[정처기] 정보 보안

■ 정보 보안 3대 요소

- 기밀성: 시스템 내 정보 자원은 인가된 사용자에게만 접근 허용
- 무결성: 오직 인가된 사용자만이 시스템 내 정보 수정 가능
- 가용성: 인가된 사용자는 권한 범위 내에서 언제든 자원 접근 가능 + 인증 (사용자의 신분 확인) / 부인방지 (부인할 수 없도록 송・수신 증거 제공)
 

■ AAA (Triple-A)

- 인증 (Authentication): 사용자가 네트워크 접속 전에 시스템에서 사용자 신원 확인
- 권한부여 (Authorization): 검증된 사용자에게 사용가능한 접근 권한 확인
- 계정관리 (Accounting): 사용자의 자원 사용에 대한 정보 수집 (과금, 감사, 보고서)
 

■ 양방향 암호화 방식

	대칭키 / 비밀키 / 개인키		비대칭키 / 공개키
특징	동일한 키로 데이터를 암호화/복호화		암호화 키는 DB 사용자에게 공개 복호화 키는 비밀키로 관리자만
	블록 (Block) 2 bit 이상 연산	스트림 (Stream) 1 bit 씩 연산
종류	DES, AES, SEED, ARIA IDEA, LEA	RC4, LFSR	소인수분해: RSA, Rabin 이산대수: Diffie-Hellman, DSA 타원곡선: ECC
키 개수	N(N-1)/2 개		2N 개
장점	알고리즘 단순 암호/복호화 속도 빠름		키 분배 용이 관리해야할 키의 수 적음
단점	관리해야할 키의 수 많음		알고리즘 복잡 암호/복호화 속도 느림

※ 양방향 암호화 종류
- DES: IBM에서 개발, 미국 NBS에서 국가 표준으로 발표, 전사 공격에 취약, 블록 64bit, 키 56bit
- AES: SNP 암호 방식 사용, 레인달 기반 암호화 (128/192/256 bit)
- SEED: 국내 개발 개인키 (128/256 bit)
- ARIA: 국가보안기술연구소(NSRI) 주도 개발 (128/192/256 bit)
- IDEA: PES 대체 스위스 개발, 블록 64bit, 키 128
- LEA: 국내 NSRI 개발
- Skipjack: 미국 NSA 개발 (전화기)
- RC4: Ron Rivest가 설계한 스트림 암호화 (옥텟 단위 기반)
- LFSR: 선형 연산을 통한 다음 상태 생성 / 스트림 기반 난수 생성 활용
- RSA: MIT 공개키 암호화 / 소인수분해 어려운 큰 소수 숫자 활용
- Rabin: Rabin 개발 (소인수분해) / RSA보다 빠름
- Diffie-Hellman: 두 사용자가 사전에 어떤 비밀 교환 없이도 공통키를 교환 가능
- DSA: 미국 표준 디지털 서명 알고리즘
- ECC: 타원곡선 이론에 기반한 공개 키 암호 방식
 

■ 단방향 암호화 방식 - 해시함수 (Hash)

- 해시 알고리즘(해시 함수)로 불리며, 해시 함수로 변환된 값/키를 해시값/키라고 함
- 임의의 길이의 입력 데이터를 받아 고정된 길이의 해시 값을 변환함 (단방향 함수)
- 종류: SHA 시리즈 / HAVAL / MD4 / MD5 / N-HASH / SNEFRU

중첩법(폴딩법)	레코드 키를 여러 부분으로 나누고, 나눈 부분의 각 숫자를 더하거나 XOR 한 값을 홈 주소로 사용하는 방식
제산법	레코드 키로 해시표의 크기보다 큰 수 중에서 가장 작은 소수로 나눈 나머지를 홈 주소로 삼는 방식
기수변환법	키 숫자의 진수를 다른 진수로 변환시켜 주소 크기를 초과한 높은 자릿수는 절단하고, 이를 다시 주소 범위에 맞게 조정하는 방식
숫자분석법	키 값을 이루는 숫자의 분포를 분석하여 비교적 고른 자리를 필요한 만큼 택해서 홈 주소로 삼는 방식

