 서버는 이 데이터베이스에 직접 접속하고, 웹 서버는 DMZ 환경 또는 반쯤 신뢰할 수 있는 곳에 있다. 웹 서버가 데이터베이스와 통신하는 과정에서 해킹되어 1,000개의 환자 데이터가 노출될 수 있다.

사업영향 분석(BIA)를 통해 레코드 하나를 대체하는 비용이 3만원이라는 것을 알고 있다. 3만원이라는 비용에는 환자에게 사고사실을 알리는 것과 환자계정을 변경하고, 새로운 환자 카드를 발급하는 비용이 포함되어 있다. 그래서 모든 데이터가 해킹된다면 시스템의 최대 정량적 손실은 3천만 원이다. 이 정도면 크게 나쁘지 않는 결과다.

하지만 이것보다 고려해야 할 것이 더 많다. 정량적 위험이 항상 돈으로 표현이 되어야 하는 것일까? 답은 아니다. 20개 핵심 통제사항(www.sans.org/critical-security-controls)을 살펴보면, 15개의 통제사항은 완전히 자동화될 수 있다는 점을 명심해야 한다. 사업부서 관리자를 위한 대쉬보드 또는 보고서로 생성·사용될 수 있는 내부적으로 일관성 있고 반복 가능한 숫자가 만들어질 수 있다.

정성적 위험평가

정성적 위험평가는 다양한 형식으로 문제가 되고 있다. 위의 예를 이용해서 추가적인 요소 및 위협 벡터에 대해서 소개한다. 1,000개의 레코드가 가지고 있는 데이터베이스가 1만개에서 5만개 레코드 수준으로 증가한다고 하자. 조직에서 여러 개의 그룹들이 매일 접근하고 수정하고 있으며, 운영 그룹에서 이 시스템을 통제하고 있다는 사실을 알게 된다.

어떤 부서에서 데이터 몇 개를 변경했으며, 복잡도가 크게 증가했다. 그런데 갑자기 누군가 사무실에 들어오는 것을 알아차렸다. 알고 보니 감사자이다. 관련 자료를 숨기려고 하는데, 감사자들이 들어와서는 데이터베이스에 있는 데이터가 저장 및 전송 시 암호화되지 않고 있다고 알려준다. 감사자는 또한 회사에 시스템이 개인정보보호 등 관련 법률을 준수하지 않았으므로 관련 문제점을 문서화하고 해결하라고 지시한 후, 90일이라는 시간을 주고 떠난다. 이제 우리는 최종 위험평가 방정식에 추가적인 위험평가 요소를 포함해야 한다.

여기서 우리는 시스템 또는 응용과정에서 존재하는 고유 취약점에 대해서 이해해야 한다. 시간을 줄이기 위해 데이터베이스와 연결된 웹 응용 인터페이스에 대해서 코드 분석을 수행했다. 코드 분석 결과, 웹 인터페이스가 SQL 인젝션으로 알려진 공격에 취약하다는 사실을 발견했다. 이 방법을 이용하면 악의적인 사용자는 SQL 구문에 데이터를 추가하여 허가되지 않은 데이터 또는 시스템에 접근할 수 있다. 만약에 웹 응용과정에서 사용자 입력 값을 필터링하지 않는다면 이러한 공격에 취약하게 된다.

시스템에 존재하는 취약점을 찾았기 때문에 해킹 당했을 때 발생할 수 있는 비용뿐만 아니라 실행 난이도 및 다른 요소들로 구성된 취약점 발견 가능성도 알아야 한다. 먼저 해킹되었을 때 발생할 수 있는 비용부터 계산해보자. 데이터베이스에 50만개의 레코드가 있기 때문에, 최악의 시나리오를 가정해 보자.

50만개×3만원(레코드당) = 150억원이다. 이 값은 위험과 관련된 정량적 값이다. 이러한 방식은 단순한 1차원적인 계산식이다. 1,000억원을 안전한 창고에 저장하고 있다고 해서 범죄자가 훔치지 못한다는 것은 아니다. 다시 이것을 정량적으로 분석해보자. 먼저 취약점에 위험수준을 할당해야 한다. 대부분의 기관에서는 3단계 또는 5단계 위험수준을 가지고 있다. 간단하게 하기 위해서 낮음, 중간, 높음 등 3단계를 이용하자.

