DHCP Client, Cryptographic Service

 

KISA에서 제공중인 "주요정보통신기반시설 보안취약점 분석 평가 가이드" 에는 아래와 같은 항목이 있다. 

 

< Windows Server > : W-09 : 불필요한 서비스 제거

< Windows PC > : PC-04  : 불필요한 서비스 제거

 

해당 항목에서는 아래와 같이 약 18개의 일반적인 불필요한 서비스 목록을 제공하고 있다. 

 

보안 취약점 점검을 하다보니, 일부 Windows 서버, PC 에서 공통적으로 활성화 되어있다고 출력되는 서비스가 존재한다. 

그 중 특정된 2개에 대해서 조치가 불가능한 이유를 작성해볼까 한다. 

[ 1. Cryptographic Service ]

 

Cryptographic Service는 "윈도우 파일의 서명을 확인하는 카탈로그 데이터베이스 서비스를 총괄" 한다고 한다. 

윈도우 파일의 서명을 확인한다는 것이 중요한 Key Point 

 

이 "Cryptographic Service" 는 총 3가지의 기능을 담당하며 그 3가지 모두 "윈도우 파일의 서명" 과 연관되어 있다. 

 

Windows OS에서 모든 응용프로그램은 "디지털 서명" 이라는 과정을 통해서 소스코드가 변조되지 않았음을 보장하는 제도가 존재한다. 

해당 인증을 통해야만 Windows OS에서는 "안전한 프로그램" 이라는 인식하고, 프로그램을 실행시키는 것이다. 

 

디지털 서명이 안됐거나, 공개된 Freeware 프로그램이 업데이트가 되면서 디지털 서명의 기간이 지난 경우에

아래와 같이 "SmartScreen"에서 앱의 시작을 1차적으로 차단하지만, 사용자의 선택하에 실행할 수 있도록 화면이 출력된다.

  ★ 취약점 진단시에 도출된 "Cryptographic Service"를 비활성화 하였다 하더라도,

  ★ 아래와 같은 화면이 출력이 되었다면 Cryptographic Service는 자동으로 다시 활성화가 된다. 

 

 만약, Cryptographic Service가 켜져있을 때, 

 -> 디지털 서명이 되어있으면서, 디지털 서명의 기간이 남아있는 프로그램을 실행시켰을 때는 다음과 같은 화면이 출력된다. 

 -> 게시자 및 게시자에 대한 인증서도 모두 포함되어있기 때문에 안전한 프로그램이지만 Cryptographic Service가 비활성화 되면서 파일의 서명에 대한 확인을 하지 못하게 되어 차단되는 현상이다. 

 --> 해당 화면이 출력된다면, 실행 버튼이 없기 때문에 프로그램이 실행이 되지 않고 "닫기" 로 종료할 수 밖에 없다. 

 ★ 다만, 해당 화면이 출력되어 "닫기" 버튼을 눌렀다면 "Cryptographic Service" 는 자동으로 다시 활성화된다. 

 

이외에도, Cryptographic Service는 MS에서 제공하는 Windows Update 자료에 대해서도 파일의 서명을 검증한다. 

Windows Update에서 Root 인증서의  Status를 확인하는데, 유효하지 않은 인증서이거나, 인증서의 기간이 만료되었다고 판단되면 Update가 불가능하다. 

 

이와 같은 사유로 Cryptographic Service 는 비활성화 시킬 수 없다. 

 여러 Windows 서버 혹은 PC에서 해당 서비스를 종료한 상태로 건들지 않는다면 해당 서비스는 안켜져 있을 것이다.

 

단, 해당 서버에 연결된 서비스의 유지보수, 서비스 업데이트 등 어떠한 작업이라도 하게된다면 저 화면들은 볼 수 있을것이며, Cryptographic Service는 자동으로 활성화 될 것이므로 영구적인 조치가 불가능하다고 본다. 

 

[ 2. DHCP Client ]

 

DHCP 는 PC 및 서버들에서 동적으로 IP를 할당받기 위해서 사용되는 서비스이다. 회사의 규모에 따라서 다르겠지만, 중소기업에서도 규모가 조금만 커지더라도, 사설망을 사용한다 

 

사설망을 사용하면 각 PC 및 서버들이 고정IP로 세팅을 하게되고, 동적으로 IP를 설정하지 않는다. 그 경우라면, DHCP Client는 필요하지 않는 것처럼 보인다. 

 

하지만, DHCP Client는 동적으로 IP를 할당받는 역할 이외에, 여러 서비스와 연계되어 있다. 

 

Services.msc 를 확인해보니, DHCP Client는 Network에 관한 서비스에 종속되어 있다.

Network에 관련된 서비스들이 종속되어 있지만, 이 Network 서비스에는 Windows Update가 연계되어 있다. 

 

DHCP Client 서비스는 Network Connectivity Assistant 와도 종속적인 관계가 있다. 

이 Network Connectivity Assistant 서비스는 "네트워크 연결 문제 진단 및 해결 도구" 로써, 네트워크 상태가 연결되었는지를 확인한다. 

 

만일 해당 서비스가 제대로 동작하지 않다보니, MS Update 파일을 다운로드 받는 과정에서 장애가 발생할 수 있는 가능성이 존재했다. 

또한, DHCP Client가 NLA(Network Location Awareness) 와 직접적인 종속 관계는 아니지만, 

 

DHCP Client는 NLA, Network Connectivity Assistant , WinHTTP Web Proxy Auto-Discvoery Service 등과 같이 정말 많은 다양한 서비스에 직·간접적으로 종속되어 있으므로, 중지하는 것은 오히려 위험하다. 

 

여기에 작성된 이 내용은 어디까지나 그동안 내가 경험했던 장애들을 토대로,

원인파악, 흐름 추적 등을 통해서 파악한 결과이다.

 

다만 이 내용이 모든 Windows 서버와 Windows PC에 무조건적으로 적용되는 것은 아니다. 

각 기관의 업무 환경등에 따라서 다를 수도 있으므로 장애가 발생했다면 한번쯤은 봐도 괜찮을 내용일 뿐,

절대 맹신할 내용이 아니며, 관련된 장애가 발생시 확인 해 볼 만한 내용이다.