사이버보안

정보보호 거버넌스
- 정보보호 거버넌스란 조직의 정보 보호 프로세스를 통칭하는 용어이다
- 내부 통제를 기반으로 이를 준수하며 책임을 할당하기 위한 프레임워크이다
- 거버넌스는 보안 전략이 조직의 비즈니스 목표와 부합 및 연계되는 정책과 내부 통제의 기능이 있다
- 정보보호 거버넌스는 통제의 의미를 보안 영역으로 적용한 개념이다

정보보호 정책 수립을 위한 기업 내부환경 분석

- 정책 수립을 위해서는 참조 문서가 필요하다
- 현재의 업무 체계와 미래의 업무 체계에 대한 요건을 고려해야 한다
- 정보 보호에 대한 참조 문서를 철저히 분석하여 기업이 추구하여야 하는 정보 보호 요구 사항을 정확
하게 도출하는 작업이 필요하다
- 장기적 관점에서 기업의 비전과 방향을 제시하는 경영 전략의 이해 및 분석을 선행하여야 한다

정보보호 이해관계자 유형
- Player는 주도적인 참가자로서 조직의 목적 달성에 관심도 및 중요한 영향력을 모두 갖춘 이해 관계자
- Subject는 예민한 수용자 또는 실험 대상자로 분류되는 유형
- Context Setters는 잠재적 참가자로 분류되는 유형
- Crowd는 불특정 다수 또는 군중으로 분류되는 유형

7대 정보자산
- 데이터 / 물리적 시설 / 네트워크 / 문서 / 소프트웨어 / 서버 / 지원시설

네트워크 식별 및 인증요구사항
- 설정된 횟수 이상 인증 실패 시 대응 기능이 제공되어야 한다
- 제품 출고 시 디폴트 관리자 패스워드 설정을 하면 안된다
- 입력한 패스워드 정보를 화면에서 볼 수 없도록 마스킹하는 기능이 있어야 한다
- 관리자･사용자 인증 정보의 평문 저장 금지 기능 제공되어야 한다

방화벽
- 외부 네트워크에서 내부 네트워크로 접근하려면 반드시 방화벽을 통과하도록 한다
- 방화벽은 내부 네트워크의 자원 및 정보를 보호하는 시스템이다
- 방화벽은 외부와 내부 네트워크 간의 유일한 경로에 방화벽을 둠으로써 보안 서비스를 제공하여 불법
적인 트래픽을 거부하거나 막을 수 있다
- 방화벽은 투명성을 보장하지는 않지만, 내부 네트워크를 안전하게 보호할 수는 있다

위험관리
- 위험을 완전히 없앨 수는 없으나 어느 정도의 위험이 어떤 분야에서 발생 가능한지를 알고 있는 것은
대단히 중요하다
- 위험을 체계적으로 관리하기 위해서는 목표 위험 수준을 설정하여 위험을 관리할 필요가 있다
- 목표 수준을 달성하기 위한 장기 계획을 수립하여 대응하는 것이다
- 목표 위험 수준은 그 조직의 사업 또는 업무 특성과 경영진의 특성에 따라 달라질 수 있다

- 1 -
보안위험 분석 방법론 - 베이스 라인 접근법 / 상세 위험 분석 접근법 / 비정형 접근법 / 복합 접근법

보안 솔루션 관리 및 보호
- 보안 솔루션 관리 및 보호는 보안 취약성 진단의 개념
- 보안 솔루션 관리 및 보호는 보안 취약성 진단의 목적
- 보안 솔루션 관리 및 보호는 보안 취약성 진단 및 조치에 관한 내용
- 보안 솔루션 관리 및 보호는 최근 공격 경향 분석

정보보호 이행 점검
- 조직의 주요 정보 자산을 보호하기 위해서 하는 행위
- 정보 보호 관리 절차와 과정을 체계적으로 수립하여 지속적으로 관리하고 운영하기 위한 종합적인 체계
- 정보보호 정책 수립 및 범위설정은 정보보호 관리과정의 하나
- 정보자산 분류는 정보보호 대책 분야의 하나

1차시 정보보호 거버넌스 구현

정보보호 거버넌스
- 정보보호 거버넌스 ISO는 27014이다.
- 정보보호 거버넌스는 조직의 보안 사고에 대한 예방, 피해 최소화와 관계가 있다
- 정보보호 거버넌스는 조직 차원의 정보 보호 체제수립을 목표로 한다
- 보안사고 발생 시 신속한 복원력 향상을 위해서 거버넌스가 필요하다

