프로세스, 서비스, 패치, 백업, 악성코드 기초

2장 1절: 계정, 패스워드, 관리자 권한
2장 2절: 파일 권한, 접근통제, 로그
2장 3절: 프로세스, 서비스, 패치, 백업, 악성코드

프로세스
서비스
데몬
포트
불필요한 서비스 제거
보안 패치
취약점
백업
악성코드
랜섬웨어

서버가 켜진다.
→ 운영체제가 실행된다.
→ 여러 프로세스가 실행된다.
→ 웹, DB, SSH 같은 서비스가 열린다.
→ 외부 사용자가 네트워크로 접속한다.
→ 취약한 서비스가 있으면 공격당할 수 있다.
→ 보안패치와 설정 점검이 필요하다.
→ 사고 발생 시 백업으로 복구해야 한다.
→ 악성코드 감염 여부도 확인해야 한다.

nginx
mysql
chrome
python

프로그램 = 실행 전 파일
프로세스 = 실행 중인 프로그램

프로세스는 운영체제에서 실행 중인 프로그램의 인스턴스로, CPU와 메모리 등 시스템 자원을 사용한다.

서버에서 무엇이 실행 중인지 알아야 보안을 관리할 수 있기 때문이다.

이 프로세스는 정상인가?
누가 실행했는가?
어떤 권한으로 실행 중인가?
CPU나 메모리를 과도하게 쓰는가?
외부 네트워크와 통신하는가?

/tmp 디렉터리에서 이상한 이름의 프로세스가 root 권한으로 실행 중이다.
CPU를 90% 이상 사용하고 외부 IP와 지속적으로 통신한다.

악성코드
백도어
암호화폐 채굴 악성코드
침해 후 설치된 원격 제어 도구

서비스는 시스템에서 백그라운드로 실행되며 네트워크, 인증, 웹, DB 등 특정 기능을 지속적으로 제공하는 프로세스이다.

열린 포트 = 외부 접근 가능 지점

이 포트는 꼭 열려 있어야 하는가?
이 서비스는 최신 패치가 적용되어 있는가?
접근 가능한 IP가 제한되어 있는가?
인증은 안전한가?
불필요한 서비스는 꺼져 있는가?

공격 표면 = 공격자가 접근하거나 공격할 수 있는 대상의 범위

불필요한 서비스는 외부에서 접근 가능한 공격 지점을 증가시켜 취약점 악용, 정보 유출, 권한 상승 등의 위험을 높인다. 따라서 사용하지 않는 서비스는 중지하거나 제거하고, 필요한 서비스만 최소한으로 운영해야 한다.

Telnet과 일반 FTP는 평문 통신이므로 보안상 사용을 제한하고, SSH나 SFTP와 같은 암호화된 대체 수단을 사용하는 것이 바람직하다.

불필요한 서비스 중지 또는 제거
불필요한 포트 차단
서비스별 최신 보안패치 적용
기본 계정과 기본 비밀번호 변경
관리자 원격 접속 제한
접근 허용 IP 제한
평문 프로토콜 사용 제한
서비스 실행 권한 최소화
서비스 로그 점검
배너 정보 노출 제한

불필요한 서비스 제거
최소권한으로 서비스 실행
접근 IP 제한
최신 패치 적용
로그 점검

웹 서버가 root 권한으로 실행된다.
DB 서비스가 관리자 권한으로 실행된다.

서비스는 전용 계정으로 실행하고, 필요한 최소 권한만 부여한다.

서비스는 전용 계정으로 실행하고 최소권한 원칙을 적용하여, 서비스 침해 시 시스템 전체로 피해가 확산되는 것을 방지해야 한다.

취약점 발견
→ 보안 패치 배포
→ 관리자가 패치 적용
→ 취약점 악용 가능성 감소

보안 패치는 운영체제나 소프트웨어의 알려진 취약점을 수정하여 공격자가 이를 악용하지 못하도록 하는 보안 조치이다.

패치 관리는 운영체제와 소프트웨어의 알려진 취약점을 제거하여 침해사고를 예방하기 위해 중요하다. 패치를 적용하지 않으면 공격자가 공개된 취약점을 악용하여 권한 상승, 원격 코드 실행, 악성코드 감염 등을 유발할 수 있다.

자산 파악
→ 취약점 및 패치 정보 확인
→ 중요도 평가
→ 테스트 환경 검증
→ 운영 환경 적용
→ 적용 결과 확인
→ 이력 관리

패치 관리는 자산과 소프트웨어 버전을 파악하고, 취약점 및 패치 정보를 확인한 뒤 중요도에 따라 우선순위를 정해 수행한다. 운영 적용 전 테스트 환경에서 검증하고, 적용 후 정상 동작 여부와 패치 이력을 확인해야 한다.

패치 적용 전에는 백업과 테스트를 수행하고, 적용 후 정상 동작 여부를 확인해야 한다. 장애 발생에 대비해 롤백 계획과 패치 이력을 관리하는 것이 필요하다.

