2025.04.21 - [전공수업/정보보안] - [정보보안] 네트워크 보안 - DoS, DDoS, DRDoS, APT 공격
[정보보안] 네트워크 보안 - DoS, DDoS, DRDoS, APT 공격
* 서비스 거부(DoS) 공격- 특정한 시스템이나 네트워크, 웹 서비스에 정상적인 사용자가 접근하지 못하도록 방해하는 것즉, 다량의 트래픽을 통해 특정대상에 과부하를 주거나, 악의적인 요청을
djjin02.tistory.com
위 게시물과 이어서 작성한 내용입니다.
* 기타 공격
1. 제로데이(Zero Day) 공격
- 컴퓨터 소프트웨어의 취약점을 공격하는 기술적 위협(익스플로잇)
- 취약점에 대한 패치가 나오지 않은 시점에 이루어지는 공격
- 일반 사용자들에게 공개되기 전 공격자에게 배포
- 공격이 개시된 이후에 며칠간 발견이 되지 않을 수도 있음
1) 대응방법
- 포트 노킹 또는 단일패킷 권한 사용
- 포트 노킹: 기본차단 전략으로 설정된 패킷 필터에 의해 보호되게 해주는 닫힌 포트를 인증된 사용자만 데이터의 통신 연결 (많은 사용자가 참여하는 환경에는 적절하지 않음)
- 하이트 리스트 기술 사용 (좋은 것으로 알려진 프로그램 또는 기관의 시스템 만을 허가)
- 제로데이 긴급대응팀 운영, 제품을 업그레이드하기 전에 적당한 기간을 기다림
2. 사회공학적 공격
- 보안 기술적인 방법이 아닌, 사람 간 기본적인 신뢰를 기반으로 속여 비밀 정보를 획득하는 기법
- 사람을 속여 정상 보안절차를 무력화시키기 위한 비기술적 침입수단
- 통신망 보안 정보에 접근 권한이 있는 담당자와 신뢰를 쌓고, 전화나 전자메일을 통하여 그들의 약점과 도움을 이용
- 상대방의 자만심이나 권한을 이용
- 정보의 가치를 알지 못하여 보안을 소홀히 하는 무능에 의존하는 것과 도청 등이 일반적인 사회공학적 기술
- 이 수단을 이용하여 시스템 접근 코드와 패스워드를 알아내어 시스템에 침입
- 사회공학만을 사용하기보다는 다른 공격기술과 함께 사용되는 경우가 많음
- 일상에서 사회공학의 대표적인 공격으로 피싱, 스미싱이 있음
1) 사회공학 사이클
- 케빈 미트닉(미국출신 유명해커)은 사회공학적 공격을 총 4단계로 분류
| 1단계 (Research) |
목표 기업의 사내 보안규정에 휴대용 저장매체(USB메모리) 보안에 관련된 사항이 없으며, USB메모리 사용에 대한 규정이 없다는 것을 발견 |
| 2단계 (Developing Trust) |
- 최근에 나온 USB3.0 메모리를 구매한 후 백도어를 생성하는 악성코드 삽입 - USB3.0 메모리를 퇴근 시간에 목표 회사의 현관에 떨어 뜨러 놓음 |
| 3단계 (Exploiting Trust) |
- 보안 교육을 제대로 받지 않은 신입사원이 메모리를 발견하고, 호기심과 함께 자신의 업무용 컴퓨터에 연결 - 컴퓨터가 메모리를 인식함과 동시에 해당 컴퓨터에 백도어가 자동으로 설치됨 |
| 4단계 (Utilizing Trust) |
공격자는 백도어가 설치된 컴퓨터에 수시로 접속하여 정보를 빼내거나, 사내 네트워크에 접속하여 다른 취약점 이 있는지 확인 |
2) 공격 방법
| 정보 수집 | 직접적인 접근, 어깨 넘으로 훔쳐보기, 휴지통 뒤지기, 설문조사, 시스템분석, 인터넷 |
| 관계 형성 | 중요한 인물, 도움이 필요한 인물, 지원 인물, 역 사회공학 |
| 공격 | 의견대립 회피, 사소한 요청에서 큰 요청으로 발전, 감정에 호소, 신속한 결정 |
| 실행 | 책임회피, 보상심리, 도덕적 의무감, 사소한 문제 |
3) 대응 방법
| 정보수집단계의 대응 | 개인 신상정보와 관련한 문서관리, 온라인상의 개인정보 관리 |
| 공격단계의 대응 | 사회공학 기법의 공격형태 인지, 배경조사 |
| 실행단계의 대응 | 신속한 관계기관 신고 |
3. 피싱(Phishing)
- Private Date와 Fishing의 합성어
- 점점 더 복잡한 미끼(함정)를 이용하여 사용자의 금융정보와 패스워드를 “낚는다"데에서 유래