정량적 및 정성적 데이터를 어디서 구해야 하는가? 많은 보안전문가들이 침투시험 및 취약점 스캐너에서 관련 정보를 얻는다. 여기서 얻은 정보는 괜찮지만 전부는 아니다. 시스템을 분석하고 관련 정보를 획득하는 데는 외부 관점, 내부 관점, 그리고 사용자 관점 등 3가지 관점이 있다. 외부 관점이란 운영체제 외부인 네트워크에서 수집되는 정보이다. 내부 관점은 운영체제에서 직접 수집되는 정보이다. 여기서는 운영체제에서 동작하는 에이전트가 필요하다. 에이전트는 맥아피 HIPS 제품, Bit 9 또는 시큐니아 PSI 제품들이 있으며, 이 에이전트가 SIEM 또는 콘솔로 정보를 보내준다. 마지막으로 시스템의 사용자 활동과 관련된 정보가 있다. 사용자들이 방문하는 곳, 행위 정보 및 클릭하는 정보들이다.

이 정보를 모두 합쳐보자. 지금까지 분석 환경에서 다음과 같은 것을 알고 있다.

·데이터베이스는 1만개에서 50만개 레코드가 가지고 있다.

·레코드는 한 개당 3만원의 가치가 있다.

·데이터는 저장 및 전송 시 암호화되지 않고 있다.

·다양한 사업부서에서 데이터에 접근하고 변경한다.

·시스템은 운영 그룹에서 관리한다.

·감사팀에서 암호화 문제를 문서화하고, 관련 통제사항을 적용하라고 한다.

마지막으로 전체적인 위험평가 방법을 소개한다. 평판 위험은 사업에 대한 부정적인 결과가 공개되어 투자자 및 고객 또는 매출에 미치는 영향이다. 현재 환경에서는 시스템 또는 네트워크가 해킹되어 고객데이터가 공개되는 것이다. 이 결과로 인한 부정적인 영향은 정량적 위험 평가와 관련된 금전적 손실을 초과할 수 있다. 이 요소는 위험평가 전체 평가 시에 반드시 고려되어야 한다. 회사내 법률 부서에 연락하여 이 문제를 논의할 때 회사의 평판 위험에 대한 가중치를 이해해야 한다.

여기서 전체 위험평가시 사용되는 많은 요소들을 소개했다. SQL 인젝션을 통한 외부자 위협, 이 취약점을 이용한 공격은 시스템 로그나 침입탐지 시스템이 탐지하지 못할 수 있다는 사실과 50만개의 레코드가 해킹되었을 때 발생할 수 있는 평판 위험과 이 공격 벡터가 반복해서 발생할 수 있는 확률 등이 주어졌을 때 정성적 위험은 ‘높음’으로 평가할 수 있다. 정량적 위험평가 값은 150억원이고, 정성적 위험은 ‘높음’이다.

여기서 조직의 고위간부는 도출된 위험평가 결과를 수용할지를 또는 위험평가 결과를 낮출 수 있는 지에 대해서 고민할 수 있다. 여기서 잠시 SANS 보안 기초 과정(SEC 401, www.itlkorea.kr/sans/sec401.php)에서 다루는 단일 손실 기댓값(SLE)을 계산하는 방법에 대해서 알아보자.

먼저 자산의 가치를 파악한다. 이 경우 하나의 레코드 가치는 3만원이다. 그리고 노출요소를 파악한다. 여기서 노출요소는 50만개의 레코드이다. 자산가치와 노출요소를 곱하면 150억원의 값이 나온다. 이 방정식이 SLE 방식이다. 그리고 다시 연간 손실 기댓값(ALE)을 반드시 계산해야 한다. 그래서 1년에 몇 번 발생할 수 있는지를 추측한다. ALE를 계산하기 위해서는 SLE와 연간 발생 비율(ARO)를 곱한다. 여기서 문제점은 데이터베이스 시스템이 새로 구축되어 과거의 경험에 의한 유용한 위협정보가 없다는 것이다. 이러한 공격 발생 가능성을 줄이기 위해 통제사항을 새롭게 구축하는 비용이 전체 해킹으로 발생할 수 있는 전체 금융 손실에 단지 일부분에 불과하다고 한다면 위협을 적절하게 해결할 수 있다.

