2011.04.22

어느 보안 전문가의 고백 : “호스트 강화, 적당히 해라”

Roger A. Grimes | InfoWorld
필자가 저술한 8권의 윈도우 보안 관련 책 중 4권에서 필자는 호스트 강화에 대해 역설했고, 공격 지점을 줄이기 위해 기본 설정 이상으로 컴퓨터를 세밀하게 조절하는 방법에 대해 독자들에게 설명했다. 아마도 지난 10년 간 필자가 쓴 수백 건의 기사 중 1/4은 호스트 강화와 관련된 것이었다.
 
최신 IPv6 익스플로잇(Exploit)이 공개된 후 지난 2주 동안 필자는 실제 사례에 대한 많은 질문을 받았다. 대부분 컴퓨터 보안의 기반이 되는 “최소의 권한”이라는 정설에 누가 이의를 제기할 수 있을까?
 
20년 이상 동안 호스트 강화에 대한 조언을 제공해 왔지만, 필자는 내가 틀렸다는 것을 깨달았다. 몇 가지 상황들이 바뀌었다. 예를 들어, 거의 모든 운영체제 업체들은 최근 매우 합리적이고, 상대적으로 안전한 기본 설정을 가지고 있다. 그러나 놀라울 정도의 개인적인 자각을 포함하여 더 많은 것이 있다. 일반적으로 마이크로소프트(필자의 직장)의 권고 환경 이상으로 윈도우를 관리하는 기업들이 현저히 큰 이익을 얻고 있다는 것을 증명할 만한 사례는 거의 없다.
 
공격 없는 보안 강화는 낭비
그렇다. 불필요한 서비스를 남겨두는 것은 잠재적인 공격 지점을 확대하는 것이지만, 좋은 보안이란 위험 관리 그리고 비용과 편익의 상보관계에 대한 것이다. 공격이 없다면 서비스 비활성화 혹은 권한 강화를 할 필요가 있을까? 운영 위험을 증가시키고 정력을 쏟을 필요가 있을까? 그 자체로 걱정해야 할 더 큰 위험들이 있다.
 
필자는 현장에서 고객들이 해커들을 퇴치하는데 도움을 주는데 근무 시간 중 90% 이상의 시간을 할애하고 있고, 필자가 경험한 대부분의 해커들은 클라이언트 측의 소셜 엔지니어링을 적용한 트로이목마 혹은 애플리케이션 데이터 변형을 이용하고 있다.
 
업체의 기본 설정 혹은 권고사항 이상으로 기업이 파이어월을 강화하지 않았기 때문에 가능해진 공격을 필자는 한 번도 (현실에서) 경험한 것이 없다. 모든 공격은 기업이 기본 설정을 우발적으로 낮게 설정했거나 소셜 엔지니어링이 적용된 트로이목마를 실행했거나 또는 모든 사람들이 지난 20년 동안 강조해 온 패치나 강력한 비밀번호 같은 충고를 따르지 않았기 때문에 발생했다.  
 
많은 보안 전문가들은 원격 버퍼 오버플로우나 이와 유사한 것들의 위험을 줄이기 위해 불필요한 서비스를 비활성화하기를 원한다. 그러나 2003년 3월 이후, 기본적인 마이크로소프트 서비스에서 발견된 진정한 원격 버퍼 오버플로우는 얼마 되지 않는다. 사람들이 알고 있는 대부분의 버퍼 오버플로우는 “원격” 익스플로잇이고, 네트워크 외부로부터 내부 자원에 접근하기 위해서는 최종 사용자가 무엇인가를 클릭하도록 속일 필요가 있다.  
 
대부분의 원격 버퍼 오버플로우, 특히 규모가 큰 것들은, RPC처럼 모든 사람들이 실행할 필요가 있거나 웹 서버나 SQL처럼 필요한 기능이기 때문에 실행해야만 하는 서비스에 영향을 미친다. 마이크로소프트 윈도우의 역사에서 가장 성공적이었던 3가지 공격은 RPC에서의 블래스터(Blaster), IIS에서의 코드 레드(Code Red), 그리고 SQL 슬래머(Slammer) 웜이었고, 모두 이런 특징을 가지고 있었다. 이런 주요 익스플로잇은 오래 전에 발생했,고 위의 세 가지 사례 모두에서 업체들은 원격 익스플로잇이 발생하기 몇 달 전부터 패치를 제공했다.
 
“취약한 IIS? 10년 전 이야기”
몇몇 사람들은 마이크로소프트가 SQL 데스크톱 에디션의 SQL에서 IIS를 사용할 필요가 없는 컴퓨터에서 IIS를 활성화했다고 주장한다. 하지만 현재는 더 이상 그렇지 않고, 그렇게 하지 않은지가 거의 10년이 다 되어가고 있다.
 
IIS는 크게 강화됐다. 기본으로 설치되지 않고, 설치된 경우에도 익스플로잇이 매우 어려운 기본 상태로 실행된다. SQL의 최신 버전에 대한 익스플로잇 사례는 보고되고 있지 않다. 사람들이 필자에게 IIS 혹은 SQL의 강화 방법을 묻는 경우, 필자는 “굳이 그렇게 할 필요가 없다. 기본 설정으로도 충분하다”고 대답하고 있다.
 


