정보보안기사 실기 D-1 ? H-17 최종 정리

내일 내 필기 유효기간 내 마지막 실기 시험날이다.

회사에 휴가까지 쓰고 아침부터 공부했는데... 더는 못하겠다.

30이 넘어가니 이놈의 집중력인지, 잡생각인지 별애별생각들이 드는바람에 하기 싫은 공부가 더 하기 싫어진다....

그래도 글 쓴다는 핑계로 마지막 정리를 해보고자 한다!

(순서 뒤죽박죽임)

 

정말 중요한 것만 적어볼려고 한다!

XSS 취약점 : 사용자 입력 값에 대한 필터링이 적절하지 않아 공격자가 악의적인 스크립트 삽입(게시글내) 하여 해당 스크립트가 사용자(클라이언트) 측에서 동작하도록하는 악의정 행위

 - 종류 : 저장형, 반사형, DOM형(클라이언트측에서 실행)

 - 대응방법 : 사용자 입력값 검증을 서버에서 실행, HTML 특수문자는 일반문자로 치환하여 이스케이프 처리, 게시판 등에서 HTML 태그 허용해야할 경우, 허용가능한 태그들만 화이트리스트 설정 하여 해당 태그만 사용

 

CSRF : 공격자가 저장한 스크립트 구문(PW 변경 등)을 사용자로 하여금 조작된 요청을 전송하도록 하여 게시판 설정 변경, 회원정보 변경등의 문제가 발생하는 취약점

 - 대응방법 : 임으의 토큰 추가하여 정상/비정상 요청 구분 또는 중요기능(회원정보 수정 등) 대해서 사용자 세션검증+패스워드 재인증, 위의 XSS 동일하게 특수문자 일반문자로 치환하기, 화이트리스트 태그 사용

 

COMMAND EXECUTION 취약점 : 웹에서 시스템 명령어를 실행 할 수 있는 경우 적절한 필터링이 이루지지 않을 경우 공격자가 시스템 명령어를 호출하는 취약점( ; cat /etc/passwd) 와 같이 시스템 명령어 붙여서!

 - 대응책 : 블랙리스트 / 화이트리스트 선정하여 지정된 명령어만 실행,  위와 동일하게 적절한 필터링 해야함

 

파일업로드 취약점 : webshall.php 등의 파일이 업로드되는 취약점

 - 대응방법 : 화이트 리스트(jpg, png 등과 같은 파일 확장자만) 방식 체크, 파일 타입과 확장자 검증(*.php 등 과 같은 확장자를 가진 파일 업로드 불가), 만약 업로드가 되어도 실행 기능 차단 시킬 것 httpd.conf - Allowoveride All(.htaccess 파일에서 허용가능한 지시자 설정) + addtype 지시자를 이용하여 text/html .php(php 파일을 텍스트 등의 파일로 재종하여 실행되지 않도록 설정), 업로드 파일 크기 제한 httpd.conf - LimitRequestbody 500000 (byte임)

 

파일 삽입 취약점 : 공격자가 악성 서버 스크립트를 서버에 전달후 해당 테이블 (include/require) 삽입하여 악성코드 실행

 - 대응방법 : php.ini (원격파일 접근 차단) - allow_url_fopen = Off , display_errors = Off(오류 정보 출력 안함)

 

세션 타임아웃 설정 : 공격자가 다른 사용자의 세션을 재사용하여 권한 탈취

 - 대응방법 : php.ini - session.gc_maxlifetime = 600, session.cookie_httponly =1(http/s 일 경우멘 쿠키 전송), session.cookie_secure =1(ssl/tls 일 경우에만 쿠키 전송 + 암호화)

 

비밀번호 취약점 공격

 - 안전한 패스워드 : 영문, 숫자, 특수문자 2가지 이용하여 10자리 이상, 3가지 이용 8자리 이상. 쉬운 비밀번호(연속된 숫자, 개인정보 등) 사용 제한 권고, 주기적 비밀번호 변경

 

정보노출 취약점 : 웹서버의 불필요한 정보가 노출됨

 - 대응방법 : httpd.conf - ErrorDocument 403 / 4040 /home/security/xxx.php, php.ini - display_errors = Off

 

디렉터리 리스팅 취약점 : 웹브라우 상 해당 디렉터리 내의 파일 디렉터리 내용이 노출됨

 - 대응방법 : httpd.conf - Options Indexes 지시자 제거 -> Options None

 

