SSL VPN(가상사설망)은 인트라넷(내부망)의 서버를 인터넷에서 접속하게 해주는 솔루션 중 하나입니다. 인트라넷과 달리 보안수준을 통제하기 힘든 외부망에서의 접속을 위해 2006년 당시에 가능했던 보안강화 방안입니다.

1. @
사외에서의 접근 보안 강화를 위한 SSL VPN 포탈 보안 취약점 보완 계획 (안)
http://www.slideshare.net/wizmusa/
A사에 선제안하기 위해 2006년에 작성한 문서임을 감안하시길 바랍니다.
데이터 전송 구간에 대한 보안
+
“데이터 출입구에서의 보안”

2. 내용
SSL VPN 보안 현황
약점 보완 대책
보완 대책 상세 설명
키보드 보안의 필요성

3. SSL VPN 보안 현황
원격지 (예: PC방)
VPN 장비
해커가 통신
내용을 엿봐도
(Packet
Capture)
암호화 하여
알아내지 못함
해커가 미리 키보드 로깅
프로그램 (해킹 도구)을
설치해 놓았다면 사용자의
ID와 암호가 노출.
따라서, 해커는 알아 낸
ID와 암호를 통해 아무런
제지 없이 사내로 침투.
SSL VPN의 암호가
노출되면 ‘파일 서버’ 및
‘그룹웨어를 통해 인증하는
업무 시스템’에 접근 가능.
VPN으로 접속하는 PC에 최신 MS
Windows 보안 패치를 하지 않거나
백신이 설치하지 않으면 Worm과
바이러스가 VPN을 통해 사내에
침투할 여지 존재

4. 약점 보완 대책
원격지 (예: PC방)
해커가 미리 키보드 로깅
프로그램 (해킹 도구)을
설치해 놓았다면 사용자의
ID와 암호가 노출.
따라서, 해커는 알아 낸
ID와 암호를 통해 아무런
제지 없이 사내로 침투.
SSL VPN의 암호가
노출되면 ‘파일 서버’ 및
‘그룹웨어를 통해 인증하는
업무 시스템’에 접근 가능.
VPN으로 접속하는 PC에 최신 MS
Windows 보안 패치를 하지 않거나
백신이 설치하지 않으면 Worm과
바이러스가 VPN을 통해 사내에 침투
할 수 있음 보
완
SSL VPN 메인 화면에서 PC 검사 시행
1. MS Windows 패치 검사
 최신이 아닐 경우 강제 설치 유도
2. 안티바이러스 백신 검사
 최신이 아닐 경우: 업데이트 권장
 설치가 안 된 경우: 무료 백신 사이트 안내
3. 키보드 보안 솔루션 설치
 키보드 로깅 프로그램(Key
Logger, 해킹 툴)을 무력화 함
4. 2차 인증 수단 마련
 암호를 알아도 열쇠(2차 인증)
없이는 접속하지 못함

5. 약점 보완 대책
1. MS Windows 패치 미설치로
인한 웜 침투
2. 안티바이러스 백신 미설치로
인한 바이러스 침투
3. 키보드 해킹으로 ID/암호 노출
4. ID와 암호 노출 시의 위협
1. 검사 및 강제 설치
2. 검사 후 경고 및 PC 검사 유도
3. 키보드 보안 솔루션 도입
4. ID/암호 노출 시 대비책 마련
위협 해결

6. 1. 보완 대책 상세 설명 – 윈도 패치
MS Windows 패치 검사
설치 방법
MS에서 제공하는 패치 검사 및 설치 유도 API를 SSL VPN에 연결
환경설정용 JavaScript 파일을 수정
사용 방법
사용자가 SSL VPN 포탈에 접속하면 VPN 접속 S/W 외에 아래와 같은 PC 자동 보안 업데이트 프로그램을 같이 설치함 (최초 1회)
약관에 동의하면 최신 버전의 패치를 설치함
비용
솔루션 및 설치 비용 무료: 다운로드 서버는 Microsoft 사의 서버를 사용함

7. 2. 보완 대책 상세 설명 - 백신
안티바이러스 백신 설치 검사
설치 방법
SSL VPN 환경 설정: 공급업체인 ‘주니퍼 네트워크’에서 지원
실행 시나리오
SSL VPN 포탈 접속 시 관련 ActiveX Control 추가 설치 (최초 1회)
안티바이러스 백신 설치 유무 검사
윈도에 최신 백신이 없는 경우
MS Windows Live Safety Center로 이동 권유 메시지 출력
비용
솔루션 및 설치 비용 무료
백신설치 검사도구: SSV VPN 공급업체 기본 지원 (무비용)
직접적인 백신제공은 불필요: 은행권과 같은 백신 제공은 고가이며 실제효과는 낮아 권장하지 않음
안티바이러스 백신이 설치되지 않았습니다.
MS Windows Live Safety Center의 PC 보안 센터에서
무료 검사를 받아보시기 바랍니다.
이동하기
<메시지 예>

8. 3. 보완 대책 상세 설명 – 키보드 보안
SSL VPN 서버에 키보드 보안 솔루션 설치
설치 방법
키보드 보안 솔루션을 SSL VPN 서버에 설치
사용 방법
사용자가 SSL VPN 포탈에 접속하면 VPN 접속 S/W 외에 아래와 같은 아래와 같은 키보드 보안 프로그램을 같이 설치함
원리
키보드 보안 솔루션은 PC에 키보드 해킹 툴이 설치되었더라도 키보드 입력을 가로채지 못하게 차단하거나 가로챘더라도 알아낼 수 없게 키보드 입력 신호를 암호화 함
예상비용
L사 C팀 추천 솔루션
킹스정보통신의 K-Defense – 1 URL 주소 당 1천 5백만 원 (List Price)

9. 4. 보완 대책 상세 설명 – 2차 인증
 ID와 암호 노출 시 대비책
 구현 방법
 기존의 ID/암호 방식의 1차 인증
+
물리적 수단을 통한 2차 인증 ( 열쇠)
 OTP 단말기 없이는 접속이 불가능함
SAP server
Groupware
OTP 서버
(패스워드
인증,확인)
File Server
외부통합
보안인증
임가공사
팀장급 이상
해외지사 근무자
팀장급 이상
외부접속
내부접속
-삼성 사례-

10. 첨부. 키보드 보안 테스트 - 국민은행
국민은행은 인증서 암호 입력란의 키보드 입력에 대한 로깅을 방지

11. 첨부. 최근 구축 사례 – SC제일은행
2006년 7월 기준으로, 제일은행은 키보드 로깅에 대비가 미흡했음.
해킹 툴이 인증서 암호를 기록함.
(헤딩 툴은 해킹 목적이 아닌 점검 도구)

12. 첨부. 최근 구축 사례 – SC제일은행
2006년 8월 8일, 키보드 보안 프로그램을 업그레이드 함.
해킹 툴이 인증서 암호를 기록하지 못함.