U-26 /dev에 존재하지 않는 device 파일 점검

가이드라인 원문

상세 설명

1. 판단 기준

기본 판단 기준

• 양호: /dev 디렉터리에 device 파일(Block/Character Device 등)이 아닌 일반 파일이 존재하지 않는 경우
• 취약: /dev 디렉터리에 device 파일이 아닌 일반 파일이 존재하거나, 의심스러운 파일이 발견된 경우

경계 케이스 (Edge Case) 처리 방법

권장 설정값

2. 점검 방법

Linux, Solaris, AIX, HP-UX 점검

/dev 디렉터리 내에서 ‘일반 파일(Regular File)‘을 검색합니다.

1

find /dev -type f -exec ls -l {} \;

• -type f: 디렉터리(d), 블록 디바이스(b), 문자 디바이스(c), 소켓(s), 파이프(p) 등이 아닌 일반 파일만 검색합니다.

양호 출력 예시:

1

(출력 내용 없음 - 일반 파일이 없어야 함)

취약 출력 예시:

1
2
3

-rw-r--r-- 1 root root 12345 Jan 20 10:00 /dev/.hidden
-rwxr-xr-x 1 root root 5678 Jan 20 10:00 /dev/tcp0
-rw------- 1 root root 9012 Jan 20 10:00 /dev/sda1

(/dev 내에 일반 파일이 존재함 - 루트킷/백도어 가능성)

3. 조치 방법

의심 파일 확인 및 삭제

1. file 명령어로 파일의 종류를 재확인

   1	file /dev/suspect_file

2. 파일의 생성 시간, 내용을 확인하여 악성 여부를 판단

   1 2	ls -l /dev/suspect_file stat /dev/suspect_file

3. 내용 확인 (텍스트 파일인 경우)

   1	strings /dev/suspect_file | head -20

4. 불필요하거나 악성 파일로 판단되면 삭제

   1	rm /dev/suspect_file

5. 숨겨진 디렉터리 삭제

   1	rm -rf /dev/.hidden/

4. 참고 자료

• CIS Benchmarks: 6.1.14 Find unauthorized device files
• NIST 800-53: CM-6 (Configuration Settings), SI-4 (System Monitoring)
• Linux Device Files: https://www.kernel.org/doc/html/latest/admin-guide/devices.html
• man page: man find, man file

5. 스크립트

• 취약점 점검 스크립트
  • 이 스크립트는 KISA 주요정보통신기반시설 기술적 취약점 분석·평가 가이드라인(2026)을 준수하여 제작된 자동 점검 도구입니다. 복잡한 단일 파일 방식이 아닌 모듈화된 구조로 설계되어 유지보수가 쉽고 확장이 용이합니다.
  • 다양한 환경에서 테스트를 진행했으나, 혹시 점검 로직에 이슈가 발견되거나 개선이 필요한 경우 적극적인 제보를 부탁드립니다.