위험 완화 권고사항을 제출하면, 회사에서는 데이터베이스를 위협하는 트래픽에 경고를 주기 위해 적절한 침입탐지 시그너처를 만드는 데 투자할 것이다. 호스트 기반의 침입예방 시스템(HIPS)이 웹 응용 서버 및 데이터베이스 서버에 설치될 것이다. 그리고 칼럼 데이터 암호와 전송 데이터 암호화를 위해 별도의 프로젝트가 진행될 것이다. 이와 함께 회사에서는 코드 분석에서 발견된 사항을 수정하기 위해 6개월 간을 투자할 것이다.

여기서 고유 위험수준이 ‘높음’에서 ‘중간’으로 낮출 수 있다는 것에 만족할 수 있다. 그리고 침투시험을 통해서 IDS와 HIPS가 정상적으로 동작하고 공격을 차단할 수 있는지 확인해야 한다. 코드 상에서 발견된 취약점이 수정된다면 좀 더 자신감을 가질 수 있으며, 잔류 위험 수준은 ‘낮음’으로 변경될 수 있다.

위험평가에서 가장 흥미로운 점은 우리가 직면하는 각각의 환경에서 위험수준을 결정하기 위해 각 조직에 맞는 기준이 필요하다는 것이다. 위의 예를 통해서 저장 또는 전송 시 암호화하지 않는 것과 관련된 내부 위험 벡터도 고려되어야 한다. 취약성을 평가하기 위해 필요한 여러 가지 요소들을 교육하면 효율성과 일관성이 확실히 높아지게 된다. 위험평가 시 여기에서 언급된 영역을 포함하여 다차원적으로 접근하면, 위험평가 효과와 정확성을 확실히 높일 수 있다.

필자는---------------------------------------------------------

스테판 심스(Stephen Sims), SANS 공인강사

스테판 심스는 정보기술 및 정보보호 분야에 15년 이상의 전문가 경력을 가지고 있다. 스테판은 현재 샌프란시스코에 있는 웰즈 파고에서 보안 아키텍트로 근무하고 있다. 스테판은 공격기법 개발과 리버스 엔지니어링 분야에서 수년간 일을 했다. 스테판은 노르위치 대학에서 정보보증 석사학위를 가지고 있으며, SANS 연구소에서 교육 교재 개발 및 공인강사로 활동하고 있다.

스테판은 SANS의 700 수준의 SEC710 : 고급 공격기법 개발과정 개발자로, 이 과정은 힙 오버플로우, 패치 디핑 및 클라이언트 측 공격에 관한 교육과정이다. 또한, 스테판은 SEC 660 : 고급 침투 시험, 공격기법 및 윤리적 해킹의 선임 코스 개발자이기도 하다. 스테판은 GIAC 보안 전문가 자격증(GSE)과 CISSP, CISA 및 Immunity NOP 및 다수의 자격증을 보유하고 있으며, 오는 11월 개최되는 ‘SANS Korea 2012(www.itlkorea.kr/sans/sanskorea2012.php)’에서 SEC 401 : 보안 기초 과정(www.itlkorea.kr/sans/sec401.php)을 강의할 예정이다.

------------------------------------------------------------------

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

<책소개>

악성코드 분석가의 비법서』는 악성코드 분석에 필요한 여러 비법을 소개한 책이다. 악성코드 분석 환경 구축에서 다양한 자동화 분석 도구를 이용한 분석 방법까지 차근차근 설명한다. 또한 디버깅과 포렌식 기법까지 상당히 넓은 영역을 난이도 있게 다루어 악성코드 분석 전문가도 활용할 수 있도록 하였다.

