[info] 컴퓨터 예방 및 대응조치(정보보안백문백답)

1. 해킹방지를 위한 최소한의 에방조치에는 어떤 것이 있나?

- 컴퓨터를 사용하게 되면 누구나 해킹에 대한 위협에 노출되어 있다. 이러한 위협에 대비하기 위해서는 다음과 같은 최소한의 수칙을 지키는 것이 좋다.

* 윈도우즈 사용자는 마이크로소프트사에서 제공하는 최신 보안패치를 모두 적용한다.

* 전자우편 확인시 발신인이 불분명하거나 수상한 첨부 파일이 있는 것은 모두 삭제한다.

* 메신저 프로그램 사용시 메시지에 URL이나 파일이 첨부되어 있을 경우 반드시 메시지 발송자를 확인한 뒤 실행한다.

* P2P 프로그램에서 파일을 내려받을 때에는 반드시 백신으로 검사한 후 사용한다.

* 웹사이트 방문시 '보안 경고' 창이 나타날 경우 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 [예]를 누른다.

* 필요한 경우를 제외하고는 폴더를 공유하지 말고, 부득이하게 공유하더라도 사용이 완료되면 반드시 해제한다.

* 로그인 계정의 패스워드를 자주 변경하고 영문/숫자/특수문자 조합으로 최소 8가지 이상의 패스워드를 설정한다.

* 바이러스 백신은 항상 최신 버전의 엔진으로 업데이트하고 수시로 검사한다.

* 개인 방화벽 제품을 사용한다.

* 키보드 입력 내용이 유출되는 것을 예방하기 위해 키보드 입력 정보를 보호해 주는 안티키로거(Anti Keylogger) 제품을 사용한다.


2. 컴퓨터가 해킹당하면 어디서 도움을 받을 수 있나?

- 사용중인 컴퓨터가 해킹을 당한 경우에는 국가사이버안전센터나 인터넷침해사고대응센터, 국방정보전대응센터로 연락을 하시면 도움을 받을 수 있다.

a. 국가사이버안전센터
* 주요임무 : 국가기관 및 공공기관의 사이버 침해사고 업무 담당
* 홈페이지 : http://www.ncsc.go.kr
* 신고전화 : 02-3432-0462
* 신고전자우편 : info@ncsc.go.kr

b. 인터넷침해사고대응지원센터
* 주요임무 : 민간부분의 사이버 침해사고 업무 담당
* 홈페이지 : http://www.krcert.or.kr
* 신고전화 : 118(지방은 02-118)
* 신고전자우편 : cert@certcc.or.kr, cert@krcert.or.kr

c. 국방정보전대응센터
* 주요임무 : 국방부분의 사이버 침해사고 업무 담당
* 홈페이지 : http://www.dsc.mil.kr
* 신고전화 : 02-731-3631(군전화 이용시 0118)
* 신고전자우편 : 0118@dsc.mil.kr


3. 파일을 실행하려 한다. 어떤 파일들이 위험한 것인가?

- 의심되는 파일은 실행하지 않고 바로 삭제하는 것이 좋다. 또, 필요한 경우라면 최신 업데이트된 백신 프로그램, 스파이웨어 제거 도구 등으로 사전에 검사를 한 뒤 실행하여야 한다.

- 최근에는 악성코드들이 전자우편을 통해 전파되는 경우가 많아 실행 가능한 파일이 첨부되어 있는 경우에는 한번쯤 의심해 보아야 한다. 최근에 유행하고 있는 웜,바이러스와 트로이 목마는 다음과 같다.

