0. Preview

0. 학습 목표 및 키워드

1) 강의 목표

- 침해와 관련된 체계, 법, 분석 이해 (+ 개발,기술)

- 보안 담당자로서의 대처 방법 학습

- 정보보안의 다양한 분야 접하기 (기술적인 부분만 있는 것이 아님)

 

 

2) 주요 키워드

: 침해대응, 취약점, 해킹, 악성코드, 블루팀, 사이버안보, 정보통신망법, 물리보안, bigdata, isms, iot 등등

 

---

1. 주요 키워드 기본 개념

+) 정의들은 ICT 환경 변화에 따라 같이 변화함

 

1) ★규제

(1) 규제 (= 정보통신망법, 망법)

: 정보통신망 이용촉진 및 정보보호 등에 관한 법률

 

(2) 해킹사고 관련 주요 법률 조항

- 제48조의2(침해사고의대응)

- 제48조의3(침해사고의신고등)

- 제48조의4(침해사고의원인분석등)

 

 

2) ★침해사고, 해킹  (Incidents, Hacking, Security Breach)

(1) 침해사고, 해킹

: 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위로 인하여 피해를 입는 일. (정보통신망법 제2조)

또는 이와 비슷한 여러가지 상황 (정보통신망법 제49조의 2, 속이는 행위에 의한 정보의 수집금지 등)

 

(2) 침해사고 대응 과정의 첫단계

: 우선적으로, 피해 기업의 IP주소로 기업명과 위치 확인 (유동 IP는 통신사 협조 필요 (통신비밀보호법))

 

 

3) 악성코드 (Malwares)

(1) 악성코드 

: 컴퓨터 바이러스, 논리폭탄, 메일 폭탄 등 (정보통신망법 제2조)

(악성코드는 범위가 굉장히 넓음. 악성코드라고 할 여러 상황이 있음.) (Fileless, Malicious Script, 해킹에 이용되는 파일)

 

(2) 페이로드 (Payload)

- (IT) 전송되는 데이터 자체.

- (보안) 멀웨어 일부  (헤더, 메타데이터 등 제외)

- (보안) 악성코드가 다른 악성코드를 포함하고 있거나 외부에서 다운로드 하는 경우. 

- (보안) "해커가 00을 공격하기 위해 공격코드를 payload함"

 

 

4) 보안취약점 (vulnerability)

(1) 보안취약점

: 공격자가 시스템의 정보 보증을 낮추는데 사용되는 약점 (정보통신망법에는 정의가 없음.)

 

+) 위치

: 보안 약점 (weakness)  >>  "보안 취약점"  >>  침해사고

 

(2) PoC (Proof of Concept)

: 기존 시장에 없었던 신기술을 도입하기 전에, 특정 방식을 사용하여 검증하는 것. (실현 가능성 확인)

 

(3) ★트리거코드 (Trigger code)

: 페이로드에 있는 전처리. (Trigger 코드를 시작으로 페이로드가 실행됨) (보안취약점은 정보보안의 꽃. 어려움.)

 

+) 트리거 (Trigger)

: 특정 조건 실행 시, 자동 실행되는 코드. (예시 : 자동 삭제 시, 다른 곳에 자동 저장)

 

+) 페이로드 (pay load)

- (IT) 전송되는 데이터 자체.

- (보안) 멀웨어 일부 (헤더, 메타데이터 등 제외)

- (보안) 악성코드가 다른 악성코드를 포함하고 있거나 외부에서 다운로드 하는 경우. 

- (보안) "해커가 00을 공격하기 위해 공격코드를 payload함"

 

+) ★페이로드 트리거 (payload trigger)

: 요새 악성코드 추세. 악성코드가 페이로드 될 수 있는 상태. 특정 조선 실행 시, 악성코드 실행됨.

 

+) 버그 바운티 (Bug Bounty)

: 보안 취약점 신고포상제. (보안취약점 탐색이 어렵기 때문에, 취약점을 찾아 수정하면 이에 대한 어드벤티지를 줌) 

 

 

5) ★KrCERT, KrCERT/CC

(1) CERT 

: 대한민국 대표 침해대응조직

 

+) CC (Coordination Center)

: 국가 대표조직에 부여

 

(2) 보호나라 사이트 (www.boho.or.kr)

- 사이버위협 관련 보안공지 (Warning)

- 분석보고서, 가이드 문서 등 제공

 

 

6) 주요정보통신기반시설 (CIIP, Critical Information Infrastructure Protection) 

(1) 예시

: 민간기반시설, 공공기반시설. (정보통신기반보호법)

 

(2) 특징

: 국가, 사회, 경제적 피해 파급력이 큼. 우선 보호 대상.  

 

+) 정보통신기반보호법

: 이 법이 굉장히 셈. 매년 개정됨(?) 

 

국가정보원에서 가장 중요하게 생각하는 법 조항

 

 

7) 유관기관 (Related Organizations)

(1) 공동 업무목적을 가짐. 서로 정보 공유, 필요 시 협동.

