[정보처리기사] 정보 보안 (2)

시스템 보안 구현

• 취약점 분석
  • 보안 취약점
    • 정보시스템에 불법적인 사용자의 접근을 허용할 수 있는 위협
  • 보안 취약점 점검 분류
    • 관리적 관점
    • 기술적 관점
    • 물리적 관점
• 보안관제
  • 개념
    • 24시간 정보자산을 지키기 위해 모니터링하고, 외부의 공격자가 전달하는 패킷을 관측
    • 실제 침해사고 시 CERT(Computer Emergency Response Team)팀이 대응
  • 통합로그 분석 장비
    • ESM(Enterprise Security Management)
    • SOAR(Security Orchestration, Automation, and Response)
    • SIEM(Security Information & Event Management)
• 보안 운영체제, 신뢰성 운영체제
  • 보안 운영체제
    • 개념
      • 컴퓨터 운영체제 + 보안 기능
    • 목적
      • 안정성
      • 신뢰성
      • 보안성
• 보안 솔루션
  • 방화벽(Firewall)
    • 침입차단 시스템
  • 웹 방화벽(Web Firewall)
    • 웹서버 특화 방화벽(XSS, SQL Injection …)
  • 침입탐지시스템(IDS, Intrusion Detection System)
    • 정의
      • 컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지하는 시스템
    • 침입탐지 방식에 따른 분류
      • 오용탐지
        • 사전에 입력해둔 공격 패턴이 감지되면 이를 알려준다.
      • 이상탐지
        • 평균적인 시스템의 상태를 기준으로 비정상적인 행위나 자원의 사용이 감지되면 알려준다.
    • 침입탐지 대상에 따른 분류
      • 네트워크 기반 IDS (NIDS, Network Intrusion Detection System)
        • 네트워크 패킷을 분석하여 침입을 탐지
      • 호스트 기반 IDS (HIDS, Host Intrusion Detection System)
        • 로그 분석과 프로세스 모니터링을 통한 침입을 탐지
  • 침입방지시스템(IPS, Intrusion Prevention System)
    • 방화벽과 침입 탐지 시스템을 결합한 것
  • 데이터유출방지(DLP, Data Leakage/Loss Prevention)
    • 내부 정보의 외부 유출을 방지하기 위한 보안 솔루션
  • 가상 사설 통신망(VPN)
    • 인터넷 등 통신 사업자의 공중 네트워크에 암호화 기술을 이용하여 사용자가 마치 자신의 전용 회선을 사용하는 것처럼 해주는 보안 솔루션
  • NAC(Network Access Control)
    • 네트워크에 접속하는 내부PC의 MAC주소(고유 랜카드 주소)를 IP관리 시스템에 등록한 후 일관된 보안관리 기능을 제공하는 보안 솔루션
    • 서버에 접속 가능한 IP, MAC 주소를 관리
  • ESM(Enterprise Security Management)
    • 다양한 장비에서 발생하는 로그 및 보안 이벤트(방화벽, IDS, IPS, 웹방화벽, VPN 등)를 통합 관리하는 보안 솔루션
  • SIEM(Security Information & Event Management)
    • ESM의 진화된 형태로 볼 수 있으며 네트워크 하드웨어 및 응용 프로그램에 의해 생성된 보안 경고의 실시간 분석을 제공
    • 기존의 ESM이 단기 이벤트성 위주 분석이었다면, SIEM은 빅데이터 수준의 데이터를 장시간 심층 분석한 인덱싱 기반
  • SOAR(Security Orchestration Automation and Response)
    • IT 시스템을 위협으로부터 보호하는데 사용되는 일련의 기능
    • 보안 오케스트레이션, 자동화 및 대응
  • Sandbox
    • 응용 프로그램이 실행될 때 가상 머신 안에서 실행되는 것처럼 원래의 운영체제와 완전히 독립되어 실행되는 형태를 의미.
    • 해당 구역에서만 자원을 사용할 수 있도록.
