차분 공격(Differental Cryptanalysis)

- 1990년 Biham과 Shamir에 의하여 개발된 선택된 평문 공격법으로, 두 개의 평문블록들의 비트 파이에 대응되는 암호문 블록들의 비트 차이를 이용하여 사용된 암호열쇠를 찾아내는 방법이다.

선형 공격(Linear Cryptanalysis)

- 1993년 Matsui에 의해 개발되어 알려진 평문 공격법으로, 알고리즘 내부의 비선형 구조를 적당히 선형화시켜 열쇠를 찾는 방법이다.

전수 공격(Exhaustive Key Search)

- 1977년 Diffie와 Hellman이 제안한 방법으로 암호화할 때 일어날 수 있는 모든 가능한 경우에 대하여 조사하는 방법으로 경우의 수가 적을 때는 가장 정확한 방법이지만, 일반적으로 경우의 수가 많은 경우에는 실현 불가능한 방법이다.

통계적 분석(Statistical Analysis)

- 암호문에 대한 평문의 각 단어의 빈도에 관한 자료를 포함하는 지금까지 알려진 모든 통계적인 자료를 이용하여 해독하는 방법이다.

수학적 분석(Mathematical Analysis)

- 통계적인 방법을 포함하며 수학적 이론을 이용하여 해독하는 방법이다.

find / type f \(-perm -2000 -o -perm -4000\) -print

-o 옵션 : OR연산

-a 옵션 : AND연산

type f : 일반파일

개요

큰틀에서의 차이를 보면, 대칭키 암호화 방식은 암복호화에 사용하는 키가 동일한 암호화 방식을 말한다. 그와 달리, 공개키 암호화 방식은 암복호화에 사용하는 키가 서로 다르며 따라서 비대칭키 암호화라고도 한다. 따라서 공개키 암호화 에서는 송수신자 모두 한쌍의 키(개인키, 공개키)를 갖고있게 된다.

대칭키란, 장단점

대칭키는 위에서 설명한대로 암복호화키가 동일하며 해당 키를 아는 사람만이 문서를 복호화해 볼 수 있게된다. 대표적인 알고리즘으로는 DES, 3DES, AES, SEED, ARIA 등이 있다. 

공개키 암호화 방식에 비해 속도가 빠르다는 장점이 있지만, 키를 교환해야한다는 문제 (키 배송 문제)가 발생한다. 키를 교환하는 중 키가 탈취될 수 있는 문제도 있고 사람이 증가할수록 전부 따로따로 키교환을 해야하기 때문에 관리해야 할 키가 방대하게 많아진다.

이러한 키 배송 문제를 해결하기 위한 방법으로 키의 사전 공유에 의한 해결, 키 배포센터에 의한 해결, Diffie-Hellman 키 교환에 의한 해결, 공개키 암호에 의한 해결이 있다.

대칭키 암호화 방식: 암복호화키가 동일한 암호화 방식

대표 알고리즘 : DES, 3DES, AES, SEED, ARIA 등

장점 : 수행 시간이 짧음

단점 : 안전한 키교환 방식이 요구됨, 사람이 증가할수록 키관리가 어려워짐

공개키란, 장단점

위에서 설명한 대칭키의 키교환 문제를 해결하기 위해 등장한 것이 공개키(비대칭키) 암호화 방식이다. 이름 그대로 키가 공개되어있기 때문에 키를 교환할 필요가 없어지며 공개키는 모든 사람이 접근 가능한 키이고 개인키는 각 사용자만이 가지고 있는 키이다.

예를 들어, A가 B에게 데이터를 보낸다고 할 때, A는 B의 공개키로 암호화한 데이터를 보내고 B는 본인의 개인키로 해당 암호화된 데이터를 복호화해서 보기 때문에 암호화된 데이터는 B의 공개키에 대응되는 개인키를 갖고 있는 B만이 볼 수 있게 되는 것이다. 

1) B 공개키/개인키 쌍 생성

2) 공개키 공개(등록), 개인키는 본인이 소유

3) A가 B의 공개키를 받아옴

4) A가 B의 공개키를 사용해 데이터를 암호화

5) 암호화된 데이터를 B에게 전송

6) B는 암호화된 데이터를 B의 개인키로 복호화 (개인키는 B만 가지고 있기 때문에 B만 볼 수 있음)

따라서 공개키는 키가 공개되어있기 때문에 따로 키교환이나 분배를 할 필요가 없어진다. 중간 공격자가 B의 공개키를 얻는다고 해도 B의 개인키로만 복호화가 가능하기 때문에 기밀성을 제공하며 개인키를 가지고있는 수신자만이 암호화된 데이터를 복호화할 수 있으므로 일종의 인증기능도 제공한다는 장점이 있다. 그에 반해 단점은 속도가 느리다는 것이다. 

공개키 암호화 방식: 암복호화키가 동일한 암호화 방식

장점: 키분배 필요X, 기밀성/인증/부인방지 기능을 제공

단점: 대칭키 암호화 방식에 비해 속도가 느림

■ 전자서명 (디지털 서명 : Digital Signature)

 - 전자상거래 지불 시스템에서 송신자가 일정 금액을 보냈으나 수신자가 금액을 받지 않았다고 부인하는 경우가 생기는데 이를 방지하기 위해 전자서명을 이용한다

 - 전자서명은 원본의 해시값을 구한 뒤, 원본과 해시값을 같이 전송한다

 - 수신자는 수신 받은 원본에서 해시값을 구한 다음 수신 받은 해시값과 비교하여 일치하면 그 문서는 변경되지 않은 것(무결성 확보)

 - 이때 송신자는 그 해시값에 부인방지 기능을 부여하기 위해 공개키 방법을 사용

 - 송신자는 메시지의 해시값을 구한 후 그 해시값을 송신자의 개인키로 암호화하여 보내는 것

 - 수신자는 송신자가 보낸 해시값을 송신자의 공개키로 복호화하여 부인방지 기능을 확인한다

 - 전자서명이란 전자문서에 서명한 사람의 신원을 확인하고 서명된 전자문서가 위조되지 않았는지 여부를 확인할 수 있도록 전자문서에 부착된 특수한 디지털정보를 의미

** 전자서명의 개발 배경

   - 정보를 암호화하여 상대편에게 전송하면 부당한 사용자로부터 도청을 막을 수는 있다. 하지만 그 전송 데이터의 위조나 변조, 그리고 부인 등을 막을 수는 없다. 이러한 문제점들을 방지하고자 전자서명 기술이 개발되었다

■ 전자서명 서비스

 ① 메시지인증 : 변경여부 확인(해시함수 이용)해 무결성 기능을 제공

 ② 발신자(사용자) 인증 : 발신자 인증 기능을 제공. 즉, 전자서명은 발신자(서명 생성자)를 인증하는 기능이 있음

 ③ 부인방지 : 송신자의 개인키로 메시지 다이제스트를 암호화 후 송신한다. 수신자가 받은 암호화 된 메시지 다이제스트를 송신자의 공개키로 복호화가 된다는 것은 송신자만이 가지고 있는 송신자의 개인키로 메시지를 암호화 했다는 것

■ 전자서명의 주요 기능

1) 위조불가 (Unforgeable)

 - 합법적인 서명자만이 전자서명을 생성하는 것이 가능해야 함. 즉, 위조가 불가능해야 한다

 - 서명된 문서가 변형되지 않았다는 무결성(Integrity)을 보장한다

2) 서명자 인증 (User Authentication)

 - 전자서명은 서명 생성자를 인증하는 기능이 있다

 - 전자서명의 서명자를 불특정 다수가 검증할 수 있어야 한다

 - 전자서명 된 문서를 타인이 검증해야 하므로 전자서명 알고리즘은 공개해야 한다

3) 부인방지 (=부인봉쇄, Non-repudiation) 

 - 서명자는 서명행위 이후에 서명한 사실을 부인할 수 없어야 한다

 - 전자서명에서 부인방지는 송신자의 개인키로 해시값을 암호화 한 후(해시 후 서명 방식), 송신자의 공개키로 복호화(써명 검증)하여 부인방지서비스를 제공

4) 변경불가 (Unalterable)

 - 서명한 문서의 내용을 변경할 수 없어야 한다

5) 재사용 불가 (Not reusable)

 - 전자문서의 서명을 다른 전자문서의 서명으로 사용할 수 없어야 한다 (수신자가 문서를 재사용 할 수 없다)

 - 전자서명에서 송신자와 수신자의 메시지 전송 도중에 갈취되어 복사되거나 도용되지 않도록 해주는 특징이 있다

■ 공개키를 사용하는 전자서명 방식 (부가형 전자서명 방식)

 - 메시지의 해시값에 서명(개인키로 암호화)하는 전자서명 방식

 - 메시지의 해시값에 서명하는 전자서명 방식은 기밀성을 보장하지 않음

 - 메시지를 암호화 하지 않아 기밀성을 보장하지 못하는 이유는 메시지를 B의 공개키로 암호화 하면 속도 저하가 크기 때문

 - 공개키 기반 전자서명에서 메시지에 서명하지 않고 메시지의 해시값과 같은 메시지 다이제스트에 서명하는 이유는 공개키 암호화에 따른 성능 저하를 극복하기 위한 것

○ 메시지의 해시값에 서명하는 방법

   - 송신자는 일방향 해시함수로 메시지의 해시값을 계산

   - 송신자는 자신의 개인키로 해시값을 암호화

   - 송신자는 메시지와 서명을 수신자에게 송신

   - 수신자는 수신한 서명을 송신자의 공개키로 복호화

   - 수신자는 얻어진 해시값과 송신자로부터 직접 수신한 메시지의 해시값을 비교

□ 공개키 방식을 이용한 전자서명의 문제점

 - 공개키 암호화 방식은 공개키 저장소(공개키 레파지토리)의 공개키가 바꿔치기 당하는 중간자 공격에 취약

 - 공개키가 누구의 것인지 확인해 주는 과정이 필요. 즉 공개키 인증서(Public Key Certificate) 확인 과정이 필요

■ 전자서명 특징 

 - 디지털 서명은 기밀성을 지키기 위한 것은 아니다

 - 서명을 복사하더라도 서명자, 메시지의 내용이 바뀌지는 않기 때문에 서명이 무의미해지는 것은 아니다

■ 전자서명 구비조건 (제공기능)

 ① 무결성 (Integrity) 기능 제공 : 문서내용 변경 여부를 확인할 수 있어야 함

 ② 서명자 인증 기능 제공 (User Authentication) : 서명자 이외의 타인이 서명을 위조하기 어려워야 한다. 또한 전자서명의 서명자를 누구든지 검증할 수 있어야 한다

 ③ 부인방지 (Non-repudiation) 기능 제공 : 서명자는 서명행위 이후에 서명한 사실을 부인할 수 없어야 함

 ④ 재사용 불가 (Not reusable) : 전자문서의 서명을 다른 전자문서의 서명으로 재사용 할 수 없다

 ⑤ 위조불가 (Unforgeable) : 합법적인 서명자만이 전자서명을 생성할 수 있어야 한다. 즉 서명자 이외의 타인의 서명을 위조하기 어려워야 한다

■ 메시지 복원형 전자서명 (메시지에 직접 서명하는 방식)

 - 해시함수를 사용하지 않고 송신자가 메시지를 송신자의 개인키로 암호화하여 전송한 후 수신자는 송신자의 공개키로 메시지를 복호화하여 검증하는 방법

 - 기존의 공개키 암호 방식을 사용하여 별도의 전자서명 프로토콜이 필요하지 않다는 장점이 있으나, 메시지를 일정한 크기의 블록으로 나누어 그 각각의 블록에 서명을 해야 하므로 많은 시간이 소요되어 실제로는 사용되지 않는다

■ 전자서명이 제공하는 보안 서비스

 ① 본인 인증 : 사용자 인증을 의미하는 것으로서 인터넷상에서 전자문서의 작성자와 송신자의 신원을 확인하는 것

 ② 무결성 : 전자적 거래의 문서가 중간에 위조되거나 변조될 위험성을 해결하는 것으로서 메시지 인증 기술로 송신자가 수신자에게 보낸 메시지가 위조, 변조되지 않은 진본임을 확인하는 것

 ③ 부인방지 : 전자적 거래 이후 거래 사실을 부인하지 못하도록 하는 것으로서 부인방지는 메시지를 보낸 사람의 행위를 부인할 수 없을 뿐 아니라 메시지를 받은 사실 역시 부인할 수 없게 하여 전자적 거래를 완성시킨다

** 전자서명 자체가 기밀성(비밀성)을 보장하지 않는다

  - 기밀성이란 전자문서의 내용이 외부로 유출될 위험성을 해결하는 것으로서 전송되는 메시지를 송신자와 수신자를 제외한 제3자는 볼 수 없도록 하는 것을 말함. 하지만 전자서명은 전자서명 자체가 문서 내용에 대한 기밀성을 보장하지는 않는다

  - 메시지를 수신자의 공개키로 암호화하여 기밀성을 제공할 수 있으나 전자서명 특성상 결제 시 빠른 동작이 중요하고 메시지 자체가 기밀성을 요구하지 않아 메시지를 암호화 하지 않는다

■ 서명 방식의 종류

1) 은닉서명 (Bind Signature)

 - 서명자가 자신이 서명하는 메시지를 알 수 없는 형식으로 봉투 내의 내용을 보지 않고 겉면에 서명을 하면 내부의 잉크에 의해 서류에 서명이 되는 원리를 이용하는 방식 (먹지)

2) 수신자 지정서명

 - 서명을 검증할 때 특정 검증자만이 서명을 확인할 수 있으며 만일 서명에 문제가 있을 경우, 검증자의 비밀 정보를 노출시키지 않고 제3자에게 서명의 정당성을 증명하는 서명 방식

3) 부인방지 서명 (Undeniable Signature)

 - 서명을 검증할 때 반드시 서명자의 도움이 있어야 검증이 가능한 방식

4) 위임서명 (Proxy Signature)

 - 위임서명자로 하여금 서명자를 대신해서 대리로 서명할 수 있도록 한 방식

5) 다중서명 (Multisignature)

 - 동일한 전자문서에 여러 사람이 서명하는 방식

6) 이중서명 (Dual Signature)

 - 신용카드 기반 지불시스템인 SET (Secure Electronic Transaction) 에서는 상점이 카드 사용자의 계좌번호와 같은 정보를 모르게 하는 동시에, 상점에 대금을 지불하는 은행은 카드 사용자가 구매한 물건을 알지 못하지만 상점이 요구한 결제 대금이 정확한지 확인할 수 있게 하기 위해 사용되는 방식

 - 전자지불시스템(SET)에서 판매자(상점)에게 구매자의 결제정보(주문정보)를 보호하고 지불게이트웨이(PG)에게 구매자의 구매정보를 보호하기 위한 서비스이다 (상인은 고객의 잔고를, 은행은 구입정보를 모르게 한다)

 - 주문정보의 메시지 다이제스트(해시값)와 지불정보의 메시지 다이제스트(해시값)를 구하고, 두 정보의 메시지 다이제스트(해시값)를 합하여 생성된 새로운 메시지의 메시지 다이제스트(해시값)를 구한 후, 고객의 서명용 개인키로 암호화한 것

 - 즉 이중서명은 고객의 겨제 정보가 판매자를 통하여 해당 지급정보 중계기관으로 전송됨으로 인하여 고객의 결제정보가 판매자에게 노출될 가능성과 판매자에 의해 결제정보가 위ㆍ변조될 가능성을 제거한다

■ 은닉서명 (like 먹지를 이용한 서명)

  - D.Chaum이 제시한 특수 형태의 전자서명 기법으로 사용자 A가 서명자 B에게 자신의 메시지를 보여 주지 않고 서명을 얻는 방법을 말함

 - 메시지의 비밀을 지키면서 타인의 인증을 받고자 하는 경우에 주로 사용 (눈 감고 서명하기)

