ȨÆäÀÌÁöº¯Á¶, °ø°³ À¥ ¼ÒÇÁÆ®¿þ¾î Ãë¾àÁ¡ °ø°³°¡ ÁÖ¿äÀÎ
È£½ºÆà ¾÷ü-ȨÆäÀÌÁö ¿î¿µÀÚ, º¸¾ÈÀÎ½Ä ºÎÀç¿Í Áö½Ä ºÎÁ·
Áö³ÇØ 1¿ù ÇÑ ´Þ°£ ±¹³» ȨÆäÀÌÁö º¯Á¶»ç°í°¡ 2004³â Àüü »ç°í °Ç¼öº¸´Ùµµ ¸¹ÀÌ ¹ß»ýÇÏ´Â µî ±Þ°ÝÈ÷ Áõ°¡Çß´Ù. ÀÌ·¯ÇÑ È¨ÆäÀÌÁö º¯Á¶ »ç°íÀÇ Áõ°¡´Â ȨÆäÀÌÁö À¥ È£½ºÆà ¼¹öȯ°æ¿¡¼ ¸¹ÀÌ »ç¿ëÇÏ°í ÀÖ´Â °ø°³ À¥ ¼ÒÇÁÆ®¿þ¾î Ãë¾àÁ¡ÀÌ °ø°³µÈ Á¡ÀÌ ÁÖ¿ä ¿øÀÎÀÌ´Ù.
ÇØ´ç Ãë¾àÁ¡Àº ÀÌ¹Ì ±¹³» ÇØÄ¿ »çÀÌ¿¡¼´Â ¾î´À Á¤µµ ¾Ë·ÁÁø Ãë¾àÁ¡À̾úÁö¸¸ ÇØ¿Ü º¸¾È »çÀÌÆ®¿¡ Ãë¾àÁ¡ÀÌ °ø°³µÈ ÀÌÈĺÎÅÍ ÇØ´ç Ãë¾àÁ¡À» ÀÌ¿ëÇÏ´Â ÇØ¿Ü ÇØÄ¿±×·ìÀÌ ´Ã¾î³²¿¡ µû¶ó Áö³ÇØ »ó¹Ý±â¿¡¸¸ 1¸¸ 3214°ÇÀÇ º¯Á¶»ç°í°¡ ¹ß»ýÇÏ´Â µî ¸¹Àº ÇÇÇØ°¡ ¹ß»ýÇß´Ù.
KISA ÀÎÅͳÝħÇØ»ç°í´ëÀÀÁö¿ø¼¾ÅÍ ¼ºÀç¸ð ÆÀÀåÀº ¡°ÀÌ·± ȨÆäÀÌÁö º¯Á¶»ç°í´Â Á¦·Îº¸µå µîÀÌ °ø°³ À¥ ¼ÒÇÁÆ®¿þ¾îÀÇ º¸¾È Ãë¾àÁ¡¿¡ ´ëÇÑ ÆÐÄ¡¸¦ Çϰųª PHPÀÇ ¼³Á¤À» º¯°æÇØ ¸·À» ¼ö ÀÖ´Â ¹®Á¦ÀÌÁö¸¸ À¥ È£½ºÆà ¾÷ü¿Í ȨÆäÀÌÁö ¿î¿µÀÚµéÀÇ º¸¾ÈÀÎ½Ä ºÎÀç¿Í Áö½Ä ºÎÁ·À¸·Î ÀÎÇØ È¨ÆäÀÌÁö º¯Á¶»ç°í°¡ Áö¼ÓÀûÀ¸·Î ¹ß»ýÇÏ´Â ÁÖ¿ä ¿øÀÎÀÌ µÈ´Ù¡±°í ¹àÇû´Ù.
¶ÇÇÑ ±×´Â ¡°È¨ÆäÀÌÁö º¯Á¶¿¡ ÀÌ¿ëµÈ Ãë¾àÁ¡Àº °ø°³ °Ô½ÃÆÇ ÇÁ·Î±×·¥ÀÎ Á¦·Îº¸µåÀÇ Ãë¾àÁ¡À¸·Î ÀÌ¹Ì ÀÌ¿¡ ´ëÇÑ º¸¾È ÆÐÄ¡À» ¹ßÇ¥Çß°í º¸¾È ´ëÃ¥µµ °øÁö ÇßÁö¸¸ ½ÇÁ¦ ½Ã½ºÅÛÀ» ¿î¿µÇÏ´Â °ü¸®ÀÚ¿Í È¨ÆäÀÌÁö ¿î¿µÀÚÀÇ º¸¾È¿¡ ´ëÇÑ °ü½É ¾øÀÌ´Â ÇÇÇØ»ç°í¸¦ ¿¹¹æÇÒ ¼ö ¾ø´Ù¡±°í µ¡ºÙ¿´´Ù.
