[정보처리기사 필기] 시스템 보안 구축 - 153. 서비스 공격 유형

1. 서비스 거부 Dos (Denial of Service) 공격의 개념

• 표적이 되는 서버의 자원을 고갈시킬 목적으로 다수의 공격자, 시스템에서 대량의 데이터를 한 곳의 서버에 집중적으로 전송함으로써 표적이 되는 서버의 정상적인 기능을 방해하는 것
• 서비스 거부 공격의 유형 : Ping of Death, SMURFING, SYN Flooding, TearDrop, Land, DDos 등

2. 죽음의 핑 Ping of Death

• Ping 명령을 전송할 때 패킷의 크기를 인터넷 프로토콜 허용 범위 (65,536 바이트) 이상으로 전송하여 공격 대상의 네트워크를 마비시키는 서비스 거부 공격 방법
• 공격에 사용되는 큰 패킷은 수백 개의 패킷으로 분할되어 전송되는데, 공격 대상은 분할된 대량의 패킷을 수신함으로써 분할되어 전송된 패킷을 재조립해야 하는 부담과 분할되어 전송된 각각의 패킷들의 ICMP Ping 메시지에 대한 응답을 처리하느라 시스템이 다운되게 함
• 차단 기술 : jolt, sPING, ICMP bug, IceNewk 등의 변종 공격에 대비하여 ICMP Ping 메시지가 전송되지 못하도록 방화벽에서 차단하는 기술이 개발됨
  • ICMP Ping 메시지 : 특정 IP로 패킷이 전송될 때 해당 IP의 노드가 현재 운영 중인지 확인을 요청하는 메시지, 이를 수신한 노드가 운영 중이라면 Ping 메시지에 대한 응답으로 에코 응답 메시지를 전송

3. 스머핑 SMURFING

• IP나 ICMP의 특성을 악용하여 엄청난 양의 데이터를 한 사이트에 집중적으로 보냄으로써 네트워크를 불능 상태로 만드는 공격 방법
• 공격자는 송신 주소를 공격 대상지의 IP 주소로 위장하고 해당 네트워크 라우터의 브로드캐스트 주소를 수신지로 하여 패킷을 전송하면, 라우터의 브로드캐스트 주소로 수신된 패킷은 해당 네트워크 내의 모든 컴퓨터로 전송
  • 브로드캐스트 주소 : 네트워크 내의 특정 호스트를 대상으로 패킷을 전송하는 것이 아니라 네트워크 내의 선처 호스트를 대상으로 패킷을 전송할 때 사용하는 주소
• 해당 네트워크 내의 모든 컴퓨터는 수신된 패킷에 대한 응답 메시지를 송신 주소인 공격 대상지로 집중적으로 전송하게 되는데, 이로 인해 공격 대상자는 네트워크 과부하로 인해 정상적인 서비스를 수행할 수 없게 됨
• 차단 기술 : 각 네트워크 라우터에서 브로드 캐스트 주소를 사용할 수 없게 미리 설정

4. SYN Flooding

• TCP는 신뢰성 있는 전송을 위해 3-way-handshake를 거친 후에 데이터를 전송하게 되는데, SYN Flooding은 공격자가 가상의 클라이언트로 위장하여 3-way-handshake 과정을 의도적으로 중단시킴으로써 공격 대상지인 서버가 대기 상태에 놓여 정상적인 서비스를 수행하지 못하게 하는 공격 방법
  • 3-way-handshake
    • 신뢰성 있는 연결을 위해 송신지와 수신지 간의 통신에 앞서 3단계에 걸친 확인 작업을 수행한 후 통신을 수행
    • 각 단계별 역할
      • 1단계 : 송신지에서 수신지로 SYN 패킷을 전송
      • 2단계 : 수신지에서 송신지로 SYN + ACK 패킷을 전송
      • 3단계 : 송신지에서 수시지로 ACK 패킷을 전송
• 공격자는 사용할 수 없는 IP 주소를 이용해 가상의 클라이언트로 위장하여 공격 대상지인 서버로 'SYN' 신호를 보내 3-way-handshake의 첫 번째 과정을 수행
• 공격 대상지인 서버는 'SYN' 신호에 대한 응답으로 'SYN+ACK'신호를 가상의 클라이언트로 보내면서 클라이언트의 접속을 받아들이기 위해 메모리의 일정 공간을 확보
• 가상의 클라이언트는 본래 사용할 수 없는 주소였으므로 서버가 보낸 응답이 전송되지 않을 뿐만 아니라 가상의 클라이언트로부터 3-way-handahake의 마지막 과정인 'ACK' 신호도 전송되지 않으므로 공격 대상지인 서버는 메모리 공간을 확보한 상태에서 대기하게 됨
• 공격자가 사용할 수 없는 IP 주소를 이용해 공격 대상지 서버로 반복적인 3-way-handshake 과정을 요청하면 공격 대상지 서버는 메모리 공간을 점점 더 많이 확보한 상태에서 대기하게 되며, 결국 서버에 설정된 동시 사용자 수가 모두 대기 상태로 채워지게 되어 더 이상 정상적인 서비스를 수행할 수 없게 됨
• 차단 기술 : 수신지의 'SYN' 수신 대기 시간을 줄임, 침입 차단 시스템을 활용