 

(2) 예시

: 정부기관, 통신사/백신사 (민간기업의 고객. 갑질가능ㅎ)

현재 어떤 업무를 하냐에 따라서 유관기관의 정의가 달라질 수 있다.

 

 

8) 포렌식 (forensics)

(1) 정의

: 정보가 악용되었다는 디지털 증거 (artifact)를 수집하기 위한 방법, 절차, 수단을 의미. (절차를 만족 해야함)

(단순하게 하드디스크 이미징만을 의미하지는 않음.)

 

+) 절차 (Chain-Of-Custody)

: "수집된 증거가 처음과 다르지 않다"를 보증.

 

(2)

(침해사고 똑은 이 절차를 굳이 할 필요 없음. 가끔 재판에서 증거로 사용돼서 하는 거임. 기관이 경찰이나 검찰을 통해 증거를 주는데, hash값이나 조사대상. 일시 등만 전달하면 사법기관에서 알아서 법원에 전달함. (굳이 법원에 직접 제출할 필요 없음. 귀찮으니 안 하는 게 오히려 나음)

정의가 좀 다양?

포렌식은 증거를 찾기 위해 하는 모든 행위. 일련의 과정. (용어 중요)

 

+) 풋프린팅 (Footprinting)

: 포렌식(도둑잡기)에 반대(예방)가 된다고 할 수 있는 용어. 공격대상 정보 수집의 사전 작업. (둘 다 정보 수집)

(취약점, 도메인/IP 정보, 방어시스템 현황, 인증방식 등의 정보를 수집)

 

 

9) 블루팀 (방어) (Blue Team)

(1) 하는 일

: 정보보호 대응 담당. 보안 운영센터 (SoC) 운영, 조직 디지털 증거 분석, 취약점 식별, 정기적인 보안 감사, 교육 시행 등.

 

(2) 필요 시 레드팀 역할도 수행

 

 

10) 래드팀 (공격) (Red Team)

(1) 하는 일

: 사이버 보안평가, 공격 방법 테스트. (다양한 침투 도구와 기술을 사용해서 조직의 시스템에 침투)

 

- 키사에는 레드팀이 없음.(정당한 권한 없이 ----)

기업 - 모의침투 테스트 (블라인드) 를 레드팀이라고 함.

+) (쿠팡, 네이버에서 (자산이 많으니 이를 보호하기 위해ㅓ)자산을 식별하고 주기적으로 +__-함)

 

 

11) 인터넷침해대응센터 (KISC, Korea Internet Security Center)

(1) 하는 일

: 국가 인터넷 24시간 365일 모니터링. 필요 시 유관기관, 민관군과 협동.

 

(2) 역사

- 2001,   1.25 인터넷 대란 이후 설립

- 2010,   새롭게 구축. (현재까지 이렇게 운영)

- 2024,   리뉴얼 공사 계획 중. (인터넷 위협 요소의 변화를 반영할 계획)

(특수 근로자) 로테이션 : 주야비주야비비. 건강상함. 건강검진 1년에 2번 (보통1번). 이거는 여가부 조항에 모성보호....여자는 못함..격한 근무나 밤샘 근무가 법으로 막힘.

 

 

12) 국가사이버안보센터 (NCSC, National Cyber Security Center)

(1) 하는 일

: 공공 침해사고 대응, 국가정보원 고유 안보분야 대응. 정부/공공기관의 사이버 위협 모니터링 정보 수집, 분석, 평가, 전파.

+) 상황실 자료화면

: 대외적으로 공개 가능한 화면만 나오는데 더 안으로 들어가면 실제로 수행 중인 화면이 나옴. 

 

 

13) LG 사이언스파크 (LG Science Park)

(1) 정의

: LG 그룹의 R&D 허브

 

(2) 구성

: LG그룹 9개 계열사, 협력사, 스타트업, LGU+ 서비스 네트워크 사이버위협 모니터링 시설.

 

 

14) 해킹방어대회 (HDCON, Hacking Defense CONtest)

- KISA에서 운영한 해킹 "방어" 대회. 국내 최대/최초 대회. (2000 ~ 2021)

- 유사 대회들의 모티브. (CODEGATE, PWN2OWN, 사이버공격방어대회 등)

2019년부터 끝물. 더이상 운영하고 있지 않음.(얘 자체가 아니라 저 기관만 인듯..? 여기저기에서 많이 있어서 없앰. 문제도 이미 여기저기 많이 있음)

 

15) Virustotal.com

(1) 정의
: 구글에서 운영하는 웹 서비스. 자료를 입력하면 악성여부, 이전 평판 조회. 초기 대응 시 사용,

가장 많이 접속할 곳.___를 넣으면 결과를 내줌. 굉장히 정확도 높. 많은 정보 얻. (이제는 유료. 무료버젼은 단편화된 정보만 얻을 수 있음. 유료버젼은 연관관계까지 알려줌. 돈은 횟수로 따짐. 5000번에 4500만원. 무제한은 1.8억인가 그럼>>나라에서 CTX 만듦. 이러한 서비스는 이용자가 많을 수록 정보의 질이 높아지기 때문에 아직은 별로... 이용자가 늘어나는 추세이긴함.) 

