Section 18. 최신 보안 주제들

블록 체인

- 온라인 금융 거래 정보를 블록으로 연결하여 P2P, 네트워크 분산 환경에서 중앙 관리 서버가 아닌 참여자들의 개인 디지털 장비에 분산/저장시켜 공동으로 관리하는 방식

- 주식,부동산 등의 거래에도 적용 가능

- 토지 권리 양도, 가정 현관 키 등 보안에 관한 다양한 분야에 활용 가능

- 대표적인 예 : 비트코인

 

블록체인의 기술적 특성

1) De-centralization

- 블록체인의 가장 중요한 기술적 특성

- 거래 기록이 담긴 원장을 정부나 은행과 같은 제 3자가 관리하지 않고, 참여자들이 직접 검증과 승인 및 합의 등의 활동을 통해 만들고 관리

 

2) Transparency

- 새로운 블록은 생성되자마자 동시에 모든 참여자에게 전송되어 공유

- 블록의 거래 기록은 누구나 볼 수 있음

- 참여자의 실명을 알 수 없기 때문에 익명성 보장

 

3) Immutability

- 연결된 블록은 수정이나 삭제가 어려움

- 새로운 블록을 만들 때 앞 블록의 해시가 이용되기 때문에 중간에 있는 어느 한 블록을 수정하거나 삭제하려면 참여자들의 컴퓨터에 있는 모든 블록 내용을 한꺼번에 바꿔야함

 

4) Availability

- Data가 모든 참여자의 노드에 분산 저장되므로, 그 중 하나가 문제를 일으키더라도 시스템이 중단되지 않음

 

블록체인 기반 기술

1) 분산 네트워크

- 블록체인 정보는 네트워크에 참여하는 노드들이 가지고 있으며 동일한 거래 내역이 분산 저장되어 관리

 

* 분산 합의 제도

- 거래를 블록체인에 포함시키기 위해서 거래를 승인하는 제도

- 채굴 시 각 정보는 각 노드들에게 broad cast되고, 유효성 검증을 수행한 후 합의를 통해 블록을 승인한다.

- 모든 노드가 가진 컴퓨팅 파워 51%를 악의적 행위자가 장악하게 되는 경우 거래 조작이 가능하지만 현재의 컴퓨팅 파워로는 불가능함

 

2) 암호기술

공개키 암호와 전자서명

- 개인간 거래 시 생성되는 전자서명을 검증하여 거래 내역이 변경도지 않았음을 입증하는데 ECDSA 전자서명 알고리즘 이용

- 익명의 공개키를 계좌정보로 이용하여 누가 다른 누구에게 얼마를 보냈는지는 알 수 있으나, 소유자에 대한 정보는 알 수 없음

- 거래 시 거래 정보의 무결성을 위해 전자서명을 사용

해시함수

- 거래 내역을 포함하는 블록의 정보가 변경되지 않음을 증명하고 새로운 블록을 찾기 위한 넌스값을 찾는데 이용(SHA-2)

- 해시 함수에 이전 블록의 해시값, 거래 내역, 넌스값을 넣어 특정 조건을 만족하는 결과값이 나오도록 유추해내는 과정을 채굴이라고 한다.

- 각각의 거래 내역의 해시값을 누적하는 Merkle Tree 구조의 루트 해시를 가짐으로써, 중간에 값이 변경되면 루트 해시값이 변경됨으로 변조 여부를 확인할 수 있다. 

 

3) Double-Spending 방지

- 악의적인 목적으로 동시에 두 곳 이상의 계좌로 송금하는 행위를 방지하기 위해서 총 통화량, The Longest Chain Wins 메커니즘을 이용한다

- 이중 거래 발생시 총 통화량이 초과된다(2100만개)

- 중복 지출에 의해 블록체인이 Fork 될 경우에 다음 블록을 먼저 생성하여 한쪽의 길이가 길어지는 체인을 옳은 것으로 간주한다. 

 

4) 합의 기법

Proof of Work

- 새로 만든 블록을 앞 블록에 연결하는데 필요한 해시를 만들고 해시 연결성을 검증하여 데이터가 중간에 위변조가 되지 않았음을 확인

- 임의의 숫자를 조합해 번호형 자물쇠 비밀번호를 알아내는 것과 비슷

- 처음 비밀번호를 파악한 사람만이 가상통화로 보상을 받고 블록을 체인에 추가할 수 있다. 

