🍅악성코드의 종류
1. 바이러스
단독으로 동작 불가, 다른 프로그램에 기생, 가만히 놔두면 다른 프로그램에 퍼짐: 기생하는 악성코드
2. 웜
단독으로 동작 가능, 다른 프로그램 및 네트워크에 퍼짐
3. 트로이목마
정상프로그램으로 위장한 프로그램, 악성코드를 숨겨둠
4. 백도어
로컬백도어와 원결백도어, 대부분의 악성코드는 원격백도어, 접속 용도로 원격 백도어가 쓰임
5. 랜섬웨어
가상화폐의 등장 이후로 유행, 가상화폐가 추적이 힘들어서 자주 등장, 파일을 잠금-드랍바이다운로드
6. 크립토재킹(마이너)
상대방의 CPU메모리를 사용해 가상화폐를 몰래 채굴
크립토재킹은 마이너의 일종, 웹 사이트에 접속했을 때 감염될 수 있음(드랍바이다운로드)
7. 다운로더
대부분의 악성코드의 형태, 원격 백도어로 추가적인 악성코드를 다운, 대부분의 악성코드는 완성된 코드가 아닌 추가 다운 등을 통해 함➡️보안 프로그램 등을 피하려고
8. 드롭퍼
대부분의 악성코드의 형태, 악성코드 안에 악성코드가 들어있는 형태, 파일 안에 파일이 있음(exe 안에 exe 등)
9. 스파이웨어, 스틸러
컴퓨터나 기기에 숨어서 개인정보를 훔쳐감
10. 커널
커널 감염
11. 루트킷
커널레벨로 감염, 루트킷은 os레벨에 감염된 것으로 발견이 쉽지않음, 루트권한을 가져감, 걸리면 포맷추천
12. 피싱
스피어피싱-창처럼 뚫는다, 개인정보를 알아서 그걸로 정보 및 데이터를 빼냄, 그 사람 맞춤형으로 피싱을 함
예시로 그 사람이 자주 가는 사이트를 몰래 바꿔서 트로이목마로 바꾸는 식으로 감염시킴
13. APT
오랜 시간 공을 들여 해당 타겟만을 공격-스피어피싱이 자주 쓰임(스피어피싱이 APT는 아님)
🍅보안의 5대 요소
기밀성: 가장 대표적인 기술은 암호화
무결성: 데이터의 훼손 방지, 암호화는 기밀성을 보장하지만 무결성은 완벽하게 보장하지 않음
가용성: 언제 어디서든 서비스를 받을 수 있게 하는 것
인증: 누구인지 알아내는 것
부인 방지: 로그 등 기록을 통해 부인을 방지하는 것
기밀성, 무결성, 가용성은 정보 보안의 3대 요소라고 불림
보안사고는 기밀성, 무결성, 가용성 3개 중 1개 이상 침해당했을 때 발생
1. 위험(Risk)
어떤 사건이 발생해 부정적인 영향을 미칠 가능성
위험=f(자산 x 위협 x 취약성), 정보보호의 목표는 위험을 줄이는 것
2. 위협(Threat)
우리를 노리는 각종 공격들 및 행위자
자연적 또는 물리적: 화재, 홍수, 지진. 정전
부주의: 사전 지식이 없는 사용자에 의한 사고
고의: 공격자, 테러리스트, 산업스파이, 악성코드
자산: 위협을 막지 못해 자산에 손해가 오면 그것이 위험
취약성(Vulnerability): 위험의 이용대상이 되는 것
위협이 취약점을 뚫으면 위험이 됨
🍅최신 유행 공격 트렌드
1. 공급망 공격-알아차리기 힘듦
HW공급망 공격: 공장에서 만들어지는 스파이 칩셋 등
SW공급망 공격: 라이브러리나 모듈 등에 악성코드를 넣어두는 방식
SBOM(SW Bill Of Material): SW의 구성요소와 정보를 나열하고 문서화한 명세서
HBOM(HW Bill Of Material): HW의 구성요소와 물리적 부품을 나열하고 문서화한 명세서
2. 인증 시스템
Something You are: 서명(행위여서 Something You Do이기도 함), 키보드 ,지문, 얼굴
Something You have: OTP, 공인인증서, 민간인증서, 스마트키 또는 카드
Something You Know: 비밀번호, 패턴, PIN
2Factor인증을 많이 사용함. 2가지 요소는 같은 요소가 아닌 서로 다른 요소를 선택해야함
3. SSO(Single Signed ON)
한 곳에 로그인하면 다른 곳에 로그인해도 로그인이 유지
대신 보안에는 떨어짐
SSO서버에 문제가 생기면 가용성에 문제가 생기므로 보통 2개 이상 만듦
4. 커버로스
고대 그리스 신화 머리 3개 달린 개에서 따옴, SSO의 약점인 최초 인증을 통과하면 모든 서버나 사이트 접속에 가능한 것. 이 약점을 보완하기위해 접근 및 동작 시 지속적인 인증을 하도록 함
🍅암호화
1. 암호화
평문을 암호화키로 변형해 암호문을 만드는 것
2. 복호화
암호문을 키를 변형해 평문으로 만드는 것
3. 일방향 암호화
암호문을 만든 후 복호화가 안됨-불가능에 가까움
예: 평문>암호문: Hash
4. 해쉬 알고리즘 종류
md4, md5, SHA1 SHA256, SHA512, SHA1024, SHA2048...
