14장 컴퓨터 보안 위협 (Computer Security Threats)

(1)

14 장 컴퓨터 보안 위협

(Computer Security Threats)

14 장의 강의 목표

컴퓨터 보안의 개념을 이해한다 .

위협과 공격 , 자산에 대해서 이해한다 .

침입자의 종류와 행동 방식 , 침입 기법에 대해 서 이해한다 .

악성 소프트웨어의 종류를 이해하고 , 바이러 스 , 웜 , 봇에 대해서 이해한다 .

루트킷에 대해서 이해한다 .

(2)

목 차

14.1 컴퓨터 보안의 개념

14.2 위협 , 공격 , 자산 14.3 침입자

14.4 악성 소프트웨어의 개요

14.5 바이러스 , 웜 , 로봇 14.6 루트킷

컴퓨터 보안 위협 3

14.1 컴퓨터 보안의 개념

비밀성(confidentiality)

자료 비밀성: 사적이거나 또는 비밀의 정보가,권한 없는 개인에게 이 용가능 또는 공개되지 않는 것을 보증하는 것

프라이버시

:

개인이 자신과 관련된 어떠한 정보가 수집되거나 저장되 는지를

,

그리고 그 정보가 누구에 의하여 누구에게 공개되는지를 제어 하고 좌우할 수 있음을 보증하는 것

무결성

(integrity)

자료 무결성: 정보와 프로그램이,계획된 권한 있는 방법에 의해서만 변경되는 것을 보증하는 것

시스템 무결성: 고의적이든 또는 우연이든 권한 없이 시스템을 다루지 않고, 시스템이 자신에게 부여된 기능을 훼손되지 않은 방법으로 수행 하는 것을 보증하는 것

가용성(availability)

시스템이 신속하게 동작하는 것과 권한 있는 사용자에게 서비스가 거 부되지 않음을 보증하는 것

(3)

14.1 컴퓨터 보안의 개념 ( 계속 )

CIA 3요소

컴퓨터 보안 위협 5 14.1 컴퓨터 보안의 개념

추가적인 개념들

인증 (authenticity)

진품이고, 검증될 수 있으며 신뢰될 수 있는 성질; 전송, 메시지, 그리고 메시지 근원지의 타당성에 대한 확신.

책임추적성 (accountability)

어떤 개체의 행동이 그 개체가 했다는 것으로 고유하게 추적될 수 있어야 함

.

부인방지, 저지, 결함 격리, 침입 탐지 및 방지, 사후 복 구, 합법적인 동작 등을 지원한다.

14.1 컴퓨터 보안의 개념

(4)

14.2 위협 , 공격 , 자산보안 위협

위협과 공격

14.2 위협 , 공격 , 자산보안 위협 ( 계속 )

위협과 공격(계속)

(5)

위협과 자산

컴퓨터 보안 위협 9 14.2 위협, 공격, 자산보안 위협

시스템 보안의 범위

컴퓨터 시스템 자산과

CIA와의 관계

위협과 자산 ( 계속 )

14.2 위협, 공격, 자산보안 위협

(6)

14.3 침입자 (Intruders) – 해커 , 크래커

위장자 (masquerader)

컴퓨터 사용 권한을 갖고 있지 않은 개인사용자로, 합법 적인 사용자의 계정을 이용하기 위해 시스템의 접근제 어 기능을 공격

.

내부침입자 (misfeasor)

접근 권한이 없는 데이터

,

프로그램

,

자원에 접근하려는 합법적인 사용자. 또는 접근 권한은 있지만 권한을 잘못 사용하는 합법적인 사용자

비밀사용자 (clandestine user)

시스템의 슈퍼사용자 권한을 훔친 개인사용자로, 이 권 한을 이용하여 감사와 접근제어를 피하고 감사수집기 능을 방해함

침입의 예

전자메일 서버의 원격 루트 권한 훼손

웹 서버 손상

암호 추측을 통한 불법 획득

신용카드 등의 데이터베이스 복사

기밀데이터를 인증 없이 열람

패킷 스나이퍼 실행

익명 FTP 를 통한 불법 소프트웨어 / 음원 유통

안전하지 않은 모뎀을 통한 내부 네트워크 접근

고위직을 가장하여 고객 센터로 전화를 하여 이메 일 암호를 리셋하면서 알아냄 .

