피해가 확인되면 복구 방안 수립을 통해 향후 재발 방지를 위한 대응 방안을 수립하고 이행 작업을 실행 한다. 대응 방안은 공격 받은 유형에 따라 다양하게 정의 될 수 있다.
패치적용
사용 중인 응용 프로그램이나 운영체제의 취약점으로 인한 사고 발생 시에서는 개별 공급사에서 제공하는 패치를 이용해 대응 방안을 수립 하자.
| <제로데이 취약점 발표> 아파치 제로데이 취약점 공식 패치 발표 (http://httpd.apache.org/download.cgi) o 취약한 버전을 운용하고 있는 웹 서버 관리자는 Apache 2.2.20버전으로 업데이트[2] ※ Apache 1.3버전의 경우 업데이트 지원이 중단되었으므로, 해당 버전 운용자는 2.2.20버전으로 업그레이드 권고 1. 개요 o 가장 대중적으로 사용되고 있는 웹서버인 Apache에서 간단한 HTTP 요청만으로도 서버의 CPU와 Memory를 가득 채워 간단히 서비스를 마비시킬 수 있는 매우 심각한 신규 취약성이 발견되어 관리자들의 주의가 요구됨. o 공격자는 특수하게 조작된 HTTP패킷을 전송하여 아파치 서비스가 동작중인 서버의 메모리를 고갈시킬 수 있음 o 해당 취약점 정보 및 공격 도구가 공개 배포됨에 따라 웹 서버 관리자의 주의를 요함 2. 해당 시스템 o 영향 받는 소프트웨어 – Apache 2.3.x / Apache 2.2.x / Apache 2.1.x / Apache 2.0.x / Apache 1.3.x * 참고URL : http://seclists.org/bugtraq/2007/Jan/83 |
시스템 설정
운영 중인 애플리케이션의 취약한 설정으로 인해 사고가 발생하는 경우가 많이 있다. 관리자가 기본 설정을 변경하지 않아 공격자가 악용하는 경우나 테스트 과정에서 임시로 변경한 설정을 원복하지 않아 공격자에게 악용되는 사례도 있다.
개별 애플리케이션의 상세 대응 방안은 사용하는 애플리케이션에 종속적이다. 대표적 유형은 다음과 같다.
관리페이지
최근에도 심심치 않게 발생하는 침해 원인으로 기본 관리 페이지를 통한 공격이 발생한다. 공격자의 입장에서 보면 무작위로 자동 프로그램을 이용해 힘들이지 않고 하나만 걸리면 된다. 공격자에게 여러분이 관리하는 시스템이 당첨되는 일이 없도록 하자.
실행 권한 제거
사용자에게 파일 등록 권한을 제공하는 많은 사이트틀이 파일 실행 권한을 적절히 잘 관리하고 있다. 하지만 간혹 한번의 실수로 권한 조정을 누락하는 경우가 있는데 사용자가 업로드한 파일이 시스템에서 실행되지 않도록 권한 제한을 잊지 말자.
이행 점검
조치 해야 하는 것을 계획만 세우고 실행하지 않는 경우가 많다. 조치를 취해야 할 항목을 정의하고 해당 항목에 대한 조치 결과를 문서화해 관리 하자.
| Guest 계정 사용 중단 | ||||
| -. 디폴트로 생성되는 Guest계정이 활성화 된 경우 사용 중단 | ||||
| 조치결과 | 비활성화 | N/A | ||
| 공유 목록 제거 | ||||
| -. 기본적으로 제공되는 관리적 공유(ADMIN$, C$..) 제거 | ||||
| 조치결과 | C$, D$, ADMIN$, IPC$ | N/A | ||
| 취약 패스워드 변경 | ||||
| -. 응용 프로그램 설치 시 자동으로 설정되는 패스워드 확인 변경 -. 취약 유형: admin/admin, admin/1234 | ||||
| 조치결과 | 변경 완료 | 특수문자포함 최소길이10자 영문/숫자혼합 | N/A | |
| 시스템 배너 제거 | ||||
| -. SSH/TELNET/FTP 등 프로그램 버전 정보 표시 | ||||
| 조치결과 | 배너 제거 완료 | N/A | ||