모의해킹을 통한 정보보호 수준 점검

모의해킹은 실제로 가장 많이 사용하는 해킹 기법을 사용하여 제 3자 관점에서 기업 보안 수준을 점검하는 실질적인 보안 취약점 점검 방법이다. 또한, 모의해킹은 해커의 입장에서 보안의 홀을 찾아 기업 보안 문제점을 점검, 분석하여 대응방안을 제시함으로써 실질적인 보안사고 예방에 도움을 준다. 많은 기업에서 모의해킹을 통한 취약점 점검을 1년에 1회 또는 반기별 1회 실시하는 것을 규정화하고 있으며, 이를 통해 발견된 문제점을 해결함으로써 기업 보안 수준을 향상시키고 있다. 이번 호에서는 한 제조업 분야 A기업의 모의해킹 프로젝트 사례를 통해 모의해킹의 목적, 절차에 대한 정보를 제공함으로써 기업의 객관적인 보안정도를 측정할 수 있는 방법을 제시하고자 한다. [정보보호21 기고문] 전익수/jis@cocomut.co.kr 컨설팅 사업부 팀장

모의해킹은 크게 두 가지 측면으로 구분될 수 있다. 하나는 외부 망에서 기업내의 주요 전산 자원을 침입하는 것이며, 또 다른 하나는 기업 내부 망에서 주요 서버의 취약점을 점검하는 방식이다. 이 두 가지 방식의 공통점은 전문적인 해킹 기법을 사용하여 주요 서버를 모의 공격하여 실질적인 보안 취약점을 찾아내는 것이며, 차이점은 네트워크 정보를 모르는 해커입장 에서의 시도라는 점과 기본적인 네트워크 정보를 알고 수행하는 내부자 관점의 취약점 점검이라는 것이다.

[그림1] 모의해킹 개념도 (*eTrinityPT는 코코넛社의 모의해킹서비스 명칭임)

최근에는 내부자에 의한 보안사고 증가로 인해 기업 내부 망에서 취약점을 점검하는 모의해킹이 중요시 되고 있다. 모의해킹을 자칫 잘못 해석하면, "해킹에 성공했느냐?", "실패 했느냐?" 에 관심을 두는 경우가 있으나, 모의해킹을 통해 해당 기업의 컴퓨팅 시스템상에 어떤 취약점이 존재하며, 어떤 방식으로 침입이 가능했는지를 분석하여 이를 "방어할 궁극적인 대응책이 무엇인가?" 를 도출하고 구현하는 것에 그 진정한 목적이 있다.

모의해킹을 위해 가장 먼저 해야 할 일은 수행 업체를 선정하는 것이다. 모의해킹의 결과는 매우 중요한 부분이며, 잘못된 모의해킹은 정상적인 사용자에게 오히려 불편을 줄 수 있으므로 업체선정에 신중을 기해야 한다. 본 프로젝트 의뢰 기업에서 요구한 다음의 요구정보 항목은 업체 선정 시 고려해야 할 주요사항을 보여준다.

본고에서 제시하는 사례의 구체적인 수행 내용은 계약상 공개가 불가하므로 일반적인 절차에 대한 소개를 하도록 하겠다. 모의해킹은 크게 4단계로 나누어 진행되었으며, 각 단계별 내용은 아래 그림과 같다.

[그림2] 모의해킹 절차

Phase 1. 모의해킹은 실제 해킹 기법을 활용하여 시스템을 모의 공격하는 것이므로 운영 중인 시스템에 영향을 줄 수가 있다. 예를 들어, 모의해킹을 수행하는 인력의 실수 또는 오류로 인하여 시스템의 중요한 내용을 삭제하여 시스템에 문제를 일으킬 수 있으며, DOS 공격의 수행은 시스템을 다운 시킬 수 있다. 이를 방지하기 위해서 Phase 1 에서는 모의해킹 시나리오를 최종 확정하며, 일어날 수 있는 문제에 대해 고객과의 합의를 수행하게 된다. 또한, 모의해킹 서비스를 제공하는 업체는 문제 발생시 대응 방안을 제시하여야 한다. Step 0 고객 상담을 통해 모의해킹 시나리오 확정 (모의해킹 서비스 레벨 결정, 모의 공격 범위 결정) 비밀 보장에 대한 서약서 제출 (개인 및 회사의 서약서, 책임 범위 결정) 문제 해결 방안 합의 (모의해킹 진행 중 발생가능 한 사고에 대한 대응 방안 마련) Step 1 점검항목을 선정 - 체크리스트 예시 - DoS 테스트를 위해 수행해야 할 Task   Step 2 주로 스캔 작업을 통해 시스템 및 네트워크 정보 수집 (네트워크 정보, IP 정보, 시스템 OS 정보, 서비스 정보 등) 수집된 정보를 분석하여 취약점을 나열 Step 3 모의해킹 진행 중 발생 가능한 문제점에 대한 최종 합의 ( DOS, Worm 등 직접적인 피해가 가능한 기법의 적용 여부)

