스푸핑(Spoofing) 

🔹 스푸핑이란?

• 원래 뜻: 다른 사람을 흉내 내거나 속이는 행위
• 공격자가 자신을 송·수신자인 것처럼 속여 정보를 가로채는 공격 기법

🔹 스니핑(Sniffing) vs. 스푸핑(Spoofing)

🔹 스푸핑의 종류

1. 2계층(ARP 스푸핑)
   • 공격자가 같은 스위치 내에서 MAC 주소를 조작해 공격
2. 3계층~7계층(고급 스푸핑 기법)
   • 내부·외부 네트워크에서도 공격 가능

🔹 ARP(Address Resolution Protocol)의 개념

• 역할: IP 주소를 MAC 주소(네트워크 카드 고유 번호)로 변환하는 프로토콜
• 특징: 네트워크에서 장치 간 통신을 위해 반드시 필요
• 공격 방법: 공격자가 대상의 MAC 주소를 가로채서 잘못된 정보로 속임

🔹 ARP 동작 방식

 같은 네트워크(로컬)에서의 동작

1. 단말 A → 단말 B의 MAC 주소를 모름, ARP 요청(Who has IPB?)
2. 스위치 → 네트워크 전체에 요청을 브로드캐스트
3. 단말 B → "내가 IPB야!" 응답 전송
4. 단말 A → B의 MAC 주소를 ARP 테이블에 저장

 외부 네트워크(인터넷)에서의 동작

• 단말 A가 단말 C와 통신하려면, 게이트웨이(Gateway)의 MAC 주소를 이용하여 ARP 응답을 받음

ARP 스푸핑(ARP Spoofing)

🔹 공격 원리

• 공격자가 가짜 ARP 응답을 계속 보내서, 다른 컴퓨터의 ARP 테이블을 조작
• 피해자가 잘못된 MAC 주소를 저장 → 데이터가 공격자에게 전달됨

🔹 공격 과정

1. 공격자가 가짜 ARP 응답 전송 → 피해자의 ARP 테이블에 잘못된 MAC 주소 저장
2. 피해자가 B에게 보내는 메시지가 공격자로 전달됨
3. 공격자는 데이터를 가로채서 확인하거나 수정 후 다시 원래 수신자에게 전송
   • 즉, 공격자는 중간에서 엿듣기(스니핑) & 변조 가능

🔹 현상 및 탐지 방법
✔ 이상한 ARP 응답이 반복적으로 발생 (Wireshark 등 패킷 분석 툴로 확인)
✔ ARP 테이블에 중복된 MAC 주소가 존재 (arp -a 명령어 사용)
✔ 네트워크 속도 저하 (공격자를 거쳐 메시지가 전송되기 때문)

🔹 방지 방법
정적인 ARP 테이블 관리 (변경 불가능한 MAC-IP 매핑 설정)
보안 프로그램 사용 (xarp, arpwatch 등으로 ARP 테이블 감시)
PC 및 서버 보안 강화 (보안 업데이트, 방화벽 설정)

IP 스푸핑(IP Spoofing)

🔹 공격 원리

• 공격자가 자신의 IP 주소를 속여 신뢰할 수 있는 시스템인 척하는 공격
• IP 기반 인증 시스템이 있을 경우 쉽게 속을 수 있음

🔹 공격 과정

1. 공격자가 신뢰받는 서버(A)를 먼저 공격 → 무력화(DoS 공격 등)
2. A의 IP 주소(IPA)로 변조한 패킷을 B 서버로 전송
3. B는 신뢰하는 A의 IP라고 착각하고 공격자의 요청을 허용
   • 결과: 공격자는 인증 없이 B 서버에 접근 가능

🔹 방지 방법
IP 기반 인증 시스템을 사용하지 않음 (더 안전한 인증 방식 적용)
트러스트 관계를 맺은 서버 보안 강화 (보안 업데이트, 취약점 점검)
패킷 필터링(Packet Filtering)

• 게이트웨이에서 출발지가 내부 IP인 외부 패킷을 차단

ICMP & DNS 스푸핑

ICMP (Internet Control Message Protocol)

ICMP는 네트워크 문제를 감지하고 해결하는 프로토콜

🔹 ICMP의 역할
✔ 네트워크 흐름 통제

• • 게이트웨이가 2개 이상인 네트워크에서 트래픽을 효율적으로 분배
  • 특정 게이트웨이가 과부하일 경우, ICMP 리다이렉트 메시지로 다른 게이트웨이로 유도

✔ 네트워크 문제 감지

• • 핑(Ping) 명령어 사용 → 네트워크 연결 상태 확인

  ---

ICMP 스푸핑(ICMP Spoofing)

