정보 보호) 기본 개념 정리

암호 알고리즘

개인키 암호화 기법 / 대칭, 단일키 (Symmetric)

동일한 키로 데이터를 암호화하고 복호화한다.

• 블록 암호화 방식 : DES, SEED, AES, ARIA
• 스트림 암호화 방식 : RC

공개키 암호화 기법 / 비대칭 (Asymmetric)

암호화할 때는 공개키, 복호화할 때는 비밀키를 사용한다.

공개키는 데이터베이스 사용자에게 공개하고, 비밀키는 관리자가 관리한다.

• RSA

해시 (Hash)

임의의 길이의 입력데이터나 메시지를 고정된 길이의 값이나 키로 변환

Attack

• SQL 삽입
  • 입출력 인터페이스의 허점을 이용하여 데이터베이스를 무단으로 조작하는 공격
  • 입력 필터링 필요
• CSRF 공격
  • Cross-site request forgery / 사이트 간 요청 위조
  • 위조 요청을 전송하는 서비스에 사용자가 로그인한 상태에서 피싱 사이트에 접속하면 공격자는 사용자의 권한을 도용하여 중요 기능응 실행할 수 있게 된다.
  • 인터넷 사용자가 자신의 의지와 무관하게 공격자가 의도한 행위를 특정 사이트에 요청하게 만드는 공격
  • https://itstory.tk/entry/CSRF-공격이란-그리고-CSRF-방어-방법
• XSS 공격
  • 사용자가 입력한 정보를 출력할 때 스크립트가 실행되도록하는 공격 기법
  • 공격자가 웹 페이지에 악성 스크립트를 삽입하여 중요 정보를 탈취하거나 자동으로 비정상적인 기능을 수행하게 하는 공격
  • cross-site scripting / 사이트 간 스크립팅 공격

서비스 거부 공격 Denial of Service (DoS)

표적이 되는 서버의 자원을 고갈시킬 목적으로 다수의 시스템에서 대량의 데이터를 한 곳의 서버에 집중적으로 전송하여 표적 서버의 정상 기능을 방해하는 공격

Ping of Death

• 명령 전송시 패킷의 크기를 인터넷 프로토콜 허용 범위 이상으로 전송하여 공격 대상의 네트워크를 마비시키는 DoS 공격
  • → 큰 패킷을 수백 개의 패킷으로 분할하여 전송하는데 이 것을 수신하여 재조립하는 동안 부담이 생기고, 전송된 패킷의 요청 확인 메시지에 대한 응답을 처리하느라 시스템이 다운된다.
  • ⇒ ICMP Ping 메시지가 전송되는 것을 방화벽에서 차단한다.

SMURFING

• 엄청난 양의 데이터를 한 사이트에 집중적으로 전송하여 네트워크 불능 상태로 만드는 공격
  • → 공격자는 네트워크 내 전체 호스트를 애상으로 브로드캐스트 주소를 수신지로 하여 패킷을 전송하여 네트워크 내의 모든 컴퓨터가 수신된 패킷에 대한 응답 메시지를 송신 주소지로 위장된 공격 대상 서버로 보낸다. 이로 인해 공격 대상지는 네트워크 과부하로 인해 정상 서비스 수행이 불가능해진다.
  • ⇒ 네트워크 라우터에서 브로드캐스트 주소를 사용할 수 없게 미리 설정해 둔다.

SYN Flooding

• TCP 중 패킷 전송을 위해 3-way handshaking을 거치는데 이때 공격자가 가상의 클라이언트로 위장하여 의도적으로 중단시켜 서버가 대기 상태에 놓이게 하는 공격
  • → 가상의 클라이언트로 위장한 공격자는 3-way handshake의 마지막 단계인 ACK 신로를 전송하지 않아 서버는 클라이언트의 접속을 받아들이기 위해 메모리 공간을 미리 확보해 둔 채 대기하게 된다.
  • → 이런 상황에서 반복적으로 전송 요청을 하면 서버는 메모리 공간을 점점 더 많이 확보한 채 대기하게 되어 정상 서비스를 수행할 수 없게 된다.
  • ⇒ SYN 수신 대기 시간을 줄이거나 침입 차단 시스템을 할용한다.

TearDrop

• 데이터 송수신 시 패킷의 크기가 커 여러 개로 분한되어 전송할 때 분할 순서를 알려주는 Fragment Offset이 함께 전송되는데 이것을 변경시켜 패킷 재조립시 오류로 인한 과부하를 발생시키는 공격
  • ⇒ Fragment Offset이 잘못된 경우 해당 패킷을 폐기하도록 한다.

