1 / 24

Hacking

Hacking. 20062527 임재윤 20062411 박성호 20062400 성연수. 목차. 해킹에 대한 정의와 의미 ---------------------------------------------3p 해킹의 역사 -------------------------------------------------------- 4p~7p 해커의 분류 -------------------------------------------------------------- 8p

neylan
Download Presentation

Hacking

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Hacking 20062527 임재윤 20062411 박성호 20062400 성연수

  2. 목차 • 해킹에 대한 정의와 의미---------------------------------------------3p • 해킹의 역사-------------------------------------------------------- 4p~7p • 해커의 분류--------------------------------------------------------------8p • 해커의 해킹과정-------------------------------------------------9p~11p • 해킹의 대표사례------------------------------------------------12p~14p • 대표악성프로그램-----------------------------------------------15~16p • 해킹을 의심해야 하는 경우----------------------------------------17p • 해킹의 대응방안------------------------------------------------18p~21p • 해킹에 대한 보안 시스템 ------------------------------------22p~23p

  3. 해킹에 대한 정의와 의미 • 해킹(hacking)은 전자 회로나 컴퓨터의 하드웨어, 소프트웨어, 네트워크, 웹사이트 등 각종 정보 체계가 본래의 설계자나 관리자, 운영자가 의도하지 않은 동작을 일으키도록 하거나 체계 내에서 주어진 권한 이상으로 정보를 열람, 복제, 변경 가능하게 하는 행위를 광범위하게 이르는 말이다. • 선악의 의미 : 해킹이라는 말 자체는 가치중립적으로서 선악의 개념이 포함되어 있지는 않으나 개인정보 침해 사고나 불법 소프트웨어 개조 등 범법 행위를 언급할 때 곧잘 등장하므로 많은 사람들이 해킹이라는 말의 부정적인 의미에 주목한다. 반면 해킹은 각종 정보 체계의 보안 취약점을 미리 알아내고 보완하는 데에 필요한 행위이기도 하다. 때문에 이러한 직업에 종사하는 컴퓨터 전문가 중 일부는 자신들을 해커라고 부르며 해킹이라는 낱말을 선(善)을 내포한 의미로, 반대로 크래킹이라는 낱말을 악(惡)을 내포한 의미로 사용해야 한다고 주장하기도 한다. • 현재 해킹 또는 해커라는 말은 선악에 관계 없이 모든 상황에서 광범위하게 쓰이며 특별히 해킹을 하는 자의 의도를 구분하고자 하는 경우 합법적이며 양성적인 해커를 화이트햇 해커로, 불법적이며 음성적인 해커를 블랙햇 해커 또는 크래커로, 양쪽 모두 혹은 그 중간적인 성격을 띠는 해커를 그레이햇 해커로 부른다.

  4. 해킹의 역사(1) * 1960년대: 해킹의 태동 • MIT 대학의 모형 기차 제작 동아리에서 첫 해커가 등장하였다. 그들은 컴퓨터를 광적으로 좋아했고 그들의 이상을 컴퓨터에 걸었다. 밤낮으로 컴퓨터에 매달려 새로운 프로그램을 만들고 토론하며 창조와 정의를 부르짖었다. • * 1970년대: 전화 조작(phone phreaking)과 캡틴 크런치 존 드래퍼는1971년 월남전 참전 중에 군용식량 꾸러미에 들은 캡틴 크런치라는 시리얼 음식에서 나온 장난감 호루라기를 불면 2600 MHz의 주파수가 발생하고, 전화기에 이용하면 무료통화도 가능하다는 사실을 발견했다. 그는 전화 조작의 시조가 된 전설적 인물로서 전화기를 개조한 혐의로 여러번 체포되었다. 이후 잡지 에스콰이어에서파란 상자(blue box)의 비밀이라는 이름으로 그 제작법이 공개되면서 미국 내 전화망 침입이 증가했다. 이중에는 대학생이었던 애플의 설립자 스티브워즈니악과스티브잡스도 있었다. • * 1980년: 해커 게시판과 해킹 그룹 • 전화 조작에서 컴퓨터 해킹으로 이전이 시작됐다. 최초의 전자 게시판(BBS)도 만들어졌다. Sherwood Forest와 Catch-22와 같은 선도적 유즈넷 뉴스그룹과 이메일, 게시판 등에서 탈취한 컴퓨터 암호 및 신용카드 번호를 공유하면서 주목을 받았다. 미국에는 Legion of Doom, 독일에서는 Chaos Computer Club와 같은 해킹 그룹이 형성되기 시작했다.