 - 전자화폐를 사용하는 데 있어서 사용자의 사생활을 보호하는 차원에서 제시된 서명 기법

 - 사용자가 서명자, 즉 은행에게 서명을 받으려는 문서를 비밀로 한 채 은행의 서명을 받는 방법으로 전자화폐에 대한 추적을 불가능하게 할 수 있는 기능을 제공한다

 - 전자화폐 사용자의 신원노출 문제점을 해결하기 위한 서명 기술

 - 전자서명과 서명자의 추적성을 차단한 전자서명 기술

★ 은닉서명의 목적 

 - 전자서명 사용 시 이용자의 프라이버시 노출을 보호하기 위해 사용

 - 전자화폐 이용 시에 사용자의 신원 노출 문제점을 해결하기 위해 사용

★ 은닉서명의 특징

 - 사용자의 익명성 보장

 - 송신자의 익명성 보장

 - 기본적으로 임의의 전자서명을 만들 수 있는 서명자와 서명 받을 메시지를 제공하는 제공자로 구성되어 있는 서명 방식으로, 제공자의 신원과 쌍(메시지, 서명)을 연결시킬 수 없는 익명성을 유지할 수 있는 서명 방식

★ 은닉서명의 문제점

 - 은닉서명을 악용하는 사례 발생

 - 전자화폐를 이용한 자금 세탁 등의 부작용이 발생

 - 범죄에 대한 추적의 어려움이 발생 (강탈, 돈세탁)

 - 전자서명 발급 이후에(메시지+서명) 쌍의 유효성을 확인할 수 있으나 자신이 언제, 누구에게 발행했는지를 알 수 없다(송신자의 익명성 보장)

 - 검증자는(메시지+서명) 쌍의 유효성을 확인할 수 있으나, 송신자의 신분을 알 수 없다

■ 은닉서명의 역기능 방지 기술과 특징

 1) 은닉서명의 역기능 방지를 위한 공정은닉서명 (Fair Blind Signature)

   - 은닉서명의 익명성 보장 문제를 해결하기 위한 서명기술

   - 익명성 보장에 대하여 법원의 추적 명령으로 신원 추적이 가능 (Linkable)

   - 기본 프로토콜은 익명성을 보장하나 필요시에 익명성 추적이 가능토록 설계

   - 전자화폐 사용 시 범죄 행위에 대한 해결 기능이 내장되었음

2) 은닉서명과 공정한 은닉서명의 특징 비교

■ 은닉서명의 응용분야

 - 전자화폐 : 사용자의 프라이버시 보호 (발행 프로토콜)

 - 전자투표 분야 : 익명성이 보장된 투표 참여

해쉬함수는 다음과 같은 기본 성질을 가져야 합니다.

1. 역상 저항성

   주어진 임의의 출력값 y 에 대해, y = h(x) 를 만족하는 입력값 x 를 찾는 것이 계산적으로 불가능하다.

2. 두 번째 역상 저항성

   주어진 입력값 x 에 대해 h(x) = h(x'),  x ≠ x' 를 만족하는 다른 입력값 x' 를 찾는 것이 계산적으로 불가능하다.

3. 충돌 저항성

    h(x) = h(x') 를 만족하는 임의의 두 입력값 x, x' 를 찾는 것이 계산적으로 불가능하다.

위의 성질들이 필요한 이유는 다음과 같은데요 ...

일단 위의 3가지 성질을 잘 익혀 두세요 ....

이것은 해쉬함수를 공격하는 방법이기도 합니다~~~

<역상 저항성이 필요한 이유>

RSA 알고리즘을 이용한 서명에서 A 가 공개키 (n,e) 를 갖는다고 가정하자.

공격자 C는 임의의 값 y를 선택하여 z = y^e mod n 을 계산하고 y 가 z 에 대한 A 의 서명이라고 주장할 수 있다.

만약 C 가 h(x) = z 인 x 를 찾는다면 위조가 가능하다.

<두 번째 역상 저항성이 필요한 이유>

공격자 C 가 h(x) 에 대한 A 의 서명을 관찰한 후 h(x) = h(x') 가 되는 메시지 x' 를 찾아서 A 가 x' 에 서명했다고 주장할 수 있다.

<충돌 저항성이 필요한 이유>

공격자 C 가 A 가 서명한 메시지 x 를 정확히 안다면 x 의 이미지의 역상을 찾는 것보다 오히려 충돌쌍인 (x, x') 를 찾는 것이 더 쉬울 수 있기 때문이다.

--------------------------------------------------------------------------------------------------------------------------

1. 압축 : 임의의 길이의 이진 문자열을 일정한 크기의 이진 문자열로 변환해야 한다.

2. 계산의 용이성 : x가 주어지면 H(x)는 계산하기 쉬워야 한다.

3. 역상저항성(일방향성) : 입력을 모르는 해시값 y가 주어졌을 때, H(x')=y를 만족하는 x를 찾는 것은 계산적으로 어려워야 한다.

4. 2번째 역상저항성(약한 충돌 회피성) : x가 주어졌을 때 H(x')=H(x)인 x'(≠x)을 찾는 것은 계산적으로 어려워야 한다.

5. 충돌저항성(강한 충돌 회피성) : H(x')=H(x)인 서로 다른 임의의 두 입력 x와 x'을 찾는 것은 계산적으로 불가능하다.

AND
AND 연산은 논리곱이라고도 하며 곱하기처럼 작용합니다. 
이 연산에서는 모든 입력값이 1일 때만 1을 출력합니다. 다음은 진리표입니다:
0 AND 0 = 0
0 AND 1 = 0
1 AND 0 = 0
1 AND 1 = 1

OR
OR 연산은 논리합이라고도 불립니다. 이는 하나 이상의 입력값이 1이면 1을 출력합니다. 아래는 진리표입니다:
0 OR 0 = 0
0 OR 1 = 1
1 OR 0 = 1
1 OR 1 = 1

XOR
XOR 연산은 입력값이 같지 않으면 1을 출력합니다. 이는 두 입력 중 하나만이 배타적으로 참일 경우에만 일어납니다. 이 연산은 더해서 mod 2 를 구하는 것의 결과와 동일합니다. 다음은 진리표입니다:
0 XOR 0 = 0
0 XOR 1 = 1
1 XOR 0 = 1
1 XOR 1 = 0

FAR(False Acceptance Ratio)와 FRR(False Rejection Ratio)는 타인수락률과 본인거부율로 생체인식 보안솔루션의 보안성 및 사용성을 측정하기 위한 기준으로 사용된다.

　타인수락률(FAR)은 시스템에 등록된 사용자외 다른 사람을 등록자로 오인하고 인증을 수행하는 오류로 FAR 0.001%는 10만회 가운데 한번꼴로 잘못 인증할 가능성이 있다는 얘기다.

　본인거부율(FRR)은 시스템에 등록된 사용자가 사용시 본인임을 확인하지 못하고 인증을 거부하는 오류로 FRR 0.1%는 1000회의 인증 가운데 한번꼴로 오류가 발생할 가능성을 말한다.

　생체인식 기술을 이용한 대부분의 인증 솔루션은 용도와 보안요구에 따라 서로 반비례 관계에 있는 FAR와 FRR의 교차점을 조정하게 된다.

　예를 들어 개인주택에서 사용하는 1대1 매칭 출입통제장치의 경우 FRR를 낮추고 FAR를 높여 사용중 불편을 겪지 않는 수준에서 보안성을 유지하게 된다. 이밖에 FAR를 타입-2 에러, FRR를 타입-1에러로 칭하기도 한다.

※ 포렌식이란 무엇인가?

포렌식(Forensics)은 고대 로마시대의 포럼(Forum)이라는 라틴어에서 유래했으며 그 뜻은 '법의학적인, 범죄 과학수사의, 법정의'이라는 의미를 가지고 있습니다. 

그럼, 디지털 포렌식(Digital Forensics)이란 무엇일까? 

컴퓨터를 매개로 이루어지는 범죄에 대한 법적 증거자료 확보를 위해 컴퓨터 저장매체와 네트워크로 부터 자료를 수집, 분석 및 보존하여 법적 증거물로써 제출 할 수 있도록 하는 일련의 작업을 말함

범죄현장에서 확보한 자료들을 법정에서 증거로서의 효력을 갖기 위해서는 5가지 원칙을 지켜야한다.

이 5가지 원칙이 바로 디지털 포렌식 5대 원칙이다.

1. 정당성의 원칙

- 획득한 증거 자료가 적법한 절차를 준수해야 하며, 위법한 방법으로 수집된 증거는 법적 효력을 상실한다.

1) 위법수집증거배제법칙(형사소송법 제308조의 2)

- 적법한 절차에 따르지 아니하고 수집한 증거는 증거로 할 수 없다.

판례 : 압수물의 사진 및 압수조서가 위법한 수색에 의한 압수물을 직접 이용해서 촬영되거나 작성된 경우 그 형태 등에 관한 증거가치에는 변함이 없다고 하더라도 그 증거가치는 부정된다. (서울 중앙지방법원 2006노2113)

2) 독수 독과이론

- 위법하게 수집된 증거(독수)에 의하여 발견된 제2차 증거(독과)의 증거능력은 인정할 수 없다는 이론

2. 무결성의 원칙

- 수집 증거가 위,변조되지 않았음을 증멸할 수 있어야 한다.

일반적으로 수집 당시의 데이터 hash 값과 법정 제출 시점 데이터의 hash 값이 같다면 hash 함수의 특성에 따라 무결성을 입증

이를 입증하기위해 경우에따라서 현장에 입장하는 시점부터 조사가 끝나는 시점까지 동영상으로 촬영하거나 사진으로 찍어두는 경우도 있음

※ 해시(hash) 함수란? (참고, MD5의 경우 128bit, SHA-1의 경우 160bit로 출력됨)

- 평문을 해시 알고리즘을 통하여 해시값으로 출력하는 것

특정한 키를 사용하지 않기 때문에 동일한 문장에 대해 동일한 해시값으로 출력하며, 문장이 조금만 변해도 해시값이 달라지게 됨. 또한 해시함수의 종류에 따라 출력되는 해시값의 길이가 달라짐

예컨대, '포렌식'의 해시값이 '155F01'라면 '포 렌식'의 해시값은 '14A3E5'으로 약간의 변화에도 완전 다른 해시값이 출력됨

3. 재현의 원칙

- 피해 직전과 같은 조건에서 현장 검증을 실시하거나, 재판이나 법정의 검증과정에서도 동일한 결과가 나와야한다. 

예컨대, 불법 해킹 용의자의 해킹 툴이 증거능력을 가지기 위해서는 같은 상황의 피해시스템에 툴을 적용할 경우 피해 결과와 일치하는 결과가 나와야한다.

4. 신속성의 원칙

- 휘발성 증거의 수집 여부는 신속한 조치에 의해 결정되므로 모든 과정은 지체없이 진행되야한다.

5. 절차 연속성의 원칙

- 증거물 획득 -> 이송 -> 분석 -> 보관 -> 법정 제출의 각 단계에서 담당자 및 책임자를 명확히 해야한다.

- 수집된 저장매체가 이동단계에서 물리적 손상이 발생하였다면, 이동 담당자는 이를 확인하고 해당 내용을 정확히 인수 인계하여 이후의 단계에서 적절한 조치가 취해지도록 해야한다.

침입탐지 시스템(IDS)을 공부하다 보면 오용탐지와 이상탐지에 대한 내용이 나온다.
침입탐지 시스템의 탐지방법에 따른 분류인데 오용탐지(Misuse Detection)는 악성패킷 등을 분석한 침입 패턴(Rule Set)을 저장하여 패턴과 동일하면 탐지하고, 이상탐지(Anomaly Detection)는 오용탐지와 반대로 정상 패턴을 저장하고 이와 다르면 탐지하는 방식이다.

오용탐지는 저장된 침입 패턴으로 침입 여부를 탐지하므로 오탐율(False Positive)이 낮지만, 미탐율(False Negative)이 높고 알려지지 않은 패턴은 탐지할 수 없다.
특히 제로데이 공격(Zero-day Attack)을 탐지할 수 없으며, 오용탐지를 시그니처(Signature) 기반 혹은 지식(Knowledge) 기반의 탐지 방법이라고 부른다.

이상탐지는 정상적인 패턴을 저장하여 이와 다르면 모두 침입이라고 탐지하므로, 오탐율이 높지만, 미탐율이 낮고 알려지지 않은 공격패턴, 특히 제로데이 공격에 대응할 수 있다.

외부 악당에 의해서 ICMP broadcast 응답이 한 대상에 집중포화되다

Smurf Attack

스머프 공격(Smurf Attack) 은

인터넷 제어 메시지 프로토콜(ICMP)이 갖는 특성 중

특정 네트워크 주소로부터 생성된 네트워크 패킷으로 ICMP 핑 메시지를 전송하면

수신된 ICMP Echo Request 에 대하여 ICMP Echo Reply 를 응답한다는 것이 있다.

​

이를 이용한 서비스 거부(DoS) 공격 행위를 유발 하기위하여

여러 호스트(증폭기)에게

출발지(Source) IP를 희생자(Target) IP로 위조한(IP Spoofing)한

다량의 ICMP Echo Request를 보내면

해당 요청을 수신한 증폭기로부터 특정 공격 대상(희생자)에게

다량의 ICMP Echo Reply가 되돌아가게 한다.

https://en.wikipedia.org/wiki/Smurf_attack

https://www.imperva.com/learn/ddos/smurf-attack-ddos/

https://usa.kaspersky.com/resource-center/definitions/what-is-a-smurf-attack

https://www.cloudflare.com/learning/ddos/smurf-ddos-attack/

https://security.radware.com/ddos-knowledge-center/ddospedia/smurf-attack/

https://blog.logsign.com/what-is-a-smurf-attack/

인터넷 프로토콜(IP) 브로드 캐스트나 증폭 네트워크 등

기타 인터넷 운용 측면을 이용한다.

​

'스머핑'이라는 프로그램을 사용하여 네트워크를 공격하는데,

​

스머핑은

IP와 인터넷 제어 메시지 프로토콜(ICMP)의 특성을

이용한다고 알려져 있다.

​

스머핑 프로그램은

마치 다른 네트워크 주소(이것을 스머핑 주소라고 한다)로부터 생성된 것처럼 보이는 네트워크 패킷을 만들어서,

주어진 네트워크 내의 모든 IP 주소들, 즉 IP 브로드캐스트 주소로 ICMP 핑 메시지를 보낸다.

​

이 핑 메시지에 대한 응답은 스머핑 주소로 보내지는데,

엄청난 양의 핑과 그에 대응한 에코 메시지로 인해

네트워크는 실시간 트래픽을 처리할 수 없을 만큼 많은 정보로 넘쳐 흐르게 된다.

예를들어

희생자(Target) IP로 출발지(Source) 주소를 위조한

대량의 ICMP Echo Request 메시지를 브로드캐스트(Broadcast) 한 상황에서,

​

Wireshark를 통해 패킷을 캡처하여

공격자 호스트 관점에서 봤을 경우

​

브로드캐스트 주소(192.168.56.255)에게

희생자 주소(10.10.10.20)로 위조된 대량의 ICMP Echo Request 메시지가 전송됨을 확인할 수 있다.

​

희생자 호스트 관점에서 봤을 경우

​

192.168.56.15, 192.168.56.20, 192.168.56.37, 192.168.56.40 등

브로드캐스트 주소(192.168.56.255)의 다양한 호스트로부터 희생자 주소(192.168.57.20)으로

ICMP Echo Reply 메시지가 수신되고 있음을 확인할 수 있다.

​

스머프 공격의 특성상

공격이 시각되면

단시간에 다수의 ICMP Echo Reply 패킷을 희생자(Target)에게 전송한다.

