[정보처리기사] 필기 노트 - 시스템 보안 구축

• 시스템 보안 설계
  • 시스템 보안 설계란?
    • 악성 코드 식별, 중요 데이터 보호, 비밀 데이터 암호화를 할 수 있는 정보 시스템을 만들어 악성 코드를 감소시키고, 중요 정보를 보호하고, 비밀 데이터를 안전하게 유지하는 비지니스 해결책을 설정하고 계획하는 모든 과정
  • 시스템 보안의 설계
    • 계정과 패스워드 보안 설계
      • 필요한 사람에게만 계정을 발급, 탈퇴 시에는 계정을 삭제하거나 중지하도록 설계
    • 세션 관리 보안 설계
      • 세션 인증 프로세스를 설계하여 세션에 대한 지속적인 인증이 필요하도록 설계
    • 접근 통제 보안 설계
      • 시스템 접속은 접근 권한을 최소화하여 접근하도록 설계
    • 권한 관리 보안 설계
      • 시스템 접근 권한(모든 권한, 수정, 읽기 및 실행, 디렉터리 내용 보기, 읽기 쓰기 등) 설정은 최소한으로 설계
    • 로그 관리 보안 설계
      • 시스템에 접속한 인증, 인가, 계정에 대한 로그를 기록하도록 설계
    • 취약점 관리 보안 설계
      • 주기적으로 패치 혹은 서비스 팩을 설치하고 시스템의 갱신을 실시하도록 관리
• 서비스 공격 유형
  • 서비스 거부 공격 (DoS: Danial of Service)
    • 다수의 공격자가 한 서버에 대량의 데이터 패킷을 집중적으로 전송하여 서버가 정상적인 동작을 못하도록 하는 공격
    • 죽음의 핑 (Ping of Death)
      • Ping 명령을 전송하면 ICMP Echo Request 패킷을 원격 IP 주소에 송신하고 ICMP 응답을 기다리는데 버퍼 크기를 초과하는 핑 패킷이 공격 대상의 IP 스택을 넘치게 하는 경우 네트워크를 마비시키는 서비스 공격 방법
    • 스머핑 (Smurfing)
      • IP나 ICMP의 특성을 악용하는 스머프 프로그램에 의해 엄청난 양의 데이터를 한 사이트에 집중적으로 보냄으로써 네트워크의 일부를 불능 상태로 만드는 공격 방법
    • TearDrop
      • 패킷의 크기가 클 경우 1500바이트 단위의 조각으로 나누어 fragment number 를 붙여 송신하고 수신측에서 재조합하여 분석하는데 fragmentation offset 을 위조하여 offset을 중복되게 하거나 공간을 두어 수신측에 재조합이 안되어 다운이 되게 하는 공격
    • DDoS (분산 서비스 거부 공격)
      • 특정 서버에 수 많은 접속 시도로 정상적인 서비스 이용을 못하도록 하는 공격 기법
    • SYN Flooding
      • TCP/SYN-ACK 패킷을 보낸 후 송신자 주소로 부터의 패킷을 기다리게 되지만 송신자 주소가 위조되어 응답이 돌아오지 않게 되며 이러한 한쪽만 열린 접속으로 서버에서 사용 가능한 접속의 수가 차면 공격이 지속되는 동안 정당한 요청에 답을 할 수 없게 되는 공격
    • Land 공격
      • 공격자가 인위적으로 송신지 IP 주소 및 포트를 목적지 IP주소 및 포트와 동일하게 서버에 접속함으로서 서버의 실행 속도가 느려지거나 마비되게 하는 공격
  • 네트워크 침해 공격
    • 스미싱 (Smishing)
      • 문자 메시지 내에 링크된 인터넷 주소를 클릭하면 악성 코드가 설치되어 사용자의 정보를 빼가거나 소액 결제를 진행하는 악성 프로그램
    • 큐싱 (Qshing)
      • QR코드와 개인정보, 금융정보를 낚는다는 피싱의 합성어로 QR코드를 통해 악성 링크로 접속을 유도하거나 직접 악성 코드를 심는 금융사기 기법