  5. 해킹의 역사(2) * 1981년: 퍼스널 컴퓨터의 등장 IBM은 CPU, 소프트웨어, 메모리, 스토리지, 운영체제가 장착되어 독립적으로 작동할 수 있는 퍼스널 컴퓨터를 개발했다. 이후 전화해킹에서 컴퓨터 해킹으로 급속한 이전이 시작되었다. * 1983년: 414 gang 영화 War Games을 통해 일반인들에게 해커는 어떤 컴퓨터 시스템에든 침입할 수 있는 사람이라는 메시지가 전해졌다. 같은 해 FBI는 밀워키의 지역번호를 따서 이름 붙인 ‘414 gang’이란 해커그룹의 10대 6명을 60대의 컴퓨터(이중에는 노스 알라모스 핵실험소 컴퓨터도 포함)에 침입한 죄로 체포했다. * 1984년: 해커 잡지 온라인 잡지 “Phrack”에 이어 1년 후 해커 잡지인 “2600”이 정기 출판됐다. 이 잡지는 예비 해커들과 전화 조작자들에게 최신의 해킹 주제를 전했다. “2600”은 현재까지 대형 소매 서점에서 판매되고 있다. * 1986년: 해킹에 대한 처벌 강화 정부, 기업 컴퓨터에 대한 침입이 증가하자 의회는 컴퓨터 사기 및 남용에 관한 처벌 법규를 통과시켜서 해킹을 범죄로 규정했다. 그러나 청소년은 처벌에서 제외됐다.

  6. 해킹의 역사(3) * 1988년: 모리스웜 국가안보위원회 핵심 과학자의 아들인 코넬 대학교 대학원생 로버트모리스는 인터넷의 효가 되는 ARPA넷을 통해 자기 복제 웜을 구동시켰다. 그는 네트워크로 연결된 6,000여 대의 컴퓨터를 감염시켜 정부 및 대학교 시스템을 마비시켰다. 그에게 집행유예 3년, 벌금 일만 달러가 부과됐다. 이를 계기로 미국방부는 1988년 11월 카네기 멜론 대학교에 컴퓨터 비상 대응팀(CERT)을 설립했다. * 1989년: 독일과 KGB 첫 사이버 첩보 사건이 국제적 관심사로 떠올랐다. Chaos Computer Club에 관련된 서독의 해커들이 미국 정부 및 기업 컴퓨터에 침입해서 운영체제 소스 코드를 KGB에 판매한 혐의로 체포되었다. * 1990년: 썬데블 작전(sundevil operation) 비밀 첩보 기관이 미국 14개 도시에서 해커들을 체포했다. 이들은 신용카드 절도 및 전화망 침입 등의 명목으로 체포됐다. * 1994년: 해킹 도구 개발 인터넷 브라우저 넷스케이프가 개발되고 웹 정보 접근이 가능해졌다. 해커들은 자신들의 노하우와 프로그램들을 과거의 BBS에서 웹 사이트로 옮겨놓았다. 다양한 해킹 정보와 사용이 편리한 해킹 도구들이 웹을 통해 본격적으로 공개되기 시작했다. 일부 사용자들은 패스워드 스니퍼같은 툴을 사용해 사적인 정보를 캐기도 하고 은행 컴퓨터 내의 계좌 정보를 변조했다. 언론은 이들을 해커라 불렀고, ‘해커’란, 더 이상 순수한 목적으로 시스템의 내부를 연구하는 컴퓨터광을 지칭하는 용어로 쓰이지 않게 되었다.

  7. 해킹의 역사(4) * 1995년: 케빈미트닉 사건 FBI는 20,000개의 신용카드 번호를 훔친 혐의로 케빈미트닉을 다시 체포했고, 그는 영웅의 반열에 올랐다. 그는 4년 간의 감금 후 받은 재판에서 수감 대기기간보다 더 짧은 징역형을 받았다. 러시아 해커갱단이 시티은행의 컴퓨터를 침입해 천만달러를 인출해 전세계 은행으로 이체시켰다. 미국 법무부, 공군, CIA, NASA를 포함한 미국정부의 웹사이트를 크래킹해 엉뚱한 내용으로 바꾸는 웹페이지 크래킹이 시작되었다. 이들은 마이크로소프트 NT 운영체제 시스템의 취약점을 집중적으로 공격했다. * 1999년: 보안산업의 확대 윈도우 98 발매로 1999년은 보안과 해킹의 한 해가 됐다. 윈도우즈 및 기타 상용 프로그램상에서 새롭게 발견되는 수많은 버그들에 대한 패치 프로그램이 발표되고, 보안 회사들은 다양한 해킹 방지 프로그램을 발매했다. * 2000년: ‘서비스 거부(denial-of-service)’ 공격 Yahoo, eBay, Amazon 등에 대한 대규모 '서비스 거부' 공격이 감행되었다. 파키스탄 및 중동 해커들은 카쉬미르와 팔레스타인에 대한 억압에 항의, 이스라엘과 인도 정부에 소속된 웹 사이트들을 공격했다. 또한 그들은 마이크로소프트사의 네트워크에 침입해서 윈도우와 오피스 소스코드를 해킹했다. * 2001년: DNS 공격 마이크로소프트가 DNS 서버를 공격하는 새로운 해킹 기법의 최대 피해자가 되었다. 이는 서비스 거부 공격의 일종으로 마이크로소프트 홈페이지로 통하는 DNS 경로를 마비시켰다. 공격은 수 시간에 그쳤지만, 수백만의 접속자들이이틀동안 마이크로소프트 홈페이지에 접속하지 못했다.

