4. 시스템 보안 구축

서비스 공격 유형

구분	수동적 공격	능동적 공격
설명	네트워크나 시스템의 정보를 보기만 하는 것	네트워크나 시스템의 취약점을 이용해 데이터를 변조하거나 수정하는 것
특징	- 방어 가능 - 탐지 불가능 - 취약점을 이용 X	- 원칙정 방어 어려움 - 탐지 가능 - 수정 가능 - 취약점을 이용하여 변경, 변조
공격 예	- 시스템 사용자가 비밀번호를 칠 때 도청 - 메시지 내용 개봉 - 트래픽 분석 - 나중에 분석하기 위해 데이터 캡쳐	- 다른 사람의 계정으로 로그인 시도 - 네트워크  케이블에 wire-tap을 설치하여 잘못된 메시지 발생 - 서비스 거부 공격 - 위장 - 메시지 변조
예방책	- 네트워크 케이블과 구성 요소 보호 - 암호화 - Traffic Padding	- 예방적 차원이 아닌 탐지 및 교정

 

수동적 공격

   1) 스니핑 (Sniffing)

      - 네트워크상에 지나다니는 패킷들을 캡쳐하여 그 안에 있는 내용을 들여다보는 기술

      - 이런 시니핑을 할 수 있도록 도와주는 도구: 스니퍼(Sniffer)

 

   2) 스니핑의 종류

      - 다른 이의 대화를 엿듣는 것

      - 도청 (Eavesdropping)

      - 전기적 신호를 분석해 정보를 찾아내는 것

 

능동적 공격

   1) 세션 가로채기 공격

      ① IP Spoofing

         - 다른 컴퓨팅 시스템인 것처럼 가장 하기 위해 거짓 소스 IP주소로 인터넷 프로토콜 패깃을 만드는 일

      ② DNS Spoofing

         - 실제 도메인 네임 시스템(DNS) 서버를 해킹하거나, 위조 DNS  서버를 설치하여 공격하는 방법

         - 사용자가 질의한 도메인 이름에 대해 고의로 잘못된 인터넷 프로토콜(IP) 주소를 응답으로 보내

           사용자가 잘못된 사이트에 접속하게 하여 개인정보 등의 정보를 탈취

 

   2) DoS (Denial of Service)

      ① Teardrop

         - 서비스 거부 공격(DOS) 중 하나

         - 공격 대상 컴퓨터에 헤더가 조작된 일련의 IP패킷 조각(IP fragments)들을 전송함으로써

           컴퓨터의 OS를 다운시키는 공격

	fragment1	fragment2	fragment3
정상적인 fragment offset	1 ~ 100	101 ~ 200	201 ~ 300
TearDrop 후 fragment offset	1 ~ 100	77 ~ 177	201 ~ 300

      ② Smurf 공격 (스머프 / 스머핑 공격)

         - 희생자의 스푸핑된 원본 IP를 가진 수많은 인터넷 제어 메시지 프로토콜(ICMP) 패킷들이

            IP 브로드캐스트 주소를 사용하여 컴퓨터 네트워크로 브로드캐스트하는 분산 서비스 거부 공격

      ③ TCP SYN Flodding 공격

         - TCP의 초기 연결과정인 TCP 3-way Handshaking을 이용한 보안공격

         - TCP 연결설정 과정의 취약점을 이용한 보안공격

      ④ DDoS (Distributed Dos)

         - 여러 대의 공격자를 분산적으로 배치해 동시에 서비스 거부 공격을 하는 공격방법

트리누 공격	통합된 UDP Flood 서비스 거부 공격을 유발하는 데 사용되는 도구
TFN 공격	UDP Flood, TCP SYN Flood, ICMP Echo 요청 공격, SMURF 공격 기능
Stacheldraht 공격	트리누 공격, TFN 공격
TFN2K 공격	TFN의 발전된 형태, 특정 포트 사용하지 않고 암호화 수행

 

정보 보안 침해 공격 관련 용어

웜	주로 네트워크에서 연속적인 복사 기능을 수행함으로써 자가 증식해 기억장치를 소모하거나 저장된 데이터를 파괴하는 프로그램
랜섬웨어	사용자 컴퓨터 시스템에 침투하여 중요파일에 대한 접근을 차단하고 금품(ransom)을 요구하는 악성 프로그램 금품을 뜻하는 ransom과 제품을 뜻하는 ware의 합성어
백도어	원래는 네트워크 관리자가 외부에서도 시스템을 점검할 수 있도록 빈틈을 만들어둔 데서 시작되었지만 최근에는 해킹에 취약한 부분을 일컫는 용어로도 사용
트로이목마	컴퓨터에 숨어 있다가 사용자의 정보를 몰래 유출하는 악성코드의 일종 정산적인 파일(게임, 응용S/W 등)에 포함되어 함께 설치되는 경우가 많음 그리스 신화 트로이 목마에서 유래한 개념

 

시스템 인증

   1) 시스템 인증 개념

      - 인증(authentication)은 참이라는 근거가 있는 무언가를 확인하거나 확증하는  행위

      - 어떤 대상을 인증하는 것 = 출처를 확인하는 것 

        어떤 사람을 인증하는 것 = 사람들의 신분을 구성하는 것

      - 하나 이상의 인증 요인에 따라 달라질 수 있음

      - 컴퓨터 시스템 보안에서 인증은 로그인 요청 등을 통해 통신상에서 보내는 사람의 디지털 정체성을

        확인하는 시도의 과정

 

   2) 시스템 인증 방법

      - 알고 있는 것 (Something You Know): 머릿속에 기억하고 있는 정보

        (당신이 태어난 곳?)

