[info] 윈도우즈 보안 (정보보안백문백답)
1. 윈도우즈 업데이트와 자동 업데이트의 차이점은 무엇인가?
- 윈도우즈 업데이트는 윈도우즈를 최신 상태로 유지할 수 있도록 도와주는 기능이다. 마이크로소프트사에서 제공하는 중요 업데이트는 보안 업데이트 이외에도 운영체제 개선에 필요한 사항 즉, 컴퓨터의 성능이나 기능 향상 등이 포함된다.
- 윈도우즈 업데이트는 먼저 사용자 자신의 하드웨어 환경에서 어떠한 소프트웨어가 설치되어 있는지 컴퓨터를 검사한 뒤, 해당되는 업데이트만을 설치한다. 윈도우즈 업데이트 기능을 사용하려면 다음과 같은 과정으로 진행한다.
a. [시작]->[모든 프로그램]->[윈도우즈 업데이트(Windows Update)]
- 이와 같은 업데이트는 사용자가 직접 수행하여야 하는 불편함이 있어 자동 업데이트 개념이 도입되었다. 자동 업데이트를 사용하면 컴퓨터가 부팅돈 이후, 윈도우즈가 스스로 최신 보안 패치 또는 업데이트가 발표 되었는지 인터넷을 통해 확인하고, 자동으로 내려받아 설치하게 도와준다. 이때, 업데이트를 우선 내려받고 설치하기 전에 사용자에게 알릴 것인지, 아니면 내려받기 전과 설치하기 전에 모두 사용자에게 알릴 것인지 선택 할 수 있다.
2. 윈도우즈 보안패치와 서비스 팩의 차이점은 무엇인가?
- 윈도우즈 보안패치는 윈도우즈 운영체제의 보안 취약점이 발견될 때마다 마이크로소프트사에서 제작,배포한다. 보안 취약점이 발표되면, 공격자들은 즉각적으로 이를 이용하여 악성코드나 익스플로잇을 제작한다. 즉, 보안패치의 설치가 늦으면 늦을수록 상대적으로 보안에 취약해지고 공격당할 확률이 급격히 증가한다. 따라서 모든 윈도우즈 사용자는 보안패치가 설치되어 있는지 주기적으로 확인하고 반드시 설치해야 한다. 특히, 국가사이버안전센터 등에서 사이버위협에 대한 경보발령과 함께 보안패치의 설치를 당부하면 즉각적으로 조치를 취해야 공격에 노출되지 않는다.
- 반면, 서비스 팩은 이미 발매된 소프트웨어에 존재하는 문제점(보안에 관계없을 수도 있음)을 개선하거나 기능을 강화하기 위해 만들어진 것이다. 즉, 서비스 팩은 별도로 주문하거나 온라인상에서 내려받을 수 있는 일종의 기능 수정판이라고 할 수 있다. 물론, 발표된 보안패치도 나중에는 서비스 팩에 포함되기 때문에, 새로 발표된 서비스 팩을 이용하여 윈도우즈를 업데이트하면 이전에 발표된 모든 보안패치들도 동시에 적용된다.
- 보안패치는 일반적으로 발견된 하나의 보안 취약점만을 해결하고 있기 때문에, 지속적으로 관심을 가지고 보안패치가 발표될 때마다 반드시 설치해야 된다. 서비스 팩 역시 그 동안의 모든 보안 취약점을 해결할 뿐만 아니라 윈도우즈의 기능을 보다 강화시켜주기 때문에, 서비스 팩도 배포되는 즉시 설치하는 것이 좋다.
3. 윈도우즈 보안패치는 어디에서 내려받나?
- 윈도우즈 보안패치는 윈도우즈 업데이트, 자동 업데이트 또는, 보안패치를 제공하는 웹사이트(http://www.microsoft.com/korea/security)에서 각 보안패치를 내려받아 개별적으로 설치할 수도 있다.
- 보안패치는 전부 설치하는 것이 좋으며, 이전까지 한번도 보안패치를 하지 않았거나 오랫동안 보안패치를 하지 않았을 경우에는 최신 서비스 팩을 먼저 설치한 다음, 서비스 팩에 누락된 보안패치만을 별도로 설치하는 것이 좋다.
4. 백신이 이미 설치되어 있는데 윈도우즈 보안 업데이트도 해야 되나?
- 백신 프로그램은 컴퓨터 바이러스 감염 여부를 진단하고 감염된 파일을 치료하는 프로그램으로써, 윈도우즈 시스템의 근본적인 문제점은 해결하지 못한다.
- 반면, 윈도우즈 보안 업데이트란 윈도우즈 운영체제상의 보안 취약점이 발견되었을 경우, 이를 제거하기 위한 패치를 배포,설치함으로써 기존 운영체제를 수정하는 것이다.
