악성 에이전트(Malicious Agent) 대응 지침

악성 에이전트(Malicious Agent) 대응 지침

- CERTCC-KR -

전완근 연구원, wkjeon@certcc.or.kr
이현우 연구원, lotus@certcc.or.kr
신은경 연구원, sek@certcc.or.kr

I. 개 요

99년 3월에 발생한 Melissa 매크로 바이러스[1]를 시작으로 최근의 Love-letter Virus[2] 등 E-mail을 통하여 전파되는 인터넷 윔 바이러스가 지속적으로 발견되고 있다. 백오러피스[3]로 대표되는 트로이잔 공격도구는 그 수가 수백가지에 이르며, 매크로/웜 바이러스는 이러한 공격도구를 널리 유포시킬 수 있는 수단이 되고 있다.

또한 언더그라운드에 의하면 "love-letter worm 은 매우 조잡한 코드로 보다 강력한 웜이 있음을 개념적으로 보여주는 웜이다. 향후 시스템 독립적이고, 사용자에게 보이지 않으며, 사용자의 도움없이 전파되고, 공격 임무를 수행하고 사라지는 보다 진보된 웜이 나타날 것이다"[4]라고 예견하고 있으며, 이는 최근 발견된 MS Outlook의 취약점[5]을 통하여 그 가능성이 현실로 드러나고 있다.

본 문서에서는 공격자를 대신해서 시스템/네트워크 공격을 도와주는 컴퓨터 프로그램을 "악성 에이전트"(Malicious Agent) 라고 지칭하며, 최근의 바이러스, 웜, 트로이잔 프로그램을 포함하는 의미로 사용한다[6]. 공격자는 이러한 에이전트의 주요 특징들이 통합된 공격도구를 이용하여 보안시스템으로 무장된 사이트를 공격할 수 있으며, 사회공학수법을 해킹기술에 적용하여 보다 빠르고 규모있는 공격을 수행할 능력을 보여주고 있다.

현재 이러한 공격에 일반적으로 취하고 있는 보안수단은 일반 사용자별로 백신을 사용하거나, 메일서버 등 서버 단위에서 바이러스를 검사하거나, 침입탐지시스템(IDS)을 사용하고 있다. 하지만 침입탐지시스템과 백신이 가지는 가장 큰 문제점은 "사후처리"라는 점이다. 즉, 알려진 공격에 대응할 수 있으나, 새로운 공격은 방어할 수 없다는 것이다. 스크립트 키디를 포함하여 대부분의 공격자는 새로운 공격기법을 사용한다는 점을 유의하여야 한다.

보안제품은 보조수단으로 사용되어야 한다. 보다 완벽한 보안은 결국 시스템/네트워크에 대한 보안관리이며, 이러한 관리를 위해서는 보안기술에 대한 전문적인 지식과 더불어, 일반 사용자에 대한 보안교육, 지침 작성/보급 등이 필수적이다. 본 문서는 최근의 웜/매크로 바이러스, 트로이잔 등의 악성 에이전트에 대한 대응방안으로 사후처리가 아닌 "예방차원"의 지침을 제공하고자 한다.

II. 활용 방법

본 문서는 바이러스, 웜, 트로이잔 등의 악성 에이전트 공격 예방을 위한 가이드로서 일반사용자의 어플리케이션 사용에 대한 지침과 더불어, 시스템/네트워크 관리자 차원에서의 지침을 제공한다. 보안 관리자는 필요에 따라 일반 사용자 교육을 위한 자료 또는 세부지침으로 활용 할 수 있으며, 사이트 보안을 위한 지침 및 기술 자료로 활용 가능하다.

III. 악성 에이전트 대응 지침

1. Desktop 관리 지침

A. 일반 지침

1) 적어도 각 사이트의 90%이상의 데스크탑 PC에 백신 소프트웨어를 설치한다.

2) 백신 업체 및 한국정보보호센터의 바이러스 경보를 받도록 한다.
- CERTCC-KR : http://www.certcc.or.kr
- 안철수 연구소 : http://home.ahnlab.com/
- 하우리 : http://www.hauri.co.kr/
- 트랜드 코리아 : http://www.antivirus.co.kr/
- 시만텍 코리아 : http://www.symantec.com/region/kr/
※ 전산실 담당자 또는 보안 담당자가 위의 바이러스 경보를 받아 사내 BBS등을 통하여 전 직원에게 즉시 공지시켜야 한다.