공격자가 ICMP 메시지를 조작하여 자신을 게이트웨이처럼 속이는 공격

🔹 공격 과정

• 1. 공격자가 ICMP 리다이렉트 메시지를 조작하여 A가 자신을 거치도록 만듦
  2. A가 C에게 보낼 메시지가 공격자에게 전달됨
  3. 공격자는 메시지를 가로채고 다시 원래 게이트웨이로 전송 (사용자는 공격 사실을 인지하기 어려움)

🔹 ICMP 스푸핑의 위험성
✔ 네트워크 내부뿐만 아니라 게이트웨이 바깥에서도 공격 가능
✔ 공격자가 데이터를 가로채고 변조할 수 있음

🔹 방지 방법
방화벽에서 ICMP 차단 (최근 게이트웨이들은 기본적으로 적용)
네트워크 보안 강화 (보안 장비 & 침입 탐지 시스템 활용)

DNS (Domain Name System)

DNS는 웹사이트의 도메인(URL)을 IP 주소로 변환하는 시스템

• • 예: www.google.com → 142.250.190.46

  ---

DNS 스푸핑(DNS Spoofing)

공격자가 가짜 IP 주소를 사용하게 만들어 사용자를 속이는 공격

🔹 공격 방식

• 1. 사용자가 www.bank.com에 접속하려 함
  2. 공격자가 DNS 응답을 조작하여 가짜 은행 사이트로 접속하도록 유도
  3. 사용자가 가짜 사이트에 로그인하면, 개인정보 & 금융 정보 탈취

🔹 DNS 캐시 포이즈닝(DNS Cache Poisoning) 공격
✔ DNS 서버의 캐시를 변조하여 잘못된 IP 주소를 저장
✔ 사용자가 요청할 때마다 가짜 사이트로 연결됨

🔹 공격 기법
✔ 랜덤 ID 기반 공격: 공격자가 무작위 ID 값을 대량 생성하여 DNS 서버를 속임
✔ 생일 공격(Birthday Attack): ID 충돌 확률을 높여 DNS 변조 성공률 증가

🔹 방지 방법
DNS 서버 소프트웨어 최신 버전 유지 (예: BIND 최신 업데이트)
DNSSEC(Domain Name System Security Extensions) 사용 (DNS 응답 암호화)
DNS 서버 설정 변경 (외부에서 요청하는 DNS 질의 제한)

네트워크 보안 공격 개요

1. ICMP (인터넷 제어 메시지 프로토콜)와 보안 위협

ICMP의 역할

ICMP는 네트워크의 원활한 흐름을 돕고, 문제 발생 시 알리는 역할을 함.

• 네트워크 흐름을 조절하여 최적의 경로로 패킷을 전달 (ICMP 리다이렉트 메시지)
• 네트워크 부하를 조절하여 특정 게이트웨이로 트래픽을 분산

ICMP 스푸핑(위장 공격)

• 공격자가 ICMP 리다이렉트 메시지를 조작하여 사용자가 공격자의 네트워크를 통해 데이터를 전송하도록 유도
• 이를 통해 스니핑(도청) 후 원래 목적지로 데이터를 전달하여 공격을 숨김
• 최신 네트워크 장비는 ICMP 스푸핑 방지를 위해 방화벽 등으로 차단

2. DNS(도메인 네임 시스템) 스푸핑

DNS 역할

도메인(URL)을 입력하면 해당하는 IP 주소를 찾아주는 서비스

DNS 스푸핑 (DNS 변조 공격)

• 공격자가 가짜 IP 주소를 제공하여 사용자가 악성 웹사이트에 접속하게 만듦
• 예: 가짜 은행 사이트를 만들어 금융 정보를 탈취

DNS 스푸핑 기법

1. 스니핑을 이용한 공격
   • 공격자가 사용자의 DNS 질의를 가로채서 변조된 응답을 보냄
   • UDP 방식의 특성(먼저 도착한 응답을 선택)을 이용
2. DNS 캐시 포이즈닝
   • DNS 서버의 캐시에 잘못된 IP 정보를 저장하여 다수의 사용자가 악성 사이트로 접속하게 만듦
   • 생일 공격(Birthday Attack)을 활용하여 무작위 응답 ID를 대량 전송해 성공 확률 증가

DNS 스푸핑 방어 방법

• DNS 서버 소프트웨어 최신 버전 유지 (예: BIND 업데이트)
• DNSSEC(보안 확장 기능) 사용하여 응답을 암호화
• 외부 DNS 질의에 대해 순환 질의(Recursive Query) 차단

3. 서비스 거부 공격 (DoS & DDoS)

DoS(서비스 거부) 공격이란?