a. Peep View 트로이 목마
* 전자우편을 통해 전파
* 윈도우즈 시스템 폴더(C:\winnt\system32, C:\windows\system32)에 explorer.exe(81,920 Byte) 또는 service.exe(45,056 Byte) 파일 생성

b. Agobot 웜
* MS LSASS 취약점(MS04-011)을 이용하여 공격
* 윈도우즈 시스템 폴더에 msiwin84.exe 파일 생성
-> LSASS(Local Security Authority System Service) : 클라이언트 서버 환경이나 로컬 환경에서 사용자를 인증하는데 사용되는 서비스로 이에 대한 보안 취약점을 이용하여 공격자가 조작된 패킷을 공격 대상 시스템에 전송하여 악의의 코드를 실행

c. Sasser 웜
* MS04-011의 취약점을 이용하여 공격
* 윈도우 디렉토리에 avserve.exe 파일, 숫자_up.exe 파일 생성
-> MS04-011 : 윈도우즈에서 발표하는 보안관련 게시판의 하나로서 MS04-011에 나와 있는 보안 관련 취약점으로 인하여 웜,바이러스에 감염된다는 것을 말한다. MS04-011은 아래 주소로 가면 확인 할 수 있다. http://www.microsfot.com/korea/technet/security/bulletin/MS04-011.asp

d. Mydoom 웜
* 전자우편과 카자(KaZaA) P2P 프로그램을 통해 전파
* ctfmon.dll, explorer.exe 파일 생성


4. 작성된 문서를 안전하게 관리하는 방법은 어떤 것이 있나?

- 윈도우즈 2000/XP는 NTFS 파일 시스템으로 포맷된 볼륨에 있는 파일을 암호화할 수 있다. 암호화 방법은 다음과 같다.

a. [시작] -> [프로그램] -> [보조프로그램] -> [Windows 탐색기]
b. 원하는 파일을 마우스 오른쪽 버튼으로 클릭한 후 [속성]을 선택.
c. [일반]탭에서 [고급] 선택
d. '압축 또는 암호화 특성'에서 '데이터 보호를 위해 내용을 암호화 (E)'란을 선택한 다음 [확인] 클릭
e. 파일과 그 파일이 들어 있는 폴더도 암호화하려면 '파일 및 상위 폴더를 암호화(P)'를 선택한 다음 [확인] 클릭

- 문서나 파일을 암호화하더라도 파일 삭제는 가능하다. 따라서 시스템의 파괴나 삭제에 대비해 안전하게 문서나 파일을 관리하기 위해서는 물리적으로 다른 저장 매체(플로피 디스켓, USB 메모리, CD, 하드디스크 등)를 이용하여 백업해 두는 것이 좋다.


5. 패스워드는 어떻게 설정하는 것이 좋은가?

- 패스워드는 ID와 함께 사용하여 컴퓨터 사용자가 본인인지 검증하기 위해 신원을 확인하는 방법으로서, 오직 본인과 컴퓨터만이 알고 있는 비밀번호이다. 패스워드는 컴퓨터 시스템 설정에 따라 다르긴 하지만, 대체로 4-16글자 사이에서 결정하는 경우가 많다. 패스워드를 작성할 때에는 다음과 같은 것들은 피하는 것이 좋다.

* 다른 사람들이 쉽게 추측할 수 있는 패스워드(ex: 주민등록번호, 생년월일, 이름, 'password' 등)

* 사전에서 찾을 수 있는 단어(사전에 있는 모든 단어들을 대조하면서 패스워드를 찾아주는 해킹도구도 있다.)

* 6자 미만의 짧은 패스워드

* 연속적으로 반복되는 숫자나 문자가 들어간 패스워드(ex: abcdef, 123456)

* '키보드 진행' 패스워드(ex: qwerty, asdfgh, zxcvbn)

* 하나의 패스워드로 공통 구성원이 사용하는 경우

- 좋은 패스워드를 만들기 위해서는 패스워드를 구성하는 요소들 사이의 우연성을 크게 해야 한다. 그러나 우연성이 클수록 외우기 어렵게 된다. 패스워드에 영어와 숫자를 섞는 것은 우연성을 증가시키기 위함이다. 다음은 좋은 패스워드의 예이다.

* 8자 이상으로, 문자, 숫자, 특수문자(*, !, # 등)가 포함된 패스워드

* 주기적인 패스워드 변경(90일 내지 120일)

* ex: IL2PLGitS! ( I Love to play golf in the Summer!)