    • SQL 인젝션 (SQL Injection)
      • 공격자가 입력 폼 및 URL 입력란에 SQL 문을 삽입하여 정보를 열람하거나 조작하는 공격 기법
    • 크로스사이트 스크립팅 (XSS: Cross-site Scripting)
      • 공격자가 게시판에 악성 스크립트를 저장하여 피해자가 해당 글을 읽을 경우 악성 스크립트가 실행되도록 하는 공격 기법
    • 지능형 지속 위협 (APT: Advanced Persistent Threat)
      • 국가, 정치, 개인, 산업체 등 목표 조직을 타깃으로 하여 다양한 보안 위협을 만들어 침해에 성공해 정보를 유출하거나 장기간의 접속 권한을 획득하기 위해 또는 장기간의 접근을 위해 지속적으로 수행되는 공격
    • 무작위 대입 공격 (Brute Force Attack)
      • 암호문을 풀기 위해 모든 가능한 암호 키 조합을 적용해 보는 공격 방식
  • 정보 보안 침해 공격
    • 랜섬웨어 (Ransomware)
      • 데이터를 암호화하여 놓고 암호 화폐로 몸값을 지급할 때까지 기다리는 악성 코드 프로그램
    • 웜 (Worm)
      • 자신 혹은 변형된 자신을 연속적으로 복제하여 적법한 컴퓨터 시스템에 침입하는 프로그램
    • 키로거 공격 (Key Logger Attack)
      • 컴퓨터 사용자의 키보드 움직임을 탐지해 ID, 패스워드, 계좌번호, 카드 번호 등과 같은 개인의 중요한 정보를 몰래 빼가는 해킹 공격
    • 좀비 PC (Zombie PC)
      • 주로 DDoS 공격 등에 이용되는 컴퓨터로 악성 코드에 감염되어 C&C 서버의 제어를 받아 다른 프로그램이나 컴퓨터를 조종하도록 만들어진 컴퓨터
    • 트로이 목마 (Trojan Horse)
      • 악성 코드 중 자기복제 기능은 없지만, 다른 프로그램으로 위장하여 공격하는 악성코드
    • 봇넷 (Bolnet)
      • 봇에 의해 감염된 다수의 컴퓨터가 좀비와 같이 C&C 서버라는 중앙 집중형 명령 / 제어 방식을 통해 전송되는 못 마스터의 명령에 의해 공격
    • 백도어 (Backdoor)
      • 시스템 보안이 제거된 비밀통로라고도 하며 프로그램이나 손상된 시스템에 허가되지 않는 접근을 할 수 있도록 정상적인 보안 절차를 우회하는 악성 소프트웨어
• 서버 인증
  • 인증
    • 한 개인을 식별하는 보안 절차
    • 로그인을 요청한 사용자의 정보를 확인하고 접근 권한을 검증하는 시도
  • 인증 수단
    • 지식 기반 인증 (Something You Know)
      • 내가 알고 있는 것을 통한 인증을 수행하는 방법으로 관리 비용이 저렴
      • 패스워드, 아이핀, 패스프레이즈 등
    • 소유 기반 인증 (Something You Have)
      • 내가 가진 것을 통한 인증을 수행하는 방법
      • 스마트 카드, 메모리 카드, 인증서, 보안카드, OTP, 신분증 등
    • 생체 기반 인증 (Something You Are)
      • 내 몸의 생체 정보를 통한 인증을 수행하는 방법
      • 지문, 음성, 홍채 / 망막, 안면 형태, 심박수, 정맥 등
    • 위치 기반 인증
      • 현재 접속을 시도하는 위치의 적절성을 확인하는 방법
      • GPS나 IP주소, 콜백을 이용한 위치 기반 인증
  • 서버 인증
    • 서버 인증이란?