- 메일 또는 메신저를 이용하여 신뢰할 수 있는 사람 또는 기업이 전송한 메시지인 것처럼 가장
- 패스워드 및 신용카드 정보와 같은 기밀을 요구하는 정보를 부정하게 얻으려는 사회공학적의 한 종류
- 백신 소프트웨어에 검출되지 않음
1) 피싱의 유형
| 보이스 피싱 | - 발신 번호를 수사기관 등으로 조작하여 사칭 - 자금을 편취 하거나 자녀 납치, 사고 빙자 자금 갈취 |
| 문자 피싱 | - 신뢰도가 높은 공공기관 및 금융기관의 전화번호를 도용 - 정상 홈페이지와 유사한 URL접속 유도 후 금융정보를 빼내는 수법 |
| 메신저 피싱 | 신규 인터넷 서비스의 친구추가 기능을 악용하여 친구나 지인의 계정으로 접속한 후 금전차용 등을 요구 |
| 스피어 피싱 | - 작살 낚시에 빗댄 표현 - 불특정 다수가 아닌 특정 기관이나 내부직원을 표적으로 삼아 집중적 공격 행위 |
| 피싱 사이트 | 불특정 다수 에게 문자나 메일을 전송하여 정상 사이트와 유사한 가짜 사이트로 접속을 유도 |
2) 대응 방법
- 신뢰할 수 없는 메일의 링크를 클릭하지 않음
- 의심스러운 점이 있을 경우 직접 사이트 방문
- 링크의 주소가 IP주소인지 도메인 주소인지 확인 (IP주소일 경우 피싱 사이트일 가능성 높음)
4. 파밍(Pharming)
- 새로운 피싱 기법 중 하나
- 웹 브라우저에서 정확한 웹주소를 입력하였음에도 가짜 웹사이트로 접속을 유도하여 개인정보를 훔치는 것
- 인터넷 서비스 제공자(ISP)가 지정한 인터넷 주소 정보에 접근할 수 있는 권한이 있거나, 인터넷서비스 제공자의 서버에 취약점이 있는 소프트웨어가 존재할 경우 공격자가 인터넷 주소를 변경
1) 파밍의 공격 원리
(1) 피해자의 컴퓨터가 악성 프로그램에 감염
(2) 피해자가 정상적인 사이트 주소를 입력하더라도 가짜 사이트로 접속
(3) 금융거래 정보를 탈취
(4) 범행 계좌로 예금 이체 또는 대출 등을 받는 수법
2) 대응 방법
- 출처가 불분명한 동영상이나 전자메일은 악성 코드 감염 우려가 있으므로 다운로드 자제
- 보안카드코드표 전부입력을 요구하는 경우 가짜 은행사이트로 판단되므로 반드시 확인 후 사용
- 백신 프로그램을 설치하고, “파밍 캅" 프로그램으로 검사 (파밍캅: 파밍을 예방하기 위한 프로그램)
3) 피싱 vs 파밍
| 구분 | 피싱 | 파밍 |
| 목적 | 가짜 사이트로 유도하여 개인정보 탈취 | |
| 공격 방법 |
- 실제 도메인 이름과 유사한 가짜 도메인 이름 사용 - 가짜 사이트로 접속하여 개인정보 입력 유도 |
- 조직, 목적, 분류 등 명칭을 영문 약어로 표시한 최상위 도메인 이름 사용 |
| 특징 | - 이메일, SMS 등에 첨부된 링크를 통해 접속유도 | - 정상적인 도메인 입력으로도 공격이 가능하며 때문에 별다른 유인방법이 불필요 |
| 위험성 | - 사용자가 세심한 주의를 기울이면 공격탐지 가능 | - 실제 도메인 이름이 그대로 사용되기 때문에 공격 탐지 어려움 - 사용자가 많은 DNS캐시 서버에 공격을 성공할 경우 피해가 광범위 |
5. 스미싱(Smishing)
- 문자 메시지(SMS)와 피싱(Phishing)의 합성어
- 악성 앱 주소가 포함된 문자를 대량으로 전송 후, 악성 앱을 설치하도록 유도하여 금융정보 등을 탈취하는 신종사기 수법
- 인터넷주소(URL)는 단축 서비스를 사용하여 웹사이트 정보를 알기 어렵고, 정상적인 사이트와 매우 유사하게 모방하여 제작된 가짜사이트인 피싱 사이트로 연결됨
- 일반적으로 많이 설치된 정상 앱(예: 크롬, Play스토어, 민원 24시, 유명 모바일백신 등)을 사칭하여 악성 앱 설치를 유도
- 악성 앱이 악성행위를 직접 수행하기도 하지만, 별도의 악성 앱을 설치하도록 유도하는 기능이 탑재된 경우도 있음
- 특정 앱이 실행될 경우 “업데이트 파일입니다.”라는 형태로 업데이트를 안내하여 악성 앱을 다운로드하도록 유도
