Post

[컴퓨터 보안] 사이버 공격

Posted
By Dain Kang
12 min read

사이버 공격

  • 인터넷을 통해 다른 컴퓨터에 접속하여 국가, 기업, 개인 등에 손상을 입히려는 행동
  • 기본적인 공격 방식: 네트워크상이나 로컬 호스트상에서 시스템의 설정이 잘못된 것을 이용해 관리자 권한 획득
  • 사이버 공격에는 악성코드, 네트워크 공격, 스팸 메일, 피싱 등이 있다.

악성코드

  • 악의적인 용도로 사용될 수 있는 코드가 심어진 유해 프로그램의 총칭
  • 악성코드의 종류로 바이러스, 웜, 트로이 목마, 백도어, 스파이웨어, 랜섬웨어 등이 있다.

바이러스 (Virus)

  • 시스템이나 사용자의 파일에 자신을 복제하고 그 컴퓨터 시스템 내에서 증식하거나 시스템을 파괴하는 악성코드
  • 무분별한 인터넷 사용으로 인한 감염이 많음
  • 저수준 언어 사용
  • 다양한 변종
  • 지능화 및 악성화

바이러스 동작 원리

  1. 사용자가 감염된 프로그램을 실행하면 바이러스 활동 시작
  2. 실행된 바이러스는 감염시킬 대상 파일을 찾음
  3. 찾은 대상 파일이 이미 감염된 파일인지 확인
  4. 감염되지 않았다면 대상 파일의 앞 혹은 뒷부분에 자신의 코드를 삽입하여 감염시킴
  5. 바이러스로서의 코드 실행이 끝나면 원래 프로그램이 수행해야 할 작업을 수행
  6. 메모리에 있는 바이러스는 다른 파일에 대한 감염을 계속 수행

웜 (Worm)

  • 컴퓨터의 취약점을 찾아 네트워크를 통해 스스로 감염되는 악성코드
  • 빠른 전파력으로 인해 피해 시스템이 기하급수적으로 증가
  • 대표적인 사례로 모리스 웜과 밀레니엄 인터넷 웜이 있음

트로이 목마 (Trojan Horse)

  • 정상적인 기능을 하는 프로그램으로 가장하여 프로그램 내에 숨어서 의도하지 않은 기능을 수행하는 악성코드
  • 사용자들이 거부감 없이 설치하도록 유도
  • 실행 시 표면적으로 드러나는 기능과 함께 비인가된 기능 수행
구분바이러스트로이 목마
숙주 필요 여부OXX
자기복제 기능OOX
주요 전파 방법- 감염 파일의 실행
- 감염 디스크를 통한 부팅		감염 대상을 자동 검색하여 전파전파되지 않음
주요 전파 대상파일 및 부트 섹터네트워크 전체전파되지 않음
주요 악성 행위- 데이터 파괴
- 네트워크 마비		- 데이터 파괴
- 네트워크 마비		- 개인정보 유출
- 컴퓨터 제어(원격 조종 등)

백도어 (Backdoor)

  • 공격자가 시스템에 침입한 후, 이후에도 손쉽게 피해자의 시스템에 대한 접근권한을 획득하기 위한 용도로 설치한 악성코드
  • 시스템 설계자나 관리자에 의해 고의로 남겨진 시스템의 보안 허점을 이용
    • 사용자 인증 등 정상적인 절차 회피
    • 디버깅 시 개발자에게 인증 및 셋업 시간 등을 단축
  • 개발 완료 후 삭제되지 않은 백도어가 다른 사용자에게 발견되어 악용될 경우 대단히 위험

스파이웨어 (Spyware)

  • 다른 사람의 컴퓨터에 설치되어 개인정보를 빼가는 악성코드
  • 사용자가 특정 웹 페이지에 접속하거나 웹 페이지와 관련된 소프트웨어를 임의로 혹은 사용자 동의로 설치할 때 함께 설치되는 경우가 많음
  • 초기에는 정보 수집을 위해 제작되었지만 점차 정보 유출 등의 악의적인 목적으로 사용
  • 악성코드에 감염됐다는 허위 메시지를 보여주고 치료를 유도하는 허위 안티 스파이웨어도 존재

랜섬웨어 (Ransomware)

  • 사용자의 중요한 정보를 인질로 삼아 금전을 요구하는 악성코드
    • 사용자의 문서나 그림 파일 등을 암호화
    • 암호를 풀기 위해서는 비트코인 등으로 송금하도록 유도
  • 2010년대 중반부터 유행
  • 키를 모르면 쉽게 풀 수 없는 안전한 암호 알고리즘 이용