- 해커나 웜,바이러스 제작자는 항상 윈도우즈 운영체제의 취약점을 발견하고 이를 악용하여 시스템에 침투 또는 파괴하려 한다. 따라서 보안 업데이트는 반드시 해야 된다.
- 특히, 최근에는 윈도우즈 운영체제의 취약점을 악용한 웜,바이러스들이 급증하고 있어 많은 사고로 이어지고 있기 때문에, 백신 프로그램을 사용한다 하더라도 반드시 보안 업데이트를 해서 웜,바이러스가 침투할 수 있는 경로를 사전에 예방하는 것이 좋다.
5. 윈도우즈 XP에서 공유폴더는 어떻게 찾아 제거하나?
- 윈도우즈 XP는 네트워크 컴퓨터 환경 관리를 목적으로 드라이브를 공유하는데, 이 공유폴더는 숨겨져 있으며 다음과 같은 방법으로 찾을 수 있다.
a. [시작]->[실행]-> 'cmd' 입력 -> DOS 창 생성
b. C:\>net share
- 예를 들어, 앞에서 설명한 방법으로 공유폴더를 찾아봤더니 C$, admin$, ipc$의 3개 폴더가 공유된 것으로 나타났을 때, 다음과 같은 명령을 실행하면 공유를 제거할 수 있다. (C$는 C 드라이브 공유, admin$와 ipc$는 관리 공유로 바이러스에 취약할 수 있으므로 제거하는 것이 좋다)
a. C:\>net share c$ /delete
b. C:\>net share admin$ /delete
c. C:\>net share ipc$ /delete
- 만약, 엑세스 거부로 제거되지 않는 경우 다음과 같이 registry를 편집하여 관리공유에 대한 외부 접근을 제한한다.
a. [시작]->[실행]-> 'regedit' 입력
* HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
* Value Name : RestrictAnonymous
* Data Type : Reg_DWORD
* Value : 1
** 기본값으로 설정된 0을 1로 변경 : 공유폴더에 대한 접근을 제한한다.
6. NTFS를 사용하면 좀 더 안전하게 파일을 보호할 수 있나?
- 윈도우즈 2000 또는 윈도우즈 XP를 초기설치시 하드 디스크의 파일 시스템으로 NTFS, FAT, FAT32 중 하나를 선택할 수 있다. 일반적으로 NTFS 파일 시스템은 FAT이나 FAT32에 비하여 매우 안정적이며, 파일을 보호하기에도 적합하다. 특히, NTFS의 사용을 권장하는 이유는 다음과 같다.
* 도메인 기반의 보안 기능을 제공하는 액티브 디렉토리(Active Directory)를 제공하고 있다. 따라서, 윈도우즈 서버 제품군의 보안을 향상시키기 위해서는 NTFS를 사용하여야 한다.
* 폴더(하위 폴더 포함)마다 접근가능한 사용자를 별도로 또는 그룹별로 지정할 수 있다.
* FAT32는 관리자 계정, 제한된 계정 또는 표준 계정 등 계정 유형에 관계없이 모든 사용자가 하드 디스크의 모든 파일에 접근할 수 있다. 반면, NTFS에서는 제한된 권한의 계정을 사용할 수 있도록 지원한다. 이는 사용자가 접근할 수 있는 폴더를 제한할 수 있으며 폴더의 내용에 대한 임의 조작도 제한할 수 있다는 의미이다.
* 예전에는 제공되지 않던 암호화 파일 시스템이 도입되어, 중요한 시스템 파일들을 자동으로 암호화하여 저장하기 때문에 임의로 해당 내용을 변경하지 못하도록 되어 있다.
- NTFS는 그 밖에도 트랜잭션 로깅과 복구 기술을 사용하여 디스크의 일관성과 안정성을 향상시킨다. 만약 파일 시스템에 이상이 발생하면 이상에 대한 검사정보와 그동안 기록된 로그를 사용하여 파일 시스템을 복구하기도 한다.
7. 윈도우즈 XP 서비스 팩 2를 꼭 설치해야 하나?
- 윈도우즈 XP 사용자라고 해서 서비스 팩 2를 반드시 설치해야 하는 것은 아니지만 보안 향상 측면에서는 권장한다. 기존의 서비스 팩은 반드시 설치해야 하는 기능 수정판이었던 반면, 서비스 팩2에는 많은 보안 강화 요소들을 첨가하였기 때문에 기존의 서비스 팩들과는 조금 다른 측면을 가지고 있다. 서비스 팩 2는 다음과 같은 장점들이 있다.
* 전자우편의 첨부 파일 중 안전하지 않은 것을 사용자에게 알려주는 전자우편 보호기능이 있다.
* 웹을 검색하는 동안 개인 정보가 유출되지 않도록 보호하는 기능이 있다.
* 인터넷 익스플로러에 다운로드 모니터링 기능이 있어 안전하지 않은 파일을 내려받을 경우 알림 표시줄을 통해 경고한다.
