2. 네트워크 보안

vinn👩‍💻 2024. 9. 1. 22:16

2024. 9. 1. 22:16

728x90

정보보안기초

정의

<보안 VS. 보호>

보안 = method
보호 = purpose

<사이버보안과 정보보안>

사이버보안: 컴퓨터, 네트워크, 소프트웨어, 프로그램, 데이터 등을 악의적인 행위로부터 보호하는 방식이나 행위
정보보안: 정보의 수집, 가공, 저장, 검색, 송신, 수신 등 정보가 연관되는 과정에서 기밀성, 무결성, 가용성 등을 보존하기 위해 행해지는 관리적, 기술적 방법

CIA Triad

기본 보안 지식

<용어>

취약점(Vulnerability): 시스템 보안 측면에서 악용 가능한 결함/약점
위험: 특정 위협이 취약점을 이용하여 공격할 수 있는 잠재력
- 발생가능성 + 영향
위협: 공격자가 취약점을 악용하여 해를 끼칠 수 있는 잠재적 위험
공격: 취약점이 악용되어 실행되는 것
자산

<보안 공격의 구분 (적극적 vs. 소극적)>

적극적 공격 (능동형)
- 시스템의 자원을 바꾸거나 영향을 미침
- 수동형에 비해 큰 피해 & 쉬운 탐지
- 악성파일 심기, 데이터 변경, 네트워크 방해, 서비스 거부
소극적 공격 (수동형)
- 시스템 자원에 영향 X, 시스템 정보를 알아내거나 이용
- 작은 피해 → 탐지 어려움
- 도청, 트래픽 분석

<보안을 배우기 위해 필요한 지식>

운영체제 (Operating System, OS)
- 프로그램을 실행하는 데 있어 가장 기본이 되는 소프트웨어
- MacOS, Window, Linux, Android, IOS 등
- 서버 동작에도 사용 → 서버 보안 취약점 보완을 위해서는 Linux/Unix에 대한 지식 필요
서버 (소프트웨어적인 의미)
- 서비스를 수행(제공)하는 프로그램 또는 시스템
- 공격대상이 되는 서버가 어떤 서비스를 제공하고 어떤 방식에 의해 동작되는지 파악 필요
프로그래밍
네트워크
- 기업 외부에서 공격할 때는 주로 네트워크를 이용하여 공격
기타: 보안 거버넌스

네트워크

네트워크 구성요소

<네트워크 주소체계>

컴퓨터 네트워크: 분산된 컴퓨터를 통신망으로 연결한 것
- 인터넷, 와이파이, 블루투스, 클라우드, 네트워크
MAC 주소: 네트워크 장비의 하드웨어 주소, 데이터 링크 계층 통신을 위해 부여된 네트워크 인터페이스 고유 식별자
IP 주소: 인터넷상의 통신을 위해 각 컴퓨터와 통신 장비에 부여하는 고유한 주소, 장치들이 서로를 인식하고 통신하기 위해서 사용하는 특수한 번호

→ MAC 주소는 주민등록번호이고, IP 주소는 집주소이다.

포트: 한 대의 컴퓨터 내 동작하는 여러 프로그램들을 구분하기 위해 부여하는 주소

IP 주소	MAC 주소
- IPv4(더 많이 사용), IPv6 - 10진수로 표현하고, 32 bit - 네트워크가 달라지면 바뀐다. - Network 계층(L3)에서 사용	- 물리적 주소 - 16진수로 표현하고, 48 bit - Data Link 계층(L2)에서 사용

<물리적 구성요소>

네트워크 장비를 중심으로 여러 호스트에게 유무선의 방식으로 데이터를 전송한다.
호스트(단말기) = 핸드폰, 컴퓨터
- 실제 네트워크를 사용하는 주체
네트워크 장비 = 다른 네트워크를 연결해주는 역할
- 라우터(Router): 논리적으로 분리된 둘 이상의 네트워크를 연결하고 로컬 네트워크에서 브로드캐스트를 차단해 네트워크를 분리하는 장비
- 게이트웨이(Gateway): 장비가 아닌 통로, 출입구의 개념적 의미
전송매체
- 유선
- 무선

