주요 토픽 정리 211~240 [보안]

 

토픽	키워드	두음신공	주요 내용
피싱	위장 사이트 접속 유도		(정의) 정보, 금품 탈취를 위해 이메일/메신저 등을 통해 위장 사이트로 접속을 유도하는 방법 * 메신저 피싱 : 메신저(버디관계) 이용 / 보이스 피싱 : 전화 이용 / 비싱(Vishing) : VoIP 이용
액티브 피싱	중간에서 양쪽 다 속이기		(정의) MITM 피싱, 사용자가 입력한 정보를 중간에서 가로채서 사용자에게는 공격자가 실제 웹 사이트인 것처럼 속이고, 웹 사이트에게는 공격자가 정상 사용자인 것처럼 속이는 피싱 공격 (특징) 기존 피싱 방지 기술인 2채널 인증, OTP로 방지가 어려움
파밍	DNS, host 파일 변경		(정의) 정보, 금품 탈취를 위해 DNS 변경을 통해 위장 사이트로 접속을 유도하는 방법 (기법) DNS 주소 변조, host 파일 변경, DNS 서버 설정 변경
스미싱	문자 메시지, 링크		(정의) 정보, 금품 탈취를 위해 문자 메시지의 링크를 통해 불법 사이트 접속을 유도 하여 불법 프로그램을 설치하게 하는 방법
허니팟	공격 유인		(정의) 공격자의 침입 패턴, 기법, 시스템 취약성을 분석/개선하기 위해 의도적으로 취약하게 구성한 시스템(로깅, 탐지, 분석) * 허니넷 : 일반시스템, 보안솔루션, Honeypot 시스템으로 구성된 Network Architecture
좀비쿠키	Privacy 공간에 저장되는 슈퍼쿠키		(정의) 사용자의 활동 및 개인정보 획득위한 일반 쿠키와 다른 Privacy 공간에 저장되는 쿠키(슈퍼 쿠키, 플래시 쿠키) (저장소) HTML5 Storage, Adobe Flash, MS Silverlight (대응 방안) 백신, 플러그인 설정 제어, Firefox, MAC OS
APT(Advanced Persistent Threat)	지능/지속/조직적, 스피어 피싱, 제로데이 공격		(정의) 특정 대상을 타겟으로 다양한 IT 기술을 이용하여 지능적/지속적/조직적인 공격을 하는 행위 (공격 방식) 스피어 피싱(특정인), 난독화(악성코드 자기방어), 제로데이 공격(PDF 취약점) (공격 단계 및 기법) 사전 조사→침투(제로데이 취약점, 사회공학)→탐색(은닉)→수집(권한 상승, 지속적 유출)→유출→종료(로그/흔적 삭제)
익스플로잇(Exploit)	개발 과정의 취약점		(정의) SW/HW 등의 버그나 개발 과정에서의 취약점을 이용하여 공격자가 의도한 명령을 실행하도록 만든 명령어 (특징) 대규모 공격, 제로데이공격, DDoS 공격의 봇으로 사용
시큐어 코딩	개발 과정의 취약점 제거	입보시에코캡A	(정의) 설계/구현 단계에서 공격 유발 가능성이 있는 취약점을 사전 제거하여 안전한 SW를 개발하는 기법 (보안 취약점 유형) . 입력데이터 검증 및 표현 : SQL Injection, Xss, 버퍼 오버플로우 → 인자화된 질의문 사용, ReplaceAll() . 보안 기능 : 부적절한 인가, 패스워드 하드 코딩, 취약 암호화 알고리즘 . 시간 및 상태 : Dead lock, 세션 고착, 종료되지 않은 반복문 → 상호배제, thread safe 함수 . 에러처리 : 정보 노출, 부적절한 예외처리 . 코드 오류 : 부적절한 자원해제, 초기화되지 않은 변수 사용 → 변수 타입 확인, 반환값 크기 확인, 자원 사용 후 반드시 해제 . 캡슐화 : 제거하지 않은 디버그 코드 . API 오용 : 취약한 API 사용, gets(), J2EE의 System.exit()
소프트웨어 난독화	역공학 방지	레데컨프	(필요성) 불법복제방지, 해킹방지, 역공학 방지, SW 임의조작 방지, 쏘쓰코드 중량화 (정의) 프로그램의 역공학 분석을 어렵게 하기 위한 기법, 일반적인 형태의 명령어 및 소스를 의미는 동일하지만 해석하기 어렵도록 변환 (절차) 어휘/구문/의미 분석 → 난독화 → 난독화 쏘쓰코드 생성 (기술) . 배치(Layout) 난독화(세부적인 요소 변환), 자료(Data) 난독화(변수 변환), 제어(Control) 난독화(계산/집합/순서 변환) . 방지(Prevention) 난독화(역난독화 대응, Inherent(역난독화 프로그램에 가짜 데이터 반환), Targeted(역난독화 프로그램에 충돌 유발))