* 웹을 검색하는 동안 팝업 창이 임의로 생성되지 않도록 차단한다.
* 강력한 기능을 보유한 방화벽이 내장되어 있다.
* 윈도우즈 보안센터 기능이 있어 보안 상태의 파악이나 보안 설정 관리를 중앙집중적으로 총괄할 수 있다.
* 자동 업데이트 기능을 향상시켜 더욱 편리하게 윈도우즈 업데이트를 설치할 수 있다.
* 아웃룩 익스프레스에 스팸메일 차단 기능이 추가됐다.
- 이상과 같이 서비스 팩2에는 다양한 보안 향상 기능이 추가되어 있어 설치하여 사용하면 보안 수준을 한층 높일 수 있다.
8. 개인 컴퓨터에서 불필요한 서비스는 어떤 것들이 있나?
- 윈도우즈를 평범하게 사용함에 있어 필요하지 않은 서비스들도 존재한다. 이러한 서비스를 중지시키면 시스템 속도를 향상시킬 수 있으며 자원을 보다 효율적으로 사용할 수 있다. 그러나 서비스를 중지시키기 위해서는 사용 환경과 목적에 따라 신중한 고려가 필요하다.
- 중지시키는 것이 효과적인 서비스
* Alerter
* Automatic Updates
* Computer Browser
* Cryptographic Services
* Distributed Link Tracking Client
* DNS Client
* Error Reporting Service
* Help and Support
* Messenger
* NetMeeting Remote Desktop Sharing
* Portable Media Serial Number Service
* Remote Registry
* Task Scheduler
* Wireless Zero Configuration
- 중지를 고려할 수 있는 서비스
* Application Layer Gateway Service
* Background Intelligent Transfer Service
* COM+ System Application
* DHCP Client
* Distributed Link Tracking Client
* Fast User Switching Compatibility
* Fax Service
* FTP Publishing Service
* IMAPI CD-Burning COM Service
* Indexing Service
* Net Logon
* NLA(Network Location Awareness)
* Print Spooler
* Protected Storage
- 중지시킬 때 신중을 기해야 하는 서비스
* Event Log, Human Interface Device Access, IIS Admin
* Internet Connection Firewall and Internet Connection Sharing
* Logical Disk Manager, Plug and Play
9. 불필요한 서비스는 어떻게 중지시킬 수 있나?
- 서비스를 중지시키기로 결정하였다면 다음과 같은 절차에 따라 중지시킬 수 있다.
a. [시작]->[제어판(클래식보기로 전환)]->[관리도구]->[서비스]-> '서비스 관리 콘솔' 출현
b. 마우스 오른쪽 버튼으로 중지시킬 서비스를 클릭
c. '중지' 선택
- 서비스를 다시 시작해야 할 경우에는 위의 c번에서 목적에 따라 '시작', '일시 중지', '계속', '다시 시작' 중 하나를 선택한다.
10. 프로그램이나 서비스별로 계정 관리는 어떻게 하나?
- 웜,바이러스 방지를 위해서는 사용자가 관리자 계정이 아닌 사용자 계정으로 로그인하는 것이 좋다. 윈도우즈 시스템을 안전하게 관리하기 위해서는 관리자 계정을 남용하지 말아야 한다. 대부분의 웜,바이러스는 관리자 계정일 경우에만 컴퓨터에 설치되기 때문에, 반드시 필요한 경우에만 관리자 계정으로 프로그램이나 서비스를 실행시키는 것이 안전하다. 프로그램에 대한 실행 계정은 다음과 같은 방법으로 지정할 수 있다.
a. 실행시키고자 하는 프로그램을 마우스 오른쪽 버튼으로 클릭
b. [다음 계정으로 실행]->[다음 사용자]->사용자 선택->패스워드 입력
- 서비스에 대한 실행 계정은 다음과 같은 방법으로 지정할 수 있다.
a. [시작]->[설정]->[제어판(클래식보기로 전환)]->[관리도구]->[서비스]
b. 서비스를 마우스 오른쪽 버튼으로 클릭 -> [속성]
c. [로그인]->[계정지정]-> 패스워드 입력
11. 윈도우즈를 바로 이전 상태로 복원할 수 있나?
- 윈도우즈에서는 시스템의 설정을 이전상태로 복원할 수 있다. 이 기능을 이용하면 저장된 문서, 전자우편, 웹에서 열어본 페이지 목록, 즐겨찾기 목록 등 최근에 작업한 내용을 손상시키지 않고 이전 지점으로 되돌려 준다. 시스템을 복원하는 방법은 다음과 같다.
a. [시작]->[모든 프로그램]->[보조 프로그램]->[시스템 도구]->[시스템 복원]
b. 재부팅 -> '복원 완료' 창 생성
[출처 : 국가보안기술연구소 http://www.nsri.re.kr/ ]