SHA256 or 512 이상 사용하는 걸 권장 md4, md5, SHA1는 뚫림
5. 사용 용도
용도1: 패스워드 같은 중요 정보를 암호화해서 저장할 때
용도2: 데이터의 무결성을 체크할 때 Hash값을 이용해서 데이터 무결성 체크
→보낸 파일의 해쉬값과 받은 파일의 해쉬 값을 서로 비교함
6. 양방향 암호화
암호문을 만든 후 복호화 가능
키: 일정한 길이의 데이터, 안전한 키 길이는 1024bit, 2048bit 이상
복호화를 위해서는 알고리즘과 키를 알아야함
7. 대칭키 암호화(비밀키, 세션키)
암호화에 쓰는 키와 복호화에 쓰는 키가 동일(키가 1개), 키를 안전하게 보관해야 함
암호화 통신에 주로 사용, 데이터 저장에는 가끔 사용(잘 안씀)
종류: DES(뚫림), 3DES(뚫림), SEED, AES(요즘 자주 씀)
장점: 암복호화 속도가 빠름
단점: 키 전달 문제(키가 중간에 탈취당할 수 있음)
해결방법
PSK(Pre Shared Kye): 사전공유키, 키 배포 센터(키를 미리 맡겨놓음)
비대칭키를 쓴다
8. 비대칭키 암호화(공개키, 개인키)
키가 2개, 암호문에 쓰는 키와 복호문에 쓰는 키가 다르다
키 2개는 각각 공개키와 개인키
RSA(미국에서 만든 세계 표준), DH(디피-헬만), ECC(타원 곡선, 속도가 빠름)
9. 비대칭키 룰
공개키로 암호화 한 것은 개인키로 해독, 개인키로 암호화 한 것은 공개키로 해독이 됨
누구에게나 줄 수 있고 개인키는 누구에게도 줄 수 없다
단점: 대칭키와 비고해서 암복호화가 느림
중간자공격: 비대칭키 암호의 키 공유의 치명적 단점, 키의 신뢰성 문제
해커가 중간에서 자신의 공개키로 만든 암호문을 주고 그것을 바탕으로 개인키를 알아냄
인증기능: 밥이 개인키로 암호화해서 엘리스에게 보내면 그것은 오로지 밥만이 가지고 있는 키이므로 인증 가능 부인방지
10. 전자서명(공개키)
기밀성, 인증, 무결성(주로 무결성)
위조불가: 서명자만이 서명문을 생성
인증: 서명문의 서명자를 확인
원본의 해시 값을 구한 뒤 부인 방지 기능을 부여하기 위해 공개키 방법을 사용
복호화한 해시 값과 편지에서 구한 해시 값이 일치하면 위조되지 않았다고 확신할 수 있음
보통 해쉬값이나 해쉬값을 암호화 한 것을 전자서명이라고 함
11. 키의 신뢰성 문제 해결책
디피헬만 알고리즘
SSH(Secure Shell)에서 사용: 상대방에게 공개키를 주지 않고 계산과정을 전달하여 PSK(세션키)를 가지게 됨
PKI(공개키 기반 구조)
SSL(Secure Socket Layer)에서 사용, 제3의 인증기관을 둬서 안전한 암호화 통신을 하는 전반적인 모든 구조
정식명칭은 TLS이지만 SSL이라고 많이 부름
SSL3.0 > TLS1.0, TLS1.1 > TLS1.2
SSL은 주로 443포트에서 동작
주로 http(HTTPS)나 FTP(FTPS)를 암호화하는 방식으로 동작, 혼자서는 동작하지 않는 암호화 알고리즘
12. 정책기관
PAA: 정책 승인 기관
PCA: 정책 인증 기관, Root CA 인증서 발급
CA: PCA의 하위기관인 인증기관, 인증서 발급과 취소 등 실질적 업무 담당
RA: 등록 기관, 인증서 요청을 확인
🍅침해사고 대응
1. 정보보호 침해사고
실무에서는 해킹, 악성코드 유포에 한정하지 않고 모든 전자적인 공격 행위 및 그 결과에 따라 발생한 각종 피해라고 함
2. 침해사고 특징
대규모
분산화
대중화
범죄적 성향
침해사고가 발생한 경우 결과 복구도 중요하지만 동일한 사고가 재발하지 않도록 조취를 취하는 것도 중요
