• 위험 분석 방법론
    1. 정량적 분석 방법
      - 객관적인 평가기준이 적용
      - 정보의 가치가 논리적으로 평가되어 위험관리 성능 평가가 용이
      - 계산이 복잡하여 분석하는데 시간, 노력이 많이 듬
      - 수치작업의 어려움으로 신뢰도가 도구 또는 벤더에 의존
      - 민감도 분석, 금전적 기대값 분석, 몬테카를로 시뮬레이션, 의사결정 나무 분석, 과거자료 분석법, 수학공식 접근법, 확률분포법 등

    2. 정성적 분석 방법
      - 어떠한 위험 상황에 대한 부분을 (매우높음, 높음, 중간, 낮음) 등으로 표현
      - 정보자산에 대한 수치화가 불필요하여 계산에 대한 시간과 노력이 적게 듬
      - 위험평가 과정과 측정기준이 일관되지 않고 주관적
      - 위험완화 대책 및 비용·효과에 대한 명확한 근거가 없음
      - 위험관리 성능을 추적할 수 없음
      - 델파이법(전문가 집단의 의견과 판단), 
      - 시나리오법(특정시나리오를 통하여 발생가능한 위협의 결과 도출)
      - 순위결정법(비교우위 순위 결정표에 위험 항목들의 서술적 순위를 결정)


  • 개인정보 보호법 제 20조
    - 정보주체 이외로부터 수집한 개인정보 관련 법
    - 보기


  • 개인정보 보호법 제 23조
    - 사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 침해할 우려가 있는 개인정보를 민감정보라 함
    - 보기


  • 정보보호 사전점검에 관한 고시
    - 정보보호 사전점검의 방법·절차·수수료에 관한 세부사항과 그 밖의 정보보호 사전점검에 필요한 사항
    - 보기


  • 개인정보의 안정성 확보조치 기준 제7조
    - 개인정보처리자가 개인정보를 처리함에 있어서 최소한의 기준
    - 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화
    - 보기

  • 개인정보의 기술적·관리적 보호조치 기준 제6조
    - 정보통신서비스 제공자등이 이용자의 개인정보를 처리함에 있어서  최소한의 기준
    - 하단 7가지는 해시 암호화
        1. 주민등록번호 
        2. 여권번호 
        3. 운전면허번호 
        4. 외국인등록번호 
        5. 신용카드번호 
        6. 계좌번호 
        7. 바이오정보 
    보기


  • CC인증 (Common Criteria)
    - 국가별로 다른 정보보호시스템 평가기준을 연동하고 평가결과를 상호 인증하기 위해 제정된 정보보안 평가기준
    - 평가 결과는 EAL1 ~ EAL7까지 7단계로 부여하여 인증서 제공


  • BCP (Business Continuity Planning, 업무 연속성 계획)
    - 각종 재해, 장애, 재난으로부터 위기관리를 기반으로 재해복구, 업무복구 및 재개, 비상계획 등의 비즈니스 연속성을 보장하는 계획
  • OCSP (Online Certificate Status Protocol)
    - X.509 인증서 체계에서 인증서가 실제 유효한 인증서인지 인증기관에 직접 접속하여 확인하고자 할 때 사용되는 프로토콜


  • UDDI (Universal Description, Discovery and Integration)
    - 웹 서비스에 대한 정보를 게시하고 검색하고 목록을 제공할 수 있도록 하는 XML기반의 구조화된 레지스트리


  • WSDL (Web Services Description Language)
    - 웹 서비스에 대한 정보를 기술하기 위한 XML 기반 마크업 언어


  • SOAP (Simple Object Access Protocol)
    - HTTP 등의 프로토콜을 이용해 XML 기반으로 메시지를 교환하는 프로토콜

  • FTP (File Transfer Protocol)
    - 파일을 주고 받기 위해 사용되는 대표적인 프로토콜
    - 두가지 모드 존재
      1. Active Mode (Default)
      서버가 클라이언트에 연결을 요청해서 데이터를 전달하는 방식
      방화벽 outbound 차단으로 클라이언트측으로 접속이 불가한 경우 Passive Mode로 대체
      