랜섬웨어 감염
파일 삭제
DB 손상
서버 장애
관리자 실수
하드웨어 고장
침해사고 후 시스템 복구

백업은 장애, 데이터 손상, 삭제, 랜섬웨어 감염 등 사고 발생 시 시스템과 데이터를 복구하기 위해 사본을 보관하는 보안 대책이다.

전체 백업
증분 백업
차등 백업

전체 백업 = 전부 복사

월요일: 전체 백업
화요일: 월요일 이후 변경분만 백업
수요일: 화요일 이후 변경분만 백업
목요일: 수요일 이후 변경분만 백업

증분 백업 = 직전 백업 이후 변경분

월요일: 전체 백업
화요일: 월요일 이후 변경분 백업
수요일: 월요일 이후 변경분 전체 백업
목요일: 월요일 이후 변경분 전체 백업

차등 백업 = 마지막 전체 백업 이후 변경분

전체 = 전부
증분 = 직전 백업 이후
차등 = 마지막 전체 백업 이후

백업본은 중요 데이터가 포함될 수 있으므로 암호화와 접근통제를 적용해야 한다. 또한 정기적으로 복구 테스트를 수행하여 실제 복구 가능성을 확인하고, 랜섬웨어나 재해에 대비해 오프라인 또는 원격지 백업을 운영해야 한다.

RPO
RTO

얼마나 과거 시점까지 데이터 손실을 감수할 수 있는가?

얼마나 빨리 서비스를 복구해야 하는가?

RPO = Point = 어느 시점까지 복구?
RTO = Time = 얼마나 빨리 복구?

정보 유출
파일 삭제
파일 암호화
시스템 파괴
원격 제어
계정 탈취
서비스 장애
다른 시스템으로 전파

악성코드는 정보 유출, 시스템 손상, 서비스 장애, 원격 제어 등 악의적인 행위를 수행하기 위해 제작된 프로그램 또는 코드이다.

정상 파일에 붙는다.
사용자 실행이 필요한 경우가 많다.
감염된 파일을 통해 전파된다.

바이러스는 정상 파일이나 프로그램에 감염되어 해당 파일이 실행될 때 함께 실행되고 전파되는 악성코드이다.

웜은 네트워크 취약점 등을 이용해 스스로 복제·전파되는 악성코드로, 대량 감염과 네트워크 과부하를 유발할 수 있다.

겉으로는 정상처럼 보인다.
실제로는 악성 행위를 한다.

트로이목마는 정상 프로그램으로 위장하여 사용자가 실행하도록 유도하고, 실행 후 정보 유출, 백도어 설치, 원격 제어 등의 악성 행위를 수행하는 악성코드이다.

파일 암호화
업무 중단
데이터 손실
금전 요구
정보 유출 협박

랜섬웨어는 사용자 파일이나 시스템을 암호화한 후 복구 대가로 금전을 요구하는 악성코드이다. 대응 방안으로는 중요 데이터의 정기적·오프라인 백업, 보안패치 적용, 접근권한 최소화, 이메일 첨부파일 주의, 백신 및 EDR 사용, 감염 시스템 격리 등이 있다.

백도어 = 몰래 만들어 둔 우회 접속 통로

루트킷 = 침입 흔적 은폐 도구

아이디
비밀번호
계좌번호
메신저 내용

웹 방문 기록
개인정보
계정 정보
사용 패턴
시스템 정보

키로거는 사용자의 키 입력을 기록하여 계정 정보나 비밀번호를 탈취할 수 있으며, 스파이웨어는 사용자 정보를 몰래 수집하는 악성코드이다.

악성코드 감염 징후로는 비정상적인 CPU·메모리 사용률 증가, 알 수 없는 프로세스 실행, 외부 의심 IP와의 통신, 파일 암호화 또는 변조, 보안 프로그램 비활성화, 로그 삭제 흔적 등이 있다.

탐지
→ 격리
→ 분석
→ 제거
→ 복구
→ 재발 방지

악성코드 감염 시 감염 시스템을 네트워크에서 격리하여 확산을 방지하고, 로그와 프로세스, 파일을 분석하여 감염 경로와 피해 범위를 파악한다. 이후 악성코드를 제거하고 백업본으로 복구한 뒤, 패치 적용, 권한 최소화, 보안 솔루션 강화, 사용자 교육 등 재발 방지 대책을 수립해야 한다.

백신 = 악성코드 탐지·차단·치료

EDR = 단말 행위 탐지와 대응

백신은 악성코드 탐지와 치료에 초점이 있고, EDR은 엔드포인트의 이상 행위를 탐지·분석·대응하는 데 초점이 있다.

하드닝 = 시스템 보안 강화

시스템 하드닝은 불필요한 계정, 서비스, 포트를 제거하고, 최소권한, 보안패치, 로그 설정, 강력한 인증 등 보안 설정을 적용하여 시스템의 공격 표면을 줄이는 작업이다.

1. 실행 중인 프로세스를 확인한다.
2. 불필요하거나 의심스러운 프로세스를 찾는다.
3. 열려 있는 서비스와 포트를 확인한다.
4. 사용하지 않는 서비스는 중지하거나 제거한다.
5. 운영체제와 서비스의 보안패치를 확인한다.
6. 중요 데이터의 백업 상태와 복구 가능성을 점검한다.
7. 악성코드 감염 징후를 확인한다.
8. 로그를 분석하여 이상 행위를 찾는다.
9. 발견된 문제에 대해 하드닝을 수행한다.