      • 서버에 SSL 인증서를 설치하여 전송 정보를 암호화하여 송수신하는 기능으로 인증 처리
    • 서버 인증 방식
      • SSL Connection 인증 과정
        • SSL Server: 인증 사용자의 웹 브라우저가 웹 서버를 인증하는 단계
        • SSL Client: 인증 웹 서버가 요청한 클라이언트를 인증하는 단계
        • Encrypt Connection: 클라이언트와 서버 사이에 교환되는 모든 데이터는 내용을 보호하기 위한 암호화를 요구받음
      • SSL 웹 서버 인증서의 목적
        • https://암호화 프로토콜로 안전하게 전송되는 보안의 목적
        • SSL 웹 서버 인증서는 신뢰 받는 곳만 발급되는 인터넷 상의 신원증명서로 확실한 인증의 목적
      • SSL 웹 서버 인증서의 효과
        • 스니핑을 이용한 정보 유출 방지
        • 피싱을 이용한 위조 사이트 등의 방지
        • 악의적인 데이터 변조 방지
        • 정식으로 업체 인증을 받고 보안 인증을 설치하여 기업 신뢰도 향상
        • 고객의 개인정보보호를 위한 개인보호정책
• 서버 접근 통제
  • 접근 통제 정책 종류
    • 임의적 접근 통제 정책 (DAC: Discretionary Access Control)
      • 모든 개별의 주체(사용자)와 객체 단위로 접근 권한을 설정
      • 객체의 소유주가 주체와 객체 간의 접근 통제 관계를 정의하고 접근 통제 목록 (ACL)을 통해 구현
    • 강제적 접근 통제 정책 (MAC: Mandatory Access Control)
      • MLS 라고하며 규칙기반 통제이고 사전에 정의된 규칙을 기반
      • 주체의 허용 권한과 객체의 허용 등급을 바탕으로 접근 통제
    • 역할 기반 접근 통제 정책 (RBAC: Role Based Access Control)
      • DAC와 MAC의 단점을 보완한 접근 통제 정책
      • 비 임의적 접근 통제로 역할을 구분해서 규칙을 정의
  • 접근 통제 절차
    • 식별
      • ID의 입력을 통해 신원을 확인하는 과정
      • 인증 서비스에 스스로를 확인시키기 위하여 정보를 공급하는 주체의 활동
    • 인증
      • 컴퓨터 네트워크에서 특정 정보로 접근하려고 할 때 개인을 검증하거나 식별하는 것
      • 주체의 신원을 검증하기 위한 사용자 증명
    • 인가
      • 인증을 통해 식별된 주체의 실제 접근 가능 여부와 주체가 수행 가능한 일을 결정하는 과정
      • 특정한 사이트나 서비스, 프로그램, 데이터에 접근할 수 있는 권한을 주는 것
    • 책임 추정성
      • 문제 발생 시 책임과 원인 소재를 파악
      • 정보 보호 원칙을 위반한 개인을 추적할 수 잇고 책임을 지울 수 있음
• 보안 아키텍처
  • 보안 아키텍처 (Security Architecture)란?
    • 정보 자산의 기밀성, 무결성, 가용성을 확보하기 위하여 관리적, 물리적, 기술적 보안 영역의 구성 요소 간의 관계를 정의한 구조
  • 보안 아키텍처 역할
    • 보안 구성 요소 및 관계의 파악과 분석
    • 조직의 목적 및 미션에 맞는 보안 아키텍처 구현
    • 현행 보안 환경의 분석 및 개선을 위한 솔루션 권고
    • 보안 아키텍처 구현 및 변경 활동 감사
    • 모든 보안 아키텍처 및 분석 작업의 문서화
  • 보안 아키텍처 모델
    • 보안 계층
      • 인프라 시스템, 응용 프로그램, 데이터(DB), 단말기(PC), 인터페이스
    • 보안 영역
      • 정보 시스템, 제어 시스템, 클라우드, 무선, 사물인터넷
    • 보안 요소
      • 인증, 접근 통제, 데이터 처리 보호, 암호화, 감사 추적, 위협 탐지
• 보안 프레임워크
  • 시스템 보안 프레임워크
    • 소프트웨어 시스템 개발 과정에 있어서 뼈대 역할을 하는 구조로 안전한 정보 시스템 환경을 유지하고 보안 수준을 향상시키기 위한 체계
  • 정보 시스템 보안 계층
    • 클라이언트, 네트워크, 서버, 애플리케이션, 데이터(DB)
  • 정보보호 기술영역
    • 인증, 접근 통제, 암호화, 로깅 및 감사, 프라이버시, 침해사고 예방 및 대응
  • 보안 통제 항목
    • 보안 정책, 정보 보안 조직, 자산 관리, 인적 자원 보안, 접근 통제, 암호화, 물리적 및 환경적 보안, 통신 보안, 운영 보안, 시스템 획득, 개발 및 유지보수, 공급자 관계, 정보 보안사고 관리, 정보 보호 측면 업무 연속성 관리, 준거성
• 로그 분석과 보안 솔루션
  • 로그 분석(Log Analysis)
    • 로그란?
