외부에 오픈 되어 있는 서비스를 점검할 때 제일 기본이자 중요한 것을 포트 점검이다. 포트는 서버에 작동되고 있는 서비스(프로세스)와의 연결고리이다. 80포트는 웹서버라고 표준으로 명시하고 있지만, 꼭 지킬 이유는 없다 8080으로 사용해도 되고 8081로 사용해도 된다. 개발자는 임의로 포트를 사용하고 외부에 공개할 수 있다. 방화벽이 해당 포트를 허용하고 있다면 외부에서 접근할 수 있다. 방화벽 정책이 완벽하게 관리되어 있다 생각하면 오산이다. 사람이 하는 작업에는 항상 홀이 있고 운영상 필요한 포트를 그룹으로 관리하는 게 아니고 전체에 적용하면 언제든지 위험은 있다.
이런 위험이 언제 발생할지 모르기 때문에 모의해킹 할 때 항상 포트 점검이 시작되어야 한다. 또한, 프로젝트 기간이 허용되는 대로 두세 번 포트 점검을 해야 한다. 프로젝트 기간에 특정 서비스의 포트가 임시로 열릴 수 있기 때문이다. 침해사고 대응 사례를 보면 불필요하게 열려있는 포트나 임시로 허용한 포트에서 발생한 것이 많다. 모의해킹 할 때도 매년 정기적을 ㅗ진단받은 대상은 안전하지만 모니터링 영역 밖으로 나오는 서비스에서 취약점이 발생한다.
담당자가 항시 포트를 확인하고 이력을 관리한다 생각하지 말자. 일 년에 한두 번 규정이나 보안활동의 하나로 점검을 하고 대부분 외부 컨설팅 업체를 통해 지원받는다. 나온 결과를 그냥 확인하지 않고 포트 관리에 소홀하면 언제든 큰 위협이 된다.
최근 IoT 용어가 붙은 제품이 많이 나온다. 회사에서도 제품을 사용하게 되고 진단 대상에 포함한다. 이 제품들에서 제일 많이 나오는 것은 제품이 출시될 때 기본으로 설정된 포트와 계정 관리 미흡이다. 이 제품들이 사용하는 서비스는 대부분 Telnet이나 FTP서비스 이다. 서비스 진단을 할 때 보안 위협이 될 수 있는 서비스이다. 포트 점검 한번 했다면 충분히 대응할 수 있다. 관리 소홀로 일반 서버에서 발생할 위협보다 더 큰 위협이 된다. 쓰지 않았다면 기존 보안수준이라도 지켰는데, 제품 하나로 보안수준이 많이 내려간다. 보안수준은 제일 위협이 큰 수준에 맞춰지기 때문이다.
모의해킹 컨설팅 업무를 할 때 제일 먼저 하는 행위가 무엇인지 생각해보자. 혹시 홈페이지의 게시판을 찾지 않는지, 자신이 항상 하던 항목들만 점검하고 있지 않은지 주의해야 한다. 인가되지 않은 사용자가 외부에서 획득할 수 있는 정보는 보안 위협이 될 수 있는 것을 인지하고 단계별로 항목을 누락하지 않고 주의있게 살펴야 한다.
'ETC & TIP > ◆모의해킹 QA' 카테고리의 다른 글
| 사이버 해킹/보안 전문가 과정 (0) | 2016.12.10 |
|---|---|
| 웹해킹? (0) | 2016.12.09 |
| 실무에서 모의해킹 업무들의 차이점 (0) | 2016.12.09 |
| 정보보안의 꽃 리버스 엔지니어링 (0) | 2016.12.09 |