​

스머핑 공격을 무력화 시키는 방법은

공격받는 쪽과 각 네트워크 라우터(호스트)에서 진행 할 수 있다.

​

공격받는 쪽에서는

침입차단 시스템을 통한 패킷 필터링(Ingress Filtering)으로서

Echo Reply message의 rate-limit을 설정하여

한꺼번에 동일한 ICMP Echo Reply message가 들어오는 것을 막는다.

​

각 네트워크 라우터(호스트)에서는

증폭 네트워크로 사용되는 것(중간 매개지로 쓰이는 것)을 막기 위해서

IP Broadcast 패킷에 응답하지 않도록

IP 브로드캐스트 주소로 전송된 ICMP Echo Request 메시지(Spoof 된 패킷)을

수신 할 수 없게(사용 및 응답하지 않게) 시스템에서 미리 차단 설정해 놓는다.

이러한 설정을 해둔 호스트는

다른 네트워크로부터 자신의 네트워크로 들어오는(IP브로드캐스트로 전송된)

Directed Broadcast 패킷을 허용하지않도록(Disable) 라우터를 설정함으로써

해당 ICMP패킷에 대해 응답하지 않게하여 해결할 수 있다.

​

라우터에서 direct broadcast 를 차단하는 명령어는 다음과 같다.

(config-id)# no ip directed-broadcast

​

유닉스 명령어는 다음과 같다.

ndd -set /dev/ip ip_forward_directed_broadcasts 0

리눅스 특수권한에 대해 살펴보겠습니다.

리눅스는 보통 사용자와 파일에 권한을 부여해 가장 기초적인 보안 체계를 이룹니다.

일반적으로 파일이나 디렉토리에는 user, group, other 권한이 존재하고

각각 읽기, 쓰기, 실행 권한을 부여할 수 있습니다.

이런 일반 권한 이외에도 리눅스에는 특수권한이란 것이 존재합니다.

• SetUID

SetUID가 설정된 파일을 실행할 때 일시적으로 파일 소유자의 권한을 얻어 실행할 수 있도록 합니다. 

예를들어 root 권한으로 지정된 프로그램에 SetUID가 지정되어 있다면 실행할 때 root 권한으로 실행됩니다.

SetUID를 적용하기 위해서는 기존의 허가권 앞에 4를 붙이면 됩니다.

ex) # chmod 4644 파일이름

<기존 권한에 실행권한이 없으면 대문자 S, 있으면 소문자 s로 표시됩니다.>

SetUID가 적용되어 있는 파일 중 가장 대표적인 것은 /usr/bin/passwd 파일입니다.

해당 파일은 계정의 비밀번호를 변경할 수 있도록 하는 명령어 실행 파일로

/etc/passwd로 접근하여 비밀번호를 변경하도록 합니다.

실제 /etc/passwd의 권한은 소유주인 root만이 변경이 가능하도록 설정이 되어있습니다.

만약 /usr/bin/passwd에 SetUID가 적용되어있지 않다면 일반 사용자들은 

항상 관리자를 거쳐 자신의 비밀번호를 변경해야합니다.

이런 번거로움을 줄이기위해 일반 사용자들도 root의 권한으로 /etc/passwd 파일을 수정 가능하도록 설정한 것입니다.

• SetGID

 SetUID와 마찬가지로 SetGID가 설정된 파일을 실행할 때 일시적으로 파일 소유그룹의 권한을 얻어 실행하도록 합니다.

SetGID를 적용하기 위해서는 기존의 허가권 앞에 2를 붙이면 됩니다.

ex) # chmod 2644 파일이름

<기존 권한에 실행권한이 없으면 대문자 S, 있으면 소문자 s로 표시됩니다.>

• Sticky Bit

Sticky Bit가 설정된 디렉토리에 파일을 생성하면 해당 파일은 생성한 사람의 소유가 되며

소유자와 root만이 해당 파일에 대한 삭제 및 수정에 대한 권한을 가질 수 있습니다.

즉, Sticky Bit가 설정된 디렉토리안에 누구나 파일을 생성할 수는 있지만 삭제는 본인과 관리자만 가능하게 되는겁니다. 

Sticky Bit를 적용하기 위해서는 기존의 허가권 앞에 1를 붙이면 됩니다.

ex) # chmod 1644 디렉토리이름

<기존 권한에 실행권한이 없으면 대문자 T,  있으면 소문자 t로 표시됩니다.>

일반적으로 유닉스 운영체제는 파일이나 디렉토리의 소유자, 소유그룹만이 삭제, 수정을 할 수 있도록 권한을 지정하지만

모든 사용자들이 파일 생성, 수정, 삭제 할 수 있는 디렉토리가 있습니다. 

/tmp와 /var/tmp 디렉토리는 모든 사용자가 사용하는 공용 디렉토리입니다.

그렇다보니 파일의 소유자가 아닌 다른 사용자가 777권한인 파일을 삭제, 수정하는 부분에서 문제가 발생하게 됩니다.

이를 방지하기 위해 Sticky Bit를 설정하여 공용 디렉토리라 하더라도

그 파일의 소유자와 관리자만이 삭제, 수정 권한을 가질 수 있습니다.

• 참고로 특수 권한은 해당 자리의 기존 권한에 실행 권한이 있어야 정상적으로 적용이 됩니다.

트랩도어란 시스템 보안이 제거된 비밀 통로로, 서비스 기술자나 유지ㆍ보수 프로그램 작성자의 접근 편의를 위해 시스템 설계자가 일부러 만들어 놓은 시스템의 보안 구멍을 의미합니다. 백도어(Backdoor)라고도 합니다. 대규모의 응용 프로그램이나 운영체제 개발에서는 코드 도중에 트랩도어라는 중단 부분을 설정해 쉽게 보수할 수 있도록 하고 있습니다.

최종 단계에서 삭제돼야 하는 트랩도어가 남아 있으면 컴퓨터 범죄에 악용되기도 합니다.

1. 개요

사이버 범죄자들은 특정 기업이나 조직, 개인을 해킹하기 위해서 어떤 방법을 사용할까? 메일에 악성코드를 첨부해서 전달하는 방법, 정보시스템의 취약점을 이용하는 방법, 악성 행위 유포지를 이용하는 방법 등 다양한 방법이 알려져 있다. 그 중 이번 호에서는 해킹 사건·사고의 빈번한 원인이 되는 '워터링 홀(Watering Hole)‘ 공격에 대해 알아보자. 2018년 국내 A가상화폐 거래소는 워터링 홀 공격을 빌미로 200억 원어치의 가상화폐를 도난 당했다. 경찰은 사이버 범죄자가 워터링 홀 공격을 시작으로 했다는 발표를 했다.

1) 워터링 홀 공격이란

워터링 홀 공격이란 공격대상이 자주 방문하는 홈페이지를 사전에 악성코드에 감염시킨 뒤 공격대상이 접속 할 때까지 잠복하면서 기다린다. 그리고 공격대상이 접속하면 비로서 공격을 시도하는 수법이다. 홈페이지에 접속하는 모든 사용자를 공격하기 때문에 접속하는 모든 사용자가 공격의 대상이 될 수 있다. 워터링 홀의 어원은 사자가 먹잇감을 습격하기 위해 물 웅덩이 근처에 숨어 있는 모습을 빗댄 표현이다. 먹잇감이 물을 마시기 위해 물 웅덩이로 접근하면 숨어있던 사자가 기습 사냥에 나서는 것이다. 

예를 들어 사이버 범죄자가 워터링 홀 공격으로 A사에 재직 중인 김씨의 컴퓨터를 해킹한다고 하자. 사이버 범죄자는 사전에 김씨가 자주 방문하는 홈페이지와 정보시스템을 조사, 분석한 후 악성코드에 감염시킨다. A사의 대표 홈페이지, 그룹웨어, 계열사 홈페이지 등이 될 수 있다. 다음으로 김씨가 홈페이지에 접속하면 잠복해있는 악성코드가 동작해 김씨 컴퓨터를 해킹하는 것이다. 대표적으로 브라우저에서 동작하는 Flash, Javascript, VBScript, ActiveX, XSS, HTML, Image 취약점 등을 공격에 사용한다. 

2) 워터링 홀 공격과정

3) 워터링 홀 공격요소

워터링 홀 공격은 인터넷 브라우저에서 동작하는 다양한 엔진들의 취약점을 이용한다.

2. 크로스 사이트 스크립트 취약점(Cross Site Script)을 이용한 공격 분석

1) 크로스 사이트 스크립트 취약점을 이용한 공격 시나리오

사이버 범죄자는 공격대상이 자주 방문하는 홈페이지에 크로스 사이트 스크립트 취약점을 공격한다. 취약점이 발견되면 악성 행위 스크립트를 삽입해 공격대상이 접속할 때까지 기다린다. 해당 페이지에 공격대상이 접속을 하면 악성 스크립트가 실행이 된다. 

① 사이버 범죄자는 크로스 사이트 스크립트 취약점이 존재하는 페이지에 악성 스크립트를 삽입한다.

- 악성 스크립트 구문 :

- 설명 : hook.js는 공격자 서버에서 동작하고 있는 BeEF 브라우저 후킹 공격 스크립트이다. 해당 스크립트 구문은 공격대상 PC에서 실행된다.

※ BeEF(Browser Exploitation Exploitation Framework) : 인터넷 브라우저를 이용한 여러 가지 공격 모듈을 가지고 있으며, 공격대상 PC에서 스크립트를 실행 시켜 공격한다.

② 피해자가 악성 스크립트가 삽입된 페이지에 접속한다.

③ 피해자 PC에서 스크립트가 실행되면서 인터넷 브라우저 후킹된다. 사이버 범죄자는 공격대상의 PC를 공격할 수 있게 된다.

2) 크로스 사이트 스크립트 취약점을 이용한 공격 분석

① 공격자는 BeEF를 동작시킨다.

② 공격대상이 자주 가는 홈페이지 게시판에 BeEF 후킹 스크립트 구문을 몰래 삽입한다.

③ 공격대상이 해당 페이지에 접근한다. 아무런 증상이 없어 보이지만, 공격자의 후킹 스크립트가 실행되고 있다. (피해자 IP: 192.168.111.4)

④ 피해자의 인터넷 브라우저가 후킹되어 공격자의 BeEF 콘솔에 등록된다.

⑤ BeEF 도구를 통해서 공격대상의 브라우저 관련 정보를 확인할 수 있다.

⑥ 아래와 같이 BeEF 도구에 각종 해킹툴 모듈을 추가하면 수백가지 취약점으로 공격 시도할 수 있다.

⑦ 아래와 같이 공격자는 파해자의 세션 쿠키 정보를 탈취할 수 있다.

⑧ 마지막으로 세션 쿠키 정보를 위조해서 피해자 계정으로 로그인 할 수 있다.

3) 크로스 사이트 스크립트 취약점을 이용한 공격 대응 방법

▶ 게시물에 HTML이나 자바 스크립트에 해당되는 태그 사용을 사전에 제한

▶ 사용자가 입력한 값에 대한 필터링 작업 필요

▶ 게시물의 본문, 제목, 댓글, 검색어 입력 창, 그 외 사용자 측에서 넘어오는 값에 대해서 필터링을 수행함

▶ 입력값에 대한 필터링 로직 구현 시 공백 문자를 제거하는 trim, replace 함수를 사용하여 반드시 서버 측에서 구현되어야 함

※ 필터링 조치 대상 입력 값

- 스크립트 태그 : < SCRIPT >, < OBJECT >, < APPLET >, < EMBED >, < FORM >, < IFRAME > 등

- 특수문자 : <, >, ", ', &, %, %00(null) 등​

3. 인터넷 브라우저 취약점(CVE-2019-0752)을 이용한 공격 분석

1) 인터넷 브라우저 취약점을 이용한 공격 시나리오

사이버 범죄자는 인터넷 브라우저 취약점을 공격하는 홈페이지를 개설한다. 피해자가 홈페이지에 접속하면 브라우저의 취약점을 공격해 공격명령을 실행한다. 홈페이지에 접속 한 것 만으로 사이버 범죄자의 명령이 실행되는 것이다.

① 사이버 범죄자는 인터넷 브라우저 취약점을 공격하는 홈페이지를 개설하거나 피해자가 즐겨 찾는 홈페이지에 몰래 삽입한다.

② 피해자가 감염 홈페이지에 접속한다.

③ 웹 페이지의 악성코드를 인터넷 브라우저가 프로세싱 하면서 공격구문이 실행된다.

 - 악성코드 다운로드, 악성코드 실행, 계정 유출 등 다양한 공격이 가능

2) 인터넷 브라우저 취약점을 이용한 공격 분석

① 공격자는 인터넷 브라우저의 스크립트 엔진 취약점을 공격하는 코드를 작성해 홈페이지에 삽입한다. 해당 시나리오를 구현하기 위해서 CVE-2019-0752 취약점을 사용했다.

※ CVE-2019-0752 : 인터넷 익스플로러 10, 11버전의 VBScript 엔진의 취약점이다. 소스코드를 프로세싱 하는 과정에 메모리 취약점으로 공격 명령을 실행시킬 수 있다.

② 피해자가 해당 홈페이지에 접속하면 인터넷 브라우저가 스크립트 엔진을 실행하면서 공격자의 공격 명령이 실행된다.

​

※ 피해자 PC 정보 : 윈도우 10, 인터넷 익스플로러 11 사용

③ 취약점을 이용해 파워쉘을 실행한 후 윈도우 운영체제에 등록된 계정을 확인하는 공격 코드를 작성하였다. 공격대상이 홈페이지에 접속하면 자동으로 파워쉘 명령이 실행된다. 실행되는 과정은 아래와 같이 확인할 수 있다.

④ 피해자가 홈페이지에 접속한 것만으로 공격 명령이 실행되는 것을 확인할 수 있다.

⑤ 브라우저 취약점을 이용하면 악성코드를 다운받거나 원격제어를 하는 등의 악성 행위를 할 수 있다.

3) 인터넷 브라우저 취약점을 이용한 공격 대응 방법

▶ 최신 버전의 인터넷 브라우저를 사용한다.

▶ 소프트웨어 자동 업데이트 기능을 활성화한다.

▶ 운영체제의 자동 업데이트 기능을 활성화한다.

▶ 백신 프로그램의 실시간 감시, 자동 업데이트 기능을 활성화한다.

▶ 수상한 이메일에 포함된 링크를 함부로 클릭하지 않는다.

4. 결론

워터링 홀 공격은 사이버 범죄자들이 자주 사용하는 공격기법이다. 특정 공격대상과 불특정 다수를 노릴 수 있고 주로 알려지지 않은 취약점을 이용하기 때문에 굉장히 위협적이다. 대응하기도 쉽지 않다. 사이버 범죄자가 홈페이지의 취약점을 이용해 악성코드를 숨겨두기 때문에 사용자는 보안패치, 백신 업데이트를 하는 등의 최소한의 보안 조치가 필요하다. 하지만 근본적으로 해결하기 위해서는 소프트웨어를 개발할 때부터 취약점 점검 및 제거하는 노력으로 워터링 홀 공격에 대비해야 한다.​ 

대부분 문제의 단골은 접근유형의 종류를 물어보는 문제이다.

나는 그래서 앞글자를 따서 암기하려고 노력한다.

정량적인 방법은 수학에 있는 확률들로 과거 자료인 문테카를로 분석! 

정성적인 방법은 질문 속 시(시나리오)퍼(퍼지행렬)런 델(델파이법)순(순위결정법)....

무튼 나는 이렇게 암기를 한다...

암기가 참 어려운데 사실 정량적 위험분석과 정성적 위험 분석을 이해하면 쉽게 풀 수 있다.

정량적인 방법은 수치를 중심으로 정성적인 방법은 수치가 아닌 만족도라고 생각한다.

수치에 중심적인 정량적 방법은 논리적이며 객관적이지만 많은 시간과 비용이 소요된다.