  8. 해커의 분류 • 엘리트(Elite)해커 : 해커로서 최고의 경지에 이른 사람. 기술적 지식으로는 대부분 운영체제에 대한 깊은 지식과 네트워킹에 대한 해박한 지식 그리고 프로그래밍 실력을 겸비하고 있어 활동 범위에 한계가 거의 없다. 이들은 자신의 기술적 능력과 지적 호기심을 채우기 위해 다른 시스템을 공격하기도 한다. 하지만 많은 경험과 기술을 갖고 있으며 자신만의 올바른 규범을 갖고 있기 때문에 절대 다른 시스템에 피해를 주지 않으며 흔적 또한 거의 남기지 않는다. 한 세대에 단지 몇 명만이 엘리트 해커로 인정받는다. • 세미 엘리트(Semi Elite) : 시스템 및 네트워크에 대한 깊은 지식을 갖고 있다. 이들은 시스템의 취약점을 잘 알고 있으며 공격 코드를 이해하여 이를 변경하여 사용할수 있는 정도의 수준이다. 언론에 나오는 큰 사고들은 주로 이들이 자신의 실력을 인정받기 위해 벌이는 경우가 많다. • 스크립트 키디(Script Kidkie) : 보통 학겨에 다니는 나이 정도며 공격과 관련괸 시술 문서를 이해하고 공격 코드를 잘 사용하는 정도의 수준이다. • 시스템과 네트워크에 대한 평범한 수준의 지식을 갖추고 있으나 취약성에 대해서 정확히 이해하지는 못한다. 단지 공개된 공격 코드를 이용해서 인터넷 상의 취약한 시스템을 찾아 공격을 시대해 보고 시스템에 침입한다. 대부분의 사이트에서 발견되는 해킹사고는 주로 이들의 소행이다. • 레이머(Lamer) : 시스템 및 네트워킹에 대한 지식이 거의 없으며 해커에 대한 환상만을 갖고 있는 부류이다. 단순히 컴퓨터를 사용할 줄 아는 수준이며 윈도우용 GUI 트로이목마 프로그램을 이용하고 GUI 서비스거부 공격 프로그램을 이용하여 DoS공격을 하기도 한다.

  9. 해커의 해킹 과정 • 해킹에 앞서서 대상이 되는 시스템에 대한 정보 수집은 공격의 첫 번째 단계로, 공격 대상 네트워크에 대한 정보를 파악하는 것이다. • 주로 네트워크 구성, 시스템 운영체제의 종류 및 버전, 네트워크 장비의 종류, 그리고 WWW, FTP 등 공격 대상 네트워크가 제공하는 서비스와 그 버전에 대한 정보를 수집한다. • 정보수집 방법은 스캔 공격도구를 이용하는 것에서부터, 다양한 네트워크 서버가 제공하는 정보를 수집하는 방법에 이르기까지 상당히 다양하며, 침입차단시스템을 무력화 할 수 있는 방법도 존재한다. • 공격 대상 네트워크에 어떤 시스템이 있는지를 파악하기 위하여 간단하게 Ping과 같은 단순한 점검 도구부터 DNS 서버 조회 및 각종 네트워크 스캐너 및 취약점 분석 도구들을 이용한다. 최근의 공개 보안 도구들은 보안 툴이기도 하면서 다른 측면으로 공격에 이용될 수 있는 수단이기 때문에 보안 도구들에 대한 자체점검 또는 정기점검이 필수적으로 필요하다. • 공개된 보안 도구들은 시스템 및 네트워크에 대한 점검을 수행하여 문제가 있는 서비스를 찾아내 주며, 망 전체의 여러 시스템에 대해 동시 적용이 가능하게 되어 있다. 이를 통해서 얻을 수 있는 정보는 망에 있는 시스템의 종류와 그 시스템들이 외부에 서비스하고 있는 서비스 종류, 그리고 문제있는 서비스와 그 문제점에 대한 설명들을 제공한다.

  10. 해커의 해킹 과정(정보수집) • 좀더 세밀한 해킹을 위하여 해당 시스템의 OS 버전에 대한 정보수집을 한다. • OS 버전을 탐지하는 기술은 IP stack fingerprinting이다. 시스템에 따라 IP stack의 구현이 조금씩 다르기 때문에 특정 패킷을 만들어 보내서 그 응답의 형태에 따라 시스템의 특성을 구별할 수 있다. • 이의 대표적인 도구로는 queso, nmap등이 공개되어 있고, 이를 이용해서 다른 여러 가지 스캐닝도 가능하다. 네트워크의 구성은 hop count라는 네트워크 거리를 나타내는 IP 패킷의 내용을 이용해서 조사한다. • 일반적으로 라우터와 같은 장비나 게이트웨이를 지날 때마다 이 hop count가 감소하게 되는데 이 차이를 이용해서 네트워크에 새로운 뭔가가 있다는 것을 알 수 있다. 방화벽에 대한 규칙을 알아내는 방법도 존재하는데, 여러 가지 출발지를 가지는 패킷을 보내봄으로써 방화벽이 어떤 패킷에 대하여 통과를 시키는지를 알 수 있다. DNS, SNMP, Sendmail, NetBIOS 등 일반 네트워크 서버가 제공하는 정보를 수집하여 공격에 유용하게 사용할 수 있다. • DNS의 경우 zone transfer 또는 일반적인 query를 이용하여 등록된 호스트의 정보를 알 수 있으며, 잘못 설정된 SNMP는 네트워크의 구성 및 각종 네트워크 정보를 알려준다. 또한 라우터를 통하여 중요한 정보를 알아낼 수 있는 방법도 존재한다.