2011.04.22

어느 보안 전문가의 고백 : “호스트 강화, 적당히 해라”

Roger A. Grimes | InfoWorld
필자가 저술한 8권의 윈도우 보안 관련 책 중 4권에서 필자는 호스트 강화에 대해 역설했고, 공격 지점을 줄이기 위해 기본 설정 이상으로 컴퓨터를 세밀하게 조절하는 방법에 대해 독자들에게 설명했다. 아마도 지난 10년 간 필자가 쓴 수백 건의 기사 중 1/4은 호스트 강화와 관련된 것이었다.
 
최신 IPv6 익스플로잇(Exploit)이 공개된 후 지난 2주 동안 필자는 실제 사례에 대한 많은 질문을 받았다. 대부분 컴퓨터 보안의 기반이 되는 “최소의 권한”이라는 정설에 누가 이의를 제기할 수 있을까?
 
20년 이상 동안 호스트 강화에 대한 조언을 제공해 왔지만, 필자는 내가 틀렸다는 것을 깨달았다. 몇 가지 상황들이 바뀌었다. 예를 들어, 거의 모든 운영체제 업체들은 최근 매우 합리적이고, 상대적으로 안전한 기본 설정을 가지고 있다. 그러나 놀라울 정도의 개인적인 자각을 포함하여 더 많은 것이 있다. 일반적으로 마이크로소프트(필자의 직장)의 권고 환경 이상으로 윈도우를 관리하는 기업들이 현저히 큰 이익을 얻고 있다는 것을 증명할 만한 사례는 거의 없다.
 
공격 없는 보안 강화는 낭비
그렇다. 불필요한 서비스를 남겨두는 것은 잠재적인 공격 지점을 확대하는 것이지만, 좋은 보안이란 위험 관리 그리고 비용과 편익의 상보관계에 대한 것이다. 공격이 없다면 서비스 비활성화 혹은 권한 강화를 할 필요가 있을까? 운영 위험을 증가시키고 정력을 쏟을 필요가 있을까? 그 자체로 걱정해야 할 더 큰 위험들이 있다.
 
필자는 현장에서 고객들이 해커들을 퇴치하는데 도움을 주는데 근무 시간 중 90% 이상의 시간을 할애하고 있고, 필자가 경험한 대부분의 해커들은 클라이언트 측의 소셜 엔지니어링을 적용한 트로이목마 혹은 애플리케이션 데이터 변형을 이용하고 있다.
 
업체의 기본 설정 혹은 권고사항 이상으로 기업이 파이어월을 강화하지 않았기 때문에 가능해진 공격을 필자는 한 번도 (현실에서) 경험한 것이 없다. 모든 공격은 기업이 기본 설정을 우발적으로 낮게 설정했거나 소셜 엔지니어링이 적용된 트로이목마를 실행했거나 또는 모든 사람들이 지난 20년 동안 강조해 온 패치나 강력한 비밀번호 같은 충고를 따르지 않았기 때문에 발생했다.  
 
많은 보안 전문가들은 원격 버퍼 오버플로우나 이와 유사한 것들의 위험을 줄이기 위해 불필요한 서비스를 비활성화하기를 원한다. 그러나 2003년 3월 이후, 기본적인 마이크로소프트 서비스에서 발견된 진정한 원격 버퍼 오버플로우는 얼마 되지 않는다. 사람들이 알고 있는 대부분의 버퍼 오버플로우는 “원격” 익스플로잇이고, 네트워크 외부로부터 내부 자원에 접근하기 위해서는 최종 사용자가 무엇인가를 클릭하도록 속일 필요가 있다.  
 
대부분의 원격 버퍼 오버플로우, 특히 규모가 큰 것들은, RPC처럼 모든 사람들이 실행할 필요가 있거나 웹 서버나 SQL처럼 필요한 기능이기 때문에 실행해야만 하는 서비스에 영향을 미친다. 마이크로소프트 윈도우의 역사에서 가장 성공적이었던 3가지 공격은 RPC에서의 블래스터(Blaster), IIS에서의 코드 레드(Code Red), 그리고 SQL 슬래머(Slammer) 웜이었고, 모두 이런 특징을 가지고 있었다. 이런 주요 익스플로잇은 오래 전에 발생했,고 위의 세 가지 사례 모두에서 업체들은 원격 익스플로잇이 발생하기 몇 달 전부터 패치를 제공했다.
 
“취약한 IIS? 10년 전 이야기”
몇몇 사람들은 마이크로소프트가 SQL 데스크톱 에디션의 SQL에서 IIS를 사용할 필요가 없는 컴퓨터에서 IIS를 활성화했다고 주장한다. 하지만 현재는 더 이상 그렇지 않고, 그렇게 하지 않은지가 거의 10년이 다 되어가고 있다.
 
IIS는 크게 강화됐다. 기본으로 설치되지 않고, 설치된 경우에도 익스플로잇이 매우 어려운 기본 상태로 실행된다. SQL의 최신 버전에 대한 익스플로잇 사례는 보고되고 있지 않다. 사람들이 필자에게 IIS 혹은 SQL의 강화 방법을 묻는 경우, 필자는 “굳이 그렇게 할 필요가 없다. 기본 설정으로도 충분하다”고 대답하고 있다.
 


X