Notice
Recent Posts
Recent Comments
Link
«   2024/03   »
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31
Archives
Today
Total
관리 메뉴

차근차근

[2020 정보처리기사 필기] 시스템 보안 구축 본문

대학교/자격증

[2020 정보처리기사 필기] 시스템 보안 구축

SWKo 2020. 8. 17. 15:06

189. 서비스 공격 유형

1. 서비스 거부(DoS; Denial of Service) 공격의 개념

- 서비스 거부 공격이란 표적이 되는 서버의 자원을 고갈시킬 목적으로 다수의 공겨자 또는 시스템에서 대량의 데이터를 한 곳의 서버에 집중적으로 전송함으로써, 표적이 되는 정상적인 기능을 방해하는 것이다.

- 서비스 거부 공격의 유형에는 Ping of Death, SMURFING, SYN Flooding, TearDrop, Land, DDos 등이 있다.

 

2. Ping of Death(죽음의 핑)

- Ping of Death는 Ping 명령을 전송할 때 패킷의 크기를 인터넷 프로토콜 허용 범위(65,536  바이트) 이상으로 전송하여 공격 대상의 네트워크를 마비시키는 서비스 거부 공격 방법이다.

- ICMP Ping 메시지가 전달되지 못하도록 방화벽에서 차단하는 기술이 개발되었다.

 

3. SMURFING(스머핑)

- SMURFING은 IP나 ICMP의 특성을 악용하여 엄청난 양의 데이터를 한 사이트에 집중적으로 보냄으로써 네트워크를 불능 상태로 만드는 공격 방법이다.

- 각 네트워크 라우터에서 브로드캐스트 주소를 사용할 수 없게 미리 설정해 놓는 것이다.

 

4. SYN Flooding

- TCP는 신뢰성 있는 전송을 위해 3-way-handshake를 거친 후에 데이터를 전송하게 되는데, SYN Flooding은 공격자가 가상의 클라이언트로 위장하여 3-way-handshake 과정을 의도적으로 중단시킴으로써 공격 대상지인 서버가 대기 상태에 놓여 정상적인 서비스를 수행하지 못하게 하는 공격 방법이다.

- 수신지의 'SYN' 수신 대기 시간을 줄이거나 침입 차단 시스템을 활용한다.

 

5. TearDrop

- 데이터 송수신 과정에서 패킷의 크기가 커 여러 개로 분할되어 전송될 때 분할 순서를 알 수 있도록 Fragment Offset 값을 함께 전송하는데, TearDrop은 Offset 값을 변경시켜 수신 측에서 패킷을 재조립할 때 오류로 인한 과부화를 발생시킴으로써 시스템이 다운되도록 하는 공격방법이다.

- Fragment Offset이 잘못된 경우 해당 패킷을 폐기하도록 설정한다.

 

6. Land

- 패킷을 전송할 때 송신 IP 주소와 수신 IP 주소를 모두 공격 대상의 IP 주소로 하여 공격 대상에게 전송하는 것으로, 이 패킷을 받은 공격 대상은 송신 IP 주소가 자신이므로 자신에게 응답을 수행하게 되는데, 이러한 패킷이 계속해서 전송될 경우 자신에 대해 무한히 응답하게 하는 공격이다.

- Land에 대비하기 위해 송신 IP 주소와 수신 IP 주소의 적절성을 검사한다.

 

7. DDoS(Distributed Denial of Service, 분산 서비스 거부) 공격

- DDoS 공격은 여러 곳에 분산된 공격 지점에서 한 곳의 서버에 대한 분산 서비스 공격을 수행하는 것으로, 네트워크에서 취약점이 있는 호스트들을 탐색한 후 이들 호스트들에 분산 서비스 공격용 툴을 설치하여 에이전트로 만든 후 DDoS 공격에 이용한다.

 

8. 네트워크 침해 공격 관련 용어

- 스미싱

       - 문자메시지를 이용해 사용자의 개인 신용 정보를 빼내는 수법

       - apk 파일을 설치하도록 유도하여 사용자 정보를 빼가는 수법으로 발전하고 있다.

- 스피어 피싱

       - 사회 공학의 한 기법으로, 특정 대상을 선정한 후 그 대상에게 일반적인 이메일로 위장한 메일을 지속적으로 발송하여, 발송 메일의 본문 링크나 첨부된 파일을 클릭하도록 유도해 사용자의 개인 정보를 탈취한다.

