5과목 - 정보시스템 구축 관리
4장. 시스템 보안 구축
189. 서비스 공격 유형
서비스 거부 (DoS, Denial of Service) 공격의 개념
- 표적이 되는 서버 자원을 고갈시킬 목적으로 시스템에서 대량의 데이터를 한 서버에 집중적으로 전송함으로써, 서버의 정상적인 기능을 방해하는 것
- 서비스 거부 공격 유형
- Ping of Death
- SMURFING
- SYN Flooding
- TearDrop
- Land
- DDoS
Ping of Death (죽음의 핑)
- 명령을 전송할 때 패킷의 크기를 인터넷 프로토콜 허용 범위 이상으로 전송하여 네트워크를 마비시키는 방법
- 공격에 사용되는 큰 패킷은 수백 캐의 패킷으로 분할되어 전송되는데, 수신 측은 전송된 패킷을 재조립하느라 시스템이 다운됨
SMURFING (스머핑)
- 스머핑은 IP나 ICMP 특성을 악용하여 엄청난 양의 데이터를 한 사이트에 집중적으로 보냄으로써 네트워크를 불능 상태로 만드는 방법
- 공격자는 송신 주소를 공격 대상자의 IP 주소로 위장하고 해당 네트워크 라우터의 브로드캐스트 주소를 수신지로 하여 패킷 전송
- 라우터의 브로드캐스트 주소로 수신된 패킷은 해당 네트워크 내 모든 컴퓨터로 전송
- 해당 네트워크 내 모든 컴퓨터는 응답 메시지를 송신 주소인 공격 대상지로 집중적으로 전송하게 되고, 이로 인해 과부하 발생
- 각 네트워크 라우터에서 브로드캐스트 주소를 사용할 수 없게 미리 설정함으로써 방지
SYN Flooding
- TCP는 신뢰성 있는 전송을 위해 3-way-handshake를 거친 후 데이터 전송
- SYN Flooding은 공격자가 가상 클라이언트로 위장하여 3-way-handshake를 중단시킴으로써 서버가 대기 상태에 놓여 정상적인 서비스를 수행하지 못하게함
TearDrop
- 데이터 송수신 시 패킷의 크기가 커 여러 개로 분할되어 전송되는데, 분할 순서를 알 수 있도록 Fragment Offset 값을 함께 전송
- TearDrop은 이 Offset 값을 변경시켜 수신 측에서 패킷을 재조립할 때 오류로 인한 과부하를 발생시키는 것
- Fragment Offset이 잘못된 경우 해당 패킷을 폐기하도록 설정함으로써 방지
Land
- 패킷을 전송할 때 송신 IP와 수신 IP 모두 공격 대상의 IP 주소로 하여 전송하는 것, 즉 자신에 대해 무한히 응답하게 하는 공격
DDoS (Distributed Denial of Service, 분산 서비스 거부) 공격
- 여러 곳에 분산된 공격 지점에서 한 곳의 서버에 대해 분산 서비스 공격을 수행하는 것
- 네트워크에서 취약점이 있는 호스트들을 탐색하여 이들을 에이전트로 만든 후 DDoS 공격에 이용
네트워크 침해 공격 관련 용어
- 스미싱 (Smishing)
- SMS를 이용해 사용자 개인 신용 정보를 빼내는 수법
- 스피어 피싱 (Spear Phishing)
- 일반적인 이메일로 위장한 메일에 링크를 걸어 사용자 개인 정보 탈취
- APT (Advanced Persistent Threats, 지능형 지속 위협)
- 특정 기업이나 조직 네트워크에 침투해 정보를 수집하여 외부로 빼돌리는 공격
- 무작위 대입 공격 (Brute Force Attack)
- 암호화키를 찾아내기 위해 모든 값을 대입하여 공격
- 큐싱 (Qshing)
- QR코드를 통해 악성 앱의 다운로드를 유도
- SQL 삽입 공격
- 취약한 사이트가 발견되면 데이터를 조작하는 방식
- 크로스 사이트 스크립팅 (XSS, Cross Site Scripting)
- 네트워크를 통한 컴퓨터 보안 공격
정보 보안 침해 공격 관련 용어
- 좀비 PC
