정보처리기사 필기 5주차 Day-4 정리(마지막)

 

Chapter 04. 시스템 보안 구축

1. 시스템 보안 설계

(1) 서비스 공격 유형

DoS 공격의 종류

공격기법	설명
SYN 플러딩 (SYN Flooding)	TCP 프로토콜의 구조적인 문제를 이용한 공격 서버의 동시 가용 사용자 수를 SYN 패킷만 보내 점유하여 다른 사용자가 서버를 사용 불가능하게 하는 공격
UDP 플러딩 (UDP Flooding)	대량의 UDP 패킷을 만들어 임의의 포트 번호로 전송하여 응답 메시지를 생성하게 하여 지속해서 자원을 고갈시키는 공격
스머프/스머핑	출발지 주소를 공격 대상의 IP로 설정하여 네트워크 전체에게 ICMP Echo 패킷을 직접 브로드캐스팅하여 마비시키는 공격
죽음의 핑 (PoD : Ping of Death)	ICMP 패킷을 정상적인 크기보다 아주 크게 만들어 전송하면 다수의 IP 단편화가 발생하고, 수신 측에서는 단편화된 패킷을 처리하는 과정에서 많은 부하가 발생하거나, 재조합 버퍼의 오버플로우가 발생하여 정상적인 서비스를 하지 못하도록 하는 공격기법
랜드 어택 (Land Attack)	출발지 IP와 목적지 IP를 같은 패킷 주소로 만들어 보냄으로써 수신자가 자기 자신에게 응답을 보내게 하여 시스템의 가용성을 침해하는 공격기법
티어 드롭 (Tear Drop)	IP 패킷의 재조합 과정에서 잘못된 Fragment Offset 정보로 인해 수신시스템이 문제를 발생하도록 만드는 DoS 공격
봉크(Bonk)/ 보잉크(Boink)	프로토콜의 오류 제어를 이용한 공격기법으로서 시스템의 패킷 재전송과 재조립이 과부하를 유발

 

DDoS 공격

DDoS 공격 구성요소 = HAMAD

구성요소	설명
핸들러(Handler)	마스터 시스템의 역할을 수행하는 프로그램
에이전트(Agent)	공격 대상에 직접 공격을 가하는 시스템
마스터(Master)	공격자에게서 직접 명령을 받는 시스템 여러 대의 에이전트를 관리하는 역할
공격자(Attacker)	공격을 주도하는 해커의 컴퓨터
데몬 프로그램(Daemon)	에이전트 시스템의 역할을 수행하는 프로그램

 

DDoS 공격 도구

DDoS 공격 도구에는 Trinoo, Tribe Flood Network, Stacheldraht가 있다.

 

DDoS 공격 대응 방안

차단 정책 업데이트

좀비PC IP확보

보안 솔루션 운영

홈페이지 보안 관리

시스템 패치

 

DRDoS 공격

DRDoS(Distributed Reflection Dos) 공격의 개념

공격자는 출발지 IP를 공격대상 IP로 위조하여 다수의 반사 서버로 요청정보를 전송, 공격 대상자는 반사 서버로부터 다량의 응답을 받아서 서비스 거부가 되는 공격

 

DRDoS 공격 절차

출발지 IP 변조 > 공격 대상자 서버로 응답 > 서비스 거부

 

애플리케이션 공격

HTTP GET 플러딩

Slowloris(Slow HTTP Header DoS)

RUDY(Slow HTTP POST DoS)

Slow HTTP Read DoS

Hulk DoS

Hash DoS

 

네트워크 서비스 공격

공격기법	설명
네트워크 스캐너(Scanner), 스니퍼(Sniffer)	네트워크 하드웨어 및 소프트웨어 구성의 취약점 파악을 위해 공격자가 사용하는 공격 도구
패스워드 크래킹 (Password Cracking)	시스템 또는 서비스의 ID와 패스워드를 크랙하기 위해서 ID와 패스워드가 될 가능성이 있는 단어를 파일로 만들어 놓고 이 파일의 단어를 대입하여 크랙하는 공격기법
IP 스푸핑 (IP Spoofing)	서버에 대한 인증되지 않은 액세스 권한을 입수하는 데 사용하는 기법
ARP 스푸핑 (ARP Spoofing)	공격자가 특정 호스트의 MAC 주소를 자신의 MAC 주소로 위조한 ARP Reply를 만들어 희생자에게 지속적으로 전송하여 희생자의 ARP Cache table에 특정 호스트의 MAC 정보를 공격자의 MAC 정보로 변경, 희생자로부터 특정 호스트로 나가는 패킷을 공격자가 스니핑하는 기법
ICMP Redirect 공격	ICMP 리다이렉트는 3계층에서 스니핑 시스템을 네트워크에 존재하는 또 다른 라우터라고 알림으로써 패킷의 흐름을 바꾸는 공격
트로이 목마 (Trojan Horses)	악성 루틴이 숨어 있는 프로그램으로 겉보기에는 정상적인 프로그램으로 보이지만 실행하면 악성 코드를 실행

