윈도우 환경 다운로드 실행파일 및 스크립트 실행 위험 보안 통제

Unable to run on Windows 11 - Windows - Ardour

윈도우 시스템에서 다운로드 폴더에 실행 파일(.exe), 스크립트 파일(.hta, .jse, .cmd 등)이 다운로드 되어 실행될 때 발생할 수 있는 보안 위협을 방지하기 위한 몇 가지 방법이 있습니다. 이러한 파일들은 악성 코드의 전형적인 전달 수단이 될 수 있으며, 사용자의 시스템에 백도어를 설치하는 등의 악용될 가능성이 높습니다. 여기에는 Software Restriction Policies (SRP)나 AppLocker와 같은 윈도우 내장 기능을 활용하는 방법과 기타 보안 관련 조치들이 포함됩니다.

Software Restriction Policies (SRP)

SRP는 관리자가 시스템에서 실행할 수 있는 애플리케이션을 제어할 수 있게 해주는 기능입니다. 이는 특정 파일 유형이나 경로에서 실행되는 프로그램을 제한함으로써 시스템 보안을 강화하는 데 도움을 줍니다. SRP 설정을 통해 다운로드 폴더에 있는 실행 파일이나 스크립트 파일의 실행을 차단할 수 있습니다.

AppLocker

AppLocker는 SRP보다 더 진화된 실행 파일 제어 기능을 제공합니다. 이를 통해 관리자는 파일의 디지털 서명, 특정 파일 경로, 파일의 해시 값 등을 기준으로 정책을 설정하여 애플리케이션의 실행을 허용하거나 차단할 수 있습니다. AppLocker는 보다 세분화된 제어가 가능하기 때문에, 조직 내에서 매우 구체적인 보안 정책을 적용하고자 할 때 유용합니다.

기타 보안 조치

1. 안티바이러스 및 안티맬웨어 소프트웨어 업데이트 및 활성화: 안티바이러스 소프트웨어를 최신 상태로 유지하고 실시간 보호 기능을 활성화하여 악성 코드로부터 시스템을 보호하세요.
2. 사용자 교육: 사용자들이 의심스러운 파일 다운로드 및 실행을 피하도록 교육하는 것이 중요합니다. 또한, 이메일 첨부 파일이나 링크를 열기 전에 항상 주의를 기울일 것을 권장합니다.
3. 브라우저 보안 설정 강화: 브라우저의 보안 설정을 강화하여 악성 스크립트의 실행을 차단하고, 다운로드 전에 경고를 표시하도록 설정합니다.
4. 정기적인 시스템 및 네트워크 감사: 정기적으로 시스템과 네트워크를 검사하여 보안 취약점을 발견하고, 필요한 패치를 적용하세요.

이러한 방법들을 적절히 조합하여 사용함으로써, 윈도우 시스템을 악성 코드의 위협으로부터 보다 효과적으로 보호할 수 있습니다. 각 조직의 구체적인 요구 사항과 보안 정책에 따라 적절한 조치를 선택하고 적용하는 것이 중요합니다.

 

시스템을 보호하기 위해 실행 파일 및 스크립트의 무분별한 실행을 통제하는 것은 중요한 보안 조치입니다. Software Restriction Policies (SRP)와 AppLocker를 활용하여 적용하는 절차를 간략히 정리해봤습니다.

Software Restriction Policies (SRP) 설정

SRP는 주로 그룹 정책을 통해 설정합니다.

1. 그룹 정책 편집기 실행: gpedit.msc를 실행하여 그룹 정책 편집기를 엽니다.
2. 정책 경로 이동: 컴퓨터 구성 > Windows 설정 > 보안 설정 > 소프트웨어 제한 정책으로 이동합니다.
3. 새 정책 생성: 소프트웨어 제한 정책이 없는 경우, 새 정책 생성을 클릭합니다.
4. 추가 제한 규칙 설정: 추가 규칙을 우클릭하고, 새 해시 규칙..., 새 경로 규칙... 등의 옵션을 선택하여 제한할 파일이나 경로를 지정합니다. 예를 들어, 다운로드 폴더(C:\Users\[사용자 이름]\Downloads)에 대한 실행 파일의 실행을 차단하려면, 해당 경로에 대한 새 경로 규칙을 생성하고 보안 수준을 '차단'으로 설정합니다.
5. 정책 적용: 설정이 완료되면, 변경 사항을 적용하기 위해 그룹 정책을 업데이트합니다. 명령 프롬프트에서 gpupdate /force 명령을 실행할 수 있습니다.