네트워크 공격

스캐닝 (Scanning)

  • 순수한 의미의 스캐닝은 그 자체로 공격으로 보기 어려우나, 실제적인 공격을 위한 사전 정보 수집 활동의 용도로 악용
  • 공격 대상 호스트나 네트워크에 대한 취약점을 발견해내기 위한 도구로 사용됨
  • 스캐닝 도구: Nmap, Acunetix 등

스푸핑 (Spoofing)

  • 공격 대상 호스트가 신뢰하는 호스트로 가장하여 피해자의 호스트로부터 생성되는 정보를 수집하거나 가로채는 방식의 공격
  • IP 스푸핑, DNS 스푸핑, web 스푸핑, ARP 스푸핑 등

스니핑 (Sniffing)

  • 네트워크상의 데이터를 도청하는 행위
  • Passive 스니핑
    • 패킷 내의 정보를 조작 없이 단순히 도청
    • 무차별 모드(promiscuous mode) 이용
  • Active 스니핑
    • 공격 대상자들의 패킷 방향을 조작하여 내용을 도청하거나 변조하는 방식
    • ARP 스푸핑 이용

서비스 거부(DoS) 공격

  • Denial of Service
  • 특정 서비스나 자원의 가용성을 떨어뜨리는 결과를 초래하는 유형의 공격에 대한 통칭
  • 대량의 데이터를 전송하거나 무수히 많은 네트워크 연결 요청을 하는 등의 방법 이용
  • SYN 플러딩(flooding) 공격
    • 피해 서버에 무수히 많은 네트워크 요청(SYN)을 보내고 3-way 핸드쉐이크 마지막 과정에서 ACK를 보내지 않음으로써 반열림(half-open) TCP 연결을 생성함
    • 피해 서버가 모두 공격자로부터 ACK 응답을 기다리는 상태가 되어 정상적인 유저가 네트워크를 요청할 때도 시스템을 서비스 거부 상태로 만드는 공격

분산 서비스 거부(DDoS) 공격

  • Distributed Denial of Service
  • 분산된 여러 호스트를 미리 감염시켜 공격 데몬 설치
  • 공격자는 원격으로 데몬에게 특정 목표에 대한 공격 명령을 내림
  • 다수가 동시에 목표에 대한 서비스 거부 공격 수행

스팸 메일

  • 불특정 다수를 대상으로 일방적이고 대량으로 전달되는 이메일
  • 광고, 홍보, 비방 등의 목적으로 이용

탐지 방법

  • DNS 이용
    • 송신자의 이메일 주소 도메인의 진위 확인
    • 정확도가 뛰어나지만, DNS 변경 및 이메일 송수신 절차 변경 필요
  • 통계 기법을 이용한 방법
    • 스팸 메일에 자주 포함되는 단어를 분류하고 통계 기법을 사용하여 가중치 부여

피싱 (Phishing)

  • 유명한 금융기관이나 공신력 있는 업체의 이름을 사칭하여 이메일을 보내 수신자로부터 개인정보나 금융 정보를 얻어내는 행위
  • 파밍(pharming), 보이스 피싱, 스미싱(smishing) 등 다양한 형태의 피싱 공격이 있음
    • 파밍은 사용자 PC의 도메인 정보를 조작하여 사용자가 아무리 URL 주소를 주의 깊게 살펴봐도 속게 됨

최근의 사이버 공격 방법

  • 효율적인 공격을 위해 에이전트화, 분산화, 자동화, 은닉화가 상호 의존적으로 발전함 (ex. DDoS 공격)

ART(Advanced Persistent Threat)

  • 지능형 지속 공격
  • 특정 대상을 목표로 다양한 공격 기술을 이용해 은밀하게 지속적으로 공격하는 행위
  • 목표성: 목표로 삼은 공객 대상에 맞춰 여러가지 사이버 공격 방법을 적절히 활용함
  • 지속성: 성공할 때까지 상당히 오랜 시간에 걸쳐 공격 시도 (몇 달 혹은 몇 년)
  • 은밀성: 오랜 기간 공격을 시도함에도 탐지되지 않기 위해 최대한 은밀하게 공격
컴퓨터보안
보안 DDoS
This post is licensed under CC BY 4.0 by the author.