웹 서빗 정보 숨김

 - httpd.conf - ServerTokens Prod (권장임 서버 종류만 나옴)

 - httpd.conf - ServerSignature Off (불필요한 웹서버 정보 전송 안함)

 

웹서버 타임아웃 설정

 - Timeout 120

 - KeepAlive On

 - MaxKeepAliveRequests 100

 - KeepAliveTimeout 15

 - RequestReadTimeout header=5 body=10 (요청 메시지의 헤더 바디부를 모두 수신하는 시간에 대한 타임아웃 설정 -> slow http header dos, post dos 효과적 대응함)

 

웹로그 분석 :access log (서버에서 클라이언트 응답로그), error log(서버에서 클라이언트 오류로그)

 

http 응답분할 취약점 : 요청데이터에 개행문자 포함하여 두개의 응답으로 응답헤더 설정을 악의적이로 변조할 경우 공격 가능

 - 대응방법 : 적절한 필터링 필요

 

인증 : 신원(id) 올바른지 증명

인가 : 인증에 성공한 사용자가 대상 자원에 대한 접근 허용 여부

 

robots.txt : 검색엔진에 대해 웹서버의 허용가능한 디렉터리 / 파일 위치를 제한시킴, 최상위 / 디렉터리에 위치해야함

User-agent: *

Disallow: / 

--> 모든 검색 로봇에 대해 모든 디렉터리 웹크롤링 금지

 

db 보안위협 : 집성(낮은 보안등급 -> 높은 보안등급 알아냄), 추론(정당한 사용자가 보안으로 분류되지 않은 정보를 정당하게 접근)

 

db 보안통제 : 접근통제 / 추론통제 / 흐름통제(높은 -> 낮은등급)

 

스노트 룰 예시 : alert tcp any any -> any 80 (msg:"test"; content:"victory"; depth:14; content:"me"; distance:2; within:2; nocase; sid:777777;)

+ 확장 모듈 (msg:"test"; content:"good"; threshold type threshold, track by_dst, count 10, seconds 1; sid:777777;)

 

ips - iptables 예시 : iptables -A INPUT -p tcp --tcp-flags ALL SYN, FIN -m limit --limit 1/second -j DROP

위와 동일 -p tcp --syn --dport 80 -m --connlimit-above 5 -j DROP

 

DROP / REJECT 차이 둘다 차단 + 로그 남기지만 reject의 경우 불필요한 icmp 응답메시지를 보내기 때문에 불필요한 부하 발생과 공격자가 dos 공격으로 악용할 수 있음

 

보안장비 취약점 조치 방법

 디폴트 계정변경, 디폴트 패스워드 변경, 계정별 권한 부여(차등 권한 관리자 / 사용자 / 유지보수), 계정관리(불필요한 계정 삭제, 공동계정 금지 > 책임추적성 확보)

 

무결성 확인 장비 : tripwire

 - 명령어 : #tripwire --init // #tripwire --check 

 

루트킷 점검 : chrootkit

- 명령어 : #chrootkit // #chrootkit -q(감염된 정보 확인)

- 탐지원리 : /proc(모든 자원에 대한 정보를 메모리 상에 보관하는 파일시스템) 과 현재 ps 실행 결과와 비교하여 보이지 않는 프로세스 확인

- 대응방법 : rpm 명령 확인 / 해당 운영체제 재설치

 - #rpm -V net-tools / #rpm -qf / 결과 S..5... T(파일크기, 해시, 파일수정시간 변경됨)

- 삭제 또는 변경 안될시 lsattr 설정되어있음 변경 chattr + / -  i (읽기전용), a(추가), A(엑세스 변경금지)

 

크론탭 : 분 시 일 월 요일(0 : 일요일) 실행계정 명령어

 

10일 이내에 변경된 파일 조회 방법 : #find / -mtime -10

setuid 설정 파일 조회 : #find -user root -perm -4000

 

워터링 홀 : 표적공격

 

사이버 킬체인 : 공격을 위해 일련의 공격 단계 중 어느 한 단계에 공격을 탐지 할 경우  목표 달성 이전에 선제적 대응하는 방어전력

 

허트블리드 취약점 : 암호화를 위해 많이 사용되는 openSSL 취약점으로 확장 모듈의 버그로 인하여 중요 정보 노출 취약점

 - 대응방법 : 1. 취약점이 없는 openSSL 업데이트 2. 스노트 탐지룰 설정 3. 인증서 재발급(키 노출 가능) 4. 사용자들의 비밀번호 재설정

