스마트시티에 닥칠 수 있는 보안 위협 6가지

스마트시티 정의, 조금씩 다르지만 공통점 있어... “완벽하지 않다”는 것
교통, 의료, 에너지 분야 등에서 전혀 새로운 차원의 위협 닥칠 수도

[보안뉴스 양원모 기자] 스마트시티에 대한 정의는 정부와 기관마다 조금씩 다르지만 몇 가지 키워드에서 공통점을 보인다. 빅데이터, 사물인터넷(IoT), 삶의 질 개선, 통합 등이다. 이를 참조하면 스마트시티란 ‘빅데이터, IoT 등 각종 신기술을 접목한 통합 시스템으로 시민들의 삶의 질을 개선시킨 도시’ 정도로 요약 가능하다. 물론 이것도 절대적 정의는 아니고, 상황과 맥락에 따라 변할 수 있다. 

젠킨스 플러그인 100개에서 비밀번호 평문 저장 취약점 나와

더불어 CSRF 취약점도 심각한 수준...패치가 되지 않은 것이 대부분
안전하게 개발하려면 취약점 있는 플러그인 파악해 사용하지 않아야

[보안뉴스 문가용 기자] 한 보안 전문가가 100개가 넘는 젠킨스(Jenkins) 플러그인에서 취약점을 찾아냈다. 젠킨스는 소프트웨어 개발용 자동화 서버로, 오픈소스로 풀려 있으며 세계 개발자들 사이에서 인기리에 사용되고 있다.

​ 

참조사이트  

 http://www.dailysecu.com

 http://www.boannews.com

 http://www.boan.com

 http://www.dt.co.kr/

 http://www.datanet.co.kr/

 http://www.itdaily.kr

 [패치 및 업데이트]

Dell SupportAssist Client 보안 업데이트 권고

□ 개요

 o Dell社 SupportAssist Client의 취약점을 해결한 보안 업데이트 발표[1]

 o 낮은 버전을 사용중인 시스템은 악성코드 감염에 취약하므로 해결방안에 따라 최신버전으로 업데이트 권고

  ※ SupportAssist Client : Dell社에서 제조한 노트북과 PC에 기본으로 설치되어 각종 드라이버 탐지 및 설치를 지원하는 서비스 어플리케이션

□ 설명

 o SupportAssist Client에서 송신자 검증이 미흡하여 발생하는 CSRF 취약점(CVE-2019-3718) [2]

 o SupportAssist Client에서 임의 파일 다운로드 및 실행이 가능한 임의코드 실행 취약점(CVE-2019-3719) [3]

□ 영향을 받는 제품 및 버전

 o SupportAssist Client

  - 3.2.0.90 이전 버전

□ 해결 방안

 o SupportAssist Client

  - 최신버전(3.2.0.90)으로 업데이트 시행 [4]

□ 기타 문의사항

 o Dell 社

  - 개인고객 : 080-200-3800

  - 기업고객 : 080-854-0066

 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]

[1] https://www.dell.com/support/article/kr/ko/krbsd1/sln316857/dsa-2019-051-dell-지원-클라이언트-여러-취약점?lang=ko

[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3718

[3] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3719

[4] https://downloads.dell.com/serviceability/Catalog/SupportAssistInstaller.exe

보안이 취약한 SAP 시스템에 대한 공격기법 공개에 따른 보안 강화 권고

□ 개요
 o SAP社에서 개발한 SAP* 통합 업무용 솔루션의 보안 설정 취약점을 악용한 공격 코드가 공개되어 피해 예방을 위한 적극적인

    보안 설정 당부
     * Systems, Applications, and Product in Data Processing

□ 설명
 o SAP 게이트웨이 접근통제 부재
  - SAP 게이트웨이가 기본적으로 애플리케이션 간 통신을 허용하고 있어 접근제어 설정이 부재(예: gw/acl_mode=0)한 경우

