[정처기 실기] 「5」 정보보안 - (5.2) 정보보안(2)

[정처기 실기] 「5」 정보보안 - (5.2) 정보보안(2)

「1」 소프트웨어 구축

「2」 데이터베이스 구축

「3」 운영체제

「4」 네트워크

> 「5」 정보보안

「6」 신기술 용어

 

> 1. 정보보안

1. 정보보안

시스템 보안 구현

취약점 분석

○ 보안 취약점 : 정보 시스템에 불법적인 사용자의 접근을 허용할 수 있는 위협

○ 보안 취약점 점검 분류

    : 관리적 관점

    : 기술적 관점

    : 물리적 관점

 

보안관제

○ 보안관제 : 24시간 정보자산을 지키기 위해 전달되는 패킷을 관측, 실제 침해 사고 시 CERT팀이 대응

○ 통합 로그 분석 장비

    : ESM(Enterprise Security Management)

    : SIEM(Security Information & Event Management)

 

보안 운영체제(Secure-OS), 신뢰성 운영체제(Trusted OS)

○ 컴퓨터 운영체제의 커널에 보안 기능을 추가

 

보안 설루션

○ 방화벽(Firewall) : 네트워크와 인터넷 간 정보 전송을 제어하는 침입 차단 시스템

○ 웹 방화벽(Web Firewall) : 웹 기반 공격을 방어하기 위한 웹서버 특화 방화벽, SQL 삽입 공격 / XSS 방어

  - WebKnight, ModeSecurity

○ 침입 탐지 시스템(IDS, Intrusion Detection System) : 비정상적인 사용, 오용, 남용을 실시간으로 탐지하는 시스템

  - 침입 탐지 방식에 따른 분류

    : 오용탐지 - 미리 입력해 둔 공격 패턴 이용

    : 이상탐지 - 평균적인 시스템의 상태를 기준, 오탐 높음

  - 침입 탐지 대상에 따른 분류

    : 호스트 기반 IDS(HIDS) - 로그 분석, 프로세스 모니터링, OSSEC / md5deep / AIDE / Samhain

    : 네트워크 기반 IDS(NIDS) - 네트워크 패킷을 분석, Snork / Zeek

○ 침입 방지 시스템(IPS, Intrusion Prevention System) : 방화벽과 IDS를 결합한 시스템, 탐지 후 방화벽 가동

○ 데이터 유출 방지(DLP, Data Leakage / Loss Prevention) : 내부 정보의 외부 유출을 방지

○ 가상 사설 통신망(VPN, Virtual Private Network) : 공중 네트워크를 사용하여 마치 전용 회선처럼 통신

○ NAC(Network Access Control) : 네트워크 접근을 통제하고 내부 PC의 보안 관리

○ ESM(Enterprise Security Management) : 다양한 보안 장비에서 발생하는 로그 / 이벤트를 통합 관리

○ SIEM(Security Information & Event Management) : 빅데이터 수준의 데이터를 장시간 심층 분석한 인덱싱 기반

○ SDP(Software Defined Perimeter) : 블랙 클라우드, GIG 네트워크 우선권에 따라 DISA에서 수행한 작업에서 발전

○ SOAR(Security Orchestration, Automation and Response) : 보안 오케스트레이션, 자동화 / 대응을 통해 IT 시스템 보호

○ Sandbox : 응용 프로그램이 가상 환경에서 독립적으로 실행되는 형태로 보안을 강화

○ FDS(Fraud Detection System) : 전자 금융 거래의 이상 거래를 탐지, 차단

○ Tamper Proofing : 위 / 변조 시 오작동시켜 악용 방지

○ Trust Zone : 독립적 보안 구역을 따로 두어 중요한 정보를 보호

○ Proxy Server : 클라이언트를 대신하여 인터넷상의 다른 서버에 접속하며, 방화벽 / 캐시 기능 수행

 

방화벽(Firewall)