- 악성코드에 감염되어 다른 프로그램이나 컴퓨터를 조종하도록 만들어진 컴퓨터
- C&C 서버
- 감염된 좀비 PC에 명령을 내리고 악성코드를 제어하기 위한 용도로 사용하는 서버
- 봇넷 (Botnet)
- 악성 프로그램에 감염되어 악의적인 의도로 사용될 수 있는 다수의 컴퓨터들이 네트워크로 연결된 형태
- 웜 (Worm)
- 네트워크를 통해 연속적으로 자신을 복제하여 시스템 부하를 높임으로써 시스템을 다운시키는 바이러스
- 제로 데이 공격 (Zero Day Attack)
- 보안 취약점이 발견됐을 때 취약점의 존재 자체가 공표되기도 전에 해당 취약점을 통해 이루어지는 공격
- 키로거 공격 (Key Logger Attack)
- 컴퓨터 사용자의 키보드 움직임을 탐지해 개인 정보를 빼가는 해킹 공격
- 랜섬웨어 (Ransomware)
- 사용자 컴퓨터에 잡임해 내부 문서나 파일 등을 암호화하여 열지 못하게 하는 프로그램
- 백도어 (Back Door)
- 시스템 설계자가 액세스 편의를 위해 시스템 보안을 제거하여 만들어놓은 비밀 통로
- 트로이 목마 (Trojan Horse)
- 정상적인 기능을 하는 프로그램으로 위장하여 숨어있다가 해당 프로그램이 동작할 때 활성화되어 부작용을 일으키는 것
190. 서버 인증
보안 서버의 개념
- 인터넷을 통해 개인정보를 암호화하여 송수신할 수 있는 기능을 갖춘 서버
- 보안 서버가 갖추어야 할 기능
- 서버에 SSL (Secure Socket Layer) 인증서를 설치하여 전송 정보 암호화
- 서버에 암호화 응용 프로그램 설치
인증 (Authentication)의 개념
- 다중 사용자 컴퓨터 시스템이나 네트워크 시스템에서 로그인을 요청한 사용자 정보를 확인하고 접근 권한을 검증하는 절차
- 주요 유형
- 지식 기반 인증
- 소유 기반 인증
- 생체 기반 인증
- 위치 기반 인증
지식 기반 인증 (Something You Know)
- 사용자가 기억하고 있는 정보를 기반으로 인증을 수행하는 것
- 사용자 기억을 기반으로 하기 때문에 관리 비용이 저렴
- 고정된 패스워드
- 패스 프레이즈 (Passphrase) : 'iloveyou'와 같이 일반 패스워드보다 길이가 길고 기억하기 쉬운 문장으로 비밀번호 구성
- 아이핀 (i-PIN) : 사이버 주민등록번호
소유 기반 인증 (Something You Have)
- 사용자가 소유하고 있는 것을 기반으로 인증을 수행하는 것
- 신분증
- 메모리 카드 (토큰) : 마그네틱 선에 보안 코드를 저장해서 사용
- 스마트 카드 : IC칩이 내장된 카드
- OTP (One Time Password) : 사용자가 패스워드를 요청할 때마다 새롭게 생성된 패스워드를 사용하는 것
생체 기반 인증 (Something You Are)
- 생체 인증 대상 : 지문, 홍채/망막, 얼굴, 음성 등
기타 인증 방법
- 행위 기반 인증 : 서명이나 동작
- 위치 기반 인증
191. 보안 아키텍처 / 보안 프레임워크
보안 아키텍처 (Security Architecture)
- 정보 시스템의 무결성, 가용성, 기밀성을 확보하기 위해 보안 요소를 식별하고 이들 간의 관계를 정의한 구조
- 보안 수준에 변화가 생겨도 기본 보안 아키텍처의 수정 없이 지원할 수 있어야함
- 보안 아키텍처 모델
- 보안 계층 (Security Layers)
- 인프라 시스템
- 응용 프로그램
- 데이터 (DB)
- 단말기 (PC)
- 인터페이스
- 보안 영역 (Security Areas)
- 정보 시스템
- 제어 시스템
- 클라우드
- 무선
- IoT
- 보안 요소 (Security Elements)
- 인증
- 접근 통제
- 데이터 처리 보호
- 암호화
- 감사 추적
- 위협 탐지
