[정보처리기사]시스템 보안 구축

1.서비스 거부(DoS; Denial of Service) 공격

-개념

서버의 자원을 고갈시킬 목적으로 다수의 공격자가 대량의 데이터를 한 곳의 서버에 집중적으로 전송함으로써, 표적이 되는 서버의 정상적인 기능을 방해하는 것.

 

- 종류

Ping of Death, SMURFING, SYN Flooding, TearDrop, Land, DDoS

* Ping of Death(죽음의 핑)

=Ping 명령을 전송할 때 패킷의 크기를 인터넷 프로토콜의 허용범위 이상으로 전송하여 마비시키는 방법.

=공격에 사용되는 큰 패킷은 수 백개의 패킷으로 분할되어 전송되는데 이를 재조립해야 한다는 부담과 각각의 패킷의 ICMP Ping 메세지(해당 IP의 노드가 현재 운영 중인지 확인을 요청하는 메시지)에 대한 응답을 처리하느라 시스템이 다운 됨.

=ICMP Ping 메세지가 전송되지 못하도록 방화벽에서 차단하는 기술개발

 

* SMURFING(스머핑)

= IP나 ICMP의 특성을 악용하여 엄청난 양의 데이터를 한 사이트에 집중적으로 보냄으로써 네트워크를 불능 상태로 만드는 공격 방법.

= 공격자는 송신 주소를 공격 대상지의 IP 주소로 위장하고 해당 네트워크 라우터의 주소를 수신지로 해서 패킷을 전송하면 해당 네트워크 내의 모든 컴퓨터로 전송된다. 네트워크 과부화 옴.

= 각 네트워크 라우터에브로드캐스트 주소를 사용할 수 없게 미리 설정해놓아서 막을 수 있음.

 

* SYN Flooding

= TCP는 신뢰성 있는 전송을 위해 3-way-handshake(SYN, ACK 패킷 전송으로 통신 확인)를 거친 후에 데이터를 전송하는데, 공격자가 가상의 클라이언트로 위장해서 의도적으로 과정을 중단시켜서 서버가 대기상태에 놓여 정상적인 서비스를 수행하지 못하게 하는 공격 방법

= 공격자는 사용할 수 없는 IP 주소를 이용해 가상의 클라이언트로 위장하여 서버로 반복적인 3-way-handshake 과정을 요청하면 서버는 메모리 공간을 확보한 상태로 대기상태로 채워짐.

= 수신지의 ‘SYN’ 수신 대기 시간을 줄이거나침입 차단 시스템을 활용

 

* TrearDrop

= 데이터 패킷이 여러 개로 분할되어 전송될 때 분할 순서를 알 수 있도록 Fragment Offset 값을 전송하는 데 TearDrop은 이 오프셋 값을 변경시켜서 오류로 인한 과부화를 발생시킴.

=Fragment Offset이 잘못된 경우 해당 패킷을 패기하도록 설정.

 

* Land

= 패킷을 전송할 때 송, 수신 IP 주소를 공격 대상의 서버 주소로 설정하여 전송해서, 계속해서 자기 자신에게 응답을 무한히 수행하도록 하는 공격 방법.

=송신 IP 주소와 수신 IP 주소의 적절성을 검사함.

 

2. 분산 서비스 거부(DDoS) 공격

-개념

*Distributed Denial of Service

* 여러 곳에 분산된 공격 지점에서 한 곳의 서버에 대해 분산 서비스 공격을 수행하는 것으로, 네트워크 취약점이 있는 호스트를 탐색한 후 호스트들에 분산 서비스 공격 툴(데몬: Trin00, TFN, Stacheldraht)을 설치하여 에이전트로 만든 후 공격에 이용.

* 공격의 범위를 확대하기 위해 일부 호스트에 다수의 에이전트를 관리할 수 있는 핸들러 프로그램을 설치하여 마스터로 지정한 후 공격에 이용하기도 함.

3. 보안 서버

- 인터넷을 통해 개인정보를 암호화하여 송 수신 할 수 있는 기능을 갖춘 서버

- ‘개인 정보의 기술적 관리적 보호조치 기준’: 서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송 정보를 암호화 하는 기능 + 서버에 암호화 응용 프로그램을 설치하고 전송 정보를 암호화하여 송, 수신하는 기능

- 스니핑을 이용한 정보 유출, 피싱을 이용한 위조 사이트 등에 대비하기 위해 보안 서버 구축이 필요함.