정보보호 거버넌스 핵심활동 - 평가 / 지시 / 감시 / 의사소통 / 감사

정보보호 거버넌스 목표 - 책임성 / 연계성 / 준거성

정보 보호 아키텍처 수립을 위한 기본 원칙
- 확장성이 보장되는 아키텍처를 수립한다
- 정보 보호 요구 변화에 유연한 아키텍처를 수립한다
- 통합 정보 보호 체계로서의 역할을 고려한다
- 비용 효율적 아키텍처를 수립한다
- 정보 보호 아키텍처는 여러 가지 보호 수준을 수용하고 미래의 정보 보호 요구의 확장에 대하여
필요성을 수용할 수 있도록 구성되어야 한다

2차시 정보보호정책기획

정보보호 정책 수립을 위한 외부환경 분석

- 기업이 준수하여야 하는 법규에 대한 충분한 분석을 통하여 이에 합당한 정보 보호 정책을 기획하여야 한다
- 선진 사례 벤치마킹은 우수한 성공 사례를 도출하고 성공 차이를 확인하고, 그 차이를 극복하기 위하여
필요하다
- 벤치마킹 중 일반적인 직접 조사 방식은 선진 사례 업체 또는 기관을 방문하여 성공 전략 및 차별화
요소 등을 조사하는 방식으로 시간 및 비용이 많이 소요되는 반면에 정확하고 핵심적인 자료를 획득
할 수 있는 장점이 있다
- 간접적인 우수벤치마킹 사례 분석은 업체가 입수하고자 하는 핵심적인 자료 확보에 어려움이 있다

- 2 -
벤치마킹 절차
- 선정된 벤치마킹에 대하여 그 내용을 실제 적용하는 단계에서 유의할 사항은 벤치마킹 요소가 초기
목표 사항에 합당한 것인지 재검토하여야 하며, 적용 시에는 법적 요소 등에 위배 사항이 없는지를
면밀히 검토 후 적용하여야 한다
- 벤치마킹 하고자 하는 대상에 대하여 선진 사례 도출에 대한 목표를 정확히 수립하여야 한다
- 벤치마킹의 목적과 도출할 내용에 대하여 정확한 기준을 수립하여야 한다
- 수행 결과는 철저한 분석으로 도출하고자 하는 목표에 합당한 요소를 선정하여야 한다

정보보호 정책 수립마련
- 정책은 상위 레벨의 문서로서, 한 조직의 기업 철학, 고위 경영진의 업무 프로세스로서 책임자의 전략적
사고를 대변한다
- 정책은 변경이 잦지 않은 것이 특징이다
- 경영진은 모든 정책을 정기적으로 검토하고 상황 변화가 정책에 반영되도록 한다
- 정책을 수반할 개별 사업부나 부서의 정책이 있어야 한다

정보보호 정책수립
- 정책 수립 시 고려사항 / 정책개발 / 정책의 해석과 공표 / 정책의 구현 / 정책 위반에 대한 대처

ISMS인증 기준 - ISMS 인증 기준 80개 / ISMS-P 인증 기준 102개

ISMS인증 기준 항목 중 정책의 유지관리에 주요 확인 사항

- 정보보호 관련 정책 및 시행문서에 대한 정기적인 타당성 검토와 절차를 수립하고 이행하고 있는가?
- 조직의 대내외 환경에 중대한 변화 발생 시 정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고
필요시 제,개정하고 있는가?
- 정보보호 관련 정책 및 시행문서의 제,개정 내역에 대하여 이력 관리를 하고 있는가?

ISMS인증 기준 항목 중 정책 수립의 주요 확인 사항
- 조직이 수행하는 모든 정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 정책을 수립하였는가?

3차시 보안위험관리 1

위험관리
- 위험으로부터 자산을 보호하기 위한 비용 대비 효과적인 보호 대책을 마련하는 일련의 과정
- 위험의 구성 요소에는 위협, 취약성, 자산이 있다.
- 위협(Threats)은 자산에 손실을 초래할 수 있는, 원치 않는 사건의 잠재적 원인이나 행위자
- 취약성(Vulnerability)은 자산의 잠재적 속성으로서 위협의 이용 대상이 되는 것

손실 발생 후 위험 관리의 목적
- 생존 목적의 위험 관리는 손실 발생 후 위험 관리의 목적 중 가장 중요한 것으로 손실에도 불구하고
가계나 기업이 존재하도록 하는 것을 의미
- 활동 계속 목적의 위험 관리는 막대한 손해 발생에도 불구하고 활동을 계속할 수 있도록 하는 것
- 성장 계속 목적의 위험 관리란 기업이 계속적으로 성장할 수 있도록 관리하는 것을 의미
- 사회 책임 목적의 위험 관리는 손해가 발생한 경우 기업은 그 손해가 사회에 끼치는 영향을 최소화
할 수 있도록 위험을 관리하여야 한다

