사이버 공격

사이버 공격 개요

• 정의: 인터넷을 통해 다른 컴퓨터에 접속하여 시스템을 손상시키거나 무단 침입하는 행위
• 기본 방식: 시스템 설정 오류, 보안 취약점 등을 악용하여 관리자 권한을 탈취

 

기술 발전에 따른 공격 다양화

1. 네트워크 패킷 조작
2. 웹사이트 취약점 악용
3. 무선 환경에서의 스마트폰 공격

 

다양한 사이버 공격

1. 악성코드(malicious Code, Malware)
   1. 악의적인 용도로 사용될 수 있는 코드가 심어진 유해 프로그램의 총칭
   2. 악성코드 종류: 바이러스, 웜, 트로이 목마, 백도어, 스파이웨어, 랜섬웨어 등
   3. 무분별한 인터넷 사용으로 인한 감염이 많음
   4. 예방 방법: 의심스러운 웹사이트 방문 자제, 수상한 이메일 확인하지 않기, 문자나 메신저로 오는 인터넷 주소 함부로 접속하지 않기, 이메일 문자 메신저로 받은 첨부 파일 함부로 열지 않기, 보안등급 설정, 불법복제 금지, 통합보안 프로그램 설치 및 최신 버전 유지, 실시간 감지기능 사용 등
2. 바이러스(Virus, Computer Virus)
   1. 시스템이나 사용자의 파일에 자신을 복제하고 그 컴퓨터 시스템 내에서 증식하거나 시스템을 파괴하는 악성코드
   2. 일반적 특성: 자기복제, 저수준 언어 사용, 다양한 변종, 지능화 및 악성화
   3. 동작원리: 감염된 프로그램을 사용자가 실행하면 바이러스 활동 시작 -> 실행된 바이러스는 감염시킬 대상 파일을 찾음 -> 찾은 대상 파일이 이미 감염된 파일인지 확인 -> 감염되지 않았다면 대상 파일의 앞 혹은 뒷부분에 자신의 코드를 삽입하여 감염시킴 -> 바이러스로서의 코드 실행이 끝나면 원래 프로그램이 수행해야 할 작업을 수행 -> 메모리에 있는 바이러스는 다른 파일에 대한 감염을 계속 수행
3. 웜(Worm)
   1. 컴퓨터의 취약점을 찾아 네트워크를 통해 스스로 감염되는 악성코드
   2. 빠른 전파력으로 인해 피해 시스템이 기하급수적으로 증가
   3. 대표적인 사례: 1988 모리스 웸(sendmail의 보안 취약점), 1999 밀레니엄 인터넷 웜(다양한 보안 취약점 이용)
4. 트로이의 목마(Trojan Horse)
   1. 정상적인 기능을하는 프로그램으로 가장하여 프로그램 내에 숨어서 의도하지 않은 기능을 수행하는 악성코드
   2. 사용자들이 거부감없이 설치하도록 유도
   3. 실행 시 표면적으로 드러나는 기능과 함께 비인가된 기능 수행(개인정보유출, 감염 대상 원격 조정 등)
5. 백도어(Backdoor)
   1. 공격자가 시스템에 침입한 후, 이후에도 손쉽게 피해 시스템에 대한 접근권한을 획득하기 위한 용도로 설치한 악성코드
   2. 시스템 설계자나 관리자에 의해 고의로 남겨진 시스템의 보안 허점
   3. 사용자 인증 등 정상적인 절차 회피
   4. 디버깅 시 개발자에게 인증 및 셋업 시간 등을 단축
   5. 개발완료 후 삭제되지 않은 백도어가 다른 사용자에게 발견되어 악용될 경우 대단히 위험
6. 스파이웨어(Spyware)
   1. 다른 사람의 컴퓨터에 설치되어 개인정보를 빼 가는 악성코드
   2. 사용자가 특정 웹 페이지에 접속하거나 웹페이지와 관련된 소프트 웨어를 임의로 혹은 사용자 동의로 설치할 때 함께 설치
   3. 초기에는 정보수집을 위해 제작되었지만 점차 정보유출 등 악의적인 목적으로 사용
   4. 악성코드에 감염됐다는 허위 메시지를 보여주고 치료를 유도하는 허위 안티 스파이웨어도 존재
7. 랜섬웨어(Ransomware)
   1. 사용자의 중요한 정보를 인질로 삼아 금전을 요구하는 악성코드
   2. 사용자의 문서 파일이나 그림파일 등을 암호화하고 암호를 풀기 위해서 비트코인 등으로 송금하도록 유도
   3. 2010년대 중반부터 유행
   4. 키를 모르면 쉽게 풀 수 없는 안전한 암호 알고리즘 이용

