1 / 66

사이버보안

사이버보안. 2002. 11. 23. 국가보안기술연구소 박 상 서. 배 경. 인터넷 지표(1). 인구 100명당 인터넷 이용자수: 51 명(세계 5 위). 통계청(02.11.12). 인터넷 지표(2). 인구 100명당 PC 보급률: 32 대(세계 17 위). 통계청(02.11.12). 국내 인터넷 이용 현황. 인터넷 이용자수. PC 방. ’ 02년도 6월 현재 이용자수 : 2,565만명 도메인수 : 46만개. 금융. 에너지. 행정. 물류. ’ 94년도

burton-coffey
Download Presentation

사이버보안

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 사이버보안 2002. 11. 23. 국가보안기술연구소 박 상 서

  2. 배 경

  3. 인터넷 지표(1) • 인구 100명당 인터넷 이용자수: 51명(세계 5위) 통계청(02.11.12)

  4. 인터넷 지표(2) • 인구 100명당 PC 보급률: 32대(세계 17위) 통계청(02.11.12)

  5. 국내 인터넷 이용 현황 인터넷 이용자수 PC방 ’02년도 6월 현재 이용자수 : 2,565만명 도메인수 : 46만개 금융 에너지 행정 물류 ’94년도 이용자수 : 13만8천명 도메인수 : 192개 국방 연도 교육 한국인터넷정보센터(www.nic.or.kr), 도메인수는 .kr도메인

  6. Why Is The Internet an Easy Target CMU CERT/CC

  7. Information Infrastructure Dependence CMU CERT/CC

  8. 사이버위험 개념

  9. 사이버위협이란? • 정보화의 부산물/역기능으로서 • 악의적 목적으로 • 컴퓨터 시스템을 이용하여 • 사이버공간을 구성하는 컴퓨터 시스템과 네트워크를 대상으로 • 불법적•의도적으로 악영향을 미치는 일체의 과정과 행위

  10. 종류 및 영향 • 사이버위협의 종류 • 해킹/크래킹 • 정보수집, 침투, 공격전이, 원격제어 • 악성코드 • 바이러스, 웜, 트로이목마, 논리폭탄, 기타 • 서비스거부 • 서비스거부, 분산서비스거부 • 스니핑 • 시스템/네트워크에 미치는 영향 • 자료의 변조, 절취, 파괴, 이용 • 외부에서의 임의 접근 및 자원의 임의 이용 • 시스템/네트워크 마비 • 기타 사용자가 의도하지 않은 행위

  11. 사이버위험 동향

  12. Attack Sophistication vs. Required Intruder Knowledge CMU CERT/CC

  13. Attack Sophistication vs. Required Intruder Knowledge in Brief Joint Pub 3-13

  14. Who Is Attacking Systems? CMU CERT/CC

  15. 사이버위험 실체

  16. 대표적 사이버위협 컴퓨터 바이러스 DoS 스니퍼 논리 폭탄 해킹 기타 웜 트로이 목마 메일폭탄

  17. 사이버위험 - 해킹 -

  18. User Data Application A A ACK SYN B B Application Header User Data A SYN/ACK B TCP TCP Header Application Data IP TCP Segment IP Header TCP Header Application Data Ethernet Driver IP Segment (46 - 1500 Bytes) Ethernet Header IP Header TCP Header Application Data Ethernet Trailer 14 20 20 4 Ethernet Frame 배경지식(1): TCP 패킷 3Way Handshaking

  19. IP Segment (46 - 1500 Bytes) IP Header TCP Header Application Data 20 20 6 - 1460 Header Length (4) Types of Service (TOS) (8) Version (4) Total Length in Bytes (16) Source Port Number (16) Destination Port Number (16) Identification (16) Flag (3) Fragment Offset (13) Sequence Number (32) Time To Live (TTL) (8) Protocol (8) Header Checksum (16) Acknowledgement Number (32) Source IP Address (32) Head Length (4) U R G A C K P S H R S T S Y N F I N Reserved (6) Window Size (16) Destination IP Address (32) TCP Checksum (16) Urgent Pointer (16) 배경지식(1): IP Segment