- 3 -
위험 분석 접근 방법론
- 베이스라인 접근법은 모든 시스템에 대하여 표준화된 보안 대책의 세트를 체크리스트 형태로 제공
- 비정형 접근법은 구조적인 방법론에 기반하지 않고 경험자의 지식을 사용하여 위험 분석을 수행하는 것
- 상세위험분석은 잘 정립된 모델에 기초하여 자산 분석, 위협 분석, 취약성 분석의 각 단계를 수행하여
위험을 평가하는 것
- 복합접근법은 고위험(high risk) 영역을 식별하여 이 영역은 상세 위험 분석을 수행하고 다른 영역은
베이스라인 접근법을 사용하는 방식

5차시 정보 보호 계획수립

정보 자산의 분류
- 데이터-전산화된 정보를 말하는 것으로 문서 파일, 데이터 파일 등
- 서버-공용 자원을 가지고 여러 사용자에게 제공하는 컴퓨터 시스템
- 시설-건물, 사무실, 데이터 센터 등의 물리적 시설
- 네트워크-네트워크 장비, 통신 회선 등

지원시설 - 공조 시설, 전력 공급, 방재 시설 등 정보 시스템 운영을 지원하기 위한 시설

정보 보호 관리 체계
- 한국인터넷 진흥원에서 인증하는 ISMS 인증이 있다
- BSI는 기업이 민감한 정보를 안전하게 보존하도록 관리할 수 있는 체계적 경영시스템이라 정의한다
- PDCA 모델은 Plan-Do-Check-Act 의 단계 진행 후 완료된다
- PDCA 모델은 Plan-Do-Check-Act 의 4단계를 순환 반복적으로 수행하는 모델이다

정보자산 관련 용어의 정의
- 위협은 자산에 손실을 미칠 수 있는 원하지 않는 사건의 잠재적 원인이다
- 위험의 크기는 위협, 취약성, 자산의 가치에 비례하는 함수로 정의할 수 있다
- 취약성은 자산이 가진 속성으로서 위협의 이용 대상이 될 수 있는 자산의 약점 또는 결점이다
- 위험은 위협이 취약성으로 자산에 손실을 미칠 가능성이다

6차시 네트워크보안운영 1

네트워크 자체 보안 관리 요구사항
- 관리자가 설정한 ACL 규칙에 따라 트래픽을 제어하는 기능이 제공되어야 한다
- SNMP를 이용한 시스템 모니터링 및 관리 기능이 제공되어야 한다
- 관리 콘솔 접속 가능 IP 개수 제한 기능이 있어야 한다
- 제품구동 시 정규 운영 동안 주기적으로 관리자 요청 시 자체 시험을 실행하는 기능이 제공되어야 한다

네트워크 장비 보안 기능 요구 사항 필수 점검표
- 원격 관리 서비스를 디폴트 값은 비활성화하고 활성화･비활성화 하는 기능을 제공하여야 한다.
- 비밀 번호는 9자리 이상 입력 가능하여야 한다
- 원격 관리 서비스 용도의 IP 주소를 지정하는 기능을 제공하여야 한다.
- 암호화 및 해시 알고리즘의 보안 강도는 112bit급 이상을 만족하여야 한다

- 4 -
OSI 7개계층 모델
- 애플리케이션 계층은 사용자들이 OSI 환경을 액세스할 수 있다
- 데이터 링크 계층(Data Link Layer)은 물리적인 링크 간에 신뢰성 있는 정보를 제공한다
- 전송 계층(Transport Layer)은 데이터 전달과 접속에 신뢰성을 주는 곳이다
- 프리젠테이션 계층은 애플리케이션 계층으로부터 전해진 다양한 데이터 타입을 전송 형식과 무관한
구문의 형태로 변환하고 암호화하는 기능을 수행한다

7차시 네트워크보안운영 2

네트워크 보안 솔루션
- VPN은 정보를 암호화하여 공중망을 통하여 전송함으로써 정보를 가로채기 당하더라도 데이터 유출을
차단시키는 네트워크 보안 솔루션이다
- 침입 탐지 시스템은 이상 패킷을 실시간으로 감지하여 관리자에게 통보하여 공격에 대응하는 네트워크
보안 솔루션이다
- 침입 방지 시스템은 침입 탐지 시스템에 방지 기능까지 자동으로 수행하는 네트워크 보안 솔루션이다
- 방화벽과 침입 탐지 시스템을 이용한 보안 관리의 한계를 극복하려고 침입 방지 시스템이 등장하였다

