사이버보안

사이버보안사이버보안

2002. 11. 23.

국가보안기술연구소박 상 서

배 경배 경

국가보안기술연구소 박 상 서2002 오피니언 리더를 위한 정보기술 워크샵

인터넷 지표 (1)인구 100 명당 인터넷 이용자수 : 51 명 ( 세계 5위 )

통계청 (02.11.12)


인터넷 지표 (2)인구 100 명당 PC 보급률 : 32 대 ( 세계 17위 )

통계청 (02.11.12)


PC 방

교육

국방

물류

에너지

인터넷이용자수

금융

’02 년도 6 월 현재이용자수 : 2,565 만명도메인수 : 46 만개

행정

’94 년도이용자수 : 13 만 8 천명도메인수 : 192 개

연도

한국인터넷정보센터 (www.nic.or.kr), 도메인수는 .kr 도메인

국내 인터넷 이용 현황


Why Is The Internet an Easy Target

CMU CERT/CC


Information Infrastructure Dependence

CMU CERT/CC

사이버위험 개념사이버위험 개념


사이버위협이란 ?정보화의 부산물 / 역기능으로서

악의적 목적으로

컴퓨터 시스템을 이용하여

사이버공간을 구성하는 컴퓨터 시스템과 네트워크를 대상으로

불법적•의도적으로 악영향을 미치는 일체의 과정과 행위


종류 및 영향사이버위협의 종류 해킹 / 크래킹

정보수집 , 침투 , 공격전이 , 원격제어 악성코드

바이러스 , 웜 , 트로이목마 , 논리폭탄 , 기타 서비스거부

서비스거부 , 분산서비스거부 스니핑

시스템 / 네트워크에 미치는 영향 자료의 변조 , 절취 , 파괴 , 이용 외부에서의 임의 접근 및 자원의 임의 이용 시스템 / 네트워크 마비 기타 사용자가 의도하지 않은 행위

사이버위험 동향사이버위험 동향


Attack Sophistication vs. Required Intruder Knowledge

CMU CERT/CC


Joint Pub 3-13

Attack Sophistication vs. Required Intruder Knowledge in Brief


Who Is Attacking Systems?

CMU CERT/CC

사이버위험 실체사이버위험 실체


대표적 사이버위협컴퓨터

바이러스

웜

메일폭탄트로이 목마

해킹

논리 폭탄

스니퍼DoS

기타

사이버위험사이버위험- 해킹 -


배경지식 (1): TCP 패킷User Data

User DataApplication

Header

Application DataTCP

Header

Application DataTCP

HeaderIP

Header

Application DataTCP

HeaderIP

HeaderEthernetHeader

EthernetTrailer

TCP Segment

IP Segment (46 - 1500 Bytes)

Ethernet Frame14 20 20 4

Application

TCP

IP

Ethernet Driver

A SYN B

A SYN/ACK B

A ACK B

3Way Handshaking


배경지식 (1): IP SegmentIP Segment (46 - 1500 Bytes)

Application DataTCP

HeaderIP

Header

20 20 6 - 1460

Version(4)

HeaderLength

(4)

Types of Service(TOS)

(8)

Total Length in Bytes(16)

Identification(16)

Flag(3)

Fragment Offset(13)

Time To Live(TTL)

(8)

Protocol(8)

Header Checksum(16)

Source IP Address(32)

Destination IP Address(32)

Source Port Number(16)

Sequence Number(32)

HeadLength

(4)

Window Size(16)

Acknowledgement Number(32)

Destination Port Number(16)

Reserved(6)

SYN

URG

ACK

PSH

RST

FIN

TCP Checksum(16)

Urgent Pointer(16)


기본 개념해킹 (Hacking) 컴퓨터 시스템에 침입을 시도하는 행위 정보의 공유를 주장하며 자의적 판단하에 자료의 절취 ,

시스템 마비 등을 일으키는 행위

크래킹 (Cracking) 허가되지 않은 시스템에 접근해서 데이터를 파손하거나

시스템의 비정상적인 동작을 유발시키는 행위 개인용 컴퓨터 등을 사용하여 기업 , 국가 기관 등의 비밀을

알려는 범죄 행위 불법적이며 악의적 해킹


해킹 / 크래킹이 증가하는 이유소프트웨어의 버그의 상존 모든 소프트웨어는 버그를 가지고 있으며 버그가 없는 소프트웨어는 존재할 수 없다

새로운 종류의 취약점 발견 새로 개발되는 소프트웨어에서 취약점 발견 안전한 것으로 인식되던 프로그램에서 많은 취약점 발견

새로운 취약점 발견 개수 급격히 증가 매년 2 배 이상 증가 (CERT/CC) 새로 발견되는 취약점에 대응하는 것이 점점 어려워 짐 새로운 취약점 자동 발견 기술 개발