○ DMZ 구간(Demilitarized Zone) : 내부 네트워크에 포함되어 있으나 외부에서 접근할 수 있는 구간

○ 구현 방식에 따른 유형

  - 패킷 필터링 : 네트워크 계층, 전송 계층에서 작동

  - 애플리케이션 게이트웨이 : 응용 계층에서 작동, 로그 정보를 활용

  - 회선 게이트웨이 : 응용 계층, 세션 계층에서 작동

  - 상태 기반 패킷 검사 : OSI 모델 모든 계층에서 패킷 분석 / 차단

  - 혼합형 타입 : 위의 방식을 결합

○ 방화벽 시스템 구축 유형

  - 스크리닝(패킷 필터) 라우터 : IP, TCP, UDP, 헤더 분석을 통해 동작

  - 베스천 호스트 : 접근 제어, 프록시 기능, 인증, 로깅 수행

  - 듀얼 홈드 호스트 : 2개의 네트워크 인터페이스를 갖춘 호스트

  - 스크린드 호스트 : 패킷 필터 라우터와 베스천 호스트 조합

  - 스크린드 서브넷 : 두 개의 스크리닝 라우터와 한 개의 베스천 호스트

 

보안 프로토콜

○ SSH(Secure Shell Protocol) : 원격 호스트에 접속하기 위한 보안 프로토콜(22번 포트)

○ SSL(Secure Socket Layer) : 웹 브라우저와 웹 서버 간 안전한 데이터 전송을 위한 프로토콜, https(443번 포트)

○ TLS(Transport Layer Security) : 전송 계층 보안을 위해 개발된 프로토콜

○ IPSec : IP 계층(네트워크 계층)을 안전하게 보호하기 위한 기법

  - 동작 모드

    : 전송 모드(Transport Mode) - IP 패킷의 페이로드(Payload)만을 보호

    : 터널 모드(Tunneling Mode) - IP 패킷 전체를 보호

  - 프로토콜

    : AH(Authentication Header) - 인증 + 무결성

    : ESP(Encapsulation Security Payload) - 인증 + 무결성 + 기밀성

    : IKE(Internet Key Exchange) - 키 교환 프로토콜

○ S-HTTP(Secure HTTP) : 웹 상에서 네트워크 트래픽을 암호화하기 위한 방법

○ RedSec : RADIUS 데이터를 전송 제어 프로토콜(TCP)이나 전송 계층 보안(TLS)을 이용하여 전송하기 위한 프로토콜

○ TKIP(Temporal Key Integrity Protocol) : 임시키 무결성 프로토콜, WEP 취약성 보완을 위해 키 길이 128비트로 늘림

 

고가용성(HA, High Availability)

○ 서버, 네트워크, 프로그램 등 정보 시스템이 오랜 기간 동안 지속적으로 정상 운영될 수 있는 능력

 

서비스 공격 유형

DoS(Denial of Service) 공격

○ 대상 시스템이 정상적인 서비스를 수행하지 못하도록 만드는 공격

○ DoS의 공격 유형

  - Smurf Attack : IP와 ICMP의 특성

  - Ping Of Death : 정상 크기를 초과하는 ICMP 패킷

  - Land Attack : 출발지 IP와 목적지 IP가 동일한 패킷

  - Teardrop Attack : Fragment Number를 위조

  - SYN Flooding : SYN 신호만 전송

  - UDP Flooding : 다량의 UDP 패킷을 전송

  - Ping Flooding : 많은 ICMP Echo 요청

 

DDoS(Distributed Denial of Service attack) 공격

○ 분산된 다수의 좀비 PC를 이용하여 공격 대상 시스템의 서비스를 마비시키는 형태

○ DDoS의 공격 구성

  - 공격자(Attacker)

  - 명령 제어(C&C, Command and Control)

  - 좀비(Zombie) PC

  - 공격 대상(Target)

○ DDoS의 공격 순서

  - 권한 획득 > 공격 대상 파악 > 취약 시스템 리스트 확인 > 시스템 침투 / Exploit 설치 > 공격 시작

○ DDoS의 공격 툴의 종류

  - 트리누(Trinoo) : UDP 데이터 패킷을 사용하여 대량의 트래픽을 생성

  - TFN(Tribal Flood Network) : 다양한 공격 기법을 지원

  - 슈타첼드라트(Stacheldraht) : 트리누와 TFN의 특징을 결합

 