네트워크 보안 솔루션 개선 계획절차

- 현재 네트워크 구성 요소를 도출하고 운영 중인 네트워크 보안 솔루션이 있다면 포함하여 구성 요소를 도출한다
- 타깃별 발생 가능한 위협들을 위협 분석 모델링 기법을 이용하여 위협을 분석한다
- 취약점 점검 항목을 개발하고, 점검 항목별 취약점을 진단한다
- 솔루션 패치 적용 등의 조치 방안 및 계획을 수립한다

네트워크 보안 취약점 분석절차

- 대상 시스템 결정은 취약점 분석의 첫번째 단계로 네트워크 관리자가 네트워크에서 목표로 하는 시스템
의 IP를 확인하는 것이다
- 가동 시스템 탐색은 네트워크 관리 프로토콜 쿼리에서부터 복잡한 TCP/IP 스택 기반의 운영 시스템
확인까지 포함된다
- 서비스 목록 탐색은 살아 있는 각각의 호스트에 대하여 포트 스캐닝을 하는 것이다
- 서비스 인식은 모든 열린 포트의 서비스를 확인하는 것이다

8차시 시스템보안운영 1

시스템 보안 솔루션 운영 업무의 어려움

- 다양한 솔루션에 의한 운영에 따라 일관적이지 못한 복잡한 정보에 대한 조치가 어렵다
- 다양한 보안 솔루션 운영에 대한 개별화된 보안 수준 평가로는 전체 통일화된 보안 수준 평가가 어렵다
- 여러 종류의 보안 운영에 관련된 운영 정보의 체계적인 관리가 어렵다
- 솔루션별 전문 관리 인력이 필요하나 실질적으로 업무 담당하는 보안 인력이 적고, 비용이 발생한다

정보 보안 프레임워크의 필요성 3가지 - 관리적 측면 / 재무적 측면 / 성능적 측면

시스템 보안의 정보운영 4단계 프로세스

- 1단계 정보 보호 대상 현황파악 / 2단계 예방 대응 / 3단계 탐지 대응 / 4단계 업무 정량화

- 5 -
9차시 시스템보안운영 2

정보 보호 침해 사고
- 정보 보호 침해 사고의 유형은 침해 행위에 따른 유형과 피해 유형에 따른 유형으로 나누어볼 수 있다
- 바이러스는 비인가된 시스템 접근 및 파일 접근이다
- 비인가된 서비스 이용이란 네트워크 서비스의 취약점을 이용하여 서비스를 무단 이용하는 것을 말한다
- 서비스 방해 및 거부는 네트워크 및 시스템의 정상적인 서비스를 마비 또는 파괴시키는 서비스 방해
등을 말한다

정보보호 침해 사고 유형
- 비인가된 서비스 이용은 네트워크 서비스의 취약점을 이용하여 서비스의 무단 이용을 의미한다.
- 서비스 방해 및 거부는 네트워크 및 시스템의 정상적인 서비스를 마비 또는 파괴시키는 서비스 방해
를 의미한다
- 비인가된 네트워크 정보 접근은 네트워크 정보 수집 포함을 의미한다
- 가용성 침해는 서비스 지연 및 중단을 말한다

7단계 침해사고 분석 절차의 내용

- 사고가 발생하기 전 침해 사고 대응팀과 조직적인 대응을 준비한다
- 정보 보호 및 네트워크 장비에 의한 이상 징후를 탐지한다
- 초기 조사를 수행하고 사고 정황에 대한 기본적인 세부 사항을 기록한다
- 환경의 전체적인 고려 사항을 반영하여 적절한 대응 전략을 수립 후 적절하게 대응한다

10차시 관리보안운영

클라우드의 정의
- 클라우드 컴퓨팅은 원격에 있는 컴퓨터 자원들을 네트워크를 연결해 원격접속 및 이용이 가능한 새로운
컴퓨팅 패러다임이다
- 사람 뿐만 아니라 사물까지 모두 정보를 주고 받을 수 있도록 모든 것들을 네트워크로 연결하고 정보를
공유할 수 있게 하는 기술은 사물인터넷 기술이다.
- 클라우드의 장점은 서버에 저장된 하나의 데이터 및 프로그램을 가지고 여러 사용자가 동시에 사용이
가능하다는 점이다
- 네트워크에 접속할 수 있는 어떠한 단말기만 있으면 시간과 장소에 구애받지 않고 필요한 작업을
네트워크 원격으로 수행할 수 있다

정보보호 교육 계획 수립 중 교수 체계 설계 모형
- 교수 설계 과정에서 가장 먼저 실행된다. 학습자가 누구이며 현재 어떤 수준에 있는지 등의 특성들을
파악하고, 그들이 필요로 하는 것과 기대하는 것이 무엇인지 등의 요구를 확인한다
- 설계 단계는 분석 단계에서 확인한 결과들을 토대로 교수 활동 전반에 대한 청사진을 마련한다.
- 실행 단계는 개발된 교수 프로그램을 실제 수업 장면에서 전개하면서 학습 목표의 달성을 위한 교수･
학습 활동이 역동적으로 일어날 수 있도록 모든 지원 체제를 가동시킨다
- 교수 활동 전반에 대한 청사진을 토대로 실제 교수 활동에 활용할 교수 자료와 매체를 작성･제작하는
등의 교수 프로그램을 개발한다. 또한 학습자료를 개발하고, 평가 도구를 개발하고 파일럿 테스트를 한다.