만족도 및 표현에 중심인 정성적 위험분석은 계산을 따로 안해도 되지만 주관적인 평가를 할 수 있다.

기출 문제를 예시로 풀어보자.

답은?

오늘은 이렇게 정성적 위험분석과 정량적 위험분석을 공부했다.

대칭키 알고리즘 : 같은키로 암호화 복호화
AES, DES
암호화 복호화에 같은키 1개를 사용하므로 속도면에서 이점이 있음
송신측 소스 123 이라면 +1 로 암호화 해서 234 로 보내면 수신측에서는 -1 해서 123으로 복호화 하는 방식

공개키 암호화 알고리즘 : 공개키로 암호화 하고 비밀키로 복호화
RSA
암호화 복호화에 다른 2개의 키를 사용함

https:// 로 시작하는 URL의 경우 웹사이트 인증에는 공개키 암호화 알고리즘을 사용하고
데이터 송수신에는 대칭키 암호화 방식을 사용함

디피 헬만키 교환 알고리즘

대칭키의 속도 이점을 취하면서 중간에 키를 탈취당해도 정보를 지키는 방법

2가지 요건을 만족해야함
1. 중간에 다른 사람이 반 쪽 키 두개를 모두 탈취 한다고 해도 온전한 대칭 키를 만들 수 없다.
2. 반쪽 키를 합쳐서 온전한 키를 만드는 방법은 공개되어 있어야 한다.

양방향 함수 : 2x=y 와 같은 형태
일방향 함수 : Y=a^x mod b

디피 헬만 키 교환 알고리즘은 이산 대수 문제라는 일방향 함수의 특징을 그대로 활용하여 만난 적도, 본 적도 없는 두 사람 만이 아는 비밀의 대칭 키를 만들어 내는 마법같은 알고리즘 입니다.

강제적 접근통제 정책에 대한 설명으로 옳지 않은 것은?
①모든 주체와 객체에 보안관리자가 부여한 보안레이블이 부여되며 주체가 객체를 접근할 때 주체와 객체의 보안 레이블을 비교하여 접근허가 여부를 결정한다. 
② 미리 정의된 보안규칙들에 의해 접근허가 여부가 판단되므로 임의적 접근통제 정책에 비해 객체에 대한 중앙 집
중적인 접근통제가 가능하다.
③ 강제적 접근통제 정책을 지원하는 대표적 접근통제 모델로는 BLP(Bell-Lapadula), Biba 등이 있다.
④ 강제적 접근통제 정책에 구현하는 대표적 보안 메커니즘으로 Capability List와 ACL(Access Control List) 등 이 있다

접근통제 정책의 구분

  1. 임의적 접근통제정책(DAC ; Discretionary Access Control)

  2. 강제적 접근통제정책(MAC ; Mandatory Access Control)

  3. 역할기반 접근통제정책(RBAC ; Role-based Access Control)

1. 임의적 접근통제정책(DAC)

 (1) DAC의 개념

  데이터의 소유자(owner)가 접근을 요청하는 사용자의 신분 즉 식별자(identity ; ID)에 기초하여 객체에 대해 접근을 제한하는 접근통제 방법이다.

 (2) DAC의 특징

  ① 접근 권한을 객체의 소유자가 임의로 지정하는 자율적 정책이다.

  ② 허가된 주체에 의하여 변경 가능한 하나의 주체와 객체간의 관계를 정의한다.

  ③ 접근 통제 목록(ACL ; Access Control List)등을 사용한다.

  ④ 강제적 접근제어 (MAC) 방식을 대체하는 기술은 아니다.

  ⑤ 오렌지북 C-레벨의 요구사항이다.

  ⑥ 장 · 단점

   ㄱ. 장점 : 융통성이 많아 상업적 용도로 사용된다.

   ㄴ. 신분(ID)도용 시 통제 방법이 없다.

 (3) DAC의 종류

  ① Identity-Based DAC : 주체와 객체의 ID(Identity)에 따른 접근통제로 유닉스에서 사용한다.

  ② User-Directed : 객체를 소유하고 있는 소유자가 접근 권한을 설정 및 변경할 수 있는 접근 통제이다.

2. 강제적 접근통제정책(MAC)

 (1) MAC의 개념

  강제적인 접근 제한 또는 MAC은 정보시스템 내에서 어떤 주체가 어떤 객체에 접근하려 할 때 양자의 보안레이블(보안등급)을 비교하여 높은 보안을 요하는 정보가 낮은 보안수준의 주체에게 노출되지 않도록 접근을 제한하는 접근통제 방법이다.

 (2) MAC의 주요 특징

  ① 접근승인은 보안레벨(level)과 카테고리(category)로 구성되는 보안레이블(Security label)에 의해 제한된다.

  ② 접근정책은 시스템(system)에 의하여 강제적으로 정의되기 대문에 Rule-based 접근통제라고도 한다.

  ③ 오렌지북 B-레벨의 요구사항으로 DAC보다 안전하다.

  ④ 장 · 단점

   ㄱ. 장점 : 보안이 매우 엄격하여 군대와 같은 민감한 정보의 기밀성을 보장하는데 사용된다.

   ㄴ. 단점 : 모든 접근에 대해 보안등급을 정의하고 정책을 확인해야 하기 때문에 개발, 구현이 어렵다.

 (3) MAC의 종류

  ① Rule-based MAC : 주체와 객체의 특성에 관계된 특정 규칙에 따른 접근 통제이다.

  ② Administratively-directed MAC : 객체에 접근할 수 있는 시스템 관리자에 의한 통제이다.

  ③ CBP(Compartment-Based Policy) : 일련의 객체 집합을 다른 객체들과 분리하여 통제이다.

  ④ MLB(Multi-Level Policy) : 각 객체별로 지정된 등급만 사용하고, TCSEC(미국방성의 컴퓨터 보안 평가지표)에서 사용되고 있으며 BLP(벨-라파둘라) 수학적 모델로 표현이 가능하다.

3. 역할기반 접근통제정책(RBAC)

 (1) RBAC의 개념

  주체가 적절한 역할(role)에 할당되고 역할에 적합한 접근권한이 할당된 경우만 객체에 접근할 수 있는 비임의적 접근제어(Non DAC) 방식으로 전통적인 DAC와 MAC의 대체 수단으로 사용된다.

 (2) RBAC의 주요 특징

  ① 주체의 역할이나 임무에 따라 객체의 접근 권한을 제어하는 방식이다.

  ② 조직의 기능 변화나 인사이동에 따른 관리적업무의 효율성을 꾀할 수 있다.

  ③ 역할에 따라 설정된 권한만 할당하기에 보안 관리를 아주 단순하고 편리하게 할 수 있다.

  ④ 알 필요성 원칙, 최소권한 원칙, 직무분리 원칙이 지켜진다.

  ⑤ 금융기관, 정부나 공공기관에서 효과적으로 사용된다.

  ⑥ 오렌지북 C- 레벨의 요구사항이다.

 (3) RBAC의 종류

  ① Task-based Non DAC : 해당 업무에 해당하는 것만 접근가능하다.

  ② Latticed-based Non DAC : 역할에 할당된 민감도 레벨에 의해 접근이 결정되고, 관련된 정보로만 접근할 수 있도록 통제된다.

※ 1. Orange Book(미국 국방부 컴퓨터 시스템 평가기준 ; TCSEC)

 ① 시스템 즉 운영체제에 대한 신뢰 수준을 정의한 문서

 ② 시스템 보안 평가 기준 중 최초로 수용된 평ㅇ가 기준

 ③ 네트워크를 고려하지 않은 단일 시스템 보안 평가 기준

접근통제 정책 정리

접근통제 보안모델

 (1) 개요

  보안모델이란 조직에서 보안 정책을 실제로 구현하기 위한 이론적 모델로 수학적 검증을 통과한 모델이다. 수학적 모델이란 명백하고, 실행가능하고, 쉽게 이해하고, 보안정책의 반영이 용이한 장점이 있다.

----------------------------------------------------------------------------------------------------------------------------------

접근 통제

운영체제에서 접근 통제(Access Control)은 디렉터리나 파일, 네트워크 소켓 같은 시스템 자원을 적절한 권한을 가진 사용자나 그룹이 접근하고 사용할 수 있게 통제하는 것을 의미합니다.

접근 통제에서는 시스템 자원을 객체(Object)라고 하며 자원에 접근하는 사용자나 프로세스는 주체(Subject)라고 정의합니다.

즉 /etc/passwd 파일은 객체이고 이 파일에 접근해서 암호를 변경하는 passwd 라는 명령어는 주체이며 아파치 웹 서버의 설정 파일인 /etc/httpd/conf/httpd.conf 는 객체이며 웹 서버 프로그램인 /sbin/httpd 는 주체가 됩니다.

임의 접근 통제(DAC)

임의 접근 통제(DAC;Discretionary Access Control)는 시스템 객체에 대한 접근을 사용자나 또는 그룹의 신분을 기준으로 제한하는 방법입니다.

사용자나 그룹이 객체의 소유자라면 다른 주체에 대해 이 객체에 대한 접근 권한을 설정할 수 있습니다.

여기서 임의적이라는 말은 소유자는 자신의 판단에 의해서 권한을 줄 수 있다는 의미이며 구현이 용이하고 사용이 간편하기 때문에 전통적으로 유닉스나 윈도우등 대부분의 운영체제의 기본 접근 통제 모델로 사용되고 있습니다.

임의적 접근 통제는 사용자가 임의로 접근 권한을 지정하므로 사용자의 권한을 탈취당하면 사용자가 소유하고 있는 모든 객체의 접근 권한을 가질 수 있게 되는 치명적인 문제가 있습니다.

특히 root 계정은 모든 권한을 갖고 있으므로 root 권한을 탈취하면 시스템을 완벽하게 장악할 수 있으며 권한 탈취시 많이 사용되는 것은 아래에서 설명할 유닉스의 구조적인 2가지 보안 취약점입니다.

setuid/setgid 문제

사용자들의 암호는 /etc/shadow 에 저장되어 있으며 루트만 읽고 쓸수 있습니다.

하지만 사용자들은 passwd 명령어를 실행하여 자신의 암호를 변경할 수 있고 이때 /etc/shadow 파일이 수정됩니다.

상대방 호스트가 동작하는지 확인하기 위해 사용하는 ping 은 ICMP(Internet Control Message Protocol) 패킷을 사용하므로 루트 권한이 필요하지만 일반 사용자도 ping 명령어를 사용하여 상대 호스트의 이상 여부를 확인할 수 있습니다.

유닉스 계열의 운영 체제는 실행 파일의 속성에 setuid(set user ID upon execution)또는 setgid(set group ID upon execution) 비트라는 것을 설정할 수 있으며 이 비트가 설정되어 있을 경우 해당 프로그램을 실행하면 실행 시점에 설정된 사용자(setuid), 또는 그룹(setgid) 권한으로 동작합니다.

이를 확인해 보기 위해 대표적인 setuid 비트가 붙은 프로그램인 ping 과 passwd 의 권한을 확인해 봅시다.

$ ls -l /bin/ping /usr/bin/passwd -rwsr-xr-x 1 root root 44168 May 8 2014 /bin/ping -rwsr-xr-x 1 root root 54256 May 17 08:37 /usr/bin/passwd

Copy

TODO: s 진하게 표시

ls -l 실행 결과

파일의 사용자 퍼미션 부분의 's' 표시는 setuid 비트이며 그룹 퍼미션 부분에 's' 표시가 있을 경우 setgid 비트로 passwd 와 ping 은 setuid 비트가 설정되어 있고 소유자가 root 인 것을 알수 있습니다.

즉 passwd 나 ping 는 실행시 root 사용자로 전환되므로 root 만 가능한 동작(예: /etc/passwd 파일 수정)을 수행할 수 있습니다.

배포판의 종류와 버전에 따라 ping 에 setuid 비트가 붙지 않았을 수도 있습니다.

하지만 setuid 비트가 붙은 프로그램에 보안 취약점이 있을 경우 root 로 구동중이었으므로 공격자가 손쉽게 루트 권한을 획득할 수 있는 문제가 있습니다.

이 때문에 setuid 비트는 필요하지만 유닉스 시스템의 주요 보안 취약점이었으며 시스템 관리자의 골칫 덩어리이었습니다.

리눅스 시스템에 있는 setuid 비트(4000)와 setgid 비트(2000)이 붙은 모든 프로그램은 다음 명령어로 찾을 수 있습니다.

$ find /bin /usr/bin /sbin -perm -4000 -o -perm -2000 |xargs ls -l

Copy

setuid/setgid 비트 프로그램 검색

잘 알려진 포트 daemon 문제

잘 알려진 포트(well-known port) 는 특정한 쓰임새를 위해서 "인터넷 할당 번호 관리기관"(IANA; Internet Assigned Numbers Authority)에서 할당한 TCP 및 UDP 포트 번호들의 일부로 1024 미만의 포트 번호를 사용하고 있습니다.

예로 웹에 사용되는 http(80), 메일 전송에 사용되는 smtp(25), 파일 전송에 사용되는 ftp(20, 21) 등이 잘 알려진 포트입니다.

전통적으로 잘 알려진 포트는 루트만이 사용할 수 있으므로 데몬 서비스는 모두 루트의 권한으로 기동됩니다.

보안 문제는 여기에서 발생하며 루트로 구동되었으므로 만약 서비스 데몬이 보안 취약점이 있거나 잘못된 설정이 있을 경우 서비스 데몬을 통해서 공격자는 루트 권한을 획득하게 될 위험이 있으며 이때문에 웹 서버등은 구동한 후에 자식 프로세스를 생성(fork 시스템 콜)한 후에 쉘이 없는 사용자 계정으로 전환해서 동작하고 있습니다.

예로 아파치 웹 서버(User/Group 지시자)와 nginx(user 지시자)는 아래와 같이 구동할 사용자를 지정하고 있습니다.

## 아파치 웹 서버 User apache Group apache ## nginx user nginx;

Copy

웹 서버 사용자 전환

위와 같이 사용자 전환을 하지만 부모 프로세스는 계속 루트로 구동되어 있으므로 1024 미만의 포트를 사용하는 데몬 프로세스에 대한 보안 대책이 필요하게 됩니다.

그러나 1024 미만의 포트를 일반 사용자가 쓸 수 있게 하거나 root 가 아닌 별도의 계정에게만 허용하는 것은 전통적인 유닉스의 동작 방식에 어긋나며 커널 수정이나 기타 유틸리티의 대폭 수정이 필요하며 운영자의 혼란을 유발하므로 좋은 방법이 아닙니다.

강제 접근 통제(MAC)

강제 접근 통제(MAC; Mandatory Access Control)는 미리 정해진 정책과 보안 등급에 의거하여 주체에게 허용된 접근 권한과 객체에게 부여된 허용 등급을 비교하여 접근을 통제하는 모델입니다.

높은 보안을 요구하는 정보는 낮은 보안 수준의 주체가 접근할 수 없으며 소유자라고 할 지라도 정책에 어긋나면 객체에 접근할 수 없으므로 강력한 보안을 제공합니다.

MAC 정책에서는 루트로 구동한 http 서버라도 접근 가능한 파일과 포트가 제한됩니다. 즉 취약점을 이용하여 httpd 의 권한을 획득했어도 /var/www/html, /etc/httpd 등의 사전에 허용한 폴더에만 접근 가능하며 80, 443, 8080 등 웹 서버에 사전에 허용된 포트만 접근이 허용되므로 ssh로 다른 서버로 접근을 시도하는등 해킹으로 인한 이차 피해가 최소화 됩니다.

단점으로는 구현이 복잡하고 어려우며 모든 주체와 객체에 대해서 보안 등급과 허용 등급을 부여하여야 하므로 설정이 복잡하고 시스템 관리자가 접근 통제 모델에 대해 잘 이해하고 있어야 합니다.

