우키의 보안이야기

  보안솔루션에서 제공한다고 하는  여러가지 기능들이 제대로 작동할 것이라고 기대하고들 계시겠지만   실제로는 그렇지 않은 경우가 많습니다.  보안솔루션을 선택할 때 주의 할 것들을 정리해보았습니다. 회사에서 보안업무를 하면서 경험으로 배운 것들이죠..  ㅠㅠ  보안솔루션을  BMT하거나 할 때  아래의 사항을 충분히 숙지하고  잘 선택하시기 바랍니다.
 

▶ 보안솔루션을 선택하기 전   반드시 알아야 할 것

1) 직접 확인하지 않은 것은 믿지 말고   가능한 모든 케이스를 테스트하라  
   보안프로그램의 경우  가능한 모든 케이스를 실제로 테스트하는 것이 중요합니다.   제 경우엔  모니터링만 할때는 문제가 없다가  차단을 시작하면서  블루스크린이 수많은 PC에서 발생하는 경우를 경험한바 있습니다.  보안프로그램은  드라이버단에서 동작하므로  가능한 모든 상황에서  모든테스트를 아끼지 않아야 합니다. 
2) 레퍼런스가 많지 않는 새로운 제품일 경우 주의가 요구된다.
   이런 경우 제조사의 규모가 작거나  재무구조가 불안할 경우  제품이 단종되고나  회사가 문을 닫거나 할 수있는 가능성이 있습니다.   이럴경우 비싼 비용을 주고 구매한 솔루션이  몇년 지나지 않아  사후 지원을 받을 수없게 될 수도 있습니다.
3) 안정적인 동작이 가능한지 확인하라
    Bluescreen이 많이 뜨기라도 한다면   보안프로젝트의 신뢰성은 땅에 떨어지고  사람들로부터 외면을 받게 될 수 있습니다.  보안프로그램에서 제공하는 화려한 많은 기능보다는   안정적인 동작과 운영이 가능한 지가 훨씬 더 중요한 결정요소라는 것을 잊지마시기 바랍니다.
4) 취약점을 인지하고  제품이 제공하는 보호범위와 기능이 어디까지인지  명확히 확인하라
   보안프로그램에도 한계가 있는 것이 사실입니다.  취약점을 미리 확인할 수있고 관리적인 방법으로 해결할 수 있다면  취약점이 반드시 위험하다고만은 할 수 없을 것입니다.  모르고있는것은 위험할 수 있겠지요..

 발견하기 힘든 취약점이라고 절대로 안심하지 마시기 바랍니다.  유저들은 받드시 취약점을 찾아냅니다. 영업부이든 생산부이든   누군가 취약점을 찾아 낼 것이고  곧  그 내용은 사내에서 공유될 것입니다.  그리고 취약점이 발견되는 데에는  그리 오랜 시간이 걸리지 않을 것입니다.  발견된 취약점이  신속하게 보안팀에 보고될 수있게 하시고  이런 경우  포상제도까지 마련하는 것이 필요할 수 있겠지요..  

원문참조: http://www.itdaily.kr/news/articleView.html?idxno=19018#

  보안프로그램들에도 여러가지 취약점이 존재합니다.  아래에 소개되는 것은  올해초에 보안USB 취약점이라고 발표되었던 내용입니다.  보안USB뿐만 아니라 보안프로그램 범주에 들어가는 것들은  이런 취약점이 존재할 수 있습니다. 보안프로그램  또는 보안USB를 도입하고자 하는 기업은 반드시 아래의 취약점들이 조치되었는지 확인하는 것이 필요합니다.  