정보 보호 침해 사고의 범위
- 비인가자의 정보 시스템 접근 / 정보 자산의 유출 / 정보 시스템 자원의 오용 / 악성 코드의 유포

- 6 -
11차시 랜섬웨어 1

랜섬웨어
- 랜섬웨어는 이용자의 시스템파일, 문서, 이미지, 동영상 등 데이터를 암호화하고 복구를 위한 금전을
요구하는 악성코드이다
- 랜섬웨어는 악성코드의 일종이나 다른 악성코드와 달리 감염된 시스템을 암호화시키는 특성을 가지고 있다
- 랜섬웨어 대부분은 윈도우즈 운영체제를 설치한 컴퓨터를 감염시키지만, 안드로이드 (Android) 스마트
폰이나 맥(Mac) 운영체제가 설치된 시스템에도 감염사례가 발견되기도 한다
- 최초의 랜섬웨어 AIDS를 시작으로 유행하기 시작했으며, 국내의 경우 크립토락커 한글버전이 유포되
면서 본격적으로 사회문제가 되었다

랜섬웨어와 일반 악성코드 비교
- 유포방식은 일반 악성코드와 랜섬웨어 모두 웹사이트, 이메일, 네트워크 취약점 등을 통해 유포되는
동일한 방식의 유포 방식을 가지고 있다
- 감염 방식은 일반 악성코드와 랜섬웨어가 크게 차이를 가지고 있지 않다
- 일반 악성코드가 감염 시에 정보 및 파일 유출, DDoS 공격 하는 등의 동작을 한다면, 랜섬웨어는
문서, 사진, MBR 등 데이터 암호화한다
- 일반 악성코드 치료는 백신 등을 통해 악성코드 치료하면 되지만, 랜섬웨어는 백신 등을 통해 악성
코드를 치료할 수는 있으나, 암호화된 파일은 복구가 어렵다

랜섬웨어 감염 경로와 증상
- 홈페이지, 이메일을 통해 유포되던 방식에서 불특정 다수를 감염시키는 웜 형태와 해킹을 통해 감염
시키는 타깃형 공격으로 진화하고 있다
- 보안이 취약한 웹사이트와 이메일 첨부파일실행 파일공유사이트 등을 활용, 보안설정이 미흡한 유무
선 네트워크를 악용하고 있다
- 메일이 스팸인지 구별되지 않을 만큼 정교한 경우가 대부분이다
- 웹사이트 커뮤니티에 접속 시 운영체제 응용프로그램의 취약점을 이용하여 랜섬웨어를 다운로드하고
실행하도록 한다

랜섬웨어의 일반적 감염증상

- 문서 이미지 서버파일 DB등 파일이 암호화 / PC 또는 스마트폰 화면 잠금
- PC 재부팅을 불가능하게 하는 부트영역 암호화

12차시 랜섬웨어 2

랜섬웨어 감염 시 나타나는 증상
- 바탕화면 변경 및 감염 알림 창 증상은 사용자의 파일이 암호화되었음을 알리고 이를 해제하기 위한
비용과 지불할 방법을 보여주는 안내창을 볼 수 있다.
- 파일 사용불가 증상이란 평소 문제없이 열렸던 문서, 사진, 그림, 음악, 동영상 파일들 중 일부 혹은
전체가 읽을 수 없게 되거나 열리지 않는 현상이 발생하는 증상이다.
- 파일 확장자 변경 증상은 평소 아무 문제없이 사용하던 파일의 이름과 확장자가 바뀌거나 파일 확장
자 뒤에 특정 확장자가 추가된 것을 볼 수 있다.
- 부팅 불가능 증상은 평소 사용하던 운영체제로 부팅이 되지 않고 랜섬웨어 감염 사실 및 금전요구
화면을 볼 수 있다.