<이 책에서 다루는 내용>

■ 신분을 노출하지 않고 온라인 조사를 수행하는 법
■ 허니팟을 이용해 봇과 웜이 배포하는 악성코드 수집
■ 의심스러운 내용을 포함한 자바스크립트, PDF, 오피스 문서 분석
■ 가상화 또는 일체형 하드웨어를 이용해 저렴한 악성코드 연구 환경 구성
■ 일반적인 인코딩과 암호 알고리즘을 리버스 엔지니어링
■ 악성코드 분석을 위한 고급 메모리 포렌식 플랫폼 구성
■ 제우스(Zeus), 사일런트뱅커(Silent Banker), 코어플러드(CoreFlood), 콘플리커(Conficker), 바이러트(Virut), 클램피(Clampi), 뱅크패치(Bankpatch), 블랙에너지(BlackEnergy) 등과 같은 널리 퍼진 악성코드 조사

<목차>

1 행동 익명화
___오니온 라우터(토르)
______비법 1-1 | 토르를 이용한 익명 브라우징
___토르를 이용한 악성코드 연구
______비법 1-2 | WGET과 네트워크 클라이언트에 TORSOCKS 이용
______비법 1-3 | 파이썬으로 작성한 멀티플랫폼에서 토르 활성 다운로더
___토르의 단점
___프록시 서버와 프로토콜
______비법 1-4 | 무료 프록시를 통한 트래픽 포워딩
______비법 1-5 | 프록시 연결에 SSH 터널 사용
______비법 1-6 | PRIVOXY로 향상된 프라이버시를 지원하는 웹브라우징
___웹 기반 익명기
______비법 1-7 | ANONYMOUSE.ORG 사이트를 이용한 익명 브라우징
___익명성을 보장받는 대안
___무선 전화 인터넷 연결
______비법 1-8 | 무선 전화 네트워크를 통한 인터넷 접속
___가상 사설망
______비법 1-9 | ANONYMIZER UNIVERSAL을 통한 VPN 사용
___접속 식별과 흔적 남기지 않기

2 허니팟
___NEPENTHES 허니팟
______비법 2-1 | NEPENTHES를 이용한 악성코드 샘플 수집
______비법 2-2 | IRC 로깅을 통한 실시간 공격 감시
______비법 2-3 | 파이썬으로 HTTP를 통한 NEPENTHES 전송 수용
___DIONAEA 허니팟으로 작업
______비법 2-4 | DIONAEA을 통한 악성코드 샘플 수집
______비법 2-5 | 파이썬을 이용한 HTTP 전송
______비법 2-6 | XMPP를 통한 실시간 이벤트 통지와 바이너리 공유
______비법 2-7 | DIONEA로 로깅한 공격 분석과 재현
______비법 2-8 | P0F를 이용한 원격 시스템 수동 식별
______비법 2-9 | SQLITE와 GNUPLOT로 DIONAEA 공격 패턴 그래프 작성

3 악성코드 분류
___CLAMAV를 활용한 분류
______비법 3-1 | 기존 CLAMAV 시그니처 검사
______비법 3-2 | 개별 CLAMAV 데이터베이스 생성
__...(하략)

<책소개>

<목차>

CHAPTER 0 책 내용 및 핵심 포인트
누구를 위한 책인가?
책의 구조
결론

CHAPTER 1 쉘 스크립트 소개
쉘 스크립트
유닉스, 리눅스, OS X 쉘 스크립트
배시 기초
배시로 응용프로그램 만들기
윈도우 스크립트
파워쉘 기초
파워쉘로 응용프로그램 만들기
요약
참고문헌

CHAPTER 2 파이썬 소개
파이썬이란 무엇인가?
파이썬은 어디에 유용한가?
파이썬 기초
파일 처리
네트워크 통신
요약
참고문헌

CHAPTER 3 펄 소개
펄의 용도
펄 사용하기
펄 기초
펄로 응용프로그램 만들기
요약
참고문헌

CHAPTER 4 루비 소개
루비의 용도
루비 기초
루비 클래스
파일 처리
데이터베이스 기초
네트워크
루비로 응용프로그램 만들기
요약
참고문헌

CHAPTER 5 PHP 웹 스크립트 소개
웹 스크립트의 용도
PHP 시작하기
PHP로 폼 만들기
파일 처리 및 명령어 실행
PHP로 응용프로그램 만들기
요약