 

기본 보안용어

자산 : 조직이 보호해야할 대상

위험 : 실제가해진 결과 또는 비정상 상황 발생시 손실의 기대치

위협 : 손실이나 손상의 원인 제공

취약점 : 위협의 이용대상으로 관/기/물 약점

노출 : 위협이 취약점을 이용해 위험이 발생한 경우

 

정보보호 관리

1. 정보보호 정책 : 방향과 전략 제시

2. 위험관리 : 위험분석(기준선접근법, 상세위험분석, 복합접근법, 비정형접근법 > 정량적, 정성적분석 - 델파이, 순위결정법, 시나리오법, 퍼지행렬법) > 위험평가 시행(위험 회피/수용/이전/감소)

 

DR(재난복구) / DRP(재난복구 계획) - 미러(즉시)/핫(수분~수시간)/웜(수일~개월)/콜드/백업

 

침해사고 7단계 : 사고전준비 - 사고탐지 - 초기대응 - 대응전략체계화 - 사고조사 - 보고서 작성 - 해결

포렌식 기본 원칙 : 무결성, 정당성, 신속성, 연계보관성, 재현성 

 

CC : ISO 표준 공통평가 기준 (pp : 공통 요구사항, st : pp에서 정의된 요구사항 적용 여부(기능명세서), EAL 표준 등급))

 

ISMS-P : 정보보호 및 개인정보 관리체계 PDCA 에 의거 라이프스타일 운영됨

 

정보보안 법규 : 개인정보보호법, 정보통신망법, 신용정보법, 위치정보법, 정보통신기반보호법

 

분실 도난 유출시 아래이 내용으로 지체없이 신고

개인정보 유출 통지 및 신고 : 지체없이 5일 이내 서면 등의방법으로 개시 , 1천명 이상 유출시에는 서면 등 인터넷 게시

24시간 이내 사용자에게 공지 + 해당기관 신고 

이용자 안내사항

1. 유출 등이 된 개인정보 항목

2. 유출 등이 발생된 시점

3. 이용자가 취할 수 있는 조치

4. 제공자의 대응 조치

5. 이용자가 상담 등을 접수 할 수 있는 부서 및 연락처 안내

 

CCTV 영상처리기기 설치 운영 제한

1. 녹음불가

2. 목적외 사용불가

3. 안내판 설치

설치목적 및 장소

촬영범위 및 시간

관리책임자 성명 연락처

기타 대통령령으로 정하는 사항

 

개인정보 수집시 정보주체에 알려야하는 사항

1. 개인정보 수집 이용 목적

2. 수집하려는 개인정보 항목

3. 개이정보 보유 및 이용기간

4. 동의를 거부할 권리와 거부에 대한 불이익이 있을 경우 그 불이익에 대한 내용

 

개인정보 제공시 정보주체에 알려야하는 사항

1. 개인정보를 제공받는자

2. 제공받는자의 수집하려는 목적

3. 제공받는자의 수집하려는 개인정보 하목

4. 개인정보 보유 및 이용 기간

5. 동의거부 불이익 + 내용

 

민감정보(사상 건강 등) 원칙적으로 처리 금지(별도 동의 필요 + 안전성 확보 해야함)

 

최신 트렌드 ~2021.5 

 

IOT DIY 보안 디바이스 : RTOS

클라우드 보안 SecaaS

SOAR : AI 기반, 분석 자동화, 리포팅 기능 제공

 - NAC / ESM > SIEM(NW 등 전구간 공격탐지) / UEBA(머신러닝 기반 내부자 행위기반 자동 감지 및 대응) > EDR(엔드 포인트 디바이스 - 클라이언테 자체보안 머신러닝 + 인공지능 활용하여 탐지) > 통합보안솔루셔

제로트러스트 : 네트워크와 연결하려는 모든 장치(내/외부) 는 신뢰할 수 없는 것이다. 자산에 엑세스시 사용자 인증 강화

IoT 공격 진화 미라이 봇넷(23번 포트로 패스워드 무작위 공격) -> 루프 봇넷(취약점을 찾아 악성코드 주입, 매우 빠른 속도로 감염 중) 위 두개 모두 랜덤 ip 주소 생성 후 공격시도