°ø°Ý¿¡ ÀÌ¿ëµÇ´Â Á¦·Îº¸µåÀÇ Ãë¾àÁ¡Àº ¿ø°Ý »çÀÌÆ®ÀÇ PHP ÆÄÀÏÀ» ·ÎÄà ½Ã½ºÅÛ¿¡¼ ±¸µ¿½Ãų ¼ö ÀÖ´Â PHP Injection Ãë¾àÁ¡À¸·Î °ø°ÝÀÚ´Â ÀÌ Ãë¾àÁ¡À» ÀÌ¿ëÇØ ÇÇÇØ ½Ã½ºÅÛ¿¡¼ À¥¼¹ö ±ÇÇÑÀ¸·Î ÀÓÀÇÀÇ ¸í·ÉÀ» ½ÇÇàÇÒ ¼ö ÀÖ´Ù.
ÇÑÆí ´ëÇü Æ÷ÅÐ »çÀÌÆ®, ´º½º »çÀÌÆ® µîÀÇ À¥»çÀÌÆ®µéÀÌ ÇØÅ·À» ´çÇØ ¾Ç¼ºÄڵ尡 »ðÀԵǴ »ç°í°¡ ¹ß»ýÇß´Ù. ÀÌ·¯ÇÑ °ø°ÝÀº ÁÖ·Î Áß±¹¿¡ ÇÒ´çµÈ IPºí·ÏÀ¸·ÎºÎÅÍ ¹ß»ýµÇ´Â °æ¿ì°¡ ¸¹Àºµ¥ ÀÌ´Â ¿Â¶óÀÎ °ÔÀÓ ¾ÆÀÌÅÛÀÌ Çö±ÝÀ¸·Î °Å·¡µÇ°í ÀÖ¾î °ÔÀÓ ¾ÆÀÌÅÛÀ» ºÒ¹ýÀûÀ¸·Î ȹµæÇϱâ À§ÇÑ ¸ñÀûÀ¸·Î ÇØÅ·À» ÇÏ´Â °ÍÀ¸·Î º¸ÀδÙ.
ÀÌ¿¡ ´ëÇØ ¼ºÀç¸ð ÆÀÀåÀº ¡°À¥¼¹öÀÇ º¸¾È¼ºÀ» °ÈÇϱâ À§Çؼ´Â º¸¾È ¼Ö·ç¼ÇÀÇ µµ¿òÀ» ¹Þ´Â °Íµµ ÇϳªÀÇ ¹æ¹ýÀÌÁö¸¸ ±âÁ¸ÀÇ ÀüÅëÀûÀÎ º¸¾È ¼Ö·ç¼ÇÀÎ ¹æȺ®À̳ª IDS´Â À¥ °ø°ÝÀ» ŽÁöÇØ Â÷´ÜÇϱ⿡´Â ÇÑ°è°¡ ÀÖÀ¸¹Ç·Î À¥ Àü¿ë º¸¾È ¼Ö·ç¼ÇÀÇ µµÀÔÀÌ À¥ º¸¾È °È¿¡ µµ¿òÀÌ µÉ ¼ö ÀÖ´Ù¡±¸ç ¡°À¥ ¹æȺ®°ú À¥ Ãë¾àÁ¡ ½ºÄ³³Ê ¼Ö·ç¼ÇÀ¸·Î À¥ Æ®·¡ÇÈÀ» °¨½Ã¤ýºÐ¼®ÇÏ°í °ø°Ý Æ®·¡ÇÈÀ» Â÷´ÜÇÏ°í ȨÆäÀÌÁö¿¡ Á¸ÀçÇÏ´Â °ø°Ý °¡´ÉÇÑ Ãë¾àÁ¡À» »çÀü¿¡ ã¾Æ¼ Â÷´ÜÇØ¾ß ÇÑ´Ù¡±°í ¹àÇû´Ù.
