[CISA 이론 정리 - 5장] 02 논리적 접근 노출

1. 논리적 접근 통제의 보호 대상

① 논리적 접근(Logical access)이란 네트워크를 통한 접근이다.

② 무엇보다 데이터, 응용 소프트웨어 및 각종 시스템 소프트웨어를 논리적 접근으로부터 보호해야 한다.

③ 또한, 다이얼-업 라인을 포함한 통신 회선, 통제 우회 기능, 각종 라이브러리와 테이프 파일 및 스풀 큐 역시 승인 받지 않은 접근으로부터 보호해야 한다.

2. 논리적 접근 위반 시도자

① 사용자, IS 직원, 퇴사자, 계약직/외부직원, 해커 등이 논리적 접근 위반을 시도할 수 있다.

② 일반적으로 논리적 접근 위반은 비의도적이며 우발적인 경우가 많다.

③ 가장 심각한 영향을 주는 논리적 접근 위반자는 조직의 구성원이다.

④ 접근 통제가 집권화(centralization)되면 일관성과 효율이 증가한다.

⑤ 접근 통제가 분권화(decentralization)되면 지역의 필요가 더 잘 반영된다.

3. 논리적 접근 경로

운영자 콘솔

• 시스템 운영에 사용되는 터미널로서 강력한 접근 권한이 부여된다.

• 물리적 접근 통제와 더불어 활동 로그 검토 등이 필요하다.

온라인 터미널

• 호스트 접속 권한만 있어도 논리적 접근이 가능하다.

• 인증, 패스워드 통제 및 접근 통제 소프트웨어가 필요하다.

배치 작업 처리

• 배치 수립 및 입력 과정에서 트랜잭션 추가 및 변조가 가능하다.

• 거래의 수집, 입력, 처리 간 철저한 직무 분리가 필요하다.

다이얼-업 포트

• MODEM을 이용 전화망을 통해 컴퓨터에 원격 접근을 할 수 있다.

• 다이얼 백 회선, 인증 및 접근 통제 소프트웨어가 필요하다.

통신 네트워크

• 컴퓨터 단말기나 PC를 호스트 컴퓨터에 연결할 수 있다.

• 암호화, 전자 서명, 인증, 방화벽, 침입 탐지 시스템 등이 필요하다.

4. 논리적 접근 노출 및 사회 공학

(1) 도청 및 정보 수집

도청(Eavesdropping)

• 전화, 팩스, 이메일 등 사적 통신 내용을 동의 없이 가로채는 행위

※ 회선도청(Wiretapping): 통신 회선에 장비를 연결하여 도청함

※ 스니핑(Sniffing): 브로드캐스트되는 모든 패킷을 수신함

※ 스니핑(Snooping): 원격에서 타인의 컴퓨터를 훔쳐봄

트래픽 분석(Traffic Analysis)

• 호스트 간 트래픽 흐름의 성격을 판별하여 통신 유형을 짐작한다.

• 예) 통신 당사자의 신원, 메시지의 양/방향/빈도/시간 등

• 메시지 내용을 도청하지 않으며 암호화되더라도 분석이 가능하다.

네트워크 분석(Network Analysis)

• 공격 대상 조직의 다양한 시스템 및 네트워크 정보를 수집한다.

• 일반적으로 다음과 같은 과정을 통해 이루어진다.

• 정찰(Reconnaissance)/풋프린팅(foot-printing): 기본 정보(위치, 연락처, 도메인 네임, IP 주소 등)를 수집함

• 스캐닝(Scanning): 세부적인 IP 주소, 운영 체제, 시스템 구조, 열린 포트(= 사용 가능 서비스) 등의 정보를 수집함

• 열거(Enumeration): 사용자 계정 명, 권한, 디렉터리, 라우팅 테이블, 접근 통제 정책 등 구체적 정보를 총망라하여 정리함

※ 브라우징(Browsing): 수작업으로 수행하는 열거 공격

(2) 접속 지점 탐색

워 다이얼링(War Dialing)

• 공격 대상의 전화번호 및 모뎀의 전화번호를 알아내려는 시도

• 다이얼인 침투(Dial-in penetration) 공격이라고도 한다.

• 모뎀은 방화벽을 우회하여 내부망에 접속하는 통로가 될 수 있다.

워 드라이빙(War Driving)

• GPS 등을 탑재한 차를 타고 무선 접속 지점을 찾아내려는 시도

※ 워 워킹(War Walking): 휴대용 장비로 무선 접속 지점을 찾음

※ 워 초킹(War Chalking): 무선 접속 지점을 찾아 분필로 표시함

(3) 물리적 접근에 근거한 단순 공격

데이터 속임(Data Diddling)

• 입력 탬퍼링(Input tampering)이라고도 한다.