- 7 -
랜섬웨어 피해 최소화를 위한 긴급조치
- 경우에 따라 PC가 종료된 경우 부팅까지 불가능하게 되는 경우도 있으므로 PC의 전원은 끄지 말아야 한다
- 워너크라이 랜섬웨어와 같이 내부망 전파도 될 수 있으니 외부 저장장치뿐만 아니라 네트워크 연결도
해제해야 한다.
- 감염 알림창 암호화된 파일 등 랜섬웨어의 유형을 파악 한다.
- 백신 소프트웨어 제조사 홈페이지 등을 통해 제공하는 복구 툴이 있는지 확인한다.

랜섬웨어 감염 후 데이터 복구
- 랜섬웨어에 의해 암호화되지 않은 PC 또는 이동식 저장장치에 데이터를 백업한다.
- 랜섬웨어 복구도구를 활용할 수 있다.
- 암호화된 데이터를 보관해야 하는 이유는 추후 암호화된 파일 및 시스템을 복구할 수 있는 도구가 제
공될 경우를 대비하여 감염된 랜섬웨어의 정확한 유형과 감염된 디스크 및 저장장치를 보관하고 있
어야 복구 확률을 높일 수 있다.
- 노모어랜섬 홈페이지 등에서 일부 랜섬웨어에 대한 복구도구를 제공하지만 모든 파일 또는 암호화 키
에 대한 복구가 아닌 부분적인 복구를 지원한다.

AllCry 랜섬웨어
- 지갑주소를 명시하여 가상통화 약 0.2Bitcoin을 지불요구 한다
- 피해범위는 PC에 존재하는 파일 jpg, xls, doc, ppt, zip, hwp, exe 외 200개의 확장자이다
- 바탕화면 폴더에 “readme.txt“ 랜섬노트 파일 생성한다

CERBER 랜섬웨어 - URL주소를 명시하여 복호화도구를 구매하도록 유도한다

DMA Locker 랜섬웨어

- 지갑주소를 명시하여 가상통화(3Bitcoin)를 지불하도록 유도한다
- 특징은 파일 확장자 변경이 없으며, 자동 실행으로 등록되어 재시작시 랜섬노트가 실행된다.
- 피해범위는 PC에 존재하는 파일과 Local Disk, USB Disk에 영향을 준다.

GlobeImposter 랜섬웨어 - ‘how_to_back_Files.html’ 파일명을 가지고 있는 랜섬노트가 나타난다

13차시 악성코드 1

악성코드 - 바이러스 / 웜 / 스파이웨어

사기 기법 - 피싱

14차시 악성코드 2

악성코드 탐지 및 삭제 실행
- 네트워크 점검하기 / 정상 프로세스와 비교하기 / 백도어의 실질적인 파일 확인하기
시작프로그램과 레지스트리 확인하기 / 백도어 제거하기

- 8 -
15차시 디도스 1

4단계 디도스 공격 대응 절차
- 웹서비스 관련 이벤트 발생 시 해당 원인이 디도스 공격으로 인한 것인지에 대한 명확한 판단이 필요하다
- 디도스 공격 유형을 명확히 파악하여 차단정책 설정을 위한 근거로 활용한다
- 웹서비스의 가용성 확보가 필요하다
- 공격트래픽 분석을 통해 공격 내용을 상세히 규명해야 한다

디도스 공격 대응 절차에 1단계

- 방화벽, IDS 등의 네트워크 장비를 통해 트래픽 규모를 평시와 비교한다
- 서버의 접속 로그를 확인하여 비정상 접속 증가여부를 확인한다
- 순간 발생하는 대규모 DDoS 공격 트래픽을 모두 분석하는 데는 한계가 있다
DDoS 공격 발생 시 Sampling Capture만으로도 비정상 여부를 확인할 수 있는 경우가 많다
- 웹서버와 클라이언트가 유지하고 있는 연결규모를 확인하여 평시대비 증감률을 비교한다

디도스 공격 대응 절차 2단계
- 유입 트래픽을 이용한 디도스 공격 유형을 파악한다
- 트래픽 확보는 tcpdump와 같은 트래픽 캡쳐 툴을 이용하여 분석한다
- 프로토콜 정보와 HTTP 헤더 정보, 연결 정보를 확인한다
- 대역 폭 소진공격, DB 부하 유발공격, 웹서버 자원 공격 등은 대표적인 디도스 공격 유형이다

디도스 공격
- 디도스 공격 대응은 공격자와 방어자간의 가용성 확보 싸움이라고 이해할 수 있다.
- 자신이 관리하고 있는 웹 서버 및 방어시스템 자원의 한계점을 명확히 알고 있어야 한다
- 보호하기 위한 시스템과 방어를 위해 사용하는 자원을 항시 모니터링하고 발생하는 DDoS 공격유형
에 따른 차단정책을 찾고 적용하는 것이 중요하다
- 운영장비의 자원 현황 모니터링 및 끊임없는 차단정책 개선 없이 단순히 장비에만 의존하여 공격을
대응하는 것에는 한계가 존재한다

