[정보보안 목차]

 

1. 명령제어와 좀비 PC를 통한 분산 서비스 거부 공격, DDoS(Distributed Denial of Service) 개요

-. DoS 공격을 행하기 위해 C&C(Command and control) 서버와 네트워크에 분산되어 있는 많은 에이전트(좀비 PC)를 점령하여 공격대상 호스트에 동시에 과도한 서비스 요청을 발생시키는 공격

-. DDoS의 특징: 은닉 분산 공격, 방어의 어려움, 랜섬 공격, 대량 좀비 PC, Agent 설치, 명령제어서버(C&C)

특징 설명
은닉분산공격 네트워크에 분산되어 분포하는 좀비인 에이전트를 이용하여 공격
일반 사용자의 컴퓨터에 은닉한 악성코드를 통해서 사용자가 인식하지 못하는 동안 공격 수행
방어의 어려움 네트워크에 분산되어 공격함으로써 모든 소스 차단 어려움
IP를 위조하거나 에이전트를 변경하여 공격함으로써 차단 어려움
랜섬 공격 공격자는 DDoS 공격을 통해서 피해자의 서비스를 마비시킨 후, 협박을 통해서 공격중단을 대가로 금전적인 보상을 요구함
대량 좀비 PC 대량의 패킷을 발생키실 좀비 PC 필요, 공격전에 좀비 PC 확보
Agent 설치 시스템의 네트워크/호스트 취약점을 이용하여 시스템 접근 후 공격용 AGENT 설치
명령제어서버(C&C) 설치된 AGENT에 대한 공격명령 수행 및 제어

 

2. DDoS의 개념도 및 구성요소

가. DDoS의 개념도

-. 바이러스 악성 코드 전파를 위해서 악성코드를 특정 경유지 또는 파일에 감염/해킹하여 배포

-. 일반 사용자는 악성 코드 경유지에 방문 또는 악성코드 파일을 열어서 사용자 PC도 악성코드에 감염

-. 특정시간 공격자에 의한 DDoS 공격 수행 명령, 특정 사이트에 대한 대규모 공격 진행

 

나. DDoS의 구성요소

구분 구성요소 설명
공격 공격자 DDoS 공격을 주도하는 공격자의 컴퓨터를 의미함
마스터 여러 대의 DDoS 에이전트의 연결을 관리하는 시스템
피해 에이전트 일반 사용자의 컴퓨터에 은닉하며 마스터에 연결하여 관리되는 악성코드
마스터의 명령에 따라 공격대상에 직접적인 공격을 시도하는 코드
공격대상 DDoS 공격의 대상이 되는 시스템

 

3.     DDoS Agent 유포방식

구분 설명
P2P - 정상 소프트웨어에 악성코드 (에이전트)를 삽입하여 사용자 설치 유도
/바이러스 - 웜/바이러스의 감염으로 인한 에이전트의 설치
사회공학 - 이메일 등을 통해서 첨부파일 형태로 사용자에게 전달 후, 설치 유도
- 인간 상호 작용을 이용, 사람을 속여 보안 절차를 깨트리는 비기술적 침입 수단
홈페이지 - 취약한 웹서버를 해킹한 후, 사용자 방문 시 악성코드의 자동 설치

 

4.     DDoS의 공격 유형 및 공격 기술

가.  DDoS의 공격 유형

항목 PPS 증가 웹서비스 지연 대용량 트래픽 전송
사용 프로토콜 - TCP - HTTP - UDP/ICMP
공격사례 - Syn flooding
- TCP Connection flooding		 - HTTP flooding - UDP flooding
- ICMP flooding
공격형태 - 64byte이하 크기로 수십만~수백만 PPS발생 - 동일 URL 접속 시도 - 1000~1500byte 패킷으로 수십 Gbyte 트래픽 발생
공격영향 - 네트워크 장비, 보안장비, 서버 등의 부하 발생 - 웹서버 부하 발생 - 회선 대역폭 고갈
피해범위 - 공격 대상 시스템, 동일 네트워크의 모든 시스템 - 공격 대상 웹서버 - 동일 네트워크에 사용중인 모든 시스템
IP Spoofing - 변조/실제 IP - 실제 IP - 번조/실제 IP

 