 

 

16) 클라우드 (Cloud)

(1) 정의
: 컴퓨팅 기술. 기존 온프레미스의 단점 보완. (높은 초기비용, 유지 보스. 확장성 문제 등)

 

(2) 형태

: Public, Private, Hybrid, Multi 등. (서비스 형태에 따라 SaaS, IaaS, PaaS로 구분)

 

+) 손에 닿는 물리적인 환경이 있는가? x / 이 서버를 통해 주어진 서비스를 받을 수 있는가? o (mb)

우리나라는 정부가 아니라 네이버 케이티 아마존 등 큰 기업이 제공하는 서비스를 받고 있는 것이다.

 

 

 17) 공급망 공격 (Supply Chain Attack)

(1) 정의

: 이용과정에서 문제가 생기도록 함. 

(기업의 소프트웨어 개발, 관리, 배포, 업데이트 과정에 침투 >> 악성코드를 정상 SW로 위장 >> 사용자가 동작시킴)

 

(2) 약한고리 이론

: SW는 여러 모듈을 결합하여 만듦. 한 부분을 해킹하면 어디가 해킹 당했는지 모름.

소픞나 서비스가 개발,베포,이용단계에서 명확한 통제가 이루어지지 않으면 문제가 발생했을 때 어느 단계에서 문제가 생겼는지 알 수 없다. (= 약한고리 이론. 가장 약한 곳을 공격한다. 지금은 가장 약한 곳이 "사람")

- 정의 : 이용과정에서 문제가 생기도록 함. 분석하기 힘들고 이용자가 누구인지 특정하기 어려워서 대응하기 힘듦. 지금도 특별한 해법이 없다. 이 사고가 생기기 전에 통제를 하자 >> SBOM이 만들어짐

 

 

18) 제로트러스트 (Zero - Trust Security)

(1) 정의

: '아무것도 신뢰하지 않는다.'는 사이버보안 모델. (누구든 무조건 검증)

 

(2) 예시

:내가 키사 직원이어도 키사는 나를 믿지 않는다. 너가 벨리드한 사용자인지 나에게 다시 확인시켜줘

 

(3) 반대

: 전통적인 경계형 보안체계. (완전한 방어 실패)

 

 

19) ★측면이동 (Lateral Movement)

(1) 정의

: APT 공격을 목표로 한 핵심 전략. (발각되지 않고 이동)

 

(2) 단계

: 정찰 >> 침투 >> 내부(측면)이동 >> 종료.

 

(3) 특징

- 침투 완료 후, 공격 과정에서 발견됨

- 장시간 잠복해 있음

- 정보가 업데이트 되는 것까지 모니터링, 측면이동을 이용. (스턱스넷, 소니픽쳐스 등)

 

 

 

20) ★TTPs (Tactics, Techinques, Procedures)

(1) 정의

: 누가 해킹했는지 찾는 방법. (해킹 방법은 해커나다 고유한 특징이 존재)

MiTRE에서 기준을 만들고 공격 특징과 유형을 분류함. 해킹을 저지, 지연, 억제 가능. 

 

(2) 단계

: 특정 해커의 특징 규명 >> 공격 분석 >> 누가 해킹했는지 규정

 

-외부부터 막. 주어진 패턴(알려진 거만 차단) = 맨밑. 

-어떤형태의 아티페크?민들어 놓는가

-정보의 양차이로 우리나라<<<외국

-mitre가 cve넘버링을 관할하기도 함 (ttp 와 cve는 땔래야 뗄 수 없는 관계)

 

 

21) 다크웹 (Darkweb)

(1) 정의

: 전용 프로토콜, 브라우저를 이용하여 접근할 수 있는 사이트. 

 

(2) 특징

- 전용 브라우져 (Onion, TOR)

- 총기, 마약 등 범죄 정보 통로

 

+) 인터넷 구성

: 표면 웹 (Surface Web), 딥 웹 (Deep Web), 다크 웹 (Dark Web).

 

+) 딥 웹 (Deep Web)

: 검색 엔진으로 완전히 접근 불가. 

 

 

- LGU+ 사고 : 해커가 1년에 사용자 계정 목록 확포 > 텔레그램에 올림>>LGU+와 저희가 해결~

- 프라이빗한 기업 내부~~ (접근 경로만 있으면 들어올 수 있는 것 =딥웹)

- 이건ㄴ 접근 안 하는 게 정신 건강에 좋지 않을까

 

 

22) 공적개발원조 (ODA, Official Development Assistant)

(1) 정의

: 선진국 정부, 공공기관이 개도국, 국제기구에 무상원조. ( 증여 (grant), 양허성 차관 (concessional loan). )

 

(2)  한국 국제 협력단 (KOICA)

: 우리나라가 필리핀, 아제르바이젠, 예멘에 사이버보안 분야 무상원조.

- "기술적인 측면만 바라보지 않을까" 가 이 부분

- 개인적으로 굉장히 뜻깊고 중요한 사업이라고 생각