      2. Passive Mode
      클라이언트가 서버에 연결을 요청해서 데이터를 가져오는 방식
      방화벽 inboud를 허용하여 Active Mode의 방화벽 문제를 해결

    - 제어 포트: 21번
    - 데이터 전송용 포트
      1. 액티브 모드인 경우: 20번
      2. 패시브 모드인 경우: 1024번 이상의 임의의 포트
    - 취약점
      FTP 서버가 데이터를 전송할 때 목적지가 어디인지 검사하지 않는 설계상 취약점 존재 
      전송 목적지를 임의로 지정한 FTP Bounce Attack에 활용


  • 핑거프린팅
    - 인간의 감지 능력으로는 검출할 수 없도록 사용자의 정보를 멀티미디어 콘텐츠 내에 삽입하는 기술
    - 특성
      1. 공모 허용(Collusion Tolerance)
      핑거프린팅 된 콘텐츠는 삽입되는 내용이 구매자마다다르므로 다수의 구매자들이 자신의 콘텐츠를 비교하여 삽입 정보를 삭제하거나 다른 사용자의 정보를 삽입한 콘텐츠로 위조하여 배포할 수 있으므로, 이와 같은 공격에 견고
      
      2. 비대칭성(Asymmetry)
      핑거프린팅 된 콘텐츠는 판매자는 알지 못하고, 구매자만이 알아야 함
      
      3. 익명성(Anonymity)
      구매자의 익명성을 보장
      
      4. 조건부 추적성(Conditional traceability)
      정직한 구매자는 익명으로 유지되는 반면, 불법 배포한 부정자는 반드시 추적할 수 있어야 함


  • 워터마킹
    - 흐린 바탕무늬 또는 로고를 디지털 이미지 원본에 삽입해 사용자가 이미지를 보거나 소프트웨어를 사용하는데 지장을 주지 않으면서도 콘텐츠 저작권을 보호하는 기술
    - 복제 방지보다 복제 경로를 찾아내는 저작권 보호기술
    - 특성
      1. 비가시성(Invisibility)
      원본과의 동일성 및 지각적 비가시성
      
      2. 견고성
      고의적/비고의적 변형 시 검출 가능
      
      3. 유일성


  • 스테가노그래피 (Steganography)
    - 그래픽, 사진, 영화, 오디오 등의 멀티미디어 파일 속에 정보를 숨기는데 큰 의미를 둔 기술 


  • 이메일 전달 시스템
    - MUA (Mail User Agent)
      사용자가 메일을 보내기 위해 사용하는 프로그램
      ex:) outlook express
      
    - MTA (Mail Transfer Agent)
      MUA 의해 전달 받은 메세지를 다른 메일 서버로 전달해 주는 프로그램
      ex:) sendmail, qmail

    - MDA (Mail Delivery Agent)
      MTA가 수신한 메시지를 사용자의 메일함에 쓰기 위한 프로그램
      ex:) procmail 

    - MRA (Mail Retrieval Agent)
      MDA가 저장할 메일을 MUA로 가져오는 프로그램


  • SET (Secure Electronic Transaction)
    - VISA와 Master Card사에 의해 개발되어 1997년 발표된 신용카드 기반의 전자지불 프로토콜
    - 공개키 암호화를 이용한 보안성 증대 및 개인정보보호
    - 전자서명을 사용한 전문의 무결성과 인증
    - 전세계 표준 전자상거래 프로토콜로 호환성이 뛰어남
    - 단점: 기술, 시간, 비용 등의 제반적 측면에서 구현이 어려움, 처리속도가 느림


  • 이중 서명 (Dual Signature)
    - SET에서 고객의 프라이버시 보호 및 거래의 정당성 인증을 위해 고안된 전자서명 프로토콜
    - 고객의 결제 정보를 판매자에게 노출시키지 않으면서도 고객 및 구매 내용의 정당성을 확인 가능하여 PG사는
    실제 고객이 판매자에게 의뢰한 전문인지 확인할 수 있도록 해 줌


  • PGP (Pretty Good Privacy)
    - 컴퓨터 파일을 암호화하고 복호화하는 프로그램
    - 현재 전 세계적으로 이메일 보안의 표준
    - 보안성은 PEM이 더 뛰어나지만 PGP가 구현하기가 훨씬 용이
    - 특징
        1. 전자서명
        2. 압축
        3. 단편화와 재조립
        4. 암호화
    - 제공하지 않는 기능
      권한 관리


