728x90
SMALL

1. 정보보호 정의

정보보호, 정보보안 : 정보 및 정보 시스템을 허가되지 않은 접근, 사용, 공개, 손상, 변경, 파괴 등으로부터 보호함으로 써 기밀성, 무결성, 가용성을 제공 하는 것

정보보호를 하면서 항상 생각해야 하는 것 3가지
보호해야할 정보 및 자산
어떤 위험으로부터 보호
위험 대응 방법

★정보보호의 3요소

기밀성 무결성 가용성
인가된 사용자에 의해서만 정보자산에 접근할 수 있도록 하는것(비인가 접근 금지) 합법적인 방법으로만 정보를 변경할 수 있도록 하는 것.
정보의 완정성과 정확성을 보장		 필요한 시점에 정보 자산에 대한 접근이 가능하도록 하는 것.
ex) 패킷분석(도청), 패스워드, 암호화, 보안장비 ex) 악성코드 삽입, 백신, 암호알고리즘, 해쉬함수 등 ex) DDoS공격, 이중화, 백업, 복구

정보보호 용어

물리/통신보안 -> 정보보호, 정보보안 -> 정보보증 -> 사이버보안 -> 사이버작전

 

✏️정보보안에서는 iot장비가 포함이 안되지만 사이버보안은 포함이 된다.

 

위험(Risk)

위협에 따라 생길수 있는 손실에 대한 가능성(정보유출, 시스템파괴 등)

위협주체가 취약점을 알고 있다면 위협을 통해 자산에 악영향을 가져올 수 있는 위험한 상황 발생

* 자산, 위협, 취약점이 늘어나면 위험은 증가한다.

 

자산(Asset)

조직이 보호해야 할 대상이다.(서버, 네트워크, 응용체계 등)

 

위협(Threat)

장애나 손성을 유발할 수 있는 잠재적인 대상들이다.(해커)

낮출수 있는 방법 -> 취약점을 줄인다.(취약점을 없앤다는 말을 옳지 않다. 쉴새없이 창과 방패의 싸움은 계속된다.)

위험VS위협

위협은 위험을 일으킬수 있는 요소이다. 위험은 위협요소가 일으킬 수 있는 피해이다. 만약, 취약점이 없어 위험을 느끼지 않는다면 위험은 알어날 수가 없다.

ex) 감기바이러스가 위험이 된다.(감기바이러스 체내 침입 -> 면역력이 안좋은 상태의 나 -> 감기 걸림, 취약성 =건강상태)

 

취약점(Vulnerability)

정보자원에 위험이나 손상을 입힐 수 있는 약점들(관리적, 기술적, 물리적 약점)

*Cybersecurity risk assessment : 손실시 정보의 가치와 비용

 

제로데이취약점

제로데이란 아직 알려지지 않은 컴퓨터 소프트웨어의 취약점을 의미한다. 

 

대책(Countermeasure)

위험 관리를 위해 사용될 수 있는 방법들이다. 정보보안의 영역으로 설명될 수가 있다.

 

위험관리

조직의 자산에 대한 위험을 수용할 수 있는 수준으로 유지하기 위한 과정

자산에 대한 위협 분석 -> 비용대비 효과적인 보호대책 마련 -> 위험으로부터 자산 보호

잔여위협이라는 것이 있다. 크게 위험을 느끼지 않을 수준정도의 위협에는 불필요한 투자가 진행되지 않고 유지가 된다.

 

위험관리 절차

현황분석 -> 위험 평가(위험 분석(위험식별 -> 위험 측정) -> 위험 산출) -> 위험 조치 -> 위험 수용

 

정보보호 대상(자산)

(pdf 이미지 관련 더 찾아볼것)

 

