728x90
2021년 NCS기반 정처기 필기입니다.
참고1. 노랑마킹은 시험에 나온 중요한 부분입니다.
참고2. 주황강조는 약어 혹은 중요한 내용입니다.
참고3. 회색마킹은 예시입니다.
제 5과목 정보시스템 구축 관리 > 시스템 보안 구축 > 시스템 보안 설계
(1) 서비스 공격 유형
DoS 공격
시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격이다.
DoS 공격의 종류
| 공격기법 | 설명 |
| SYN 플러딩(SYN Flooding) | TCP 프로토콜의 구조적인 문제를 이용한 공격 |
| UDP 플러딩(UDP Flooding) | 대량의 UDP 패킷을 만들어 임의의 포트 번호로 전송하여 응답 메시지(ICMP Destination Unreachable)를 생성하게 하여 지속해서 자원을 고갈시키는 공격 |
| 스머프(Smurf) / 스머핑(Smurfing) | 출발지 주소를 공격 대상의 IP로 설정하여 네트워크 전체에게 ICMP Echo 패킷을 직접 브로드캐스팅(Directed Broadcasting)하여 마비시키는 공격 [2020년 1회] |
| 죽음의 핑(PoD; Ping of Death) | ICMP 패킷(Ping)을 정상적인 크기보다 아주 크게 만들어 전송하면 다수의 IP 단편화가 발생하고, 수신 측에서는 단편화된 패킷을 처리(재조합)하는 과정에서 많은 부하가 발생하거나, 재조합 버퍼의 오버플로우가 발생하여 정상적인 서비스를 하지 못하도록 하는 공격기법 |
| 랜드 어택(Land Attack) | 출발지(Source) IP와 목적지(Destination) IP를 같은 패킷 주소로 만들어 보냄으로써 수신자가 자기 자신에게 응답을 보내게 하여 시스템의 가용성을 침해하는 공격기법 |
| 티어 드롭(Tear Drop) | IP 패킷의 재조합 과정에서 잘못된 Fragment Offset 정보로 인해 수신시스템이 문제를 발생하도록 만드는 DoS 공격 |
| 봉크(Bonk) / 보잉크(Boink) | 프로토콜의 오류 제어를 이용한 공격기법으로서 시스템의 패킷 재전송과 재조립이 과부하를 유발 |
DDoS 공격
DDoS(Distributed DoS)는 DoS의 또 다른 형태로 여러 대의 공격자를 분산 배치하여 동시에 동작하게 함으로써 특정 사이트를 공격하는 기법이다.
DDoS 공격 구성요소 (HAMAD)
| 구성요소 | 설명 |
| 핸들러(Handler) | 마스터 시스템의 역할을 수행하는 프로그램 |
| 에이전트(Agent) | 공격 대상에 직접 공격을 가하는 시스템 |
| 마스터(Master) | 공격자에게서 직접 명령을 받는 시스템 |
| 공격자(Attacker) | 공격을 주도하는 해커의 컴퓨터 |
| 데몬 프로그램(Daemon) | 에이전트 시스템의 역할을 수행하는 프로그램 |
DDoS 공격 도구 [2020년 3회]
- Trinoo
- Tribe Flood Network
- Stacheldraht
DDoS 공격의 대응 방안
- 차단 정책 업데이트
- 좀비PC IP 확보
- 보안 솔루션 운영
- 홈페이지 보안 관리
- 시스템 패치
DRDoS 공격
- DRDoS(Distributed Reflection Dos)
- DDoS에 비해 공격 근원지 파악이 어렵고, 공격 트래픽 생성 효율이 DDoS보다 훨씬 크다.
- 공격자는 출발지IP를 공격대상 IP로 위조하여 다수의 반사 서버로 요청 정보를 전송, 공격 대상자는 반사 서버로부터 다량의 응답을 받아서 서비스 거부(DoS)가 되는 공격
DRDoS 공격 절차
- 출발지 IP 변조
- 공격 대상자 서버로 응답
- 서비스 거부
버퍼 오버플로우 공격
버퍼 오버플로우(Buffer Overflow) 공격은 메모리에 할당된 버퍼 크기를 초과하는 양의 데이터를 입력하여 이로 인해 프로세스의 흐름을 변경시켜서 악성 코드를 실행시키는 공격기법이다.
