연·재·순·서
1. 웜의 진보와 기술동향
2. 네트워크에서의 웜 방어(이번 호)
3. 시스템 레벨에서의 웜 방어

네트워크·PC보안 솔루션 활용으로 시너지 효과 극대화
스위치 패킷필터링·PC보안솔루션 혼합 활용 …네트워크 가용성 보장 시급

이동범 어울림정보기술 시스템보안사업부장

웜의 진보와 기술동향에 관한 이번 연재에서는 네트워크의 가용성을 위협하는 웜을 네트워크 레벨에서 어떻게 효과적으로 방어할 수 있는지에 대해 알아본다.
크게 네트워크 보안 솔루션을 이용한 웜 대응 방안과 PC 네트워크 환경 하에서의 대응 두 가지 관점에서 살펴보겠다.
<편집자>

여러분은 웜에 대해서 어떻게 느끼는가? 블래스터나 새서 웜과 같이 자동적으로 시스템을 리부팅시키는 웜이 아닌 이상 PC의 속도가 느려지거나 조금 불편함이 있더라도 무시하고선 그대로 쓰는 사용자가 아마 대부분일 것이라 추측된다.
만약 여러분이 IT관리자라도 이와 같은 사항을 그냥 넘길 것인가? 웜의 진화에서도 언급했듯이 최근의 웜들은 그 전파력이 대단해서 웜에 감염된 PC하나로 인해 내부 로컬 네트워크를 마비시킬 정도로 그 영향력은 엄청나다.
이렇다 보니 네트워크 관리자의 입장에서는 네트워크의 가용성(Network Availability)을 해치는 웜을 무시하고 그대로 방치해 둘 수가 없게 됐다.
네트워크 레벨에서의 웜 방어에 대한 주제에 앞서 웜이 과연 어떻게 네트워크를 통해 전파되고 어느 정도의 트래픽이나 세션을 유발시키는지(물론 웜의 종류에 따라 그 차이는 있겠지만) 아고봇(AgoBot)의 사례를 통해 알아보자.
일반적으로 아고봇을 비롯한 봇 시리즈의 웜들은 다음과 같은 특성을 지니고 있다.

① 공유된 네트워크(관리목적 공유 포함)를 통해 전파된다.
② 관리자 계정의 패스워드가 취약한 시스템에 감염된다.
③ 특정 IRC서버(TCP 6667번 포트)에 접속을 시도한다.
④ IRC(Internet Relay Chat) 서버 연결 후 IRC 클라이언트로서 작동한다.
⑤ 백도어를 설치해 DDoS(분산서비스 공격) 공격을 하거나 사용자의 키 입력을 가로채는 기능으로 PC의 기밀정보나 사용자의 개인 정보 유출을 위한 에이전트로써 역할을 수행한다.
⑥ 자신의 전파를 위해 임의의 IP주소 대역에 대해 TCP 80(HTTP), TCP 139(NetBios), TCP 135(EPMAP), TCP 445(SMB) 등의 포트로 스캐닝한다. 이로 인한 네트워크 트래픽으로 PC의 CPU 사용률 증가와 네트워크 장비의 부하 증가를 유발한다.

실제 아고봇 변종 웜을 이용해 테스트한 결과 66바이트의 패킷을 초당 서로 다른 타깃 호스트로 250여개 발생시켰다. 이를 분 단위로 환산했을 경우 <표 1>과 같다.

이처럼 네트워크 보호를 위해 네트워크 레벨해서 웜을 효과적으로 대응할 수 있는 방안들은 어떠한 것들이 있을까?
게이트웨이와 PC로 나눠서 살펴보면,

① 라우터, 방화벽과 같은 네트워크 장비에서의 패킷 필터링 방안
② IPS와 같은 장비에서의 시그니처 업데이트를 통한 자동 제어 또는 QoS를 이용한 네트워크 트래픽 제어 방안
③ PC 방화벽에서의 패킷 필터링 방안
④ PC단에서의 비정상적인 세션 제어 방안
⑤ PC단에서의 보안 상태 점검 : 관리자 패스워드 관리, 불필요한 공유제거

레이어3 단계에서 웜 공격 제어 방안
게이트웨이에서 대단위 트래픽을 유발시키는 포트를 차단하는데 목적을 둔다. 즉 웜 공격 정보를 바탕으로 해서 IRC서버 포트(TCP 6667) 및 SMB Port(TCP 445), EPMAP 포트(TCP 135) 등을 접속 리스트 및 패킷 필터링 룰(Rule) 등을 등록해서 웜 공격을 제어한다.

액세스 리스트 작성
Router(config)#ip access-list extended worm
Router(config)#deny tcp any any 135
Router(config)#deny tcp any any 139
Router(config)#deny tcp any any 445
Router(config)#deny tcp any any 6667
~ 생 략 ~

하지만 이처럼 라우터, 방화벽과 같은 레이어 3단에서의 차단은 정상적인 프로토콜 또는 서비스 포트로 유입되는 경우 차단이 불가능하고(예: 웹 메일, TCP 80을 이용한 SYN 플루딩 등), 또한 웜에 이용되는 포트가 변경됐을 때 후속조치가 필요하다.

<그림 3>은 허용된 서비스 포트 TCP 80을 이용한 SYN 플루딩(Flooding) 공격에 대해 바이패스하고 있음을 단적으로 보여주고 있다.