• 특정 서버나 네트워크에 과부하를 유발하여 정상적인 서비스를 방해하는 공격
• DDoS(분산 서비스 거부) 공격은 여러 대의 좀비 PC를 이용해 다수의 경로에서 공격 수행

DoS & DDoS 공격 유형

1. TCP SYN 플러딩
   • SYN 패킷을 과도하게 보내 연결 요청을 대기 상태로 유지하여 서버의 자원을 소진
   • 해결책: 대기 큐 크기 증가, 접속 대기 시간 단축, 침입 방지 시스템(IPS) 적용
2. ICMP 플러딩 (스머프 공격)
   • ICMP echo 요청을 대량으로 전송하여 네트워크 대역폭을 고갈
   • 해결책: 브로드캐스트 차단, ICMP 트래픽 제한
3. IP 플러딩
   • 랜드(LAND) 공격: 출발지와 목적지 IP를 동일하게 설정하여 네트워크를 무한 루프에 빠뜨림
   • 티어드랍(Teardrop) 공격: IP 패킷의 조각을 변조하여 재조합 시 오류 발생
4. HTTP GET 플러딩
   • 다수의 HTTP 요청을 보내 웹 서버를 마비시키는 공격
   • 변종 공격:
     • HTTP CC 공격: 캐시 기능을 무력화하여 부하 증가
     • 동적 HTTP 요청 공격: 계속 URL을 변경해 방어 우회

서비스 거부 공격 방어 방법

• 네트워크 트래픽 모니터링 및 이상 탐지 시스템 적용
• 임계치 기반 차단 (특정 IP에서 일정량 이상의 요청이 들어오면 차단)
• 최신 보안 패치 적용 (운영체제 및 서버 소프트웨어 업데이트)

서버 및 시스템 보안 개요

1. 서버 시장 및 보안 개요

• 대형 서버 시장: Unix 기반, 클라우드 환경에서는 Linux 사용
• 시스템 보안 주요 요소
  • 계정관리: ID/PW, OTP, 생체 인증 등
  • 세션 관리: 일정 시간 후 세션 종료
  • 접근 제어: 네트워크 내 보호
  • 권한 관리: 사용자별 적절한 권한 부여
  • 로그 관리: 시스템 활동 기록
  • 취약점 관리: 보안 결함 관리 
    • 2. 계정 관리
      • 인증 방법 (4가지)
        1. 알고 있는 것 → ID/PW
        2. 가지고 있는 것 → OTP, 출입카드
        3. 자신의 모습 → 지문, 홍채 인식
        4. 위치하는 곳 → 콜백 인증
      • 리눅스 계정 관리
        • 관리자(root) 계정
          • 시스템 전체 관리 가능 → 엄격한 보안 필요
          • 원격 접속 금지, 복잡한 비밀번호 사용
        • 일반 사용자 계정
          • 제한된 권한, 그룹을 통해 권한 관리
      • 원격 접속(root 계정 보안)
        • 기본적으로 root 원격 로그인 금지
        • SSH 서버 설정 방법

sudo apt update  
sudo apt install openssh-server  
systemctl status ssh

SSH 보안 설정 파일: /etc/ssh/sshd_config

• 기본 포트(22) 변경
• PermitRootLogin no 설정

2. 비밀번호 및 계정 파일 관리

• 비밀번호 파일 보호 (shadow 파일 사용)
  • /etc/passwd → 계정 정보 저장
  • /etc/shadow → 암호화된 비밀번호 저장 (root만 접근 가능)
• 비밀번호 관리 명령어

adduser [계정명]   # 사용자 추가  
passwd [계정명]   # 비밀번호 변경  
deluser [계정명]   # 사용자 삭제 (root 권한 필요)

• 그룹 관리 명령어

addgroup [그룹명]  # 그룹 추가  
delgroup [그룹명]  # 그룹 삭제  
groups            # 현재 그룹 확인

3. 계정 전환 및 대리 실행

• 사용자 전환 (su 명령어)
  • su [계정명] → 계정 전환 (디렉토리 유지)
  • su - [계정명] → 홈 디렉토리 변경 (새 로그인처럼)
• 대리 실행 (sudo 명령어)
  • 특정 사용자 권한으로 명령 실행
  • 예시:

sudo -u user 명령어

• sudoers 파일 수정 필요: /etc/sudoers

4. 패스워드 정책 및 보안

• 좋은 패스워드 정책
  • 8자 이상, 숫자/대소문자/특수문자 포함
  • 60~90일마다 변경
  • 5회 이상 로그인 실패 시 계정 잠금
• 6. 기타 계정 관리
  • 데이터베이스 계정 관리
    • MS-SQL 관리자 계정: sa
    • Oracle 관리자 계정: sys, system
    • system 계정은 DB 생성 불가
  • 응용 프로그램 계정 관리
    • 보안이 취약한 프로그램(TFTP) 대신 SFTP 사용
  • 네트워크 장비 계정 관리
    • 기본적으로 패스워드만 있으면 접근 가능
    • 사용자 모드 vs 관리자 모드 (enable 명령어 필요)
• 예시）