 

■ 서비스 공격 유형

서비스 거부 공격(DOS: Denial of Service)	대량의 데이터를 한 곳의 서버에 집중적으로 전송하여 표적이 되는 서버의 정상적인 기능을 방해
분산 서비스 거부 공격(DDOS)	여러 대의 장비에서 한 곳의 서버에 분산 서비스 공격 수행 (종류: Trinoo, Tribe Flood Network, Stacheldraht)
Ping of Death	Ping 명령을 전송할 때 허용범위 이상의 ICMP 패킷을 전송하여 대상 시스템의 네트워크를 마비
Ping Flooding	과도한 ICMP 메시지에 의한 응답 과다로 시스템 에러 유발
SYN Flooding	SYN 패킷 신호만 전송하여 각 서버의 가용 사용자 수를 선점 후 다른 사용자의 서버 접근을 차단
UDP Flooding	다량의 UDP 패킷을 전송하여 네트워크 자원을 고갈

Smurfing(스머핑)	IP / ICMP 특성을 악용하여 엄청난 양의 데이터를 한 사이트에 집중적으로 보내 네트워크를 불능 상태로 만듬
TearDrop	Fragment number 값을 변형하여 수신측에서 패킷 조립 시 오류로 인한 과부하로 시스템 다운을 유도
LAND Attack	송/수신 IP 주소를 모두 타켓 IP주소로 하여 자기 자신에게 무한히 응답하게 하는  공격
Evil twin attack	악의적 사용자가 지인/유명인 사칭하여 로그온한 사용자의 계정 정보 및 신용 정보 탈취
Switching Jamming	위조된 매체 접근 제어(MAC) 주소를 지속 보내 스위치 MAC 주소를 혼한시켜 더미 허브처럼 작동

 

 

■ 정보 보안 솔루션

방화벽 (Firewall)	- 내부 → 외부로 나가는 패킷은 그대로 통과 - 외부 → 내부로 유입되는 패킷은 인증된 패킷만 통과
웹 방화벽 (Web Firewall)	일반 방화벽은 탐지 불가한 SQL 삽입 공격, XSS 등 웹 기반 공격을 방어하는 목적으로 웹 서버에 특화된 방화벽
침입 탐지 시스템 (IDS: Intrusion Detection System)	시스템의 비정상적인 사용/오용/남용 등을 실시간 탐지
침입 방지 시스템 (IPS: Intrusion Prevention Syetem)	- 방화벽 + 침입 탐지 시스템 - 비정상적 트래픽/패킷을 능동적으로 차단하고 격리
데이터 유출 방지 (DLP: Data Loss Prevention)	- 내부 정보의 외부 유출을 방지 - 사내 직원이 사용하는 시스템의 모든 정보 탐지/통제
VPN (가상 사설 통신망)	공중 네트워크 암호화 기술을 이용하여 사용자가 마치 자신의 전용 회선을 사용하는 것처럼 하게 함
NAC (Network Access Control)	네트워크에 접속하는 내부 PC의 MAC 주소를 IP 관리 시스템에 등록한 후 일관된 보안 관리 기능을 제공
ESM (Enterprise Security Management)	상기 보안 솔루션에서 발생한 로그 기록을 통합하여 관리 → 종합적인 보안 관리 체계 수립 가능

SIEM (Security Information & Event Management)	보안 경고의 실시간 분석 제공 / 로그 및 이벤트 통합 관리 / 빅데이터 기반 보안 솔루션
SDP (Software Defined Perimeter)	'블랙 클라우드'라 불림 / GIG 네트워크 우선권에 따라 DISA에서 수행한 작업에서 발전
Sandbox	외부에서 유입된 프로그램이 보호된 영역에서 동작해 시스템이 부정하게 조작되는 것을 막는 보안 형태
FDS (Fraud Detection System)	금융거래의 이상 거래 탐지 및 차단
템퍼 프루핑	SW의 위・변조 시 SW 오작동시켜 악용 방지 해시함수, 핑거 프린트, 워터마킹 등 보안 요소 생성 후 보호
Trust Zone	독립적 보안 구역을 따로 두어 중요한 정보를 보호하는 하드웨어 기반의 보안 기술