취약점 해결이전에 공격에 사용


공격 단계

공격 대상검색

공격 대상검색

사용자 권한획득

사용자 권한획득

관리자 권한획득

관리자 권한획득

침입 흔적제거

침입 흔적제거

백도어설치

백도어설치

다른 대상공격

다른 대상공격

정보유출변경

정보유출변경

기타기타


1 단계 : 공격 대상 검색과정 네트워크에 연결되어 있는 컴퓨터 검색 IP 주소 , 운영체제 종류 등 파악 취약한 부분 검색 : 공개 포트 , 취약한 서비스 등

방법 Manual Trial( 예 : 무작위 ping) 전문 검색 도구 이용 ( 예 : Nmap, Superscan) 취약점 점검 도구 이용 ( 예 : Nessus, SATAN, ISS)

공격 대상 결정


2 단계 : 사용자 권한 획득사용자 계정 (ID) 파악 알려진 계정 이용 스누핑 , 스니핑 , 키로깅 등의 기법 이용

패스워드 파악 무작위 입력 추측가능한 패스워드 시험 : 애인이름 , 차번호 , 전화번호

등 전문 도구 이용 : 무작위 대입 도구 또는 사전공격도구

사전에서 제공하는 값들의 목록을 토대로 패스워드를 찾아내려는 공격 방법


3 단계 : 관리자 권한 획득패스워드 파악 ( 사용자 권한 획득과 동일 ) 무작위 입력 추측가능한 패스워드 시험 : 애인이름 , 차번호 , 전화번호


관리자 권한 획득 도구 이용 버퍼 오버플로우 등 기법 이용 Sendmail 등의 취약성 이용


4 단계 : 침입흔적제거 및 백도어설치침입 흔적 제거 시스템 접속 기록 삭제

백도어 설치 시스템 재침투를 위해 우회 수단 설치 시스템 접속 상황 및 흔적 자동 삭제

시스템의 정상적인 보호 수단 우회를 위한 은폐 메카니즘

시스템 접속하는 비밀 입구

예 : 디폴트 패스워드 , login 백도어 , library 백도어 , kernel 백도어 , 파일시스템 백도어 , 루트킷 등


5 단계 : 정보유출 및 전진기지사용자 계정 (ID) 파악 알려진 계정 이용 스니핑 등의 기법 이용

패스워드 파악 무작위 입력 추측가능한 패스워드 시험 : 애인이름 , 차번호 , 전화번호


사전에서 제공하는 값들의 목록을 토대로 패스워드를 찾아내려는 공격 방법


Number of Intruders Able to Execute Attacks

CMU CERT/CC

사이버위험사이버위험- 스니핑 -


기본 개념스니핑 (Sniffing) 네트워크상에서 전송되는 정보를 송수신자가 인지하지 못하는 상태에서 읽어보는 것

패킷 스니핑무선 LAN 스니핑 무선 LAN 을 사용하는 시스템에 침입 또는 스니핑 데이터 암호 해독 방법 : Channel Scan, Beacon Broadcast

메신저 스니핑 메신저 서비스를 통해 전달되는 메시지를 스니핑 대상 : ICQ(I Seek You), IRC(Internet Relay Chatting) 등

WEP(Wired Equivalent Privacy)무선 LAN 데이터 암호화 기능 : 도청 방지


스니퍼 동작 원리

CMU CERT/CC


무선 LAN 구성

사이버위험사이버위험- 메일폭탄 -


기본개념메일폭탄 (Mail Bomb) 전자우편을 다량 발송하여 메일 서버를 마비시키는 방법 작은 크기 메일을 다량 발송 또는 큰 크기의 메일 발송

스팸메일 (Spam Mail) 다수 수신인에게 다량으로 광고나 선전물 발송

사례 : 유고전 미해군 항공기지에 200 통의 메일 발송 매일 2000 통의 메일을 나토 사령부에 발송

시스템 마비


동작 원리

1 4 7 2

메일서버

Internet

사이버위험사이버위험- 컴퓨터 바이러스 -


기본 개념컴퓨터 바이러스란 ? 자기 복제 기능 다른 프로그램 감염 기생

프로그램의 일부를 변형하여 자신 / 변형을 복사 실행시 시스템에 악의적 영향을 미침

범위 최근에는 악성코드를 포함시키기도 함 트로이목마 : Troj/BackOrifice, Troj/NetBus 등 인터넷웜 : I-Worm/Happy99, I-Worm/PrettyPark 등