CHAPTER 6 파워쉘과 윈도우
파워쉘의 실행 정책
침투 테스트에서 파워쉘
파워쉘과 메타스플로잇
요약
참고문헌

CHAPTER 7 스캐너 스크립팅
스캐닝 툴 소개
NETCAT
NMAP
NESSUS/OPENVAS
요약
참고문헌

CHAPTER 8 정보수집
침투 테스트를 위한 정보수집
구글 검색 이용하기
펄을 이용한 웹 자동화
메타데이터 이용하기
응용프로그램 만들기
요약
참고문헌

CHAPTER 9 공격코드와 스크립팅
파이썬으로 공격코드 개발하기
메타스플로잇 공격코드 개발
PHP 스크립트 공격하기
크로스 사이트 스크립팅(XSS)
요약

CHAPTER 10 권한획득 이후의 공격 스크립트
권한획득 이후의 공격이 중요한 이유
윈도우 쉘 명령어
네트워크 정보 수집
메타스플로잇 미터프리터 스크립트
권한획득 ...(하략)

해킹사고의 재구성: 사이버 침해사고의 사레별 해킹흔적 수집과 분석을 통한 기업 완벽 보안 가이드.

<책소개>

보안관리 실무자를 위한 해킹분석 지침서!

사이버 침해사고의 사레별 해킹흔적 수집과 분석을 통한 기업 완벽 보안 가이드『해킹 사고의 재구성』. 해킹사고 대응을 다년간 수행한 저자 최상용이 개인적인 경험을 토대로, 해킹사고 대응 이론을 실무에 적용하는 방법과 실무적으로 가장 빠른 접근이 가능한 사고분석의 실체를 소개한 책이다. 본문은 해킹사고 대응절차에 대해 이론을 먼저 설명하고, 다양한 시스템에서 남아있는 사고의 흔적을 찾는 방법 그리고 조합하는 방법에 대해 순차적으로 다루었다. 특히 해킹대응의 노하우에 대한 세부적이고 명쾌한 설명과 사이버침해 대응체계를 구축하고자 하는 관리자가 참고할 수 있는 모델 제시한 것이 특징이다. 이를 통해 독자들은 해킹 사고 시 해킹흔적 분석·조합을 통한 해커의 행동 추적기법과, 사이버침해사고 실제사례를 통한 기업을 위한 최적의 대응모델에 대한 지식과 기술을 빠르고 완벽하게 습득하게 될 것이다.

<목차>

1장 보안관제와 해킹사고 분석
___1.1 정의
___1.2 공통점과 차이점
___1.3 보안관제 절차
______1.2.1 보안관제: 이벤트 탐지
______1.2.2 보안관제: 초기 분석
______1.2.3 보안관제: 긴급 대응
______1.2.4 보안관제: 사고 전파
___1.4 해킹사고 분석 절차
______1.4.1 해킹사고 분석: 접수
______1.4.2 해킹사고 분석: 분석
______1.4.3 해킹사고 분석: 피해 복구
______1.4.4 해킹사고 분석: 신고 및 보고
___1.5 정리

2장 해킹의 증거
___2.1 정보 보호 시스템 개요
___2.2 로그
___2.3 해킹사고의 분류와 그 흔적
___2.4 IDS/IPS
______2.4.1 침입 탐지의 방법
______2.4.2 IDS의 구성 형태
______2.4.3 IDS의 로그
___2.5 방화벽
______2.5.1 방화벽의 주요 기능
______2.5.2 방화벽의 구성 형태
______2.5.3 방화벽의 로그
___2.6 안티 DDoS
______2.6.1 안티 DDoS 시스템의 차단 기능
______2.6.2 안티 DDoS 시스템의 로그
___2.7 WAF
______2.7.1 WAF의 종류와 기능
______2.7.2 WAF의 로그
___2.8 웹 접근 로그
______2.8.1 접근 로그
______2.8.2 에러 로그
___2.9 운영체제 로그
______2.9.1 유닉스 계열 로그
______2.9.2 윈도우 시스템 로그
___2.10 그 외의 흔적
______2.10.1 ESM 로그
______2.10.2 DBMS 로그
___2.11 정리

