#악성코드 #바이러스 #웜 #트로이목마 #백도어 #랜섬웨어 #스캐닝 #스푸핑 #스니핑 #서비스거부공격 #DoS #DDoS #스팸메일 #피싱 #파밍 #스미싱 #에이전트화 #분산화 #자동화 #은닉화 #APT
다양한 사이버 공격
악성코드
악성코드란
- 악의적인 용도로 사용될 수 있는 코드가 심어진 유해 프로그램을 총칭한 것
- 악의적 용도 : 시스템 손상, 전파, 정보유출 등
악성코드의 종류
| 악성코드 | 설명 |
|---|---|
| 바이러스 virus |
- 시스템이나 사용자의 파일에 자신을 복제하고, 증식하거나 시스템을 파괴하는 악성코드 - 주로 감염파일을 실행하거나, 감염 디스크를 통한 부팅으로 전파됨 - 주요 전파 대상 : 파일 및 부트섹터 - 주요 악성 행위 : 데이터 파괴, 네트워크 마비 등 - 일반적 특성 : 자기 복제, 저수준 언어 사용, 다양한 변종, 지능화 및 악성화 |
| 웜 worm |
- 컴퓨터의 취약점을 찾아 네트워크를 통해 스스로 감염되는 악성코드 - 네트워크를 통한 빠른 전파력, 이로 인해 피해 시스템이 기하급수적으로 증가 - 감염대상을 자동으로 검색해 전파된다. - 주요 전파 대상 : 네트워크 전체 - 주요 악성 행위 : 데이터 파괴, 네트워크 마비 |
| 트로이 목마 Trojan Horse |
- 정상적 프로그램으로 가장해, 프로그램 내에 숨어 의도치 않은 기능을 수행하는 악성코드 - 사용자들이 거부감 없이 설치하도록 유도 (전파되지 않음) - 표면적으로 드러나는 기능과 함께 비인가된 기능을 수행함 - 주요 악성 행위 : 개인정보 유출, 감염 대상 원격 조종(제어) 등 |
| 백도어 Backdoor |
- 공격자가 시스템에 침입한 후, 이후에도 쉽게 접근권한을 획득하기 위해 설치한 악성코드 - 시스템 설계자, 관리자에 의해 고의로 남겨진 시스템 보안 허점일 수 있음. - 사용자 인증 등 정상적인 절차를 거치지 않고, 시스템이나 응용 프로그램에 접근할 수 있음 - 기술자나 유지보수 프로그래머가 디버깅 편의를 위해 사용하는 계정이나 응용프로그램이 - 개발완료 후 삭제되지 않은 채 타인에게 발견되거나, 비양심적인 이에 의해 악용시 위험 |
| 스파이웨어 Spyware |
- 다른 사람의 컴퓨터에 설치돼 개인정보를 빼 가는 악성코드 - 전파 방법 : 특정 웹 페이지 접속 / 웹 페이지 관련 소프트웨어를 임의/동의하 설치할 경우 - 초기에는 정보 수집을 위해 제작됨 -> 점차 정보유출 등 악의적인 목적으로 사용 - 주요 악성 행위 : 개인정보 유출 - 악성코드에 감염됐다는 허위 메시지 -> 치료를 유도하는 허위 안티 스파이웨어 존재 |
| 랜섬웨어 Ransomeware |
- 사용자의 중요한 정보를 암호화 하고, 암호를 풀기 위해 비트코인 등을 송금하도록 유도 - 2010년대 중반부터 유행 - 키를 모르면 쉽게 풀 수 없는 안전한 암호 알고리즘을 이용함 |
악성코드의 예방
- 악성코드는 무분별한 인터넷 사용으로 인한 감염이 많다는 점.