# 사용자 추가
sudo adduser aa  # 'aa'라는 새 사용자 생성

# 비밀번호 변경
sudo passwd aa  # 'aa' 사용자의 비밀번호 변경

# 사용자 삭제 (홈 디렉토리는 유지)
sudo deluser aa  # 'aa' 사용자 삭제

# 사용자 삭제 (홈 디렉토리까지 삭제)
sudo deluser --remove-home aa  # 'aa' 사용자 및 홈 디렉토리 삭제

# 그룹 추가
sudo addgroup developers  # 'developers' 그룹 생성

# 그룹 삭제
sudo delgroup developers  # 'developers' 그룹 삭제

# 현재 사용자의 그룹 확인
groups  # 현재 로그인한 사용자가 속한 그룹 확인

# 특정 사용자의 그룹 확인
groups aa  # 'aa' 사용자가 속한 그룹 확인

# 사용자 계정 전환 (현재 디렉토리 유지)
su aa  # 'aa' 계정으로 전환

# 사용자 계정 전환 (홈 디렉토리로 이동)
su - aa  # 'aa' 계정으로 전환하며 홈 디렉토리로 이동

1. 세션 관리

 클라이언트와 서버 간의 연결 상태 유지

-세션이 필요한 이유

• HTTP는 stateless(상태 저장 X), connectionless(1회성 연결) → 세션으로 해결
• 일정 시간이 지나면 자동 종료하여 비인가자가 세션을 탈취하지 못하도록 보호

2. 패치 관리

 보안 취약점 해결 및 시스템 안정성 유지

-패치가 필요한 이유

• • 운영체제도 소프트웨어 → 새로운 버그 & 취약점 발생
  • 보안 공격(예: 해킹) 방지
  • (예시) Ubuntu LTS의 보안 업데이트로 19개 취약점 해결 (2023년)

3. 로그 관리

시스템 활동 기록 & 보안 점검

-로그의 역할

• • 시스템의 성능, 오류, 보안 정보 기록
  • 서버 관리자는 정기적으로 로그 분석
  • 해킹 시도 파악 및 대응

-로그 저장 규칙 (syslog.conf 예시)

*.emerg *      # 긴급(emergency) 로그는 모든 곳에 기록  
*.alert /var/adm/syslog.log  # 심각한(alert) 오류는 특정 파일에 저장  
authpriv.none /var/log/messages  # 보안 관련 로그는 남기지 않음  
authpriv.* /var/log/messages  # 보안 관련 로그를 저장

-syslog의 로그 수준

• 모든 로그를 남기는 것은 성능과 부하 측면에서 현실적으로 불가능
• 어느 이상의 심각한 수준에 대해 선별적으로 로그를 남기는  것을 권장

-syslog로그 파일의 종류 및 경로

대부분 로그 파일의 경로가 미리 약속되어 있음

-로그 관리 주의사항

• 로그 파일 용량 정기 점검
• 보관 주기 설정 (오래된 로그 삭제 or 백업)
• 보안 침입 시도 감지 & 분석

4. 서비스 관리

 불필요한 서비스 차단 & 보안 강화

-이메일 서비스 (sendmail) 보안

• 보안 공격의 주요 대상 (예: 버퍼 오버플로 공격)
• 가능하면 비활성화

systemctl stop sendmail  # 서비스 정지  
systemctl disable sendmail  # 부팅 시 자동 실행 비활성화

• 대체 서비스 추천: Postfix (SMTP) + Dovecot (IMAP/POP3) + 스팸 필터
• 반드시 sendmail을 사용해야 하면 최신 버전 유지 (KISA 참고)

5. 안전한 소프트웨어 개발 (시큐어 코딩)

 소스코드에서 보안 취약점 제거

-대표적인 시큐어 코딩 가이드

• CERT (국제 표준)
• 행정안전부 소프트웨어 보안 개발 가이드 (boho.or.kr 참고)

6. 주요 보안 공격 & 대응 방법

① 메모리 버퍼 오버플로 공격

-개념

• 허용된 크기보다 더 큰 데이터를 입력하여 메모리를 침범
• 악성 코드 실행 가능

-취약한 C 코드 예제

#include <stdio.h>
#include <string.h>
int main(int argc, char* argv[]) {
    char buffer[10];  // 크기가 10인 버퍼
    strcpy(buffer, argv[1]);  // 버퍼 크기 체크 X (보안 취약)
    printf("%s\n", buffer);
}

-대응 방법
입력값 크기 검증 (strlen 사용)

if (argv[1] != NULL && strlen(argv[1]) < sizeof(buffer)) {
    strcpy(buffer, argv[1]);
}