  20. 기본 개념 • 해킹(Hacking) • 컴퓨터 시스템에 침입을 시도하는 행위 • 정보의 공유를 주장하며 자의적 판단하에 자료의 절취, 시스템 마비 등을 일으키는 행위 • 크래킹(Cracking) • 허가되지 않은 시스템에 접근해서 데이터를 파손하거나 시스템의 비정상적인 동작을 유발시키는 행위 • 개인용 컴퓨터 등을 사용하여 기업, 국가 기관 등의 비밀을 알려는 범죄 행위 • 불법적이며 악의적 해킹

  21. 해킹/크래킹이 증가하는 이유 • 소프트웨어의 버그의 상존 • 모든 소프트웨어는 버그를 가지고 있으며 • 버그가 없는 소프트웨어는 존재할 수 없다 • 새로운 종류의 취약점 발견 • 새로 개발되는 소프트웨어에서 취약점 발견 • 안전한 것으로 인식되던 프로그램에서 많은 취약점 발견 • 새로운 취약점 발견 개수 급격히 증가 • 매년 2배 이상 증가(CERT/CC) • 새로 발견되는 취약점에 대응하는 것이 점점 어려워 짐 • 새로운 취약점 자동 발견 기술 개발 • 취약점 해결이전에 공격에 사용

  22. 공격 단계 다른 대상 공격 사용자 권한 획득 공격 대상 검색 침입 흔적 제거 백도어 설치 정보 유출변경 관리자 권한 획득 기타

  23. 1 단계: 공격 대상 검색 • 과정 • 네트워크에 연결되어 있는 컴퓨터 검색 • IP 주소, 운영체제 종류 등 파악 • 취약한 부분 검색: 공개 포트, 취약한 서비스 등 • 방법 • Manual Trial(예: 무작위 ping) • 전문 검색 도구 이용(예: Nmap, Superscan) • 취약점 점검 도구 이용(예: Nessus, SATAN, ISS) • 공격 대상 결정

  24. 2단계: 사용자 권한 획득 • 사용자 계정(ID) 파악 • 알려진 계정 이용 • 스누핑, 스니핑, 키로깅 등의 기법 이용 • 패스워드 파악 • 무작위 입력 • 추측가능한 패스워드 시험: 애인이름, 차번호, 전화번호 등 • 전문 도구 이용: 무작위 대입 도구 또는 사전공격도구 사전에서 제공하는 값들의 목록을 토대로 패스워드를 찾아내려는 공격 방법

  25. 3단계: 관리자 권한 획득 • 패스워드 파악(사용자 권한 획득과 동일) • 무작위 입력 • 추측가능한 패스워드 시험: 애인이름, 차번호, 전화번호 등 • 전문 도구 이용: 무작위 대입 도구 또는 사전공격도구 • 관리자 권한 획득 도구 이용 • 버퍼 오버플로우 등 기법 이용 • Sendmail 등의 취약성 이용

  26. 4단계: 침입흔적제거 및 백도어설치 • 침입 흔적 제거 • 시스템 접속 기록 삭제 • 백도어 설치 • 시스템 재침투를 위해 우회 수단 설치 • 시스템 접속 상황 및 흔적 자동 삭제 • 시스템의 정상적인 보호 수단 우회를 위한 은폐 메카니즘 • 시스템 접속하는 비밀 입구 • 예: 디폴트 패스워드, login 백도어, library 백도어, kernel 백도어, 파일시스템 백도어, 루트킷 등