6. 부팅 패스워드도 필요한가?

- 부팅 패스워드란 컴퓨터의 전원이 켜지면서 부팅될 때, 허가받은 사용자가 컴퓨터를 사용하려고 하는지 확인하는 패스워드이다. 부팅 패스워드 설정후 잘못된 패스워드를 입력하거나 패스워드를 전혀 입력하지 않으면 컴퓨터가 부팅이 되지 않아 사용할 수 없다. 다른 사람이 나의 허락을 받지 않고 컴퓨터를 사용하는 경우를 막기 위해 좋은 보안 대책이다. 부팅 패스워드를 설정하는 방법은 다음과 같다.

a. PC를 부팅한 후, Del키나 F2키를 눌러 Setup Bios 환경 진입(제조회사마다 접속키가 다를 수 있다.)
b. CMOS 환경이 나오면 화살표 키를 눌러 'PASSWORD SETTING'을 선택한 뒤 원하는 패스워드를 설정
c. 저장후 CMOS에서 빠져나옴

d. 컴퓨터가 재부팅되면 패스워드를 입력(이후부터는 컴퓨터가 부팅될 때마다 패스워드를 입력하여야 한다.)


7. 화면보호기는 꼭 사용해야 하나?

- 브라운관 모니터의 경우 동일 화면을 장시간에 걸쳐 계속 표시하면 그 영상이 모니터 유리면에 인쇄된 것과 같이 되면서 브라운관 모니터가 탈 수 있다. 화면 보호기는 일정 시간 동안 키보드나 마우스에서 입력이 없으면 모니터 화면에 여러 가지 움직이는 화면을 공급해서 이를 방지하기 위하여 고안된 것이다.

- 하지만 화면에 표시되는 내용이 유출되지 않도록 보호하기 위하여 사용하기도 한다. 화면보호기에는 암호설정 기능이 있어, 잠시 자리를 비우더라도 허가받지 않은 사용자가 자신의 컴퓨터를 무단으로 사용하거나 작업중이던 내용을 확인하지 못하게 하기 위한 좋은 방법이다. 화면보호기의 암호설정은 다음과 같은 순서로 진행한다.

a. [시작] -> [제어판] -> [디스플레이] 클릭, 또는 바탕화면에서 마우스 오른쪽 버튼을 누른 후 [속성] 클릭
b. [화면보호기] 메뉴에서 원하는 아이템을 선택하고, '암호 사용' 항목을 선택(이때의 암호는 부팅 패스워드가 아니라 윈도우즈 로그인시에 사용했던 패스워드이다. 만일 화면보호기 암호를 새로 설정하려면, [시작] -> [제어판] -> [사용자 계정] -> [암호만들기] -> [암호입력] -> [암호만들기]로 할 수 있다.)
c. '대기시간' 항목의 시간 값을 너무 길지 않게 설정하고, [확인] 클릭


8. 인터넷 초기화면이 이상한 곳으로 연결된다. 어떻게 해야 되나?

- 이런 경우의 대부분은 애드웨어나 악성코드가 인터넷 초기 화면을 특정 사이트 또는 포털 사이트나 포르노 사이트로 고정시켰기 때문이다. 한 통계에 의하면 2004년 동안 이러한 피해를 입은 네티즌이 80% 이상이라고 한다.

- 특히 성인사이트에 관계된 애드웨어가 설치되면 바탕화면에 해당 성인 사이트에 대한 단축아이콘이 생기고 일정한 주기로 성인 팝업광고가 자동으로 나타나며 인터넷 시작화면이 성인사이트로 고정되는 경우가 자주 발생한다.