-보안 라이브러리 사용 (strncpy 등)
-정적 분석 도구 활용 (valgrind, cppcheck 등)

② 포맷 스트링 공격

-개념

• printf() 등에서 포맷 문자열(%x, %n 등)을 악용하여 메모리 조작

-취약한 C 코드 예제

#include <stdio.h>
int main(int argc, char* argv[]) {
    printf(argv[1]);  // 보안 취약 (사용자가 직접 입력값을 전달)
}

-대응 방법

printf("%s", argv[1]);  // 안전한 코드

-%n 등 위험한 포맷 스트링 사용 제한
- 정적 분석 도구 활용하여 취약점 검사

③ 경쟁 조건 (Race Condition) 공격

-개념

• 여러 프로세스가 동시에 같은 파일/자원에 접근하여 보안 문제 발생
• 예) 하나의 파일을 두 개의 프로세스가 동시에 수정하려고 할 때

-대응 방법
동기화 기법 사용 (Mutex, Lock)
파일 접근 시 순서 강제 설정

실습

vi로 test.c 생성 후 컴파일 방법

vi test.c //vi [편집 하려는 file의 경로]

i //현재 커서가 있는 곳에 글자 추가

#include<stdio.h>
int main(int argc, char* gray[])
{
	int a = 100;
    printf("%x \n", a);
    printf("%d \n", a);
    
    return 0;
}

//esc키  
:wq // 현재 편집하는 파일을 저장하고 vi에디터 종료
gcc test.c -o test
./test

//출력결과
//60
//100

시스템과 보안 개요

시스템이란 보안 공격의 대상이 될 수 있는 단위, 대표적으로 서버용 운영체제(Server OS) 시스템이 있다. 최근 많은 보안 사고는 네트워크를 통한 외부 공격으로 발생한다.

-시스템 보안 평가 항목

1. 계정 관리 – 사용자 계정 및 권한 관리
2. 서비스 관리 – 불필요한 서비스 차단
3. 패치 관리 – 최신 보안 업데이트 적용
4. 로그 관리 – 시스템 활동 기록 확인

윈도우 서버 보안

서버(Server)는 서비스(Service)를 제공하는 시스템으로, 서버 운영체제(OS)가 설치된 컴퓨터이다.
예시: 웹서버, 데이터베이스(DB) 서버, 파일서버 등

1. 계정 관리

사용자의 시스템 접근을 인증하는 정보를 관리하는 과정

-계정(Account) = 아이디(ID) + 비밀번호(Password)
-관리자 계정(Administrator) = 강력한 권한을 가진 계정

• 일반 사용자 계정 생성
• 소프트웨어 설치
• 시스템 설정 변경
• 로그(시스템에서 발생한 다양한 활동을 기록한 파일 또는 데이터) 제거 가능 → 철저한 관리 필요

-보안 지침 1: 관리자 계정 최소화

• 관리자 계정이 많아지면 보안 위험 증가 + 관리 비용 상승
• 해커가 관리자 계정으로 등록했을 가능성도 있음
• 확인 방법: 제어판 > 시스템 및 보안 > 관리 도구 > 컴퓨터 관리
  • "로컬 사용자 및 그룹 > 그룹"에서 관리자 계정 목록 확인

-보안 지침 2: 관리자 아이디 변경

• 윈도우 기본 관리자 계정(Administrator)은 로그인 실패 제한 없음 → 해킹 위험
• 관리자 계정을 다른 이름으로 변경하여 무차별 대입 공격(Brute Force) 방어
• 실행 방법:
  제어판 > 시스템 및 보안 > 관리 도구 > 로컬 보안 정책
  또는 실행 창(Win + R)에서 secpol.msc 입력

2. 암호(비밀번호) 관리

비밀번호는 기본적인 인증(Authentication) 수단이지만, 너무 많아지면 관리가 어려움.
-보안 공격자가 자주 사용하는 비밀번호 리스트
(사용 금지해야 하는 예시)
- 123456, 123456789, qwerty, password, 111111, abc123

-좋은 비밀번호의 특징1
✔ 최소 8자 이상 (길수록 좋음)
✔ 영문(대소문자), 숫자, 특수문자 포함
✔ 쉬운 단어 2개 + 4자리 숫자 + 특수기호 2개 조합

• 예) BlueRed1347&, Blue1347&Red

-비밀번호 강제 설정 방법 (윈도우)

• 로컬 보안 정책(secpol.msc) → 비밀번호 보안 강도 설정
• 다단계 인증 및 비밀번호 관리자 활용 추천

*로컬 보안 정책(Local Security Policy)을 설정할 수 있는 윈도우 관리 도구(사용자 계정, 암호 정책, 보안 설정 등을 세부적으로 조정 가능)

secpol.msc실행방법

-window+R키 입력

-실행창에 secpol.msc입력후 enter

암호(비밀번호) 관리

비밀번호 보안을 강화하는 설정 방법과 지침

비밀번호 강도 설정

-설정 방법:

• 제어판 > 시스템 및 보안 > 관리 도구 > 로컬 보안 정책
• 실행 > secpol.msc

-비밀번호 최소 길이 기준:

예시 비밀번호:
-a012345678 → (소문자 + 숫자 = 2가지, 10자리)
-a012345* → (소문자 + 숫자 + 특수문자 = 3가지, 8자리)

암호 관리 지침

-비밀번호 입력 실패 시 계정 잠금 설정

• 무차별 대입 공격(Brute Force) 방어
• 실행 위치: secpol.msc → 로그인 실패 횟수 제한 설정
• 계정 잠금 시간: 60시간 이상 권장

- 비밀번호 정기 변경

• 최대 암호 사용 기간: 90일 이하 권장
• 정기 변경으로 해커가 알아낸 비밀번호를 무력화

-Guest 계정 기본 잠금

• Guest 계정은 기본적으로 비활성화

서비스 관리 (Service Management)

윈도우 서버에서 불필요한 서비스를 막아 보안을 강화하는 방법

서비스 관리 지침 1: 공유 폴더 보안

-익명 사용자의 접근 차단

• 기업 및 기관에서는 파일 서버를 통해 중요한 데이터를 공유
• "Everyone" 계정(windows에서 기본적으로 존재하는 사용자 그룹/ 누구나 접근 가능)을 공유 폴더에서 제거해야 함

- 현재 공유 폴더 확인 방법

• 제어판 > 관리 도구 > 컴퓨터 관리 > 공유 폴더
• 실행 > fsmgmt.msc

서비스 관리 지침 2: 기본 공유 폴더 제거

-기본 공유 폴더(C$, D$)란?

• 윈도우 설치 시 자동 생성되는 공유 폴더
• 원격 관리 목적으로 사용되지만, 해커가 악용 가능

-C$, D$ 공유 제거 방법:

1. (window+R)실행 > regedit (레지스트리 편집기 실행)
2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 이동
3. AutoShareServer 값을 0으로 설정

서비스 관리 지침 3: 불필요한 서비스 제거

- 불필요한 서비스는 보안 취약점을 증가시킴

• 백그라운드에서 실행되는 윈도우 서비스 중 불필요한 것 차단

- 불필요한 서비스 확인 방법

1. 작업 관리자 > 서비스 탭
2. 사용 안 함으로 설정

✔ 특히 오래된 운영체제(Windows 2000 등)에서는 수동 설정 필수!

서비스 관리 지침 4: FTP 보안 강화

- FTP(File Transfer Protocol 파일 전송 프로토콜) 보안 위험

• 비밀번호가 암호화되지 않은 채 전송됨
• 해커가 네트워크에서 가로채기 가능

✔ FTP 보안 설정 방법
- FTP 서비스 대상 폴더 보안 강화

• Everyone 계정 제거
• 인터넷정보서비스(IIS) 관리자 > FTP 사용자 권한 편집

- 익명 접속(Anonymous FTP) 차단

• Anonymous 계정을 통한 로그인 방지

- IP 주소 기반 접근 제한

• FTP 설정 > 접속 가능한 IP 주소 등록
• 회사 내부 네트워크 IP만 허용 → 외부 접속 차단

✔ SFTP 사용 권장!

• SFTP (Secure File Transfer Protocol) → SSL 암호화 사용
• ID/비밀번호가 평문으로 전송되지 않음
• Windows Server 2008 이상의 IIS 7.0부터 지원

패치 관리 (Patch Management)

운영체제(OS)와 소프트웨어는 항상 보안 취약점이 존재함 → 지속적인 패치(업데이트) 필수!

*패치:소프트웨어의 버그 수정, 보안 취약점 해결, 기능 개선을 위해 제공되는 업데이트

패치 종류

✔ 핫픽스는 특정 문제를 해결하는 것이라 오류 발생 가능 → 서비스 팩 설치 권장
✔ 자동 업데이트 설정하여 패치를 놓치지 않도록 함

-설정 방법: 제어판 > Windows 업데이트 > 자동 업데이트 활성화

백신 프로그램 관리

-백신 프로그램 업데이트 필수! (최신 바이러스 대응)
✔ 자동 업데이트 설정 (보통 매주 1회 이상)
✔ 예약 업데이트 기능 활용 (점심시간, 퇴근 후 자동 업데이트)
✔ 기업/기관에서는 사용자의 업데이트 여부 모니터링 필요

 로그(Log) 관리

-로그란?