5. TearDrop

• 데이터의 송수신 과정에서 패킷의 프기가 커 여러 개로 분할되어 전송될 때 분할 순서를 알 수 있도록 Fragment Offset 값을 함께 전송함 → TearDrop은 이 Offset 값을 변경시켜 수신 측에서 패킷을 재조립할 때 오류로 인한 과부하를 발생시킴으로써 시스템이 다운되도록 하는 공격 방법
• 차단 기술 : Fragment Offset이 잘못된 경우 해당 패킷을 폐기하도록 설정

6. Land

• 패킷을 전송할 때 송신 IP 주소와 수신 IP 주소를 모두 공격 대상의 IP 주소로 하여 공격 대상에게 전송하는 것
• 이 패킷을 받은 공격 대상은 송신 IP 주소가 자신이므로 자신에게 응답을 수행하게 되는데, 이러한 패킷이 계속해서 전송될 경우 자신에 대해 무한히 응답하게 하는 공격
• 차단 기술 : 송신 IP 주소와 수신 IP 주소의 적절성을 검사

7. DDos (Distributed Denial of Service) 분산 서비스 거부 공격 

• 여러 곳에서 분산된 공격 지점에 한 곳의 서버에 대해 분산 서비스 공격을 수행하는 것
• 네트워크에서 취약점이 있는 호스트를 탐색한 후 이를 호스트들에 분산 서비스 공격용 룰을 설치하여 에이전트 Agent로 만든 후 DDos 공격에 이용
• 공격의 범위를 확대하기 위해 일부 호스트에 다수의 에이전트를 관리할 수 있는 핸들러 프로그램을 설치하여 마스터로 지정한 후 공격에 이용하기도 함
• 분산 서비스 공격용 툴 (데몬 Daemon)
  • 에이전트의 역할을 수행하도록 설계된 프로그램
  • 분산 서비스 공격용 툴의 종류
    • Trin00 : 가장 초기 형태의 데몬, 주로 UDP Flooding 공격을 수행
    • TRN Trice Flooding Network : UDP Flooding 뿐만 아니라 TCP SYN Flood 공격, ICMP 응답 요청, 스머핑 공격등을 수행
    • TFN2K : TFN의 확장판
    • Stacheldraht : 이전 툴들의 기능을 유지하면서, 공격자, 마스터, 에이전트가 쉽게 노출되지 않도록 암호화할 통신을 수행함, 툴이 자동으로 업데이트 되도록 설계

8. 네트워크 침해 공격 관련 용어

• 스미싱 Smishing
  • 문자 메시지를 이용해 사용자의 개인 신용 정보를 빼내는 수법
  • 초기에는 문자 메시지를 이용해 개인 비밀정보나 소액 결제를 유도하는 형태로 시작됨
  • 현재는 각종 행사 안내, 경품 안내 등의 문자 메시지에 링크를 걸어 apk 파일을 설치하도록 유도하여 사용자 정보를 빼가는 수법으로 발전
• 스피어 피싱 Spear Phishing
  • 사회 공학의 한 기법
    • 사회 공학 : 컴퓨터의 보안에 있어서 인간 상호 작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨트리기 위한 비기술적 시스템 침입 수단
  • 특정 대상을 선정한 후 그 대상에게 일반적인 이메일로 위장한 메일을 지속적으로 발송하여 발송 메일의 본문 링크나 첨부된 파일을 클릭하도록 유도해 사용자의 개인정보를 탈취
• 지능형 지속 위협 APT Advanced Persistent Threats
  • 다양한 IT 기술과 방식들을 이용해 조직적으로 특정 기업이나 조직 네트워크에 침투해 활동 거점을 마련한 뒤 때를 기다리며 보안을 무력화시키고 정보를 수집한 다음 외부로 빼돌리는 형태의 공격
  • 공격 방법
    • 내부자에게 악성코드가 포함된 이메일을 오랜 기간 동안 꾸준히 발송해 한 번이라도 클릭되길 기라디는 형태
    • 스탁스넷 Stuxnet과 같이 악성코드가 담긴 이동식 디스크 등으로 전파하는 형태
    • 악성코드에 감염된 P2P 사이트에 접속하면 악성코드에 감염되는 형태 등
• 무작위 대입 공격 Brute Force Attack
  • 암호화된 문서의 암호키를 찾아내기 위해 적용 가능한 모든 값을 대입하여 공격하는 방식
• 큐싱 Qshing
  • QR코드를 통해 악성 앱의 다운로드를 유도하거나 악성 프로그램을 설치하도록 하는 금융사기 기법의 하나
  • QR코드와 개인정보 및 금융정보를 낚는다는 의미의 합성 신조어
• Phishing
  • 개인정보와 낚시의 합성어
  • 이메일이나 메신저 등을 통해 공기관이나 금융 기관을 사칭하여 개인 정보를 빼내는 기법
• Ping Flood
  • 특정 사이트에 매우 많은 ICMP 메시지를 보내 이에 대한 응답 Respond으로 시스템 자원을 모두 사용하게 해 시스템이 정상적으로 동작하지 못하도록 하는 공격 방법
• Evli Twin Attack
  • 실제 존재하는 동일한 이름의 무선 WIFI 신호를 송출하여 로그온한 사람들의 계정 정보나 신용 정보 등을 빼내는 기법
• 스위치 재밍 Switch Jamming
  • 위조된 매체 접근 제어 MAC 주소를 지속적으로 네트워크로 흘려보내, 스위치 MAC 주소 테이블의 저장 기능을 혼란시켜 더미 허브처럼 작동하게 하는 공격