OWASP(Open Web Application Security Project)			(정의) 비영리 공개 커뮤니티 기관에서 웹 애플리케이션 취약점 중에서 빈도가 많이 발생하고, 보안상 영향을 크게 줄 수 있는 것들 10가지를 선정하여 발표하는 프로젝트
XSS(Cross Site Script)	Reflected, Stored, DOM		(정의) 게시판이나 웹 메일등에 악성 스크립트를 삽입하여 쿠키 및 기타정보를 특정사이트로 전송하는 해킹기법 (공격유형) Reflected(메일 등 이용), Stored(게시판 등에 저장), DOM(구문 분석 시 실행) (대응방안) 개발자 : AntiXSS, 시큐어 코딩, 입출력값 무효화 / 사용자 : 이메일 보안, 보안 패치
Blind SQL Injection	참/거짓 응답 차이		(정의) 쿼리 결과의 참과 거짓에 따른 응답 차이를 이용하여 DB 정보를 추출 (사례) admin' and substr(select…from…where…limit. . ), 1, 1='a'# → 참이면 첫번째 값은 'a', 거짓이면 ='b'#로 다시. . (대응 방법) 시큐어 코딩(구문 체크), 권한 최소화, static SQL 지향
부채널 공격	물리적 요소 기반 공격		(정의) 암호 체계의 물리적 구현 과정의 정보(소요 시간 정보, 소비 전력, 방출하는 전자기파, 소리, 열 등)를 기반으로 하는 공격 (대응 방법) . 신호 크기 감소 : 부채널 정보의 신호 크기 감소 . 무작위성 기법 : 랜덤값 주입, 실행 시간 무작위, 실행 순서 변경 . 중요정보숨김 기법 : 메시지나 키 같은 중요정보를 연산 과정에서 숨김, 별도 연산 과정(Blinding Operation) 추가
DDoS	세션/웹서버 자원/대용량 소진 공격		(정의) 다수의 분산된 시스템(좀비)을 이용하여 Flooding 공격을 수행하는 분산 서비스 거부 공격기법 (유형) 세션 공격(TCP flooding, Syn flooding), 웹서버 자원 공격(HTTP flooding, Slowloris), 대용량 소진 공격(UDP/ICMP flooding) (구성요소) Attacker, Master, Agent, Victim (대응 방법) . Syn Proxy 기능 사용 : 사용자는 보안장비와 세션 맺음 . Cookie 기능 사용 : 서버는 Syn+Ack(Cookie)으로 응답하고 세션 형성 안함, Syn 응답 받은 후 Cookie 정보 이용하여 세션 연결 . C&C 서버와의 통신 차단, 비정상 IP에 대한 ACL 설정, 해외 트래픽 차단(null 라우팅) . 불필요 서비스 차단(UDP/ICMP)
DRDoS	정상 서버(Reflector) 활용		(정의) 별도 에이전트 설치 없이 출발지 IP를 공격 대상 IP로 위조하고 정상 서버를 활용하는 분산 서비스 거부 공격기법 (특징) 소스 IP Spoofing, 공격자 추적 어려움, 봇 감염 불필요, 경유지 서버 활용 (구성요소) Attacker, Reflector, Victim (방법) 소스 IP를 타켓 IP로 위조하여 다수의 정상 운영 시스템에 Syn을 보냄
Slow Read DoS Attack	수신버퍼 0, 느리게 응답		(방법) 정상적인 HTTP 요청을 보낸 후, 수신버퍼(rwnd)를 0으로 설정하여 서버가 느리게 응답하게 함
Slowloris	불완전한 GET 요청		(방법) 불완전한 HTTP GET 요청을 계속 보내 서버가 완전한 헤더를 계속 기다리게함
Slow HTTP POST Attack	Content-Length 크게, 느린 전송		(방법) HTTP POST의 Content-Length를 큰 값으로 보내고, 데이터를 느리게 전송하여 서버 커넥션을 유지함
HashDoS	매개변수, 해시 충돌 유도		(대상) HTTP GET, POST 메시지에 포함된 매개변수(Parameter)의 효과적인 관리를 위해 해시구조를 사용하는 웹서버 대상 (방법) 다량의 조작된 매개변수를 전달하여 해싱 충돌 유도, 서버 CPU 사용량 100% 도달
TCP Syn Flooding	다수 half-open		(방법) 다수의 half-open TCP 연결(syn+ack에 응답안함)을 만들어 서버의 Listen 큐를 가득 채움 (대응법) 서버의 백로그 큐 증가, halp-open time 작게 설정