- APT(지능형 지속 위협)

       - 다양한 IT 기술과 방식들을 이용해 조직적으로 특정 기업이나 조직 네트워크에 침투해 활동 거점을 마련한 뒤 때를 기다리면서 보안을 무력화시키고 정보를 수집한 다음 외부로 빼돌리는 형태의 공격

       - 공격 방법

              - 내부자에게 악성코드가 포함된 이메일을 오랜 기간 동안 꾸준히 발송해 한번이라도 클릭되길 기다리는 형태

              - 스턱스넷(Stuxnet)과 같이 악성코드가 담긴 이동식 디스크(USB) 등으로 전파하는 형태

              - 악성코드에 감염된 P2P 사이트에 접속하면 악성코드에 감염되는 형태 등

- 무작위 대입 공격

       - 암호화된 문서의 암호키를 찾아내기 위해 적용 가능한 모든 값을 대입하여 공격하는 방식

- 큐싱(Qshing)

       - QR 코드를 통해 악성 앱의 다운로드를 유도하거나 악성 프로그램을 설치하도록 하는 금융사기 기법의 하나로, QR 코드와 개인정보 및 금융정보를 낚는다(Fishing)는 의미의 합성 신조어이다.

- SQL 삽입(Injection) 공격

       - 전문 스캐너 프로그램 혹은 봇넷 등을 이용해 웹사이트를 무차별적으로 공격하는 과정에서 취약한 사이트가 발견되면 데이터베이스 등의 데이터를 조작하는 일련의 공격 방식

- 크로스 사이트 스크립팅(XSS)

       - 웹페이지의 내용을 사용자 브라우저에 표현하기 위해 사용되는 스크립트의 취약점을 악용한 해킹 기법

       - 사용자가 특정 게시물이나 이메일의 링크를 클릭하면 악성 스크립트가 실행되어 페이지가 깨지거나, 사용자의 컴퓨터에 있는 로그인 정보나 개인 정보, 내부 자료 등이 해커에게 전달된다.

 

9. 정보 보안 침해 공격 관련 용어

- 좀비 PC : 악성코드에 감염되어 다른 프로그램이나 컴퓨터를 조종하도록 만들어진 컴퓨터

- C&C 서버 : 해커가 원격지에서 감염된 좀비 PC에 명령을 내리고 악성코드를 제어하기 위한 용도로 사용하는 서버

- 봇넷(Botnet) : 악성 프로그램에 감염된 다수의 컴퓨터들이 네트워크로 연결된 형태

- 웜(Worm) : 네트워크를 통해 연속적으로 자신을 복제하여 시스템의 부하를 높임으로써 결국 시스템을 다운시키는 바이러스의 일종으로, 분산 서비스 거부 공격, 버퍼 오버플로 공격 등이 웜 공격이 한 형태이다.

- 제로 데이 공격 : 보안 취약점이 발견되었을 때 취약점의 존재 자체가 공표되기도 전에 그 취약점을 통해 이루어지는 보안 공격으로, 공격의 신속성을 의미한다.

- 키로거 공격 : 컴퓨터 사용자의 키보드 움직임을 탐지해 패스워드, 계좌번호 등 중요한 정보를 빼가는 해킹 공격

- 랜섬 웨어 : 인터넷 사용자의 컴퓨터에 잠입해 내부 문서나 파일 등을 암호화해 사용자가 열지 못하게 하는 프로그램으로, 암호 해독용 프로그램의 전달 조건으로 사용자에게 돈을 요구하기도 한다.

- 백도어 : 시스템 설계자가 서비스 기술자나 유지 보수 프로그램 작성자의 액세스 편의를 위해 시스템 보안을 제거하여 만들어놓은 비밀 통로로, 컴퓨터 범죄에 악용되기도 한다.

- 트로이 목마 : 정상적인 기능을 하는 프로그램으로 위장하여 프로그램 내에 숨어 있다가 해당 프로그램이 동작할 때 활성화되어 부작용을 일으키는 것으로, 자기 복제 능력은 없다.

 

핵심

- DDoS, 랜섬웨어, 제로 데이 공격, 큐싱


190. 서버 인증

1. 보안 서버의 개념

- 보안 서버란 인터넷을 통해 개인정보를 암호화하여 송수신할 수 있는 기능을 갖춘 서버를 말한다.