FTP란 무엇일까

FTP는 File Transfer Protocol의 약자로 말그대로 파일을 전송하는 통신 규약입니다. FTP 서버에 파일들을 업로드, 다운로드할 수 있도록 해주는 프로토콜이며, 이는 FTP 서버와 FTP 클라이언트 간에 통신에서 이루어집니다.

FTP는 Active 모드와 Passive 모드라는 2개의 모드가 존재하며 각각의 모드에서는 2개 또는 2개 이상의 포트가 연결을 맺고 데이터를 전송하는데 사용됩니다. 사용되는 포트는 연결을 제어하는 Command 포트가 있으며 데이터를 전송하는 DATA 포트가 있습니다.

FTP는 TCP 기반으로 만들어져 있으며 기본으로 동작 모드로 Active 모드를 사용하며 20번 또는 1024번 이후의 데이터(Data) 포트는 데이터를 전송하는데 사용하게 되고, 21번 포트는 접속시에 사용되는 명령(Command )포트입니다.

Active 모드

FTP Active 모드의 동작 방식을 그림으로 보면 아래와 같습니다. 참고로 아래 사용된 명령(Command) 포트와 데이터(Data) 포트는 서버의 설정에서 임의로 수정하여 사용할 수 있습니다.

• 1) 클라이언트는 서버의 21번 포트로 접속한 후에 자신이 사용할 두 번째 포트를 서버에 미리 알려줍니다.
• 2) 서버는 클라이언트의 요청에 응답합니다. (acks)
• 3) 서버의 20번 데이터 포트는 클라이언트가 알려준 두 번째 포트로의 접속을 시도합니다.
• 4) 클라이언트가 서버의 요청에 응답합니다. (acks)

위 과정에서 액티브 모드는 “클라이언트가 서버에 접속을 하는 것이 아닌 서버가 클라이언트에 접속을 하는 것”을 확인할 수 있습니다. 만일 FTP 클라이언트에 방화벽이 설치되어 있는 등 외부에서의 접속을 허용하지 않는 상황이라면 FTP 접속이 정상적으로 이루어지지 않을 것입니다. 접소기 되더라도 데이터 목록을 받아오지 못하게 되는 경우도 있고요.

Passive 모드

위에서 살펴본 Active 모드의 단점을 해결하기 위한 Passive 모드를 살펴봅시다. 역시나 아래 그림에서 사용된 커맨드 포트와 데이터 포트는 서버 설정에서 변경할 수 있습니다. 특히 Passive 모드에서는 데이터 포트 번호를 특별하게 지정하지 않는 경우 1024 ~ 65535번 중에서 사용 가능한 임의 포트를 사용하게 됩니다. 포트 번호를 지정할 때는 10001 ~ 10005번과 같이 범위를 지정할 수도 있습니다.

• 1) 클라이언트가 커맨드 포트로 접속을 시도합니다. (Passive 모드 연결)
• 2) 서버에서는 사용할 두 번째 포트를 클라이언트에게 알려줍니다.
• 3) 클라이언트는 다른 포트를 열어 서버가 알려준 포트로 접속을 시도합니다.
• 4) 서버가 클라이언트의 요청에 응답합니다. (acks)

Passive 모드에서는 앞선 Active 모드에서 사용했던 20번 포트를 사용하지 않고 1024번 이후의 임의의 포트를 데이터 채널 포트로 사용하게 됩니다.

연결 방식에 따른 주의사항

Active Mode의 경우는 클라이언트 측의 방화벽에 20번 포트가 차단되어 있다면, 데이터 채널 연결이 불가능해집니다. 연결은 되더라도 데이터 조회부터 실패되는 경우가 발생할 수 있습니다. 따라서 서버측은 20번 포트는 아웃바운드(OUTBOUND, 내 서버에서 외부서버로 보내는 요청) 허용, 클라이언트는 인바운드(INBOUND, 외부에서 내 서버로 들어오는 요청) 허용이 방화벽 설정에 필요합니다.

Passive Mode의 경우는 서버 측의 데이터 채널 포트가 막혀있는 경우 데이터 채널 연결이 불가능하게 됩니다. 그리고 앞서 소개한 것처럼 데이터 채널 포트의 범위를 지정할 수 있는데, 별도로 지정하지 않는 경우는 1024 ~ 65535번의 포트를 사용하게 됩니다. 따라서 INBOUND 모두 허용이 필요하게 되는데, 서버 측에서 데이터 채널 포트 범위를 지정하여 특정 범위의 포트만 허용해주면 모든 포트 허용의 문제를 어느 정도 해결할 수 있습니다.

-------------------------------------------------------------------------------------------------------------------------------

ftp는 다른 서비스와는 달리 Active 모드와 Passive 모드 두가지가 존재한다.

일반적으로 우리가 알고있는 21번 포트는  접속 및 명령어 전송에 사용되고, 20번 포트는 데이터 전송에 사용된다.

그렇다면 이 두가지 모드의 차이점에 대해 간략하게 정리하면(어디까지나 간략하게)

< Active mode >

1. 클라이언트에서 서버의 21번 포트로 접속을 시도한다. 동시에 ftp서버가 passive connection 을 사용하는지 확인

( 이때 클라이언트는 임의의 N번 포트를 사용한다. 즉 Client N port -> Server 21 port )

2. 클라이언트가 서버로 접속을 시도하는 동시에 데이터 전송에 사용할 또다른 포트를 서버쪽에 알려준다.

( Client의 N port는 접속용, 데이터용도로 사용할 N2 port를 결정하여 서버쪽에 알려줌 )

3. 서버에서 데이터 전송용으로 사용되는 20번 포트에서 클라이언트가 알려준 N2 port로 접속을 시도한다.

( Server 20 port -> Client N2 port )

Active mode의 가장 큰 특징은, 일반적인 Client-Server 모델과는 달리, 서버쪽에서 클라이언트의 포트로 접속을 한다는 것.

< Passive mode >

1. 클라이언트에서 서버의 21번 포트로 접속을 시도한다. 동시에 ftp서버가 passive connection 을 사용하는지 확인

( 여기까지는 똑같다. 클라이언트는 임의의 N번 포트를 사용한다. 즉 Client N port -> Server 21 port )

2. 서버쪽에서는 클라이언트의 요청에 응답을 해줌과 동시에, 서버쪽에서 사용할 또다른 포트를 클라이언트에 알려준다.

( 이때 또다른 포트를 S2 port라 하면, Server S2 port -> Client N port )

3. 클라이언트는 데이터 전송에 사용할 또다른 포트를 사용하여, 서버가 알려준 포트에 접속을 시도한다.

( Client N2 port -> Server S2 port )

Passive mode의 가장 큰 특징은 클라이언트에서 서버쪽으로 접속을 시도한다는 것.

일반적인 ftp client 프로그램은 Active mode로 동작하게 되어 있으며,

웹 브라우저의 경우에는 Passive mode가 기본 모드로 설정이 되어있다.

Active mode로 접속시 접속은 되지만 파일리스트등이 제대로 보이지 않는 경우가 있는데

대부분의 문제점은 client와 server 사이에 존재하는 방화벽이 원인이 되는 경우가 많다.

특히 client 쪽에 방화벽이 있거나 server쪽 방화벽에서 outbound 패킷에 대해 필터링을 하는 경우,

서버에서는 클라이언트가 알려준 포트로 접속을 해야 하는데, 방화벽에서 차단을 하기 때문에 데이터 전송이 안되는 것이다.

그래서 해결책으로 passive mode로의 연결이 있으며, 서버쪽에서는 passive mode에 사용할 포트를 미리 지정한 후

해당 포트에 대해 inbound 방화벽을 미리 오픈해 놓으면 된다.

HTTP

HTTP는 웹상에서 클라이언트와 서버 간에 요청/응답으로 데이터를 주고 받을 수 있는 프로토콜입니다. 클라이언트가 HTTP 프로토콜을 통해 서버에게 요청을 보내면 서버는 요청에 맞는 응답을 클라이언트에게 전송합니다. 이 때, HTTP 요청에 포함되는 HTTP 메소드는 서버가 요청을 수행하기 위해 해야할 행동을 표시하는 용도로 사용합니다. 이 HTTP 메소드 중 GET과 POST의 특징과 차이점을 알아보겠습니다.

GET

HTTP/1.1 스펙인 RFC2616의 Section9.3에 따르면 GET은 서버로부터 정보를 조회하기 위해 설계된 메소드입니다.
GET은 요청을 전송할 때 필요한 데이터를 Body에 담지 않고, 쿼리스트링을 통해 전송합니다. URL의 끝에 ?와 함께 이름과 값으로 쌍을 이루는 요청 파라미터를 쿼리스트링이라고 부릅니다. 만약, 요청 파라미터가 여러 개이면 &로 연결합니다. 쿼리스트링을 사용하게 되면 URL에 조회 조건을 표시하기 때문에 특정 페이지를 링크하거나 북마크할 수 있습니다.

쿼리스트링을 포함한 URL의 샘플은 아래와 같습니다. 여기서 요청 파라미터명은 name1, name2이고, 각각의 파라미터는 value1, value2라는 값으로 서버에 요청을 보내게 됩니다.

www.example-url.com/resources?name1=value1&name2=value2

그리고 GET은 불필요한 요청을 제한하기 위해 요청이 캐시될 수 있습니다. js, css, 이미지 같은 정적 컨텐츠는 데이터양이 크고, 변경될 일이 적어서 반복해서 동일한 요청을 보낼 필요가 없습니다. 정적 컨텐츠를 요청하고 나면 브라우저에서는 요청을 캐시해두고, 동일한 요청이 발생할 때 서버로 요청을 보내지 않고 캐시된 데이터를 사용합니다. 그래서 프론트엔드 개발을 하다보면 정적 컨텐츠가 캐시돼 컨텐츠를 변경해도 내용이 바뀌지 않는 경우가 종종 발생합니다. 이 때는 브라우저의 캐시를 지워주면 다시 컨텐츠를 조회하기 위해 서버로 요청을 보내게 됩니다.

POST

POST는 리소스를 생성/변경하기 위해 설계되었기 때문에 GET과 달리 전송해야될 데이터를 HTTP 메세지의 Body에 담아서 전송합니다. HTTP 메세지의 Body는 길이의 제한없이 데이터를 전송할 수 있습니다. 그래서 POST 요청은 GET과 달리 대용량 데이터를 전송할 수 있습니다. 이처럼 POST는 데이터가 Body로 전송되고 내용이 눈에 보이지 않아 GET보다 보안적인 면에서 안전하다고 생각할 수 있지만, POST 요청도 크롬 개발자 도구, Fiddler와 같은 툴로 요청 내용을 확인할 수 있기 때문에 민감한 데이터의 경우에는 반드시 암호화해 전송해야 합니다.

그리고 POST로 요청을 보낼 때는 요청 헤더의 Content-Type에 요청 데이터의 타입을 표시해야 합니다. 데이터 타입을 표시하지 않으면 서버는 내용이나 URL에 포함된 리소스의 확장자명 등으로 데이터 타입을 유추합니다. 만약, 알 수 없는 경우에는 application/octet-stream로 요청을 처리합니다.

GET과 POST의 차이

GET은 Idempotent, POST는 Non-idempotent하게 설계되었습니다.
Idempotent(멱등)은 수학적 개념으로 다음과 같이 나타낼 수 있습니다.

수학이나 전산학에서 연산의 한 성질을 나타내는 것으로, 연산을 여러 번 적용하더라도 결과가 달라지지 않는 성질

즉, 멱등이라는 것은 동일한 연산을 여러 번 수행하더라도 동일한 결과가 나타나야 합니다.
여기서 GET이 Idempotent하도록 설계되었다는 것은 GET으로 서버에게 동일한 요청을 여러 번 전송하더라도 동일한 응답이 돌아와야 한다는 것을 의미합니다. 이에 따라 GET은 설계원칙에 따라 서버의 데이터나 상태를 변경시키지 않아야 Idempotent하기 때문에 주로 조회를 할 때에 사용해야합니다. 예를 들어, 브라우저에서 웹페이지를 열어보거나 게시글을 읽는 등 조회를 하는 행위는 GET으로 요청하게 됩니다.

반대로 POST는 Non-idempotent하기 때문에 서버에게 동일한 요청을 여러 번 전송해도 응답은 항상 다를 수 있습니다. 이에 따라 POST는 서버의 상태나 데이터를 변경시킬 때 사용됩니다. 게시글을 쓰면 서버에 게시글이 저장이 되고, 게시글을 삭제하면 해당 데이터가 없어지는 등 POST로 요청을 하게 되면 서버의 무언가는 변경되도록 사용됩니다. 이처럼 POST는 생성, 수정, 삭제에 사용할 수 있지만, 생성에는 POST, 수정은 PUT 또는 PATCH, 삭제는 DELETE가 더 용도에 맞는 메소드라고 할 수 있습니다.

GET과 POST는 이처럼 큰 차이가 있기 때문에 설계원칙에 따라 적절한 용도로 사용해야합니다.

터미널에서

1. # yum update << 치고 930M 정도되는 업데이트를 20분간 실행한다.

2. # yum groupinstall "Development Tools" << 치고 설치.

3. # yum install kernel-devel << 치고 설치

4. 바탕화면에 있는 게스트확장CD 아이콘 실행

설치완료.

다음 설명에 해당하는 서비스거부(DoS) 공격은?   1
[보기]
헤더가 조작된 일련의 IP 패킷조각(IP Fregments)들을 전송함으로써 공격이 이루어지며 공격자는 데이터의 일부가 겹치거다. 일부 데이터를 포함하지 않는 패킷 조각들을 전송함으로써 패 킷 재조합 시 공격대상에서 부하를 발생시키는 공격 유형이다.
① Teardrop 
② Land attack
③ Syn Flooding
④ Smurf attack

티어드롭 공격, Teardrop Attack

서비스 거부 공격(DOS)의 하나. 공격 대상 컴퓨터에 헤더가 조작된 일련의 IP 패킷 조각(IP fragments)들을 전송함으로써 컴퓨터의 OS를 다운시키는 공격이다. 주로 MS 윈도나 리눅스 2.0.32와 2.1.63 이전 버전의 OS에 영향을 준다.

랜드 공격, Local Area Network Denial Attack, LAND Attack

공격자가 패킷의 출발지 주소(Address)나 포트(port)를 임의로 변경하여 출발지와 목적지 주소(또는 포트)를 동일하게 함으로써, 공격 대상 컴퓨터의 실행 속도를 느리게 하거나 동작을 마비시켜 서비스 거부 상태에 빠지도록 하는 공격 방법. 수신되는 패킷 중 출발지 주소(또는 포트)와 목적지 주소(또는 포트)가 동일한 패킷들을 차단함으로써 이 공격을 피할 수 있다.

신 플러딩 공격, SYN Flooding Attack

Client가 Server로 SYN패킷을 보내면 Server는 SYK/ACK를 보내고 해당 connection을 backlog Queue에 넣어준다.

이 Backlog Queue가 더 꽉차서 더 이상 새로운 connection을 형성을 못하는 경우를 SYN Flooding 이라고 하고 이러한 공격을 SYN Flooding Attack 이라고 한다.

스머프 공격, smurf attack

인터넷 프로토콜(IP) 브로드캐스트나 기타 인터넷 운용 측면을 이용하여 인터넷 망을 공격하는 행위.

‘스머핑’이라는 프로그램을 사용하여 네트워크를 공격하는데, 스머핑은 IP와 인터넷 제어 메시지 프로토콜(ICMP)의 특성을 이용한다고 알려져 있다. ICMP는 원래 네트워크 노드와 관리자들이 네트워크의 정보를 교환하기 위해 사용되는 프로토콜로서 운용 중인 노드들이 있는지 보기 위해 핑(ping) 명령을 사용하여 현재 동작 중인 노드가 에코 메시지를 보내게 한다. 스머핑 프로그램은 마치 다른 네트워크 주소(이것을 스머핑 주소라 함)로부터 생성된 것처럼 보이는 네트워크 패킷을 만들어 주어진 네트워크 내의 모든 IP 주소들, 즉 IP 브로드캐스트 주소로 ICMP 핑 메시지를 보낸다. 이 핑 메시지에 대한 응답은 스머핑 주소로 보내지는데, 엄청난 양의 핑과 그에 대응한 에코 메시지로 인해 네트워크는 실시간 트래픽을 처리할 수 없을 만큼 많은 정보로 넘쳐 흐르게 된다. 

