1주차(1) - 2022/02/07 정보보안 OJT

1. 정보보안 개요

 

Information = entropy = uncertainty

" 확률적으로 약속한 양 "

 

샤논(Shannon) - 정보통신선구자

: 확률이 적을수록 가치가 높다 => 정보이론(부호이론, 암호이론)

 

자산(asset)

: 핵심자산(왕관의 보석)

 

자산의 종류

• 인적
• 물리적
• 서비스
• 정보
• 브랜드 및 이미지(명성)
• 페이퍼
• S/W

 

자산 분석, 취약점 분석, 위협 분석 <= 관리적, 기술적, 물리적
=> 일어날 가능성(risk)을 도출 하는 것 = 위험분석

 

 

 

DOA(Degree of Assurance, 조직의 책임자 결정) = 위험평가

 

" 위험(Risk) < DOA " 가 되도록 보안 솔루션, 보안 제품을 통해 기술적, 관리적, 물리적으로 통제(Process)하는것 = 위험관리 = 정보보호

 

http 프로토콜 => WWW 서비스

-  버너스 리 

-> 스니핑 가능

-> SSL (보안 프로토콜)

-> https

 

IoT 해킹 

- CVE SSL / CVE CCTV

 

2. 개인정보 

: 개인정보란 살아있는 개인에 대한 정보로 1개 이상의 조합된 개인 식별이 가능한 정보를 말함.

※ 죽은 자의 정보로 살아있는 사람에게 심각한 피해를 입히면 개인정보로 인정됨

 

 

피싱

: 불특정다수의 개인정보를 낚아채는 것     ex) 가짜은행 사이트를 만들어서 ID/PW 탈취

• 보이스피싱
• 스미싱
  • 공인인증서
  • 메시지
  • 그림
  • 음성
  • 위치추적(GPS)
  • DDoS
  • 전화번호
• 이메일스캠 : APT/이메일 속여서 낚는 것
• 파밍 : DNS 조작 
• 스피어피싱 : 특정인을 대상으로 하는 것

 

3. 개인정보 유출

 

Information Gathering

구글 독(dork)

: 구글 검색기능을 통한 정보 획득 (Directory Listing, Apache SSL/TLS 서버 기본 페이지 검색, 에러 메시지 통한 서버 ID/PW 정보 획득 등)

 

기업돌연사
2011 SK nate 사건 ( 이스트소프트 update 서버에 악성 dll 심어 백신 우회 > 네이트온 메신저 SK컴즈 회사의 공인IP 주소로 63~4개의 PC를 가지고 APT(지능형 지속적 위협) 공격  >  DBA가 DB에 접속할 때 ID/PW 탈취 > 3500만명 개인정보 유출 )

 

 

정상 파일 + 악성 코드(백신 우회 기법 적용) < binder

virustotal.com 체크 

패스워드 크랙 = hydra

 

4. ROI(Return of Investment)

: 투자자본수익률

- 공격의 노력 대비 수익을 먼저 고려해야 한다. 높은 ROI는 투자가 투자비용 대비 좋은 성과를 낸다는 의미

- 해커들도 투자대비 효율을 찾음

 

NSA

:미국 국가안보국

NIST

:NSA 산하 미국의 국립표준기술연구소

 

 

5. 프로토콜

- 인터넷 지배한 프로토콜은 많았으나 tcp/ip로 통일됨

 

TCP/IP

• TCP는 신뢰성있는 데이터 전송하는 프로토콜
  • 전달되는 데이터의 관리 기능 외 다른 프로토콜과 같이 사용될 수 있도록 지원하는 기능도 있다.
  • WWW를 이용하려면 먼저 컴퓨터에 TCP/IP 환경을 만들어야 한다. WWW 에는 브라우저와 서버와의 통신을 위해 HTTP라는 프로토콜이 있지만 이는 인터넷을 기반으로 움직이는 WWW에서 정보를 교환하기 위한 프로토콜이며, 인터넷에 있는 다양한 OS를 묶는 첫번째 프로토콜은 TCP/IP이다.
• IP는 데이터를 정확한 곳에 보내기 위한 프로토콜
• 하드웨어적으로 연결된 네트워크 망에서 컴퓨터들끼리 서로 통신하는데 필요한 규약이며, 통신할 때 동시다발적인 통신을 가능케 하기 위해 포트라는 가상의 "문"을 정의한다.

 

포트

: 프로토콜 규약인 TCP/IP에서 지정하는 가상의 소프트웨어적인 포트

사용목적

: 호스트 내에서 다중 프로세스에 대한 처리

 

• 프로토콜 기반 네트워크상에서 서버는 여러 사용자와 동시에 통신하며 여러 서비스를 제공하게 된다. 
• 두 대 이상의 컴퓨터가 통신할 때 데이터를 목적지까지 전달해 주는 것은 IP주소에 의해 결정되고, 목적지 서버에 도달한 정보를 어느 응용프로그램에서 처리해 줄건지 결정하는 데에는 포트번호가 사용된다.
• 따라서 여러 사용자 중 어느 사용자가 요청한 서비스인지 혹은 어느 프로그램이 요청한 서비스인지 구분하기 위해 송신지 포트번호가 있는 것이다. 포트 번호에 따라 데이터가 정확한 응용 프로그램에서 처리될 수 있다.
• 어느 응용 프로그램이나 사용자가 보낸 데이터인지 구분하기 위해서는 송신측 포트번호(Source Port Number)가 사용되고 어느 응용 프로그램이 수신해야 하는지 구분하기 위해 수신측 포트 번호(Destination Port Number)가 사용됨

