정보보안/정보
[해킹기법과 대응] ⑥ 백도어와 트로이목마 (3)
Huikyun
2009. 2. 25. 00:42
탐지 및 예방
백도어나 트로이목마를 탐지하는 것은 매우 많은 설정(변수)들이 있기 때문에 매우 어렵다. 이에 대한 권고책으로 네트웍 상에서의 공격을 인식하기 위한 침입탐지 소프트웨어와 취약점 검사(네트웍상의 시스템에 백오리피스가 설치되었는지를 탐지하기 위한)를 하는 업데이트된 백신 소프트웨어 버전을 사용해야 한다.
외부에서의 네트웍 연결시도뿐 아니라 시스템상에서 백도어 프로그램 출현을 탐지하는 것은 기존의 백신소프트웨어의 한계를 넘어섬에 따라 네트웍 취약점 및 침입탐지 가능성은 백도어 프로그램을 확인하여 제거 시키는데 있어 매우 중요하다.
사용자 및 관리자들은 다음과 같은 주의사항을 염두하여 컴퓨터 안전예방책을 취해야 한다.
1) 불법적인 사이트 방문 자제
- P2P , 와레즈 사이트 , 불법적인 자료, 외설 음란 자료 열람 자제
2) 바이러스 백신 프로그램 사용
- 지속적인 최신 버전 업그레이드(실시간 감시 설정)
3) 개인 방화벽(HOST Based IPS) 시스템 사용
- Zone Alarm, ISS Remote Desktop Protector 등 사용
4) 정품 S/W 사용
- KeyGen, Program Crack 프로그램 사용 금지
5) 비정상적인 실행 파일이나 첨부 파일 실행 금지
- 메일의 첨부물은 함부로 개봉하지 않음(EXE 등 파일 실행 금지)
- Internet Chat Systems로부터 실행 파일이나 링크를 열지 않음
- 인터넷, PC 통신 등을 통한 외부 소프트웨어 다운시 바이러스 진단
- 파일이나 폴더 공유시 쓰기 권한 제한
6) 네트워크 침입 탐지 시스템
- 침입탐지는 시스템에 대한 접속을 통제하는 것과 마찬가지로 중요하다. 예전의 대부분의 침입탐지 기술들은 로그를 기반으로 하였지만 최근의 침입탐지 기술은 실시간 스니핑과 네트워크 트래픽 보안 분석에 기반으로 하고 있다. 많은 네트워크 트래픽 백도어들을 쉽게 탐지할 수 있다.
7) 네트워크 침입 방지 시스템
- 침입탐지시스템에서 탐지된 알려진 트로이목마나 백도어 등의 시그네쳐 기반의 Blocking 설정
8) 침입 차단 시스템
- 잘 알려진 트로이목마나 백도어의 포트 설정
- 시스템 파일의 무결성 점검
- 트로이 목마와 백도어에 의한 불법적인 프로그램의 수정 및 변경 사실을 감시 하기 위해서는 파일 시스템의 무결성을 점검하는 도구의 필요
9) 무결성 점검 시스템
- Tripwire 등과 같은 시스템 무결성 도구를 사용한 시스템 파일의 변경 사실 감지
10) 취약점 점검 도구
- 네트워크 베이스, 호스트 베이스 취약점 점검 도구를 사용한 지속적인 점검을 통한 백도어 및 트로이 목마 사용 및 취약점 점검 실시
마지막으로, 새로운 취약성들이 매일 발표 되고 있고 침입자들이 새로운 공격기술과 백도어 기술을 만들어 가고 있기 때문에, 지속적으로 바이러스 백신을 업데이트하고 신뢰 하지 않는 사이트로부터의 다운로드 및 실행 하지 않는 등 주의를 기울이지 않는다면 어떠한 보안 기술도 효과적이지 못하다는 것을 명심하여야 한다.
출처 : (주)코코넛 시큐레터 2004년 3월호
백도어나 트로이목마를 탐지하는 것은 매우 많은 설정(변수)들이 있기 때문에 매우 어렵다. 이에 대한 권고책으로 네트웍 상에서의 공격을 인식하기 위한 침입탐지 소프트웨어와 취약점 검사(네트웍상의 시스템에 백오리피스가 설치되었는지를 탐지하기 위한)를 하는 업데이트된 백신 소프트웨어 버전을 사용해야 한다.
외부에서의 네트웍 연결시도뿐 아니라 시스템상에서 백도어 프로그램 출현을 탐지하는 것은 기존의 백신소프트웨어의 한계를 넘어섬에 따라 네트웍 취약점 및 침입탐지 가능성은 백도어 프로그램을 확인하여 제거 시키는데 있어 매우 중요하다.
사용자 및 관리자들은 다음과 같은 주의사항을 염두하여 컴퓨터 안전예방책을 취해야 한다.
1) 불법적인 사이트 방문 자제
- P2P , 와레즈 사이트 , 불법적인 자료, 외설 음란 자료 열람 자제
2) 바이러스 백신 프로그램 사용
- 지속적인 최신 버전 업그레이드(실시간 감시 설정)
3) 개인 방화벽(HOST Based IPS) 시스템 사용
- Zone Alarm, ISS Remote Desktop Protector 등 사용
4) 정품 S/W 사용
- KeyGen, Program Crack 프로그램 사용 금지
5) 비정상적인 실행 파일이나 첨부 파일 실행 금지
- 메일의 첨부물은 함부로 개봉하지 않음(EXE 등 파일 실행 금지)
- Internet Chat Systems로부터 실행 파일이나 링크를 열지 않음
- 인터넷, PC 통신 등을 통한 외부 소프트웨어 다운시 바이러스 진단
- 파일이나 폴더 공유시 쓰기 권한 제한
6) 네트워크 침입 탐지 시스템
- 침입탐지는 시스템에 대한 접속을 통제하는 것과 마찬가지로 중요하다. 예전의 대부분의 침입탐지 기술들은 로그를 기반으로 하였지만 최근의 침입탐지 기술은 실시간 스니핑과 네트워크 트래픽 보안 분석에 기반으로 하고 있다. 많은 네트워크 트래픽 백도어들을 쉽게 탐지할 수 있다.
7) 네트워크 침입 방지 시스템
- 침입탐지시스템에서 탐지된 알려진 트로이목마나 백도어 등의 시그네쳐 기반의 Blocking 설정
8) 침입 차단 시스템
- 잘 알려진 트로이목마나 백도어의 포트 설정
- 시스템 파일의 무결성 점검
- 트로이 목마와 백도어에 의한 불법적인 프로그램의 수정 및 변경 사실을 감시 하기 위해서는 파일 시스템의 무결성을 점검하는 도구의 필요
9) 무결성 점검 시스템
- Tripwire 등과 같은 시스템 무결성 도구를 사용한 시스템 파일의 변경 사실 감지
10) 취약점 점검 도구
- 네트워크 베이스, 호스트 베이스 취약점 점검 도구를 사용한 지속적인 점검을 통한 백도어 및 트로이 목마 사용 및 취약점 점검 실시
마지막으로, 새로운 취약성들이 매일 발표 되고 있고 침입자들이 새로운 공격기술과 백도어 기술을 만들어 가고 있기 때문에, 지속적으로 바이러스 백신을 업데이트하고 신뢰 하지 않는 사이트로부터의 다운로드 및 실행 하지 않는 등 주의를 기울이지 않는다면 어떠한 보안 기술도 효과적이지 못하다는 것을 명심하여야 한다.
출처 : (주)코코넛 시큐레터 2004년 3월호