. DDoS의 공격 기술

분류 공격기술 설명
PPS
증가		 - SYN flooding - IP를 변조 후 다량의 SYN 패킷을 공격 대상 서버로 전송하여 공격받은 서버는 다수의 SYN RECEIVED 세션 상태 발생
- 서버의 CPU 및 Connection 자원의 고갈 유도
- TCP Connection flooding - 다량의 SYN 패킷을 공격 대상자 서버로 전송하고 공격 대상 서버에서 다수의 ESTABLISHED 세션 상태 발생
- 서버의 CPU 및 Connection 자원의 고갈 유도
- TCP Out-of-State Packet flooding - 다량의 ACK/SYN+ACK/FIN/RST 등의 패킷을 공격대상 서버로 전송
- 일부 네트워크 장비 및 서버의 CPU 부하발생 및 오작동 발생
웹서비스 지연 - HTTP flooding - 정상적인 HTTP GET 또는 POST를 이용하여 상품조화와 같은 반복적인 요청을 전송
- 웹서버 및 데이터베이스 서버의 CPU 및 Connection 자원고갈
- CC Attack - HTTP의 Cache control 메시지를 이용하여 Cache 서버를 거치지 않고 직접 웹서버에 HTTP 요청
- 직접적인 요청으로 인한 웹서버의 CPU 및 Connection 자원 고갈
대용량 트래픽 전송 - UDP/ICMP flooding - 1000~1500byte 정도의 큰 UDP/ICMP 패킷을 서버로 전송
- 공격대상 네트워크의 대역폭을 고갈시켜 서비스 마비 유도

 

 

5.     DDoS 공격유형별 방어기술 및 모니터링 시스템

가.  DDoS 공격유형별 방어기술

분류 방어기술 설명
PPS
증가		 - 비정상 IP 차단 - RFC1918에서 지정한 비공인 IP 차단
- 멀티캐스팅, 사설IP 등 특정 목적을 가진 IP 차단
- 공격 IP 차단 - 공격 근원지 IP를 조사하여 IDC/ISP와 공조하여 트래픽의 Null routing(Ignored) 처리를 통한 공격 트래픽 차단
- Syn Proxy 사용 - Syn Proxy/Cookie 기능을 제공하는 보안 장비 및 네트워크 장비를 이용하여 비정상적 TCP 패킷 차단
웹서비스 지연 - 서버 설정 변경 - 취약한 네트워크 장비 및 서버에 대한 패치
- 웹서버 증설 - 서비스를 위한 웹서버의 추가를 통한 부하 분산
- 공격 IP 차단 - 공격 근원지 IP에 대한 방화벽 또는 라우터에서 차단
대용량 트래픽 전송 - 불필요한 서비스 차단 - 가능한 네트워크 최상단에서 불필요한 UDP 및 ICMP 서비스 차단
- 공격 IP 차단 - 공격 근원지 IP를 조사하여 IDC/ISP와 공조하여 트래픽의 Null routing처리를 통한 공격 트래픽 차단
- DNS 서버 다중화 - 다중 DNS 서버를 운영하여 제 3의 등록기관에 DNS 등록

 

나.   DDoS 모니터링 시스템

분류 모니터링 설명
Netflow FlowScan - IP 프로토콜 분포 모니터링 - 공격징후 및 유형 파악을 목적으로 함
- L3스위치, 라우터에서 제공하는 모니터링 기능을 이용한 IP 프로토콜별 bps, fps, pps 모니터링
- 서비스별 사용량 모니터링 - 특정 서비스 사용량이 평소보다 급증하는 경우 확인
모니터링 시스템 - 네트워크 현황분석 - 모니터링 시스템을 이용하여 프로토콜/서비스별 사용 현황 및 Frame size 등에 대한 상세한 모니터링
- 임계치 설정 - 프로토콜/서비스별/대역폭별/PPS별 사용량에 대한 임계치를 설정하여 임계치를 초과할 경우 경보 전송
- 응답지연시간 측정 - 웹 서버 응답속도가 현저하게 증가하는 경우 탐지
- 패킷 분석 - 캡처한 패킷을 통하여 패턴을 분석하고 생성된 패턴을 IPS, IDS에 적용하여 탐지 및 차단

 

 

 

 

'메가노트 > 토픽과제(정리)' 카테고리의 다른 글

디지털 포렌식(홍진택)  (0) 2022.10.01
웹 해킹(이상희)  (0) 2022.10.01
APT(안혜진)  (0) 2022.10.01
블록 암호 모드(김도현)  (0) 2022.09.28
NFT 특성과 마켓 플레이스 취약점(문경숙)  (0) 2022.09.24

[정보보안 목차]

 

APT(Advanced Persistent Threat, 지능형 지속 공격)

1. 타겟 지정형 지능형 지속 공격, APT 개요

  • 다양한 IT 기술과 정보수집을 통해 특정 목적(금전, 정보해킹)을 위해 특정대상에게 지속적으로 공격을 가하는 행위
  • 특수 목적을 가진 조직이 기간 시설망 또는 핵심보안업체 등을 표적으로 삼고 다양한 IT 기술과 방식들을 이용해 지속적으로 정보를 수집하고 취약점을 파악하여 이를 바탕으로 피해를 끼치는 공격
  • 장기간 동안 은밀하고 지속적으로 목표 조직의 정보를 수집하고 분석하여 공격 루트 확보
  •  특징) 특정 타겟 지정, 우회공격, 지능화, 지속적