  • FDS(Fraud Detection System)
    • 전자금융거래에서 사용되는 단말기 정보, 접속 정보, 거래 내용 등을 종합적으로 분석하여 의심 거래를 탐지하고 이상 금융거래를 차단하는 시스템
  • Proxy Server
    • 클라이언트 대신에 인터넷상의 다른 서버에 접속하는 서버
• 방화벽(Firewall)
  • DMZ 구간(Demilitarized Zone)
    • 내부 네트워크에 포함되어 있으나 외부에서 접근할 수 있는 구간
  • 구현방식에 따른 유형
    • 패킷 필터링
      • 들어오는 패킷만 검사
      • 네트워크 계층과 전송 계층에서 동작
        • 잠시 OSI 7계층 생각해보기
          • 5~7계층: Data
          • 4계층: H/Data ⇒ segment
          • 3계층: H/Segment ⇒ packet
          • 2계층: H/Packet ⇒ Frame
      • 다른 방화벽에 비해 속도가 빠르다
    • 애플리케이션 게이트웨이
      • 응용계층에서 동작
      • 로그에서 다양한 정보를 얻어 여러 기능을 추가할 수 있다.
    • 회선 게이트웨이
      • 응용계층과 세션 계층 사이에서 동작
    • 상태 기반 패킷 검사
      • OSI의 모든 계층에서 패킷을 분석하여 차단하는 기능
      • 방화벽 중 가장 강력
  • 방화벽 시스템 구축 유형
    • 스크리닝 라우터(그냥 라우터)
      • IP, TCP, UDP의 헤더 부분에 포함된 내용만 분석하여 동작
      • 내부 네트워크과 외부 네트워크 사이의 패킷을 허용/거부하는 라우터
      • 비용이 적게 들지만, 패킷 내의 데이터는 차단 및 관리가 어렵다
    • 베스천 호스트
      • 내부 네트워크로 진입하기 전에 베스천 호스트를 두어 내부 네트워크를 전체적으로 보호
      • 스크리닝 라우터보다 안전하고, 로그 생성 관리가 용이
    • 듀얼 홈드 호스트
      • 베스천 호스트에 내/외부 네트워크 연결을 위한 NIC(인터페이스)를 연결
    • 스크린드 호스트
      • 스크리닝 라우터 하나와 베스천 호스트 하나로 구성
      • 네트워크 계층과 응용계층의 2단계 방어로 안전
    • 스크린드 서브넷
      • 두 개의 스크리닝 라우터와 한 개의 베스천 호스트로 구성
• 보안 프로토콜
  • SSH
    • 원격 호스트에 접속하기 위해 사용되는 보안 프로토콜
      • Telnet과 SSH 모두 원격 호스트에 접속하기 위한 것이지만
      • SSH는 Telnet + 전송 데이터를 암호화하는 프로토콜
    • 22번 포트
  • SSL
    • 웹 브라우저와 웹 서버 간에 데이터를 안전하게 주고받기 위한 업계 표준 프로토콜
    • SSL이 적용된 웹 페이지는 URL이 https로 443번 포트를 사용한다.
    • http는 80번 포트
  • TLS(Transport Layer Security)
    • 전송계층을 기반으로 개발
    • 데이터의 정보 보호와 무결성을 제공하기 위해 만들어졌다.
  • IPSec
    • 정의
      • IP 계층(네트워크 계층, 3계층)을 안전하게 보호하기 위한 기법
    • 동작모드
      • 전송 모드
        • 헤더를 제외한 Payload만을 보호
      • 터널 모드
        • IP 패킷 전체를 보호
    • 프로토콜
      • AH: 무결성, 인증
      • ESP: 기밀성, 무결성, 인증
      • IKE(Internet Key Exchange): 키 교환에 사용되는 프로토콜
  • S-HTTP
    • 웹상의 파일들이 안전하게 교환될 수 있도록 해주는 HTTP의 확장판
    • SSL 과의 차이점
      • SSL은 ID, ID의 값, PWD, PWD의 값 모두 암호화
      • S-HTTP는 ID의 값, PWD의 값만 암호화
  • RedSec
    • RADIUS 데이터를 전송 제어 프로토콜(TCP)이나 전송 계층 보안(TLS)을 이용하여 전송하기 위한 프로토콜
• 고가용성(HA, High Availability)
  • 서버와 네트워크, 프로그램 등의 정보 시스템이 오랜 기간 동안 지속적으로 정상 운영이 가능한 성질

---

서비스 공격 유형

• DoS(Denial of Service) 공격
  • DoS 공격의 개념
    • 대상 시스템이 정상적인 서비스를 할 수 없도록 가용성을 떨어뜨리는 공격
    • 우선 DoS와 DDoS의 공격 모두 서비스의 가용성을 해치는 공격이다.