- 이와 같은 피해를 줄이려면 스팸메일을 즉시 삭제하여야 하며 실수로 전자우편을 열었을 때도 프로그램 설치여부를 묻는 창이 나타나면 [아니오]를 눌러서 설치를 차단해야 한다. 또한, 와레즈 등 신뢰도가 높지 않은 사이트에서 제공하는 무료 소프트웨어는 사용계약 내용을 꼼꼼히 살펴보고 설치 여부를 신중하게 결정하여야 한다. 그리고 인터넷 브라우저의 보안수준을 보통 이상으로 설정하는 것이 좋다.

- 이미 설치된 애드웨어나 악성코드는 다음과 같은 프로그램을 사용하여 제거할 수 있다.
* 다잡아 애드스파이더(AD-Spider) : http://www.ad-spider.com/
* 닥터바이러스 : http://drvi.com/
* 애드프리(AD-FREE) : http://ietoy.co.kr/
* 노애드(No-AD) : http://www.no-ad.co.kr/


9. 네트워크 트래픽이 갑자기 증가한다. 어떻게 해야 되나?

- 네트워크 트래픽은 일상적으로 컴퓨터를 사용하는 중에도 증가할 수 있지만, 웜,바이러스 등의 이유로 갑자기 증가하는 경우도 있다. 예를 들어 전자우편으로 급속히 전파되는 웜,바이러스가 회사내의 많은 컴퓨터를 감염시켜, 감염된 컴퓨터들이 일제히 전자우편 발송을 시도한다면 메일발송포트(25번)의 트래픽이 갑작스럽게 증가하게 된다. 그 외에, 평상시에는 잘 사용되지 않던 포트로 트래픽이 증가하는 경우도 있다. 예를 들어, 악성 IRC봇은 IRC 포트(보통 6667번 포트)를 이용해 다른 시스템을 공격하기 위해 대량의 네트워크 트래픽을 발생시킬 수 있다.

- 패킷이 외부로 나가기 위해서는 라우터 등을 거쳐야 하는데 회사내의 많은 컴퓨터가 감염되어 동시에 공격 트래픽을 발생시킬 경우에는 네트워크 장비가 과부하로 다운되거나 전반적인 속도가 느려지게 된다.

- 웜,바이러스에 의한 경우는 최신 업데이트된 백신 프로그램을 사용하여 치료 하여야 한다. 그러나 치료가 되지 않거나 이상 패킷인 경우 국가사이버안전센터, 인터넷침해사고대응센터, 또는 국방정보전대응센터로 신고하면 된다. 이 때 의심스러운 증상에 대해 다음과 같은 몇 가지 정보를 수집한 후 신고하면 더욱 신속히 대응할 수 있다.

* 시스템 사양 및 운영체제(OS)
* 바이러스 백신이 설치되어 있는 경우 이벤트 기록
* 윈도우 부팅 과정에서 참조하는 파이(win.ini, system.ini) 내용
* 현재 실행중인 프로세스(실행중인 프로그램) 목록


10. ESM이란 무엇인가?

- ESM(통합보안관리시스템, Enterprise Security Management)은 조직차원의 일관된 정책에 따라 보안 관제 및 운영,관리 업무를 통합 수행하여 보안성과 보안관리의 효율성을 향상시키기 위한 것으로써, 주로 원격 보안관리를 지칭한다. ESM 시스템은 방화벽, IDS, VPN 및 각종 보안제품 뿐만 아니라 서버, 라우터 등의 네트워크 장비들을 연결하여 실시간으로 전자적 침해에 대해 관리하는 것이다.

- ESM을 도입한다고 해서 저절로 보안관리가 수행되지는 않는다. 보안 관리 업무는 일반 관리 업무와 달리, 보안에 대한 지식과 기술을 갖추어야 한다는 특성을 가지고 있다. 이를 위해서는 다음과 같은 기본적인 지식과 기술이 필요하다.

* 관리 대상이 되는 각종 보안제품에 대한 지식을 보유하여야 한다.

* 각종 서버 및 운영체제에 대한 사용 지식도 보유하여야 한다.

* 네트워크 구성 및 운영에 대한 지식보유는 필수적이다.

* 보안체계에 대한 각종 지식을 보유하고 있어야 한다.