2. APT 공격 프로세스

 1) APT 공격 프로세스 

2) APT 공격 단계별 활동

단계 설명
정보수집 - 스파이처럼 목표물을 면밀히 분석하고, 이메일 등의 사회공학적 기법을 이용해 지인이나 회사로 가장해 악성코드가 첨부된 이메일을 보냄
침입 - 지인이나 회사로 가장한 이메일을 받은 직원은 아무런 의심 없이 이메일을 열고 첨부파일을 여는 순간 악성코드에 감염
- 이 부분이 최초 감염되는 시점이고, 내부 시스템으로 침투하는 교두보가 됨
C&C 서버통신 - 해커는 시스템에 활동 거점을 마련하기 위해 악성코드가 실행되면 백도어 프로그램이 설치되도록 하고, 이 백도어를 통해 C&C 서버와 통신하여 원격에서 명령을 내림
확산 - C&C 서버 통신을 이용하여 내부의 다른 PC를 차례로 감염
- 사내 시스템 접근 권한을 확보하기 위해 비밀번호를 추측하거나 정보들을 수집하여 점점 높은 권한을 획득하여 내부 시스템 장악
데이터 접근 - 중요 데이터에 접근 가능한 관리자 급의 권한을 획득 하였다면, 실제 중요 데이터가 저장되어 있는 시스템에 접근
데이터 유출/파괴 - 중요 데이터까지 접근했다면 내부 보안 프로그램이나 모니터링 등에 걸리지 않게 오랜 기간을 두고 조금씩 데이터 유출
  • 침투 -> 검색 -> 수집 -> 유출 단계의 프로세스로 데이터 유출 및 공격 수행

 

3. APT 시나리오 별 공격 유형

 1) APT 공격 시나리오

   ① 침투 : 공격자가 취약한 시스템이나 직원들을 악성코드로 감염시켜 네트웤 내부로 침투

   ② 검색 : 침투한 내부 시스템 및 인프라 구조에 대한 정보를 수집한 후 다음 단계를 계획

   ③ 수집 : 보호되지 않은 시스템 상의 데이터 수집 또는 시스템 운영 방해

   ④ 유출 : 공격자에게 데이터 전송, 시스템 운영 방해 또는 장비 파괴

 

 2) APT 시나리오 별 공격 유형 

단계 공격기법 설명
침투
(Incursion)
훔친 인증정보, SQL 인젝션, 악성코드 등을사용하여 오랜시간에거쳐 공격대상 시스템에 활동 거점을 구축		 관찰
(Reconnaissance)		 APT 공격자들은 표적대상을 파악하기 위해 수개월에 걸쳐 철저히 분석
사회공학
(Social Engineering)		 내부 임직원의 실수 또는 부주의로첨부파일을 열도록 유도하거나 링크를 클릭하도록 하는 사회공학적 기법을 사용
제로데이취약점
(Zero-day vulnerabilities)		 개발자들이 패치를 제공하기 전 침투할 수 있는 보안상의허점
수동공격
(Manual Operation)		 자동화 대신 각각의 개별시스템과사람을 표적으로 삼고, 고도의 정교한 공격을 감행
수집
(Collect)
APT 공격자는 한번 시스템에 침입하면 목표로 하는 기관의 시스템에 대한정보를 수집하고 기밀데이터를 자동으로 검색		 다중벡터
(Multiple Vector)		 APT 공격 시 일단 악성코드가 호스트 시스템내에 구축이 되면 소프트웨어, 하드웨어 및 네트워크의 취약점을 탐색하기 위해 추가적인 공격툴들을 다운로드
은밀한 활동
(Run silent, run deep)		 APT의 목표는 표적의 내부에 잠복하면서 장시간 정보를 확보 하는 것이므로, 모든 검색 프로세스는 보안탐지를 회피하도록 설계됨
연구 및 분석
(Research and analysis)		 정보 검색은 네트워크구성, 사용자아이디 및 비밀번호등을 포함하여 확보된 시스템과 데이터에 대한 연구 및 분석을 수반함
수집
(Capture)
보호되지 않은 시스템의 데이터는 공격자에게 노출		 은닉
(Convert)		 1차 공격 성공 후, 정상 이용자로 가장하여 정보수집 및 모니터링 활동을 진행
권한상승
(privilege escalation & lateralization)		 시스템 접근을 위한 시스템 접근권한을 가진 직원에 대한 계정정보를 수집하기 위한 각종접근행위. (브루트포스(Brute Force) : 패스워드 등의 계정정보를 획득)
유출
(Exfiltrationl)
APT 공격자는 표적시스템의 제어권한을 장악하여, 각종 기밀 데이터를 유출하며 SW  HW에 손상을 입힘		 유출
(Exfiltration)		 기밀 데이터가 웹메일 또는 암호화된 패킷, 압축파일의 형태로 공격자에게 전송
중단
(Disruption)		 APT 공격자는 원격시동 이나 SW, HW 시스템을 자동 종료 할수도 있음