  11. 해커의 해킹 과정(시스템 침입시도) • 다음으로는 시스템침입을 시도하는 단계로 정보 수집에서 수집한 정보를 바탕으로 가장 취약한 부분을 공격하게 된다. • 일반적으로 버그가 있는 네트워크 서버를 공격하게 되는데 가장 많이 이용되는 것은 버퍼 오버플로우라는 방식이다. 그외에 서버의 설정 오류를 이용하는 방법도 있으며, 파일만을 빼올 수 있는 취약점이 있으면 패스워드를 빼내와서 crack을 거쳐 패스워드를 해독한다. 시스템침입이 성공하고 나면 공격자는 시스템침입흔적을 제거하게 된다. • 또한 정보수집단계로 인하여 남은 흔적도 제거한다. 또한 일반 계정으로 침입한 경우에는 충분한 권한(유닉스의 경우 root 권한)을 갖기 위하여 로컬 시스템의 취약점을 공격하게 되는데, 대부분의 시스템은 이러한 취약점을 가지고 있다. • 또한 재침입을 위하여 비인가된 접근을 제공해주는 백도어나 트로이 목마를 설치하게 되는데 이러한 백도어는 데몬 서비스 형태, 또는 서비스의 비정상적인 설정 등을 이용하여 특정 포트를 열어놓게 된다. • 공격자는 시스템침입에 성공한 시스템을 이용하여 다른 시스템 공격을 위해서 스니퍼를 설치하여 네트워크상의 Telnet, POP, FTP 등에 대한 트래픽을 감시하며, 사용자 이름과 패스워드를 수집한다. 이외에도 침입한 시스템과 연관된 시스템, 데이터베이스 등에 접근을 시도하여 정보를 찾게 된다. • 한번 침입해 백도어나 트로이 목마가 설치된 시스템은 이를 이용해 다른 곳을 공격하기 위한 거점으로 쓰이기도 한다. 보통 공격의 흔적이 남더라도 이런 거점을 여러 군데 거쳐서 들어오는 경우가 많아서 역추적을 매우 힘들게 만든다.

  12. 대표적인 해킹 사례 • 국내외적으로 인터넷을 이용한 해킹 범죄는 허다하게 발생하고 있다. • 미국 FBI 컴퓨터 범죄반의 분석에 의하면 전체 발생하는 컴퓨터 시스템침입범죄 가운데 85% 내지 97%는 침입사실이 적발되지 않고 있다고 추정하고 있다. 미국 국방성의 주관 하에 실시한 침입실험의 통계는 매우 놀라웠다. 총 8,932개의 시스템에 침입 시도를 하였던 이 실험에서 침입을 시도했던 컴퓨터 가운데 7,860개의 시스템에 매우 성공적으로 침입이 되었고 이 침입된 7,860개의 시스템 가운데 단지 390개의 시스템에서만 침입을 발견하였다. • 그 중에서도 상부에 침입당한 사실이 보고 된 사례는 19개에 지나지 않았다고 한다. 그 이유는 거의 대부분 컴퓨터가 침입되었다는 사실을 인정하게 될 때 그들이 고용자나 주주, 또는 고객들로부터 신용을 잃을 것을 매우 겁내고 있기 때문일 것이다. 인터넷 해킹사건 중 가장 유명한 사건은 뻐꾸기의 알(The Cuckoo's Egg)이라는 사건이다. • 이 사건은 1988년 독일 하노버에 사는 대학생 5명이 브레멘 대학교의 인터넷 계정을 이용하여 대서양 건너 미국의 어느 방위산업체 전산망에 침투한 다음 군사비밀에 해당하는 각종정보를 입수하여 소련 KGB에 넘겨주고 그 대가로 코카인 등 마약을 받아왔던 것이다. 1년 반 이상 은밀하게 진행되던 이 해킹범행은 침투당한 방위산업체에 근무하는 클리프스톨(Cliff Stoll)이라는 한 천문학자의 집요한 추적으로 적발되고 말았다. 한편, 이 사건으로 미국 군사정보망의 주축을 이루고 있는 ARPANET, MILNET과 그에 연결된 수많은 단말기의 보안체계에 엄청난 구멍이 뚫려 있다는 사실이 적나라하게 노출되었다. • 같은 해 11월에는 인터넷상에 자기복제기능을 가진 벌레(Worm)프로그램이 침투해서 큰 피해를 입힌 적이 있다. 이 벌레프로그램은 15시간동안 인터넷에 연결된 미국 전역의 2,000여대의 컴퓨터에 전파되어 컴퓨터의 속도를 저하시키거나 아예 시스템이 동작되지 않도록 하였다.

