[카테고리:] 정보보호
-
APT 공격의 방어와 추적을 위한 보안 시스템 구성
APT 공격 등장의 배경 해킹은 계속 시도 되고 있고 해킹을 막기 위한 기술 또한 진화되고 있다. 하지만 해킹의 기법(기술이라고 하기엔 쫌 그렇다..) 중 APT 공격에 대해서 만큼은 보안업계에서도 대응이 쉽지 않은 모양새다. 지금까지 보안 업계는 대부분 네트워크와 응용 수준에서의 보안 기술 개발에 집중해왔다. 어떻게 하면 컴퓨터에 저장되고 네트워크를 통해 전송되는 데이터를 "강력하게 암호화"해서 유출되더라도 기밀성을 유지할 것인가, 그리고 해커의 공격을 어떻게 하면 "네트워크에 흘러가는 패킷을 캡쳐"해서 탐지해낼 것인가에 집중해 …
-
FTP 프토로콜의 Active Mode와 Passive 모드
얼마 전 민간 자격증이었던 SIS가 국가 공인자격증인 정보보안기사로 편입된 이후 실시된 첫 정보보안기사 필기시험을 치렀다. 시험 준비를 하면서 평소의 내 좌우명(?)을 지키기 위해 좋은 남편, 좋은 아빠, 좋은 회사원을 추구하면서 개인적으로 시험공부까지 하려니 하루를 32시간으로 늘리거나 잠안자고도 멀쩡할 수 있는 초능력을 갖고 싶은 마음이 굴뚝 같았다. (물론 이 세가지를 모두 만족할 만큼 잘하고 있지는 못하다.. -.-) 정보보안기사 시험에 출제된 FTP 관련 문제 처음으로 시행되는 정보보안기사 시험답게 매우 기본적이지만 정확 …
-
[보안사고사례분석] 2011년 발생한 농협 전산망 해킹에 의한 시스템 장애
사고 개요 2011년 봄에 발생한 농협의 전산 시스템 장애는 IBM 엔지니어의 노트북(?)에서 원격명령으로 실행된 dd(혹은 rm) 명령에 의해 발생된 것으로 알려져 있다. 이때 장애가 발생한 서버는 IBM의 AIX 운영체제가 설치된 Unix 서버 약 270여대로 추정된다. rm 명령은....Unix 서버에서 rm 은 파일과 디렉토리를 삭제하는 명령이다. 윈도에 있는 휴지통..?? 유닉스엔 휴지통 개념이 없다. 파일이나 디렉토리는 무조건 삭제되고 복구도 불가능하다. 그래서 rm 명령을 내리면 파일 하나 하나 "진짜로 지울까요?"라고 …
-
APT 공격의 단계 및 단계별 공격 유형
최근의 보안사고들.. 그중에서도 대형사고는 APT 공격이라는 신종 공격기법으로 발생하는 경우가 대부분이다. APT 공격은 Advanced Persistent Threat라는 해석도 까다로운 용어로 정의된다. 궂이 번역을 하자면 어떤 사람은 "능동 지속형 위협(공격)" 이라고 하기도 하고 어떤 사람은 "지능형 지속 위협(공격)" 이라고 하기도 한다. 여기서 중요한 것은 persistent 라는 단어다. 바로 "지속"이라는 의미다. 이 의미가 중요한 것은 APT 공격은 단시간내에 공격 목표에 침투하는 것이 아니라 오랜 시간을 두고 …
-
[서버의 감사(Audit)]Telnet , SSH 접속 사용자에 대한 행위 추적 기능에 대한 고찰
Windows, Linux, Unix 등 서버엔 많은 관리자나 엔지니어들이 접속하여 관리를 수행한다. 여기서 "접속"이라 함은 일반적인 웹서비스나 일반 업무 프로그램을 통한 접속이 아니라 telnet, ssh, terminal service 등 서버의 관리를 위해 운영체제에서 기본적으로 제공하는 접속 환경을 말한다. SSH 혹은 telnet을 통해 Unix/Linux 서버에 접속하면 아래와 같은 화면이 표시된다. 이때부터 서버의 관리는 그 옛날 DOS시절보다 더 복잡한 명령어를 실행하거나 설정함으로써 이루어진다. 서버의 보안관리 …
-
