기사 자격증(알기사, 최신 N/W 보안 동향)

역추적 시스템

- 해킹을 시도하는 해커의 실제위치를 추적하는 기술

- 실제위치를 추적, IP주소가 변경된 패킷의 실제 송신지 추적으로 분류

- 실제위치추적 : TCP 연결 역추적, 연결 역추적

- 송신지 추적 : IP 패킷 역추적, 패킷 역추적

- TCP 연결 역추적

1. 우회 공격을 시도하는 해커의 실제위치를 실시간 추적

2. 호스트 기반과 N/W 기반 연결 역추적으로 분류

- IP연결 역추적

1. IP주소가 변경된 패킷의 실제 송신지를 추적하기 위한 기술

2. 변경된 패킷을 전달한 라우터를 표시함으로써 추적이 가능하게함

 

UTM

 - 다양한 보안 솔루션을 하나의 장비로 통합해 제공

- 단일 장비로 다양한 보안기능 수행으로 경제성 및 보안 관리 운영 편리성 제공

- 장애발생시 모든 보안기능에 영향을 미침

- 기업과 기관의 다양한 보안 정책 반영, 보안시스템 관리로 보안목적을 효율적으로 실현

- 지능형 보안관리 시스템

- 실시간 보안위협 파악 및 대응하는 역할을 수행

 

ESM

- 다양한 보안솔루션을 하나로 모은 통합보안관리시스템

- ESM의 특징

1. 운영관리 측면

 - 통합관리 운영으로 비용 절감, 인력 축소

 - 보안 정책 통합 관리를 통한 보안 운영 관리의 일관성 제공

 - 보안성 강화보다 운영관리 측면 강화를 통한 보안 관리 효율성 제공

2. 기술적 측면

 - 크로스 플랫폼 기반 오픈 아키텍처로 유연성과 상호 운영성 확보

 - ESM 구성요소

분류	구성요소	특징
ESM 클라이언트	에이전트	ㆍ개별 보안 장비에 탑재되어 운영 ㆍESM 서버 매니저로부터 통제 받아 보안 장비 통제 ㆍ이벤트 발생시 이벤트 정보, 로그 정보 수집해 ESM 매니저에게 전달 ㆍESM 매니저로부터 개별 보안 솔루션 기능 수행 명령 받음
ESM 서버	ESM 매니저	ㆍ통합 보안정책 생성, 적용 관리 ㆍ에이전트로부터 수집한 정보를 관리자에게 전달 ㆍ관리자의 개별 보안 통제명령을 에이전트로 전달해 통합 보안 통제 지원
	ESM 콘솔	ㆍ개별 에이전트에서 이벤트 로그 모니터링 ㆍEMS 매니저서 분석한 위험 및 해킹분석 결과 확인 ㆍ에이전트에게 보안 운영 통제 명령 전달 ㆍ보안 정책 관리 및 배포
ESM 데이터 메니지먼트	ESM Event Log Rapository	ㆍ에이전트가 수집한 정보 및 로그 수집해 저장하는 로그 DB
	ESM Policy Repository	ㆍ보안 정책 관리를 위한 통합 보안 정책 DB ㆍ다양한 보안관리 정책을 통합 관리 및 배포

 

- ESM 주요기능

분류	상세정보	비고
통합로그 관리	ㆍ개별 솔루션 로그 수집 및 통합관리 ㆍ이벤트종류, 서비스별, 위험도별 다양한 분류기준 지원 ㆍ개별보안 솔루션별 로그 조회 지원	통합로그 DB 기반
이벤트 필터링	ㆍ보안정책 기반의 이벤트 수집 기준 제공 처리 ㆍ관리자의 필요에 따른 이벤트 수집으로 보안관제 범위 최적화와 효율화 지원	정책 기반
실시간 통합 모니터링ㆍ경보 상황전파	ㆍ관리자의 다양한 검색 기능 지원 ㆍ솔루션 별 모니터링 및 통합 모니터링 지원 ㆍ감사정책에 따른 감사 이벤트 표시 가능 ㆍ자동 경보기능 지원	ESM 콘솔
로그 분석 및 의사결정 지원	ㆍ로그분석후 위험도 결정 ㆍ관리자에게 효율적 위험 대응 지원 ㆍ위험발생 내역의 추적 분석 제공 ㆍ패킷 상세 분석
긴급대응	ㆍ대응 기준에 따른 ESM 매니저의 자동 차단 ㆍ명령을 에이전트 통해 개별 솔루션 전달	방하벽, IDS, IPS
리포팅	ㆍ서비스별 조치사항 ㆍ일자 및 기간 위험발생 및 조치사항 ㆍ로그 종류별 위험 발생 및 조치사항	GUI 지원