 
▶ 보안USB에서 그동안 발견된 주요 취약점 정리

1. 실행 프로세스 강제 종료 우회 방법
B사 : 에이전트 보호 기능으로 프로세스 정지 또는 서비스 삭제 방지 기능, 안전모드에서의 매체 제어 정상동작 기능, 윈도우 복구를 통한 에이전트 제거 방지 기능, 안전모드에서의 서비스 삭제 방지 기능을 지원한다.
C사 : 자체 보호기능, 프로세스 Kill 방지, 복원 기능으로 프로세스 강제 종료를 통한 자료 유출을 원천 방지한다. 자체 보호기능은 레지스트리 조작, 프로그램 조작 방지 기능으로 사용자의 임의 조작을 차단하며, 프로세스 Kill 방지 기능은 중요 프로세스 숨김, Kill 방지로 강제 종료를 할 수 없다. 만일의 경우 프로세스가 종료되어도 자동 재실행이 된다.

2. 시작프로그램 삭제 우회 방법
서비스 강제 종료 금지 기능 지원

3. 안전모드 부팅 우회 방법
폴더 삭제 또는 변경 금지 기능 지원

4. PC부팅 시간차 우회 방법
드라이브 레벨에서 제어하는 솔루션이기 때문에 PC부팅 시간과 관계없이 매체 차단 구현

5. 안전모드 폴더 삭제 우회 방법
B사 : 안전모드로 부팅후 일반USB로 저장하려 해도 기본적인 차단으로 매체를 제어한다.
C사 : 안전모드로 부팅해도 자체 보호 모듈을 포함하여 모든 기능이 정상 동작하므로 프로그램 폴더 삭제 등을 통해 무력화 시킬 수 없다.

6. 공유폴더 접근 우회 방법
공유를 하더라도 인증없는 상태에서는 암호화 상태이기 때문에 자료 유출을 할 수 없다.

7. 도스 창 우회 방법
도스 명령을 통한 접근 시에도 인증없이는 내용을 볼 수 없다.

8. 특정 소프트웨어(예: 파이널데이타SW)를 통한 불법접근 우회접근 방법
애플리케이션 실행 제어 기능으로 사전에 등록해 우회접근을 원천 차단한다.

9. 패스워드 스니핑 공격 무력화 우회 방법
고려대에서 암호화 검증을 받은 K라이브러리를 통한 완벽 보안을 하고 있다.

10. VM웨어 우회 방법
B사 : 현재까지 납품된 사이트는 VM웨어를 사용하지 않고 있어 이로 인한 문제가 발생한 적이 없으며, 보안 적합성을 받은 모든 제품의 문제로 향후 판매를 대비해 보완 중이다.
C사 : VM웨어에서 일반 USB를 통한 자료 유출이 가능한 취약점이 발견된 건 사실이나 추가로 보완 모듈을 개발 완료하여 테스트를 진행 중이며, 현재 고객사에 적용 예정이다.

이밖에도 공인인증서를 저장하는 경우 보안USB 승인을 받지 않아도 되는 점을 악용한 공인인증서 파일확장자로 변경하여 시도되는 자료 유출과 관련 일반USB에 대해서는 파일확장자 예외없이 쓰기(write)를 커널 드라이버 레벨에서 근본적으로 차단하므로 파일 확장자를 변경해 저장하는 게 불가능하다.

1. Go to Services and stop the OfficeScan Master Service.
  
2. Open a command prompt and then go to C:\Program Files\Trend Micro\OfficeScan\PCCSRV.
  
3. Run the following command:
    SVRSVCSETUP.EXE -uninstall
4. Exit the command prompt.
 
5. Open the Registry Editor.
   Important: Always back up the whole registry before making any modifications. Incorrect changes to the registry can cause serious system problems.

6.Go to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
 
7.Make sure that ofcservice hive is deleted.
 
8.Go to HKEY_LOCAL_MACHINE\SOFTWARE\Trend Micro\OfficeScan\.
 
9.Delete the OfficeScan hive.
 
10.Go to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
 
11.Delete the OfficeScan Management Console-<ServerName> folder.
 
12.Go to the C:\Program Files\Trend Micro\OfficeScan\PCCSRV folder.
 
13.Undo the sharing of the \PCCSRV folder.