  13. 국내의 대표적인 해킹사례 • 국내에서도 인터넷상의 해킹범죄는 강 건너 불이 더 이상 아니다. • 1993년 발생한 청와대사칭 컴퓨터통신 사기사건은 컴퓨터통신을 이용한 범죄확산의 예고편이었다고 할 수 있다. 당시 대입재수생이던 범인은 평소 언론보도를 통해 금융기관 고객들이 소액잔고를 남겨둔 채 오랫동안 거래하지 않고 있는 이른바 「휴면계좌」 총액이 7백억-8백억 원에 이른다는 것을 알고 금융기관의 전산망자료를 빼내 모든 휴면계좌를 한 계좌로 모으는 프로그램을 개발, 돈을 불법 인출할 것을 기도하였다. • 데이콤 천리안의 청와대 비밀번호를 파악해 이의 변경을 요청한 다음, 농협 등 12개 금융기관으로부터 「전산망의 운영현황과 구조, 일반전화선과의 연결방법 등 전산정보망 자료를 제출해 달라」는 요구를 했다가 수상하게 느낀 전산담당자의 신고로 추적·검거된 것이다. • 이 사건은 사기업체나 공공기관이 권력에 약하다는 속성을 이용해 청와대를 사칭하는 고전적 수법과 컴퓨터 통신망에 침입해 정보를 빼내려는 첨단 수법을 혼합한 컴퓨터범죄였다고 할 수 있다. • 또, KAIST 대학원생들의 부도덕한 해킹행위는 우리 사회에 큰 충격을 주었다. 그들은 전산망 보안사고 및 해킹방지 기법연구를 표방하는 동아리 핵심멤버들임에도 불구하고 포항공대 등 타 대학 전산시스템에 몰래 침투하여 귀중한 연구 자료까지 멸실시키는 범죄를 저질렀다. 한국 최고의 해킹기술 보유자 그룹으로서 국내 최고수준의 해킹기술을 이용하여 접속근거 파일 등 범행흔적을 철저히 지워 추적하기 어렵도록 가능한 조치를 다해 놓았기 때문에 수사기관의 실제 적발에 이르기까지는 많은 어려움이 있었다. 이처럼 인터넷이나 정보통신망을 이용한 컴퓨터범죄가 심각해짐에 따라서 전산보안에 대한 관심도 날로 증가하고 있다.

  14. 네이트 해킹 사례 • 네이트 개인정보 유출 사건은 해킹으로 인해 2011년 7월 26일에 네이트의 데이터베이스에 저장된 가입자 3500만 명의 아이디, 비밀번호, 이름, 주민등록번호, 연락처 등의 개인정보가 유출된 사건이다. • 전문가들은 IP 주소로 미뤄보아 중국발 해킹으로 추정되며, 돈을 노린 해커가 SK커뮤니케이션즈 내부 개발자 PC를 해킹해 벌어진 사고라고 관측하고 있다.[ 네이트를 운영하는 SK커뮤니케이션즈 측에서는 사고 발생 이틀만에야 해킹 사실을 파악하였다. • 보안 결함 SK커뮤니케이션즈 측에서는 유출된 정보 중 비밀번호와 주민등록번호는 암호화가 되어 있어 유출되도 안전하다는 입장이다. 하지만, 네이트와싸이월드에 사용된 암호화 알고리즘은 심각한 보안 결함으로 인해 미국에서는 사용 금지를 권고한 MD5 해시 알고리즘을 사용한것으로 밝혀졌으며, 심지어 한 언론에서는 암호화 해독 프로그램을 이용해 6자리 이하 암호를 단 3초내에 해독을 시연해 파문이 확산되고 있다. 그러나, SK커뮤니케이션즈 측에서는 네이트와싸이월드에 적용된 암호화 알고리즘은 일부 언론에서 보도한 방식과는 다르다며, "암호화된 비밀번호는 풀릴수 없다"고 이를 해명했다.

  15. 악성 프로그램 • 악성 프로그램이란 제작자가 의도적으로 다른 정보통신 이용자에게 피해를 주고자하는 악의적 목적으로 만든 프로그램 및 실행 가능한 코드를 의미한다. e-메일, 메신저, 문서의 매크로 기능을 이용하여 악성 프로그램을 유포시키고 공격에 이용한다. • 주요 악성 프로그램 • 인터넷 웜(Internet Worm) • 인터넷 웜은 네트워크를 통해 자기 자신을 복제(self-replication)하고 스스로 전파 또는 공격 할수 있는 독릭된 프로그램이다. 즉 완전 자동화 된 공격 프로그램으로 인터넷상의 모든 취약한 시스템을 매우 짦은 시간에 공격할 수도 있는 위협적인 프로그램이다. • 컴퓨터 바이러스 • 컴퓨터 바이러스는 자기 자신을 다른 실행 가능한 프로그램에 복제하거나 덧붙일 수 있는 실행 가능한 프로그램이다. 감염된 프로그램은 다시 바이러스의 기능을 수행하여 피해 확산을 촉진시킨다. 주로 컴퓨터 시스템이나 네트워크를 통해 감염된다. • 트로이목마 • 정상적인 프로그램처럼 보이지만 실제로 악의적 기능을 갖는 프로그램으로 스스로 확산되거나 복제하는 기능은 없다. 주로 불법소프트웨어의 사용, 웹 서핑, e-메일 첨부 파일, 공격자가 시스템에 침입하여 직접 설치하는 경로 등을 통해 시스템에 설치된다. • 트로이 목마는 패킷 릴레이 기능, 정보 유출 기능,원격 조정 기능, 공격 기능 등 매우 다양한 기능을 제공한다.