  • 블록 암호 공격
    - 선형 공격
       알고리즘 내부의 비선형 구조를 적당히 선형화시켜 키를 찾아내는 방법

    - 전수 공격
       암호화할 때 일어날 수 있는 모든 가능한 경우에 대해 조사하는 방법

    - 차분 공격
       두 개의 평문 블록들의 비트 차이에 대응되는암호문 블록들의 비트 차이를 이용하여 사용된 키를 찾아내는 방법

    - 통계적 분석
      암호문에 대한 평문이 각 단어의 빈도에 관한 통계적인 자료를 이용하여 해독하는 방법
  • 스니핑 (Sniffing)
    사전적 의미: 코를 훌쩍이는, 킁킁거리며 냄새를 맡는
    보안 공격에서 의미: 도청, 템페스트(Tempest) 장비를 통한 전기적 신호 분석
    공격 종류
      - 스위치 재밍 (Switch Jamming) : 스위치가 가진 MAC 테이블을 가득차게 하여 브로드캐스트를 발생시키는 공격 (MACOF 라고도 불림)
      - SPAN Port Tapping : 스위치의 포트 미러링 기술을 이용한 공격으로 미러링된 포트로 정보를 획득하는 공격
      - ARP Redirect : 공격자가 라우터인 것처럼 속여 외부로 나가는 패킷을 공격자를 거쳐 나가도록 하는 공격
      - ICMP Redirect : ARP Redirect와 동일
      ※ARP Redirect, ICMP Redirect 차이: ARP Redirect는 사용자의 ARP 캐시 테이블 정보를 변조, ICMP Redirect는 라우팅 테이블 정보를 변조

  • 스푸핑 (Spoofing)
    사전적 의미: 패러디한 것, 도용하다
    보안 공격에서 의미: 허가 받은 사용자로 위장하여 권한 획득, 정보 탈취를 하는 행위
    과정: ARP Reply를 지속적으로 브로드캐스트하여 ARP Cache Table에 있는 해당 IP의 MAC 주소를 공격자의 MAC 주소로 바꾼
    공격 종류
      - ARP Spoofing: 클라이언트/서버 IP의 MAC 주소를 공격자의 MAC 주소로 변경하여 중간에서 가로채는 공격 방법(공격 방법은 ARP Redirect와 동일하나 상대방 MAC 주소를 알고 있고, 적극적으로 공격한다는 과정에서 차이를 둠)
      - IP Spoofing: 다른 사용자가 사용 중인 IP를 강탈해 공격하는 방법
      - DNS Spoofing: DNS 서버보다 DNS 응답 패킷을 빨리 보내 공격대상이 잘 못 된 웹사이트로 접근하도록 유도

  • ARP (Address Resolution Protocol)
    IP 주소를 MAC 주소와 매칭 시키기 위한 프로토콜

  • ICMP (Internet Control Message Protocol)
    패킷 전달 외에 아무 기능이 없는 IP의 패킷 전송 중 에러 발생 시, 에러 발생 원인을 알려주거나 네트워크 상태를 진단해주는 기능을 제공하는 프로토콜
  • 네트워크 장비
    허브: LAN 내의 컴퓨터와 컴퓨터를 연결하기 위한 단순한 장비로 연결 대상이 아닌 컴퓨터에도 패킷이 전달됨(MAC주소 관리 안 함)
    스위치: 허브의 단점을 보완한 장비로 MAC 주소를 관리하여 실제 연결이 필요한 컴퓨터끼리만 연결하도록 함
    라우터: LAN 외부의 네트워크인 인터넷 연결을 위한 장비로 IP를 기반으로 경로 전달 및 데이터를 수신함
    공유기: 하나의 회선으로 여러 컴퓨터가 접속할 수 있도록 IP를 할당하는 장비

  • TCP/IP 계층

TCP/IP 계층 설명도

  • 포트 스캔 (Port Scan)
      서버에 열려있는 TCP/UDP 포트를 검색
      서비스를 위한 포트 연결이 아닌 취약점으로 삼기위한 포트 찾는 행위를 의미
      스윽 훓어본다해서 Sweep 이라고도 함
    종류
    - Open Scan :     프로토콜의 정상적인 연결을 시도하며 서버에 연결 로그가 남는 스캔 방법
    1. TCP Open Scan:     포트가 열려있으면 SYN + ACK 패킷을 응답받음
    2. UDP Open Scan:     포트가 열려있으면 응답이 없고, 닫혀 있는 경우 ICMP Unreachable 패킷을 응답받음