로그인된 채 방치된 워크스테이션을 무단 사용

14.3 침입자(Intruders)

(7)

침입자 행동 양식

해커

1.

nslookup, dig 등과 같은 IP 검색 도구를 사용하여 공격 대상

을 선택한다.

2.

nmap

과 같은 도구를 사용하여 접근 가능한 서비스를 위한 네 트워크 지도를 작성한다.

3. 잠재적으로 취약한 서비스를 정의한다. (이 경우,

pcAnywhere)

4.

pcAnywhere

암호를 강제로 풀어낸다

(추측한다).

5.

DameWare라 불리는 원격 관리 도구를 설치한다.

6. 관리자가 로그온할 때까지 기다려서 관리자 암호를 획득한 다

.

7. 획득한 암호를 사용하여 네트워크의 나머지 시스템에 접근 한다.

컴퓨터 보안 위협 13 14.3 침입자(Intruders)

침입자 행동 양식

범죄자

1. 자신의 행동이 발각되기 어렵게 하기 위해 빠르고 간결 하게 행동한다

.

2. 취약한 포트를 통하여 방어선을 개척한다.

3. 재진입을 위한 백도어를 남기기 위해 트로이 목마(숨겨 진 소프트웨어)를 사용한다.

4. 암호를 획득하기 위해 스나이퍼를 사용한다.

5. 발각될 때까지 주변에서 서성대지 않는다.

6. 실수를 거의 또는 전혀 하지 않는다.

14.3 침입자(Intruders)

(8)

침입자 행동 양식

내부 위협

1. 자신과 친구들에 대한 네트워크 계정을 생성한다.

2. 자신의 일상 작업에서 보통 사용되지 않는 계정과 응용 에 접근한다.

3. 전임 고용주와 장래 고용주에게 전자메일을 전송한다

.

4. 은밀한 즉석 메시징 채팅을 지휘한다.

5.

f'dcompany.com과 같이 불만 가득찬 고용인들의 비위를

맞추는 웹사이트를 방문한다.

6. 대규모의 다운로드와 파일 복사를 수행한다

.

7. 휴가 중에도 네트워크에 접근한다.

컴퓨터 보안 위협 15 14.3 침입자(Intruders)

14.4 악성 소프트웨어의 개요

악성 소프트웨어 (malicious software)

대상 컴퓨터 시스템에 해를 가하거나 자원을 고갈하도 록 설계된 소프트웨어

호스트 프로그램이 필요한 것

바이러스(virus), 논리폭탄(logic bomb), 백도어(backdoor)

독립된 프로그램

웜(worm), 봇(bot)

복제되지 않는 것

논리폭탄

,

백도어

,

봇

복제되는 것

바이러스, 웜

(9)

백도어 (backdoor, trapdoor)

프로그램의 비밀 접근통로

일반적인 보안 접근 절차를 수행하지 않고도 접근허가 를 얻을 수 있음

보통 프로그램 제작자가, 인증 절차를 필요로 하거나 응 용 프로그램을 실행시키기 위해서 많은 다양한 값들을 입력해야 하는 응용 프로그램 개발 시에 사용

백도어 위협

비도덕적인 프로그램 제작자가 인가되지 않은 접근을 얻기 위해 사용할 때

백도어를 막는 방법

운영체제에서 제어하도록 구현하는 것은 어려움

프로그램 개발이나 소프트웨어 갱신 과정에서 해결

14.4 악성 소프트웨어의 개요

논리 폭탄 (Logic Bomb)

