정보보호총론
정보보호 개론
정보보호총론
Chapter 01
정보보호 일반 이론
정보보호총론
목 차
1.1 정보보호의 개념
1.2 보안 취약점, 위협, 정보보호대책 1.3 사이버 공격 유형
1.4 접근통제
1.5 최신 ICT 서비스 보안 위협
정보보호총론
1.3 사이버 공격 유형
사이버 공격 유형의 대표적인 것으로는 해킹(hacking), Dos 공격, 홈페이지 변조, 피싱 (phishing), 스팸(spam) 등이 있다.
해킹은 사전적 의미로는 전자회로나 컴퓨터의 하드웨어, 소프트웨어, 네트워크, 웹사이 트 등 각종 정보시스템 본래의 설계자나 관리자, 운영자가 의도하지 않은 동작을 일으 키도록 하거나 정보시스템 내에서 주어진 권한 이상으로 정보를 열람, 복제, 변경 가능 하게 하는 행위를 광범위하게 이르는 말이다.
1. 해킹
해킹의 정의는 시간에 따라 변화되어 왔는데 초기에는 ‘개인의 호기심이나 지적욕구 의 바탕 위에 컴퓨터와 컴퓨터간의 네트워크를 탐험하는 행위’를 말했다.
이후 악의적인 행동이 늘어나면서 ‘다른 정보시스템을 침입할 때 파괴적인 계획을 갖 고 침입하는 행위’라는 부정적 의미를 갖게 되었으며, 일명 크래킹(crachking)이라 하였다.
1.3 사이버 공격 유형
정보보호총론
1. 해킹
현재 사용하고 있는 해킹이란 의미는 대체적으로 ‘어떠한 의도에 상관없이 다른 컴퓨 터에 침입하는 모든 행위’로써 전산망을 통하여 타인의 정보시스템에 접근 권한 없이 무단 침입하여 부당 행위를 하는 것을 말하며, 여기서 부당 행위란 불법적인 시스템 사 용, 불법적인 자료 열람, 유출 및 변조 등을 뜻한다.
반면 긍정적 의미로는 ‘각종 정보시스템의 보안 취약점을 미리 알아내고 보완하는 데 에 필요한 행위’란 뜻을 가지고 있다. 그러나 파괴적 행위를 하는 자들을 크래커
(cracker)라고 하여 해커와 구별하기도 한다.
현재 해킹 또는 해커라는 말은 선악에 관계없이 모든 상황에서 광범위하게 쓰이며 특 별히 해킹을 하는 자의 의도를 구분하고자 하는 경우 합법적이며 윤리적인 해커나 보 안 연구자를 화이트햇(white-hat) 해커로, 불법적이며 비윤리적인 해커를 블랙햇 (black-hat) 해커 또는 크래커로 부른다.
최근에는 선의의 해커를 의미하는 화이트 해커(white hacker)를 사용하며, 민·관에서 활동하는 보안 전문가들을 통칭한다. 고의적으로 인터넷 시스템을 파괴하는 해커인
‘블랙 해커’나 ‘크래커’와 대비되는 개념이다.
1.3 사이버 공격 유형
정보보호총론
1. 해킹
1) 악성 프로그램(malicious program, malware, malicious code)
악성 프로그램의 법적 정의는 “정당한 사유 없이 정보통신 시스템, 데이터 또는 프로 그램 등을 훼손, 멸실, 변경, 위조 또는 그 운용을 방해할 수 있는 프로그램”
악성 프로그램(malicious program)은 맬웨어(malware, malicious software), 악성코 드(malicious code)라고도 하며 컴퓨터에 악영향을 줄 수 있는 모든 소프트웨어의 총 칭이다. 악성 프로그램엔 웜(worm), 컴퓨터 바이러스(virus), 트로이목마(trojan horse) 등 세 가지가 있는데, 웜과 트로이목마는 바이러스 속에 포함되지 않는다.
악성코드와 혼동되는 것으로 유해 가능 프로그램(potentially unwanted program)과 스파이웨어(spyware)가 있다.
