백엔드
실행 프로세스 추적 방식을 통한 명령어 우회 원천 차단
두줄요약
리눅스에서 실행 직전 프로세스를 추적해 명령어 우회를 차단하는 방식을 소개했습니다. 시스템 콜 수준 제어로 다양한 실행 경로를 막고 감사 로깅까지 확장할 수 있었습니다.
문제 상황
- 리눅스에서 사용자가 실행 권한을 가진 프로그램을 자유롭게 실행할 수 있어 특정 명령어 제한이 어려운 상황
- 기본 사용자 권한 체계와 시스템 로그만으로는 우회 실행과 작업 추적을 충분히 막기 어려운 보안 요구
해결 방법
- 커널 레벨 저수준 프로세스 추적으로 실행 직전 정책 검증과 차단 수행
- child 프로세스 모니터링과 시스템 콜 후킹으로 심볼릭 링크, alias, 스크립트 경유 실행까지 감지
- 실행 파일이 로드되기 전에 차단해 우회 경로를 원천적으로 봉쇄
적용해볼 점
- 실행 결과 중심이 아니라 실행 시점 제어로 보안 정책 강화
- 특정 프로그램 차단을 넘어 시스템 콜 단위 통제로 확장 가능
- 사용자, 시각, 환경 정보를 함께 기록하는 감사 로깅과 결합 가능