- 서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송 정보를 암호화하여 송수신하는 기능

- 서버에 암호화 응용 프로그램을 설치하고 전송 정보를 암호화하여 송수신하는 기능

- 스니핑을 이용한 정보 유출, 피싱을 이용한 위조 사이트 등에 대비하기 위해 보안 서버 구축이 필요하다.

 

2. 인증(Authentication)의 개념

- 다중 사용자 컴퓨터 시스템이나 네트워크 시스템에서 로그인을 요청한 사용자의 정보를 확인하고 접근 권한을 검증하는 보안 절차

- 인증에는 네트워크를 통해 컴퓨터에 접속하는 사용자의 등록 여부를 확인하는 것과 전송된 메시지의 위변조 여부를 확인하는 것이 있다.

- 인증의 주요 유형 : 지식 기반 인증, 소유 기반 인증, 생체 기반 인증, 위치 기반 인증

 

3. 지식 기반 인증

- 사용자가 기억하고 있는 정보를 기반으로 인증을 수행

- 관리 비용이 저렴

- 사용자가 인증 정보를 기억하지 못하면 본인이라도 인증 받지 못한다.

- 고정된 패스워드(Password) : 사용자가 알고 있는 비밀번호를 접속할 때 마다 반복해서 입력한다.

- 패스 프레이즈(Passphrase) : 'iloveyou'와 같이 일반 패스워드보다 길이가 길고 기억하기 쉬운 문장을 활용하여 비밀번호를 구성하는 방법

- 아이핀(i-PIN) : 인터넷에서 주민등록번호 대신 쓸 수 있도록 만든 사이버 주민등록번호로, 사용자에 대한 신원확인을 완료한 후에 본인확인기관에서 온라인으로 발행한다.

 

4. 소유 기반 인증

- 소유하고 있는 것을 기반으로 인증을 수행

- 소유물이 쉽게 도용될 수 있으므로 지식 기반 인증 방식이나 생체 기반 인증 방식과 함께 사용된다.

- 신분증 : 사용자의 사진이 포함된 주민등록증 등을 사용하여 사용자의 신분 확인

- 메모리 카드(토큰) : 마그네틱 선에 보안 코드를 저장해서 사용하는 것으로, 카드 리더기를 통해서만 읽을 수 있다.

- 스마트 카드 : 마이크로프로세서, 카드 운영체제 등으로 구성되어 사용자의 정보뿐만 아니라 특정 업무를 처리할 수 있는 기능이 내장되어 있다.

- OTP(One Time Password) : 사용자가 패스워드를 요청할 때마다 암호 알고리즘을 통해 새롭게 생성된 패스워드를 사용하는 것으로, 한 번 사용된 패스워드는 폐기된다.

 

5. 생체 기반 인증

- 생체 인증 대상 : 지문, 홍채/망막, 얼굴 등

 

6. 기타 인증 기법

- 행위 기반 인증 : 사용자의 행동 정보를 이용해 인증 수행, 서명, 동작

- 위치 기반 인증 : 인증을 시도하는 위치의 적절성 확인, 콜백, GPS나 IP 주소 이용

 

핵심

- 보안 서버 : 인터넷을 통해 개인정보를 암호화하여 송수신할 수 있는 기능을 갖춘 서버

- 인증 : 다중 사용자 컴퓨터 시스템이나 네트워크 시스템에서 로그인을 요청한 사용자의 정보를 확인하고 접근 권한을 검증하는 보안 절차

- 인증의 주요 유형과 특징


191. 보안 아키텍처 / 보안 프레임워크

1. 보안 아키텍처

- 보안 아키텍처란 정보 시스템의 무결성, 가용성, 기밀성을 확보하기 위해 보안 요소 및 보안 체계를 식별하고 이들 간의 관계를 정의한 구조를 말한다.

- 보안 아키텍처를 통해 관리적, 물리적, 기술적 보안 개념의 수립, 보안 관리 능력의 향상, 일관된 보안 수준의 유지를 기대할 수 있다.

- 보안 아키텍처는 보안 수준에 변화가 생겨도 기본 보안 아키텍처의 수정 없이 지원할 수 있어야 한다.