3장 증거와의 소통
___3.1 해킹사고의 증상과 취약점
______3.1.1 위/변조 사고
______3.1.2 정보 유출 사고
______3.1.3 DDoS 공격
___3.2 증거 추적
______3.2.1 변조(삭제, 추가)
______3.2.2 시스템 변조
______3.2.3 접속 시 특정 프로그램 설치 유도
______3.2.4 클릭 후 이상동작
______3.2.5 정보 유출 신고 접수
______3.2.6 서비스가 안 되거나 느리고 시스템 부하가 가중됨
___3.3 증거를 보는 눈 그리고 증거를 조합한 사고의 재구성
______3.3.1 피해 시스템 식별
______3.3.2 피해 증상 파악
______3.3.3 피해 시스템 환경 확인
______3.3.4 증거 수집
______3.3.5 증거 추출과 해커 식별
______3.3.6 해커의 행위 추론과 보고서 작성
___3.4 정리

4장 웹 해킹사고 분석 사례
___4.1 홈페이지 변조를 통한 악성코드 유포 시도
______4.1.1 확인과 증상
______4.1.2 환경 분석과 로그 수집
______4.1.3 해킹사고 분석
______4.1.4 해킹사고 분석 보고서
___4.2 애플리케이션 환경 설정 실수로 인한 웹셸 업로드
______4.2.1 확인과 증상
______4.2.2 환경 분석과 로그 수집
______4.2.3 해킹사고 분석
______4.2.4 해킹사고 분석 보고서
___4.3 DDoS
______4.3.1 확인과 증상
______4.3.2 환경 분석과 로그 수집
______4.3.3 해킹사고 분석
___4.4 SQL 인젝션
______4.4.1 확인과 증상
______4.4.2 환경 분석과 로그 수집
______4.4.3 해킹사고 분석
______4.4.4 해킹사고 분석 보고서
___4.5 정리

5장 사이버 침해 대응 모델
___5.1 이론과 실제의 차이
______5.1.1 보안 시스템이 모든 해킹을 탐지하고 차단할 것이다
______5.1.2 모든 시스템은 이상적인 최적의 상태로 운영할 것이다
___5.2 사이버 침해 대응 모델
______5.2.1 현재 사이버 침해 대응 시스템 구성
______5.2.2 현재 사이버 침해 대응 시스템의 한계
______5.2.3 사이버 침해 대응 모델
___5.3 정리

[bing-ip2hosts]는 Microsoft 소유의 검색엔진 <Bing.com>의 특정 IP주소에서 호스팅되는 웹사이트를 검색하는 독특한 기능을 이용한 웹스캔도구이다.

이 도구는 대상에 대한 침투 테스트 및 정보수집에 사용될 수 있으며, Linux 배쉬 스크립트로 작성되었다.

[다운로드]

Current Version http://www.morningstarsecurity.com/downloads/bing-ip2hosts-0.3.tar.gz

[Usage]

$ ./bing-ip2hosts
bing-ip2hosts (0.3) by Andrew Horton aka urbanadventurer

[Example Output]

<WhatWeb>

[WhatWeb]은 대상 웹사이트가 어떤 것인지 식별할 수 있게 도와주는 웹스캔 도구이다. 웹 콘텐츠 관리 시스템(CMS), 블로그 플랫폼, 통계/분석 패키지, 자바 스크립트 라이브러러리, 웹 서버 및 임베디드 장치를 인지할 수 있으며, 이를 위한 플러그인이 약 900여개 포함되어 있다.

또한, [WhatWeb]은 version numbers, email addresses, account IDs, web framework modules, SQL errors 등 까지도 확인이 가능하다.