 

NAC(Network Acess Control)

- N/W에 접근하는 접속 단말의 보안성을 검증하여 보안성 강제화, 접속 통제

- 접근 전 보안 정책 준수 여부 검사해 N/W 접속 통제

- NAC의 필요성

 1. 내부원인 보안사고 증가

 2. 접속 단말의 다양화

 3. N/W 통합 보안 관리 요구

- NAC의 주요기능

분류	주요기능
접근 제어 / 인증	ㆍ내부직원 RBAC ㆍN/W 모든 IP 기반 장치 접근제어
PC 및 N/W 장치 통제(무결성 체크)	ㆍ백신관리 ㆍ패치관리 ㆍ자산관리(비인가 시스템 자동 검출)
해킹, 웜, 유해트래픽 탐지 / 차단	ㆍ유해 트래픽 탐지 및 차단 ㆍ해킹 방위 차단 ㆍ완벽한 증거 수집 능력

 

-NAC의 구성

 1. IP주소에 대응하는 MAC주소를 기반으로 인증 및 접근제어를한다.

 2. N/W 접속을 원하는 호스트는 사용자 N/W 접속에 사용할 MAC 주소를 해당 N/W 시스템 관리자에게 알려줘야함

 3. 관리자가 해당 MAC 주소를 NAC에 등록하면 N/W 사용 권한 생김

 4. 등록된 MAC 주소만 N/W에 접속을 허용 → 라우터로 구분된 서브 네트워크마다 에이전트 시스템이 설치되어야 함

 

SIEM

- 시스템에서 발생하는 로그를 분석하여 이상징후 파악 후 결과를 경영진에게 보고하는 시스템

- 빅 데이터가 IT 분야서 새로운 트렌드로 부상하고 있는데 SIEM을 통해 발전된 로그분석이 가능하다

- 실시간 위험 탐지 및 대응을 위해 이벤트 로그 데이터를 실시간 수집 분석

- 침해 공격 로그에 대한 포렌식, 컴플라이언스 법적 조사를 위한 신속한 검색 및 리포팅 기능 가능하게함

 

패치관리시스템(PMS)

- 시스템이 관리하는 PC 소프트웨어 업데이트 설치와 운영체제 패치를 유도하는 기업용 솔루션

- 기업은 패치관리시스템을 이용해 중앙에서 강제로 패치를 설치하게 함

- PMS 구조

 

 1. PMS는 PMS 서버, PMS 클라이언트, 관리용 콘솔로 구성

 2. PMS 서버 : 패치 배포, 위반한 사용자 인식, 위반자들에게 정책에 맞는 보안 수준을 강제적으로 적용

 3. PMS 에이전트 : 서버로부터 패치 적용, 보안정책 위반 여부를 서버에 제공

- 패치 단계

 1. 패치 준비 단계

  - 패치관리시스템은 패치 공급자로부터 패치를 받아 저장(보안채널, USB 등)

  - 그 후 패치의 무결성 및 안정성 체크 후 패치 적용 대상 목록화 수행

 2. 패치 분배 단계

  - 패치 대상 시스템에게 패치를 분배, 설치 오류 시 복구기능 제공

  - 패치 대상 시스템은 패치 정보 수집하여 패치관리 시스템에 전송, 패치 관리시스템은 받은 정보를 분석해 관리자에게 전송

 

APT(Advanced Presistent Threat)

