Microsoft SQL Server 2005 지원 종료로 생각해야 위험과 대책

아시는 분도 많을 거라 생각 합니다만, Microsoft SQL Server 2005의 연장 지원이 2016 년 4 월 12 일에 종료합니다. 지원 종료 후 취약점이 발견 된 경우에도 수정 프로그램을 제공하지 않기 때문에 보안 위험이 높아지는 것은 물론, PCI DSS와 같은 보안 표준을 준수하는 조직은 취약점 대한 신속한 패치 요구 사항을 충족 할 수 없게되어 버립니다.그런 상황에서 트렌드 마이크로에서는 Microsoft SQL Server 2005을 사용하는 조직에 대해 버전 업을 실시 할 것을 권장하고 있습니다.

그러나 많은 조직에서 지원 종료 후에도 Microsoft SQL Server 2005를 계속 사용할 수밖에없는 상황이 발생할 수 있습니다. 예를 들어, Microsoft SQL Server 2005 회계와 인사 시스템 등으로 사용되며 시스템상에서 움직이는 Web 어플리케이션과의 호환성에서 버전 업에 신중하게 조직도 적지 않습니다.

■ SQL Server의 취약점

그러면 지원 종료 후에도 계속 Microsoft SQL Server 2005을 계속 조직은 어떤 보안 위험에 대비해야한다 있을까요. 다음은 지금까지 발표 된 Microsoft SQL Server와 관련된 취약점 정보의 위험도 별 분포를 보여줍니다.

그림 1 : Microsoft SQL Server와 관련된 취약점 정보의 위험도 별 분포

당사가 집계 한 결과 CVSSv2 점수가 "High (높음)"취약점 정보가 다수 발표되고 있으며, 특히 Microsoft SQL Server 2005 관련 취약점은 전체의 84 %가 "High"로 위험도 이 높은 것임을 알았습니다. 지원 종료 후에는 이러한 위험이 높은 취약점이 새로 발견되었다고해도 방치되는 것이기 때문에, Microsoft SQL Server 2005을 계속 조직은 보안 대책을 검토 할 필요가 나오는 것입니다.

■ SQL Server가 표적이되는 일례

일반적으로 SQL Server는 백엔드 시스템에 배치되어 있으며, 외부의 접근이 차단되어 있기 때문에 보안 위험이 높지 않다고 생각하는 사람도 많을 것입니다. 그러나 SQL Server는 많은 정보가 저장되어 있으며, 사이버 공격자에게 표적이되기 쉬운 사내 서버의 하나가되고 있습니다. 당사의 조사는 표적 형 사이버 공격에 사이버 공격자가 조직의 네트워크에 침입하고 그 사실이 발각 될 때까지 평균 5 개월 이상 걸리는 것으로 알려져 있으며, 그 사이에 사이버 공격자가 네트워크 에있는 SQL Server를 공격 정보를 절취하는 시나리오가 있습니다.

다음은 실제로 일어날 수있는 사이버 공격의 예입니다.

1. 표적 형 메일을 사용하여 대상 회사 PC에 원격 조작 형 바이러스를 감염시킨다.
2. 원격 조작 형 바이러스는 C & C 서버와 통신을한다.
3. 사이버 공격자가 감염된 사내 PC를 조작하고 사내 서버를 조사 후 SQL Server에 대한 무단 로그인을한다.
4. SQL Server의 취약점을 이용하여 권한 상승하고, 중요한 정보에 액세스한다.
5. 기밀 정보를 수집합니다.
6. 외부 C & C 서버가 기밀 정보를 전송한다.

그림 2 : 백엔드 시스템의 SQL Server가 표적이되는 일례

■ SQL Server의 보안 대책

Microsoft SQL Server2005을 계속 조직은 다음과 같은 보안 대책을 검토, 실시 할 것을 권장합니다.

1. 로그 모니터링 
   SQL Server의 로그인 정보 및 액세스 로그를 정기적으로 확인하고 의심스러운 로그가 없는지 확인합니다.
2. 네트워크 모니터링 
   사내 네트워크를 시각화하고 흐르는 통신을 모니터링하여 C & C 서버와 통신하고 SQL Server에 의심스러운 통신을 탐지 · 차단합니다.
3. 서버의 대책 
   SQL Server 측에서 가상 패치 등 취약점 완화를 적용하고 의심스러운 통신 탐지 · 차단합니다.