+ 네트워크 토폴로지

네트워크 프로토콜

프로토콜: 네트워크를 통해 데이터를 주고받는 과정에 대한 약속
- 각 계층별로 동작하는 다수의 프로토콜이 정의된다.(ex. HTTP, TCP, IP)
데이터를 보낼 때 필요한 4가지
1. Source(송신 측)는 통신 경로를 활성화하거나 destination(대상)에 알려야 하고
2. Source는 destination이 데이터를 받을 준비가 되었는지 확인해야 함
3. Source는 파일 전송 시 destination의 파일 관리 프로그램이 파일을 수락하고 저장할 준비가 되었는지 확인해야 함
4. 만약 상호 시스템 간의 data format이 다를 때 format을 변환할 수 있어야 함

→ 이러한 조건이 있기에 통신 규약(protocol)이 필요한 것!

각 계층마다 데이터의 특징과 수행하는 역할이 다르다.

→ 통신 프로토콜을 여러 단계로 나누어 (Layered Structure로 만들어) 해결

또한 이 프로토콜을 통해 상대의 동일한 계층끼리만(Peer Layer) 통신을 하는데, Peer Layer가 아닌 경우 통신을 주고받지 않는다.

▶ 각 계층마다 패킷에 추가적으로 헤더를 붙이는 방식으로 이루어진다.

네트워크 계층

<OSI 7 Layer>

Open Systems interconnection Reference Model
네트워크의 동작 과정을 설명하는 가장 대표적인 모델
국제 표준확 기구(ISO)에서 1983년에 제정
복잡한 통신과정을 계층적으로 나누고, 계층별로 독립적으로 동작
실제 구현된 시스템이 아니라 일종의 개념적인 모델

7 계층: 응용 계층(Application Layer)

사용자에게 인터페이스(UI: User Interface)를 제공하는 계층
네트워크 활동들에 대한 모든 기본적인 인터페이스 제공
코드형태가 아닌 웹페이지에서 볼 수 있는 글, 그림, 동영상 등의 사용자게 보게 되는 화면

6 계층: 표현 계층(Presentation Layer)

입력 또는 출력되는 데이터를 하나의 표현 형태로 변환하는 계층(인코딩, 디코딩)
안전하게 데이터를 사용하기 위한 암호화/복호화

5 계층: 세션 계층(Session Layer)

응용 간의 질서 제어
모든 통신 장비를 연결, 관리, 종료

4 계층: 전송 계층(Transport Layer)

양 끝단의 사용자가 신뢰성 있는 데이터를 주고받게 하는 계층
데이터 전송 시 보안과 관련된 계층
TCP & UDP / 방화벽, 프록시

3 계층: 네트워크 계층(Network Layer)

데이터가 여러 개의 노드를 거치는 과정에서 경로를 찾아주는 역할 (라우팅)을 하는 계층
IP 프로토콜 / 라우터

2 계층: 데이터 링크 계층(Data Link layer)

직접(물리적으로) 연결된 단말 사이 신뢰성 있는 전송을 보장하는 계층
MAC 주소 / 브릿지, 스위치

1 계층: 물리 계층(Physical Layer)

단말과 단말 간 실제 물리적으로 연결

<TCP 데이터 송수신>

시작과정: 3-way handshake
SYN (Synchronize): 동기화하도록 요청
- 연결 요청을 하는 패킷
ACK (Acknowledge) : 수락
- 도착 여부를 확인하기 위해 사용되는 패킷

▶ 송신자와 수신자의 컴퓨터 모두 패킷을 받으면 이를 받았다고 알려주는 응답 패킷을 보내야 한다.

따라서 송신자가 요청 패킷인 SYN을 보내면, 수신자는 이에 대한 수락 패킷인 ACK과 수신자의 요청이 담긴 SYN 패킷을 함께 보낸다.

