미 시스템관리 및 네트워킹 보안연구소(SANS)와 연방수사국(FBI)이 공동 작성한 `SANS/FBI TOP 20 LIST'//www.sans.org/top20/)를 바탕으로 재작성한 이 예방대책은 윈도 시스템에 대한 기본적인 취약성 및 보안대책, 심층적인 이해를 위한 참고문헌 등을 담고 있어 업무는 물론, 관련교육자료로도 활용할 수 있다.

1. 인터넷 정보 서비스(IIS)

IIS는 윈도 시스템의 기본적인 웹서비스로서 보안이 가장 취약한 부분의 하나. △유니코드 △버퍼 오버플로 △샘플 프로그램 등에 취약성이 존재한다. 이러한 취약성의 상당수는 오직 MS에서 제공하는 패치를 통해서만 예방이 가능하다. 이에 가장 최근의 서비스팩과 최신 IIS 누적패치 설치 등을 수시로 실시해야 한다.

2. 원격 데이터 서비스(RDS)

RDS 또는 MS 데이터 액세스 컴포넌트(MDAC)는 원격 사용자에게 관리자 권한으로 명령을 실행케 하는 프로그램상의 결함을 갖고 있다. 이는 MS 액세스의 MS 젯 데이터베이스 엔진 3.5의 결함과 더불어 내부 데이터베이스에 대한 외부의 익명 접근을 허용한다. 예방법은 //www.wiretrip.net/rfp/p/doc.asp?id〓29&iface〓2'에서 구할 수 있다. 또한 MDAC 버전 2.1 이상으로 RDS를 업그레이드하는 방법도 문제 해결에 도움이 된다. 최신 MDAC 버전은//www.microsoft.com/data/download.htm에서 다운로드할 수 있다.

3. MS SQL 서버

MS SQL 서버는 원격의 공격자에게 민감한 정보를 유출하거나 데이터베이스 내용을 변경시키는 등 몇 개의 심각한 보안 취약성을 내포하고 있다. 최근 유행한 MS SQL 웜의 경우 몇 개의 알려진 MS SQL 취약성들을 조합해 사용하기도 했다. 특히 1433번 포트는 MS SQL의 기본 포트로서 가장 공격이 활발한 포트 중 하나로 등록돼 있다. 따라서 MS SQL 서버에 대한 최신 서비스팩 설치 등이 필요하다.

4. 윈도 파일 공유

윈도는 호스트 컴퓨터가 네트워크를 통해 다른 호스트와 파일 및 폴더를 공유할 수 있는 기능을 제공한다. 그러나 이런 기능은 부적절하게 구성될 경우 시스템의 중요한 파일들을 외부에 노출시키거나 시스템의 완전한 제어권을 제공하는 수단이 될 수 있다. 이에 필요 없는 파일공유 제거 등을 실시해야 한다.

5. 널 세션(Null Session)

널세션은 임의의 사용자가 네트워크를 통해 별도의 인증 없이 사용자 이름이나 공유 정보 등을 수집할 수 있는 메커니즘으로, 윈도 탐색기가 원격 서버에 있는 공유 자원들을 열거할 때와 같이 응용프로그램에 의해 사용된다. 문제는 공격자 역시 이러한 널세션을 통해 로그인할 수 있다는 것. 이를 예방하려면 도메인 환경에서 작업할 경우 레지스트리를 변경하고, 만약 파일이나 프린터 공유가 필요하다면 넷바이오스를 TCP/IP와 분리해야 한다.

6. 랜 매니저 인증

요즘 대부분의 윈도 환경에서는 더이상 랜매니저에 대한 필요성이 없어졌음에도 불구하고 윈도 NT, 2000, XP에서는 기본적으로 LM 패스워드 해시(hash)를 가지고 있다. LM은 현재 MS에서 사용중인 NTLM, NTLMv2보다 휠씬 취약한 암호구조를 사용하기 때문에 LM 패스워드는 아주 짧은 시간에 깨어질 수 있다. 따라서 네트워크를 통한 LM 인증은 무력화해야 하며, LM 해시가 저장되는 것을 방지해야 한다.

7. 윈도 인증

모든 형태의 사용자 인증과 파일 및 데이터 보호는 사용자가 제시하는 패스워드에 의존한다. 패스워드 취약성에 대한 가장 강력하고 효과적인 예방법은 좋은 패스워드 습관과 예방적인 패스워드 무결성 점검 등의 지침을 포함한 강력한 정책이다.

8. 인터넷 익스플로러

인터넷 익스플로러(IE) 윈도 플랫폼에 기본적으로 설치되는 웹브라우저이다. 악의적인 웹관리자들은 취약성을 가진 IE를 이용해 자신의 웹페이지를 방문하는 사용자들의 시스템을 해킹할 수 있다. 이에 IE 5.01, 5.5, 6.0 이전 버전은 패치가 없으므로 업그레이드해야 한다. 또한 IE 5.01이상의 버전을 사용하고 있다 해도 최신 서비스팩을 먼저 설치해야 한다.

9. 원격 레지스트리 접근

윈도 9x, CE, NT, 2000, ME와 XP는 소프트웨어와 장치구성, 사용자 설정 등을 관리하기 위해 레지스트리라고 알려진 중앙집중식 데이터베이스를 운영하고 있다. 그러나 부적절한 퍼미션이나 보안 설정은 원격 레지스트리 접근을 가능케 한다. 따라서 시스템 레지스트리에 대한 접근을 엄격하게 제한하고 중요한 레지스트리 키에 대한 권한 설정을 재검토해야 한다.

10. 윈도 스크립팅 호스트(WSH)

2000년 봄에 러브 버그와 비주얼 베이직 스크립트 웜이 수백만달러의 피해를 입힌 적이 있다. 이 웜은 `.vbs' 확장자를 가진 모든 텍스트 파일을 비주얼 베이직 스크립트로 간주해 실행시키는 WSH를 이용했다. 따라서 웜의 전염을 막기 위해서는 윈도 스크립팅 호스트를 무력화해야 한다. 특히 WSH는 인터넷 익스플로러나 다른 소프트웨어 제품들이 설치되거나 업그레이드될 때 함께 재설치되는 경우가 많으므로 그럴 때마다 무력화시켜야 한다.