IPS에서의 웜 확산 방지
현재 국내외에 다양한 IPS 제품들이 나와있고 대부분 시그니처를 이용한 패턴 검색 및 트래픽 어노멀리(Anomaly), 프로토콜 어노멀리를 통한 네트워크 제어 방식을 이용하고 있다. 또한 일부 제품에서는 자체적으로 다양한 알고리즘을 제공함으로써 웜바이러스가 발생시키는 비정상적인 이상 트래픽을 차단해 네트워크 인프라를 보호하는 역할을 수행하고 있다.
· 공격 시그니처(패턴 검색)
패킷의 콘텐츠를 필터링함으로써 특정 웜을 사전에 차단
정책 기반 제어
·핫리스트(Hot List) 기반 제어

· 프로토콜 어노멀리(프로토콜 오용 방지)
비정상 프로토콜의 필터링 공격 시그니처 디텍션(Attack Signature Detection) 보안
RFC 표준 적용

· 트래픽 어노멀리를 통한 비정상적 트래픽 제어
비정상적 트래픽의 차단
새로운 웜, DoS 공격 방어
QoS 정책설정을 통한 적정 트래픽 유지
· 장비의 특성 및 네트워크 환경에 따라 네트워크 성능 저하를 가져올 수도 있음
· 패킷이 통과하는 관문(Gateway)에 위치하고 있어 내부 로컬 세크먼트(Segment)에 대한 제어 방안이 없음

PC단에서의 패킷 필터링
이는 네트워크 방화벽의 개념을 PC 호스트에 적용시킨 것이다.

· 특정 IP, 포트, 프로토콜별로 트래픽을 제한하는 기능으로 웜이 전파되는 포트를 차단
· 허용된 포트를 통해 인입되는 웜에 대해서는 대처 방법이 없음
· 악성 코드에 대해 패턴 정보를 통해 네트워크나 기타 경로를 통한 각종 악성 코드의 유입 차단
· 중앙관리서버에서 패턴 정보의 업데이트 및 자동 배포되므로 사용자는 항상 최신의 악성 코드 정보로부터의 공격 위험 최소화
· 알려지지 않은 웜 또는 악성코드에 대해서는 패턴 업데이트 전까지 무방비
· 효과적인 차단을 위해 적절한 보안정책이 각 PC마다 설정돼 있어야 함

PC단에서의 비정상적인 세션 제어
웜의 전파 특성상, 단위 시간 내에 가능한 한 많은 타깃 호스트를 공격하거나 스캐닝하기 때문에 트래픽 위주의 패킷 빈도(PPS) 요소보다는 세션 제어에 의한 접근방법이 요구된다.
이는 <표1> 아고봇의 발생 트래픽/세션 정보에서와 같이 웜의 행동패턴을 살펴보았을 때 웜들의 실제 패킷 사이즈가 64~256바이트를 넘지 않는 기가비트 패킷들임을 고려한다면 단위 시간 내에 많은 수의 목적지로 세션 생성을 시도하는 행위에 대해 제어할 필요가 있다.

PC단에서 발생하는 이러한 트래픽을 게이트웨이 형태의 방화벽이나 IPS에서 능동적으로 제어하기에는 한계가 있다. 따라서 이러한 트래픽을 유발시킨 PC 자체에서 이를 제어함으로써 게이트웨이의 부하를 줄여줄 수 있고 또한 내부망 내에서 확산되는 웜바이러스 트래픽을 제어할 수가 있을 것이다.
PC단에서 비정상적인 트래픽 세션을 제어하는 방식은 다음과 같다.
TCP/UDP/ICMP 등 각 프로토콜별, 그리고 각 포트 번호별 단위 시간당 최대 전송 가능한 패킷의 수 또는 세션의 수에 대한 임계치(threshold)를 설정한다.
사용자의 PC 시스템에서 앞서 설정한 임계치를 초과하는 네트워크 트래픽이 발생하면 그 트래픽(or 세션)을 차단한다. 차단할 패킷(또는 세션)은 사용자 시스템에서 외부로 나가는 것만 그 대상으로 삼으면 된다.
웜에 의해 웜 전파 트래픽(또는 DDoS 트래픽)이 발생하면 앞서의 임계치 정책에 의해 그 트래픽은 PC단에서 차단된다. 또한 기존에 시도된 네트워크 트래픽의 대상 주소/포트와 현재 시도되는 대상을 비교하여 그 값이 순차적으로 또는 특정 규칙에 따라 증/감하는지의 여부를 판단할 수 있어야 한다. 이러한 ‘규칙적 증/감’은 포트 스캐닝에 해당하는 것으로서 이를 차단/허용할 것인지에 대한 처리를 해주어야 한다.

PC 보안 수준 점검
봇 종류의 웜뿐만 아니라 다른 다양한 웜 역시 사용자 및 관리자 계정 암호의 취약성을 이용한다. 보통 관리자 계정의 암호를 설정하지 않거나, 단순하게 설정해서 사용하는 경우 PC의 보안 패치를 아무리 잘 하더라도 해당 시스템은 웜 공격으로부터 피해를 입을 수 있다.
따라서 주기적인 사용자 계정 관리가 요구되며 또한 PC에서 불필요한 공유 폴더는 제거하고 공유 폴더 사용 시 반드시 암호를 설정해서 사용하도록 사용자들의 지속적인 보안 교육이 필요하다.
이번호에서는 다양한 신종, 변종의 웜들에 대해서 네트워크 레벨에서의 효과적인 대응방법을 살펴보았다.
방화벽이나 IPS 등의 게이트웨이 장비에서 어느 정도의 웜 트래픽을 걸려내고 이후 PC단에서 네트워크 트래픽 제어 방식을 취함으로써 네트워크 보안솔루션과 PC보안 솔루션의 통합을 통해 시너지 효과를 발휘할 수 있을 것이다.
이와 같은 접근방법은 네트워크 게이트웨이 장비뿐 아니라 PC 하나로 인해 전체 네트워크 마비를 초래하는 결과를 사전에 막아 줄 수 있을 것이다.