16차시 디도스 2

UDP/ICMP Flooding 공격에 대한 세부 방어 내용

- ACL 설정을 이용해 차단한다
- 웹서버 혹은 운영장비에 대한 접근 제어 목록에 차단하고자 하는 프로토콜 정보를 차단한다
- INBOUND 패킷에 대한 임계치 설정을 이용해 차단한다

SYN Flooding 공격 방어 방안
- Handshake 과정에 위배된 패킷이 유입될 경우 비정상적인 트래픽으로 구분하여 차단한다
- 네트워크의 정상적인 환경에서 설정된 각 트래픽 유형별 임계치를 통하여 과도한 TCP 세션 연결에
대해 차단한다

Get Flooding 공격 방어 방안
- 콘텐츠 요청 횟수에 대한 임계치 설정으로 차단한다
- 시간별 웹페이지 URL 접속 임계치 설정으로 차단한다
- 웹스크래핑(Web-Scraping) 기법을 이용하여 차단한다

- 9 -
TCP Session 공격 방어 대응방안
- Connection Timeout / keepalive 설정을 통해 차단한다
- L7 스위치의 임계치 설정 기능을 이용하여 차단한다
- Time-Wait 설정을 통해 차단한다
- 해당 패킷에 대해 분석하지 않고 해당 패킷을 무시하도록 하여 공격패킷을 차단한다는 HTTP
Continuation Data Flooding 공격 방어이다.

Slow HTTP POST 공격 방어 대응방안

- 접속 임계치 설정을 통해 차단한다.
- Connection Timeout과 Keepalivetimeout 설정을 통해 차단한다.
- Request Read Timeout 설정을 통해 차단한다.

URL Redirect 우회 공격 방어 대응방안

- 좀비 PC에 다른 URL로 리다이렉트 신호를 전송함으로써 공격을 차단한다

17차시 4차 산업혁명과 사이버 보안 1

4차 산업혁명의 특징
- 초연결성 / 맞춤형 서비스 / 자동화 / 기기 지능화 / 효율성

4차 산업혁명에서 나타나는 사이버 위협의 유형

- 정보유출 / 금융사기 / 물리공격 / 서비스 거부 공격

사이버 위협에서 나타나는 거래/금융사기 내용

- 해커가 공급자와 소비자 간에 통신 정보를 가로채어 정보를 조작하여 금전적인 피해를 입히는 방법
- 개인정보를 탈취해 개인 자산에 피해를 주는 방법
- 직접 금융기관 서버를 해킹해 금전적인 피해를 입히는 방법

금용피싱 - 금융기관을 사칭해 금전적 피해를 주는 방법

서비스 거부 공격
- 서버가 처리할 수 있는 연산과 밴드위스 용량 이상의 쿼리를 전송하여 시스템을 마비시키는 원리이다
- 분산반사서비스공격(DRDoS)은 기존의 서비스분산공격에서 발전된 형태이다
- 서비스거부공격은 어떤 서비스를 제공하느냐에 따라 서비스 수요자의 위협 수준이 다르다

금융공격 - 카드정보를 유출해 복제카드를 만들어서 공격한다

물리공격
- 국가 전력망을 해킹할 수 있다
- 테러의 지역이 넓어진다.
- 공격비용이 기존 재래식 공격보다 저렴하다
- 원격조정으로 테러범의 희생 없이 자폭 공격이 가능하다

- 10 -
18차시 4차 산업혁명과 사이버 보안 2

사이버 위협
- 초기 해킹은 개인이 사용자를 괴롭히거나 자신의 실력을 과시하기 위한 목적이 강했다. 그렇기 때문에
사이버공격은 개인 컴퓨터를 해킹하는 수준이었고, 그 해킹 피해수준 또한 낮았다
- 사이버공격들은 갈수록 교묘해지고 지능화되고 있다
- 해킹의 발전으로 많은 보안 시스템들이 무용지물이 되어가고 있다
- 대표적 위협은 APT(Advanced Persistent Threat)다

해킹 사례
- 2011년 농협사태는 APT(Advanced Persistent Threat) 사건이다.
- 2011년 농협사태는 특정 목표물을 정해놓고 완벽한 계획 하에 취약점을 찾아내서 시스템을 공격하는
제로데이 공격을 감행하는 공격기법이다
- 영국 RBS 은행 시스템의 신용카드 정보를 유출해 복제카드를 만들고 신용카드 한도를 높인 사건은
APT 공격기법이다
- 모건스탠리에서 발생한 ‘오로사 사건’은 APT 공격 사건이다

