본문 바로가기

서버보안

[ISACA저널-특별기고] 서버 운영체제 접속에 대한 이중 인증 시스템 구축 사례 분석 책장을 정리하다 2015년 ISACA 저널에 기고했던 글이 실린 책을 발견했다. 무언가 글을 써서 어딘가 활자로 인쇄되어 나오는 것이 어떤 느낌인지를 알려주었던 소중한 경험이었다. 당시 올렸던 글의 원문을 이제 3년 넘게 지난 시점에 블로그에 올려 본다.특별기고서버 운영체제 접속에 대한 이중 인증 시스템 구축 사례 분석인증이란?인증이라 함은 다중 사용자 시스템 또는 망운용 시스템에서 접속자의 로그인 정보를 확인하는 보안 절차를 말한다. 그 .. 더보기
SSL인증서 적용하여 HTTPS 구현하기 (그누보드 로그인에 https 적용하기) 웹서버는 기본적으로 HTTP 프로토콜을 사용합니다. 그리고 그누보드와 같은 게시판 소스를 이용하든 직접 개발한 웹 소스의 로그인 폼을 사용하든 로그인페이지에서 입력한 ID와 비밀번호는 스니핑과 같은 기본적인 해킹기법에도 유출됩니다. 로그인 시 입력한 ID와 비밀번호를 네트워크 상에서 가로채는 것을 차단하기 위해서는 http 프로토콜 대신 보안성이 강화된 https 프로토콜을 사용해야 합니다. https는 http 프로토콜의 암호화 .. 더보기
웹서버까지 공격하는 랜섬웨어 - RedCastle로 방어한다. 2015년 봄... 인터넷을 뜨겁게 달구던 클리앙 랜섬웨어 유포사고는 랜섬웨어를 사용자들의 PC에 감염시키기 위해 웹서버를 "이용"했을 뿐이다. (사고 관련 포스트 보러가기) 그래서 사실 웹서버에는 별다른 피해가 발생하지 않는다. 이렇게 서버에 별다른 피해를 끼치지 않기에 웹서버를 이용한 악성코드 유포사고로 피해를 보는 것은 일반 사용자들 뿐이다. 서버를 운영하는 기업들이나 공공기관은 별다른 피해를 입지 않고 "욕만 한번" 먹고 그냥 넘어가.. 더보기
RedCastle의 서버방화벽을 이용해 중국 IP접속 차단하기 RedCastle은 SecureOS 입니다. IT인프라의 네트워크 또는 응용프로그램의 취약성을 뚫고 서버 내부로 침투한 이후, 해커의 행위를 통제할 수 있는...어찌보면 보안인프라 중에서도 최후의 보루라 할 수 있죠. 최후의 보루라는 이유는 해커가 서버 운영체제의 SuperUser 권한이나 어플리케이션 관리자 권한을 탈취한 뒤에도 방어가 가능한 유일한 보안 솔루션이기 때문입니다. SecureOS 이외의 어떤 보안 솔루션도 root.. 더보기
운영체제 쉘(shell)의 취약성과 쉘의 실행 통제 방안 정보보안 업계에서 일을 하면서 정보보안업계는 다른 IT 업종과 참 많은 것이 다르다는 것을 알게 됐지만 그 중에서도 큰 차이점은 과도하게 "기술 지향적"이라는 점이다. 쉽게 말해 "정보보안전문가 == 해커" 이라는 등식이 당연하게 받아들여 진다는 것이다. 이런 잘못된 인식은 정보보안전문가를 목표로 하는 젊은이들이 리버스엔지니어링(악성코드분석), 웹 취약점 공격, 패킷 분석 등 특정 분야의 기술습득에만 몰두하게 되는.. 더보기
Reverse Telnet 실습과 RedCastle을 통한 방어 방법 Unix 서버와 Linux 서버 그리고 Windows 서버 운영체제는...사실 운영체제 그 자체가 취약점 덩어리라고 할 수 있다. 하지만 대부분 운영체제 자체의 취약성은 운영체제의 필요불가피성에 뭍혀버리고 서버 외부에서 서버 내부로의 침투를 차단하는데 온갖 보안 솔루션을 동원하여 방어하고 있다. 그러나... 최근 몇년 사이에 그러한 인식은 많이 바뀌어 가고 있음을 서버보안SW를 다루면서 느낄 수 있다.  내부망/내부자에 의해 서버 운영.. 더보기