 

시스템 보안 위협

버퍼 오버플로우(Buffer Overflow) 공격

버퍼 오버플로우 공격은 메모리에 할당된 버퍼 크기를 초과하는 양의 데이터를 입력하여 이로 인해 프로세스의 흐름을 변경시켜서 악성 코드를 실행시키는 공격기법이다. 

 

버퍼 오버플로우 공격 유형

유형	설명
스택 버퍼 오버플로우 공격	메모리 영역 중 Local Value나 함수의 Return Address가 저장되는 스택 영역에서 발생하는 오버플로우 공격
힙 버퍼 오버플로우 공격	프로그램 실행 시 동적으로 할당되는 힙 영역에 할당된 버퍼 크기를 초과하는 데이터를 입력하여 메모리의 데이터와 함수 주소 등을 변경, 공격자가 원하는 임의의 코드를 실행하는 공격기법

 

버퍼 오버플로우 공격 대응 방안

스택가드 활용

스택쉴드 활용

ASLR 활용

안전한 함수 활용

실행 제한

 

백도어(Backdoor) 탐지기법

프로세스 및 열린 포트 확인

Setuid 파일 검사

백신 및 백도어 탐지 툴 활용

무결성 검사

로그 분석

 

주요 시스템 보안 공격기법

공격기법	설명
포맷 스트링 공격 (Format String Attack)	인자로 하는 함수의 취약점을 이용한 공격으로 외부로부터 입력된 값을 검증하지 않고 입출력 함수의 포맷 스트링을 그래로 사용하는 경우 발생하는 취약점 공격기법
레이스 컨디션 공격 (Race Condition Attack)	둘 이상의 프로세스나 스레드가 공유자원을 동시에 접근할 때 접근 순서에 따라 비정상적인 결과가 발생하는 조건/상황
키로거 공격 (Key Logger Attack)	컴퓨터 사용자의 키보드 움직임을 탐지해서 저장하고, ID나 패스워드, 계좌 번호, 카드 번호 등과 같은 개인의 중요한 정보를 몰래 빼가는 해킹 공격
루트킷 (Rootkit)	시스템 침입 후 침입 사실을 숨긴 채 차후의 침입을 위한 백도어 등의 주로 불법적인 해킹에 사용되는 기능을 제공하는 프로그램의 모음

 

보안 관련 용어

공격기법	설명
스피어피싱 (Spear Phishing)	위장한 메일 발송 후 발송 메일 클릭 유도하여 사용자의 개인정보 탈취하는 공격기법
스미싱 (Smishing)	기업이 보낸 문자메시지처럼 가장하여 개인 비밀정보나 휴대폰 소액 결제를 유도하는 피싱 공격(사이버 사기)
큐싱 (Qshing)	큐알 코드(Quick Response Code)를 통해 악성 앱을 내려받도록 유도, 금융 정보 등을 빼내는 피싱 공격(사이버 사기)
봇넷 (Botnet)	악성 프로그램에 감염되어 악의적인 의도로 사용될 수 있는 다수의 컴퓨터들이 네트워크로 연결된 형태
APT 공격 (Advanced Persistent Threat)	특정 타깃을 목표로 하여 다양한 수단을 통한 지속적이고 지능적인 맞춤형 공격기법
공급망 공격 (Supply Chain Attack)	개발사 네트워크에 침투해 사용자 PC에 소프트웨어를 설치 또는 업데이트 시에 자동적으로 감염되도록 하는 공격
제로데이 공격 (Zero Day Attack)	보안 취약점이 발견되어 널리 공표되기 전에 해당 취약점을 악용하여 이루어지는 보안 공격
웜 (Worm)	스스로 복제하여 네트워크 등의 연결을 통하여 전파하는 악성 소프트웨어 컴퓨터 프로그램
악성 봇 (Malicious Bot)	스스로 실행되지 못하고, 해커의 명령에 의해 원격에서 제어 또는 실행이 가능한 프로그램 혹은 코드
사이버 킬체인 (Cyber kill Chain)	공격형 방위시스템으로 지능적, 지속적 사이버 공격에 대해 공격 분석 및 대응을 체계화한 APT 공격 방어 분석 모델
랜섬웨어 (Ransomware)	감염된 시스템 파일을 암호화하여 복호화할 수 없도록 하고, 암호화된 파일의 몸값을 요구 악성 소프트웨어
난독화 (Obfuscation)	코드의 가독성을 낮춰 역공학에 대한 대비를 하기 위해서 프로그램 코드의 일부 또는 전체를 변경하는 기법

 

(2) 서버 인증

서버 인증의 개념

서버 인증은 다중 사용자 시스템과 망 운영 시스템에서 접속자의 로그인 정보를 확인하는 보안 절차이다. 