유형 내용
정보
컴퓨터에 저장, 처리, 연산되어 있는 업무와 관련된 전자적 자산
문서
종이또는기타출력물로보관되어있는업무와관련된문서형태의자산
서버
서비스를 제공하기 위해 정보자산 및 S/W가 탑재되어 있는 시스템
소프트웨어 (어플리케이션)
데이터를 서로 다른 시스템 간에 공유하는 네트워킹 기능을 제공할 수 있는 소프트웨어 자산 또는 정보 시스템을 문서편집, 정보처리, 계산 등 사용자가 필요한 특정 분야에 사용하기 위해 작성된 소프트웨어 자산
네트워크
서로 다른 시스템 간에 네트워킹 기능을 제공하는 하드웨어 자산(Router, Switch )
보안시스템
정보자산을 보호하기 위한 침입차단시스템, 침입방지시스템 등의 보안시스템
단말장비
개인들이 사용하는 업무용 PC, 노트북, PDA, 이동 저장 장치 등
물리적 시설
업무수행 및 전산장비 보호 등을 위한 물리적 시설 및 장비

 

보안취약점과 사이버공격

보안취약점은 소프트웨어가 가지는 오류이다. 사이버공격은 취약점을 이용해 허가되지 않은 행위를 수행하는 것이다. 취약점이 없으면 사이버공격은 할수없다. 사이버 공격을 하기위해 자산에 대한 정보를 먼저 수집을 한다. -> 우리가 할 일 = 취약점 제거(취약점을 못찾도록 하는거, 해커가 내 시스템을 해킹을 못하게 하는 일)

 

보안 취약점이란?

컴퓨터의 HW, SW의 결함이나 설계상의 허점을 보안 취약점이라고 한다. 사용자에게 허용된 권한 이상의 동작이나 허용 범위 이상의 정보 열람을 가능하게 하는 약점을 말한다. 취약점의 약용은 비인가자의 접근을 가능하게 하고 정상적인 서비스를 방해한다. 또한, 중요 데이터의 유출, 변조 및 삭제가 일어날 수 있다. 이를 해결하기 위해 우리는 Secure Coding, 취약점 분석, 모의해킹 등을 할수있다.

 

Secure Coding_위험한 형식 파일 업로드

서버 측에서 실행될 수 있는 악성스크립트파일을 업로드 하여 공격자가 시스템을 통제한다. 업로드되는 파일의 확장자를 검사하고 허용되지 않은 확장자인 경우 업로드를 제한한다.

(자세한 내용은 찾아볼것.)

 

3월30일 수업은 취약점 찾는 방법부터 교육

취약점 찾는 방법

풋프린팅(Footprinting)

공격대상 정보를 모으는 것(온오프라인으로 수집가능)

*계정정보/신상정보(관계자 사용자 계정, IP, PASS, 이름, 전화번호, 생일, 오프라인)

*시스템 정보(보호체계 등) 및 협력회사, 로그와 접속시도 정보 주의(WebZIP사용)

 

스캔

서비스를 제공하는 서버의 작동여부와 제공서비스를 확인하는 것

*웹, IP, 포트, 네트워크, 취약점

 

취약점 공격 도구(Exploit Kit)

SW취약점을 식별하기 위한 목적으로 웹 서버에서 실행되게 설계된 경우

셋업파일, 제어판, 악성코드 및 각종 공격 툴을 한데 모아둔 것으로, PHP 기반

 

칼리 리눅스

여러 해킹 도구를 포함하고 있어 모의해킹을 시도하는 리눅스로 많이 사용

컴퓨터 보안에 대한 학습 및 보안 취약점 점검 목적 등의 용도로만 사용해야함

 

사이버 공격 종류

소극적 공격(Passive Attack)

시스템 자원에는 영향을 끼치지않는 공격(트래픽 분석, 포트공격 등 기밀성 공격)

공격자의 목표는 단지 정보를 수집하기 위한 것

탐지보다는 예방에 더욱 더 신경을 써야함

 

적극적 공격(Active Attack)

시스템 자원에 영향을 끼치는 공격(변경 등 무결성, 서비스거부 등 가용성 공격)

대부분이 수동적 공격을 통해 수집된 정보를 통해서 이루어짐

예방보다는 탐지에 더욱더 신경을 써야함

 