14.Reboot the server.
 
15.Go to C:\Program Files\Trend Micro\OfficeScan\PCCSRV and delete the \PCCSRV folder.
 
16.Delete the OfficeScan Web site in the Internet Information Services (IIS).
    a.Open the IIS console.
    b.Expand the ServerName.
    c.If you installed OfficeScan on a separate web site, go to Web Sites folder and then delete OfficeScan.
    d.If you installed OfficeScan virtual directories under Default Web Site, go to Default Web Site and then delete the OfficeScan virtual directory.
 

     Note: Make sure you have logged on using an account with Administrator privileges.
 1. Right-click on the OfficeScan system tray icon then select Unload OfficeScan.
If you are asked for a password, enter the unload password then click OK. If you do not know the password, skip this step.
 2. Open the Windows Services console (services.msc).
 3. Stop the following services:
   – OfficeScanNT Listener
   – OfficeScanNT RealTime Scan
   – OfficeScanNT Personal Firewall
    Note: The services will already be stopped if you were able to unload the OfficeScan client in Step 1.
 4. Click Start > Programs, right-click on Trend Micro OfficeScan Client then click Delete.
 5. Open the Registry Editor (regedit.exe).
   Important: Always make a back up copy of the whole registry before making any modifications. Incorrect changes to the registry can cause serious system problems.
 6. 
    a. Delete the following registry key(s):
         If only the OfficeScan client program is installed:
      HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro
         If there are other Trend Micro products installed:
      HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\NSC
      HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfcWatchDog
      HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp
    b.Delete the following registry key:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\OfficeScanNT
    c. Delete the following registry value:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      Name: OfficeScanNT Monitor (REG_SZ)
    d. Delete all instances of the following registry keys in the following locations:
            Locations:
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
       HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
       HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services
       HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services
           Keys:
       ntrtscan
       tmcfw
       tmcomm
       TmFilter
       Tmlisten
       tmpfw
       TmPreFilter
       TmProxy
       tmtdi
       VSApiNt
       ntrtscan
7. Close the Registry Editor.
8. Click Start > Settings > Control Panel then double-click System.
9. Click the Hardware tab then click Device Manager.
10.Click View > Show hidden devices.
11.Expand Non-Plug and Play Drivers then uninstall the following devices:
    tmcomm
    Trend Micro Filter
    Trend Micro PreFilter
    Trend Micro TDI Driver
    Trend Micro VSAPI NT
 
12. Uninstall the Common Firewall Driver:
    a. Right-click on My Network Places then click Properties.
    b. Right-click on Local Area Connection then click Properties.
    c. On the General tab, select Trend Micro Common Firewall Driver then click Uninstall.
      For Windows Vista clients, do the following:
    a. Right-click on Network then click Properties.
    b. Click Manage network connections.
    c. Right-click on Local Area Connection then click Properties.
    d. On the Networking tab, select Trend Micro Common Firewall Driver then click Uninstall.
13. Restart the computer.
14. Delete the following directory:
     If only the OfficeScan client program is installed:
     C:\Program Files\Trend Micro
     If there are other Trend Micro products installed:
     C:\Program Files\Trend Micro\OfficeScan Client

  최근 행정안전부에서  기업들을 대상으로 대규모 개인정보 점검이 시행되고 있습니다. 이런 때  보안공지메일을 통해서  개인정보 보호에 관한 공지 및 교육을 한다면  매우 좋은 효과를 얻을 수 있습니다. ^^ 

   보안전문가들의 공통적인 의견은   기업보안의 성공의 핵심열쇠는  “경영진의 보안에 대한 전폭적인 지지와 투자”로 모여집니다.  보안부서의 활동이  기업전략과 일치하게 되기 위해서도…    사실상 업무효율에 단기적으론 부정적인 영향을 미칠수 밖에 없는 보안이 기업전반에 시행되기 위해서도  경영진의 보안참여는  필수적이라 하겠습니다.   경영진이 단순히 보고받는 것이 아니라  경영진이  보안에 대한 책임을 지고 보안전반을 지휘하는것이  필요한 것이죠.. 

