정보보안 기초, 맨디어트 보고서

 

정보보안 : Cybersecurity

사이버보안은 정보를 보안하며, 정보를 저장하거나 시스템을 보호하는 실천활동을 의미한다.

사이버 보안 5가지 원칙으로 정의된다.

①     기밀성 Confidentiality

개요: 인가된 사용자만 접근해서 읽을 수 있는 정보

공격: 정보를 가로채거나 우회등으로 저장중인 정보에 접근한다.

è  개인식별자(주민번호), 통신내역(이메일, 문자, 메시지), 사진, 신용카드/체크카드 등

방어: 암호화, 접근제한(Access Control)

 

②     무결성 Integrity

개요: 인가된 사용자만 수정할 수 있는 정보 -> 검증(Verifiable) 단계를 거쳐야 한다. (위/변조 방지)

공격:

è  정보가 이동중(in transit), 저장 중(at rest)일 때 모두 위반 될 수 있다.

è  우발적 사고 : 부정확한 자료입력이나 하드웨어 고장, 태양계 방사선(전파방해)

è  고의적 사고 : 인가되지 않은 사용자가 파일이나 DB, 패킷 등을 수정

방어: 무결성 검증 : 암호학적 해싱을 사용

 

③     가용성 Availability

개요: 필요할 때 필요한 곳에서 접근할 수 있는 정보

공격:

è  우발적 사고 : 정전, 하드웨어 고장, 소프트웨어 고장

è  고의적 사고 : 무작위 대입 공격, 분산 서비스 거부 공격(DDoS), 랜섬웨어 등

방어: 자료의 이중화(Redundancy), 전원 공급 장치(UPM), 장애 극복(Failover) 유지 등

   고가용성 유지에 힘쓴다.

 

④     부인방지 Nonrepudiation

개요: 어떤 개체 (사용자나 프로그램 등)와 그 개체가 수행한 어떤 행위를 연관시킨다.

방어: 사용자인증, 디지털 서명, 시스템 로깅 등

 

⑤     인증 (Authentication)

개요: 사용자의 신원을 긍정적으로 식별하고 검증하는 수단

è  인가된 사용자만(무결성, 기밀성) 정보에 접근하거나 수정하게 해주는 수단

è  실제 가장 많은 공격을 받는다.

방어(인증 메커니즘): 전자 키 카드, 생체 인식(Biometrics), 사용자 이름과 패스워드

 

 

공격 수명 주기 -> 맨디어트 보고서 (8단계 구성)

해커 행동

1.     정찰 (Reconnaissance)

공격자는 대상 네트워크의 주소 공간과 구조, 사용하는 기술, 관련 취약점들, 그리고 대상 조직의 사용자들과 위계 구조에 대한 정보를 수집한다.

è  수동적 정찰: 유/무선 패킷 도청 (스니핑), 인터넷 검색, DNS Query  à 탐지 불가능

è  능동적 정찰: 자료를 투입하거나 시스템의 상태를 변경하려고 한다 à 탐지 가능

   (포트 스캐닝, 취약점 스캐닝, 웹사이트 크롤링 등)

정찰 단계가 성공하면 대상의 잠재적인 취약점들을 상세히 파악할 수 있게 되며, 네트워크 접근을 할 수 있는 신원 확인 정보(자격증명: credential)를 획득할 수 있다.

 

2.     초기 침투 (Initial Exploitation): 초기 악용

공격 : Buffer Overflow, SQL Injection, XSS(크로스 사이트 스크립팅), 무차별 대입, 피싱

초기 침투 단계를 성공하면 시스템에 대한 접근 권한을 얻게 된다.

è  (자료를 읽고 쓸 수 있다.)

 

3.     거점 확보 (Establish foothold) : 파일을 업다운로드 할 수 있는 단계

시스템에 침투한 공격자가 오랫동안 시스템에 남아있기 위해 또는 나중에 다시 접속하기 위한 거점을 확보한다(백도어 파일). 1단계, 2단계는 탐지 가능성이 높으므로 거점확보가 꼭 필요하다.

공격 : 사용자 계정 생성, SSH, Telnet, RDP(Remote Desktop Protocol) 등의 활성화, RAT(Remote Access Trojan) 등의 악성 소프트웨어 설치

거점 확보 단계를 성공하면 공격자가 대상 시스템에서 존재를 유지할 수 있고, 실시간으로 시스템에 다시 접근 할 수 있는 영구적인 통로가 확보된다. à 좀비PC

è  재부팅 또는 패치 적용 등과 같은 주기적인 시스템 유지보수 활동에서도 살아남는다.

 

4.     권한 상승 (Escalate Privileges)

공격자가 초기 침투 단계에서 얻은 권한은 보통의 유저권한일 가능성이 크다. 다른 사용자의 파일을 보거나, 설정을 변경하거나 등의 권한이 없을 가능성이 많다.

공격 : 관리자 계정 권한을 획득하기 위한 버퍼오버플로우, 신원정보 훔치기, MITM(끼어들기)

이 단계를 성공할 경우 공격자는 관리자 권한을 획득 할 수 있다.

 

5.     내부 정찰 (Internal Reconnaissance)

공격자가 이미 네트워크 안에 침투해 있다.

외부에서보다 훨씬 많은 호스트를 인식 할 수 있다. 또는 액티브디렉터리 같은 내부망에도 접속할 수 있다. (도메인이 뚫렸으므로 다른 곳도 위험)

이 단계를 성공하면 공격자는 대상 네트워크와 호스트들, 사용자들에 대한 상세파악이 가능하다.

이 정보로 횡적 이동에 사용할 수 있게 된다.

 

6.     횡적 이동 (Lateral Movement) : 다른 컴퓨터로 이동

원하는 시스템에 접근하기 위해 네트워크 안에서 수평(횡)으로 이동하는 단계

공격 : 신원 확인 정보 훔치기, 해시 전달(pass-hash), 원격 호스트의 취약점 직접 공격 등

이 단계를 성공할 경우 여러 호스트들에 대한 접근 권한을 획득하게 된다.

그리고, 네트워크를 횡단하면서 접근한 다수의 시스템에 Backdoor를 심어 둘 수 있다.

취약점 : 방어자가 공격 활동을 발견 했어도 모든 백도어 탐지가 어려울 수 있다.

 

7.     존재 유지 (Maintain Presence) = Beaconing

공격자가 심어 둔 악성 프로그램(대표적으로 백도어)과의 네트워크 연결을 유지하지 않는다.(평상시엔 꺼두고 원할 때만 접속. 백그라운드에서 계속 돌아가면 탐지 가능성이 높아지므로)

탐지가능성 때문에 공격자들은 주로 자신의 지휘통제(command-and-control) 서버에 접근해서 자동으로 명령들을 받아가게 하거나 공격자 자신이 그런 프로그램을 상호작용하는 방법을 취한다.

비커닝: 네트워크에서 자신의 존재를 유지하는 전반적인 작업.

 

8.     임무 완수 (Complete Mission)

공격자가 자신의 임무를 마무리하는 단계이다. à 정보를 네트워크 밖으로 빼내는 것

주로 HTTP, HTTPS, DNS 같은 표준 프로토콜을 이용한다.