2차 인증 및 워크플로 기반 명령어 통제 시스템 명령어 실행 및 파일 접근 통제 정보보안이라고 하면 흔히 악성코드나 모의해킹 그리고 취약성 분석 등을 떠올리기 마련이지만..사실상 해커들이 그러한 공격기법들을 통해 얻으려 하는 것은 매우 단순하다.  바로 "정보"다. 그리고 해커들이 원하는 정보는 99%가 "파일" 혹은 "데이터베이스"에 저장되어 있기 마련이다. 그렇다면 이 "정보"를 획득하기 위해 사용되는 "명령어" 또는 정보가 담겨있는 "파일"에 대한 접근(실행/읽기)을 완벽하게 통.. 더보기
클리앙 홈페이지 해킹에 의한 랜섬웨어 유포 사고 (2015.04) 클리앙의 랜섬웨어 유포 사고 4월의 하순으로 접어드는 어느 날... 국내에서 꽤나 큰 커뮤니티인 클리앙에서 접속자들의 PC에 랜섬웨어가 유포되는 해킹사고가 발생했습니다. 랜섬웨어는 커뮤니티의 웹서버 중 하나를 해킹하여 소스를 수정하는 "웹서버 소스 파일 위변조 공격"으로 커뮤니티에 접속한 사용자 PC에 해커들이 미리 준비해 둔 다른 웹서버에서 랜섬웨어를 다운로드 받도록 하는 "드라이브 바이 다운로드(Drive By Download).. 더보기
이중 인증 기반 명령어 실행 통제 기술의 핵심 (참조모니터 : Reference Monitor) 보안 운영체제라 부르는 Secure-OS를 이용한 서버의 보안 강화와 관련된 이슈는 아직까지 보안 시장에 무르익지 않고 있습니다. 하지만 2011년 농협 보안사고와 다수의카드사 개인정보 유출 사고에서와 같이 대형 보안 사고는 대부분 "서버 운영체제에 개발자 혹은 관리자 권한"으로 접속한 내부 사용자 권한을 가진 사람들에 의해 발생하고 있기 때문에 실제 정보가 저장되고 가공되며 서비스 되고 있는 서버 내부에서의 위협에 대한 통제 방법론에 대한.. 더보기
웹서버 해킹 방어 사례 - 남다른 끈기를 보여준 해커 최근 웹서버의 소스 변조 공격이 또 다시 붐~처럼 휘몰아 치고 있는 듯 하다. 얼마 전 지속적인 웹 소스파일 변조 공격을 받고 있어 몇 주 째 사투(?)를 벌이고 있던 한 웹사이트 운영 업체의 요청으로 RedCastle SecureOS를 설치하고 해커와 한판 전쟁을 치르게 되었다. 이 해커는 다른 일반적인 소스 변조를 시도하는 사례와는 달리 한 두 가지의 공격을 차단되어도 포기하지 않고  계속 새로운 공격.. 더보기
SETHC.EXE 의 취약성을 이용한 백도어 공격 기법 윈도 운영체제는 태생적으로 갖고 있는 문제들로 인해 아직도 매우 취약한 운영체제로 분류됩니다. 현재 진행형인 보안사고 사례에서 재미있는(?) 윈도 운영체제의 취약성을 알게 되어 소개하고자 합니다. 윈도서버에 매우 손쉽게 백도어를 생성할 수 있는 방법 중 하나입니다. 유닉스나 리눅스가 갖고 있는 쉘카피백도어와 비슷한 백도어 생성기법 중 하나입니다. sethc.exe는 C:\Windows\system32 디렉토리에 있는 시스템 파일입니다.(이 파일의 .. 더보기
웹페이지 변조와 웹서버 해킹의 주범인 웹쉘(webshell)의 사례와 분석 (ASP 웹쉘) 해킹 공격 중에 DOS(혹은 DDOS) 다음으로 많이 발생하는(어쩌면 반대일 수도) 공격이 바로 웹쉘을 통한 웹서버 공격입니다. 해커들이 웹서버를 공격할 때 가장 즐겨 사용하는 공격도구이자 취약점이 바로 웹쉘입니다. 웹쉘은 Unix/Linux는 물론 Windows 서버까지 운영체제를 가리지 않고 존재합니다. 또한 JSP, ASP 등 웹서버에서 구동되는 언어 또한 가라지 않고 다양한 웹쉘이 존재합니다. 게다가 파일탐색기, 파일업로드, 파일의 생성/수.. 더보기