보안

[보안]

● 가치있는 유/무형의 자산을 위험으로부터 보호하는 행위

● 자산을 보호하기 위한 기술적/관리적 방법

● 자산(Assets)

• 조직이 보호해야 하는 유/무형의 대상
• 유형 자산 = 하드웨어, 소프트웨어, 기반 시설 등
• 무형 자산 = 정보, 관련 인력, 기업 이미지 등

● 위협(Risk)

• 자산에 손실을 줄 수 있는 사건의 잠재적 원인 또는 행위자

● 위험(Threats)

• 외부의 위협이 내부의 취약점을 이용하여 보유한 각종 자산에 피해를 줄 수 있는 잠재적인 가능성

● 취약점(Vulnerability)

• 위협 발생의 잠재적 조건으로 자산에 내제된 보안에 취약한 속성

---

[보안의 3대 요소]

 

보안의 3원칙: CIA Triad (Confidentiality, Integrity, Availability)

정보 보안을 지키기 위한 3대 요소

 

1. 기밀성 (Confidentiality)

   - 인가받은 사용자만 정보 자산에 접근할 수 있음을 보장함
   - 대표 공격: Sniffing (훔쳐보기)

 

2. 무결성 (Integrity)

   - 권한을 가진 사용자에 의해 인가된 방법으로만 정보를 변경할 수 있음을 보장함
   - 대표 공격: Spoofing (속이기)

 

3. 가용성 (Availability)

   - 정보 자산에 대해 적절한 시간에 접근 가능함을 보장함
   - 대표 공격: Dos/DDos/DRDos (중단시키기)

---

[모의 해킹]

● 자산의 보안 취약점을 미리 발견하기 위해 인가된 보안 전문가가 가상으로 수행하는 해킹

---

[공개 모의해킹 (White Box Testing)]

● 대상에 대한 내부 시스템 정보를 제공받아서 시스템의 잠재적인 보안 위협을 식별하는 방식

● 짧은 기간 내에 최대한 많은 취약점을 발견하여 조치하려는 목적에서 수행

장점	● 모의해킹 진행 시 IP가 차단되지 않음 ● 대상의 내부 시스템의 정보를 획득한 상태에서 진행됨
단점	● 효과적인 평가가 어려움 ● 대상의 현재 보안 프로그램의 공격 탐지율을 평가할 수 없음

---

[비공개 모의해킹 (Black Box Testing)]

● 대상에 대한 내부 시스템 정보를 제공받지 않고 시스템의 잠재적인 보안 위협을 식별하는 방식

● 공개 모의해킹 방식보다 더 많은 기술,비용,시간이 필요함

Blind Test	● 대상이 모의해킹에 대해 인지하고 있는 상태에서 수행됨
Double Blind Test	● 대상이 모의해킹에 대해 인지하지 못한 상태에서 수행됨

---

[모의 해킹 단계 (PTES)]

1) 사전 계약

• 모의 해킹의 약관과 범위를 고객과 협의하는 과정
• 계약의 목표를 고객에게 전달하는 것이 중요함
• 계약 기간 동안 수행할 일
• 테스트 내용
• 모의 해킹 수행을 위한 모든 계획을 알림

2) 정보 수집

• SNS, 구글 해킹, Footprinting 등의 공격을 통해 대상의 정보를 수집하는 단계
• 공격 대상에 대한 광범위한 정보를 수집하여 이를 고려해 영향을 줄 수 있는 공격 방법을 선정함
• 수집된 정보는 현재 보안 수준을 파악할 수 있는 자료가 됨
• 시스템을 파악 방해하는 보호 메커니즘 식별
• 대상의 해킹 대처 능력 파악을 위해 IP를 속여서 정보를 수집하기도 함

3) 위협 모델링

• 정보 수집 단계에서 파악된 정보를 이용하여 대상에 존재할 수 있는 취약점을 식별하는 단계
• 수집된 정보를 통해 가장 효과적인 공격 방법 결정
• 공격할 취약한 지점을 선정함

4) 취약점 분석

• 위협 모델링에서 식별한 성공률 높은 공격 방법으로 대상에게 어떻게 접근할 것인지 고려하는 과정
• 수집한 정보를 통합 이용하여 실행 가능한 공격 방법을 결정함
• 정보 수집 단계의 전체 정보와 노출된 배너 정보(Banner Grabbing), 취약점 탐색(Vulnerability Scanning), 사용자 계정 정보를 이용함

5) 침투 수행 (exploit, post exploit)

• 침투의 정확도보다 문제점을 찾아내는 것이 중요함
• 공격 성공 가능성이 높다고 판단된 취약점을 이용하여 침투 수행을 시도함
• 정확한 진단 결과를 위해 가상 시스템으로 침투 테스트를 수행한 후 성공한 취약점을 이용하여 Exploit를 제작하여 침투함

6) 보고서 작성

• 침투 테스트를 위해 무엇을 어떻게 진행했고 가장 중요한 것은 무엇이며 발견된 취약점을 어떻게 해결해야 하는지 명시해야 함
• 보고서 구성: 개요, 기술, 침투 테스트의 결과물
• 침투 테스트 결과물: 침투 테스트 과정 중 문제가 발생한 부분을 명시하여 대상이 보안 문제점을 개선할 수 있도록 해야 함

---

[기본지식]

[Hacking]	[Cracking] 악의적인 목적으로 시스템에 침입하여 공격하는 모든 행위
[Hacker]	[White Hat] ● 전문적인 보안 전문가 [Black Hat] ● 악의적인 목적으로 정보체계에 침입, 정보 변조 및 유출, 파괴 [Gray Hat] ● 시스템의 취약점 분석, 허가 없이 침투하여 알아낸 취약점을 상대방에게 알려주거나 보안 요소를 설치하는 사람 [Blue Hat] ● 보안 테스터 [Hacktivist] ● 해커와 행동주의를 합성한 핵티비즘을 수행하는 단체 (정치, 사회, 종교 등의 특정 메시지를 알리는 것을 목적)
Hacker의 분류
[Lamer]	● 해커가 되고 싶지만 지식이 없음 ● 악성코드를 어디서 구해서 이용하는 수준
[Script Kiddie]	● 네트워크, 운영체제, 시스템 등의 약간의 기술적 지식을 가진 해커 ● 알려진 툴을 이용하여 공격하는 정도
[Develop Kiddie]	● 대부분의 알려진 해킹기법을 알고 있으며, 취약점을 여러번의 시도 끝에 성공하는 수준 ● 능숙하지 못하고 미숙한 수준
[Semi-Elite]	● 시스템의 취약점을 알거나 찾아내고 수준급의 해킹 실력을 보유 ● 가끔 흔적을 남겨 추적당하는 수준
[Elite]	● 원하는 시스템의 취약점을 알아내 해킹에 성공하는 최고 수준의 해커