 

Proof of Staking

- PoW의 에너지 낭비 문제를 해결하기 위해 만들어진 합의 알고리즘

- 컴퓨팅 파워가 아닌 자신이 가진 가상통화의 양, 즉 stake에 따라 블록을 생성하고 추가적으로 발행되는 코인

- 이자나 배당과 비슷한 개념

- 코인을 많이 보유한 사람이 코인을 계속 가지게 되는 단점

 

블록체인 작동 원리

- 블록체인 가상화폐 비트코인은 정해진 시간마다 생성

 

1) Proof of Work 과정

- 채굴 노드들은 블록 주기마다 트랜잭션을 모두 모아 목록을 생성

- 목록의 Merkle 루트 해시값 계산

- 이전 블록 헤더의 해시값과 그 블록의 생성 시점을 나타내는 Timestamp값도 계산

- 이후 이전 블록 헤더의 해시값, 현 블록의 트랜잭션의 Merkle 루트 해시값에 더해 nonce 값을 조정하면 그 해시 결과값이 특정값보다 작은 값이 되는 nonce값 계산

 

2) 블록 헤더 구조

구분	크기(bytes)	설명
Version	4	블록 버전 숫자
Previous block hash	32	이전 블록 헤더를 sha256해시 함수를 이용하여 2번 해싱한 해시값
Merkle hash root	32	현재 블록에 포함된 거래정보의 거래 해시를 2ㅌ진트리 형태로 구성할 때 트리의 루트에 위치하는 해시값
Timestamp	4	블록의 생성시간 (1970년 1월 1일 이후 초 단위)
Bits	4	블록의 작업 증명 알고리즘에 대한 난이도 목표
Nonce	4	특정 목표값 보다 낮은 값을 구하기 위한 카운터

 

3) 블록 체인의 종류

 

public blockchain

- 누구나 참여할 수 있는 블록 체인

- 다른말로 permissionless block chain 또는 비허가형 블록체인이라고도 함

- 블록체인을 유지/관리하는 합의 과정에 누구나 참여할 수 있는 시스템

- 비트코인과 이더리움과 같은 예시들이 포함

- 시스템 전체를 관리하는 중앙관리자가 없으므로 시스템은 프로그램으로 규정되고 제어됨

- 네트워크 참여자는 합의 과정에 기여한 보상으로 가상통화를 지급

 

private blockhchain

- 참여하기 위한 사전 승인 필요

- 그 과정에서 신원이 밝혀져, 익명성이 없음

- 시스템 전체를 관리하는 중앙 관리주체가 존재 , 참가자의 범위를 결정

- permissioned 블록체인, 허가형이라고 부르기도 함

- public blockchain 보다 속도가 빠름

 

블록체인 보안 위협요소

1) 프라이버시 문제

- 블록체인에 저장된 데이터는 변조될 수 없기 때문에, 블록에 저장된 개인정보는 삭제될 수 없다.

- 블록체인 데이터는 나중에 삭제되거나 수정될 수 없기 때문에 정보주체가 자신의 개인정보를 삭제할 수 있는 잊혀질 권리를 행사할 수 없다.

 

2) 키 도난 및 분실

- 블록체인에 참여자의 개인키는 정당한 참여자로서의 활동을 승인/증명

- 도난 당할 경우, 참여자로 위장한 공격자의 공격에 노출 가능

- 키를 분실할 경우 자산 이전이 불가능해질 수 있으며, 공격자가 키를 이용해 악의적행동을 해도 확인 불가능

 

3) 가용성 저하

- 블록체인 이용자 등 참여자가 급증하고 시간이 지나면서 거래량이 증가 및 누점됨에 따라, 처리 속도의 한계와 거래정보 관리에 대한 부담이 증가하여 가용성이 저하

- 거래 유효성 확인은 모든 참여자가 수행하므로, 참여자수가 증가할 때마다 거래 속도 저하. 