320 사태에 대한 나름대로의 분석 [보안사고사례분석]
I.사건 개요 2013년 3월20일 오후 12시 경 방송사와 금융기관의 내부 네트워크에 연결된 모든 PC를 공격하여 PC의 디스크 파괴를 통해 업무 전산망을 마비시키는 대형 보안사고가 발생하였음. - 발생일시 : 2013년 3월20일 오후 12시 ~ 14시 * 공격대상기업 : 3개 방송사(공중파 2개, 케이블 1개)와 3개 금융기관(1금융권)* 공격대상자원 : 기업 내부의 업무전산망에 연결된 모든 PC* 공격방법 : PC에 악성코드를 유포하여 PC내의 디스크 파괴* 공격결과 : 기업 내부의 업무 전산망 마비로 인한 업무 마비 및 …
-
[서버보안정책가이드] 2. Unix / Linux 수퍼유저(root) 및 어플리케이션 관리자 계정 권한 분리 정책
Unix와 Linux 서버의 운영체제에서 보안을 위해 가장 주의해야하는 것은 바로 수퍼유저 계정, 즉 root 계정의 권한 탈취다. 만약 해커가 root 권한을 탈취한다면 해커는 서버에서 하고자 하는 모든 것을 할 수 있다. 해커가 root의 패스워드를 모르는데 어떻게 root 권한을 탈취할 수 있는가? Unix와 Linux 운영체제는 보안에 신경쓰지 않고 개발한 연구용 운영체제다. 그러다 보니 개발 과정에서 일반 사용자 계정에서 root 권한을 필요로 할 경우 root 의 패스워드 없이 root 권한을 얻을 수 있는 다음과 같은 …
-
[서버보안정책가이드] 1. Unix / Linux 운영체제의 계정 통제 정책
최근 발생한 현대캐피탈과 농협 그리고 이번 KBS, MBC, YTN, 신한은행, 농협의 치명적인 보안사고로 인해 금융산업분야 뿐만 아니라 비지니스를 위해 혹은 전산시스템이 비즈니스 그 자체인 많은 기업과 공공기관에 초비상이 걸렸다. 덕분에 나도 너무 많이 바빠진 사람중의 하나가 되었다. 하지만 Unix/Linux 운영체제는 자체적인 보안기능이 매우 부족하다. Unix/Linux가 애초부터 “보안”을 염두에 두고 개발한 운영체제가 아니기 때문에 운영체제 자체적으로 엄청나게 많은 관리적/기술적 취약성을 갖고 있다. 기술적 취약성 중 …
-
[보안사고사례] KBS, MBC, YTN 의 전산망 마비 사태
2013년 3월 20일. 또 보안사고 역사에 길이(?) 남을 만한 보안사고가 발생했다. 조금은 특이한 형태의 공격인 듯 한데 KBS, MBC, YTN 3개 방송사의 내부 전산망이 일시에 다운이 된 사고다. 그런데 이 표현 "방송사 내부 전산망이 일시에 다운"이라는 표현은 참으로 무지한 표현이다. "전산망" 이라함은 "서버와 서버 혹은 서버와 PC를 연결하는 Network"를 일컫는 표현이다. DDOS와 같은 공격에 장애가 발생할 경우 "전산망" 공격이라는 표현이 옳은 표현이겠지만 이번의 경우는 "전산망 다운"이라고 부르면 안된다고 …
-
피싱에서 보다 진보한 파밍 기법 (정상 주소를 입력해도 엉뚱한 웹사이트로 연결)
피싱에 대한 대응조차 완벽하게 이뤄지지 않은 상태에서 보다 더 정교한 사기수법인 파밍(pharming) 기법이 기승을 부리고 있다. 피싱과 파밍은 위조된 가짜 웹사이트로 사용자를 유인한다는 점은 동일하다. 하지만 실제로 "유인"을 하는지 아니면 사용자가 "자발적"으로 해당 사이트에 접속하느냐가 가장 큰 차이점이다. 피싱은 사용자에게 이메일 혹은 문자메시지 등을 이용해 가짜 웹사이트(대표적으로 은행 등의 금융사이트 혹은 개인정보 수집을 목적으로 하는 사이트)로 반-강제적으로 유인하게 된다. 하지만 파밍의 경우 사용자가 필요에 의해 본 …