Outbound 방화벽 정책으로 침해사고 줄이기

그동안 여러차례 침해사고를 조사하면서 반복해 확인한 내용으로 대부분의 업체에서는 Outbound 방화벽 정책을 관리하고 있지 않습니다. 거의 모든 트래픽에 대해 다 허용하고 있습니다.

최근 침해사고를 보면 사회공학을 이용해 악성코드를 본사/지사/관계사에 설치해 먼저 장악하고 IDC에 접근해 악성코드를 설치해 중요 정보를 유출하고 있습니다.

그 과정에서 많이 쓰이는 방법이 Reverse Tunneling 기법인데, 방화벽에서 Outbound 만 차단해도 이 공격을 예방할 수 있습니다.

IDC는 꼭 필요한 서비스가 아닌 경우 Outbound를 허용할 이유가 없습니다.

백신과 MS Patch 등은 정기점검 시간에만 잠깐 정책을 열어 업데이트한다던지 관리서버나 프록시를 이용해 한 곳에서 관리하면 됩니다.

 

본사/지사/관계사의 경우 업무 때문에 무조건 차단을 할 수는 없는데, 적어도 업무 시간외(퇴근 후 출근 전)에 PC 전원을 끄거나 방화벽에서 야간과 휴일 시간에 Outbound 를 차단하도록 하면 됩니다. 

웹사이트 보안 코딩과 방화벽 아웃바운드 차단으로도 침해사고는 절반 이하로 줄어들 것입니다.