이를 받은 송신자는 수신자가 보낸 SYN 패킷에 대한 응답인 ACK 패킷을 수신자에게 보냄으로써 데이터 송수신의 시작이 완료된다.

<TCP & UDP>

TCP (Transfer Control Protocol)	UDP (User Datagram Protocol)
연결형 프로토콜	비연결형 프로토콜
데이터의 경계를 구분하지 않음	데이터의 경계를 구분함
신뢰성 있는 데이터 전송 (데이터 전송 실패시 재전송)	비신뢰성 데이터 전송 (데이터 전송 실패 혹은 손상시에도 재전송하지 않음 -> 훨씬 빠름) ex) 라디오
일대일 통신(Unicast)	일대일, 일대다(Broadcast), 다대다(Multicast) 통신

<TCP/IP 모델>

인터넷에 사용되는 실제 통신 모델
OSI 7 계층은 단계가 너무 많고 복잡 → 돈과 시간이 많이 소요됨
이에 대한 대안으로 나온 것이 TCP/IP
OSI에 비해 계층별 역할이 엄격하게 나뉘어 있지 않다.

네트워크 보안

네트워크 공격

Sniffing

스니핑: 킁킁거리다, 엿듣기
네트워크 보안에서는 도청의 의미로 사용
송신자와 수신자가 주고받는 데이터, 네트워크 트래픽을 중간에서 도청

Snooping

스누핑: 기웃거리다, 염탐하다
네트워크 상 주요 정보 염탐 + 획득
패킷을 염탐만 하는 스니핑보다 좀 더 발전된 형태의 공격

Spoofing

스푸핑: 위장하다, 패러디하다, 주소를 도용하다
시스템의 권한을 획득하여 정보를 탈취하는 행위
염탐하는 것을 넘어 수신자에게 전송되어야 할 데이터를 탈취하거나 악의적인 데이터를 전송한다.
세 공격 중 가장 적극적인 공격

Denial of Service (DOS, 서비스 거부 공격)

서비스가 정상적으로 제공되지 못하도록 방해하는 공격
- 대규모 가짜 요청을 만들어서 공격대상자의 시스템에 과부하 일으킴
공격 목적: 가용성(Availability)을 떨어뜨리는 것
공격기법:
- 대역폭 소진 공격 → 주파수가 소진되면 서비스 지원 불가
- 서버 마비 공격 → 웹 서버 타깃

대역폭 소진 공격: TCP Flooding

TCP의 3-way handshake 악용
세 번째 단계인 ACK 패킷 안 보냄 → 수신자는 송신자가 ACK 패킷을 보낼 때까지 계속 기다림 → 웹서버의 네트워크 대역폭을 낭비해서 일반 사용자들이 아예 웹서버로 접속 못하게 함

Distributed Denial of Service (DDoS)

다수의 컴퓨터를 일제히 동작시켜 특정 시스템을 공격하여 네트워크 성능저하나 시스템 마비 발생시킴
DoS는 시스템 대 시스템 공격 → 추적 용이
DDoS는 여러 개의 시스템이 하나의 시스템을 공격 → 공격자 특정 어려움, 더 효율적
https://www.netscout.com/ddos-attack-map

DDoS & Cyber Attack Map | NETSCOUT

NETSCOUT's live DDoS and cyber attack map, powered by Omnis Threat Horizon, gives you a visualization of today's worldwide cyberattacks. Sign up for free today.

www.netscout.com

4가지 구성 요소: 공격자, 공격 대상자, 에이전트, 마스터
- 공격자: 마스터와 에이전트를 통해 공격을 수행하기 때문에 진짜 공격자의 구체적인 발원지를 찾는 것은 거의 불가능
- 마스터: 중간 증폭기 역할, 에이전트에게 공격자의 명령 전달
- 에이전트: 실제 공격을 행하는 주체, 보통 자기가 이용되는지도 모른다.