[정처기 필기] 「5」 | 시스템 보안 구축 - (4.1) 서비스 공격 유형

[정처기 필기] 「5」 | 시스템 보안 구축 - (4.1) 서비스 공격 유형

「1」 소프트웨어 설계

「2」 소프트웨어 개발

「3」 데이터베이스 구축

「4」  프로그래밍 언어 활용

> 「5」  정보시스템 구축 관리

- 소프트웨어 개발 방법론 활용, IT프로젝트 정보 시스템 구축 관리, 소프트웨어 개발 보안 구축, > 시스템 보안 구축

 

> 1 서비스 공격 유형

2 서버 인증

3 보안 아키텍처 / 프레임워크

4 로그 분석

5 보안 설루션

1. 서비스 공격 유형

서비스 거부(DoS; Denial of Service) 공격의 개념

 

표적이 되는 서버 자원 고갈을 목적으로 다수의 공격자, 시스템에서 대량 데이터를 한 서버에 집중적으로 전송하여 표적 서버의 정상적 기능을 방해

 

- Ping of Death, SMURFING, SYN Flooding, TearDrop, Land, DDos 등

 

Ping of Death(죽음의 핑)

 

Ping 명령 전송 시 패킷 크기를 인터넷 프로토콜 허용 범위 이상으로 전송하여 네트워크 마비시킴

 

- 공격에 사용되는 큰 패킷은 수백 개의 패킷으로 분할되어 전송, 공격 대상은 분할된 대량의 패킷 수신하여 재조립하는 부담, 각각 패킷의 ICMP Ping 메시지에 대한 응답 처리하느라 시스템 다운

- jolt, sPING, ICMP bug, IceNewk 등 변종 공격에 대비하여 ICMP Ping 메시지가 전송되지 못하도록 방화벽에서 차단하는 기술 개발됨

 

SMURFING(스머핑)

 

IP, ICMP 특성을 악용하여 엄청난 양의 데이터를 한 사이트에 집중적으로 보내어 네트워크 불능 상태 만듦

 

- 송신 주소를 공격 대상지 IP 주소로 위장, 수신 주소를 해당 네트워크 라우터 브로드캐스트 주소(네트워크 내 전체 호스트를 대상으로 패킷 전송하는 주소)로 하여 패킷 전송하면, 라우터의 브로드캐스트 주소로 수신된 패킷은 해당 네트워크 모든 컴퓨터로 전송

- 모든 컴퓨터는 수신된 패킷의 응답메시지를 송신 주소인 공격 대상지로 집중 전송, 공격 대상지는 네트워크 과부하로 정상적 서비스 수행 불가

- 각 네트워크 라우터에서 브로드캐스트 주소를 사용할 수 없게 미리 설정

 

SYN Flooding

 

공격자가 가상 클라이언트로 위장, TCP의 3-way-handshake(3단계 확인 작업) 과정을 의도적으로 중단시켜 공격 대상지인 서버가 대기 상태에 놓여 정상적 서비스 수행 불가

 

- 공격자는 사용불가 IP 주소를 이용하여 가상 클라이언트로 위장, 공격 대상지 서버로 'SYN' 신호 보내어 3-way-handshake 첫 번째 과정 수행

- 공격 대상지 서버는 'SYN' 신호 응답으로 'SYN + ACK' 신호를 가상 클라이언트로 보내고, 클라이언트 접속을 받아들이기 위해 메모리 일정 공간을 확보

- 가상 클라이언트는 사용불가 IP 주소이므로 서버가 보낸 응답이 전송되지 않고, 3-way-handshake 마지막 과정인 'ACK' 신호도 전송하지 않으므로 서버는 메모리 공간 확보한 상태에서 대기

- 공격자가 사용불가 IP 주소로 반복적인 3-way-handshake 과정을 요청하면, 공격 대상지 서버는 메모리 공간을 점점 확보하여 설정된 동시 사용자 수가 모두 대기 상태로 채워지게 되어 정상적 서비스 수행 불가

