III. 네트워크 보안 - 2
인터넷보안(황승연) 5주차 강의내용
3. 네트워크 기반 공격 유형
1) 스푸핑(Spoofing Attack)
‘속여먹다. 골탕먹이다’라는 뜻을 지닌 ‘Spoof’에서 나온말.
- 신뢰관계를 악용하여 자신을 다른 대상인 것처럼 속이는 공격기법
- 예)
- 친구인 척 메시지 보내기
- 은행인 척 피싱사이트 만들기
IP 스푸핑
- 패킷의 출발지(Source) IP 주소를 다른 주소로 위조하는 공격
- 출발지 IP를 검증하지 않는 IP 프로토콜의 취약점을 이용한 공격
- 특징
- 응답을 받기 어려움 (양방향 통신이 어려움)
- 추적이 어려움
- 주로 DDoS 공격에서 사용
ARP(Address Resolution Protocol) Spoofing 공격
- 공격자가 위조된 ARP Reply를 피해자와 게이트웨이에 지속적으로 전송하여 IP와 MAC 주소의 매핑을 속이는 공격
- 피해자와 게이트웨이는 공격자를 서로의 상대방으로 인식하게 되며, 모든 트래픽이 공격자를 경유함
DNS 스푸핑
- 공격 대상이 DNS 서버의 도메인 이름에 대한 IP 주소를 물어 볼 때 공격자는 DNS 질의 패킷을 탐지.
2) 스니핑(Sniffing)
- 네트워크를 통해 송수신되는 데이터를 중간에서 몰래 가로채어 내용을 확인하거나 수집하는 공격 기법
- ICMP Redirect 공격
- 더 좋은 경로가 있다고 알려서 패킷 경로를 바꾸는 공격 기법
- 최근 시스템들은 ICMP Redirect 무시
3) DoS/DDoS 공격
DoS(Denial of Service attack)
- 하나의 공격주체가 시스템의 자원(CPU, 메모리, 네트워크 등)을 과도하게 사용하도록 만들어 정상적인 서비스 제공을 방해하는 공격 유형
DDoS(Distributed Denial of Service)
- 여러 대의 컴퓨터(봇넷 등)를 이용해 동시에 공격을 수행함으로써 특정 서버나 네트워크의 자원을 고갈시켜 정상적인 서비스 제공을 불가능하게 만드는 공격 방식
DoS/DDoS 증상
- 비정상적으로 많은 요청 트래픽 발생
- 네트워크 지연 증가 및 응답 속도 저하
- 웹사이트 또는 서비스 접속 불가
- 정상 사용자의 요청이 처리되지 않음
DoS/DDoS 공격 유형
- 어떤 자원을 대상으로 하는가에 따라 구분
- 자원 고갈형 (Resource Exhaustion)
- CPU, 메모리, 연결 큐(socket, thread) 등을 과도하게 사용시켜 서비스 불능 상태 유도
- 서버까지는 도달하지만 처리를 못함
- 예) SYN Flooding
- SYN Flooding Attack
- 공격자가 다량의 TCP SYN 패킷을 전송하고, 이에 대한 응답하지 않아 서버의 연결 대기 큐를 가득 채워 정상적인 연결을 처리하지 못하게 만드는 공격
- 대역폭 소모형 (Bandwidth Consumption)
- 네트워크 경로에 대량의 트래픽을 발생시켜 통신 회선을 포화 상태로 만들고, 정상적인 요청이 서버에 도달하지 못하도록 방해
- 서버까지 도달 못함
- 예) Smurf Attack
- Smurf Attack
- 공격자가 피해자의 IP 주소로 위조한 ICMP Echo Request 패킷을 브로드캐스트 주소로 전송하여 다수의 시스템이 피해자에게 동시에 Echo Reply를 보내게 함으로써 대량의 트래픽을 유발하는 공격
- 라우팅 교란형 (Routing Disruption)
- 잘못된 라우팅 정보를 전달하거나 네트워크 경로를 왜곡하여 정상적인 데이터 전달을 방해
- 예) ICMP Router Discovery Attack
- 취약점 기반 공격 (Vulnerability Exploitation)
- 운영체제 또는 서버 프로그램의 취약점을 이용하여 시스템 오류나 서비스 중단을 유발
- 예) Land Attack, Ping of Death
- Land Attack
- 출발지 IP와 도착지 IP를 모두 공격 대상의 IP로 설정된 SYN 패킷을 공격 대상에 전송
- 피해자 입장