- 보안 계층 (Security Layers)
보안 프레임워크 (Security Framework)
- 안전한 정보 시스템 환경을 유지하고 보안 수준을 향상시키기 위한 체계
- ISO 27001 은 정보보안 관리를 위한 국제 표준으로, 가장 대표적인 보안 프레임워크 (영국의 BSI가 제정한 BS 7799 기반)
192. 로그 분석
로그 (Log)의 개념
- 로그란 시스템 사용에 대한 모든 내용을 기록해 놓은 것
- 로그 정보를 이용하면 시스템 침해 사고 발생 시 해킹 흔적이나 공격 기법을 파악할 수 있음
리눅스 로그
- var/log 에서 시스템의 모든 로그를 기록하고 관리
- syslog.conf 파일 (로그 파일 관리)을 수정하여 로그 관련 파일들의 저장 위치와 파일명 변경 가능
193. 보안 솔루션
보안 솔루션의 개념
- 보안 솔루션이란 접근 통제, 침입 차단 및 탐지 등을 수행하여 외부로부터의 불법적인 침입을 막는 기술
- 주요 보안 솔루션
- 방화벽
- 침입 탐지 시스템
- 침입 방지 시스템
- 데이터 유출 방지
- 웹 방화벽
- VPN
- NAC
방화벽 (Firewall)
- 방화벽은 쉽게 말해 침입을 차단해주는 시스템
- 내부 네트워크에서 외부로 나가는 패킷은 그대로 통과시키고, 외부에서 내부로 들어오는 패킷은 인증된 패킷만 통과
- 외부로의 정보 유출을 막기 위해 사용
침입 탐지 시스템 (IDS, Intrusion Detection System)
- 컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지하는 시스템
- 방화벽으로는 내부 사용자의 불법적인 행동과 외부 해킹에 100% 대처할 수 없음
- 오용 탐지 (Misuse Detection) : 미리 입력해둔 공격 패턴이 감지되면 알려줌
- 이상 탐지 (Anomaly Detection) : 평균적인 시스템의 상태를 기준으로 비정상적인 행위 감지 시 알려줌
- 침입 탐지 시스템의 위치
- 패킷이 라우터로 들어오기 전 : 네트워크에 시도되는 모든 공격 탐지
- 라우터 뒤 : 패킷 필터링을 통과한 공격 탐지
- 방화벽 뒤 : 내부에서 외부로 향하는 공격 탐지
- 내부 네트워크 : 내부에서 내부 네트워크의 해킹 공격 탐지
- DMZ : 외부 인터넷에 서비스를 제공하는 서버가 위치하는 네트워크
- 침입 탐지 시스템의 위치
침입 방지 시스템 (IPS, Intrusion Prevention System)
- 방화벽 + 침입 탐지 시스템
- 패킷을 하나씩 검사한 후 비정상적인 패킷이 탐지되면 방화벽 기능으로 해당 패킷 차단
데이터 유출 방지 (DLP, Data Leakage/Loss Prevention)
- 내부 정보의 외부 유출을 방지하는 보안 솔루션
웹 방화벽 (Web Firewall)
- 일반 방화벽이 탐지하지 못하는 SQL Injection, XSS 등의 웹 기반 공격을 방어할 목적으로 만들어진 방화벽
VPN (Virtual Private Network, 가상 사설 통신망)
- 통신 사업자의 공중 네트워크와 암호화 기술을 이용하여 사용자가 마치 자신의 전용 회선을 사용하는 것처럼 해주는 보안 솔루션
NAC (Network Access Control)
- 내부 PC의 MAC 주소를 IP 관리 시스템에 등록한 후 일관된 보안 관리 기능을 제공하는 솔루션
- 일괄적인 배포 관리 기능을 이용해 백신이나 보안 패치 등의 설치 및 업그레이드 수행
ESM (Enterprise Security Management)
- 다양한 장비에서 발생하는 로그 및 보안 이벤트를 통합하여 관리하는 솔루션
- 방화벽, IDS, IPS 등에서 발생한 보안 이벤트를 통합하여 관리함으로써 비용 및 자원 절약 가능