가. 웜
웜(worm)은 다른 프로그램의 감염 없이 자신 혹은 변형된 자신을 복사하는 명령어들 의 조합이라고 정의된다. 웜은 기억장소에 코드 형태로 존재하거나 혹은 실행파일로 존재하며 실행되면 파일이나 코드 자체를 다른 시스템으로 복사한다.
웜은 정보시스템을 파괴하거나 작업을 지연·방해하는 악성 프로그램의 일종으로 바 이러스와는 달리 감염 대상을 갖고 있지 않으며, 독립적인 프로그램으로 번식력을 가 지고 있다.
1.3 사이버 공격 유형
정보보호총론
1. 해킹
나. 컴퓨터 바이러스(Virus)
악성코드의 대표격인 바이러스(virus)는 프로그램 실행 가능한 어느 일부분 혹은 데이 터에 자기 자신 혹은 변형된 자신을 복사하는 명령어들의 조합이라고 정의된다. 감염 대상 프로그램 혹은 코드를 변형해 바이러스 코드 혹은 일부 코드를 복제해 감염시키 고 다른 대상을 감염시킴으로써 확산된다.
① 부트 바이러스(Boot Virus)
시스템이 부팅되는 과정을 이용하여 플로피와 하드 디스크의 부트 영역을 감염시키며, 대부분의 초기 바이러스들이 여기에 속한다.
② 파일 바이러스(File Virus)
파일 자체가 실행되는 과정을 이용하여 COM, EXE, SYS 파일 등에 감염되며, 전체 바이 러스의 90% 이상이 파일 바이러스로 구분된다.
③ 부트/파일 바이러스(Boot/File Virus)
부트와 파일 동시에 감염하는 형태로 바이러스 크기가 매우 커지고 복잡하다.
④ 매크로 바이러스(Macro virus)
1995년 여름에 처음으로 발견된 매크로 바이러스는 감염 대상이 실행 파일이 아니라 마이크로소프트사의 엑셀과 워드 프로그램에서 사용하는 문서 파일이다.
1.3 사이버 공격 유형
정보보호총론
1. 해킹
다. 트로이목마(trojan horse)
트로이목마는 컴퓨터의 프로그램 내에 사용자는 알 수 없도록 프로그래머가 고의로 포 함시킨 자기 자신을 복사하지 않는 명령어들의 조합이라고 정의된다.
고의로 포함시켰다는 점에서 프로그램의 버그(bug)와 다르며, 자신을 복사하지 않는다 는 점에서 바이러스나 웜과도 약간 다르다.
구분 컴퓨터 바이러스 트로이 목마 웜
복사 및 전염능력 있음 없음 매우 강함
형태 파일이나 부트섹터 등 감염대상이 필요
유틸리티로 위장하거나 유틸리티 안에 코드
형태로 삽입 독자적으로 존재
전파 경로 사용자가 감염된 파일을 옮김 사용자가 내려 받음 네트워크를 통해 스스로 전파
주요 증상 해당 컴퓨터의 시스템 및 파일 손상 PC 성능 저하, 좀비 PC 네트워크 성능 저하
1.3 사이버 공격 유형
정보보호총론
1. 해킹
라. 최신 주요 악성 프로그램 종류
악성 프로그램은 컴퓨터 바이러스, 웜, 트로이 목마이외에도 스파이웨어, 애드웨어, 루 트킷, 백도어 등 다양한 악성코드가 존재한다.
종류 정 의
루트킷(Rootkit) 루트킷(Rootkit)은 루트 권한을 획득한 공격자가 심어놓은 프로그램을 숨기기 위한 목적으로 사용되는 프 로그램을 말한다.
백도어(back door)
백도어(back door)란 허가받지 않은 사용자가 네트워크에 들어갈 수 있을 만큼 허술한 부분을 일컫는 말 로 원래는 서비스 기술자나 유지보수 프로그래머들의 다른 PC에 대한 액세스 편의를 위해 시스템 설계자가 고의적으로 만들어 놓은 것이다.