  16. 화면 해킹 얼마전있었던 국정감사에서 김태원 의원이 정부와 국내주요은행 홈폐이지 해킹을 시연 화면해킹은 해커가 사용자의 화면을 직접보며 사용자의 정보를 확인하는 방법 중국 인터넷을 이용하면 단돈 몇만원으로해킹툴을 손쉽게 구입할수있다고함. 해킹 시연사실을 해당기관에 공지하였으니 경계를 더욱 하고 있을거라는 것을 전제로 시연을 행하였고 단 몇분만에 행정부 홈폐이지를 해킹하였고 사용자의 개인정보를 얻을수 있었다. 공인 인증서 역시 마찬 가지였다 민원24 홈폐이지를 들어가 공인인증서가 없어도접속만으로 공인인증서가 그대로 복사되기 떄문에 이를 통해 접속자의 주민등록증도 받을수 있다고 한다.

  17. 해킹을 의심해야 하는 경우 • 다음 징후가 나타난다면 한번쯤 해킹사고가 아닌지 의심하고 조사해 볼 필요성이 있다. • 침입탐지시스템의 경고 또는 로그 • 백신에 의한 악성 프로그램 탐지 • 침입차단시스템에서의 비정상적인 로그 패턴 • 알지 못하는 새로운 계정 생성 • 반복적인 로그인 실패 로그 • 알지 못하는 새로운 파일의 생성 또는 파일 이름의 생성 • 시스템 실행 파일의 비정상적인 크기 변화 또는 생성 시간의 변화 • 시스템 설정 파일의 비정상적인 내용 변화 • 비정상적인 데이터의 변경 또는 삭제 • 로그인 불능 현상 • 시스템 또는 프로세서의 정지 • 시스템 또는 네트워크의 심각한 성능 저하 • 네트워크 트래픽캡쳐를 위한 스니퍼등 허가되지 않은 프로그램의 실행 • 반복전인 접근 시도 • 비정상적인 시스템 사용 및 네트워크 활동 시간

  18. 해킹의 대응방안(암호화 1) • 넓은 의미에서의 암호학(cryptology)은 평문(plain text)을 보호하기 위한 암호화 알고리즘을 연구하는 암호학(cryptography)과 평문을 해독하기 위하여 암호화 과정과 암호문(cipher text)을 연구하는 암호해독학(cryptoanalysis)으로 구분된다. • 암호화되지 않은 상태의 평문을 암호문으로 만드는 암호화 과정(encryption, encoding), 역으로 암호문을 평문으로 변화시키는 복호화 과정(decryption, decoding), 암호화와 복호화 과정에서 사용되는 암호화 키(cryptographic key)와 키 관리 등 정보보호를 위한 일련의 프로세스를 암호 시스템이라고 한다. 암호 시스템은 전통적으로 세 가지 독립된 영역으로 구분된다. • (1) 평문을 암호문으로 변환하기 위한 연산자의 유형: 모든 알고리즘은 두 가지의 일반 적인 원리에 기초를 둔다. 치환(substitution)을 통해 평문의 각 원소(비트, 문자, 비트군, 또는 문자 군)를 다른 원소에 사상시키고, 전치(transposition)를 통해 평문의 원소들을 재배열시켜 근본적인 요구조건은 정보 손실을 없애는 것이다. 즉, 모든 연산은 역전될 수 있어야 한다. 대부분의 혼합 시스템들은 다단계의 치환과 전위를 수반한다. • (2) 사용된 키의 수: 송수신자 양측이 같은 키를 사용하는 시스템을 대칭(symmetric), 단일키(single-key), 비밀키(secret-key), 또는 관용 암호 방식이라고 하며, 송수신자가 각각 다른 키를 사용하는 시스템을 비대칭(asymmetric), 이중키(two-key), 또는 공개키 (public-key)암호 방식이라고 한다. • (하는 서비스 • ○ 무결성(integrity): 데이터가 전송 도중 또는 DB에 저장되어 있는 동안 악의의 목적으로 위조 또는 변조되는 것을 방지하는 서비스 • ○ 인증(authentication): 송수신자가 상대방의 신원을 확인, 식별하는 서비스