 

 

Interent Of Things

- 정보 통신 기술을 기반으로 실세계와 가상세계의 다양한 사물들을 연결하여 진보된 서비스를 제공하기 위한 서비스 기반 시설

- 유비쿼터스 공간을 구현하기 위한 인프라 컴퓨팅 기기들이 환경과 사물에 융합되어 환경이나 사물 그 자체가 지능화되는 것부터, 사물과 사람, 사물과 사물 간에 지능 통신을 할 수 있는 M2M의 개념까지, 인터넷을 확장하여 현실과 가상세계의 모든 정보와 상호작용하는 개념으로 진화

 

IOT 활용 사례

1) 스마트홈 분야

- 다양한 사물과 환경을 모니터링하고 원격에서 제어하거나 자동으로 제어되는 사물 인터넷 시스템이 적용된 주택 혹은 가정

- 스마트홈 분야는 스마트 가전 제어, 냉난방제어 등의 분야에서 급속한 성장 중

 

2) 의료 분야

- 사용자 수면 관리, 위생모니터링 시스템, 생체정보 모니터링 등

- 생체정보를 모니터링하여 잠재적인 질병을 예측하는 서비스까지 발전

 

3) 교통 분야

- 차량 혹은 인프라에 설치된 센서로부터 수집된 정보를 활용하여 사용자의 안전하고 편안한 운전환경 도모

- 외부와 소통을 통해 자율주행과 군집주행 등 자동차라는 하나의 객체가 자동으로 환경과 소통하는 구조를 가지는 방향으로 연구 중

 

4) 환경/재난 분야

- 대기오염도 측정, 수질자원 관리, 도로 결빙상태 예측 등

- 개인 재난 상황을 센싱하여 사람의 안전도를 높이는 서비스가 추세

 

5) 제도 분야

- 스마트 공장이 대표적인 예시

- 원자재 공급/물류/공정/생산/고객 반응 및 대응 등 다양한 분야에서 사용

 

6) 건설 분야

- 교량/건축물 상태 모니터링 등 활용

- 센싱 정보에 대한 기밀성 보장보다는 정확한 센싱 정보와 합법적인 센서에 의한 센싱 요구사항이 높다. 

 

7) 에너지 분야

- 스마트 그리드의 주요 기숭른 AMI기술을 기반으로 에너지 효율성을 높이기 위한 관리 시스템에 주로 사용

 

IOT 구성 요소별 암호 알고리즘

1) 디바이스

- 사물 인터넷 디바이스는 경량 디바이스인 8bit와 16bit 프로세서를 포함하여 고성능의 32bit프로세서까지 다양하게 사용

- 사물 인터넷 7대 서비스 상에서 보안 요구사항인 기밀성, 무결성, 인증/인가를 만족하기 위해서 대칭키와 공개키를 운영

 

2) 통신 및 네트워크

- 디바이스와 IoT 게이트웨이 간에는 무선통신을 주로 사용

- 기존의 HTTP나 SOAP같은 프로토콜은 경량 디바이스에서 구현이 어려움

- CoAP, MQTT, DDS 등을 사용

 

클라우드 보안

- 클라우드 컴퓨팅이란 집적/공유도니 정보통신기기, 정보통신설비, 소프트웨어 등의 정보통신자원을 이용자의 요구나 수요 변화에 따라 유동적으로 이용할 수 있도록 하는 정보처리체계를 의미

- 이용자가IT자원을 필요로 한 만큼 빌려서 사용하고 서비스 부하에 따라서 실시간 확장성을 지원받으며 사용한 만큼 비용을 지불하는 컴퓨팅 환경을 말한다

 

구축형 환경 vs 클라우드 환경

- 사용한 만큼의 비용을 지불하는 클라우드 서비스는 기존 구축형 시스템에 비해 비용,기간 등의 측면에서 여러가지 장점

- 인프라를 직접 구축하기 어려운 사업자들은 클라우드 서비스를 적극 이용하는 추세

- IT 자원이 소유의 개념에서 공유의 개념으로 변화면서 이루어짐

구축형 환경	클라우드 환경
많은 초기 구매 비용	초기 투자비용 없음
인력, 패치 및 업그레디으 등 높은 유지비용	낮은 유지비용
고정 용량 및 정해진 자원 할당	유연한 용량 및 효율적인 자원 할당
구매 및 설치	신청 후 빠른 서비스 이용 가능
지리적 한정	지리적 제한 없음
한정된 트래픽 처리	대규모의 트래픽 수용 가능

 

