[정보보안기사 PART 04] 시스템 보안 - 클라이언트 보안

[정보보안기사 PART 04] 시스템 보안 - 클라이언트 보안

---

Section 15 클라이언트 보안

 

1. 악성 소프트웨어(악성 코드)

 

(1) 개요

1) 악성 소프트웨어의 기본 개념

 개발자가 의도적으로 악의적인 기능을 컴퓨터 프로그램에 포함시키거나 프로그램 자체의 오류를 발생시킨다.

 기밀성, 가용성, 무결성 등의 보안속성을 침해할 경우 유해한 프로그램으로 간주된다.

구분	컴퓨터 바이러스	트로이 목마	웜
자기 복제	있음	없음	매우 강함
형태	파일이나 부트섹터 등 감염 대상 필요	유틸리티로 위장하거나 유틸리티 안에 코드 형태로 삽입	독자적으로 존재
전파 경로	사용자가 감염된 파일을 옮김	사용자가 내려 받음	네트워크를 통해 스스로 전파
주요 증상	해당 컴퓨터의 시스템 및 파일 손상	PC 성능 저하, 좀비 PC	네트워크 성능 저하

 

2) 악성 소프트웨어의 분류

기생형과 독립형

호스트 프로그램을 필요로 하는 기생형	호스트 프로그램이 필요 없는 독립형
ex) 바이러스, 논리폭탄, 백도어	ex) 웜, 좀비 프로그램

 

자기복제 여부

바이러스성 악성코드	비-바이러스성 악성코드
ex) 웜, 바이러스	ex) 트로이목마, 백도어

 

 

(2) 바이러스(Virus)

1) 기본 개념

 자기 자신 또는 자신의 변형을 보가하여 컴퓨터 작동에 피해를 주는 것

 

2) 세대별 분류

1. 제 1세대 원시형 바이러스 : 구조 단순 분석 쉬움
2. 제 2세대 암호화 바이러스 : 일부 또는 대부분 암호화
3. 제 3세대 은폐형 바이러스 : 바이러스가 없는 것처럼 백신 프로그램이나 사용자 속임
4. 제 4세대 갑옷형 바이러스 : 여러 단계의 암호화와 다양한 기법을 동원하여 분석 어렵게 만듬
5. 제 5세대 매크로 바이러스 : 매크로 기능 가지고 있음

 

3) 매크로 바이러스

 - 플랫폼과 무관하게 사용된다

 - 대부분의 바이러스는 문서를 감염시키고 코드의 실행부분은 감염시키지 않는다.

 - 매크로 바이러스는 쉽게 퍼지나. 가장 보편적인 방법은 전자메일

 - 실행 파일을 다룰 때보다 주의를 덜 하기 때문에 피해가 더 크다

ex) Adobe사의 PDF 문서 또는 MS 워드나 엑셀에 숨어 있다.

 

4) 바이러스 방지책

 바이러스 위협에 대한 해결책은 예방!

 탐지(Detection) : 감염되면 바이러스 있는 지 판단 후 위치 파악!

 식별(Identification) : 탐지되면 감염시킨 특정 바이러스를 식별

 제거(Removal) : 바이러스를 모든 감염된 시스템에서 제거하여 퍼지지 않게 한다.

 

안티 바이러스 필터링 방법(Antivirus Filtering Method)

 virus signature scanning 방법

- 특정 바이러스만이 가진 유일한 형태의 signature 찾아낸다. 

 

 behavioral virus scanning 방법

- 바이러스가 수행 중에 어떤 행동을 보이는지를 추적하는 방법

 

 

(3) 웜(Worm)

1) 개요

 자기복사 기능만 가진 프로그램이지만 막대한 시스템 과부하를 일으킨다.

 다른 시스템에 직접적인 영향을 미치지 않는 점에서 트로이 목마와 구분되며,

 다른 프로그램에 기생하지 않는다는 점에서 컴퓨터 바이러스와 구분된다.

 

2) 웜의 실행

 버퍼 오버플로우, 포맷 스트링, SQL 삽입, PHP 삽입 등 공격 가능한 시스템의 취약점 이용

ex) 시스템 접근 권한이 확보되면 웜을 백도어에 설치

     DDoS 공격에 사용 될 수 있는 봇 또는 좀비 프로그램 다운로드하여 실행

 

3) 웜 대응책

네트워크 기반 웜 방어

 진입 모니터(Ingress monitors)

경계 라우터나 외부 침입차단시스템이나 독립된 수동 모니터의 진입 필터링 소프트웨어의 일부

 

 진출 모니터(Egress monitors)

나가는 트래픽에서 스캐닝의 흔적이나 기타 의심스런 행동을 모니터링해서 웹 공격의 출처를 잡는다.

 

(4) 트로이목마(Trojan horse)

 자신의 실체를 드러내지 않으면서 마치 다른 프로그램의 한 유형인 것처럼 가장하여 활동하는 프로그램

 자기 복제 X, 다른 파일 감염 또는 변경 X

 트로이목마가 포함된 프로그램 실행되는 순간, 시스템은 공격자에게 시스템을 통제할 수 있는 권한 부여

 

 

 

2. 인터넷 활용 보안

 

(1) 웹브라우저 보안

1) 브라우징 보안

 인터넷 : 다른 세가지 영역에 포함되지 않은 웹사이트를 위한 영역

 로컬 인트라넷 : 사용자의 컴퓨터와 네트워크(인트라넷)상에 있는 웹사이트를 위한 영역

 신뢰할 수 있는 사이트 : 사용자가 안전한 콘텐츠를 갖고 있다고 신뢰하는 페이지를 설정하는 웹사이트 영역

 제한된 사이트 : 어떤 이유에서든 사용자가 신뢰할 수 없거나 보안 페이지로 설정할 수 없는 웹사이트 영역

 

(2) 쿠키(Cookie)

1) 개요

 사이트와 웹 사이트를 연결해주는 정보가 담겨있음.

 

2) 쿠키의 일반적 용도

 사이트 개인화

 장바구니 시스템

 웹 사이트 이용방식 추적

 타깃 마케팅

 

4) 쿠키의 구조

 4개의 속성과 하나의 데이터

Set-Cookie: name=value; expires=[Date]; domain=[Domain]; path=[Path]; [secure]

서버에서 "Set-Cookie 응답헤더" 클라이언트에게 전달

클라이언트는 "Cookie 요청헤더"를 이용해 지속적으로 쿠키를 전달

 

 

 

 

*출처:[알기사] 2019 정보보안기사&산업기사

*해당 블로그는 개인적인 공부와 정보 공유를 위해 만들었습니다.