- 지능형 지속 위협(APT)는 특정 대상을 겨냥해 다양한 공격 기법 이용해 장기간 지속적으로 공격

- 제로데이 공격, 잘 알려지지 않은 취약점을 이용한 공격 수행

- APT 공격과 기존 공격의 차이점

 1. 맞춤형 공격 : 특정 공격 대상에 맞도록 특별히 개발된 공격도구, 침입기술을 사용

 2. 낮고 느리고 지속적인(Low, Slow and Persistent) : 목표대상에게 장기간에 걸쳐 천천히 수행되고 탐지 어렵도록 조용히 수행

 3. 높은 목표의식 : 개인 PC가 아닌 기업, 국가 등 거대 조직을 목표로 수행됨

 4. 구체적인 공격목표 : 일반적인 사이버 공격과 달리 APT 공격은 국가기관, 중요 산업시설 등 특정 기관을 구체적으로 목표로 하는 공겨임

 

- APT의 공격단계 :

 1. 침투 - 목표대상에 대한 선행조사 후 침투를 시작

 2. 탐색 - 프로파일링을 이용해 전반적인 기업 정보 탐색

 3. 수집 - 새로운 악성코드 유포해 기밀정보 수집

 4. 유출 - 수집한 정보를 몰래 빼옴

 

- APT의 주요 침투 기법

1. 스피어 피싱

 - 특정 개인, 회사를 대상으로 한 피싱공격

 - 공격자가 사전에 공격 성공률을 높이기 위해 대상에 대한 정보 수집, 분석해 공격을 수행

 - APT 공격의 초기단계에서 많이 수행

 

2. 드라이브 - 바이 - 다운로드 공격

 - 목표로 삼은 조직 구성원이 방문할 가능성이 높은 사이트를 미리 침해해 조직원이 방문과 동시에 자동으로 악성코드가 다운되도록 함

 

3. 워터링 홀 공격

 - 공격 대상이 주로 방문하는 웹 사이트 정보 미리 파악 후 제로데이 취약점을 이용해 해당 사이트에 악성코드를 심음

 

4. USB 메모리 스틱 이용 기법

 - 공격자가 사전에 USB에 악성코드를 심어놓고 공격대상자 눈에 잘 띄는 곳에 방치하여 공격대상자가 이를 가지고 내부 PC 연결해 감염시키는 형태

 

사이버 킬 체인(침입타격 순환체계)

- 2009년 록히드 마틴이 공격자가 시스템 공격을 할 때 쓰는 방법 7단계를 모델화하여 어떻게 대항할지 구성한 방법

- 사이버 공격 행위 단계 중 하나만 차단되어도 전체 프로세스에게 영향을 끼쳐 사이버 공격 행위 무력화 시킴

- 사이버 킬 체인 모델

 

랜섬웨어

- 이용자의 데이터(시스템 파일, 문서, 이미지 동영상)을 암호화 하여 복호화를 위해 금전을 요구하는 공격

- 대표적인 랜섬웨어에 워너크라이(Wanna Cry), 키(Lokcy), 크립토XXX(Crypto XXX), 케르베르(CERBER), 크립토락커(CryptoLocker), 테슬라크립트(TeslaCrypt)등이 있다.

- 랜섬웨어 감염 경로

 1. 신뢰할수 없는 사이트 - 신뢰할수 없는 사이트 접속 시 드라이브 바이 다운 기법을 통해 랜섬웨어 유포

 2. 스팸메일, 스피어 피싱

 3. 파일 공유 사이트

 4. SNS

 5. N/W 망

- 일반 악성코드와 랜섬웨어 차이

구분	일반 악성코드	랜섬웨어
유포	웹 사이트, 이메일, N/W 취약점을 이용한 유포
감염	S/W 취약점, 피해자의 실행으로 감염
동작	정보 파일 유출, DDoS	문서,사진, MBR 데이터 암호화
치료	백신 등을 이용한 치료	백신등을 이용한 치료는 하지만 암호화된 파일의 복구는 어려움
피해	개인정보 유츨, 2차공격으로 인한 피해	암호화된 파일 복호화 빌미로 금전 요구