- 의심스러운 웹사이트 방문 자제
- 수상한 이메일 확인하지 않기
- 문자나 메신저로 오는 인터넷 주소 함부로 접속 않기
- 이메일, 문자, 메신저로 받은 첨부 파일 함부로 열지 않기
- 보안등급 설정, 불법복제 금지
- 통합보안 프로그램 설치 및 최신 버전 유지, 실시간 감시기능 사용 등
네트워크 공격
| 네트워크 공격 | 설명 |
|---|---|
| 스캐닝 Scanning |
- 순수한 의미의 스캐닝은 네트워크 상태에 대한 점검 기술임 - 공격적인 목적으로 활용하면, 실제적인 공격 전 사전 정보수집 용도로 악용됨 - 목적 : 공격대상 호스트나 네트워크에 대한 취약점을 발견해 내기 위한 도구 - 도구 : Nmap, Acunetix, Pangolin, mscan, sscan 등 - 스캐닝을 막는 뚜렷한 대책은 없음 - 예방 : 시스템 관리자는 미리 자신의 시스템, 네트워크의 보안 취약점 점검 및 조치 |
| 스푸핑 Spoofing |
- 공격자의 제어 하에 있는 호스트를 피해 호스트가 신뢰하는 호스트로 가장함 - 이를 통해 피해 호스트로부터 생성되는(전송되는) 정보를 수집하거나 가로챔 - Spoof : 속이다. 위장하다. - IP 스푸핑 : 공격자 호스트가 보내는 패킷상 IP 주소를 위조해 속이는 것 - DNS 스푸핑 : DNS 정보를 위조해 잘못된 IP 주소로 정보를 전송하도록 함 - web 스푸핑 : 공격자의 웹사이트를 신뢰할 수 있는 사이트로 가장. 이를 통해 거짓 정보를 전달하거나, 개인정보, 비밀번호를 수집 - ARP 스푸핑 : IP 주소에 대해 잘못된 MAC 주소를 전달해 타 호스트로 가장 |
| 스니핑 Sniffing |
- 네트워크 상의 데이터를 도청하는 행위 - Sniff : 코를 킁킁거리며 냄새 맡다. - Passive ~ : 무차별 모드를 이용해 패킷 내의 정보를 조작 없이 단순히 도청 - Active ~ : ARP 스푸핑 이용, 공격대상의 패킷 방향을 조작해 도청하거나 변조 |
| 서비스 거부 공격 Denial of Service |
- DoS; Denial of Service - 특정 서비스나 자원의 가용성을 떨어뜨리는 결과를 초래하는 유형의 공격 - 공격 방식 : 공격 대상에게 대량의 데이터를 전송 / 무수히 많은 네트워크 연결 요청 - 즉, 공격 대상이 서비스 거부(중단)를 일으킬 정도로 자원을 많이 사용하게 유도 - SYN flooding 공격 : 반열림 TCP 연결 생성 -> 서비스 거부 상태로 만드는 공격 |
| 분산 서비스 거부 공격 Distributed - |
- DDoS; Distributed Denial of Service - 여러 대의 공격자를 분산적으로 배치하고, 동시에 DoS 공격을 하는 공격 - (1) 공격을 하는 분산된 여러 호스트를 미리 감염시키고 공격 데몬을 설치해둔다. - (2) 공격자는 D-day 에 감염된 호스트들의 데몬에게 목표에 대한 공격 명령을 내림 - (3) 다수가 동시에 공격 대상에 대한 DoS 공격 수행 |
그 외의 공격
| 공격 | 설명 |
|---|---|
| 스팸메일 Spam Mail |
- 불특정 다수를 대상으로 일방전으로, 대량으로 이메일을 전송 - 목적 : 광고, 홍보, 비방 - 탐지 방법 : DNS 를 이용해 도메인 진위 확인 / 통계적으로 스팸 분류(단어 등) |
| 피싱 Phishing |
- 금융기관 / 공신력 있는 업체를 사칭해 수신자로부터 개인정보, 금융정보를 얻는 것 - 사칭으로 수신자가 자신을 믿게 하고, 정보를 얻어 내 범죄수단으로 악용한다. - 피싱 사이트 : 금융기관, 공공기관 사이트처럼 만들어 낚음 - 예방 : 이메일 내부에 존재하는 하이퍼링크 불허 |
| 파밍 Pharming |
- 사용자 PC의 도메인 정보를 조작 - 이를 통해 사용자가 아무리 URL 주소를 주의 깊게 살펴봐도 속게 됨 - 쉽게 말해, 사용자가 정확한 주소를 입력해도 가짜 웹 페이지에 접속하게 함 |
| 그 외 | - 파밍, 보이스 피싱(음성전화), 스미싱(문자) 등 다양한 형태 |
최근의 사이버 공격
최근의 사이버 공격 성향
- 최근의 공격은 에이전트화, 분산화, 자동화, 은닉화
- 이들은 상호 보완적으로 발전함
에이전트화
- 원격으로 조종 가능한 에이전트형 백도어를 설치해, 이를 이용해 다른 시스템을 공격
- 공격자가 매번 자신의 흔적을 지우는 번거로움 없음
- 많은 시스템을 이용하는 분산공격시에 매우 효과적
분산화
- 많은 시스템에서 단일 또는 다수의 시스템을 공격하는 방법
- 에이전트화된 공격도구를 이용하여 공격자의 위치를 감추거나 빠르게 정보를 수집하기도 함
자동화
- 여러 가지 공격 도구를 자동화함
- 이를 통해 분산 네트워크 공격이 가능케 함
은닉화
- 공격자 간 통신을 암호화 하거나 터널링 기법으로 탐지가 어렵게 함
- 이를 통해 공격자의 위치를 은닉시켜 탐지를 어렴게 함
APT
- Advanced Persistent Threat; 지능형 지속공격
- 다양한 공격기술을 이용, 은밀하고 지속적으로 공격하는 행위를 뜻한다.
- 공격을 위한 준비 기간과 공격 기간이 몇 달, 몇 년이 될 정도로 상당히 오랜 시간에 걸쳐 공격 시도
- 탐지되지 않게 최대한 은밀하게 진행
- 특징 : 목적성, 지속성, 은밀성
Comments