스머핑 공격을 무력화시키는 방법은 각 네트워크 라우터에서 IP브로드캐스트 주소를 사용할 수 없게 미리 설정해 놓는 것이다.

포트 스캔

[정의]

포트 스캔(port scan)은 운영 중인 서버에서 열려 있는 포트를 검색하는 것을 의미한다.

[목적]

자신의 서버의 네트워크 서비스들을 점검하기 위해 사용하거나 해커가 해킹을 하기 위해 정보 수집에서 타겟 서버의 정보를 수집하기 위해 사용한다. 알고자하는 패킷에 특정한 패킷을 보냈을 때 돌아오는 응답에 따라 포트가 열려있는지 닫혀있는지 판단한다.

[유형]

• TCP
• TCP half-open
• UDP
• Stealth

TCP

TCP 스캔은 TCP 처음 연결 시 일어나는 3-웨이 핸드쉐이킹을 탐지하는 기법이다. 만약 핸드쉐이킹이 정상적으로 완료되었다면, 해당 TCP 포트는 정상적으로 열려 있는 것으로 판단할 수 있다. 서비스 거부 공격을 막기 위해, 포트 스캐너는 핸드쉐이킹 직후 연결을 종료한다. 이 방식은 일반적인 소켓 connect()를 이용하기 때문에, Nmap 등의 프로그램에서는 이 방식을 연결 스캔(connect scan)으로 부른다.

[시도 및 응답]

• 열려있는 경우 : SYN + ACK
• 닫혀있는 경우 : RST + ACK

[그림1] 열려있는 경우

[그림2] 닫혀있는 경우

[알려진 포트]

1. 포트 80(HTTP) : 이 포트는 우리가 발견한 열린 포트의 14% 이상을 차지한다.

2. 포트 23(Telnet) : 텔넷은(암호화되지 않아) 보안이 불안하긴 하지만 계속 존재했다.

3. 포트 443(HTTPS) : SSL 암호화된 웹서버는 이 포트를 기본적으로 사용한다.

4. 포트 21(FTP) : 텔넷처럼 FTP는 없어져야 하는 보안이 불안한 프로토콜이다. 

5. 포트 22(SSH) : 텔넷을 대체하는 암호화된 프로토콜로 보통 보안 셸로 알려졌다.

6. 포트 25(SMTP) : 표준 메일 전송 프로토콜(보안이 돼 있지 않다).

7. 포트 3389(ms-term-server) : 마이크로소프트 터미널 서비스 관리 포트

8. 포트 110(POP3) : 이메일 추출을 위한 포스트 오피스 프로토콜 버전 3(비보안)

9. 포트 445(마이크로소프트-DS) : (파일/프린터 공유 같은)마이크로소프트 윈도우 서비스에 있는 IP에 대한 SMB 통신을 위한 포트

10. 포트 143(IMAP) : 인터넷 메시지 접근 프로토콜 버전 2. 보안이 안 된 이메일 추출 프로토콜

11. 포트 53(도메인) : 도메인 네임 시스템DNS, 호스트/도메인명과 IP주소 사이의 대화를 위한 보안이 안 된 시스템

12. 포트 3306(MySQL) : MySQL 데이터베이스와 통신을 위한 포트

13. 포트 8080(HTTP-proxy) : 일반적인 웹서버를 위한 HTTP 프록시나 다른 포트로써 흔하게 사용되는 포트

14. 포트 995(POP3S)  : 보안을 위해 추가된 SSL이 있는 POP3

15. 포트 5900(VNC) : 그래픽 데스크탑 공유 시스템(비보안)

TCP half-open

half-open 스캔은 TCP 핸드쉐이킹을 완전히 수행하지 않고, 처음 SYN 패킷만을 받은 후 검사를 완료하는 방식이다. 이 방식은 실제 TCP 연결이 일어나지 않는다. 이 방식을 사용하기 위해서는 TCP 스캔과 같이 connect() 함수를 이용할 수 없고, 포트 스캐너는 이 스캔 작업을 위해 TCP 패킷을 직접 생성한다.

[시도 및 응답]

• 열려있는 경우 : SYN + RST 패킷을 받은 후 응답하지 않는다.
• 닫혀있는 경우 : SYN + ACK 패킷을 받은 후 RST 패킷을 보내 연결을 끊는다.

* FIN를 보냈을 때

- 열려있는 경우 : 응답없음

- 닫혀있는 경우 : RST + ACK

* SYN+ACK를 보냈을 때

- 열려있는 경우 : RST

- 닫혀있는 경우 : RST

[그림1] 열려있는 경우

[그림2] 닫혀있는 경우

UDP

UDP 프로토콜은 TCP와 다르게 핸드쉐이킹 과정이 존재하지 않고, 따라서 일반적으로는 포트가 열려 있다고 하더라도 서버에서 아무런 응답을 하지 않을 수도 있다. 하지만, 많은 시스템에서는 보낸 패킷에 대한 응답이 없을 때 ICMP unreachable 메시지를 보낸다. 많은 UDP 스캐너는 이 메시지를 탐지하는 방향으로 동작한다. 이 방식은 서버에서 ICMP 메시지를 보내지 않는 경우 닫혀 있는 포트를 열려 있다고 판단하는 경우가 존재한다.

다른 방식으로는 각 포트에 따라서 그에 대응하는 프로토콜 패킷을 전송하는 방식이다. 예를 들어, DNS 서버는 53번 포트에서 동작하며, UDP 스캐너는 해당 포트에 DNS 정보 요청 패킷을 보낸 후 응답을 받는 방식이다. 이러한 방식은 잘 알려진 포트와 대응 프로토콜에 대해서만 사용할 수 있다는 한계가 있지만, ICMP 메시지가 없는 경우 활용할 수 있다.

[시도 및 응답]

• 열려있는 경우 : 응답없음
• 닫혀있는 경우 : icmp destination unreachable

[알려진 포트]

1. 포트 631(IPP) : 인터넷 프린팅 프로토콜

2. 포트 161(SNMP) : 간단한 네트워크 관리 프로토콜

3. 포트 123(NTP) : 네트워크 타임 프로토콜

4. 포트 1434(MS-SQL-DS) : 마이크로소프트 SQL 서버

5. 포트 67(DHCPS) : 다이내믹 호스트 구성 프로토콜 서버

6. 포트 53(도메인) : 도메인 네임 시스템DNS 서버

7. 포트 68(DHCPC) : DHCP 클라이언트 포트

8. 포트 520(라우트) : 라우팅 정보 프로토콜RIP

9. 포트 69(TFTP) : 간단한 파일 전송 프로토콜

Stealth

세션을 완전히 성립하지 않고, 공격 대상 시스템의 포트 활성화 여부를 알아내기 때문에 공격 대상 시스템에 로그가 남지 않는다. 따라서 공격 대상의 시스템 관리자는 어떤 IP를 가진 공격자가 자신의 시스템을 스캔 했는지 확인 할 수 없다. 스텔스 스캔은 닫혀있는 포트에 대해서만 응답하고 종류는 ACK, NULL, X-MAS스캔 등이 있다.

[유형]

• ACK or FIN : ack 혹은 FIN flag만 보내는 스캔
• NULL : flag를 하나도 보내지 않는 스캔
• X-MAS : 모든 flag를 보내거나 FIN, PSH, URG flag를 보내는 스캔

[시도 및 응답]

• 열려있는 경우 : 응답없음
• 닫혀있는 경우 : RST

[그림1] ACK, FIN 열려있는 경우

[그림2] ACK, FIN 닫혀있는 경우

[그림3] X-MAS 닫혀있는 경우

NMAP

[목적]

nmap은 원래 Gordon Lyon에 의해 쓰인 보안 스캐너이다. 컴퓨터와 서비스를 찾기 위해 사용된다. Nmap은 서비스 탐지 프로토콜로 자신을 광고하지 않는 수동적인 서비스들도 찾아낼 수 있다. 게다가 Nmap은 원격 컴퓨터들의 상세정보도 알아낼 수 있다. 이 상세정보에는 OS, 장치 종류, 운영 시간, 서비스에 쓰이는 소프트웨어 제품과 버전, 방화벽 기술 존재와 LAN에서 NIC의 공급자 정보도 포함한다.

[특징]

• 호스트 탐지 : 네트워크 상에서 컴퓨터들을 확인한다. 예를 들어 ping 응답이나 특정포트가 열린 컴퓨터들을 나열한다.
• 포트 스캔 : 하나 혹은 그 이상의 대상 컴퓨터들에 열린 포트들을 나열한다.
• 버전 탐지 : 응용프로그램의 이름과 버전 번호를 확인하기 위해 원격 컴퓨터의 서비스를 확인 한다.
• OS 탐지 : 원격으로 OS와 네트워크 장치의 하드웨어 특성을 확인 한다.

[설치 및 사용 방법]

#> yum install nmap

#> nmap [Scan Type] [Option] [Address]

[옵션]

[출처] 위키 백과, https://asecurity.so, http://wildpup.cafe24.com, http://www.hacure.com

utmp : 현재 로그인한 사용자 상태 정보를 담보 있는 로그파일

위치 - /var/run/utmp

확인 명령어 – w, who, finger

wtmp : 성공한 로그인/로그아웃 정보 및 시스템의 boot/shutdown의 히스토리를 담고있는 로그파일

위치 - /var/log/wtmp

확인 명령어 – last

btmp : 실패한 로그인 정보를 담고 있는 로그파일

위치 - /var/log/btmp

확인 명령어 – lastb

last log : 마지막으로 성공한 로그인 정보를 담고 있는 로그 파일

위치 - /var/log/lastlog

확인 명령어 - lastlog

sulog : su(switch user) 명령어와 관련된 로그 기록

 1) 시스템에 현재 로그인한 사용자들에 대한 상태를 기록하여 "who" 명령으로 내용을 볼 수 있다. - utmp

 2) 사용자가 로그인 또는 로그아웃 할 때마다 그 정보가 기록되며, "last" 명령으로 내용을 볼 수 있다. - wtmp

 3) 사용자들에 의해 실행된 모든 명령이 기록되며, "lastcomm" 명령으로 그 내용을 볼 수 있다 - pacct

 4) 가장 최근에 ID가 user01 라는 사용자가 로그인한 기록을 보고 싶을 때 - lastlog -u user01

 5) wtmp 파일에 저장된 ID가 user02 라는 사용자가 로그인한 기록을 보고 싶을 때 - last user02

 6) wtmp 파일에 저장된 정보 중 시스템 재부팅 기록을 보고 싶을 때 - last reboot

 7) btmp 파일에 저장된 로그인 실패기록을 보고 싶을 때 - lastb

acct/pacct 로그파일은 로그인부터 로그아웃까지 사용자가 입력한 명령어를 확인할 수 있다.

확인 명령어 - lastcomm 

Steam 게임 모든 도전과제 완료 프로그램 (정상작동 확인완료)

(안전하다고는 하나 스팀계정 차단에 유의할것!) - 가급적 사용금지

MikroTik hAP ac2 트러블슈팅 내역입니다.

사용 중 생기는 문제와 해결방법을 수시로 업데이트하려 합니다.

1. 아이패드 와이파이 재연결

아이패드가 슬립모드로 들어간 상태에서 몇 분 이상이 지났다가 풀렸을 때

와이파이 신호를 다시 잡으면서 백그라운드에 있던 어플(ex. 유튜브)을 실행하면

와이파이가 끊어진 것으로 인식되며 새로고침 하였을 때 다시 정상 동작하는 문제였습니다.

제 경우에는 와이파이가 붙은 다른 기기들에서는 발생한 사항은 아니었고 아이패드에서만 발생하였으며

iOS 기기에서만 발생하는 것으로 추측되었습니다.

* 원인

DHCP 임대 시간문제

기존에 사용하던 AC68P에서는 볼 수 없었던 문제여서 제가 확인해 볼 수 있는 설정값을

비교해본 결과 DHCP 임대 시간문제로 확인되었습니다.

ASUS 공유기의 기본 IP 임대시간은 1일이었으며,

미크로틱의 RouterOS에서 설정된 기본 IP 임대 시간은 10분입니다.

아이패드가 슬립모드 일 때 임대 시간이 만료되는 시점에 연결을 끊고

다시 슬립모드가 풀릴 때 재연결을 하는 케이스로 추측됩니다.

* 해결

DHCP Server 설정

winbox > IP > DHCP Server 설정에서

Lease Time 항목을 10분에서 1일(24시간)로 변경합니다.

2. 특정 기기 5Ghz 대역 인식 불가

특정 기기에서 2.4Ghz 연결에서는 이상이 없고

5Ghz 는 SSID가 보이지 않거나 보이더라도 연결이 안되는 문제입니다.

* 원인

5Ghz 대역에서 사용하는 채널이 기기에서 지원하는 채널과 달라 발생한 사항입니다.

* 해결

802.11ac 5Ghz 국가별 채널 리스트

quickset (위 스크린샷은 webfig 화면이지만 winbox 화면과 유사합니다. / 출처 : wiki.mikrotik.com)

winbox > quickset > Wireless에서 Frequency 항목을

국가별 허용 채널로 변경해줍니다.

제 경우에는 우리나라와 일본 둘 다 허용되는 채널로 변경하였습니다.

국가별 채널 리스트 참고

https://en.wikipedia.org/wiki/List_of_WLAN_channels

출처 : https://core00.tistory.com/11

미크로틱 라우터OS의 보안 강화하기입니다.

1. winbox 실행 후 IP -> SERVICES 항목에서 winbox 제외하고 다 비활성화 합니다.

2. 방화벽에 다음 포트스캔 관련 차단 정책 Rule을 추가합니다.

/ip firewall filter

add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=forward comment="Port scanners to list " in-interface=ether1 protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=forward comment="NMAP FIN Stealth scan" in-interface=ether1 protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=forward comment="SYN/FIN scan" in-interface=ether1 protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=forward comment="SYN/RST scan" in-interface=ether1 protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=forward comment="FIN/PSH/URG scan" in-interface=ether1 protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=forward comment="ALL/ALL scan" in-interface=ether1 protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=forward comment="NMAP NULL scan" in-interface=ether1 protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="black list" in-interface=ether1 src-address-list=blacklist

참고 : ether1 이 WAN 으로 쓰는경우 설정값입니다. 위 값에서 ether1 은 설정된 WAN 포트명으로 맞추세요.

3. 블랙리스트 적용 방법
http://joshaven.com/resources/tricks/mikrotik-automatically-updated-address-list/

add chain=input action=drop comment="Drop new connections from blacklisted IP's to this router" \
    connection-state=new src-address-list=blacklist in-interface=ether1-WAN
----------------------------------------------------------------------------------------------------------------------------------
SpamHaus
"Spamhaus Do n't Route Or Peer List (DROP)" "

# Script which will download the drop list as a text file
/system script add name="DownloadSpamhaus" source={
/tool fetch url="http://joshaven.com/spamhaus.rsc" mode=http;
:log info "Downloaded spamhaus.rsc from Joshaven.com";
}

# Script which will Remove old Spamhaus list and add new one
/system script add name="ReplaceSpamhaus" source={
/ip firewall address-list remove [find where comment="SpamHaus"]
/import file-name=spamhaus.rsc;
:log info "Removed old Spamhaus records and imported new list";
}

# Schedule the download and application of the spamhaus list
/system scheduler add comment="Download spamnaus list" interval=3d \
  name="DownloadSpamhausList" on-event=DownloadSpamhaus \
  start-date=jan/01/1970 start-time=02:57:54
/system scheduler add comment="Apply spamnaus List" interval=3d \
  name="InstallSpamhausList" on-event=ReplaceSpamhaus \
  start-date=jan/01/1970 start-time=03:02:54
 
----------------------------------------------------------------------------------------------------------------------------------
dshield
“This list summarizes the top 20 attacking class C (/24) subnets over the last three days. The number of ‘attacks’ indicates the number of targets reporting scans from this subnet.”