AppLocker를 통한 실행 제어

AppLocker는 보다 세밀한 실행 제어가 가능하며, 실행할 수 있는 애플리케이션을 특정할 수 있습니다.

1. 로컬 보안 정책 편집기 실행: secpol.msc를 실행합니다.
2. AppLocker 정책 설정: 애플리케이션 제어 정책 > AppLocker로 이동합니다.
3. 규칙 생성: 실행 가능 파일, 스크립트, Windows Installer 파일, DLL 파일 등 각 범주에 대해 규칙을 생성할 수 있습니다. 예를 들어, 실행 가능 파일의 규칙을 생성하려면, 해당 섹션을 우클릭하고 새 규칙 생성...을 선택합니다.
4. 규칙 마법사 따라하기: 규칙 생성 마법사가 시작됩니다. 여기서는 파일이나 폴더, 사용자 그룹별로 실행을 허용하거나 차단할 수 있는 규칙을 설정할 수 있습니다. 다운로드 폴더 내의 실행 파일을 차단하고자 한다면, 해당 경로를 지정하고 보안 수준에서 차단을 선택합니다.
5. 정책 적용: 규칙을 생성하고 나면, AppLocker 서비스가 실행 중이어야 규칙이 적용됩니다. Application Identity 서비스를 시작 상태로 설정하세요.

참고 사항

• SRP와 AppLocker 모두 관리자 권한을 요구합니다.
• 정책 변경은 영향을 받는 사용자에게 즉각적으로 적용되지 않을 수 있으므로, 시스템이나 사용자를 재시작하거나 gpupdate /force 명령어를 사용하여 정책을 즉시 적용해야 할 수 있습니다.
• 정책을 적용하기 전에, 현재 환경에서 필요한 애플리케이션과 스크립트가 차단되지 않도록 충분히 테스트하는 것이 중요합니다. 잘못된 정책 적용은 시스템 운영에 큰 장애를 초래할 수 있습니다.
• AppLocker는 Windows의 전문가 및 기업 버전에서만 사용할 수 있으므로, 사용 중인 Windows 버전이 이 기능을 지원하는지 확인해야 합니다.

권장 사항

• 정기적인 보안 업데이트: Windows 및 모든 애플리케이션을 최신 상태로 유지하며, 보안 패치를 정기적으로 적용하여 취약점을 최소화합니다.
• 사용자 권한 최소화: 사용자에게 필요한 최소한의 권한만 부여하고, 관리자 권한으로의 무분별한 접근을 제한합니다. 이는 악성 소프트웨어가 시스템에 미치는 잠재적 영향을 줄일 수 있습니다.
• 네트워크 보안 강화: 방화벽 설정을 최적화하고, 불필요한 네트워크 서비스를 비활성화하여 외부 공격으로부터 시스템을 보호합니다.
• 백업 및 복구 계획 수립: 정기적으로 중요 데이터를 백업하고, 재해 복구 계획을 마련하여 데이터 손실이나 시스템 고장 시 신속하게 대응할 수 있도록 합니다.

 

시스템 보안을 유지하기 위한 이러한 조치들은 모두 중요한 역할을 합니다. 특히, Software Restriction Policies와 AppLocker는 실행 파일과 스크립트의 무분별한 실행을 통제하여 악성 소프트웨어의 확산을 막는 데 큰 도움이 됩니다. 그러나 보안은 다층적 접근 방식이 필요하며, 이러한 도구들을 포함한 다양한 방어책을 종합적으로 고려하는 것이 중요합니다.

 

다운로드 폴더에서 특정 확장자 파일의 실행을 제한하기 위한 절차는 주로 Windows의 AppLocker 기능을 이용하여 설정할 수 있습니다. AppLocker를 통해 관리자는 실행 가능 파일, 스크립트, MSI 패키지 등 특정 유형의 파일에 대한 실행 정책을 세분화하여 제어할 수 있습니다. 이 기능을 사용하여 특정 확장자 파일이 다운로드 폴더에서만 실행되지 않도록 설정하는 방법을 단계별로 설명합니다.

