2012.10.12

칼럼 | 해커 고용해 침투평가 해보니···

Mathias Thurman | Computerworld
필자가 매년 지출하는 중요한 예산 가운데 하나가 바로 분기별 보안 평가다. 주요 시설의 물리적 침투 시험(enetration testing), 또는 주요 애플리케이션이나 제품을 평가하는데 주로 중점을 두고 있다. 그러나 이번 분기에는 해커 한 명을 고용하기로 결정을 내렸다.
 
필자는 우리 회사의 보안이 제법 탄탄하다고 생각하고 싶다. 그러나 100% 안전한 것은 아니다. 취약점을 발견할 수 있는 유일한 방법은 내부 평가를 하는 것이다. 해커를 채용해 이런 평가를 하면 더 좋다. 최소한 침투 시험 전문가인 컨설턴트를 고용해야 한다.
 
또한 써드파티가 완벽하게 독립적으로 평가하면 더 완전한 현황을 파악할 수 있다고 생각했다. 필자는 컨설턴트에게 딱 한 가지만 못하도록 했다. 
 
서비스 거부 공격(DoS)이다. 외부 회사를 이용하면 자사의 보안 팀이 얼마나 효과적으로 의심스러운 활동을 발견해 내는지를 시험할 수도 있다. 이를 위해 IT 부서의 믿을 수 있는 몇 명만 이 사실을 알도록 했다. 
 
또다른 혜택도 있다. 데이터 누출 방지 시스템, 보안 사고 및 이벤트 관리 시스템이 자사를 얼마나 잘 보호해주는지 더 많은 정보를 얻을 수 있다는 것이다.
 
필자는 컨설턴트에게 평가 대상으로 선정한 핵심 애플리케이션을 제외하고는 다른 자세한 정보를 주지 않았다. 외부 컨설턴트가 개인 해커 또는 해커 단체가 사용하는 방법과 동일한 방법으로 해킹을 하기 원했기 때문이다.
 
2주 뒤 보고서가 도착했다. 외부 DNS 서버 가운데 하나가 내부 주소 공간을 노출시키고 있다는 중요한 사실을 알게 됐다. 또한 DNS 서버를 설정하면 누군가 내부 기반, 명명 규칙 매핑을 포함 존 정보를 옮길 수 있다는 것도 알았다. 해커들은 이 정보를 이용해 내부 네트워크를 파악, 목표에 초점을 맞출 수 있다.
 
다른 문제도 있었다. 여러 취약점을 통해 인가를 받지 않고도 기반에 접속할 수 있다는 것이다. 컨설턴트 한 명은 인터넷 애플리케이션에서 SQL 인젝션 취약성을 발견했다. 이 취약점을 이용하면 SQL 쿼리를 통해 애플리케이션 서버 가운데 하나의 시스템 계정에 대한 비밀번호 해시를 구할 수 있다. 이 방법을 통해 단 6초 만에 비밀번호를 알아냈다.
 
그리고 이 비밀번호로 마이크로소프트 아웃룩 웹 액세스에 접속했다. 이후 애플리케이션 서비스 계정으로 로그인을 할 수 있었다. 실용적으로 판단했을 때, 서비스 계정에는 연동 이메일이 없어야 한다.
 
컨설턴트는 회사의 직원 디렉토리를 조사해 우편실에서 일하는 직원의 이름을 구할 수 있었다. 그리고 인터넷에서 집주소, 전화번호, 개인 이메일 주소 같은 정보를 조사했다. 
 
컨설턴트는 이 우편실 직원을 가장해 회사 웹사이트에서 찾은 전화번호로 헬프 데스크에 전화를 걸었다. 헬프 데스크 기술 지원 담당자는 사용자 인증에 회사 내선 번호만을 물어봤을 뿐이다. 
 
해커가 번호를 말하자, 기술 지원 담당자는 이메일 비밀번호를 다시 설정하고, 직원 VPN 포털에 로그인할 수 있는 임시 RSA SecurID 패스코드를 발급했다. 해커는 그때부터 기업 인트라넷과 여러 애플리케이션에 접속할 수 있었다.
 
짐작하겠지만, 필자는 현재 헬프 데스크의 직원 인증 절차를 새로 수립하고, DNS 서버를 재설정하고, SQL 인젝션 취약점을 해결하고, 마이크로소프트 아웃룩 웹 액세스에 이중 인증 시스템을 도입하고, 서비스 계정을 다시 조사해야 한다. 
 