스파이웨어(spyware) 스파이웨어(spyware)는 사용자의 동의 없이 설치되어 컴퓨터의 정보를 수집하고 전송하는 악성 소프트웨 어로, 신용 카드와 같은 금융정보 및 주민등록번호와 같은 신상정보, 암호를 비롯한 각종 정보를 수집한다.
키로깅(Keylogging) 키로깅(Keylogging)(키 스트로크 로깅(Keystroke logging)으로도 불린다)은 사용자가 키보드로 PC 에 입력하는 내용을 몰래 가로채어 기록하는 행위를 말한다.
봇(bot) 봇(bot)은 인간이 하는 행동을 흉내 내도록 만들어진 프로그램을 의미한다.
스턱스넷(Stuxnet)
산업기반시설의 제어시스템(SCADA) 가운데 독일 지멘스사의 제품을 공격 목표로 하여 제작된 악성코드 (‘10.6월 발견). 원자력 등 주요 산업기반시설의 제어시스템에 침투해 오작동을 일으키며, USB 및 네트 워크 공유폴더 등을 통해 전파된다.
고스트넷(GhostNet) 고스트넷(GhostNet)은 특정 컴퓨터를 감염시켜 장악한 뒤 원격 조정할 수 있는 스파이 네트워크로, 해커 는 파일을 검색하거나 내려 받을 수 있고 촬영이나 녹음을 지시할 수도 있다.
웹셸(Web Shell) 웹셸이란 해커가 원격으로 웹서버를 조종할 수 있도록 제작한 악성코드로 공격자가 수시로 드나들 수 있는 일종의 비밀통로 역할을 한다.
1.3 사이버 공격 유형
정보보호총론
1. 해킹
2) 악성코드 침해사고 사례 가. 모리스 웜(Morris Worm)
모리스 웜은 인터넷을 통해 전파된 최초의 웜이다. 이 웜은 1988년 11월 2일, 미국 코 넬 대학교 학생인 로버트 터팬 모리스(Robert Tappen Morris, Jr)에 의해 제작되었다.
모리스의 원래 제작 의도는 인터넷의 크기를 측정하기 위한 것이라고 한다.
나. 슬래머 웜(Slammer Worm)
지난 2003년 1월 25일 오전 5시 30분, 376바이트 크기 밖에 안 되는 웜이 전 세계 인 터넷을 마비시켰다. 나중에 이 악성코드는 사파이어/슬래머 웜으로 명명되었다. 슬래 머(Slmmer)웜은 마이크로소프트사 SQL 서버 2000 제품에 내재된 취약점을 공격하여 전파하였는데 10분 만에 전 세계 호스트 약 7만 5천 대를 감염시킬 정도로 그 확산 속 도가 매우 빨랐다.
다. 3.20 사이버 공격
3.20 사이버 공격’은 방송·금융 등 6개사 대상 사이버 공격으로 48,700여 대의 PC·서버·ATM이 손상을 입은 국내 최초의 복수기관 대상 지능형지속위협(APT) 공격 이었다.
1.3 사이버 공격 유형
정보보호총론
1. 해킹
2) 악성코드 침해사고 사례 라. 6.25 사이버 공격
2013년 6.25~7.1 사이에 발생한 사이버 공격으로 방송․신문사 서버장비 파괴, 청와대 및 국무조정실 등 홈페이지 변조, 정부통합전산센터 DDoS 공격, 경남일보 등 43개 민 간기관 홈페이지 변조 등 총 69개 기관․업체 등에 대한 연쇄적인 사이버 공격을 말한 다.
3) APT(Advanced Persistent Threats) 공격 가. APT 개념 및 특징
APT 공격은 특정 기업 또는 기관의 핵심 정보통신 설비에 대한 중단 또는 핵심정보의 획득을 목적으로 공격자는 장기간 동안 공격 대상에 대해 IT인프라, 업무환경, 임직원 정보 등 다양한 정보를 수집하고, 이를 바탕으로 제로데이 공격, 사회공학적 기법 등을 이용하여 공격대상이 보유한 취약점을 수집·악용해 공격을 실행하는 것을 말한다.