     SAP 게이트웨이에서 임의 명령어 실행 가능

 o SAP 라우터 보안설정 부재
  - SAP 게이트웨이의 secinfo* 보안 설정이 부재한 경우 SAP 라우터에 임의 명령어 실행 가능
    * 인증되지 않은 사용자 및 시스템의 명령어 실행을 차단할 수 있는 설정 파일

 o SAP 메세지 서버 포트 인증 부재
  - SAP 메시지 서버의 특정 포트(TCP/3900번대)에 인증이 부재하여 공격자가 중간자 공격을 통해 계정정보(ID/Password)

     탈취 가능

□ 해결 방안
 o SAP 게이트웨이 보안 설정
  - 보안 설정 파일(gw/acl_mode, secinfo)을 통해 인증된 호스트만 접속할 수 있도록 설정
    ※ 아래 참고사이트[1]의 SAP Notes 1408081 참고

 o SAP 메시지 서버 보안 설정
  - 보안 설정 파일(ms/acl_info 파일)을 통해 인증된 호스트만 접속할 수 있도록 설정
    ※ 아래 참고사이트[2]의 SAP Notes 821875 참고
  - SAP 메시지 서버 특정 포트(TCP/3900번대)에 허용된 사용자 및 시스템만 접근할 수 있도록 방화벽 등을 통해 접근제어 설정

 o SAP 관련 시스템이 외부에 공개되지 않도록 방화벽 등을 통해 접근 통제 강화

□ 기타 문의사항
 o SAP 코리아 연락처 : 080-219-0114
 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
  [1] https://launchpad.support.sap.com/#/notes/1408081
  [2] https://launchpad.support.sap.com/#/notes/821875
  [3] https://launchpad.support.sap.com/#/notes/1421005
  [4] https://wiki.scn.sap.com/wiki/display/SI/Gateway+Access+Control+Lists
  [5] https://help.sap.com/saphelp_nw74/helpdata/en/e2/16d0427a2440fc8bfc25e786b8e11c/content.htm?no_cache=true

[6] https://www.onapsis.com/10kblaze

 [최신 바이러스 정보]

​ 

 PUP/Win32.Installer.C3181944

최초 발견일: 2019-05-03
종    류: 유해가능
형    태: 실행파일
감염/설치경로: 파일실행, 메일, 다운로드
설   명: Trojan/Win32.Ransom.C3181217는 파일들을 암호화시키는 랜섬웨어로 백업파일까지 삭제하여 복구를 어렵게 만든다.

Trojan/Win32.Nitol.C3181252
최초 발견일: 2019-05-03
종    류: 트로이목마
형    태: 실행파일
감염/설치경로: 파일실행, 메일, 다운로드

설   명: Trojan/Win32.Nitol.C3181252는 감염된 PC에서 악성파일을 드랍하여 디스크 접근, 레지스트리 조작 등의 행위를 하는 트로이 목마이다.  

  ​

[보안TIP]

AD계정 보호를 위한 퀘스트의 다섯 가지 대책

KISA의 AD 보안 권고안으로 이슈가 된 AD계정의 중요성과 보안강화 이슈

[보안뉴스 원병철 기자] 최근 KISA가 “당신의 AD는 안녕하십니까”라는 보고서를 발표했다. 보고서는 국내 제조업체에서 발생한 AD관리자 계정 탈취사고에 대한 원인 및 대응 방안에 대한 내용을 담고 있다. 그동안 AD는 계정 및 정책을 관리하는 핵심  서비스로서 높은 수준의 보안이 필요함에도 불구하고, 여러 이유들로 인해 서비스의 중요도만큼 보안 측면에서의 관리가 되지 않아 항상 보안취약 대상으로 여겨지고 있다.

특히, 이번 보고서는 이러한 국내의 환경과 AD의 서비스 영역의 확대와 맞물려서 증가하고 있는 AD보안 사고들에 대해, 처음 KISA를 통해서 공식적으로 발표된 자료로서 의미가 있다고 보안기업 퀘스트소프트웨어(이하 퀘스트)는 설명하고 있다. 

보고서에서 가장 중요한 보안 이슈는 AD계정 탈취가 이루어졌다는 점이다. 일단 AD계정의 탈취는 모든 시스템에 접근이 가능하게 된다는 것을 의미하기 때문에 AD계정의 탈취를 사전에 차단하고 실시간으로 이를 감지 및 대응체계를 만드는 것이 AD 보안의 핵심이다. 퀘스트는 이러한 KISA 권고안과 관련해 3개 영역에 대한 전문화된 제품을 통해서 AD보안을 획기적으로 개선해 준다.