    - Stealth Scan :     연결 과정의 일부 또는 수정된 패킷을 전달하여 서버에 로그가 남지 않도록 스캔하는 방법
    1. TCP SYN Scan(Half-Open Scan):     SYN + ACK 패킷을 응답받는지 확인하기 위해 SYN 패킷만 전달하며, 확인 후 FIN 패킷을 전달해 연결을 바로 종료함 (RST + ACK 패킷을 응답받으면 포트가 닫힌 상태)
    2. TCP FIN Scan:     FIN 패킷을 보내보고, RST 응답이 오면 닫힌 상태로 판단 (응답이 오지 않으면 열려있거나, 방화벽 때문에 요청자체가 제외됨)
    3. TCP Xmas Scan:     FIN, URG, PUSH 패킷을 보내보고, RST 응답이 오면 닫힌 상태로 판단 (응답이 오지 않으면 열려있거나, 방화벽 때문에 요청자체가 제외됨)
    4. TCP NULL Scan: NULL 패킷을 보내보고, RST 응답이 오면 닫힌 상태로 판단 (응답이 오지 않으면 열려있거나, 방화벽 때문에 요청자체가 제외됨)
    5. TCP ACK Scan: 포트가 열림/닫힘을 판단하는 스캔이 아닌 방화벽 룰셋, 포트 필터링, 상태기반 필터링인지를 판단하기 위한 스캔으로 ACK 패킷을 보내서 필터링 되지 않았으면 RST 패킷을 응답받게 됨 (응답이 오지 않거나, ICMP 오류 메시지가 발생한 경우에는 필터링 된 경우)


  • 워터링 홀 (Watering Hole)
    공격대상이 방문할 가능성이있는 합법적인 웹 사이트를 미리 감염시키고 잠복하고 있다가 공격대상이 방문하면 악성코드를 감염시키는 공격


  • 피싱 (Phising)
    주로 사용자의 실수, 부주의를 이용하여 개인정보(신용카드, 비밀번호등)을 탈취하는 공격


  • 스피어 피싱 (Spear Phising)
    불특정 다수를 대상으로 하는 피싱이 아닌 목표물의 주변 정보를 수집 후 접근하는 피싱


  • 파밍 (Pharming)
    사용자의 컴퓨터를 악성코드에 감염시킨 후, 사용자가 정상적인 URL로 웹 사이트를 방문할 때 피싱 사이트로 연결시키는 피싱


  • NAT (Network Address Translation)
    - 사설 IP주소를 공인 IP로 변환
    - 사설 IP 주소를 사용하여 부족한 IP주소를 확장 가능
    - 내부 네트워크 주소를 드러내지 않아 보안성 향상 가능
    - 종류
        1. Static NAT
            - 내부 IP와 외부 IP가 1:1로 대응됨
            - IP 주소 절감 효과는 없음

        2. Dynamic NAT
            - 여러 개의 내부 IP와 여러 개의 외부 IP를 동적으로 할당
            - IP 주소 절감이 가능하며 보안 측면에서도 장점

        3. Port Address Translation
            - 동일한 하나의 외부 IP를 포트 번호로 구분하여 여러 개의 내부 IP로 사용

        4. Policy NAT
            - 출발지와 목적지에 따라 주소를 변환

        5. Bypass NAT
            - NAT에 해당하지 않는 패킷은 그냥 라우팅 시킴

  • Heartbleed
    - openssl 1.01f 이전 취약점
    - 서버의 정상 기동을 확인하는 HeartBeat 를 이용한 취약점
    - 응답 받을 데이터 크기를 임의로 크게 키워 임의의 메모리 데이터를 반환 받는 공격


  • Session Hijacking
    - 공격 대상이 이미 시스템에 접속되어 세션이 연결되어 있는 상태를 가로채는 공격
    - 인증 작업이 완료된 세션을 공격하기 때문에 OTP등의 추가 인증 기법을 사용하는 사용자 인증을 무력화


  • ACK Storm
    - 세션 하이재킹에 의해 루핑이 발생하는 현상
    - 패킷의 유실 및 재전송이 많이 일어나 패킷량이 비정상적으로 많이 증가