사이버공격 절차

외부정찰(정보수집, 대상선정) •SNS개인정보수집
•취약점 탐색
초기 침투
⬇️		   •스피어피싱
•워터링홀		  
거점 확보
⬇️		   •커스텀 악성코드
•C&C접속
•공격도구다운		  
권한 확대
⬇️		 ⬅️연결 유지 •계정 탈취
•해쉬 크래킹
•암호 우회		 •백도어 변종 분산
•백도어 은폐
•VPN 접속
내부 정찰
⬇️		 ➡️내부 전파⬆️ •중요 시스템 확인
시스템, AD, 계정정보 열거		 •Net use 명령어
•파워 쉘
•리버스 접속
목적 달성   •데이터 유출
•침해체계 통제
•흔적제거		  

사이버공격 유형_악성코드

악성코드(malicious code) = 악성 프로그램(malicious program) = 멀웨어(malware)

컴퓨터에 악역향을 줄 수 있는 모든 SW(합법적인 코드에 자신 첨부)

웜(worm), 컴퓨터 바이러스(virus), 트로이목마(trojan horse)

※ 유해 가능 프로그램(potentially unwanted pprogram)과 스파이웨어(spyware)

트로이목마는 감염이 안된다. 사용자가 직접 다운해서 심겨지는 형태.

구분
컴퓨터 바이러스
트로이 목마
복사 및 전염
있음
없음
매우 강함
형태
파일이나 부트섹터 등 감염대상이 필요
유틸리티로 위장하거나 유틸리티 안에 코드 형태로 삽입
독자적으로 존재
전파 경로
사용자가 감염된 파일을 옮김
사용자가 내려 받음
네트워크 통해 스스로 전파
주요 증상
컴퓨터의 시스템 및 파일 손상
PC 성능 저하, 좀비 PC
네트워크 성능 저하

최신 주요 악성 프로그램 종류 : 악성 프로그램은 컴퓨터 바이러스, 웜, 트로이 목마이외에도 스파이웨어, 애드웨어, 루 트킷, 백도어 등 다양한 악성코드가 존재한다.

사이버공격 유형_DDoS(Distributed Denial of Service)

시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격이다. 특정 서버에게 수많은 접속 시도를 만들어 다른 이용자가 정상적으로 서비스 이용을 하지 못하게 하거나, 서버의 TCP 연결을 고갈내는 등의 공격이다.

 

DoS(Denial of Service) 공격은 대량의 트래픽으로 시스템, 서버 또는 네트워크의 "플러드"를 유발하여 리소스와 대역폭을 소진시킨다. 그러면 시스템은 적법한 요청을 처리할 수 없게 된다. 공격자는 보안이 침해된 여러 디바이스를 사용해 이 공격을 실행할 수도 있다. 이러한 유형의 공격이 DDoS이다. 분산서비스거부(Distributed Denial of Service, DDoS) 공격은 보통 악성코드에 의해 해킹되어 사이버 범죄자의 통제 하에 있는 일군의 컴퓨터를 이용해 트래픽을 목표 시스템 쪽으로 보낸다.분산서비스거부(Distributed Denial of Service, DDoS) 공격은 보통 악성코드에 의해 해킹되어 사이버 범죄자의 통제 하에 있는 일군의 컴퓨터를 이용해 트래픽을 목표 시스템 쪽으로 보낸다.

 

사이버공격 유형_스피어피싱

표적을 정해 영향을 미칠 목적으로 신뢰할 수 있는 출처에서 온 것처럼 보이는 이메일을 보내는 행위이다(사회 공학 + 기술적 속임수) 

Ex)

이메일 스푸핑 : 이메일의 보낸 사람에 아는 사람 처럼 위조한다.

정상 웹사이트 복제 및 위조, ID  및 패스워드 입력을 하도록 유도한다.

해결방법은 해더분석, 샌드박싱에서 이메일 링크나 첨부파일 클릭시 동작을 분석한다.

 

사이버공격 유형_Watering Hole (Drive-by)

해커, 목표 대상자들이 자주 방문하는 특정한 사이트에 미리 악성코드를 심어 놓는다. 이들이 해당 사이트를 방문했을 때 자동적으로 컴퓨터를 감염시킨다. 해결방법은 OS 와 브라우져, SW취약점을 이용하여 정교한 타깃 공격을 한다.

