최근 해킹으로 인한 서버의 침해사고, 트래픽 유출, 스팸메일 발송, 피싱사이트, DDOS 좀비서버 악용 등의 사고가 많이 발생하고 있으며, IDC센터의 보안관제팀에 피해사례 및 해킹점검 요청 접수가 많이 증가되고 있습니다. 이러한 피해를 미연에 방지하고 줄이기 위해서는 서버의 보안설정을 다시 한번 체크해 보시기 바라며, 아래와 같은 보안 관련 주요 사항을 권고 합니다.

서버 침해 사고로 안전하기 위한 서버관리자 기본 상식

내사이트는 안전하겠지, 클라우드 서비스는 엔지니어가 필요 없다고 하니 보안으로 부터 안전하겠지., 우리 프로그래머는 고참이라 해킹 안당하겠지 이렇게 생각 하지만 ,그런 생각을 공격자들은 비웃듯이 비집고 기어 들어 옵니다. 취약점이 많은 서버가 해킹 당합니다 취액점은 시스템 취약점과 웹 취약점 이 존재 합니다. 내 서버와 홈페이지가 어떠한 취약점이 있는지 늘 스캐닝 하고 보완하면 됩니다.

1. 취약점 스캐닝 정규화 및 취약점 보완의 생활화

https://www.cloudv.kr/security/advisory.html

서버 보안의 기본은 취약점 스캐닝과 보완입니다. 그 다음이 보안 장비를 사고 보안 관제 서비스를 받는 것입니다. 서버와 홈페이지에는 웹 취약점과 시스템 취약점의 두종류의 취약점이 존재 합니다. 내 서버에 어떠한 취약점이 잇는지 늘 체크하고 보강 하면 해킹당할 확률이 거의 0프로수준에 접근 합니다. IwinV 서비스 홈페이지에 로그인 하여 점검을 신청하면 자동화된 취약점 점검툴로 스캐닝 하여 리포트를 제공 합니다. 보안 서비스 전문 업체에 비하여 비교적 저렴 한 비용-5만원에 취약점 점검 리포트가 제공 됩니다. (야매의 규모의 경제)
히 신규로 홈페이지 작업을 한 경우는 반드시 웹 취약점을 점검 하여야 해킹 사고를 당하지 않습니다. 대부분 프로그래머가 과거 자신의 프로그래밍 스타일을 고수하며 코딩 하기 때문에, 신규 발견되는 보안 허접을 모르고 코딩하는 바가 다반사 인지라, 고참 프로그래머 일수록 보안 헛점을 양산하는 행태를 보입니다.
제공된 리포트에 대하여 궁금한 사항은 고급 기술자의 전화 컨설팅이 가능 합니다.
실제 해커들도 공격전 공격 대상 서버에 대하여 스캐닝을 통해 어디에 어떠한 보언 헛점이 있는지 확인 하고 공격을 하므로, 내가 빅팀 서버가 되지 않으려면 내서버의 보안 헛점은 철저히 틀어 막아야 합니다.

제공된 리포트에 대하여는 개발자가 보완 코딩 작업을 철저히 한뒤 , 다시 스캐닝을 하여 보안 헛점을 철저히 틀어 막아 줘야 서버가 안전할수 있습니다.
웹취약점 점검시 반드시 중요 데이터 백업을 하시기 바랍니다. 웹취약점 점검은 해커가 해킹하는 방법과 동일하게 취약점을 점검하기 때문에 웹소스 변조가 될 수 있으며, DB injection 점검시에 DB데이터가 망실될수 도 있습니다.