  19. 해킹의 대응방안(암호화 2) • (3) 평문 처리 방법: 블럭 암호화 (block cipher)는 입력을 한번에 하나의 원소 블럭씩 처리하여 각 입력 블럭을 생성한다. 스트림 암호화는 입력을 연속적으로 처리하여 입력이 주어지는 데로 출력을 생성한다. • 평문을M, 암호문을 C, 암호화 과정은 함수 E로 간주하여 E(M)=C로 표시한다. 또한 복호화 과정은 함수 D(C)=M으로 표시한다. 암호화 키는 일반적으로 K로 표시하며, 키의 가능한 값의 범위를 키 공간(key space)이라고 한다. 여기서 Ke는 암호화에 필요한 키이며, Kd는 복호화에 필요한 키이다. 키를 고려하는 암호화 및 복호화 과정은 각각 다음의 함수로 표현할 수 있다. Ke(M) = C , Kd(C) = M • 암호 시스템은 일반적으로 다음과 같은 세 가지의 요건을 충족시켜야 한다. • 암호화 키에 의하여 암호화 및 복호화가 효과적으로 이루어져야 한다. 암호 시스템은 사용이 용이하여야 한다. 암호화 알고리즘 자체보다는 암호 키에 의한 보안이 이루어져야 한다. • 초기의 암호기술은 데이터의 기밀성을 보장하는 수단으로 사용되어 발전되어 왔으나, 최근 인터넷과 같은 공중망을 통한 전자거래가 활성화됨에 따라 상대방의 신원 확인, 데이터의 무결성 보장, 전자거래에 대한 분쟁소지를 없앨 수 있는 서비스에 대한 요구에 암호기술의 적용이 활발히 이루어지고 있다. 각 서비스에 대한 간단한 설명은 다음과 같다. • ○ 기밀성(confidentiality): 비인가자가 부당한 방법으로 정보를 입수한 경우에도 정보의 내용을 알 수 없도록 하는 서비스 • ○ 무결성(integrity): 데이터가 전송 도중 또는 DB에 저장되어 있는 동안 악의의 목적으로 위조 또는 변조되는 것을 방지하는 서비스 • ○ 인증(authentication): 송수신자가 상대방의 신원을 확인, 식별하는 서비스

  20. 해킹의 대응방안(방화벽) 방화벽(Firewall)은 원래 소방 용어로써 건물에서 화재가 발생했을 때 화재의 확산을 막기 위해 설치하는 문을 일컫는 말이다. 이런 개념을 인터넷에 적용해서 침입자가 내부로 들어와서 시스템을 망치지 못하도록 하는 문(gate)의 의미를 가지게 된 것이다. 인터넷에서의 사용되는 방화벽의 일반적인 정의는 다음과 같다. • 방화벽 시스템은 '외부 네트웍의 침입으로부터 내부 네트웍을 보호하기 위한 시스템'으로 외부의 침입을 차단하기 때문에 침입 차단 시스템이라고 부르기도 한다. • 물리적인 의미로는 라우터나패킷필터링(Packet Filtering), 프록시(Proxy) 소프트웨어가 수행 중인 독립 시스템 또는 전용 하드웨어를 뜻한다. 방화벽은 내부로 들어올 수 있는 유일한 지점을 의미하므로 초크 포인트(choke point)라 불리기도 한다. 연결요구를 받으면 방화벽은 그 요구를 확인한 후에 승인된 호스트로부터의 요구만을 처리하고 아닌 경우에는 무시한다. 방화벽은 비교적 큰 네트워크를 배경으로 한다. • 실제로 소규모의 네트워크에서는 연결된 모든 호스트 시스템의 보안 장치가 네트워크의 보안을 분담할 수 있다. 그러나 네트워크가 커지면 보안통제가 어려워지며 잘못된 구성과 부적절한 패스워드 등이 원인이 되어 네트워크 보안이 허물어지게 되는 경우가 많다. 따라서 부적절한 사용자의 네트워크 접근 자체를 통제하는 방화벽이 필요하게 된다. 결국 방화벽은 네트워크 규모가 커지고 외부망과의 접속이 빈번한 인터넷 시대가 발전할수록 중요성이 더해가는 보안 시스템이라 하겠다.

  21. 해킹의 대응방안(방화벽) • 방화벽은 크게 나누어 5가지 방식으로 나눌 수 있으나 웹기반의 네트워크가 보편화되면서 관리가 용이하고 내부에서 외부로의 트래픽 감시에 적합하기 때문에 C/S 환경에 쓰였던 Circuit 방식은 거의 쓰이지 않고 있다. • 또한 최근 각광받고 있는 Stateful Inspection 방식은 패킷필터링에 이어 인스펙션 엔진이 각종 어플리케이션의 보안 정보를 추출해냄으로써 접근 제어 결정을 내리므로 높은 보안성을 가지고 있으나 상당한 수준의 기술력을 요하며 비용이 비싸다. • 현재 주로 사용되고 있는 방식은 패킷필터링과 어플리케이션 방식, 그리고 양자의 단점을 보완한 하이브리드 방식이다. • 방화벽 시스템은 네트워크 접속 정책을 수행하고 강화하는 도구로 사용한다. 그 결과 방화벽 시스템은 사용자나 서비스에 대한 접근 통제기능을 제공한다. • 따라서 접근 통제 정책은 방화벽 시스템에 의해 강화되어지고 있는데 반하여 방화벽 시스템이 설치되어 있지 않은 경우에는 완전히 사용자간의 협력에 의존하게 된다. 방화벽 시스템의 설계, 설치 그리고 사용에 직접적으로 영향을 주는 망 보안정책은 두 가지 등급으로 분류한다. • 상위 등급의 정책은 내부 망에서 제공되는 서비스의 허용 여부를 정의하는 망접속 정책이며, 낮은 등급의 정책은 방화벽 시스템이 실제적으로 어떻게 접속을 제한하고 정책에서 정의된 서비스를 필터링하는 가이다.