 

서버 인증의 기능

스니핑 방지

피싱 방지

데이터 변조 방지

기업 신뢰도 향상

 

인증 기술의 유형 = 지소생특

유형	설명	예시
지식기반 인증	사용자가 기억하고 있는 지식	ID/패스워드
소지기반 인증	소지하고 있는 사용자 물품	공인인증서, OTP
생체기반 인증	고유한 사용자의 생체 정보	홍채, 정맥, 얼굴, 지문
특징기반 인증	사용자의 특징을 활용	서명, 발걸음, 몸짓

 

(3) 서버 접근통제

서버 접근통제의 개념

서버 접근통제는 사람 또는 프로세스가 서버 내 파일에 읽기, 쓰기, 실행 등의 접근 여부를 허가하거나 거부하는 기능이다. 

 

서버 접근통제의 목적

비인가자로부터 객체의 기밀성, 무결성, 가용성을 보장한다. 

접근통제를 위해 식별, 인증, 권한부여 기법이 적용된다. 

 

서버 접근통제 유형

유형	설명
임의적 접근통제 (DAC : Discretionary Access Control)	시스템에 대한 접근을 사용자/그룹 신분 기반으로 제한하는 방법
강제적 접근통제 (MAC : Mandatory Access Control)	사용자가 갖는 접근 허가 권한에 근거하여 시스템에 대한 접근을 제한하는 방법
역할기반 접근통제 (RBAC : Role Based Access Control)	중앙 관리자가 사용자와 시스템의 상호관계를 통제하며 조직 내 맡은 역할에 기초하여 자원에 대한 접근을 제한하는 방법

 

접근통제 보호 모델 = 벨기비무

① 벨-라파둘라 모델(BLP : Bell-LaPadula Policy)

기밀성 강조

② 비바 모델

무결성 보장

 

(4) 보안 아키텍처

보안 아키텍처(Security Architecture)의 개념

보안 아키텍처는 정보자산의 기밀성, 무결성, 가용성을 강화하기 위하여 관리적, 물리적, 기술적 보안 영역의 구성요소와 관계를 구체화한 청사진이다. 

 

보안 아키텍처 영역

관리적 보안

물리적 보안

기술적 보안

 

(5) 보안 프레임워크

보안 프레임워크 구성요소

정보보호 요소 = 컴위요기

컴플라이언스

보안 위협

비즈니스 요구사항

비즈니스 기회

 

2. 시스템 보안 구현

(2) 보안 솔루션

네트워크 보안 솔루션

솔루션	설명
방화벽(Firewall)	기업 내부, 외부 간 트래픽을 모니터링 하여 시스템의 접근을 허용하거나 차단하는 시스템
웹 방화벽 (WAF : Web Application Firewall)	웹 애플리케이션 보안에 특화된 보안장비
네트워크 접근 제어 (NAC : Network Access Control)	단말기가 내부 네트워크에 접속을 시도할 때 이를 제어하고 통제하는 기능을 제공하는 솔루션
침입 탐지 시스템 (IDS : Intrusion Detection System)	비인가 사용자에 의한 자원접근과 보안정책 위반 행위를 실시간으로 탐지하는 시스템
침입 방지 시스템 (IPS : Intrusion Prevention System)	네트워크에 대한 공격이나 침입을 실시간적으로 차단하고, 유해트래픽에 대한 조치를 능동적으로 처리하는 시스템
무선 침입 방지 시스템 (WIPS : Wireless Intrusion Prevention System)	인가되지 않은 무선 단말기의 접속을 자동으로 탐지 및 차단하고 보안에 취약한 무선 공유기를 탐지
통합 보안 시스템 (UTM : Unified Threat Management)	방화벽, VPN 등의 다양한 보안 기능을 하나의 장비로 통합하여 제공
가상사설망 (VPN : Virtual Private Network)	인터넷과 같은 공중망에 사설망을 구축하여 마치 전용망을 사용하는 효과를 가지는 보안 솔루션

 

https://book.naver.com/bookdb/book_detail.nhn?bid=15910265

수제비 정보처리기사 필기