강좌/팁

강좌/팁

운영자

(2003-02-17 13:25:25, Hit : 1621, Vote : 160)

http://www.dnewtec.net

바이러스 관리 목적 공유 폴더의 문제점 (안철수연구소)

관리 목적 공유 폴더의 문제점

안철수연구소 [2003/01/30] 조회수:74607

1. 문제의 발단

작년 11월부터 Win-Trojan/MircPack 문의가 처음 접수되면서 윈도우 2000 / XP 의 관리목적으로 공유된 폴더에 대한 악성 프로그램이 종류는 많지 않았지만 문의가 증가하기 시작했다. 특히 Win-Trojan/MircPack 이 발견되었다고 문의하는 사용자 모두 하나 같이 초기 유입경로를 알지 못하여 불안감은 더욱 커져만 갔다. (추후 관리목적으로 공유된 폴더로 전파되는 악성 프로그램에 대한 글도 정리하여 올리도록 하겠다.) 그러나 이 불안감은 트로이 목마를 설치하는 Dropper 의 발견으로 유입경로를 확인 할 수가 있었다.

2. 발단의 원인

그것은 바로 윈도우 2000 / XP에서 기본 값으로 설정된 관리목적으로 공유된 폴더에 의한 것이기 때문이다. 이것은 윈도우의 취약점이라기 보다도 사용자들의 로그인 계정에 대한 보안의식 부족했기 때문이다. 윈도우 2000 / XP는 부팅 시 기존의 윈도우 9x 계열의 OS와 달리 로그인 계정에 대한 확인 작업을 거치게 된다. 그러나 많은 사용자들이 (개인, 기업 사용자들) 윈도우의 초기설정인 ‘Administrator’를 사용하고 암호는 암호가 없는 ‘Null’ 값으로 사용하고 있다.

3. 원인분석

위에서 윈도우 2000 / XP 는 기본 값으로 설정된 관리목적의 공유폴더가 있다고 언급했다.
이 폴더들은 [드라이브 문자]$ 식으로 표현되며 일반적으로 C:\, D:\ 드라이브 명을 말한다. 해당 드라이브의 공유항목을 살펴보면 관리목적으로 공유가 되어 있음을 확인해 볼 수가 있다. 또한 $를 붙여 숨겨진 공유항목으로 설정되어 있다. 즉 공유되었다는 표시는 되지 않는다. 이러한 폴더들은 관리자가 외부에서 네트워크로 액세스가 가능하도록 되어 있다. 물론 액세스 시에는 사용자명과 암호가 필요하다. 그런데 위와 같이 사용자명 - ‘Administrator’, 암호 - ‘없음’을 기본 값으로 설정했거나 유추하기 쉬운 암호 및 사용자명을 사용하고 있다면 배치파일을 이용하여 암호 및 사용자명을 순차적으로 대입하는 사전공격방법(Dictionary Attack)으로 시스템에 관리자 권한으로 접근이 가능하다.

4. 발생될 수 있는 문제점

위 방법으로 연결이 되면 관리자 권한으로 연결이 된 경우로 웬만한 작업이 모두 가능하다. 보통 이렇게 연결된 경우 파일 및 문서자료 같은 데이터 파일을 삭제, 유출하거나 별도의 유틸리티를 이용하여 Win-Trojan/MircPack 과 같은 악성 프로그램을 심어 둘 수가 있다. 이러한 단순히 정보유출에만 그치지 않고 악성 프로그램을 이용하여 해당 시스템을 DoS 및 DDoS 공격에 필요한 에이전트로 사용하거나 에이전트가 설치된 것을 찾기 위해 불필요한 네트워크 트래픽을 유발할 수 있게 사용될 수 있다는 것이다. 과도한 네트워크 트래픽 문제는 주로 기업 사용자의 네트워크 환경에서 많이 발생하였다. Win32/Netspree.worm.48448 과 Win-Trojan/MircPack을 문의한 네트워크 관리자의 말을 들어보면 심한 경우 내/외부 네트워크가 마비될 정도였다고 한다.