APT 공격과 기존 사이버 공격방식의 차이

- APT공격은 지속적으로 특정 기관을 반복해서 공격을 가하는 기법으로 정의 할 수 있다
- 중국 사이버넷 인베스트먼트 그룹의 핑 첸(Ping Chen)의 분석에 따르면 APT 공격은 공격자, 공격
대상, 목적, 침입 방법에서 기존의 사이버 공격과 다르다
- APT 공격자는 개인집단이 아닌 국가, 대기업과 같은 대규모 기관이거나 이들 기관에서 해킹집단을
용병으로 고용 한 경우가 많다
- APT 공격은 정부기관, 주요 경쟁기관에 피해를 주거나 전략적 우위를 얻기 위해 가해지는 경우가
대부분이다

사이버 킬체인의 공격단계 중 악성코드 전파에 대한 내용

- 가장 대표적인 방식은 ‘스피어피싱’ 공격이다.
- 피싱이 다수를 목적으로 한다면 스피어피싱은 명확한 대상에게 이와 같은 공격을 감행하는 것을 뜻한다
- 해킹공격의 실패에 대비해 시스템을 공격하기 위한 다양한 공격방법들을 구상하는 것은 사전조사와
취약분석 단계이다.
- 워터링홀 기법 공격도 자주 이용된다.

19차시 4차 산업혁명과 사이버 보안 3

스마트카 해킹의 위험성

- 원격 조정을 폭탄테러, 주요인물 암살 등을 감행할 수 있다
- DDoS 공격 등을 통해 교통신호를 방해하여 교통 혼잡을 야기 시킬 수 있다
- GPS 통신 해킹을 통한 개인의 사생활 침해 및 주요 인물의 동향 파악으로 국가안보 위협을 할 수 있다
- 스마트카에 잘못된 위치정보를 주어 교통 혼잡 및 탑승객 위험 노출시킬 수 있다

20차시 4차 산업혁명과 사이버 보안 4

4차 산업혁명에서 말하는 보안 요구 6가지

- 접근제어 / 기밀성 / 부인방지 / 무결성 / 가용성 / 인증

- 11 -
-------------------------------------

정보보호 거버넌스의 핵심활동

- 평가 / 지시 / 감시 / 의사소통 / 감사

정보 보호 거버넌스의 주요 프로세스
1. 전략적 연계 2. 가치전달 3. 자원관리 4. 위험관리 5. 성과측정 6. 프로세스 통합

일반 악성코드의 특징
- 동작 : 정보 및 파일 유출, DDoS 공격
- 대응 : 악성코드유포지 및 명령조정지서버 주소를 차단
- 치료 : 백신 등을 통해 악성코드 치료
- 피해 : 개인, 금융 정보 유출 및 이를 이용한 2차 공격으로 피해 발생

랜섬웨어의 특징
- 동작 : 문서, 사진, MBR 등 데이터 암호화
- 대응 : 악성코드유포지 및 명령조정지 서버 주소 차단하나 복호화 키가 저장된 서버(도메인/IP)와의
통신 경로는 차단하지 않는다
- 치료 : 암호화된 파일은 복구 어렵다
- 피해 : 암호화된 파일에 대한 복호화를 빌미로 가상통화(비트코인 등)로 금전을 요구

랜섬웨어 감염을 최소화하는 6가지 예방법

- 시스템 보호환경 구축 : 서버 보안제품 도입, 악성코드 감염 및 데이터 위 변조 행위 차단
- 취역점 관리 및 패치 : 운영체제 웹브라우저 브라우저 플러그인 및 응용 프로그램의 소프트웨어 취약
점 패치
- 실행코드 제어 : 허가되지 않은 코드의 실행 방지, 관리자 승인 없이 사용자가 소프트웨어설치 금지
- 웹 브라우저 트래픽 필터링 : 불명확한 사이트 접근차단 등 필터링
- 이동식 매체 접근 통제 : 공식적인 이동식 매체 발급 이동식 매체에 대한 악성코드 검사 및 자동실행
기능 비활성화
- 스팸메일 차단 : 메일 보안 솔루션 도입

록히드마틴의 사이버 킬 체인 6단계

1. 사전조사 및 취약분석: APT 공격 이전의 사전준비 단계
2. 악성코드 전파 : 악성코드를 취약한 시스템에 전달하는 단계
3. 시스템 침투: 시스템 접근 권한을 획득하는 단계
4. 지휘 및 통제: C&C채널을 구축하는 단계
5. 레트럴 무브먼트: 네트워크와 주변 기기들을 감염 시키는 단계
6. 공격 감행: 사이버공격 단계

4차 산업혁명의 5가지 특징
- 초연결성 / 기기의 지능화 / 자동화(인공지능) / 맞춤형 서비스 / 효율성

- 12 -