버퍼 오버플로우 공격 유형
스택 버퍼 오버플로우 공격 / 힙 버퍼 오버플로우 공격
버퍼 오버플로우 공격 대응 방안
| 대응 방안 | 설명 |
| 스택가드 활용 | 카나리라고 불리는 무결성 체크용 값을 복귀 주소와 변수 사이에 삽입해 두고, 버퍼 오버플로우 발생 시 카나리 값을 체크, 변할 경우 복귀 주소를 호출하지 않는 방식으로 대응 메모리상에서 프로그램의 복귀 주소와 변수 사이에 특정 값을 저장해 두었다가 그 값이 변경되었을 경우 오버플로우 상태로 가정하여 프로그램을 중단하는 기술 [2020년 1회] |
| 스택쉴드 활용 | 함수 시작 시 복귀 주소를 Global RET라는 특수 스택에 저장해 두고, 함수 종료 시 저장된 값과 스택의 RET 값을 비교해 다를 경우 오버플로우로 간주하고 프로그램 실행을 중단 |
| ASLR 활용 | 메모리 공격을 방어하기 위해 주소 공간 배치를 난수화하고, 실행 시마다 메모리 주소를 변경시켜 버퍼 오버플로우를 통한 특정주소 호출을 차단 |
백도어(Backdoor)
어떤 제품이나 컴퓨터 시스템, 암호시스템 혹은 알고리즘에서 정상적인 인증 절차를 우회하는 기법이다.
백도어 탐지기법 [2020년 1회]
- 프로세스 및 열린 포트 확인
- Setuid 파일 검사
- 백신 및 백도어 탐지 툴 활용
- 무결성 검사
- 로그 분석
주요 시스템 보안 공격기법
| 공격기법 | 설명 |
| 포맷 스트링 공격 (Format String Attack) |
포맷 스트링을 인자로 하는 함수의 취약점을 이용한 공격으로 외부로부터 입력된 값을 검증하지 않고 입출력 함수의 포맷 스트링을 그대로 사용하는 경우 발생하는 취약점 공격기법 |
| 레이스 컨디션 공격 (Race Condition Attack) |
레이스 컨디션은 둘 이상의 프로세스나 스레드가 공유자원을 동시에 접근할 때 접근 순서에 따라 비정상적인(원하지 않는) 결과가 발생한느 조건/상황 |
| 키로거 공격 (Key Logger Attack) |
컴퓨터 사용자의 키보드 움직임을 탐지해서 저장하고, ID나 패스워드, 계좌 번호, 카드 번호 등과 같은 개인 중요 정보를 몰래 빼가는 해킹 공격 [2020년 1회] |
| 루트킷 (Rootkit) |
시스템 침입 후 침입 사실을 숨긴 채 차후의 침입을 위한 백도어, 트로이 목마 설치 등 해킹에 사용되는 기능을 제공하는 프로그램의 모음 |
보안 관련 용어
| 공격기법 | 설명 |
| 스미싱 (Smishing) |
문자메시지를 이용하여 신뢰할 수 있는 사람 또는 기업이 보낸 것처럼 가장하여 개인비밀정보를 요구하거나 휴대폰 소액결제를 유도하는 피싱 공격(사이버 사기) |
| 큐싱 (Qshing) |
스마트 폰을 이용하여 금융 업무를 처리하는 사용자에게 인증 등이 필요한 것처럼 속여 QR 코드를 통해 악성 앱을 내려 받도록 유도, 금융 정보 등을 빼내는 피싱 공격(사이버 사기) |
| APT 공격 (Advanced Persistent Threat) |
특정 타깃을 목표로 하여 다양한 수단을 통한 지속적이고 지능적인 맞춤형 공격기법 |
| 제로데이 공격 (Zero Day Attack) |
보안 취약점이 발견되어 널리 공표되기 전에 해당 취약점을 악용하여 이루어지는 보안 공격 |
| 사이버 킬체인 (Cyber kill Chain) |
룩히드 마틴의 사이버 킬체인은 공격형 방위시스템으로 지능적, 지속적 사이버 공격에 대해 7단계 프로세스별 공격분석 및 대응을 체계화한 APT 공격 방어 분석 모델 |
| 이블 트윈 공격 (Evil twin) |
무선 wifi 피싱 기법으로 공격자는 합법적인 Wifi 제공자처럼 행세하며 노트북이나 휴대 전화로 핫스팟에 연결한 무선 사용자들의 정보를 탈취하는 무선 네트워크 공격기법 |
| 웜 (Worm) |
스스로를 복제하여 네트워크 등의 연결을 통하여 전파하는 악성 소프트웨어 컴퓨터 프로그램 |
| 랜섬웨어 (Ransomware) |
인터넷 사용자의 컴퓨터에 침입해 내부 문서 파일 등을 암호화해 사용자가 열지 못하게 하는 공격으로, 암호 해독용 프로그램의 전달을 조건으로 사용자에게 돈을 요구하기도 한다. [2020년 1회] |
| Tripwire | 크래커가 침입하여 백도어를 만들어 놓거나, 설정 파일을 변경했을 때 분석하는 도구[2020년 1회] |
(2) 서버 인증
서버 인증은 다중 사용자 시스템과 망 운영 시스템에서 접속자의 로그인 정보를 확인하는 보안 절차이다.