컴퓨터 바이러스 분류

감염부위 : 부트 , 파일 , 부트 / 파일 , 매크로

감염위치 : 전위형 , 후위형 , 이동형

동작원리 : 기생형 , 겹쳐쓰기형 , 산란형 , 연결형 ,

기생겹쳐쓰기형

운영체제 : MS-DOS, Windows, Unix/Linux,MacOS

기타 : 가짜 (hoax), 리트로 , 고급언어 , 매크로 , 스크립트


컴퓨터 바이러스 명명법[접두사 /]이름 [. 접미사 ][: 언어 ][@m|@mm]접두사 악성코드의 종류나 동작 환경 표시

이름 일반적으로 사용되는 이름 (같은 바이러스에 여러 이름 가

능 ) 예 : CIH(Chernobyl, Spacefiller), LoveLetter(LoveBug)

접미사 변종을 파일 크기나 임의의 문자로 구분

언어 악성 코드가 특정 언어에서만 동작함을 표시 예 : 독일어 버전 ‘ :De’, 이탈리아어 버전 ‘ :It’

@m: 메일 발송 , @mm: 대량 메일 발송


컴퓨터 바이러스 동작 원리

감염실행 코드

프로그램 헤더

바이러스 코드

실행 코드

프로그램 헤더 실행 시작

존재 ? Yes

No

감염 대상 조사

바이러스 동작

바이러스복제

원래 코드 실행


컴퓨터 바이러스 발전 전망전문화 , 조직화된 그룹에 의한 제작 군사적 목적 , 스파이 목적

바이러스 제작 기술의 일반화 인터넷 , 전자잡지 등을 통한 고급 제작 기법의 일반화

매크로 바이러스 , 스크립트 바이러스 활성화 비전문가 , 자동화된 도구에 의한 제작

새로운 종류의 바이러스 등장 Linux/Unix 용 바이러스 PDA, 휴대폰용 바이러스

바이러스와 해킹의 경계 불분명 바이러스에 해킹 기법 접목 악성 에이전트 기술 발전

사이버위험사이버위험- 웜 -


기본 개념웜 (Worm) 이란 ? 다른 프로그램을 감염시키지 않음 자기자신을 복제하여 통신망을 통해 유포 독자적 실행 가능 다른 프로그램에 기생하지 않음

종류 모리스 웜 (Morris Worm): 전통적인 웜

초기에만 사용자 개입 필요 인터넷 웜 (Internet Worm): 최근의 웜

다른 시스템에 침투하기 위해서는 사용자 개입 필요 예 : I-Worm/Happy99, I-Worm/ExploreZIP,

I-Worm/PrettyPark, I-Worm/MyPics 등


모리스 웜1988. 11. 2 발생

CERT/CC 설립 (1988.11.17) 의 동기 제공

알려진 취약점을 악용하여 복제

스스로 복제하기 위하여 반복적으로 인접 시스템에 침투

Computer Emergence Response Team/Coordination Center

시스템 침투율 통제 기능이 있었으나프로그램 오류로 인터넷을 완전히 마비시킴


인터넷 웜E-mail 로 전달 (첨부 형태 ) 윈도우에서는 전통적 웜에서 사용된 기법 적용 한계 주소록을 통해 사회공학 방법으로 대량의 메일 전송

시스템에 침투하기 위해서 사용자 개입필요

인터넷 웜 성공요인 기반의 단일성 : Wintel(Windows + Intel) 제작에 편리한 환경 : 스크립트 언어 , ActiveX 기술 전 세계 컴퓨터가 단일 네트워크로 연결 : 피해 범위 증가

( 실행 , 읽기 등 )