- 수신지의 'SYN' 수신 대기 시간 줄이거나 침입 차단 시스템 활용

 

TearDrop

 

데이터 송 / 수신 과정에서 패킷의 크기가 커 여러 개로 분할 전송 시 분할 순서를 알도록 함께 전송하는 Fragment Offset 값을 변경하여 수신 측에서 패킷 재조립 시 오류로 인한 과부하 발생시켜 시스템 다운

 

- Fragment Offset이 잘못된 경우 해당 패킷을 폐기

 

Land

 

패킷 전송 시 송 / 수신 IP 주소를 모두 공격 대상 IP 주소로 하여 전송, 공격 대상은 자신에 대해 무한히 응답

 

- 송 / 수신 IP 주소의 적절성 검사

 

DDoS(Distributed Denial of Service, 분산 서비스 거부) 공격

 

여러 곳에 분산된 공격 지점에서 한 서버에 대해 분산 서비스 공격, 네트워크에서 취약점 있는 호스트를 탐색하고, 이 호스트에 분산 서비스 공격용 툴을 설치하여 에이전트로 만든 후 DDoS 공격에 이용

 

- 분산 서비스 공격용 툴(에이전트 역할 수행하도록 설계된 프로그램, ==데몬)

  : Trin00(가장 초기 형태의 데몬, UDP Flooding)

  : TFN(UDP Flooding, TCP SYN Flood, ICMP 응답 요청, 스머핑 공격)

  : TFN2K(TFN 확장판)

  : Stacheldraht(이전 툴 기능 유지, 암호화된 통신 수행, 자동 업데이트)

- 공격 범위 확대를 위해 일부 호스트에 다수 에이전트 관리하는 핸들러 프로그램 설치하여 마스터로 지정 후 공격에 이용

 

공격자	Master	Agent	↘	공격대상 서버
		Agent	↘
	Master	Agent	→
		Agent	→
	Master	Agent	↗
		Agent	↗

 

네트워크 침해 공격 관련 용어

 

스미싱(Smishing)

: SMS로 사용자 개인 신용 정보를 빼내는 수법

: 초기에는 SMS로 개인 비밀정보, 소액 결제 유도

: 현재는 SMS에 링크를 걸어 설치 파일인 apk 파일 설치를 유도하여 사용자 정보 빼가는 수법

 

스피어 피싱(Spear Phishing)

: 사회 공학(깊은 신뢰를 속여 정상 보안 절차 깨는 비기술적 시스템 침입 수단), 특정 대상 선정 후 위장한 메일을 지속적으로 발송하여 링크, 첨부파일 클릭을 유도하여 사용자 개인 정보 탈취

 

AOT(Advanced Persistent Threats, 지능형 지속 위협)

: 다양한 IT 기술, 방식을 이용하여 조직적으로 특정 기업, 조직 네트워크에 침투하여 활동 거점 마련 후 때를 기다리며 보안 무력화시키고 정보 수집 후 외부로 빼돌리는 형태

: 공격 방법

  - 내부자에게 악성 코드 포함된 이메일을 오랜 기간 꾸준히 발송하여 한번이라도 클릭되길 기다리는 형태

  - 스턱스넷(Stuxnet)과 같이 악성코드 담긴 USB 등으로 전파하는 형태

  - 악성코드에 감염된 P2P 사이트 접속 시 악성코드에 감염되는 형태

 

무작위 대입 공격(Brute Force Attack)

: 암호화된 문서의 암호키 찾기 위해 모든 값 대입하여 공격

 

큐싱(Qshing)

: QR코드를 통해 악성 앱 / 프로그램 다운로드 유도하는 금융사기 기법 중 하나

: QR코드와 Fishing의 합성 신조어

 

Phishing

: 이메일, 메신저 등을 통해 공기관, 금융 기관, 지인, 유명인으로 사칭하여 개인정보 빼내는 기법

: Private Data와 Fishing의 합성어

 