 

4. APT 공격 대응방안

 1) APT 공격 대응방안

  • PC 검사, 격리, 악성 파일 등의 행위를 통한 감염에 대한 예방

 2) APT 공격 대응방안 

구분 대응방안 설명
수직적 보안 시그니처/패턴기반 분석 - 공격 시그니처/패턴을 분석, 공격을 탐지
행위기반 분석 - 실제 환경과 동일한 가상환경 구성, 행위를 분석
화이트리스트/블랙리스트 - 접근불가 리스트 or 접근 가능 리스트를 활용
평가기반 분석 - 데이터 수집/평판 평가(시그니처/행위기반 보안)
상황인지 분석 - 상황인지 기술을 적용, APT 탐지/방어에 활용
수직적/수평적 보안 안티바이러스/SPAM - 안티 프로그램 설치 및 지속적 패치/업데이트
내부정보유출방지 - DLP, 매체제어 등 제어를 통한 확산 방지
키보드 보안, 화면캡쳐방지 - 키 입력 후킹, 화면 갈무리에 대한 예방
보안 인텔리전스 인텔리전스 기반 보안관제 - 인텔리전스 기반의 지능적 통합 보안 관제
포렌식 - 네트워크 포렌식, 디스크 포렌식, DB 포렌식 등 수행
  • 외부 인터넷과 사내 인터넷 간 수직적 보안과 사내 인터넷 구간 간의 모니터링, 가시성 확보를 통한 수평적 보안 필요

'메가노트 > 토픽과제(정리)' 카테고리의 다른 글

웹 해킹(이상희)  (0) 2022.10.01
DDOS 공격(문경숙)  (0) 2022.10.01
블록 암호 모드(김도현)  (0) 2022.09.28
NFT 특성과 마켓 플레이스 취약점(문경숙)  (0) 2022.09.24
DRM vs. DLP(황선환)  (0) 2022.09.24

[정보보안 목차]

1. 블록 단위 암호화 처리 방식, 블록 암호 모드의 개념

• 지정된 특정 bit 수 단위의 집합(block)을 기준단위로 한번에 처리하는 암호 알고리즘 방식.

• 긴 평문을 블록으로 나누어 암호화 진행, 각 블록에 암호 알고리즘을 반복해서 사용하여 긴 평문 전체를 암호화 진행.

DES or 3DES : 64bit

AES : 126bit, 192bit, 256bit

 

• 모드란? => 방식 의미

– 각 블록에 암호 알고리즘을 반복해서 사용하여 긴 평문 전체를 암호화

– 블록 하나 하나를 암호화 하는 암호화 알고리즘, 블록 들의 집합을 암호화하는 암호 모드

 

 블록암호 주요 모드

• ECB 모드 : Electric CodeBook mode(전자 부호표 모드)

• CBC 모드 : Cipher Block Chaining mode(암호 블록 연쇄 모드)

• CFB 모드 : Cipher-FeedBack mode(암호 피드백 모드)

• OFB 모드 : Output-FeedBack mode(출력 피드백 모드)

• CTR 모드 : CounTeR mode(카운터 모드)

 

2. ECB 모드(electronic codebook, 전자코드북)

- 평문 블록을 그대로 암호화함

- 암호화하려는 메시지를 여러 블록으로 나누어 각각 암호화하는 방식으로 되어 있다.

* 패딩(Padding) : 마지막 평문 블록이 블록 길이에 미치지 못할경우 추가하여 블록 길이가 되도록 맞춘다.

전자 코드북(ECB)는 모든 블록이 같은 암호화 키를 사용하기 때문에 보안에 취약하다.

만약 암호화 메시지를 여러 부분으로 나누었을 때 두 블록이 같은 값을 가진다면, 암호화한 값 역시 같다.

=> 반복공격(Brute-Froce Attack, Dictionary ATtack)에 취약

3. CBC 모드(cipher block chaining, 암호 블록 체인 방식)

- 암호문 블록을 마치 체인처럼 연결시키기 때문 에 붙여진 이름

- 각 블록은 암호화되기 전에 이전 블록의 암호화 결과와 XOR되며, 첫 블록의 경우 초기화 벡터(IV)가 사용된다.