범위

• 웰 논 포트(Well-known ports) : 0 ~ 1023번
  • 서버 프로그램이 수신 대기할 때 사용하는 포트로 우리가 사용할 수 없음
• 레지스터드 포트(Registered ports) : 1024 ~ 49151번
  • 벤더가 할당받아 사용하는 포트로 우리가 주로 사용
• 다이나믹 포트(Dynamic ports) : 49152 ~ 65535번 (16bit = 65535)
  • 주로 서버가 클라이언트 식별할 때 사용하며 동적포트임.

 

• http 서버 프로그램
  • 아파치, IIS 등...
  • 80/tcp
• https = http + SSL
  • 443/tcp
• IoT기기
  • shodan.io
  • censys.io
• ssh
  • 22/tcp
• smb 포트
  • 139, 445/tcp
• ftp 서버 프로그램
  • vsftp, 알ftp, wuftp 등...
  • 21/tcp
• telnet 
  • 23/tcp
• Client
  • 1024 이상 중 한 포트
  • TCP/IP 커널단에 구현되어 있음

 

6. 자산 관점 보안 요소

 

보안 3요소

• 기밀성(Confidentiality) = 비밀성
  • 허가 받지 않은 사람에게 노출되지 않음 
  • Access Control - 접근 제어
• 가용성(Availability)
  • 자산의 계속적 이용을 가능하게 하는 것
• 무결성(Integrity)
  • 데이터 흐름 중에 완전성과 정확성 유지
  • Man In The Middle(MITM) Attack
    • ettercap(윈, 리눅스)

 

• 자산(Asset)
  • 회사가 보유한 가치를 지닌 것
• 영향(Impact)
  • 보안 사고로 발생할 수 있는 정보자산에 대한 위험 및 비용
• 위협(Threat)
  • 버그, 오류, 결함 등으로 피해를 받을 수 있는 모든 경우
  • 취약점에 대한 공격 행위, 공격 코드 + 자연재해
• 위험(Risk)
  • 주어진 위협이 자산의 취약점을 이용하여 자산의 손실과 손상을 유발시킬 수 있는 잠재력(측정 가능해야 함)

 

1010101010... 
- 메모리 -> 전기적 신호
- H/W -> 자기적 신호
- 플립플롭 <- 0, 1 기억하는 소자 => 집적회로
- 16진수(4bit)로 표현

 

해시 함수(Hash Function)

① 압축성(해시값 : 128bit)

② 무결성

③ 일방향함수(계산상 입력값 도출 불가능)

ex) MD5, SHA-1, SHA-2, SHA-3 SHA-256, HAS160

 

생일역설

=> 160bit 이상 해시함수 선언해야 안전

감사

: 대응책 잘 선정되고 잘 이행되고 있는지 확인하기 위한 조사, 분석 방법

 

윈도우 - PE 포맷
리눅스 - elf32 / elf64

 

DBMS(DataBase Management System)

- RDBMS (관계형 DB) 

ex) MySQL, MSSQL 서버, 오라클

 

 

IP주소 (<네트워크계층)

• 스푸핑(DNS, ARP, ICMP, DHCP  등..)
• 재전송공격
• 트래픽분석
• 스니핑

 

IP + Security = IPSec(보완 + 보안)
IPSec, SSL -> VPN 구성

 

ARP

: IP로 MAC주소 찾아줌

 

USB

• 악성코드 전파
• Free Space 조작가능
• 부팅
• 자동실행 금지
• Bad USB

 

ES(End System) = ES 종단시스템

: 서버, PC, 노트북, 스마트폰

 

ES <-> ES 사이에

IS(Intermediate System)

• 보안 IS
• 로드분산 IS
  • L4(전송), L7(응용), L3(라우터+a) 스위치
• 효율적 대역폭 관리 IS
• VoIP
• NMS
• QoS

 

exploit 

: 소프트웨어나 하드웨어 및 컴퓨터 관련 전자 제품의 버그 취약점 등의 설계상 결함을 이용해 공격자의 의도된 동작을 수행하도록 만들어진 절차나 일련의 명령, 스크립트, 프로그램, 조작을 이르기까지의 사용한 공격 행위

ex) exploit-db.com, securityfocus.com

 

CVE(Common Vulnerabilities and Exposures) : 취약점 리스트

- mitre(마이터, 비영리단체) 심사

 

CWE(Common Weakness Enumeration) : 보안약점 리스트

- CWSS(정량 평가)

 

취약점(Vulnerabilities) vs 보안약점(Weakness)
> 보안약점이 더 넓은 개념으로 보안약점 중 익스플로잇해서 공격자가 악용 가능하면 취약점이 될 수 있지만 보안약점이라도 공격자가 익스플로잇 할 수 없으면 취약점이 아니다.

 

자산 분석, 취약점 분석, 위협 분석 <=== ISO27001(ISMS 인증) - BS7799

 

FireEye 2021 위협 보고서

https://content.fireeye.com/m-trends-kr

M-Trends 2021

 

ES종단시스템 참고

https://wogh8732.tistory.com/14?category=670138