Smurfing	ICMP request Broadcast		(방법) 소스 IP를 타켓 IP로 위조하여 ICMP echo request를 Broadcast 주소로 보냄 (대응법) 라우터의 Direct Broadcast 기능 disable
SPF(Sender Policy Framework)	스팸메일 방지, DNS SPF 레코드		(정의) 스팸메일 방지를 위해 메일헤더 IP와 실제 메일발송서버 IP를 송신 DNS를 통해 비교/확인하여 발송자 정보의 위변조를 검증하는 기술 (검증) 송신 DNS로 SPF 레코드를 Lookup하여 검증
RPD(Recurrent Pattern Detection)	스팸메일 방지, 메일 배포 패턴		(정의) 전 세계의 메일 트래픽 정보를 수집하고, 메일의 배포 패턴으로 위험성을 분류하여 필터링하는 방법 (과정) 메일을 받은 메일 서버는 RPD 엔진으로 수신 메일의 패턴을 보내고 검증 받음 * Recurrent : 되풀이 되는, 반복되는
컴퓨터 포렌식	법적 증거 확보	정재신연무, 수증보분결	(정의) 법적 증거 확보를 위해 디지털 정보를 수집, 분석, 보고서 작성하는 작업 (원칙) 정당성의 원칙(절차 적법성), 재현의 원칙(동일 조건, 동일 결과), 신속성의 원칙, 연계보관성의 원칙(과정의 명확화, 추적 가능, 책임소재 명확), 무결성의 원칙 (절차) 수사 준비 → 증거물 획득 → 보관 및 이송 → 분석 및 조사 → 결과보고서 작성 (기술) . 수집 : 디스크 이미징, 메모리 덤프, 무결성 입증 . 분석 : Timeline분석, 싹제 파일복구, 비정상 파일검색, 이메일 분석, 슬랙공간 분석, 암호 복구, 덤프 메모리분석 (슬랙공간) 저장 매체의 물리적, 논리적 구조 차이에 의해 낭비되는 공간
모바일 포렌식	SYN, JTAG, 플래시 데이터		(정의) PDA, 휴대폰, 네비게이션 같이 컴퓨터 저장장치와 다른 포맷을 가지고 있는 기기에 대한 포렌식 (추출 도구) Black Light(IOS), SAFT Mobile Forensics(안드로이드), Oxygen Forensic Suite(스마트폰), Internet Evidence Finder(IEF, 증거 검색/복구) (추출 방식) SYN통신, JTAG, 플래시 데이터 직접 추출
클라우드 포렌식	분산처리, 재판관할권, 데이터 암호화		(정의) 클라우드 컴퓨팅 시스템 환경에서의 포렌식 (이슈) 분산처리, 재판관할권, 데이터 암호화, 수사 복잡성, 수사 기간 증가, 지침서 비존재 (과정) 클라우드 내의 사용자 데이터 수집/분석 → 클라이언트 내의 클라우드 시그니처 분석 (클라우드 시그니처 탐지 도구) . 클라우드 서비스를 사용하는 다양한 클라이언트를 분석하여 클라우드 서비스 사용 여부를 판단하는 도구 . 기능 : 파일시스템/웹브라우저/레지스트리 포렌식, 서비스 로그 분석
네트워크 포렌식	트래픽, 프로토콜, 세션, 로그		(정의) 네트워크 장비 및 시스템의 트래픽/프로토콜/세션/로그 정보를 수집하여 분석하는 포렌식 (분석 방법) 온라인 시스템, 격리, 슬레이브 (주요 도구) TCPdump, Wireshark, Snort(탐지), TCPFlow(수집), TCPTrace, TCPStat(조사) (도구 요구조건) 모든 트래픽 저장/고속 검색, 프로토콜 인식, 세션 단위 가능
안티 포렌식	포렌식 대응, 데이터 삭제/은닉/변조		(정의) 디지털 포렌식에 의해 증거가 발견되지 않도록 하는 기술, 포렌식 대응 기술 (기술 종류) 데이터 싹제(영구, 자동, 덮어쓰기(Wiping), 데이터 은닉(스테가노그래피, Slacker), 데이터 변조(암호화, 조작) (안티 포렌식 대응 기술) 스테가노그래피 탐지, 은닉 테이터 탐지, 데이터 복구, 패스워드 크랙, 통합 타임라인 분석
데이터 카빙	파일 손상/삭제 복구, 연속적/비연속적 카빙		(정의) 파일 메타 정보가 덮어써진 경우, 바이너리 데이터로부터 의미있는 정보를 획득하는 기법 (기법) . 연속적 카빙 : 헤더/푸터 카핑, 램슬랙 카빙, 파일크기 카빙, 파일검증 카빙 . 비연속적 카빙 : 시그니처 탐색, 바이트 분포, 바이트 편차