3. 외부에 노출된 Application 서비스의 취약점

대부분의 기업은 전자상거래나 포털 서비스를 제공하는 수준은 아니더라도 최소한 기업의 홈페이지 정도는 보유하고 있는 상황이다. 이렇게 기업에서 제공하는 애플리케이션 서비스의 취약점이 존재하게 되면 해당되는 애플리케이션의 다양한 취약점을 이용하여 내부망에까지 접근 가능한 공격이 발생될 수 있으며 주로 웹 애플리케이션의 취약점을 통하여 외부에서 내부망 공격 시나리오가 발생될 수 있다. 또한 외부에 노출된 메일서버를 이용한 내부망 악성코드 유포나 VPN 솔루션의 자체 취약점을 이용한 내부망 접근 시도가 존재할 수 있으며 기타 CS 기반의 애플리케이션이나 SQL 원격 접속 등을 이용하여 서버에 전송되는 파라미터 값을 조작하거나 내부망 원격 DB에 접속하는 등의 시나리오가 발생될 수 있다.

Ex) WEB Application 취약점을 이용한 내부망 공격 사례

Web Application 취약점은 OWASP top 10 등 많은 취약점이 존재하지만 내부망 공격시도가 이루어질 수 있는 확률이 가장 큰 취약점은 파일 업로드 취약점이다. 웹 페이지는 클라이언트에서 구동되는 Javascript 이외에도 ASP, JSP, PHP와 같은 Server side script 언어로 대부분 구현되며 해당 언어들은 구동되고 있는 웹 서버의 시스템 자원에 접근할 수 있는 명령어들을 가지고 있다. 파일 업로드 취약점을 이용하여 서비스를 제공하는 Web Application에서 사용되는 Server side script 언어와 동일한 언어로 작성된 공격 파일을 업로드 한 후 원격에서 서버 컴퓨터의 시스템 명령을 실행시킬 수 있으며 이를 통해 외부에서 내부망 공격 시도가 발생될 수 있다.

대응 방안

외부 Application 서비스의 취약점을 이용한 공격을 대응하기 위한 방안을 정리하면 다음과 같다.

① 웹 서비스에 대한 모의 침투 테스트를 수행하여 소스코드 단계에서의 취약점을 사전조치하고 웹 방화벽의 신규 패턴 업데이트를 검토함

② 사내 이메일 서버에 대한 relay 방지 설정과 ACL 정책을 검토하고 스팸 방지 솔루션의 차단 리스트를 Public RBL과 동기화함

③ 자사에 적용된 3rd party 솔루션들의 신규 취약점 발생여부를 수시로 확인하여 신속한 패치가 이루어져 0-day 공격에 노출되지 않도록 사전 준비함

④ 업로드 서버를 VLAN으로 구분하고 필요한 구간만 ACL 설정하여 내부망을 통한 2차 침해사고를 방지함

⑤ 제공되는 서비스와 연동되는 DB의 불필요한 프로시저를 제거하고 주요 정보에 대한 데이터를 암호화하여 저장함

4. 내부망 관리 부주의로 인한 주요정보 노출

내부망 Network 관리자나 보안 관리자, 혹은 사내 직원들의 부주의로 인하여 발생될 수 있는 위협들을 의미하며 발생될 수 있는 위협은 다음과 같다.

① 네트워크/보안 장비의 웹 기반 관리 페이지 외부노출

관리자의 편의를 위해 제공되는 웹 기반 관리페이지가 외부에 노출되어 공격자가 계정 추측 공격이나 디폴트 계정을 통하여 관리자 권한을 획득할 수 있는 위협 요소를 의미한다. 관리페이지가 외부에 노출된 경우는 해당 장비 설치 후 디폴트 환경으로 사용하고 있는 경우가 많아 관리 페이지에 설정된 디폴트 계정도 존재하는 경우가 대부분이며, 공격자가 관리자 권한을 획득할 경우 내부망 라우팅 정보를 변경하거나 보안정책을 해제하여 내부망 공격에 악용될 위험성이 존재한다.