3) 매달 백신 소프트웨어를 업데이트하고, 경보를 받았을 경우에는 2일안에 업데이트 실시, 가능한 최신버전의 백신 프로그램 사용 권장
4) 만약 경보 서비스를 받지 못하는 상황이라면 일주일 단위로 백신 소프트웨어 업데이트
5) 보안 담당자는 사용자들에게 백신 프로그램을 업데이트하는 방법 교육
- 각 사이트에서 사용하는 백신 제품에 따라 업데이트 방법을 문서화하여 공지

6) 백신 소프트웨의 올바른 설정 사용
- 실시간 감시, 자동탐지 등 실시간으로 바이러스를 감시하는 모드 사용.
- 시스템 부팅시 메모리, 마스터/부트레코드, 시스템화일 검색 가능 모드로 설정.
- 검색할 파일 리스트에 모든 종류의 파일이 포함되도록 설정하는 것이 가장 좋으며, 다음과 같은 파일 확장자는 반듯이 포함되도록 한다.
.HTA, .OCX, .SHS, .VBS
- 로그 기능이 있는 경우, 바이러스 관련된 모든 활동을 로그하도록 설정

7) 바이러스와 관련된 데스크탑 PC 보안 설정
- 최신버전의 Micrisoft Outlook 사용
- Microsoft Outlook에서 "VBS", "ActiveX", "JavaScript", "WordMacro"와 관련된 모든 보안 패치 프로그램 설치
※ 전산실 담당자 또는 보안담당자는 바이러스 경보를 숙지하고 패치가 발표되는 대로 일반사용자에게 패치방법 공지
- Visual Basic Scripting Host 설정 금지
※ 제어판 -> 프로그램 추가/제거 -> 윈도우설치 -> 보조프로그램 에서 Windows Scripting Host 체크박스 체크하지 않음
- E-mail 클라이언트 보안 설정(B 참조)

8) 데스크탐 관리 시스템을 이용한 중앙 집중된 관리 체계 구축
※ 사내의 모든 데스크탑 PC를 중앙에서 통제할 수 있는 시스템이 존재하며, 이러한 시스템을 통하여 원격으로 모든 직원의 PC를 점검하거나 보안설정할 수 있음

B. 어플리케이션 관리

1) MS Office : 첨부 1 참조

- 가능한 최신버전의 소프트웨어를 사용하며, 적어도 보안패치를 설치한다.
- MS Word에서 파일을 Rich Text Format(*.rtf)으로 저장하도록 설정

※ 매크로 기능 및 고급기능 사용으로 인하여 불가피하게 *.doc 형태로 저장하는 경우를 제외하고는 디폴트로 *.rtf 파일로 저장하고 관리하도록 함

- Macro Virus Protection 기능 설정
- *.doc 파일을 열 경우 WordView 또는 WordPad를 사용하도록 설정
- E-mail 첨부 문서파일은 더블클릭 하지 말고, 먼저 WordView나 Wordpad 등으로 열어본뒤에 실행되는 파일이면 절대로 실행하지 않는다.

※ 매크로/웜 바이러스는 메일을 통하여 유포되는데 항상 그럴듯한 제목을 사용하며, 또한 자신이 아는 사람으로부터 메일이 오게 되므로 각별한 주의 필요.

2) E-mail 클라이언트

o Outlook
- 가능한 최신버전의 소프트웨어를 사용하며, 적어도 보안패치를 설치한다.
- 인터넷 익스플로러(IE) 4.x/5.x의 인터넷 영역의 보안을 "높음"으로 설정
( 도구 -> 인터넷 옵션 -> 보안 -> 보안수준 -> 높음(인터넷영역) )
- IE 보안 설정을 "높음"으로 맞춘 후, ActiveX와 Active Scripting 기능을 제거한다.

※ 안전한 보안을 위해서는 "사용안함"으로, 그렇지 않으면 "프롬프트"로 설정
※ 모든 버전의 Outlook(Outlook97 제외) 보안 설정은 인터넷 익스플로러의 보안 설정(도구(tools)->인터넷 옵션(Internet Options)->보안(Security))을 따른다. 하지만 익스플로러의 보안 설정을 따르지 않고, Outlook의 e-mail을 위한 보안 설정을 다시 하려면, Outlook의 "도구 -> 옵션 -> 보안"에서 "제한된 사이트 영역"을 선택하도록 한다. 그리고 선택한 "제한된 사이트 영역"에 대해서도 부가적으로 다음과 같은 보안 설정을 추가한다.