2. 내 PC 관리 철저

대형사고의 50% 이상이 내 피씨에 침투한 악성 코드에서 시작 됩니다. 대형사이트 은행 정부기관 군 사회단체등 다양한 영역에서 악성 코드 공격이 서버쪽으로 공격을 이어가 대형 사고로 바뀌게 됩니다.
메일로, 웹 서핑중에, 토렌토 다운로드 파일로 , 스마트폰 문자 메세지로 다양한 경로를 통해서 공격자는 미끼를 뿌립니다. 그리고 미끼는 귀하의 피씨혹은 스마트 폰에 자리를 잡자마자 아이디 패스워드를 수집하고 SSH FTP Telnet vpn PASSWD 등의 단어가 네트워크에 흐르는 지를 리스닝 합니다. 시스템 명령ㅇ어나 패스워드류의 단어가 귀하의 컴퓨터혹은 스마트폰에 흐르는 경우 거기에 이차 악성 코드를 심은뒤 귀하의 서버로의 접근을 시도 하여 , 다양한 정보를 탈취해 갑니다. 특히 apt 공격 같은 기획된 공격은 SNS를 통해서 공격하고자 하는 회사의 직원과 그 주위에 인물이 사용하는 피씨에 집요하게 악성코드를 심은 뒤에 피씨에서 부터 출발하여 서버족으로 공격을 진행하여 전체 시스템의 주요 데이타를 털어가는 사고 입니 다.
바이러스 백신 사용, 컴퓨터 보안 업데이트 만으로 공격을 막아 내기에는 역부족입니다. 웹하드, 토렌트등 엔터테인먼트 목적으로 사용하는 피씨, 웹서핑 이메일 사용등의 목적으로 사용 하는 피씨등..가상화나 스틱 피씨등 별개의 피씨를 사용하여 시스템 운영 으로부터 완벽한 분리 하거나 리눅스 매킨토시등 다른 종류의 운영체제 이용을 권장합니다.

3. 최신 보안 업데이트 의 생활화

일주일에도 서너건이상의 주요 보안 경고문이 수도 없이 올라오고 업데이트가 실시되며, 따라서 이에 대한 보안 업데이트는 기본이 되어야 합니다. 주요 보안 업데이트가 기술적으로 불가능 할 경우 홈페이지에 로그인 하여 기술지원의뢰를 요구하 면 됩니다. 바쁜 업무로 업데이트 작업을 하지 못할 경우 분기 1회정도의 보안 업데이트 를 정기적으로라도 하면 좋습니다.

4. 패스워드 관리 철저

– 너무 손쉬운 패스워드는 사용하지 맙시다. 영문, 숫자,기호의 복합 암호 권장
– 아이디 패스워드는 암호화 전송으로 패킷 스니퍼링 차단

5. Elcap firewall의 이용 (기본 제공 서비스 )

IwinV 서비스는 elcap firewall이 상단에서 네트워크에 투명한 어플라이언스 형태로 서비스 되어 모든 서비스 이용자가 무료로 이용할수 있습니다. 서비스 로그인뒤 콘솔 화면을 통해 이용하는 아이피에 대하여 디폴트로 서비스를 이용할수 있습 니다.

특징
– 네트워크 독립 어플라이언스 파이어 월
기존 타사 클라우드 firewall이 서버 기반의 방화벽인 경우가 많아 성능상 만족스럽지 못한 경우가 많으나, 우리 서비스의 firewall은 네트워크 상단에 별도의 하드웨어로 자리 잡으며, 성능상 월등한 퍼포먼스를 보입니다.
– 한국 보안 위협에 튜닝된 서비스 국가별 드롭 기능- china drop등이. 원클릭으로 설정 할수 있습니다.
– 손 쉬운 인터페이스
elcap firewall 매뉴얼

6. 취약점 차단이 불가능 할경우 웹방화벽등 어플라이언스 서비스 이용

소스코드의 보완이 안되는 어쩔수 없는 보안이 존재 합니다.
웹 방화벽 서비스 이용 안내  https://www.cloudv.kr/security/firewall.html

침해사고의 대응

침해사고 발생시 증상과 어덯게 대응 할 것인지 조치 사항입니다.

1. 침해사고 및 트래픽 유출된 서버의 증상

– 악의적인 DB Data 변조 및 삭제
– 트래픽 유출로 인한 네트워크 속도 저하
– 차단좀비 서버 활용 및 DDOS공격
– 피싱사이트 중간 경유지
– 개인정보 및 DB Data 유출
=> 타서버나 네트워크에 영향을 주는 경우는 관제 팀에서 먼저 그 서버를 격리 한뒤에 연락이 갑니다만, 그렇지 않은 경우 작업 의뢰를 작성하여 시스템 엔지니어의 접근을 허용 하여야 합니다.