② 재택근무를 위한 원격 제어 접속경로 구성

윈도우 원격 터미널, VNC, Radmin, Neturo 등의 원격제어 솔루션을 이용하여 외부에서 내부망 시스템에 접근 가능하도록 접속경로를 구성하게 되면 공격자는 외부에서 포트스캐닝을 통하여 해당 포트를 확인할 수 있으며, 계정 추측 공격이나 원격 제어 솔루션의 취약점을 이용하여 내부망 시스템에 접근할 위험성이 존재하게 된다. 주로 외부 협력업체와의 업무공조 과정에서 원격제어 접속경로를 많이 구성하게 되며 여러 계정을 사용하는 과정에서 복잡도가 낮은 취약한 계정이 존재할 위험성이 높다. 또한 내부망에서 원격제어 탐지에 대한 정책이 명확하지 않을 경우 정상적인 원격 제어 연결과 공격자의 악의적인 원격 제어 패킷 구분이 어려워 공격에 대비한 관제업무를 방해할 수 있다.

③ 접근제어 설정 미흡으로 인한 주요 정보 노출

기업 네트워크의 접근제한 설정이 미흡하여 내부망에서 사용되는 FTP, SSH, Netbios, SNMP, SQL 서비스 등의 포트를 외부에서 접속하여 내부망 정보를 획득할 위험성을 의미하며 관리자의 실수만이 아니라 외부 협력업체와의 정책상 부득이하게 포트를 열어야 하는 경우도 발생될 수 있다. 한 예로 FTP의 anonymous 계정 활성화나 Windows의 Remote Registry 활성화, SNMP default community string 취약점을 이용하여 외부에서 내부망 서버의 일부 권한을 획득하는 시나리오를 살펴보면 다음과 같다.

대응 방안

내부망 관리 부주의로 인한 주요 정보 노출을 방지하기 위해서는 웹 기반 원격관리 페이지를 비활성화하거나 관리자와의 ACL만을 허용하고 디폴트 계정을 제거하여야 한다. 또한 외부에 노출되는 서비스 포트에 대한 취약점이 발생되지 않도록 정기적인 보안 진단을 수행하며 주요 서버군을 VLAN으로 구분하고 적절한 ACL 정책을 수립하여 외부 공격자의 내부망을 통한 접근 성공 시 주요 서버에 대한 접근을 사전 차단해야 한다. 원격 제어 프로세스에 대한 탐지 정책을 수립하고 허가된 IP에 대해서만 원격 제어를 허용하는 것도 도움이 될 것이다.

내부 구간에서 발생할 수 있는 위협요소

외부에서 내부망 접근에 성공한 공격자는 다시 내부 구간에서의 위협 요소를 이용하여 내부망의 다른 서버들을 공격할 위험성이 존재하게 된다. 내부 구간에서 발생될 수 있는 위협요소 또한 매우 다양하지만, 대표적인 위협요소를 선정하면 다음과 같다.

1. Network sniffing/spoofing

내부망 서버 침해 후, 공격자는 Cain, T-sniper와 같은 ARP spoofing 툴을 서버에 업로드하여 해당 서버의 C클래스 대역에 대한 스니핑 공격을 시도하게 된다. 대표적인 스니핑 툴인 Cain은 본래 보안 컨설팅을 목적으로 만들어졌지만, 막강한 성능을 악용하여 주요 정보를 유출하는 스니핑 툴로 악용될 수 있다. 해당 툴은 사용되는 대부분의 프로토콜을 분석하여 주요 정보를 추출해주고 VoIP의 음성 데이터인 RTP 패킷도 음성데이터로 저장해주기 때문에 기업에서 사용되는 계정정보와 통화내역 도청 등의 공격이 발생될 수 있다. 침해 대상이 웹 서버일 경우 ARP spoofing 공격을 통하여 웹 서버에서 전송하는 HTTP Response 패킷에 악성 스크립트를 삽입하는 공격이 발생될 수도 있다.

스니핑 공격에 대응하기 위해서는 현재 자사에서 사용되는 안티바이러스 솔루션에 네트워크 스니핑 관련 툴에 대한 탐지 정책을 추가하고, Network 장비나 NAC 장비의 IP/MAC 변조 방지 기능을 활성화한다. 또한 내부망의 평문 전송 구간과 암호화 전송 구간을 구분하여 스니핑으로 인한 주요 정보 유출을 사전 차단하는 것도 좋을 것이다.