- 초기화 벡터가 같은 경우 출력 결과가 항상 같기 때문에, 매 암호화마다 다른 초기화 벡터를 사용해야 한다.

 

CBC방식은 널리 사용되는 운용 방식중 하나이며, CBC는 암호화 입력 값이 이전 결과에 의존하기 때문에 병렬화가 불가능하다. 하지만 복호화의 경우 각 블록을 복호화한 다음 이전 암호화 블록과 XOR하여 복구할 수 있기 때문에 병렬화가 가능하다.

IV(Initialization Vector)가 필요하며 패딩(padding)처리가 진행되어야 한다.

복호화시에는 IV값, 패딩값, 암호화 키가 필요하다

단 모든 블록이 XOR연산에 서로 연관되어 있기에 중간의 일부 블록이 파손, 누락시 그 이후 모든 블록에 영향을 미친다.

[참고] IV (Initialization Vector)

CBC mode 에서 최초 평문 블록 암호화를 위한 피트열, 모든 블록은 그 이전 블록의 XOR 연산을 진행해야한다, 최초 1단계 블록은 이전 블록이 존재하지 않음으로 이때 사용되는 비트열인 한개의 블록이 필요하다. (랜덤값)

[참고] 패딩 오라클 (Padding Oracle)

블록암호에 활용되는 패딩(padding)을 이용한 공격, 공격자는 패딩의 내용을 조금씩 변화시키며 송신 수신측은 복호화 하지 못한 오류값을 회신하는데 이때 오류를 분석하여 평문정보를 취득하는 방식.

4. CFB 모드(cipher feedback, 암호 피드백)

- CBC의 변형으로, 블록 암호를 자기 동기 스트림 암호로 변환한다.

- 암호 피드백 모드, 피드백은 암호화 입력의 사용을 의미하며 IV의 값을 암호 알고리즘의 입력값으로 사용하는 방식이다.

- 재전송 공격 (Replay Attack) 에 취약하다, 공격자가 일부 블록을 탈취 후 재전송 시 탈취한 블록으로 일부를 치환하여 전송시 수신자는 잘못된 내용을 복호화하여 확인하게 된다.

- IV값이 필요하며 패딩은 필요하지 않는다. CBCmode 와 유사하나 가장 큰 차이점은 IV 를 암호화 하는 여부가 가장 큰 차이점이다.

- 재전송 공격 (Replay Attack) 에 취약하다, 공격자가 일부 블록을 탈취 후 재전송 시 탈취한 블록으로 일부를 치환하여 전송시 수신자는 잘못된 내용을 복호화하여 확인하게 된다.

 

5. OFB 모드(output feedback, 출력 피드백)

- 블록 암호를 동기식 스트림 암호로 변환한다.

- XOR 명령의 대칭 때문에 암호화와 복호화 방식은 완전히 동일하다.

출력 피드백 모드, 암호 알고리즘의 출력을 암호 알고리즘화 CFB와 비슷한 모습을 취한다.

- IV 값이 필요하며 CFB 방식과 유사하나 가장 큰 차이는 첫번째 XOR 연산의 입력값을 다음 블록에 영향을 미치는지, 출력값을 다음 블록에 영향을 미치는지가 가장 큰 차이점이다

 

6. CTR 모드(Counter, 카운터)

- 카운터 모드,CFB와 OFB의 장점을 모두 가지고 있는 방식, 1씩 증가하는 카운터를 암호화하여 키 스트림을 만들어 내는스트림암호, 블록을 암호화할때마다 1씩 증가해가는 카운터를 암호화 하는게 가장 큰 특징이다. 또한 다른 mode와 달리 이전 단계의 블록과 영향을 받지않는다.

- IV 및 패딩값이 필요하지 않다, 한번에 모든 블록을 동시에 암호화함으로 매우 빠른 속도를 자랑하며, 최근에 가장 많이 사용되는 mode이다 암,복호화 과정이 완전히 같은 구조이며 프로그램 구현도 매우 간단하다.

카운터 만드는 법

카운터의 초기값은 암호화 때마다 다른 값(비표)을 기초로 해서 만든다. 블록 길이가 128bit인 경우 카운터의 초기값은

아래와 같다.