11. 보안관제시스템이란 무엇인가?

- 보안관제시스템은 관제를 의뢰한 기관을 대신하여 고급 보안 전문 인력들이 보호 대상이 되는 네트워크의 보안 상태를 원격으로 감시 및 제어할 수 있도록 도와주는 시스템이다. 따라서 보안관제 시스템을 사용하면 관제를 위탁받은 기관에서는 전문 보안관리 인력을 효율적으로 활용할 수 있고 의뢰기관 측에서는 적은 비용과 노력으로 보안관리 서비스를 받을 수 있는 장점이 있다.

- ESM은 주로 각 보안시스템들을 통합하여 관리하며 탐지된 침해사고에 대해 보안시스템이 자율적으로 대응하는데 중점을 두고 있다. 반면, 관제시스템은 네트워크에 대한 전반적인 상태 감시 이외에도 취약성 진단, 사이버보안 위혐에 대한 정보 수집 및 전파, 보안 대책의 사전 수립을 통한 예방, 진행중인 공격에 대한 경보 발령과 대응, 피해시스템의 피해정보 수집과 복구 등 총체적인 보안 관리를 위한 시스템이라 할 수 있다. 즉 보안관제는 ESM보다 더 포괄적인 개념이다. 보안관제를 위해서 ESM 기술을 활용할 수도 있다.




12. 보안 권고문이란 무엇인가?

- 보안권고문은 국내외 침해사고대응팀(Computer Emergency Response Team: CERT), 운영체제 개발업체, 보안관련 메일링 리스트 등 다양한 출처로부터 수집된 보안관련 정보를 신속하게 전파하기 위하여 작성한 개략적인 형태의 문서이다. 보안권고문에는 운영체제나 소프트웨어의 취약점 등이 포함되어 있으며 정기적인 형태보다는 취약점이 발견된 후 만들어서 배포되는 것이 일반적이다.

- 보안권고문과 내용상으로는 다르지만 보안에 관련되어 작성되는 문서로는 사고노트와 기술문서도 있다. 먼저, 사고노트는 CERT에 접수되는 해킹사고를 처리하는 과정에서 그 피해가 심각하거나 광범위하게 발생되는 경우, 다른 기관이 유사한 피해를 당하지 않도록 알리기 위한 목적으로 사고 자체에 관하여 정리한 문서이다. 기술문서는 최신 공격기술과 이에 대한 보안대책을 CERT의 시험망에서 직접 시험분석한 후 기술적인 내용을 세부적으로 문서화한 것이다. 기술 문서는 해킹 공격에 대하여 보다 상세한 정보를 제공하는 것을 목적으로 하고 있다.

- 보안권고문은 국가사이버안전센터, 인터넷침해사고대응센터, 국방정보전대응센터, 운영체제 회사의 웹사이트 등을 통해 받을 수 있다. 또한 CERT 등의 메일링 리스트에 가입하면 보안권고문을 전자우편으로 수신 받을 수 있다. 최신 보안권고문을 신속히 받으려면 메일링 리스트를 이용하는 방법이 가장 효과적이다.


13. 보안 취약점 정보는 어디에서 찾을 수 있나?

- 보안 취약점에 대한 정보는 국가사이버안전센터 등에 인터넷으로 접속하여 참고할 수 있다. 또한 메일링 리스트 가입을 하면 각종 보안 정보를 신속히 받아볼 수 있다. 그 외에도 취약점 데이터베이스, 바이러스 데이터베이스를 통해서도 많은 정보를 얻을 수 있다. 참고로 취약점 데이터베이스는 지금까지 알려진 보안 취약점을 데이터베이스에 저장하여 언제든지 검색하여 찾아 볼 수 있게 만든 데이터베이스이다.