  27. 5단계: 정보유출 및 전진기지 • 사용자 계정(ID) 파악 • 알려진 계정 이용 • 스니핑 등의 기법 이용 • 패스워드 파악 • 무작위 입력 • 추측가능한 패스워드 시험: 애인이름, 차번호, 전화번호 등 • 전문 도구 이용: 무작위 대입 도구 또는 사전공격도구 사전에서 제공하는 값들의 목록을 토대로 패스워드를 찾아내려는 공격 방법

  28. Number of Intruders Able to Execute Attacks CMU CERT/CC

  29. 사이버위험 - 스니핑 -

  30. 기본 개념 • 스니핑(Sniffing) • 네트워크상에서 전송되는 정보를 송수신자가 인지하지 못하는 상태에서 읽어보는 것 • 패킷 스니핑 • 무선 LAN 스니핑 • 무선 LAN을 사용하는 시스템에 침입 또는 스니핑 • 데이터 암호 해독 • 방법: Channel Scan, Beacon Broadcast • 메신저 스니핑 • 메신저 서비스를 통해 전달되는 메시지를 스니핑 • 대상: ICQ(I Seek You), IRC(Internet Relay Chatting)등 • WEP(Wired Equivalent Privacy) • 무선LAN 데이터 암호화 기능: 도청 방지

  31. 스니퍼 동작 원리 CMU CERT/CC

  32. 무선 LAN 구성

  33. 사이버위험 - 메일폭탄 -

  34. 기본개념 • 메일폭탄(Mail Bomb) • 전자우편을 다량 발송하여 메일 서버를 마비시키는 방법 • 작은 크기 메일을 다량 발송 또는 큰 크기의 메일 발송 • 스팸메일(Spam Mail) • 다수 수신인에게 다량으로 광고나 선전물 발송 • 사례: 유고전 • 미해군 항공기지에 200통의 메일 발송 • 매일 2000통의 메일을 나토 사령부에 발송 • 시스템 마비

  35. Internet 동작 원리 메일서버

  36. 사이버위험 - 컴퓨터 바이러스 -

  37. 기본 개념 • 컴퓨터 바이러스란? • 자기 복제 기능 • 다른 프로그램 감염 • 기생 • 프로그램의 일부를 변형하여 자신/변형을 복사 • 실행시 시스템에 악의적 영향을 미침 • 범위 • 최근에는 악성코드를 포함시키기도 함 • 트로이목마: Troj/BackOrifice, Troj/NetBus 등 • 인터넷웜: I-Worm/Happy99, I-Worm/PrettyPark 등

  38. 컴퓨터 바이러스 분류 • 감염부위: 부트, 파일, 부트/파일, 매크로 • 감염위치: 전위형, 후위형, 이동형 • 동작원리: 기생형, 겹쳐쓰기형, 산란형, 연결형, 기생겹쳐쓰기형 • 운영체제: MS-DOS, Windows, Unix/Linux,MacOS • 기타: 가짜(hoax), 리트로, 고급언어, 매크로, 스크립트

  39. 컴퓨터 바이러스 명명법 • [접두사/]이름[.접미사][:언어][@m|@mm] • 접두사 • 악성코드의 종류나 동작 환경 표시 • 이름 • 일반적으로 사용되는 이름(같은 바이러스에 여러 이름 가능) • 예: CIH(Chernobyl, Spacefiller), LoveLetter(LoveBug) • 접미사 • 변종을 파일 크기나 임의의 문자로 구분 • 언어 • 악성 코드가 특정 언어에서만 동작함을 표시 • 예: 독일어 버전 ‘:De’, 이탈리아어 버전 ‘:It’ • @m: 메일 발송, @mm: 대량 메일 발송

  40. 실행 시작 프로그램 헤더 프로그램 헤더 감염 대상 조사 실행 코드 실행 코드 바이러스 복제 존재? Yes No 바이러스 동작 바이러스 코드 원래 코드 실행 컴퓨터 바이러스 동작 원리 감염