- 보안 아키텍처는 보안 요구사항의 변화나 추가를 수용할 수 있어야 한다.

 

2. 보안 프레임워크

- 보안 프레임워크는 안전한 정보 시스템 환경을 유지하고 보안 수준을 향상시키기 위한 체계를 말한다.

- ISO 27001은 정보보안 관리를 위한 국제 표준으로, 일종의 보안 인증이자 가장 대표적인 보안 프레임워크이다.

- ISO 27001은 영국의 BSI가 제정한 BS 7799를 기반으로 구성되어 있다.

- ISO 27001은 조직에 대한 정보보안 관리 규격이 정의되어 있어 실제 심사/인증용으로 사용된다.

 

핵심

- 보안 아키텍처 : 보안 요소 및 보안 체계를 식별학 이들 간의 관계를 정의한 구조

- 보안 아키텍처는 기본 보안 아키텍처의 수정 없이 변화에 대응할 수 있어야 한다.

- 보안 프레임워크 ISO 27001 : 정보보안 관리를 위한 국제 표준


192. 로그 분석

1. 로그(Log)의 개념

- 로그란 시스템 사용에 대한 모든 내역을 기록해 놓은 것으로, 이러한 로그 정보를 이용하면 시스템 침해 사고 발생 시 해킹 흔적이나 공격 기법을 파악할 수 있다.

- 로그 정보를 정기적으로 분석하면 시스템에 대한 침입 흔적이나 취약점을 확인할 수 있다.

 

2. 리눅스(LINUX) 로그

- 리눅스에서는 시스템의 모든 로그를 var/log 디렉터리에서 기록하고 관리한다.

- 로그 파일을 관리하는 syslogd 데몬은 etc/syslog.conf 파일을 읽어 로그 관련 파일들의 위치를 파악한 후 로그 작업을 시작한다.

- syslog.conf 파일을 수정하여 로그 관련 파일들의 저장 위치와 파일명을 변경할 수 있다.

 

3. 리눅스의 주요 로그 파일

로그 파일명 데몬 내용
커널 로그 /dev/console kernel 커널에 관련된 내용을 관리자에게 알리기 위해 파일로 저장하지 않고 지정된 장치에 표시한다.
부팅 로그  /var/log/boot.log boot 부팅 시 나타나는 메시지들을 기록한다.
크론 로그 /var/log/cron crond 작업 스케줄러인 crond의 작업 내역을 기록한다.
시스템 로그 /var/log/messages syslogd 커널에서 실시간으로 보내오는 메시지들을 기록한다.
보안 로그 /var/log/secure xinetd 시스템의 접속에 대한 로그를 기록한다.
FTP 로그 /var/log/xferlog ftpd FTP로 접속하는 사용자에 대한 로그를 기록한다.
메일 로그 /var/log/maillog sendmail propper 송수신 메일에 대한 로그를 기록한다.

 

4. 윈도우(Windows) 로그

- 이벤트 로그 형식으로 시스템의 로그를 관리한다.

- Windows의 이벤트 뷰어를 이용하여 이벤트 로그를 확인할 수 있다.

- 제어판 - 관리 도구 - 이벤트 뷰어를 선택하여 실행

 

5. Windows 이벤트 뷰터의 로그

로그 내용
응용 프로그램 응용 프로그램에서 발생하는 이벤트가 기록된다.
보안 로그온 시도, 파일이나 객체 생성, 조회, 제거 등의 리소스 사용과 관련된 이벤트가 기록된다.
시스템 Windows 시스템 구성 요소에 의해 발생하는 이벤트가 기록된다.
Setup 프로그램 설치와 관련된 이벤트가 기록된다.
Forwarded Events  다른 컴퓨터와의 상호 작용으로 발생하는 이벤트가 기록된다.

 

핵심

- 리눅스의 주요 로그 파일 : cron, secure, secure

- 윈도우의 이벤트 뷰어를 통해 확인할 수 있는 로그 항목 : 응용 프로그램, 보안, 시스템, Setup, Forwarded Events


193. 보안 솔루션

1. 보안 솔루션의 개념

- 보안 솔루션이란 접근 통제, 침입 차단 및 탐지 등을 수행하여 외부로부터의 불법적인 침입을 막는 기술 및 시스템

- 주요 보안 솔루션에는 방화벽, 침입 탐지 시스템, 침입 방지 시스템, 데이터 유출 방지, 웹 방화벽, VPN, NAC 등이 있다.