* 국가사이버안전센터(http://www.ncsc.go.kr/) : 보안 권고문, 취약점 정보, 웜/바이러스 정보, 침해사고사례, 보안 뉴스 제공

* 인터넷침해사고대응센터(http://www.krcert.or.kr/) : 웜/바이러스 정보, 보안 권고문, 기술문서, 사고노트 제공

* 국방정보전대응센터(http://www.dsc.mil.kr/) : 보안 권고문, 취약점 정보, 웜/바이러스 정보, 기술문서 제공

* 보호나라(http://www.boho.or.kr/) : 한국정보보호진흥원에서 제공. 정보보호뉴스, 교육자료, 국내외 정보보호 전시회 및 세미나 자료, 논문, 바이러스 DB, 웜/바이러스 정보, 보안 권고문, 기술문서 제공


14. 침해사고대응팀은 무엇이며, 어떠한 일을 하는가?

- 침해사고대응팀(CERT)은 사이버 안전사고를 예방,복구하기 위한 팀으로, 조직내 전산망에 대한 사이버 안전사고 대응활동을 주관하고 지원한다. 최초의 침해사고대응팀은 1988년 11월에 발생한 '모리스 웜' 사건을 처리하기 위해 미국 국방부 고등연구계획국(DARPA)에 구성되었다. 그 후, 카네기 멜론 대학교에 설치되어 사이버 침해사고 대응 및 관련 정보 교환을 위한 단일 접촉점 역할을 하게 되었다.

- 우리나라는 국가,공공분야의 경우 1998년부터 국가정보원이 국가,공공기관의 사이버공격 예방,대응 임무를 수행해 왔으며 사이버 침해 사고에 대한 국가차원의 종합적,체계적 대응을 위해 2004년 2월 '국가 사이버안전 센터'를 설치하여 사이버 침해사고 대응활동을 총괄하고 있다.

- 국방분야는 국군기무사령부가 국방 사이버침해사고 예방 및 복구 등의 기술지원 업무를 수행하고 있으며, 2003년 11월 국군기무사령부내에 '국방정보전대응센터'를 설립하여 군 정보전과 사이버전에 대비하여 군의 주요 정보체계에 대한 보호지원 임무를 수행하고 있다.

- 민간분야는 정보통신부가 인터넷침해사고 예방,대응 업무를 수행하기 위하여 2003년 12월 정통부 산하 한국정보보호진흥원(KISA)내에 '인터넷침해사고대응지원센터'를 설치,운용하고 있다.

- 이외에도 1996년 결성된 민간 CERT 연합체 CONCERT(CONsortium of CERTs)는 민간 CERT간의 침해사고 정보,기술 교환, 국제적인 침해사고의 공동 대응 및 관련 기술 교육을 수행하고 있다.

- 또한 1990년에 창립된 민간차원의 국제 침해사고대응팀 협의체인 FIRST(Forum of Incident Response and Security Teams)는 정보보안 기술,정책 연구, 사이버 침해사고 정보교환 및 대응책 마련, 침해사고 대응,예방 활동을 하고 있다. 우리나라는 한국정보보호진흥원과 (주)인포섹이 회원 기관으로 가입하였다.


15. 침해사고 처리절차는 어떻게 되어 있나?

- 침해사고 처리절차는 침해사고처리대응팀에 따라 약간씩 다를 수 있다. 아래는 국가사이버안전센터(http://www.ncsc.go.kr/)의 침해사고 처리절차에 대해 설명한 것이다.

a. 홈페이지, 전화, 전자우편 등으로 신고 접수
b. 긴급대응 단계(사고분석 수행, 임시대책 제시, 피해확산 방지)
c. 재발방지 단계(사고경로 자료 수집 및 분석, 사고원인 제거)
d. 시스템 복구 단계(피해 시스템 복구, 피해 전파된 시스템 검색, 백도어 제거)
e. 분석,보고 단계 및 재침입 감시 단계(피해 전파된 시스템 복구, 사고경위 및 처리 담당자에게 보고, 재발 방지를 위한 교육, 사고처리 보고서 작성)


[출처 : 국가보안기술연구소 http://www.nsri.re.kr/ ]