기타 해킹 기법

○ 해킹 : 시스템에 침입해 정보 수정 / 빼내는 행위

○ 크래킹 : 시스템에 침입해 정보 파괴 / 변경하는 행위

○ C&C 서버 : 좀비 PC에 명령을 내리고 악성코드를 제어하기 위한 서버

○ 웜 : 네트워크를 통해 자기 복제 / 전파

○ 바이러스 : 파일, 부트 섹터, 메모리 등에 자기 복제

○ 트로이 목마 : 악성 기능을 숨겨 유혹

○ APT : 지능형 지속 공격, 침투 후 내부 서버 제어권을 획득하여 데이터 수집

○ 스턱스넷 : 물리적 피해 목적의 웜 바이러스

○ 루팅 : 핸드폰 운영체제 루트 권한 획득

○ 루트킷 : 루트 권한 획득 도구

○ 혹스 : 가짜 바이러스, 거짓 정보

○ 피싱 : 가짜 사이트 유도하여 개인정보 탈취

○ 스피어 피싱 : 불특정 다수에게 메일 발송 후 가짜 사이트로 유인하여 금융기관 개인 정보 탈취

○ 스미싱 : 문자 메시지로 개인정보 탈취

○ Qshing : QR 코드로 악성 링크 유도, 악성 코드 설치

○ 스니핑 공격 : 네트워크 패킷 도청

○ IP Spoofing : IP 주소 위장

○ ARP Spoofing : MAC 주소 위장

○ DNS Spoofing : DNS 결과 변조

○ 파밍 : 악성코드 감염으로 피싱 사이트 유도

○ 타이포스쿼팅 : URL 오타 이용 공격

○ 웨일링 : 유명인사를 타깃으로 한 스피어 피싱

○ 포트 스캐닝 : 서버 취약점 탐색

○ 세션 하이재킹 : 인증된 세션 탈취

○ 버퍼 오버플로우 : 메모리 침범 공격

○ Format String Attack : 메모리 RET 위치 공격

○ SQL injection : 데이터베이스 공격

○ XSS : 타 사이트에 스크립트 삽입 공격

○ CSRF : 사용자 의도와 무관한 행위 강요

○ Backdoor : 정상 인증 없이 시스템 접근, 무결성 검사 / 로그 분석 / SetID 파일 / 열린 포트 검사

○ Password Cracking : 다양한 도구로 비밀번호 추출

○ ART : 지속적이고 체계적인 해킹 공격

○ Nucking : 특정 IP 주소에 대량 패킷 전송

○ 부채널 공격 : 암호 알고리즘 물리적 공격

○ Brute Force : 무차별 대입 공격 

○ Water Hole Attack : 주로 방문하는 웹 감염 후, 방문할 때까지 기다림

○ Dictionary Attack : 사전 패턴 이용 공격

○ Key Logger Attack : 키보드 입력 기록 공격

○ 스파이웨어 : 사용자 동의 없이 정보 수집

○ 애드웨어 : 광고 표시

○ 트랙웨어 : 시스템 작업 추적, 정보 전달

○ 그레이웨어 : 사용자 동의 설치지만 불편을 제공

○ 크라임웨어 : 불법 온라인 활동 용이

○ 랜섬웨어 : 시스템 접근 제한, 몸값 요구

○ 제로데이 공격 : 알려지지 않은 취약점 공격

○ 사회공학 : 인간 심리 이용 공격

○ Evil Twin Attack : 가짜 WiFi AP 공격

○ 블루투스 공격 : Bluebug(연결 취약), BlueSnarf(장비 접근), BluePrinting(장비 탐색), BlueJacking(익명 메시지)

○ Credential Stuffing : 사용자의 로그인 인증 정보를 다른 사이트에 무작위 대입

○ Island Hopping : 타겟 기업 침해를 위해 협력사, 파트너 기업 네트워크를 해킹

○ Switch Jamming : 네트워크 스위치 혼란 공격

○ Honeypot : 공격자 유인 시스템

○ 블루킵 : 원격 데스크톱 서비스 취약점 공격

○ 인포데믹스 : 잘못된 정보 확산

○ 살라미 : 적은 금액을 조금씩 빼내는 기법

○ 다크 데이터 : 분석되지 않은 대량의 데이터

○ 킬 스위치 : 정보기기 데이터 원격 삭제

○ 트러스트존 : 중요 정보 보호를 위한 독립 보안 구역

 

 

 

 

 

 

출처 | 흥달쌤