!주의! : 이 게시물은 정보성 게시물이 아닌 개인 공부 복기용 게시물 입니다. 정확하지 않을 수 있습니다.
🤗훈수는 언제나 환영입니다🤗
네트워크 침해 공격 용어
세션 하이재킹 (Session Hijacking)
- 상호 인증 과정을 거친 후 접속해 있는 서버와 서로 접속되어 클라이언트 사이의 세션 정보를 가로채는 공격 기법
- TCP 3-way-handshake 과정에 끼어듦으로써 클라이언트와 서버 간의 동기화된 시퀀스 번호를 가로채 서버에 무단으로 접근하는 TCP 세셔 하이재킹이 대표적임
ARP 스푸핑 (ARP Spoofing)
- ARP의 취약점을 이용한 공격 기법으로, 자신의 물리적 주소(MAC)를 공격 대상의 것으로 변조하여 공격 대상에게 도달해야 하는 데이터 패킷을 가로채거나 방해함
스미싱 (Smishing)
- 문자 메시지(SMS)를 이용해 사용자의 개인 신용 정보를 빼내는 수법
- 초기에는 문자 메시지를 이용해 개인 비밀정보나 소액 결제 유도하는 형태로 시작되었음
- 현재는 각종 행사 안내, 경품 안내 등의 문자 메시지에 링크를 걸어 안드로이드 햅 설치 파일인 apk 파일을 설치하도록 유도하여 사용자 정보를 빼가는 수법으로 발전하고 있음
사회 공학 (Social Enginieering)
- 컴퓨터 보안에 있어서, 인간 상호 작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨트리기 위한 비기술적 시스템 침입 수단
다크 데이터 (Dark Data)
- 특정 목적을 가지고 데이터를 수집하였으나, 이후 활용되지 않고 저장만 되어있는 대량의 데이터를 의미함
타이포스쿼팅 (Typosquatting)
- 네티즌들이 사이트에 접속할 때 주소를 잘못 입력하거나 철자를 빠뜨리는 실수를 이용하기 위해 이와 유사한 도메인을 미리 등록하는 일록, URL하이재킹이라고도 함
스피어 피싱(Spear Phishing)
- 사회 공학의 한 기법으로, 특정 대상을 선정한 후 그 대상에게 일반적인 이메일로 위장한 메일을 지속적으로 발송하여, 발송 메일의 본문 링크나 첨부된 파일을 클릭하도록 유도해 사용자의 개인 정보를 탈취
APT (Advanced Persistant Threats)
- 다양한 IT기술과 방식들을 이용해 조직적으로 특정 기업이나 조직 네트워크에 침투해 활동 거점을 마련한 뒤 때를 기다리면서 보안을 무력화 시키고 정보를 수집한 다음 외부로 빼돌리는 형태의 공격
- 공격 방법 :
- 1)내부자에게 악성코드가 포함된 이메[일을 오랜기간 동안 꾸준히 발송해 한 번이라도 클릭되길 기다리는 형태
- 2)스턱스넷(Stuxnet)과 같이 악성코드가 담긴 이동식 디스크(USB) 등으로 전파하는 형태
- 3)악성코드에 감염된 P2P사이트에 접속하면 악성코드에 감염되는 형태 등
무작위 대입 공격 (Brute Force Attack)
- 암호화된 문서의 암호키를 찾아내기 위해 적용 가능한 모든 값을 대입하여 공격하는 방식
큐싱(Qshing)
- QR코드를 통해 악성 앱의 다운로드를 유도하거나 악성 프로그램을 설치하도록 하는 금융사기 기법의 하나로, QR코드와 개인정보 및 금융정보를 낚는다는 의미의 합성 신조어
SQL삽입(Injection)공격
- 전문 스캐너 프로그램 혹은 봇넷 등을 이용해 웹사이트를 무차별적으로 공격하는 과정에서 취약한 사이트가 발견되면 데이터베이스 등의 데이터를 조작하는 일련의 공격 방식
크로스 사이트 스크립팅 (XSS : Cross Site Scripting)
- 네트워크를 통한 컴퓨터 보안 공격의 하나로, 웹 페이지의 내용을 사용자 브라우저에 표현하기 위해 사용되는 스크립트의 취약점을 악용한 해킹 기법
- 사용자가 특정 게시물이나 이메일의 링크를 클릭하면 악성스크립트가 실행되어 페이지가 깨지거나, 사용자의 컴퓨터에 있는 로그인 정보나 개인정보, 내부 자료 등이 해커에게 전달됨
스니핑 (Sniffing)
- 네트워크의 중간에서 남의 패킷 정보를 도청하는 해킹 유형의 하나로 수동적 공격에 해당함
미룬이