- 요청 도착 → 요청 처리 → 요청 전송 → 요청 도착 → …
- Ping of Death Attack
- 정상적인 크기를 초과하는 비정상적으로 큰 ICMP 패킷을 전송하여 시스템이 이를 처리하는 과정에서 버퍼 오버플로우나 시스템 오류를 유발하는 공격
4) Session Hijacking
다른사용자의 로그인 상태(세션)를 가로채서 대신 사용하는 공격
- 웹사이트 로그인 →세션 ID 발급→ 공격자가 가로챔 →요청마다 세션ID로 인증
- 패킷스니핑과 같은 방법으로 가로챌 수있음
- HTTPS 사용으로 대응 가능
5) APT(Advanced Persistent Threat)
- 특수목적을 가진 공격자가 국가기반 시설 또는 주요업체 등을 표적으로
- 장기간에 걸쳐 다양한 IT 기술을 이용해 정보를 수집하고 취약점을 분석한 뒤 지속적으로 공격을 수행하는 방식
-
APT 공격 절차
- 침투 → 탐색 → 수집 → 유출(제어)
- APT 공격 기법 종류
| 공격 방법 | 내용 |
|---|---|
| 스피어 피싱 (Spear Phishing) | 특정인, 유명인사, 사이트 사용자를 대상으로 한 피싱공격 |
| 악성코드 삽입 (Malware Injection) | 의도한 결과를 얻기 위해 오랜 기간동안 정보를 수집하는 침투공격 |
| 제로데이 공격 (Zero-day Exploit) | 공격 타깃이 가지고 있는 취약점을 이용한 전용 제로 데이 공격 |
| 내부자 위협 | 스피어 피싱 기술을 이용하여, 내부자의 중요 정보획득 |
| APT 라이프 사이클 | 수확단계에서도 새로운/즉각적 공격 침투 |
| 사회공학적 기법 (Social Engineering) | 신뢰하는 개인, 조직을 가장하여 악성코드 전송 |
6) 스턱스넷(Stuxnet)
- 특정 산업 시설을 공격하기 위해 만들어진 고도로 정교한 악성코드로, 세계 최초의 사이버 물리 공격(Cyber-Physical Attack) 사례로 알려져 있음
- 이란 핵시설의 원심분리기
- USB로 침투 (인터넷 연결 안 된 내부망 공격)
- 윈도우 취약점 활용 (제로데이 취약점)
- 원심분리기 속도를 비정상적으로 변경
- 모니터링 화면에는 정상 표시
- 핵 개발 지연
4. 무선 네트워크 보안
1) 무선랜 종류
WPAN(Wireless Personal Area Network)
- 개인 주변의 아주 짧은 거리에서 사용하는 무선 네트워크
- 블루투스(Bluetooth), 지그비(Zigbee)
WLAN(Wireless Local Area Network)
- 집, 학교, 사무실 등 일정 공간 내에서 사용하는 무선 네트워크
- WI-FI
WMAN(Wireless Metropolitan Area Network)
- 도시 규모의 지역 내에서 사용하는 무선 네트워크
- WiMAX
무선랜 보안 취약점
- 무선랜의 물리적 보안 취약점
- 보안 관리 어려움으로 인한 불법 침입 가능성
- 장비 이동의 자유로움으로 인한 도난 가능성
- 무선랜의 기술적 보안 취약점
- 불법 장비 설치를 통한 정보 수집
- 예) KT 소액결제 해킹사건 (불법 펨토셀)
- 무선 암호화 방식 취약점
2) 모바일 보안 위협
- 피싱
- 문자(SMS), 이메일, 메신저 등을 통해 사용자를 속여 개인정보를 탈취하는 공격
- 멀웨어와 랜섬웨어
- 악성 앱 또는 파일을 통해 스마트폰에 설치되는 악성 소프트웨어
- 크립토재킹(Cryptojacking)
- 사용자 몰래 스마트폰의 CPU/GPU 자원을 이용해 가상화폐 채굴을 수행하는 공격
- 안전하지 않은 와이파이
- 암호화되지 않거나 보안이 취약한 공공 Wi-Fi 사용 시 데이터 도청 및 중 간자 공격 위험 존재
- 공격자가 가짜 Wi-Fi를 만들어 사용자 접속 유도 가능
- 오래된 운영 체제
- 보안 패치가 적용되지 않은 구형 OS 사용 시 알려진 취약점에 그대로 노출
- 물리적인 기기 침해
- 스마트폰 분실, 도난, 무단 접근 등을 통한 정보 유출
- 잠금 설정이 없거나 약한 경우