AppLocker를 사용한 실행 제한 설정

1. AppLocker 정책 구성 환경 준비

• AppLocker가 있는 Windows 버전 확인: AppLocker는 Windows 10/11 Professional, Enterprise, 또는 Education 에디션에서 사용할 수 있습니다.
• AppLocker 서비스 활성화: 'Application Identity' 서비스를 활성화하고 자동 시작으로 설정해야 합니다. 서비스 관리자(services.msc)에서 Application Identity 서비스를 찾아 시작 유형을 자동으로 설정하고 서비스를 시작합니다.

2. AppLocker 규칙 생성

1. 로컬 보안 정책 편집기 실행: Win + R 키를 누르고, secpol.msc를 입력하여 실행합니다.
2. AppLocker 정책 설정으로 이동: 왼쪽 패널에서 애플리케이션 제어 정책 > AppLocker를 차례로 확장합니다.
3. 실행 가능 파일 규칙 생성: 실행 가능 파일 규칙을 선택하고, 우측 패널에서 새 규칙 생성을 클릭합니다. 스크립트 파일이나 다른 유형의 파일을 제한하고자 할 경우, 해당 유형의 규칙을 선택합니다.
4. 규칙 생성 마법사 시작: 규칙 생성 마법사가 시작됩니다. 다음을 클릭하여 계속 진행합니다.
5. 권한 설정: 규칙의 적용 대상을 선택합니다. 일반적으로 모든 사용자를 선택하거나, 특정 사용자나 그룹을 지정할 수 있습니다.
6. 조건 선택: 규칙이 적용될 조건을 선택합니다. 특정 확장자 파일을 제한하려면, 경로를 선택하여 다운로드 폴더 내의 해당 확장자 파일에 대한 경로를 지정합니다. 예: C:\Users\*\Downloads\*.exe (모든 사용자의 다운로드 폴더 내 .exe 파일에 대한 경로)
7. 액션 선택: 허용 또는 차단 중 실행을 차단하려는 액션을 선택합니다.
8. 규칙 옵션 설정 및 이름 지정: 규칙에 대한 추가 옵션을 설정하고 규칙에 이름을 지정합니다.
9. 규칙 생성 완료: 만들기 버튼을 클릭하여 규칙을 생성합니다.

3. 규칙 적용 및 테스트

• 생성한 규칙이 적용되도록 로컬 보안 정책 설정을 새로고침하거나 시스템을 재시작합니다.
• 규칙이 예상대로 작동하는지 테스트하여 다운로드 폴더 내의 지정한 확장자 파일이 실행되지 않는지 확인합니다.

주의 사항

• AppLocker 규칙은 매우 구체적이며, 잘못 설정하면 시스템 운영에 필수적인 프로그램이 실행되지 않는 문제를 초래할 수 있습니다. 따라서, 규칙을 적용하기 전에는 충분한 테스트를 거치는 것이 중요합니다.
• 사용자가 필요로 하는 소프트웨어가 차단될 위험이 있으므로, 예외 규칙을 적절히 설정하여 합법적인 프로그램이나 애플리케이션의 사용에 지장이 없도록 해야 합니다.
• AppLocker 규칙을 변경하거나 새로운 규칙을 추가할 때는, 항상 변경 사항을 문서화하고, 관리자 및 IT 부서 내에서 공유하여 관리의 일관성을 유지해야 합니다.

추가적인 보안 조치

AppLocker를 통한 실행 파일 및 스크립트의 실행 제한 외에도, 다음과 같은 추가적인 보안 조치를 고려할 수 있습니다.

• 안티바이러스 소프트웨어의 활용: 안티바이러스 및 안티맬웨어 소프트웨어를 사용하여 다운로드된 파일을 자동으로 검사하도록 설정합니다. 이는 악성 소프트웨어가 시스템에 침입하는 것을 사전에 방지하는 데 도움이 됩니다.
• 브라우저 보안 강화: 사용자가 인터넷을 통해 파일을 다운로드할 때 추가적인 보안 경고나 확인 절차를 요구하도록 브라우저의 보안 설정을 조정합니다.
• 사용자 교육: 사용자들에게 인터넷에서 파일을 다운로드하고 실행하는 것에 대한 위험성을 교육하고, 의심스러운 파일을 실행하기 전에 항상 주의를 기울일 것을 강조합니다.