• 시스템에서 "누가, 언제, 무엇을 했는지" 기록하는 데이터
• 책임 추적성(Accountability) 보장 (사용자 행위 추적 가능)

로그의 활용

✔ 침입 감지 및 추적 (해킹 시도 파악)
✔ 시스템 장애 원인 분석 (문제 해결)
✔ 보안 사고 발생 시 증거 자료 제공 (포렌식 분석)

-로그 확인 방법:

1. 제어판 > 관리 도구 > 컴퓨터 관리 > 이벤트 뷰어
2. 실행 > eventvwr.msc

로그 종류 (이벤트 로그)

 감사(Audit) 로그 관리

✔ 감사(Audit) 로그란?

• 어떤 로그를 기록할지 설정하는 보안 정책
• 보안 관리자나 감사 담당자가 사용자 작업을 추적할 수 있도록 지원

-감사 로그 설정 방법:

• 로컬 보안 정책(secpol.msc) > 감사 정책 설정

✔ 감사 로그 활용

• 시스템에서 비정상적이거나 불법적인 행위를 감지
• 보안 침해 문제 발생 시 증거 자료(포렌식) 로 활용

 로그 분석 및 관리 방법

-로그 필터링 (중요 이벤트 선별)

• 대량의 로그 중 보안 관련 로그만 분석

- 중요 로그 백업 필수

• 예상치 못한 대량 로그로 인해 중요한 데이터가 삭제될 수 있음
• 자동 백업 + 원격 로그 서버 구성 + 수동 백업 병행

- 최대 로그 크기 설정
✔ 너무 크면? → 시스템 성능 저하
✔ 너무 작으면? → 중요한 로그가 삭제될 수 있음

- 예시: 1일 1,000개 이벤트 발생, 1개 이벤트 = 500바이트 → 1달 저장 기준 = 약 14.3MB 필요

랜섬웨어(Ransomware)

-컴퓨터의 파일을 암호화한 뒤, 돈(랜섬, Ransom)을 욕하는 악성코드 -> 돈은 내지 않으면 파일 복구 불가

예시)

랜섬웨어 사고(2017.06.10)

-국내 웹 호스팅 업체가 랜섬웨어 공격을 받아 150여 대 서버가 마비됨

-고객사의 중요한 파일이 암호화됨

공격과정

1단계: 관리자 PC해킹

-외부 공격자가 관리자 PC에 악성 코드를 설치

-내부 시스템 정보를 수집하고 계정 정보 탈취함

2단계: 서버 접근 및 감염

-탈취한 정보로 게이트웨이 서버에 접속

-랜섬웨어를 서버 및 백업 서버에 설치

3단계: 랜섬웨어 실행

-에레버스(Erebus)랜섬웨어가 433개 파일 확장자를 암호화

주요 특징: APT( (Advanced Persistent Threats 지능적 지속 위협)공격

-네트워크에 오랜 기간 잠복하여 정보 수집

-흔적을 최소화하여 탐지 어렵게 만듦

-갑자기 공격을 실행하여 피해 발생

2011년 B포털 개인정보 유출 사고 정리

• 사건개요
  -2011년 7월, 중국 해커가 국내 대형 포털사 B사의 회원 3500만 명의 개인정보 탈취
  -일반적인 웹 서버가 아닌 알집 프로그램 업데이트 서버를 해킹
• 행킹과정
  1단계: 업데이트 서버 해킹
  -해커가 알집 업데이트 서버를 공격
  -정상적인 업데이트 파일을 악성코드 포함 파일로 교체
  
  2단계: 악성 업데이트 파일로 좀비 PC생성
  -사용자가 감염된 업데이트 파일을 설치하면 PC가 해커에게 조종됨
  -해커는 B포털 직원 PC타깃으로 함
  (직원이 PC를 끄지 않고 퇴근하면 자동 로그아웃되지 않는 보안 취약점 이용)
  -DB관리자 ID와 비밀번호 탈취
  
  3단계: 개인정보 유출
  -해킹한 좀비 PC를 이용해 3500만 명의 개인정보를 파일로 저장
  -중간 경유지를 거쳐 해커의 PC로 전송
  
  
• 사건의 영향 및 시사점
  기업의 피해
  _개인정보 유출로 인해 집단 소송 발생
  -기업 이미지 훼손 및 신뢰도 하락
  -정보 보안 미흡 시 기업 존폐에 영향
  
  법적 판결
  -1심: 총 30조 원 배상 판결(원고당 100만원)
  -2심 &대법원: 원고 청구 기각(배상 없음)

보안 공격의 이해

운영체제(OS)

-컴퓨터에서 프로그램을 실행하는 가장 기본적인 소프트웨어, 서버 운영에도 필수적

-해커는 운영체제의 작은 보안 취약점을 노려 공격, 특히 서버 운영체제(유닉스, 리눅스)는 보안 강화가 필요

네트워크(Network)