 

4. 인증

- 다중 사용자 컴퓨터 시스템이나 네트워크 시스템에서 로그인을 요청한 사용자의 정보를 확인하고 접근 권한을 검증하는 보안 절차.

- 네트워크를 통해 컴퓨터에 접속하는 사용자 등록 여부를 확인하는 것, 전송된 메시지의 위, 변조 여부를 확인하는 것.

- 주요 유형: 지식 기반 인증, 소유 기반 인증, 생체 기반 인증, 위치 기반 인증

- 지식 기반 인증 (Something You Know)

  = 사용자의 기억 기반, 관리 비용이 저렴.

  = 고정된 패스워드

  = 패스 프레이즈: 기억하기 쉬운 문장을 활용하여 비밀번호 구성하는 방법

  = 아이핀: 인터넷에서 주민등록번호 대신 쓸 수 있도록 만든 사이버 주민등록번호

- 소유 기반 인증 (Something you Have): 신분증, 메모리카드(토큰), 스마트 카드, OTP

- 생체 기반 인증 (Something You Are): 지문, 홍체, 얼굴

- 기타 인증 방법: 행위 기반, 위치 기반(콜백, IP주소 등)

 

5. 보안 아키텍쳐

- 정보 시스템의 무결성, 가용성, 기밀성을 확보하기 위한 보안 요소 및 보안 체계를 식별하고 이들간의 관계를 정의한 구조.

 

6. 보안 프레임워크

- 안전한 정보 시스템 환경을 유지하고 보안 수준을 향상시키기 위한 체계.

 

7. 로그

- 시스템 사용에 대한 모든 내역을 기록해 놓은 것. 시스템 침해 사고 발생시 해킹 흔적이나 공격 기법을 파악할 수 있음.

리눅스 로그

- 시스템의 모든 로그를 var/log 디렉토리에서 기록하고 관리.

윈도우 로그

- 이벤트 로그 형식으로 시스템 로그 관리

- 응용 프로그램, 보안, 시스템, Setup, Forwarded Events

 

8.보안 솔루션

- 접근 통제, 침입 차단 및 탐지 등을 수행하여 외부로부터의 불법적인 침입을 막는 기술 및 시스템.

 

- 방화벽 (Firewall)

 = 기업이나 조직 내부의 네트워크와 인터넷 간에 전송되는 정보를 선별하여 수용, 거부, 수정하는 기능을 가진 침입 차단 시스템

 = 내부 네트워크에서 외부로 나가는 패킷은 그대로 통과시키고, 외부에서 내부 네트워크로 들어오는 패킷은 엄밀히 체크해서 인증된 패킷만 통과시키는 구조.

 

- 침입 탐지 시스템(IDS; Intrusion Detection System)

 = 오용 탐지: 미리 입력해둔 공격 패턴 방견되면 이를 알려줌.

 = 이상 탐지: 평균적인 시스템의 상태를 기준으로 비정상적인 행위나 자원의 사용이 감지되면 알려줌.

 = 위치: 패킷이 라우터로 들어오기 전, 라우터 뒤, 방화벽 뒤, 내부 네트워크, DMZ

 

- 침입 방지 시스템(IPS; Intrusion Prevention System): 방화벽 + 침입 탐지 시스템

- 데이터 유출 방지(DLP; Data Leakage/Loss Prevention)

- 웹 방화벽(Web Firewall): SQL 삽입 공격/XSS 등의 웹 기반 공격을 방어할 목적으로 만들어진 방화벽.

 

- VPN(Virtual Private Network, 가상 사설 통신망)

 = 공중 네트워크 암호화 기술을 이용하여 사용자가 마치 자신의 전용 회선을 사용하는 것처럼 해주는 보안 솔루션.

 = 암호화된 규격을 통해 인터넷망을 전용선의 사설망을 구축한 것처럼 이용하므로 비용 부담을 줄일 뿐 아니라 지역적인 제한 없이 업무 수행 가능.

 

- NAC(Network Access Control): 네트워크에 접속하는 내부 PC의 MAC 주소를 IP 관리 시스템에 등록한 후 일관된 보안 관리 기능을 제공하는 보안 솔루션.

 

- ESM(Enterprise Security Management): 다양한 장비에서 발생하는 로그 및 보안 이벤트 통합해서 관리.