9. 정보 보안 침해 공격 관련 용어

• 좀비 Zombie PC
  • 악성코드에 감염되어 다른 프로그램이나 컴퓨터를 조종하도록 만들어진 컴퓨터
  • C&C 서버의 제어를 받아 주로 DDoS 공격에 이용
• C&C 서버
  • 해커가 원격지에서 감염된 좀비 PC에 명령을 내리고 악성코드를 제어하기 위한 용도로 사용하는 서버
• 봇넷 Botnet
  • 악성 프로그램에 감염되어 악의적인 의도를 사용될 수 있는 다수의 컴퓨터들이 네트워크로 연결된 형태
• 웜 Worm
  • 네트워크를 통해 연속적으로 자신을 복제하여 시스템의 부하를 높임으로써 결국 시스템을 다운시키는 바이러스의 일종
  • 분산 서비스 거부 공격, 버퍼 오버플로 공격, 슬래머 등
    • 버퍼 오버플로 공격 : 버퍼의 크기보다 많은 데이터를 입력하여 프로그램이 비정상적으로 동작하도록 만드는 것
    • 슬래머 : SQL의 허점을 이용하여 SQL 서버를 공격하는 웜 바이러스의 형태
• 제로 데이 공격 Zero Day Attack
  • 보안 취약점이 발견되었을 때 발견된 취약점의 존재 자체가 널리 공표되기도 전에 해당 취약점을 통하여 이루어지는 보안 공격
  • 공격의 신속성을 의미
• 키로거 공격 Key Logger Attack
  • 컴퓨터 사용자의 키보드 움직임을 탐지해 ID, 패스워드, 계좌번호, 카드번호 등과 같은 개인의 중요한 정보를 몰래 빼가는 해킹 공격
• 랜섬웨어 Ransomware
  • 인터넷 사용자의 컴퓨터에 침입해 내부 문서나 파일 등을 암호화해 사용자가 열지 못하게 하는 프로그램
  • 암호 해독용 프로그램의 전달을 조건으로 사용자에게 돈을 요구하기도 함
• 백도어 Back Door, Trap Door
  • 시스템 설계자가 서비스 기술자나 유지 보수 프로그램 작성자의 액세스 편의를 위해 시스템 보안을 제거하여 만들어 놓은 비밀통로
  • 컴퓨터 범죄에 악용되기도 함
  • 백도어 탐지 방법 : 무결성 검사, 열린 포트 확인, 로그 분석, SetUID 파일 검사 등
• 트로이 목마 Trojan Horse
  • 정상적인 기능을 하는 프로그램으로 위장하여 프로그램 내에 숨어 있다가 해당 프로그램이 동작할 때 활성화되어 부작용을 일으키는 것
  • 자기 복제 능력은 없음
• 파밍 Pharming
  • 해커가 악성코드에 감염된  PC를 조작하여 이용자가 정상적인 사이트에 접속해도 중간에서 도메인을 탈취하여 가짜 사이트로 접속하게 한 다음 개인 정보나 금융정보를 몰래 빼내는 행위

10. 블루투스 공격 관련 용어

• 블루버그 BlueBug
  • 블루투스 장비 사이의 취약한 연결 관리를 악용한 공격
  • 휴대폰을 원격 조정하거나 통화를 감청할 수 있음
• 블루스나프 BlueSnarf
  • 블루투스의 취약점을 활용하여 장비의 파일에 접근하는 공격
  • 인증없이 간편하게 정보를 교환할 수 있는 OPP Object Push Profile를 사용하여 정보를 열람
• 블루프린팅 BluePrinting
  • 공격 대상이 될 블루투스 장비를 검색하는 활동
• 블루재킹 BlueJacking
  • 블루투스를 이용해 스팸처럼 메시지를 익명으로 퍼트리는 공격