  41. 컴퓨터 바이러스 발전 전망 • 전문화, 조직화된 그룹에 의한 제작 • 군사적 목적, 스파이 목적 • 바이러스 제작 기술의 일반화 • 인터넷, 전자잡지 등을 통한 고급 제작 기법의 일반화 • 매크로 바이러스, 스크립트 바이러스 활성화 • 비전문가, 자동화된 도구에 의한 제작 • 새로운 종류의 바이러스 등장 • Linux/Unix용 바이러스 • PDA, 휴대폰용 바이러스 • 바이러스와 해킹의 경계 불분명 • 바이러스에 해킹 기법 접목 • 악성 에이전트 기술 발전

  42. 사이버위험 - 웜 -

  43. 기본 개념 • 웜(Worm)이란? • 다른 프로그램을 감염시키지 않음 • 자기자신을 복제하여 통신망을 통해 유포 • 독자적 실행 가능 • 다른 프로그램에 기생하지 않음 • 종류 • 모리스 웜(Morris Worm): 전통적인 웜 • 초기에만 사용자 개입 필요 • 인터넷 웜(Internet Worm): 최근의 웜 • 다른 시스템에 침투하기 위해서는 사용자 개입 필요 • 예: I-Worm/Happy99, I-Worm/ExploreZIP, I-Worm/PrettyPark, I-Worm/MyPics 등

  44. 모리스 웜 Computer Emergence Response Team/Coordination Center • 1988. 11. 2 발생 • CERT/CC 설립(1988.11.17)의 동기 제공 • 알려진 취약점을 악용하여 복제 • 스스로 복제하기 위하여 반복적으로 인접 시스템에 침투 시스템 침투율 통제 기능이 있었으나 프로그램 오류로 인터넷을 완전히 마비시킴

  45. 인터넷 웜 • E-mail로 전달(첨부 형태) • 윈도우에서는 전통적 웜에서 사용된 기법 적용 한계 • 주소록을 통해 사회공학 방법으로 대량의 메일 전송 • 시스템에 침투하기 위해서 사용자 개입필요 • 인터넷 웜 성공요인 • 기반의 단일성: Wintel(Windows + Intel) • 제작에 편리한 환경: 스크립트 언어, ActiveX 기술 • 전 세계 컴퓨터가 단일 네트워크로 연결: 피해 범위 증가 (실행, 읽기 등)

  46. 인터넷 웜 분류(전파방법) • 네이티브(Native) 웜 • E-mail 자체의 스크립트로 전파, 자동실행 가능 • 기생(Parasitic) 웜 • 첨부된 웜이 E-mail 과 분리되어도 원래 기능을 수행 • 임의(Arbitrary) 웜 • 이메일 외에 IRC의 DCC, FTP, TCP/IP 소켓 사용 전파 • P2P(Peer-to-Peer) 웜 • 윈도우 폴더 공유, 냅스터, 소리바다 등 P2P 네트워크로 전파

  47. 인터넷 웜 동작 원리 실행 시작 주소록 검색 메일 발송 주소 선택 메일 작성 및 발송 사용자 개입 악의적 기능 수행 재부팅시 자동실행 설정

  48. 사이버위험 - 트로이목마 -

  49. 기본 개념 • 트로이목마(Trojan Horse) • 정상적인 기능을 하는 프로그램처럼 보이지만 실제로는 사용자 몰래 불법적인 일을 수행하는 프로그램 • 다른 프로그램에 기생하지 않고 자기 복제 기능이 없는 독립적인 프로그램 • 일반적으로 트랩도어 생성  원격에서 컴퓨터 제어 가능 • 주요 기능 • 키입력/오디오/비디오 캡춰 • 파일/레지스트리접근 • 패스워드 탈취 • 프로그램 실행 제어등 • 예: BackOrifice, SchoolBus, SubSeven, Ecokys 등

  50. 바이러스/웜/트로이목마 구분 최근 들어 복합적인 기능의 악성코드 등장 예: Win32/MTX(바이러스 + 웜 + 트로이목마 기능)

More Related