      - 가지고 있는 것 (Something You Have): 신분증, OTP(One Time Password)와 같은 장치

      - 스스로의 모습 (Something You Are): 홍채, 지문과 같은 생채 정보

      - 위치하는 곳 (Somewhere You Are): 현재 접속을 시도하는 위치의 적절성

 

접근 통제

접근 통제 모델
DAC	- Discretionary Access Control - 임의적 접근 통제 - 정보 소유자가 정보의 보안 수준을 결정하고 그에 대한 접근 통제까지 설정하는 모델 - 중앙 집중화된 정보 관리가 어렵다
MAC	- Mandatory Access Control - 강제적 접근 통제 - 중앙 집중화된 정보 관리 - Bell-LaPadula 모델, Biba 모델
RBAC	- Role-Based Access Control - 역할 기반 접근 통제 - 사람이 아닌 직책에 따라 권한을 부여하는 것

 

보안 솔루션

   1) 네트워크의 방화벽

      - 보안을 높이기 위한 일자적인 방법

      - 신뢰하지 않는 외부 네트워크와 신뢰하는 내부 네트워크 사이를 지나는 패킷을 미리 정한 규칙에 따라

         차단하거나 보내주는 기능을 하는 하드웨어나 소프트웨어

 

   2) 접근 제어

      - 관리자가 통과시킬 접근과 거부할 접근을 명시하면 방 화벽이 그에 따라 수행

      - 구현 방법에 따라 패킷 필터링(packet filtering) 방식, 프록시(proxy) 방식으로 나뉨

      - 접근 제어를 수행하는 룰셋(rule set)은 방화벽을 기 준으로 보호하려는 네트워크의 외부와

         내부에 존재하는 시스템의 IP 주소와 포트로 구성

 

   3) 로깅과 감사 추적

      - 방화벽은 룰셋 설정과 변경, 관리자 접근, 네트워크 트래픽의 허용 또는 차단과 관련한 사항을

         로그에 남김

      - 사고 발생 시 출입자를 확인하여 추적을 하기 위함

 

   4) 침입 탐지 시스템(IDS)

      - 침입 탐지 시스템은 네트워크를 통한 공격을 탐지하기 위한 장비

      - 내부의 해킹이나 악성 코드 활동 탐지와 같이 방화벽이 하지 못하는 일을 수행

      - 설치 위치와 목적에 따라 호스트 기반의 침입 탐지 시스템과

         네트워크 기반의 침입 탐지 시스템으로 구분

 

   5) 침입 방지 시스템(IPS)

      - 방화벽이 공격을 차단하는 비율: 30%

      - 공격에 대한 능동적인 분석과 차단을 수행하기 위해 개발된 시스템

 

   6) VPN

      - 방화벽, 침입 탐지 시스템과 함께 사용되는 가장 일반적인 보안 솔루션

      - 기업 내부의 네트워크에서 주고받는 데이터는 외부로 유출되면 안 되는 경우가 많아

         기업 내의 데이터 통신에는 인터넷과 구분된 별도의 임대 회선을 사용

      - 고가의 임대 회선 대신에 인터넷 회선을 임대 회선처럼 사용할 수 있게 해주는 솔루션

 

   7) NAC

      - Network Access Control

      - IP 관리 시스템에서 발전한 솔루션

구분	기능
접근 제어 및 인증	- 내부 직원 역할 기반의 접근 제어 - 네트워크의 모든 IP 기반 장치 접근 제어
PC 및 네트워크 장치 통제	- 백신 관리 - 패치 관리 - 자산 관리 (비인가 시스템 자동 검출)
해킹, 웸, 유해 트래픽 탐지 및 차단	- 유해 트래픽 탐지 및 차단 - 해킹 행위 차단 - 완벽한 증거 수집

 

   8) 보안 운영체제(Secure OS)

      - 운영체제에 내재된 결함으로 발생할 수  있는 각종 해킹으로부터 시스템을 보호하기 위해 보안 기능이 통합된 보안 커널을 추가로 이식한 운영체제

      - 일반적인 서버: 가용성이 우선

         보안 운영체제: 기본적으로 열러있는 취약 서비스 모두 차단

      - 일정 수준의 CPU를 점유하므로 성능이 중요할 때는 신중하게 도입

 

정리하기

1. 서비스 공격 유형
   - 수동적 공격: 네트워크나 시스템의 정보를 보기만 하는 것
      > 스니핑(Sniffing), 스니퍼(Sniffer)
   - 능동적 공격: 네트워크나 시스템의 취약점을 이용해 데이터를 변조하거나 수정하는 것
      > 세션 가로체기 (IP Spoofing, DNS Spoofing)
      > DoS: Teardrop, Smurf, TCP SYN Flodding, DDoS

2. 정보 보안 침해 공격 관련 용어
   - 웜, 랜섬웨어, 백도어, 트로이목마

3. 시스템 인증
   - 인증(authentication)은 참이라는 근거가 있는 무언가를 확인하거나 확증하는  행위
   - 인증 방법
      > 알고 있는 것 (Something You Know)
      > 가지고 있는 것 (Something You Have)
      > 스스로의 모습 (Something You Are)
      > 위치하는 곳 (Somewhere You Are)

4. 접근 통제
   - DAC, MAC, RBAC

5. 보안 솔루션
   - 네트워크의 방화벽
   - 접근 제어
   - 로깅과 감사 추적
   - 침입 탐지 시스템(IDS)
   - 침입 방지 시스템(IPS)
   - VPN
   - NAC
   - 보안 운영체제(Secure OS)