대륙의 무시무시한 공격들이 남긴 VPN 관련 교훈들(?) by 파란오이


연말연초를 참으로 잘 쉬고(?) 새해부터 회사에 제 자리 잘 있나~ 하고 어슬렁어슬렁 나갔더니 연초부터 중국발 해킹 공격이 계속 들어옵니다. 덕분에 저도 그거 막다가 초짜나 하는 실수를 원격에서 저질러서(?) 데이터센터 강제소환도 당하고 나서 방화벽 설정도 좀 더 보수적으로 바라보게 되고 있긴 합니다만....

뭐 엄밀히 말하면 제 업무와는 조금 빗나가 있지만 어디 사람 몇명 없는 회사가 그런거 따진답니까 할 수 있는 사람이 하는 거지...
나름대로 이것저것 많이 당해보니 그때마다 남는 게 조금씩 있긴 한 거 같아 다행입니다.



1. 회사에서 사용하는 것으로 고정 IP에 연결된 VPN 게이트웨이가 있고, 이걸 뭘로 세팅했냐 하면 예전에 궁극의 공유기로 한번 소개한 적도 있는 거 같던 미크로틱 장비를 썼습니다. 집에서 쓰기엔 참으로 까탈하지만 최신 펌업하면 그래도 퀵셋 페이지 추가해서 조금은 쓰기가 나아졌고, 쏠쏠한 기능들이 많아서 여기에 기본 PPTP 기반 VPN을 세팅했습니다.

여기서 솔직히 말하자면, 전 이거 세팅하기 전에는 VPN을 쓰지 않고 있었습니다. 제가 쓰던 싸구려 공유기들에서는 지원도 안되고 굳이 해야되나 싶기도 하고 대부분은 집에 매일 켜져 있던 잉여서버의 RDP에 원격으로 붙여서 대부분의 관리건은 해결할 수 있었으니까요. 그런데 이번에 한번 신나게 털리고 나서는 개인 용도의 서비스들은 아주 보수적으로 세팅하게 됩니다 (......)

그리고 미크로틱 장비에서의 VPN은 이것도 쓸 수만 있으면 꽤 쏠쏠한 게 많습니다. 일단은 저도 이것저것 설정하고 검증하는 데 시간이 충분치 않아서 자료가 많은 PPTP를 썼지만(뭐 보안성은 비교적 약하다고 하지만) 서비스 데몬 활성화로 바로 쓸 수 있는 서버로는 SSTP, L2TP, OpenVPN 등 주요 기술을 모두 쓸 수 있습니다. 대부분의 가정용 공유기들은 보통 PPTP 하나만 올려두곤 하는데 이런데서 장비의 위엄이 나오나 싶기도 합니다. 사용자별 보안설정과 네트워크 정책 설정 등도 다 프리셋 설정으로 됩니다만 물론 세팅의 고통은 알아서 (...........)


2. 보통 공유기들은 포트를 굳이 막지 않아도 뒤에 연결되는 장비가 하나도 없으면(.......) 거쳐갈 주소가 없기 때문에 앞단에서 대부분 블럭되어 크게 상관없지 않나 했....는데 이게 뚫렸습니다. 슬쩍 경유해서 데이터가 쭉쭉 나가고 있다고 IDC 관제에서 연락이 옵니다. 저도 그날 외근 파견중이었는데 도착하자마자 관리페이지를 올려보니 으아 이거 가관입니다 (................) 어디부터 막아야 될지 감도 안잡히게 포트도 많이 열렸고 커넥션도 수천개 되고 IP도 수백개는 되나 봅니다. 문제는 여기 앞뒤로 물리서버 가상서버 등 내부 네트워크로 물린 시스템은 하나도 없습니다 (..........)

뭐부터 막아야 되나 하다가 제일 흔하게 보이는 포트 4444를 막아 봅니다만 댐에 뚫린 구멍을 손으로 막는 거밖에 안됩니다. 순간 에반게리온 에피소드 중에 마기 해킹건이 생각납니다. 그리고 커넥션들을 대략 보고 있...다가 UDP 패킷 전체를 블럭시켰습니다. 대부분의 커넥션이 날아갔습니다 (..............) 에반게리온 마기 해킹건 중 마지막 한 칸 남기고 진격을 늦췄던 그 일이 생각납니다 (.......)

