[정보보안기사 PART 03] 접근통제 - 접근통제 보안위협 및 대응책
Section 11 접근통제 보안위협 및 대응책
1. 접근통제 보안위협 및 대응책
(1) 패스워드 크래커(Password Craker)
1) 유형
1. 사전 공격(Dictionary Attack)
공격 대상의 개인정보 등을 충분히 알고 있어, 패스워드 사전 파일을 이용하여 접속 계정을 알아내는 방법
패스워드의 해시된 값 혹은 패스워드 파일 포착하여 일치할 때까지 비교 작업 수행
2. 무차별 공격(Brute-force Attack)
성공할 때까지 가능한 모든 조합의 경우의 수를 시도해 원하는 공격을 시도하는 방법
크랙 등 소프트웨어를 이용하여 로그인 이름(Login Name)에 대한 패스워드를 추측하는 방법이 있다.
ex) 워다이어링(wardialing): 수천 개의 전화번호에 자동으로 전화를 걸어 모뎀에 장착된 번호를 찾는 기술
3. 레인보우 테이블을 이용한 공격
하나의 패스워드에서 시작해 특정한 변이 함수로 변이된 형태의 여러 패스워드를 생성
변이된 각 패스워드의 해시를 고리처럼 연결하여 일정 수의 패스워드와 해시로 이루어진 체인(Chain)을 무수히 만들어 놓은 테이블
4. 패스워드 하이브리드 공격
사전공격 + 무차별 대입 공격
(2) 사회공학(Social Engineering)
1) 개요
신뢰할 수 있는 개인이나 조직을 사칭하여 공격대상의 민감한 정보를 빼내는 작업
인간기반 사회공학 공격과 정보통신기술을 이용한 ICT기반 사회 공학 공격으로 나눌 수 있다.
2) 인간기반 사회공학 공격
1. 기본 개념
공격 대상자에게 전화를 걸어서 책임자 또는 담당자로 위장해 각종 개인 정보를 뺴내는 유형
2. 종류
- 어깨 넘어 훔처보기(Shoulder Surfing), 쓰레기통 뒤지기(Dumpster Diving)
- 협박 메일(Blackmail)
- 따라 들어가기(Piggybacking, Tailgating)
- 내부자 결탁으로 인한 정보유출, 내부자의 부주의로 인한 외부에서의 정보습득
3. 대응책
- 전화 통화시 음성이 이상하거나 내용이 이상한 경우 주의
- 중요한 정보 제공 시 신원증명 항상 요청
- 중요 서류 폐기시 세절기 이용
- 임직원 보안인식 교육 주기적 실시
3) ICT 기반 사회공학 공격
1. 피싱(Phishing)
개인정보(Private data) + 낚시(Fishing)의 합성어
2. 파밍
해당 사이트가 공식적으로 운영하고 있는 도메인 자체를 중간에서 탈취하는 수법
3. 스미싱
SMS + Phishing 공격
4. 대응책
- 유인 메시지의 URL을 확인 없이 접속하지 않도록 보안 의식을 고취하는 훈련을 실시한다.
- 악성 SW 탐지와 제거, 접속한 사이트와 DNS 서버에 대한 진위 인증 등의 기술적인 대응 요구
(3) 은닉채널(Covert Channel)
1) 개요
엔티티가 허가되지 않은 방식으로 정보를 받는 방법
보안 메커니즘에 의해 통제되지 앟는 정보 흐름
2) 보안 대책
은닉 채널의 위험은 대역폭에 따라 변경된다. 즉, 한 번에 전달되는 정보량을 줄이기 위해서 대역폭을 제한
로그분석, HIDS 탐지, 통신대역폭에 대한 엄격한 제한, 시스템 자원 분석
(4) 방사(Emanation)
1) 개요
컴퓨터와 장치로부터 방출되는 전기적 신호를 가로채는 방법
2) 대응책
- 템페스트(TEMPEST)
차폐 물질을 통해 방사되는 신호를 억제하는 기술의 표준과 관련되어 있다.
- 백색 잡음(White noise, 백색 소음)
일정한 범위의 무작위적인 전기 신호가 의도적으로 방출
- 통제 구역(Control Zone, 컨트롤 존)
*출처:[알기사] 2019 정보보안기사&산업기사
*해당 블로그는 개인적인 공부와 정보 공유를 위해 만들었습니다.