Land

• 패킷 전송 주소와 수신 주소를 공격 대상 IP 주소로 설정하는 공격
  • → 패킷을 받은 공격 대상은 송신 주소도 자신의 주소이므로 자신에게 응답을 해야해서 무한히 응답하게 된다.
  • ⇒ 송신 주소와 수신 주소가 적절한지 패킷을 수신하기 전에 확인한다.

DDoS Distributed Denial of Service

• 분산된 곳에서 한 곳의 표적 서버에 공격

네트워크 침해 공격 관련 용어

Smishing

• SMS 문자 메시지를 이용하여 사용자의 개인 정보를 탈취하는 수법

Spear phishing

• 타켓에게 일반적으로 위장한 메일을 지속적으로 발송하여 메일 본문의 링크나 파일을 클릭하도록 유도하는 수법

APT / Advanced Persistent Threats 지능형 지속 위협

• 다양한 기술과 방식을 이용해 조직적으로 특정 기업이나 네트워크에 침투해 활동 거점을 마련한 뒤 일정 시간 기다리며 보안을 무력화하고 정보를 수집하고 외부로 빼돌리는 공격

무작위 대입 공격

암호화된 문서의 암호키를 찾기 위해 적용 가능한 모든 값을 대입하는 공격

Qshing

QR코드를 통해 악성 앱 다운로드를 유도하거나 설치하도록 하는 기법

SQL 삽입 공격

보안이 취약한 사이트의 데이터에 불법적으로접근하여 조작하는 공격

XSS 크로스 사이트 스크립팅

사용자가 특정 게시물이나 링크를 클링하면 악성 스크립트가 실행되어 페이지의 정상 동작이 실행되지 않거나 정보를 탈취하는 공격

정보 보안 침해 공격 관련 용어

좀비 PC

악성 코드에 감염되어 다른 컴퓨터를 조종하도록 만들어진 컴퓨터로 주로 DDoS 공격에 사용된다.

C&C 서버 Command & Control

해커가 원격지에서 좀비 PC에 명령을 내리고 악성코드를 제어아기 위해 사용하는 서버

Botnet

악성 프로그램에 감염되어 악의적인 의도로 사용될 수 있는 다수의 컴퓨터들이 네트워크로 연결된 형태

Worm

네트워크를 통해 연속적으로 자신을 복제하여 시스템의 부하를 높여 시스템을 다운시키는 공격

ex) 버퍼오버플로우 공격, DDoS 등

Zero Day Attack

보안 취약점이 발견되었을 때 이것이 공표되기도 전에 이미 공격을 받는 것 (공격의 신속성)

Key Logger Attack

사용자의 키보드 움직임을 탐지하여 중요 정보를 탈취하는 공격

Ransomeware

인터넷 사용자의 컴퓨터에 침입하여 내부 문서 및 자료들을 암호화하여 사용자가 사용할 수 없도록 한다. 암호 해독용 프로그램 전달을 조건으로 돈을 요구한다.

Back door

시스템 설계자가 개발자의 접근 편의를 위해 시스템 보안을 제거하여 만든 비밀 통로로 악용되기 쉽다.

Trojan Horse

정상 프로그램으로 위장하여 프로그램 내에 숨어 있다가 해당 프로그램 동작시 활성화되어 부작용을 일으키는 공격

worm과 달리 자기 복제 기능은 없다.

보안 아키텍처

정보 시스템의 무결성, 기밀성, 가용성을 보장하기 위해 보안 요소 및 체계를 식별하고 관계를 정의한 구조

보안 계층

• 인프라 시스템 (서버, 네트워크 등의 자원)
• 응용 프로그램
• 데이터
• 단말기 PC
• 인터페이스

보안 영역

• 정보 시스템
• 제어 시스템
• 클라우드
• 무선
• 사물인터넷

보안 요소

• 인증
• 접근 통제
• 데이터 처리 보호
• 암호화
• 감사 추적
• 위협 탐지

보안 프레임워크

안전한 정보 시스템 환경을 유지하기 위한 체계

• ISO 27001 : 정보 보안 관리를 위한 국제 표준 프레임워크
  • 보안 정책 (경영 방침과 지원 사항)
  • 정보 보안 조직
  • 자산 관리
  • 인적 자원 보안 (사람의 실수, 절도 등의 위험 대응)
  • 접근 통제
  • 암호화
  • 물리적 환경적 보안
  • 통신 보안 (네트워크 간 정보 전송)
  • 운영 보안
  • 시스템 획득, 개발 및 유지 보수
  • 공급자 관계
  • 정보 보안 사고 관리
  • 정보 보호 측면 업무 연속성 관리
  • 준거성
• 보안 통제 항목

보안 솔루션

방화벽

기업이나 조직 내부의 네트워크와 인터넷 간에 전송되는 정보를 선별하여 수용, 거부, 수정하는 기능을 가진 침입 차단 시스템

• 내부 → 외부 패킷을 그대로 통과시키고, 외부 → 내부 패킷만 체크하여 인증된 것만 통과시킨다.
• 외부로의 정보 유출을 막는다.