2. 서버 관리자 권한 획득(Get Root)

외부의 공격자가 내부망 서버 침해 후, 획득한 서버의 권한이 제한된 USER 권한일 경우 관리자 권한(Root) 권한을 획득하기 위한 공격시도가 발생될 수 있다. OS의 시스템 취약점을 이용하여 권한 상승을 시도하는 exploit 코드를 실행하여 공격을 시도하게 되며 해당 공격에 필요한 취약점은 꾸준히 보고되고 있어 내부망에서 사용되는 OS의 신규 취약점 발표를 항시 모니터링하고 취약점 패치가 나오기 전인 0-day 기간 동안에는 서버 보안 관리를 강화해야 한다.

3. 내부 Application 서비스의 취약점

외부에 노출된 애플리케이션에 비해 내부에서 관리/인증 목적으로 사용되는 애플리케이션에 대해서는 내부망에 위치한다는 안전성 때문에 관리자가 예상치 못한 보안 위협이 존재할 수 있고, 또한 접근제한 설정이 미흡하여 해당 부서와 관련 없는 타 부서의 관리페이지도 접근이 가능한 취약점이 존재할 수 있다. 내부에서 원격제어를 위해 사용되는 터미널 서비스나 rsh와 같은 애플리케이션으로 인하여 악성코드가 전파될 위험성도 존재하며 특히 windows 기반의 OS는 Netbios 프로토콜을 통하여 같은 도메인의 존재하는 시스템들 간의 파일 공유가 자유롭기 때문에 이를 악용하여 도메인에 가입된 시스템들에 전사적으로 악성코드를 유포할 위험성이 존재하게 된다.

이에 대비하여 부서간 업무와 관련된 관리 애플리케이션에 대한 접근제한 정책을 설정하여 타 부서/협력업체 등 불필요한 이용자의 접근을 제한하고, 사내 인증 관련 애플리케이션의 인증 key값의 관리에 대한 내부 정책을 재검토하고 해당 key값을 이용한 인증우회 가능성을 검토하여 해당 취약점을 이용한 보안 사고를 예방해야 한다. Windows 기반의 OS 에서는 불필요한 공유폴더의 사용을 자제하고 접근권한 설정을 명확히하여 불필요한 사용자나 guest권한 사용자의 접근을 차단해야 한다.

4. 외부 저장장치를 통한 악성코드 감염

외부 저장장치는 인터넷, 이메일과 함께 기업 내부망 공격에 유용한 접근 경로가 될 수 있으며, 내부망 침해를 목적으로 제작된 악성코드를 외부 저장장치에 담아 사내 직원들에게 유포하여 사용을 유도하는 식의 사회 공학적 공격이 발생될 수 있다. 대부분 USB device를 통한 장치 연결이 이뤄지기 때문에 사내 시스템의 USB Port를 통제하는 솔루션을 도입하여 USB로 저장되는 데이터의 암호화와 USB Port를 통한 신규 device의 설치를 제한하여야 한다. 혹은 국정원에서 제공하는 USB 자동실행방지 프로그램을 이용할 수도 있다.

마치며

지금까지 살펴본 내부망 침해 위협 요소에 대한 대응방안을 크게 정리하면 다음과 같다.

내부망 침해 위협 요소에 대한 대응방안은 정책적인 면과 기술적인 면을 모두 고려해야 하며 사내망 외부에서 발생 가능한 위협과 사내망 내부에서 발생 가능한 위협에 대한 대응방안을 단계적으로 수립해야 한다. 아울러 보안 솔루션의 한계점을 인식하고 차선책을 마련해 피해를 최소화 할 수 있도록 준비하고, 정기적인 모의 침투 점검이나 컨설팅을 통해 지속적인 보안 수준 향상을 꾀할 수 있도록 노력해야 할 것이다. 

<글 : 지 선 호 | 엔씨소프트 정보보안실 해외운영보안팀(kissmefox@gmail.com)>

[월간 시큐리티월드 통권 제154호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>