정보보안기사 필기 - 18(최신 보안 주제들)

- 블록 체인

온라인 금융 거래 정보를 블록으로 연결하여 p2p 네트워크 분산 환경에서 중앙 관리 서버가 아닌 참여자들의 디지털 장비에 분산 저장 시켜 공동으로 관리하는 방식입니다.

 

<블록체인의 기술적 특성>

탈중앙화 : 참여자들이 직접 거래기록을 검증하고 승인합니다.

투명성 : 거래기록이 생성되지마자 동싱 모든 참여자에게 전송되어 공유됩니다.

불변성 : 일단 연결된 블록은 수정하거나 삭제하기 어렵습니다.

가용성 : 한 참여자가 문제를 일으키더라도 계속해서 동작합니다.

 

<블록체인 기반 기술>

• 분산 네트워크 : 동일한 거래내역이 분산 저장되어 관립됩니다.
• 암호기술 : ECDSA 전자서명 알고리즘과 SHA-2 해시함수로 무결성을 증명합니다.
• 이중거래 방지 : 중복지출에 의해 블록체인이 나눠지는 경우 다음 블록을 먼저 생성하여 한쪽의 길이가 더 긴 체인을 옳은것으로 하는 The Longerst chanin wins 매커니즘을 사용합니다.
• 작업증명 : 새로 만든 블록 앞에 블록을 연결하는데 필요한 해시를 만들고 해시 연결성을 검증하여 데이터가 중간에 위변조가 되지 않았음을 확인합니다.
• 지분 증명 : 자신이 가진 가상통화의 양 즉 지분에 따라 블록을 생성하고 추가적으로 발행되는 코인을 받습니다.

<블록체인 보안 위협 요소>

프라이버시 문제 : 개인정보가 삭제될 수 없다보니 개인정보의 권리를 행사할 수 없습니다.

키 도난 및 분실 : 공격자에게 키를 도난 당할경우 다양한 공격에 노출됩니다.

가용성 저하 : 참여자가 급증하면 거래 처리속도가 저하됩니다.

 

- 클라우드 컴퓨팅

클라우드 컴퓨팅이란 이용자가 IT 자원을 필요한 만큼 빌려서 사용하고 서비스 부하에 따라서 실시간 확장성을 지원받으며 사용한 만큼 비용을 지불하는 컴퓨팅 환경을 말합니다.

 

<쿨라우드 컴퓨팅 보안 위협>

클라우드 컴퓨팅 보안 위협에대한 연구는 CSA(cloiud security alliance)를 중심으로 지속적으로 발표되고 있으며 2010년 클라우드 컴퓨팅 7대 위협, 203년 클라우드 컴퓨팅 9대 위협, 2016년 클라우드 컴퓨팅 12대 위협과 같이 점진적으로 늘어나고 있습니다.

 

- SecaaS 서비스

SecaaS(security as a service)는 서비스 제공자가 제공하는 보안 서비스 패키지를 의미합니다. 이를 통해 보안 책임을 기업에서는 많이 덜어낼 수 있고 보안 서비스 제공자가 그 책임을 지게 됩니다. SecaaS는 보통 신원 및 접근관리, 웹보안, 이메일 보안등을 서비스합니다.

 

- 랜섬웨어

이용자의 데이터를 암호화해 사용할 수 없도록 하고 이를 인질로 금전을 요구하는 악성프로그램을 랜섬웨어(Ransomware)라고 합니다. 대부분 윈도우 운영체제를 설치한 컴퓨터를 감염시키지만 요즘에는 안드로이드, 맥 운영체제가 설치된 시스템에도 감염사례가 있습니다. 해커의 요구사항을 처리하지 않으면 요구 금액이 증가하거나 암호화된 데이터가 삭제될 수 있습니다. 주요 랜섬웨어는 WannaCry, Locky, CryptXXX 등이 있습니다.

 

<랜섬웨어 감염 경로>

• 신뢰할 수 없는 사이트 : 단순한 홈페이지 방문만으로도 감염될 수 있으며 드라이브 바이 다운로드 기법으로 유포됩니다. 관리가 미흡한 사이트는 이용을 자제해야합니다.
• 스팸메일 및 스피어싱 : 이메일 수신시 첨부파일 또는 메일 URL링크를 통해 악성코드를 유포합니다.
• 파일 공유 사이트 : 토렌트. 웹하드등 P2P 사이트를 통해 파일을 다운로드 받을경우 감염됩니다.
• SNS : SNS 단축 URL 및 사진으로 랜섬웨어에 감염되는 사례가 늘고있습니다.

- APT(advanced persistent threat)

지능형 지속 위협(APT)는 특정 대상을 겨냥해 다양한 공격 기법을 이용하여 장기간 지속적으로 공격하는 것을 마합니다. 공격의 가장 큰 특징은 제로데이와 같이 알려지지않았던 취약점을 이용한다는 것입니다. 특정 공격 대상 기관에 맞도록 특별히 개발된 공겨도구와 침입 기술들을 사용합니다. 공격자는 목표가 달성될때까지 지속적으로 내부 공격 행위를 관찰하고 조종합니다. 불특정 다수를 대상으로 하는것보다 국가 기관 중요 산업시설등 특정 기관을 목표로 하는 공격입니다.

 

<주요 침투 기법>

• 스피어 피싱(spear phising) : 사용자를 속이기 위한 사기 이메일 및 기타 행위를 특정 대상인에게 진행하는 것을 말합니다.
• 드라이브 바이 다운로드 공격(drive-by-download-attack) : 조직의 구성원이 방문할 가능성이 높은 사이트를 미리 알아서 침해한 뒤 접속 즉시 악성코드가 다운로드 되도록 하는 공격입니다.
• 워터링 홀(watering hole) 공격 : 사자가 먹이를 습격하기위해 물웅덩이 근처에서 매복하고 있는 형상을 빗댄것으로 조직의 구성원이 주로 방문하는 웹사이트에대한 정보를 사전에 파악한 후 제로데이 취약점을 이용해 악성코드를 심어둡니다.
• USB 메모리 스틱을 이용한 기법 : USB메모리에 악성코드를 삽입하여 조직원 누군가 가져가서 내부PC에 연결하는 순간 감염되게 하는 방식입나.