사이버공격 유형_비밀번호 공격

Brute Force : 무차별로 임의의 문자를 조합해 하나씩 대입해 보는 공격, 일치시까지 모든 경우의 수를 시도(이름, 직위, 취미 등)

Dictionary Attack : 사전에 있는 단어를 입력하여 암호를 알아내는 공격

해결방법은 몇 번의 잘못된 암호입력 시도 후에 계정을 잠그도록 구현한다.

사이버 공격 유형_SQL Injection Attack

응용 프로그램 보안 상의 허점을 이용해, 악의적인 SQL문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 공격이다.(DB기반 웹사이트) 해결방법으로는 SQL 데이터입력부분에 제어문자가 들어가지 않도록 입력값을 검증한다.

사이버공격 유형_XSS Attack(Cross-site scripting)

공격사이트에 악의적인 스크립트를 삽입하여 해당 스크립트가 사용자(희생자)측에서 동작하도록 하여 악의적인 행위를 수행하는 공격이다. 해결방법으로는 SQL 데이터입력부분에 제어문자가 들어가지 않도록 입력값을 검증한다.

사이버공격 유형_도청공격(Eavesdropping Attack)

네트워크 트래픽 가로채기를 통해 발생된다. 사용자가 네트워크를 통해 보낼 수 있는 암호., 신용 카드 번호 및 기밀 정보를 탈취한다. 해결방법으로는 도청을 못하도록 데이터를 암호화하는 방법이 있다.

사이버공격 유형_생일공격(Birthday Attack)

메시지, SW 또는 디지털 서명의 무결성을 확인하는 데 사용되는 해시알고리즘 공격이다. 해시함수에 의해 처리된 메시지는 입력 메시지의 길이와 관계없이 고정 길이의 메시지 다이제스트(MD)를 생성한다. MD는 메시지를 고유하게 특성화시킨다. 공격자가 자신의 메시지에 대해 사용자와 동일한 MD를 계산하면 사용자의 메시지를 자신의 메시지로 안전하게 교체한다. 해결방법은 해시함수 비트를 안전하게 증가시키는 것이 있다. (180bit이상)

통제(control) 및 정보보호 대책

통제 : 취약점을 감소시키거나 억제하기 위해 사용되는 메카니즘이다.

시점별 통제

▪︎예방 통제
침해사고 전에 위협·취약점을 사전에 식별, 대처하는 통제이다.(취약점분석,접근통제,정책)

* 물리적 통제(시건장치), 논리적 통제(로그인)

▪︎탐지 통제
침해사고가 일어난 시점에 위협을 탐지하는 통제
예방통제를 우회한 위협을 찾아내기 위한 통제이다.(침입탐지시스템, 로그, CCTV)

▪︎교정 통제
침해사고가 발생한 이후 탐지된 위협이나 취약점에 대처하거나 위협이나 취약점을

감소시키는 통제, 대응(교정, 복구)에 중점을 둔다.(데이터복구, 백업, BCP/DRP)

관리적 보호대책(administrative controls)

정책적인 통제이다.

ex) 문서화된 정책, 정형화된 절차, 표준, 가이드 라인 등

논리적 보호대책(logical controls) = 기술적 보호대책

기술적인 통제로, 가장 일반적으로 생각하는 정보보안의 영역이다. 정보 시스템을 감시하고 통제하기 위해서 소프트웨어와 특정 데이터를 이용하는 것이다.

ex) 패스워드, 방화벽, 침입탐지시스템, 접근제어, 데이터 암호화

물리적 보호대책(physical controls)

작업장 또는 컴퓨팅 장치 등에 대한 감시와 통제를 의미한다.

ex) 출입문, 잠금 장치, 감시 카메라, 경비원, 네트워크 분리

환경적 보호대책(environmental controls)

환경적 대해(자연재해, 화재, 정전)에 대한 대비 및 복구 방안이다.

사이버보안 3가지 요소(pillars)

(찾아볼것)

사이버보안 절차

(찾아볼것)

통제 및 정보보호 대책 

OSI 7 Layer...?

(찾아볼것)

사이버 공간의 확대

(찾아볼것)

 

(3주차 정보보호개론_정보보호개념 pdf(수정본) 39페이지까지 나감)

2. 정보보호 주요 개념

3. 사이버공격 및 보안절차

LIST

+ Recent posts

티스토리툴바