66 1F 98 CD 37 A3 8B 4B(비표) 00 00 00 00 00 00 00 01(블록 번호)

7. Block cipher mode 정리

모드 장점 단점 권장여부
ECB 간단, 고속
병렬처리 가능 (암호화/복호화 양쪽)		 평문 속의 반복이 암호문에 반영된다.
암호문 블록의 삭제나 교체에 의한 평문의 조작이 가능
비트 단위의 에러가 있는 암호문을 복호화하면 대응하는 블록이 에러가 된다.
재전송 공격이 가능		 X
CBC 평문 반복은 암호문에 반영되지 않는다.
병렬처리 가능 (복호화만)
임의의 암호문 블록을 복호화할 수 있다.		 비트 단위의 에러가 있는 암호문을 복호화하면, 1블록 전체와 다음 블록의 대응하는 비트가 에러가 된다.
암호화에서는 병렬 처리를 할 수 없다.		 O
CFB 패딩이 필요 없다,
병렬처리 가능 (복호화만)
임의의 암호문 블록을 복호화 할 수 있다.		 암호화에서는 병렬처리를 할 수 없다.
비트 단위의 에러가 있는 암호문을 복호화하면, 1블록 전체와 다음 블록의 대응하는 비트가 에러가 된다.
재전송 공격이 가능		 X
OFB 패딩이 필요 없다.
암호화/복호화의 사전 준비를 할 수 있다.
암호화와 복호화가 같은 구조를 하고 있다.
비트 단위의 에러가 있는 암호문을 복호화하면, 평문의 대응하는 비트만 에러가 된다.		 병렬 처리를 할 수 없다.
적극적 공격자가 암호문 블록을 비트 반전시키면 대응하는 평문 블록이 비트 반전된다.
 		 X
CTR 패딩이 필요 없다.
암호화/복호화의 사전 준비를 할 수 있다.
암호화와 복호화가 같은 구조를 하고 있다.
비트 단위의 에러가 있는 암호문을 복호화하면, 평문의 대응하는 비트만 에러가 된다.
병렬처리 기능 (암호화/복호화 양쪽)		 적극적 공격자가 암호문 블록을 비트 반전시키면, 대응하는 평문 블록이 비트 반전된다.
 		 O

 

* 참고 사이트

1) https://jae1590.tistory.com/112

2) https://yjshin.tistory.com/entry/%EC%A0%95%EB%B3%B4%EB%B3%B4%EC%95%88-%EC%9D%BC%EB%B0%98-%EB%B8%94%EB%A1%9D%EC%95%94%ED%98%B8-%EC%9A%B4%EC%98%81%EB%AA%A8%EB%93%9C-CBC-ECB-CTR-CFB

 

'메가노트 > 토픽과제(정리)' 카테고리의 다른 글

DDOS 공격(문경숙)  (0) 2022.10.01
APT(안혜진)  (0) 2022.10.01
NFT 특성과 마켓 플레이스 취약점(문경숙)  (0) 2022.09.24
DRM vs. DLP(황선환)  (0) 2022.09.24
디지털포렌식 증거수집방법(배준호)  (0) 2022.09.24

[정보보안 목차]

 

 

 

NFT(Non-Fungible Token, 대체불가토큰) 특성과 마켓 플레이스 취약점

I. 토큰 이코노미의 새로운 성장동력, NFT 개요

  • 토큰마다 고유의 값을 가지고 있어 A 토큰을 B 토큰으로 대체할 수 없는 토큰
  • 자산(미술품, 디지털 콘텐츠 등)의 정보를 기록·저장 후 발행하는 고유한 토큰
  • 디지털 작품에 대한 소유권이 유일무이하게 NFT를 소유한 자에게 있다는 점을 증명하는 ERC-721 기반의 대체 불가능한 토큰 

가. NFT의 특징

특징 설명
추적용이 거래 내역, 소유자 정보 등이 블록체인에 공개적으로 기록되어 공유됨
쉬운거래 콘텐츠 또는 미술품 등의 창작자는 본인의 작품을 NFT 마켓 플레이스를 통해 손쉽게 판매가능
소유권 등 증명가능 '디지털 소유권 증명 기술서'로 NFT를 활용하여 작품, 소장품 등의 소유권을 입증
토큰의 분할 디지털 자산, 콘텐츠 등에 대한 NFT 소유권을 일정한 크기의 토큰으로 분할하여 거래 가능
대체불가 - 각 토큰은 고유한 가치를 지니기에 대체 불가
- 대체불가능 이더리움 네트워크 ERC-721 토큰 사용
부분 소유허용 - 100ETH기준 90ETH, 10ETH 등으로 토큰 부분소유 허용
- 토큰 부분 소유 허용 및 교환도 가능
영속성 - 토큰이 속한 서비스가 종료되어도 소유권은 영속함
- 토큰 기반의 애프터마켓이 활발해져 컨텐츠 가치 창출

