1. 설치유도 시스템이란?

설치유도 시스템은 중앙에서 모든 PC또는 지정된 PC에 자동으로 소프트웨어나, 윈도우 보안 패치, 바이러스 백신을 일괄 설치가 가능하도록 지원하는 솔루션입니다. 일반적으로 기업에서 사용하는 소프트웨어는 일반 업무에 필요한 그룹웨어 프로그램과 안티-바이러스 프로그램을 비롯한 보안 프로그램들이 있습니다. 관리자가 관리하는 모든 PC에 이 모든 소프트웨어를 설치/배포하고 업데이트를 하기에는 다소 어려움이 있습니다.

이러한 어려움으로 인해서 설치유도 시스템에 대한 요구가 생겼습니다. 관리자는 설치 및 배포가 필요한 프로그램을 정책에 따라서 구분하고, 배포가 필요한 PC를 지정하면, (다양한 매커니즘으로 구현된) 설치유도 시스템을 통해서 배포를 할 수 있습니다.

2. 설치유도 시스템의 동작 원리

설치유도 시스템의 기본 원리는 해킹기법을 기반으로 하고 있습니다. 정상적인 통신 중에는 설치유도 시스템은 동작할 수 없습니다. 설치유도 시스템은 세션 가로채기(Session Hijacking)기법을 기반으로 동작합니다.

세션 가로채기는 이미 두 단말이 프로토콜에 의해서 생성되고 유지되고 있는 세션을 가로채는 공격을 총칭합니다. TCP세션 가로채기는 연결(Connection)의 신뢰성을 확보하기 위한 시퀀스 넘버를 이용하는 공격으로, TCP를 사용하는 Telnet, FTP, HTTP 등의 거의 모든 세션의 가로채기가 가능합니다.

2-1. TCP 세션 가로채기

[그림1] TCP 세션 가로채기 공격 순서

2-1-1. 공격 절차 

(1) 클라이언트와 서버는 세션을 가지고 있습니다.
(2) 공격자는 클라이언트가 보내는 패킷을 위조해서 RST를 서버로 전송합니다.
(3) 서버는 일시적으로 CLOSED상태로 상태가 전이됩니다.
(4) 공격자는 클라이언트가 서버로 접속을 원천적으로 차단하기 위해서 RST/FIN을 이용해서 세션을 차단할 수도 있습니다.
(5) 공격자는 서버로 SYN메시지를 보냅니다. 서버는 그에 대한 응답을 SYN/ACK를 이용해서 합니다.
(6) 공격자는 SYN/ACK에 대한 응답으로 ACK를 하면, 공격자와 서버와 갱신된 세션이 생성되게 됩니다.

3. 설치유도 시스템의 구성

설치유도 시스템이 동작하는 환경은 네트워크에 따라서 달라질 수 있지만, 네트워크 구성을 변경하지 않는 기본적인 설치유형은 다음의 그림과 같습니다.

[그림2] 네트워크 구성을 변경하지 않는 기본적인 설치유형

대상 PC가 외부 웹 서버와 통신하는 것을 모니터링 할 수 있는 스위치의 미러링포트에 설치유도 시스템을 설치합니다. 미러링포트에 설치 유도 시스템을 설치하면, 설치유도 시스템은 웹트래픽을 검사하고, 대상PC로부터 외부 웹서버로 웹페이지 요청이 있는 경우를 분석해, 서버의 세션을 가로챕니다. 대상PC와 세션을 맺은 설치유도 시스템은 S/W 배포 웹서버로 접속할 수 있도록 데이터를 가공해서 대상 PC로 전송하게 됩니다. 대상PC는 설치유도 시스템이 전송한 데이터를 받게 되며, 사용자의 웹브라우져에는 외부 웹서버의 페이지 대신, S/W배포 웹서버의 배포 페이지가 출력됩니다.

4. 결론

지금까지 해킹기술 중에서 세션 가로채기(Session Hijacking)을 이용한 설치유도 시스템에 대해서 알아보았습니다. 세션 가로채기 기법은 해커가 사용자의 세션을 가로채서, 중요한 정보를 얻기 위해서 수행되었으나, 보안기술로는 관리자가 관리하는 PC의 소프트웨어를 배포하기 쉽게 하기 위해서 응용되어, 설치유도 시스템이 개발되었습니다.

이러한 설치유도 시스템을 이용하면 사내 배포 소프트웨어 배포, 주기적으로 소프트웨어 업데이트 , 윈도우 보안 긴급 패치, 안티바이러스 솔루션 및 보안 프로그램 설치가 수월해집니다. 빠른 보안업데이트 적용 및 프로그램 배포에는 설치유도 시스템은 필수적 입니다.

(주)하우리 기술연구소 엔진기술팀 주임연구원 박철현