그리고 방화벽 빌드를 다시 하기 시작합니다. UPnP 릴레이도 꺼버리고 밖에 뚫을 건 웹관리자 페이지와 VPN 정도만 남기고 나머지 포트를 블럭...하는데 아뿔싸. 블럭 룰을 새로 만들면 이게 1번으로 올라가고 그래서 허용 룰을 덮어서 외부 접속이 막혔습니다 으엌...... 그리고 바로 전화와 메신저로 협력업체의 복구요청이 막 쏟아집니다. 아 그냥 관제센터에서 중국쪽 트래픽 막아달라고 할 걸 그랬나 싶은 후회가 슬쩍 밀려가지만 어쩌겠습니까. 불금에 저녁을 앞두고 역삼동에서 가산동으로 터덜터덜 갔습니다. ㅠㅠ

하도 오랜만에 세팅하려고 하니 초기화도 까먹고 초기접속법도 까먹고 그렇게 한시간쯤 지나다 보니 난 분명 초기화를 한 거 같은데 초기화가 안 되어있는 거 같은 느낌이 듭니다. 그러면 그냥 쓸 수도 있겠지만, 설마 펌웨어 커널 레벨로 뚫렸을수도 있겠다 싶어 펌업을 하고 풀리셋을 하고 기본 IP 설정을 하고 룰을 새로 짜넣고 하다 하다 보니 두어시간이 슥슥 지나갔는데, 여느 때 같으면 저녁 먹고 가겠지만 그날은 그냥 너무 피곤해서 일찍 귀가. 목격자의 증언에는 얼굴 전체에 피곤함이 쩔어 있었다고...


3. 새로 짜넣은 룰들은 꽤 공격을 쓸만하게 막아내는 거 같습니다. 하루에 수백MB 정도 블럭 트래픽이 쌓이는데 적다면 적고 많다면 많죠. 허용된 접속은 VPN과 커스텀 포트의 웹 관리페이지. 이외에는 모든 룰을 블럭 처리했습니다. 혹시 내부에서 외부로 뚫고 나갈 가능성이 있다 싶어서 UPnP 릴레이 룰도 꺼버렸는데 사실 이건 크게 상관없는 느낌이긴 합니다 (.....)

그 다음부터 로그와 커넥션 상태를 종종 지켜보는 경우가 생겼습니다. 그리고 종종 중국발 IP들이 커넥션 들어오는 경우가 있는데 이게 어디로 들어오나 싶었더니 웹 관리페이지를 집중 공격하는 것으로 보입니다. 그리고 미크로틱 라우터는 원래 웹 관리페이지가 아니라 전용 툴 winbox로 설정하는게 제맛이죠. 그래서 웹관리를 꺼버리고 winbox 접속만 살렸더니 그 공격도 이제 더 줄어들었습니다. 한두번 winbox 접속 시도가 있었던 거 같지만 전부 인증실패 블럭 처리. VPN쪽도 시도 들어오는 건 어쩔 수 없죠 (....)


4. 막상 집에 쓰는 IPTIME 공유기도 PPTP 서버를 쓸 수 있습니다. 물론 설정 보면 미크로틱 대비 한숨 나오지만 그래도 대단히 편리하게 쓸 수 있어 애용하고 있습니다. 그리고 VPN으로 붙으면 그 밑에 있는 내부 접속 주소를 그대로 쓸 수 있으니 꽤 유용하지요. 이것저것 외부접속포트 안열어도 되니 방화벽의 약점을 줄이는 훌륭한 방법으로 쓸 만 합니다.

덕분에 외부에서 파일 공유 돌릴때 번거로운 점이 많이 줄었습니다. 예전에는 FTP 등으로 업다운로드 했다면, 이제는 회선 성능이 괜찮다 싶으면 VPN 접속후 CIFS로 폴더 접근, 로컬 폴더처럼 쓸 수 있게 되었습니다. 물론 커넥션 날아가거나 느리면 좀 많이 그렇지만 핸드폰 테더링으로도 mp3 음악 듣는 정도는 충분하고 해서 고만고만하게 쓰고 있습니다. 세상 참 좋구나 싶기도 합니다.

그리고 윈도우 서버의 RDP 연결도 이제 외부 포트를 막았습니다. 이게 열어놔서 밖에서 세션이 막 쌓이면 갑자기 로컬에서도 이상동작 하는 경우가 보였는데, 외부 포트포워딩을 막았어도 VPN 붙여서 하면 크게 상관이 없어서 헛점을 막는 데 큰 도움이 됩니다. 사실 이건 몇년전에 완전 탈취도 당해봤던지라 뼈저리긴 하고, 그래서 전 여러 가지 이유로 공인IP에는 허접한 공유기라도 붙일 지언정 될 수 있으면 직결로 놓지는 않고 있습니다.