    • 단 DoS는 내가 직접 공격, DDoS는 감염 PC를 이용해 대신 공격시키는 공격
  • DoS 공격 유형
    • Smurf Attack: IP와 ICMP의 특성을 이용한 공격, 서비스 거부 공격
    • Ping of Death: 규정 크기 이상의 ICMP 패킷으로 시스템을 마비 시키는 공격
    • Land Attack: 출발지 IP와 목적지 IP가 같은 패킷을 만들어 보내는 공격 기법
    • Tear Drop: 재조합 가능한 Fragment number를 위조하는 공격 기법
    • SYN Flooding: TCP의 연결과정(3 Way HandShaking)의 취약점을 이용한 공격 기법
    • UDP Flooding: 다량의 UDP 패킷을 전송하여 네트워크 자원을 고갈시키는 공격 기법
    • Ping Flooding: 사이트에 매우 많은 ICMP Echo를 보내 자원을 소진시키는 공격 기법
• DDoS(Distributed Denial of Service attack)
  • DDoS 공격 구성
    • 공격자
    • 명령 제어
    • 좀비 PC
    • 공격 대상
    • Exploit: 특정 사이트의 취약점을 분석 후 심어 놓은 것.
  • DDoS 공격 툴의 종류
    • 트리누(Trinoo): UDP Flooding 공격을 수행
    • TFN(Tribal Flood Network): TCP, UDP Flooding, ICMP 브로드캐스트 공격을 수행
    • 슈타첼드라트(Stacheldraht): Trinoo의 네트워크 구조와 TFN의 다양한 공격방법을 포함
• 기타 해킹 기법
  • 웜: 네트워크를 통해 자신을 복제하고 전파할 수 있는 악성 프로그램
  • 바이러스
    • 파일, 부트, 메모리 영역에서 스스로를 복사하는 악성 프로그램
    • 파일 속에 숨어 옮겨 다님(숙주가 필요)
  • 트로이목마
    • 해를 끼치지 않을 것처럼 보이지만 실제로는 바이러스 등의 위험인자를 포함
  • 스턱스넷
    • 공항, 발전소, 철도 등 기간시설을 파괴할 목적으로 제작
  • 루팅
    • 핸드폰 운영체제의 루트 관리자 계정을 획득
  • 루트킷
    • 시스템에 전반적으로 접근할 수 있는 루트 권한을 쉽게 얻게 해주는 킷
  • 혹스
    • 가짜 바이러스
  • 스니핑 공격: 네트워크로 전송중인 패킷을 훔쳐보는 공격
  • IP Spoofing: 자신의 IP 주소를 속여서 접속하는 공격
  • ARP Spoofing: 자신의 MAC 주소를 다른 컴퓨터의 MAC인 것처럼 속이는 공격
  • DNS Spoofing: DNS 서버로 보내는 질문을 가로채서 변조된 결과를 보내주는 것
  • Pharming
    • 사용자의 컴퓨터를 악성코드에 감염시켜 정상 홈페이지가 아닌 피싱 사이트로 유도
    • 그래서 DNS Spoofing을 이용한 공격이 된다.