서비스 모델

1) Delivery Model

- 응용 SW를 서비스에 제공하느 SaaS

- SW 개발환경 서비스를 제공하는 PaaS

- IT 인프라 서비스를 제공하는 IaaS

 

2) Deployment Model

- 기관 내부적으로 구축/이용하는 Private Cloud

- 외부 사업자의 서비스를 활용하는 public cloud

- 두개를 조합한 Hybrid 클라우드

 

클라우딩 컴퓨팅 기술

1) 가상화 기술

- 단일의 물리적 IT 자원을 논리적인 다수의 IT자원으로 나누어 동시에 각 자원들을 사용할 수 있도록 해주는 기술

- 기존 컴퓨터 환경에서는 단일 하드웨어에서 단일 운영체제가 수행될 수 밖에 없고, 해당 운영체제가 하드웨어를 독점했었음.

- 가상화 기술이 적용되면,단일 하드웨어 상에서 여러개의 논리적 가상머신을 구동 가능

- 서로 다른 운영체제 독립적으로 실행 가능

- 가상머신마다 OS가 설치되기 때문에 하이퍼 바이저와 OS 운영으로 인한 오버헤드 발생

하이퍼 바이저

- 가상머신과 하드웨어 사에 위치하여, 다수의 가상머신들이 각각의 운영체제가 구동될 수 있도록 논리적으로 독립된 가상 머신 환경을 제공

- CPU, 메모리 등 하드웨어 자원을 각 가상머신에 논리적으로 분할 할당/스케줄링 해줌

- 데스크톱 가상화, 어플리케이션 가상화, 스토리지, 서버, 네트워크 가상화 등 존재

 

2) 컨테이너 기술

- 리눅스 커널의 기능인 cgroup과, namespace를 통해 서로 다른 어플리케이션 프롤세스 별로 공간 격리

- 호스트 OS 자원을 공유하기 때문에 격리된 공간마다 게스트 OS를 설치할 필요가 없음

 

 

클라우드 컴퓨팅 보안 위협

- 가상화 기술 적용, 정보의 외부위탁, 자원의 공유, 다양한 단말기의 접속이라는 특징을 가짐

- CSA 클라우드 서비스의 보안 위협목록을 통해 클라우드 위협 목록을 확인 가능

 

SecaaS 서비스

- Security as a Service

- 서비스 제공자가 제공하는 보안 서비스 패키지

- 보안책임을 기업에서 많이 덜어 낼 수 있고, 보안 서비스 제공자가 책임을 지게됨

- CP가 제공하는 SaaS의 일부

 

1) 종류

IAM

- Identity and access management 

- 개체 신원을 검증하고 확인된 신원에 근거하여 정확한 수준의 접근 권한 부여

 

Web Security

- 소프트웨어/기기 설치를 통해 현장에서 제공하거나 CP로 가는 웹 트래픽을 프락시로 보내거나 재지정하는 방식의 클라우드를 통한 보호

 

Email Security

- 들어오고 나가는 이메일을 통제하고, 이메일을 보호하고, 제한적 기업 정책사용이나 스팸 예방과 같은 기업 정책을 집행하여 이메일 보호

 

Ransomware

- 이용자의 데이터를 암호화하고 복구를 위한 금전을 요구하는 악성코드

- Ransom(몸값)과 Software의 합성어

- 시스템을 사용 불가능한 상태로 변경하거나 데이터를 암호화해 사용할 수 없도록 하고 이를 인질로 금전을 요구하는 악성 프로그램

 

1) 특징

- 윈도우 운영체제를 설치한 컴퓨터를 주로 감염

- 안드로이드 스마트폰이나 맥도 종종 감염

- 지정한 기간 내에 금전 지불 등 요구사항을 처리하지 않으면 요구 금액이 증가 하거나, 시스템을 사용할 수 없게 함

- WannaCry, Locky, CrpytXXX, CERBER, CryptoLocker, TeslaCrypt 등이 존재

 

2) 일반 악성코드와의 차이점

 

구분	일반 악성코드	랜섬웨어
유포	웹 사이트, 이메일 ,네트워크 취약점 등 유표방식 동일
감염	SW 취약점 또는 피해자의 실행으로 악성코드 감염 동일
동작	정보 및 파일 유출, DDoS 공격	문서, 사진, MBR 등 데이터 암호화
치료	백신등을 통해 악성코드 치료	백신을 통해 악성 코드 치료 but, 암호화된 파일은 복구가 어려움
피해	개인, 금융 정보 유출 및 이를 이용한 2차 공격 발생 가능	암호화된 파일에 대한 복호화를 빌미로 가상통화로 금전을 요구