※ 침입 탐지 시스템 (IDS: Intrusion Detection System)
- 시스템의 비정상 사용/오용/남용 등을 실시간 탐지
- 오용 탐지: 사전에 정립되어 입력해 둔 공격 패턴 감지 시 통보
- 이상 탐지: 평균적인 상태 기준에서 비정상적 행위 또는 자원의 사용 감지 시 통보
[종류]
① HIDS(Host-based): 시스템 내부 감시/분석, 내부 변화를 실시간으로 감지하여 외부 침입자 작업 기록 및 추적 → OSSEC, md5deep, AIDE, Samhain
② NIDS(Network-based): 외부 침입 감시/분석, 네트워크 트래픽 감시 → Snort, Zeek

- IDS 설치 가능 위치: 패킷 라우터로 들어오기 전 / 라우터 뒤 / 방화벽 뒤 / DMZ(외부 인터넷에 서비스 제공하는 서버가 위치하는 네트워크)
 

■ 정보 보안 프로토콜

• SSH (Secure SHell)
  • 서로 연결된 컴퓨터 간 원격 명령실행 및 셀 서비스 수행
  • 키를 통한 인증은 클라이언트의 공개키를 서버에 등록해야 함
  • 전송 데이터는 암호화되며, 기본적으로 22번 포트 사용
• SSL (Secure Socket Layer)
  • 웹 브라우저 ⟺ 서버 간 안전한 데이터 전송 목적
  • https로 시작 / 443번 포트 사용
• TLS (Transport Layer Security)
  • SSL의 개선 버전
  • 인터넷 커뮤니케이션을 위한 개인 정보와 데이터 무결성을 제공하는 보안 프로토콜
• IPSec
  • IP 네트워크 계층을 안전하게 보호하기 위한 보안 프로토콜 → 전송 모드 (트래픽 경로 유출 가능) / 터널 모드 (패킷 전체)
• S-HTTP
  • 기존 HTTP의 보안 확장
  • 웹상에서 네트워크 트래픽을 암호화
• TKIP (Temporal Key Integrity Protocol)
  • 임시 키 무결성 프로토콜
  • WEP 취약성을 보안하기 위해 암호 알고리즘의 입력 키 길이를 128비트로 늘림

 

■ 코드 오류

생략 오류	입력시 한 자리를 빼놓고 기록	ABCD → ABD_
필사 오류	임의의 한 자리를 잘못 기록	ABCD → ABFD
전위 오류	입력 시 좌우 자리를 바꿔어 기록	ABCD → ACBD
이중 오류	전위 오류가 두 가지 이상 발생	ABCD → CABD
추가 오류	입력 시 한 자리 추가로 기록	ABCD → ABCDE
임의 오류	다른 오류가 두 가지 이상 결합	ABCD → ACBDF

 

■ ISMS (Information Security Management System)

- 정보보호 관리 체계: 정보 자산을 안전하게 보호하기 위한 보호 절차와 대책 확보, 조직에 맞는 정보보호 정책을 수립하고 위럼에 상시 대응가능한 보안 대책 통합 관리
 

■ 다크 데이터 (Dark Data)

- 특정 목적으로 수집된 데이터가 활용되지 않고 저장만 되어 있는 대량의 데이터
 

■ 정보 보안 침해 공격

해킹	시스템에 침입해 정보를 수정하거나 빼내는 행위
크래킹	시스템에 침입해 정보를 파괴하거나 변경하는 행위
좀비 PC	악성코드에 감염되어 다른 컴퓨터를 조종하는 행위
C&C 서버	해커가 감염된 좀비 PC에 명령을 내리고 악성코드를 제어하기 위한 용도로 사용하는 서버
웜(Worm)	다른 컴퓨터의 취약점을 이용하여 스스로 전파하거나 메일로 전파되며 스스로를 증식 (독자적으로 실행 가능)
바이러스	파일, 메모리 영역에 자신을 복제(기생)하는 악성 프로그램 (독자적으로 실행 불가)
트로이목마	정상적인 프로그램으로 가장하여 숨어 있는 바이러스 (복제X)
백도어	보안이 제거된 비밀통로로 무단 접근을 위한 통로(뒷문) ★ 탐지 방법: 무결성 검사, 로그 분석, SetID 파일, 열린 포트 검사
랜섬웨어	내부 문서 파일 등을 암호화해 사용자가 열지 못하게 하고 이를 인질로 금전을 요구하는데 사용되는 악성 프로그램
APT  (Advanced Persistent Threat)	지능형 지속 공격 특정 개인 및 조직을 타겟으로 침투 후 내부 서버 제어권 획득하여 무력화된 시스템 상의 데이터 수집