• 데이터 입력 전이나 입력 중에 허가 없이 데이터를 변경한다.

• 입력 배치에 허위 거래를 추가하는 등 단순한 수법을 이용한다.

데이터 누설(Data Leakage)

• 컴퓨터에 있는 정보는 외부로 빼돌리거나 유출한다.

• 예) 파일을 종이로 덤프, 컴퓨터 보고서나 테이프를 절취

• DLP(Data Leakage Prevention) 솔루션: 기밀 데이터의 위치를 식별하고 이동을 감시/통제하여 데이터 누설을 예방한다.

(4) 자금 횡령

반내림(Rounding Down)

• 특정 단위 이하 금액을 반올림에 영향이 없을 만큼 횡령하는 기법

• 정상적 거래를 수행하면서 다수의 계좌에서 부당 이익을 얻는다.

• 예) $436.75 중 $0.25 혹은 $436.20 중 $0.20를 횡령

살라미 기법(Salami Technique)

• 특정 단위 이하 금액 전체를 잘라 내어 소액을 횡령하는 기법

• 반내림 기법과는 달리 반올림 결과를 고려하지 않는다.

• 예) $436.75 중 $0.75 또는 $436.20 중 $0.20를 횡령

(5) 권한의 악용

트랩 도어(Trap Door)

• 정식 인증 절차를 우회하여 시스템에 접근할 수 있는 기능

• 꼭 악의적 의도로 만들어지는 것은 아니며 백 도어라고도 한다.

루트킷(Rootkit)

• 루트(즉 관리자) 권한 획득 후 설치한 악의적 프로그램을 통칭한다.

• 원격 접근, 트로이 목마 설치, 로그 삭제 등 해킹 기능을 포함한다.

※ Superzapping: 시스템 복구를 가장하여 중요한 정보를 훔침

(6) 신분 위조, 재전송, 개입

스푸핑(Spoofing)

• 메시지의 원천 등을 속이며 가장(masquerading)이라고도 한다.

※ 이메일 스푸핑: 이메일의 송신자 주소를 속임

※ DNS 스푸핑: 도메인 이름과 IP 주소의 연관 관계를 속임

※ IP 스푸핑: 메시지의 송신자 IP 주소를 속임

※ ARP 스푸핑(= ARP Cache Poisoning): MAC 주소를 속임

재전송(Replay)

• 도청한 메시지를 그대로 또는 내용을 변조하여 다시 전송한다.

• 거래를 다시 실행하게 하거나 접근 권한을 얻기 위한 시도이다.

(논리적) 피기백킹(Piggybacking)

• 승인 받은 사용자 접속을 통해 시스템 연결을 획득한다.

• 예) 승인 받은 링크를 이용한 가로채기 및 변조

중간자 공격(Man in the Middle)

• 정당한 통신 장치 사이에 끼어 들어 정보를 도청 및 재전송한다.

• 양쪽의 장치 각각에 상대방 장치인 것으로 위장한다.

• 도청한 정보를 재전송하기 전에 정보를 수정하기도 있다.

(7) 악의적 소프트웨어

바이러스(Virus)

• 숙주(Host)에 기생하여 자기 복제를 하며 의존적으로 실행된다.

• 웜과 트로이 목마를 넓은 의미의 바이러스에 포함시키기도 한다.

※ 매크로 바이러스: 데이터 파일의 매크로 함수에 포함된 바이러스

웜(Worm)

• 숙주 없이 독립적으로 자기 복제를 하며 정보 자원을 잠식한다.

• 네트워크를 전제로 하며 자기 증식을 통해 가용성을 침해한다.

트로이 목마(Trojan Horse)

• 스파이웨어/애드웨어라고도 하며 악성 루틴을 포함한다.

• 호스트의 정보를 무단 유출하거나 백도어를 열기도 한다.

• DDOS에 악용되는 좀비 컴퓨터로 만드는 트로이 목마도 있다.

논리 폭탄(Logic Bomb)

• 특정 조건이 갖춰지면 유해한 행위를 하는 악의적 프로그램

• 예) 매년 4월 1일이면 특정 폴더의 파일들을 삭제한다.

• 논리 폭탄을 설치하려면 전문적인 프로그래밍 지식이 필요하다.