 

 

네트워크 공격

1. 스캐닝(Scanning)
   1. 순수한 의미의 스캐닝은 그 자체로 공격으로 보기 어려우나 실제적인 공격을 위한 사전 정보 수집 활동의 용도로 악용
   2. 공격대상 호스트나 네트워크에 대한 취약점을 발견해 내기 위한 도구로 사용
   3. 스캐닝 도구: Nmap. Acunetix 등
   4. 예방: 시스템 관리자는 미리 자신의 시스템 및 네트워크 보안 취약점을 점검, 발견된 취약점에 대한 조치를 취하여야함
2. 스푸핑(Spoofing)
   1. 공격자의 제어하에 있는 호스트를 피해호스트가 신뢰하는 호스트로 가장
   2. 이를 이용하여 피해 호스트로부터 생성되는 정보를 수집하거나 가로채는 방식의 공격
   3. 종류
      • IP Spoofing: IP 주소 위조
      • DNS Spoofing: 가짜 도메인 응답
      • ARP Spoofing: MAC 주소 위조
      • Web Spoofing: 가짜 웹사이트 제작
3. 스니핑(Sniffing)
   1. 네트워크상의 데이터를 도청하는 행위
   2. Passive Sniffing: 패킷 내 정보를 조작 없이 단순이 도청, 무차별 모드 promiscuous mode 이용
   3. Active Sniffing: 공격대상자들의 패킷 방향을 조작하여 내용을 도청하거나 변조하는 방식, ARP 스푸핑을 이용
4. 서비스 거부(DoS) 공격
   1. Denial of Service
   2. 특정 서비스나 자원의 가용성을 떨어뜨리는 유형의 공격
   3. 대량의 데이터를 전송하거나 무수히 많은 네트워크 연결 요청을 하는 등의 방법 이용
   4. SYN 플러딩(flooding) 공격: 반열림(half-open, 응답을 대기하도록 하여 반열림) TCP 연결을 생성함으로써 시스템을 서비스 거부 상태로 만드는 공격
5. 분산 서비스 거부(DDos) 공격
   1. Distributed Denial of Service
   2. 공격 방법
      1. 분산된 여러 호스트를 미리 감염시켜 공격 데몬 설치
      2. 공격자는 특정 목표에 대한 공격 명령을 원격에서 이들 데몬에 내림
      3. 다수가 동시에 목표에 대한 서비스 거부 공격 수행
6. 스팸 메일(Spam Mail)
   1. 불특정 다수를 대상으로 일방적으로 대량 전달되는 이메일
   2. 광고, 홍보, 비방 등의 목적으로 이용
   3. 탐지방법
      1. DNS를 이용한 방법: 송신자의 이메일 주소 도메인의 진위를 확인, 정확하지만 DNS 변경 및 이메일 송수신 절차 변경 필요
      2. 통계기법을 이용한 방법: 스팸 메일에 자주 포함되는 단어와 정상 메일에 자주 포함되는 단어를 분류하고 통계기법을 사용하여 가중치 부여
7. 피싱(Phishing)
   1. 유명한 금융기관이나 공신력 있는 업체의 이름을 상치하여 이메일을 보내 수신자가 믿도록 하고, 수신자로부터 개인정보나 금융정보를 얻어 내 범죄수단으로 악용
   2. 예방: 이메일 내부에 존재하는 하이퍼링크 불허
   3. 파밍(pharming), 보이스 피싱, 스미싱(smishing) 등 다양한 형태의 피싱 공격
   4. 파밍은 사용자 PC의 도메인 정보를 조작하여 사용자가 아무리 URL 주소를 주의 깊게 살펴봐도 속게 된다.

 

최근 사이버 공격 방법은 효율적인 공격을 위해 에이전트화, 분산화, 자동화, 은닉화가 상호 의존적으로 발전하고 있으며, 대표적으로 DDoS 공격이 있다.

1. APT(Advanced Persistent Threat)
   1. 지능형 지속공격
   2. 특정 대상을 목표로 다양한 공격기술을 이용해 은밀하게 지속적으로 공격하는 행위
   3. 특징
      • 목적성: 목표로 삼은 공격대상에 맞춰 여러 가지 사이버 공격 방법을 적절히 활용
      • 지속성: 성공할 때까지 상당히 오랜 시간에 걸쳐 공격 시도
      • 은밀성: 오랜 기간 동안 공격을 시도함에도 탐지 되지 않기 위해 공격을 최대한 은밀하게 진행