1. 계정관리 및 접근통제 강화 – 계정 관리 강화
사전에 보안 취약점을 제거하는 가장 기본적이고 중요한 것은 운영과정에서 보안을 고려해 관리를 쉽게 하는 것이다. 액티브 롤(Active Roles)은 운영자가 사용하는 제품으로 자동화된 계정 및 권한 관리가 가능하고, 보안 이슈들을 관리자가 손쉽게 확인하여 관리할 수 있도록 해준다.

2. 계정관리 및 접근통제 강화– 접근통제 강화
AD와 같이 특별하게 중요한 시스템은 일반적인 시스템과 다르게 강화된 접근통제가 필요하다. 즉, 강화된 접근통제는 일반적인 ID/Password를 통한 접근이 아니라 승인기반의 접속(관리자에 의하여 허용된 접속만 가능)이나 허용된 IP에서의 접속만을 허용하는 것을 의미한다. 또한, 필요하면 AD시스템에 접속하는 모든 작업은 녹화되어 향후 원인분석에 사용돼야 하고, 민감한 서비스(서비스 중지 가능한 화면에 접근, AD Group Policy 편집 화면 접근 등)를 사용할 때는 관리자에게 실시간 알람이 가능하게 구성되어 AD시스템의 이상 접근으로 인한 계정 탈취가 불가능에 가깝게 운영되어야 한다. 이러한 운영은 세이프가드(Safeguard)를 통해 가능하다. 

3. 가시성 및 감사 
엔터프라이즈 리포터(Enterprise Reporter)는 보안팀에서 보안 가시성을 확보해 사전에 운영단계에서 검증하기 어려운 보안 취약점을 보안감사 차원에서 손쉽게 확인 가능한 리포트를 제공한다. 별도의 회사 보안정책들에 대해서도 별도의 사용자 정의 리포트를 생성하여 손쉽게 감사가 가능하다.

4. 이상징후 탐지 및 대응– 이상징후 탐지
보안관점에서 체계적인 관리가 되더라도 서비스 운영 중에는 예측되지 않은 보안 이슈들이 발생함으로써 실시간 보안관제가 필요하게 되는데, 이때 필요한 제품이 체인지 오디터(Change Auditor)다. 체인지 오디터는 실시간으로 로그인 및 보안 이슈와 연관된 변경내역들에 대한 실시간 알람을 제공해 보안 이슈의 즉각적인 대응이 가능하게 한다. 이때 실시간 보안관제 대상에는 윈도우 이벤트들도 포함되는데, 이 경우 인트러스트(InTrust)를 통해서 통합 실시간 이벤트 관제 구성이 가능하다.

5. 이상징후 탐지 및 대응– 대응
보안이슈가 발생되면 가장 먼저 분석이 필요한 것이 개별 윈도우 시스템의 이벤트 내역이다. 이러한 이벤트는 인트러스트를 통해서 중앙에 취합되어 장기간 보관되어 손쉽고 빠르게 원인 분석이 가능해진다. 데이터의 이상 변경, 서비스, 시스템의 손상이 발생해 서비스에 문제가 발생하게 되면, 이는 단순히 AD서비스의 장애가 아니라 연결된 시스템의 접속이나 권한문제로 인해 업무 및 보안이슈가 발생한다. 이에 대한 대응으로 AD전문 복구 솔루션인 리커버리 매니저 포 AD(Recovery Manager for AD)가 있으며, 이를 통해서 완벽한 복구 체계 구성이 가능하다.

퀘스트의 전문 제품을 통한 AD보안 강화가 이루어지면 초기 침투와 거점 확보 시점에 3단계 대응이 가능해져 KISA의 질문에 자신감 있게 “예”라고 이야기할 수 있을 것으로 보인다.

http://www.krcert.or.kr/data/secNoticeList.do

http://www.microsoft.com/korea/security/default.mspx

http://www.adobe.com/kr/downloads/updates/