스템 패스워드 유출, 키보드 모니터링, 사용자의 현재 화면 캡쳐도 가능하고 네트워크 자원의 공유 지정, 네트워크 접속 재지정, 파일 조작, 레지스트리 조작도 가능하다. 이외에도 여러 가지 기능을 이용하여 원격사용자는 마치 자신의 시스템처럼 사용할 수 있다. 클라이언트는 유닉스용과 일반 윈도우용이 있으며 명령형 실행 방식과 GUI를 이용한 실행 방식을 모두 제공한다. 또한 서버가 새로 버전업 되었을 경우 원격지에서 업로드하여 업그레이드될 수 있는 재설치 구조를 가지고 있다. 그리고 플러그인 구조를 채택하여 세계 각지에서 만들어진 플러그인을 추가시켜 수행시킬 수 있는 기능도 포함하고 있다.
백오리피스는 바이러스와 같이 메일에 붙어서 전파되거나, 인터넷에서 다운로드 받은 파일에 덧붙여 올 수도 있고, 다른 사람에 의해 고의적으로 설치될 수 있다. 설치 여부를 알기 위해서는 다음과 같은 방법들이 쓰인다.
- 백오리피스는 기본적으로 31337 포트를 사용하는데 이 포트가 열려있는지 netstat a를 통해서 알아본다. 실제로 이 포트는 공격자에 의해 바뀔 수 있기 때문에 유의하여야 한다.
- HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows \\ Current Version \\ RunServices \\ Default의 값을 regedit 명령으로 확인하여 Blank가 아니고 특정값이 들어있으면 백도어가 있다고 판단하여 해당 값을 변경시킨 후 시스템을 재부팅 시킨다.
- Bodetect 등 여러가지 검사 도구를 이용한다.
백오리피스를 제거하기 위해서는 가장 좋은 방법이 하드를 포맷하고 시스템을 새로 깔고 V3나 nobo와 같은 프로그램을 설치하는 것이고 아니면 nobo나 bospy와 같은 프로그램으로 제거해야 한다.
Ⅵ. 컴퓨터보안시스템 침입에 대한 대응 방안
불법 프로세스 종료
Parent 프로세스 종료
프로세스 그룹 모두 종료
불법 사용자 강제 로그 오프
불법 사용자 계정 Lock
네트워크 접속 차단
System Shutdown
1. 침입 로그(Log) 검색
- System Log : exec system_call 과 Event를 통하여 침입 이외의 수행되어진 명령어들을 알 수 있다.
- Intrusion Log : 침입 발생시 탐지 로그를 저장한다.
2. 다양한 호스트 지원
- 다양한 OS에 침입 탐지 Agent 설치(Solaris, HP-UX, AIX, Digital UNIX 등)
- 하나의 Configuration Server에서 Agent 개별 관리
- 하나의 원격 관리자 Console 에서 Agent 관리(로그, Configuration, 통계, 보고서 등)
- 다양한 OS가 설치된 서버들로 구성된 서버 팜 관리 편리
3. 침입 경보(Alert)
- 시스템 Console
- 시스템 Log
- 시스템 Sound
- E-Mail, Mobile Messages
4. 실시간 감시(Monitoring)
- 실시간 및 시간대별 Network 사용내역 감시
- 컴퓨터별, 사용자별, 서비스별 상세내역 검색
- 실시간 원격지 사용자의 명령어 감지 및 방어
- 실시간 Network Tracffic Display
5. 해킹 탐지, 방어, 경보
- 실시간으로 해킹 탐지 후 Network 방어
- 관리자에게 실시간 해킹정보제공(E-Mail, Mobile Phone …)
- 해킹정보(공격자, 대상자, 진행사항, 방어사항)에 대한 감시
- 해킹을 실시간으로 추적할 수 있도록 상세한 공격자 정보제공
- 해킹 툴 셋을 관리자가 정의할 수 있는 메뉴제공
6. 주요정보관리
- Web-Mail, E-Mail에 대한 송,수신 내역(발송자, 수신자 등) 관리
- Web-Mail, E-Mail의 내용( 본문, 첨부 )을 검열할 수 있는 기능 제공
- 특정 문자열이 들어 있는 E-Mail발송 차단
- Telnet, Ftp, Rlogin에 대한 상세 내역 관리
- 허가되지 않는 Web Site차단 관리/ 하드디스크 공유에 대한 통제 관리
7. 보고 및 통계
- 실시간, 시간대별 감시 내역 보고서
- 해커침입/탐지/방어/경보 및 방지대책 보고서
- 자료 송,수신 내역 보고서( E-Mail, Telnet, Ftp, Rlogin )
- 테이블 및 각종 Chart
- 컴퓨터별, 서비스별, 기간별, 개인/그룹별,월,일,시간대별에 대한 통계 보고서
8. 보안 감사
- 접속한 관리자 및 작업내역관리
- 관리자 접속 시 실패한 ID와 IP주소를 관리 및 확인
- 무결성 확인 => 서버자체 점검
9. 기타 환경 설정
- 사용자(관리자) 관리
- 내부 컴퓨터 관리
- 로깅 설정
- 해킹 방어 RuleSet 설정
- 통합보안관리 : ESM(Enterprise Security Management) : 설정 기법
Ⅶ. 결론
현대사회에 있어 정보는 중요한 자산이다. 컴퓨터 및 통신장비의 발달에 힘입어 과거에는 가히 상상도 할 수 없었던 정도의 엄청난 양의 정보들이 실시간으로 처리, 보관, 전송되고 있다. 뿐만 아니라 컴퓨터 통신망의 확대는 수많은 사용자들에게 편리하고 다양한 정보서비스를 가능케 하였으며 고급정보의 집적 또한 날로 증가하고 있다. 그러나 이와 같이 정보가 밀집화되고 통신망이 복잡화됨에 따라 정보시스템은 전문적인 공격자를 비롯하여 단순한 호기심에 의한 공격자에 이르기까지 여러 공격자의 표적이 되고 있다. 통신망의 거대화, 정보자산의 고급화, 사용자 집단의 다양화는 한편으로는 공격기회의 증가, 공격동기의 상승, 공격자 수의 증가 그리고 공격에 의한 피해의 대규모화를 초래하므로 정보시스템에 대한 보안은 시급한 문제라 하지 않을 수 없다.
참고문헌
△ 김태현(1997), 인터넷보안과 해킹 White paper, 청암미디어
△ 서동일(2003), 최근 사이버 공격기술 및 정보보호 기술전망, 정보보안
△ D, Brent Chapman(1998), 인터넷 방화벽구축하기, 한빛미디어
△ Stephen Northcutt·Judy Novak 저, 조대일·송규철·노병규 역(2001)네트워크 침입 탐지와 해킹 분석 핸드북, 인포북
△ UNIX 시스템 프로그래밍(1999), 홍릉 과학 출판사