| sitelink1 | |
|---|---|
| sitelink2 | |
| sitelink3 | |
| sitelink4 | |
| extra_vars5 | |
| extra_vars6 |
지난 3월 31일 중국의 사드 보복성 해킹 공격이 예고 되었었습니다.
그로 인해 최근 국내에 다수의 해킹 피해 사례가 기사로 전해지는 상황입니다.
이에 대해 사례를 들어 본인의 PC 또는 네트웍이 해킹으로 인해 감염되었는지 여부를 확인할 수 있는 방법중 일부를 전해드립니다.
1. 해킹 피해 내용
PC에 외부 IP를 할당받아 외부에서 접속 가능한 환경이다
작업 및 테스트를 위해 자신의 PC에 톰캣이 깔려있고 톰캣이 설치된 경로에 위치한 tomcat/conf/tomcat-users.xml 파일 내용에 다음과 같이 tomcat계정이 허용되어 있다면
<user username="tomcat" password="tomcat" roles="manager"/>
이는 tomcat 이라는 계정으로 외부에서 관리자 페이지를 띄우고 악의적인 web application 을 배포하여 실행할 수 있음을 의미한다
해커는 이러한 해킹 환경을 구축하고 악성 프로그램 파일을 업로드 후 쉘프로그램으로 악성 프로그램을 실행하여 PC를 감염시킨다
2. 해킹 피해 여부 확인 방법
1) 개인 사용자
- 사례에 나와 있듯이 사용중인 톰캣의 tomcat-users.xml 의 내용에서 user 목록 xml에 주석처리가 해제 되어 있는지 여부 확인
- 본인이 생성하지 않은 web application 또는 jsp 페이지가 있는지 확인
- 본인이 생성하지 않은 OS계정이 존재하는지 확인
- PC의 성능 또는 네트웍 속도가 비이상적으로 저하되었는지 여부 확인
2) 서버 관리자
- 윈도우 서버인 경우 서버의 이벤트 로그에 다수의 감사 실패가 있는지 확인 (이벤트 로그는 “이벤트 뷰어>Windows 로그>보안”을 통해 확인 가능)
3. 조치 사항
1) 자신의 PC의 방화벽은 항상 활성화 상태로 두어야 한다.
2) 알약의 실시간 감시와 방화벽 기능도 반드시 사용하도록 한다.
3) “제어판>시스템 및 보안>관리 센터>사용자 계정 컨트롤 설정”의 알림 조건을 맨 위의 항상 알림으로 하여 프로그램 설치시 반드시 본인이 확인할 수 있도록 한다.
4) 본인의 PC가 외부 IP를 할당받아 외부에 오픈되어 있는 환경이라면 자신이 사용할 Port를 제외한 모든 Port는 윈도우 방화벽에서 차단 처리한다.
5) 본인이 RDP(원격 데스크톱 서비스)를 이용하고 있다면 RDP 기본포트 3389를 다른 포트로 변경하여 사용한다. (방화벽에서 바뀐 포트를 허용해줘야 함)
6) 만일 RDP(원격 데스크톱 서비스)를 이용하지 않는다면 “제어판>시스템 및 보안>시스템>원격 액세스 허용” 에서 “원격 지원 연결 허용” 체크항목을 해제한다.
7) 사례와 같이 외부로 오픈된 PC에서 tomcat을 사용중이라면 반드시 tomcat-users.xml 의 내용에서 user 목록 xml을 주석 처리하거나 삭제한다
8) 본인이 관리하는 모든 계정들(OS계정, 웹사이트 계정, 금융 계정등)의 비밀번호는 대소문자,숫자,특수문자 조합으로 8자리 이상으로 사용한다
저 역시 보안에 대한 비전문가이기에 제가 알아낸 방법은 위와 같은 정도입니다.
위 방법으로 어느정도 커버가 가능할지 알 수 없기 때문에 보안에 위협이 되는 상황이 발생된다면 빠른 조치를 위해 보안 피해 대응 매뉴얼이 마련되어야 할 듯 합니다.