  • 타이포스쿼팅(Typosquatting)
    • 사이트의 URL을 사용자가 잘못 입력하거나, 빠뜨리는 실수를 이용한 공격
  • 세션 하이재킹(Session Hijacking)
    • 이미 인증을 받아 세션을 생성, 유지하고 있는 연결을 빼앗는 공격
    • 공격자도 로그인 유저의 로그인 상태를 유지할 수 있도록 하는 공격
  • Buffer Overflow
    • 프로그램이 실행될 때 입력받는 값이 버퍼를 가득 채우다 못해 넘쳐 버퍼 이후의 공간을 침범하는 현상
    • 방어 기법: 스택가드, 스택쉴드, ASLR
  • Format String Attack
    • 문자열의 출력 포맷을 애매하게 설정할 때의 취약점을 포착해, 메모리의 RET위치에 악성코드 주소를 입력하여 공격하는 기법
  • CSRF
    • 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하는 해킹 공격
    • XSS는 스크립트를 이용해 사용자의 쿠키 정보를 빼았는 공격으로 세션을 탈취 하는데 CSRF 또한 스크립트를 이용해서 해당 공격자가 의도한 특정 웹사이트로 한번 요청을 시키도록 하는 공격이라는 차이가 있다.
  • Password Cracking
    • 시스템의 비밀번호를 각종 툴을 통해 알아내는 공격 기법
  • APT(Advanced Persistent Threat)
    • 지속적이고 지능적인 해킹 공격의 통칭
  • Nucking
    • 특정 IP에 대량의 패킷을 보내 인터넷 접속을 끊는 크래킹의 일종
  • 부채널 공격(Side Channel Attack)
    • 암호 알고리즘을 대상으로 한 물리적 공격 기법
  • Dictionary Attack
    • 많이 사용되는 날짜, 전화번호 등과 같은 패턴들을 사전 형태로 만들고 이름 조합하는 방식
  • Key Logger Attack
    • 컴퓨터 사용자의 키보드 움직임을 탐지해 개인의 중요한 정보를 빼가는 해킹 공격
  • 스파이웨어(Spyware)
    • 사용자 동의 없이 사용자 정보를 수집하는 프로그램
  • 트랙웨어
    • 시스템 작업을 추적하고 시스템 정보를 수집하거나 사용자 습관을 추적하여 이 정보를 다른 조직에 전달하는 소프트웨어 패키지
  • 제로데이 공격(Zero Day Attack)
    • 취약점에 대한 패치가 나오지 않은 시점에서 이루어지는 공격
  • 사회공학
    • 사람간의 신뢰를 기반으로 비밀정보를 획득하는 기법
  • Evil Twin Attack
    • 공격자의 가짜 AP에 접속하게 해서 사용자 정보를 중간에 가로채는 기법
  • Bluebug
    • 한 번 연결되면 이후에는 다시 연결해주지 않아도 되는 인증 취약점을 이용
  • BlueSnarf
    • 블루투스 취약점을 이용해 장비의 파일에 접근하는 공격
    • 인증 없이 정보를 교환하는 OPP 기능을 사용해 파일에 접근
  • BluePrinting
    • 블루투스 공격 장치의 검색 활동
  • BlueJacking
    • 개인이 특정 반경 내에서 Bluetooth 지원 장치로 익명 메시지를 보내는 해킹 기법
  • Switch Jamming
    • 스위치 MAC 주소 테이블의 저장 기능을 혼란시켜 더미 허브처럼 작동하게 하는 공격
  • 블루킵(Bluekeep)
    • 원격 데스크톱 서비스를 인증 없이 조작할 수 있는 취약점
  • 인포데믹스
    • 잘못된 정보나 소문이 지나치게 빨리 확산되면서 대중의 두려움이 필요 이상으로 증폭되는 현상
  • 살라미(Salami)
    • 금융기관이나 인터넷상에서 많은 사람들로부터 적은 금액을 조금씩 빼내는 기법
  • 다크 데이터
    • 기업이 정보를 수집한 후, 저장만 하고 분석에 활용하지 않는 다량의 데이터
  • 킬 스위치
    • 분실 기기를 자폭시키는 기능
  • 트러스트존
    • 독립적인 보안 구역을 따로 두어 중요한 정보를 보호하는 하드웨어 기반의 보안 기술