  • IP Fragmentation (IP 단편화)
    - 한 번에 전송할 수 있는 패킷의 크기는 MTU(Maximum Transmission Unit)을 초과할 수 없음
    - 패킷을 MTU 이하로 분할하는 과정을 단편화라고 함
    - 예제: 4000byte 의 1500 MTU 단편화
순서 패킷 크기 (byte) More Flag Offset
1 1500 byte
(TCP 헤더는 20byte 이므로
페이로드는 1480byte를 보냄)		 1 (단편화가 더 진행되어야 함을 의미 true/false) 0
2 1500 byte 1 185 (Offset은 8byte 단위로 표시,
이전 페이로드 1480 / 8)
3 1040 byte 0 (단편화 종료) 370
(= 이전 페이로드 2960 / 8)

 

  • DRDoS (Distributed Reflection Denial of Service)
    - 출발지의 IP를 위조하여 정상 요청하면 위조된 출발지(타겟)에 대량의 응답 값이 전달되는 것을 이용한 공격방법
    - 정상적인 서비스를 제공 중인 서버를 활용하는 공격기법으로 DDoS 에이전트 설치의 어려움을 보완한 공격
    - TCP 프로토콜 및 라우팅 테이블의 취약점을 이용한 공격
    - IP Spoofing 활용 (추적 방지)
    - 반사체(Reflector)의 사용 (공격력 증대)


  • Land Attack
    - 대부분 운영체제가 대응된 상태로 이론만 존재한다고 봐도 되는 공격
    - 출발지와 목적지가 같은 패킷을 만들어 공격 대상이 자기 자신에게 응답하도록 해 부하를 발생
    - 루프백(loopback)과 비슷해 보이나 루프백은 실제로 외부에 패킷을 전달하지 않으며,
    외부에서 받은 것처럼 동작 시키는것에서 차이가 있음
  • User Account Control (사용자 계정 컨트롤)
    윈도우 운영체제에서 관리자가 권한 수준을 높이는 것을 허용할 때까지 응용 프로그램들은 표준 사용자 권한으로 제한을 두는 보안기술


  • CPU 취약점
    1. Meltdown (멜트다운)
    영향: 사용자 영역 프로그램에서 운영체제 권한 영역(커널) 메모리를 읽을 수 있음
    원인: CPU 마이크로 아키텍처 구조에서 마이크로옵 단위에서 발생하는 경쟁 상태(Race Condition) 이용
    연관된 CPU 기술: 추측 실행(Speculative Execution), 비순차적 명령어 처리(Out of Order Execution)

    2. Spectre (스펙터)
    영향: 다른 유저 프로그램의 메모리를 읽을 수 있음
    원인: CPU 명령어에서 발생하는 버그를 악용
    연관된 CPU 기술: 추측 실행(Speculative Execution), 분기 예측(Branch Prediction)

    ※ 멜트다운과 스펙터 공통점
    CPU 처리 속도를 향상 시키기 위한 기술들을 도입하면서 발생한 취약점
    펌웨어 패치만으로는 대응하는데 한계가 있으며, 취약점 해결 과정에서 CPU 성능 하락이 발생함


  • 부채널 공격 (Side Channel Attack)
    물리적인 구현 과정의 정보를 기반으로 공격하는 방법
    공격 대상에 직접 접근하지 않고, 연관된 다른 정보로 우회하는 공격 방법(ex: 타자 소리를 녹음해서 비밀번호 유추)
    멜트다운 및 스펙터도 부채널 공격에 해당


  • Null Session Share 취약점
    영향: 공격자가 인증 절차를 거치지 않고 사용자 정보를 탈취하거나, 레지스트리에 접근 할 수 있음
    대상: Windows OS의 IPC$ (Iner Processing Commnunication)
    원인
      - Windows OS는 관리 목적을 위한 기본 공유로 ADMIN$, C$, D$, IPC$ 있음
      - 레지스트리 수정으로 공유 설정을 간단하게 종료할 수 있으나, IPC$는 임의로 끌 수 없게 되어있음
      - IPC$를 통해 원격 접속을 할 때 패스워드를 Null로 설정하여 접속할 수 있음


  • 좀비 프로세스
    원인 
      - 부모 프로세스의 오류로 인하여 종료한 자식 프로세스의 종료 절차가 적절히 이루어지지 않음
      - 이런 상태를 defunct 라고 표현함
// 리눅스 명령어
// 좀비 프로세스 개수 확인
top -b -n 1 | grep zombie

// 좀비 프로세스 정보 확인
ps -ef | grep defunct

// 좀비 프로세스 종료
ps -ef | grep defunct | awk '{print $3}' | xargs kill -9

 