침입 탐지 시스템 IDS Intrusion Detection System

시스템의 비정상적인 사용을 실시간으로 탐지하는 시스템

• 오용 탐지 : 미리 입력해 둔 공격 패턴이 감지되면 알린다.
• 이상 탐지 : 정상 시스템 상태 기준 비정상적인 행위가 감지되면 알린다.

침입 방지 시스템 IPS Intrusion Prevention System

침입 탐지 시스템 + 방화벽

침입 탐지 시스템으로 패킷을 검사한 후 비정상 패킷이 발견되면 방화벽으로 차단한다.

데이터 유출 방지 DLP Data Leakage Prevention

내부 정보가 외부로 유출되는 것을 방지하는 솔루션

사내 PC와 네트워크의 모든 정보를 검색하고 사용자 행위를 탐지 및 통제하여 외부 유출을 사전에 막는다.

웹 방화벽

일반 방화벽이 탐지할 수 없는 웹 기반 공격을 방어한다.

가상 사설 통신망 VPN Virtual Private Network

통신 사업자의 공중 네트워크와 암호화 기술을 이용하여 사용자가 전용 회선을 사용하는 것처럼 해준다.

NAC Network Access Control

네트워크에 접속하는 내부 PC의 MAC 주소를 IP 관리 시스템에 등록 후 일관된 보안 관리 기능을 제공한다.

• 내부 PC의 소프트웨어 사용 현황을 관리하여 불법 소프트웨어 설치를 방지한다.
• 일괄 배포 관리 기능을 이용하여 백신이나 보안 패치를 설치하고 업그레이드 한다.
• 네트워크에 접속한 비인가된 시스템을 자동으로 검출한다.

ESM Enterprise Security Management

다양한 장비에서 발생하는 로그 및 보안 이벤트를 통합하여 관리하는 솔루션

보안 솔루션 간 상호 연동을 통해 종합적인 보안 관리 체계를 수립할 수 있다.

Tech. trends

참고 : 2020보안기술 개발 동향

인공지능 기술의 발전

1. 공격

• 공격자들은 새로운 형태의 지능화된 알고리즘으로 신종 사이버 공격과 자동화 기술을 사용한다.
• 머신러닝 기법을 통해 자동으로 보안 취약점을 지속적으로 탐지하고 공격하며 위장에도 효과적으로 사용된다.

2. 방어

• 이런 사이버 위협을 대비하기 위해 보안 업계도 인공지능 기술이 주목하고 있다.
• 악성 코드 공격 유형을 머신러닝 기법을 통해 자동으로 분류 및 분석하여 대응책을 마련한다.

네트워크 기반 침입 탐지 Network-Based Intrusion Detection

인가되지 않은 사용자가 정보 자원에 불법으로 접근하거나 정보 자원을 고갈시키는 행위를 검출하고 대처하는 것

기존의 네트워크 기반 침입 탐지 (전문가에 의한 오용 탐지)

공격 특징을 분석하여 이를 자동으로 감지할 수 있는 패턴 형태를 만들어 놓고 실시간으로 네트워크 패킷을 관찰하여 동일한 패턴이 발생하면 침입을 알린다.

• 효율적, 효과적이다.
• 공격 분석을 통해 패턴을 만들기 위해 특수 전문가가 필요하여 생성 및 유지보수에 높은 비용이 필요하다.
• 패턴과 다르게 살짝만 우회하는 공격을 하면 감지하기 어렵다.

통계적 기반의 비정상 행위 탐지 Statistixs-Based Anomaly Detection

정상 네트워크 사용에 대한 통계적 자료를 만들어 두고 이를 벗어나는 네트워크 상의 트래픽이 발생하면 침입이 발생했다고 판단한다.

• 일부 공격에는 효과적이다.
• 공격이 몇 개 안되는 패킷으로 구성된 경우 탐지하기 어렵다.

1. 실제⇒ 다양한 유형의 공격을 완벽하게 탐지할 수 없다.
2. 1전문가에 의한 오용 탐지를 주축으로 하고, 2통계적 기반의 비정상 행위 탐지를 보조적으로 사용한다.
3. 인공지능의 적용
4. 정상 네트워크 패킷과 비정상 네트워크 패킷을 수집하여 이 패킷에 대한 다양한 머신러닝 알고리즘을 적용하여 학습된 지식을 기반으로 실시간으로 생성되는 패킷의 정상 및 비정상 여부를 판단하게 한다.