합법적인 프로그램 내에 내재된 프로그램

특정 조건이 만족되면 폭발함

특정 파일의 존재 유무

특정 요일

특정 사용자가 응용 프로그램을 동작

일단 구동되면 …

데이터 일부나 파일 시스템 전체를 파괴

기계를 정지

(10)

트로이 목마 (Trojan horse)

유용해 보이는 프로그램이 원하지 않거나 해로운 기능 을 하는 숨겨진 코드를 가지고 있는 경우

승인 없이 직접적으로 할 수 없는 일을 간접적으로 수 행하기 위해 사용될 수 있다 .

예) 모든 사람이 접근할 수 있도록 사용자 파일 권한을 설정

트로이 목마의 모델

본래의 프로그램 기능을 계속 수행하면서 추가로 별도의 악 성 활동을 수행

본래의 프로그램 기능을 계속하여 수행하지만 악성 활동을 수행하기 위하여 또는 다른 악성 활동을 위장하기 위하여 본 래의 기능을 수정

본래의 프로그램 기능을 완전히 대체하는 악성 기능을 수행

모바일 코드 (Mobile Code)

원격 시스템에서 전송되어 온 코드

사용자의 명시적인 지시 없이도 로컬 시스템에서 수행 가능

대표적인 운송 수단

자바 애플릿

, ActiveX, JavaScript, VBScript

(11)

다중 위협 악성 소프트웨어

다편(multipartite) 바이러스

여러 가지 방법으로 감염시킴

혼합 공격

(blended attack)

감염 속도와 공격 효과를 극대화하기 위해 여러 가지의 감염 또는 전파방법을 사용

예

: Nimda

공격

전자 메일: 취약성이 있는 호스트 상에서 사용자가 감염된 전자 메일 첨부 파 일을 열었을 때 호스트의 전자 메일 주소들을 찾아 그 주소로 자신의 복사본 을 전송

윈도우 파일 공유: 보안이 약한 윈도우 파일 공유를 정밀 검사한 다음에,

Nimda는 사용자가 감염된 파일을 실행할거라고 예상하면서 감염 파일을 갖

다 놓는다.

웹 서버: 마이크로소프트

IIS의 잘알려진 취약점을 찾기 위하여 웹 서버를 정

밀 검사함. 취약한 서버가 발견되면, 서버로

Nimda

자신의 복사본을 전송하 여 서버와 서버의 파일을 감염시키려고 시도.

웹 클라이언트: 취약성이 있는 웹 클라이언트가

Nimda에 의해 감염된 적이

있는 웹 서버를 방문하면, 클라이언트의 워크스테이션도 감염될 수 있다.

14.5 Viruses, Worms, and Bots

바이러스 란 ?

다른 프로그램을 수정함으로써 “ 감염 ” 시킬 수 있는 소프트웨어의 일부분

자신을 다른 프로그램에 부착시켜 해당 프로그램이

실행될 때 비밀리에 실행된다 .

(12)

바이러스의 구성 요소

감염 기법 (infection mechanism)

바이러스가 퍼지는 도구로서, 바이러스가 자신을 복제 하는 것을 가능하게 한다

.

이 장치는 감염 벡터로 불리 기도 한다.

시동 (trigger)

페이로드가 활성화되거나 전달되는 시점을 결정하는 사건이나 조건

.

페이로드 (payload)

바이러스가 전파하는 것 이외에도 수행하는 작업.

손해를 포함할 수도, 양호하지만 주목할만한 행동을 포 함할 수도 있다

.

컴퓨터 보안 위협 23 14.5 Viruses, Worms, and Bots

바이러스의 생명 주기

잠복 단계(dormant phase): 휴지상태

휴지 상태에 있다가 특정 날짜, 다른 프로그램이나 파일의 존재 여 부, 디스크 용량이 한계 값을 넘는 경우에 의하여 활성화될 수 있다.