Phase 2. 정보 수짐을 통해 발견된 취약점에 취약한 부분부터 모의 침투를 진행하며, 이때 모의해킹 수행자는 취약점 DB를 활용하여 검증된 방법으로 수행하게 된다. 이때 방화벽 우회 공격 등의 방법을 사용하여 보안 시스템의 운영 상태의 점검도 진행할 수 있다. Step 4 수집한 정보를 기반으로 가장 취약한 부분부터 모의 공격 시도 보안시스템 우회 공격 진행 시스템 침입

Phase 3. 대상 시스템에 정해진 방법으로 침입 흔적을 남기고 타 시스템으로의 공격 전이 및 추후 재침입을 위한 백 도어를 설치한다. Step 5 침입 증거는 사전에 정해진 방법에 따라 남김  재 침입을 위한 백 도어 설치 관리자 권한 획득 타 시스템으로의 공격 시도 (Step 4로 돌아감)

Phase 4. 진행 사항에 대한 보고서를 작성하여 고객사에 제출하며, 이에 대한 설명 또는 발표를 진행하게 된다. 또한, 고객 수준에 따라 교육 및 기술 지원을 진행하여 고객의 기술 수준을 높일 수 있도록 한다. Step 6 보고서 내용은 취약점 분석, 요약 내역, 상세 내역 및 대응방안 등으로 구성    Step 7 고객 수준에 따른 기술 이전 및 교육 (시연, 강의식 교육 등의 방법 활용)

필자는 위와 같은 방법론을 적용하여 제조업체 A사를 점검한 결과 8개의 취약점을 발견하여 침입에 성공하였으며, 취약점의 발견 시기별로 분석해본 결과 2001년 1건, 2000년 2건, 1999년 이전 4건으로 나타났다, 이를 통해 최근에 발견된 취약점의 경우 보안 적용이 비교적 잘되어 있으나, 과거의 취약점에 대한 대응이 미비한 것을 진단할 수 있었다. 다음은 A사에서 발견된 취약점 및 발견된 취약점을 통해 발생 가능한 문제점을 나타낸 것이다.

발견된 취약성 . Cisco IOS HTTP Authorization Vulnerability . Resin Web server vulnerable to directory traversal vulnerability . SNMP Community String Vulnerability . Third-Party Mail Relay Vulnerability . SMTP EXPN/VRFY user enumeration vulnerability . Anonymous FTP Login Vulnerability . Test-cgi Listing Files Vulnerability . Wp-cs-dump Web Server Directory Indexing Vulnerability

발생가능 문제점 ① 내부서버에 대한 정보 공개 ② 서버의 디렉터리 구조 및 파일 내용의 공개 ③ 내부 사용자 정보의 외부 노출 ④ 인터넷 서비스의 사용자 도용이 가능하여 사용자 정보 유출 ⑤ 개발한 중요 소스 코드 노출 ⑥ 노출된 고객 정보(패스워드, 이메일, 주민등록번호)의 악용 ⑦ 특정 서버의 파일 삭제, 삽입, 변경 ⑧ 타 서버 공격을 위한 경유지 활용

프로젝트 종료 시점에서, 위에 나열한 취약점에 대한 해킹 방법, 해킹 결과, 즉각적인 대응 방안 및 권고안을 보고서를 통해 제시하였으며, A사와 해당 문제점에 대한 취약점 제거 작업을 진행하였다. 또한, 발견된 취약점 중 발견된 지 오래된 취약점이 많은 것에 주목하여, 상세 시스템 취약점 점검을 추가로 수행하여 기타 잔존하는 취약점 및 설정 상의 오류 등의 문제를 바로 잡을 수 있었다.

앞서 설명한 것과 같이 많은 기업들이 객관적인 보안 상태를 점검할 수 있는 방법으로 모의해킹을 1년 또는 반기에 1회 실시하는 등 정례화 시키고 있다. 이러한 정기점검은 네트워크 환경 변화, 시스템의 변화 및 새로운 공격에 대한 취약점을 찾아내고 이를 제거함으로써, 기업 보안 수준을 유지시키는 좋은 방법이 될 수 있다. 단순하게 모의해킹에서 침입이 성공했는지 여부에만 관심을 갖기 보다는 점검 기간동안 모의해킹을 의뢰하는 기업의 보안 관리자들은 자신이 관리하고 있는 보안 시스템의 집중 모니터링 등의 방법으로 모의해킹에 동참하여 문제점을 같이 찾고 실제 해킹 시 발견 할 수 있는 해킹 징후, 로그 등에 대한 분석의 노하우를 얻는 것이 중요하다.

출처 : www.coconut.co.kr