Qshing (큐싱)	QR코드를 통해 악성 앱 다운을 유도하거나 설치
XSS (Cross Site Scripting)	브라우저 스크립트 취약점을 악용 특정 링크 클릭 시 악성 스크립트 실행되어 개인 정보 탈취
CSRF (Cross-Site Request Forgery)	사용자가 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격
제로 데이 공격	발견된 취약점의 존재를 공표하기 전에 해당 취약점으로 이용한 보안 공격 (해킹의 신속성)
스니핑	패킷을 엿보면서 계정 정보(ID/PW)를 가로채는 행위
스푸핑 (Spoofing)	검증된 사람이 네트워크를 통해 데이터를 보낸 것처럼 데이터를 변조하여 접속을 시도하는 일종의 속임수 - IP Spoofing: 공격자가 자신의 IP 주소를 다른 주소로 위장 - ARP Spoofing: 공격자가 MAC 주소를 다른 컴퓨터 주소로 위장 - DNS Spoofing: DNS IP 주소를 중간에서 조작하여 위장
세션 하이재킹	서버에 접속하고 있는 클라이언트들의 세션 정보를 가로채는 공격 Reset 패킷을 통해 강제 종료시킨 후 재연결 시 침입자에게 연결
스피어 피싱	불특정 다수에게 메일 발송 후 가짜 위장 사이트로 유인한 후 금융기간 관련 개인 정보를 빼내는 행위
스미싱	문자 메시지(SMS) 통한 사용자 개인 신용 정보 탈취
파밍	금융기관의 도메인 주소(DNS)를 중간에 가로채 사용자가 금융기관 사이트에 접속한 듯 착각하게 하여 개인정보 탈취

타이포스쿼팅	사용자가 웹 URL 주소를 잘못 입력하는 실수를 악용
웨일링	CEO, 고위 경영진, 연예인 등 유명인사를 타킷으로 한 스피어 피싱
키로거	키 입력 캐치 프로그램을 이용하여 개인정보를 뺴내어 악용하는 행위
버퍼 오버플로우	할당된 메모리의 범위를 넘어선 위치에서 자료를 사용할 때 발생
SQL 삽입 공격	임의의 SQL 문을 주입하고 실행되게 하여 데이터베이스가 비정상적인 동작을 하도록 조작하는 코드 삽입 공격
Brute Force Attact (무작위 대입 공격)	가능한 모든 문자열 조합으로 암호키 탈취
Watering Hole Attack	타겟이 주로 방문하는 웹 사이트 감염시킨 후 해당 타겟이 감염된 웹사이트 방문할 때까지 기다리는 공격
Bluebug	블루투스 연결 취약점을 이용한 공격
Credential Stuffing	공격자가 여러 가지의 경로로 수집한 사용자들의 로그인 인증 정보(Credential)를 다른 사이트의 계정 정보에 무작위 대입(Stuffing)
Island Hopping	타겟 기업을 침해하기 위해 보안이 더 취약한 협력사, 파트너 기업의 네트워크를 해킹

사회 공학	컴퓨터 보안에 있어서 인간 상호 작용의 깊은 신뢰를 바탕으로 사람들을 속여 보안 절차를 깨뜨리기 위한 비기술적 침입 수단
Rootkit	- 권한이 없는 사용자가 접근할 수 없는 영역에 접근하여 시스템을 제어하도록 설계한 악성 소프트웨어의 모음 - 해킹에 사용되는 기능들을 제공하는 프로그램들의 모음