CRM(CYBER RISK MANAGEMENT) : 차세대 보안기술 초연결 플랫폼 안전/신뢰성 메가공격 실시간 대응 CRM(통합적 사이버 위기관리)

공급망 공격에 대한 보안성 등급 평가기술 : SRS(SECURITY RATING SERVICES)

EAP (확장 인증 프로토콜) : 복수의 인증 프로토콜을 캡슐화 시켜 다양한 인증 방식 선택 가능함

무선보안 : WEP(64 / RC4), WPA(128 TKIP / RC4), WPA2(128 CCMP / AES)

2018년 CPU 취약점 이용 메모리 정보 노출 : 스펙터(CPU분기 예측), 멜트다운(비순차적 명령어 처리)

유럽연합 개인정보보호규정 : GDPR

제로 트러스트 : 클라우드에 접근하는 모든 사용자를 지속적으로 모니터링하여 상관관계를 분석하여 무결성 확인

CERT : 비상대응팀(카네기 멜론 대학에서 만듬) > CSIRT(COMPUTER SECURITY INCIDENT RESPONSE TEAM) : 기술지원보다는 컴퓨터 보안 사고를 더 명확히 하기 위해 더 일반적인 컴퓨터 보안사고 대응팀

CISO의 업무 : 정보보호관리체계의 수립 및 관리 운영 취약점 분석 평가 및 개선

FISCON : 금융권 최대 정보보호 행사

118 : 해킹 스팸메일 신고 번호

ISAC : 동종산업분여별 기반시설 관리기관 간 위협 공동분석, 정보공유 활성화 목적

취약점 분석 평가 : 연 1회 / 신규지정시 (6개월이내 실시, 특별사유 있을 경우 9개월 내)

공인전자서명 NPKI / 행정전자문서 전자서명 GPKI

CC인증 : 정보보호제품 신뢰성 향상, 보안수준 제고를 위해 도입

내부평가보증등급 EAL(보안기능의 신뢰도 수준) 인증기관 : IT보안인증사무국, 정책기관: 과기부

보안적합성 검증

인터넷 전화 영상보안장비 등 일부제품 사전에 TTA 인증 받아야함

국내 암호알고리즘 ARIA, SEED, LEA, HIGHT (키 112비트 이상임)

한수원 해킹 공격이후 민 관 군 간 정보공유를 신속한 상황파악 및 공동대응 을 위하 국가 사이버 위협 정보공유 시스템 NCTI (NATIONAL CYBER THREAT INTELLIGENCE)

KISA 인터넷 침해 대응센터 : KISC(KOREA INTERNET SECURITY CENTER)

침해사고 발생시 > 과기부, 정보통신부장관 신고

신규 규정

국가정보원법 : 사이버 안보에 관한 정보수집 공공기관 대상 사이버공격 대응 추가

정보통신망법 : 정상적인 인증절차를 우회하여 망에 접근 > 공격행위, 침해사고로 규정 추가

데이터 3법 : 개인정보보호법, 정보통신망법, 신용정보법

공동인증서 : 블록체인, 공개키, 생체인증(FIDO)

소셜엔지니어링 공격 : 기술이 아닌 사람의 취약점을 공략하여 비밀번호 획득, 보안 장비 무력화

워너크라이 랜섬웨어 : SMB 취약점을 통해 랜섬웨어 스스로 주변에 자체 전파(SMB : SERVER MESSAGE BLOCK : 장치를 공유하기 위해 사용되는 통신 프로토콜)

킬스위치 : 자폭장치(악성코드가 특정 도메인으로 연결되면 더 이상 동작하지 않고 종료)

솔라윈즈 공급망공격(20년) : 오리온 솔루션(네트워크 관리 플랫폼) > 악성코드(선버스트 : 일정기간 잠복 후 정보 수집 및 공격자와 통신)

랜섬웨어 해커에 비용 내기 전 OFAC(미국 재무주 국외자산통제국)허락 받아야함

코로나로 RDP 취약점 이용한 랜섬웨어 공격 다수 예상

블루킵 취약점 (RDP 취약점이용) : 공격자가 특수하게 만든 조작을 통해

사용자인증과정 없이 로그인 가능

- 대응방법 : 3389/TCP 사용 금지, NLA 기능 활성화, OS 업그레이드, 포트 번호 변경

RDG (RDP 취약점 이용) : 공격자가 특수하게 만든 조작을 통해  RDP 라우팅 개념 사용자 인증 없이 로그인 가능