나. NFT 주요 프로토콜

프로토콜 설명
NFT Digitize
(디지털화)		 - NFT 소유자는 파일, 제목, 설명이 완전히 일치하는지 확인
- 소유자는 적합한 포맷으로 raw data를 디지털 정보로 전환
NFT Store
(저장)		 - NFT 소유자는 블록체인 외부의 데이터베이스에 raw data를 저장
- 소유자는 가스를 소비하는 명령을 통해 raw data를 블록체인 내부에 저장할 것을 결정
NFT Sign
(서명)		 - NFT 소유자는 NFT 데이터를 포함한 거래내역에 서명
- 스마트컨트랙트에 거래내역을 전송
NFT Mint
(발행)		 - 스마트컨트랙트는 NFT 데이터가 담긴 거래내역을 받아 NFT를 발행
- NFT의 내부 기능은 토큰 표준에서 정의
NFT Confirm
(확인)		 - 발행 프로세스는 한 번 거래내역이 확인되면 완료
- NFT는 영속적인 증거(Proof)로서 유일한 블록체인 주소와 연결

다. 이더리움 기반의 NFT 발행 프로세스

  • ERC(Ethereum Request for Comments)-721를 주로 활용하며 최근 ERC-1155표준도 활용

 

라. NFT의 장점

  • 사용자들의 디지털 자산에 대한 소유권을 보장하기 위해 중요한 역할 담당
  • 모든 종류의 디지털 자산들이 블록체인에 저장되어 소유권이 보장되고 안전하게 보관

 

II. NFT 마켓 플레이스 취약점

NFT 거래 시장의 성장으로 대규모 자금을 노리는 해킹과 거래 사기 등의 보안 위협이 증가하는 추세

 

가. 블록체인의 주요 사이버 위협 종류

구분 사이버 위협 내용
공급자 시스템 코드 취약성(시스템 측면)
스마트 컨트랙트 보안 위협
전자지갑(Hot Wallet) 대상 보안 위협(악성코드, 랜섬웨어, 가상자산 탈취 등)
APT 공격 취약 등
기기/인프라 (퍼블릭 블록체인) 분산 노드 해킹 위험
블록체인 생성 노드 또는 암호화폐 채굴 등 시스템에 대한 악성코드/랜섬웨어 유포 등
데이터 (개인키, 공개키) 권한 탈취
51% 합의를 장악(하이재킹) 등
네트워크 DDoS 공격
합의시간차 공격(플래시 론 공격)
DNS, BGP Hijacking 등
이용자 서비스 이용 보안 이유 개인키 유출
전자지갑 보안 이슈
개인정보 유출 및 쉬운 암호화 해제 문제 등

 

나. 주요 NFT 기반 서비스 플랫폼 해킹 기법

 

종류 특징
악의적인 코드 업로드 악의적인 NFT를 피해자에게 전송하고 피해자가 해당 NFT 열람시, 해커가 피해자의 NFT 지갑 열람권을 획득하여 지갑 내 가상자산 및 NFT 탈취
이중 미인증 계정 이중 인증되지 않은 계정을 해킹하여 보유하고 있는 NFT를 해커의 지갑으로 이전시킨 후 판매
웹 사이트 취약점 마켓 플레이스 웹사이트의 보안 취약점을 악용하여 구매 또는 판매 가격을 조작하여 저가에 NFT를 획득한 후 고가로 재판매

- 서비스 플랫폼 해킹은 디자인과 개발 단계에서 보안 취약점으로 인한 보안 위협에 대응하기 위한 설계에 대하여 충분한 검토가 이루어지지 않았다는 점이 원인으로 지목되고 있음

 

다. 주요 NFT 서비스 이용자 대상 해킹 기법

 

종류 특징
복구 문자 훔치기 공격자가 이메일, 문자(SMS), 디스코드(Discord)등을 통해 허위 사이트 링크를 이용자에게 전송하고 허위 사이트에서 이용자의 복구 문자를 입력하도록 유도하여 탈취
허위 메시지 발송 허위 플랫폼 또는 공격자 지갑으로 연결한 뒤, 정상적인 거래가 발생한 것으로 위조된 메시지를 이용자에게 전송하여 개인키 서명을 유도하여 공격자에게 자산이 이관되도록 하는 기법

- 이러한 해킹기법으로 인해 NFT 서비스 플랫폼과 이용자를 대상으로 하는 보안 사고의 발생이 꾸준히 증가하고 있으며, 이로 인한 금전적 피해도 발생

 

라. NFT 해킹, 보안사고 사례

현대자동차 NFT 해킹 (’22.05)

BAYC 해킹 (’22.04)

엑시 인피니티 해킹 (’22.03)

OpenSea 해킹 (’22.02): 21억원

OpenSea 해킹 (’22.01) : 12억 3천만원

Monkey Kingdom 해킹 (’21.12)