문제는 이 VPN도 외부 망 종류에 따라 안붙을 때가 있다는 겁니다. 종종 출장가서 호텔 wi-fi 경우에는 나가는 쪽의 설정 문제인지 제대로 접속되지 않는 경우가 있습니다. 물론 핸드폰 테더링으로는 VPN 잘 붙고, 호텔 wi-fi도 일반적으로 쓰는데는 문제가 없어서 참으로 난감하지만 그럴때 쓰라고 NAS 같은 게 있는 거 아니겠습니까. 지금 쓰고 있는 시놀로지 NAS는 나름 뚫린 전적도 꽤 있긴 하지만(.......) 일반적인 공격에서는 접속차단 같은게 잘 되어 있어서 일단은 외부 포트로 웹과 FTP 정도는 열어 두고 있긴 합니다.



5. 아직도 종종 중국의 흔적이 남아있는 거 보면 조마조마 할 때가 있습니다. 아니 사실 제일 무서운 건 들어온건지 볼 수가 없을 때죠. IPTIME 공유기의 로그는 정말 간단한 거만 있고 실시간 트래픽과 커넥션 확인은 사실상 힘들어서 와이어샤크 물고 미러링 해보기 전까지는 모르니까요. 그리고 귀찮기도 하고....뭐 이미 토렌트 등으로 커넥션 컨트롤 안될텐데 포기하면 편하겠죠.

사실 갑자기 이런거 쓰게 된 데는 IDC 끌려 들어갔을 때 옆에서 서버 세팅하던 모 MS관련 모 유명 파워블로거 분을 구경했기 때문입니다. 전 그분을 처음 봤고 그분은 제 주위를 다 알지만 제 존재는 모르는 게 아 내가 인생 스텔스를 제대로 했구나 싶었습니다.

그리고 뭐 전문가 분이시니 잘 하시겠지만 세팅하던 서버의 환경설정을 보면서 뜨악했던 것이, 아무리 인맥으로 공인IP 당겨쓴다고 하지만 한 서버에 서비스용, 관리용 IP를 공인 IP로 물리는 패기라든가, 심지어 그러면서 iKVM용 VNC 기본포트도 안바꾸고 윈도우 서버용 RDP 기본포트도 안바꾸는 패기에는 정말 박수를 쳐드리고 싶습니다. 과연 아직까지 안바꿨을까...와 바꿔도 의미없지 않나 방화벽 얼마나 꼼꼼하게 세팅했을까 정도는 경과가 정말 약간 궁금하긴 합니다.


6. 고성능 공유기들에 대한 수요는 솔직히 가정에서 쓰면 전 그렇게까지 할 필요가 있겠나 싶지만 뭐 개인 취향이니까요. 그리고 막상 저도 방 세 개 중 하나가 참으로 수신이 불량해서 브릿지 하나 더 놔야 되나 싶긴 합니다. 지금은 제 방에만 5GHz AC로 무선 브릿징해서 유선 당겨 쓰고 있고 뒷방쪽은 만년 수신불량으로 300N이 54G같은 느낌이 들 정도인데 설 지나면 이것도 방법을 강구해야 될 거 같습니다. 물론 어떻게든 브릿지는 싼 공유기로....제 주머니는 얇으니까요 ㅠㅠ


귀경귀성길 문단속은 물리적이든 논리적이든 랜선단속도 철저히 하는 한해가 되도록 합시다.

덧글

  • PFN 2016/02/07 12:26 #

    집 홈서버에 제대로 공격이라기보단 랜덤으로 찌르는것같은 접속이 마구 들이닥쳐서 쓰던 포트 막 바꾸고 방화벽 바꿔보고 그랬는데 저런 레벨이면 정말 힘들겠네요 ㄷㄷ
  • 파란오이 2016/02/12 13:02 #

    랜덤으로 찌르는 거야 저도 매번 당하고는 있습니다만 데이터센터에 공인IP 물고 있자니 다른 세계가 보이더군요.
    결국 오토블록 포함한 인증수단이 있는 서비스만 열어놓고 나머지는 VPN 뒤로 숨기는 게 제일 편했습니다 (....)
※ 이 포스트는 더 이상 덧글을 남길 수 없습니다.

최근 포토로그