모든 바이러스가 이 단계를 갖는 것은 아니다.

전파 단계(propagation phase)

자신의 복사본을 다른 프로그램이나 특정 시스템 영역에 복사

감염된 각 파일들은 바이러스의 복제본을 갖고 있으며, 이들 자신 도 전파 단계에 진입한다.

시동 단계(triggering phase)

바이러스가 하고자 하는 기능을 수행하기 위해 활성화되는 단계

바이러스 복제 횟수 등 다양한 시스템 사건에 의하여 활성화 됨.

실행 단계(execution phase)

바이러스 본연의 기능이 수행된다

.

스크린에 메시지를 나타내는 것 등과 같은 해가 없는 것일 수도

…

프로그램이나 데이터 파일의 삭제와 같은 유해한 것일 수도…

14.5 Viruses, Worms, and Bots

(13)

간단한 바이러스

바이러스 코드

V는 감염된 프로그램의 앞부분에 삽입

실행되었을 때 진입점은 첫 번째 라인이라고 가정

바이러스의 구조

-바이러스로서의 단점 . 감염된 프로그램이 감 염되지 않은 프로그램보 다 크기 때문에 쉽게 발견 됨

. 해결책: 같은 크기를 갖도록 감염된 실행 파일 을 압축한다.

압축 바이러스 실행 로직

감염 안 된 파일을 압축하여 본래 크기에서 바이러스 크기 만큼 작 게 한다

.

바이러스 복사본을 압축된 바이너리 앞에 붙인다.

바이러스의 구조 ( 계속 )

14.5 Viruses, Worms, and Bots

(14)

바이러스 분류

목표에 의한 분류

부트 섹터 감염자 (boot sector infector)

마스터 부트 레코드나 부트 레코드를 감염시키고 이 바이 러스를 포함하는 디스크를 사용하여 부팅될 때 전파된다

.

파일 감염자 (file infector)

마스터 운영체제나 쉘이 실행 가능하다고 판단하는 파일 들을 감염시킨다.

매크로 바이러스 (macro virus)

응용 프로그램이 해석하는 매크로 코드를 가지는 파일을 감염시킨다.

바이러스의 은닉전략에 의한 분류

암호화된 바이러스 (encrypted virus)

바이러스의 일부분이 랜덤 암호화 키를 생성하고 바이러스 의 나머지 부분을 암호화

암호화 키는 바이러스와 함께 저장된다.

감염된 프로그램이 실행되면 바이러스는 저장된 랜덤 키를 사용하여 바이러스를 해독

.

바이러스가 복제될 때에는 다른 랜덤 키가 선택된다

.

많은 바이러스가 각 경우마다 서로 다른 키를 사용하여 암호 화

Î

일정한 비트 패턴이 관찰되지 않는다

.

비밀 바이러스 (stealth virus)

바이러스 퇴치 소프트웨어에 자신을 숨기는 것을 목적으로 설계된 바이러스

페이로드가 아닌 전체 바이러스가 숨겨진다.

예: 압축 바이러스

14.5 Viruses, Worms, and Bots 바이러스 분류

(15)

바이러스의 은닉전략에 의한 분류 ( 계속 )

다형 바이러스 (polymorphic virus)

감염될 때마다 여러 형태로 변형을 하는 바이러스로 바 이러스 시그니처에 의한 탐지를 불가능하게 한다

.

변성 바이러스 (metamorphic virus)

다형 바이러스처럼 변성 바이러스도 감염될 때마다 여 러 형태로 변형한다.

변성 바이러스는 발견을 어렵게 하기 위해서 매번 자신 을 완전히 재작성한다는 점에서 다형 바이러스와 차이 가 있다.

변성 바이러스는 자신의 모양뿐만 아니라 자신의 형태 를 변경할 수 있다.