인터넷 웜 분류 ( 전파방법 )네이티브 (Native) 웜 E-mail 자체의 스크립트로 전파 , 자동실행 가능

기생 (Parasitic) 웜 첨부된 웜이 E-mail 과 분리되어도 원래 기능을 수행

임의 (Arbitrary) 웜 이메일 외에 IRC 의 DCC, FTP, TCP/IP 소켓 사용 전파

P2P(Peer-to-Peer) 웜 윈도우 폴더 공유 , 냅스터 , 소리바다 등 P2P 네트워크로

전파


인터넷 웜 동작 원리

실행 시작 주소록검색

메일 작성및 발송

재부팅시자동실행

설정

악의적기능수행

메일 발송주소 선택

사용자개입

사이버위험사이버위험- 트로이목마 -


기본 개념트로이목마 (Trojan Horse) 정상적인 기능을 하는 프로그램처럼 보이지만 실제로는

사용자 몰래 불법적인 일을 수행하는 프로그램 다른 프로그램에 기생하지 않고 자기 복제 기능이 없는 독립적인 프로그램

일반적으로 트랩도어 생성 원격에서 컴퓨터 제어 가능

주요 기능 키입력 / 오디오 / 비디오 캡춰 파일 /레지스트리 접근 패스워드 탈취 프로그램 실행 제어 등

예 : BackOrifice, SchoolBus, SubSeven, Ecokys 등


바이러스 / 웜 / 트로이목마 구분

최근 들어 복합적인 기능의 악성코드 등장예 : Win32/MTX( 바이러스 + 웜 + 트로이목마 기능 )

컴 퓨 터바이러스

웜 트로이목마

기 생 O Ⅹ Ⅹ

복 제 O O Ⅹ

자동실행 Ⅹ O(△ ) Ⅹ


트로이목마 동작원리트로이목마서버 설치

( 백도어 설치 )

트로이목마 클라이언트( 백도어에 접근 )

Internet

사이버위험사이버위험- 논리폭탄 -


기본 개념논리폭탄 (Logic Bomb) 조건이 만족되면 예정된 공격을 수행하는 코드 바이러스와 달리 자신을 복제할 수 없음 일반적으로 바이러스 , 웜 , 트로이목마 등에 포함

트리거 기술 논리폭탄의 동작 조건 만족 여부를 탐지 , 결정

파괴 기술 논리폭탄 조건이 만족하였을 때 정의된 공격 수행

사이버위험사이버위험- 서비스거부 -


기본 개념서비스거부 (Denial of Service: DoS) 공격 시스템에 과도한 부하를 일으켜 정당한 사용자가

적절한 시간내에 사용하는 것을 방해하는 행위

분산서비스거부 (Distributed DoS: DDoS) 공격 많은 시스템에 DoS 공격용 프로그램을 분산 설치 동시에 목표 시스템에 대하여 일제히 공격 수행 시스템 성능 저하 및 마비 한명이 수백 , 수천 대를 동시에 통제하며 공격가능


서비스거부 원리

CMU CERT/CC

접속시도

접속시도

접속시도

접속시도

접속시도 접속시도

접속시도

접속시도접속시도


서비스거부 대상웹서버 웹 서비스 불능

라우터 통신 전달 방향 지정 처리용량 이상의 통신내용 전달 라우터의 기능 저하 , 마비

DNS(Domain Name Service) 서버 컴퓨터 이름 IP 주소 인터넷 연결 불가

주요기반시설 금융 , 핵발전 , 전력 , 통신 등 국가 주요 정보통신시설 사이버테러 형태

사이버위험사이버위험- 기타 -


스파이웨어기본 개념 자주 사용되는 프로그램에 포함되어 주요 정보 자동 유출 로그 기록 , 사용자의 개인 성향 , 각종 비밀번호 등 유출

대표적인 예 마이크로소프트사 미디어플레이어 넷스케이프사 웹브라우저 리얼오디오사 리얼주크박스 오리에이트사 GetRight, Go!Zilla, CuteFTP 3.0 등 리얼네트워크사 리얼플레이어 JetCar, NewsBin, My Genie SE, WebCopier 등


키로거기본 개념 사용자의 키보드 입력을 가로채어 저장 및 반출

대표적인 예 Keylogger 버그베어 바이러스 등

사이버보안사이버보안


사이버보안 기본 방법

침입차단시스템

침입탐지시스템

바이러스 백신

VPN

보안제품 사용올바른 보안 설정보안 서비스 활용보안 정보 접촉기본수칙 준수



운영체제

네트워크 장비

보안 제품

응용프로그램

다단계 보안 적용




안전성 확인 제품 사용

취약성 분석 서비스

CERT( 침해사고대응팀 )



사이버보안 기본 방법보안제품 사용올바른 보안 설정보안 서비스 활용보안 정보 접촉기본수칙 준수

보안 취약점

보안 사고

보안 권고

변화하는 보안 환경


사이버보안 기본 방법보안제품 사용올바른 보안 설정보안 서비스 활용보안 정보 접촉기본수칙 준수

주기적 업데이트

이메일 확인시 주의실행가능한 첨부화일의심스런 메시지

실행화일 송수신 제한

불필요한 파일 사용 금지

사이버보안

Documents

Transcript of 사이버보안