¶ÇÇÑ ±×´Â ¡°Ãֱ٠ȨÆäÀÌÁö ÇØÅ·Àº ´Ü¼ø ȨÆäÀÌÁö º¯Á¶ ¼öÁØÀÌ ¾Æ´Ï¶ó ÇØÅ·ÇÑ È¨ÆäÀÌÁö¸¦ ÀÌ¿ëÇØ °í°´ÀÇ °ÔÀÓ ºñ¹Ð¹øÈ£ À¯Ãâ, ±ÝÀ¶Á¤º¸ À¯Ãâ µî ¹üÁËÀûÀÎ ¼ºÇâÀ¸·Î ¹Ù²î°í ÀÖ´Ù¡±¸ç ¡°°ø°Ý ¹æ¹ýµµ °ø°³ À¥ °Ô½ÃÆÇÀÇ Ãë¾àÁ¡ ÀÌ¿ë, À¥¼¹ö ¼³Á¤ ¿À·ù, SQL Injection µî °³¹ß ¿À·ù µî°ú °°ÀÌ ´Ù¾çÇÑ Ãë¾àÁ¡µé¿¡ ´ëÇØ °ø°ÝÇÏ°í ÀÖÀ¸¹Ç·Î ±â¾÷ÀÇ Àü¹ÝÀûÀÎ À¥ º¸¾È ÇöȲÀ» Á¡°ËÇØ º¸¿ÏÇÒ ÇÊ¿ä°¡ ÀÖ´Ù. ÀÌÁ¦´Â ÀÎÅͳݻ󿡼 °í°´ÀÇ °³ÀÎÁ¤º¸¸¦ ÁöÅ°°í ±â°üÀÇ ½Å·Ú¸¦ À¯ÁöÇϱâ À§ÇØ È¨ÆäÀÌÁöº¸¾È °ü¸®¿¡µµ °¢º°È÷ ½Å°æÀ» ½á¾ß ÇÒ ¶§¡±¶ó°í µ¡ºÙ¿´´Ù.
< ȨÆäÀÌÁö ħÇØ»ç°í ´ëÀÀ ¹æ¾È >
¡á »ç¿ëÀÚ ÀÔ·Â °ª °ËÁõ(SQL Injection Ãë¾àÁ¡ Á¦°Å)
SQL Injection °ø°ÝÀ» ¹æ¾îÇϱâ À§ÇØ »ç¿ëÀÚ ÀԷ°ªÀ̳ª URL ÀÎÀÚ°ª¿¡ ´ëÇÑ °ËÁõÀÌ ¿ì¼±½Ã µÅ¾ß ÇÑ´Ù. µ¥ÀÌÅͺ£À̽º¿Í ¿¬µ¿ÇÏ´Â ½ºÅ©¸³Æ®ÀÇ ¸ðµç ÆĶó¹ÌÅ͵éÀ» Á¡°ËÇÏ¿© »ç¿ëÀÚÀÇ ÀԷ°ªÀÌ SQL InjectionÀ» ¹ß»ý½ÃÅ°Áö ¾Êµµ·Ï ¼öÁ¤ÇÑ´Ù.
¡á ºÒÇÊ¿äÇÑ È®Àå ÀúÀå ÇÁ·Î½ÃÀú Á¦°Å
MS-SQL ¼¹ö¿¡¼ Á¦°øÇÏ´Â ÀÖ´Â È®Àå ÀúÀå ÇÁ·Î½ÃÀú Áß »ç¿ëÇÏÁö ¾Ê´Â ÇÁ·Î½ÃÀúµéÀ» Á¦°ÅÇϵµ·Ï ÇÑ´Ù. xp_cmdshell, xp_regread, xp_dirtree¿Í °°Àº ÇÁ·Î½ÃÀúµéÀº °ø°ÝÀÚ¿¡ ÀÇÇØ ÀÌ¿ëµÉ ¼ö ÀÖÀ¸¹Ç·Î Á¦°ÅÇÑ´Ù.