(도구 -> 인터넷 옵션 -> 보안 -> 제한된사이트영역(높음) -> 사용자정의수준)

1. ActiveX control을 "사용안함" 또는 "프롬프트"로 설정
2. Active Scripting을 "사용안함" 또는 "프롬프트"로 설정
3. JavaScript를 "사용안함" 또는 "프롬프트"로 설정

o Outlook Express : 열기와 미리보기 기능 제거
- 가능한 최신버전의 소프트웨어를 사용하며, 적어도 보안패치를 설치한다.
- 인터넷 익스플로러의 보안 설정을 앞서설명한 대로 설정
- Outlook Express에 있는 미리보기 기능을 제거:

1. 메뉴바의 "보기 | 레이아웃"을 선택
2. 대화상자의 아래 부분에 있는 "미리보기 창 표시"를 체크하지 않는다.

o Netscape : 자바 스크립트 기능 제거
- 가능한 최신버전의 소프트웨어를 사용하며, 적어도 보안패치를 설치한다.
- 메뉴바에서 "Edit | Preferences" 선택
- 대화상자의 왼쪽에 있는 "Advanced" 선택
- 대화상자 오른쪽에서 "Enable JavaScript for Mail and News"을 체크하지 않는다.

※ 보다 안전을 위해서는 "Enable JavaScript"를 체크하지 않는다. 하지만 Nescape에서는 자동 업데이트 프로그램(Smart Update program)을 위해서 자바스크립트를 사용하기 때문에 이 기능을 사용하기 위해서는 "Enable JavaScript"를 체크해야 한다.

o 기타 E-mail 클라이언트
- 가능한 최신버전의 소프트웨어를 사용하며, 적어도 보안패치를 설치한다.
- 비주얼베이직 스크립트(VBS)나 자바 스크립트 기능을 제거

o 기타
- 첨부파일 자동 열기 기능 제거
- 텍스트 메일 형식 사용
- *.EXE, *.HTA, *VBS 등 모든 실행 가능한 첨부파일 실행시, 실행확인 설정
- 모든 *.doc, *.xls, *.ppt 등 문서 파일을 열 경우, open 확인 설정
- MS mail 프로그램 이외의 제품 사용 고려
- 모든 직원의 메일 주소를 로컬 E-mail 주소록에 저장하지 않는다.

2. 서버 관리 지침

A. 일반 지침

1) E-mail 서버(gateway)에서 In/Out 메일에 대한 바이러스 검사를 할 수 있는 바이러스 방역 시스템 설치, Full-Time 모드로 실행
2) 검색할 파일 리스트에 모든 종류의 파일이 포함되도록 설정하는 것이 가장 좋으며, 다음과 같은 파일 확장자는 반듯이 포함되도록 한다.
.HTA, .OCX, .SHS, .VBS

3) 서버 단위의 바이러스 방역 시스템도 데스크탑 PC용 백신의 업데이트 지침에 따라 빠른 업데이트 실시
4) 아래의 E-mail 서버 보안 설정을 통하여 부가적인 보안 수단 강구

B. E-mail 서버 보안 지침

1) 모든 In/Out 메일의 제목과 헤더를 필터링하여 바이러스 탐지
2) 긴급 경보를 받은 후 1시간 이내에 필터링 규칙 설정

3) 스팸 메일에 대한 한계값을 설정하여 필터링
- 동일한 메시지를 한계값(30-40개 정도) 이상으로 받을 경우 필터링하도록 설정

4) 모든 실행파일과, ActiveX, JavaScript에 대하여 필터링 설정
- 꼭 필요한 경우, 실행파일을 zip으로 압축하여 메일로 보내면 사용 가능

※ 참고자료 :

- Enhancing E-Mail Security With Procmail
ftp://ftp.rubyriver.com/pub/jhardin/antispam/procmail-security.html

- The Anomy mail sanitizer tools
http://mailtools.anomy.net/

- A Mail Virus Scanner
http://satan.oih.rwth-aachen.de/AMaViS/

- Inflex E-mail Scanning System
http://www.inflex.co.za/mainpage.html

3. 인적 관리 지침

1) 사용자들에게 E-mail에 첨부된 파일이나 링크가 잠재적으로 위험하다는 것과 매우 신중하게 다루어야 한다는 사실을 주지시킬 수 있도록 교육
- 메일을 통해 수신될 것이라 예상되는 첨부파일만을 열어본다.
- 잘 알고 있거나 신뢰할 만한 링크만을 클릭한다.
- 그 이외의 첨부파일이나 링크는 삭제한다.

※ 위험한 첨부파일명 및 확장자명 : *.chm, *.hlp, *.hta, *.js, *.shb, *.shs, *.vb, *.vbe, *.vbs, *.wsf, *.wsh, *.exe, *.com, *.shs, *.ocx, aol4free.com, babylonia.exe, badass.exe, buhh.exe, chocolate.exe, compu_ma.exe, happy99.exe, i-watch-u.exe, ie0199.exe, jesus.exe, list.doc, path.xls, photos17.exe, picture.exe, pretty park.exe, prettypark.exe, serialz.hlp, setup.exe, story.doc, suppl.doc, surprise!.exe, x-mas.exe, y2kcount.exe, yahoo.exe, zipped_files.exe, etc.