# Script which will download the drop list as a text file
/system script add name="Download_dshield" source={
/tool fetch url="http://joshaven.com/dshield.rsc" mode=http;
:log info "Downloaded dshield.rsc from Joshaven.com";
}

# Script which will Remove old dshield list and add new one
/system script add name="Replace_dshield" source={
/ip firewall address-list remove [find where comment="DShield"]
/import file-name=dshield.rsc;
:log info "Removed old dshield records and imported new list";
}

# Schedule the download and application of the dshield list
/system scheduler add comment="Download dshield list" interval=3d \
  name="DownloadDShieldList" on-event=Download_dshield \
  start-date=jan/01/1970 start-time=03:07:54
/system scheduler add comment="Apply dshield List" interval=3d \
  name="InstallDShieldList" on-event=Replace_dshield \
  start-date=jan/01/1970 start-time=03:12:54

----------------------------------------------------------------------------------------------------------------------------------
malc0de
"The files below will be updated daily with domains that have been indentified distributing malware during the past 30 days"

# Script which will download the malc0de list as a text file
/system script add name="Download_malc0de" source={
/tool fetch url="http://joshaven.com/malc0de.rsc" mode=http;
:log info "Downloaded malc0de.rsc from Joshaven.com";
}

# Script which will Remove old malc0de list and add new one
/system script add name="Replace_malc0de" source={
/ip firewall address-list remove [find where comment="malc0de"]
/import file-name=malc0de.rsc;
:log info "Removed old malc0de records and imported new list";
}

# Schedule the download and application of the malc0de list
/system scheduler add comment="Download malc0de list" interval=3d \
  name="Downloadmalc0deList" on-event=Download_malc0de \
  start-date=jan/01/1970 start-time=03:07:54
/system scheduler add comment="Apply malc0de List" interval=3d \
  name="Installmalc0deList" on-event=Replace_malc0de \
  start-date=jan/01/1970 start-time=03:12:54

----------------------------------------------------------------------------------------------------------------------------------
VoIP Blacklist
"Protect your business and PBX's against VoIP Fraud Minimize the risks of attacks on your Telephony Server Save bandwidth by using Geolocation filtering."

WARNING: Use carefully! This is a huge list which can quickly cause performance issues.

# Script which will download the voip-bl list as a text file
/system script add name="Download_voip-bl" source={
/tool fetch url="http://joshaven.com/voip-bl.rsc" mode=http;
:log info "Downloaded voip-bl.rsc from Joshaven.com";
}

# Script which will Remove old voip-bl list and add new one
/system script add name="Replace_voip-bl" source={
/ip firewall address-list remove [find where comment="VoIP BL"]
/import file-name=voip-bl.rsc;
:log info "Removed old voip-bl records and imported new list";
}

# Schedule the download and application of the voip-bl list
/system scheduler add comment="Download voip-bl list" interval=3d \
  name="Refresh_voip-bl" on-event=Download_voip-bl \
  start-date=jan/01/1970 start-time=03:07:54
/system scheduler add comment="Apply voip-bl List" interval=3d \
  name="Update_voip-bl" on-event=Replace_voip-bl \
  start-date=jan/01/1970 start-time=03:12:54

----------------------------------------------------------------------------------------------------------------------------------

4. 설정 예제

##  2016/09/15 추가: 격리된 포트가 다른 포트와 통신이 되는 것을 확인하여 격리설정은 다음에 수정하겠습니다. ##

##  2016/09/19 추가 : 격리포트는 /ip route rules에서 설정하여 Layer 3 레벨 격리를 구현하였습니다. ##

격리공간을 만들어 둔 이유는, 직업상 영어메일을 읽어야 할 상황이 있어서 만약을 대비한 격리공간입니다.

이 모든 설정은 winbox GUI로도 커맨드와 똑같은 메뉴를 따라 설정가능합니다만 사진을 왕창 추가하기에는

여러모로 곤란하므로 불친절하더라도 커맨드와 설명만 적어두었습니다.



혹시 이 세팅을 적용하실 경우 일단 현재 세팅을 백업 후에 하시길 권장합니다.

> export verbose file=[적당한 파일이름].rsc

이렇게 하면 라우터의 루트디렉토리에 설정파일이 저장되고, Files탭에서 파일을 볼 수 있으며, 드래그해서

컴퓨터에 간단하게 저장도 가능합니다. 물론 반대도 가능합니다.



이렇게 세팅하면 무선기기는 AP에 접속할 경우 CCR1009로부터 dhcp로 ip를 받아와 인터넷에 연결됩니다.

VLAN을 쓰면 더 간단하고 CPU부하도 적게 할 수도 있을 것 같은데 저는 잘 몰라서 이렇게 설정했습니다.



메인라우터 CCR1009 설정

# 각 포트별 명칭을 알아보기 쉽게 지정하였습니다. 굳이 안해도 됩니다만, 후반 설정에 이름이 영향을 #

# 미치므로 변경하지 않을 경우 포트이름만 etherX로 고쳐쓰시면 됩니다. eth1-4는 스위치그룹이므로 eth1을 #

# 마스터로 지정하였습니다. #

/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp comment="LAN1 Switch1" name=eth1-LAN1
set [ find default-name=ether2 ] arp=proxy-arp master-port=eth1-LAN1 name=eth2-LAN1
set [ find default-name=ether3 ] arp=proxy-arp master-port=eth1-LAN1 name=eth3-LAN1
set [ find default-name=ether4 ] arp=proxy-arp master-port=eth1-LAN1 name=eth4-LAN1
set [ find default-name=ether5 ] comment=LAN2 name=eth5-LAN2
set [ find default-name=ether6 ] comment="LAN3 RBcAP2n AP" name=eth6-LAN3
set [ find default-name=ether7 ] comment="Isolated sandbox port" name=eth7-LAN4SB
set [ find default-name=ether8 ] arp=proxy-arp comment=WAN name=ether1
set [ find default-name=sfp-sfpplus1 ]comment=SFP
# 각 LAN환경에 설정해 줄 대역을 지정해줍니다. 구체적으로 VPN클라이언트 연결이나 DHCP ip분배 등에 쓰입니다. #

/ip pool
add name=LAN1 ranges=192.168.88.10-192.168.88.49
add name=LAN2 ranges=192.168.89.10-192.168.89.49
add name=LAN3 ranges=192.168.90.10-192.168.90.49
add name=LAN4SB ranges=192.168.91.10-192.168.91.49
# NAT-LAN 환경에서 분배할 DHCP 서버를 구성합니다. 위의 그림에서 설명한 대역을 지정하였습니다. #

# eth1-eth4는 같은 스위치그룹이므로 편하게 쓰고자, eth1을 master로 두고 2,3,4를 slave로 설정하였습니다. #

/ip dhcp-server
add add-arp=yes address-pool=LAN1 disabled=no interface=eth1-LAN1 name=DHCP-LAN1
add add-arp=yes address-pool=LAN2 disabled=no interface=eth5-LAN2 name=DHCP-LAN2
add add-arp=yes address-pool=LAN3 disabled=no interface=eth6-LAN3 name=DHCP-LAN3
add address-pool=LAN4SB disabled=no interface=eth7-LAN4SB name=DHCP-LAN4

/ip dhcp-server network
add address=192.168.88.0/24 dns-server=192.168.88.1 gateway=192.168.88.1
add address=192.168.89.0/24 dns-server=192.168.89.1 gateway=192.168.89.1
add address=192.168.90.0/24 dns-server=192.168.90.1 gateway=192.168.90.1
add address=192.168.91.0/24 dns-server=192.168.91.1 gateway=192.168.91.1

# 라우팅 테이블의 룰에서 OSI layer 3레벨 수준(IP)에서 격리포트의 네트워크로 통신 또는#

# 격리포트의 네트워크에서 타 포트로 통신하는 경우를 막았습니다.#

# Layer 2 수준(MAC통신)는 네트워크 대역이 다르므로 자동으로 막혀있습니다. #

/ip route rule
add action=drop disabled=no dst-address=192.168.91.0/24 !interface !routing-mark src-address=192.168.88.0/24
add action=drop disabled=no dst-address=192.168.91.0/24 !interface !routing-mark src-address=192.168.89.0/24
add action=drop disabled=no dst-address=192.168.91.0/24 !interface !routing-mark src-address=192.168.90.0/24
add action=drop disabled=no dst-address=192.168.88.0/24 !interface !routing-mark src-address=192.168.91.0/24
add action=drop disabled=no dst-address=192.168.89.0/24 !interface !routing-mark src-address=192.168.91.0/24
add action=drop disabled=no dst-address=192.168.90.0/24 !interface !routing-mark src-address=192.168.91.0/24

# 각 포트별 NAT 환경의 IP주소대역을 지정합니다 #

/ip address
add address=192.168.88.1/24 interface=eth1-LAN1 network=192.168.88.0
add address=192.168.89.1/24 interface=eth5-LAN2 network=192.168.89.0
add address=192.168.90.1/24 interface=eth7-LAN3 network=192.168.90.0
add address=192.168.91.1/24 interface=eth7-LANSB network=192.168.91.0
# 미크로틱에서 제공하는 라우터보드의 자체 DDNS입니다. 가정에서는 딱히 사용하는 도메인이 없다면 켜두시는 게 여러모로 편리합니다. #

/ip cloud
set ddns-enabled=yes
# DNS 참조주소를 구글 퍼블릭 DNS로 지정합니다. KT나 SKT, LG의 주소로 지정해도 상관없습니다. #

# 주의할 점은 allow-remote-requests를 활성화하면 외부로부터 DNS flood가 심각하게 들어오므로 방화벽에서 tcp/udp 53을 차단해야합니다. #

# 이 예제에서는 뒤에서 서술할 방화벽 설정에서 차단해 두었습니다. #

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
# 방화벽을 걸기 전에 여러 대역을 통째로 걸기위한 리스트를 작성했습니다. #

/ip firewall address-list
add address=0.0.0.0/8 comment="Self-Identification [RFC 3330]" list=bogons
add address=127.0.0.0/8 comment="Loopback [RFC 3330]" list=bogons
add address=169.254.0.0/16 comment="Link Local [RFC 3330]" list=bogons
add address=192.168.88.0/24 comment=LAN list=LAN
add address=192.168.91.0/24 comment="Isolated Sandbox Ethernet" list=LAN4
add address=192.168.89.0/24 list=LAN
add address=192.168.90.0/24 list=LAN
add address=10.0.0.0/8 list=LAN
# 방화벽 설정입니다. fasttrack 설정과 여러 포트를 열어주고 그 외에는 막았습니다. #

# 참고로 fastpath는 방화벽 필터가 1개라도 있으면 아마 동작하지 않을 겁니다 #

# NAT 라우팅이 되기 이전에 막을 수 있는 것은 raw필터로 막아 CPU에 부담을 덜 주게 하였습니다. #

/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=input connection-state=established,related

/ip firewall raw
add action=drop chain=prerouting comment="tcp/udp 53 block" dst-port=53 in-interface=ether1 protocol=udp
add action=drop chain=prerouting dst-port=53 protocol=tcp
add action=drop chain=prerouting comment="North Korea block" src-address=175.45.176.0/22
add action=drop chain=prerouting src-address=210.52.109.0/24
add action=drop chain=prerouting comment="LANSB isolation" dst-address-list=LAN4 in-interface-list=LAN src-address-list=LAN
add action=drop chain=prerouting dst-address-list=LAN in-interface-list=LANSB src-address-list=LAN4
add action=drop chain=forward comment="Drop to bogon list" dst-address-list=bogons
add action=accept chain=prerouting comment="Full access to SUPPORT address list" src-address-list=support
add action=drop chain=ICMP comment="Drop to the other ICMPs" protocol=icmp

# ipv6용 방화벽입니다. 특별히 설정을 해두진 않았습니다. #
/ipv6 firewall filter
add action=accept chain=input protocol=255
add action=accept chain=input protocol=igmp
add action=accept chain=input connection-state=""
add action=accept chain=input connection-state=""
add action=passthrough chain=input
add action=accept chain=input comment=ICMPv6 protocol=icmpv6
add action=accept chain=input comment="DHCPv6 client" dst-port=546 in-interface=ether1 protocol=udp
add action=accept chain=forward comment="Accept forward" in-interface=ether1
add action=accept chain=output comment="Accept output"
add action=accept chain=input comment="Router - Allow IPv6 ICMP" protocol=icmpv6

# NAT 마스커레이딩 설정입니다. 각 포트별로 지정해둔 IP대역을 NAT주소변환 해주지 않으면 통신이 안됩니다. #

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.88.0/24
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.89.0/24
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.90.0/24
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.91.0/24
# FTP나 irc 서버 등을 운영하지 않으면 꺼둡니다. pptp VPN과 인터넷전화기 (sip)만 열어두었습니다. #

/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
# 라우터OS에서 사용하는 서비스 포트입니다. winbox 이외에는 다 막았습니다. #

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
# 라우터의 시간설정 및 시간동기화 설정을 합니다.#

/system clock
set time-zone-name=Asia/Seoul
/system ntp client
set enabled=yes primary-ntp=203.254.163.74
# 어찌보면 대단히 중요합니다. 라우터OS 관리용 접근제어인데, 위의 방화벽단에서 막는 것은 L3/L4 에서 막는 설정이기에 #

# 여전히 L2 (맥주소) 기반 접근은 가능한 상태이므로 반드시 외부로부터 오는 접근은 막아야합니다. #

# 맥 텔넷과 맥 winbox를 무선(eth6)/외부(ether1)로부터 접근을 막습니다. 만약 방화벽에서 ether1 인터페이스를 막으면 #

# 이 설정은 신경쓰지 않아도 괜찮을지도 모르겠습니다. #

/tool mac-server
set [ find default=yes ] disabled=yes
add interface=eth1-LAN1
add interface=eth5-LAN2
add interface=eth7-LAN4SB
add interface=sfp-sfpplus1
add interface=sfp1
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=eth1-LAN1
add interface=eth5-LAN2
add interface=eth7-LAN4SB
add interface=sfp-sfpplus1
add interface=sfp1





CCR1009 하단 RBcAP2n 설정

# 브릿지를 생성하여 ether1과 wlan1을 묶어줍니다. 이 설정은 메인라우터 밑단에서 단순 투명한 AP로서 작동시키기 위해 브릿지로 유선과 무선을 묶습니다. #

# 브릿지이름은 자유롭게 지어도 상관없습니다. #

# 무선이 2.4g, 5g 듀얼 또는 그 이상 여러개일 경우 한 브릿지 포트에 계속 추가해주거나 다른 브릿지로 별도로 설정해도 됩니다. #

/interface bridge

add name=bridge1

/interface bridge port

add bridge=bridge1 interface=ether1

add bridge=bridge1 interface=wlan1

#2.4G wifi 통신의WPA2-AESPSK암호화 프로파일을 설정합니다.[SSID]에 원하는 wifi이름을 입력,[password]에 접속 패스워드를 입력합니다. #

#여기서는 설정하지 않지만 인증서기반 WPA2-EAP는 보다 더 강력한 보안을 제공합니다.

