메뉴 바로가기 검색 및 카테고리 바로가기 본문 바로가기

한빛출판네트워크

IT/모바일

관제된 네트워크 모니터

한빛미디어

|

2001-09-13

|

by HANBIT

8,545

By Kenneth R.van Wyk, 역 한빛 리포터 2기 송종범님 다음의 시나리오를 생각해보자. 새벽 3시에 당신은 당신의 회사 네트워크에 권한을 갖지 않은 사용자를 추적하기 위하여 노력하고 있다. 발생할지도 모를 의심스러운 일에 대해 경계하며 걱정을 하는 직원에게 경보를 받은 후 며칠동안에 회사 정보를 빼내는 사악한자를 추적할 준비를 지금 막 끝냈다. 그러나 용의자는 평범한 침입자가 아니다. 그녀는 회사 내부의 시스템 관리자중의 한 명으로 자신이 할 필요가 없는 작업 까지 하고 있어 강하게 의심을 받게 되었다. 그녀는 회사의 가장 중추적인 업무 정보 처리 컴퓨터 시스템의 일부에 "백도어"를 설치해 놓고 그녀의 약혼자가 일하는 경쟁회사에 회사의 정보를 팔고 있을 것이라 믿어진다. 결과적으로 당신은 합법적으로 그녀를 잡기 위한 모든 방법을 강구할 수 있는 적절한 권한을 가지게 된다. 당신의 계획은 실제로 데이터 네트워크상에 감시 카메라를 두어 용의자의 네트워크 행동을 모니터 할 수 있는 컴퓨터 시스템을 설치하는 것이다. 이렇게 하기 위해서 어떤 모아진 자료의 복사본들을 보관하여 사용할 계획이 있는 이동식 하드디스크뿐만 아니라 수천 달러의 기술적 상태를 나타내주는 상업용 소프트웨어를 샀을 것이다. 모뎀이 달려있는 컴퓨터 시스템은 현재 용의자가 로그인 할 때 마다 자동적으로 당신에게 보고를 한다. 당신은 훗날 법정에서 증거자료로 사용할 수 있도록 그녀가 정보를 다루는 모든 과정과 규칙을 처음부터 끝까지 방대하게 다루어야 한다. 그녀가 감시 당하는 것을 알지 못하게 회사 내에서의 모든 과정이 기밀로 취급되어야 하며, 오직 조사를 수행중인, 직접적으로 관련된 사람들만이 이 민감한 정보를 알아야만 한다.
Incident Response
그래서 새벽 3시에 당신의 감시 컴퓨터로부터 용의자가 네트워크 위에 있다는 사실을 알려주는 경고를 받았을 때 당신은 바로 그 자리에 있다. 그리고 일이 시작된다. 그녀는 파괴공작을 의심 받고 있는 컴퓨터 중 한대에 로그인을 하고 네트워크 조각맵을 "핑 수색" 하며 당신이 모니터하고 있는 시스템의 IP 주소를 본다. 그 네트워크의 관리자이지만 감시 컴퓨터가 거기에 있을 것이라고는 상상도 못하므로 그녀는 당신이 감시하고 있는 네트워크 모니터에 더 가깝게 모습을 보이며 자료를 찾는다. 바로 다음날 사장은 그녀를 퇴사 조치 하며, 그 후로 그녀의 소식은 절대 들을 일이 없다. 당신은 시스템에 어떤 백도어가 존재하든 존재하지 않든 간에 당신의 사장에게 말하기 어려운 어떤 확증이나 정보를 남기지 않아도 된다. 어떻게 하면 이러한 상황을 피할 수 있을 것인가? 정답은 감시 당하는 개인이 전자적으로는 도저히 감지할 수 없는 모니터링 시스템을 사용하는 것이다. 이것은 시스템을 전자적으로 탐색할 수 없도록 만들기 때문에 우리는 이 방법을 "관제" 모니터링 시스템이라 말한다. 운이 나쁘게도 대부분의 현재 네트워크 모니터링 소프트웨어-상업적이든 아니면 무료이든-는 탐색을 피하기 위한 것이 아니고 오직 네트워크상의 침입자만 탐색하도록 디자인되어있다. 사건 대처 운영을 위하여 이런 도구들을 사용하기 위해서는 어떤 조사의 목적도 감시의 행위에 탐색 될 수 없는 것 같은 어떤 부가적인 사전대응책이 이루어질 것이 요구된다. 