5. 해결방안 그 어려운 과제.... & 맺는 말

윈도우 설치 시 반드시 암호를 설정하지 않으면 더 이상 진행되지 않거나, 유추하기 쉬운 암호는 암호로는 설정할 수 없다면 좋겠지만 현실적으로 그러지 못하다는 것을 알 것이다. 비밀번호의 홍수 속에서 살아가는 요즘 윈도우 암호를 잊어버려 출근 시 로그인을 하지 못하여 낭패를 당한 경험이 있는 사용자들이 많이 있을 것이다. 위에도 거론했지만 이것이 윈도우 로그인 계정에 대한 취약성이라고 볼 수는 없기에 이것은 사용자의 보안의식이 변화해야 한다고 말했다. 맞는 말이다. 필자는 Win-Trojan/MircPack 문의를 접하면서 사용자들과 메일을 주고받았을 때 한결같이 암호가 없거나 혹은 1234 와 같은 유추해내기 쉬운 암호를 사용하고 있는 것을 확인했다.

※ 윈도우 암호 재설정 방법

1) Ctrl+Alt+Del 키를 동시에 눌러 보여지는 창의 메뉴중 ‘암호변경’를 선택한다.
2) 안내되는 메시지에 따라 암호를 변경한다. 새로운 암호를 적용시 유추하기 쉬운 (예를들어 1234, Admin, root 등) 암호는 절대 사용하지 않으며 자신만의 고유한 암호(예를들어 한글을 영타로 입력하는등)를 입력하도록 한다.

※ 관리목적으로 공유된 폴더 확인 및 삭제방법

기본적으로 윈도우 2000 / XP 는 관리목적으로 각 드라이브가 공유되어있다. 다음과 같이 확인해볼 수 있다.

1) 시작 → 설정 → 제어판 → 관리도구 → 컴퓨터 관리 → 공유폴더 → 공유

2) 시작→ 실행 → cmd 입력후 엔터 → 명령 프롬프트 창이 오픈되면 → net share 입력후 엔터

※ 다음과 같은 방법으로 공유를 삭제할 수 있다. 하지만 다음번 부팅시 다시 재공유가 되므로 배치파일로 작성하여 시작 프로그램에 넣어두는 방법도 있다. 또한 폴더공유기능이 삭제되므로 외부에서 해당 시스템으로 접근이 필요한 경우 접속되지 않는점을 유의해야한다. 따라서 안철수연구소는 이 방법은 권장하지 않는다. 이러한 취약점을 이용하는 트로이목마로부터 안전하려면 먼저 최신 엔진의 백신 프로그램으로 시스템을 검사후 발견된 트로이목마가 존재한다면 치료후 로그인 암호를 자신만의 고유한 것으로 설정한다.

3) 시작 → 실행 → cmd 입력후 엔터 → 명령 프롬프트 창이 오픈되면 다음과 같이 입력한다.

net share /delete C$ /y
(C$ 는 드라이브명으로 필요한 경우 다른 드라이브를 지정할 수 있다.)

윈도우 로그인에 필요한 파일이 문제점이 있다면 MS 가 제공하는 패치 파일을 통하여 해결할 수가 있지만 유추하기 쉬운 비밀번호에 대하여 OS 개발사가 깔끔한 해결방법을 제시하긴 어려울 것이다. 물론 특정한 레지스트리 값을 추가하여 관리목적의 공유폴더가 더 이상 공유되지 않게 하거나 로그인 비밀번호에 대한 로컬 보안정책을 강도 높게 설정할 수도 있다. 그렇지만 이 해결에 대한 답은 또다시 사용자의 몫으로 돌려져다. 비밀번호를 복잡하게 설정하거나 레지스트리 값을 추가하는 것, 보안정책을 새롭게 설정하는것도 역시 사용자의 몫이다. 바쁜 일상에 잠시 잊었어도 우리가 꼭 잊지 않고 한번쯤 생각해 볼 것이 바로 보안의식에 대한 변화이다.

정진성/안철수연구소 시큐리티대응센터

△ 윈도 XP에 기본 포함된 MSN 메신저 삭제하기

▽ 특정 성인사이트가 지속적으로 오픈되는 경우