(8) 가용성을 제약하는 기법

컴퓨터 셧다운

• 강력한 권한을 가진 관리자의 로그온 ID를 도용하거나 시스템에 과부하를 걸어 컴퓨터 정지를 유발한다.

서비스 거부(Denial of Service)

• 네트워크/시스템이 정당한 서비스 요청에 대응하지 못하게 한다.

• 예) SYN 홍수, ICMP 홍수, 스머프, 눈물 방울 등

• 단일 계층 공격: 공격자가 피해자를 직접 공격함

• 이계층 공격: 증폭(Amplifying, broadcasting) 네트워크를 사용함

분산 서비스 거부(DDOS)

• 공격자와 피해자 사이에 복수의 공격 계층이 개입된다.

• 공격자가 중간책(handler)에 명령을 내리면 중간책은 봇넷에 포함된 좀비들에 명령을 내려 피해자를 집단 공격하게 한다.

※ 좀비: 트로이 목마에 감염되어 피해자를 공격하는 호스트

※ 봇넷(Botnet): 수많은 좀비들로 이루어진 집합체

영구적 서비스 거부(PDOS)

• 펌웨어 업데이트 시 악성 코드를 삽입하여 장비를 마비시킨다.

• 플래싱(Phlashing)이라고도 하며 손실을 복구하기 어렵다.

• 감염된 기기는 사용할 수 없게 되며 공격 루트도 찾기 어렵다.

응용 수준의 홍수 공격

• 허용된 크기 이상의 값을 데이터 필드에 입력하여 응용 오작동을 유발하거나 위해한 기능이 수행되게 한다.

• 버퍼 오버플로 공격(Buffer overflow attack)이 대표적이다.

• 예) 전수 공격, 대역 포화 홍수 공격, 바나나 공격, 펄싱 좀비 등

스팸(Spam)

• 스팸: 다량으로 발송되는 광고성 이메일로서 그 자체로 기밀성이나 무결성을 손상하지는 않는다.

• 이메일 서버의 용량을 소모하므로 가용성과 생산성이 저하된다.

이메일 폭격(Email Bombing)

• 피해자의 이메일 수신함에 오버플로가 발생되게 만든다.

• 이메일을 중복 전송하거나 여러 사이트로부터 수신하게 만든다.

• 이메일 폭격은 스팸과는 달리 그 자체로 악의적인 행위이다.

(9) 시간 차이의 악용

비동기 공격(Asynchronous Attack)

• 다중 처리 환경에서 비동기적 데이터 전송 특성을 이용한 기법

• 예) 전송 버퍼에 임시 저장된 전송 데이터 덤프

경쟁 상태(Race Condition)

• TOC/TOU(Time Of Check / Time Of Use)라고도 한다.

• 다중 처리 환경에서 프로세스의 처리 시점 간 차이를 악용한다.

• 예) 정당한 사용자가 인증을 후 허가를 받기 직전에 끼어 든다.

(10) 패스워드 크랙킹

전수 조사 공격(Brute Force Attack)

• 가능한 모든 조합을 시도하여 패스워드나 복호화 키를 알아 낸다.

• 시간과 자원이 무한하게 주어지면 반드시 성공하는 기법이다.

• 소모적(Exhaustive) 공격이라고도 한다.

사전 공격(Dictionary Attack)

• 사전에 포함된 단어들을 변형하여 입력하거나 사용자들이 패스워드로 사용할 가능성이 높은 조합들을 열거한 목록을 시도해 본다.

• 전수 공격보다 노력이 적게 들지만 성공이 보장되지는 않는다.

레인보우 공격(Rainbow Attack)

• 사전 공격의 변형으로서 미리 계산해 둔 해시 값을 사용한다.

• 레인보우 테이블: 잠재적 패스워드의 해시 값을 저장한 목록

키보드 로거(Keyboard Logger)

• 키보드로 입력하는 정보(패스워드 등)를 외부로 유출한다.

• 소프트웨어(즉, 트로이 목마)일 수도 있고 하드웨어(키보드와 본체 사이에 끼우는 저장 장치)일 수도 있는데 키 로거라고도 부른다.

(11) 변조 공격

프로그램 변조

• 프로그램의 소스 코드를 승인 없이 변조하여 무결성을 손상한다.

• 해시 값의 주기적 비교를 통해 무결성 손상을 탐지해야 한다.

메시지 변조

• 포착한 메시지의 내용이나 순서를 승인 없이 변경한다.

• 사전 및 사후 해시 값의 비교를 통해 무결성 손상을 탐지해야 한다.