 

랜섬웨어 공격 및 대응

1) 공격 및 대응 절차

단계	공격 절차	대응 절차
1단계	감염 경로에 접속	증상 확인하기
2단계	PC로 랜섬웨어 다운로드 및 랜섬웨어 실행	신고하기
3단계	암호화 대상 검색 및 암호화	복구하기
4단계	복호화 대가요구

 

2) 감염 경로와 증상

- 홈페이지 이메일을 통해 유포되던 방식에서 불특정 다수를 감염시키는 웜 형태와 해킹을 통해 감염시키는 타겟팅 공격으로 진화

- 보안이 취약한 웹사이트 악용, 사회공학적 기법 활용, 보안 설정이 미흡한 유무선 네트워크 악용, 해킹을 통해 직접 침투/실행 등 다양

- 파일 암호화, 화면 잠금 등의 증상이 타나남

- 익명성이 보장된 가상통화와 토르 네트워크를 이용해 몸값을 요구하여 추적이 어려움

 

3) 주요 감염 경로

신뢰할 수 없는 사이트

- 단순한 홈페이지 방문만으로도 감염 가능

- Drive-by-Donwload 기법을 통해 유포 가능

스팸메일 및 스피어 피싱

- 출처가 불문명한 이메일 수신 시 첨부파일 똔느 메일에 URL 링크를 통해 악성코드 유포

 

파일 공유 사이트

- 토렌트, 웹하드 등 P2P 사이트를 통해 동영상 등의 파일을 다운로드 받고 이를 실행할 경우 감염

 

SNS

- 페이스북 링크드인 등 SNS에 올라온 단축 URL 및 사진을 이용하여 유포

- SNS 계정을 해킹하여 신뢰있는 사용자로 위장해 유포할 가능성 존재

 

4) 랜섬웨어 피해 예방 5대 수칙(KISA)

- 모든 소프트웨어는 최신 버전으로 업데이트해서 사용한다

- 백신 소프트웨어를 설치하고 최신 버전으로 업데이트 한다.

- 출처가 불명확한 이메일과 링크는 실행하지 않는다.

- 파일 공유 사이트 등에서 파일 다운로드 및 실행에 주의한다.

- 중요 자료는 정기적으로 별도의 매체 클라우 등에 백업한다.

 

Advanced Persistent Threat

- 지능형 지속 윕협은 특정 대상을 겨냥해 다양한 공격 기법을 이용하여 장기간 지속적으로 공격하는 것을 말한다.

- 제로데이 공겨과 같이 기존에 알려지지 않았던 취약점을 이용한다는 특징

 

APT 공격과 기존 공격의 차이점

Customized Attack

- 특정 공격 대상 기관에 맞도록 특별히 개발된 고급 공격도구와 침입 기술등을 사용

- 탐지가 어렵도록 내부 정보 설비의 알려지지 않은 취약점을 이용하는 제로데이 공격과, 다양한 공격이 포함

 

Losw, Slow and Persistent Attack

- 공격자는 목표가 달성될 때까지 지속적으로 내부 공격행위를 관찰하고 조종

- 이 방식은 특정기관에 대해 장기간에 걸쳐 천천히 수행되고 탐지가 어렵도록 조용히 수행

 

Specific Target 

- 국가 기관, 중요 산업 시설 등 특정 기관을 구체적 목표로 하는 공격

 

 

주요 침투 기법

1) Spear Phishing 공격

- 작살로 물고기를 잡는 작살낚시에서 유래된 것

- 특정 기관의 구체적인 개인 또는 그룹을 목표로 진행되는 목표지향적인 공격

- APT 공격의 초기단계에서 자주 사용되는 방법

 

2) Drive-by-downlaod Attack

- 목표로 삼은 조직의 구성원이 방문할 가능성이 높은 사이트를 미리 알아서 침해한뒤 접속 즉시 악성코드가 다운로드 되도록 하는 공격

- 목표 조직의 시스템에 맨 처음 접근하면 더 많은 공격 도구를 추가해서 접근을 유지하고 폭 넓게 접근함

 

3) Watering Hole

- 사자가 먹이를 습격하기 위해 물웅덩이 근처에서 매복하고 있는 형상을 빗댄 것으로, 표적 공격의 일종

- 공격자는 공격 대상이 주로 방문하는 웹사이트에 대한 정보를 사전에 파악한후, 해당 사이트에 악성코드를 심어둔다.