나의 사고 - 반응 경험에서 나는 이런 것을 하기 위해서 다양한 기술을 가지고 일해왔다. 어떤 주어진 상황에서 선택된 기술들은 감시될 필요가 있는 네트워크 매체의 종류를 포함하여 네트워크 구조 자체, 모니터링을 하는 기계의 운영체제, 그리고 상황시에 가능한 시간과 도구들과 같은 여러 문제에 의존한다. 예를 들면, 어떤 네트워크에서는 모니터링 시스템이 "전송"선을 절단하는 것으로 데이터의 전달을 막는 것이 충분한 반면 동축케이블(10-base2)의 경우 전송선을 절단하는 것은 물리적인 선택이 아니다. 부가적으로 스위치된 네트워크는 네트워크 모니터링 시스템이 필요한 모든 네트워크 데이터를 보기 위하여 특별화 된 네트워크 감시 포트나 설정이 필요하다. 대부분의 스위치된 네트워크들은 모니터링 포트를 물리적이든 논리적이든 허락한다. 사용되고 있는 방법이 있음에도 불구하고, 깨어져서는 안 되는 여러가지 기본적인 법칙이 있다. 그 원칙은 다음과 같으며 의심할 여지가 없다.
  • 모니터링 소프트웨어는 대상 네트워크위에 존재하는 컴퓨터에서 실행되어서는 안 된다. 모니터링 소프트웨어가 현재 대상 컴퓨터의 네트워크위에 설치되어있다 할지라도 사고-반응 컴퓨터의 가까이에서 실행되어서는 안 된다. 여기에는 두 가지의 근본적인 이유가 있다. 첫째로 어떤 존재하는 시스템상에 모니터링이 존재한다는 족적을 절대 남기지 말고, 둘째로 모니터링을 하는 시스템 자체가 침입자에 의해 손상 되지 않아야 한다.
  • 대상 네트워크상의 그 어떤 컴퓨터, 소프트웨어, 데이터 등도 모니터링 과정동안 변형되거나 조작되어서는 안 된다.
  • 어느 환경에서든 모니터링 컴퓨터 일지라도 대상 네트워크 위에 하나의 패킷이나 또는 바이트조차 보내서는 안 된다.
물론 이런 기본적인 규칙은 오직 모니터링 활동 자체에만 적용된다. 실질적인 사고-반응 과정은 보다 더 복잡하고 취급되어야 할 본연의 여러가지 문제들을 가지고 있다. 예를 들면, 위에서의 우리의 시나리오와 같이 나는 오직 전자적으로 네트워크 모니터링 시스템을 은닉시키는 것에 대해서만 논했다. 용의자가 시스템 관리자이기 때문에 물리적으로 시스템을 숨기는 데에는 깊은 주의가 필요하다. 이런 주제들은 이번 기사의 한계를 넘어선 것이지만 나의 저서 『Incident Response』에서 다루고 있다. 이번 기사는 관제된 혹은 탐색 불가한 네트워크 모니터를 구성할 때 우리가 찾아낸 최적의 방법들의 기술적인 개요를 알려준다. 이런 기술들은 다양한 운영체제상의 유용한 소프트웨어적인 방법뿐만 아니라 데이터를 전달하지 못하게 어떤 네트워크 케이블을 절단하는 것까지 포함하고 있다. 그러나 사고-반응의 본질은 늘 변하는 예상되지 않는 상황에 적응하는 것이다. 그런데 있어서 현재의 모든 가능한 관제 네트워크 모니터의 비축은 중요하다. 그러나 여전히 새로운 요구사항들이 도처에 널려 있다. Kenneth R.van Wyk는 세계적으로 잘 알려진 사고-반응과 바이러스 대처 전문가이며 The computer security community의 정회원이다. 그는 카네기 멜론 대학의 유명한 CERT/CC 를 포함하여 미 국방성 보조 사고대처 팀, 그리고 SAIC등 수많은 사고 대응 팀에서 일하고 관리해왔다. 그는 사고대처 그리고 다른 운영적인 보안 서비스를 전문으로 하는 회사인 Para-Protect, Inc.의 설립자이며 최고 기술이사이다. Return to: security.hanbitbook.co.kr
TAG :
댓글 입력
자료실