  22. 해킹에 대비한 보안시스템 1. 네트워크 장비 및 설비 보안 • 네트워크 장비 및 설비에 대한 물리적인 보안은 네트워크 보안의 필수요소이다. 네트워크는 컴퓨터, 파일서버, 게이트웨이, 브릿지, 네트워크 통제 센터 및 집중기 등과 같은 전산장비의 끊임없는 연결이다. 따라서 케이블 및 네트워크 구성 장비 및 설비에 대한 허가되지 않은 접근은 네트워크에 치명적인 위험을 초래할 수 있다. 그러므로 보안 방침에 중요 네트워크 장비에 대한 물리적인 접근 통제사항을 기술한다. • 2. 네트워크 문서화 • 효과적인 네트워크 관리 및 통제를 위해 네트워크 구조, 물리적/논리적 토폴로지 및 노드, 통신 서비스 제공자 및 통신사업자의 목록, 네트워크 케이블 레이아웃, 사용 네트워크 장비에 대한 완전하고 정확한 기록이 작성, 관리되어야 함을 기술한다. 또한 네트워크에 대한 관리 사항 및 네트워크 구성의 검토, 확인 주기를 기술한다. • 3. 네트워크 진단 도구 • 네트워크 진단도구는 네트워크 관리를 위하여 유용한 도구이다. 그러나 네트워크 진단 도구를 이용하여 허가되지 않은 사용자가 패스워드와 같은 데이터를 알아낼 수 있기 때문에 보안 방침에 진단 도구의 배포 및 사용, 관리에 대한 사항을 기술한다. • 4. 데이터 백업 • 네트워크 환경에서는 다중의 서버가 다른 백업장치를 가지고 있기 때문에 백업의 양과 방법이 복잡하다. 따라서 보안 방침에 백업 장치의 보관 사항 및 백업 주기 등을 기술한다. • 5. 전원 공급 • 재해로부터 네트워크를 물리적으로 보호하기 위한 방침으로 무정전 전원 공급 장치, 전압조정기와 같은 장비에 대한 제공을 기술한다.

  23. 해킹에 대비한 보안시스템 • 6. 복구 계획 • 네트워크에 보안 문제가 발생하였을 경우를 대비한 복구 계획이 작성, 평가 및 유지 되어야 함을 기술한다. • 7. 전송 보안 • 네트워크는 다양한 경로설정과 사용자간의 광범위한 상호 관계로 가용성이 높다. 그러나 다양한 전송경로로 인하여 허가되지 않은 사용자에 의한 메세지의 노출, 변조, 삭제가 발생할 수 있다. 따라서 보안 방침에 중요한 정보의 전송을 보호하기 위한 암호화와 같은 통제 사항을 기술한다. • 8. 바이러스 • 바이러스는 네트워크를 통해 빠르게 전파될 수 있다. 따라서 네트워크를 통하여 데이터 및 소프트웨어를 전송 받아 설치하는 경우 사전에 반드시 바이러스를 체크해야 하고 네트워크 사용자가 디스켓으로부터 시스템으로 데이터 및 소프트웨어를 복사하는 것을 제한함을 명시한다. 또한 데이터의 백업 전 파일 서버의 바이러스 검토를 권고한다. • 9. 패스워드 파일 보호 • 패스워드 파일의 보호를 위하여 가능하면 패스워드 파일은 암호화되고 허가되지 않은 자가 아니면 접근할 수 없도록 관리하고 동적 패스워드 인증을 사용하는 등 패스워드 보안에 관련된 사항을 기술한다. • 10. 외부접속 • 네트워크 간의 상호 연결은 생산성의 향상과 함께 많은 보안 문제를 내포한다. 따라서 보안 방침에 조직의 보안 목적에 따라 외부 네트워크와의 메세지 전송 시 필터링의 수준을 정의하고 또한 외부로부터의 네트워크 접속 요청 시 보안 사항을 먼저 검토해야 함을 기술하며 외부와의 접속 검토 주기 및 접속의 유효 기간, 보안 주의사항을 기술한다. • 11. 원격 네트워크 접근 통제 • 원격 접근 보안은 다양한 접속 유형 및 장비의 통제를 요구한다. 보안 방침에 모든 원격 접근 유형에 따른 통제 사항을 기술한다.

  24. . Thank you

More Related