  • FIDO (Fast IDentity Online)
    종류
      1. UAF (Universal Authentication Framwork)
       - 패스워드를 대체하는 사용자 인증 방식
       - 휴대 단말에 저장된 생체 정보를 이용해서 인증
       - 추가적인 패스워드 입력이 필요 없음

      2. U2F (Universal 2nd Factor)
      - 아이디, 비밀번호 인증을 강화하기 위한 별도의 인증을 추가하는 방식
      - 별도(두번째) 인증을 위해 USB나 NFC 디바이스의 버튼 클릭 필요(ex: Yubikey)


  • DEP (Data Execution Prevention)
    의미: 실행 방지 메모리 영역에서 코드가 실행되지 않도록 하는 윈도우 운영체제에 포함된 보안 기능
    효과: 버퍼 오버플로우, 힙스프레이 등 메모리 기반의 실행 공격을 예방


  • 윈도우 인증 요소
    1. SRM (Security Reference Monitor)
    - 의미: 인증된 사용자에게 SID를 부여
    - 용도: SID를 기반으로 파일/디렉터리의 접근 제어를 수행하고, 이에 대한 감사 메시지를 생성

    2. LSA (Local Security Authority)
    - 의미: 계정명과 SID(Security ID)를 매칭 후, SRM이 생성한 감사 로그를 기록
    - 용도: 로컬, 원격 로그인에 대한 검증 및 시스템 자원에 대한 접근 권한 검사

    3. SAM (Security Account Manager)
    - 의미: 윈도우 운영체제에서 사용자의 비밀번호를 저장하는 데이터베이스 파일
    - 용도: 사용자의 로컬 또는 원격 인증에 사용


  • 윈도우 Power User (Group 포함)
    - 로컬 사용자 계정의 자원을 공유 및 수정가능
    - 관리자 권한보다는 한단계 낮지만, 일반 사용자보다는 한단계 높은 제한적인 권한


  • inode
    - 리눅스 운영체제의 파일시스템에서 파일에 부여하는 고유 번호
    - 파일 이름을 제외한 파일에 대한 모든 정보를 가지고 있음
      1. 접근 권한
      2. 파일 유형
      3. 파일 크기
      4. 파일 위치
      5. 링크 개수
      6. 소유자/소유 그룹
      7. 최근 파일 수정/접근 정보
      8. inode 수정 정보


  • 무차별 대입 공격 (Brute Force Attack)
    - 암호 해독을 위해 모든 값을 대입하는 것을 의미
    - 툴
      1. John the ripper
      2. Hydra
      3. Medusa
      4. Cain and abel (ARP Spoofing 에서도 활용)


  • 윈도우 루트키(Root Key)
    - 윈도우 레지스트리 중 가장 상위레벨에 있는 레지스트리 키
    1. Master Key
      - Hive파일에 저장되어 있는 키
      - HKEY_LOCAL_MACHINE(HKLM) : 설치된 하드웨어 정보를 구동시키는데 필요한 정보
      - HKEY_USERS(HKU) : 사용자들의 정보

    2. Derived Key
      - Master Key를 토대로 재구성 되는 키로 메모리에 존재
      - HKEY_CLASSES_ROOT(HKCR) : 파일의 각 확장자에 대한 정보와 프로그램 간 연결 정보
      - HKEY_CURRENT_USER(HKCU) : 현재 시스템에 로그인하고 있는 사용자와 관련된 시스템 정보
      - HKEY_CURRENT_CONFIG(HKCC) : 시스템이 시작할 때 사용하는 하드웨어 프로파일 정보 (ex: 디스플레이, 프린트 정보)


  • Format String
    - printf 처럼 문자열 관련 함수에서 문자열 포맷을 잘못된 형태로 입력하는 경우에 나타나는 버그를 이용한 취약점


  • 리눅스 로그
    1. wtmp
      - 성공한 로그인, 로그아웃 기록
      - last 명령어로 사용

    2. utmp
      - 현재 로그인한 사용자들에 대한 정보
      - w, who, finger 명령어로 사용

    3. btmp
      - 5번이상 로그인에 실패한 경우에 대한 기록
      - lastb 명령어로 사용

    4. pacct
      - 로그인 ~ 로그아웃까지 입력한 명령어 사용 기록
      - lastcomm, acctcom 명령어로 사용

    5. history
      - 사용자가 입력한 명령어 기록
      - pacct 와 다르게 파일 시스템의 어느 디렉토리에서 실행되었는지 알 수 있어서 공격자 행위 추적에 용이