      • 컴퓨터나 장비의 데이터 처리 내용, 이용 상황 등 다양한 운용 정보를 시간의 흐름에 따라 기록한 정보
    • 리눅스 로그 파일
      • 커널 로그-파일명: /dev/console, 데몬: kernel
      • 부팅 로그-파일명: /var/log/boot.log, 데몬: bootl
      • 크론 로그-파일명: /var/log/cron, 데몬: crond
      • 시스템 로그-파일명: /var/log/messages, 데몬: syslogd
      • 보안 로그-파일명: /var/log/secure, 데몬: xinetd
      • FTP 로그-파일명: /var/log/xferlog, 데몬: ftpd
      • 메일 로그-파일명: /var/log/maillog, 데몬: sendmail popper
    • 유닉스 로그 파일
      • utmp-로그인한 사용자의 아이디, 사용자 프로세스, 실행 레벨, 로그인 종류 등 기록
      • wtmp-사용자의 로그인/로그아웃 시간과 IP/세션 지속 시간 기록
      • Secure-원격지 접속 로그, 보안과 직접 관련된 기록
      • History-명령 창에서 실행했던 명령들을 기록
      • syslog-시스템 전반적인 로그
    • 윈도우(Windows) 로그
      • [제어판]-[관리도구]-[이벤트 뷰어]에서 시스템의 로그를 관리
      • 응용 프로그램, 보안, 시스템, Setup, Forwarded Events
  • 보안 솔루션
    • 보안 솔루션이란?
      • 외부로부터의 불법적인 침입을 막는 기술 및 시스템으로 접근 통제, 침입 차단 및 탐지 등을 수행
    • 보안 솔루션
      • 방화벽(Firewall)
        • 내부 네트워크에서 인터넷으로 나가는 패킷은 그대로 통과시키고, 인터넷에서 내부 네트워크로 들어오는 패킷은 인증된 패킷만 통과하는 구조로, 해킹 등에 의한 외부로의 정보유츨을 막기 위해 사용하는 보안 시스템
      • 침입 탐지 시스템(IDS: Intrusion Detection System)
        • 인가된 사용자 혹은 외부의 침입자에 의해 컴퓨터 시스템의 허가되지 않은 사용이나 오용 또는 악용과 같은 침입을 알아내기 위한 시스템
      • 침입 방지 시스템(IPS: Intrusino Prevention System)
        • 방화벽과 침입 탐지 시스템을 결합한 것으로 네트워크에서 공격 서명을 찾아내 자동으로 조치를 취해 비정상적인 트래픽을 중단시키는 보안 시스템
      • 데이터 유출 방지(DLP: Data Leakage/Loss Prevention)
        • 기업 내부자의 고의나 실수로 정보가 밖으로 새어나가는 것을 방지하는 시스템
      • VPN(Virtual Private Network, 가상 사설 통신망)
        • 공중망에서 통신 채널을 암호화하여 개별 망들을 하나의 사설망처럼 구성하여 안전한 통신을 할 수 있도록 보장하는 네트워크 기술
      • 웹 방화벽
        • 웹 관련 공격 경로를 감시하고 공격이 웹 서버에 도달하기 전에 차단하는 시스템
      • NAC(Network Access Control)
        • 허가되지 않거나 웜 바이러스 등 악성 코드에 감염된 PC나 노트북, 모바일 단말기 등이 내부 망에 접속되는 것을 원천적으로 차단해 시스템 전체를 보호하는 솔루션
      • ESM
        • 칩입 차단 시스템(Firewall), 침입 탐지 시스템(IDS), 가상 사설망(VPN) 등 서로 다른 보안제품에서 발생하는 정보를 한 곳에서 모으는 역할을 하는 보안 관제 시스템
• 취약점 분석 및 평가
  • 취약점 분석 및 평가란?
    • 악성 코드 유포, 해킹 등 사이버 위협에 대한 주요 정보통신 기반시설의 취약점을 종합적으로 분석 및 평가 개선하는 일련의 과정
  • 취약점 분석 및 평가 범위 및 항목
    • 정보통신 기반시설의 세부시설로 저으이된 정보 시스템 자산, 제어 시스템 자산, 의료 시스템 자산 등이 취약점 분석 및 평가 범위이며 정보 시스템 자산에 직간접적으로 관여하는 물리적, 관리적, 기술적 분야를 포함
  • 수행 절차 및 방법
    • 1단계: 취약점 분석, 평가 계획 수립
    • 2단계: 취약점 분석, 평가 대상 선별
    • 3단계: 취약점 분석 수행
    • 4단계: 취약점 평가 수행