Ping Flood

: 특정 사이트에 매우 많은 ICMP 메시지를 보내어 이에 대한 응답으로 시스템 자원 모두 사용하여 시스템이 정상적으로 동작하지 못하도록 하는 기법

 

Evil Twin Attack

: 실제 존재하는 동일 이름의 무선 WiFi 신호를 송출하여 로그온 한 사람들의 계정 정보, 신용 정보 빼내는 기법

 

스위치 재밍(Switch Jamming)

: 위조된 매체 접근 제어(MAC) 주소를 지속적으로 네트워크로 흘려보내어, 스위치 MAC 주소 테이블의 저장 기능을 혼란시켜 더미 허브처럼 작동하게 하는 공격

 

>블루투스(Bluetooth) 관련 공격<

 

블루버그(BlueBug) : 블루투스 장비 사이 취약한 연결 관리 악용, 휴대폰 원격 조정, 통화 감청

블루스나프(BlueSnarf) : 블루투스의 취약점 활용하여 장비 파일에 접근, 인증 없이 정보 교환하는 OPP(Object Push Profile)를 사용하여 정보 열람

블루프린팅(BluePrinting) : 공격 대상이 될 블루투스 장비 검색

블루재킹(BlueJacking) : 블루투스 이용하여 스팸처럼 메시지를 익명으로 퍼뜨리는 공격

 

정보 보안 침해 공격 관련 용어

 

좀비(Zombie) PC

: 악성코드에 감염되어 다른 프로그램, 컴퓨터 조종하도록 만들어진 컴퓨터

: C&C(Command & Control) 서버의 제어를 받아 주로 DDoS 공격 등 이용

 

C&C 서버 

: 해커가 원격지에서 감염된 좀비 PC에 명령 내리고, 악성코드 제어하기 위한 용도로 사용하는 서버

 

봇넷(Botnet)

: 악성 프로그램에 감염되어 악의적 의도로 사용 가능한 다수의 컴퓨터들이 네트워크로 연결된 형태

 

웜(Worm)

: 네트워크를 통해 연속적으로 자신 복제하여 시스템 부하 높여 시스템 다운시키는 바이러스 일종

: 분산 서비스 공격, 버퍼 오버플로 공격, 슬래머(SQL 허점 이용) 등의 형태

 

제로 데이 공격(Zero Day Attack)

: 발견된 취약점 존재가 공표되기 전, 해당 취약점으로 이뤄지는 보안 공격

: 공격의 신속성 의미

 

키로거 공격(Key Logger Attack)

: 컴퓨터 사용자의 키보드 움직임을 탐지하여 개인정보 몰래 빼가는 해킹 공격

 

랜섬웨어(Ransomware) 

: 사용자 컴퓨터에 잠입해 내부 문서, 파일 등 암호화하여 사용자가 열지 못하게 하는 프로그램, 암호 해독용 프로그램 전달 조건으로 돈 요구

 

백도어(Back Door, Trap Door)

: 시스템 설계자가 서비스 기술자, 유지 보수 프로그램 작성자의 액세스 편의를 위해 시스템 보안 제거하여 만든 비밀 통로, 컴퓨터 범죄에 악용

: 탐지 방법 - 무결성 검사, 열린 포트 확인, 로그 분석, SetUID 파일 검사 등

 

트로이 목마(Trojan Horse)

: 정상적 기능하는 프로그램으로 위장, 숨어있다가 해당 프로그램이 동작할 때 활성화되어 부작용 일으키는 것, 자기 복제 능력 없음

 

파밍(Pharming)

: 해커가 악성코드에 감염된 PC 조작하여 이용자가 정상 사이트에 접속해도 중간에서 도메인 탈취하여 가짜 사이트로 접속하게 한 뒤 개인 정보, 금융 정보 몰래 빼내는 행위

 

 

 

 

 

 

 

 

출처 | <시나공> 정보처리기사 필기 2024 기본서 (길벗알앤디)