서버 인증의 기능
스니핑 방지 / 피싱 방지 / 데이터 변조 방지 / 기업 신뢰도 향상
인증 기술의 유형 (지소생특)
지식기반 인증 / 소지기반 인증 / 생체기반 인증 / 특징기반 인증
(3) 서버 접근통제
서버 접근통제는 사람 또는 프로세스가 서버 내 파일에 읽기, 쓰기, 실행 등의 접근 여부를 허가하거나 거부하는 기능이다.
서버 접근통제의 목적
- 비인가자로부터 객체의 기빌성, 무결성, 가용성을 보장한다.
- 접근통제를 위해 식별, 인증, 권한부여기법이 적용된다.
서버 접근통제 유형
| 유형 | 설명 |
| 임의적 접근통제 (DAC) (Discretionary Access Control) |
시스템에 대한 접근을 사용자/그룹의 신분 기반으로 제한하는 방법 자원과 관련된 ACL(Access Control List)이 수정됨으로써 자원에 대한 권한을 부여 받는 방법 |
| 강제적 접근통제 (MAC) (Mandatory Access Control) |
시스템 정보의 허용등급을 기준으로 사용자가 갖는 접근 허가 권한에 근거하여 시스템에 대한 접근을 제한하는 방법 |
| 사용자들은 자원에 대한 권한을 관리자로부터 부여받는다. | |
| 관리자만이 시스템 자원에 대한 권한을 할당할 수 있다. | |
| 역할기반 접근통제 (RBAC) (Role Based Access Control) |
중앙 관리자가 사용자와 시스템의 상호관계를 통제하며 조직 내 맡은 역할(Role)에 기초하여 자원에 대한 접근을 제한하는 방법 |
서버 접근통제 간 비교 [2020년 4회]
| 정책 | DAC | MAC | RBAC |
| 권한 부여 | 데이터 소유자 | 시스템 | 중앙관리자 |
| 접근 결정 | 신분(Identity) | 보안등급(Label) | 역할(Role) |
| 정책 변경 | 변경 용이 | 고정적(변경 어려움) | 변경 용이 |
| 장점 | 구현 용이 유연함 |
안정적 중앙 집중적 |
관리 용이 |
접근통제 보호 모델 (벨기비무)
- 벨-라파둘라 모델(BLP): 미 국방부 지원 보안 모델로 기밀성 강조, 강제적 정책에 의해 접근 통제하는 모델
- 비바 모델: 벨-라파둘라 모델의 단점을 보완한 무결성을 보장하는 최초의 모델
| 보호 모델 | 속성 | 설명 |
| 벨-라파둘라 모델 (BLP; Bell-LaPadula Policy) |
No Read Up | 보안 수준이 낮은 주체는 보안 수준이 높은 객체를 읽어서는 안됨 주체는 객체와 동일한 등급이거나 객체가 낮은 등급일 때 읽음 |
| No Write Down | 보안 수준이 높은 주체는 보안 수준이 낮은 객체에 기록하면 안됨 주체의 등급이 객체와 동일하거나 객체보다 낮아야 기록 가능 |
|
| 비바 모델 | No Read Down | 높은 등급의 주체는 낮은 등급의 객체를 읽을 수 없음 |
| No Write Up | 낮은 등급의 주체는 상위 등급의 객체를 수정할 수 없음 |
(4) 보안 아키텍처
보안 아키텍처(Security Architecture)
보안 아키텍처는 정보자산의 기밀성, 무결성, 가용성을 강화하기 위하여 관리적, 물리적, 기술적 보안 영역의 구성요소와 관계를 구체화한 청사진이다.
보안 아키텍처의 효과
- 종합적 보안개념 수립
- 보안관리 능력 향상
- 일관된 보안 수준 유지
- 표준모델을 재사용하여 비용효과 상승
보안 아키텍처 영역
관리적 보안 / 물리적 보안 / 기술적 보안
(5) 보안 프레임워크 (Security Framework)
보안 프레임워크 구성요소
정보보호 요소 / 전략 및 거버넌스 / 침해사고 관리 / 계층적 보안 기술
보안 프레임워크 정보보호 요소 (컴위요기)
컴플라이언스 / 보안 위협 / 비즈니스 요구사항 / 비즈니스 기회
시스템 보안 구현
(1) 로그 분석
리눅스(Linux) 형식의 로그
- 대부분의 로그 파일 저장 경로는 '/var/log'에 저장된다.
- 로그 파일은 일반적으로 텍스트 형식으로 저장된다.
윈도즈(Windows) 형식의 로그
윈도즈 시스템에서는 시스템의 로그가 이벤트 로그 형식으로 관리된다.