 

보안은 지속적인 관리와 주의가 필요한 영역입니다. 따라서, 위에서 언급한 기술적 조치와 함께 정기적인 보안 교육 및 인식 제고 활동도 중요한 부분입니다. 이러한 다층적 접근 방식을 통해 시스템과 네트워크를 보호하고, 보안 위협으로부터 사용자와 조직을 안전하게 지킬 수 있습니다.

 

정기적으로 시스템 모니터링 및 알람 기능을 수행하는 스크립트를 작성하고, 이를 Windows Task Scheduler를 통해 스케줄링하는 방법을 설명하겠습니다. 이 예제에서는 Python 스크립트를 사용하여 특정 조건(예: CPU 사용률이 특정 임계값을 초과하는 경우)을 모니터링하고, 이를 탐지했을 때 알람(이메일 전송)을 발생시키는 시나리오를 가정합니다.

1. 모니터링 및 알람 스크립트 작성

시스템의 CPU 사용률을 모니터링하고, 사용률이 80%를 초과할 경우 이메일로 알람을 보내는 Python 스크립트를 작성합니다. 이메일 전송을 위해 smtplib 라이브러리를 사용합니다. 스크립트 예제는 아래와 같습니다.

# monitor_and_alert.py

import smtplib
import psutil

# CPU 사용률을 체크합니다.
cpu_usage = psutil.cpu_percent()

# 사용률이 80%를 초과하는 경우, 알람(이메일 전송)을 합니다.
if cpu_usage > 80:
    sender_email = "your_email@example.com"  # 발신자 이메일 주소
    receiver_email = "receiver_email@example.com"  # 수신자 이메일 주소
    password = "your_password"  # 발신자 이메일의 비밀번호
    message = f"""\
Subject: High CPU Usage Alert
To: {receiver_email}
From: {sender_email}

Warning: The CPU usage is over 80%! Current usage: {cpu_usage}%"""

    # SMTP 서버를 통해 이메일을 전송합니다.
    with smtplib.SMTP('smtp.example.com', 587) as server:  # SMTP 서버 주소 및 포트
        server.starttls()  # TLS 보안 시작
        server.login(sender_email, password)
        server.sendmail(sender_email, receiver_email, message)

    print("Alert sent via email.")
else:
    print("CPU usage is normal.")

2. 스크립트 실행 환경 준비

• 위 스크립트를 실행하기 전에, psutil 라이브러리가 필요합니다. 이 라이브러리는 시스템 모니터링을 위해 사용되며, Python 환경에 설치되어 있어야 합니다. pip install psutil 명령어로 설치할 수 있습니다.

3. Windows Task Scheduler를 통한 스크립트 스케줄링

• Task Scheduler 실행: Windows 키를 누른 상태에서 R 키를 눌러 실행 창을 엽니다. taskschd.msc를 입력하고 확인을 클릭하여 Task Scheduler를 실행합니다.
• 새 작업 생성: 작업 만들기를 클릭하여 새 작업을 생성합니다.
  • 일반 탭에서 작업에 이름을 지정합니다.
  • 트리거 탭에서 새로 만들기를 클릭하여 작업을 실행할 조건을 설정합니다. 예를 들어, 매일 특정 시간에 실행되도록 설정할 수 있습니다.
  • 동작 탭에서 새로 만들기를 클릭하고, 프로그램/스크립트 시작을 선택한 다음, Python 스크립트 파일의 경로를 입력합니다. 예: C:\Python39\python.exe 인수 추가 필드에는 스크립트 파일의 경로를 입력합니다. 예: "C:\path\to\your\monitor_and_alert.py"
• 설정 완료 후 확인을 클릭하여 작업을 저장합니다.

 

이제 설정한 시간에 따라 Task Scheduler가 Python 스크립트를 실행하며, 스크립트는 시스템의 CPU 사용률을 모니터링하고 설정한 임계값을 초과할 경우 알람을 발생시킬 것입니다. 이 방법을 통해 시스템의 상태를 정기적으로 체크하고 필요 시 적절한 조치를 취할 수 있습니다.