-여러 기기가 데이터를 주고받는 통신망

-해커는 주로 네트워크를 통해 공격

서버(Server)

-서비스를 제공하는 컴퓨터 또는 프로그램

-해커는 기업의 서버를 목표로 공격

-서버가 어떻게 동작하는지 알아야 보안 강화 가능

프로그래밍(Programming)

-해커가 사용하는 악성코드, 바이러스, 웜을 이해하고 방어하려면 프로그래밍이 필수

리버스 엔지니어링(Reverse Engineering)

-프로그램 내부를 분석하여 악성코드인지 판별하는 기술

-보안 전문가가 해킹 공격을 막기 위해 반드시 알아야 할 분야

정보 보호 개념

정보(Information)
-데이터(Data)를 정리하여 문제 해결에 도움이 되는 지식

-보안 측면에서는 컴퓨터나 저장 매체에 기록된 전자 문서

정보보호의 대상

-기업이 관리하는 정보자산(데이터, 시스템, 눔서, 인력 등)

정보시스템(ICT:nformation and Communications Technology): 하드웨어 + 소프트웨어 + 네트워크

정보보호의 대상 정리

정보보호란

-정보의 훼손, 변조, 유출 등을 방지하는 모든 기술적, 관리적 수단

-사이버 안전을 포함하는 개념

-정보 수집, 정보, 송신 과정에서 보호 조치 필요

보안의 3대 요소( OECD 정보보호 가이드라인)

-최근 보안 트렌드: 기밀성 < 무결성 < 가용성 

추가적인 보안 목표

-책임추적성( Accountability): 누가, 언제, 어떻게 사용했는지 추적 가능해야 함

-인증성( Authentication): 사용자와 시스템이 정상적인지 확인

-신뢰성(Reliability): 정보시스템이 오류 없이 안정적으로 운영

보안 취약점이란

-시스템의 약점, 해커가 이를 이용해 공격가능

-하드웨어, 소프트웨어, 네트워크, 사람  등 여러 요소에서 발생

-종류

보안 위협(Threat)이란

-취약점이 악용될 때 발생하는 보안 사고

-자연재해, 실수, 해킹 등 다양한 원인

-종류

보안 위협 및 대책

-위험 = 취약점 x 위협

ex) 랜섬웨어 위험 = (취약점: 시스템 결함 &직원 실수) x(위협: 랜섬웨어 공격)

정보보호 대책

-기술적 대책: 방화벽, 침입 탐지 시스템 등 보안 솔루션 적용

-관리적 대책: 보안 정책, 직원 교육, 보안 점검

-물리적 대책: 출입 통제, cctv, 데이터센터 보호

보안 거버넌스(Security Covernance)

-조직의 보안 정책 수립 및 실행을 총괄하는 체계

-기술적 보안 +절차적 보안(정책, 교육) 모두 포함

-APT공격(지능형 지속 위협) 대비에 필수적

최근의 보안 위협

1. 모바일(스마트폰) 보안 위협

주요 위험 요소

-스마트폰 도난, 분실-> 개인정보 & 업무 기밀 유출

-공공 와이파이 해킹->해커가 패킷을 도청해 기업 서버까지 침입 가능

-악성코드 & 악성 앱 -> 개인정보 유출, 위치 추적, 과금 피해

-DrM 해킹 & 모바일 스팸 -> 유료 콘텐츠 불법 유통, 유해 콘텐츠 확산

2.SNS(소셜 네트워크) 보안 위협

유럽 정보보호 기관 ENISA기준

3. 클라우드 서비스 보안 위협

클라우드 특성상 보안 취약점 증가

-가상화 & 다중 사용자 환경-> 데이터 격리 실패 시 해킹 위험

-데이터 국외 저장 & 사업자 의존-> 관리 부실로 정보 유출 가능

-침해사고 대형화->클아우드 데이터센터 해킹 시 피해 규모 큼

4.사물인터넷(IoT)

IoT(스마트 홈, 의료기기 등) 보급 확대 → 보안 위험 증가

-저사양 디바이스 해킹 → 보안 취약한 IoT 기기 노출
-패치 & 모니터링 어려움 → 많은 디바이스를 관리하기 어려움
-무선 네트워크 취약점 → 다른 네트워크와 연결되며 보안 수준 저하
-DDoS 공격 증가 → 해커가 IoT 기기를 좀비화해 대규모 공격
-사용자 정보 유출 → IoT 기기에서 수집한 데이터가 악용될 위험

5.웹 애플리케이션 보안 위협 (OWASP Top 10)

OWASP(Open Web Application Security Project)에서 선정한 최악의 보안 취약점 10가지
- 매년 갱신되며 웹 보안에서 가장 중요한 항목을 포함