 

2. 방화벽(Firewall)

- 기업이나 조직 내부의 네트워크와 인터넷 간에 전송되는 정보를 선별하여 수용, 거부, 수정하는 기능을 가진 침입 차단 시스템이다.

 

3. 침입 탐지 시스템(IDS; Intrusion Detection System)

- 컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지하는 시스템이다.

- 방화벽과 같은 침입 차단 시스템만으로는 내부 사용자의 불법적인 행동과 외부 해킹에 100% 완벽하게 대처할 수 없다.

- 오용 탐지 : 미리 입력해 둔 공격 패턴이 감지되면 이를 알려준다.

- 이상 탐지 : 평균적인 시스템의 상태를 기준으로 비정상적인 행위나 자원의 사용이 감지되면 이를 알려준다.

- 침입 탐지 시스템의 위치

       - 패킷이 라우터로 들어오기 전 : 네트워크에 시도되는 모든 공격을 탐지할 수 있다.

       - 라우터 뒤 : 라우터에 의해 패킷 필터링을 통과한 공격을 탐지할 수 있다.

       - 방화벽 뒤 : 내부에서 외부로 향하는 공격을 탐지할 수 있다.

       - 내부 네트워크 : 내부에서 내부 네트워크의 해킹 공격을 탐지할 수 있다.

       - DMZ : 외부 인터넷에 서비스를 제공하는 서버가 위치하는 네트워크로, 강력한 외부 공격이나 내부 공격으로부터 중요 데이터를 보호하거나 서버의 서비스 중단을 방지할 수 있다.

 

4. 침입 방지 시스템(IPS; Intrusion Prevention System)

- 침입 방지 시스템은 방화벽과 침입 탐지 시스템을 결합한 것이다.

- 능동적으로 차단하고 격리하는 보안 솔루션이다.

 

5. 데이터 유출 방지(DLP; Data Leakage/Loss Prevention)

- 내부 정보의 외부 유출을 방지하는 보안 솔루션이다.

 

6. 웹 방화벽(Web Firewall)

- 일반 방화벽이 탐지하지 못하는 SQL 삽입공격, XSS 등의 웹 기반 공격을 방어할 목적으로 만들어진 웹 서버에 특화된 방화벽이다.

 

7. VPN(Virtual Private Network, 가상 사설 통신망)

- 가상 사설 네트워크로서 인터넷 등 통신 사업자의 공중 네트워크와 암호화 기술을 사용하여 마치 자신의 전용 회선을 사용하는 것처럼 해주는 보안 솔루션이다.

 

8. NAC(Network Access Control)

- 네트워크에 접속하는 내부 PC의 MAC 주소를 IP 관리 시스템에 등록한 후 일관된 보안 관리 기능을 제공하는 보안 솔루션이다.

 

9. ESM(Enterprise Security Management)

- 다양한 장비에서 발생하는 로그 및 보안 이벤트를 통합하여 관리하는 보안 솔루션이다.

 

핵심

- 방화벽, NAC, 웹 방화벽


194. 취약점 분석, 평가

1. 취약점 분석, 평가의 개요

- 사이버 위협으로부터 정보 시스템의 취약점을 분석 및 평가한 후 개선하는 일련의 과정

 

2. 취약점 분석, 평가 범위 및 항목

- 정보 시스템과 정보 시스템 자산에 직, 간접적으로 관여된 물리적, 관리적, 기술적 분야를 포함한다.

- 기본 항목은 상중하 3단계로 중요도를 분리한다.

- 상인 항목은 필수 점검

- 중, 하인 항목은 회사의 사정에 따라 선택 점검

 

3. 수행 절차 및 방법

- 취약점 분석, 평가 계획 수립 -> 취약점 분석, 평가 대상 선별 -> 취약점 분석 수행 -> 취약점 평가 수행

- 취약점 분석 수행 중 관리적 점검은 정보보호 관련 문서 확인과 정보보호 담장자 등과의 면담을 통해 수행한다, 물리적 점검은 통제구역에 직접 찾아가 현장 점검 형태로 수행한다, 기술적 점검은 점검 도구, 모의 해킹 등을 통해 수행한다.

 

핵심

- 점검 방법 3가지 종류와 특징

Comments