   금번에 방통위에서 추진하고 있는  대기업에 대한 CISO의무화 법체화는  기업들의 보안수준을 올리는데  계기가 될만한  사안인 것 같습니다.   아직은 검토중이지만  법제화되는데  큰 어려움이 없을 듯합니다. 법제화 되었을때는 단순히 CISO를 선임하는데 그치지않고  기업내 정보보호 활동에 대한 제도화까지 될 듯 하다고 합니다.  
 
 
=================================================================================
원문링크: http://www.etnews.co.kr/news/detail.html?portal=001_00001&id=200909170263 

    방송통신위원회는 17일 서울 프라자호텔에서 최시중 방통위원장과 업계 관계자 100여명이 참가한 가운데 ‘최고경영자(CEO) 초청 정보보호 전략회의’를 열고 민간 기업들의 정보보호의식이 개선돼야 한다며 이 같은 ‘기업 정보보호 수준 제고’ 방안을 발표했다.

  황철증 방통위 네트워크정책국장은 “민간기업 정보보호 강화를 위해 일정 규모 이상의 기업 내 CISO를 지정해 정보보호 투자계획을 정기적으로 이사회에 보고하는 등 기업 내 정보보호 활동을 제도화할 것”이라며 “정책적 실효성을 높이기 위해 정통망법에 CISO 의무화 조치를 삽입하는 방안을 검토 중”이라고 밝혔다. 범위를 확정하지 않았으나 연 매출 8000억원 이상 대기업군은 CISO 선임 의무화 대상에 포함될 것이 확실시된다.

   정부의 이 같은 조치는 인터넷 침해사고로 인한 기업들의 경제적 손실이 매년 4000억∼5000억원에 달하지만, 국내 기업의 80% 이상은 전체 정보화 예산 중 정보보호 예산이 3% 미만에 그치며, 전담 인력도 없어 보안의 사각지대로 방치되기 때문이다.  방통위는 CISO 의무화로 기업 정보화 예산의 5% 이상, 정보화 인력의 10% 이상이 정보보호에 할당될 것으로 기대했다.

요즘은 바이러스가  시스템 깊숙히 숨는 경향이 있기때문에  찾는 것이 쉽지않습니다.
백신을 돌려서 치료를 다 했는데도 여전히 비정상적인 활동을 보이는 pc가 있다면
ICE sword 등을 이용하여  수상한 파일을  찾을 수있는데요  사용법이 복잡합니다.
아직 백신이 검색 하지 못하는 의심파일을 추출하여  백신사에 재빨리 보내는 것이 중요한데요..
이럴때 쓸 수 있는 프로그램이 바로  이것입니다.
SIC 프로그램은  시스템의 세부 정보들과 의심스런 파일을 손쉽게 수집할수있게해줍니다.

다운로드 URL:
http://www.trendmicro.com/download/sic.asp

로그파일 생성위치:  SIC프로그램 아래의 SICLOG 폴더
로그파일 명:   SICLOG*****  라는 파일
주요 검색어: Rootkit Information 라는 단어를 찾아서 그 하단의 내역에 주목하세요
의심파일을 추출해보도록 하겠습니다.  [Retrieve file]버튼을 클릭하시면  의심파일 리스트가 뜹니다.
여기서 정상파일은 제외하고   압축하면 되겠습니다.
SIC 프로그램 폴더내에 생긴 SUSPECT 파일이  바로 샘플파일이 되겠습니다.
이 파일은 백신사에 보내어  분석하여 새로운 백신패턴에 적용되도록 하면 되겠네요…

지난 8월에  보안패치를 SUS에서 설치하도록 하려했는데 해당KB넘버가 보이지않더군요..
평소에 자동으로 MS사이트에서  SUS서버로 패치를 다운로드받도록 설정했는데 말이죠..
다운로드된 패치 KB넘버를 검색하여  Approve해주면  그  패치는 클라이언트들이 받아가게 됩니다.
approve를 해야하는데  KB넘버가 안나오니  설치를 할수가 없는거죠.
확인결과    결론적으론  KB게시판의 내용을 자세히 안 본것이 원인이 되었더군요…

여기서는 MS09-043를 기준으로 설명을 하겠습니다.  ^^ 
KB넘버가  957648로 보입니다.