¡á ¾÷·Îµå Ãë¾àÁ¡ Á¦°Å
¾÷·Îµå ÆÄÀÏÀ» À§ÇÑ µð·ºÅ丮ÀÇ ½ÇÇ༳Á¤ Á¦°Å ¾÷·ÎµåÆÄÀÏÀ» À§ÇÑ Àü¿ë µð·ºÅ丮¸¦ º°µµ »ý¼ºÇØ À¥ ¼¹ö ¼³Á¤ ÆÄÀÏ¿¡¼ ½ÇÇ༳Á¤À» Á¦°ÅÇÔÀ¸·Î½á Server side Script°¡ ¾÷·Îµå µÇ´õ¶óµµ À¥ ¿£ÁøÀÌ ½ÇÇàµÇÁö ¾Ê°Ô ȯ°æÀ» ¼³Á¤ÇÑ´Ù.
< ³×Æ®¿öÅ© Àåºñ¿¡ ´ëÇÑ Ä§ÇØ»ç°í ´ëÀÀ ¹æ¾È >
³×Æ®¿öÅ© ÀåºñÀÇ µðÆúÆ® ·Î±×ÀÎ Æнº¿öµå Ãë¾àÁ¡¿¡ ´ëÇÑ °¡Àå ±âº»ÀûÀÎ ´ëÃ¥Àº Ãâ°í½Ã¿¡ ¼³Á¤µÈ ·Î±×ÀÎ Æнº¿öµå¸¦ º¯°æÇÏ´Â °ÍÀÌ´Ù. ¶ÇÇÑ ³×Æ®¿öÅ© Àåºñ¿¡ ´ëÇØ ¿ø°ÝÁö·ÎºÎÅÍÀÇ telnet ¼ºñ½º Á¢±ÙÀ» Â÷´ÜÇϰųª ƯÁ¤ °ü¸®ÀÚ IP¿¡¼¸¸ Á¢¼ÓÇÒ ¼ö ÀÖµµ·Ï Çã¿ëÇØ¾ß ÇÑ´Ù.
¡á ºÒÇÊ¿äÇÑ ¿ø°ÝÁ¢¼Ó ¼ºñ½º Á¦°Å
ÀÚ½ÅÀÌ °ü¸®ÇÏ°í ÀÖ´Â ³×Æ®¿öÅ© Àåºñµé¿¡ ¿ø°ÝÁö¿¡¼ ÅÚ³Ýµî ¿ø°Ý Á¢¼Ó ¼ºñ½º°¡ Á¦°øµÇ°í ÀÖ´ÂÁö Á¡°ËÇÑ´Ù. ÀÌ´Â nmap, superscan µî °ø°³¿ë Æ÷Æ® ½ºÄ³³Ê¸¦ ÀÌ¿ëÇÏ¸é ½±°Ô È®ÀÎÇÒ ¼ö ÀÖ´Ù. ÅÚ³Ý »Ó¸¸ ¾Æ´Ï¶ó Àüü ½Ãºñ½º Æ÷Æ®¿¡ ´ëÇØ Á¡°ËÀ» ÇÏ°í ºÒÇÊ¿äÇÑ ¼ºñ½º°¡ Á¦°øµÇ°í ÀÖÀ» °æ¿ì, À̸¦ Á¦°ÅÇÒ ÇÊ¿ä°¡ ÀÖ´Ù. ÅÚ³Ý ¼ºñ½ºµµ ¿ø°ÝÁö¿¡¼ Á¢¼ÓÇÒ ÇÊ¿ä°¡ ¾øÀ» °æ¿ì ¼ºñ½º¸¦ disable ½ÃÅ°´Â °ÍÀÌ ¾ÈÀüÇÏ´Ù.
¡á ¹è³ÊÁ¤º¸ ¼û±â±â
ÅÚ³Ý Á¢¼Ó½Ã ³×Æ®¿öÅ© ÀåºñÀÇ ¹è³Ê¿¡´Â Àåºñ¸í°ú ¼ÒÇÁÆ®¿þ¾î ¹öÀüµî Àåºñ¿¡ ´ëÇÑ »ó¼¼ÇÑ Á¤º¸°¡ Á¦°øµÇ´Â °æ¿ì°¡ ÀÖ´Ù. ÀÌ·¯ÇÑ ¹è³Ê Á¤º¸´Â °ø°ÝÀÚ¿¡´Â °ø°ÝÀ» À§ÇÑ ¾ÆÁÖ À¯¿ëÇÑ Á¤º¸°¡ µÉ¼ö ÀÖ°í ÀÌ Á¤º¸¸¦ ÀÌ¿ëÇÏ¿© ÇØ´ç ÀåºñÀÇ µðÆúÆ® ·Î±×ÀÎ Æнº¿öµå·Î °ø°ÝÀ» ½ÃµµÇÒ ¼ö ÀÖ´Ù.