불필요한 서비스는 외부에서 접근 가능한 공격 지점을 증가시켜 공격 표면을 확대한다. 이로 인해 취약점 악용, 정보 유출, 권한 상승 등의 위험이 증가하므로 사용하지 않는 서비스는 중지하거나 제거하고 필요한 서비스만 최소한으로 운영해야 한다.

패치 관리는 운영체제와 소프트웨어의 알려진 취약점을 제거하여 공격자의 악용을 방지하기 위해 중요하다. 자산과 버전을 파악하고 패치 중요도를 평가한 뒤 테스트 환경에서 검증하고, 운영 환경에 적용한 후 정상 동작 여부와 패치 이력을 확인해야 한다.

전체 백업은 모든 데이터를 백업하는 방식으로 복구가 쉽지만 시간과 저장공간이 많이 필요하다. 증분 백업은 직전 백업 이후 변경된 데이터만 백업하여 효율적이지만 복구 시 여러 백업본이 필요하며, 차등 백업은 마지막 전체 백업 이후 변경된 데이터를 백업하여 증분보다 복구가 비교적 쉽다.

랜섬웨어는 사용자 파일이나 시스템을 암호화한 뒤 복구 대가로 금전을 요구하는 악성코드이다. 대응 방안으로는 정기적·오프라인 백업, 보안패치 적용, 접근권한 최소화, 의심스러운 이메일 첨부파일 차단, 백신 및 EDR 사용, 감염 시스템 격리 등이 있다.

악성코드 감염이 의심되면 먼저 감염 시스템을 네트워크에서 격리하여 확산을 방지한다. 이후 프로세스, 파일, 로그, 네트워크 연결을 분석하여 감염 경로와 피해 범위를 파악하고, 악성코드 제거와 백업 복구를 수행한 뒤 패치 적용, 권한 점검, 보안 솔루션 강화 등 재발 방지 대책을 수립한다.

프로세스는 실행 중인 프로그램이다.

서비스는 백그라운드에서 지속적으로 특정 기능을 제공하는 프로세스이다.

불필요한 서비스는 공격 표면을 증가시키므로 중지하거나 제거해야 한다.

서비스는 전용 계정으로 실행하고 최소권한 원칙을 적용해야 한다.

보안 패치는 알려진 취약점을 수정하여 공격자의 악용 가능성을 줄이는 조치이다.

패치 적용 전에는 백업과 테스트를 수행하고, 적용 후 정상 동작 여부와 이력을 확인해야 한다.

백업은 장애, 삭제, 랜섬웨어 감염 등 사고 발생 시 데이터를 복구하기 위한 보안 대책이다.

증분 백업은 직전 백업 이후 변경분을 백업하고, 차등 백업은 마지막 전체 백업 이후 변경분을 백업한다.

RPO는 복구 시점 목표이고, RTO는 복구 시간 목표이다.

바이러스는 정상 파일에 감염되고, 웜은 네트워크를 통해 스스로 전파된다.

트로이목마는 정상 프로그램처럼 위장하고, 랜섬웨어는 파일을 암호화한 뒤 금전을 요구한다.

악성코드 감염 시 감염 시스템을 격리하고, 원인과 피해 범위를 분석한 뒤 제거, 복구, 재발 방지 조치를 수행해야 한다.

시스템 하드닝은 불필요한 계정, 서비스, 포트를 제거하고 보안 설정을 강화하여 공격 표면을 줄이는 작업이다.

1. 프로세스란 무엇인가?
2. 서비스란 무엇인가?
3. 불필요한 서비스가 보안상 위험한 이유는 무엇인가?
4. 공격 표면이란 무엇인가?
5. Telnet이 보안상 위험한 이유는 무엇인가?
6. 서비스 실행 시 최소권한 원칙을 적용해야 하는 이유는 무엇인가?
7. 보안 패치란 무엇인가?
8. 패치 관리 절차를 간단히 쓰시오.
9. 패치 적용 전 백업과 테스트가 필요한 이유는 무엇인가?
10. 백업이 보안상 중요한 이유는 무엇인가?
11. 전체 백업, 증분 백업, 차등 백업의 차이를 쓰시오.
12. RPO와 RTO의 차이를 쓰시오.
13. 바이러스와 웜의 차이를 쓰시오.
14. 트로이목마란 무엇인가?
15. 랜섬웨어란 무엇인가?
16. 백도어와 루트킷의 차이를 쓰시오.
17. 악성코드 감염 징후 3가지를 쓰시오.
18. 시스템 하드닝이란 무엇인가?

19. 불필요한 서비스를 제거해야 하는 이유를 설명하시오.

20. 패치 관리가 보안상 중요한 이유와 절차를 설명하시오.

21. 랜섬웨어의 개념과 대응 방안을 설명하시오.

22. 악성코드 감염 시 대응 절차를 설명하시오.