마지막으로 보안 팀이 보안 컨설턴트의 침입을 왜 발견하지 못했는지 이유를 조사해야 한다. editor@itworld.co.kr



2012.10.12

칼럼 | 해커 고용해 침투평가 해보니···

Mathias Thurman | Computerworld
필자가 매년 지출하는 중요한 예산 가운데 하나가 바로 분기별 보안 평가다. 주요 시설의 물리적 침투 시험(enetration testing), 또는 주요 애플리케이션이나 제품을 평가하는데 주로 중점을 두고 있다. 그러나 이번 분기에는 해커 한 명을 고용하기로 결정을 내렸다.
 
필자는 우리 회사의 보안이 제법 탄탄하다고 생각하고 싶다. 그러나 100% 안전한 것은 아니다. 취약점을 발견할 수 있는 유일한 방법은 내부 평가를 하는 것이다. 해커를 채용해 이런 평가를 하면 더 좋다. 최소한 침투 시험 전문가인 컨설턴트를 고용해야 한다.
 
또한 써드파티가 완벽하게 독립적으로 평가하면 더 완전한 현황을 파악할 수 있다고 생각했다. 필자는 컨설턴트에게 딱 한 가지만 못하도록 했다. 
 
서비스 거부 공격(DoS)이다. 외부 회사를 이용하면 자사의 보안 팀이 얼마나 효과적으로 의심스러운 활동을 발견해 내는지를 시험할 수도 있다. 이를 위해 IT 부서의 믿을 수 있는 몇 명만 이 사실을 알도록 했다. 
 
또다른 혜택도 있다. 데이터 누출 방지 시스템, 보안 사고 및 이벤트 관리 시스템이 자사를 얼마나 잘 보호해주는지 더 많은 정보를 얻을 수 있다는 것이다.
 
필자는 컨설턴트에게 평가 대상으로 선정한 핵심 애플리케이션을 제외하고는 다른 자세한 정보를 주지 않았다. 외부 컨설턴트가 개인 해커 또는 해커 단체가 사용하는 방법과 동일한 방법으로 해킹을 하기 원했기 때문이다.
 
2주 뒤 보고서가 도착했다. 외부 DNS 서버 가운데 하나가 내부 주소 공간을 노출시키고 있다는 중요한 사실을 알게 됐다. 또한 DNS 서버를 설정하면 누군가 내부 기반, 명명 규칙 매핑을 포함 존 정보를 옮길 수 있다는 것도 알았다. 해커들은 이 정보를 이용해 내부 네트워크를 파악, 목표에 초점을 맞출 수 있다.
 
다른 문제도 있었다. 여러 취약점을 통해 인가를 받지 않고도 기반에 접속할 수 있다는 것이다. 컨설턴트 한 명은 인터넷 애플리케이션에서 SQL 인젝션 취약성을 발견했다. 이 취약점을 이용하면 SQL 쿼리를 통해 애플리케이션 서버 가운데 하나의 시스템 계정에 대한 비밀번호 해시를 구할 수 있다. 이 방법을 통해 단 6초 만에 비밀번호를 알아냈다.
 
그리고 이 비밀번호로 마이크로소프트 아웃룩 웹 액세스에 접속했다. 이후 애플리케이션 서비스 계정으로 로그인을 할 수 있었다. 실용적으로 판단했을 때, 서비스 계정에는 연동 이메일이 없어야 한다.
 
컨설턴트는 회사의 직원 디렉토리를 조사해 우편실에서 일하는 직원의 이름을 구할 수 있었다. 그리고 인터넷에서 집주소, 전화번호, 개인 이메일 주소 같은 정보를 조사했다. 
 
컨설턴트는 이 우편실 직원을 가장해 회사 웹사이트에서 찾은 전화번호로 헬프 데스크에 전화를 걸었다. 헬프 데스크 기술 지원 담당자는 사용자 인증에 회사 내선 번호만을 물어봤을 뿐이다. 
 
해커가 번호를 말하자, 기술 지원 담당자는 이메일 비밀번호를 다시 설정하고, 직원 VPN 포털에 로그인할 수 있는 임시 RSA SecurID 패스코드를 발급했다. 해커는 그때부터 기업 인트라넷과 여러 애플리케이션에 접속할 수 있었다.
 
짐작하겠지만, 필자는 현재 헬프 데스크의 직원 인증 절차를 새로 수립하고, DNS 서버를 재설정하고, SQL 인젝션 취약점을 해결하고, 마이크로소프트 아웃룩 웹 액세스에 이중 인증 시스템을 도입하고, 서비스 계정을 다시 조사해야 한다. 
 
마지막으로 보안 팀이 보안 컨설턴트의 침입을 왜 발견하지 못했는지 이유를 조사해야 한다. editor@itworld.co.kr

X