¡á µðÆúÆ® ·Î±×ÀÎ Æнº¿öµå º¯°æ
CISCO ¶ó¿ìÅÍ¿¡ »ç¿ëµÇ´Â ¸ðµç Æнº¿öµå´Â Ãʱâ setup ¸ðµå¿¡¼ ¼³Á¤ÇÒ ¼ö ÀÖÀ¸¸ç config ¸ðµå¿¡¼µµ °£´ÜÇÑ ¸í·É¾î¸¦ »ç¿ëÇÏ¿© ¼³Á¤ÇÒ ¼ö ÀÖ´Ù. CISCO ¶ó¿ìÅÍ¿¡¼ Virtual Terminal Æнº¿öµå´Â ¿ø°ÝÁö¿¡¼ ÅÚ³Ý Á¢¼ÓÀ» °¡´ÉÇÏ°Ô ÇÏ´Â Æнº¿öµå·Î Virtual Terminal Æнº¿öµå°¡ Á¤ÀǵÇÁö ¾ÊÀ¸¸é ÅÚ³ÝÀ» »ç¿ëÇÒ ¼ö ¾ø´Ù. CISCO ¶ó¿ìÅÍ¿¡¼´Â ¿ø°Ý ÅÚ³Ý Á¢¼Ó½Ã ´ÙÀ½°ú °°ÀÌ Æнº¿öµå¸¦ ¼³Á¤ÇÒ ¼ö ÀÖ´Ù.
¡á ¼Ò½º IPº° Á¢±ÙÅëÁ¦
µðÆúÆ® ·Î±×ÀÎ Æнº¿öµå¸¦ º¯°æÇصµ °ø°ÝÀÚ¿¡ ÀÇÇÑ ¡®Brute Force¡¯ °ø°Ý µî¿¡ ÀÇÇؼ Æнº¿öµå°¡ °ø°Ý¹ÞÀ» À§Ç輺ÀÌ µµ»ç¸®°í ÀÖ´Ù. ³×Æ®¿öÅ© Àåºñ¿¡ ´ëÇÑ ÅÚ³Ý Á¢±ÙÀº ÀϹÝÀε鿡°Ô ºÒÇÊ¿äÇÑ ¼ºñ½ºÀ̹ǷΠ°¡´ÉÇÑ °ü¸®ÀÚ ½Ã½ºÅÛ¿¡¼¸¸ Á¢±ÙÇÒ ¼ö ÀÖµµ·Ï ¼Ò½º IPº° Á¢±ÙÅëÁ¦¸¦ ÇÒ ÇÊ¿ä°¡ ÀÖ´Ù. ȨÆäÀÌÁö ¿î¿µ Áß¿¡ ¹ß»ýµÇ´Â º¸¾È ¹®Á¦Á¡¿¡ ´ëÇÑ ¼ö½ÃÁ¶Ä¡ º¸´Ù´Â ȨÆäÀÌÁö¸¦ ÃÖÃÊ ¼³°è¤ý°³¹ßÇÏ´Â ´Ü°è¿¡¼ºÎÅÍ º¸¾ÈÀÌ °í·ÁµÅ¾ß ÇÑ´Ù.
À¥ °³¹ßÀÚµéÀº KISA¿¡¼ ÀÛ¼º ¹èÆ÷ÇÏ°í ÀÖ´Â ¡®È¨ÆäÀÌÁö °³¹ß º¸¾È °¡À̵塯¸¦ Âü°íÇØ È¨ÆäÀÌÁö °³¹ß °úÁ¤¿¡¼ºÎÅÍ °ø°Ý °¡´É¼ºÀÌ ÀÖ´Â ´Ù¾çÇÑ Ãë¾àÁ¡¿¡ ´ëÇØ º¸¾ÈÁ¶Ä¡¸¦ ÇÒ Àǹ«°¡ ÀÖ´Ù.
ȨÆäÀÌÁö °³¹ß º¸¾È °¡À̵å´Â ´ÙÀ½ »çÀÌÆ®¿¡¼ ¹èÆ÷ÇÏ°í ÀÖ´Ù.
www.kisa.or.kr/news/2005/announce_20050427_submit.html
[¹ÚÀº¼ö ±âÀÚ(boannews@infothe.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö.>