데브옵스
모두가 묵인하던 명령어 우회, 이제 터놓고 얘기해봅시다!
두줄요약
서버접근제어에서 스크립트와 셸을 이용한 명령어 우회 문제를 다뤘습니다. 실행 프로세스 추적과 중앙 정책 적용으로 우회 실행을 차단하는 방법을 설명했습니다.
문제 상황
- 서버접근제어에서 sudo, rm -rf 같은 위험 명령어를 금지해도 shell script, 배치 파일, cron 등을 통해 우회 실행되는 맹점
- 승인된 작업계획서와 실제 스크립트 내용이 달라지며 서버 권한 관리가 쉽게 무력화되는 상황
원인 분석
- 스크립트 내부 명령어와 호출 관계를 기존 차단 로직이 충분히 추적하지 못하는 한계
- Bash 외 다른 셸, Base64 복호화 실행 등 다양한 우회 경로 존재
- Agentless와 Agent 기반 방식 각각에 우회 차단 또는 운영 부담 측면의 제약 존재
해결 방법
- Gateway를 통한 접속 후 실제 실행 명령을 다시 검증해 차단 목록 기반으로 우회 실행 사전 차단
- 스크립트 내 다른 스크립트 호출, 셸 호출, 암복호화 명령어 차단 같은 추가 정책 적용
- 실행 프로세스 추적으로 스크립트 조합형 우회까지 원천 차단하는 접근