OpenSea 해킹 (’21.09)

Banksy.co.uk 해킹 (’21.08)

Nifty Gateway 해킹 (’21.03)

- 한편, NFT 활용 분야와 적용 사례가 증가함에 따라 블록체인을 기반으로 하는 서비스, 시스템에 대한 보안 공격이 점차 고도화되고 있으며, 이동통신회사·본인인증 서비스·SNS 등 제3자를 통한 공격이 증가하는 추세

마. 향후 예상 NFT  보안 공격 목표 대상

구분 설명 

이용자의 지갑 탈취

NFT 발행·관리에 사용되는 ERC-721 기반 소스 코드(Source code)에서 취약점을 악용
이용자의 지갑 내 암호자산과 NFT를 탈취하는 보안 위협 발생

스마트 컨트랙트 보안 위협

서비스와 플랫폼에서는 스마트 컨트랙트를 통해 NFT의 매매와 양도가 이루어지는데
스마트 컨트랙트가 가지고 있는 보안 위협으로 인해 해커들의 공격 목표가 될 것

블록체인 오라클 보안 및 신뢰성 위협

스마트 컨트랙트의 운영과 작동을 위해 외부 정보의 요청·검증을 위해서 필요한 “블록체인 오라클(Blockchain Oracle, 이하 오라클)”에 대한 보안 및 신뢰성의 위협 발생

 

 

바. 대응방안, 시사점

경제·사회 전반에 메타버스·NFT 활용이 확대됨에 따라 관련한 보안 이슈 발굴 및 대응책 마련 필요

국민의 안전한 이용환경 제공과 관련 기업의 비즈니스 기반 확대를 위해 민·관 협력체계 구축 및 보안 가이드 개발

 

가상세계와 현실세계에서 동일한 위협이 함께 발생하는 “위협의 동기화” 예방을 위한 법·제도적 검토 필요

안전하고 신뢰할 수 있는 메타버스 환경 구축을 위한 법·제도 등의 개선 노력 필요

'메가노트 > 토픽과제(정리)' 카테고리의 다른 글

APT(안혜진)  (0) 2022.10.01
블록 암호 모드(김도현)  (0) 2022.09.28
DRM vs. DLP(황선환)  (0) 2022.09.24
디지털포렌식 증거수집방법(배준호)  (0) 2022.09.24
변조, 위조(이강욱)  (0) 2022.09.24

[정보보안 목차]

 

 

1. DRM과 DLP의 관계

- RM과 DLP은 문서 보안과 유출 방지 목적은 동일하나 기술과  동작 방식은 서로 상이

 

2. DRM과 DLP의 비교

항목 DRM(Digital Rights Management) DLP(Data Loss Prevention)
개념 - 디지털 콘텐츠의 권리정보 지정, 암호화 이용하여 허가된 사용자/범위 내에서 사용하도록 통제하는 기술 - 단말, NW, DB등에서 검색, 설정, 차단 기능을 이용하여 중요 정보의 유출 방지/감시하는  기술
동작방식 - 사용 권한 레벨 별도 존재
- 이용 권한은 문서 소멸시 까지 유효
- 문서 암호화, 인가된 사용자만 접근		 데이터 분류, 흐름 감시
핵심기능 외부 유출시 문서 암호화 되어 식별 불가 내용 인식 및 추적 기능 지원
종류 문서 DRM, 멀티미디어 DRM Network DLP, Endpoint DLP
암호화 콘텐츠 암호화 암호화 없음
장점 외부 문서 유출 시 기밀성 보장 문서 유출 명시적 차단
단점 Agent 기반 적용으로 사용자 불편 유출 이후 정보 보호 불가
주요기술 - 접근 제어(RBAC, MAC, DAC) 
- 워터마킹, 핑거프린팅
- 디바이스 인증
- 컨텐츠 패키징 기술 - 디지털 권리표현 기술		 - 트래픽 제어(SSL 복호화)
- 컨텐츠 제어(PDF, DOC, XLS) 
- 정규 표현식(Regular Expression)

- DLP는 유출 측면에서 보호를 수행하고, DRM은 권한 제어 측면에서 보호 수행

DRM(Digital Right Management) (tistory.com)

DLP(Data Loss Prevention) (tistory.com)

 

'메가노트 > 토픽과제(정리)' 카테고리의 다른 글

블록 암호 모드(김도현)  (0) 2022.09.28
NFT 특성과 마켓 플레이스 취약점(문경숙)  (0) 2022.09.24
디지털포렌식 증거수집방법(배준호)  (0) 2022.09.24
변조, 위조(이강욱)  (0) 2022.09.24
리버스 프록시(이재용)  (1) 2022.09.24

+ Recent posts

티스토리툴바