목록 보기
모두가 묵인하던 명령어 우회, 이제 터놓고 얘기해봅시다!
데브옵스

모두가 묵인하던 명령어 우회, 이제 터놓고 얘기해봅시다!

QueryPie
QueryPie
2024년 11월 22일

두줄요약

서버접근제어에서 스크립트와 셸을 이용한 명령어 우회 문제를 다뤘습니다. 실행 프로세스 추적과 중앙 정책 적용으로 우회 실행을 차단하는 방법을 설명했습니다.

문제 상황

  • 서버접근제어에서 sudo, rm -rf 같은 위험 명령어를 금지해도 shell script, 배치 파일, cron 등을 통해 우회 실행되는 맹점
  • 승인된 작업계획서와 실제 스크립트 내용이 달라지며 서버 권한 관리가 쉽게 무력화되는 상황

원인 분석

  • 스크립트 내부 명령어와 호출 관계를 기존 차단 로직이 충분히 추적하지 못하는 한계
  • Bash 외 다른 셸, Base64 복호화 실행 등 다양한 우회 경로 존재
  • Agentless와 Agent 기반 방식 각각에 우회 차단 또는 운영 부담 측면의 제약 존재

해결 방법

  • Gateway를 통한 접속 후 실제 실행 명령을 다시 검증해 차단 목록 기반으로 우회 실행 사전 차단
  • 스크립트 내 다른 스크립트 호출, 셸 호출, 암복호화 명령어 차단 같은 추가 정책 적용
  • 실행 프로세스 추적으로 스크립트 조합형 우회까지 원천 차단하는 접근

댓글 0

댓글을 작성하려면 로그인이 필요합니다.

댓글을 불러오는 중...