3. 사고대응 방법론 : 절차
사고 전 준비 과정: 규칙적인 백업 수행
사고 탐지: 직속상관 or 정보보호 부서에 보고 및 신고
초기 대응: 전산 관리팀의 전문가가 조치 및 보안 전문가에게 인수인계, 네트워크의 전원을 끄지 않음(웜같은 특수한 경우에는 제외)
대응 전략 체계화: 각종 정보 수집 및 소송이 필요한지 등 전략 수립
사고 조사(데이터 수집, 데이터 분석): 데이터 수집 및 분석
보고서 작성: 가장 어렵고도 중요한 단계
해결: 재발하지 않도록 후속 조치 및 관리가 중요
4. 호스트 기반 데이터 수집
호스트 기반 정보: 네트워크에서 얻어진 것이 아니라 시스템에서 얻어진 로그, 레코드, 문서 등 또 다른 정보
휘발성 데이터를 우선 수집한 후 포렌식 이미징 작업을 통해 정보를 모음
호스트 기반의 정보들을 수집하기 위해 Live Response가 수행되어야 함
Live Response는 시스템이 동작하고 있을 때 수행되어야 함
Live Response의 구분
Initial Live Response: 대상 시스템이나 피해 시스템의 휘발성 데이터만을 휙득함
In-depth Response: 휘발성 데이터를 넘어 대상 시스템이나 피해 시스템으로부터 부가 정보를 획득함
Full Live Response: 시스템을 꺼야 하는 디스크 복제 작업 대신 수사를 위한 모든 데이터를 Live 시스템으로 부터 수집
🍅디지털 포렌식
1. 사전적 의미
포렌식: 범죄수사의 절차에 과학을 적용하여 증거능력을 확보
디지털 포렌식: 전자적 증거물의 수집 및 보존 분석의 절차
로그에서 중요한 것은 시간, 언제 어디서 무슨 일이 일어났는가
2. 디지털 증거의 특징
매체독립성: 디지털 증거는 원본과 동일한 사본 만들기가 용이함
비가시성/비가독성: 디지털 증거는 0과1의 값으로 이루어진 정보로 식별 불가. 변환 절차를 걸쳐 식별이 가능해야 가시성/가독성을 지님
변조가능성(취약성): 삭제/변조에 의한 훼손이 용이함
대량성: 저장매체의 발전으로 증거의 분량이 방대함, 효율족인 증거 분류/분석 기술 필요
전문성: 분석과 수집 과정에 전문적인 기술 필요
초국경성(네트워크관련성): 국경(거리)에 영향을 받지 않음
휘발성데이터를 수집하면 C2(Command and Control, 공격자의 중개서버)의 IP주소를 알 수 있음
디지털 증거의 능력 조건: 디지털증거가 법정 효력을 가지고 증거능력을 인정받기 위해서는 디지털 증거의 진정성, 무결성, 신뢰성, 원본성이 기본적으로 보장되어야함
상용 포렌식 툴을 쓰는 것이 중요함
3. Chain of Custody(CoC)
관리 연속성(보관 연속성) - 포렌식에서 매우 중요, 소송에서 이기기 위해 반드시 필요
증거법상 개념으로, 증거가 생겨난 이래로 그것을 보관한 주체들의 연속적 승계 및 관리의 단절의 유무에 대해 판단하는 것
현재의 증거가 최소로 수집된 상태에서 지금까지 어떠한 변경도 되지 않았다는 것을 보증하기 위한 절차적 방법
증거 조작으로부터 피의자를 보호하는 성격을 지님
4. 포렌식 카빙
Carving은 조각품이라는 뜻. 즉, 삭제되거나 손상된 파일의 데이터를 저장장치에서 직접 추출해서 복구하는 기술
파일의 패턴(시그니처)와 구조를 기반으로 하여 원본 파일의 일부를 재구성
일반적인 데이터 분류 방법: 시간정보(타임프레임)에 따른 분류 ▶ 타임라인
5. 보안조직과 보안정책
정보 보안 정책서>정보 보안 지침서 > 정보 자산 분류 절차서(기술 지침)