    6. lastlog
      - 사용자별 가장 마지막에 로그인한 시간, 접속 IP등에 대한 기록
      - lastlog 명령어로 사용

    7. sulog
      - Switch User(su) 명령어를 사용한 기록

    8. xferlog
      - FTP 를 통한 데이터 전송 기록


  • 리눅스 파일권한
    - 8진수로 표기하며, 최대 네 자리로 각 자리수별 의미가 있음
    - 각 자리수별로 {특수권한}/{소유자 권한}/{그룹 권한}/{기타 사용자 권한} 네가지를 의미
    - 예제: chmod 0777 file(777 과 동일한 의미) : 모든 사용자/그룹에 대해 해당 파일의 읽기, 쓰기, 실행을 허용함
특수 권한 소유자 권한(u, user) 그룹 권한
(g, group)		 기타 사용자
권한
(o, other)
4 2 1 4 2 1 4 2 1 4 2 1
setuid setgid sticky bit r (읽기 허용) w (쓰기 허용) x (실행 허용) r w x r w x

       - 8진수를 사용하지 않고, 명령어를 활용할 수도 있음
       - 예제: chmod u+x file : 소유자에게 파일의 실행 권한을 부여함
       - 예제: chmod o=rw : 기타 사용자에게 읽기, 쓰기 권한 지정
       - 명령어: + (권한 추가), - (권한 삭제), = (권한 지정)
       - 특수 권한 설명

더보기

1. ls -al 처럼 파일 정보를 보는 명령어를 보면 실제로 권한은 아래처럼 표기됨
  ex:) -rwxrw-r--
     위 예제에서 맨 앞의 - 는 파일 유형을 의미하고, r부터 권한을 의미
     소유자는 파일에 대한 모든 권한을 가지고 있음
     소속 그룹은 읽고, 쓰기 권한만 있음
     이외 사용자는 읽기 권한만 있음을 의미

2. ls -al 파일 정보 명령어에서 특수 권한 SetUID 에 대한 예시
  ex:) -rwsr--r--
     파일을 실행할 때 파일 소유자의 권한 (UID)을 임시로 사용함을 의미
     파일 실행이 종료될 때까지 소유자의 UID 로 실행이 됨
     만약 실행 권한이 없는 파일에 SetUID 권한을 부여하면, 대문자 S 로 표기됨

3. ls -al 파일 정보 명령어에서 특수 권한 SetGID 에 대한 예시
  ex:) -r--rwsr--
     파일을 실행할 때 파일 그룹의 권한(GID)을 임시로 사용함을 의미
     SetUID 와 소유자/그룹 차이라는 점만 다르며 이외 기능 동일함

4. ls -al 파일 정보 명령어에서 특수 권한 Sticky Bit 에 대한 예시
  ex:) -r--r--rwt
     특정 디렉토리를 누구나 자유롭게 사용할 수 있게 사용함을 의미
     해당 디렉토리내에서 파일/디렉토리 생성은 누구나 가능하나 삭제는 소유자와 그룹만 가능
     만약 실행 권한이 없는 파일에 Sticky Bit 권한을 부여하면, 대문자 T 로 표기됨

 

  • UTM (Unified Threat Management)
    - 의미: 방화벽, 침입 탐지·방지 시스템, 백신, 가상사설망 등 다양한 보안 장비를 하나의 장비로 통합한 것 (IPS·IDS와 방화벽이 결합된 형태)
    - 한계: 경제성이 있고 보안 관리가 편해지지만 장애 발생시 보안기능에 심각한 영향


  • IDS (Intrusion Detection System)
    - 네트워크 또는 호스트로의 비정상적인 접근을 탐지하는 시스템
    - 종류
      1. 지식기반 침입탐지 (Knowledge-based Detection 또는 오용탐지(Misuse Detection))
          - 비정상 행위에 대한 패턴을 입력하여 일치하는 패턴을 탐지
          - 오탐률은 낮으나 새로운 패턴은 탐지 불가

      2. 행위기반 침입탐지 (또는 이상탐지(Anomaly Detection))
          - 정상 행위와 비정상 행위를 프로파일링 하여 통계 및 AI를 이용하여 정상/비정상을 구분
          - 어느정도 예측을 기반으로 새로운 패턴 감지 가능하나 오탐률이 높음

+ Recent posts

티스토리툴바