/interface wireless security-profiles

set [ find default=yes ]supplicant-identity=[SSID]

add authentication-types=wpa2-psk eap-methods=""\

   mode=dynamic-keys name=wpa2aespsk wpa2-pre-shared-key=[Password]

# 무선라디오의 자잘한 설정을 합니다. 주파수채널과 위에서 설정한 암호화 프로파일 선택 및 송출파워,SSID 비표시 등을 지정합니다. #

# 이 설정은 스펙상 2.4g만 지원하므로 2.4만 설정하며 최근기기들은 대부분 802.11n을 기본지원하므로 n만 쓰도록 했습니다.#

# 손님용 별도의 SSID를 생성할 경우, interface에서 virtual AP를 추가해주고 비슷하게 설정하면 됩니다. #

/interface wireless

set [ find default-name=wlan1 ]band=2ghz-onlyn bridge-mode=disabled \

   default-forwarding=no disabled=no frequency=[Channel] hide-ssid=yesmode=\

   ap-bridgesecurity-profile=wpa2aespsk ssid=[SSID] tx-power=[Power] \

   tx-power-mode=all-rates-fixedwireless-protocol=802.11 wps-mode=disabled

# 관리용 및 게이트웨이 지정을 위해 브릿지로 묶은 인터페이스의 ip를 지정해줍니다. #

/ip address

add address=192.168.90.2/24interface=bridge1 network=192.168.90.0

# DNS주소를메인라우터에서 192.168.90.0/24 서브넷의 게이트웨이 ip인 192.168.90.1로 지정해줍니다. #

# 구글 주소 8.8.8.8로 지정해도 됩니다. #

# 내부IP를 고정시키기 위해 DHCP-client를 활성화하지 않았기에 직접 지정해야 합니다. 

# 그 말은 즉, DHCP-client를 활성화하면 이 작업은 넘어가도 됩니다.

/ip dns

set servers=192.168.90.1

# 필요없는 서비스포트를 닫습니다. #

/ip firewall service-port

set h323 disabled=yes

set udplite disabled=yes

set dccp disabled=yes

set sctp disabled=yes

# 라우팅 경로를 지정하여 밖으로 통신이 가능하게 합니다. #

# AP에서 중앙 라우터로부터 IP를 받기 위한 DHCP client를 활성화시키지 않았기 때문에 (내부 고정IP로 지정) #

# 라우팅을 직접 설정해야 합니다. AP의 맥주소를 지정하여 고정적으로 IP를 받게하면 이 설정은 필요 없습니다. #

/ip route

Add dst-address=0.0.0.0/0 gateway=192.168.90.1

add dst-address=192.168.90.0/24 gateway=bridge1 pref-src=192.168.90.2

# 관리용텔넷/FTP/웹/ssh/api서비스를 필요에 따라 닫습니다. 저는 Winbox빼고 다 닫았습니다. #

/ip service

set telnet disabled=yes

set ftp disabled=yes

set www disabled=yes

set ssh disabled=yes

set api disabled=yes

set api-ssl disabled=yes

# AP의 시간대를 설정합니다. #

/system clock

set time-zone-name=Asia/Seoul

# SNTP클라이언트(인터넷 시간동기화)를 설정합니다. #

/system ntp client

set enabled=yes primary-ntp=203.254.163.74

# 관리용 맥주소기반의 텔넷과 winbox 허용여부 포트를 설정합니다.#

# 손님용 지정이 따로 없다면 메인라우터를 통해 들어오는 것이니 열어두셔도 괜찮습니다.#

# 손님용을 따로 만들겠다면 virtualAP를 하나 만들어 guest용 SSID를 생성하고 해당 virtualAP를 대상에서추가하지 않으면 됩니다.#

/tool mac-server

set [ find default=yes ] disabled=yes

add interface=ethr1

add interface=wlan1

add interface=bridge1

/tool mac-server mac-winbox

set [ find default=yes ] disabled=yes

add interface=ethr1

add interface=wlan1

add interface=bridge1

----------------------------------------------------------------------------------

<알아두면 쓸모 있는 신비한 사이버보안 최종 평가 문제 정답>

2021년 07월 작성 By WS RYU

문제 1

다음 중 4차 산업혁명에서 말하는 보안 요구 6가지가 아닌 것은? (배점 : 5) 정답 : 2

1. 접근제어

2. 개방성

3. 부인방지

4. 무결성

문제 2

다음은 위험 분석 접근 방법론에 관한 설명이다. 잘못된 것은? (배점 : 5) 정답 : 3

1. 베이스라인 접근법은 모든 시스템에 대하여 표준화된 보안 대책의 세트를 체크리스트 형태로 제공한다

2. 비정형 접근법은 구조적인 방법론에 기반하지 않고 경험자의 지식을 사용하여 위험 분석을 수행하는 것이다

3. 상세위험분석은 잘 정립되지 않은 모델에 기초하여 자산 분석, 위협 분석, 취약성 분석의 각 단계를 수행하여 위험을 평가하는 것이다

4. 복합접근법은 고위험(high risk) 영역을 식별하여 이 영역은 상세 위험 분석을 수행하고 다른 영역은 베이스라인 접근법을 사용하는 방식이다

문제 3

다음은 위험관리에 대한 내용이다. 틀린 것은? (배점 : 5) 정답 : 2

1. 위험으로부터 자산을 보호하기 위한 비용 대비 효과적인 보호 대책을 마련하는 일련의 과정을 말한다

2. 위험의 구성 요소에는 위협, 취약성, 재산이 있다

3. 위협(Threats)은 자산에 손실을 초래할 수 있는, 원치 않는 사건의 잠재적 원인이나 행위자이다

4. 취약성(Vulnerability)은 자산의 잠재적 속성으로서 위협의 이용 대상이 되는 것이다

문제 4

다음은 랜섬웨어와 일반 악성코드를 비교한 것이다. 틀린 것은? (배점 : 5) 정답 : 4

1. 유포방식은 일반 악성코드와 랜섬웨어 모두 웹사이트, 이메일, 네트워크 취약점 등을 통해 유포되는 동일한 방식의 유포 방식을 가지고 있다

2. 감염 방식은 일반 악성코드와 랜섬웨어가 크게 차이를 가지고 있지 않다

3. 일반 악성코드가 감염 시에 정보 및 파일 유출, DDoS 공격 하는 등의 동작을 한다면, 랜섬웨어는 문서, 사진, MBR 등 데이터 암호화한다

4. 일반 악성코드 치료를 백신 등을 통해 치료하듯, 랜섬웨어도 랜섬웨어 전용 백신으로 치료 가능하고, 암호화된 파일도 쉽게 복구할 수 있다

문제 5

다음 중 랜섬웨어 피해 최소화를 위한 긴급조치를 설명한 것이다. 틀린 것은? (배점 : 5) 정답 : 2

1. 경우에 따라 PC가 종료된 경우 부팅까지 불가능하게 되는 경우도 있으므로 PC의 전원은 끄지 말아야 한다

2. 해커와의 지속적인 연결을 통해 암호를 풀어야하기 때문에 네트워크를 지속적으로 연결해 놓아야 한다

3. 감염 알림창 암호화된 파일 등 랜섬웨어의 유형을 파악 한다

4. 백신 소프트웨어 제조사 홈페이지 등을 통해 제공하는 복구 툴이 있는지 확인한다

문제 6

다음 중 정보보호 거버넌스 목표와 관계 없는 것은? (배점 : 5) 정답 : 2

1. 책임성

2. 규제성

3. 연계성

4. 준거성

문제 7

다음은 정보보호 거버넌스에 관한 설명이다 틀린 것은? (배점 : 5) 정답 : 1

1. 정보보호 거버넌스 ISO는 17000이다

2. 정보 보호 거버넌스는 조직의 보안 사고에 대한 예방, 피해 최소화와 관계가 있다

3. 정보보호 거버넌스는 조직 차원의 정보 보호 체제수립을 목표로 한다

4. 보안사고 발생 시 신속한 복원력 향상을 위해서 거버넌스가 필요하다

문제 8

다음 중 정보 보호 아키텍처 수립을 위한 기본 원칙이 아닌 것은? (배점 : 5) 정답 : 1

1. 정밀성이 보장되는 아키텍처를 수립한다

2. 정보 보호 요구 변화에 유연한 아키텍처를 수립한다

3. 통합 정보 보호 체계로서의 역할을 고려한다

4. 비용 효율적 아키텍처를 수립한다

문제 9

다음은 네트워크 보안 솔루션 개선 계획절차에 대한 내용이다. 틀린 것은? (배점 : 5) 정답 : 1

1. 현재 네트워크 구성 요소를 도출하고 운영 중인 네트워크 보안 솔루션이 있다면 제외하고 구성 요소를 도출한다

2. 타깃별 발생 가능한 위협들을 위협 분석 모델링 기법을 이용하여 위협을 분석한다

3. 취약점 점검 항목을 개발하고, 점검 항목별 취약점을 진단한다

4. 솔루션 패치 적용 등의 조치 방안 및 계획을 수립한다

문제 10

다음은 벤치마킹 절차에 관한 내용이다.틀린 것은? (배점 : 5) 정답 : 1

1. 벤치마킹 적용 시 벤치마킹 요소가 초기 목표 사항에 합당한 것인지 재검토하는 것은 시간 낭비가 커서 하지 않아도 된다

2. 벤치마킹 하고자 하는 대상에 대하여 선진 사례 도출에 대한 목표를 정확히 수립 하여야 한다

3. 벤치마킹의 목적과 도출할 내용에 대하여 정확한 기준을 수립하여야한다

4. 수행 결과는 철저한 분석으로 도출하고자 하는 목표에 합당한 요소를 선정하여야 한다

문제 11

다음 중 4단계 디도스 공격 대응 절차가 아닌 것은? (배점 : 5) 정답 : 2

1. 웹서비스 관련 이벤트 발생 시 해당 원인이 디도스 공격으로 인한 것인지에 대한 명확한 판단이 필요하다

2. 디도스 공격 유형을 명확히 파악하여 방어 및 공격정책 설정을 위한 근거로 활용한다

3. 웹서비스의 가용성 확보가 필요하다

4. 공격트래픽 분석을 통해 공격 내용을 상세히 규명해야 한다

문제 12

다음은 해킹 사례를 나열한 것이다. 틀린 것은? (배점 : 5) 정답 : 1

1. 2011년 농협사태는 대표적인 랜섬웨어 사건이다

2. 2011년 농협사태는 특정 목표물을 정해놓고 완벽한 계획 하에 취약점을 찾아내서 시스템을 공격하는 제로데이 공격을 감행하는 공격기법이다

3. 영국 RBS 은행 시스템의 신용카드 정보를 유출해 복제카드를 만들고 신용카드 한도를 높인 사건은 APT 공격기법이다

4. 모건스탠리에서 발생한 ‘오로사 사건’은 APT 공격 사건이다

문제 13

다음 중 Get Flooding 공격 방어 방안이 아닌 것은? (배점 : 5) 정답 : 1

1. 네트워크의 정상적인 환경에서 설정된 각 트래픽 유형별 임계치를 통하여 과도한 TCP 세션 연결에 대해 차단한다

2. 콘텐츠 요청 횟수에 대한 임계치 설정으로 차단한다

3. 시간별 웹페이지 URL 접속 임계치 설정으로 차단한다

4. 웹스크래핑(Web-Scraping) 기법을 이용하여 차단한다

문제 14

다음 중 UDP/ICMP Flooding 공격에 대한 세부 방어 내용이 아닌 것은? (배점 : 5) 정답 : 4

1. ACL 설정을 이용해 차단한다

2. 웹서버 혹은 운영장비에 대한 접근 제어 목록에 차단하고자 하는 프로토콜 정보를 차단한다

3. INBOUND 패킷에 대한 임계치 설정을 이용해 차단한다

4. Handshake 과정에 위배된 패킷이 유입될 경우 비정상적인 트래픽으로 구분하여 차단한다

문제 15

다음은 랜섬웨어 감염시 나타나는 증상을 설명한 것이다. 잘못된 것은? (배점 : 5) 정답 : 1

1. 바탕화면 변경 및 감염 알림창 증상은 바탕화면 사진이 바뀌어 있고, 알림 메일을 발송하였음을 알려준다

2. 파일 사용불가 증상이란 평소 문제없이 열렸던 문서, 사진, 그림, 음악, 동영상 파일들 중 일부 혹은 전체가 읽을 수 없게 되거나 열리지 않는 현상이 발생하는 증상이다

3. 파일 확장자 변경 증상은 평소 아무 문제없이 사용하던 파일의 이름과 확장자가 바뀌거나 파일 확장자 뒤에 특정 확장자가 추가된 것을 볼 수 있다

4. 부팅 불가능 증상은 평소 사용하던 운영체제로 부팅이 되지 않고 랜섬웨어 감염 사실 및 금전요구 화면을 볼 수 있다

문제 16

다음 중 4차산업혁명에서 나타나는 사이버 위협의 유형이 아닌 것은? (배점 : 5) 정답 : 3

1. 정보유출

2. 금융사기

3. 기술 공격

4. 서비스 거부 공격

문제 17

다음은 정보보호 침해 사고 유형에 대한 설명이 틀린 것은? (배점 : 5) 정답 : 4

1. 비인가된 서비스 이용은 네트워크 서비스의 취약점을 이용하여 서비스를 무단 이용을 의미한다.

2. 서비스 방해 및 거부는 네트워크 및 시스템의 정상적인 서비스를 마비 또는 파괴시키는 서비스 방해를 의미한다

3. 비인가된 네트워크 정보 접근은 네트워크 정보 수집을 포함을 의미한다

4. 가용성 침해는 암호를 해킹해서 무력화 시키는 것을 의미한다

문제 18

다음은 랜섬웨어 감염 경로와 증상에 대한 설명이다 틀린 것은? (배점 : 5) 정답 : 1

1. 랜섬웨어는 지속적으로 이메일, 홈페이지 중심의 유포방식에서 변화하지 않고 있다

2. 보안이 취약한 웹사이트와 이메일 첨부파일실행 파일공유사이트 등을 활용, 보안설정이 미흡한 유무선 네트워크를 악용하고 있다

3. 메일이 스팸인지 구별되지 않을 만큼 정교한 경우가 대부분이다

4. 웹사이트 커뮤니티에 접속 시 운영체제 응용프로그램의 취약점을 이용하여 랜섬웨어를 다운로드하고 실행하도록 한다

문제 19

다음은 손실 발생 후 위험 관리의 목적에 대한 설명이다. 관계없는 것은? (배점 : 5) 정답 : 4

1. 생존 목적의 위험 관리는 손실 발생 후 위험 관리의 목적 중 가장 중요한 것으로 손실에도 불구하고 가계나 기업이 존재하도록 하는 것을 의미한다

2. 활동 계속 목적의 위험 관리는 막대한 손해 발생에도 불구하고 활동을 계속할 수 있도록 하는 것이다

3. 성장 계속 목적의 위험 관리란 기업이 계속적으로 성장할 수 있도록 관리하는 것을 의미한다

4. 사회 책임 목적의 위험 관리는 손해가 발생한 경우 기업은 그 손해가 사회에 끼치는 영향이 전혀 없도록 위험을 관리하여야 한다

문제 20

다음은 정보 보호 침해 사고에 관한 설명이다. 틀린 것은? (배점 : 5) 정답 : 1

1. 정보 보호 침해 사고의 유형은 침해 결과에 따른 유형과 침투 유형에 따른 유형으로 나누어볼 수 있다

2. 바이러스는 비인가된 시스템 접근 및 파일 접근이다

3. 비인가된 서비스 이용이란 네트워크 서비스의 취약점을 이용하여 서비스를 무단 이용하는 것을 말한다

4. 서비스 방해 및 거부는 네트워크 및 시스템의 정상적인 서비스를 마비 또는 파괴시키는 서비스 방해 등을 말한다

알아두면 쓸모 있는 신비한 사이버보안 교재 입니다.

프로젝트관리(Project Management, PM) 용어 해설