- 공격 대상이 해당 사이트에 접근하게 되면 악성코드에 감염

 

4) USB 메모리 스틱을 이용한 기법

- 공격자는 사전에 USB 메모리에 악성코드를 삽입

- 특정 타깃/조직의 이동 동선 상에 이를 방치한 후 누군가 이를 가져가서 내부 PC에 연결하는 순간 감염

 

기타 최신 보안 주제들

Cyber Kill Chain

- 사이버 공격 행위의 각 단계 중 하나만 차단되어도 전체 프로세스에 영향을 미치게 되어 사이버 공격이 실패한다

- Cyber Kill Chain의 개념을 이용해, 각 단계에 따라 선제적, 체계적인 대응이 가능해져, 시스템 피해를 신속히 복구하고 사전 벙어조치로 재공 격시, 침투비용을 증가시키고 사후 유용한 분석자료까지 제공하는 형태로 진화

 

록히드마틴사 사이버 킬 체인 모델

1. Reconnaissance : 이메일 주소, 컨퍼런스 정보 등을 수집

2. Weaponization : Exploit과 백도어를 결합하여 Payload에 삽입

3. Delivery : 무기화된 파일을 이메일이나 웹 또는 USB 등을 경유하여 Victim 시스템에 유포

4. Exploitation : Victim 시스템에서 코드를 실행하기 위해 취약점을 이용

5. Installation : 공격 대상에 악성 프로그램 설치

6. Command & Control : Victim을 원겨 조작하기 위해 채널을 열어 지휘

7. Action : 키보드를 직접 다루는 것과 같은 접근이 되면 본연의 목적 달성

 

 

 Supply Chain Attack

1) Supply Chain이란

- 일반적으로 제품이나 서비스가 공급자로부터 소비자에게 전달되기까지의 조직, 사람, 정보, 자원 등에 대한 시스템을 말함

- IT에서 생각해보면, 쉽게 말해 소프트웨어를 배포하는 회사를 공격하는 것

- 예시) 백신 회사를 해킹하여 최신 버전에 악성코드를 숨겨둠. 백신을 업데이트하면서 악성코드 설치

 

2) Supply Chain Attack

- 공급망에 침투하여 사용자에게 전달되는 S/W나 H/W를 변조하는 형태의 공격

- 일반적으로 공급망은 정상 프로그램의 전달을 위한 통로이기 때문에 관리나 모니터링이 취약함

- 빌드/업데이트 인프라 변조

- 인증서나 개발 계정 유출을 통한 변조

- 하드웨어나 펌웨어 변조

- 악성코드에 감염되어있는 제품 판매

 

3) S/W 공급업체의 대응 방안

 

개발자 PC 및 빌드/업데이트 서버의 관리 강화

- 공급망 공격 시 공격자는 주로 S/W의 개발 및 패키징, 배포 과정을 노림

- S/W개발자 및 빌드, 업데이트 등의 관련 시스템에 대한 보안 강화 우선시

 

SDLC 가이드 라인에 따른 S/W 업데이트

- Secure SDLC의 가이드에 맞추어보안성을 고려한 개발 및 유지보수를 이행해야함

- 업데이트 채널은 반드시 SSL 암호화를 사용하거나... 이런 것들

 

4) 기업/기관의 대응 방안

가시성의 확보

- 보안 담당자의 입장에서 능동적으로 공급망 공격에 대응하기 위해서는 현재 상황에 대한 가시성을 확보하는 것이 중요

- 이후 앤드포인트나 네트워크 레벨에서의 가시성 확보를 위한 노력도 수반되어야함.

 

최신 패치 적용

- 운영하고 있는 보안 장비의 최신 업데이트는 물론 사용자 PC에 설치되어 있는 SW역시 최신 업데이트 되어야 한다.

 

지속적인 보안 교육

- 모든 보안 사고에 대한 예방의 기본