20191210 보안 SW 개발 세미나 2일차

레노버 슈퍼피쉬: 일종의 애드웨어 레노버 노트북에 기본적으로 탑재되어있는 프로그램이여서 논란이 됐었음.

hp노트북에는 오디오 드라이버나 터치패드에 정보 수집용 키로거가 발견되었음. 

mantistek 게이밍 키보드에도 키로거가 내장되어있었다. 중국 알리바바 그룹 서버에 몰래 송신 하고 있었다고 함. 

 

*국방수권법: 인증되지 않은 회사의 제품을 사용하지 않도록 규정.

 

중간자공격(MITM) : 통신 중간에 자리잡고 통신하는 당사자들은 모르게 주고받는 data를 monitoring, capturing, controlling 하는 공격이다. 통신 내용을 도청할 수 있을 뿐만 아니라, data를 변조할 수도 있다.

 

*Credential Stuffing: 취약한 사이트에서 계정과 비밀번호를 알아낸 뒤, 다른 사이트에 대입하는 공격

- 동일한 ID/PW를 여러사이트에 공통적으로 사용하는 경향이 있음. 이런 취약점을 노린것임.

 

*Replay Attack: 정상적인 Packet을 중간에서 가로채어 복사해 두었다가, 악의적인 목적으로 Packet을 반복해서 보내는 공격이다. 주로 인증을 통과하기 위해, 자신이 다른 사람인 것처럼 가장하여 Packet을 보내는 것 이다.

예를들어, 다른사람이 서버로 보내는 인증정보 --Password의 Hash 값---을 중간에서 가로채어 복사해 두었다가, 나중에 가로챈 인증정보를 서버로 보내어 인증을 통과하는 것이다.

 

*IP Address Spoofing Attack: 응답을 받지 않아도 되는 공격에 사용. 한IP에서 공격: DOS 여러 IP에서 공격하면 DDOS인데, IP를 바꿔가며 공격해도 DDOS이다. 이럴때 주로 사용.

 

*APT(Advanced Persistent Threat) Attack: Network에 침투하여 오랜기간 들키지 않고 지속적으로 수행하는 Network Attack을 의미한다. 국가의 지원을 받는 해킹단체에서 수행하는 공격으로 여긴다고 함. 

 

네트워크 공격 대응

1. Configuration Management:

- Up to Date OS patch 적용

- Configuration file 안전하게 돤리

- 관리자 계정에 대한 Password 보안 철저히.

 

2. FireWall(방화벽) 사용

통신시 Encryption 사용. IPSec 기반 전용 Encryptor 장비를 사용한다.

 

==> IOT 장비에는 쉽지 않다... 보안에 취약함 ^^..

 

내부적 요인에 의한 해킹과 외부적 요인에 의해 발생하는 해킹의 비율은 8:2정도다.

 

2)외부적 요인

* 바이러스: 바이러스는 정상적인 실행파일(확장자가 exe인것)의 안에 들어있는 상태로 존재한다. 원래 있던 실행파일에 덧붙여진 형태라는 의미다. 다른 파일 속에 덧붙여져있다가 해당 파일이 실행될때 같이 실행된다.

 

* 웜: 독자적인 형태로 존재하고 실행되는 악성코드이다. 실행할 때 바이러스처럼 다른 실행파일이 필요하지 않다. 웜은 네트워크를 마비시킬 정도로 엄청난 트래픽을 쏟아낸다.

 

2019년 현재 바이러스나 웜은 거의 없다고 함. 요새는 대부분 트로이 목마다. (80% 이상)

* 트로이 목마의 특징

- 속임수 (거짓 퇴각) : 메일의 첨부파일에 초대장, 쿠폰, 설계도, 이력서 등등을 보내서 실행을 유도함. 

- 외부와 연결(병사들이 숨어있음) : 실행되면 외부의 공격자와 연결

(내부망에서 외부로 연결하는 방식 : Reverse Connection)

- 방화벽이 있기 때문에 외부에서 내부망으로 접속하기란 어렵다. 하지만 내부에서 외부로 연결하는것은 쉽다(외부로 나가야 하니까) 외부에서 내부로 공격이 들어가면 백도어 라고 함.

- 공격(성안으로 들어옴) : 원격 조종, 데이터를 유출하는 등의 행위가 일어난다.

 

*RAT (Remote Access Trojan) : 트로이목마 공격을 위해 사용하는 작은 실행파일(네트워크 기능이 포함되어 있음)

RAT종류 ) Ghost rat, Fat rat, 등등.. 

 

첨부파일을 위장한 악성코드를 다운받아서 열어보는 순간 악성코드는 메모리에 상주하면서 공격자의 컴퓨터로 연결을 시도한다.

 

*랜섬웨어 대응방법

- 정기적으로 파일을 백업받기

- 운영체제를 기준으로 되돌리기 기능

- 파일을 다운로드 하면 백신으로 검사를 한 후에 사용.

 

스파이웨어

은밀하게 설치되고 조용히 활동하기 때문에 존재 자체를 눈치채기 어렵다. 하지만 설치되면

지속적으로 키 입력값을 수집하여 비밀번호를 알아내거나 전송되는 중요한 정보를 수집해서 은밀하게 공격자의 컴퓨터로 전송하는 일을 한다.

미리 지정한 단어가 파일에 포함되어 있는 경우 파일을 보내도록 설정되어 있기도 한다.