아래 화면에서 보시듯  957638은 검색해도 나오지 않습니다.  

이런 경우   해당 KB 링크를 클릭하여    들어가 보도록 하겠습니다.
http://catalog.update.microsoft.com/v7/site/Search.aspx?q=MS09-043

아래의 KB957638 페이지 내부를 보면  영향받는 소프트웨어 란에 
적용받는 product별로 세부 KB넘버가 또 나오게 됩니다.

저는 여기서 Microsoft Office2003 Web component 서비스팩3를 우선 패치하도록 하겠습니다.
KB넘버는 947319입니다. SUS에서 찾으니 이제 찾아지네요.. approve함으로써 패치배포 가능해졌네요

   트렌드마이크로의 기업용 백신인 Officescan은  기본적으로 OS가 설치된 드라이브에 설치되도록 되어있습니다.  이외의 디렉토리를 지정해서 설치할 수 없게 되어 있습니다.  설치시   설치위치를 물어보지않죠..  그러면…  서버의 경우  C드라이브 공간이 매우 적게 잡혀있는 경우  매우 곤란하게 됩니다. 임시파일을 다운로드 받고   그 파일을 풀어서  드라이브에 설치하는데 350M정도의 여유가 필요합니다. C드라이브에 그 이하의 공간만 남아있다면  아마도 설치에 실패하실 것입니다.  난감한거죠…

이럴땐  다른 드라이브에 설치가능한  별도의 설치패키지를 만들어야 합니다.
여기선  d:\ProgramFiles\Trend Micro\OfficeScan Client\폴더에 설치하는 패키지를 만들어보겠습니다.

▶ 설치환경파일 편집하기
트렌드 Officescan 중앙서버의  OfficeScan\PCCSRV 폴더내부에 있는 ofcscan.ini 파일을 열어보세요
이 파일은 서버에 저장된 제반 정책및  여러가지 환경설정값들이 들어있습니다.
먼저 이 파일의 백업본을 만들어두세요.. (패키지를 만든후 다시 원복해야하니까요) ofcscan_bakcup.ini
WinNT_InstallPath=$ProgramFiles\Trend Micro\OfficeScan Client 항목으로 이동합니다.
WinNT_InstallPath=d:\ProgramFiles\Trend Micro\OfficeScan Client 라고 바꿔줍니다.

▶ 설치패키지를 만들겠습니다.
D:\OfficeScan\PCCSRV\Admin\Utility\ClientPackager 폴더로 이동합니다.
ClnPack.exe 를 실행합니다.
아래와 같이 패키지를 만드면 됩니다.

▶ 환경파일을 원복합니다.
  트렌드 Officescan 중앙서버의  OfficeScan\PCCSRV 폴더내부에 있는 ofcscan.ini 파일을 원복하세요
이거 잊으시면 예기지 않은 에러를 만나게 될 수도 있으니까요… 

내일부터 이틀간 ISEC2009행사에 참석하게 됩니다.
2007년부터 매년 가 보고 있는데요.. 새로운 여러가지 지식들을 얻게되는 것 같습니다.

행사 홈페이지: http://www.isecconference.org/ 

Session중에 제가 참여할것을 정리해보았습니다. 빨간색 Box로 표시된 것이 그것이죠..  ^^
기술적인 이슈도 이슈입니다만..   문화,관리,체계등에 관한  이슈에  귀를 크게 열려고 합니다.