2) 크리스마스 카드 첨부파일, 비디오, 오디오, 또는 재미있는 첨부파일, 그리고 성적인 내용을 담은 첨부파일은 바이러스, 웜, 트로이잔 등 악성에이전트를 유포시키는 전형적인 수단임을 주지한다.
3) 시스템 관리자 및 보안 관리자는 최신 정보를 습득하여야 한다. 이는 백신/침입탐지시스템 업체 및 CERTCC-KR 사이트에서 얻을 수 있다.

4. 백신 및 침입탐지시스템 제품 선정 고려사항

악성 에이전트의 탐지는 백신 제품 뿐만이 아니라 침입탐지시스템(IDS)에서도 탐지할 수 있다. 백신 제품은 주로 바이러스, 웜, 트로이잔의 존재 유무를 탐지하는 반면, IDS는 트로이잔, 웜 등의 공격활동을 탐지한다. 일반적으로 백신 제품이 대부분의 악성 에이전트 영역에 대한 보안을 제공한다. 다음은 백신 및 IDS 선정시 가장 유의해야할 부분이다.

1) 새로운 악성 에이전트 발견에 따른 제품 업데이트 속도
- 최소 2일 이내에 업데이트 DB를 제공하는 제품

2) 탐지할 수 있는 기존에 알려진 악성 에이전트 종류 및 수
※ 사실상 업데이트 속도가 2)번보다 더 중요하다. 왜냐하면 대부분의 공격자는 이전의 잘 알려진 공격방법보다는 항상 새로운 공격방법을 사용하기 때문이다.

3) 탐지의 정확성
4) 고객에게 새로운 관련 정보 및 경보를 신속히 제공하는 업체의 제품

[참고 문헌]

[1] Melissa Macro Virus 분석 보고서, CERTCC-KR,
http://www.certcc.or.kr/paper/tr1999/1999004/Docs/tr1999004.html

[2] Love-letter Virus 경보, CERTCC-KR,
http://www.certcc.or.kr/cvirc/Alert/42/lovelet-alert.htm

[3] 백오러피스 분석보고서, CERTCC-KR
http://www.certcc.or.kr/paper/tr1998005.html

[4] Writing Internet Worms for Fun and Profit, Michal Zalewski,
http://www.securitymap.net/docs-virus.html

[5] MS Outlook & Outlook Express의 버퍼오버플로우 취약성, CERTCC-KR,
http://www.certcc.or.kr/advisory/ka2000/ka2000-025.txt

[6] The Evolution of Malicious Agents, Lenny, http://zeltser.com/agents/

[7] Virus Policy Guide, ICSA, http://www.icsa.com

-------------------

첨부 1 : 바이러스 예방을 위한 Microsoft Office 프로그램 설정 방법

Office 97 programs:

Word 97

도구 | 옵션 | 일반 :
[매크로 바이러스 보호] : 체크 함
[현재 문서를 메일에 첨부] : 체크하지 않음
도구 | 옵션 | 저장 :
[양식의 데이터만 저장] : 체크 함
[빠른 저장 사용] : 체크하지 않음
[다른 이름으로 저장 : Rich Text Format (*.rtf)] : 설정 함

Excel 97

도구 | 옵션 | 일반
[매크로 바이러스 보호] : 체크 함

PowerPoint 97

도구 | 옵션 | 일반
[매크로 바이러스 보호 설정] : 체크 함

Office 2000 설정 :

Word 2000

도구 | 매크로 | 보안 :
보안 수준 = 높음 (기본 설정은 "높음")
Trusted Sources = NO ONE
Trust all installed add-ins and templates : 체크하지 않음(기본설정은 체크됨)
도구 | 옵션 | 일반 :
[현재 문서를 메일에 첨부] : 체크하지 않음
도구 | 옵션 | 저장 :
[양식의 데이터만 저장] : 체크 함
[빠른 저장 사용] : 체크하지 않음
[다른 이름으로 저장 : Rich Text Format (*.rtf)] : 설정 함

Excel 2000

도구 | 매크로 | 보안
보안 등급 = 높음 (기본 설정은 "높음")
Trusted Sources = NO ONE
Do not check Trust all installed add-ins and templates: 체크 함(기본 설정은 체크함)

PowerPoint 2000

도구 | 매크로 | 보안
보안 등급 = 높음 (Default may be medium)
Trusted Sources = NO ONE
Trust all installed add-ins and templates : 체크하지 않음(기본설정은 체크함)