바이러스 킷

바이러스 생성 툴

초보 프로그래머들도 쉽게 바이러스 작성 가능

(16)

매크로 바이러스

플랫폼에 독립적이다.

대부분의 매크로 바이러스는 마이크로소프트 오피스 문서 를 감염시킨다. 이들 응용 프로그램을 지원하는 하드웨어 플랫폼과 운영체제는 어느 것이든 감염될 수 있다.

코드의 실행부분이 아닌, 문서를 감염시킨다.

컴퓨터 시스템에 있는 대부분의 정보는 프로그램이 아닌 문 서 내에 있다.

쉽게 전파된다.

가장 일반적인 방법은 전자메일에 의한 것이다.

시스템 프로그램보다는 사용자 문서를 감염시킨다.

전통적인 파일 시스템 접근 제어는 매크로 바이러스의 확산 을 막는데 제한적이다.

전자메일 바이러스

첨부 파일로 전달

첨부 파일에 있는 MS-Word 매크로를 활용

전자메일을 열면 감염

전자메일 소프트웨어를 이용하여 복제하고 전 파됨

(17)

웜 (Worm)

자신을 복제하고 , 네트워크 연결을 통해 컴퓨터간 에 복사본을 전송할 수 있는 프로그램

복제를 위한 네트워크 웜의 전송수단

전자 메일 기구

웜은 다른 시스템에 자신의 복사본을 메일로 보내

전자메일이 도착하거나 첨부 문서가 열릴 때 실행된다.

원격 실행 능력

명시적인 원격 실행 기구를 사용하거나 네트워크 서비스 내의 프로그램 결함을 활용하여 다른 시스템에서 자신의 복사본을 실행시킨다.

원격 로그인 능력

사용자로서 원격 시스템에 로그인을 수행하고

자신을 다른 시스템으로 복제하는 명령어를 사용한다.

웜 전파 모델

(18)

봇 (bot)

좀비 (zombie) 또는 드론 (drone: 게으름뱅이 , 윙윙 하는 소리 ) 이라고도 불림

인터넷에 연결된 다른 컴퓨터의 제어권을 비밀스 럽게 빼앗아 거기에 공격 프로그램을 심음

봇의 생성자를 추적하기 어려운 공격을 가함

봇의 집합을 봇넷이라고 함

14.6 루트킷 (rootkit)

시스템에 대한 관리자

(또는 루트) 접근을 유지하기 위하여

시스템에 설치되는 프로그램 집합

루트킷의 종류

영구적:루트킷은 시스템이 구동될 때마다 활성화된다.

레지스트리 또는 파일 시스템과 같은 영구적인 저장 장치에 저장

사용자의 간섭 없이 코드를 실행하는 방법으로 구성하여야 한다.

메모리 기반:지속성이 있는 코드를 가지고 있지 않기 때문에 재시 동 후에 잔존할 수 없다

.

사용자 모드

:

루트킷은

API(

응용 프로그램 인터페이스

)

로의 호출을 가로채어 복귀 결과를 수정한다

.

예) 응용 프로그램이 디렉토리 목록을 출력할 때, 복귀 결과에는 루트킷과 관계된 파일들을 확인하는 항목들을 포함하지 않는다.

커널 모드:루트킷은 커널 모드에서 본래

API로의 호출을 가로챌

수 있다.

실행 프로세스 목록에서 자신을 제거함으로써 악성 소프트웨어 프로세스 의 존재를 숨길 수 있다.

(19)

요 약

컴퓨터 보안의 3 가지 개념

비밀성, 무결성, 가용성

위협 , 공격 , 자산

침입자

위장자, 내부침입자, 비밀사용자로 분류되는 침입자의 행동 양식

,

침입기법

악성소프트웨어

백도어

,

논리폭탄

,

트로이목마

,

모바일코드

바이러스

바이러스의 특성과 구조

,

분류

14장 컴퓨터 보안 위협 (Computer Security Threats)