2. 침해사고시 조치는

침해사고 및 트래픽 유출된 서버의 증상이 발견되었다면 다음과 같이 처리하시기 바랍니다.
침해서버와 같은 경우 해커와 같이 로그인 되어 있는 경우가 있습니다.
1. 기술 지원 신청 : 증상 등을자세히 기입. 특히 해커가 로그인 되어 있는 걸 볼 경우 네트워크 단절을 요청
2. 데이타 별도 백업 요청 : 해커가 삭제 해버리 경우가 있습니다.
3. 시스템 사용량 많은 서비스 중단.

3.침해사고 기초 작업

– 서버내에 불필요한 IP 및 Port를 차단합니다.
– 스마일서브 기본 제공 엘캡방화벽에 접속하여 해외접속 및 중국접속 차단합니다.
– 해킹 경로를 파악하고 취약점 스캐닝을 실시 합니다.
– 오래된 웹소스(php/asp 등) 취약점을 점검 및 소스를 수정합니다.
– 취약점이 발견되지 않을때까지 3번과 4번을 반복합니다.
– 소스 수정이 안되는 경우 웹 방화벽 서비스를 요청 합니다.

4.주요 해킹 방법

– 제로보드등 공개 S/W 취약점을 이용한 웹서버 및 DB서버 해킹
– phpMyAdmin취약점을 이용한 웹서버 및 DB서버 해킹
– 오래된 웹소스(php/asp 등) 취약점을 이용한 웹서버 및 DB서버 해킹
– 포트 스캐닝을 이용한 서버 해킹
– 관리자 ID, PW 무작위 대입

5. 침해사고 및 트래픽 유출된 서버의 해킹예방 방법

주기적인 서버해킹점검 및 웹서버, 기타 운영서버 취약점 점검
서버 방화벽 (iptables 및 IPsec) 설치 및 보안 설정 강화
웹방화벽 설치 및 보안 설정 강화 (중요함)
ELCAP 방화벽 보안 설정 (중요함)
주기적인 서버의 중요 데이터 백업

6. 서버의 보안설정 방법

Linux서버 보안 설정 매뉴얼 [바로가기]

DDOS 공격의 증상과 대응

1. 증상 : DDos 는 좀비들의 개때 러쉬입니다. 해킹은 나의 헛점을 뚫고 들어 오는 것이라면.

– DDOS는 내 서버로는 할 것이 하나도 없습니다. 내 서버로 들어오는 네트워크를 틀어막거나 네트워크 장비에 부하를 주거나.내 서버의 부하를 확 늘리던지 하는 공격입니다.
– 본인이 느끼기 전에 관제팀에서 먼저 인식하고 귀사의 서버로 가는 모든 패킷이 차단 됩니다. (정상 비정상 모두 일괄 차단)
– get 이나 session 공격은 시스템의 부하를 주는 공격도 있으니 이유없이 서버가 다운되거나 부하가 오르면 기술지원을 요청 하시기 바랍니다.
– 과제팀에서 DDOS 공격으로 네트워크 가 차단 되었다는 연락을 보내 옵니다.

2. KISA 긴급 대피 서비스 이용

최초 공격 받을때 인터넷 진흥원 KISA의 긴급 대피 서비스를 15일간 이용 할 수 있습니다. 정부의 서버도 대피소 서비스를 이용 하므로 장기간 이용은 불허 하고 있습니다.

3. CLOUDV 대피 서비스

현재 민간이 장시간 이용 가능한 유일한 DDOS 대피 서비스 입니다. KISA 대피 서비스를 이용기간이 종요된 고객 분들은 이후에 CLOUDV 대피소 서비스를 이용할수 있습니다. 모든 종류의 DDOS 방어 가 가능 하며. 방어존을 경유하는 패킷에 대하여 트래픽은 같은 아이디씨 내 서비스 이므로 무과금합니다.