나. APT 공격 기법
APT는 제로데이 취약점이나 루트킷 기법과 같은 지능적인 공격기법을 동시다발적으로 이용해 표적으로 삼은 대상에 은밀히 침투한다. 제로데이 취약점은 프로그램에 문제가 알려지고 난 후 보안패치가 나올 때까지 시간차를 이용해 공격하는 기법을 말한다.
1.3 사이버 공격 유형
정보보호총론
1. 해킹
① 사전조사(Reconnaissance)
공격자는 공격 목표에 대한 킬 체인(KillChain)을 구성하기 위해 공격 목표의 홈페이지, 외부 공개자료, 조직도, 주요 임직원 정보, 협력업체, 정보시스템 유형 및 버전, 어플리 케이션의 종류 및 버전 등 공격목표에 대해 전방위적으로 정보를 수집하고 공격에 활 용할 수 있는 취약점을 식별한다.
② 제로데이(Zero-Day) 공격
사전 조사된 정보를 바탕으로 정보시스템, 웹 어플리케이션 등의 알려지지 않은 취약 점 및 보안시스템에서 탐지되지 않는 악성코드 등을 감염시키는 것이다. 제로데이 취 약점은 보안시스템 등에서 탐지되지 않으므로 해당 취약점에 의해 악성코드에 감염된 PC는 동일한 취약점을 보유하고 있는 PC를 스캔하여 감염시킨다.
③ 사회공학(Social Engineering)
공격목표의 중요 임직원 및 외부 유명인사 등을 가장하여 제로데이 취약점을 악용한 악성코드, 프로그램 등을 이메일, SNS, App 등을 통해 전송한다.
1.3 사이버 공격 유형
정보보호총론
1. 해킹
④ 은닉(Convert)
트로이목마 등 악성 프로그램을 설치하고 정상적인 이용자로 가장하여 시스템 접속정 보 등에 대한 정보수집과 서비스 이용패턴, 방법 등에 대한 모니터링을 수행하는 것으 로, 관리자 계정의 확보를 시도하여 관리자 권한으로 상승 후 수집 가능한 모든 정보를 수집한다.
⑤ 적응(Adaption)
권한상승을 통해 목표로 한 정보를 획득한 이후 공격대상의 내부 서버에 암호화하여 저장하거나 압축파일로 저장하여 비정기적으로 공격자의 단말기로 유출하는 등 공격 이 탐지되지 않도록 하는 활동, 공격이 탐지 되었는지를 지속적으로 모니터링 하는 활 동, 공격이 탐지된 경우 대응을 하는 활동 등을 포함한다.
⑥ 지속(Persistent)
공격자가 핵심정보를 지속적으로 유출시키기 위해 백도어 등의 프로그램을 설치하여 표적대상에 지속적으로 접근할 수 있도록 한다.
1.3 사이버 공격 유형
정보보호총론
1. 해킹
다. APT 공격 대상
APT는 기존 해킹과 달리 불특정 다수가 아닌 특정 대상을 지정해 공격한다. 오랜 시간 동안 잠복하면서 들키지 않게 정보를 빼내는 것이 특징이다.
그런 탓에 공격당하는 대상은 자신이 APT 공격을 당하고 있는지도 모르는 경우가 대부 분이다. APT 공격은 특정 기업이나 조직을 주로 노린다.
라. APT 공격 방어 대책
APT 공격을 막는 방법은 기존의 악성코드 공격을 막는 방법과 크게 다르지 않다.
APT 공격은 특정 목표를 정하고 이를 집중 공략하기 때문에 준비 기간이 길고 공격 수 준이 높아 웬만해서는 막아내기가 힘들다. APT 공격으로부터 시스템을 보호하려면 네 트워크와 시스템에 대한 의심스러운 행위를 탐지하고 기업에 맞는 보안 시스템을 구축 해야 한다.