주요 네트워크 기반 침입 탐지 시스템

다크트레이스

• 모든 사용자 및 디바이스의 이상 징후를 머신러닝과 인공지능 기법을 활용하여 실시간으로 자동 분석하고 그 이상 여부를 판별한다.
• 모든 디바이스에 대한 데이터 흐름을 통해 정상 행위를 학습하고 이에 위반되는 행위를 판별한다.

사이런스

• 기존에 수집된 악성코드의 특성을 다양한 머신러닝 알고리즘을 적용하여 학습하고 학습한 데이터를 기반으로 새로운 형태의 악성코드도 분류할 수 있는 인공지능을 탑재한다.

인공지능 기술 적용을 위한 데이터 전처리

어떻게 보안에 인공지능을 적용할 것인가?

1. 수십 수백만의 데이터 (정상 네트워크 패킷과 비정상 네트워크 패킷)를 수집한다.
2. 수집한 데이터들을 손실률을 줄이면서 딥러닝 알고리즘에 적용할 수 있도록 데이터 전처리를 한다.
   • 데이터 전처리 과정i) 네트워크 트래픽은 pcap 을 이용하여 세션 단위로 읽어 txt 파일로 저장한다.ii) txt 파일로 저장된 데이터를 28 x 28 사이즈의 png 로 이미지화한다.iii) 이렇게 수집된 세션 데이터는 다양한 딥러닝 알고리즘에 바로 적용할 수 있다.
   •  
   •  
   •  
3. 전처리를 거친 데이터를 딥러닝 알고리즘에 적용한다.

---

참고 : 2020 보안 트랜드 살펴보기 - 모든 기술은 인간을 향한다

RSA 컨퍼런스 2020

글로벌 사이버 보안 기업과 미국 정보 기관 등이 참가하는 세계 최대 사이버 보안 행사

보안 트렌드

[정보 보호 산업 발전을 위해 개인의 인식 강조]

Human Element

포용적 사이버 보안 문화 확산 및 보안의 민주화

• 사이버 보안의 근본은 사람을 보호하는 것이다.
• 보안 담당자 뿐만 아니라 이용자 등 모든 사이버 행위자가 참여하고 책임을 지는 보안 민주화가 필요하다.
• ⇒ 단순한 보안 설계

Threat Intelligence

고객의 니즈를 맞추는 방향으로 발전하 위협 인텔리전스

• 고객은 외부 인텔리전스 정보를 활용해 위협 동향을 쉽게 파악하고 선제 대응을 할 수 있다.
• 조직 내 보안 인력의 규모나 기술의 수준에 따라 인텔리전스 서비스를 활용하기 위한 전략을 다르게 수립해야 한다.
• 맞춤형 위협 인텔리전스 서비스를 제공해야 한다.

IT Tech. & OT

IT기술과 OT(제조 설비, Operation Tech.) 를 융합한 보안 위협 모델링

• 다양한 융합 산업의 발전으로 제조 설비 기술과 IT 기술의 교차점이 증가하면서 그에 따라 발생 가능한 보안 위협을 분석하고 모델링 해야 한다.
• OT로까지 보안 영역 확장

Cloud Security

• 통합형 클라우드 보안을 위해 고객 중심의 가시성 확보가 필요하다.
• 클라우드 내 보안 강화를 위한 핵심 보안 솔루션 통합을 추진하고 타사의 기술을 수용한 연동 환경 구축 등이 중요하다.

국내 정보보호 산업 정책 시사점

보안 기술, 협업, 문화, 그리고 Human Element

• 사이버 보안 위협의 가장 큰 영향을 받는 주체는 사람이기 때문에 보안의 근본적인 목적이 사람이다.
• 사람을 강조한 보안 문화 조성
• 내부자 위협 관리 강화에 대한 필요성과 그에 대한 관리자의 책임

보안 자동화

• 클라우드 환경에서 보안 자동화를 위해 기업 간 기술 제휴 및 통합
• 독단적인 기술의 수준보다는 공유와 협력이 더 중요하다.
• 고객 맞춤형 보안 서비스 형태로 발전해야 한다.

보안 기업 육성 및 촉진을 위한 정책적, 제도적 지원 필요

• 국내 보안 기업의 경쟁력 약화와 정부 지원 감소 등
• 민간 기업과 정부 모두 노력이 필요하다.

---

참고 : 체크포인트가 발표한 9가지 2020 사이버 보안 기술 예측

사이버 보안 예측

• 광범위하고 진화되고 있다.
• 네트워크 기술의 발전으로 인해 증가한다.
• 인공지능 기반 솔루션과 클라우드 보안 수요가 늘어나고 있다.