- 대응방법: 악성 애플리케이션 설치 파일 삭제, 악성 애플리케이션 삭제, 모바일 결제확인 및 취소
6. 랜섬웨어(Ransomware)
- 1989년 조셉 루이스 팝이 하드디스크의 루트 디렉터리 정보를 암호화하고 복호화해 주는 것을 빌미로, 돈을 요구하는 악성 코드를 제작하여 최초로 배포함
- 몸값(Ransom)과 소프트웨어(Software)의 합성어
- 시스템을 잠그거나 데이터를 암호화하여 사용할 수 없도록 하고, 이를 인질로 금전을 요구하는 악성 프로그램
1) 랜섬웨어 종류
| 워너 크라이 |
- 2017년 5월 12일 스페인, 영국, 러시아 등을 시작으로 전 세계에서 피해가 보고된 악성코드로 다양한 문서파일 외 다수의 파일을 암호화 - Windows의 SMB(Server Message Block)를 이용하여 악성코드를 감염시킨 후, 해당 PC 또는 서버에서 접속 가능한 ip주소를 스캔하여 네트워크로 전파 |
| 록키 | - 2016년 3월 이후 이메일을 통해 유포, 수신인을 속이기 위해 Invoice, Refund 등의 제목 사용 - 자바 스크립트 파일이 들어있는 압축 파일들을 첨부하고, 이를 실행시에 랜섬웨어를 다운로드 및 감염 - 록키 랜섬웨어에 감염되면 파일들이 암호화되고, 확장자가 .locky로 변하며, 바탕화면과 텍스트 파일로 보국 관련 메시지를 출력 |
| 크립트 xxx |
- 2016년 4월 해외 백신 기업의 복호화 도구 공개 이후에 취약한 암호화 방식을 보완한 크립트 xxx3.0버전이 유포 - 초기에는 앵글러 익스플로잇 키트를 이용하였으나, 최근에는 뉴트리노 익스플로잇 키트를 사용 - 크립트xxx에 감염되면 파일 확장자가 .crypt 등으로 변하고, 바탕화면 복구안내 메시지 변경 - 비트 코인 지불 안내 페이지에는 한글 번역 제공 |
| 카르베르 | - CERBER는 말하는 랜섬웨어로 유명 - 감영 시에 “Attention! Attention! Attention! Your documents, photos, databases and other important files have been encrypted”음성 메시지 출력 - 웹사이트 방문시 취약점을 통해 감염되거나, 전자메일 내 첨부파일을 통해 감염되며, 학장자를 .cerber로 변경 |
| 크립토 락커 |
- 2013년 9월 최초 발견된 랜섬웨어의 한 종류 - 자동실행 등록이름이 크립토락커로 되어있는 것이 특징 - 사이트 방문시 취약점을 통해 감염되거나, 전자메일 내 첨부파일을 통해 감염되며, 학장자를 encrypted.ccc변경 |
2) 감염 증상
- 중요 시스템 프로그램이 실행되지 않음
- 윈도우 복원 시점을 제거
- 랜섬웨어가 별도의 다른 악성코드 설치
- 백신이 오작동 혹은 강제로 꺼지거나 삭제됨
- 중앙처리장치와 램 사용량이 급격하게 증가
- 파일들이 암호화되기 시작
- 사용자가 암호화된 파일을 열 수 없음
- 외장하드형 하드디스크나 USB로 파일백업 시도할 경우 강제적으로 외장형 메모리 접속 해제 시킴
- 재부팅을 할 때마다 텍스트 파일, HTML 파일이 시작 프로그램 목록에 추가됨
3) 대응 방법
- 중요문서 및 파일 백업
- 스팸메일 첨부파일 실행 금지
- 운영체제 및 각종 응용프로그램의 보안 업데이트 진행
- 바이 로봇 백신 프로그램 최신 업데이트 유지
- 안티 익스플로잇 도구를 활용한 감염 차단
'전공수업 > 정보보안' 카테고리의 다른 글
| [정보보안] 네트워크 보안 (3) - 스캐닝, 스니핑, 스푸핑, 세션 하이재킹 (0) | 2025.04.24 |
|---|---|
| [정보보안] 네트워크 보안 - DoS, DDoS, DRDoS, APT 공격 (0) | 2025.04.21 |
| [정보보안] 네트워크의 이해 (0) | 2025.04.21 |
| [정보보안] 서버 보안 (0) | 2025.04.20 |
| [정보보안] 클라이언트 보안 (0) | 2025.04.20 |
댓글