[hatWeb 다운로드]

whatweb-0.4.7.tar.gz

[WhaWeb의 특징]

□ Over 900 plugins
□ Control the trade off between speed/stealth and reliability
□ Plugins include example URLs
□ Performance tuning. Control how many websites to scan concurrently.
□ Multiple log formats: Brief (greppable), Verbose (human readable), XML, JSON, MagicTree, RubyObject, MongoDB.
□ Recursive web spidering
□ Proxy support including TOR
□ Custom HTTP headers
□ Basic HTTP authentication
□ Control over webpage redirection
□ Nmap-style IP ranges
□ Fuzzy matching
□ Result certainty awareness
□ Custom plugins defined on the command line

[Usage]

[Example Output]

[wiki 페이지]

https://github.com/urbanadventurer/WhatWeb/wiki

이베이코리아 구축사례...물리적·논리적 망분리, SOC·VPN 활용

[보안뉴스 호애진] 8월 18일 개정 정보통신망법이 시행되면서 망분리 조치가 의무 적용됐다. 적용 사업자는 전년도 말 기준 직전 3개월간 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상인 정보통신서비스 제공자 등으로 법 시행 후 6개월간의 계도기간을 거쳐 내년 2월 18일까지 이를 완료해야 한다.

이에 망분리를 구축하고자 하는 사업자들을 위해 이베이코리아는 자사의 성공적인 망분리 구축사례를 소개하고, 물리적 망분리를 비롯한 논리적 망분리, SOC 활용 등을 비교·분석하는 한편, 구축 시 고려사항 등을 설명했다.

박의원 이베이코리아 팀장은 “망분리는 APT 공격으로 인한 피해를 예방하기 위한 최후의 수단으로 선택했다”면서 “권한이 있는 직원 PC가 해킹돼 시스템 파괴 또는 데이터 삭제 시 사업 자체가 심각한 위협에 노출될 수 있고, DB 조회 권한이 있는 직원 PC를 해킹해 개인정보가 대량 유출되는 경우 역시 문제가 크다”고 구축배경을 밝혔다.

이에 이베이코리아는 9개월간의 기간을 거쳐 업무 중요도에 따라 물리적 망분리, 논리적 망분리, SOC 또는 VPN을 활용해 구축했다. 물리적 망분리를 적용한 경우, 임직원에게 인터넷이 불가능한 망분리 PC를 추가로 지급했으며, 인터넷이 가능한 업무용 PC에서는 운영 시스템(DB, Server 등) 접속을 차단했고, 망분리 PC에서만 운영 시스템에 접속할 수 있도록 했다. 이를 위해 별도의 망분리 네트워크도 구축했다.

논리적 망분리의 경우, 가상화 솔루션을 이용한 망분리 방법으로 다양한 방법이 존재한다. 크게 서버 가상화를 이용하는 방법과 PC가상화를 이용하는 방법이 있으며, PC가상화도 OS 공유 방식과 OS 별도 구축 방식이 있기 때문에 이를 모두 검토해 적용했다.

또한, 이베이코리아는 SOC(Security Operation Center)를 활용했는데, 이는 인터넷이 불가능한 별도의 공간을 마련하고 해당 공간에서만 운영 시스템에 접속할 수 있도록 환경을 구축하는 것이다. 그밖에 VPN을 활용해 VPN 접속 시 인터넷 연결을 강제로 끊고 VPN만 접속하도록 하고, 인터넷 연결시에는 VPN이 끊어지게 설정하는 방법도 이용했다.

특히, 박의원 팀장은 “망분리의 핵심 중 하나는 커뮤니케이션이다. 대상자들과의 많은 커뮤니케이션을 통해 망분리의 목적과 방안을 충분히 고려하는 것이 가장 중요하다”며, “각 회사에 맞는 망분리 방안을 대상자들과의 협의를 통해 정하는 것이 좋다”고 조언했다.

이어 “네트워크 구성과 방화벽 정책 또한 중요하다. 네트워크의 복잡성으로 인해 구멍은 언제나 생길 수 있고, 이를 충분히 통제할 수 있는 방안을 마련해야 한다”며, “또한 초기 구축비용이 아닌 장기간 운영에 초점을 맞춰야 한다. 운영 시 잦은 문제 발생은 임직원의 신뢰를 약화시킬 뿐만 아니라 강력한 정책은 대부분 6개월 이후부터 약화되기 시작한다는 것을 잊어서는 안된다”고 당부했다.

[호애진 기자(boan5@boannews.com)]