방화벽

BlackICE나 ZoneAlarm과 같은 방화벽(Firewall) 프로그램을 사용하다 보면 '실시간으로 자신의 컴퓨터에 접속을 시도하는 컴퓨터의 목록을 보여주는 침입 탐지 기능'이 있다. 대부분의 사용자는 이러한 경고를 보게되면 많은 사람들이 자신의 컴퓨터를 공격 대상으로 지정, 공격하는 것으로 착각하는 경우가 많다.

부제: Windows 자체 기능을 이용한 침입 탐지

목차

방화벽

BlackICEZoneAlarm과 같은 방화벽(Firewall) 프로그램을 사용하다 보면 '실시간으로 자신의 컴퓨터에 접속을 시도하는 컴퓨터의 목록을 보여주는 침입 탐지 기능'이 있다. 대부분의 사용자는 이러한 경고를 보게되면 많은 사람들이 자신의 컴퓨터를 공격 대상으로 지정, 공격하는 것으로 착각하는 경우가 많다.

윈도우 탐색기에서 '내 네트워크 환경/전체 네트워크/Microsoft Windows 네트워크'를 클릭하면 동일한 대역의 IP를 사용하는 모든 컴퓨터의 그룹과 컴퓨터의 목록[1]을 볼 수 있다. 회사에서 사용하는 경우 이 기능은 상당히 편리한 기능이지만 xDSL이나 케이블과 같은 초고속 인터넷에 직접 연결된 컴퓨터의 경우 손 쉬운 해킹 대상이될 수 있다[2].

익명 사용자가 컴퓨터 목록 상의 임의의 컴퓨터를 클릭하면 해당 컴퓨터에서 사용할 수 있는 자원 목록(예: Movie, 프린터 및 팩스)이 나타나게되는데, 대부분의 방화벽 프로그램은 이러한 접속 시도를 컴퓨터에 대한 행킹 시도로 보고 행킹 경고를 띄우는 것이다.

이련 침입 탐지 기능은 굳이 방화벽 프로그램을 사용하지 않아도 XP 자체 기능을 이용해서 얼마든지 구현할 수 있다. 다만 XP 자체 기능을 이용하는 경우 실시간 경고를 띄우지는 못하며 사용자가 원하는 시점에서 확인할 수 있다. 아울러 침입 탐지 기능에의해 탐지되는 모든 컴퓨터가 해킹을 위해 접속하는 것은 아니라는 점을 기억해 주기바란다.

침입탐지

모든 NT 계열의 OS에는 감사 기능이 있다. 기본적으로 이 팁에서 사용하는 기능 역시 NT 계열의 OS에서 제공하는 감사 기능을 사용한다. 절차는 다음과 같다.

  • 침입 탐지 설정
    1. '시작/실행/secpol.msc'를 입력하고 '확인'을 클릭한다.
    2. 좌측 패널에서 'Windows 설정/보안 설정/로컬 정책/감사 정책'을 클릭한다.
    3. 우측 패널에서 '계정 로그온 이벤트 감사'를 두번 클릭한다.
    4. '계정 로그온 이벤트 감사 등록정보' 창에서 '다음 시도 감사'의 '성공'과 '실패'를 모두 체크하고 '확인' 버튼을 클릭한다[3].
  • 침입 탐지 확인
    1. '시작/관리 도구/이벤트 뷰어'를 클릭한다.
    2. 좌측 패널에서 '이벤트 뷰어/보안'을 클릭한다.
    3. 우측 패널의 '성공 감사'와 '실패 감사'를 확인한다.
  • 침입 정보
    1. 실패 감사
      다음 그림에서 알 수 있듯 '2004년 9월 22일 WIN2000-NQ63Q65라는 컴퓨터가 administrator 계정으로 로그온을 시도하다 잘못된 암호(0xC000006A)를 입력, 실패'한 것[4]을 알 수 있다. 인터넷에 직접 물려있는 컴퓨터의 경우 이러한 실패 감사는 수 없이 나타난다.
    2. 성공 감사
      다음 그림에서 알 수 있듯 '2004년 9월 22일 WIN2000-NQ63Q65라는 컴퓨터가 Guest 계정으로 로그온에 성공한 것'을 알 수 있다. Guest 계정의 로그온 성공이 컴퓨터에 심각한 피해를 주는 것은 아니지만 컴퓨터에 대한 여러가지 정보를 가져갈 수 있으므로 주의하는 것이 좋다.

이 글은 QAOS.com에 2004년 10월 01일에 올린 XP 자체 기능을 이용한 침입 탐지를 블로그에 다시 올리는 것이다. QAOS.com에서 가져온 모든 글은 QAOS.com저작권(불펌 금지, 링크 허용)을 따른다.

관련 글타래


  1. WINS 서버를 사용하면 다른 대역의 IP 역시 볼 수 있다. 아울러 넷트웍 설정의 넷마스크만 적적히 활용해도 여러개의 IP 대역을 하나의 IP 대역으로 묶을 수도 있다. 
  2. Windows 계열에서 사용하는 Microsoft 넷트웍 기능때문에 한때 KT의 VDSL이 문제가 됐었던 적이 있다. 그러나 이런 문제는 간단한 작업만으로 얼마든지 막을 수 있다. 
  3. 계정 로그온 이벤트 감사를 실행하게되면 로그온 시 보안 로그가 꽉찼다는 경고 메시지를 받을 수 있다. 이 경우 이벤트 로그의 보안 로그를 지워주면 된다. 
  4. 로그온 실패는 주로 잘못된 암호(0xC000006A)나 잘못된 사용자(0xC0000064)로인해 발생한다.