이벤트 로그를 확인하기 위해서는 Windows의 이벤트 뷰어를 이용해야 한다.
윈도 로그 파일 유형 (응보시)
응용 프로그램 로그 / 보안 로그 / 시스템 로그
(2) 보안 솔루션
네트워크 보안 솔루션
| 솔루션 | 약어 | 설명 |
| 방화벽(Firewall) | Firewall | 기업 내부, 외부 간 트래픽을 모니터링하여 시스템의 접근을 허용하거나 차단하는 시스템 |
| 웹 방화벽 (WAF; Web Application Firewall) |
WAF | 일반적인 네트워크 방화벽과는 달리 웹 애플리케이션 보안에 특화된 보안장비 SQL 인젝션, XSS 등과 같은 웹 공격을 탐지하고 차단하는 기능 |
| 네트워크 접근 제어 (NAC; Network Access Control) |
NAC | 단말기가 내부 네트워크에 접속을 시도할 때 이를 제어하고 통제하는 기능을 제공 바이러스나 웜 등의 보안 위협으로부터 네트워크 제어 및 통제 기능을 수행 |
| 침입 탐지 시스템 (IDS; Intrusion Detection System) |
IDS | 네트워크에서 발생하는 이벤트를 모니터링하고 비인가 사용자에 의한 자원접근과 보안정책 위반 행위(침입)을 실시간으로 탐지 |
| 침입 방지 시스템 (IPS; Intrusion Prevention System) |
IPS | 네트워크에 대한 공격이나 침입을 실시간적으로 차단하고, 유해트래픽에 대한 조치를 능동적으로 처리하는 시스템 |
| 무선 침입 방지 시스템 (WIPS; Wireless Intrusion Prevention System) |
WIPS | 인가되지 않은 무선 단말기의 접속을 자동으로 탐지 및 차단하고 보안에 취약한 무선 공유기를 탐지 외부 공격에 대해 내부 시스템을 보호하기 위해 무선 랜 환경에서의 보안 위협을 감지 |
| 통합 보안 시스템 (UTM; Unified Threat Management) |
UTM | 방화벽, 침입 탐지 시스템(IDS) 침입 방지 시스템(IPS), VPN, 안티 바이러스, 이메일 필터링 등 다양한 보안 기능을 하나의 장비로 통합하여 제공 |
| 가상사설망 (VPN; Virtual Private Network) |
VPN | 인터넷과 같은 공중망에 사설망을 구축하여 마치 전용망을 사용하는 효과를 가지는 보안 솔루션 [2020년 4회] |
시스템 보안 솔루션
| 솔루션 | 설명 |
| 스팸 차단 솔루션 (Anti-Spam Solution) |
메일 서버 앞단에 위치하여 프록시(Proxy) 메일 서버로 동작 메일 바이러스 검사, 내 외부 본문 검색 기능을 통한 내부 정보 유출 방지 |
| 보안 운영체제 (Secure OS) |
컴퓨터 운영체제의 커널에 보안 기능을 추가한 것으로 운영체제의 보안상 결함으로 인하여 발생 가능한 각종 해킹으로부터 시스템을 보호하기 위하여 사용되는 것 [2020년 4회] |
콘텐츠 유출 방지 보안 솔루션
| 솔루션 | 설명 |
| 보안 USB |
정보 유출 방지 등의 보안 기능을 갖춘 USB 메모리 |
| 사용자 식별/인증, 데이터 암/복호화, 임의복제 방지, 분실 시 데이터 삭제 기능 | |
| 데이터 유출 방지(DLP) |
조직 내부의 중요 자료가 외부로 빠져나가는 것을 탐지하고 차단 |
| 정보 유출 방지를 위해 정보 흐름에 대한 모니터링과 실시간 차단 기능 제공 | |
| 디지털 저작권 관리(DRM) | 디지털 저작물에 대한 보호와 관리를 위한 솔루현 |
취약점 분석의 대상
환경 및 시설 / 하드웨어 / 소프트웨어
취약점 분석 절차 (자진 제진결보)
- 자산 조사 및 분석
- 진단 대상 선정
- 제약사항 확인
- 진단 수행
- 결과 분석/보고서 작성
#정보처리기사필기요약 #정처기필기요약
728x90
'IT License > 정처기-5과목' 카테고리의 다른 글
| 2021 #정보처리기사 필기요약 #5-3. 소프트웨어 개발 보안 구축 (0) | 2021.03.04 |
|---|---|
| 2021 #정보처리기사 필기요약 #5-2. IT 프로젝트 정보시스템 구축관리 (0) | 2021.03.03 |
| 2021 #정보처리기사 필기요약 #5-1. 소프트웨어 개발방법론 활용 (2) | 2021.03.02 |
댓글